如何实现统一门户功能?
- 0关注
- 0收藏,54浏览
1. 组网前提
AC旁挂/直连核心,终端通过AC接入;iMC UAM作为统一Portal服务器,对接AD/RADIUS等统一身份源。
2. AC端配置
启用Portal功能:
system-view
portal enable
配置Portal服务器(关联iMC):
portal server imc_portal ip X.X.X.X port 8080(iMC Portal默认端口8080)
创建Portal模板并绑定服务器:
portal template unified_portal
portal server imc_portal
quit
在用户接入接口/VLAN应用模板:
interface Vlan-interface
portal apply template unified_portal
对接统一认证服务器(如RADIUS):
radius scheme radius_server
primary authentication X.X.X.X
key authentication simple <共享密钥>
quit
domain unified_domain
authentication portal radius-scheme radius_server
quit
domain default enable unified_domain
3. iMC端配置
在UAM模块中创建统一Portal认证页面(自定义登录界面、支持多认证方式:账号密码/微信/短信等),关联对应的认证策略与身份源。
4. 可选配置(免认证规则)
portal free-rule 1 source ip <内部服务器网段> mask <掩码>
重要提醒:配置前备份AC与iMC配置,先小范围测试验证。
需补充信息:AC型号、现有组网架构、所需认证方式。
统一门户是什么?(以网络接入场景为例)
你提到的“Portal认证”,其实就是H3C实现网络接入统一门户的最典型场景。它的核心作用是:
提供统一的网络访问入口:所有用户(员工、访客)打开浏览器,都会被自动引导到同一个定制化的Web登录页面(即“门户”)。
整合多种身份认证方式:在这个统一的门户页面上,用户可以选择多种认证方式,例如:
内部员工:使用公司域账号(如
zhangsan@***.***)和密码登录,后台对接企业的AD/LDAP或Radius服务器进行验证。访客:通过短信验证码、微信扫码或者由内部员工代为申请等方式便捷接入。
实现统一身份源和数据管理:无论何种方式,后台统一认证平台(如H3C iMC)会将所有用户身份与不同的认证源对接,实现“一个平台,认证全公司”。
简单来说,就是后端统一,前端统一,让用户用一个账号在一次认证后,就能安全地访问网络。
核心实现案例:AC + iMC 配置Portal认证
这是最常见的统一门户部署方式。下面我会以H3C无线控制器(AC)对接智能管理中心(iMC)为例,展示具体配置。
配置前准备
组网:AC设备旁挂或直连核心交换机,确保AP能正常上线,终端通过AC接入网络。
软件:iMC平台已安装并激活UAM(用户接入管理) 组件,并已配置好与公司AD/LDAP等身份源的对接。
AC端关键配置
在AC上配置Portal认证,需要注意的是:具体命令会因设备型号和Comware软件版本而异。
系统视图下配置
[H3C] portal server imc_portal ip X.X.X.X port 8080 # 指定iMC服务器的IP和端口(默认8080) [H3C] portal template unified_portal # 创建Portal认证模板 [H3C-portal-temp-unified_portal] portal server imc_portal method direct # 绑定Portal服务器,并指定认证方式为直接认证 [H3C-portal-temp-unified_portal] quit[H3C] portal enable # 开启Portal功能
接口/VLAN视图下应用
[H3C-Vlan-interface100] portal apply template unified_portal # 应用Portal模板 [H3C-Vlan-interface100] quit[H3C] interface Vlan-interface 100 # 进入终端接入的VLAN接口
配置认证方案
[H3C-radius-radius_server] primary authentication X.X.X.X key simple your_key [H3C-radius-radius_server] quit [H3C] domain unified_domain # 创建ISP域 [H3C-isp-unified_domain] authentication portal radius-scheme radius_server [H3C-isp-unified_domain] quit [H3C] domain default enable unified_domain # 设置为默认域[H3C] radius scheme radius_server # 创建RADIUS方案(用于对接iMC UAM)
设置免认证规则(可选)
[H3C] portal free-rule 1 source ip 10.0.0.0 mask 255.255.0.0 # 允许指定IP/网段不认证直接访问例如,可以放行公司的DNS服务器、更新服务器等内部关键服务地址。
iMC端配置
登录iMC管理页面,导航至用户 > 用户接入策略管理 > Portal服务管理,创建一个新的Portal主页,其主要内容包括:关联AC端指定的Portal服务器,上传设计好的定制化网页,关联后端认证策略,测试通过后生效。
其他场景拓展
iMC平台:除了作为Portal认证的核心,iMC本身也是一个强大的统一管理平台,能统一管理交换机、路由器、无线等网络设备,提供拓扑、性能、故障、配置等一体化运维功能。
U-Center 5.0:这是H3C面向云智原生时代的新一代统一运维平台,其 “统一门户” 特性更侧重于打通运维管理入口,实现云、网、端异构混合资源的“一站式”管理和数据拉通,旨在将运维效率提升 60%。
暂无评论
一、统一门户是什么(你场景)
员工 / 访客上网,打开浏览器自动跳转到统一认证页(Portal)
公司电脑 / 内网终端无感知自动认证(不弹页)
全部认证、权限、日志、用户管理统一在 iMC
接入设备:S10508/S7503X 等 H3C 交换机 / AC
核心组件:
iMC(EIA+Portal 组件):统一认证、页面、用户
接入交换机 / AC:拦截未认证流量,重定向到 Portal
RADIUS:iMC 与设备间认证 / 授权
DHCP/DNS:终端获取地址、解析 Portal 域名
二、典型组网(你的办公网)
终端(10.18.18.0/23、18.18.72.0/23)↓接入交换机(S10508)↓核心(S7503X)↓iMC 服务器(Portal+RADIUS)↓Internet
所有网段共用一套 Portal 页面、一套认证策略,即 “统一门户”。
三、iMC 侧配置(最关键)
1. 安装授权
安装 iMC 平台 + EIA(接入)+ Portal 组件
授权包含:Portal 认证、无感知(Agentless)
2. 配置 Portal 服务器(iMC→业务→Portal)
Portal IP:iMC 网卡 IP(如 10.0.10.2)
端口:50100(设备与 Portal 通信)
Web 端口:8080/443(用户浏览器访问)
密钥:自定义(如 Portal@123),交换机必须一致
3. 配置 IP 地址组(哪些网段要 Portal)
增加:10.18.18.0/23、18.18.72.0/23
类型:普通
4. 增加接入设备(把 S10508/S7503X 加入 iMC)
设备名:S10508
IP:设备三层接口 IP(如 10.18.18.1)
密钥:和上面 Portal 密钥一致
组网:三层
5. 配置 RADIUS(iMC→用户→接入策略→RADIUS)
认证 / 计费端口:1812/1813
密钥:自定义(如 Radius@123),交换机必须一致
6. 接入策略 + 服务(无感知 / Portal 控制)
新建接入策略:Allow-All(放行上网)
新建接入服务:
名称:Portal-Unified
认证方式:Portal + 无感知(Agentless)
绑定策略:Allow-All
7. 无感知配置(内网终端自动过)
开启MAC 无感知:
终端第一次认证后,iMC 记录 MAC
后续同 MAC 接入不弹页、自动认证
或AD 域无感知(企业域环境):
终端加入公司 AD,iMC 联动 AD 自动登录
8. 定制统一 Portal 页面
iMC→Portal→页面定制:
上传 Logo、改标题、背景
支持:账号密码、短信、扫码、访客申请
四、交换机 / AC 侧配置(V7 可直接复制)
1. 配置 RADIUS(指向 iMC)
cli
radius scheme imc
primary authentication 10.0.10.2 1812
primary accounting 10.0.10.2 1813
key authentication simple Radius@123
key accounting simple Radius@123
user-name-format without-domain
2. 配置 ISP 域(绑定 RADIUS)
cli
domain system
authentication radius-scheme imc local
authorization radius-scheme imc local
accounting radius-scheme imc local
3. 配置 Portal 服务器(指向 iMC Portal)
cli
portal web-server imc-portal
url http://10.0.10.2:8080/portal // 用户跳转的认证页
server-detect enable // 服务器 down 时逃生
cli
portal server imc-portal
ip 10.0.10.2 key simple Portal@123 // 与 iMC 密钥一致
port 50100
user-sync timeout 600
4. 接口开启 Portal(用户网关 VLAN 接口)
cli
interface Vlan-interface 10 // 10.18.18.0/23 网关
portal enable method direct
portal apply web-server imc-portal
portal bas-ip 10.18.18.1 // 设备 IP,iMC 识别用
cli
interface Vlan-interface 20 // 18.18.72.0/23 网关
portal enable method direct
portal apply web-server imc-portal
portal bas-ip 18.18.72.1
5. 免认证放行(关键!否则 iMC 自己也被拦截)
cli
acl number 3000
rule permit ip destination 10.0.10.2 0 // 放行 iMC
rule permit ip destination 10.0.0.0 0.0.255.255 // 内网
cli
portal free-rule 1 destination ip 10.0.10.2 255.255.255.255
portal free-rule 2 destination ip 10.0.0.0 255.255.0.0
五、无感知生效逻辑(你问的 “终端不认证也能上”)
正常情况:
公司电脑(已加入 AD / 之前认证过)→ iMC 识别 MAC/AD → 自动认证、不弹页
异常情况(你现场问题):
终端 MAC 已在 iMC 白名单 / 无感知列表 → 直接放行,不认证
交换机 free-rule 误放了该终端 IP/MAC → 绕过 Portal
排查命令(交换机):
cli
display portal user all // 看该终端是否已认证
display portal free-rule // 看是否被免认证
display acl 3000 // 看是否被 ACL 放行
六、验证步骤
未认证终端→开浏览器→自动跳转到统一 Portal 页
输入账号密码→认证成功→正常上网
同终端下次接入→无感知、不弹页
iMC 查看日志:用户上线、下线、认证方式
七、你现场 “终端无认证却能上网” 的快速排查
iMC→用户→在线用户:查该 MAC/IP 是否在线
交换机:
cli
display portal user all | include 终端IP
display portal free-rule
检查是否配置了MAC 白名单 / 免认证规则
检查交换机接口是否误关闭 Portal
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论