由浅入深玩转华为WLAN—10 安全认证配置（4）AC内置Portal认证（网页认证）

转载自微信公众号：网络之路博客 

简介

之前介绍了4种安全认证方式了，这次介绍另外一种比较常用的，华为 H3C称为Protal认证，也就是平常讲的网页认证，它的思路就是可以直接通过open的方式连接到AP上，然后在打开任意网站的时候，它会自动跳转到认证页面，需要输入用户名密码后，才能访问外网，当然这里使用的是AC内置的Protal，也可以使用专门的Protal服务器，那会更加强大，注意，AC的版本需要到V2R3后才有内置的，支持1000个用户。这里主要讲解AC内置portal的配置，拓扑都跟之前类似。

1、AC的内置portal配置

（1）创建本地用户

[Huawei-AC6605]aaa
[Huawei-AC6605-aaa]local-user huawei password cipher Admin@123

（2）内置portal地址配置

[Huawei-AC6605]interface loopback 99
[Huawei-AC6605-LoopBack99]ip address 192.168.99.1 255.255.255.0

[Huawei-AC6605]portal local-server ip 192.168.99.1

（3）配置内置Portal 的SSL策略和端口号（默认443已被AC WEB管理占用，不可用）。
[Huawei-AC6605]portal local-server https ssl-policy default_policy port 2000
Info: Load web file successfully.

（4）配置免认证规则。
[Huawei-AC6605]portal free-rule 0 destination ip 218.85.152.99 mask 255.255.255.255

（5）配置wlan-ess接口，在wlan-ess接口调用内置Portal与允许的认证域。
[Huawei-AC6605]interface Wlan-Ess 1
[Huawei-AC6605-Wlan-Ess1]port hybrid pvid vlan 100
[Huawei-AC6605-Wlan-Ess1]port hybrid untagged vlan 100
[Huawei-AC6605-Wlan-Ess1]portal local-server enable
[Huawei-AC6605-Wlan-Ess1]permit-domain name default

（6）配置AC的源接口，用于AC和AP之间建立隧道通信。
[Huawei-AC6605]wlan
[Huawei-AC6605-wlan-view]wlan ac source interface vlanif88

（7）配置AP的认证方式为免认证。
[Huawei-AC6605-wlan-view]ap-auth-mode no-auth

（8）添加AP。
[Huawei-AC6605-wlan-view]ap id 0 type-id 31 mac d4b1-10ac-0b00 sn 210235582910D6000354

（9）创建名为“wmm1”的WMM模版，参数采用默认配置。
[Huawei-AC6605-wlan-view]wmm-profile name wmm1 id 1

（10）创建名为“radio1”的射频模版，绑定WMM模版“wmm1”。
[Huawei-AC6605-wlan-view]radio-profile name radio1 id 1
[Huawei-AC6605-wlan-radio-prof-radio1]wmm-profile id 1

（11）创建名为“traffic1”的流量模版，参数采用默认配置。
[Huawei-AC6605-wlan-view]traffic-profile name traffic1 id 1

（12）创建名为“security1”的安全模版，认证方式为WEP认证，开放认证，不加密。
[Huawei-AC6605-wlan-view]security-profile name security1 id 1

（13）创建名为“service1”的服务集，并绑定流量模版和安全模版，WLAN-ESS接口。
[Huawei-AC6605-wlan-view]service-set name service1 id 1
[Huawei-AC6605-wlan-service-set-service1]wlan-ess 1
[Huawei-AC6605-wlan-service-set-service1]ssid huawei-portal
[Huawei-AC6605-wlan-service-set-service1]traffic-profile id 1
[Huawei-AC6605-wlan-service-set-service1]security-profile id 1
[Huawei-AC6605-wlan-service-set-service1]service-vlan 100

（14）配置AP对应的VAP，下发WLAN服务
[Huawei-AC6605-wlan-view]ap 0 radio 0
[Huawei-AC6605-wlan-radio-0/0]radio-profile id 1
[Huawei-AC6605-wlan-radio-0/0]service-set id 1 wlan 1

（15）下发AP的WLAN配置
[Huawei-AC6605-wlan-view]commit all

二、测试

终端搜索SSID，并连接。

测试PING www.qq.com

打开IE，输入www.qq.com
自动跳转到认证页面

可点击右上角中文切换为中文认证页面

输入预先在AC上创建的用户进行登陆

登陆成功，测试登陆后是否可以正常访问互联网

 ！ 提问与分享（想提高自己，从独立思考与分享开始）          

分享：实验可以通过模拟器直接完成，记得老版本选用分享的考试版本即可，最新版本是采用的V2R7命令行有差别。