h3c无线ap wx2560x-LI

核心配置思路

1. 1.​​在H3C AC上：​​ 改变Portal认证方式，从​​本地认证​​或​​内置服务器​​改为​​第三方服务器​​，并指向深信服设备的IP地址。
2. 2.​​在深信服上：​​ 配置好对应的认证策略和二维码推送页面，并确保其能接收并处理来自H3C AC转发过来的认证请求。
3. 3.​​联动关键：​​ 确保两台设备之间​​IP地址和密钥​​的配置完全一致。

详细配置步骤（H3C AC侧）

假设您的深信服上网行为管理的IP地址是 10.1.1.10。

第1步：创建指向深信服的Portal服务器模板

登录H3C AC的命令行界面（CLI），进行如下配置：

​​关键参数解释：​​

• •userip=<USERIP>：H3C AC会将连接用户的IP地址填入此参数，传递给深信服。
• •usermac=<USERMAC>：H3C AC会将连接用户的MAC地址填入此参数，传递给深信服。
• •url=<URL>：H3C AC记录用户最初尝试访问的网址，以便认证成功后重定向回去。

第2步：修改原有的Portal认证规则或接入策略

找到您当前为Guest SSID配置Portal认证的策略，将其引用的服务器从local或default修改为刚刚创建的第三方服务器模板。

深信服侧配置要点（简要）

1. 1.​​Portal认证设置：​​ 在深信服AF/MAC设备上，找到【认证系统】-【Portal认证】相关的配置页面。
2. 2.​​添加认证策略：​​
   • •认证方式选择为 ​​“外部Portal认证”​​ 或 ​​“第三方Portal”​​。
   • •设置一个​​共享密钥​​，必须与H3C AC上配置的 key simple sangfor_key 完全一致。
   • •配置认证成功后跳转的页面（即您的二维码页面）。
3. 3.​​IP地址组：​​ 确保将H3C AC的IP地址（或Guest用户所在的IP地址段）添加到可信/免认证地址中，避免AC本身被深信服设备拦截。

最终效果与验证

完成以上配置后：

1. 1.用户连接Guest SSID，获取IP地址。
2. 2.用户尝试访问任意网页，H3C AC会检测到该用户未认证，将其HTTP请求重定向。
3. 3.重定向的目标不再是H3C自己的页面，而是 http://10.1.1.10/portal?...，即深信服的认证页面。
4. 4.深信服接收到带有用户IP、MAC等信息的请求后，弹出您配置好的二维码认证页面。
5. 5.用户完成扫码认证后，深信服会通知H3C AC该用户IP已通过认证。
6. 6.H3C AC允许该用户上网，并将用户浏览器重定向到他最初想访问的网站。

注意事项

• •​​防火墙策略：​​ 确保H3C AC与深信服设备之间，以及用户与深信服设备之间的​​80/443端口​​通信畅通。
• •​​密钥一致性：​​ 两端配置的共享密钥必须一模一样，这是建立信任关系的基础。
• •​​HTTPS问题：​​ 如果用户访问的是HTTPS网站，浏览器可能会弹出安全警告。这是因为H3C AC无法对HTTPS流量进行重定向。解决方案通常是在深信服侧启用HTPortal认证或依赖HTTP重定向。
• •​​调试：​​ 如果配置不成功，可以在H3C AC上使用 display portal server Sangfor-Portal 检查服务器状态，使用 debugging portal all 开启调试信息（生产环境慎用），查看认证交互流程在哪里中断。

按照这个流程操作，您就可以成功取消H3C的自带弹窗，转而使用深信服的二维码认证页面了。

您好，关闭对应的信号

把 guest信号 信号所属的模板里关于认证的去掉就行了。之后流量经过深信服的设备，深信服就给他弹网页了