MAC本地认证配置指导

00191333

华为技术有限公司

MAC本地认证配置指导

1.MAC认证

MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认

证方法，它不需要用户安装任何客户端软件，用户名和密码都是用户设备的MAC

地址。网络接入设备在首次检测到用户的MAC地址以后，即启动对该用户的认证。2.MAC认证方式

根据有无radius服务器配合认证，MAC认证可分为MAC本地认证（在AC上认证）和MAC地址radius认证。

3.MAC本地认证配置举例

3.1组网图

图1

3.2组网需求

如图1所示，二层组网直接转发。业务vlan为vlan 100，管理vlan为vlan 800。用户的无线终端连接到SSID 为huawei 的无线网络中。设备管理者希望对用户接入进行MAC 地址认证，以控制其对Internet 的访问。使用用户的MAC 地址作为用户名和密码，其中MAC 地址不带连字符，字母小写。

3.3配置思路

采用如下的思路在AC上进行配置。

1.配置WLAN 基本业务，使AP正常工作。

2.配置MAC认证MAC地址格式，是否带“-”。

3. 在AAA视图下添加新用户，用户名和密码都为无线终端MAC。

4. 在需要认证的端口下使能MAC认证。

5. 业务下发至AP，用户完成业务验证。

说明

本配置通过在AC的WLAN-ESS 接口上启用MAC认证来实现对STA进行控制的目的。

直接转发模式下STA的网关不能配置在AC无线侧，可以选择配置在汇聚交换机上或AC有线侧。

配置Security-profile模板时，AC6605 V200R001版本只能使用WPA/WPA2-PSK认证，V200R002可以使用OPEN、WEP、WPA/WPA2-PSK认证

3.4操作步骤

步骤1 配置接入交换机

接入交换机接AP端口trunk透传业务VLAN 100，管理VLAN 800，并打管理vlan pvid 800。需要将所有二层交换机在AP管理VLAN和业务VLAN内的下行口上配置端口隔离，如果不配置端口隔离，可能会在VLAN 内存在不必要的广播报文，或者导致不同AP 间的WLAN 用户二层互通的问题。

端口隔离功能未开启时，建议从接入交换机到AC 之间的所有网络设备的接口都配置undo port trunk allow-pass vlan 1，防止引起报文冲突，占用端口资源。

system-view

[Quidway] vlan batch 100 800

[Quidway] interface Ethernet 0/0/1

[Quidway-Ethernet0/0/1] port link-type trunk

[Quidway-Ethernet0/0/1] port trunk pvid vlan 800

[Quidway-Ethernet0/0/1] port trunk allow-pass vlan 100 800

[Quidway-Ethernet0/0/1] port-isolate enable

[Quidway-Ethernet0/0/1] quit

[Quidway] interface GigabitEthernet0/0/1

[Quidway- GigabitEthernet0/0/1] port link-type trunk

[Quidway GigabitEthernet0/0/1] port trunk allow-pass vlan 100 800

[Quidway- GigabitEthernet0/0/1] quit

步骤2 配置AC有线侧，将流量引入AC无线侧

说明

AC6605 中有线侧与无线侧相连的端口分别为XGE0/0/27和XGE 0/0/1，以下配置以AC6605 为例。

system-view

[Quidway] sysname AC-LSW

[AC-LSW] vlan batch 100 800

[AC-LSW] interface GigabitEthernet 0/0/1

[AC-LSW-GigabitEthernet0/0/1] port link-type trunk

[AC-LSW-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 800

[AC-LSW-GigabitEthernet0/0/1] quit

[AC-LSW] interface XGigabitEthernet 0/0/27

[AC-LSW-XGigabitEthernet0/0/27] port link-type trunk

[AC-LSW-XGigabitEthernet0/0/27] port trunk allow-pass vlan 100 800

[AC-LSW-XGigabitEthernet0/0/27] quit

步骤3 配置STA 地址池，AC有线侧作为作为STA 的DHCP 服务器

[AC-LSW]intface vlan 100

[AC-LSW- Vlanif100]ip address 192.168.1.1 24

[AC-LSW- Vlanif100] dhcp select interface

步骤4 配置AC 无线侧

1. 配置无线侧连接有线侧的接口XGE0/0/1 透传所有业务和管理VLAN

system-view

[Quidway] sysname AC

[AC] vlan batch 100 800

[AC] interface XGigabitEthernet 0/0/1

[AC-XGigabitEthernet0/0/1] port link-type trunk

[AC-XGigabitEthernet0/0/1] port trunk allow-pass vlan 100 800

[AC-XGigabitEthernet0/0/1] quit

2. 配置AC 无线侧的接口，使能DHCP 服务器，AC 作为AP 的DHCP 服务器[AC] dhcp enable

[AC] interface Vlanif 800

[AC-Vlanif800] ip address 192.168.10.1 24

[AC-Vlanif800] dhcp select interface

[AC-Vlanif800] quit

3. 配置AC 的全局参数

# 配置AC 全局参数（运营商标识、ID、国家码）和AC 的源接口

[AC] wlan ac-global ac id 1 carrier id ctc

[AC] wlan ac-global country-code cn

[AC] wlan

[AC-wlan-view] wlan ac source interface Vlanif 800

4. 配置AP 并上线

# 查询AP 的设备类型

[AC-wlan-view] display ap-type all

All AP types information:

------------------------------------------------------------------------------

ID Type

------------------------------------------------------------------------------

0 WA601

1 WA631

6 WA603SN

7 WA603DN

8 WA633SN

11 WA603DE

12 WA653DE

14 WA653SN

17 AP6010SN-GN

19 AP6010DN-AGN

21 AP6310SN-GN

23 AP6510DN-AGN

25 AP6610DN-AGN

27 AP7110SN-GN

28 AP7110DN-AGN

29 AP5010SN-GN

30 AP5010DN-AGN

31 AP3010DN-AGN

33 AP6510DN-AGN-US

34 AP6610DN-AGN-US

------------------------------------------------------------------------------

Total number: 20

# 根据查询到的AP 设备类型ID，离线添加AP

[AC-wlan-view] ap id 1 type-id 19 mac0046-4b59-1f80

[AC-wlan-ap-1] quit

# 查看AP 的上线状态

[AC-wlan-view] display ap all

All AP information(Normal-1,UnNormal-0):

------------------------------------------------------------------------------

AP AP AP Profile AP AP

/Region

ID Type MAC ID State Sysname

------------------------------------------------------------------------------

1 AP6010DN-AGN 0046-4b59-1f80 0/0 normal ap-1

------------------------------------------------------------------------------

Total number: 1

5.全局配置MAC 认证的用户名不带分隔符“-”。

[AC] mac-authen username macaddress format without-hyphen //默认是不带分隔符# 配置AP 的上线方式

[AC] wlan

[AC-wlan-view]ap-auth-mode mac-auth

6. 将AP 加入指定域

[AC-wlan-view] ap-region id 100

[AC-wlan-ap-region-100] quit

[AC-wlan-view] ap id 1

[AC-wlan-ap-1] region-id 100

[AC-wlan-ap-1] quit

[AC-wlan-view] quit

7. 配置WLAN-ESS 虚接口

# 使能Wlan-Ess 接口MAC 认证

[AC] interface Wlan-Ess 0

[AC-Wlan-Ess0] dhcp enable

[AC-Wlan-Ess0] port link-type hybrid

[AC-Wlan-Ess0] port hybrid pvid vlan 100

[AC-Wlan-Ess0] port hybrid untagged vlan 100

[AC-Wlan-Ess0] mac-authentication enable //使能端口mac认证

# 配置安全模板，采用的安全策略为WPA+PSK+TKIP

[AC-wlan-view] security-profile name huawei-ap

[AC-wlan-sec-prof-huawei-ap] security-policy wpa

[AC-wlan-sec-prof-huawei-ap]wpa authentication-method psk pass-phrase 01234567 encryptionmethod tkip // 配置Security-profile模板时，AC6605 V200R001版本只能使用WPA/WPA2-PSK认证，V200R002可以使用OPEN、WEP、WPA/WPA2-PSK认证

[AC-wlan-sec-prof-huawei-ap] quit

8. 配置流量模板

[AC-wlan-view] traffic-profile name huawei-ap

[AC-wlan-traffic-huawei-ap] quit

9. 配置AP 服务集，设置数据转发模式为隧道转发模式。

[AC-wlan-view] service-set name huawei

[AC-wlan-service-set-huawei] ssid huawei

[AC-wlan-service-set-huawei] wlan-ess 0

[AC-wlan-service-set-huawei] service-vlan 100

[AC-wlan-service-set-huawei] security-profile name huawei-ap

[AC-wlan-service-set-huawei] traffic-profile name huawei-ap

[AC-wlan-service-set-huawei] quit

10. 在AAA视图下创建新用户，用户名和密码都为STA的MAC

[AC-wlan-view]aaa

[AC-aaa] local-user a088b445737c password cipher a088b445737c //添加用户mac

11. 配置AP 对应的VAP 并下发配置

[AC-wlan-view] ap 1 radio 0

[AC-wlan-radio-1/0] service-set name huawei

[AC-wlan-radio-1/0] quit

[AC-wlan-view] commit ap 1

Warning: Committing configuration may cause service interruption,continue?[Y/N] y

[AC-wlan-view] quit

步骤5 检查配置结果

?完成配置后，用户可通过无线PC搜索到huawei的无线网络。

?用户需要网络密钥01234567，开始关联。

?只有AC上创建的用户名与无线网卡MAC地址相同的STA才能通过MAC认证。----结束

portal认证介绍

Portal认证技术 认证技术就是AAA(认证,授权,计费)得初始步骤,AAA一般包括用户终端、AAAClient、AAA Server与计费软件四个环节。用户终端与AAA Client之间得通信方式通常称为"认证方式"。目前得主要技术有以下三种:PPPoE、Web＋Portal、IEEE802、1x。 基于web方式得认证技术最广为人知得一点就是不需要在客户端安装任何拨号与认证软件。它能够处理高层协议,在网络应用日益复杂得形势下,很多复杂得管理要求已经涉及到高层协议,面对这些要求,基于2、3层得认证技术入PPPoE,802、1x就无能为力。 1.PPPoE 通过PPPoE(Point-to-Point Protocol over Ethernet)协议,服务提供商可以在以太网上实现PPP协议得主要功能,包括采用各种灵活得方式管理用户。 PPPoE(Point-to-Point Protocol over Ethernet)协议允许通过一个连接客户得简单以太网桥启动一个PPP对话。 PPPoE得建立需要两个阶段,分别就是搜寻阶段(Discovery stage)与点对点对话阶段(PPP Session stage)。当一台主机希望启动一个PPPoE对话,它首先必须完成搜寻阶段以确定对端得以太网MAC地址,并建立一个PPPoE得对话号(SESSION_ID)。 在PPP协议定义了一个端对端得关系时,搜寻阶段就是一个客户-服务器得关系。在搜寻阶段得进程中,主机(客户端)搜寻并发现一个网络设备(服务器端)。在网络拓扑中,主机能与之通信得可能有不只一个网络设备。在搜寻阶段,主机可以发现所有得网络设备但只能选择一个。当搜索阶段顺利完成,主机与网络设备将拥有能够建立PPPoE得所有信息。 搜索阶段将在点对点对话建立之前一直存在。一旦点对点对话建立,主机与网络设备都必须为点对点对话阶段虚拟接口提供资源 （1）PPPoE方式其整个通信过程都必须进行PPPoE封装,效率较低,由于宽带接入服务器要终结大量得PPP会话,将其转换为IP数据包,使宽带接入服务器成为网络性能得“瓶颈”。(2)由于点对点得特征,使组播视频业务开展受到很大得限制,视频业务大部分就是基于组播得。 (3)PPPoE在发现阶段会产生大量得广播流量,对网络性能产生很大得影响 2、802、1x 802、1x认证,起源于802、11协议,后者就是标准得无线局域网协议,802、1x协议提出得主要目得:一就是通过认证与加密来防止无线网络中得非法接入,二就是想在两层交换机上实现用户得认证,以降低整个网络得成本。其基本思想就是基于端口得网络访问控制,即通过控制面向最终用户得以太网端口,使得只有网络系统允许并授权得用户可以访问网络系统得各种业务(如以太网连接,网络层路由,Internet接入等)。 802、1x认证仅仅在认证阶段采用EAPOL(EAP encapsulation over LANs)报文,认证之后得通信过程中采用TCP/IP协议。EAP(Extensible Authentication Protocol扩展认证协议)就是对PPP协议得扩展,EAP对PPP得扩展之一就就是让提供认证服务得交换机从认证过程中解脱出来,而仅仅就是中转用户与认证服务器之间得EAP包,所有复杂得认证操作都由用户终端与认证服务器完成。 802、1x最大得优点就就是业务流与控制流分离,一旦认证通过,所有业务流与认证系统相分离,有效地避免了网络瓶颈得产生。 802、1x协议为二层协议,不需要到达三层,而且接入层交换机无需支持802、1q得VLAN,对设备得整体性能要求不高,可以有效降低建网成本。 缺点: *需要特定客户端软件

WIFI+Portal认证解决方案_高可靠性

宽带连接世界,信息改变未来 WIFI+Portal认证解决方案 2013年02月

目录 1 概述 (3) 2 安朗WIFI+Portal认证系统解决方案 (3) 2.1 系统拓扑 (4) 2.2 系统容量估算 (4) 2.3 防火墙 (5) 2.4 负载均衡 (5) 2.5 Portal系统 (5) 2.6 AAA系统 (5) 2.7 Oracle数据库 (6) 2.8 磁盘阵列 (6) 3 方案特点 (6) 4 典型案例 (6) 4.1 广州电信本地WIFI认证平台 (6) 4.2 广交会WiFi+Portal 认证平台 (8) 广州安朗通信科技有限公司 2 / 9

1概述 随着智能手机和手持终端的不断普及，使用者需要随时随地上网获取信息。为了给客户更好的服务，越来越多的商家开始提供免费或者收费的WIFI接入服务。在酒店、餐饮、汽车4S店等行业，都开始都提供WIFI服务。 目前随着WIFI的接入增加，对于WIFI的认证也逐渐开始收到了更多的关注。特别是对于WIFI的Portal认证方式收到了越来越多的应用。对于电信运营商这一类的WIFI接入提供商来说，Portal认证系统的稳定可靠是优先考虑的，这就需要提供一个具有高可靠性的Portal 认证系统。 2安朗WIFI+Portal认证系统解决方案 为了满足高可靠性的需要，安朗WIFI+ Portal系统解决方案中包括防火墙、负载均衡、Portal系统、AAA系统、Orcale数据库（负载均衡工作模式）、磁盘阵列等部分。 广州安朗通信科技有限公司 3 / 9

广州安朗通信科技有限公司 4 / 9 2.1 系统拓扑 2.2 系统容量估算 这里的系统容量主要是指各个系统需要采用的Portal 服务器和AAA 服务器的计算以及系统所需带宽估算，负载均衡设备和防火墙容量的估算请参考各个厂家的估算公式。 系统带宽＝页面文件大小×并发用户数 页面的连接数×并发用户数＝Portal 系统需要支持的连接数 并发用户数/超时时间5秒（认证超时）＝AAA 系统每秒需要处理认证请求数 需要的Portal 硬件数量= Portal 需要支持的连接数/单台Portal 支持的连接数

H3C AC进行Portal认证

一、组网需求： 在BYOD组网方案下，我们主要通过iNode客户端、HTTP网页、终端Ma c地址以及DHCP的Option属性这四种方式获取终端的操作系统和厂商信息，实现终端识别以便完成相应的权限策略控制。其中DHCP的Option属性方式可普遍用户各种场景。由于部署DHCP服务器并安装Agent插件的方式比较繁琐，这里我们以普通Portal认证为例介绍一种通过无线控制器的DHCP-snooping功能获取记录终端的option 55（终端操作系统）和option 60（终端厂商）信息并通过Radius属性上报给iMC服务器的典型配置。 WX系列AC、Fit AP、交换机、便携机（安装有无线网卡）、iMC服务器及其他智能终端。 二、组网图： 三、配置步骤： 1、AC版本要求 WX系列AC从B109D012合入该特性，因此只有这个版本号及其以后的版本支持DHCP-snooping功能获取记录终端的option 55（终端操作系统）和opti on 60（终端厂商）信息并通过Radius属性上报给iMC服务器。WX系列AC可通过下面的命令查看内部版本号： _display version H3C Comware Platform Software Comware Software, Version 5.20, Release 2607P18 Comware Platform Software Version COMWAREV500R002B109D022 H3C WX5540E Software Version V200R006B09D022 Copyright (c) 2004-2014 Hangzhou H3C Tech. Co., Ltd. All rights reserve d. Compiled Feb 25 2014 11:08:07, RELEASE SOFTWARE

WebPortal无线接入认证解决方案

WebPortal无线接入认证解决方案 1 2020年4月19日

蓝海卓越WebPortal无线接入认证解决方案 科技开创蓝海专业成就卓越

目录 一、项目背景 (1) 二、需求分析 (1) 三、方案设计原则 (2) 四、方案详细说明 (3) 4.1 方案拓扑图 (4) 4.2 方案特色说明 (5) 五、产品介绍 (7) 5.1 蓝海卓越室外型无线AP NS712-POE (7) 5.2 蓝海卓越NS-815-POE 300M POE 供电 AP (11) 5.3 蓝海卓越Portal服务器产品 (14) 六、典型客户案例 (16) 6.1 合肥某商场 (16) 6.2 XX市建设银行 (19) 6.3 XX省图书馆 (21) 6.4 郑州某宽带运营商 (23)

一、项目背景 随着移动终端设备的快速发展，越来越多的人随身携带者手机、平板、笔记本等移动终端。人们在外就餐、购物消费、休闲娱乐、出差住宿时对无线上网的需求也越来越强烈，不论在快餐店、商场、酒店、步行街、医院、银行、景区、车站以及机场等公共区域场所内为顾客提供无线WIFI已经成为商家企业提供服务的一种手段。商家企业经过提供易用的无线网络不但能够使顾客方便的访问互联网，也能够使顾客驻足停留吸引人气增加消费。提供WIFI已经成为商家企业提升服务水平，提高品牌知名度的一种方式。 可是传统的无线网络的接入方式，用户上网需要得知无线密码或者不需要密码直接接入到无线网络中，不但在安全上存在一定的隐患，网络运行也不够稳定更不能对接入用户进行管理控制，实际操作起来也不够方便。更重要的是商家企业并没有经过无线网络跟顾客建立一种良性互动，没有发挥其应有的作用，使无线网络的效果大打折扣。因此如何部署一套可运营、可管理、可靠高效的无线网络已经成为商家企业的当务之急。 二、需求分析 针对当前商场、连锁酒店等商家企业在无线网络建设及运营中存在的问题，商场、连锁酒店的无线接入认证解决方案需要满足以下需求：

mac地址认证配置举例

1.14 MAC地址认证典型配置举例 1.14.1 本地MAC地址认证 1. 组网需求 如图1-2所示，某子网的用户主机与设备的端口GigabitEthernet2/0/1相连接。 ?设备的管理者希望在端口GigabitEthernet2/0/1上对用户接入进行MAC地址认证，以控制它们对Internet的访问。 ?要求设备每隔180秒就对用户是否下线进行检测；并且当用户认证失败时，需等待180秒后才能对用户再次发起认证。 ?所有用户都属于ISP域bbb，认证时使用本地认证的方式。 ?使用用户的MAC地址作用户名和密码，其中MAC地址带连字符、字母小写。 2. 组网图 图1-2 启动MAC地址认证对接入用户进行本地认证 3. 配置步骤 # 添加网络接入类本地接入用户。本例中添加Host A的本地用户，用户名和密码均为Host A的MAC地址00-e0-fc-12-34-56，服务类型为lan-access。 system-view [Device] local-user 00-e0-fc-12-34-56 class network [Device-luser-network-00-e0-fc-12-34-56] password simple 00-e0-fc-12-34-56 [Device-luser-network-00-e0-fc-12-34-56] service-type lan-access [Device-luser-network-00-e0-fc-12-34-56] quit # 配置ISP域，使用本地认证方法。 [Device] domain bbb [Device-isp-bbb] authentication lan-access local

portal认证介绍

P o r t a l认证技术认证技术是AAA（认证，授权，计费）的初始步骤，AAA一般包括用户终端、AAAClient、AAA Server和计费软件四个环节。用户终端与AAA Client之间的通信方式通常称为"认证方式"。目前的主要技术有以下三种：PPPoE、Web＋Portal、。 基于web方式的认证技术最广为人知的一点是不需要在客户端安装任何拨号与认证软件。它能够处理高层协议，在网络应用日益复杂的形势下，很多复杂的管理要求已经涉及到高层协议，面对这些要求，基于2、3层的认证技术入PPPoE，就无能为力。 1.PPPoE 通过PPPoE（Point-to-Point Protocol over Ethernet）协议，服务提供商可以在以太网上实现PPP协议的主要功能，包括采用各种灵活的方式管理用户。 PPPoE（Point-to-Point Protocol over Ethernet）协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。PPPoE的建立需要两个阶段，分别是搜寻阶段（Discovery stage）和点对点对话阶段（PPP Session stage）。当一台主机希望启动一个PPPoE对话，它首先必须完成搜寻阶段以确定对端的以太网MAC地址，并建立一个PPPoE 的对话号（SESSION_ID）。 在PPP协议定义了一个端对端的关系时，搜寻阶段是一个客户-服务器的关系。在搜寻阶段的进程中，主机（客户端）搜寻并发现一个网络设备（服务器端）。在网络拓扑中，主机能与之通信的可能有不只一个网络设备。在搜寻阶段，主机可以发现所有的网络设备但只能选择一个。当搜索阶段顺利完成，主机和网络设备将拥有能够建立PPPoE的所有信息。 搜索阶段将在点对点对话建立之前一直存在。一旦点对点对话建立，主机和网络设备都必须为点对点对话阶段虚拟接口提供资源 （1）PPPoE方式其整个通信过程都必须进行PPPoE封装，效率较低，由于宽带接入服务器要终结大量的PPP会话，将其转换为IP数据包，使宽带接入服务器成为网络性能的“瓶颈”。 （2）（2）由于点对点的特征，使组播视频业务开展受到很大的限制，视频业务大部分是基于组播的。 （3）PPPoE在发现阶段会产生大量的广播流量，对网络性能产生很大的影响 2、 认证，起源于协议，后者是标准的无线局域网协议，协议提出的主要目的：一是通过认证和加密来防止无线网络中的非法接入，二是想在两层交换机上实现用户的认证，以降低整个网络的成本。其基本思想是基于端口的网络访问控制，即通过控制面向最终用户的以太网端口，使得只有网络系统允许并授权的用户可以访问网络系统的各种业务（如以太网连接，网络层路由，Internet接入等）。 认证仅仅在认证阶段采用EAPOL（EAP encapsulation over LANs）报文，认证之后的通信过程中采用TCP/IP 协议。EAP（Extensible Authentication Protocol扩展认证协议）是对PPP协议的扩展，EAP对PPP的扩展之一就是让提供认证服务的交换机从认证过程中解脱出来，而仅仅是中转用户和认证服务器之间的EAP包，所有复杂的认证操作都由用户终端和认证服务器完成。 最大的优点就是业务流与控制流分离，一旦认证通过，所有业务流与认证系统相分离，有效地避免了网络瓶颈的产生。 协议为二层协议，不需要到达三层，而且接入层交换机无需支持的VLAN，对设备的整体性能要求不高，可以有效降低建网成本。 缺点： *需要特定客户端软件 *网络现有楼道交换机的问题：由于是比较新的二层协议，要求楼道交换机支持认证报文透传或完成认证过程，因此在全面采用该协议的过程中，存在对已经在网上的用户交换机的升级处理问题； *IP地址分配和网络安全问题：协议是一个2层协议，只负责完成对用户端口的认证控制，对于完成端口认证后，用户进入三层IP网络后，需要继续解决用户IP地址分配、三层网络安全等问题，因此，单靠以太网交换机＋，无法全面解决城域网以太接入的可运营、可管理以及接入安全性等方面的问题； *计费问题：协议可以根据用户完成认证和离线间的时间进行时长计费，不能对流量进行统计，因此无法开展基于流量的计费或满足用户永远在线的要求。 Web+ Portal

portal 认证技术实现方式

Portal认证方式具有：不需要安装认证客户端，减少客户端的维护工作量、；便于运营，可以在Portal页面上开展业务拓展、技术成熟等优点而被广泛应用于运营商、学校等网络。 目前在公共场合也有很多的WIFI热点.WIFI本身不加密,但是当用户访问网络的时候,会要求用户输入用户名和密码.认证成功后就可以上网了.WEB认证的特点显而易见,就是不需要特殊的客户端,有浏览器就可以了.所以,手机也可以方面的使用. 方法/步骤 用户连接到网络后，终端通过DHCP由BAS做DHCP-Relay，向DHCP Server要IP地址（私网或公网）；(也可能由BAS直接做DHCP Server)。 用户获取到地址后，可以通过IE访问网页，BAS为该用户构造对应表项信息（基于端口号、IP），添加用户ACL服务策略（让用户只能访问portal server和一些内部服务器，个别外部服务器如DNS），并将用户访问其他地址的请求强制重定向到强制Web认证服务器进行访问。表现的结果就是用户连接上但不认证的情况下，只能访问指定的页面，浏览指定页面上的广告、新闻等免费信息。 Portal server向用户提供认证页面，在该页面中，用户输入帐号和口令，并单击"log in"按钮，也可不输入由帐号和口令，直接单击"Log in"按钮；

该按钮启动portal server上的Java程序，该程序将用户信息（IP地址，帐号和口令）送给网络中心设备BAS； BAS利用IP地址得到用户的二层地址、物理端口号（如Vlan ID, ADSL PVC ID，PPP session ID），利用这些信息，对用户的合法性进行检查，如果用户输入了帐号，使用用户输入的帐号和口令到Radius server对用户进行认证，如果用户未输入帐号，则认为用户是固定用户，网络设备利用Vlan ID（或PVC ID）查用户表得到用户的帐号和口令，将帐号送到Radius server进行认证； Radius Server返回认证结果给BAS； 认证通过后，BAS修改该用户的ACL，用户可以访问外部因特网或特定的网络服务；BAS 开始计费。 用户离开网络前，连接到portal server上，单击"断开网络"按钮，系统停止计费，删除用户的ACL和转发信息，限制用户不能访问外部网络； 注意事项 二次地址分配问题： 二次地址分配是指在802.1X或Web Portal接入方式中，初始DHCP时为用户预分配IP 地址（通常为私网地址），在用户通过认证后，重新为用户分配地址（通常为公网地址）的技术。这是因为如果在用户开机后未经过认证，DHCP时全部为用户分配公网IP地址，显然是对IP地址资源的极大浪费。采用二次地址分配则可以较为有效的解决公网地址不足的问题，提高公网地址的利用率。 二次地址分配的配置是在BRAS上配置认证域时配置的，需要启用二次地址分配功能并

H3C无线本地portal认证

本地portal认证 组网： 实验环境： [WX5540E]dis version H3C Comware Platform Software Comware Software, Version 5.20, Release 2609P55 Copyright (c) 2004-2016 Hangzhou H3C Tech. Co., Ltd. All rights reserved. H3C WX5540E uptime is 2 weeks, 1 day, 4 hours, 26 minutes H3C WX5540E with 1 RMI XLP 432 1400MHz Processor 8192M bytes DDR3 16M bytes Flash Memory 4002M bytes CFCard Memory Hardware Version is Ver.B FPGA1 Hardware Version is Ver.A FPGA2 Hardware Version is Ver.A CPLD 1 CPLD Version is 006

CPLD 2 CPLD Version is 004 FPGA1 Logic Version is 323 FPGA2 Logic Version is 323 Basic Bootrom Version is 1.12 Extend Bootrom Version is 1.12 [Slot 0]WX5540ELSW Hardware Version is NA [Slot 1]WX5540ERPU Hardware Version is Ver.B dis version H3C Comware Software, Version 7.1.045, Release 3113P05 Copyright (c) 2004-2016 Hangzhou H3C Tech. Co., Ltd. All rights reserved. H3C S5130-28S-PWR-EI uptime is 0 weeks, 1 day, 8 hours, 18 minutes Last reboot reason : USER reboot Boot image: flash:/s5130ei_e-cmw710-boot-r3113p05.bin Boot image version: 7.1.045, Release 3113P05 Compiled May 25 2016 16:00:00 System image: flash:/s5130ei_e-cmw710-system-r3113p05.bin System image version: 7.1.045, Release 3113P05 Compiled May 25 2016 16:00:00 Slot 3: Uptime is 0 weeks,1 day,8 hours,18 minutes H3C S5130-28S-PWR-EI with 1 Processor BOARD TYPE: S5130-28S-PWR-EI DRAM: 1024M bytes FLASH: 512M bytes PCB 1 Version: VER.B Bootrom Version: 145 CPLD 1 Version: 002 Release Version: H3C S5130-28S-PWR-EI-3113P05 Patch Version : None Reboot Cause : UserReboot [SubSlot 0] 24GE+4SFP Plus 配置： S5130配置： # interface Vlan-interface3 ip address 1.1.1.2 255.255.255.0

智能化会议系统设计方案

多媒体会议室智能化系统方案 设 计 方 案 二〇一八年八月

目录 多媒体会议系统 (1) 1.1 概述 (1) 1.2 会议室系统设计 (2) 1.2.1 总体描述 (2) 1.2.2 会议讨论系统 (2) 1.2.3 扩声系统 (3) 1.2.4 视频显示系统 (5) 1.2.5 摄像跟踪系统 (6) 1.2.6 集中控制系统 (7) 1.2.7 视频会议系统 (9)

多媒体会议系统 1.1概述 会议系统是智能化的重要组成部分，必须能够满足会议及各种不同需要，为了能更充分发挥其功能，采用先进的、现代化的电子设备，利用多种高科技手段，全方位多角度地展示会议所需要的多种格式的图文及视、音频文件。应具备图文、视频显示功能，多媒体接入功能，会议发言、讨论等功能。实现以上诸多功能的会议室离不开一套完备的多功能会议系统。 多媒体会议系统一般分为以下几个部分： 会议讨论系统：向各与会者传送稳定、纯正的会议音频信号，可实现发言讨论、投票表决、同声传译等功能。 大屏幕投影显示及音响系统：现场的视频、音频主要实现设备，为与会人员展示良好的视听效果。 多媒体周边设备：各种视频、音频信号的输入输出设备，多媒体电教设备

及现场环境的最终实施设备。 视频跟踪系统：当发言代表打开话筒时，摄像机可自动对准发言人进行摄像,并显示到大屏幕或投影设备,同时也可手动控制,监视全场,控制灵活。同时可实现多台摄像机之间及摄像机与视频信号之间的快速切换。 以上几个部分实现功能各不相同，既相互独立又是一整体。 Xx医药公司在中国有近40个办事机构，共有近40个会议室。为了节约时间提供效率，故建立视频会议系统，通过CMNET网络平台，移动公司租赁传输数据专线在xx医药公司全国各会议室间建立音视频通道，实现会议室间的会议联网。 ?本系统包括：会议讨论发言、表决系统，集中控制系统，大屏幕投影系 统，音响（扩声）系统，视频会议系统，摄像联动系统，信号切换系统 等； ?集中控制系统主要实现对会议室摄象机的自动摄象、视频会议的控制、 投影机的开关、信号源的切换、电动屏幕的升降、音响系统的开关、扩 音系统的音量、所有音视频源开关，录像机，DVD的快进快退等、照明灯光的开关或亮暗调整、电动窗帘的开关等，是视频会议的中心控制部 分。 1.2会议室系统设计 1.2.1总体描述 会议室内涉及到的系统有会议讨论系统，摄像联动系统，集中控制系统，大屏幕投影系统，扩音系统，视频会议系统等。下面分别进行描述：

H3C AC+Fit AP本地MAC地址认证功能

实验7 AC ＋Fit AP 本地MAC 地址认证功能 7.1 实验内容与目标 完成本实验，您应该能够： l 了解“瘦”AP 解决方案中MAC 地址认证的原理 l 掌握 AC ＋FIT AP 本地MAC 地址认证的配置 7.2 实验组网图 图1 实验组网图 该组网图说明如下：配置终端笔记本通过串口线连接到AC 的CONSOLE 口上，用于相关配置以及查看AP 注册信息，无线客户端采用无线网卡搜索无线信号，接入指定SSID “h3c-mac ”，进行MAC 认证。 AC VLAN1接口地址192.168.1.9 Switch VLAN1接口地址192.168.1.254，VLAN4接口地址192.168.4.254 AC 与Switch 之间通过Trunk 链路连接，通过VLAN1、4 FIT AP 属于VLAN1，无线客户端属于VLAN4 7.3背景需求 认证是保障无线接入安全的手段之一，有多种实现方式。基于MAC 地址的认证方式配置简单，实现方式对客户端透明，且安全性较高，是一种可选的无线认证方式。 7.4 实验设备与版本 主机：一台带有串口PC ，配有无线网卡 H 3C

线缆：CONSOLE 线缆一根 无线接入点FIT AP ：WA 系列无线接入点 无线交换机AC ：WX 系列无线交换机 版本：Comware Software, Version 5.20 7.5实验过程 按上述组网图部署AP 和无线交换机，确保FIT AP 成功注册到控制器AC 上。 实验任务一：配置DHCP 动态地址分配 步骤一：在AC 上配置无线客户端地址池 系统视图下，使能DHCP 功能，配置向无线客户端分配的地址池： [H3C] dhcp enable [H3C] dhcp server ip-pool pool4 [H3C-dhcp-pool-pool4] network 192.168.4.0 mask 255.255.255.0 配置向无线客户端下发的网关： [H3C-dhcp-pool-pool4] gateway-list 192.168.4.254 配置禁止分配IP ： [H3C] dhcp server forbidden-ip 192.168.4.9 可通过以下命令查看IP 地址分配情况： [H3C] display dhcp server ip-in-use all 步骤二：在AC 上配置无线客户端接口地址 创建无线客户端所属VLAN （vlan 4）并配置接口地址： [H3C] vlan 4 [H3C] interface vlan-interface 4 [H3C-Vlan-interface4] ip address 192.168.4.9 24 实验任务二：配置MAC 认证方式的无线接入服务 步骤一：配置无线接口的MAC 地址认证功能 [H3C] port-security enable [H3C] interface WLAN-ESS 4 [H3C-WLAN-ESS4] port-security port-mode mac-authentication 步骤二：配置无线接口所属VLAN （vlan 4） [H3C-WLAN-ESS4] port access vlan 4 步骤三：配置无线服务模板 [H3C] wlan service-template 4 clear [H3C-wlan-st-4] ssid h3c-mac [H3C-wlan-st-4] bind WLAN-ESS 4 [H3C-wlan-st-4] authentication-method open-system [H3C-wlan-st-4] service-template enable H 3C

MAC地址认证实施方案

MAC地址认证实施方案

目录 1MAC地址认证概述 .................................................................................................................. - 1 -2实施规划..................................................................................................................................... - 3 - 2.1准备阶段 (3) 2.1.1MAC地址统计........................................................................................................... - 3 - 2.1.2服务器准备................................................................................................................ - 3 - 2.1.3接入交换机准备 ........................................................................................................ - 4 - 2.1.4备份准备.................................................................................................................... - 4 -2.2测试阶段 .. (4) 2.3实施阶段 (5) 2.4应急回退方法 (6)

信锐技术Portal服务器统一认证运营解决方案

信锐无线Portal统一运营解决方案 一、市场背景 2015年，工信部公布移动互联网用户总数规模达9.05亿。移动互联网的快速发展，无线需求旺盛，数据显示，WiFi上网接入占比持续扩大，接近七成，成为排名第一的上网方式。 目前主流的国内企业级无线厂商有华为、华三、锐捷、信锐，国外厂商思科、Aruba、Ruckus。还有一些不知名厂商。无线网络易扩展性的特点，使多期模式建设项目中存在多家厂商的无线网络设备。技术实现方式的差异导致，部署无线后很难实现统一的认证接入、用户管理、数据采集等。 信锐无线控制器内置Portal服务器，可以实现所有厂商无线的统一认证，包括支持Portal2.0协议以及不支持Portal2.0协议，有AC的廋AP组网或者没有AC的胖AP。 二、解决方案 2.1整体解决方案 新建的无线网络与一期已上线的无线网络统一整合，部署信锐无线Portal统一运营平台，

对整个网络的用户上网进行统一认证，达到各网络切换无需重新认证、简单管理的效果。信锐Portal运营平台还提供丰富的无线增值功能，包括多种认证方式、丰富的认证前广告推送、精准营销推送（可选定制），大数据分析（可选定制）等增值功能，为运营提供更多的利润点和决策支持。 信锐无线Portal统一运营解决方案网络架构如下图所示： 网络架构优势：信锐技术提供双机备份机制，通过部署2台控制器，实现整个无线网络的双机热备冗余，当主AC宕机后，备AC立即接替工作，减少单个设备故障带来的客户业务中断问题，提升了客户业务的可靠性，增加网络可靠性，避免单点故障，让无线网络更稳定。 2.2接入规则 Portal认证，是一种强制门户，强制用户在web页面上输入用户名密码校验后上网的一种认证形式。Portal认证的核心为其使用的Portal协议，现今，大多数运营商通过Portal2.0协议与其Radius服务器对接，实现认证、计费的功能。新建的无线网络与一期已上线的无线网络需统一SSID（无线网络名称），统一认证方式（web认证）。

项目案例15 无线控制器MAC地址认证 Guest VLAN解析

项目案例 计算机网络系统集成项目（工程项目案例及实践） 所在系别：计算机技术系 所属专业：计算机网络技术 指导教师：张海峰 专业负责人：孙志成

H3C无线控制器MAC地址认证+Guest VLAN典型配置 举例（V7） 一、功能需求 本文档介绍当用户MAC地址认证失败时只能访问某一特定的VLAN，即Guest VLAN 内的网络资源的典型配置举例。 本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解AAA、MAC地址认证、WLAN用户接入认证和WLAN接入特性。 二、组网信息及描述 如图1所示，集中式转发架构下，AP和Client通过DHCP server获取IP地址，设备管理员希望对Client进行MAC地址认证，以控制其对网络资源的访问，具体要求如下： ?配置VLAN 200为Client的接入VLAN，Client通过VLAN 200 上线并在RADIUS server上进行MAC地址认证。 ?配置VLAN 300为Guest VLAN，当Client的MAC地址认证失败 时进入Guest VLAN，此时Client只能访问VLAN 300内的网络资源。 三、配置步骤 1.1 配置思路 为了实现用户MAC地址认证失败后仅允许访问Guest VLAN内的资源，需要在无线服务模板下配置Guest VLAN功能，则认证失败的用户会被加入该Guest VLAN，且

portal认证介绍(DOC)

Portal认证技术 认证技术是AAA（认证，授权，计费）的初始步骤，AAA一般包括用户终端、AAAClient、AAA Server和计费软件四个环节。用户终端与AAA Client之间的通信方式通常称为"认证方式"。目前的主要技术有以下三种：PPPoE、Web＋Portal、IEEE802.1x。 基于web方式的认证技术最广为人知的一点是不需要在客户端安装任何拨号与认证软件。它能够处理高层协议，在网络应用日益复杂的形势下，很多复杂的管理要求已经涉及到高层协议，面对这些要求，基于2、3层的认证技术入PPPoE，802.1x就无能为力。 1.PPPoE 通过PPPoE（Point-to-Point Protocol over Ethernet）协议，服务提供商可以在以太网上实现PPP协议的主要功能，包括采用各种灵活的方式管理用户。 PPPoE（Point-to-Point Protocol over Ethernet）协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。 PPPoE的建立需要两个阶段，分别是搜寻阶段（Discovery stage）和点对点对话阶段（PPP Session stage）。当一台主机希望启动一个PPPoE对话，它首先必须完成搜寻阶段以确定对端的以太网MAC地址，并建立一个PPPoE的对话号（SESSION_ID）。 在PPP协议定义了一个端对端的关系时，搜寻阶段是一个客户-服务器的关系。在搜寻阶段的进程中，主机（客户端）搜寻并发现一个网络设备（服务器端）。在网络拓扑中，主机能与之通信的可能有不只一个网络设备。在搜寻阶段，主机可以发现所有的网络设备但只能选择一个。当搜索阶段顺利完成，主机和网络设备将拥有能够建立PPPoE的所有信息。 搜索阶段将在点对点对话建立之前一直存在。一旦点对点对话建立，主机和网络设备都必须为点对点对话阶段虚拟接口提供资源 （1）PPPoE方式其整个通信过程都必须进行PPPoE封装，效率较低，由于宽带接入服务器要终结大量的PPP会话，将其转换为IP数据包，使宽带接入服务器成为网络性能的“瓶颈”。（2）由于点对点的特征，使组播视频业务开展受到很大的限制，视频业务大部分是基于组播的。 （3）PPPoE在发现阶段会产生大量的广播流量，对网络性能产生很大的影响 2、802.1x 802.1x认证，起源于802.11协议，后者是标准的无线局域网协议，802.1x协议提出的主要目的：一是通过认证和加密来防止无线网络中的非法接入，二是想在两层交换机上实现用户的认证，以降低整个网络的成本。其基本思想是基于端口的网络访问控制，即通过控制面向最终用户的以太网端口，使得只有网络系统允许并授权的用户可以访问网络系统的各种业务（如以太网连接，网络层路由，Internet接入等）。 802.1x认证仅仅在认证阶段采用EAPOL（EAP encapsulation over LANs）报文，认证之后的通信过程中采用TCP/IP协议。EAP（Extensible Authentication Protocol扩展认证协议）是对PPP协议的扩展，EAP对PPP的扩展之一就是让提供认证服务的交换机从认证过程中解脱出来，而仅仅是中转用户和认证服务器之间的EAP包，所有复杂的认证操作都由用户终端和认证服务器完成。

27-Mac地址认证 MyPower S4330 V1.0 系列交换机配置手册

MAC地址认证配置

本手册著作权属迈普通信技术有限公司所有，未经著作权人书面许可，任何单位或个人不得以任何方式摘录、复制或翻译。 侵权必究。 策划：研究院资料服务处 * * * 迈普通信技术有限公司 地址：成都市高新区九兴大道16号迈普大厦 技术支持热线：400-886-8669 传真：（+8628）85148948 E-mail：support@https://www.sodocs.net/doc/e8395594.html, 网址：https://www.sodocs.net/doc/e8395594.html, 邮编：610041 版本：2011年 8月v1.0版

目录 第1章配置Mac地址认证 (1) 1.1 Mac地址认证简介 (1) 1.2 Mac地址认证配置 (1) 1.2.1 AAA相关配置 (1) 1.2.2 功能开启配置 (2) 1.2.3 下线检测配置 (3) 1.2.4 静默定时器配置 (3) 1.2.5 Mac-vlan功能配置 (3) 1.2.6 Guest-vlan功能配置 (4) 1.2.7 用户特性配置 (4) 1.2.8 配置实例 (5)

第1章配置Mac地址认证 1.1 Mac地址认证简介 mac地址认证功能是基于端口和mac地址对用户进行访问网络权限进行控制的功能模块。刚开始时，交换机的mac地址表不存在用户的mac地址表项，用户的报文首次到达交换机会触发mac地址认证，在认证过程中，不需要用户的参与（比如输入相关用户名和密码），认证通过后用户的mac地址会加进交换机的mac地址表，以后该用户的流量就可以直接根据mac地址表项内容进行转发。 认证时支持两种认证方式，在配置AAA域的时候选择方案配置： 通过radius服务器进行认证； 通过本地用户数据库进行认证； 1.2 Mac地址认证配置 1.2.1 AAA相关配置 mac认证需要配置使用哪个AAA认证域进行认证。而进行radius服务器认证或者本地用户数据库认证的选择在AAA认证域进行。 如果没有配置，则使用系统配置的默认认证域进行。 当两者都没有配置，则无法进行认证。 由于没有用户参与，mac地址认证在认证时需要构造相关的用户名称和密码，现在存在两种方法： a)mac地址方式，在此种方式下，使用mac地址作为认证的用户名称和密码，固定为12字符长度的字符串，比如mac地址为00:0a:5a:00:03:02，则用户名称和密码为“000a5a000302”；

(完整)酒店行业portal认证解决措施(共享运营商无线AP设备)

(完整)酒店行业portal认证解决措施(共享运营商无线AP设备) 编辑整理： 尊敬的读者朋友们： 这里是精品文档编辑中心，本文档内容是由我和我的同事精心编辑整理后发布的，发布之前我们对文中内容进行仔细校对，但是难免会有疏漏的地方，但是任然希望（(完整)酒店行业portal认证解决措施(共享运营商无线AP设备)）的内容能够给您的工作和学习带来便利。同时也真诚的希望收到您的建议和反馈，这将是我们进步的源泉，前进的动力。 本文可编辑可修改，如果觉得对您有帮助请收藏以便随时查阅，最后祝您生活愉快业绩进步，以下为(完整)酒店行业portal认证解决措施(共享运营商无线AP设备)的全部内容。

目录 一．工程背景3 二．需求分析3 三．组网拓扑图5 3.1改造后网络拓扑图5 四．产品功能6 4.1 基本网络功能6 4。2 高级管理功能6 五．管理功能〈部分）7 5。1用户上网日志：7 六．方案优势9 一． 工程背景 随着智能手机、平板电脑成为出行的必备，酒店业为提升品牌管理与服务意识，纷纷上马无线网络工程，为住客提供优质的WIFI 接入服务。 酒店无线网络建设分为两种情况：酒店自建无线网络与电信运营商圈地建设。 电信运营商“圈地建设”是指前期电信运营商自己投入费用〈包括无线网络设备费用、安装调试维护费用、互联网接入费用及前期与酒店接触所产生的营销费用等),利用酒店现有的经营场所免费给酒店建设无线网络，作为酒店方面不需要出具任何费用,就能让客人使用电信运营商建设的无线网络,后期电信运营商会向使用无线网络的客人收取上网费用以达到收回前期各种费用投资并在今后实现持续盈利的目的。 从表面上来看，受益的确实是酒店方，既不用自己出任何费用又解决了让客人无线上网的实际需求，何乐而不为呢？部分酒店都爽快地签订了“圈地协议”，但运营一段时间后发现运营商的无线网络存在着严重的弊 共用运营商无线AP 设备 自定义展示广告 短信验证码认证<实名制） 酒店行业portal 认证解决方案