• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

无线(WLAN)跨互联网场景本地转发

2021-08-12发布
  • 0关注
粉丝:0人 关注:0人

场景:(总部AC+分公司AP场景+本地转发+Portal认证)

存在影响:(无线Portal逃生影响,分公司审计影响)

组网拓扑:

基本原理:

AC给AP下发MAP文件中对于AP的上行口开启NAT,并下发集中转发策略,NAT的作用给用户访问分部资源与互联网资源,集中转发策略给无线用户访问总部资源时匹配集中转发策略实现双网关转发场景。

AC配置:

(创建总部资源)

acl advanced 3001

rule 1 permit udp source-port eq bootpc

rule 2 permit udp destination-port eq bootps

rule 5 permit udp source-port eq dns

rule 6 permit udp destination-port eq dns

rule 100 permit ip destination 10.0.0.0 0.255.255.255

rule 101 permit ip destination 192.168.0.0 0.0.255.255

#

wlan forwarding-policy test

client behavior-local network-flow-forwarding enable //开启本地转发模式下的外网流量转发功能

classifier acl 3001 behavior remote //调用总部资源匹配集中转发策略

#

radius scheme portal

primary authentication 192.168.x.x

primary accounting 192.168.x.x

key authentication cipher $c$3$Nm3UeBXZs/yUB64YL4pXGehCRz6O/Q==

key accounting cipher $c$3$L3nrrIMzn5kZO4t7ma7oOdrPPdeG3w==

user-name-format without-domain

nas-ip 192.168.x.x

#

domain portal

authentication portal radius-scheme portal

authorization portal radius-scheme portal

accounting portal radius-scheme portal

#

portal server portal ip 192.168.x.x key cipher $c$3$FAiPyGAFJntgua/903+KwgTSfuhcrw==

server-detect timeout 30 log trap

#

portal web-server portal

url http://192.168.x.x:8080/portal

server-detect retry 2 log trap

url-parameter apmac ap-mac

url-parameter ssid ssid

url-parameter userip source-address

url-parameter usermac source-mac

url-parameter userurl original-url

#

portal mac-trigger-server mst

ip 192.168.0.250

#


#

portal host-check enable

portal free-rule 5 destination ip 192.168.x.x 255.255.255.255 //IMC资源

portal free-rule 10 destination ip 192.168.x.x 255.255.255.255 //总部DNS注意如果总部没有DNS则填写分公司或互联网DNS

#

wlan service-template 10

ssid h3c

client forwarding-location ap //修改转发模式为本地转发模式

client forwarding-policy-name test //调用无线转发策略

client forwarding-policy enable //开启无线转发策略

portal enable method direct

portal domain portal

portal bas-ip 192.168.x.x

portal apply web-server portal

portal apply mac-trigger-server mst

portal fail-permit web-server

service-template enable

(完)

存在影响解释:

无线Portal逃生影响:Portal逃生是Portal接入设备定时探测Portal服务器是否可达判断Portal逃生是否触发,由于本地转发跨公网情况下无线用户的Portal认证需要绑定在AC的服务模板中下发给AP,所以这里的Portal接入设备是无线AP,跨互联网情况下AP无法对Portal服务器的8080端口进行探测。该环境是替换无线使用IPsec vpn/SSL VPN场景无线AP注册的替换方案,所以除非将AC的8080端口映射到互联网,否则AP无法探测到Portal服务器的8080端口则Portal逃生实时触发。

分公司审计影响:双网关的原理是将用户通过AP的NAT进行本地转发且无线用户地址不会与其它区域的无线用户地址冲突,但是因为该原因,本地存在审计设备时,审计到用户行为异常所存在的源IP则是AP的IP地址,因为AP进行过NAT转换,所有用户的源都会变成AP的出口IP地址

0个回复

该话题暂时没有网友回复过

回复

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作