9.1 华为敏捷控制器：访客业务：管理员手工创建访客帐号发给访客接入网络(访客portal认证、portal界面)

9.1 华为敏捷控制器：访客业务：管理员手工创建访客帐号发给访客接入网络(访客portal认证、portal界面)
涉及哪些角色？
系统管理员：指定访客帐号管理方式；对访客帐号进行管理（创建访客帐号、管理接入后访客帐号）。
访客：使用系统管理员创建的帐号接入网络。
如何操作？

（1）拓扑图

（2）基础配置

sw1:

vlan2

interface GigabitEthernet0/0/1           

 port link-type access

 port default vlan 2

#

interface GigabitEthernet0/0/2

 port link-type trunk

 port trunk allow-pass vlan 2

sw2:

interface Vlanif1

 ip address 10.12.160.254 255.255.0.0

#

interface Vlanif2

 ip address 192.168.2.254 255.255.255.0

#                                        

interface Vlanif3

 ip address 192.168.0.1 255.255.255.0

#

interface GigabitEthernet0/0/1

 port link-type access

#

interface GigabitEthernet0/0/2

 port link-type trunk

 port trunk allow-pass vlan 2

#

interface GigabitEthernet0/0/3

 port link-type access

 port default vlan 3

#

sw2配置dhcp中继：

dhcp enable

dhcp server group dhcpgroup1

   dhcp-server 10.12.12.231 0

interface Vlanif2

   ip address 192.168.2.254 255.255.255.0

   dhcp select relay

   dhcp relay server-select dhcpgroup1

pc1测试获取ip地址：成功获取ip地址，在没有开启802.1x认证前，网络是全通了。

dhcp服务器上查看ip租用记录：

sw2:配置802.1X认证参数，实现终端用户802.1X方式接入认证。

（3.1）配置RADIUS服务器模板和认证计费方案。

[sw2]authentication unified-mode   # //缺省是unified-mode，如未更改可无需执行该命令

[sw2]radius-server template radius1

[sw2-radius-radius1]radius-server authentication 10.12.160.41 1812 source ip-address 10.12.160.254

[sw2-radius-radius1]radius-server accounting 10.12.160.41 1813 source ip-address 10.12.160.254

[sw2-radius-radius1]radius-server shared-key cipher www.zh-cjh.com

[sw2-radius-radius1]quit

[sw2]radius-server authorization 10.12.160.41 shared-key cipher www.zh-cjh.com

[sw2]aaa

[sw2-aaa]authentication-scheme auth_scheme1

[sw2-aaa-authen-auth_scheme1]authentication-mode radius

[sw2-aaa-authen-auth_scheme1]quit

[sw2]aaa

[sw2-aaa]accounting-scheme acco_scheme1

[sw2-aaa-accounting-acco_scheme1]accounting-mode radius

[sw2-aaa-accounting-acco_scheme1]accounting realtime 15    #配置实时计费周期为15分钟

配置实时计费是为了认证控制设备与Agile Controller-Campus之间定期发送计费报文，确保在线状态信息一致。实时计费间隔的取值对设备和RADIUS服务器的性能有要求，实时计费间隔的取值越小，对设备和RADIUS服务器的性能就越高。请根据用户数设置计费间隔。

（3.2）全局默认域内引用RADIUS服务器模板和认证计费方案。

[sw2]aaa

[sw2-aaa]domain default

[sw2-aaa-domain-default]authentication-scheme auth_scheme1

[sw2-aaa-domain-default]accounting-scheme acco_scheme1

[sw2-aaa-domain-default]radius-server radius1

[sw2-aaa-domain-default]quit

（3.3）配置全局默认域。

[sw2]domain default  //配置全局默认域

Info: Set the default domain success.

全局默认域为default，如果需要修改，请先在AAA视图下创建域，再将此域设置为全局默认域。

（4.1）sw2：配置与Portal服务器的对接参数

web-auth-server portal1

 　 server-ip 10.12.160.41   //Portal服务器的IP地址

  　port 50200    //Agile Controller-Campus作为Portal服务器时端口固定为50200

 　 shared-key cipher www.zh-cjh.com    //Portal密钥

 　 url http://10.12.160.41:8080/portal   //建议按域名方式推送Portal页面，但需要在DNS服务器配置域名与Agile Controller-Campus IP地址的映射关系

 　 source-ip 10.12.160.254  //设备和Portal服务器通信的IP地址

      server-detect interval 100 max-times 5 critical-num 0 action log   

 //使能Portal服务器探测功能，设备会对该Portal服务器模板下配置的所有Portal服务器进行探测

//如果对某一Portal服务器探测失败次数超过最大次数，会将该Portal服务器的状态由Up改变为Down。如果状态为Up的Portal服务器数目小于或等于设置的最小值（critical-num），设备将会做出相应的动作，使管理员能够实时掌握网络中Portal服务器的状态或保证用户一定的网络访问权限

//探测周期interval不能小于15s，建议配置为100s

[sw2]portal quiet-period       //使能Portal认证静默功能，认证用户在60秒内认证失败的次数超过设定值，则在设置的一定时间内，丢弃认证用户的报文，防止用户频繁认证对系统造成冲击

[sw2]portal quiet-times 5   //配置Portal认证用户被静默前60秒内允许认证失败的次数

[sw2]portal timer quiet-period 240    //配置Portal认证静默周期为240秒

[sw2]web-auth-server listening-port 2000   //缺省2000，如果通过该命令修改为其他端口，Agile Controller-Campus添加Portal设备时需同步修改

（4.2）启用portal认证

有些交换机版本支持在vlanif接口下使能portal认证。

interface GigabitEthernet0/0/2

   port link-type trunk

   port trunk allow-pass vlan 2

   authentication mac-authen portal  //在接口下使能mac认证与Portal认证

   web-auth-server portal1 direct

 //在接口下绑定Portal服务器模板。用户终端和认证控制设备之间为二层组网，配置为direct方式

//如果为三层组网，则需要配置为layer3方式

启用认证后，则PC1就只能ping通portal服务器了。（虽然ping不通，但是还是可以正常从dhcp服务器10.12.160.231那获取ip地址）

交换机已默认放行Portal服务器的资源，所以不需要针对Portal服务器配置免认证规则。

（4.3）配置用户名形式(这里不需要配置，因为默认的配置就可以)

MAC认证用户采用的认证用户名形式有“MAC地址形式”和“固定用户名形式”两种，可通过在系统视图下使用mac-authen username { fixed username [ password cipher password] |macaddress [ format { with-hyphen | without-hyphen}]}命令进行配置。

●fixed username：指定MAC认证时使用的固定用户名。

●cipher password：指定以密文形式显示的MAC认证密码。

●macaddress：指定以MAC地址作为MAC认证时使用的用户名。

●with-hyphen：指定MAC地址作为用户名输入用户名时使用带有分隔符“-”的MAC地址。如“0011-2233-4455”

●without-hyphen：指定MAC地址作为用户名输入用户名时使用不带有分隔符“-”的MAC地址。如“001122334455”

缺省情况下，MAC认证的用户名和密码为不带分隔符“-”的MAC地址。

[sw2]mac-authen username macaddress format without-hyphen

（4.4）定义认证前与认证后允许访问的资源

配置终端用户认证前和认证后允许访问的资源。

认证前域即配置认证用户可以免认证访问服务器区域的资源。

[sw2]authentication free-rule 1 destination ip 10.12.12.231 mask 255.255.255.255

#交换机已默认放行Portal服务器的资源，所以不需要针对Portal服务器10.12.160.41配置免认证规则。

#[sw2]authentication free-rule 2  destination ip 10.12.160.41 mask 255.255.255.255

认证后域即通过ACL定义认证后允许访问的资源。

#acl 3001 

acl number 3001

 rule 5 permit ip source any destination any

（5.1）添加交换机

【Agile Controller-Campus】添加认证控制设备，与认证控制设备实现RADIUS对接。

选择“资源 > 设备 > 设备管理”，添加交换机。

配置portal

测试交换机与AgileContoller之间的通信。

[sw2]test-aaa u3 密码 radius-template radius1

[sw2]

Info: Account test succeed.

（5.2）配置认证规则

【Agile Controller-Campus】配置认证授权，终端用户根据条件匹配认证授权规则。

    选择“策略 > 准入控制 > 认证授权 > 认证规则”，修改缺省认证规则或新建认证规则。

    将AD服务器加入“数据源”。缺省认证规则只针对本地数据源，如不将AD服务器加入，AD帐号认证失败。

（5.3）配置授权结果

选择“策略 > 准入控制 > 认证授权 > 授权结果”，添加授权ACL。

ACL编号与认证控制设备配置一致。

（5.4）配置授权规则

选择“策略 > 准入控制 > 认证授权 > 授权规则”，关联授权结果，指定用户认证通过后允许访问的资源。

把优先级调到第1.

（6）配置邮件服务器

准备好邮件服务器

查看邮箱：

（7.1）创建访客帐号策略

由管理员手工创建访客帐号

帐号创建方式：

单个创建：当访客帐号由管理员创建时，请选择“单个创建”或者“批量创建”；

当访客帐号由访客自注册时，请选择“自注册”；

当访客通过扫描公共二维码接入时，请选择“单个创建”，并在“帐号策略”中选择“公共二维码”。

有效期：帐号有效期从帐号生效的时间开始计算。帐号有效期需要小于“参数配置”中的“帐号最长有效期”。

策略>访客管理>参数配置>基本参数配置>帐号最长有效期

预览访客字段：

（7.2）指定访客管理员（可选），但此次实验跳过这一步，即不指定。

（7.3）定制页面

用户须知：

1．为加强计算机网络安全管理，根据国家有关规定，访问中国教育科研网、中国互联网和国际互联网的用户，均应办理实名制上网手续。

2．账号只限本人使用，不得转借他人或一号多人使用，一经发现封号。被封账号的用户请本人身份证/工作证到网络中心解封，不得代办。

3．未经批准严禁校外人员接入本网络。

4．使用网络必须遵守国家和学校的各项法律法规和道德责任，承担一切因您的行为而直接或间接导致的法律责任；不得传播攻击党、政府和国家的信息；不得传播淫秽、色情、低俗等有害信息。

5．请用户增强自我保护意识，做好病毒防护工作和黑客攻击预防工作，保护好自己的计算机及相关资料。用户请做好帐号密码以及相关资料的保密工作，不要将自己的帐户密码泄漏给他人，实行“谁开户，谁上网，谁负责”的管理原则。

6．若发现网络中某用户的计算机因为病毒感染或黑客程序等原因成为病毒源或攻击源，有权将该用户的计算机从校园网中断开，并在用户维修好自己的计算机前，拒绝将该计算机重新接入网络。

7．用户不得在网络中使用黑客程序或病毒攻击他人，不得向他人发送恶意或者骚扰信息，不得用自动机扫描服务器和网络设备的端口，不得盗窃他人资料。以上行为一经发现，将按有关法规严肃处理。

8．严禁私设服务器。根据需要，信息网络中心有权在必要时干预用户的上网行为。

修改手机的界面：

继续下一步，修改PC页面：

（7.4）配置Portal页面推送策略

（8.1）管理员：创建访客帐号

备注：这个帐号过期时间的时间是相对AgileController服务器的时间来计算的，不是基于访客的终端设备的时间来计算的。

（9.1）访客：进行登录测试

如果需要修改邮件通知的模样内容，可以到“策略>访客管理>访客通知模板>邮件通知模板”中进行修改。

登录测试：

终端用户打开http://10.12.160.41:8080/PortalServer/portal.jsp后，自动跳转到了https://10.12.160.41:8445/PortalServer/**** 与直接打开https://10.12.160.41:8445/PortalServer/是不一样的界面。

或者打开http://10.12.160.41:8080/portal   （没有带s）

这时候还是没有真正的开始谁，所以访问相关资源还是失败的：

如下所示，点了确认后，才是开始认证。

成功可以ping通192.168.0.254，并跳转到了设定的网页，打不网页是正常的，本次实验中并没有真正的接入互联网。

（10.1）管理员：查看在线用户：

Huawei Agile Controller（列表、list、全）华为AClist、敏捷控制器list

http://www.zh-cjh.com/wenzhangguilei/3224.html

文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html