信锐无线和华三核心交换做对接认证

由于原来客服发布的文档对相关配置有缺失。所以做了补充说明。整个文档整体上还是使用的原文档的。供大家参考，有问题可以发出来讨论下。

首先要明白和哪个设备做对接。一般是和控制器做对接，此文档中也是和控制器做的对接，但是我实施的网络环境中，控制器只是做了激活和控制AP的功能，下面用户的DHCP网关等都是在华三的核心上做的，所以对接就要和华三核心做对接，切记！！

1、 在测试之前的拓扑中，测试一直无法弹出portal页面，原因是当华三的控制器开启认证后无线用户与NAC控制器之间无法通信，只有单独在放通无线终端的IP地址后才可以重定向到我们的认证页面（此时是已经放通了控制器IP的）

2、 最后修改网络架构为全网vlan1使用华三的IMC协议对接

一、 我司NACportal服务器配置截图

1、 基础网络配置  

设备以单臂模式部署在客户网络中，h3c无线控制器和portal设备在同一局域网，华三的无线控制器做集中转发，通过portal的微信连WiFi功能认证。

2、 配置认证服务器

   除portal服务器地址外其他参数默认即可，内置radius服务器的密钥固定为123456

portal服务器地址指的是我们设备地址，客户端地址指的是华三的地址。

3、 配置web认证策略

协议这里需要注意，默认华三的控制器依然采用的是CMCC的portal2.0协议，配置时需要与华三工程师确认修改为IMC协议（也可以采用portal2.0，也测试过可以通过认证）确保我司portal服务器与华三的控制器的端口正常通信

一、 华三无线控制器配置截图

1、web页面认证配置步骤（此处与某公司portal服务器与H3C对接文档中的截图类似，只是地址不相同而已）

  首先新建radius认证服务器

配置AAA：点击认证->AAA，填写域名，并且应用。（这里的域名就是后面要引用的方案名）

点击认证，按如下的配置进行配置，最后点击应用

在建完认证后，点击-授权-选择portal授权并应用

点击计费-关闭计费功能

点击认证->portal认证->新建

选端口名称选择之前配置好的vlan口 ，portal服务器选择新建portal服务器，认证方式选择Direct，认证域选择刚才配好的认证域，填写新建portal服务器信息（服务器ip为portal的ip）点击确定

下图中的接口名称是指选择要做对接认证的那个网段的VLAN。并不是随便选择的。

需要注意的是还需要放通固定的一些地址段（如下图）

1、 portal服务器的IP地址

2、 华三控制器的通信IP地址

3、 网关地址、以及整个认证网段（这样表示华三无线进行免认证，只是重定向url即可）

4、 DNS地址放通

以下所有地址都是针对目的地址做的排除。自己做的时候把用户网段做成源地址的了，就直接能上网了！！

做完以上命令后，一定要记得保存配置。据400说可能有些配置不保存没法生效。假如保存后还是不生效就考虑通过下面的命令来做吧。

一、 华三后台调试命令说明

1、 接口配置

interface Vlan-interface1

ip address 192.168.0.17 255.255.0.0

portal server wac method direct

portal domain wac

2、 指向URL配置及对接协议

指向： portal server wac ip 192.168.0.18 key cipher $c$3$OSyoILh5AXh+i5w5wf0+5xVS2+DI0KLQRg== url http://192.168.0.18/?url_id=1408525 server-type imc

3、 放通免认证的白名单地址

认证网段为192.168.0.0/16的网段

白名单： portal free-rule 17 source ip any destination ip 192.168.0.135 mask 255.255.255.255

白名单： portal free-rule 18 source ip any destination ip 192.168.0.0 mask 255.255.0.0

4、 RADIUS认证配置

192.168.0.18是我司portal服务器

radius scheme wac

server-type extended

primary authentication 192.168.0.18

key authentication cipher $c$3$DaE5mTBMcI3LkbA4eqmoIIBS5l5LPFZsFw==

user-name-format without-domain

retry stop-accounting 10

5、 域设置配置

domain wac

authentication portal radius-scheme wac

authorization portal radius-scheme wac

access-limit disable

accounting optional

state active   

idle-cut enable 15 10000

self-service-url disable

说明：如果不配置“accounting optional”这条命令就会出现当用户portal认证通过后被设备踢出 ，网上查出描述如下

假如出现以下提示请检查以上配置是否正确！！！！！

好，最后祝君对接顺利，戒骄戒躁，定能成功！

H3C对接说明.docx (942.67 KB, 下载次数: 76)

2016-8-14 20:24 上传

点击文件名下载附件

感谢分享

感谢楼主的分享，为使用无线的小伙伴们带来福利！
建议将内容直接贴出来，这样查看就更方便了~

好棒  好棒

我是过来学习的

必须顶一个

感谢分享

一起来学习一起来学习

一起来学习一起来学习

一起来学习一起来学习