zhiliao_Gixe
六段
能实现。配置要点:1. 核心交换机配置portal服务器指向UC EAD;2. 业务接口同时开启portal认证(供PC Web账号认证)和MAC地址认证(供哑终端);3. EAD侧配置MAC地址自动学习/手动添加哑终端信息,实现哑终端免Web认证、PC走portal账号认证。license方面:哑终端为设备级认证,不占用portal用户license,仅PC账号认证占用。关键命令示例:portal server UC-EAD ip key <密钥>;interface Vlan-int <业务VLAN>;portal enable;mac-authen enable。
暂无评论
可以实现:同一网段共存 “Windows 电脑 Portal 认证 + 打印机 / 医疗设备 MAC 哑终端认证”;哑终端也占用 EIA License,但配置得当可做到 “Windows 弹 Portal、哑终端直接过 MAC 认证” 互不干扰H3C。下面分:能不能做、原理、配置步骤、License 说明、常见坑。
一、能不能做?原理是什么?
结论
完全能做,主流就是:
- Windows:Portal 账号密码认证(网页弹认证)
- 打印机 / 医疗设备:MAC 地址认证(哑终端)(不弹页、自动过)
- 都在同一 VLAN / 网段,核心交换机做 Portal+MAC 混合认证,iMC EIA 统一管理H3C。
原理(关键)
- 接口下先开 Portal(所有终端先被重定向)。
- 对哑终端:在交换机配置 Portal 免认证 + MAC 认证,或用 MAC-Trigger(MAC 快速认证)—— 交换机先查 MAC,是哑终端就直接放行、不弹 Portal;不是则弹 Portal。
- iMC 侧:
- 建Portal 接入服务(给 Windows)
- 建MAC 接入服务(给哑终端)
- 哑终端 MAC 手动录入或自动注册H3C。
二、详细配置(核心交换机 V7 + iMC EIA)
(一)交换机侧配置(核心 VLANIF)
1. 基础 Portal 配置(同 Portal 认证)
bash
运行
# 1. 全局Portal服务器(指向iMC EIA)
portal server IMCEIA ip 192.168.1.10 key cipher XXX # EIA地址+密钥
portal mac-trigger server ip 192.168.1.10 # MAC快速认证指向EIA
# 2. RADIUS方案(MAC认证用)
radius scheme MAC-RAD
server-type extended
primary authentication 192.168.1.10 1812
primary accounting 192.168.1.10 1813
key authentication cipher XXX
key accounting cipher XXX
user-name-format without-domain
# 3. 认证域(MAC专用)
domain MAC-DOM
authentication lan-access radius-scheme MAC-RAD
authorization lan-access radius-scheme MAC-RAD
accounting lan-access radius-scheme MAC-RAD
# 4. VLANIF接口(终端网关)
interface Vlan-interface 10
ip address 192.168.10.254 24
# 开启Portal
portal server IMCEIA
portal gateway 192.168.10.254
portal nas-ip 192.168.1.253 # 交换机发认证报文源IP(EIA接入设备IP)
# 开启MAC认证+绑定域
mac-authentication
mac-authentication domain MAC-DOM
# 关键:MAC-Trigger(哑终端不弹Portal)
portal apply mac-trigger-server IMCEIA
# 可选:服务器/网关免认证(之前问题)
portal free-rule 1 source ip 192.168.10.100 255.255.255.255 # 服务器IP
2. 接入口配置(连打印机 / PC)
bash
运行
interface GigabitEthernet 1/0/1 # 打印机口
port link-type trunk
port trunk allow-pass vlan 10
mac-authentication # 接口下开MAC认证
interface GigabitEthernet 1/0/2 # Windows口
port link-type trunk
port trunk allow-pass vlan 10
# 不用额外配置,Portal自动弹页
(二)iMC EIA 侧配置
1. 接入设备添加
- 增加核心交换机:IP = 交换机 portal nas-ip,密钥与交换机一致,协议 RADIUS(1812/1813)H3C。
2. 新建 MAC 接入服务(哑终端)
- 路径:用户→接入策略→接入服务配置→新增
- 服务名:MAC-SVC
- 认证方式:MAC 地址认证
- 绑定域:MAC-DOM
- 授权 / 计费:默认 RADIUS
- 保存H3C。
3. 新建 Portal 接入服务(Windows)
- 认证方式:Portal 认证
- 绑定域:portal 域
- 页面推送:默认 Portal 页
- 保存H3C。
4. 哑终端 MAC 录入
- 路径:用户→终端管理→哑终端管理→新增
- 填入打印机 / 医疗设备MAC 地址,绑定MAC-SVC服务
- 批量导入:支持 Excel 批量添加H3C。
三、哑终端占不占用 License?
结论:占用 EIA License,和 Portal 终端一样按 “在线并发终端数” 计数H3C。
- EIA License:按在线终端数计费(每台在线终端占 1 个节点)H3C。
- 哑终端(MAC 认证):在线时占 1 个 EIA 节点;下线后(超时)释放H3C。
- Windows(Portal):在线也占 1 个节点H3C。
- 举例:50 台 Windows+30 台哑终端同时在线 → 需至少 80 节点 EIA LicenseH3C。
例外
- iMC 自带 License:如 MSR-iMC 自带 200 节点 EIA,可直接用。
- EAD 赠送:购买 EAD 组件赠送同等 EIA License。
四、配置案例(官方)
H3C 官方有完整《iMC EIA 哑终端认证典型配置》,包含:
- 组网图(核心 + 接入 + EIA 服务器)
- 交换机完整配置(V5/V7)
- EIA 截图步骤(接入服务、哑终端添加)
- 故障排查(MAC 认证失败、Portal 弹页异常)H3C。
获取路径
H3C 官网→服务支持→文档中心→iMC→典型配置举例→19-iMC EIA 哑终端认证典型配置举例H3C。
五、常见坑(必看)
- 哑终端也弹 Portal:交换机没配portal apply mac-trigger-server,或 MAC 未录入 EIA→补配置 + 录入 MAC。
- Windows 不弹 Portal:VLANIF 没开 Portal、路由不通、50100/50200 端口被防火墙拦截H3C。
- MAC 认证失败:RADIUS 密钥不一致、域绑定错误、EIA 未添加接入设备H3C。
- License 不足:在线终端数超购买节点→扩容 LicenseH3C。
六、总结
- ✅ 可行:同网段 Portal(Windows)+MAC 哑终端(打印机 / 医疗)混合认证H3C。
- ✅ 配置核心:交换机Portal+MAC-Trigger,EIA 双接入服务 + 哑终端 MAC 录入。
- ✅ License:哑终端占用 EIA 节点,按在线并发数计算H3C。
暂无评论
你提出的“Windows电脑使用Portal认证,打印机及医疗设备使用哑终端(MAC)认证”的方案,在 iMC EIA/EAD 环境中是完全可以实现的,这属于非常经典的混合认证场景。
针对你的疑问,以下是具体的实现思路、配置步骤以及关于 License 的解答:
1. 这种方案能实现吗?
完全可以。 这种场景通常被称为“MAC+Portal混合认证”或“MAC优先的Portal认证”。
- Windows电脑:打开浏览器后会被强制重定向到 Portal 页面,输入账号密码进行认证上网。
- 打印机/医疗设备(哑终端):由于无法弹出网页或安装客户端,设备接入网络后,交换机会自动提取其 MAC 地址,并作为用户名和密码发送给 iMC EIA 服务器进行后台静默认证。
2. 具体需要怎么配置?(配置案例思路)
核心思路是:在 iMC 上把哑终端的 MAC 地址录入白名单,并在核心交换机的认证接口上同时开启 Portal 和 MAC 认证。
第一步:在 iMC EIA/EAD 服务器上配置
- 添加接入设备:在 iMC 的“接入策略管理”中,添加你的核心交换机信息(IP地址、设备型号、共享密钥等),确保交换机能与 iMC 正常进行 RADIUS 通信。
- 录入哑终端 MAC 地址:
- 进入“用户”或“自动化”页签,找到哑终端用户配置(或接入用户管理)。
- 选择“增加” -> “基于 MAC 段”或“单个 MAC”。
- 将打印机、医疗设备的 MAC 地址录入系统,并为其绑定对应的接入服务(授权 VLAN 或 ACL 权限)。
- 配置认证策略:确保接入服务中同时启用了 MAC 认证和 Portal 认证,并设置合理的认证顺序(通常建议 MAC 优先,这样哑终端接入时能第一时间通过,不需要等待 Portal 超时)。
第二步:在核心交换机上配置
- 配置 AAA 和 RADIUS:创建 RADIUS 方案,指向 iMC 服务器的 IP 和密钥,并在 AAA 域中应用。
- 开启混合认证:在连接终端的 VLANIF 接口或物理接口下,同时开启 MAC 认证和 Portal 认证。
- 华为/华三交换机典型配置思路如下:
1# 全局开启 MAC 认证和 Portal 认证 2mac-authen 3portal enable 4 5# 进入终端接入的接口(以 VLANIF 10 为例) 6interface Vlanif 10 7 # 在该接口下同时应用两种认证 8 mac-authen 9 portal apply web-server <你的Portal服务器名称> direct- 注:不同版本的交换机命令略有差异,部分设备可能需要配置
authentication unified-mode(统一模式)或切换为传统模式来支持混合认证。
3. 哑终端占不占用 License?
通常情况下,哑终端(MAC 认证)是不占用 iMC EIA/EAD 的正式 License 的。
- 在 iMC 的授权体系中,License 主要是限制并发在线的 Portal 或 802.1X 认证用户数。
- MAC 地址认证(哑终端)通常被视为基础接入功能或免费赠送的一定额度(例如免费支持 1000 或 2000 个 MAC 认证用户),一般不计入核心的并发用户 License 统计中。
- 建议:为了绝对稳妥,你可以在 iMC 系统的“关于”或“License 管理”界面查看具体的授权说明,或者咨询你的设备供应商确认当前版本的详细授权策略。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论