轉(zhuǎn)載自微信公眾號(hào)：網(wǎng)絡(luò)之路博客 

簡(jiǎn)介

之前介紹了4種安全認(rèn)證方式了，這次介紹另外一種比較常用的，華為 H3C稱為Protal認(rèn)證，也就是平常講的網(wǎng)頁(yè)認(rèn)證，它的思路就是可以直接通過(guò)open的方式連接到AP上，然后在打開(kāi)任意網(wǎng)站的時(shí)候，它會(huì)自動(dòng)跳轉(zhuǎn)到認(rèn)證頁(yè)面，需要輸入用戶名密碼后，才能訪問(wèn)外網(wǎng)，上一篇講解的是內(nèi)置portal，這次講解外置的，拓?fù)鋮⒖贾盎九渲媚菈K。

1、配置radius服務(wù)器模板

[Huawei-AC6605]radius-server template portal

[Huawei-AC6605-radius-portal]radius-server authentication 192.168.31.209 1812

[Huawei-AC6605-radius-portal]radius-server accounting 192.168.31.209 1813

[Huawei-AC6605-radius-portal]radius-server shared-key simple huawei123

2、配置認(rèn)證方案與計(jì)費(fèi)方案

[Huawei-AC6605] aaa

[Huawei-AC6605-aaa]authentication-scheme portal

[Huawei-AC6605-aaa-authen-portal] authentication-mode radius

[Huawei-AC6605-aaa]accounting-scheme portal

[Huawei-AC6605-aaa-accounting-portal] accounting-mode none

3、配置域

[Huawei-AC6605-aaa]domain portal
[Huawei-AC6605-aaa-domain-portal]radius-server portal
[Huawei-AC6605-aaa-domain-portal]authentication-scheme portal
[Huawei-AC6605-aaa-domain-portal]accounting-scheme portal

4、配置portal認(rèn)證服務(wù)器

[Huawei-AC6605]web-auth-server portal
[Huawei-AC6605-web-auth-server-portal]server-ip 192.168.31.209
[Huawei-AC6605-web-auth-server-portal]port 50100
[Huawei-AC6605-web-auth-server-portal]shared-key simple password
[Huawei-AC6605-web-auth-server-portal]url https://192.168.31.209:8443/newwebauth

5、在接口下綁定portal服務(wù)

[Huawei-AC6605]interface vlanif 100
[Huawei-AC6605-Vlanif100]web-auth-server portal direct

6、配置免認(rèn)證規(guī)則

[Huawei-AC6605]portal free-rule 0 destination ip 192.168.31.209 mask 255.255.255.255
[Huawei-AC6605]portal free-rule 1 destination ip 218.85.152.99 mask 255.255.255.255

7、建立WLAN-ESS接口調(diào)用portal認(rèn)證

[Huawei-AC6605]interface Wlan-Ess 1
[Huawei-AC6605-Wlan-Ess1] port hybrid pvid vlan 100
[Huawei-AC6605-Wlan-Ess1] port hybrid untagged vlan 100
[Huawei-AC6605-Wlan-Ess1] web-authentication first-mac
[Huawei-AC6605-Wlan-Ess1] permit-domain name portal

[Huawei-AC6605-Wlan-Ess1]permit-domain name default

8、無(wú)線業(yè)務(wù)基本配置

[Huawei-AC6605]wlan

[Huawei-AC6605-wlan-view]wlan ac source interface vlanif88

[Huawei-AC6605-wlan-view]ap-auth-mode no-auth

[Huawei-AC6605-wlan-view]wmm-profile name wmm1 id 1

[Huawei-AC6605-wlan-view]radio-profile name radio1 id 1

[Huawei-AC6605-wlan-radio-prof-radio1]wmm-profile id 1

[Huawei-AC6605-wlan-view]traffic-profile name traffic1 id 1

[Huawei-AC6605-wlan-view]security-profile name security1 id 1

[Huawei-AC6605-wlan-view]service-set name service1 id 1

[Huawei-AC6605-wlan-service-set-service1]wlan-ess 1

[Huawei-AC6605-wlan-service-set-service1]ssid huawei-portal

[Huawei-AC6605-wlan-service-set-service1]traffic-profile id 1

[Huawei-AC6605-wlan-service-set-service1]security-profile id 1

[Huawei-AC6605-wlan-service-set-service1]service-vlan 100

[Huawei-AC6605-wlan-view]ap 0 radio 0

[Huawei-AC6605-wlan-radio-0/0]radio-profile id 1

[Huawei-AC6605-wlan-radio-0/0]service-set id 1 wlan 1

[Huawei-AC6605-wlan-view]commit all

（這里基本配置不在做命令解析了，前面都有）

9、TSM服務(wù)器配置

接入控制 – RADIUS服務(wù)器 – 添加RADIUS服務(wù)器

接入控制 – Portal網(wǎng)關(guān) – 添加Portal網(wǎng)關(guān)

添加后域

修改后域的授權(quán)策略
建立一個(gè)“policy”策略
下發(fā)一個(gè)ACL，針對(duì)認(rèn)證通過(guò)后的用戶做訪問(wèn)限制

接入控制 – 授權(quán)規(guī)則模版 – 添加一個(gè)授權(quán)模版名為”ac6605-portal”
在Portal網(wǎng)關(guān)訪問(wèn)授權(quán)規(guī)則選擇剛才創(chuàng)建好的后域

對(duì)創(chuàng)建好的授權(quán)規(guī)則模板”ac6605-portal”分配給部門
添加整個(gè)TSM部門包括子部門

部門管理 – 部門用戶管理 – 創(chuàng)建用戶，終端認(rèn)證時(shí)候用到的用戶
需要勾選”Web”選項(xiàng)，否則默認(rèn)建立的用戶只能用于TSM Agent代理的登陸

10、測(cè)試

終端搜索SSID，并連接。

測(cè)試PING www.qq.com

打開(kāi)IE，輸入www.qq.com
自動(dòng)跳轉(zhuǎn)到認(rèn)證頁(yè)面

輸入已經(jīng)在TSM服務(wù)器創(chuàng)建好的用戶進(jìn)行登陸

登陸成功后，測(cè)試登陸后是否可以正常訪問(wèn)互聯(lián)網(wǎng)

PS：注意portal跟802.1x實(shí)驗(yàn)沒(méi)辦法通過(guò)模擬器完成，之前寫(xiě)錯(cuò)了

網(wǎng)絡(luò)之路博客公眾號(hào)提供Cisco、華為、H3C、防火墻、VPN、無(wú)線等網(wǎng)絡(luò)知識(shí)點(diǎn)分享與應(yīng)用，想了解更多企業(yè)技術(shù)應(yīng)用與組網(wǎng)案例，關(guān)注我們（公眾號(hào)菜單欄陸續(xù)在更新排列，不管你是青銅入坑的小白沒(méi)有學(xué)習(xí)方向感到迷茫，還是想提升段位充實(shí)自己來(lái)升職加薪，都有您需要的哦）