Agile controller认证部分

1 802.1X认证操作指导
1.1 登录Agile controller
使用https://10.10.10.100:8443

配置思路

1.2 添加设备
资源>设备管理>增加
<AC6605> display accounting-scheme acco_scheme

1.3 设置策略
1.3.1 定义认证规则

1.3.2 定义授权结果

1.3.3 定义授权规则

2 portal认证操作指导

2.1 添加设备
资源>设备管理>增加

2.2 添加SSID

2.3 设置策略
2.3.1 定义认证规则

2.3.2 定义授权结果

2.3.3 定义授权规则
通过以上认证规则、授权结果在授权规则中调用

2.4 定制portal界面

2.5 设置portal推送策略

2.6 设置MAC优先

?

3 MAC免认证操作指导
3.1 增加设备组

3.2 在设备组中添加MAC

3.3 设置策略
3.3.1 添加认证规则(旁路部署)

3.3.2 添加授权结果

3.3.3 添加授权规则

4 短信认证操作指导
4.1 AC配置
AC完成基本的portal认证配置;
4.2 Agile Controller配置
在Agile Controller上添加接入设备:选择“资源->设备->设备管理”,单击增加;
配置短信服务器,使得系统能够正常发送短信:选择“系统 > 服务器配置 > 短信服务器配置”,设置短信服务器的参数;

Http地址为:http://189.180.0.130:8889/httpsmstest/HttpTest
要根据当前计算机(安装httptest的计算机)的IP地址来;
属性为:password={PASSWORD}
userName=sa
to={TELEPHONENUMBER}
content={MSGCONTENT}
密码为:sa;
成功标识为:OK;
配置访客帐号策略:选择“策略 > 准入控制 > 访客管理 > 访客帐号策略”;

定制认证页面,访客未认证访问网络时,自动跳转到访客认证页面;选择“策略 > 准入控制 > 页面定制 > 页面定制”,点击添加,选择手机快速认证模板;

配置Portal页面推送策略,对访客推送定制的认证页面,选择“策略 > 准入控制 > 页面定制 > Portal页面推送策略”,单击“增加”,设置Portal页面推送策略。

认证页面跳转选择继续访问原页面,AC上配置的“redirect-url”字段的值必须为“url”。

4.3 Httptest配置
安装Httptest,打开bin文件夹,点击startup.bat文件启动程序;

终端关联信号,访问Internet,被重定向至访客认证页面。访客输入手机号码,单击“获取密码”,在软件上会收到发送的密码,访客输入手机号码和密码,单击“登录”,页面自动跳转到认证前访问的页面。

5 Portal二维码审批操作指导
5.1 定义访问账号策略

5.2 页面定制

5.3 设置portal推送策略

5.4 账号审批记录

6 Portal邮件推送操作指导
6.1 邮箱设置

6.2 策略设定

7 全局设置
7.1 用户名密码设置

使用备份恢复工具备份的程序只能通过备份恢复工具恢复,不能通过手工方式恢复。

  1. 从企业技术支持网站或光盘获取“Agile_Controller-Campus_xxx_MaintainTool_Windows.zip”。
  2. 解压后运行“MaintainTool.bat”。
  3. 单击“运行备份恢复工具”。

在老Agile Controller-Campus获取License失效码。
登录老Agile Controller-Campus管理界面,选择“系统 > License管理 > License信息查看”。
单击“失效License”,获取失效码。
在新Agile Controller-Campus获取ESN。
登录新Agile Controller-Campus管理界面,选择“系统 > License管理 > License信息查看”。
单击“获取ESN”。
根据失效码和新服务器ESN,在ISDP网站获取新的License文件。
登录http://app.huawei.com/isdp。
在左侧菜单选择“License调测与维护 > ESN变更”。
输入失效码,单击“验证失效码”。

<HUAWEI> ftp 192.168.1.1 //输入帐号密码,可以在IPOP设置帐号密码
[ftp] put vrpcfg.zip //在操作终端的FTP服务器设置路径查看,如D:\S7706_CFG

准入场景 取消准入控制操作
802.1X 1. 强制在线用户下线。
在AAA视图执行命令cut access-user interface interface-type interface-number。interface-type interface-number为认证控制接口。

  1. 全局取消802.1X认证。
    系统视图执行命令undo dot1x enable。
    Portal 在系统视图执行命令portal free-rule 0 destination any source any。
    SACG 在防火墙选择“网络 > SACG > 基本配置”,启用“服务器状态检测”,并将“最小活跃服务器个数”设为1。

终端无法打开Portal认证页面,但是可以正常访问“http://Portal服务器-IP:8080/portal”。
可能原因
通过IP地址能够直接访问Portal服务器,说明终端和Portal服务器之间的网络连接正常,则出现无法打开Portal认证页面的原因可能有:
接入控制设备上VLANIF接口下未绑定Portal服务器模板。
接入控制设备上URL模板中配置的Portal认证页面的URL地址不正确,导致交换机/AC无法将终端的http请求重定向至Portal服务器。
终端在未进行身份认证的情况下访问的是HTTPS网站。
DNS服务器未配置到认证前域,导致终端认证通过前无法访问DNS服务器,进而无法解析域名。
终端上没有配置DNS服务器,导致终端无法解析域名,进而无法产生HTTP流量触发Portal认证页面。

Portal认证成功,无法访问后域的可能原因有:
接入控制设备上配置的认证后域ACL中放行的后域资源不正确。
终端的IP地址没有加入到接入控制设备管辖的IP地址池。
终端与业务控制器之间存在NAT。

时隔一段时间就掉线
在接入控制设备上执行命令dis aaa abnormal-offline-record mac <H-H-H>,查看用户下线的原因。
如果下线原因显示Web user request,请按照如下步骤排查:
检查终端认证成功后是否关闭了认证成功页面或者管理员在Agile Controller-Campus上设置的无线接入终端Web认证会话超时时间是否太短。
在桌面终端上认证成功的页面不可以关闭,否则就会引起终端用户掉线,进而无法访问认证后域中的网络资源。因为Web浏览器定期(心跳周期可以在全局参数中配置)会向Portal服务器发送心跳报文,如果认证页面被关闭,Web浏览器无法向Portal服务器发送心跳报文,终端用户会话产生超时而被迫下线。

  1. ? 在移动终端上,认证成功页面在会话超时之前是可以关闭的,移动终端用户下线时间取决于管理员在全局参数中配置的“无线接入终端Web认证会话超时时间”,如果“无线接入终端Web认证会话超时时间”设置的很短,达到会话超时时间后,也会导致用户下线。

如果管理员启动了MAC优先的Portal认证功能,Portal服务器会自动保留终端用户的MAC地址和SSID,则在MAC优先的Portal认证会话有效期之内关闭认证成功页面,AC会自动使用终端的MAC地址向Portal服务器发起MAC认证,故不会影响访问认证后域中的网络资源。
MAC优先的Portal认证相关配置请参见无线环境中的Portal接入(含MAC优先)。

  1. 检查Agile Controller-Campus上是否配置了用户在线时长限制。
    登录Agile Controller-Campus,选择“系统 > 终端参数配置 > 局部参数”,在“用户在线时长限制”中检查用户在线时长是否设置的合理。

两个账号互相踢
管理员在“系统 > 终端参数配置 > 局部参数”中配置了“同一帐号接入数控制”,并且将“最大接入数”设置为了“1”,将“达到最大接入数时的动作”设置为了“允许接入(强制已在线用户下线)”。虽然通过MAC优先上线的终端是通过MAC地址上线的,但是MAC地址和帐号是绑定的,一个帐号只能在一台终端上线,所以后上线的会将先上线的踢下线。

<AC> system-view
[AC] mac-authen quiet-times 5
[AC] mac-authen timer quiet-period 15
[AC] quit
<AC> save

portal captive-bypass enable

放行苹果站点
portal free-rule 1 destination ip 223.111.109.13 mask 32
portal free-rule 1 destination ip 17.142.160.82 mask 32
portal free-rule 1 destination ip 17.172.224.102 mask 32
portal free-rule 1 destination ip 17.178.96.96 mask 32
portal free-rule 1 destination ip 223.119.150.170 mask 32

如果终端和准入控制设备之间是二层网络,支持终端登录日志中显示终端MAC地址。
在AC上配置的URL模板中需要配置URL参数携带终端MAC地址user-mac。
[AC] url-template name huawei
[AC-url-template-huawei] url http://172.18.1.1:8080/portal
[AC-url-template-huawei] url-parameter ssid ssid user-mac usermac redirect-url url

原文地址:https://blog.51cto.com/maguangjie/2466115

时间: 2024-10-10 10:22:44

Agile controller认证部分的相关文章

华为agile controller磁盘爆满问题解决

原因:华为agile controller的数据库C:\Program Files\Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\MSSQL\DATA\AgileControllerDB_log.LDF文件过大,当时我们有126G左右了. 华为agile controller磁盘爆满解决三步走:1.把AgileControllerDB的恢复模式修改为简单(默认值是完整)2.收缩数据库事务日志(华为有官方文档)3.把AgileControllerDB的恢复

华为Agile Controller-Campus web界面admin管理员密码不对无法登陆

华为Agile Controller-Campus web界面admin管理员密码不对无法登陆,重置admin的密码方法如下:(注:首先请停掉Agile Controller相关服务,包括Tomcat的,具体可以问华为400)步骤1 以sa账号登录数据库,右键单击AgileControllerDB,选择"新建查询".步骤2 执行如下语句,即可把admin账号的密码修改为Changeme123.命令如下: UPDATE OPM_E_SystemUser SET password = 'C

SAMBA服务

目    录 一.SAMBA服务介绍 1.SAMBA的功能 2.计算机网络管理模式 3.相关包 4.相关服务进程 5.主配置文件 6.语法检查 7.客户端工具 二.SAMBA服务配置 1.全局配置 2.特定的共享设置 3.宏定义 三.管理samba用户 四.配置目录共享 五.基于特定用户和组的共享 六.SMB客户端访问 七.挂载CIFS文件系统 1.手动挂载 2.开机自动挂载 SMB:server message block 服务器消息块,IBM发布,最早DOS网络文件共享协议. Cifs: c

【安全】华为应对APT新思路:&quot;被动堵&quot;变&quot;主动围&quot;

[IT168 应用]8月15日消息,日前,华为参加2014趋势CIO峰会上,与近300位全球云计算领导厂商.国内领先行业,知名企业的CIO.CSO就云数据中心安全架构.大数据安全.移动设备安全管理等热点话题进行讨论.华为还分享了华为安全解决方案如何利用大数据分析技术和安全协防理念,帮助企业构筑纵深防御体系,应对APT攻击,保护关键信息资产的安全. 当前,一种有组织.针对特定目标.破坏力大.持续时间长的新型威胁出现,使企业网络安全面临前所未有的挑战.这种攻击也被称为APT(Advanced Per

业界第一个零本地维护网络设备诞生

5月25日至26日,华为在北京隆重召开主题为"敏捷已来"的华为网络大会(HNC2014),会上华为隆重发布了全球首个以业务和用户体验为中心的敏捷分支解决方案和系列化敏捷网关产品,旨在满足大数据.移动互联.物联网等新趋势对分支网络快速部署.简易运维和增值运营的要求.作为敏捷网络战略及架构的重要组成和支撑,敏捷分支解决方案可谓是敏捷网络在2014年带给业界的又一大创新,它有效解决了分支网络部署.运维等一系列问题,首次实现分支零本地维护. 498)this.width=498;' = 'ja

网络文件系统-Samba (一)

Samba相关软件包 Samba 提供smb服务 Samba-client 客户端软件 samba-common 通用软件 cifs-utils smb 客户端工具,提供挂载Windows共享目录功能 samba-winbind 和AD相关 挂载windows共享目录 # vim /etc/fstab //172.18.101.4/winshare /mnt cifs credentials=/etc/smbuser.txt 0 0 其中/etc/smbuser.txt为访问windows的用户

网络共享服务—samba服务

samba服务简介 SMB:Server Message Block服务器消息块,IBM发布,最早是DOS网络文件共享协议 Cifs:common internet file system,微软基于SMB发布 SAMBA:实现windows和UNIX相通 相关包: samba 提供smb服务 samba-client 客户端软件 samba-common 通用软件 cifs-utils smb客户端工具 samba-winbind 和AD相关 smbd 提供smb(cifs)服务 TCP:139

20190308 samba服务、inotify和rsync实现实时同步、防火墙

Samba服务[root@centos7 ~]#yum install samba[root@centos7 ~]#systemctl start smb[root@centos7 ~]#ss -ntluNetid State Recv-Q Send-Q Local Address:Port Peer Address:Port tcp LISTEN 0 50 :139 : tcp LISTEN 0 50 :445 端口已开启 : 可以做共享了. 主配置文件:/etc/samba/smb.conf

使用ESNP完成SDN技术静态方式VXLAN实现同子网(不同VLAN)的通信

1.SDN线路 2006年斯坦福大学发布 OpenFlow,网络设备转发和控制面分离,通过集中的控制面实现网络流量的灵活控制华为数据中心SDN的核心特征是适度的转控分离结合之外, 通过管理与控制分离, 实现网络业务自动化发放, 助力数据中心业务实现敏捷发放. 当下的SDN商业产品 您可以看到思科.华为等传统网络产品大佬依旧走着"一条道走到黑"的路子,即自有控制器+自由硬件转发设备+VXLAN的路子.但请注意,"大佬决定历史" 2.华为SDN的控制器和Vxlan 华为