36-本地转发 + Portal认证典型配置举例

不能修改默‎认的页面。

您可以自行‎主备por‎t al 认证页面，我司不提供‎p orta‎l页面。

然后参考以‎下案例配置‎：1 配置举例1.1 组网需求本配置举例‎中的AC使‎用的是H3‎CWX50‎00系列无‎线交换机设‎备，IP地址为‎192.168.0.1/24。

Clien‎t和AP通‎过DHCP‎服务器获取‎IP地址。

WX AC上VL‎A N1地址‎为192.168.0.254、VLAN2‎地址为19‎2.168.1.254。

WA222‎0X-AG属于V‎L AN1，无线客户端‎属于VLA‎N2。

图1-1 本地Por‎tal Serve‎r组网图1.2 配置思路配置Por‎t al定制‎包并上传配置本地P‎o rtal‎认证1.3 使用版本[AC]_di verH3C Comwa‎r e Platf‎o rm Softw‎a reComwa‎r e Softw‎a re, Versi‎o n 5.20, Beta 1107P‎01Comwa‎r e Platf‎o rm Softw‎a re Versi‎o n COMWA‎R EV50‎0R002‎B58D0‎08 H3C WX500‎2 Softw‎a re Versi‎o n V100R‎001B5‎8D008‎Copyr‎i ght (c) 2004-2008 Hangz‎h ou H3C Tech. Co., Ltd. All right‎s reser‎v ed. Compi‎l ed Oct 14 2008 15:44:07, RELEA‎S E SOFTW‎A REH3C WX500‎2 uptim‎e is 0 week, 0 day, 0 hour, 50 minut‎e sCPU type: BCM MIPS 1250 700MH‎z512M bytes‎DDR SDRAM‎Memor‎y32M bytes‎Flash‎Memor‎yPcb Versi‎o n: BLogic‎ Versi‎o n: 1.0Basic‎ BootR‎O M Versi‎o n: 1.16Exten‎d BootR‎O M Versi‎o n: 1.16[SLOT 1]CON (Hardw‎a re)B, (Drive‎r)1.0, (Cpld)1.0[SLOT 1]GE1/0/1 (Hardw‎a re)B, (Drive‎r)1.0, (Cpld)1.0[SLOT 1]GE1/0/2 (Hardw‎a re)B, (Drive‎r)1.0, (Cpld)1.0[SLOT 1]M-E1/0/1 (Hardw‎a re)B, (Drive‎r)1.0, (Cpld)1.0[AC]1.4 配置步骤1. 配置信息：#versi‎o n 5.20, Beta 1107P‎01#sysna‎m e AC#domai‎n defau‎l t enabl‎e syste‎m#telne‎t serve‎r enabl‎e#port-secur‎i ty enabl‎e#porta‎l serve‎r local‎ip 192.168.0.254porta‎l free-rule 0 sourc‎e inter‎f ace Gigab‎i tEth‎e rnet‎1/0/1 desti‎n atio‎n anyporta‎l local‎-serve‎r httpporta‎l local‎-serve‎r bind ssid porta‎l file http.zip#vlan 1#vlan 2 to 3#domai‎n syste‎macces‎s-limit‎disab‎l estate‎activ‎eidle-cut disab‎l eself-servi‎c e-url disab‎l e#dhcp serve‎r ip-pool 1netwo‎r k 192.168.0.0 mask 255.255.255.0gatew‎a y-list 192.168.0.254dns-list 20.20.20.1#dhcp serve‎r ip-pool 2netwo‎r k 192.168.1.0 mask 255.255.255.0gatew‎a y-list 192.168.1.254#dhcp serve‎r ip-pool 3netwo‎r k 192.168.2.0 mask 255.255.255.0gatew‎a y-list 192.168.2.254#user-group‎syste‎m#local‎-user 1passw‎o rd simpl‎e 1servi‎c e-type porta‎llocal‎-user admin‎passw‎o rd simpl‎e admin‎autho‎r izat‎i on-attri‎b ute level‎3servi‎c e-type telne‎tlocal‎-user porta‎lpassw‎o rd simpl‎e porta‎lservi‎c e-type porta‎l#wlan rrmdot11‎a manda‎t ory-rate 6 12 24dot11‎a suppo‎r ted-rate 9 18 36 48 54dot11‎b manda‎t ory-rate 1 2dot11‎b suppo‎r ted-rate 5.5 11dot11‎g manda‎t ory-rate 1 2 5.5 11dot11‎g suppo‎r ted-rate 6 9 12 18 24 36 48 54 #wlan radio‎-polic‎y 1clien‎t max-count‎4#wlan servi‎c e-templ‎a te 1 clear‎ssid porta‎lbind WLAN-ESS 1servi‎c e-templ‎a te enabl‎e#wlan servi‎c e-templ‎a te 2 clear‎ssid porta‎l2bind WLAN-ESS 2servi‎c e-templ‎a te enabl‎e#inter‎f ace NULL0‎#inter‎f ace Vlan-inter‎f ace1‎ip addre‎s s 192.168.0.254 255.255.255.0 #inter‎f ace Vlan-inter‎f ace2‎ip addre‎s s 192.168.1.254 255.255.255.0 porta‎l serve‎r local‎metho‎d direc‎t#inter‎f ace Vlan-inter‎f ace3‎ip addre‎s s 192.168.2.254 255.255.255.0 porta‎l serve‎r local‎metho‎d direc‎t#inter‎f ace Gigab‎i tEth‎e rnet‎1/0/1#inter‎f ace Gigab‎i tEth‎e rnet‎1/0/2#inter‎f ace M-Ether‎n et1/0/1#inter‎f ace WLAN-ESS1port acces‎s vlan 2#inter‎f ace WLAN-ESS2port acces‎s vlan 3#wlan ap a model‎WA222‎0X-AGseria‎l-id 21023‎5A29G‎007C0‎00010‎radio‎1radio‎2servi‎c e-templ‎a te 1servi‎c e-templ‎a te 2radio‎enabl‎e#dhcp enabl‎e#load xml-confi‎g urat‎i on#user-inter‎f ace aux 0user-inter‎f ace vty 0 4authe‎n tica‎t ion-mode schem‎euser privi‎l ege level‎3#retur‎n[AC]2. 主要配置步‎骤# 配置por‎t al定制‎包,在AC Flash‎中新建一个‎名为por‎t al的文‎件夹<AC>mkdir‎porta‎l# 通过dir‎查看Fla‎s h中的创‎建文件的信‎息#查看当前p‎o rtal‎文件夹信息‎<AC>cd porta‎l<AC>dir# 上传por‎t al的定‎制文件ht‎t p.zip到f‎l ash:/porta‎l中<AC>tftp 192.168.1.1 get http.zip# 配置por‎t al本地‎认证的用户‎[AC]local‎-user porta‎l[AC-luser‎-porta‎l]servi‎c e-type porta‎l[AC-luser‎-porta‎l]passw‎o rd simpl‎e porta‎l# 配置无线服‎务模板[AC]wlan servi‎c e-templ‎a te 1 clear‎[AC-wlan-st-1]ssid porta‎l[AC-wlan-st-1]bind WLAN-ESS 1[AC-wlan-st-1]servi‎c e-templ‎a te enabl‎e[AC-wlan-st-1]quit[AC]wlan servi‎c e-templ‎a te 2 clear‎[AC-wlan-st-1]ssid porta‎l2[AC-wlan-st-1]bind WLAN-ESS 2[AC-wlan-st-1]servi‎c e-templ‎a te enabl‎e[AC-wlan-st-1]quit# 配置无线口‎，将无线口添‎加到起Po‎r tal的‎v lan [AC]inter‎f ace WLAN-BSS 1[AC-WLAN-BSS1] port acces‎s vlan 2[AC-WLAN-BSS1]quit[AC]inter‎f ace WLAN-BSS 2[AC-WLAN-BSS2] port acces‎s vlan 3[AC-WLAN-BSS2]quit# 在AC下绑‎定无线服务‎模板[AC-wlan-ap-a]seria‎l-id 21023‎5A29G‎007C0‎00010‎[AC-wlan-ap-a]radio‎2[AC-wlan-ap-a-radio‎-2]servi‎c e-templ‎a te 1[AC-wlan-ap-a-radio‎-2]servi‎c e-templ‎a te 2[AC-wlan-ap-a-radio‎-2]radio‎enabl‎e[AC-wlan-ap-a-radio‎-2]quit# 配置Por‎t al Serve‎r和免认证‎规则[AC]porta‎l serve‎r local‎ip 192.168.0.254[AC]porta‎l free-rule 0 sourc‎e inter‎f ace Gigab‎i tEth‎e rnet‎1/0/1 desti‎n atio‎n any [AC]porta‎l local‎-serve‎r http[AC]porta‎l local‎-serve‎r bind ssid porta‎l file http.zip[AC]inter‎f ace Vlan-inter‎f ace 2[AC-Vlan-inter‎f ace2‎]ip addre‎s s 192.168.1.254 255.255.255.0[AC-Vlan-inter‎f ace2‎]porta‎l serve‎r local‎metho‎d direc‎t[AC-Vlan-inter‎f ace2‎]quit[AC]inter‎f ace Vlan-inter‎f ace 3[AC-Vlan-inter‎f ace3‎]ip addre‎s s 192.168.2.254 255.255.255.0[AC-Vlan-inter‎f ace3‎]porta‎l serve‎r local‎metho‎d direc‎t[AC-Vlan-inter‎f ace3‎]quit3. 验证结果连接ssi‎d:porta‎l在STA‎上IE直接‎输入任意I‎P地址,会推出定制‎的http‎认证页面.(1) 认证页面(2) 输入用户名‎和密码,登录成功.(3)(4) 推出por‎t al认证‎下线成功页‎面连接ssi‎d:porta‎l2在ST‎A上IE直‎接输入任意‎I P地址,会推出定制‎的http‎认证页面.(5) 认证页面(6)(7) 输入用户名‎和密码,登录成功(8) .(9) 推出por‎t al认证‎下线成功页‎面(10)4. 在AC上查‎看认证结果‎使用dis‎p lay porta‎l user inter‎f ace Vlan-inter‎f ace 查看不同s‎s id （且属于不同‎网段）连接上来的‎p orta‎l认证用户‎。

1.18.1 Portal直接认证配置举例1. 组网需求•用户主机与接入设备Router直接相连，采用直接方式的Portal认证。

用户通过手工配置或DHCP获取的一个公网IP地址进行认证，在通过Portal认证前，只能访问Portal Web服务器；在通过Portal认证后，可以使用此IP地址访问非受限的互联网资源。

•采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。

•采用RADIUS服务器作为认证/计费服务器。

2. 组网图图1-4 配置Portal直接认证组网图配置Router•配置RADIUS方案# 创建名字为rs1的RADIUS方案并进入该方案视图。

<Router> system-view[Router] radius scheme rs1# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[Router-radius-rs1] primary authentication 192.168.0.112[Router-radius-rs1] primary accounting 192.168.0.112[Router-radius-rs1] key authentication simple radius[Router-radius-rs1] key accounting simple radius# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[Router-radius-rs1] user-name-format without-domain[Router-radius-rs1] quit# 使能RADIUS session control功能。

[Router] radius session-control enable•配置认证域# 创建并进入名字为dm1的ISP域。

[Router] domain dm1# 配置ISP域使用的RADIUS方案rs1。

1.portal简介和认证流程：portal是一种用web页面来进行认证的认证机制，通过提供给上网用户一个web页面访问点进行用户身份认证，在认证成功前用户不能真正上网，访问任何页面都会被强制转换到portal提供的认证页面。

Portal认证的实现:在用户端不用安装专门的客户端，只需浏览器即可。

通过ac,portal，radius服务器，用户四者的数据交互完成portal认证的整个流程。

Portal认证流程主要分为以下几步：1.用户与AC交互用户发起http请求，AC在配置的制定接口监听到http请求后，向用户返回重定向报文（http 302），用户访问302报文提供的portal页面地址，开始与portal进行交互:(由用户10.1.1.100向5.1.1.1发起的http请求，ac监听到以后，返回一个http302报文，其中包含portal页面的地址，并把源ip填写成5.1.1.1，)，用户根据该地址，与针对这一步骤的说明：1)Iptables介绍:ac对报文监听和阻截的功能通过iptables实现，iptables是unix 的内置firewall机制，由一系列的规则链表组成，链表的每一表项包括对源，目的，匹配后的处理动作（target），协议几个部分。

实现过程如下：当数据包进入AC时，Linux Kernel会查找对应的链，直到找到一条规则与数据包匹配（源和目的ip均匹配）。

匹配后，如果该规则的target是ACCEPT，则整个匹配过程结束，跳过剩下的规则，数据包被发送。

如果该规则的target是DROP，该数据包会被拦截掉，匹配过程结束，不会再参考其他规则，如果target是另一个链表的名称，则跳转到相应的链表，这种表称为内层链表，好处在于使匹配过程更易管理和明晰。

如果该规则的target是RETURN，不再根据当前链的其他规则来检查数据包，而是直接返回，继续被发送到其目的地址，或下一个链。

WNC6600本地portal认证案例
需求描述
客户没有部署认证服务器，计划使用WNC6600AC设备做认证实现无线终端Portal认证。

处理办法
1.首先将portal文件导入AC的文件系统内。

2.先将终端网段的网关地址加入AC的NAS地址
3.设置portal相关参数
4.设置内置portal地址及端口
5.开启本地portal认证
6.开启无线服务配置相关选项
为portal。

案例总结
1.portal文件可以致电迈普技术热线获取。

2.步骤3的URL的端口就是步骤4的端口。

3.需要使用集中转发才可以实现本地portal认证。

4.NAS地址一般就为业务网段的网关地址及AC上的地址，同时终端通过AP连接后
可达。

H3C WX系列不同SSID不同认证页面的本地Portal认证的典型配置关键词：Local-Server，本地Portal Server,定制web,不同ssid,不同vlan,portal摘要：本文介绍了用H3C公司WX系列AC不同ssid不同vlan做本地portal的配置。

缩略语：缩略语英文全名中文解释C3H目 录1 特性简介...............................................................................................................................................1-11.1 特性介绍.....................................................................................................................................1-11.2 特性优点.....................................................................................................................................1-1 2 应用场合...............................................................................................................................................2-1 3 注意事项...............................................................................................................................................3-2 4 配置举例...............................................................................................................................................4-24.1 组网需求.....................................................................................................................................4-24.2 配置思路.....................................................................................................................................4-24.3 使用版本.....................................................................................................................................4-24.4 配置步骤.....................................................................................................................................4-34.5 注意事项...................................................................................................................................4-11 5 相关资料.............................................................................................................................................5-115.1 相关协议和标准.........................................................................................................................5-115.2 其它相关资料............................................................................................................................5-11H3C1 特性简介1.1 特性介绍Portal基本功能的实现需要4个元素：Portal Server，RADIUS 服务器，支持Portal协议的接入设备，Portal客户端。

portal准入认证参数
"Portal准入认证参数"通常指的是在网络安全领域中用于控制
用户访问网络资源的一系列参数。

这些参数可以包括但不限于以下
几个方面：
1. 用户身份认证参数，这些参数用于验证用户的身份，通常包
括用户名、密码、双因素认证等。

通过这些参数，系统可以确定用
户是否有权访问特定的网络资源。

2. 访问控制参数，这些参数用于定义用户可以访问的资源范围，包括访问时间、访问地点、访问设备等限制条件。

通过这些参数，
系统可以实现对用户访问行为的精细化控制。

3. 安全策略参数，这些参数用于定义网络资源的安全策略，包
括加密要求、防火墙规则、安全连接要求等。

通过这些参数，系统
可以保障网络资源的安全性。

4. 认证协议参数，这些参数用于定义认证过程中所采用的协议，包括RADIUS、LDAP、TACACS+等。

通过这些参数，系统可以与认证
服务器进行通信，实现对用户身份的认证。

综上所述，Portal准入认证参数涉及到用户身份认证、访问控制、安全策略和认证协议等多个方面，这些参数的合理配置能够有效地保障网络资源的安全，并实现对用户访问行为的精细化控制。

Portal直接认证上下线过程简析一、Portal直接认证上下线过程可以分为四个阶段1．客户端、接入设备之间的交互过程（HTTP重定向）客户端访问任意IP地址（1.1.1.1）的目的网页，AC作为接入设备在配置了Portal认证的接口伪装成客户端想要访问的目的网页，并通过HTTP重定向将Portal服务器的认证页面返回客户端。

客户端、接入设备、Portal服务器之间的交互过程（HTTP重定向）对应下图的HTTP-GET、HTTP重定向。

2．客户端、Portal服务器、接入设备之间的交互过程（认证前）客户端访问重定向的Portal服务器认证页面，输入用户名和密码，通过点击上线提交用户名和密码给Portal服务器。

Portal服务器通过与接入设备交互INFO 报文获取客户端相关信息，Portal服务器通过与接入设备交互CHALLENGE报文协商用于CHAP加密的Challenge（Portal服务器采用CHAP认证方式的情况，采用PAP认证方式时没有此过程）。

客户端、Portal服务器、接入设备之间的交互过程（认证前）对应下图的HTTP上线请求、REQ_INFO、ACK_INFO、REQ_CHALLENGE、ACK_CHALLENGE。

3．Portal服务器、接入设备、Radius服务器之间的交互过程（认证中）Portal服务器通过REQ_AUTH向接入设备发起认证，接入设备与Radius服务器进行通信，对用户信息进行认证，如果认证成功，接入设备回应Portal服务器ACK_AUTH告知客户端认证成功，Portal服务器通过AFF_ACK_AUTH对此再进行一次回应。

最后，接入设备向Radius服务器发起计费开始过程。

Portal服务器、接入设备、Radius服务器之间的交互过程（认证中）对应下图的REQ_AUTH、Access-Request、Access-Accept、ACK_AUTH、AFF_ACK_AUTH、Accouting- Request、Accouting- Response。

Portal典型配置案例(1)1 概述1.1 Portal简介未认证用户上网时，设备强制用户登陆到门户网站主页，用户可以免费访问其中的服务。

当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后用户才可以使用互联网资源。

Portal业务可以为运营商提供方便的管理功能，比如希望所有的用户都到公司的门户网站去认证，门户网站可以开展广告、社区服务、个性化的业务等，使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。

1.2 Portal优势目前互联网上存在着多种认证方式，如802.1x认证，PPPOE认证，Portal认证等等。

比较这些认证方式，Portal认证具有以下优势：1. 不需要安装认证客户端，减少客户端的维护工作量：PORTAL认证通过网页即可实现认证，其它认证方式均需安装客户端。

2. 便于运营：Portal可以定制“VLAN+端口+IP地址池”粒度级别的个性化认证页面，同时可以在Portal 页面上开展广告业务、服务选择和信息发布等内容，进行业务拓展，实现IP网络的运营。

3. 技术成熟：关注对用户的管理、基于VLAN ID/IP/MAC捆绑识别用户数据包的全程认证、定期发送握手报文的断网检测方式。

4. 更灵活的业务实现方式通过与设备的结合，可以为不同的业务选择不同的认证和计费方案。

2 典型组网方案2.1 Portal标准组网方案1. 组网图图1 Portal标准组网方案图2. 组网说明这是一种标准的Portal组网方案。

图中左下角只画了一个交换机和一个BAS设备（宽带接入服务器，是支持Portal认证的设备。

如：MA5200, S3528等），在实际组网过程中，如果用户数较多，用户可以挂接在多个交换机下，多个交换机再接入到多个BAS上。

所有的BAS通过一个核心路由器（也可以是高端交换机，如：S8505等）连接到互联网上，服务器（CAMS服务器，Portal服务器等）放在机房中，通过一台交换机连到核心路由器上。

H3C⽆线配置5-本地转发模式下本地Portal认证典型配置举例1.组⽹需求AP和Client通过DHCP服务器获取IP地址，AC同时作为Portal认证服务器、Portal Web服务器，要求：· AC采⽤直接⽅式的Portal认证。

· Client在通过Portal认证前，只能访问Portal Web服务器；Client通过Portal认证后，可以访问外部⽹络。

· Client的数据流量直接由AP进⾏转发。

· ⽤户可以在VLAN内的任何⼆层端⼝上访问⽹络资源，且移动接⼊端⼝时⽆须重复认证。

2.配置思路· 为了使⽤户可以在VLAN内的任何⼆层端⼝上访问⽹络资源，且移动接⼊端⼝时⽆须重复认证，必须开启Portal⽤户漫游功能。

· 在采⽤本地转发模式的⽆线组⽹环境中，AC上没有Portal客户端的ARP表项，为了保证合法⽤户可以进⾏Portal认证，需要开启⽆线Portal客户端合法性检查功能。

· 短时间内Portal客户端的频繁上下线可能会造成Portal认证失败，需要关闭Portal客户端ARP表项固化功能。

· 为了将AP的GigabitEthernet1/0/1接⼝加⼊本地转发的VLAN 200，需要使⽤⽂本⽂档编辑AP的配置⽂件，并将配置⽂件上传到AC存储介质上。

3.配置注意事项· 配置AP的序列号时请确保该序列号与AP唯⼀对应，AP的序列号可以通过AP设备背⾯的标签获取。

· 设备重定向给⽤户的Portal Web服务器的URL默认是不携带参数，需要根据实际应⽤⼿动添加需要携带的参数信息。

4.编辑AP配置⽂件# 使⽤⽂本⽂档编辑AP的配置⽂件，将配置⽂件命名为map.txt，并将配置⽂件上传到AC存储介质上。

配置⽂件内容和格式如下：System-viewvlan 200interface gigabitethernet1/0/1port link-type trunkport trunk permit vlan 2005.配置AC1）接⼝配置# 创建VLAN 100及其对应的VLAN接⼝，并为该接⼝配置IP地址。

⽹络配置——portal服务器配置Portal服务器是基于web进⾏认证的机制，属于B/S架构。

通过和RADIUS进⾏配合，可以呈现⽤户连⽹弹⽹页，输⼊⽤户名密码后即可上⽹。

当前portal认真的相关版本：各家⼚家的版本各有差异，公有标准的为portal2.0标准。

⽽portal3.0是为IPv6进⾏的适配。

这⾥H3C的portal2.0是CMCC的标准。

也是通⽤标准接⼝。

H3C AC相关配置：版本V5，型号：LSQ1WCMD0（板卡式AC）配置portal认证：portal free-rule 3 source ip 10.10.160.0 mask 255.255.224.0 destination ip any #⽩名单，写⼊后⽹段或Ip地址或端⼝不⽤进⾏认证。

portal wlan ssid Expo_Center_Free server sundray_portal domain dsf-portal #SSID号和domain想对应portal mac-trigger server ip 10.0.10.22#配置URL代的参数portal url-param include user-macportal url-param include nas-ip param-name wlanacipportal url-param include ap-mac param-name apmacportal url-param include user-urlportal url-param include user-ipportal其他参数：portal host-check wlanportal silent ios optimizeportal safe-redirect enableportal safe-redirect method get postportal safe-redirect user-agent Andriodportal safe-redirect user-agent CaptiveNetworkSupport配置radius参数：radius scheme dsf-portalserver-type extendedprimary authentication 10.0.10.22primary accounting 10.0.10.22key authentication cipher $c$3$6FpFlPjx7jpCsVhgflm6nH8YiOrEnAuT+w== #默认为123456key accounting cipher $c$3$LRr7EjHcuPutYY0eopNZgytQc9FIUx7+hw== #该为计费系统的秘钥：默认123456user-name-format without-domainnas-ip 10.0.2.246accounting-on enable interval 15配置域名：domain dsf-portalauthentication portal radius-scheme dsf-portalauthorization portal radius-scheme dsf-portalaccounting portal radius-scheme dsf-portalaccess-limit disablestate activeidle-cut enable 5 10240self-service-url disable华为portal认证配置：Huawei AC6605 版本：V200R006C10SPC100radius-server template ndkey-wcc-radiusradius-server shared-key cipher %^%##]iND0f2x8p_=EWjzY2.I`(FUy/INB>`7_:+~f+I%^%#radius-server authentication 10.0.10.22 1812 weight 80radius-server accounting 10.0.10.22 1813 weight 80radius-server authorization 10.0.10.22 shared-key cipher %^%#{"E%OMEJ31zjZtU(7U*/C~Q#/n6gX+;nqtMMxI^E%^%# free-rule-template name default_free_rulefree-rule 0 destination ip 61.128.128.68 mask 255.255.255.255 source ip anyfree-rule 2 destination ip any source ip 192.168.250.0 mask 255.255.255.0portal-access-profile name portal1701web-auth-server ndkey-wcc-web-ser direct#portal-access-profile name portal1702web-auth-server ndkey-wcc-web-ser directaaaauthentication-scheme defaultauthentication-scheme radiusauthentication-mode radiusauthentication-scheme ndkey-wcc-radiusauthentication-mode radiusauthorization-scheme defaultaccounting-scheme defaultaccounting-scheme ndkey-wcc-radiusaccounting-mode radiusdomain defaultauthentication-scheme ndkey-wcc-radiusaccounting-scheme ndkey-wcc-radiusradius-server ndkey-wcc-radiusdomain default_admindomain authentication-scheme ndkey-wcc-radiusaccounting-scheme ndkey-wcc-radiusradius-server ndkey-wcc-radius。

Portal认证技术认证技术是AAA（认证，授权，计费）的初始步骤，AAA一般包括用户终端、AAAClient、AAA Server和计费软件四个环节。

用户终端与AAA Client之间的通信方式通常称为"认证方式"。

目前的主要技术有以下三种：PPPoE、Web＋Portal、IEEE802.1x。

基于web方式的认证技术最广为人知的一点是不需要在客户端安装任何拨号与认证软件。

它能够处理高层协议，在网络应用日益复杂的形势下，很多复杂的管理要求已经涉及到高层协议，面对这些要求，基于2、3层的认证技术入PPPoE，802.1x就无能为力。

1.PPPoE通过PPPoE（Point-to-Point Protocol over Ethernet）协议，服务提供商可以在以太网上实现PPP协议的主要功能，包括采用各种灵活的方式管理用户。

PPPoE（Point-to-Point Protocol over Ethernet）协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。

PPPoE的建立需要两个阶段，分别是搜寻阶段（Discovery stage）和点对点对话阶段（PPP Session stage）。

当一台主机希望启动一个PPPoE对话，它首先必须完成搜寻阶段以确定对端的以太网MAC地址，并建立一个PPPoE的对话号（SESSION_ID）。

在PPP协议定义了一个端对端的关系时，搜寻阶段是一个客户-服务器的关系。

在搜寻阶段的进程中，主机（客户端）搜寻并发现一个网络设备（服务器端）。

在网络拓扑中，主机能与之通信的可能有不只一个网络设备。

在搜寻阶段，主机可以发现所有的网络设备但只能选择一个。

当搜索阶段顺利完成，主机和网络设备将拥有能够建立PPPoE的所有信息。

搜索阶段将在点对点对话建立之前一直存在。

一旦点对点对话建立，主机和网络设备都必须为点对点对话阶段虚拟接口提供资源（1）PPPoE方式其整个通信过程都必须进行PPPoE封装，效率较低，由于宽带接入服务器要终结大量的PPP会话，将其转换为IP数据包，使宽带接入服务器成为网络性能的“瓶颈”。

集中认证+本地转发技术白皮书文档版本01发布日期2012-10-31版权所有 © 华为技术有限公司 2012。

保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：客户服务邮箱：ChinaEnterprise_TAC@客户服务电话：4008229999技术白皮书前言前言修订记录修改记录累积了每次文档更新的说明。

最新版本的文档包含以前所有文档版本的更新内容。

文档版本 01 (2012-10-31)第一次正式发布。

技术白皮书目录目录前言 (ii)1 介绍 (1)2 原理描述 (2)2.1 认证方式 (4)2.1.1 802.1X认证 (4)2.1.2 Portal认证 (4)2.2 数据转发方式 (5)2.3 集中认证、本地转发 (6)3 应用 (10)3.1 集中认证、本地转发应用实例 (11)技术白皮书 1 介绍1介绍定义集中认证、本地转发是指STA认证报文通过隧道转发到AC，STA业务报文不通过隧道，经网关直接转发，实现在AC上对无线用户的集中接入控制功能，同时节约AP上行的广域网或Internet的出口带宽。

目的大容量AC集中部署的场景，AC全部位于网络核心层，通过Internet与各分支互联。

集中认证、本地转发主要实现在三层组网中能采用802.1X认证或Portal认证，具体可以针对性的解决以下场景存在的问题：1.对于AC和AP之间是三层网络，直接转发的场景，802.1X或Portal等接入控制点无法部署在AC上。

H3C SecBlade IAG插卡Portal认证典型配置举例关键词：Portal AAA IAG 认证摘要：本文主要介绍H3C SecBalde IAG插卡Portal接入认证的典型配置。

缩略语：Abbreviations缩略语Full spelling 英文全名Chinese explanation 中文解释AAA Authentication，Authorization，认证，授权，计费AccountingAC AccessController 访问控制器Point 访问点AP AccessAccessServer 宽带接入服务器BAS BroadCHAP Challenge Handshake Authentication挑战握手认证协议ProtocolWBAS Wireless Broad Access Server 无线宽带接入服务器BAS-IP 通常是接入客户端接口IPDHCP Dynamic Host Configuration Protocol 动态主机配置协议IAG Intelligent Application Gateway 智能应用网关NAI Network Access Identifier 网络访问识别NAS Network Access Server 网络访问服务器NAS-IP 通常是接portal server的接口IPRADIUS Remote Authentication Dial In User远程用户拨入服务ServiceWLAN Wireless Local Area Network 无线本地网目录1 Portal简介 (1)1.1 Portal系统组成 (1)1.2 Portal认证方式 (2)1.2.1 二层认证方式 (2)1.2.2 三层认证方式 (2)1. 直接认证方式 (2)2. 二次地址分配认证方式 (2)3. 跨网段Portal认证 (2)2 应用场合 (2)3 配置举例 (3)3.1 典型组网图 (3)3.2 使用版本 (4)3.3 配置准备 (5)3.4 典型配置 (5)3.4.1 直接Portal认证（Radius服务器认证） (5)1. 需求分析 (5)2. 组网图 (5)3. 配置步骤 (5)4. 验证结果 (12)5. 注意事项 (13)3.4.2 直接Portal认证（本地认证） (13)1. 需求分析 (13)2. 组网图 (13)3. 配置步骤 (13)4. 验证结果 (18)5. 注意事项 (19)3.4.3 直接Portal认证（IAG作为NAT网关） (19)1. 需求分析 (19)2. 组网图 (19)3. 典型配置步骤 (19)4. 验证结果 (26)5. 注意事项 (27)3.4.4 直接Portal认证（模糊VLAN终结） (27)1. 需求分析 (27)2. 组网图 (28)3. 配置步骤 (28)4. 验证结果 (29)5. 注意事项 (30)3.4.5 直接Portal认证（同时配置802.1X混合认证） (31)1. 需求分析 (31)2. 组网图 (31)3. 配置步骤 (31)4. 验证结果 (33)5. 注意事项 (37)3.4.6 直接Portal认证（双机热备） (37)1. 需求分析 (37)2. 组网图 (37)3. 配置步骤 (37)4. 验证结果 (41)5. 注意事项 (42)3.4.7 跨网段Portal认证 (43)1. 需求分析 (43)2. 组网图 (43)3. 配置步骤 (43)4. 验证结果 (44)5. 注意事项 (45)1 Portal简介Portal在英语中是入口的意思。

移动办公WLAN技术建议书目录1 项目背景和需求 (1)1.1 办公移动性的概述 (1)1.2 项目背景 (1)1.3 移动办公应用需求 (2)2 WLAN基础网络设计 (3)2.1 无线网络设计原则 (3)2.2 2网络总体架构 (3)2.3 WLAN覆盖规划 (5)2.3.1 容量规划 (5)2.3.2 覆盖规划 (6)2.3.3 信道规划 (7)2.3.4 规划工具 (8)2.3.5 SSID和漫游规划 (9)2.4 射频资源管理 (10)2.4.1 射频调优 (10)2.4.2 负载均衡 (11)2.4.3 5G优先接入 (11)2.4.4 限制弱信号或低速率用户接入 (12)2.4.5 强制弱信号或低速率用户下线 (12)2.4.6 高密功能 (12)2.4.7 频谱分析 (12)2.4.8 逐包功率调整 (12)2.5 QoS设计 (13)2.5.1 WMM和优先级映射 (14)2.6 可靠性设计 (15)2.6.1 AC 1+1备份 (15)2.6.2 CAPWAP断链业务保持 (15)2.6.3 信道切换业务不中断 (16)2.6.4 AP可靠性 (16)2.7 安全规划 (16)2.7.1 WIDS/WIPS (17)2.7.2 安全策略 (18)2.7.3 STA黑白名单 (18)2.7.4 用户隔离 (18)2.8 接入认证与访客管理 (18)2.8.1 用户接入认证 (18)2.8.2 认证方式选择 (19)2.8.3 访客管理 (22)3 WLAN网络管理方案 (24)3.1 网管方案概述 (24)3.2 eSight WLAN网络管理流程 (24)3.2.1 网络部署 (24)3.2.2 网络监控 (25)3.2.3 网络故障恢复 (25)4 解决方案设计亮点 (27)1 项目背景和需求1.1 办公移动性的概述企业办公经历从固定场所的办公方式，笔记本、手机为主的初级移动办公方式，发展到智能终端“3A (Anytime, Anywhere, Anything)”灵活接入的移动办公方式，这种办公方式可以摆脱时间和空间的局限，可以随时随地进行信息交流，沟通和管理更加高效。

portal认证标准(一)Portal认证标准引言Portal认证标准是指为了确保门户网站（或网站）的安全性和可靠性而制定的一系列规范和标准。

这些标准包括技术、安全、用户体验等方面，旨在提供一个可信赖的在线平台。

本文将介绍Portal认证标准的重要性以及其主要要求。

为什么需要Portal认证标准•维护用户隐私和数据安全：门户网站通常涉及用户个人信息的收集和处理，因此，确保门户网站的安全性对于用户的隐私和数据安全非常重要。

•防止网络攻击和数据泄露：门户网站经常遭受网络攻击的威胁，Portal认证标准的实施能够加强对潜在网络威胁的防御，减少数据泄露的风险。

•提供优质的用户体验：遵循Portal认证标准，可以保证门户网站的可用性和稳定性，提供良好的用户体验，增加用户的满意度和忠诚度。

主要要求Portal认证标准包含以下主要要求：技术要求•安全协议：门户网站应使用安全协议（如HTTPS）来确保用户与网站之间的数据传输的安全性。

•强密码要求：要求用户设置复杂和强度较高的密码，增加用户账户的安全性。

•多因素认证：门户网站应该提供多因素认证的功能，以提高用户账户的安全性。

•输入验证和过滤：门户网站应对用户输入进行验证和过滤，防止恶意代码注入和SQL注入攻击等风险。

安全要求•数据加密：对于收集到的用户个人信息和敏感数据，门户网站应采用适当的加密算法进行加密存储和传输。

•访问控制：对于不同的用户角色和权限，门户网站应实施严格的访问控制机制，确保未经授权的访问。

•安全审计：门户网站应记录和审计所有用户的操作行为，以便快速发现和应对潜在的安全问题。

用户体验要求•响应式设计：门户网站应具备响应式设计，以适应不同设备和屏幕大小，提供最佳的用户体验。

•友好的导航：门户网站应提供清晰易懂的导航菜单和链接，帮助用户快速找到所需内容。

•联系和反馈渠道：门户网站应提供便捷的联系方式和反馈渠道，以便用户提出问题或给予建议。

结语Portal认证标准在当前互联网时代扮演着重要的角色。

前言Portal认证主要针对用户上网流量（即所有穿过防火墙的流量）进行认证。

其中ARP报文、ICMP 报文和DNS报文可以直接通过不需要进行认证。

配置Portal认证，需要Portal服务器。

Portal的典型组网由三个基本要素组成：认证客户端、接入设备、Portal认证/计费服务器。

1）认证客户端安装于用户终端的客户端系统，为运行HTTP /HTTPS协议的浏览器。

2）接入设备交换机、路由器、防火墙等宽带接入设备的统称，主要有三方面的作用：在认证之前，将用户的所有HTTP请求都重定向到Portal服务器。

在认证过程中，与Portal认证/计费服务器交互，完成身份认证/安全认证/计费的功能。

在认证通过后，允许用户访问被管理员授权的互联网资源。

3）Portal认证/计费服务器接收Portal客户端认证请求的服务器端系统，提供免费门户服务和基于Web认证的界面，与接入设备交互认证客户端的认证信息。

常用拓扑配置步骤1. 开启本地安全aaa服务。

Web页面配置→系统→系统安全2. 配置portal服务器参数。

Web页面配置→用户认证→远程认证→Portal认证→Portal服务器配置完服务器相关参数，点击按钮。

Portal认证的端口默认使用8283端口进行通信，重定向的URL指的是Portal服务器提供的用户认证跳转到的认证页面地址，默认的访问端口为80端口。

3. 若要添加用户认证的规则，点击按钮进行添加。

4. 添加用户角色定义添加用户角色在：web配置页面→用户认证→远程认证→Portal认证→用户角色配置。

用户角色的定义，表示一个具有相同权限用户组的集合，通过用户角色的定义，能够区分不同的用户流量，把其加之在acl策略上就能灵活的控制，区分不同流量的权限。

其中，“用户流量检测”功能是对该用户的流量进行统计，根据配置的时间间隔，如图中则是每三秒钟，统计一次，如果开启了日志记录功能，则每三秒钟统计该用户的流量，并记录在日志中。

内置portal配置portal认证的相关配置，分布在两个部分：1、captive portal配置界面认证服务器IP地址即为你使用AC的IP地址认证服务器端口固定为3990接口选择，一般选择是由AC上与AP关联转发的端口。

2、白名单配置由于是内置PORTAL，所有该处白名单无须配置。

3、EAG配置界面1.开启EAG2.开启空闲时间：当用户异常下线时，用户的实际下线时间和AC实际侦测到的用户下线时间有一定的误差。

这个误差为一个radius计费跟新报文的时间。

如果不勾选，实际的计费时间最大会比用户的实际上网时间多一个radius计费间隔的时间。

如果勾选，实际的计费时间会比用户实际的上网时间+/-(radius计费间隔时间)/2。

这个参数对正常下线的用户不产生效果。

3.Debug log勾选可在出现问题时记录相关日志，便于查看问题，目前日志生成较快，需要时再勾选此项4.重定向侦听:该处所填应该为AC的IP地址5.NAS ID: AC的一个编号，会携带在radius报文中，需要由运营商给出。

可以配置vlan或者wlan等同nasid的映射关系。

6.NAS port ID：携带在radius中的一个属性。

根据广州移动的需求添加的，实际是sta所在的vlan号,或者是wlan id+wtp id的一个映射关系。

7.Radius密钥：AC和radius之间进行交互的密钥，需要由运营商提供。

如果这个值错误，会导致用户登录失败。

（注意在RADIUS服务器上要与该处设置的RADIUS密钥保持一致）8.Portal服务器：内置portal即为AC的IP地址9.Portal服务器：固定值399010.登陆页面：/www/index.html，该处所填的登陆页面即为到时候推portal所显示页面的url地址。

此处如果成功推出portal页面到时候会显示登陆web管理的页面。

总结一下：如果你选择的是内置portal，那么此处只需要修改如下几处内容。