轉(zhuǎn)載自微信公眾號：網(wǎng)絡之路博客 

簡介

之前介紹了4種安全認證方式了，這次介紹另外一種比較常用的，華為 H3C稱為Protal認證，也就是平常講的網(wǎng)頁認證，它的思路就是可以直接通過open的方式連接到AP上，然后在打開任意網(wǎng)站的時候，它會自動跳轉(zhuǎn)到認證頁面，需要輸入用戶名密碼后，才能訪問外網(wǎng)，當然這里使用的是AC內(nèi)置的Protal，也可以使用專門的Protal服務器，那會更加強大，注意，AC的版本需要到V2R3后才有內(nèi)置的，支持1000個用戶。這里主要講解AC內(nèi)置portal的配置，拓撲都跟之前類似。

1、AC的內(nèi)置portal配置

（1）創(chuàng)建本地用戶

[Huawei-AC6605]aaa
[Huawei-AC6605-aaa]local-user huawei password cipher Admin@123

（2）內(nèi)置portal地址配置

[Huawei-AC6605]interface loopback 99
[Huawei-AC6605-LoopBack99]ip address 192.168.99.1 255.255.255.0

[Huawei-AC6605]portal local-server ip 192.168.99.1

（3）配置內(nèi)置Portal 的SSL策略和端口號（默認443已被AC WEB管理占用，不可用）。
[Huawei-AC6605]portal local-server https ssl-policy default_policy port 2000
Info: Load web file successfully.

（4）配置免認證規(guī)則。
[Huawei-AC6605]portal free-rule 0 destination ip 218.85.152.99 mask 255.255.255.255

（5）配置wlan-ess接口，在wlan-ess接口調(diào)用內(nèi)置Portal與允許的認證域。
[Huawei-AC6605]interface Wlan-Ess 1
[Huawei-AC6605-Wlan-Ess1]port hybrid pvid vlan 100
[Huawei-AC6605-Wlan-Ess1]port hybrid untagged vlan 100
[Huawei-AC6605-Wlan-Ess1]portal local-server enable
[Huawei-AC6605-Wlan-Ess1]permit-domain name default

（6）配置AC的源接口，用于AC和AP之間建立隧道通信。
[Huawei-AC6605]wlan
[Huawei-AC6605-wlan-view]wlan ac source interface vlanif88

（7）配置AP的認證方式為免認證。
[Huawei-AC6605-wlan-view]ap-auth-mode no-auth

（8）添加AP。
[Huawei-AC6605-wlan-view]ap id 0 type-id 31 mac d4b1-10ac-0b00 sn 210235582910D6000354

（9）創(chuàng)建名為“wmm1”的WMM模版，參數(shù)采用默認配置。
[Huawei-AC6605-wlan-view]wmm-profile name wmm1 id 1

（10）創(chuàng)建名為“radio1”的射頻模版，綁定WMM模版“wmm1”。
[Huawei-AC6605-wlan-view]radio-profile name radio1 id 1
[Huawei-AC6605-wlan-radio-prof-radio1]wmm-profile id 1

（11）創(chuàng)建名為“traffic1”的流量模版，參數(shù)采用默認配置。
[Huawei-AC6605-wlan-view]traffic-profile name traffic1 id 1

（12）創(chuàng)建名為“security1”的安全模版，認證方式為WEP認證，開放認證，不加密。
[Huawei-AC6605-wlan-view]security-profile name security1 id 1

（13）創(chuàng)建名為“service1”的服務集，并綁定流量模版和安全模版，WLAN-ESS接口。
[Huawei-AC6605-wlan-view]service-set name service1 id 1
[Huawei-AC6605-wlan-service-set-service1]wlan-ess 1
[Huawei-AC6605-wlan-service-set-service1]ssid huawei-portal
[Huawei-AC6605-wlan-service-set-service1]traffic-profile id 1
[Huawei-AC6605-wlan-service-set-service1]security-profile id 1
[Huawei-AC6605-wlan-service-set-service1]service-vlan 100

（14）配置AP對應的VAP，下發(fā)WLAN服務
[Huawei-AC6605-wlan-view]ap 0 radio 0
[Huawei-AC6605-wlan-radio-0/0]radio-profile id 1
[Huawei-AC6605-wlan-radio-0/0]service-set id 1 wlan 1

（15）下發(fā)AP的WLAN配置
[Huawei-AC6605-wlan-view]commit all

二、測試

終端搜索SSID，并連接。

測試PING www.qq.com

打開IE，輸入www.qq.com
自動跳轉(zhuǎn)到認證頁面

可點擊右上角中文切換為中文認證頁面

輸入預先在AC上創(chuàng)建的用戶進行登陸

登陸成功，測試登陸后是否可以正常訪問互聯(lián)網(wǎng)

 ！ 提問與分享（想提高自己，從獨立思考與分享開始）          

分享：實驗可以通過模擬器直接完成，記得老版本選用分享的考試版本即可，最新版本是采用的V2R7命令行有差別。