标签：Agile MAC 认证 controller Portal 终端 服务器 页面

1 802.1X认证操作指导
1.1 登录Agile controller
使用https://10.10.10.100:8443

配置思路

1.2 添加设备
资源>设备管理>增加
<AC6605> display accounting-scheme acco_scheme

1.3 设置策略
1.3.1 定义认证规则

1.3.2 定义授权结果

1.3.3 定义授权规则

2 portal认证操作指导

2.1 添加设备
资源>设备管理>增加

2.2 添加SSID

2.3 设置策略
2.3.1 定义认证规则

2.3.2 定义授权结果

2.3.3 定义授权规则
通过以上认证规则、授权结果在授权规则中调用

2.4 定制portal界面

2.5 设置portal推送策略

2.6 设置MAC优先

 

3 MAC免认证操作指导
3.1 增加设备组

3.2 在设备组中添加MAC

3.3 设置策略
3.3.1 添加认证规则（旁路部署）

3.3.2 添加授权结果

3.3.3 添加授权规则

4 短信认证操作指导
4.1 AC配置
AC完成基本的portal认证配置；
4.2 Agile Controller配置
在Agile Controller上添加接入设备：选择“资源->设备->设备管理”，单击增加；
配置短信服务器，使得系统能够正常发送短信：选择“系统 > 服务器配置 > 短信服务器配置”，设置短信服务器的参数；

Http地址为:http://189.180.0.130:8889/httpsmstest/HttpTest
要根据当前计算机（安装httptest的计算机）的IP地址来；
属性为:password={PASSWORD}
userName=sa
to={TELEPHONENUMBER}
content={MSGCONTENT}
密码为:sa；
成功标识为:OK；
配置访客帐号策略：选择“策略 > 准入控制 > 访客管理 > 访客帐号策略”；

定制认证页面，访客未认证访问网络时，自动跳转到访客认证页面；选择“策略 > 准入控制 > 页面定制 > 页面定制”，点击添加，选择手机快速认证模板；

配置Portal页面推送策略，对访客推送定制的认证页面，选择“策略 > 准入控制 > 页面定制 > Portal页面推送策略”，单击“增加”，设置Portal页面推送策略。

认证页面跳转选择继续访问原页面，AC上配置的“redirect-url”字段的值必须为“url”。

4.3 Httptest配置
安装Httptest，打开bin文件夹，点击startup.bat文件启动程序；

终端关联信号，访问Internet，被重定向至访客认证页面。访客输入手机号码，单击“获取密码”，在软件上会收到发送的密码，访客输入手机号码和密码，单击“登录”，页面自动跳转到认证前访问的页面。

5 Portal二维码审批操作指导
5.1 定义访问账号策略

5.2 页面定制

5.3 设置portal推送策略

5.4 账号审批记录

6 Portal邮件推送操作指导
6.1 邮箱设置

6.2 策略设定

7 全局设置
7.1 用户名密码设置

使用备份恢复工具备份的程序只能通过备份恢复工具恢复，不能通过手工方式恢复。

1. 从企业技术支持网站或光盘获取“Agile_Controller-Campus_xxx_MaintainTool_Windows.zip”。
2. 解压后运行“MaintainTool.bat”。
3. 单击“运行备份恢复工具”。

在老Agile Controller-Campus获取License失效码。
登录老Agile Controller-Campus管理界面，选择“系统 > License管理 > License信息查看”。
单击“失效License”，获取失效码。
在新Agile Controller-Campus获取ESN。
登录新Agile Controller-Campus管理界面，选择“系统 > License管理 > License信息查看”。
单击“获取ESN”。
根据失效码和新服务器ESN，在ISDP网站获取新的License文件。
登录http://app.huawei.com/isdp。
在左侧菜单选择“License调测与维护 > ESN变更”。
输入失效码，单击“验证失效码”。

<HUAWEI> ftp 192.168.1.1 //输入帐号密码，可以在IPOP设置帐号密码
[ftp] put vrpcfg.zip //在操作终端的FTP服务器设置路径查看，如D:\S7706_CFG

准入场景 取消准入控制操作
802.1X 1. 强制在线用户下线。
在AAA视图执行命令cut access-user interface interface-type interface-number。interface-type interface-number为认证控制接口。

2. 全局取消802.1X认证。
   系统视图执行命令undo dot1x enable。
   Portal 在系统视图执行命令portal free-rule 0 destination any source any。
   SACG 在防火墙选择“网络 > SACG > 基本配置”，启用“服务器状态检测”，并将“最小活跃服务器个数”设为1。

终端无法打开Portal认证页面，但是可以正常访问“http://Portal服务器-IP:8080/portal”。
可能原因
通过IP地址能够直接访问Portal服务器，说明终端和Portal服务器之间的网络连接正常，则出现无法打开Portal认证页面的原因可能有：
接入控制设备上VLANIF接口下未绑定Portal服务器模板。
接入控制设备上URL模板中配置的Portal认证页面的URL地址不正确，导致交换机/AC无法将终端的http请求重定向至Portal服务器。
终端在未进行身份认证的情况下访问的是HTTPS网站。
DNS服务器未配置到认证前域，导致终端认证通过前无法访问DNS服务器，进而无法解析域名。
终端上没有配置DNS服务器，导致终端无法解析域名，进而无法产生HTTP流量触发Portal认证页面。

Portal认证成功，无法访问后域的可能原因有：
接入控制设备上配置的认证后域ACL中放行的后域资源不正确。
终端的IP地址没有加入到接入控制设备管辖的IP地址池。
终端与业务控制器之间存在NAT。

时隔一段时间就掉线
在接入控制设备上执行命令dis aaa abnormal-offline-record mac <H-H-H>，查看用户下线的原因。
如果下线原因显示Web user request，请按照如下步骤排查：
检查终端认证成功后是否关闭了认证成功页面或者管理员在Agile Controller-Campus上设置的无线接入终端Web认证会话超时时间是否太短。
在桌面终端上认证成功的页面不可以关闭，否则就会引起终端用户掉线，进而无法访问认证后域中的网络资源。因为Web浏览器定期（心跳周期可以在全局参数中配置）会向Portal服务器发送心跳报文，如果认证页面被关闭，Web浏览器无法向Portal服务器发送心跳报文，终端用户会话产生超时而被迫下线。

1. • 在移动终端上，认证成功页面在会话超时之前是可以关闭的，移动终端用户下线时间取决于管理员在全局参数中配置的“无线接入终端Web认证会话超时时间”，如果“无线接入终端Web认证会话超时时间”设置的很短，达到会话超时时间后，也会导致用户下线。

如果管理员启动了MAC优先的Portal认证功能，Portal服务器会自动保留终端用户的MAC地址和SSID，则在MAC优先的Portal认证会话有效期之内关闭认证成功页面，AC会自动使用终端的MAC地址向Portal服务器发起MAC认证，故不会影响访问认证后域中的网络资源。
MAC优先的Portal认证相关配置请参见无线环境中的Portal接入（含MAC优先）。

2. 检查Agile Controller-Campus上是否配置了用户在线时长限制。
   登录Agile Controller-Campus，选择“系统 > 终端参数配置 > 局部参数”，在“用户在线时长限制”中检查用户在线时长是否设置的合理。

两个账号互相踢
管理员在“系统 > 终端参数配置 > 局部参数”中配置了“同一帐号接入数控制”，并且将“最大接入数”设置为了“1”，将“达到最大接入数时的动作”设置为了“允许接入（强制已在线用户下线）”。虽然通过MAC优先上线的终端是通过MAC地址上线的，但是MAC地址和帐号是绑定的，一个帐号只能在一台终端上线，所以后上线的会将先上线的踢下线。

<AC> system-view
[AC] mac-authen quiet-times 5
[AC] mac-authen timer quiet-period 15
[AC] quit
<AC> save

portal captive-bypass enable

放行苹果站点
portal free-rule 1 destination ip 223.111.109.13 mask 32
portal free-rule 1 destination ip 17.142.160.82 mask 32
portal free-rule 1 destination ip 17.172.224.102 mask 32
portal free-rule 1 destination ip 17.178.96.96 mask 32
portal free-rule 1 destination ip 223.119.150.170 mask 32

如果终端和准入控制设备之间是二层网络，支持终端登录日志中显示终端MAC地址。
在AC上配置的URL模板中需要配置URL参数携带终端MAC地址user-mac。
[AC] url-template name huawei
[AC-url-template-huawei] url http://172.18.1.1:8080/portal
[AC-url-template-huawei] url-parameter ssid ssid user-mac usermac redirect-url url

标签：Agile,MAC,认证,controller,Portal,终端,服务器,页面
来源： https://blog.51cto.com/maguangjie/2466115

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。