45-H3C WX系列来宾用户访问管理Portal典型配置举例

摘要：本文介绍了用H3C公司WX系列AC部署基于用户访问管理的解决方案时必需的配置。缩略语：

缩略语英文全名中文解释AC Access

Control 无线控制器

AP Access

Ponit 无线接入点

ESS Extended Service Set 扩展服务集

WLAN Wireless Local Area Network 无线局域网

SSID Service Set Identifier 服务集识别码

TKIP Temporal Key Integrity Protocol 临时密钥完整性协议

EAP Extensible Authentication Protocol 可扩展认证协议

RADIUS Remote Authentication Dial-In User

Service

远程认证拨号用户服务

GAM Guest Access Management 来宾用户访问管理目录

1 特性简介 (1)

1.1 特性介绍 (1)

1.2 特性优点 (1)

2 应用场合 (1)

3 注意事项 (1)

4 配置举例 (1)

4.1 组网需求 (1)

4.2 配置思路 (2)

4.3 使用版本 (2)

4.4 配置步骤 (2)

4.4.1 配置信息 (2)

4.4.2 AC原有配置 (5)

4.4.3 主要配置步骤（命令行方式） (7)

4.4.4 主要配置步骤（WEB方式） (7)

4.5 注意事项 (12)

5 配置举例 (12)

5.1 组网需求 (12)

5.2 配置思路 (12)

5.3 使用版本 (12)

5.4 配置步骤 (13)

5.4.1 配置信息 (13)

5.4.2 AC原有配置 (16)

5.4.3 主要配置步骤（命令行方式） (18)

5.5 注意事项 (21)

6 相关资料 (21)

6.1 相关协议和标准 (21)

6.2 其它相关资料 (22)1 特性简介

1.1 特性介绍

基于portal用户下发ACL的方式，实现对不同无线用户在无线接入网络中的访问权限控制，确保guest client只能访问特定授权的网页，保护公司信息安全。

1.2 特性优点

同过本设置，可以控制guest用户的访问权限。当一个外部来宾来到公司，可以通过无线网络访问公司的一些对外资源，但是涉及公司内部的网站事禁止访问的。

2 应用场合

有外部来宾来到公司使用无线网络可以访问公司的部分资源的情况。

3 注意事项

ACL规则配置正确。

4 配置举例

4.1 组网需求

本配置举例中的AC使用的是WX5004设备，IP地址为85.3.1.220/24。Client和AP通过DHCP 服务器获取IP地址

配置采用本地Portal方式。

图4-1基于来宾用户访问管理Portal组网图（本地方式）

4.2 配置思路

创建ACL并与通过Portal方式上线的guest用户绑定。

4.3 使用版本

[AC]display version

H3C Comware Platform Software

Comware Software, Version 5.20, Release 2102

Copyright (c) 2004-2009 Hangzhou H3C Tech. Co., Ltd. All rights reserved.

H3C WX5004 uptime is 0 week, 0 day, 3 hours, 31 minutes

H3C WX5004 with 1 RMI XLR 716 800MHz Processor

1024M bytes DDR2

4M bytes Flash Memory

Config Register points to FLASH

259M bytes CFCard Memory

Hardware Version is Ver.B

CPLD Version is 005

Basic Bootrom Version is 1.03

Extend Bootrom Version is 1.03

[Subslot 0]WX5004 Hardware Version is Ver.B

4.4 配置步骤

4.4.1 配置信息

# 服务模板下采用开放认证方式，该配置是缺省配置

display current-configuration

#

version 5.20, Release 2102

#sysname AC

#

domain default enable system

#

telnet server enable

#

port-security enable

#

portal server ptl ip 85.3.1.220

portal free-rule 1 source ip 85.3.1.254 mask 255.255.255.255 destination any portal local-server http

#

acl number 3000

rule 10 permit ip destination 85.3.1.254 0

#

vlan 1

#

domain system

access-limit disable

state active

idle-cut disable

self-service-url disable

#

user-group system

#

local-user admin

password simple admin

authorization-attribute level 3

service-type telnet

local-user guest

password simple guest

authorization-attribute acl 3000

service-type lan-access

service-type portal

expiration-date 00:00:00-2010/01/31

local-user staff

password simple 123

service-type lan-access

service-type portal

#

wlan rrm

dot11a mandatory-rate 6 12 24

dot11a supported-rate 9 18 36 48 54

dot11b mandatory-rate 1 2

dot11b supported-rate 5.5 11

dot11g mandatory-rate 1 2 5.5 11

dot11g supported-rate 6 9 12 18 24 36 48 54

#wlan service-template 1 clear

ssid company

bind WLAN-ESS 0

service-template enable

#

interface NULL0

#

interface Vlan-interface1

ip address 85.3.1.220 255.255.255.0

portal server ptl method direct

portal domain system

#

interface GigabitEthernet1/0/1

#

interface GigabitEthernet1/0/2

#

interface GigabitEthernet1/0/3

#

interface GigabitEthernet1/0/4

#

interface M-Ethernet1/0/0

#

interface Ten-GigabitEthernet1/0/5

#

interface Ten-GigabitEthernet1/0/6

#

interface WLAN-ESS0

port link-type hybrid

port hybrid vlan 1 untagged

#

wlan ap 2600 model WA2620E-AGN

serial-id h3c004

radio 1

channel auto

max-power 19

radio 2

channel auto

max-power 20

service-template 1

radio enable

#

snmp-agent

snmp-agent local-engineid 800063A203000FE207F2E0 snmp-agent sys-info version v3

#

load xml-configuration

#

user-interface con 0

user-interface vty 0 4

authentication-mode scheme

user privilege level 3

#

return

4.4.2 AC原有配置

采用本地Portal方式，内部员工可以通过staff用户登录，并访问全部内息。

[AC]display current-configuration

#

version 5.20, Release 2102

#

sysname AC

#

domain default enable system

#

telnet server enable

#

port-security enable

#

portal server ptl ip 85.3.1.220

portal free-rule 1 source ip 85.3.1.254 mask 255.255.255.255 destination any portal local-server http

#

vlan 1

#

domain system

access-limit disable

state active

idle-cut disable

self-service-url disable

#

user-group system

#

local-user admin

password simple admin

authorization-attribute level 3

service-type telnet

local-user staff

password simple 123

service-type lan-access

service-type portal

#

wlan rrm

dot11a mandatory-rate 6 12 24

dot11a supported-rate 9 18 36 48 54

dot11b mandatory-rate 1 2

dot11b supported-rate 5.5 11dot11g mandatory-rate 1 2 5.5 11

dot11g supported-rate 6 9 12 18 24 36 48 54

#

wlan service-template 1 clear

ssid company

bind WLAN-ESS 0

service-template enable

#

interface NULL0

#

interface Vlan-interface1

ip address 85.3.1.220 255.255.255.0

portal server ptl method direct

portal domain system

#

interface GigabitEthernet1/0/1

#

interface GigabitEthernet1/0/2

#

interface GigabitEthernet1/0/3

#

interface GigabitEthernet1/0/4

#

interface M-Ethernet1/0/0

#

interface Ten-GigabitEthernet1/0/5

#

interface Ten-GigabitEthernet1/0/6

#

interface WLAN-ESS0

port link-type hybrid

port hybrid vlan 1 untagged

#

wlan ap 2600 model WA2620E-AGN

serial-id h3c004

radio 1

channel auto

max-power 19

radio 2

channel auto

max-power 20

service-template 1

radio enable

#

snmp-agent

snmp-agent local-engineid 800063A203000FE207F2E0 snmp-agent sys-info version v3

#load xml-configuration

#

user-interface con 0

user-interface vty 0 4

authentication-mode scheme

user privilege level 3

#

return

[AC]

4.4.3 主要配置步骤（命令行方式）

# 创建ACL 3000，并添加许可来宾账户guest访问的网页IP地址。

[AC]acl number 3000

[AC-acl-adv-3000] rule 10 permit ip destination 85.3.1.254 0

# 创建来宾账户guest，设置guest的密码为明文显示密码guest，并指定来宾账户可以使用Lan-access和Portal服务，有效期截止到2010/01/31的00:00:00。

[AC]local-user guest

[AC-luser-guest] password simple guest

[AC-luser-guest] service-type lan-access

[AC-luser-guest] service-type portal

[AC-luser-guest] expiration-date 00:00:00-2010/01/31

#设置来宾账户guest的授权ACL。

[AC-luser-guest] authorization-attribute acl 3000

4.4.4 主要配置步骤（WEB方式）

(1) 在导航栏中选择“QoS >ACL IPv4”，选择“创建”页签，进入如所图4-2示创建ACL页面。

(2) 在“访问控制列表ID”中输入“3000”并回车，如图4-3所示完成ALC3000的创建。

图4-2创建ACL

图4-3ACL 3000创建成功

(3) 选择“高级配置”页签，按照图4-4中红框所示添加许可来宾guest用户访问的网页IP地址相

关配置，单击页面下方的<添加>按钮，完成IP地址的添加。

图4-4添加guest用户的访问网页IP地址

1. 创建guest用户

(1) 在导航栏中选择“认证>用户”，选择“来宾用户”页签，单击<新建>按钮，进入如所图4-5

示创建来宾用户guest页面。按照图4-5中红框所示提添加用户名、用户密码和过期时间，单击<确定>按钮，完成创建。

图4-5创建来宾用户guest

(2) 在“本地用户”页签中找到guest用户，如图4-6所示，单击图中的图标，进入本地用户修

改页面。

图4-6本地用户中的guest用户

(3) 在“本地用户”修改页面中的授权ACL项中输入3000，单击<确定>按钮，完成ALC3000与

guest用户的绑定。

图4-7设置来宾账户guest的授权ACL

2. 验证结果

(1) 使用命令行display connection查看是否有用户在线。

display connection

Index=0 ,Username=admin@system

IP=85.3.1.113

Index=9 ,Username=guest@system

MAC=0014-6c4e-a3ad ,IP=85.3.1.8

Total 2 connection(s) matched.

(2) 通过命令行display connection ucibindex查看用户的较详细信息。

display connection ucibindex 9

Index=9 , Username=guest@system

MAC=0014-6c4e-a3ad

IP=85.3.1.8

Access=PORTAL ,AuthMethod=PAP

Port Type=Wireless-802.11,Port Name=N/A

Initial VLAN=1, Authorization VLAN=N/A

ACL Group=3000

User Profile=N/A

CAR=Disable

Priority=Disable

Start=2009-04-01 17:38:22 ,Current=2009-04-02 09:20:33 ,Online=15h42m10s Total 1 connection matched.4.5 注意事项

无

5 配置举例

5.1 组网需求

本配置举例中的AC使用的是WX5004设备，IP地址为85.3.1.220/24。Client和AP通过DHCP 服务器获取IP地址

配置采用远端Portal方式。

图5-1基于来宾用户访问管理Portal组网图（远端方式）

5.2 配置思路

创建ACL并与通过Portal方式上线的guest用户绑定。

5.3 使用版本

# AC的版本信息

[AC]display version

AC Comware Platform Software

Comware Software, Version 5.20, Release 2102

Copyright (c) 2004-2009 Hangzhou H3C Tech. Co., Ltd. All rights reserved.

H3C WX5004 uptime is 0 week, 0 day, 3 hours, 31 minutes

H3C WX5004 with 1 RMI XLR 716 800MHz Processor

1024M bytes DDR24M bytes Flash Memory

Config Register points to FLASH

259M bytes CFCard Memory

Hardware Version is Ver.B

CPLD Version is 005

Basic Bootrom Version is 1.03

Extend Bootrom Version is 1.03

[Subslot 0]WX5004 Hardware Version is Ver.B

# IMC网管的版本信息

图5-2网管的版本信息截图

5.4 配置步骤

5.4.1 配置信息

# 服务模板下采用开放认证方式，该配置是缺省配置

#

version 5.20, Release 2102

#

sysname AC

#

domain default enable system

#

telnet server enable

#

port-security enable

#dot1x authentication-method eap

#

portal server h3cptl ip 162.105.34.22 key portal url http://162.105.34.21:8080/portal portal free-rule 0 source ip 85.3.1.212 mask 255.255.255.255 destination any

portal free-rule 1 source ip 85.3.1.254 mask 255.255.255.255 destination any

portal free-rule 2 source ip 162.105.34.0 mask 255.255.255.0 destination any

#

acl number 3000

rule 10 permit ip destination 85.3.1.254 0

#

vlan 1

#

vlan 3000

#

radius scheme system

server-type extended

primary authentication 162.105.34.21

primary accounting 162.105.34.21

key authentication 12345678

key accounting 12345678

user-name-format without-domain

nas-ip 85.3.1.220

accounting-on enable

#

domain system

authentication portal radius-scheme system

authorization portal radius-scheme system

accounting portal radius-scheme system

access-limit disable

state active

idle-cut disable

self-service-url disable

#

user-group system

#

local-user admin

password simple admin

authorization-attribute level 3

service-type telnet

#

wlan rrm

dot11a mandatory-rate 6 12 24

dot11a supported-rate 9 18 36 48 54

dot11b mandatory-rate 1 2

dot11b supported-rate 5.5 11

dot11g mandatory-rate 1 2 5.5 11

dot11g supported-rate 6 9 12 18 24 36 48 54

#wlan service-template 1 clear

ssid company

bind WLAN-ESS 0

service-template enable

#

interface NULL0

#

interface Vlan-interface1

ip address 85.3.1.220 255.255.255.0

portal server h3cptl method direct

#

interface GigabitEthernet1/0/1

#

interface GigabitEthernet1/0/2

#

interface GigabitEthernet1/0/3

#

interface GigabitEthernet1/0/4

#

interface M-Ethernet1/0/0

#

interface Ten-GigabitEthernet1/0/5

#

interface Ten-GigabitEthernet1/0/6

#

interface WLAN-ESS0

#

wlan ap 2200 model WA2220E-AG

serial-id 210235A22W0075000123

radio 1

channel auto

max-power 19

radio 2

channel auto

max-power 20

service-template 1

radio enable

#

ip route-static 162.105.34.0 255.255.255.0 85.3.1.254 #

snmp-agent

snmp-agent local-engineid 800063A203000FE207F2E0

snmp-agent sys-info version v3

#

load xml-configuration

#

user-interface con 0

user-interface vty 0 4authentication-mode scheme

user privilege level 3

#

return

5.4.2 AC原有配置

# 采用远端Portal方式，内部员工可以通过staff用户登录，并访问全部内息

display current-configuration

#

version 5.20, Release 2102

#

sysname AC

#

domain default enable system

#

telnet server enable

#

port-security enable

#

dot1x authentication-method eap

#

portal server h3cptl ip 162.105.34.21 key portal url http://162.105.34.21:8080/ portal

portal free-rule 0 source ip 85.3.1.212 mask 255.255.255.255 destination any

portal free-rule 1 source ip 85.3.1.254 mask 255.255.255.255 destination any

portal free-rule 2 source ip 162.105.34.0 mask 255.255.255.0 destination any

#

vlan 1

#

radius scheme system

server-type extended

primary authentication 162.105.34.21

primary accounting 162.105.34.21

key authentication 12345678

key accounting 12345678

user-name-format without-domain

nas-ip 85.3.1.220

accounting-on enable

#

domain system

authentication portal radius-scheme system

authorization portal radius-scheme system

accounting portal radius-scheme system

access-limit disable

state active

idle-cut disable

self-service-url disable

#

user-group system

#

local-user admin

password simple admin

authorization-attribute level 3

service-type telnet

#

wlan rrm

dot11a mandatory-rate 6 12 24

dot11a supported-rate 9 18 36 48 54

dot11b mandatory-rate 1 2

dot11b supported-rate 5.5 11

dot11g mandatory-rate 1 2 5.5 11

dot11g supported-rate 6 9 12 18 24 36 48 54 #

wlan service-template 1 clear

ssid company

bind WLAN-ESS 0

service-template enable

#

interface NULL0

#

interface Vlan-interface1

ip address 85.3.1.220 255.255.255.0

portal server h3cptl method direct

#

interface GigabitEthernet1/0/1

#

interface GigabitEthernet1/0/2

#

interface GigabitEthernet1/0/3

#

interface GigabitEthernet1/0/4

#

interface M-Ethernet1/0/0

#

interface Ten-GigabitEthernet1/0/5

#

interface Ten-GigabitEthernet1/0/6

#

interface WLAN-ESS0

#

wlan ap 2200 model WA2220E-AG

serial-id 210235A22W0075000123

radio 1

channel auto

max-power 19

radio 2channel auto

max-power 20

service-template 1

radio enable

#

ip route-static 162.105.34.0 255.255.255.0 85.3.1.254

#

snmp-agent

snmp-agent local-engineid 800063A203000FE207F2E0

snmp-agent sys-info version v3

#

load xml-configuration

#

user-interface con 0

user-interface vty 0 4

authentication-mode scheme

user privilege level 3

#

return

5.4.3 主要配置步骤（命令行方式）

1. 创建ACL 3000，并添加许可来宾账户guest访问的网页IP地址。（可通过命令行或者WEB的方式，具体步骤上面介绍过）。

[AC]acl number 3000

[AC-acl-adv-3000] rule 10 permit ip destination 85.3.1.254 0

2. 在IMC服务器上创建guest用户，并下发ACL3000。

# 从<本地用户>页面找到guest用户，并进入配置页面，将acl与guest用户绑定。

(1) 创建guest用户服务配置

# 在导航栏中选择“业务->接入业务->服务配置管理”，点击<增加>按钮。

图5-3创建接入服务配置业务

# 按照下图红框中所示选择用户认证方式和下发ACL，注意认证方式为不启用认证。

图5-4创建接入服务配置业务的详细信息

(2) 将创建的guest用户并与“服务配置”绑定

# 在导航栏中选择“用户->所有接入用户”，点击<增加>按钮，弹出如图5-6所示页面。

图5-5创建guest用户

# 点击<增加用户>按钮，弹出如图5-7所示页面，填写用户名，证件号码和用户分组信息，单击<确认>按钮，完成guest用户的创建。

图5-6增加用户页面

图5-7填写增加用户的详细信息

图5-8完成guest用户创建

3. 验证结果

(1) 使用命令行display connection查看是否有用户在线。[AC]display connection

Index=38 ,Username=guest@systemMAC=0014-6c4e-a3ad ,IP=85.3.1.8

Total 1 connection(s) matched.

(2) 通过命令行display connection ucibindex查看用户的较详细信息。

[AC]display connection ucibindex 38

Index=38 , Username=guest@system

MAC=0014-6c4e-a3ad

IP=85.3.1.8

Access=PORTAL ,AuthMethod=CHAP

Port Type=Wireless-802.11,Port Name=N/A

Initial VLAN=1, Authorization VLAN=N/A

ACL Group=3000

User Profile=N/A

CAR=Disable

Priority=Disable

Start=2009-04-03 15:02:23 ,Current=2009-04-03 15:06:33 ,Online=00h04m09s Total 1 connection matched.

(3) 通过IMC查看用户详细信息。

# 导航栏中选择“用户->所有在线用户”，查看当前在线用户的详细信息。

5.5 注意事项

无

6 相关资料

6.1 相关协议和标准

无6.2 其它相关资料

z《H3C WX系列无线控制产品用户手册》“安全分册”中的“Portal配置”和“AAA配置”。

z《H3C WX系列无线控制产品用户手册》“安全分册”中的“Portal命令”和“AAA命令”。

z《H3C WX系列无线控制产品用户手册》“系统分册”中的“ACL配置”和“ACL命令”。