针对您使用 H3C S7003X 核心交换机对接西软(Xiruan)Portal 认证服务器的需求,结合您的组网架构(软路由 - S7003X - 西软旁挂核心 - AC旁挂核心),以下是详细的对接方案与配置指南。
一、 核心角色与定位分析
- S7003X 的定位:S7003X 本身不是无线控制器(AC),不能直接发射或管理 WiFi SSID。但它是支持 Portal 认证的三层核心交换机。
- 认证触发点:在您的组网中,WiFi 用户的网关必然落在 S7003X 上。因此,Portal 网页重定向和认证交互都将在 S7003X 的 VLANIF 接口(用户网关) 上完成。
- 对接协议:H3C 设备对接第三方认证系统(如西软),标准做法是采用 RADIUS + Portal 双重协议。西软平台同时承担 RADIUS 服务器(负责账号密码校验)和 Portal Web 服务器(负责弹出认证页面)的角色。
二、 核心配置思路
在 S7003X 上的配置主要分为四个关键步骤:配置 RADIUS 方案、配置 Portal 服务器、配置 ISP 域、在网关接口开启 Portal 认证。
1. 配置 RADIUS 方案
指定西软平台的 IP 地址、端口及共享密钥,用于处理后台的认证和计费请求:
radius scheme xiruan-radius
primary authentication <西软Radius_IP>
primary accounting <西软Radius_IP>
key authentication cipher <Radius共享密钥>
key accounting cipher <Radius共享密钥>
user-name-format without-domain
nas-ip <S7003X对接西软的源IP>2. 配置 Portal 服务器
指定西软 Portal 服务器的 IP 及通信密钥,用于控制页面的跳转与状态同步:
portal server xiruan-portal
ip <西软Portal_IP> key cipher <Portal共享密钥>3. 配置 Portal Web 服务器
定义用户弹出的认证页面 URL:
portal web-server xiruan-web
url http://<西软Portal_IP>:8080/portal # 具体URL需向西软工程师确认4. 配置 ISP 域并绑定
将上述 RADIUS 方案应用到指定的认证域中:
domain xiruan-domain
authentication portal radius-scheme xiruan-radius
authorization portal radius-scheme xiruan-radius
accounting portal radius-scheme xiruan-radius5. 在网关接口开启 Portal 认证
进入连接终端用户(或下联汇聚/接入交换机)的 VLAN 接口,应用上述配置:
interface Vlan-interface <用户网关VLAN_ID>
portal enable method layer3 # 开启三层Portal认证
portal bas-ip <该VLANIF接口的IP> # 发送Portal报文的BAS-IP属性
portal apply web-server xiruan-web # 绑定Web服务器
portal apply server xiruan-portal # 绑定Portal认证服务器
portal domain xiruan-domain # 指定认证域三、 对接避坑与注意事项
- 获取准确参数:配置前务必向西软实施人员索要准确的 Portal URL、RADIUS 监听端口(通常为1812)、Portal 监听端口(通常为50100)以及两端的共享密钥。
- 网络可达性:确保 S7003X 能够 ping 通西软服务器的 IP,且中间的防火墙已放通 UDP 1812/1813(RADIUS)和 UDP 50100/50200(Portal)等必要端口。
- 免认证规则(Free-rule):为了防止用户在未认证时无法加载出西软的认证页面,通常需要配置免认证规则,放行到西软服务器 IP 和端口的流量:
portal free-rule 1 source any destination ip <西软Portal_IP> mask 32 portal free-rule 2 source any destination ip <西软Radius_IP> mask 32 - 关于 MAC 无感知认证:如果您后续有酒店客房“MAC 无感知二次免认证”的需求,请注意 H3C 设备的无感知机制强依赖
mac-trigger方式。请务必提前与西软确认其系统是否支持标准的mac-trigger报文交互;若不支持,则只能采用传统的 Portal 弹框认证。
一、组网与角色梳理
- 认证网关:S7003X(三层 Portal,VLANIF 做网关)
- RADIUS/Portal 服务器:西软(旁挂核心,需放通 1812/1813、80/443)
- 用户网段:如 VLAN 10,网关 10.1.10.1/24(S7003X)
- 网络连通:S7003X ↔ 西软路由可达;软路由做出口 NAT
关键协议 / 端口
- RADIUS:UDP 1812(认证)/1813(计费)
- Portal:TCP 80/443(跳转和认证)
- 西软侧需添加 S7003X 为NAS 设备,共享密钥一致
二、S7003X 配置(V5/V7 通用,只列关键)
1. 基础 + 路由(保证到西软可达)
bash
运行
vlan 10
#
interface Vlan-interface10
ip address 10.1.10.1 255.255.255.0 # 用户网关
#
# 到西软静态路由(下一跳为核心)
ip route-static 192.168.99.0 255.255.255.0 10.1.254.254
2. RADIUS 方案(对接西软)
bash
运行
radius scheme xiruan
primary authentication 192.168.99.10 1812 # 西软IP/认证端口
primary accounting 192.168.99.10 1813 # 西软IP/计费端口
key authentication simple Xiruan@123 # 和西软NAS密钥一致
key accounting simple Xiruan@123
user-name-format without-domain # 用户名不带域
server-type extended # 适配第三方RADIUS
quit
3. ISP 域(绑定 RADIUS,Portal 用)
bash
运行
domain xiruan-portal
authentication portal radius-scheme xiruan
authorization portal radius-scheme xiruan
accounting portal radius-scheme xiruan
quit
4. Portal 服务器(指向西软 Portal URL)
bash
运行
portal server xiruan-pt ip 192.168.99.10 key simple Xiruan@123 url http://192.168.99.10/portal # 西软认证页
5. 免认证规则(必配,否则西软不通)
bash
运行
# 放行西软服务器IP
portal free-rule 1 destination ip 192.168.99.10 255.255.255.255
# 放行DNS(否则弹不出页面)
portal free-rule 2 destination ip any udp 53
portal free-rule 3 destination ip any tcp 53
6. 接口下使能 Portal(用户网关 VLANIF)
bash
运行
interface Vlan-interface10
portal server xiruan-pt method layer3 # 三层Portal(跨三层也能用)
portal domain xiruan-portal
portal nas-ip 10.1.10.1 # NAS地址=网关IP
quit
7. 全局开启 Portal
bash
运行
portal enable
三、西软侧配置要点(和 S7003X 对应)
-
添加 NAS 设备
- IP:S7003X 的 VLANIF10 地址(10.1.10.1)
- 密钥:Xiruan@123(和交换机一致)
- 端口:1812/1813
- 类型:华三 / 标准 RADIUS
-
Portal 模板
- 认证 URL:
http://192.168.99.10/portal - 协议:Portal 2.0(西软默认)
- 跳转参数:
nasip=10.1.10.1&nasid=S7003X&userip=$$USER_IP$$
- 认证 URL:
-
用户 / 权限
- 建立用户组,绑定认证策略(PAP/CHAP)
- 开启计费(可选)
四、常见坑(必看)
-
页面弹不出
- 检查 S7003X 是否放通西软 IP、DNS(free-rule)
- 西软防火墙放行80/443、1812/1813
- 用户网关 DNS 配置正确
-
能跳转但认证失败
- 密钥不一致(最常见)
- NAS IP 填错(必须是 S7003X 的网关 IP)
- 用户名格式:交换机配
without-domain,西软不要带域
-
认证后无法上网
- S7003X 默认路由指向软路由
- 软路由回包路由到 S7003X 用户网段
-
西软日志报 “NAS 无响应”
- 交换机
radius scheme里的 IP / 端口是否正确 - 网络连通性:S7003X ping 西软 IP 正常
- 交换机
五、完整验证步骤
- 用户获取 10.1.10.0/24 地址,网关 / DNS 正确
- 访问任意 HTTP 网站,自动跳转到西软 Portal 页
- 输入西软账号密码,认证成功后正常上网
- 西软后台能看到在线用户、计费日志
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
主要是西软他们那边好像没做过radius