问题描述:
IMC中使用EIA组件做PORTAL认证,要求不同的用户业务VLAN走不同的认证界面,用户VLAN是在别的路由上,这个而应该怎么做,求一份详细的配置案例,AC和IMC的都需要。
- 2018-08-19提问
- 举报
-
(0)
最佳答案
功能需求
Portal网页认证方式简单,无需客户端,且适用于各种终端如PC、手机、pad等。很多客户的需求是需要根据不同的终端类型推送不同的portal认证界面并下发不同的权限策略,实现灵活控制。
组网信息及描述
PC (iPhone)---ap(wireless)---MSR920-----ap(wireless)--------iMC
配置步骤
一.设备配置:
portal server portal21 ip 192.168.15.6 key cipher $c$3$CLWGrRPHS7r5ZEF4y7gKaR/MNK9smg== url http://192.168.15.6:8080/portal server-type imc //配置portal server ,密码h3c
portal free-rule 1 source ip any destination ip 8.8.8.8 mask 255.255.255.255 //放通到dns地址
portal free-rule 2 source ip any destination ip 114.64.255.148 mask 255.255.255.255
portal free-rule 3 source ip any destination ip 114.64.255.0 mask 255.255.255.0
portal free-rule 4 source ip any destination ip 192.169.199.1 mask 255.255.255.255
portal free-rule 5 source ip any destination ip 192.168.20.1 mask 255.255.255.255
#
domain default enable portal21
acl number 3000 //用于下发不同的策略的acl
rule 0 deny ip destination 111.1.1.1 0
rule 5 permit ip
acl number 3001 //用于下发不同的策略的acl
rule 0 deny ip destination 111.1.1.2 0
rule 5 permit ip
#
vlan 15
#
vlan 20 to 22
radius scheme portal21
primary authentication 192.168.15.6 key cipher $c$3$i+VDTbQz76KaYNVGCLgjxeW5hzuU/A== //密钥h3c
primary accounting 192.168.15.6 key cipher $c$3$ESLodi1ding/kohgcCABb+W78ehsrg==
user-name-format without-domain
nas-ip 192.168.15.1
#
domain portal21
authentication portal radius-scheme portal21
authorization portal radius-scheme portal21
accounting portal radius-scheme portal21
access-limit disable
state active
idle-cut disable
self-service-url disable
interface LoopBack1 //用于测试策略的地址
ip address 111.1.1.1 255.255.255.255
#
interface LoopBack2 //用于测试策略的地址
ip address 111.1.1.2 255.255.255.255
interface Vlan-interface15 //链接iMC的接口
description ssid-imc-portal-test
ip address 192.168.15.1 255.255.255.0
#
interface Vlan-interface20 //连接认证客户端的接口
description ssid-6234
ip address 192.168.20.1 255.255.255.0
portal server portal21 method direct
snmp-agent //配置SNMP参数
snmp-agent local-engineid 800063A203B8AF67F778FC
snmp-agent community read public
snmp-agent community write private
snmp-agent sys-info location Location:shenzhen
snmp-agent sys-info version all
二.iMC配置
1.
2.配置portal的ip地址组
3.
4.
选择一个模板,点击增加
5.配置页面推送策略
配置两个子策略,分别如下
通过在iMC服务器上抓包iPhone 5发过来的IOS8.3系统的http报文 user-agent字段是CPU iPhone OS
6.端口组信息管理里面调用IP地址组和页面推送策略
不同终端推送不同的portal页面配置好了,接着配置不同终端下发不同的侧策略
7.
8.
9.
10.
配置完成
三.认证效果
PC端登陆:
Ping的时候到设备上查看acl
<cy15>dis acl 3000
Advanced ACL 3000, named -none-, 2 rules,
ACL's step is 5
rule 0 deny ip destination 111.1.1.1 0 (9 times matched)
rule 5 permit ip (5131 times matched)
iPhone客户端登陆:
设备上查看acl匹配情况
<cy15>dis acl 3001
Advanced ACL 3001, named -none-, 2 rules,
ACL's step is 5
rule 0 deny ip destination 111.1.1.2 0 (23 times matched)
rule 5 permit ip (7541 times matched)
- 2018-08-19回答
- 评论(1)
- 举报
-
(0)
认证客户端端口,在AC上直接透传的VLAN,这个intvlan20 没有办法配置
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
认证客户端端口,在AC上直接透传的VLAN,这个intvlan20 没有办法配置