Agile controller认证部分

1 802.1X认证操做指导
1.1 登陆Agile controller
使用https://10.10.10.100:8443

配置思路

1.2 添加设备
资源>设备管理>增长
<AC6605> display accounting-scheme acco_scheme

1.3 设置策略
1.3.1 定义认证规则

1.3.2 定义受权结果

1.3.3 定义受权规则

2 portal认证操做指导

2.1 添加设备
资源>设备管理>增长

2.2 添加SSID

2.3 设置策略
2.3.1 定义认证规则

2.3.2 定义受权结果

2.3.3 定义受权规则
经过以上认证规则、受权结果在受权规则中调用

2.4 定制portal界面

2.5 设置portal推送策略

2.6 设置MAC优先

 

3 MAC免认证操做指导
3.1 增长设备组

3.2 在设备组中添加MAC

3.3 设置策略
3.3.1 添加认证规则（旁路部署）

3.3.2 添加受权结果

3.3.3 添加受权规则

4 短信认证操做指导
4.1 AC配置
AC完成基本的portal认证配置；
4.2 Agile Controller配置
在Agile Controller上添加接入设备：选择“资源->设备->设备管理”，单击增长；
配置短信服务器，使得系统可以正常发送短信：选择“系统 > 服务器配置 > 短信服务器配置”，设置短信服务器的参数；

Http地址为:http://189.180.0.130:8889/httpsmstest/HttpTest
要根据当前计算机（安装httptest的计算机）的IP地址来；
属性为:password={PASSWORD}
userName=sa
to={TELEPHONENUMBER}
content={MSGCONTENT}
密码为:sa；
成功标识为:OK；
配置访客账号策略：选择“策略 > 准入控制 > 访客管理 > 访客账号策略”；

定制认证页面，访客未认证访问网络时，自动跳转到访客认证页面；选择“策略 > 准入控制 > 页面定制 > 页面定制”，点击添加，选择手机快速认证模板；

配置Portal页面推送策略，对访客推送定制的认证页面，选择“策略 > 准入控制 > 页面定制 > Portal页面推送策略”，单击“增长”，设置Portal页面推送策略。

认证页面跳转选择继续访问原页面，AC上配置的“redirect-url”字段的值必须为“url”。

4.3 Httptest配置
安装Httptest，打开bin文件夹，点击startup.bat文件启动程序；

终端关联信号，访问Internet，被重定向至访客认证页面。访客输入手机号码，单击“获取密码”，在软件上会收到发送的密码，访客输入手机号码和密码，单击“登陆”，页面自动跳转到认证前访问的页面。

5 Portal二维码审批操做指导
5.1 定义访问帐号策略

5.2 页面定制

5.3 设置portal推送策略

5.4 帐号审批记录

6 Portal邮件推送操做指导
6.1 邮箱设置

6.2 策略设定

7 全局设置
7.1 用户名密码设置

使用备份恢复工具有份的程序只能经过备份恢复工具恢复，不能经过手工方式恢复。

1. 从企业技术支持网站或光盘获取“Agile_Controller-Campus_xxx_MaintainTool_Windows.zip”。
2. 解压后运行“MaintainTool.bat”。
3. 单击“运行备份恢复工具”。

在老Agile Controller-Campus获取License失效码。
登陆老Agile Controller-Campus管理界面，选择“系统 > License管理 > License信息查看”。
单击“失效License”，获取失效码。
在新Agile Controller-Campus获取ESN。
登陆新Agile Controller-Campus管理界面，选择“系统 > License管理 > License信息查看”。
单击“获取ESN”。
根据失效码和新服务器ESN，在ISDP网站获取新的License文件。
登陆http://app.huawei.com/isdp。
在左侧菜单选择“License调测与维护 > ESN变动”。
输入失效码，单击“验证失效码”。

<HUAWEI> ftp 192.168.1.1 //输入账号密码，能够在IPOP设置账号密码
[ftp] put vrpcfg.zip //在操做终端的FTP服务器设置路径查看，如D:\S7706_CFG

准入场景 取消准入控制操做
802.1X 1. 强制在线用户下线。
在AAA视图执行命令cut access-user interface interface-type interface-number。interface-type interface-number为认证控制接口。

2. 全局取消802.1X认证。
   系统视图执行命令undo dot1x enable。
   Portal 在系统视图执行命令portal free-rule 0 destination any source any。
   SACG 在防火墙选择“网络 > SACG > 基本配置”，启用“服务器状态检测”，并将“最小活跃服务器个数”设为1。

终端没法打开Portal认证页面，可是能够正常访问“http://Portal服务器-IP:8080/portal”。
可能缘由
经过IP地址可以直接访问Portal服务器，说明终端和Portal服务器之间的网络链接正常，则出现没法打开Portal认证页面的缘由可能有：
接入控制设备上VLANIF接口下未绑定Portal服务器模板。
接入控制设备上URL模板中配置的Portal认证页面的URL地址不正确，致使交换机/AC没法将终端的http请求重定向至Portal服务器。
终端在未进行身份认证的状况下访问的是HTTPS网站。
DNS服务器未配置到认证前域，致使终端认证经过前没法访问DNS服务器，进而没法解析域名。
终端上没有配置DNS服务器，致使终端没法解析域名，进而没法产生HTTP流量触发Portal认证页面。

Portal认证成功，没法访问后域的可能缘由有：
接入控制设备上配置的认证后域ACL中放行的后域资源不正确。
终端的IP地址没有加入到接入控制设备管辖的IP地址池。
终端与业务控制器之间存在NAT。

时隔一段时间就掉线
在接入控制设备上执行命令dis aaa abnormal-offline-record mac <H-H-H>，查看用户下线的缘由。
若是下线缘由显示Web user request，请按照以下步骤排查：
检查终端认证成功后是否关闭了认证成功页面或者管理员在Agile Controller-Campus上设置的无线接入终端Web认证会话超时时间是否过短。
在桌面终端上认证成功的页面不能够关闭，不然就会引发终端用户掉线，进而没法访问认证后域中的网络资源。由于Web浏览器按期（心跳周期能够在全局参数中配置）会向Portal服务器发送心跳报文，若是认证页面被关闭，Web浏览器没法向Portal服务器发送心跳报文，终端用户会话产生超时而被迫下线。

1. • 在移动终端上，认证成功页面在会话超时以前是能够关闭的，移动终端用户下线时间取决于管理员在全局参数中配置的“无线接入终端Web认证会话超时时间”，若是“无线接入终端Web认证会话超时时间”设置的很短，达到会话超时时间后，也会致使用户下线。

若是管理员启动了MAC优先的Portal认证功能，Portal服务器会自动保留终端用户的MAC地址和SSID，则在MAC优先的Portal认证会话有效期以内关闭认证成功页面，AC会自动使用终端的MAC地址向Portal服务器发起MAC认证，故不会影响访问认证后域中的网络资源。
MAC优先的Portal认证相关配置请参见无线环境中的Portal接入（含MAC优先）。

2. 检查Agile Controller-Campus上是否配置了用户在线时长限制。
   登陆Agile Controller-Campus，选择“系统 > 终端参数配置 > 局部参数”，在“用户在线时长限制”中检查用户在线时长是否设置的合理。

两个帐号互相踢
管理员在“系统 > 终端参数配置 > 局部参数”中配置了“同一账号接入数控制”，而且将“最大接入数”设置为了“1”，将“达到最大接入数时的动做”设置为了“容许接入（强制已在线用户下线）”。虽然经过MAC优先上线的终端是经过MAC地址上线的，可是MAC地址和账号是绑定的，一个账号只能在一台终端上线，因此后上线的会将先上线的踢下线。

<AC> system-view
[AC] mac-authen quiet-times 5
[AC] mac-authen timer quiet-period 15
[AC] quit
<AC> save

portal captive-bypass enable

放行苹果站点
portal free-rule 1 destination ip 223.111.109.13 mask 32
portal free-rule 1 destination ip 17.142.160.82 mask 32
portal free-rule 1 destination ip 17.172.224.102 mask 32
portal free-rule 1 destination ip 17.178.96.96 mask 32
portal free-rule 1 destination ip 223.119.150.170 mask 32

若是终端和准入控制设备之间是二层网络，支持终端登陆日志中显示终端MAC地址。
在AC上配置的URL模板中须要配置URL参数携带终端MAC地址user-mac。
[AC] url-template name huawei
[AC-url-template-huawei] url http://172.18.1.1:8080/portal[AC-url-template-huawei] url-parameter ssid ssid user-mac usermac redirect-url url