Agile controller認證部分

1 802.1X認證操做指導
1.1 登陸Agile controller
使用https://10.10.10.100:8443

配置思路

1.2 添加設備
資源>設備管理>增長
<AC6605> display accounting-scheme acco_scheme

1.3 設置策略
1.3.1 定義認證規則

1.3.2 定義受權結果

1.3.3 定義受權規則

2 portal認證操做指導

2.1 添加設備
資源>設備管理>增長

2.2 添加SSID

2.3 設置策略
2.3.1 定義認證規則

2.3.2 定義受權結果

2.3.3 定義受權規則
經過以上認證規則、受權結果在受權規則中調用

2.4 定製portal界面

2.5 設置portal推送策略

2.6 設置MAC優先

 

3 MAC免認證操做指導
3.1 增長設備組

3.2 在設備組中添加MAC

3.3 設置策略
3.3.1 添加認證規則（旁路部署）

3.3.2 添加受權結果

3.3.3 添加受權規則

4 短信認證操做指導
4.1 AC配置
AC完成基本的portal認證配置；
4.2 Agile Controller配置
在Agile Controller上添加接入設備：選擇「資源->設備->設備管理」，單擊增長；
配置短信服務器，使得系統可以正常發送短信：選擇「系統 > 服務器配置 > 短信服務器配置」，設置短信服務器的參數；

Http地址爲:http://189.180.0.130:8889/httpsmstest/HttpTest
要根據當前計算機（安裝httptest的計算機）的IP地址來；
屬性爲:password={PASSWORD}
userName=sa
to={TELEPHONENUMBER}
content={MSGCONTENT}
密碼爲:sa；
成功標識爲:OK；
配置訪客賬號策略：選擇「策略 > 准入控制 > 訪客管理 > 訪客賬號策略」；

定製認證頁面，訪客未認證訪問網絡時，自動跳轉到訪客認證頁面；選擇「策略 > 准入控制 > 頁面定製 > 頁面定製」，點擊添加，選擇手機快速認證模板；

配置Portal頁面推送策略，對訪客推送定製的認證頁面，選擇「策略 > 准入控制 > 頁面定製 > Portal頁面推送策略」，單擊「增長」，設置Portal頁面推送策略。

認證頁面跳轉選擇繼續訪問原頁面，AC上配置的「redirect-url」字段的值必須爲「url」。

4.3 Httptest配置
安裝Httptest，打開bin文件夾，點擊startup.bat文件啓動程序；

終端關聯信號，訪問Internet，被重定向至訪客認證頁面。訪客輸入手機號碼，單擊「獲取密碼」，在軟件上會收到發送的密碼，訪客輸入手機號碼和密碼，單擊「登陸」，頁面自動跳轉到認證前訪問的頁面。

5 Portal二維碼審批操做指導
5.1 定義訪問帳號策略

5.2 頁面定製

5.3 設置portal推送策略

5.4 帳號審批記錄

6 Portal郵件推送操做指導
6.1 郵箱設置

6.2 策略設定

7 全局設置
7.1 用戶名密碼設置

使用備份恢復工具有份的程序只能經過備份恢復工具恢復，不能經過手工方式恢復。

1. 從企業技術支持網站或光盤獲取「Agile_Controller-Campus_xxx_MaintainTool_Windows.zip」。
2. 解壓後運行「MaintainTool.bat」。
3. 單擊「運行備份恢復工具」。

在老Agile Controller-Campus獲取License失效碼。
登陸老Agile Controller-Campus管理界面，選擇「系統 > License管理 > License信息查看」。
單擊「失效License」，獲取失效碼。
在新Agile Controller-Campus獲取ESN。
登陸新Agile Controller-Campus管理界面，選擇「系統 > License管理 > License信息查看」。
單擊「獲取ESN」。
根據失效碼和新服務器ESN，在ISDP網站獲取新的License文件。
登陸http://app.huawei.com/isdp。
在左側菜單選擇「License調測與維護 > ESN變動」。
輸入失效碼，單擊「驗證失效碼」。

<HUAWEI> ftp 192.168.1.1 //輸入賬號密碼，能夠在IPOP設置賬號密碼
[ftp] put vrpcfg.zip //在操做終端的FTP服務器設置路徑查看，如D:\S7706_CFG

准入場景 取消准入控制操做
802.1X 1. 強制在線用戶下線。
在AAA視圖執行命令cut access-user interface interface-type interface-number。interface-type interface-number爲認證控制接口。

2. 全局取消802.1X認證。
   系統視圖執行命令undo dot1x enable。
   Portal 在系統視圖執行命令portal free-rule 0 destination any source any。
   SACG 在防火牆選擇「網絡 > SACG > 基本配置」，啓用「服務器狀態檢測」，並將「最小活躍服務器個數」設爲1。

終端沒法打開Portal認證頁面，可是能夠正常訪問「http://Portal服務器-IP:8080/portal」。
可能緣由
經過IP地址可以直接訪問Portal服務器，說明終端和Portal服務器之間的網絡鏈接正常，則出現沒法打開Portal認證頁面的緣由可能有：
接入控制設備上VLANIF接口下未綁定Portal服務器模板。
接入控制設備上URL模板中配置的Portal認證頁面的URL地址不正確，致使交換機/AC沒法將終端的http請求重定向至Portal服務器。
終端在未進行身份認證的狀況下訪問的是HTTPS網站。
DNS服務器未配置到認證前域，致使終端認證經過前沒法訪問DNS服務器，進而沒法解析域名。
終端上沒有配置DNS服務器，致使終端沒法解析域名，進而沒法產生HTTP流量觸發Portal認證頁面。

Portal認證成功，沒法訪問後域的可能緣由有：
接入控制設備上配置的認證後域ACL中放行的後域資源不正確。
終端的IP地址沒有加入到接入控制設備管轄的IP地址池。
終端與業務控制器之間存在NAT。

時隔一段時間就掉線
在接入控制設備上執行命令dis aaa abnormal-offline-record mac <H-H-H>，查看用戶下線的緣由。
若是下線緣由顯示Web user request，請按照以下步驟排查：
檢查終端認證成功後是否關閉了認證成功頁面或者管理員在Agile Controller-Campus上設置的無線接入終端Web認證會話超時時間是否過短。
在桌面終端上認證成功的頁面不能夠關閉，不然就會引發終端用戶掉線，進而沒法訪問認證後域中的網絡資源。由於Web瀏覽器按期（心跳週期能夠在全局參數中配置）會向Portal服務器發送心跳報文，若是認證頁面被關閉，Web瀏覽器沒法向Portal服務器發送心跳報文，終端用戶會話產生超時而被迫下線。

1. • 在移動終端上，認證成功頁面在會話超時以前是能夠關閉的，移動終端用戶下線時間取決於管理員在全局參數中配置的「無線接入終端Web認證會話超時時間」，若是「無線接入終端Web認證會話超時時間」設置的很短，達到會話超時時間後，也會致使用戶下線。

若是管理員啓動了MAC優先的Portal認證功能，Portal服務器會自動保留終端用戶的MAC地址和SSID，則在MAC優先的Portal認證會話有效期以內關閉認證成功頁面，AC會自動使用終端的MAC地址向Portal服務器發起MAC認證，故不會影響訪問認證後域中的網絡資源。
MAC優先的Portal認證相關配置請參見無線環境中的Portal接入（含MAC優先）。

2. 檢查Agile Controller-Campus上是否配置了用戶在線時長限制。
   登陸Agile Controller-Campus，選擇「系統 > 終端參數配置 > 局部參數」，在「用戶在線時長限制」中檢查用戶在線時長是否設置的合理。

兩個帳號互相踢
管理員在「系統 > 終端參數配置 > 局部參數」中配置了「同一賬號接入數控制」，而且將「最大接入數」設置爲了「1」，將「達到最大接入數時的動做」設置爲了「容許接入（強制已在線用戶下線）」。雖然經過MAC優先上線的終端是經過MAC地址上線的，可是MAC地址和賬號是綁定的，一個賬號只能在一臺終端上線，因此後上線的會將先上線的踢下線。

<AC> system-view
[AC] mac-authen quiet-times 5
[AC] mac-authen timer quiet-period 15
[AC] quit
<AC> save

portal captive-bypass enable

放行蘋果站點
portal free-rule 1 destination ip 223.111.109.13 mask 32
portal free-rule 1 destination ip 17.142.160.82 mask 32
portal free-rule 1 destination ip 17.172.224.102 mask 32
portal free-rule 1 destination ip 17.178.96.96 mask 32
portal free-rule 1 destination ip 223.119.150.170 mask 32

若是終端和准入控制設備之間是二層網絡，支持終端登陸日誌中顯示終端MAC地址。
在AC上配置的URL模板中須要配置URL參數攜帶終端MAC地址user-mac。
[AC] url-template name huawei
[AC-url-template-huawei] url http://172.18.1.1:8080/portal[AC-url-template-huawei] url-parameter ssid ssid user-mac usermac redirect-url url