45-H3C WX系列来宾用户访问管理Portal典型配置举例

2023年12月12日发(作者：双11是什么节日)

-

H3C WX系列来宾用户访问管理Portal典型配置举例

关键词：GAM

摘 要：本文介绍了用H3C公司WX系列AC部署基于用户访问管理的解决方案时必需的配置。

缩略语：

缩略语 英文全名

无线控制器

无线接入点

扩展服务集

无线局域网

服务集识别码

临时密钥完整性协议

可扩展认证协议

远程认证拨号用户服务

来宾用户访问管理

中文解释

AC Access Control

AP Access Ponit

ESS

WLAN

SSID

TKIP

EAP

RADIUS

GAM

Extended Service Set

Wireless Local Area Network

Service Set Identifier

Temporal Key Integrity Protocol

Extensible Authentication Protocol

Remote Authentication Dial-In Ur

Service

Guest Access Management

i 目 录

1 特性简介..............................................................................................................................................1

1.1 特性介绍..............................................................................................................................................1

1.2 特性优点..............................................................................................................................................1

2 应用场合..............................................................................................................................................1

3 注意事项..............................................................................................................................................1

4 配置举例..............................................................................................................................................1

4.1 组网需求..............................................................................................................................................1

4.2 配置思路..............................................................................................................................................2

4.3 使用版本..............................................................................................................................................2

4.4 配置步骤..............................................................................................................................................2

4.4.1 配置信息...................................................................................................................................2

4.4.2 AC原有配置...............................................................................................................................5

4.4.3 主要配置步骤（命令行方式）...................................................................................................7

4.4.4 主要配置步骤（WEB方式）.....................................................................................................7

4.5 注意事项............................................................................................................................................12

5 配置举例............................................................................................................................................12

5.1 组网需求............................................................................................................................................12

5.2 配置思路............................................................................................................................................12

5.3 使用版本............................................................................................................................................12

5.4 配置步骤............................................................................................................................................13

5.4.1 配置信息.................................................................................................................................13

5.4.2 AC原有配置.............................................................................................................................16

5.4.3 主要配置步骤（命令行方式）.................................................................................................18

5.5 注意事项............................................................................................................................................21

6 相关资料............................................................................................................................................21

6.1 相关协议和标准.................................................................................................................................21

6.2 其它相关资料.....................................................................................................................................22

ii 1

特性简介

1.1

特性介绍

基于portal用户下发ACL的方式，实现对不同无线用户在无线接入网络中的访问权限控制，确保guest client只能访问特定授权的网页，保护公司信息安全。

1.2

特性优点

同过本设置，可以控制guest用户的访问权限。当一个外部来宾来到公司，可以通过无线网络访问公司的一些对外资源，但是涉及公司内部的网站事禁止访问的。

2

应用场合

有外部来宾来到公司使用无线网络可以访问公司的部分资源的情况。

3

注意事项

ACL规则配置正确。

4

配置举例

4.1

组网需求

本配置举例中的AC使用的是WX5004设备，IP地址为85.3.1.220/24。Client和AP通过DHCP服务器获取IP地址

配置采用本地Portal方式。

1 图4-1 基于来宾用户访问管理Portal组网图（本地方式）

InternetDHCP rver10.18.1.254/24SwitchAC

85.3.1.220/24ClientAP

4.2

配置思路

创建ACL并与通过Portal方式上线的guest用户绑定。

4.3

使用版本

[AC]display version

H3C Comware Platform Software

Comware Software, Version 5.20, Relea 2102

Copyright (c) 2004-2009 Hangzhou H3C Tech. Co., Ltd. All rights rerved.

H3C WX5004 uptime is 0 week, 0 day, 3 hours, 31 minutes

H3C WX5004 with 1 RMI XLR 716 800MHz Processor

1024M bytes DDR2

4M bytes Flash Memory

Config Register points to FLASH

259M bytes CFCard Memory

Hardware Version is Ver.B

CPLD Version is 005

Basic Bootrom Version is 1.03

Extend Bootrom Version is 1.03

[Subslot 0]WX5004 Hardware Version is Ver.B

4.4

配置步骤

4.4.1 配置信息

# 服务模板下采用开放认证方式，该配置是缺省配置

display current-configuration

#

version 5.20, Relea 2102

#

2 sysname AC

#

domain default enable system

#

telnet rver enable

#

port-curity enable

#

portal rver ptl ip 85.3.1.220

portal free-rule 1 source ip 85.3.1.254 mask 255.255.255.255 destination any

portal local-rver http

#

acl number 3000

rule 10 permit ip destination 85.3.1.254 0

#

vlan 1

#

domain system

access-limit disable

state active

idle-cut disable

lf-rvice-url disable

#

ur-group system

#

local-ur admin

password simple admin

authorization-attribute level 3

rvice-type telnet

local-ur guest

password simple guest

authorization-attribute acl 3000

rvice-type lan-access

rvice-type portal

expiration-date 00:00:00-2010/01/31

local-ur staff

password simple 123

rvice-type lan-access

rvice-type portal

#

wlan rrm

dot11a mandatory-rate 6 12 24

dot11a supported-rate 9 18 36 48 54

dot11b mandatory-rate 1 2

dot11b supported-rate 5.5 11

dot11g mandatory-rate 1 2 5.5 11

dot11g supported-rate 6 9 12 18 24 36 48 54

#

3 wlan rvice-template 1 clear

ssid company

bind WLAN-ESS 0

rvice-template enable

#

interface NULL0

#

interface Vlan-interface1

ip address 85.3.1.220 255.255.255.0

portal rver ptl method direct

portal domain system

#

interface GigabitEthernet1/0/1

#

interface GigabitEthernet1/0/2

#

interface GigabitEthernet1/0/3

#

interface GigabitEthernet1/0/4

#

interface M-Ethernet1/0/0

#

interface Ten-GigabitEthernet1/0/5

#

interface Ten-GigabitEthernet1/0/6

#

interface WLAN-ESS0

port link-type hybrid

port hybrid vlan 1 untagged

#

wlan ap 2600 model WA2620E-AGN

rial-id h3c004

radio 1

channel auto

max-power 19

radio 2

channel auto

max-power 20

rvice-template 1

radio enable

#

snmp-agent

snmp-agent local-engineid 800063A203000FE207F2E0

snmp-agent sys-info version v3

#

load xml-configuration

#

ur-interface con 0

4 ur-interface vty 0 4

authentication-mode scheme

ur privilege level 3

#

return

4.4.2 AC原有配置

采用本地Portal方式，内部员工可以通过staff用户登录，并访问全部内网信息。

[AC]display current-configuration

#

version 5.20, Relea 2102

#

sysname AC

#

domain default enable system

#

telnet rver enable

#

port-curity enable

#

portal rver ptl ip 85.3.1.220

portal free-rule 1 source ip 85.3.1.254 mask 255.255.255.255 destination any

portal local-rver http

#

vlan 1

#

domain system

access-limit disable

state active

idle-cut disable

lf-rvice-url disable

#

ur-group system

#

local-ur admin

password simple admin

authorization-attribute level 3

rvice-type telnet

local-ur staff

password simple 123

rvice-type lan-access

rvice-type portal

#

wlan rrm

dot11a mandatory-rate 6 12 24

dot11a supported-rate 9 18 36 48 54

dot11b mandatory-rate 1 2

dot11b supported-rate 5.5 11

5 dot11g mandatory-rate 1 2 5.5 11

dot11g supported-rate 6 9 12 18 24 36 48 54

#

wlan rvice-template 1 clear

ssid company

bind WLAN-ESS 0

rvice-template enable

#

interface NULL0

#

interface Vlan-interface1

ip address 85.3.1.220 255.255.255.0

portal rver ptl method direct

portal domain system

#

interface GigabitEthernet1/0/1

#

interface GigabitEthernet1/0/2

#

interface GigabitEthernet1/0/3

#

interface GigabitEthernet1/0/4

#

interface M-Ethernet1/0/0

#

interface Ten-GigabitEthernet1/0/5

#

interface Ten-GigabitEthernet1/0/6

#

interface WLAN-ESS0

port link-type hybrid

port hybrid vlan 1 untagged

#

wlan ap 2600 model WA2620E-AGN

rial-id h3c004

radio 1

channel auto

max-power 19

radio 2

channel auto

max-power 20

rvice-template 1

radio enable

#

snmp-agent

snmp-agent local-engineid 800063A203000FE207F2E0

snmp-agent sys-info version v3

#

6 load xml-configuration

#

ur-interface con 0

ur-interface vty 0 4

authentication-mode scheme

ur privilege level 3

#

return

[AC]

4.4.3 主要配置步骤（命令行方式）

# 创建ACL 3000，并添加许可来宾账户guest访问的网页IP地址。

[AC]acl number 3000

[AC-acl-adv-3000] rule 10 permit ip destination 85.3.1.254 0

# 创建来宾账户guest，设置guest的密码为明文显示密码guest，并指定来宾账户可以使用Lan-access和Portal服务，有效期截止到2010/01/31的00:00:00。

[AC]local-ur guest

[AC-lur-guest] password simple guest

[AC-lur-guest] rvice-type lan-access

[AC-lur-guest] rvice-type portal

[AC-lur-guest] expiration-date 00:00:00-2010/01/31

#设置来宾账户guest的授权ACL。

[AC-lur-guest] authorization-attribute acl 3000

4.4.4 主要配置步骤（WEB方式）

(1) 在导航栏中选择“QoS >ACL IPv4”，选择“创建”页签，进入如所图4-2示创建ACL页面。

(2) 在“访问控制列表ID”中输入“3000”并回车，如图4-3所示完成ALC3000的创建。

7 图4-2 创建ACL

图4-3 ACL 3000创建成功

(3) 选择“高级配置”页签，按照图4-4中红框所示添加许可来宾guest用户访问的网页IP地址相关配置，单击页面下方的<添加>按钮，完成IP地址的添加。

8 图4-4 添加guest用户的访问网页IP地址

1. 创建guest用户

(1) 在导航栏中选择“认证>用户”，选择“来宾用户”页签，单击<新建>按钮，进入如所图4-5示创建来宾用户guest页面。按照图4-5中红框所示提添加用户名、用户密码和过期时间，单击<确定>按钮，完成创建。

9 图4-5 创建来宾用户guest

(2) 在“本地用户”页签中找到guest用户，如图4-6所示，单击图中的改页面。

图4-6 本地用户中的guest用户

图标，进入本地用户修

(3) 在“本地用户”修改页面中的授权ACL项中输入3000，单击<确定>按钮，完成ALC3000与guest用户的绑定。

10 图4-7 设置来宾账户guest的授权ACL

2. 验证结果

(1) 使用命令行display connection查看是否有用户在线。

display connection

Index=0 ,Urname=admin@system

IP=85.3.1.113

Index=9 ,Urname=guest@system

MAC=0014-6c4e-a3ad ,IP=85.3.1.8

Total 2 connection(s) matched.

(2) 通过命令行display connection ucibindex查看用户的较详细信息。

display connection ucibindex 9

Index=9 , Urname=guest@system

MAC=0014-6c4e-a3ad

IP=85.3.1.8

Access=PORTAL ,AuthMethod=PAP

Port Type=Wireless-802.11,Port Name=N/A

Initial VLAN=1, Authorization VLAN=N/A

ACL Group=3000

Ur Profile=N/A

CAR=Disable

Priority=Disable

Start=2009-04-01 17:38:22 ,Current=2009-04-02 09:20:33 ,Online=15h42m10s

Total 1 connection matched.

11 4.5

注意事项

无

5

配置举例

5.1

组网需求

本配置举例中的AC使用的是WX5004设备，IP地址为85.3.1.220/24。Client和AP通过DHCP服务器获取IP地址

配置采用远端Portal方式。

图5-1 基于来宾用户访问管理Portal组网图（远端方式）

5.2

配置思路

创建ACL并与通过Portal方式上线的guest用户绑定。

5.3

使用版本

# AC的版本信息

[AC]display version

AC Comware Platform Software

Comware Software, Version 5.20, Relea 2102

Copyright (c) 2004-2009 Hangzhou H3C Tech. Co., Ltd. All rights rerved.

H3C WX5004 uptime is 0 week, 0 day, 3 hours, 31 minutes

H3C WX5004 with 1 RMI XLR 716 800MHz Processor

1024M bytes DDR2

12 4M bytes Flash Memory

Config Register points to FLASH

259M bytes CFCard Memory

Hardware Version is Ver.B

CPLD Version is 005

Basic Bootrom Version is 1.03

Extend Bootrom Version is 1.03

[Subslot 0]WX5004 Hardware Version is Ver.B

# IMC网管的版本信息

图5-2 网管的版本信息截图

5.4

配置步骤

5.4.1 配置信息

# 服务模板下采用开放认证方式，该配置是缺省配置

#

version 5.20, Relea 2102

#

sysname AC

#

domain default enable system

#

telnet rver enable

#

port-curity enable

#

13 dot1x authentication-method eap

#

portal rver h3cptl ip 162.105.34.22 key portal url 162.105.34.21:8080/portal

portal free-rule 0 source ip 85.3.1.212 mask 255.255.255.255 destination any

portal free-rule 1 source ip 85.3.1.254 mask 255.255.255.255 destination any

portal free-rule 2 source ip 162.105.34.0 mask 255.255.255.0 destination any

#

acl number 3000

rule 10 permit ip destination 85.3.1.254 0

#

vlan 1

#

vlan 3000

#

radius scheme system

rver-type extended

primary authentication 162.105.34.21

primary accounting 162.105.34.21

key authentication 12345678

key accounting 12345678

ur-name-format without-domain

nas-ip 85.3.1.220

accounting-on enable

#

domain system

authentication portal radius-scheme system

authorization portal radius-scheme system

accounting portal radius-scheme system

access-limit disable

state active

idle-cut disable

lf-rvice-url disable

#

ur-group system

#

local-ur admin

password simple admin

authorization-attribute level 3

rvice-type telnet

#

wlan rrm

dot11a mandatory-rate 6 12 24

dot11a supported-rate 9 18 36 48 54

dot11b mandatory-rate 1 2

dot11b supported-rate 5.5 11

dot11g mandatory-rate 1 2 5.5 11

dot11g supported-rate 6 9 12 18 24 36 48 54

#

14 wlan rvice-template 1 clear

ssid company

bind WLAN-ESS 0

rvice-template enable

#

interface NULL0

#

interface Vlan-interface1

ip address 85.3.1.220 255.255.255.0

portal rver h3cptl method direct

#

interface GigabitEthernet1/0/1

#

interface GigabitEthernet1/0/2

#

interface GigabitEthernet1/0/3

#

interface GigabitEthernet1/0/4

#

interface M-Ethernet1/0/0

#

interface Ten-GigabitEthernet1/0/5

#

interface Ten-GigabitEthernet1/0/6

#

interface WLAN-ESS0

#

wlan ap 2200 model WA2220E-AG

rial-id 210235A22W

radio 1

channel auto

max-power 19

radio 2

channel auto

max-power 20

rvice-template 1

radio enable

#

ip route-static 162.105.34.0 255.255.255.0 85.3.1.254

#

snmp-agent

snmp-agent local-engineid 800063A203000FE207F2E0

snmp-agent sys-info version v3

#

load xml-configuration

#

ur-interface con 0

ur-interface vty 0 4

15 authentication-mode scheme

ur privilege level 3

#

return

5.4.2 AC原有配置

# 采用远端Portal方式，内部员工可以通过staff用户登录，并访问全部内网信息

display current-configuration

#

version 5.20, Relea 2102

#

sysname AC

#

domain default enable system

#

telnet rver enable

#

port-curity enable

#

dot1x authentication-method eap

#

portal rver h3cptl ip 162.105.34.21 key portal url 162.105.34.21:8080/

portal

portal free-rule 0 source ip 85.3.1.212 mask 255.255.255.255 destination any

portal free-rule 1 source ip 85.3.1.254 mask 255.255.255.255 destination any

portal free-rule 2 source ip 162.105.34.0 mask 255.255.255.0 destination any

#

vlan 1

#

radius scheme system

rver-type extended

primary authentication 162.105.34.21

primary accounting 162.105.34.21

key authentication 12345678

key accounting 12345678

ur-name-format without-domain

nas-ip 85.3.1.220

accounting-on enable

#

domain system

authentication portal radius-scheme system

authorization portal radius-scheme system

accounting portal radius-scheme system

access-limit disable

state active

idle-cut disable

lf-rvice-url disable

#

16 ur-group system

#

local-ur admin

password simple admin

authorization-attribute level 3

rvice-type telnet

#

wlan rrm

dot11a mandatory-rate 6 12 24

dot11a supported-rate 9 18 36 48 54

dot11b mandatory-rate 1 2

dot11b supported-rate 5.5 11

dot11g mandatory-rate 1 2 5.5 11

dot11g supported-rate 6 9 12 18 24 36 48 54

#

wlan rvice-template 1 clear

ssid company

bind WLAN-ESS 0

rvice-template enable

#

interface NULL0

#

interface Vlan-interface1

ip address 85.3.1.220 255.255.255.0

portal rver h3cptl method direct

#

interface GigabitEthernet1/0/1

#

interface GigabitEthernet1/0/2

#

interface GigabitEthernet1/0/3

#

interface GigabitEthernet1/0/4

#

interface M-Ethernet1/0/0

#

interface Ten-GigabitEthernet1/0/5

#

interface Ten-GigabitEthernet1/0/6

#

interface WLAN-ESS0

#

wlan ap 2200 model WA2220E-AG

rial-id 210235A22W

radio 1

channel auto

max-power 19

radio 2

17 channel auto

max-power 20

rvice-template 1

radio enable

#

ip route-static 162.105.34.0 255.255.255.0 85.3.1.254

#

snmp-agent

snmp-agent local-engineid 800063A203000FE207F2E0

snmp-agent sys-info version v3

#

load xml-configuration

#

ur-interface con 0

ur-interface vty 0 4

authentication-mode scheme

ur privilege level 3

#

return

5.4.3 主要配置步骤（命令行方式）

1. 创建ACL 3000，并添加许可来宾账户guest访问的网页IP地址。（可通过命令行或者WEB的方式，具体步骤上面介绍过）。

[AC]acl number 3000

[AC-acl-adv-3000] rule 10 permit ip destination 85.3.1.254 0

2. 在IMC服务器上创建guest用户，并下发ACL3000。

# 从<本地用户>页面找到guest用户，并进入配置页面，将acl与guest用户绑定。

(1) 创建guest用户服务配置

# 在导航栏中选择“业务->接入业务->服务配置管理”，点击<增加>按钮。

图5-3 创建接入服务配置业务

# 按照下图红框中所示选择用户认证方式和下发ACL，注意认证方式为不启用认证。

18 图5-4 创建接入服务配置业务的详细信息

(2) 将创建的guest用户并与“服务配置”绑定

# 在导航栏中选择“用户->所有接入用户”，点击<增加>按钮，弹出如图5-6所示页面。

图5-5 创建guest用户

# 点击<增加用户>按钮，弹出如图5-7所示页面，填写用户名，证件号码和用户分组信息，单击<确认>按钮，完成guest用户的创建。

19 图5-6 增加用户页面

图5-7 填写增加用户的详细信息

图5-8 完成guest用户创建

3. 验证结果

(1) 使用命令行display connection查看是否有用户在线。

[AC]display connection

Index=38 ,Urname=guest@system

20 MAC=0014-6c4e-a3ad ,IP=85.3.1.8

Total 1 connection(s) matched.

(2) 通过命令行display connection ucibindex查看用户的较详细信息。

[AC]display connection ucibindex 38

Index=38 , Urname=guest@system

MAC=0014-6c4e-a3ad

IP=85.3.1.8

Access=PORTAL ,AuthMethod=CHAP

Port Type=Wireless-802.11,Port Name=N/A

Initial VLAN=1, Authorization VLAN=N/A

ACL Group=3000

Ur Profile=N/A

CAR=Disable

Priority=Disable

Start=2009-04-03 15:02:23 ,Current=2009-04-03 15:06:33 ,Online=00h04m09s

Total 1 connection matched.

(3) 通过IMC查看用户详细信息。

# 导航栏中选择“用户->所有在线用户”，查看当前在线用户的详细信息。

5.5

注意事项

无

6

相关资料

6.1

相关协议和标准

无

21 6.2

其它相关资料

z

z

z

《H3C WX系列无线控制产品 用户手册》“安全分册”中的“Portal配置”和“AAA配置”。

《H3C WX系列无线控制产品 用户手册》“安全分册”中的“Portal命令”和“AAA命令”。

《H3C WX系列无线控制产品 用户手册》“系统分册”中的“ACL配置”和“ACL命令”。

22

-