最佳答案
hedgeknight
九段
有多种方式:① 本地dot1x认证(https://zhiliao.h3c.com/Theme/details/101782);② 本地portal认证(https://www.h3c.com/cn/d_202509/2654115_30005_0.htm)。
本地portal把,AC当portal服务器
zhiliao_K1KtrK
发表时间:3天前
zhiliao_nsdd
四段
本地portal认证参考:01-本地Portal认证典型配置举例(专家模式Web版)-新华三集团-H3C
明天仔细研究一下,谢谢
zhiliao_K1KtrK
发表时间:3天前
更多>>
明天仔细研究一下,谢谢
zhiliao_K1KtrK
发表时间:3天前
MSG360-20 作为 AC(无线控制器),支持内置本地认证(无需外部服务器),可通过 “本地 Portal 认证” 或 “本地 802.1X 认证” 实现 “连接 WiFi 时输入账号密码才能上网” 的需求。结合你的版本(V7.1.064, Release 5468P01)和旁挂组网场景(IP 由核心交换机分配),以下是详细配置案例(推荐本地 Portal 认证,用户体验更直观):
一、配置前提
- 组网确认:
- MSG360-20 旁挂在核心交换机,与核心通过 Trunk 口连接,透传无线终端的业务 VLAN(假设为 VLAN 100)。
- 核心交换机为无线终端提供 DHCP 服务(IP 段在核心),确保终端能获取 IP 且与 MSG360 路由可达。
- AP 已注册到 MSG360(通过
display wlan ap all确认 AP 状态为 “normal”)。
- 核心配置思路:
- 创建本地用户(账号密码存储在 MSG360 内置数据库)。
- 配置 Portal 认证模板(指定本地认证方式)。
- 配置无线服务模板(绑定 SSID、认证模板、业务 VLAN)。
- 绑定服务模板到 AP 的射频口,实现认证生效。
二、详细配置步骤(命令行)
步骤 1:创建本地认证用户(账号密码存储在 AC 内置数据库)
# 进入系统视图
system-view
# 创建本地用户(示例:用户名user1,密码123456;可批量创建多个用户)
local-user user1 class network
# 设置密码(simple表示明文,实际建议用cipher加密)
password simple 123456
# 允许该用户通过无线认证
service-type wireless
# 授权用户角色(默认network-operator即可)
authorization-attribute user-role network-operator
quit
# (可选)创建更多用户,重复上述命令
local-user user2 class network
password simple 654321
service-type wireless
quit
步骤 2:配置 AAA 认证方案(指定 “本地认证”)
# 进入AAA视图
aaa
# 创建认证方案(命名为auth-local)
authentication-scheme auth-local
# 认证方式为本地用户数据库
authentication-mode local
quit
# 创建授权方案(可选,使用默认授权即可)
authorization-scheme auth-local
authorization-mode local
quit
# 创建计费方案(无需计费可跳过,或配置为不计费)
accounting-scheme acct-none
accounting-mode none
quit
# 创建服务组,关联认证/授权/计费方案
domain default_admin
authentication-scheme auth-local
authorization-scheme auth-local
accounting-scheme acct-none
# 绑定本地用户(默认domain已关联本地用户,无需额外配置)
quit
步骤 3:配置 Portal 认证模板(用户认证页面相关)
MSG360 内置默认 Portal 页面(无需单独搭建服务器),配置模板指定认证方式:
# 创建Portal模板(命名为portal-local)
portal template portal-local
# 认证方式关联AAA
authentication-method aaa
# 绑定之前创建的认证方案
authentication-scheme auth-local
# 允许未认证用户访问AC的Portal页面(关键:否则终端无法弹出认证页)
pre-authentication-acl 2000 # 后续需配置ACL 2000放行必要地址
# (可选)设置认证超时时间(默认30秒,可调整)
user-login-timeout 60
# (可选)启用HTTPS加密认证页面(更安全)
portal https enable
quit
配置 “未认证前允许访问的 ACL(2000)”:未认证的终端需能访问 AC 的管理 IP(Portal 页面地址)和 DNS 服务器(解析域名),否则无法弹出认证页:
# 创建ACL 2000,放行必要地址
acl number 2000
# 允许访问AC的管理IP(假设AC管理IP为192.168.1.254)
rule 5 permit ip destination 192.168.1.254 0
# 允许访问DNS服务器(假设核心提供的DNS为114.114.114.114)
rule 10 permit udp destination-port eq dns
# 允许访问网关(核心交换机的VLAN 100网关,假设为192.168.100.1)
rule 15 permit ip destination 192.168.100.1 0
quit
步骤 4:配置无线服务模板(绑定 SSID、认证模板、业务 VLAN)
# 创建无线服务模板(命名为st_auth,SSID为“Company-WiFi”)
wlan service-template st_auth
# 设置SSID(用户连接时看到的WiFi名称)
ssid Company-WiFi
# 关闭客户端隔离(允许认证后终端互访,按需开启)
client-isolation disable
# 启用Portal认证
portal enable
# 绑定Portal模板
portal template portal-local
# 配置安全模式(Open+Portal,无需密码直接连接后弹出认证页)
security-ieee8021x disable # 关闭802.1X,用Portal
authentication-method open-system
# 绑定业务VLAN(无线终端所属VLAN,由核心交换机分配IP)
vlan 100
quit
步骤 5:将服务模板绑定到 AP 的射频口
假设 AP 已加入 “ap-group1” 组,绑定服务模板到 AP 的 2.4G/5G 射频:
# 进入AP组视图
wlan ap-group ap-group1
# 配置2.4G射频(radio 1)
radio 1
# 绑定服务模板(st_auth)到该射频
service-template st_auth
# (可选)设置信道和功率(自动即可)
channel auto
power auto
quit
# 配置5G射频(radio 2,若支持)
radio 2
service-template st_auth
channel auto
power auto
quit
quit
步骤 6:验证配置
- 检查本地用户:
display local-user # 确认用户已创建,状态正常 - 检查 AP 和服务模板绑定:
display wlan ap-group ap-group1 # 确认radio绑定了st_auth display wlan service-template st_auth # 确认Portal配置生效 - 用户连接测试:
- 终端搜索 SSID “Company-WiFi”,连接(无需密码,因用 Open 模式)。
- 打开浏览器,会自动跳转至 MSG360 的 Portal 页面(输入 user1/123456)。
- 认证通过后即可上网,未认证则被限制访问。
三、关键注意事项
- Portal 页面弹出问题:若终端未自动弹出认证页,手动访问任意 HTTP 网站(如http://1.1.1.1),会强制跳转至 Portal 页。
- IP 与路由可达:确保无线终端获取的 IP(来自核心 DHCP)与 MSG360 的管理 IP、核心网关路由可达(旁挂组网需核心配置 VLAN 100 的网关,并与 AC 互通)。
- 安全优化:
- 密码建议用
password cipher加密(而非 simple)。 - 启用 HTTPS Portal(
portal https enable),避免密码明文传输。 - 限制本地用户数量(
local-user max-user 50),防止滥用。
- 密码建议用
通过以上配置,MSG360-20 可实现 “内置本地认证”,用户连接 WiFi 后需输入账号密码才能访问网络,无需外部服务器。若需更严格的安全(如 WPA2+802.1X),可将步骤 4 的安全模式改为
security-ieee8021x enable,并绑定 802.1X 认证模板(配置类似)。编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
本地portal把,AC当portal服务器