V7 iMC portal认证典型配置案例

无线直接portal认证1.组网需求●用户通过无线SSID接入，根据业务需求，接入用户通过vlan20、vlan30和vlan40，3个网段接入，AP管理地址使用vlan10网段，所有网关在AC上，并且通过AC上的DHCP 获取地址。

●用户接入时需要启用portal认证。

2.组网图3.配置思路●在WX3024E上配置portal功能●配置IMC服务器4.配置信息●AC配置如下：[H3C_AC-1]disp cu#version 5.20, Release 3507P18#sysname H3C_AC-1#domain default enable h3c#telnet server enable#port-security enable#portal server imc ip 192.168.1.11 key cipher $c$3$JE7u4JeHMC5L06LL4Jl1jaJZB0f86sEz url http://192.168.1.11:8080/portal server-type imc#oap management-ip 192.168.0.101 slot 0#password-recovery enable#vlan 1#vlan 10description to_AP#vlan 20description _User#vlan 30description to_User#vlan 40description to_User#vlan 100description to_IMC#vlan 1000description to_Router#radius scheme imcserver-type extendedprimary authentication 192.168.1.11primary accounting 192.168.1.11key authentication cipher $c$3$q+rBITlcE79qH12EH3xe3Rc8Nj/fcVy1key accounting cipher $c$3$Uiv1821RWnPK4Mi2fIzd29DJ6yKvp38inas-ip 192.168.1.254#domain h3cauthentication portal radius-scheme imcauthorization portal radius-scheme imcaccounting portal radius-scheme imcaccess-limit disablestate activeidle-cut disableself-service-url disabledomain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#dhcp server ip-pool vlan10network 192.168.10.0 mask 255.255.255.0gateway-list 192.168.10.254dns-list 8.8.8.8option 43 hex 80070000 01C0A80A FE#dhcp server ip-pool vlan20network 172.16.20.0 mask 255.255.255.0gateway-list 172.16.20.254dns-list 8.8.8.8#dhcp server ip-pool vlan30network 172.16.30.0 mask 255.255.255.0gateway-list 172.16.30.254dns-list 8.8.8.8#dhcp server ip-pool vlan40network 172.16.40.0 mask 255.255.255.0gateway-list 172.16.40.254dns-list 8.8.8.8#user-group systemgroup-attribute allow-guest#local-user adminpassword cipher $c$3$v9m2UEc3AWP3KbkKm480OAgOcpMkD0pD authorization-attribute level 3service-type telnet#wlan rrmdot11a mandatory-rate 6 12 24dot11a supported-rate 9 18 36 48 54dot11b mandatory-rate 1 2dot11b supported-rate 5.5 11dot11g mandatory-rate 1 2 5.5 11dot11g supported-rate 6 9 12 18 24 36 48 54 #wlan service-template 1 cryptossid H3C-VLAN20bind WLAN-ESS 20cipher-suite ccmpsecurity-ie wpaservice-template enable#wlan service-template 2 cryptossid H3C-VLAN30bind WLAN-ESS 30cipher-suite ccmpsecurity-ie wpaservice-template enable#wlan service-template 3 cryptossid H3C-VLAN40bind WLAN-ESS 40cipher-suite ccmpsecurity-ie wpaservice-template enable#wlan ap-group default_groupap ap1#interface Bridge-Aggregation1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000 #interface NULL0#interface Vlan-interface1ip address 192.168.0.100 255.255.255.0#interface Vlan-interface10description to_Userip address 192.168.10.254 255.255.255.0#interface Vlan-interface20description to_Userip address 172.16.20.254 255.255.255.0portal server imc method direct#interface Vlan-interface30description to_Userip address 172.16.30.254 255.255.255.0#interface Vlan-interface40description to_User_vlan40ip address 172.16.40.254 255.255.255.0#interface Vlan-interface100description to_IMCip address 192.168.1.254 255.255.255.0#interface Vlan-interface1000description to_Routerip address 10.1.1.2 255.255.255.252#interface GigabitEthernet1/0/1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000port link-aggregation group 1#interface GigabitEthernet1/0/2port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000port link-aggregation group 1#interface WLAN-ESS20port access vlan 20port-security port-mode pskport-security tx-key-type 11keyport-security preshared-key pass-phrase 12345678 #interface WLAN-ESS30port access vlan 30port-security port-mode pskport-security tx-key-type 11keyport-security preshared-key pass-phrase 12345678#interface WLAN-ESS40port access vlan 40ort-security port-mode pskpport-security tx-key-type 11keyport-security preshared-key pass-phrase 12345678 wlan ap ap1 model WA3620i-AGN id 1serial-id 210235A1BBC146000073radio 1service-template 1service-template 2service-template 3radio enableradio 2channel 6service-template 1service-template 2service-template 3radio enable#ip route-static 0.0.0.0 0.0.0.0 10.1.1.1#wlan ipsmalformed-detect-policy defaultsignature deauth_flood signature-id 1signature broadcast_deauth_flood signature-id 2 signature disassoc_flood signature-id 3 signature broadcast_disassoc_flood signature-id 4 signature eapol_logoff_flood signature-id 5 signature eap_success_flood signature-id 6 signature eap_failure_flood signature-id 7 signature pspoll_flood signature-id 8signature cts_flood signature-id 9signature rts_flood signature-id 10signature addba_req_flood signature-id 11 signature-policy defaultcountermeasure-policy defaultattack-detect-policy defaultvirtual-security-domain defaultattack-detect-policy defaultmalformed-detect-policy defaultsignature-policy defaultcountermeasure-policy default#dhcp server forbidden-ip 192.168.10.254 dhcp server forbidden-ip 172.16.20.254 dhcp server forbidden-ip 172.16.30.254 dhcp server forbidden-ip 172.16.40.254 #dhcp enable#user-interface con 0user-interface vty 0 4authentication-mode schemeuser privilege level 3#return交换机配置如下<H3C-SW01>disp cu#version 5.20, Release 3507P18#sysname H3C-SW01#domain default enable system#telnet server enable#oap management-ip 192.168.0.100 slot 1 #password-recovery enable#vlan 1#vlan 10description to_AP#vlan 20description to_User-vlan20#vlan 30description to_User-vlan30#vlan 40description to_User-vlan40#vlan 100description to_IMC#vlan 1000description to_Router#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#user-group system#local-user adminpassword cipher $c$3$078okxl+RPQFofPe76YXbYryBRI3uMKv authorization-attribute level 3service-type telnet#interface Bridge-Aggregation1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000#interface NULL0#interface Vlan-interface1ip address 192.168.0.101 255.255.255.0#interface GigabitEthernet1/0/1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 20 30 40port trunk pvid vlan 10poe enable#interface GigabitEthernet1/0/2port access vlan 100poe enable#interface GigabitEthernet1/0/3port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 1000poe enable#interface GigabitEthernet1/0/4 poe enable#interface GigabitEthernet1/0/5 poe enable#interface GigabitEthernet1/0/6 poe enable#interface GigabitEthernet1/0/7 poe enable#interface GigabitEthernet1/0/8 poe enable#interface GigabitEthernet1/0/9 poe enable#interface GigabitEthernet1/0/10 poe enable#interface GigabitEthernet1/0/11 poe enable#interface GigabitEthernet1/0/12 poe enable#interface GigabitEthernet1/0/13 poe enable#interface GigabitEthernet1/0/14 poe enable#interface GigabitEthernet1/0/15 poe enable#interface GigabitEthernet1/0/16 poe enable#interface GigabitEthernet1/0/17 poe enable#interface GigabitEthernet1/0/18poe enable#interface GigabitEthernet1/0/19poe enable#interface GigabitEthernet1/0/20poe enable#interface GigabitEthernet1/0/21poe enable#interface GigabitEthernet1/0/22poe enable#interface GigabitEthernet1/0/23poe enable#interface GigabitEthernet1/0/24poe enable#interface GigabitEthernet1/0/25shutdown#interface GigabitEthernet1/0/26shutdown#interface GigabitEthernet1/0/27shutdown#interface GigabitEthernet1/0/28shutdown#interface GigabitEthernet1/0/29port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000 port link-aggregation group 1#interface GigabitEthernet1/0/30port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000 port link-aggregation group 1#user-interface aux 0user-interface vty 0 4authentication-mode schemeuser-interface vty 5 15#Return5.IMC配置：配置接入设备：在导航栏中选择“用户->接入策略管理->接入设备管理->接入设备配置”，点击<增加>按钮。

1.18.1 Portal直接认证配置举例1. 组网需求•用户主机与接入设备Router直接相连，采用直接方式的Portal认证。

用户通过手工配置或DHCP获取的一个公网IP地址进行认证，在通过Portal认证前，只能访问Portal Web服务器；在通过Portal认证后，可以使用此IP地址访问非受限的互联网资源。

•采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。

•采用RADIUS服务器作为认证/计费服务器。

2. 组网图图1-4 配置Portal直接认证组网图配置Router•配置RADIUS方案# 创建名字为rs1的RADIUS方案并进入该方案视图。

<Router> system-view[Router] radius scheme rs1# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[Router-radius-rs1] primary authentication 192.168.0.112[Router-radius-rs1] primary accounting 192.168.0.112[Router-radius-rs1] key authentication simple radius[Router-radius-rs1] key accounting simple radius# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[Router-radius-rs1] user-name-format without-domain[Router-radius-rs1] quit# 使能RADIUS session control功能。

[Router] radius session-control enable•配置认证域# 创建并进入名字为dm1的ISP域。

[Router] domain dm1# 配置ISP域使用的RADIUS方案rs1。

本地Portal无感知认证典型配置（V7）关键词:•本地portal•portal无感知作者：杨攀 2017年7月31日发布功能需求本案例介绍本地Portal认证无感知的典型配置，当客户端数量较少，且没有Portal服务器时，那么可以采用本地Portal认证无感知的方式来实现客户的无感知需求。

本案例不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本案例中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本案例假设您已了解Portal认证的特性。

组网信息及描述如图1所示，DHCP服务器为AP和Client分配IP地址。

现要求：·AC同时承担Portal Web服务器、Portal认证服务器职责。

·采用直接方式的Portal认证配置步骤一、配置AC（1）配置AC的接口# 创建VLAN1及其对应的VLAN接口，并为该接口配置IP地址。

AP将获取该IP地址与AC建立CAPWAP隧道。

<AC> system-view[AC] vlan 1[AC-vlan100] quit[AC] interface vlan-interface 1[AC-Vlan-interface100] ip address 192.168.0.20 24[AC-Vlan-interface100] quit# 在交换机上配置路由，保证启动Portal之前各Client和AC之间的路由可达。

（略）（2）配置客户端的网关# 创建VLAN 10 及其对应的VLAN接口，并为该接口配置IP地址,给客户端分配地址。

<AC> system-view[AC] vlan 10[AC-vlan10] quit[AC] interface vlan-interface 10[AC-Vlan-interface10] ip address 192.168.100.1 24[AC-Vlan-interface10] quit(3)配置无线服务# 创建无线服务模板st1，并进入无线服务模板视图。

iMC LDAP用户Portal快速认证一个常见配置问题一、组网需求：无二、问题描述：触发条件1.iMC上设置有与Open LDAP对接的同步策略，且LDAP策略选择将LDAP密码同步到iMC上。

2.对LDAP用户启用Portal快速认证。

终端第一次上线，可以推出portal认证页面正常进行认证，且查看账号详细信息已绑定智能终端信息，Portal快速认证已生效。

但是，在终端下线后，再次关联网络，不推送页面且无法上线。

iMC配置台上接入失败日志中无相应账号认证失败记录。

三、问题分析：查看Portal调试日志有如下提示：2014-09-19 11:18:19.592[Portal服务器][调试(0)][16][ProxyRequestHandler::run]10.204.168.70 ; PORTAL_FAST_AUTH_QUERY(48) ; 60668 ; 199.204.0.222:2000 ; MAC地址绑定查询报文处理成功。

(0)……2014-09-19 11:18:19.593[Portal服务器][错误(160016)][174][RequestProcessor::loginEventProcess]用户名称xxxxxx或密码{SSHA}/vJY6ygo94TkbREwiMJEsjrvVaZKwFRNFnw=超长2014-09-19 11:18:19.593[Portal服务器][调试(0)][174][RequestProcessor::sendLoginRespToUser]errorCode = 1252014-09-19 11:18:19.593[Portal服务器][调试(0)][19][ProxyResponseDeviceHandler::run]10.204.168.70 ; PORTAL_FAST_AUTH_QUERY_RESPONSE(49) ; 60668 ; 199.204.0.222:2000 ; 用户智能终端的MAC地址已绑定，直接进行Radius认证。

imc portal认证原理IMC Portal是一个用于身份认证和授权的平台，它采用了先进的认证原理来确保用户的身份安全和数据的保密性。

本文将详细介绍IMC Portal的认证原理，并逐步解释其运作过程。

第一步：用户访问IMC Portal用户通过输入IMC Portal的网址或使用移动应用程序访问IMC Portal。

在访问之前，用户可以通过注册流程创建一个账户，或者直接使用现有的账户。

第二步：用户认证请求一旦用户访问IMC Portal，就会向服务器发送一个认证请求。

该请求包含了用户的标识信息，如用户名和密码。

除了标识信息，还可能包含其他认证因素，如二次验证码、指纹扫描或面部识别。

第三步：服务器接收认证请求服务器接收到认证请求后，会立即对请求进行验证。

验证的方式可以采用多种安全协议和算法，如SSL/TLS、HTTP Digest认证或OAuth。

这些协议和算法能够确保认证请求的机密性和完整性。

第四步：用户身份验证一旦服务器接收到认证请求，系统会使用存储在数据库中的用户信息与请求中的标识信息进行比对验证。

密码通常会进行加密处理，以确保用户信息的安全。

如果用户信息匹配成功，则表示用户通过了身份验证。

第五步：访问授权当用户通过身份验证后，服务器将根据用户的权限决定是否授权其访问IMC Portal。

授权信息通常也存储在用户数据库中，以便服务器能够根据用户的角色和权限进行决策。

如果用户被授权访问，则可以继续进入IMC Portal系统。

第六步：会话管理一旦用户被授权访问IMC Portal，服务器会创建一个唯一的会话标识，并将其与用户的认证信息关联起来。

会话标识通常是一个加密的令牌，用于确保用户的行为在整个会话期间都是可信的。

服务器还会检测会话是否过期、是否存在异常行为，以及是否需要重新验证用户身份。

第七步：访问IMC Portal一旦用户通过身份验证和访问授权，可以开始访问IMC Portal。

imc短信认证案例
H3C iMC UAM（用户接入管理）不仅支持Portal认证，还针对Portal认证场景提供了简易注册页面，并结合短信平台、短信猫等发短信功能，让移动用户快速注册并接入网络。

以下是一个H3C iMC UAM的短信认证案例：
场景：旅客在机场需要关联机场提供的免费WIFI，并在注册页面输入手机号码，通过短信获取到账号和密码进行认证上网。

解决方案：
1. 在EIA（Easy IP Access）中配置短信认证功能，包括配置短信平台（如亿美通信网关）的相关参数，以及设置发送短信的内容和格式。

2. 在Portal页面上添加简易注册页面，用户输入手机号码并提交后，EIA 会自动向该手机号码发送包含帐号和密码的短信。

3. 用户收到短信后，可以直接使用帐号和密码进行上网认证。

以上方案可以满足用户在机场等场所快速注册并接入网络的需求，同时保证网络接入的安全性。

请注意，此方案需要亿美短信平台的授权信息（序列号、序列号密码和序列号Key），且网络必须路由可达。

如选择其他厂商短信平台，需要进行二次开发，请联系相关技术人员。

以上内容仅供参考，更多信息建议咨询H3C相关技术部门。

功能需求iNode与iMC EIA配合进行批量升级。

本案例使用：iNode PC 5.2（E0409）和iNode PC 7.0（E0104）配置步骤3.1定制iNode升级包打开iNode管理中心,定制需要的功能组件。

点击“高级定制”,可以选择定制防内网外联、客户端ACL等功能，点击“确定”。

选择“生成定制的客户端升级包”。

点击“确定”，升级包定制成功，“查找目标”找到定制的iNode升级包（注意:升级包是一个.zip的压缩包）。

升级包保存在iNode安装目录/iNode Manager/iNodeUpdate文件夹下。

也可以在iNode管理中心，通过“查看iNode升级包位置”选项，找到定制的iNode 升级包3.2 配置iNode升级策略选择“用户”页签，单击导航树中的[接入用户管理/业务参数配置]菜单项，选择“客户端升级”。

点击“增加”，选择“客户端版本升级”（本案例以客户端版本升级为例）。

版本升级类型：类型分为版本升级、配置更新、补丁升级。

版本升级是指把早期版本的客户端自动升级到当前版本，配置更新是指把同一版本早期的定制自动更新到当前的定制，补丁升级是指对当前版本客户端打补丁，修复一些已知问题。

用户使用的客户端版本低于增加的客户端升级版本，或者客户端配置早于增加的客户端配置，或者当前版本客户端需要打补丁、修复一些已知问题，即会触发客户端自动升级。

更新方式选择“强制更新”。

更新方式：分为强制更新、可选择更新和立即强制更新。

强制更新表示，在用户上线后2小时内的一个随机时间点自动完成客户端升级（用户无法取消）。

可选择更新表示，在用户上线后2小时内的一个随机时间点下载升级包，下载完成后弹出提示信息框询问用户是否进行客户端升级。

立即强制更新表示，在用户上线后立即自动完成客户端升级（用户无法取消）。

3.3 客户端侧升级过程查看升级前的iNode版本为iNode PC 5.2 (E409)。

用户使用iNode客户端发起认证，认证成功后，看到iNode升级的提示：您的客户端已经被管理员配置为强制版本升级，为了减轻服务器的压力，您的客户端预计在XX分钟后开始版本升级。

一、问题现象：在iMC侧配置portal无感知不生效，每次认证时都会弹出认证页面且认证通过；二、问题排查Porta无感知认证方案需要iMC与AC（目前只支持H3C无线AC设备）配合实现，所以需要检查两边的配置是否正确；1.AC侧配置[AC]portal server imc key xxx ip 1.1.1.1 url http://1.1.1.1:8080/portal[AC] portal mac-trigger server ip 1.1.1.1[AC-Vlan-interface6]portal server imc method direct[AC-Vlan-interface6]portal mac-tragger enable注意：接口下引用的portal server必须在全局视图下配置了portal无感知，否则即使配置了portal mac-trigger enable也不会生效；如下面配置，inter-vlan6下的配置的无感知就不会生效[AC]portal server imc key xxx ip 1.1.1.1 url http://1.1.1.1:8080/portal[AC]portal server portal key xxx ip 1.1.1.2 url http://1.1.1.1:8080/portal[AC] portal mac-trigger server ip 1.1.1.1[AC-Vlan-interface6]portal server portal method direct[AC-Vlan-interface6]portal mac-tragger enable2．iMC侧配置2.1 端口组配置Figure 1确认portal端口组开启了无感知功能；2.2 服务配置Figure 2 确认用户引用的服务中勾选了Portal无感知认证2.3 用户配置Figure 3 确认portal无感知认证最大绑定数不为02.4 绑定数限制Figure 4启用Portal无感知认证的终端都会在上图列表中，确认认账帐号已绑定的无感知终端数（图4）小于帐号设置里面设置的最大绑定终端数（图3）2.5 浏览器问题有的浏览器发出的HTTP报文头格式不标准，该报文头不包含认证终端的HTTP User Agent 值或者特征值不规范，Portal server无法根据该HTTP报文头匹配系统现有的HTTP特征值，对于这种情况可以如下处理：A:更换浏览器测试；B:抓包将该浏览器发出的HTTP报文头里面的USER-agent添加到EIA的HTTP特征库中；C:在EIA的HTTP特征库（图5、图6均添加）里面添加一条为ALL的特征值（不建议）；Figure 5Figure 62.6 手机可以无感知认证，PC不生效系统默认只有智能终端才可以实现无感知功能，普通PC不能做无感知认证，如果现场PC也需要实现无感知功能，则需要在图6里面添加PC的HTTP特征值，PC具体的特征值可以从图5里面查询得到，以win7为例：A:从图5里面查到win7的特征值为Windows NT 6.1B:将Winodws NT 6.1添加到图6里面如下C:win 7再次上线以后即可实现无感知功能。

关于iMC操作员登录控制的典型配置一、组网需求：使用iMC产品的配置前台，需要先使用操作员登录进入管理前台，然后才能执行各种业务功能和操作。

二、组网图：实际参考iMC服务器的部署组网即可。

三、配置步骤：iMC操作员登录控制特性提供如下管理手段：1)不同的认证方式：操作员可以使用iMC内嵌的操作员管理功能对操作员进行认证，也可以与RADIUS或LDAP服务器联动实现操作员的身份认证。

2)登录地址控制：iMC可以控制客户端的登录地址，只允许用户从特定的地址（范围）登录iMC。

3)密码控制策略：如果操作员在iMC系统上进行密码认证，则可以控制密码的强度、失效日期等。

4)密码防破解：iMC可以有效防范通过连续尝试的方式破解密码的非法行为。

iMC管理员可使用不同的登录认证方式。

iMC提供三种操作员登录认证方式：1)简单密码认证：使用iMC系统数据库中存放的操作员密码进行身份认证，是最常用的身份认证方式。

2)RADIUS认证：使用iMC特定操作员的“操作员登录名”或“操作员全称”作为用户名，以及用户在登录时输入的密码，到RADIUS服务器进行身份认证。

3)LDAP认证：使用iMC特定操作员的“操作员登录名”或“操作员全称”作为用户名，以及用户在登录时输入的密码，到LDAP服务器进行身份认证。

通过如下步骤，可配置不同的登录认证方式：步骤一：配置操作员的登录认证方式。

在增加或修改操作员界面，选择“登录认证方式”中的一种。

如果选择了“简单密码认证”，则必须输入“登录密码”和“登录密码确认”；如果选择了“RADIUS认证”或“LDAP 认证”，则无需输入登录密码信息。

参考界面如下：图1-1 配置登录认证方式步骤二：如果使用“RADIUS认证”或“LDAP认证”，则同时需要对认证服务器进行配置。

使用iMC的管理员登录iMC配置台，在“系统管理”中，点击“认证服务器配置”，根据需要对RADIUS认证服务器或LDAP 认证服务器进行配置。