如何利用华为交换机组建Portal认证系统

交换机上结合IMC做802.1x Portal 配置案例重点交换机上结合imc做802.1xportal配置案例重点802.1x+门户配置案例，交换机提示上带有IMC：建议将word的显示比例调整为150%。

检查1配置要求：交换机访问用户的802.1x+门户身份验证。

2.网络拓扑：3.设备端配置：portaldevice]disver版权所有（c2022-2022杭州华三科技有限公司版权所有。

H3C5500-28c-ei正常运行时间0周，0天，20小时，49分钟[PortalDevices 5500 ei]讨论）#version5.20,release2202p19Domaindefaultenableya//指定默认域名，并结合不带域命令的用户名格式。

在802.1x中，不需要域名。

Dot1x//全局启用Dot1x功能vlan10#vlan20#radiusschemeszhprimaryauthentication172.16.100.200primaryaccounting172.16.100.200keyauthentic ationhuakeyaccountinghua没有域的用户名格式domainszh//portal配置，引用radius方案szh.authenticationportalradius-schemeszhauthorizationportalradius-schemeszhaccountingportalradius-schemeszhaccess-limitdisablestateactiveidle-cutdisableself-service-urldisableDomainya//802.1x配置，参考radius方案Szh身份验证LAN访问radius方案ZHAAuthorization LAN访问radius方案ZHAccountingLAN访问radius方案ZHAccess limitdisablestateactiveidle cutdisableself-service-urldisable#用户群系统#interfacenull0#接口LAN-interface10ipaddress192.168.10.1255.255.255.0#Interfacevlan-interface20//门户身份验证vlanipaddress192168.20.1255.255.255.0portalserverszhpmethoddirect#interfacegigabitethernet1/0/4portaccessvlan20dot1x#SNMP V3的SNMP代理配置snmp-agentgroupv3test_groupprivacyread-viewtest_viewwrite-viewtest_viewnotify-viewtest_viewsnmp-agentmib-viewincludedtest_uuVIEWISOsnmp-agentusm-userv3test_usertest_groupauthentication-modemd5!qm%/g4dg<2=o9\des56!qm%/g4dg<2=o9\#2.在IMC上配置802.1x：（1）创建用户姓名：8021xuser（2）在用户名中添加账号：user802，密码：**，并将其与之前创建的服务相关联。

⽆线本地portal认证创建ISP域portal# 创建ISP域portal，并进⼊ISP域视图。

[H3C] domain portal# 为Portal⽤户配置AAA认证⽅法为本认证、不授权、不计费。

[H3C-isp-ldap]authentication portal local[H3C-isp-ldap] authorization portal none[H3C-isp-ldap] accounting portal none[H3C-isp-ldap] authorization-attribute idle-cut 15 1024[H3C] portal web-server newpt[H3C-portal-websvr-newpt] url http://192.168. 0.100/portal# 创建本地Portal Web 服务器，进⼊本地Portal Web服务器视图，并指定使⽤HTTP协议和客户端交互认证信息。

[H3C] portal local-web-server http#配置本地Portal Web服务器提供认证页⾯⽂件为xxx.zip提⽰：设备⾃带压缩包defaultfile.zip，也可以使⽤该压缩包。

[H3C–portal-local-websvr-http] default-logon-page defaultfile.zip[H3C–portal-local-websvr-http] quit配置⽆线服务[H3C] wlan service-template portal[H3C-wlan-st- portal] ssid portal[H3C-wlan-st- portal] vlan 1[H3C-wlan-st- portal] portal enable method direct[H3C-wlan-st- portal] portal domain portal[H3C-wlan-st- portal ] portal apply web-server newpt[H3C-wlan-st- portal] service-template enable添加本地⽤户#配置本地认证⽤户账号和密码[H3C]local-user test class network[H3C-luser-network-test]password simple test[H3C-luser-network-test]service-type portalportal弹窗portal free-rule 1 destination ip 114.114.114.114 32。

OpenPortalServer开源Portal协议WEB认证服务器作者：LeeSonQQ:25901875E-Mail:LeeSon@OpenPortal官方交流群119688084该软件是基于华为AC/BAS PORTAL协议的服务端程序，Java编写，开源。

最新源代码下载地址：https:///lishuocool https:///SoftLeeSon/支持Huawei H3C Portal V1 V2协议PAP CHAP认证方式的Portal服务器-------------------------------------------------------------------------------------------新手安装配置说明：-------------------------------------------------------------------------------------------windows环境下：1.首先保证已有JDK1.7环境，MySQL环境,tomcat72.解压路径无中文及空格3.配置文件说明\webapps\ROOT\WEB-INF\classes\jdbc.properties首先修改该数据库配置文件创建openportalserver数据库UTF-8字符集导入数据库文件OpenPortalServer.sql后台账号：admin 密码:admin4.配置AC设备安装和配置Radius服务如果使用AC模拟器进行模拟测试则可忽略这步如果使用页面展示、本地接入用户认证方式不用配置radius5.运行bin/startup.bat 快捷方式6.浏览器http://服务器IP7.如果使用AC模拟器测试用户名密码随意如果真实环境（不用我废话了）-------------------------------------------------------------------------------------------Linux环境: 安装jdk1.7 mysql tomcat7 将解压目录下的webapps目录替换Portal认证服务核心引擎接口路径为根目录的html文件采用GET提交，Json信息返回！-------------------------------------------------------------------------------------------对接配置说明：超时设置3-5秒日志记录是否输出详细日志到文件验证码设置是否开启用户登陆的验证码用户心跳是否进行用户离线检测超时重复次数一次检查周期内用户在线检测超时几次算已经下线计费检测周期间隔多长时间检测一次用户是否在线，余额是否够认证方式页面展示,本地接入用户,外接radius自助注册开关是否允许自助注册接入用户，默认每个新用户给10分钟的时长设备账号对应设备的local-user用户账号密码，在本地接入用户和页面展示认证方式时必须配置，而且设备用默认domain设备密码对应设备的local-user用户账号密码，在本地接入用户和页面展示认证方式时必须配置，而且设备用默认domain-------------------------------------------------------------------------------------------本地用户认证模式则下面交换机不用设置[SWITCH] domain 设备账号密码就是交换机的账号密码-------------------------------------------------------------------------------------------以华为S5700交换机为例，配置信息详细说明：交换机配置如下配置步骤步骤1创建VLAN 并配置接口允许通过的VLAN，保证网络通畅。

华为AC6605与OSSH免费版华为Portal系统的对接OSSH免费版华为Portal系统支持华为Portal协议，能够跟市面上支持华为协议的设备进行对接，方便的实现Web Portal认证。

下面我们介绍华为主流6605系列AC同OSSH免费版华为Portal的对接示例，仅供大家参考。

网络拓扑如下：配置说明：1、将无线认证用户及设备划分到VLAN2014#vlan 2014description user_vlan#2、配置Radius认证模板#radius-server template radius_huaweiradius-server shared-key cipher %@%@,%+K=Sl9NOmxy2@J~"X//97v%@%@ radius-server authentication 192.168.10.3 1812 weight 80radius-server accounting 192.168.10.3 1813 weight 80undo radius-server user-name domain-included##url-template name urlTemplate_0#3、配置Portal认证对接的参数#web-auth-server portalserver-ip 192.168.10.3port 50100shared-key cipher %@%@qfU0XjxGk-{_|i"4x;<,/v~S%@%@ url http://192.168.10.3:8080/login.jspurl-template urlTemplate_0user-sync#4、配置无线认证用户的地址池、网关及DNS#ip pool wifi_usergateway-list 192.168.10.1network 192.168.10.0mask 255.255.255.0excluded-ip-address 192.168.10.1 192.168.10.40lease day 0 hour 1 minute 0dns-list 8.8.8.8#5、配置AAA模板#aaaauthentication-scheme defaultauthentication-scheme radius_huaweiauthentication-mode radiusauthorization-scheme defaultaccounting-scheme defaultaccounting-scheme radius_huaweiaccounting-mode radiusdomain defaultdomain default_admindomain authentication-scheme radius_huaweiaccounting-scheme radius_huaweiradius-server radius_huaweilocal-user admin password cipher %@%@lA9^Vm7sN452P)V;[5<Fcc>(%@%@ local-user admin privilege level 15local-user admin service-type telnet ssh ftp web http#6、配置VLAN2014的地址以及在该Vlan中启用Portal认证#interface Vlanif2014ip address 192.168.10.2 255.255.255.0web-auth-server portal directdhcp select global#7、其他配置如下：#interface GigabitEthernet0/0/1port link-type accessport default vlan 2014#interface GigabitEthernet0/0/2port link-type accessport default vlan 2014##interface GigabitEthernet0/0/24port link-type trunkport trunk allow-pass vlan 2014 to 2015#interface XGigabitEthernet0/0/1#interface XGigabitEthernet0/0/2#interface Wlan-Ess0port hybrid pvid vlan 2014undo port hybrid vlan 1port hybrid untagged vlan 2014permit-domain name force-domain name #interface Wlan-Ess1description no_portalport hybrid pvid vlan 2014undo port hybrid vlan 1port hybrid untagged vlan 2014#interface NULL0#ip route-static 0.0.0.0 0.0.0.0 192.168.10.1#以上即为OSSH免费版华为Portal系统与华为AC6605对接的示例，仅供大家参考，如有问题可以随时在官网发帖咨询！。

华为交换机配置WEB登录很多华为交换机在出厂时默认是没有配置WEB登录的，所以我们要想用WEB，就必须通过console口连接电脑进行配置WEB功能的开启，下面是配置的详细步骤：1、首先要准备一根CONSOLE线连接电脑和交换机，目前大部分电脑是没有提供COM口的，所以大家都在网上购买USB转COM口的线材。

2、连接交换机，通过超级终端连接交换机下图是超级终端软件：点击文件-新建输入连接的名字这里随便起名子，方便记忆就好然后选择要连接的COM口从电脑硬件管理里可以看到有几个COM口可以使用选择需要的COM口点确定出现下面的对话框如图：在商品设置的第一项选择9600 华为交换机为这个波特率在数据流控制上选择无即可这样就可以连接到交换机了如果没有出现提示就按下回车键如图：输入正确的密码就可以登录进交换机了下面我们开始配置WEB的一系列操作首先我们要查看一下交换上有没有WEB的系统文件，通过DIR 命令查看如下图：记住这个文件名，后面会用到这个文件名要加载这个文件才能开启WEB功能然后进入到系统模式输入密码登录后是查看模式很多命令是不支持的，所在要进入到系统模式下输入system 进入到系统模式下先加载一下刚才说的WEB配置文件，用下面的命令加载[S5700-24]http server load s5700-v200r005c00spc500.web.7z这样就把WEB文件加载好了，下一步开启HTTP安全服务执行命令：http secure-server 这个命令就是开启WEB安全服务这个命令必须在加载WEB配置文件后才能执行继续执行开启HTTP 命令：http server enable 这个命令是开启HTTP功能，到现在为止已经把WEB配置文件及服务已经开启但现在还是不能登录的，因为还没有配置用户和用户级别下面开始配置用户及用户级别等我们本配置用户需要先配置AAA 配置执行命令：AAA 进入到AAA配置，配置用户名和密码执行下面的命令：local-user admin password cipher hw123456 解释一下这个命令的含义：admin 是用户名hw123456 是密码配置用户级别命令为：local-user admin privilege level 15 配置用户级别是15 也是最高的级别。

1.portal简介和认证流程：portal是一种用web页面来进行认证的认证机制，通过提供给上网用户一个web页面访问点进行用户身份认证，在认证成功前用户不能真正上网，访问任何页面都会被强制转换到portal提供的认证页面。

Portal认证的实现:在用户端不用安装专门的客户端，只需浏览器即可。

通过ac,portal，radius服务器，用户四者的数据交互完成portal认证的整个流程。

Portal认证流程主要分为以下几步：1.用户与AC交互用户发起http请求，AC在配置的制定接口监听到http请求后，向用户返回重定向报文（http 302），用户访问302报文提供的portal页面地址，开始与portal进行交互:(由用户10.1.1.100向5.1.1.1发起的http请求，ac监听到以后，返回一个http302报文，其中包含portal页面的地址，并把源ip填写成5.1.1.1，)，用户根据该地址，与针对这一步骤的说明：1)Iptables介绍:ac对报文监听和阻截的功能通过iptables实现，iptables是unix 的内置firewall机制，由一系列的规则链表组成，链表的每一表项包括对源，目的，匹配后的处理动作（target），协议几个部分。

实现过程如下：当数据包进入AC时，Linux Kernel会查找对应的链，直到找到一条规则与数据包匹配（源和目的ip均匹配）。

匹配后，如果该规则的target是ACCEPT，则整个匹配过程结束，跳过剩下的规则，数据包被发送。

如果该规则的target是DROP，该数据包会被拦截掉，匹配过程结束，不会再参考其他规则，如果target是另一个链表的名称，则跳转到相应的链表，这种表称为内层链表，好处在于使匹配过程更易管理和明晰。

如果该规则的target是RETURN，不再根据当前链的其他规则来检查数据包，而是直接返回，继续被发送到其目的地址，或下一个链。

交换机上结合IMC做802.1x+Portal 配置案例提示：建议将WORD显示比例调整为150%查看1.配置要求：对交换机接入用户做802.1x+Portal认证。

2.网络拓扑：3.设备端配置：portaldevice]dis verH3C Comware Platform SoftwareComware Software, Version 5.20, Release 2202P19Copyright (c 2004-2010 Hangzhou H3C Tech. Co., Ltd. All rights reserved.H3C S5500-28C-EI uptime is 0 week, 0 day, 20 hours, 49 minutes[portaldevice s5500-EI]dis cu#version 5.20, Release 2202P19domain default enable ya //指定默认域名，并结合user-name-format without-domain 这条命令，在802.1X时不用带域名。

dot1x //全局开启dot1x功能portal server szhp ip 172.16.100.200 key szhp url http://172.16.100.200:8080/portal（指定portal页面）vlan 1vlan 10#vlan 20#radius scheme szhprimary authentication 172.16.100.200primary accounting 172.16.100.200key authentication huakey accounting huauser-name-format without-domaindomain szh //portal配置，引用radius 方案szh. authentication portal radius-scheme szh authorization portal radius-scheme szh accounting portal radius-scheme szhaccess-limit disablestate activeidle-cut disableself-service-url disabledomain ya //802.1X配置，引用radius 方案szh. authentication lan-access radius-scheme szh authorization lan-access radius-scheme szh accounting lan-access radius-scheme szhaccess-limit disablestate activeidle-cut disableself-service-url disable#user-group system#interface NULL0#interface Vlan-interface10ip address 192.168.10.1 255.255.255.0#interface Vlan-interface20 //portal认证VLANip address 192.168.20.1 255.255.255.0portal server szhp method direct#interface GigabitEthernet1/0/4port access vlan 20dot1x#snmp v3的配置snmp-agentsnmp-agent local-engineid 800063A203000FE2B23AD7snmp-agent community read publicsnmp-agent community write privatesnmp-agent sys-info version v3snmp-agent group v3 test_group privacy read-view test_view write-view test_view notify-view test_viewsnmp-agent mib-view included test_view isosnmp-agent usm-user v3 test_user test_group authentication-modemd5 !QM%/G4DG<2=O9"81L7YOQ!! privacy-modedes56 !QM%/G4DG<2=O9"81L7YOQ!!#2.IMC上关于802.1X的配置：（1）创建用户姓名：8021xuser(2给用户姓名添加账号：user802, 密码：***,并与之前创建的服务关联。

1portal简介Portal 认证通常也称为Web 认证，一般将Portal 认证网站称为门户网站。

用户可以主动访问已知的Portal 认证网站，输入用户名和密码进行认证，这种开始Portal 认证的方式称作主动认证。

反之，如果用户试图通过HTTP 访问其他外网，将被强制访问Portal 认证网站，从而开始Portal 认证过程，这种方式称作强制认证。

Portal的典型组网由五个基本要素组成：认证客户端、接入设备、Portal服务器、认证/计费服务器和安全策略服务器。

1. 认证客户端安装于用户终端的客户端系统，为运行HTTP/HTTPS 协议的浏览器或运行Portal客户端软件的主机。

对接入终端的安全性检测是通过Portal 客户端和安全策略服务器之间的信息交流完成的。

2. 接入设备交换机、路由器等宽带接入设备的统称，主要有三方面的作用：1）在认证之前，将用户的所有HTTP 请求都重定向到Portal 服务器。

2）在认证过程中，与Portal 服务器、安全策略服务器、认证/计费服务器交互，完成身份认证/安全认证/计费的功能。

3）在认证通过后，允许用户访问被管理员授权的互联网资源。

3. Portal 服务器接收Portal 客户端认证请求的服务器端系统，提供免费门户服务和基于Web 认证的界面，与接入设备交互认证客户端的认证信息。

4. 认证/计费服务器与接入设备进行交互，完成对用户的认证和计费。

5. 安全策略服务器与Portal 客户端、接入设备进行交互，完成对用户的安全认证，并对用户进行授权操作。

以上五个基本要素的交互过程为：(1) 未认证用户访问网络时，在Web 浏览器地址栏中输入一个互联网的地址，那么此HTTP 请求在经过接入设备时会被重定向到Portal 服务器的Web 认证主页上；若需要使用Portal 的扩展认证功能，则用户必须使用Portal 客户端。

(2) 用户在认证主页/认证对话框中输入认证信息后提交，Portal 服务器会将用户的认证信息传递给接入设备；(3) 然后接入设备再与认证/计费服务器通信进行认证和计费；(4) 认证通过后，如果未对用户采用安全策略，则接入设备会打开用户与互联网的通路，允许用户访问互联网；如果对用户采用了安全策略，则客户端、接入设备与安全策略服务器交互，对用户的安全检测通过之后，安全策略服务器根据用户的安全性授权用户访问非受限资源。

H3C⽆线配置5-本地转发模式下本地Portal认证典型配置举例1.组⽹需求AP和Client通过DHCP服务器获取IP地址，AC同时作为Portal认证服务器、Portal Web服务器，要求：· AC采⽤直接⽅式的Portal认证。

· Client在通过Portal认证前，只能访问Portal Web服务器；Client通过Portal认证后，可以访问外部⽹络。

· Client的数据流量直接由AP进⾏转发。

· ⽤户可以在VLAN内的任何⼆层端⼝上访问⽹络资源，且移动接⼊端⼝时⽆须重复认证。

2.配置思路· 为了使⽤户可以在VLAN内的任何⼆层端⼝上访问⽹络资源，且移动接⼊端⼝时⽆须重复认证，必须开启Portal⽤户漫游功能。

· 在采⽤本地转发模式的⽆线组⽹环境中，AC上没有Portal客户端的ARP表项，为了保证合法⽤户可以进⾏Portal认证，需要开启⽆线Portal客户端合法性检查功能。

· 短时间内Portal客户端的频繁上下线可能会造成Portal认证失败，需要关闭Portal客户端ARP表项固化功能。

· 为了将AP的GigabitEthernet1/0/1接⼝加⼊本地转发的VLAN 200，需要使⽤⽂本⽂档编辑AP的配置⽂件，并将配置⽂件上传到AC存储介质上。

3.配置注意事项· 配置AP的序列号时请确保该序列号与AP唯⼀对应，AP的序列号可以通过AP设备背⾯的标签获取。

· 设备重定向给⽤户的Portal Web服务器的URL默认是不携带参数，需要根据实际应⽤⼿动添加需要携带的参数信息。

4.编辑AP配置⽂件# 使⽤⽂本⽂档编辑AP的配置⽂件，将配置⽂件命名为map.txt，并将配置⽂件上传到AC存储介质上。

配置⽂件内容和格式如下：System-viewvlan 200interface gigabitethernet1/0/1port link-type trunkport trunk permit vlan 2005.配置AC1）接⼝配置# 创建VLAN 100及其对应的VLAN接⼝，并为该接⼝配置IP地址。