近期收到一个用户的投稿，是关于OSSH免费版Portal系统对接华为93系列交换机的案子，现将详细情况进行说明，希望能够帮助到各位。
测试设备：
华为9303为测试交换机，华为2700为汇聚交换机，OSSH免费版Portal，AP，PC，手机。
测试目的：
&&&&&OSSH免费版Portal系统能够对接华为9303交换机，并实现Portal认证上网。
网络环境：
交换机配置：
&HW9303&display&current-configuration&
!Software&Version&V100R006C00SPC800&
sysname&HW9303&
super&password&level&3&simple&aaa&
stp&mode&rstp&
stp&enable&
domain&isp1&
dhcp&enable&
undo&http&server&enable&
dba-profile&default0&type3&assure&40000&max&80000&
diffserv&domain&default&
//添加对接的radius的认证域配置&
radius-server&template&rd1&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&//创建radius域名称为&rd1&
radius-server&shared-key&cipher&O'W3[_\M&`#Q=^Q`MAF4&1!!&&//设置两设备之间的radius通信密钥&
radius-server&authentication&182.40.89.2&1812&&&&&&&&&&&&//设置radius认证地址和认证端口号&
radius-server&accounting&182.40.89.2&1813&&&&&&&&&&&&&&&&//设置radius记账地址和记帐端口号&
radius-server&retransmit&2&
undo&radius-server&user-name&domain-included&&&&&&&&&&//不使用域名支持&
line-profile&default0&
service-profile&default0&
undo&fec-switch&enable&
web-auth-server&abc&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&//创建一个名称为abc的WEB认证服务&
server-ip&182.40.89.2&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&//设置PORTAL服务器的地址&
port&50100&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&//设置服务端口&
shared-key&cipher&O'W3[_\M&`#Q=^Q`MAF4&1!!&&&&&&//设置对接PORTAL的对接密钥&
url&http://182.40.89.2:8080/login.jsp&&&&&&&&&&&&&&&&&&//认证的弹出页面访问地址&
drop-profile&default&
description&Guanli-vlan&
ip&pool&1&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&//创建一个名称为1的IP地址池&
gateway-list&182.40.89.1&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&//用户获得的网关地址&
network&182.40.89.0&mask&255.255.255.128&&&&&&&&&&&&&&//用户获得的地址段&
excluded-ip-address&182.40.89.2&&&&&&&&&&&&&&&&&&&&&&&&//排除的IP地址&
dns-list&182.1.1.33&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&//用户获得的DNS地址&
authentication-scheme&default&
authentication-scheme&abc&&&&&&&&&&&&&&&&&&//创建一个名称为abc的认证模版&
authentication-mode&radius&&&&&&&&&&&&&&&&&&//该认证模版认证方式为radius&
authorization-scheme&default&
accounting-scheme&default&
accounting-scheme&rd1&&&&&&&&&&&&&&&&&&&&&&&//创建一个名称为rd1的计费模版&
accounting-mode&radius&&&&&&&&&&&&&&&&&&&&&&//该计费模版认证方式为radius&
domain&default&in&default_admin&&&&&&&&&&&&&&&&&&&&&&&&&&
domain&isp1&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&//创建用户域&
authentication-scheme&abc&&&&&&&&&&&&&&&&&&&//该用户区域调用名为&abc的认证模版&
accounting-scheme&rd1&&&&&&&&&&&&&&&&&&&&&&//该用户区域调用名为&abc的计费模版&
radius-server&rd1&&&&&&&&&&&&&&&&&&&&&&&&&&&&//该用户区域调用名为&rd1&的radius认证域模块&
local-user&admin&password&simple&admin&
local-user&admin&privilege&level&15&
local-user&admin&service-type&telnet&
interface&Vlanif250&
ip&address&182.40.24.249&255.255.255.0&&&&&&&&&//vlan&250的IP&地址&
interface&Vlanif510&
ip&address&182.40.89.1&255.255.255.0&&&&&&&&&&&//vlan&510的IP&地址&
web-auth-server&abc&&&&&&&&&&&&&&&&&&&&&&&&&&//该VLAN&下调用名称为abc的WEB认证服务&
dhcp&select&global&&&&&&&&&&&&&&&&&&&//该VLAN&下用户IP通过DHCP方式获取地址池中的地址&
interface&Ethernet0/0/0&
interface&GigabitEthernet1/0/12&
description&To_OA1_3/9&
port&link-type&trunk&
port&trunk&allow-pass&vlan&2&to&4094&
interface&GigabitEthernet1/0/28&
description&TO-LC10&
port&link-type&trunk&
port&trunk&allow-pass&vlan&2&to&4094&
interface&NULL0&
ip&route-static&182.40.9.0&255.255.255.0&182.40.24.252&&&&&&//设置路由条目&
ip&route-static&182.40.110.64&255.255.255.192&182.40.24.252&
user-interface&con&0&
user-interface&vty&0&4&
authentication-mode&aaa&
user&privilege&level&15&
user-interface&vty&16&20&
l2-multicast-channel&
---------------------------------------------
测试结果：
（供稿人：九曲）
本文已收录于以下专栏：
相关文章推荐
三个月前我们发布了OSSH免费版华为Portal系统，期间得到了很多爱好者和群友的咨询，也收到了很多用户的咨询和反馈，在此感谢大家！
为了提高OSSH免费版Portal系统的易用性，我们推出了该系统...
在OSSH免费版华为Portal-0.1版本发布之后，很多用户都可以下载并对接测试了自己的AC或交换机等支持华为Portal协议的设备，近期发生过一个案例，用OSSH免费版华为Portal-0.1系统...
华为/CMCC的portal协议学习纪要
上篇文章：如何将Android Studio与华为软件开发云代码仓库无缝对接（一）
上一章讲了，如何用Android Studio以软件开发云代码仓库为基础，新建一个项目。接下来，这一章继续...
他的最新文章
讲师：汪剑
讲师：刘道宽
您举报文章：
举报原因：
原文地址：
原因补充：
(最多只允许输入30个字)查看:5726|回复：12
我配置华为9303的VLAN90为组播复制源，VLAN30和VLAN70为组播用户VLAN。这部分功能没有问题。
但是奇怪的是，同一个VLAN中的组播以广播方式存在。
比如在VLAN30中有一个主机发出IP为226.0.4.4的组播，整个VLAN30网段都可以收到。我看到VLAN30是启用了igmp-snooping enable
请问如何避免这种组播以广播方式存在的问题
[S9303]dis current-configuration
sysname S9303
vlan batch 10 20 30 40 50 60 70 80 90 100
igmp-snooping enable&&启用了全局IGMP-snooping
qos car 1 cir 1024 cbs 10000
acl number 3000
rule 5 permit ip source 172.16.3.107 0
rule 10 deny tcp source 0.0.0.0 255.255.255.192 destination 0.0.0.0 255.255.0.0
rule 15 permit tcp
diffserv domain default
drop-profile default
igmp-snooping enable
igmp-snooping enable
igmp-snooping enable
multicast-vlan enable
multicast-vlan user-vlan 30 70&&
启用了组播复制
dhcp server group 1
dhcp-server 172.16.1.8
interface Vlanif10
ip address 172.16.1.6 255.255.255.0
interface Vlanif30
ip address 172.16.3.6 255.255.255.0
interface Vlanif50
ip address 172.16.5.6 255.255.255.0
interface Vlanif60
ip address 172.16.6.6 255.255.255.0
interface Vlanif70
ip address 172.16.7.6 255.255.255.0
interface Vlanif80
ip address 172.16.8.6 255.255.255.0
interface Vlanif90
ip address 172.16.9.6 255.255.255.0
interface Vlanif100
description management
ip address 192.168.3.6 255.255.255.0
load-balance-profile 1
&&ipv4 field l4-dport
&&l2 field dport
interface Eth-Trunk0
description connect_zxr5228
port link-type trunk
port trunk allow-pass vlan 2 to 4094
interface Eth-Trunk1
port link-type access
port default vlan 30
l2-multicast static-group group-address 225.0.0.162 vlan 30
这对端口指定了复制的组播IP
l2-multicast static-group group-address 226.0.0.100 vlan 30
l2-multicast static-group group-address 226.0.2.2 vlan 30
load-balance enhanced profile 1
interface Eth-Trunk2
port link-type access
port default vlan 30
l2-multicast static-group group-address 225.0.0.162 vlan 30
l2-multicast static-group group-address 226.0.0.100 vlan 30
l2-multicast static-group group-address 226.0.2.2 vlan 30
load-balance enhanced profile 1
interface Eth-Trunk3
port link-type access
port default vlan 70
l2-multicast static-group group-address 228.1.1.1 vlan 70
load-balance enhanced profile 1
interface Eth-Trunk4
port link-type access
port default vlan 30
l2-multicast static-group group-address 225.0.0.162 vlan 30
l2-multicast static-group group-address 226.0.0.100 vlan 30
l2-multicast static-group group-address 226.0.2.2 vlan 30
interface Eth-Trunk34
port link-type access
port default vlan 30
load-balance enhanced profile 1
interface Eth-Trunk100
description connect_H3C5120
port link-type trunk
port trunk allow-pass vlan 2 to 4094
l2-multicast static-group group-address 225.0.0.161 vlan 30 70 90
l2-multicast static-group group-address 225.0.0.162 vlan 30 90
l2-multicast static-group group-address 226.0.0.100 vlan 30 70 90
l2-multicast static-group group-address 226.0.2.2 vlan 30
l2-multicast static-group group-address 226.0.10.2 vlan 30
l2-multicast static-group group-address 228.1.1.1 vlan 30 70 90
l2-multicast static-group group-address 229.0.10.11 vlan 30
interface Ethernet0/0/0
eth-trunk 1
interface GigabitEthernet1/0/1
eth-trunk 1
interface GigabitEthernet1/0/2
eth-trunk 1
interface GigabitEthernet1/0/3
eth-trunk 1
interface GigabitEthernet1/0/4
eth-trunk 2
interface GigabitEthernet1/0/5
eth-trunk 2
interface GigabitEthernet1/0/6
eth-trunk 2
本帖最后由 小侠唐在飞 于
16:10 编辑
白袍大法师
组播这个没玩过。。
谁玩过快快来帮忙！！
加30无忧币
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。& &?
这个我解决了& & 的设置一个组播静态地址表 将端口与组播地址表项进行静态绑定。交换机收到的组播数据报文中的组播地址没有在本机注册，该报文会在该端口所在的VLAN内广播，通过配置组播静态MAC地址表项可以避免这种情况。
& &谢谢大侠了
白袍大法师
兄弟，能把你这个组播的应用，发个帖，做个说明吗？
比如应用环境、功能、配置案例、注意事项。
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。& &?
引用:原帖由 各种苦恼 于
15:59 发表
这个我解决了& & 的设置一个组播静态地址表 将端口与组播地址表项进行静态绑定。交换机收到的组播数据报文中的组播地址没有在本机注册，该报文会在该端口所在的VLAN内广播，通过配置组播静态MAC地址表项可以避免这种情况 ... 怎么设置组播静态地址表？是哪条指令可以实现了么？
就是 一条命令 。
这个组播干什么用的呢？
点到多点&&远程教育& && &什么的
引用:原帖由 小侠唐在飞 于
16:08 发表
兄弟，能把你这个组播的应用，发个帖，做个说明吗？
比如应用环境、功能、配置案例、注意事项。
加精哟 楼主写个详细说明喂~~~我顶一个的
网络管理、H3C、华为
引用:原帖由 djzj 于
15:50 发表
楼主写个详细说明喂~~~我顶一个的 我也这么认为，楼主，人呢！！
这几天在做调试，等过几天的。
及时反馈！
网络管理、H3C、华为
等着您的好消息！！！
:call: 顶顶顶顶顶顶顶顶顶顶顶！！！！！！！！！！！！！11华为9303详细设备配置_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
华为9303详细设备配置
总评分4.7|
浏览量2863
用知识赚钱
&&单位的9303修好了
你可能喜欢用户名：qq
文章数：110
访问量：76828
注册日期：
阅读量：1297
阅读量：3317
阅读量：581773
阅读量：466358
[匿名]qq：
51CTO推荐博文
华为S9303三层交换机配置命令
&Quidway& //用户视图
&Quidway& system-view //进入配置视图
[Quidway] vlan 10 //创建vlan 10，并进入vlan10配置视图，如果vlan10存在就直接进入vlan10配置视图
[Quidway-vlan10] quit //回到配置视图
[Quidway] vlan 100 //创建vlan 100，并进入vlan100配置视图，如果vlan10存在就直接进入vlan100配置视图
[Quidway-vlan100] quit //回到配置视图
[Quidway] interface GigabitEthernet2/0/1 (10G光口)
[Quidway- GigabitEthernet2/0/1] port link-type access //定义端口传输模式
[Quidway- GigabitEthernet2/0/1] port default vlan 100 //将端口加入vlan100
[Quidway- GigabitEthernet2/0/1] quit
[Quidway] interface Vlanif100 // 进入vlan100接口视图与vlan 100命令进入的地方不同
[Quidway-Vlanif100] ip address 119.18.200.90 255.255.255.252 // 定义vlan100管理IP三层 交换网关路由
[Quidway-Vlanif100] quit
[Quidway] interface Vlanif10 // 进入vlan10接口视图与vlan 10命令进入的地方不同
[Quidway-Vlanif10] ip address 119.18.206.129 255.255.255.128 // 定义vlan10管理IP三层 交换网关路由
[Quidway-Vlanif10] quit
[Quidway] ip route-static 0.0.0.0 0.0.0.0 119.18.200.89 //定义三层默认路由地址
[Quidway] aaa //进入aaa认证模式定义用户账户
[Quidway-aaa] local-user wds password cipher wds
[Quidway-aaa] local-user wds level 15
[Quidway-aaa] local-user wds service-type telnet terminal ssh //有时候这个命令是最先可以运行的，上边两个命令像password，level都是定义完vty 的authentication-mode aaa后才出现
[Quidway-aaa] quit
[Quidway] user-interface vty 0 4 //当时很奇怪这个命令就是找不到，最后尝试了几次才能运行
[Quidway-ui-vty0-4] authentication-mode aaa
[Quidway-ui-vty0-4] quit
配置snmp网络监控服务命令
[Quidway] snmp-agent community read xx //xx是组织名称，read是以只读模式查看
[Quidway] undo snmp-agent community xx //删除xx组织
[Quidway] display snmp-agent community //显示组织名
这里为这次给联通客户上架30台服务器并且组网布线中的一些心得和体会总结在这里：
首先通过这样的一个机会自己学到了很多东西，是自己之前都无法去接触的。所以再遇到这样的机会的时候自己一定要牢牢的抓住了，尽管是有些辛苦。
经过整个的上架和调试过程，自己感觉学到最多的也是之前自己一直都想找机会了解的东西，就是对交换机的配置，而这次上来就是三层交换机的配置，所以有很多自己曾经在CCNA中看到的一些知识可以通过这么一次机会来加深理解并从根本上达到掌握并能熟练运用到以后的工作当中去。
服务器的上架布线就不多说了，这些都是自己在整个工作过程中越做越熟的东西。只要用心负责任的去做，就应该没有什么大问题。
这次主要是交换机的调整让自己赶到学到了很多定西同事也加深了对CCNA一些理论知识的理解。
三层交换机什么时候配ip,什么时候配置vlan?
端口为路由端口（三层）的时候配ip，为交换端口（二层）的时候可以配vlan。
你如果对interface vlan配了ip，那么这个ip就等于是vlan的网关了，如果两个vlan 都配了interface 的ip，如果路由通了，那么的确也是能互通的。
事情是这样的，当你的内网很大的时候，广播包就会很多，这个时候就要划分vlan，或者你们公司又要求，这个部门不能访问那个部门，如果不划分vlan，那么肯定可以访问的，这个时候要划分vlan，还有很多情况需要划分vlan，这里就不说了。
三层交换机划分vlan之后，如果不给地址的话，vlan与vlan间是不能通信的，而且如果只有一个路由器的情况下是没法给所有vlan里的地址都做nat或者是pat的，除非做单臂路由，这样的话，三层交换机当个二层交换机用，所有vlan的网关都配置在路由器的子接口上，这样可行，叫做单臂路由。还有就是开启三层交换机的路由功能，在vlan上配ip地址，使vlan的路由在三层上进行，这样vlan间的路由就在三层上完成，开启路由之后，所有的vlan之间就互通了，若要实现这个vlan跟那个vlan通跟另一个vlan不通就要通过acl来实现了。
以上这些可以让自己加深理解三层交换机上做的一些配置与CCNA认证上一些知识。
了这篇文章
类别：┆阅读(0)┆评论(0)