轉(zhuǎn)載自微信公眾號：網(wǎng)絡(luò)之路博客 

簡介

之前介紹了4種安全認(rèn)證方式了，這次介紹另外一種比較常用的，華為 H3C稱為Protal認(rèn)證，也就是平常講的網(wǎng)頁認(rèn)證，它的思路就是可以直接通過open的方式連接到AP上，然后在打開任意網(wǎng)站的時候，它會自動跳轉(zhuǎn)到認(rèn)證頁面，需要輸入用戶名密碼后，才能訪問外網(wǎng)，上一篇講解的是內(nèi)置portal，這次講解外置的，拓?fù)鋮⒖贾盎九渲媚菈K。

1、配置radius服務(wù)器模板

[Huawei-AC6605]radius-server template portal

[Huawei-AC6605-radius-portal]radius-server authentication 192.168.31.209 1812

[Huawei-AC6605-radius-portal]radius-server accounting 192.168.31.209 1813

[Huawei-AC6605-radius-portal]radius-server shared-key simple huawei123

2、配置認(rèn)證方案與計費方案

[Huawei-AC6605] aaa

[Huawei-AC6605-aaa]authentication-scheme portal

[Huawei-AC6605-aaa-authen-portal] authentication-mode radius

[Huawei-AC6605-aaa]accounting-scheme portal

[Huawei-AC6605-aaa-accounting-portal] accounting-mode none

3、配置域

[Huawei-AC6605-aaa]domain portal
[Huawei-AC6605-aaa-domain-portal]radius-server portal
[Huawei-AC6605-aaa-domain-portal]authentication-scheme portal
[Huawei-AC6605-aaa-domain-portal]accounting-scheme portal

4、配置portal認(rèn)證服務(wù)器

[Huawei-AC6605]web-auth-server portal
[Huawei-AC6605-web-auth-server-portal]server-ip 192.168.31.209
[Huawei-AC6605-web-auth-server-portal]port 50100
[Huawei-AC6605-web-auth-server-portal]shared-key simple password
[Huawei-AC6605-web-auth-server-portal]url https://192.168.31.209:8443/newwebauth

5、在接口下綁定portal服務(wù)

[Huawei-AC6605]interface vlanif 100
[Huawei-AC6605-Vlanif100]web-auth-server portal direct

6、配置免認(rèn)證規(guī)則

[Huawei-AC6605]portal free-rule 0 destination ip 192.168.31.209 mask 255.255.255.255
[Huawei-AC6605]portal free-rule 1 destination ip 218.85.152.99 mask 255.255.255.255

7、建立WLAN-ESS接口調(diào)用portal認(rèn)證

[Huawei-AC6605]interface Wlan-Ess 1
[Huawei-AC6605-Wlan-Ess1] port hybrid pvid vlan 100
[Huawei-AC6605-Wlan-Ess1] port hybrid untagged vlan 100
[Huawei-AC6605-Wlan-Ess1] web-authentication first-mac
[Huawei-AC6605-Wlan-Ess1] permit-domain name portal

[Huawei-AC6605-Wlan-Ess1]permit-domain name default

8、無線業(yè)務(wù)基本配置

[Huawei-AC6605]wlan

[Huawei-AC6605-wlan-view]wlan ac source interface vlanif88

[Huawei-AC6605-wlan-view]ap-auth-mode no-auth

[Huawei-AC6605-wlan-view]wmm-profile name wmm1 id 1

[Huawei-AC6605-wlan-view]radio-profile name radio1 id 1

[Huawei-AC6605-wlan-radio-prof-radio1]wmm-profile id 1

[Huawei-AC6605-wlan-view]traffic-profile name traffic1 id 1

[Huawei-AC6605-wlan-view]security-profile name security1 id 1

[Huawei-AC6605-wlan-view]service-set name service1 id 1

[Huawei-AC6605-wlan-service-set-service1]wlan-ess 1

[Huawei-AC6605-wlan-service-set-service1]ssid huawei-portal

[Huawei-AC6605-wlan-service-set-service1]traffic-profile id 1

[Huawei-AC6605-wlan-service-set-service1]security-profile id 1

[Huawei-AC6605-wlan-service-set-service1]service-vlan 100

[Huawei-AC6605-wlan-view]ap 0 radio 0

[Huawei-AC6605-wlan-radio-0/0]radio-profile id 1

[Huawei-AC6605-wlan-radio-0/0]service-set id 1 wlan 1

[Huawei-AC6605-wlan-view]commit all

（這里基本配置不在做命令解析了，前面都有）

9、TSM服務(wù)器配置

接入控制 – RADIUS服務(wù)器 – 添加RADIUS服務(wù)器

接入控制 – Portal網(wǎng)關(guān) – 添加Portal網(wǎng)關(guān)

添加后域

修改后域的授權(quán)策略
建立一個“policy”策略
下發(fā)一個ACL，針對認(rèn)證通過后的用戶做訪問限制

接入控制 – 授權(quán)規(guī)則模版 – 添加一個授權(quán)模版名為”ac6605-portal”
在Portal網(wǎng)關(guān)訪問授權(quán)規(guī)則選擇剛才創(chuàng)建好的后域

對創(chuàng)建好的授權(quán)規(guī)則模板”ac6605-portal”分配給部門
添加整個TSM部門包括子部門

部門管理 – 部門用戶管理 – 創(chuàng)建用戶，終端認(rèn)證時候用到的用戶
需要勾選”Web”選項，否則默認(rèn)建立的用戶只能用于TSM Agent代理的登陸

10、測試

終端搜索SSID，并連接。

測試PING www.qq.com

打開IE，輸入www.qq.com
自動跳轉(zhuǎn)到認(rèn)證頁面

輸入已經(jīng)在TSM服務(wù)器創(chuàng)建好的用戶進(jìn)行登陸

登陸成功后，測試登陸后是否可以正常訪問互聯(lián)網(wǎng)

PS：注意portal跟802.1x實驗沒辦法通過模擬器完成，之前寫錯了

網(wǎng)絡(luò)之路博客公眾號提供Cisco、華為、H3C、防火墻、VPN、無線等網(wǎng)絡(luò)知識點分享與應(yīng)用，想了解更多企業(yè)技術(shù)應(yīng)用與組網(wǎng)案例，關(guān)注我們（公眾號菜單欄陸續(xù)在更新排列，不管你是青銅入坑的小白沒有學(xué)習(xí)方向感到迷茫，還是想提升段位充實自己來升職加薪，都有您需要的哦）