H3C WX3520X 完全可以对接深信服上网行为管理(AC),实现 AD 域上网认证和短信上网认证。
这两者对接的核心原理是:H3C WX3520X 作为无线控制器(AC),开启 Portal 认证功能,将用户的认证请求重定向到深信服 AC 的认证页面。深信服 AC 作为后台的认证服务器,负责处理具体的 AD 域账号校验或发送短信验证码。
针对你的疑问,以下是具体的实现逻辑和配置思路:
短信上网认证实现逻辑
你的理解基本正确,具体分工如下:
- 深信服 AC 侧(认证服务器):
- 负责对接短信网关(需要购买短信包或对接短信猫/HTTP短信接口)。
- 在深信服 AC 上配置“短信认证”服务器,设置短信模板、验证码有效期等参数。
- 创建一条针对无线用户网段的 Portal 认证策略。
- H3C WX3520X 侧(接入设备):
- 配置内置的 Portal 服务器,指向深信服 AC 的 IP 地址。
- 在 WLAN 视图或 SSID 模板下,开启 Portal 认证,并应用上述 Portal 服务器。
- 当终端连接 Wi-Fi 并打开网页时,WX3520X 会自动将其重定向到深信服 AC 的短信认证页面。
AD 上网认证实现逻辑
AD 认证通常有两种主流的对接方式,你可以根据实际网络架构选择:
- 方式一:通过深信服 AC 进行 Portal 认证(推荐,体验统一)
- 深信服 AC 侧:在“外部认证服务器”中添加微软的 AD 域(LDAP 协议),填入域控 IP、管理员账号等信息。然后新建一条密码认证策略,认证服务器选择刚刚添加的 AD 域。
- H3C WX3520X 侧:与短信认证类似,配置 Portal 认证,将无线用户的认证请求重定向到深信服 AC。用户在弹出的页面中输入域账号和密码,由深信服 AC 转发给 AD 域控进行校验。
- 方式二:H3C WX3520X 直接对接 AD 域(802.1X 认证)
- H3C WX3520X 本身支持 802.1X 认证,可以直接作为 RADIUS 客户端对接 AD 域控(或中间的 RADIUS 服务器如 NPS)。
- 这种方式下,用户在连接 Wi-Fi 时直接弹出系统级的账号密码输入框,无需跳转网页。但如果你希望统一在深信服 AC 上做审计和管控,方式一(Portal 重定向)是更常见的做法。
基础配置步骤参考
1. H3C WX3520X 侧配置(以 Portal 认证为例):
1# 1. 配置指向深信服AC的Portal服务器
2portal server sangfor-ac ip <深信服AC的IP地址>
3
4# 2. 在WLAN服务模板或SSID视图下开启Portal认证
5wlan service-template <模板名称>
6 portal enable method redirect # 开启重定向方式的Portal认证
7 portal apply server sangfor-ac # 应用Portal服务器
8# (同时需要配置好对应的免认证网段,放行到深信服AC的流量)2. 深信服 AC 侧配置:
- 短信认证:进入【接入管理】->【接入认证】->【Portal认证】->【认证服务器】,新增短信认证,配置好短信网关参数。然后在【认证策略】中新增策略,适用范围填写 H3C 无线用户的网段,认证方式选择“短信认证”。
- AD认证:进入【接入管理】->【用户管理】->【外部认证服务器】,新增 LDAP 服务器(类型为 MS Active Directory),配置域控信息。随后在【认证策略】中新增策略,认证方式选择“密码认证”,认证服务器选择对应的 AD 域。
暂无评论
结论:WX3520X(V7)完全可以对接深信服 AC,实现 AD 域账号认证 + 手机短信验证码 Portal 上网认证,方案:WX3520 做无线转发 + Portal 重定向,深信服 AC 外置 Portal 页面 + RADIUS 鉴权、对接 AD + 短信网关,AC 采购短信套餐即可下发验证码。
一、整体组网逻辑
- WX3520X:SSID 开放无加密 / PSK,终端连上后HTTP 强制重定向到深信服 AC 的 Web 认证页面;
- 深信服 AC:承载 Portal 网页、对接企业 AD (LDAP) 做员工账号密码认证 / 对接短信服务商做访客手机号 + 验证码认证,认证通过后 AC 回 RADIUS 报文授权,WX 放行上网流量;
- 两种认证区分:企业员工→AD 账号密码登录;外来访客→短信收验证码登录,AC 本地区分策略。
二、深信服 AC 侧配置(分 4 大块)
AC短信服务器配置
AC短信认证配置
AC第三方控制器对接
1、开启 AC 内置 RADIUS 服务
接入管理→接入认证→联动对接设置→RADIUS 认证服务器
- 认证端口:1812、计费 1813(可自定义规避冲突),自定义共享密钥(和 WX 一致),启用 RADIUS 服务。
2、新增第三方控制器(对接 H3C WX3520X)
接入管理→接入认证→联动对接→控制器对接→第三方控制器
- 控制器 IP:WX3520X 互联 IP
- Portal 协议:CMCC Portal V1.0(H3C 通用对接协议)
- URL 参数勾选:
staip、ssid、mac(终端 IP、MAC、SSID 参数,H3C 必带),保存生成 Portal 跳转 URL(http://ACIP/cid/xxx/portal.html,WX 需要填写该地址)。
3、对接 AD 域(员工账号认证,LDAP)
用户认证与管理→认证服务器→新增 LDAP 服务器,填写 AD 域控 IP、管理员账号、域名、用户 OU;
认证策略:内网员工网段→认证方式LDAP (AD 账号密码)。
4、短信认证配置(访客,需采购 AC 短信包 / 第三方短信接口)
1)系统→通知设置→短信通知服务器:填入短信服务商 HTTP 接口、账号密钥(阿里云 / 腾讯云短信),测试收发短信正常;
2)认证服务器→新增短信认证服务器,绑定上面短信通道、自定义短信内容;
3)新增访客认证策略:访客网段→认证方式短信认证,认证服务器选刚建的短信服务;
AC 购买官方短信套餐则不用自建第三方短信接口,直接在 AC 内启用短信通道即可。
三、WX3520X V7 配置(CLI,外置 Portal+RADIUS)
1、配置 RADIUS 方案(指向深信服 AC)
plaintext
radius scheme SF-AC
primary authentication AC_IP 1812
primary accounting AC_IP 1813
key simple 【和AC一致的共享密钥】
user-name-format without-domain
2、ISP 域绑定 RADIUS
plaintext
domain SF-PORTAL
authentication radius-scheme SF-AC
authorization radius-scheme SF-AC
accounting radius-scheme SF-AC
3、外置 Portal 配置(关键,跳转 AC 认证页)
plaintext
portal server SF-AC type cmcc url http://ACIP/cid/xxx/portal.html //填AC生成的URL
portal server SF-AC ip AC_IP
#放行AC服务器白名单(不跳转认证)
portal free-rule 0 destination ip AC_IP 255.255.255.255
portal host-check disable
4、WLAN 服务模板绑定域 + Portal
plaintext
wlan service-template portal-wlan
ssid XXX
authentication-method open-system
portal enable
portal apply server SF-AC
access-limit domain SF-PORTAL
#绑定AP射频
wlan ap xxx model WAxxxx
radio 1
service-template portal-wlan vlan 20
四、可选优化:MAC 无感知免认证
深信服 AC 开启MAC 免认证:终端首次短信 / AD 认证成功后,AC 记录 MAC,再次接入直接 RADIUS 放行、不用二次认证;WX 无需额外配置,由 AC 通过计费报文同步 MAC 白名单。
五、排错命令
plaintext
display radius statistics
display portal server all
display portal user all
六、关键注意点
- WX 与 AC 三层互通、UDP1812/1813 放行;
- Portal 协议必须选CMCC1.0(H3C + 深信服通用标准,不能用其他协议);
- 短信:AC 要么采购原厂短信套餐,要么对接第三方 HTTP 短信接口二选一即可。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论