Agile controller认证部分

1 802.1X认证操作指导
1.1 登录Agile controller
使用https://10.10.10.100:8443

配置思路

1.2 添加设备
资源>设备管理>增加
<AC6605> display accounting-scheme acco_scheme

1.3 设置策略
1.3.1 定义认证规则

1.3.2 定义授权结果

1.3.3 定义授权规则

2 portal认证操作指导

2.1 添加设备
资源>设备管理>增加

2.2 添加SSID

2.3 设置策略
2.3.1 定义认证规则

2.3.2 定义授权结果

2.3.3 定义授权规则
通过以上认证规则、授权结果在授权规则中调用

2.4 定制portal界面

2.5 设置portal推送策略

2.6 设置MAC优先

?

3 MAC免认证操作指导
3.1 增加设备组

3.2 在设备组中添加MAC

3.3 设置策略
3.3.1 添加认证规则（旁路部署）

3.3.2 添加授权结果

3.3.3 添加授权规则

4 短信认证操作指导
4.1 AC配置
AC完成基本的portal认证配置；
4.2 Agile Controller配置
在Agile Controller上添加接入设备：选择“资源->设备->设备管理”，单击增加；
配置短信服务器，使得系统能够正常发送短信：选择“系统 > 服务器配置 > 短信服务器配置”，设置短信服务器的参数；

Http地址为:http://189.180.0.130:8889/httpsmstest/HttpTest
要根据当前计算机（安装httptest的计算机）的IP地址来；
属性为:password={PASSWORD}
userName=sa
to={TELEPHONENUMBER}
content={MSGCONTENT}
密码为:sa；
成功标识为:OK；
配置访客帐号策略：选择“策略 > 准入控制 > 访客管理 > 访客帐号策略”；

定制认证页面，访客未认证访问网络时，自动跳转到访客认证页面；选择“策略 > 准入控制 > 页面定制 > 页面定制”，点击添加，选择手机快速认证模板；

配置Portal页面推送策略，对访客推送定制的认证页面，选择“策略 > 准入控制 > 页面定制 > Portal页面推送策略”，单击“增加”，设置Portal页面推送策略。

认证页面跳转选择继续访问原页面，AC上配置的“redirect-url”字段的值必须为“url”。

4.3 Httptest配置
安装Httptest，打开bin文件夹，点击startup.bat文件启动程序；

终端关联信号，访问Internet，被重定向至访客认证页面。访客输入手机号码，单击“获取密码”，在软件上会收到发送的密码，访客输入手机号码和密码，单击“登录”，页面自动跳转到认证前访问的页面。

5 Portal二维码审批操作指导
5.1 定义访问账号策略

5.2 页面定制

5.3 设置portal推送策略

5.4 账号审批记录

6 Portal邮件推送操作指导
6.1 邮箱设置

6.2 策略设定

7 全局设置
7.1 用户名密码设置

使用备份恢复工具备份的程序只能通过备份恢复工具恢复，不能通过手工方式恢复。

1. 从企业技术支持网站或光盘获取“Agile_Controller-Campus_xxx_MaintainTool_Windows.zip”。
2. 解压后运行“MaintainTool.bat”。
3. 单击“运行备份恢复工具”。

在老Agile Controller-Campus获取License失效码。
登录老Agile Controller-Campus管理界面，选择“系统 > License管理 > License信息查看”。
单击“失效License”，获取失效码。
在新Agile Controller-Campus获取ESN。
登录新Agile Controller-Campus管理界面，选择“系统 > License管理 > License信息查看”。
单击“获取ESN”。
根据失效码和新服务器ESN，在ISDP网站获取新的License文件。
登录http://app.huawei.com/isdp。
在左侧菜单选择“License调测与维护 > ESN变更”。
输入失效码，单击“验证失效码”。

<HUAWEI> ftp 192.168.1.1 //输入帐号密码，可以在IPOP设置帐号密码
[ftp] put vrpcfg.zip //在操作终端的FTP服务器设置路径查看，如D:\S7706_CFG

准入场景 取消准入控制操作
802.1X 1. 强制在线用户下线。
在AAA视图执行命令cut access-user interface interface-type interface-number。interface-type interface-number为认证控制接口。

1. 全局取消802.1X认证。
   系统视图执行命令undo dot1x enable。
   Portal 在系统视图执行命令portal free-rule 0 destination any source any。
   SACG 在防火墙选择“网络 > SACG > 基本配置”，启用“服务器状态检测”，并将“最小活跃服务器个数”设为1。

终端无法打开Portal认证页面，但是可以正常访问“http://Portal服务器-IP:8080/portal”。
可能原因
通过IP地址能够直接访问Portal服务器，说明终端和Portal服务器之间的网络连接正常，则出现无法打开Portal认证页面的原因可能有：
接入控制设备上VLANIF接口下未绑定Portal服务器模板。
接入控制设备上URL模板中配置的Portal认证页面的URL地址不正确，导致交换机/AC无法将终端的http请求重定向至Portal服务器。
终端在未进行身份认证的情况下访问的是HTTPS网站。
DNS服务器未配置到认证前域，导致终端认证通过前无法访问DNS服务器，进而无法解析域名。
终端上没有配置DNS服务器，导致终端无法解析域名，进而无法产生HTTP流量触发Portal认证页面。

Portal认证成功，无法访问后域的可能原因有：
接入控制设备上配置的认证后域ACL中放行的后域资源不正确。
终端的IP地址没有加入到接入控制设备管辖的IP地址池。
终端与业务控制器之间存在NAT。

时隔一段时间就掉线
在接入控制设备上执行命令dis aaa abnormal-offline-record mac <H-H-H>，查看用户下线的原因。
如果下线原因显示Web user request，请按照如下步骤排查：
检查终端认证成功后是否关闭了认证成功页面或者管理员在Agile Controller-Campus上设置的无线接入终端Web认证会话超时时间是否太短。
在桌面终端上认证成功的页面不可以关闭，否则就会引起终端用户掉线，进而无法访问认证后域中的网络资源。因为Web浏览器定期（心跳周期可以在全局参数中配置）会向Portal服务器发送心跳报文，如果认证页面被关闭，Web浏览器无法向Portal服务器发送心跳报文，终端用户会话产生超时而被迫下线。

1. ? 在移动终端上，认证成功页面在会话超时之前是可以关闭的，移动终端用户下线时间取决于管理员在全局参数中配置的“无线接入终端Web认证会话超时时间”，如果“无线接入终端Web认证会话超时时间”设置的很短，达到会话超时时间后，也会导致用户下线。

如果管理员启动了MAC优先的Portal认证功能，Portal服务器会自动保留终端用户的MAC地址和SSID，则在MAC优先的Portal认证会话有效期之内关闭认证成功页面，AC会自动使用终端的MAC地址向Portal服务器发起MAC认证，故不会影响访问认证后域中的网络资源。
MAC优先的Portal认证相关配置请参见无线环境中的Portal接入（含MAC优先）。

1. 检查Agile Controller-Campus上是否配置了用户在线时长限制。
   登录Agile Controller-Campus，选择“系统 > 终端参数配置 > 局部参数”，在“用户在线时长限制”中检查用户在线时长是否设置的合理。

两个账号互相踢
管理员在“系统 > 终端参数配置 > 局部参数”中配置了“同一帐号接入数控制”，并且将“最大接入数”设置为了“1”，将“达到最大接入数时的动作”设置为了“允许接入（强制已在线用户下线）”。虽然通过MAC优先上线的终端是通过MAC地址上线的，但是MAC地址和帐号是绑定的，一个帐号只能在一台终端上线，所以后上线的会将先上线的踢下线。

<AC> system-view
[AC] mac-authen quiet-times 5
[AC] mac-authen timer quiet-period 15
[AC] quit
<AC> save

portal captive-bypass enable

放行苹果站点
portal free-rule 1 destination ip 223.111.109.13 mask 32
portal free-rule 1 destination ip 17.142.160.82 mask 32
portal free-rule 1 destination ip 17.172.224.102 mask 32
portal free-rule 1 destination ip 17.178.96.96 mask 32
portal free-rule 1 destination ip 223.119.150.170 mask 32

如果终端和准入控制设备之间是二层网络，支持终端登录日志中显示终端MAC地址。
在AC上配置的URL模板中需要配置URL参数携带终端MAC地址user-mac。
[AC] url-template name huawei
[AC-url-template-huawei] url http://172.18.1.1:8080/portal
[AC-url-template-huawei] url-parameter ssid ssid user-mac usermac redirect-url url

原文地址：https://blog.51cto.com/maguangjie/2466115