深信服AC对接华三交换机做portal服务器配置文档

感谢分享，有助于工资和学习！

感谢分享，有助于工资和学习！

感谢分享，有助于工资和学习！

感谢分享                                

感谢大师分享，学习了哦。

感谢分享，有助于工作和学习

对于与H3C的portal页面对接介绍的很详细，学习了

1.Portal直接认证配置

（1）组网需求

用户主机与接入设备Switch直接相连，采用直接方式的Portal认证。用户通过手工配置或DHCP获取的一个IP地址进行认证，在通过Portal认证前，只能访问Portal Web服务器；在通过Portal认证后，可以使用此IP地址访问非受限互联网资源。

采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。

采用RADIUS服务器作为认证/计费服务器。

（2）组网拓扑

2. AC测配置

1.AC对接第三方控制器红框内为必选项，对接url需要在控制器测配置有所体现

2.radius服务器配置（默认端口1812，1813）

3.跨三层取mac配置（三层环境下必须配置，华为交换机的OID倒数三四位需改成4.22）

4.认证策略配置（结尾附图支持的认证方式）

3. 交换机配置portal认证（1）配置Switch

·     配置RADIUS方案

# 创建名称为rs1的RADIUS方案并进入该方案视图。

<Switch>system-view

[Switch] radiusscheme rs1

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[Switch-radius-rs1]primary authentication 10.15.64.135

[Switch-radius-rs1]primary accounting 10.15.64.135

[Switch-radius-rs1]key authentication simple Erdos

[Switch-radius-rs1]key accounting simple Erdos

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[Switch-radius-rs1]user-name-format without-domain

[Switch-radius-rs1]quit

# 开启RADIUS session control功能。

[Switch] radiussession-control enable

·     配置认证域

# 创建并进入名称为dm1的ISP域。

[Switch] domain dm1

# 配置ISP域的AAA方法。

[Switch-isp-dm1]authentication portal radius-scheme rs1

[Switch-isp-dm1]authorization portal radius-scheme rs1

[Switch-isp-dm1]accounting portal radius-scheme rs1

[Switch-isp-dm1]quit

# 配置系统缺省的ISP域dm1，所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名，则使用缺省域下的认证方法。

[Switch] domaindefault enable dm1

·     配置Portal认证

# 配置Portal认证服务器：名称为newpt，IP地址为10.15.64.135，密钥为明文Erods，监听Portal报文的端口为50100。

[Switch] portal servernewpt

[Switch-portal-server-newpt]ip 10.15.64.135 key simple Erods

[Switch-portal-server-newpt]port 50100

[Switch-portal-server-newpt]quit

# 配置Portal Web服务器的URL为http://10.15.64.135/cid/8024/portal.html

。（Portal Web服务器的URL请与实际环境中的Portal Web服务器配置保持一致，此处仅为示例）

[Switch] portalweb-server newpt

[Switch-portal-websvr-newpt]url http://10.15.64.135/cid/8024/portal.html

[Switch-portal-websvr-newpt]quit

# 在接口Vlan-interface100上开启直接方式的Portal认证。

[Switch] interfacevlan-interface 100

[Switch–Vlan-interface100]portal enable method direct

# 在接口Vlan-interface100上引用Portal Web服务器newpt。

[Switch–Vlan-interface100]portal apply web-server newpt

# 在接口Vlan-interface100上设置发送给Portal认证服务器的Portal报文中的BAS-IP属性值为10.160.30.254。

[Switch–Vlan-interface100]portal bas-ip 10.160.30.254

[Switch–Vlan-interface100]quit

4. 验证配置

以上配置完成后，通过执行以下显示命令可查看Portal配置是否生效。

[Switch] displayportal interface vlan-interface 100

可以通过网页方式进行Portal认证。用户在通过认证前，只能访问认证页面http://10.15.64.135/cid/8024/portal.html，且发起的Web访问均被重定向到该认证页面，在通过认证后，可访问非受限的互联网资源。

Portal用户认证通过后，可通过执行以下显示命令查看Switch上生成的Portal在线用户信息。

[Switch] displayportal user interface vlan-interface 100

（2）免认证配置

针对目的地址免认证

portal free-rule 1 destination ip 10.4.0.11255.255.255.255

portal free-rule 2 destination ip 10.4.0.101255.255.255.255

针对源地址源mac免认证

portal free-rule 3 source ip 10.160.30.30255.255.255.255

portal free-rule 4 source mac00E0-4C68-03C9

（3）业务逃生

#修改web-server模板

[H3C]portalweb-server newpt

#web-serer主动周期性探测30秒2次
[H3C-portal-websvr-newpt]server-detect interval 30 retry 2 log

#Web-server逃生

[H3C]int vlan 100

[H3C-Vlan-interface100]portalapply web-server newpt fail-permit

当探测通Web服务器不通时，则Portal Web-server状态为up。

当探测不通Web服务器不通时，则Portal Web-server状态变成Down。所有终端放通免认证。

在终端上无需认证即可上网