由浅入深玩转华为WLAN—11 安全认证配置（5）Portal认证，外置Protal服务器TSM对接（网页认证）

转载自微信公众号：网络之路博客 

简介

之前介绍了4种安全认证方式了，这次介绍另外一种比较常用的，华为 H3C称为Protal认证，也就是平常讲的网页认证，它的思路就是可以直接通过open的方式连接到AP上，然后在打开任意网站的时候，它会自动跳转到认证页面，需要输入用户名密码后，才能访问外网，上一篇讲解的是内置portal，这次讲解外置的，拓扑参考之前基本配置那块。

1、配置radius服务器模板

[Huawei-AC6605]radius-server template portal

[Huawei-AC6605-radius-portal]radius-server authentication 192.168.31.209 1812

[Huawei-AC6605-radius-portal]radius-server accounting 192.168.31.209 1813

[Huawei-AC6605-radius-portal]radius-server shared-key simple huawei123

2、配置认证方案与计费方案

[Huawei-AC6605] aaa

[Huawei-AC6605-aaa]authentication-scheme portal

[Huawei-AC6605-aaa-authen-portal] authentication-mode radius

[Huawei-AC6605-aaa]accounting-scheme portal

[Huawei-AC6605-aaa-accounting-portal] accounting-mode none

3、配置域

[Huawei-AC6605-aaa]domain portal
[Huawei-AC6605-aaa-domain-portal]radius-server portal
[Huawei-AC6605-aaa-domain-portal]authentication-scheme portal
[Huawei-AC6605-aaa-domain-portal]accounting-scheme portal

4、配置portal认证服务器

[Huawei-AC6605]web-auth-server portal
[Huawei-AC6605-web-auth-server-portal]server-ip 192.168.31.209
[Huawei-AC6605-web-auth-server-portal]port 50100
[Huawei-AC6605-web-auth-server-portal]shared-key simple password
[Huawei-AC6605-web-auth-server-portal]url https://192.168.31.209:8443/newwebauth

5、在接口下绑定portal服务

[Huawei-AC6605]interface vlanif 100
[Huawei-AC6605-Vlanif100]web-auth-server portal direct

6、配置免认证规则

[Huawei-AC6605]portal free-rule 0 destination ip 192.168.31.209 mask 255.255.255.255
[Huawei-AC6605]portal free-rule 1 destination ip 218.85.152.99 mask 255.255.255.255

7、建立WLAN-ESS接口调用portal认证

[Huawei-AC6605]interface Wlan-Ess 1
[Huawei-AC6605-Wlan-Ess1] port hybrid pvid vlan 100
[Huawei-AC6605-Wlan-Ess1] port hybrid untagged vlan 100
[Huawei-AC6605-Wlan-Ess1] web-authentication first-mac
[Huawei-AC6605-Wlan-Ess1] permit-domain name portal

[Huawei-AC6605-Wlan-Ess1]permit-domain name default

8、无线业务基本配置

[Huawei-AC6605]wlan

[Huawei-AC6605-wlan-view]wlan ac source interface vlanif88

[Huawei-AC6605-wlan-view]ap-auth-mode no-auth

[Huawei-AC6605-wlan-view]wmm-profile name wmm1 id 1

[Huawei-AC6605-wlan-view]radio-profile name radio1 id 1

[Huawei-AC6605-wlan-radio-prof-radio1]wmm-profile id 1

[Huawei-AC6605-wlan-view]traffic-profile name traffic1 id 1

[Huawei-AC6605-wlan-view]security-profile name security1 id 1

[Huawei-AC6605-wlan-view]service-set name service1 id 1

[Huawei-AC6605-wlan-service-set-service1]wlan-ess 1

[Huawei-AC6605-wlan-service-set-service1]ssid huawei-portal

[Huawei-AC6605-wlan-service-set-service1]traffic-profile id 1

[Huawei-AC6605-wlan-service-set-service1]security-profile id 1

[Huawei-AC6605-wlan-service-set-service1]service-vlan 100

[Huawei-AC6605-wlan-view]ap 0 radio 0

[Huawei-AC6605-wlan-radio-0/0]radio-profile id 1

[Huawei-AC6605-wlan-radio-0/0]service-set id 1 wlan 1

[Huawei-AC6605-wlan-view]commit all

（这里基本配置不在做命令解析了，前面都有）

9、TSM服务器配置

接入控制 – RADIUS服务器 – 添加RADIUS服务器

接入控制 – Portal网关 – 添加Portal网关

添加后域

修改后域的授权策略
建立一个“policy”策略
下发一个ACL，针对认证通过后的用户做访问限制

接入控制 – 授权规则模版 – 添加一个授权模版名为”ac6605-portal”
在Portal网关访问授权规则选择刚才创建好的后域

对创建好的授权规则模板”ac6605-portal”分配给部门
添加整个TSM部门包括子部门

部门管理 – 部门用户管理 – 创建用户，终端认证时候用到的用户
需要勾选”Web”选项，否则默认建立的用户只能用于TSM Agent代理的登陆

10、测试

终端搜索SSID，并连接。

测试PING www.qq.com

打开IE，输入www.qq.com
自动跳转到认证页面

输入已经在TSM服务器创建好的用户进行登陆

登陆成功后，测试登陆后是否可以正常访问互联网

PS：注意portal跟802.1x实验没办法通过模拟器完成，之前写错了

网络之路博客公众号提供Cisco、华为、H3C、防火墙、VPN、无线等网络知识点分享与应用，想了解更多企业技术应用与组网案例，关注我们（公众号菜单栏陆续在更新排列，不管你是青铜入坑的小白没有学习方向感到迷茫，还是想提升段位充实自己来升职加薪，都有您需要的哦）