10-安全配置

05-Portal配置

1.1.3 使用本地Portal Web服务器的Portal系统

1.1.10 Portal支持基于MAC地址的快速认证

1.1.11 不同无线转发模式下的Portal配置方式

1.8.4 指定Portal用户使用的认证域

1.8.5 配置Portal认证前用户使用的认证域

1.8.6 配置Portal认证前用户使用的地址池

1.8.7 配置Portal授权信息严格检查模式

1.8.8 配置Portal仅允许DHCP用户上线

1.8.9 配置Portal出方向报文过滤

1.9 配置Portal探测功能

1.9.1 配置Portal用户在线探测功能

1.9.2 配置Portal认证服务器的可达性探测功能

1.9.3 配置Portal Web服务器的可达性探测功能

1.9.4 配置Portal用户信息同步功能

1.10 配置Portal用户逃生功能

1.11 配置发送给Portal认证服务器的Portal报文的BAS-IP属性

1.12 配置接入设备的ID

1.13 配置Portal用户漫游功能

1.14 配置RADIUS NAS-Port-ID属性格式

1.15 配置Web重定向功能

1.16 配置接口的NAS-ID Profile

1.17 配置本地Portal Web服务器功能

1.17.1 自定义认证页面文件

1.17.2 配置本地Portal Web服务器

1.18 配置无线Portal客户端合法性检查功能

1.19 配置无线Portal用户自动下线功能

1.20 配置Portal客户端ARP/ND表项固化功能

1.22.4 在VLAN接口上应用MAC绑定服务器

1.22.5 在无线服务模板上应用MAC绑定服务器

1.23 配置NAS-Port-Type

1.24 配置Portal安全重定向功能

1.25 配置AP给AC上报流量统计信息的时间间隔

1.26 配置Portal协议报文中不携带的属性字段

1.27 开启Portal日志功能

1.28 配置Portal第三方认证功能

1.28.1 配置第三方认证服务器

1.28.2 第三方认证按钮和认证登录页面编辑规范

1.28.3 开启Portal临时放行功能

1.29 配置Portal认证监控功能

1.30 配置Portal OAuth认证同步用户信息的时间间隔

1.31 开启无线Portal用户SSID切换后的强制下线功能

1.32 Portal显示和维护

1.33 Portal典型配置举例

1.33.1 Portal配置举例（VLAN接口视图）

1.33.2 Portal配置举例（无线服务模板视图）

1.33.3 Portal扩展功能配置举例

1.33.4 Portal认证服务器探测功能配置举例

1.33.5 使用本地Portal Web服务器的直接Portal认证配置举例

1.33.6 Portal基于MAC地址的快速认证配置举例（远程认证方式）

1.33.7 Portal基于MAC地址的快速认证配置举例（本地认证方式）

1.33.8 Portal支持QQ认证配置举例

1.33.9 Portal支持邮箱认证配置举例

1.34 常见配置错误举例

1.34.1 Portal用户认证时，没有弹出Portal认证页面

1.34.2 接入设备上无法强制Portal用户下线

1.34.3 RADIUS服务器上无法强制Portal用户下线

1.34.4 接入设备强制用户下线后，Portal认证服务器上还存在该用户

1 Portal

仅WX2500H-WiNet系列不支持slot参数。

Portal在英语中是入口的意思。Portal认证通常也称为Web认证，即通过Web页面接受用户输入的用户名和密码，对用户进行身份认证，以达到对用户访问进行控制的目的。在采用了Portal认证的组网环境中，未认证用户上网时，接入设备强制用户登录到特定站点，用户可以免费访问其中的服务；当用户需要使用互联网中的其它信息时，必须在Portal Web服务器提供的网站上进行Portal认证，只有认证通过后才可以使用这些互联网中的设备或资源。

根据是否为用户主动发起认证，可以将Portal认证分为主动认证和强制认证两种类型：用户可以主动访问已知的Portal Web服务器网站，输入用户名和密码进行认证，这种开始Portal认证的方式称作主动认证；用户访问任意非Portal Web服务器网站时，被强制访问Portal Web服务器网站，继而开始Portal认证的过程称作强制认证。

Portal认证是一种灵活的访问控制技术，可以在接入层以及需要保护的关键数据入口处实施访问控制，具有如下优势：

· 可以不安装客户端软件，直接使用Web页面认证，使用方便。

· 可以为运营商提供方便的管理功能和业务拓展功能，例如运营商可以在认证页面上开展广告、社区服务、信息发布等个性化的业务。

目前，设备支持的Portal版本为Portal 1.0、Portal 2.0和Portal 3.0。

1.1.1 Portal安全扩展功能

Portal的安全扩展功能是指，在Portal身份认证的基础之上，通过强制接入终端实施补丁和防病毒策略，加强网络终端对病毒攻击的主动防御能力。具体的安全扩展功能如下：

· 安全性检测：在对用户的身份认证的基础上增加了安全认证机制，可以检测接入终端上是否安装了防病毒软件、是否更新了病毒库、是否安装了非法软件、是否更新了操作系统补丁等；

· 访问资源受限：用户通过身份认证后仅仅获得访问指定互联网资源的权限，如病毒服务器、操作系统补丁更新服务器等；当用户通过安全认证后便可以访问更多的互联网资源。

安全性检测功能必须与H3C的iMC安全策略服务器以及iNode客户端配合使用。

1.1.2 Portal的系统组成

Portal的典型组网方式如图1-1所示，它由六个基本要素组成：认证客户端、接入设备、Portal认证服务器、Portal Web服务器、AAA服务器和安全策略服务器。

图1-1 Portal系统组成示意图

1. 认证客户端

用户终端的客户端系统，为运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的主机。对用户终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息交流完成的。

2. 接入设备

交换机、路由器等宽带接入设备的统称，主要有三方面的作用：

· 在认证之前，将用户的所有HTTP请求都重定向到Portal Web服务器。

· 在认证过程中，与Portal认证服务器、AAA服务器交互，完成身份认证/授权/计费的功能。

· 在认证通过后，允许用户访问被授权的互联网资源。

3. Portal认证服务器

接收Portal客户端认证请求的服务器端系统，与接入设备交互认证客户端的认证信息。

4. Portal Web服务器

负责向客户端提供Web认证页面，并将客户端的认证信息（用户名、密码等）提交给Portal认证服务器。Portal Web服务器通常与Portal认证服务器是一体的，也可以是独立的服务器端系统。

5. AAA服务器

与接入设备进行交互，完成对用户的认证、授权和计费。目前RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）服务器可支持对Portal用户进行认证、授权和计费，以及LDAP（Lightweight Directory Access Protocol，轻量级目录访问协议）服务器可支持对Portal用户进行认证。

6. 安全策略服务器

与Portal客户端、接入设备进行交互，完成对用户的安全检测，并对用户进行安全授权操作。

1.1.3 使用本地Portal Web服务器的Portal系统

1. 系统组成

本地Portal Web服务器功能是指，Portal认证系统中不采用外部独立的Portal Web服务器和Portal认证服务器，而由接入设备实现Portal Web服务器和Portal认证服务器功能。这种情况下，Portal认证系统仅包括三个基本要素：认证客户端、接入设备和AAA服务器，如图1-2所示。由于设备支持Portal用户进行本地Portal认证，因此就不需要部署额外的Portal Web服务器和Portal认证服务器，增强了Portal认证的通用性。

图1-2 使用本地Portal Web服务器的Portal系统组成示意图

· 使用本地Portal Web服务器的Portal认证系统不支持Portal扩展功能，因此使用本地Portal Web服务器的网络环境中不需要部署安全策略服务器。

· 内嵌本地Portal Web服务器的接入设备实现了简单的Portal Web服务器和Portal认证服务器功能，仅能给用户提供通过Web方式登录、下线的基本功能，并不能完全替代独立的Portal服务器。

· 不支持使用H3C iNode客户端方式的Portal认证。

2. 认证客户端和本地Portal Web服务器之间的交互协议

认证客户端和内嵌本地Portal Web 服务器的接入设备之间可以采用HTTP和HTTPS协议通信。若客户端和接入设备之间交互HTTP协议，则报文以明文形式传输，安全性无法保证；若客户端和接入设备之间交互HTTPS协议，则报文基于SSL提供的安全机制以密文的形式传输，数据的安全性有保障。

3. 本地Portal Web服务器支持用户自定义认证页面

本地Portal Web服务器支持由用户自定义认证页面的内容，即允许用户编辑一套或多套认证页面的HTML文件，并将其压缩之后保存至设备的存储介质的根目录中。每套自定义页面文件中包括六个认证页面：登录页面、登录成功页面、在线页面、下线成功页面、登录失败页面和系统忙碌页面。本地Portal Web服务器根据不同的认证阶段向客户端推出对应的认证页面。

缺省情况下，本地Portal Web 服务器提供了一套缺省认证页面文件。

关于认证页面文件的自定义规范请参见“1.17.1 自定义认证页面文件”。

1.1.4 Portal的基本交互过程

Portal系统中各基本要素的交互过程如下：

(1) 未认证用户访问网络时，在Web浏览器地址栏中输入一个互联网的地址，那么此HTTP或HTTPS请求在经过接入设备时会被重定向到Portal Web服务器的Web认证主页上。用户也可以主动登录Portal Web服务器的Web认证主页。若需要使用Portal的安全扩展认证功能，则用户必须使用H3C iNode客户端。

(2) 用户在认证主页/认证对话框中输入认证信息后提交，Portal Web服务器会将用户的认证信息传递给Portal认证服务器，由Portal认证服务器处理并转发给接入设备。

(3) 接入设备与AAA服务器交互进行用户的认证、授权和计费。

(4) 认证通过后，如果未对用户采用安全策略，则接入设备会打开用户与互联网的通路，允许用户访问互联网；如果对用户采用了安全策略，则客户端、接入设备与安全策略服务器交互，对用户的安全检测通过之后，安全策略服务器根据用户的安全性授权用户访问非受限资源。目前通过访问Web页面进行的Portal认证不能对用户实施安全策略检查，安全检查功能的实现需要与H3C iNode客户端配合。

无论是Web客户端还是H3C iNode客户端发起的Portal认证，均能支持Portal认证穿越NAT，即Portal客户端位于私网、Portal认证服务器位于公网。

1.1.5 Portal的认证方式

Portal只支持直接认证方式。直接认证方式下，认证客户端和接入设备之间没有三层转发设备。

用户在认证前通过手工配置或DHCP直接获取一个IP地址，只能访问Portal Web服务器，以及设定的免认证地址；认证通过后即可访问网络资源。认证流程相对简单。

1.1.6 Portal支持EAP认证

在对接入用户身份可靠性要求较高的网络应用中，传统的基于用户名和口令的用户身份验证方式存在一定的安全问题，基于数字证书的用户身份验证方式通常被用来建立更为安全和可靠的网络接入认证机制。

EAP（Extensible Authentication Protocol，可扩展认证协议）可支持多种基于数字证书的认证方式（例如EAP-TLS），它与Portal认证相配合，可共同为用户提供基于数字证书的接入认证服务。

图1-3 Portal支持EAP认证协议交互示意图

如图1-3所示，在Portal支持EAP认证的实现中，客户端与Portal服务器之间交互EAP认证报文，Portal服务器与接入设备之间交互携带EAP-Message属性的Portal协议报文，接入设备与RADIUS服务器之间交互携带EAP-Message属性的RADIUS协议报文，由具备EAP服务器功能的RADIUS服务器处理EAP-Message属性中封装的EAP报文，并给出EAP认证结果。整个EAP认证过程中，接入设备只是对Portal服务器与RADIUS服务器之间的EAP-Message属性进行透传，并不对其进行任何处理，因此接入设备上无需任何额外配置。

· 该功能仅能与H3C iMC的Portal服务器以及H3C iNode Portal客户端配合使用。

· 目前，仅使用远程Portal服务器的Portal认证支持EAP认证。

1.1.7 Portal认证流程

1. Portal认证的流程（CHAP/PAP认证方式）

图1-4 Portal认证流程图

Portal认证流程：

(1) Portal用户通过HTTP协议访问外部网络。HTTP报文经过接入设备时，对于访问Portal Web服务器或设定的免认证地址的HTTP报文，接入设备允许其通过；对于访问其它地址的HTTP报文，接入设备将其重定向到Portal Web服务器。Portal Web服务器提供Web页面供用户输入用户名和密码。

(2) Portal Web服务器将用户输入的信息提交给Portal认证服务器进行认证。

(3) Portal认证服务器与接入设备之间进行CHAP（Challenge Handshake Authentication Protocol，质询握手认证协议）认证交互。若采用PAP（Password Authentication Protocol，密码认证协议）认证则直接进入下一步骤。采用哪种认证交互方式由Portal认证服务器决定。

(4) Portal认证服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备，同时开启定时器等待认证应答报文。

(5) 接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。

(6) 接入设备向Portal认证服务器发送认证应答报文，表示认证成功或者认证失败。

(7) Portal认证服务器向客户端发送认证成功或认证失败报文，通知客户端认证成功（上线）或失败。

(8) 若认证成功，Portal认证服务器还会向接入设备发送认证应答确认。若是iNode客户端，则还需要进行以下安全扩展功能的步骤，否则Portal认证过程结束，用户上线。

(9) 客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测客户端的安全性是否合格，包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。

(10) 安全策略服务器根据安全检查结果授权用户访问指定的网络资源，授权信息保存到接入设备中，接入设备将使用该信息控制用户的访问。

步骤(9)、(10)为Portal认证安全扩展功能的交互过程。

1.1.8 Portal过滤规则

接入设备通过一系列的过滤规则对使能Portal认证的接口或无线服务模板上转发的用户报文进行控制，这些规则也称为Portal过滤规则。

设备会根据配置以及Portal用户的认证状态，生成四种不同类型的Portal过滤规则。设备收到用户报文后，将依次按照如下顺序对报文进行匹配，一旦匹配上某条规则便结束匹配过程：

· 第一类规则：设备允许所有去往Portal Web服务器或者符合免认证规则的用户报文通过。

· 第二类规则：如果AAA认证服务器未下发授权ACL，则设备允许认证成功的Portal用户可以访问任意的目的网络资源；如果AAA认证服务器下发了授权ACL，则设备仅允许认证成功的Portal用户访问该授权ACL允许访问的网络资源。设备将根据Portal用户的在线状态动态添加和删除本规则。

· 第三类规则：设备将所有未认证Portal用户的HTTP请求报文重定向到Portal Web服务器。

· 第四类规则：设备将拒绝所有用户报文通过。

1.1.9 Portal支持BYOD功能

此功能的完整实现需要结合iMC服务器来实现。

在用户进行Portal认证过程中，设备将获取到的DHCP Option55内容封装到Portal协议和RADIUS协议中，并分别上传给Portal认证服务器和RADIUS服务器（对iMC服务器来说，都是上传到UAM组件）。

iMC服务器中的UAM组件可以根据获取到的Option55字段的内容来判断终端设备的类型、操作系统、厂商等信息。进而可以根据识别出来的终端设备类型等信息，向不同终端设备类型的Portal用户推出不同的认证页面和下发不同的授权属性信息等。

1.1.10 Portal支持基于MAC地址的快速认证

在Portal认证环境中，对于需要频繁接入网络的合法用户，可以通过基于MAC地址的快速认证功能，使用户无需手工输入认证信息便可以自动完成Portal认证。

基于MAC地址的快速认证又称为MAC-trigger认证，该方式需要在网络中部署MAC绑定服务器。MAC绑定服务器用于记录用户的Portal认证信息（用户名、密码）和用户终端的MAC地址，并将二者进行绑定，以便代替用户完成Portal认证。

基于MAC地址的快速认证分为本地认证和远程认证两种。

本功能的实现过程如下：

(1) 用户在首次接入网络时，将获得一定的免认证流量。在用户收发的流量达到设定的阈值之前，用户无需进行认证。接入设备将用户的MAC地址及接入端口信息保存为MAC-trigger表项。

(2) 当用户收发的流量达到设定的阈值时，接入设备会根据MAC-trigger表项将用户的MAC地址发送至MAC绑定服务器进行查询。

(3) MAC绑定服务器在本地查询是否存在与用户MAC地址绑定的Portal认证信息：

· 如果存在Portal认证信息，则MAC绑定服务器将通知接入设备该用户为“已绑定”状态，并使用用户的认证信息向接入设备发起Portal认证，在用户无感知的情况下完成认证过程。此时，如果Portal认证失败，则设备向用户返回认证失败信息，接入设备上的MAC-trigger表项将自动老化，然后重新进行MAC-trigger认证。

· 如果不存在Portal认证信息，则MAC绑定服务器将通知接入设备该用户为“未绑定”状态。接入设备将对“未绑定”状态的用户发起正常的Portal认证。如果Portal认证失败，则Portal Web服务器向用户返回Portal认证失败页面，流程终止；如果Portal认证成功，在用户完成Portal认证过程后，接入设备会将用户的MAC地址和认证信息发送至MAC绑定服务器，完成信息绑定。当同一用户再次访问网络时，MAC绑定服务器便可以利用保存的认证信息代替用户完成认证。

(4) 用户通过Portal认证后，接入设备将删除MAC-trigger表项。

· 无线客户端数据报文转发位置在AP上，且AC上配置了基于MAC地址的快速认证时，当AP给AC上报流量统计信息的时间间隔（可通过portal client-traffic-report interval命令配置）超时后，AC才会感知到用户收发的流量是否达到设定的阈值。

· 关于MAC绑定服务器的配置请参见服务器软件的用户手册。

1.1.11 不同无线转发模式下的Portal配置方式

AC/Fit AP组网环境下，有两种无线客户端数据报文的转发模式：

· 集中式转发：将客户端数据报文的转发位置配置在AC上之后，客户端的数据流量由AP通过CAPWAP隧道透传到AC，再由AC转发数据报文。

· 本地转发：将客户端数据报文的转发位置配置在AP上之后，客户端的数据流量直接由AP进行转发，不上送到AC上。

在无线环境中，Portal认证功能可以在设备的VLAN接口或无线服务模板上进行配置，有关这两种Portal配置方式的详细介绍如下：

· 在VLAN接口下配置时，设备仅能对本接口接收到的用户报文进行Portal认证。由于在本地转发模式下，客户端的数据直接在AP上进行转发，AC无法接收到用户的报文，因此在VLAN接口下配置Portal认证只适用于集中式转发。

· 在无线服务模板上配置Portal认证且开启无线服务模板后，如果转发模式为本地转发，AC会把Portal过滤规则下发到AP的BSS（Basic Service Set，基本服务集）上；如果转发模式为集中式转发，则AC会把Portal过滤规则下发到自身的BSS上。在这两种转发模式下，AC均可以对绑定该服务模板的所有AP下接入的用户进行Portal认证，因此在无线服务模板上配置Portal认证适用于集中式转发与本地转发。

关于无线转发模式的介绍，请参见“WLAN”下的“WLAN接入”。

1.2 Portal配置任务简介

表1-1 Portal配置任务简介

配置任务		说明	详细配置
配置Portal认证服务器		可选	1.4
配置Portal Web服务器		必选	1.5
使能Portal认证		必选	1.6
引用Portal Web服务器		必选	1.7
控制Portal用户的接入	配置免认证规则	可选	1.8.1
	配置目的认证网段		1.8.2
	配置Portal最大用户数		1.8.3
	指定Portal用户使用的认证域		1.8.4
	配置Portal认证前用户使用的认证域		1.8.5
	配置Portal认证前用户使用的地址池		1.8.6
	配置Portal授权信息检查模式		1.8.7
	配置Portal仅允许DHCP用户上线		1.8.8
	配置Portal出方向报文过滤		1.8.9
配置Portal探测功能	配置Portal用户的在线探测功能	可选	1.9.1
	配置Portal认证服务器的可达性探测功能		1.9.2
	配置Portal Web服务器的可达性探测功能		1.9.3
	配置Portal用户信息同步功能		1.9.4
配置Portal用户逃生功能		可选	1.10
配置发送给Portal认证服务器的Portal报文的BAS-IP属性		可选	1.11
配置接入设备的ID		可选	1.12
配置Portal用户漫游功能		可选	1.13
配置RADIUS NAS-Port-ID属性格式		可选	1.14
配置Web重定向功能		可选	1.15
配置接口的NAS-ID Profile		可选	1.16
配置本地Portal Web Server功能		可选	1.17.2
配置无线Portal客户端合法性检查功能		可选	1.18
配置无线Portal用户自动下线功能		可选	1.19
配置Portal客户端ARP/ND表项固化功能		可选	1.20
配置HTTPS重定向功能		可选	1.21
配置基于MAC地址的快速认证		可选	1.22
配置NAS-Port-Type		必选	1.23
配置Portal安全重定向功能		可选	1.24
配置AP给AC上报流量统计信息的时间间隔		可选	1.25
配置Portal协议报文中不携带的属性字段		可选	1.26
开启Portal日志功能		可选	1.27
配置Portal第三方认证功能		可选	1.28
配置Portal认证监控功能		可选	1.29
配置Portal OAuth认证同步用户信息的时间间隔		可选	1.30

1.3 配置准备

Portal提供了一个用户身份认证和安全认证的实现方案，但是仅仅依靠Portal不足以实现该方案。接入设备的管理者需选择使用RADIUS认证方法，以配合Portal完成用户的身份认证。Portal认证的配置前提：

· Portal认证服务器、Portal Web服务器、RADIUS服务器已安装并配置成功。

· 用户、接入设备和各服务器之间路由可达。

· 如果通过远端RADIUS服务器进行认证，则需要在RADIUS服务器上配置相应的用户名和密码，然后在接入设备端进行RADIUS客户端的相关设置。RADIUS客户端的具体配置请参见“安全配置指导”中的“AAA”。

· 如果需要支持Portal的安全扩展功能，需要安装并配置CAMS EAD/iMC EAD安全策略组件。同时保证在接入设备上的ACL配置和安全策略服务器上配置的隔离ACL的编号、安全ACL的编号对应。接入设备上与安全策略服务器相关的配置请参见“安全配置指导”中的“AAA”。安全策略服务器的配置请参考“CAMS EAD安全策略组件联机帮助”以及“iMC EAD安全策略组件联机帮助”。

1.4 配置Portal认证服务器

在Portal认证组网环境中需要使用外部Portal认证服务器时，需要配置此特性。

Portal认证服务器视图用于配置Portal认证服务器的相关参数，包括服务器的IP地址，设备和服务器间通信的共享密钥，服务器探测功能等。

设备支持配置多个Portal认证服务器。

建议不要删除正在被用户使用的Portal认证服务器，否则会导致设备上的在线用户无法正常下线。

设备向Portal认证服务器主动发送报文时使用的目的端口号（由port port-number配置）必须与远程Portal认证服务器实际使用的监听端口号保持一致。

配置的Portal认证服务器类型必须与认证所使用的服务器类型保持一致。

表1-2 配置Portal认证服务器

操作	命令		说明
进入系统视图	system-view		-
创建Portal认证服务器，并进入Portal认证服务器视图	portal server server-name		缺省情况下，不存在Portal认证服务器
指定Portal认证服务器的IPv4地址	ip ipv4-address [ key { cipher \| simple } string ]		至少选其一缺省情况下，未指定Portal认证服务器的IP地址
指定Portal认证服务器的IPv6地址	ipv6 ipv6-address [ key { cipher \| simple } string ]		至少选其一缺省情况下，未指定Portal认证服务器的IP地址
（可选）配置接入设备主动向Portal认证服务器发送Portal报文时使用的UDP端口号	port port-number		缺省情况下，接入设备主动发送Portal报文时使用的UDP端口号为50100
（可选）配置Portal认证服务器的类型	server-type { cmcc \| imc }		缺省情况下，Portal认证服务器类型为iMC服务器
退回系统视图	quit		-
（可选）配置强制用户下线通知报文的重传时间间隔和最大重传次数	logout-notify retry retries interval interval	缺省情况下，未配置强制用户下线通知报文的重传时间间隔和最大重传次数
（可选）配置设备定期向Portal认证服务器发送注册报文	server-register [ interval interval-value ]		缺省情况下，设备不会定期向Portal认证服务器发送注册报文
（可选）配置Portal认证时客户端访问AC的接口	portal client-gateway interface interface-type interface-number		缺省情况下，未配置Portal认证时客户端访问AC的接口

1.5 配置Portal Web服务器

Portal Web服务器是指Portal认证过程中向用户推送认证页面的Web服务器，也是设备强制重定向用户HTTP请求报文时所使用的Web服务器。Portal Web服务器视图用于配置Web服务器的URL地址及设备重定向该URL地址给用户时URL地址所携带的参数。同时该视图还用于配置Portal Web服务器探测等功能。

可以配置多个Portal Web服务器。配置的Portal Web服务器类型必须与认证所使用的服务器类型保持一致。

iOS系统或者部分Android系统的用户接入已开启Portal认证的网络后，设备会主动向这类用户终端推送Portal认证页面。开启Portal被动Web认证功能后，仅在这类用户使用浏览器访问Internet时，设备才会为其推送Portal认证页面。

对于iOS移动终端，Portal被动Web认证优化功能开启后，当iOS移动终端接入网络后会自动弹出Portal认证页面，并显示Wi-Fi已连接。但由于网络或其他原因，iOS移动终端无法在Portal被动Web认证探测的定时器缺省超时时间内发送Portal认证服务器可达性探测报文，导致Wi-Fi无法连接，被动认证优化功能失效。通过配置探测定时器超时时间，可以延长Portal被动认证优化功能的生效时间，使Portal认证页面正常显示并保持Wi-Fi已连接状态。

重定向URL匹配规则用于控制重定向用户的HTTP或HTTPS请求，该匹配规则可匹配用户的Web请求地址或者用户的终端信息。为了让用户能够成功访问重定向后的地址，需要通过portal free-rule命令配置免认证规则，放行去往该地址的HTTP或HTTPS请求报文。与url命令不同的是，重定向匹配规则可以灵活的进行地址的重定向，而url命令一般只用于将用户的HTTP或HTTPS请求重定向到Portal Web服务器进行Portal认证。在二者同时存在时，if-match命令优先进行地址的重定向。设备不会探测重定向URL匹配规则中重定向后的地址的可达性，因而在未配置url命令，且if-match命令用于重定向用户的Web请求到Portal Web服务器时，设备不会触发Portal Web服务器逃生或者主、备Portal Web服务器切换。

表1-3 配置Portal Web服务器

操作	命令	说明
进入系统视图	system-view	-
创建Portal Web服务器，并进入Portal Web服务器视图	portal web-server server-name	缺省情况下，不存在Portal Web服务器
指定Portal Web服务器的URL	url url-string	缺省情况下，未指定Portal Web服务器的URL
配置设备重定向给用户的Portal Web服务器的URL中携带的参数信息	url-parameter param-name { nas-id \| nas-port-id \| original-url \| source-address \| ssid \| { ap-mac \| source-mac } [ encryption { aes \| des } key { cipher \| simple } string ] \| value expression \| vlan }	缺省情况下，未配置设备重定向给用户的Portal Web服务器的URL中携带的参数信息
（可选）配置Portal Web服务器的类型	server-type { cmcc \| imc \| oauth }	缺省情况下，设备默认支持的Portal Web服务器类型为iMC服务器
（可选）开启Portal被动Web认证功能	captive-bypass [ android \| ios [ optimize ] ] enable	缺省情况下，Portal被动Web认证功能处于关闭状态，即iOS系统和部分Android系统的用户接入已开启Portal认证的网络后会自动弹出Portal认证页面
（可选）配置重定向URL的匹配规则	if-match { original-url url-string redirect-url url-string [ url-param-encryption { aes \| des } key { cipher \| simple } string ] \| user-agent string redirect-url url-string }	缺省情况下，不存在重定向URL的匹配规则
退出Portal Web服务器视图	quit	-
（可选）配置Portal被动Web认证探测的定时器超时时间	portal captive-bypass optimize delay seconds	缺省情况下，Portal被动Web认证探测的定时器超时时间为6秒

1.6 开启Portal认证

禁止在无线服务模板视图和VLAN接口视图下同时开启Portal认证功能。

只有在VLAN接口或无线服务模板上开启了Portal认证，对接入用户的Portal认证功能才能生效。

开启了Portal认证功能后，设备收到Portal服务器发送的Portal报文时，首先根据报文中Portal认证服务器的地址查找本地配置的Portal认证服务器，若查找到相应的Portal认证服务器配置，则认为报文合法，并向该Portal认证服务器回应认证响应报文；否则，认为报文非法，将其丢弃。用户上线后，将与认证过程中使用的Portal认证服务器进行后续的交互。

允许在VLAN接口上同时使能IPv4 Portal认证和IPv6 Portal认证。

在无线服务模板上开启Portal认证时，需要注意：

采用本地转发模式时需要开启无线Portal客户端合法性检查功能。

表1-4 使能Portal认证（VLAN接口视图）

操作	命令	说明
进入系统视图	system-view	-
进入VLAN接口视图	interface interface-type interface-number	只能是VLAN接口
在接口上使能IPv4 Portal认证，并指定认证方式	portal enable method direct	至少选其一缺省情况下，接口上的Portal认证功能处于关闭状态
在接口上使能IPv6 Portal认证，并指定认证方式	portal ipv6 enable method direct	至少选其一缺省情况下，接口上的Portal认证功能处于关闭状态

表1-5 使能Portal认证（无线服务模板视图）

操作	命令	说明
进入系统视图	system-view	-
进入无线服务模板视图	wlan service-template service-template-name	-
使能IPv4 Portal认证，并指定认证方式	portal enable method direct	至少选其一缺省情况下，无线服务模板上的Portal认证功能处于关闭状态
开启IPv6 Portal认证，并指定认证方式	portal ipv6 enable method direct	至少选其一缺省情况下，无线服务模板上的Portal认证功能处于关闭状态

1.7 引用Portal Web服务器

在VLAN接口或者无线服务模板上引用指定的Portal Web服务器后，设备会将该VLAN接口或者无线服务模板绑定的BSS接口上Portal用户的HTTP或HTTPS请求报文重定向到该Web服务器。

一个VLAN接口上可以同时开启IPv4和IPv6 Portal认证，每种类型的Portal认证开启后，均可以同时引用一个主Portal Web服务器和一个备份Portal Web服务器。

设备优先使用主Portal Web服务器进行Portal认证。当主Portal Web服务器不可达时，如果备份Portal Web服务器可达，设备将切换到备份Portal Web服务器进行Portal认证。当主Portal Web服务器恢复可达时，设备将强制切换回主Portal Web服务器进行Portal认证。

要实现主、备Portal Web服务器的自动切换，需要分别对引用的主、备Portal Web服务器配置Portal Web服务器可达性探测功能。

表1-6 引用Portal Web服务器（VLAN接口视图）

操作	命令	说明
进入系统视图	system-view	-
进入VLAN接口视图	interface interface-type interface-number	只能是VLAN接口
在接口上引用IPv4 Portal Web服务器	portal apply web-server server-name [ secondary ]	至少选其一缺省情况下，接口上未引用Portal Web服务器
在接口上引用IPv6 Portal Web服务器	portal ipv6 apply web-server server-name [ secondary ]	至少选其一缺省情况下，接口上未引用Portal Web服务器

表1-7 引用Portal Web服务器（无线服务模板视图）

操作	命令	说明
进入系统视图	system-view	-
进入无线服务模板视图	wlan service-template service-template-name	-
引用IPv4 Portal Web服务器	portal apply web-server server-name [ secondary ]	至少选其一缺省情况下，无线服务模板上未引用Portal Web服务器
引用IPv6 Portal Web服务器	portal ipv6 apply web-server server-name [ secondary ]	至少选其一缺省情况下，无线服务模板上未引用Portal Web服务器

1.8 控制Portal用户的接入

1.8.1 配置免认证规则

通过配置免认证规则可以让特定的用户不需要通过Portal认证即可访问外网特定资源，这是由免认证规则中配置的源信息以及目的信息决定的。

免认证规则的匹配项包括主机名、IP地址、TCP/UDP端口号、MAC地址、所连接设备的接口和VLAN，只有符合免认证规则的用户报文才不会触发Portal认证，因此这些报文所属的用户才可以直接访问网络资源。

配置免认证规则时，需要注意：

· 如果免认证规则中同时配置了接口和VLAN，则要求接口属于指定的VLAN，否则该规则无效。

· 相同内容的免认证规则不能重复配置，否则提示免认证规则已存在或重复。

· 无论接口上是否开启Portal认证，只能添加或者删除免认证规则，不能修改。

· 配置基于源AP的免认证规则后，用户不需要进行Portal认证，可直接访问外网；配置基于源AP的免认证规则之前已经在线的Portal用户会继续计费。

表1-8 配置基于IP地址的免认证规则

操作	命令	说明
进入系统视图	system-view	-
配置基于IPv4地址的Portal免认证规则	portal free-rule rule-number { destination ip { ip-address { mask-length \| mask } \| any } [ tcp tcp-port-number \| udp udp-port-number ] \| source ip { ip-address { mask-length \| mask } \| any } [ tcp tcp-port-number \| udp udp-port-number ] } * [ interface interface-type interface-number ]	缺省情况下，不存在基于IPv4地址的Portal免认证规则
配置基于IPv6地址的Portal免认证规则	portal free-rule rule-number { destination ipv6 { ipv6-address prefix-length \| any } [ tcp tcp-port-number \| udp udp-port-number ] \| source ipv6 { ipv6-address prefix-length \| any } [ tcp tcp-port-number \| udp udp-port-number ] } * [ interface interface-type interface-number ]	缺省情况下，不存在基于IPv6地址的Portal免认证规则

表1-9 配置基于源的免认证规则

操作	命令	说明
进入系统视图	system-view	-
配置基于源的Portal免认证规则	portal free-rule rule-number source { ap ap-name \| { interface interface-type interface-number \| mac mac-address \| vlan vlan-id } * }	缺省情况下，不存在基于源的Portal免认证规则

表1-10 配置基于目的的免认证规则

操作	命令	说明
进入系统视图	system-view	-
配置基于目的Portal免认证规则	portal free-rule rule-number destination host-name	缺省情况下，不存在基于目的的Portal免认证规则

1.8.2 配置目的认证网段

通过配置目的认证网段实现仅对要访问指定目的网段（除免认证规则中指定的目的IP地址或网段）的用户进行Portal认证，用户访问非目的认证网段时无需认证，可直接访问。

设备上可以配置多条目的认证网段。若配置了网段地址范围有所覆盖或重叠的目的认证网段，则仅其中地址范围最大（子网掩码或地址前缀最小）的一条目的认证网段配置生效。

表1-11 配置IPv4 Portal目的认证网段

操作	命令	说明
进入系统视图	system-view	-
进入接口视图	interface interface-type interface-number	-
配置IPv4 Portal目的认证网段	portal free-all except destination ipv4-network-address { mask-length \| mask }	缺省情况下，未配置IPv4 Portal目的认证网段，表示对访问任意目的网段的用户都进行Portal认证

表1-12 配置IPv6 Portal目的认证网段

操作	命令	说明
进入系统视图	system-view	-
进入接口视图	interface interface-type interface-number	-
配置IPv6 Portal目的认证网段	portal ipv6 free-all except destination ipv6-network-address prefix-length	缺省情况下，未配置IPv6 Portal目的认证网段，表示对访问任意目的网段的用户都进行Portal认证

1.8.3 配置Portal最大用户数

通过配置可以控制系统中的全局Portal接入用户总数和每个VLAN接口或无线服务模板上的最大Portal用户数（包括IPv4 Portal用户和IPv6 Portal用户）。

配置Portal最大用户数时，需要注意的是：

· 如果配置的全局Portal最大用户数小于当前已经在线的Portal用户数，则配置可以执行成功，且在线Portal用户不受影响，但系统将不允许新的Portal用户接入。

· 如果VLAN接口或无线服务模板上配置的Portal最大用户数小于当前接口上已经在线的Portal用户数，则配置可以执行成功，且在线Portal用户不受影响，但系统将不允许新的Portal用户从该接口接入。

· 建议将全局最大Portal用户数配置为所有使能Portal的VLAN接口或无线服务模板上的最大IPv4 Portal用户数和最大IPv6 Portal用户数之和，但不超过整机最大Portal用户数，否则会有部分Portal用户因为整机最大用户数已达到而无法上线。

表1-13 配置全局Portal最大用户数

操作	命令	说明
进入系统视图	system-view	-
配置全局Portal最大用户数	portal max-user max-number	缺省情况下，不限制Portal最大用户数

表1-14 配置接口Portal最大用户数（VLAN接口视图）

操作	命令	说明
进入系统视图	system-view	-
进入VLAN接口视图	interface interface-type interface-number	-
每个接口上的最大Portal用户数	portal { ipv4-max-user \| ipv6-max-user } max-number	缺省情况下，接口上的最大Portal用户数不受限制

表1-15 配置Portal最大用户数（无线服务模板视图）

操作	命令	说明
进入系统视图	system-view	-
进入无线服务模板视图	wlan service-template service-template-name	-
配置最大Portal用户数	portal { ipv4-max-user \| ipv6-max-user } max-number	缺省情况下，无线服务模板上最大Portal用户数不受限制

1.8.4 指定Portal用户使用的认证域

每个Portal用户都属于一个认证域，且在其所属的认证域内进行认证/授权/计费，认证域中定义了一套认证/授权/计费的策略。

通过在指定接口或无线服务模板上配置Portal用户使用的认证域，使得所有从该接口或无线服务模板接入的Portal用户被强制使用指定的认证域来进行认证、授权和计费。即使Portal用户输入的用户名中携带的域名相同，接入设备的管理员也可以通过该配置使得不同接口或无线服务模板上接入的Portal用户使用不同的认证域，从而增加管理员部署Portal接入策略的灵活性。

从指定接口或无线服务模板上接入的Portal用户将按照如下先后顺序选择认证域：接口或无线服务模板上指定的Portal用户使用的ISP域-->用户名中携带的ISP域-->系统缺省的ISP域。关于缺省ISP域的相关介绍请参见“安全配置指导”中的“AAA”。

接口或无线服务模板上可以同时指定IPv4 Portal用户和IPv6 Portal用户的认证域。

表1-16 指定IPv4 Portal用户使用的认证域（VLAN接口视图）

操作	命令	说明
进入系统视图	system-view	-
进入VLAN接口视图	interface interface-type interface-number	-
指定IPv4 Portal用户使用的认证域	portal domain domain-name	缺省情况下，未指定IPv4 Portal用户使用的认证域

表1-17 指定IPv4 Portal用户使用的认证域（无线服务模板视图）

操作	命令	说明
进入系统视图	system-view	-
进入无线服务模板视图	wlan service-template service-template-name	-
指定IPv4 Portal用户使用的认证域	portal domain domain-name	缺省情况下，未指定IPv4 Portal用户使用的认证域

表1-18 指定IPv6 Portal用户使用的认证域（VLAN接口视图）

操作	命令	说明
进入系统视图	system-view	-
进入VLAN接口视图	interface interface-type interface-number	-
指定IPv6 Portal用户使用的认证域	portal ipv6 domain domain-name	缺省情况下，未指定IPv6 Portal用户使用的认证域

表1-19 指定IPv6 Portal用户使用的认证域（无线服务模板视图）

操作	命令	说明
进入系统视图	system-view	-
进入无线服务模板视图	wlan service-template service-template-name	-
指定IPv6 Portal用户使用的认证域	portal ipv6 domain domain-name	缺省情况下，未指定IPv6 Portal用户使用的认证域

1.8.5 配置Portal 认证前用户使用的认证域

开启了Portal的VLAN接口上配置了认证前用户使用的认证域（简称为认证前域）时，当该接口上接入的未经过Portal认证的用户在通过DHCP获取到IP地址之后，将被Portal授予认证前域内配置的相关授权属性（目前包括ACL、User Profile），并根据授权信息获得相应的网络访问权限。若该接口上的DHCP用户后续触发了Portal认证，则认证成功之后会被AAA下发新的授权属性。之后，若该用户下线，则又被重新授予认证前域中的授权属性。

配置Portal认证前用户使用的认证域时，需要注意的是：

· 该配置只对采用DHCP或DHCPv6分配IP地址的用户生效。

· 配置Portal认证前域时，请确保被引用的ISP域已创建。如果Portal认证前域引用的ISP域不存在或者引用过程中该ISP域被删除后，又重新创建该域，请删除Portal认证前域（执行undo portal [ ipv6 ] pre-auth domain命令）后重新配置。

表1-20 配置Portal认证前用户使用的认证域

操作	命令	说明
进入系统视图	system-view	-
进入接口视图	interface interface-type interface-number	-
配置Portal认证前用户使用的认证域	portal [ ipv6 ] pre-auth domain domain-name	缺省情况下，接口上未配置Portal认证前用户使用的认证域

1.8.6 配置Portal认证前用户使用的地址池

在Portal用户通过设备的子接口接入网络的组网环境中，当子接口上未配置IP地址，且用户需要通过DHCP获取地址时，就必须在用户进行Portal认证之前为其分配一个IP地址使其可以进行Portal认证。

Portal用户接入到开启了Portal的VLAN接口上后，该接口就会按照下面的规则为其分配IP地址：

· 如果VLAN接口上配置了IP地址，但没有配置认证前使用的地址池，则用户可以使用客户端上静态配置的IP地址或者通过DHCP获取分配的IP地址。

· 如果VLAN接口上配置了认证前使用的地址池，当用户通过DHCP获取IP地址时，接口从指定的认证前的地址池中为其分配IP地址；否则，用户使用客户端上静态配置的IP地址。但是如果VLAN接口上没有配置IP地址，则客户端使用静态IP地址将无法认证成功。

· 若VLAN接口上没有配置IP地址，且没有配置认证前使用的地址池，则用户无法进行认证。

Portal用户使用静态配置或动态获取的IP地址进行Portal认证，并通过认证后，认证服务器会为其下发授权IP地址池，且由DHCP重新为其分配IP地址。如果认证服务器未下发授权IP地址池，则用户继续使用认证之前获得的IP地址。

配置Portal认证前用户使用的地址池时，需要注意的是：

· 当使用VLAN接口上指定的IP地址池为认证前的Portal用户分配IP地址时，该指定的IP地址池必须存在且配置完整，否则无法为Portal用户分配IP地址，并导致用户无法进行Portal认证。

· 若Portal用户不进行认证，或认证失败，已分配的地址不会被收回。

表1-21 配置Portal认证前用户使用的地址池

操作	命令	说明
进入系统视图	system-view	-
进入VLAN接口视图	interface interface-type interface-number	-
配置Portal认证前用户使用的地址池	portal [ ipv6 ] pre-auth ip-pool pool-name	缺省情况下，接口上未配置Portal认证前用户使用的地址池

1.8.7 配置Portal授权信息严格检查模式

VLAN接口或者无线服务模板上开启Portal授权信息的严格检查模式后，当认证服务器下发的授权ACL、User Profile在设备上不存在或者设备下发ACL、User Profile失败时，设备将强制Portal用户下线。严格检查模式用于配合服务器上的用户授权控制策略，它仅允许VLAN接口上成功下发了授权信息的用户在线。

若同时开启了对授权ACL和对授权User Profile的严格检查模式，则只要其中任意一个授权属性未通过严格授权检查，则用户就会下线。

表1-22 配置Portal授权信息严格检查模式（VLAN接口视图）

操作	命令	说明
进入系统视图	system-view	-
进入VLAN接口视图	interface interface-type interface-number	-
开启Portal授权信息的严格检查模式	portal authorization { acl \| user-profile } strict-checking	缺省情况下，VLAN接口处于Portal授权信息的非严格检查模式。该模式下，当认证服务器下发的授权ACL、User Profile在设备上不存在或者设备下发ACL、User Profile失败时，允许Portal用户在线

表1-23 配置Portal授权信息严格检查模式（无线服务模板视图）

操作	命令	说明
进入系统视图	system-view	-
进入无线服务模板视图	wlan service-template service-template-name	-
开启Portal授权信息的严格检查模式	portal authorization { acl \| user-profile } strict-checking	缺省情况下，无线服务模板处于Portal授权信息的非严格检查模式。该模式下，当认证服务器下发的授权ACL、User Profile在设备上不存在或者设备下发ACL、User Profile失败时，允许Portal用户在线

1.8.8 配置Portal仅允许DHCP用户上线

在IPv6网络中，开启本功能后，无线客户端仍会使用临时IPv6地址进行Portal认证，从而导致认证失败须关闭临时IPv6地址。

为了保证只有合法IP地址的用户能够接入，可以在VLAN接口或无线服务模板上配置仅允许DHCP用户上线功能，配置此功能后，IP地址为静态配置的Portal认证用户将不能上线。

此配置不会影响已经在线的用户。

表1-24 配置Portal仅允许DHCP用户上线功能（接口视图）

操作	命令	说明
进入系统视图	system-view	-
进入VLAN接口视图	interface interface-type interface-number	-
配置Portal仅允许DHCP或DHCPv6用户上线	portal [ ipv6 ] user-dhcp-only	缺省情况下，仅允许通过DHCP或DHCPv6方式获取IP地址的客户端上线的功能处于关闭状态，通过DHCP或DHCPv6方式获取IP地址的客户端和配置静态IP地址的客户端都可以上线

表1-25 配置Portal仅允许DHCP用户上线功能（无线服务模板视图）

操作	命令	说明
进入系统视图	system-view	-
进入无线服务模板视图	wlan service-template service-template-name	-
配置Portal仅允许DHCP或DHCPv6用户上线功能	portal [ ipv6 ] user-dhcp-only	缺省情况下，仅允许通过DHCP或DHCPv6方式获取IP地址的客户端上线的功能处于关闭状态，通过DHCP或DHCPv6方式获取IP地址的客户端和配置静态IP地址的客户端都可以上线

1.8.9 配置Portal出方向报文过滤

缺省情况下，开启了Portal认证的VLAN接口或无线服务模板，发送的报文不受Portal过滤规则的限制，即允许发送所有报文。当需要对此类VLAN接口或无线服务模板发送的报文进行严格控制时，可以在VLAN接口或无线服务模板上开启Portal出方向报文过滤功能。开启该功能后，在开启了Portal认证的VLAN接口或无线服务模板上，仅当出方向的报文目的IP地址是已通过Portal认证的用户IP地址或满足已配置的免认证规则，才发送该报文，否则丢弃报文。

表1-26 配置Protal出方向报文过滤

操作	命令	说明
进入系统视图	system-view	-
进入VLAN接口视图	interface interface-type interface-number	-
开启Portal出方向报文过滤功能	portal [ ipv6 ] outbound-filter enable	缺省情况下，Portal出方向的报文过滤功能处于关闭状态

表1-27 配置Portal出方向报文过滤（无线服务模板视图）

操作	命令	说明
进入系统视图	system-view	-
进入无线服务模板视图	wlan service-template service-template-name	-
开启Portal出方向报文过滤功能	portal [ ipv6 ] outbound-filter enable	缺省情况下，Portal出方向的报文过滤功能处于关闭状态

1.9 配置Portal探测功能

1.9.1 配置Portal用户在线探测功能

IPv4探测类型为ARP或ICMP，IPv6探测类型为ND或ICMPv6。

根据探测类型的不同，设备有以下两种探测机制：

· 当探测类型为ICMP/ICMPv6时，若设备发现一定时间（idle time）内接口上未收到某Portal用户的报文，则会向该用户定期（interval interval）发送探测报文。如果在指定探测次数（retry retries）之内，设备收到了该用户的响应报文，则认为用户在线，且停止发送探测报文，重复这个过程，否则，强制其下线。

· 当探测类型为ARP/ND时，若设备发现一定时间（idle time）内接口上未收到某Portal用户的报文，则会向该用户发送ARP/ND请求报文。设备定期（interval interval）检测用户ARP/ND表项是否被刷新过，如果在指定探测次数（retry retries）内用户ARP/ND表项被刷新过，则认为用户在线，且停止检测用户ARP/ND表项，重复这个过程，否则，强制其下线。

表1-28 配置IPv4 Portal用户在线探测功能

操作	命令	说明
进入系统视图	system-view	-
进入VLAN接口视图	interface interface-type interface-number	-
开启IPv4 Portal用户在线探测功能	portal user-detect type { arp \| icmp } [ retry retries ] [ interval interval ] [ idle time ]	缺省情况下，VLAN接口上的IPv4 Portal用户在线探测功能处于关闭状态

表1-29 配置IPv6 Portal用户在线探测功能

操作	命令	说明
进入系统视图	system-view	-
进入VLAN接口视图	interface interface-type interface-number	-
开启IPv6 Portal用户在线探测功能	portal ipv6 user-detect type { icmpv6 \| nd } [ retry retries ] [ interval interval ] [ idle time ]	缺省情况下，VLAN接口上的IPv6 Portal用户在线探测功能处于关闭状态

1.9.2 配置Portal认证服务器的可达性探测功能

在Portal认证的过程中，如果接入设备与Portal认证服务器的通信中断，则会导致新用户无法上线，已经在线的Portal用户无法正常下线的问题。为解决这些问题，需要接入设备能够及时探测到Portal认证服务器可达状态的变化，并能触发执行相应的操作来应对这种变化带来的影响。

开启Portal认证服务器的可达性探测功能后，无论是否有接口上开启了Portal认证，设备会定期检测Portal认证服务器发送的报文（例如，用户上线报文、用户下线报文、心跳报文）来判断服务器的可达状态：若设备在指定的探测超时时间（timeout timeout）内收到Portal报文，且验证其正确，则认为此次探测成功且服务器可达，否则认为此次探测失败，服务器不可达。

当接入设备检测到Portal认证服务器可达或不可达状态改变时，可执行以下一种或多种操作：

· 发送Trap信息：Portal认证服务器可达或者不可达的状态改变时，向网管服务器发送Trap信息。Trap信息中记录了Portal认证服务器名以及该服务器的当前状态。

· 发送日志：Portal认证服务器可达或者不可达的状态改变时，发送日志信息。日志信息中记录了Portal认证服务器名以及该服务器状态改变前后的状态。

· Portal用户逃生：Portal认证服务器不可达时，暂时取消接口上进行的Portal认证，允许该接口接入的所有Portal用户访问网络资源。之后，若设备收到Portal认证服务器发送的报文，则恢复该端口的Portal认证功能。该功能的详细配置请参见“1.10 配置Portal用户逃生功能”。

配置Portal认证服务器的可达性探测功能时，需要注意：

· 目前，只有iMC的Portal认证服务器支持发送心跳报文，由于心跳报文是周期性发送的，所以iMC的Portal认证服务器可以更好得与设备配合，使其能够及时而准确地探测到它的可达性状态。如果要采用心跳报文探测Portal服务器的可达性，服务器上必须保证逃生心跳功能处于开启状态。

· 设备配置的探测超时时间（timeout timeout）必须大于服务器上配置的逃生心跳间隔时间。

· 如果同时指定了多种操作，则Portal认证服务器可达状态改变时系统可并发执行多种操作。

表1-30 配置Portal认证服务器的可达性探测功能

操作	命令	说明
进入系统视图	system-view	-
进入Portal认证服务器视图	portal server server-name	-
开启Portal认证服务器的可达性探测功能	server-detect [ timeout timeout ] { log \| trap } *	缺省情况下，Portal服务器可达性探测功能处于关闭状态

1.9.3 配置Portal Web服务器的可达性探测功能

在Portal认证的过程中，如果接入设备与Portal Web服务器的通信中断，将无法完成整个认证过程，因此必须对Portal Web服务器的可达性进行探测。

由于Portal Web服务器用于对用户提供Web服务，不需要和设备交互报文，因此无法通过发送某种协议报文的方式来进行可达性检测。无论是否有VLAN接口上开启了Portal认证，开启了Portal Web服务器的可达性探测功能之后，接入设备采用模拟用户进行Web访问的过程来实施探测：接入设备主动向Portal Web服务器发起TCP连接，如果连接可以建立，则认为此次探测成功且服务器可达，否则认为此次探测失败。

· 探测参数

¡ 探测间隔：进行探测尝试的时间间隔。

¡ 失败探测的最大次数：允许连续探测失败的最大次数。若连续探测失败数目达到此值，则认为服务器不可达。

· 可达状态改变时触发执行的操作（可以选择其中一种或同时使用多种）

¡ 发送Trap信息：Portal Web服务器可达或者不可达的状态改变时，向网管服务器发送Trap信息。Trap信息中记录了Portal Web服务器名以及该服务器的当前状态。

¡ 发送日志：Portal Web服务器可达或者不可达的状态改变时，发送日志信息。日志信息中记录了Portal Web服务器名以及该服务器状态改变前后的状态。

¡ Portal用户逃生：Portal Web服务器不可达时，暂时取消端口进行的Portal认证，允许该端口接入的所有Portal用户访问网络资源。之后，若Portal Web服务器可达，则恢复该端口的Portal认证功能。该功能的详细配置请参见“1.10 配置Portal用户逃生功能”。

表1-31 配置Portal Web服务器的可达性探测功能

操作	命令	说明
进入系统视图	system-view	-
进入Portal Web服务器视图	portal web-server server-name	-
开启Portal Web服务器的可达性探测功能	server-detect [ interval interval ] [ retry retries ] { log \| trap } *	缺省情况下，Portal Web认证服务器的可达性探测功能处于关闭状态

1.9.4 配置Portal用户信息同步功能

为了解决接入设备与Portal认证服务器通信中断后，两者的Portal用户信息不一致问题，设备提供了一种Portal用户信息同步功能。该功能利用了Portal同步报文的发送及检测机制，具体实现如下：

(1) 由Portal认证服务器周期性地（周期为Portal认证服务器上指定的用户心跳间隔值）将在线用户信息通过用户同步报文发送给接入设备；

(2) 接入设备在用户上线之后，即开启用户同步检测定时器（超时时间为timeout timeout），在收到用户同步报文后，将其中携带的用户列表信息与自己的用户列表信息进行对比，如果发现同步报文中有设备上不存在的用户信息，则将这些自己没有的用户信息反馈给Portal认证服务器，Portal认证服务器将删除这些用户信息；如果发现接入设备上的某用户信息在一个用户同步报文的检测超时时间内，都未在该Portal认证服务器发送过来的用户同步报文中出现过，则认为Portal认证服务器上已不存在该用户，设备将强制该用户下线。

使用Portal用户信息同步功能时，需要注意：

· 只有在支持Portal用户心跳功能（目前仅iMC的Portal认证服务器支持）的Portal认证服务器的配合下，本功能才有效。为了实现该功能，还需要在Portal认证服务器上选择支持用户心跳功能，且服务器上配置的用户心跳间隔要小于等于设备上配置的检测超时时间。

· 在设备上删除Portal认证服务器时将会同时删除该服务器的用户信息同步功能配置。

表1-32 配置Portal用户信息同步功能

操作	命令	说明
进入系统视图	system-view	-
进入Portal认证服务器视图	portal server server-name	-
开启Portal用户信息同步功能	user-sync timeout timeout	缺省情况下，Portal用户信息同步功能处于关闭状态

1.10 配置Portal用户逃生功能

Portal用户逃生功能可在Portal认证服务器不可达或Portal Web服务器不可达时生效。当接入设备探测到Portal认证服务器或者Portal Web服务器不可达时，将打开VLAN接口或无线服务模板上的网络限制，允许Portal用户不经过认证即可访问网络资源。

如果VLAN接口上同时开启了两种类型的Portal用户逃生功能，则当所有的Portal Web服务器都不可达或者指定的Portal认证服务器不可达时，暂停VLAN接口上的Portal认证功能；当指定的Portal认证服务器与至少一个Portal Web服务器均恢复可达后，VLAN接口上的Portal认证功能将重新启动。在Portal认证功能重新启动之后，服务器不可达之前以及逃生期间未认证的用户需要通过认证之后才能访问网络资源，已通过认证的Portal用户不受影响。

同一个VLAN接口或无线服务模板上，只有当主Portal Web服务器和备份Portal Web服务器都不可达的时候，设备才会认为Portal Web服务器不可达。

表1-33 配置Portal用户逃生功能（接口视图）

操作	命令	说明
进入系统视图	system-view	-
进入VLAN接口视图	interface interface-type interface-number	-
开启Portal认证服务器不可达时的Portal用户逃生功能	portal [ ipv6 ] fail-permit server server-name	缺省情况下，Portal认证服务器不可达时的Portal用户逃生功能处于关闭状态
开启Portal Web服务器不可达时的Portal用户逃生功能	portal [ ipv6 ] fail-permit web-server	缺省情况下，Portal Web服务器不可达时的Portal用户逃生功能处于关闭状态

表1-34 配置Portal用户逃生功能（无线服务模板视图）

操作	命令	说明
进入系统视图	system-view	-
进入无线服务模板视图	wlan service-template service-template-name	-
开启Portal Web服务器不可达时的Portal用户逃生功能	portal [ ipv6 ] fail-permit web-server	缺省情况下，Portal Web服务器不可达时的Portal用户逃生功能处于关闭状态

1.11 配置发送给Portal认证服务器的Portal报文的BAS-IP属性

设备上运行Portal 2.0版本时，主动发送给Portal认证服务器的报文（例如强制用户下线报文）中必须携带BAS-IP属性。设备上运行Portal 3.0版本时，主动发送给Portal认证服务器的报文必须携带BAS-IP或者BAS-IPv6属性。

如果VLAN接口或无线服务模板上使能了IPv4 Portal认证，则可以设置BAS-IP属性值；如果VLAN接口上使能了IPv6 Portal认证，则可以设置BAS-IPv6属性值。

配置此功能后，设备主动发送的通知类Portal报文，其源IP地址为配置的BAS-IP或BAS-IPv6属性值，否则为Portal报文出接口的IP地址。

表1-35 配置发送给Portal认证服务器的Portal报文的BAS-IP属性（VLAN接口视图）

操作	命令	说明
进入系统视图	system-view	-
进入VLAN接口视图	interface interface-type interface-number	-
配置发送给Portal认证服务器的IPv4 Portal报文的BAS-IP属性	portal bas-ip ipv4-address	缺省情况下，发送给Portal认证服务器的响应类的IPv4 Portal报文中携带的BAS-IP属性为报文的源IPv4地址，通知类IPv4 Portal报文中携带的BAS-IP属性为报文出接口的IPv4地址
配置发送给Portal认证服务器的IPv6 Portal报文的BAS-IPv6属性	portal bas-ipv6 ipv6-address	缺省情况下，发送给Portal认证服务器的响应类的IPv6 Portal报文中携带的BAS-IPv6属性为报文的源IPv6地址，通知类IPv6 Portal报文中携带的BAS-IPv6属性为报文出接口的IPv6地址

表1-36 配置发送给Portal认证服务器的Portal报文的BAS-IP属性（无线服务模板视图）

操作	命令	说明
进入系统视图	system-view	-
进入无线服务模板视图	wlan service-template service-template-name	-
配置发送给Portal认证服务器的IPv4 Portal报文的BAS-IP属性	portal bas-ip ipv4-address	缺省情况下，发送给Portal认证服务器的响应类的IPv4 Portal报文中携带的BAS-IP属性为报文的源IPv4地址，通知类IPv4 Portal报文中携带的BAS-IP属性为报文出接口的IPv4地址
配置发送给Portal认证服务器的IPv6 Portal报文的BAS-IPv6属性	portal bas-ipv6 ipv6-address	缺省情况下，发送给Portal认证服务器的响应类的IPv6 Portal报文中携带的BAS-IPv6属性为报文的源IPv6地址，通知类IPv6 Portal报文中携带的BAS-IPv6属性为报文出接口的IPv6地址

1.12 配置接入设备的ID

通过配置接入设备的ID，使得接入设备向Portal服务器发送的协议报文中携带一个属性，此属性用于向Portal服务器标识发送协议报文的接入设备。

表1-37 配置接入设备的ID

操作	命令	说明
进入系统视图	system-view	-
配置接入设备的ID	portal device-id device-id	缺省情况下，未配置任何设备的ID

1.13 配置Portal用户漫游功能

Portal用户漫游功能允许同属一个VLAN的用户在VLAN内漫游，即只要Portal用户在某VLAN接口通过认证，则可以在该VLAN内的任何二层端口上访问网络资源，且移动接入端口时无须重复认证。若VLAN接口上未开启该功能，则在线用户在同一个VLAN内其它端口接入时，将无法访问外部网络资源，必须首先在原端口正常下线之后，才能在其它端口重新认证上线。

配置Portal用户漫游功能时，需要注意的是：

· 该功能只对通过VLAN接口上线的用户有效，对于通过普通三层接口上线的用户无效。

· 设备上有用户在线或认证前域用户的情况下，不能配置此功能。

表1-38 配置Portal用户漫游功能

操作	命令	说明
进入系统视图	system-view	-
使能Portal用户漫游功能	portal roaming enable	缺省情况下，Portal用户漫游功能处于开启状态

1.14 配置RADIUS NAS-Port-ID属性格式

不同厂商的RADIUS服务器对RADIUS报文中的NAS-Port-ID属性格式要求不同，可修改设备发送的RADIUS报文中填充的NAS-Port-ID属性的格式。设备支持四种属性格式，分别为format 1和format 2、format 3和format 4，这四种属性格式具体要求请参见“安全命令参考”中的“Portal”。

表1-39 配置RADIUS NAS-Port-ID属性格式

操作	命令	说明
进入系统视图	system-view	-
配置NAS-Port-ID属性的格式	portal nas-port-id format { 1 \| 2 \| 3 \| 4 }	缺省情况下，NAS-Port-ID属性的格式为format 2

1.15 配置Web重定向功能

VLAN接口或无线服务模板上配置了Web重定向功能后，当该VLAN接口或无线服务模板上接入的用户初次通过Web页面访问外网时，设备会将用户的初始访问页面重定向到指定的URL页面，之后用户才可以正常访问外网。经过一定时长（interval）后，设备又可以将用户要访问的网页或者正在访问的网页重定向到指定的URL页面。Web重定向功能是一种简化的Portal功能，它不需要用户通过Web访问外部网络之前提供用户名和密码，可通过对用户访问的网页定期重定向的方式为网络服务提供商的业务拓展提供方便，例如可以在重定向的页面上开展广告、信息发布等业务。

配置Web重定向功能时，需要注意的是：

· Web重定向功能仅对使用默认端口号80的HTTP协议报文生效。

· 无线服务模板下可以同时开启Web重定向功能和Portal功能，并且同时生效。

表1-40 配置Web重定向功能（VLAN接口视图）

操作	命令	说明
进入系统视图	system-view	-
进入VLAN接口视图	interface interface-type interface-number	-
配置Web重定向功能	web-redirect [ ipv6 ] url url-string [ interval interval ]	缺省情况下，Web重定功能处于关闭状态

表1-41 配置Web重定向功能（无线服务模板视图）

操作	命令	说明
进入系统视图	system-view	-
进入无线服务模板视图	wlan service-template service-template-name	-
配置Web重定向功能	web-redirect [ ipv6 ] url url-string [ interval interval ]	缺省情况下，Web重定功能处于关闭状态

1.16 配置接口的NAS-ID Profile

用户的接入VLAN可标识用户的接入位置，而在某些应用环境中，网络运营商需要使用接入设备发送给RADIUS服务器的NAS-Identifier属性值来标识用户的接入位置，因此接入设备上需要建立用户接入VLAN与指定的NAS-ID之间的绑定关系。当接口上有Portal用户上线时，若该VLAN接口上指定了NAS-ID Profile，则接入设备会根据指定的Profile名字和用户接入的VLAN来获取与此VLAN绑定的NAS-ID，此NAS-ID的值将作为向RADIUS服务器发送的RADIUS请求报文中的NAS-Identifier属性值。

需要注意的是，如果VLAN接口上指定了NAS-ID Profile，则此Profile中定义的绑定关系优先使用；如果未指定NAS-ID Profile或指定的Profile中没有找到匹配的绑定关系，则使用设备名作为NAS-ID。

表1-42 配置接口的NAS-ID Profile

操作	命令	说明
进入系统视图	system-view	-
创建NAS-ID Profile，并进入NAS-ID-Profile视图	aaa nas-id profile profile-name	该命令的具体情况请参见“安全命令参考”中的“AAA”
设置NAS-ID与VLAN的绑定关系	nas-id nas-identifier bind vlan vlan-id	该命令的具体情况请参见“安全命令参考”中的“AAA”
退回系统视图	quit	-
进入VLAN接口视图	interface interface-type interface-number	-
指定引用的NAS-ID Profile	portal nas-id-profile profile-name	缺省情况下，未指定引用的NAS-ID Profile

1.17 配置本地Portal Web服务器功能

如果接口上已开启Portal认证功能，同时引用的Portal Web服务器中的URL地址为设备自身的IP地址，那么配置本地Portal Web服务器功能后，用户上线认证过程中，设备会使用本地Portal Web服务器向用户推出认证页面。认证页面的内容和样式可以由用户自定义，也可以使用设备自带的缺省认证页面。

在无线应用环境中，可以给属于不同SSID（Service Set Identifier，服务集标识符）和设备类型（例如苹果、三星设备等）的用户绑定不同的认证页面，系统向用户推出认证页面的选择顺序为：与用户SSID及设备类型绑定的认证页面-->缺省认证页面。

1.17.1 自定义认证页面文件

用户自定义的认证页面为HTML文件的形式，压缩后保存在设备的存储介质的根目录中。每套认证页面可包括六个主索引页面（登录页面、登录成功页面、登录失败页面、在线页面、系统忙碌页面、下线成功页面）及其页面元素（认证页面需要应用的各种文件，如Logon.htm页面中的back.jpg），每个主索引页面可以引用若干页面元素。

用户在自定义这些页面时需要遵循一定的规范，否则会影响本地Portal Web服务器功能的正常使用和系统运行的稳定性。

1. 文件名规范

主索引页面文件名不能自定义，必须使用表1-43中所列的固定文件名。

表1-43 主索引页面文件名

主索引页面	文件名
登录页面	logon.htm
登录成功页面	logonSuccess.htm
登录失败页面	logonFail.htm
在线页面用于提示用户已经在线	online.htm
系统忙页面用于提示系统忙或者该用户正在登录过程中	busy.htm
下线成功页面	logoffSuccess.htm

主索引页面文件之外的其他文件名可由用户自定义，但需注意文件名和文件目录名中不能含有中文且字符不区分大小写。

2. 页面请求规范

本地Portal Web服务器只能接受Get请求和Post请求。

· Get请求用于获取认证页面中的静态文件，其内容不能为递归内容。例如，Logon.htm文件中包含了Get ca.htm文件的内容，但ca.htm文件中又包含了对Logon.htm的引用，这种递归引用是不允许的。

· Post请求用于用户提交用户名和密码以及用户执行登录、下线操作。

3. Post请求中的属性规范

(1) 认证页面中表单（Form）的编辑必须符合以下原则：

· 认证页面可以含有多个Form，但是必须有且只有一个Form的action=logon.cgi，否则无法将用户信息送到本地Portal服务器。

· 用户名属性固定为”PtUser”，密码属性固定为”PtPwd”。

· 需要有用于标记用户登录还是下线的属性”PtButton”，取值为"Logon"表示登录，取值为"Logoff"表示下线。

· 登录Post请求必须包含”PtUser”，”PtPwd”和"PtButton"三个属性。

· 下线Post请求必须包含”PtButton”这个属性。

(2) 需要包含登录Post请求的页面有logon.htm和logonFail.htm。

logon.htm页面脚本内容的部分示例：

<p>Password :<input type="password" name = "PtPwd" style="width:160px;height:22px" maxlength=32>

</form>

(3) 需要包含下线Post请求的页面有logonSuccess.htm和online.htm。

online.htm页面脚本内容的部分示例：

</form>

4. 页面文件压缩及保存规范

· 完成所有认证页面的编辑之后，必须按照标准Zip格式将其压缩到一个Zip文件中，该Zip文件的文件名只能包含字母、数字和下划线。设备自带的缺省页面文件名为“defaultfile.zip”，存放在设备存储介质的根目录下。用户在上传其他页面文件时，请不要使用与“defaultfile.zip”相同的文件名，也不要将其删除。

· 压缩后的Zip文件中必须直接包含认证页面，不允许存在间接目录。

· 压缩生成的Zip文件可以通过FTP或TFTP的二进制方式上传至设备，并保存在设备的根目录下。

Zip文件保存目录示例：

<Sysname> dir

Directory of flash:

0 -rw- 1405 Feb 28 2008 15:53:31 ssid2.zip

1 -rw- 1405 Feb 28 2008 15:53:20 ssid1.zip

2 -rw- 1405 Feb 28 2008 15:53:39 ssid3.zip

3 -rw- 1405 Feb 28 2008 15:53:44 ssid4.zip

2540 KB total (1319 KB free)

5. 认证成功后认证页面自动跳转

若要支持认证成功后认证页面的自动跳转功能，即认证页面会在用户认证成功后自动跳转到指定的网站页面，则需要在认证页面logon.htm和logonSuccess.htm的脚本文件中做如下改动。

(1) 将logon.htm文件中的Form的target值设置为“_blank”。

修改的脚本内容如下突出显示部分所示：

(2) logonSucceess.htm文件添加页面加载的初始化函数“pt_init()”。

增加的脚本内容如下突出显示部分所示：

<html>

<head>

<title>LogonSuccessed</title>

</head>

... ...

</body>

</html>

1.17.2 配置本地Portal Web服务器

1. 配置准备

若指定本地Portal Web服务器支持的协议类型为HTTPS，且HTTPS服务将关联自定义的SSL服务器端策略，则需要首先完成以下配置：

· 配置PKI策略，并成功申请本地证书和CA证书，具体配置请参见“安全配置指导”中的“PKI”。

· 配置SSL服务器端策略，并指定使用已配置的PKI域。具体配置请参见“安全配置指导”中的“SSL”。

2. 配置本地Portal Web服务器

表1-44 配置本地Portal Web 服务器

操作	命令	说明
进入系统视图	system-view	-
创建并进入本地Portal Web服务器视图	portal local-web-server { http \| https [ ssl-server-policy policy-name ] }	缺省情况下，不存在本地Protal Web服务器
配置本地Portal Web服务器提供的缺省认证页面文件	default-logon-page filename	缺省情况下，本地Portal Web 服务器提供一套缺省认证页面文件
（可选）配置本地Portal Web服务器的HTTP/HTTPS服务侦听的TCP端口号	tcp-port port-number	缺省情况下，HTTP服务侦听的TCP端口号为80，HTTPS服务侦听的TCP端口号为443
（可选）配置根据SSID、终端设备名称和设备类型，实现Portal用户认证页面的定制功能	logon-page bind { device-type { computer \| pad \| phone } \| device-name device-name \| ssid ssid-name } * file file-name	缺省情况下，未配置SSID、终端设备名称或终端设备类型与任何定制页面文件的绑定关系

1.18 配置无线Portal客户端合法性检查功能

用户在无线服务模板上开启Portal认证时需要开启本功能。

缺省情况下，设备仅根据ARP表项对无线Portal客户端进行合法性检查。在采用本地转发模式的无线组网环境中，AC上没有Portal客户端的ARP表项，为了保证合法用户可以进行Portal认证，需要开启无线Portal客户端合法性检查功能。本功能开启后，当设备收到未认证Portal用户的认证报文后，将使用WLAN Snooping表、DHCP Snooping表和ARP表对其进行合法性检查。如果在这三个表中查询到该Portal客户端信息，则认为其合法并允许进行Portal认证。

表1-45 配置无线Portal客户端合法性检查功能

操作	命令	说明
进入系统视图	system-view	-
开启无线Portal客户端合法性检查功能	portal host-check enable	缺省情况下，设备仅根据ARP表项对Portal客户端进行合法性检查

1.19 配置无线Portal用户自动下线功能

通过配置无线Portal用户自动下线功能，可以在无线客户端断开无线连接时，自动将该客户端上的Portal用户下线。

表1-46 配置无线Portal用户自动下线功能

操作	命令	说明
进入系统视图	system-view	-
开启无线Portal用户自动下线功能	portal user-logoff after-client-offline enable	缺省情况下，无线客户端断开无线连接后，Portal用户不会自动下线

1.20 配置Portal客户端ARP/ND表项固化功能

短时间内Portal客户端的频繁上下线可能会造成Portal认证失败，此时需要关闭Portal客户端ARP/ND表项固化功能。关闭本功能后，Portal用户下线后，相应的表项将会老化。

在某一时刻开启了本功能，则在此之后认证成功的Portal用户的ARP或ND表项会被固化，在此之前认证成功的Portal用户的ARP或ND表项依然会老化。

在某一时刻关闭了本功能，则在此之后认证成功的Portal用户的ARP或ND表项会老化，在此之前认证成功的Portal用户的ARP或ND表项已被固化不受影响。

表1-47 配置Portal客户端ARP/ND表项固化功能

操作	命令	说明
进入系统视图	system-view	-
开启Portal客户端ARP/ND表项固化功能	portal refresh { arp \| nd } enable	缺省情况下，Portal客户端ARP表项、ND表项固化功能均处于关闭状态
关闭Portal客户端ARP/ND表项固化功能	undo portal refresh { arp \| nd } enable	缺省情况下，Portal客户端ARP表项、ND表项固化功能均处于关闭状态

1.21 配置HTTPS重定向功能

用户进行Portal认证时，设备可将其HTTPS请求重定向到Portal Web服务器上。在建立SSL连接过程中，用户浏览器可能会出现“使用的证书不安全”的告警。若要避免此告警，需要通过配置自定义SSL服务器端策略在设备上安装用户浏览器信任的证书。该自定义SSL服务器端策略的策略名必须为https_redirect。有关SSL服务器端策略配置的详细介绍，请参见“安全配置指导”中的“SSL”；有关安装证书的详细介绍，请参见“安全配置指导”中的“PKI”。

表1-48 配置HTTPS重定向功能

操作	命令	说明
进入系统视图	system-view	-
创建SSL服务器端策略，并进入SSL服务器端策略视图	ssl server-policy policy-name	缺省情况下，不存在任何SSL服务器端策略有关本命令的详细介绍，请参见“安全命令参考”中的“SSL”

操作

命令

说明

进入系统视图

system-view

创建SSL服务器端策略，并进入SSL服务器端策略视图

ssl server-policy policy-name

缺省情况下，不存在任何SSL服务器端策略

有关本命令的详细介绍，请参见“安全命令参考”中的“SSL”

1.22 配置基于MAC地址的快速认证

基于MAC地址的快速认证配置包括以下两个步骤：

(1) 配置远程或本地MAC绑定服务器

(2) 在VLAN接口或服务模板上应用MAC绑定服务器

1.22.2 配置远程MAC绑定服务器

设备支持配置多个MAC绑定服务器，每个MAC绑定服务器拥有独立的视图，可以用于配置MAC绑定服务器的相关参数，包括服务器的IP地址、服务器的端口号、服务器所在的VPN实例以及设备和服务器间通信的共享密钥等。

表1-49 配置远程MAC绑定服务器

操作	命令	说明
进入系统视图	system-view	-
创建MAC绑定服务器并进入MAC绑定服务器视图	portal mac-trigger-server server-name	缺省情况下，不存在MAC绑定服务器
配置MAC绑定服务器的IP地址	ip ipv4-address [ key { cipher \| simple } string ]	缺省情况下，未配置MAC绑定服务器的IP地址
（可选）配置用户免认证流量的阈值	free-traffic threshold value	缺省情况下，用户免认证流量的阈值为0字节
（可选）配置设备发送的RADIUS请求报文中的NAS-Port-Type属性值	nas-port-type value	缺省情况下，设备发送的RADIUS请求报文中的NAS-Port-Type属性值为0
（可选）配置MAC绑定服务器监听查询报文的UDP端口号	port port-number	缺省情况下，MAC绑定服务器监听查询报文的UDP端口号是50100
（可选）配置设备向MAC绑定服务器发起MAC查询的最大次数和时间间隔	binding-retry { retries \| interval interval } *	缺省情况下，设备发起MAC查询的最大次数为3次，发起MAC查询的时间间隔为1秒
（可选）配置MAC绑定服务器的服务类型	server-type { cmcc \| imc }	缺省情况下，MAC绑定服务器的服务类型为iMC
（可选）配置Portal协议报文的版本号	version version-number	缺省情况下，Portal协议报文的版本号为1
（可选）配置设备收到MAC绑定服务器的查询响应消息后，等待Portal认证完成的超时时间	authentication-timeout minutes	缺省情况下，设备收到MAC绑定服务器查询回复消息后，等待Portal认证完成的超时时间为3分钟
（可选）配置MAC-Trigger表项老化时间	aging-time seconds	缺省情况下，MAC-trigger表项老化时间为300秒
（可选）配置若用户在基于MAC地址的快速认证过程中AAA认证失败，则设备直接发起Portal认证	aaa-fail nobinding enable	缺省情况下，若用户在基于MAC地址的快速认证过程中AAA认证失败，则用户报文将触发基于MAC地址的快速认证流程

1.22.3 配置本地MAC绑定服务器

当配置本地MAC-trigger认证时，MAC绑定服务器就是接入设备本身且用户必须进行本地Portal认证。设备支持配置多个MAC绑定服务器，每个MAC绑定服务器拥有独立的视图，可以用于配置MAC绑定服务器的相关参数。

表1-50 配置本地MAC绑定服务器

操作	命令	说明
进入系统视图	system-view	-
创建MAC绑定服务器并进入MAC绑定服务器视图	portal mac-trigger-server server-name	缺省情况下，不存在MAC绑定服务器
开启Portal本地MAC-trigger认证功能	local-binding enable	缺省情况下，Portal本地MAC-trigger认证功能处于关闭状态
（可选）配置用户免认证流量的阈值	free-traffic threshold value	缺省情况下，用户免认证流量的阈值为0字节
（可选）配置本地MAC-trigger绑定表项的老化时间	local-binding aging-time hours	缺省情况下，本地MAC-trigger绑定表项的老化时间为12小时

1.22.4 在VLAN接口上应用MAC绑定服务器

在VLAN接口上应用MAC绑定服务器，可以为通过该VLAN接口接入网络的用户提供基于MAC地址的快速认证服务。

表1-51 在VLAN接口上应用MAC绑定服务器

操作	命令	说明
进入系统视图	system-view	-
进入VLAN接口视图	interface interface-type interface-number	只能是VLAN接口
在VLAN接口上应用MAC绑定服务器	portal apply mac-trigger-server server-name	缺省情况下，未应用MAC绑定服务器

1.22.5 在无线服务模板上应用MAC绑定服务器

在无线服务模板上应用MAC绑定服务器，可以为使用该服务模板接入网络的用户提供基于MAC地址的快速认证服务。

表1-52 在无线服务模板上应用MAC绑定服务器

操作	命令	说明
进入系统视图	system-view	-
进入无线服务模板视图	wlan service-template service-template-name	-
在无线服务模板上应用MAC绑定服务器	portal apply mac-trigger-server server-name	缺省情况下，未应用MAC绑定服务器

1.23 配置NAS-Port-Type

RADIUS标准属性NAS-Port-Type用于表示用户接入的端口类型。当接口或无线服务模板上有Portal用户上线时候，若该接口或无线服务模板上配置了NAS-Port-Type，则使用本命令配置的值作为向RADIUS服务器发送的RADIUS请求报文的NAS-Port-Type属性值，否则使用接入设备获取到的用户接入的端口类型填充该属性。

若作为Portal认证接入设备的BAS（Broadband Access Server，宽带接入服务器）与Portal客户端之间跨越了多个网络设备，则可能无法正确获取到接入用户的实际端口信息，例如对于Portal认证接入的无线客户端，BAS获取到的接入端口类型有可能是设备上认证该用户的有线接口类型。因此，为保证BAS能够向RADIUS服务器正确传递用户的接入端口信息，需要网络管理员在了解用户的实际接入环境后，通过本命令指定相应的NAS-Port-Type。

表1-21配置NAS-Port-Type（接口视图）

操作	命令	说明
进入系统视图	system-view	-
进入VLAN接口视图	interface interface-type interface-number	-
配置NAS-Port-Type	portal nas-port-type { ethernet \| wireless }	必选缺省情况下，接入设备向RADIUS服务器发送的RADIUS请求报文中的NAS-Port-Type属性值为接入设备获取到的用户接入的端口类型值

表1-53 配置NAS-Port-Type（无线服务模板视图）

操作	命令	说明
进入系统视图	system-view	-
进入无线服务模板视图	wlan service-template service-template-name	-
配置NAS-Port-Type	portal nas-port-type { ethernet \| wireless }	必选缺省情况下，接入设备向RADIUS服务器发送的RADIUS请求报文中的NAS-Port-Type属性值为接入设备获取到的用户接入的端口类型值

1.24 配置Portal安全重定向功能

Portal安全重定向功能是根据HTTP报文的请求方法、产生HTTP报文的浏览器类型和访问网络的目的URL这些特征，有针对性的将一些HTTP请求报文丢弃，不再重定向到Portal Web服务器，从而有效的减轻了Portal Web服务器的负担，降低因大量HTTP请求造成的Portal服务器资源耗尽无法响应正常认证请求的风险。

表1-54 常见浏览器类型及描述

浏览器类型	描述
Safari	苹果浏览器
Chrome	谷歌浏览器
Firefox	火狐浏览器
UC	UC浏览器
QQBrowser	QQ浏览器
LBBROWSER	猎豹浏览器
TaoBrowser	淘宝浏览器
Maxthon	傲游浏览器
BIDUBrowser	百度浏览器
MSIE 10.0	微软IE 10.0浏览器
MSIE 9.0	微软IE 9.0浏览器
MSIE 8.0	微软IE 8.0浏览器
MSIE 7.0	微软IE 7.0浏览器
MSIE 6.0	微软IE 6.0浏览器
MetaSr	搜狗浏览器

表1-55 配置Portal安全重定向功能

操作	命令	说明
进入系统视图	system-view	-
开启Portal安全重定向功能	portal safe-redirect enable	缺省情况下，Portal安全重定向功能处于关闭状态
（可选）配置Portal安全重定向允许的HTTP协议的请求方法	portal safe-redirect method { get \| post } *	缺省情况下，未配置HTTP协议的请求方法 Portal安全重定向功能开启后，HTTP协议的请求方法缺省为GET
（可选）匹配Portal安全重定向允许的HTTP User Agent中的浏览器类型	portal safe-redirect user-agent user-agent-string	缺省情况下，未配置匹配Portal安全重定向允许的HTTP User Agent中的浏览器类型 Portal安全重定向功能开启后，默认与表1-54中的所有浏览器类型匹配的HTTP报文都能被Portal重定向
（可选）配置Portal安全重定向禁止的URL地址	portal safe-redirect forbidden-url user-url-string	缺省情况下，Portal可以对任意URL地址的HTTP请求报文进行重定向
（可选）配置Portal安全重定向禁止URL携带指定扩展名的文件	portal safe-redirect forbidden-file filename-extension	缺省情况下，Portal安全重定向允许URL携带任意扩展名的文件

1.25 配置AP给AC上报流量统计信息的时间间隔

当客户端数据报文转发位置配置在AP上时，AP会定期向AC上报流量统计信息。

表1-56 配置AP给AC上报流量统计信息的时间间隔

操作	命令	说明
进入系统视图	system-view	-
配置AP给AC上报流量统计信息时间间隔	portal client-traffic-report interval interval	缺省情况下，AP给AC上报流量统计信息的时间间隔为60秒

1.26 配置Portal协议报文中不携带的属性字段

由于不同的Portal认证服务器对Portal协议报文中的属性字段支持情况不同，如果设备发送给Portal认证服务器的Portal协议报文中携带了服务器不支持的属性字段，会导致设备和Portal认证服务器不能通信。

通过配置本特性，可以指定设备发送的Portal协议报文中不携带Portal认证服务器不支持的属性字段，从而避免因设备和Portal认证服务器不通导致Portal认证失败。

表1-57 配置Portal协议报文中不携带的属性字段（Portal认证服务器视图）

操作	命令	说明
进入系统视图	system-view	-
进入Portal认证服务器视图	portal server server-name	-
配置Portal协议报文中不携带的属性字段	exclude-attribute number { ack-auth \| ntf-logout \| ack-logout }	缺省情况下，未配置Portal协议报文中不携带的属性字段

表1-58 配置Portal协议报文中不携带的属性字段（MAC绑定服务器视图）

操作	命令	说明
进入系统视图	system-view	-
进入MAC绑定服务器视图	portal mac-trigger-server server-name	-
配置Portal协议报文中不携带的属性字段	exclude-attribute attribute-number	缺省情况下，未配置Portal协议报文中不携带的属性字段

1.27 开启Portal日志功能

为了满足网络管理员安全审计的需要，可以开启Portal日志功能，以便对Portal认证信息进行记录。

设备生成的Portal日志信息会交给信息中心模块处理，信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。

表1-59 开启Portal日志功能

操作	命令	说明
进入系统视图	system-view	-
开启Portal用户上/下线日志功能	portal user log enable	缺省情况下，Portal用户上/下线日志功能处于关闭状态
开启Portal协议报文的日志功能	portal packet log enable	缺省情况下，Portal协议报文的日志功能处于关闭状态
开启Portal重定向日志功能	portal redirect log enable	缺省情况下，Portal重定向日志功能处于关闭状态

1.28 配置Portal第三方认证功能

1.28.1 配置第三方认证服务器

通常Portal认证需要用户自己搭建Portal认证服务器和Portal Web服务器，并需要创建专门用于Portal认证的用户名和密码，增加了用户的管理和维护成本。随着第三方账号的普及，设备支持配置QQ或者邮箱服务器作为第三方Portal认证服务器，完成Portal认证的功能。

· 在使用第三方认证时，网络管理员需要在Portal Web页面上增加QQ或邮箱认证按钮，终端用户点击按钮后可直接跳转到第三方认证页面，使用已有的QQ号或邮箱账号来进行Portal认证。

· 在使用QQ认证功能前，网络管理员必须先到QQ互联平台http://connect.qq.com/intro/login进行应用接入申请，申请时需要使用合法的QQ号和QQ认证成功之后终端用户访问的页面地址（通过redirect-url命令配置）。申请验证通过后网络管理员可从QQ互联平台获得app-id和app-key。当终端用户通过QQ认证后，QQ认证服务器会发送授权码给Portal Web服务器，Portal Web服务器会将获得的授权码、app-id以及app-key发送到QQ认证服务器进行再次验证，以获知终端用户是否已通过QQ认证。

· 在进行邮箱认证功能时，直接在认证页面输入邮箱账号和密码，若邮箱服务器验证通过，即可访问相关资源。

表1-60 配置第三方认证服务器

操作	命令	说明
进入系统视图	system-view	-
创建第三方认证服务器，并进入第三方认证服务器视图	portal extend-auth-server { qq \| mail }	缺省情况下，不存在第三方认证服务器
（可选）配置邮箱认证服务支持的协议类型	mail-protocol { imap \| pop3 } *	缺省情况下，未配置邮箱认证服务支持的协议类型仅适用于邮箱认证服务
（可选）配置邮箱认证服务支持的邮箱类型	mail-domain-name string	缺省情况下，未配置邮箱认证服务支持的邮箱类型仅适用于邮箱认证服务
（可选）配置QQ认证服务器的地址	auth-url url-string	缺省情况下，QQ认证服务器的地址为https://graph.qq.com 仅适用于QQ认证服务
（可选）配置QQ认证成功之后的重定向地址	redirect-url url-string	缺省情况下，QQ认证成功之后的重定向地址为 http://lvzhou.h3c.com/portal/qqlogin.html 仅适用于QQ认证服务
（可选）配置QQ认证服务时用户的唯一标识	app-id app-id	缺省情况下，存在一个预定义的唯一标识仅适用于QQ认证服务
（可选）配置app-id对应的密钥	app-key app-key	缺省情况下，存在一个预定义的密钥仅适用于QQ认证服务

在VLAN接口上配置第三方认证用户使用的认证域，所有从该VLAN接口接入的第三方认证用户强制使用该认证域进行Portal认证。

表1-61 配置第三方认证用户使用的认证域（VLAN接口视图）

操作	命令	说明
进入系统视图	system-view	-
进入VLAN接口视图	interface interface-type interface-number	仅适用于VLAN接口
配置第三方认证用户使用的认证域	portal extend-auth domain domain-name	缺省情况下，未配置第三方认证用户使用的认证域

在无线服务模板上配置第三方认证用户使用的认证域，所有从该无线服务模板接入的第三方认证用户强制使用该认证域。

表1-62 配置第三方认证用户使用的认证域（无线服务模板视图）

操作	命令	说明
进入系统视图	system-view	-
进入无线服务模板视图	wlan service-template service-template-name	-
配置第三方认证用户使用的认证域	portal extend-auth domain domain-name	缺省情况下，未配置第三方认证用户使用的认证域

1.28.2 第三方认证按钮和认证登录页面编辑规范

1. 第三方认证按钮编辑规范

配置Portal第三方认证功能需要在Portal Web认证页面上添加第三方认证按钮，通过点击第三方认证按钮跳转到第三方认证页面上。第三方认证按钮包括QQ认证按钮和邮箱认证按钮。

· 在编辑QQ认证按钮时，必须调用pt_getQQSubmitUrl()函数获取QQ认证页面地址。

脚本内容的部分示例：

<html>

<head>

<title>Logon</title>

function setQQUrl(){

document.getElementById("qqurl").href = pt_getQQSubmitUrl();

}

</script>

</head>

<body>

... ...

... ...

</body>

</html>

· 邮箱认证按钮无特殊要求，按正常编辑方法编辑即可。

2. 第三方认证登录页面编辑规范

在Portal Web认证页面上点击第三方认证按钮会跳转到第三方认证页面上，QQ认证登录页面由腾讯提供，邮箱认证登录页面需要用户自己编辑。在编辑邮箱认证登录页面时除需遵守1.17.1 自定义认证页面文件的相关规范外，还有以下要求：

· 邮箱认证登录页面Form的action=maillogin.html，否则无法将用户信息送到本地进行邮箱认证。

· 邮箱认证登录页面的文件名称为emailLogon.htm。

emailLogon.htm页面脚本内容的部分示例：

<p>Password :<input type="password" name = "PtPwd" style="width:160px;height:22px" maxlength=32>

</form>

1.28.3 开启Portal临时放行功能

除了使用QQ账号和邮箱账号进行Portal认证外，用户还可以通过手机使用微信账号进行Portal认证。当用户采用微信账号进行Portal认证时，需要通过Internet访问微信服务器，以便与接入设备进行信息交换。

一般情况下，用户未通过Portal认证时不允许访问Internet，配置本功能后，接入设备可以在一定时间内临时放行使用微信账号的用户访问Internet的流量。

表1-63 开启Portal临时放行功能（VLAN接口视图）

操作	命令	说明
进入系统视图	system-view	-
进入VLAN接口视图	interface interface-type interface-number	-
开启Portal临时放行功能并设置临时放行时间	portal temp-pass [ period period-value ] enable	缺省情况下，Portal临时放行功能处于关闭状态

表1-64 开启Portal临时放行功能（无线服务模板视图）

操作	命令	说明
进入系统视图	system-view	-
进入无线服务模板视图	wlan service-template service-template-name	-
开启Portal临时放行功能并设置临时放行时间	portal temp-pass [ period period-value ] enable	缺省情况下，Portal临时放行功能处于关闭状态

1.29 配置Portal认证监控功能

Portal认证监控功能主要是对Portal认证过程中的下线、认证失败和异常等信息进行记录，以便在Portal认证出现故障时快速定位。

表1-65 配置Portal认证监控功能

操作	命令	说明
进入系统视图	system-view	-
开启Portal用户下线信息记录功能	portal logout-record enable	缺省情况下，Portal用户下线信息记录功能处于关闭状态
配置设备保存Portal用户下线记录的最大条数	portal logout-record max number	缺省情况下，设备保存Portal用户下线记录的最大条数为32000
导出Portal用户下线记录	portal logout-record export url url-string [ start-time start-date start-time end-time end-date end-time ]	-
开启Portal认证失败信息记录功能	portal auth-fail-record enable	缺省情况下，Portal认证失败信息记录功能处于关闭状态
配置设备保存Portal认证失败记录的最大条数	portal auth-fail-record max number	缺省情况下，设备保存Portal认证失败记录的最大条数为32000
导出Portal认证失败记录	portal auth-fail-record export url url-string [ start-time start-date start-time end-time end-date end-time ]	-
开启Portal认证异常信息记录功能	portal auth-error-record enable	缺省情况下，Portal认证异常信息记录功能处于关闭状态
配置设备保存Portal认证异常记录的最大条数	portal auth-error-record max number	缺省情况下，设备保存Portal认证异常记录的最大条数为32000
导出Portal认证异常记录	portal auth-error-record export url url-string [ start-time start-date start-time end-time end-date end-time ]	-

1.30 配置Portal OAuth认证同步用户信息的时间间隔

Portal采用OAuth协议进行认证时，认证服务器需要设备周期上报用户信息。本功能用来配置用户信息由设备向服务器同步的时间间隔。如果时间间隔配置为0，则表示关闭Portal OAuth认证用户同步功能。

表1-66 配置Portal OAuth认证同步用户信息的时间间隔

操作	命令	说明
进入系统视图	system-view	-
配置当Portal用户采用OAuth认证时用户信息同步的时间间隔	portal oauth user-sync interval interval	缺省情况下，Portal OAuth认证用户信息同步的时间间隔为60秒

1.31 开启无线Portal用户SSID切换后的强制下线功能

配置本功能后，当无线Portal用户从原SSID下线，并切换到新SSID进行Portal认证时，设备会自动删除用户信息。

表1-67 开启无线Portal用户SSID切换后的强制下线功能

操作	命令	说明
进入系统视图	system-view	-
开启无线Portal用户SSID切换后的强制下线功能	portal user-logoff ssid-switch enable	缺省情况下，无线Portal用户SSID切换后保持在线状态

1.32 Portal显示和维护

在完成上述配置后，在任意视图下执行display命令可以显示配置后Portal的运行情况，通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除Portal统计信息。

表1-68 Portal显示和维护

操作	命令
显示用户Portal认证异常记录	display portal auth-error-record { all \| ipv4 ipv4-address \| ipv6 ipv6-address \| start-time start-date start-time end-time end-date end-time }
显示用户Portal认证失败记录	display portal auth-fail-record { all \| ipv4 ipv4-address \| ipv6 ipv6-address \| start-time start-date start-time end-time end-date end-time \| username username }
显示Portal被动Web认证功能的报文统计信息	display portal captive-bypass statistics [ slot slot-number ]
显示基于目的的Portal免认证规则中的主机名对应的IP地址	display portal dns free-rule-host [ host-name ]
显示第三方认证服务器信息	display portal extend-auth-server { all \| qq \| mail }
显示本地MAC-trigger绑定表项信息	display portal local-binding mac-address { mac-address \| all }
显示Portal用户的下线记录	display portal logout-record { all \| ipv4 ipv4-address \| ipv6 ipv6-address \| start-time start-date start-time end-time end-date end-time ｜ username username }
显示MAC绑定服务器信息	display portal mac-trigger-server { all \| name server-name }
显示Portal重定向的统计信息	display portal redirect statistics [ slot slot-number ]
显示接口下发的用于报文匹配的Portal过滤规则信息	display portal rule { all \| dynamic \| static } { ap ap-name [ radio radio-id ] \| interface interface-type interface-number [ slot slot-number ] }
显示Portal过滤规则的统计信息	display portal permit-rule statistics
显示指定接口上的Portal配置信息和Portal运行状态信息	display portal { ap ap-name [ radio radio-id ] \| interface interface-type interface-number }
显示Portal认证服务器信息	display portal server [ server-name ]
显示Portal Web服务器信息	display portal web-server [ server-name ]
显示Portal认证服务器的报文统计信息	display portal packet statistics [ extend-auth-server { cloud \| mail \| qq \| wechat } \| mac-trigger-server server-name \| server server-name ]
显示Portal用户的信息	display portal user { all \| ap ap-name [ radio radio-id ] \| auth-type { cloud \| email \| local \| mac-trigger \| normal \| qq \| wechat } \| interface interface-type interface-number \| ip ip-address \| ipv6 ipv6-address \| mac mac-address \| pre-auth [ interface interface-type interface-number \| ip ip-address \| ipv6 ipv6-address ] \| username username } [ brief \| verbose ]
显示Portal用户数量	display portal user count
指定接口上的Web重定向过滤规则信息	display web-redirect rule interface interface-type interface-number [ slot slot-number ]
显示Portal安全重定向功能的报文统计信息	display portal safe-redirect statistics [ slot slot-number ]
清除Portal认证异常记录。	reset portal auth-error-record { all \| ipv4 ipv4-address \| ipv6 ipv6-address \| start-time start-date start-time end-time end-date end-time }
清除Portal认证失败记录	reset portal auth-fail-record { all \| ipv4 ipv4-address \| ipv6 ipv6-address \| start-time start-date start-time end-time end-date end-time \| username username }
清除Portal被动Web认证功能的的报文统计信息	reset portal captive-bypass statistics [ slot slot-number ]
清除用户下线记录	reset portal logout-record { all \| ipv4 ipv4-address \| ipv6 ipv6-address \| start-time start-date start-time end-time end-date end-time \| username username }
清除本地MAC-trigger绑定表项信息	reset portal local-binding mac-address { mac-address \| all }
清除Portal报文的统计信息	reset portal packet statistics [ extend-auth-server { cloud \| mail \| qq \| wechat } \| mac-trigger-server server-name｜server server-name ] *
清除Portal重定向的统计信息	reset portal redirect statistics [ slot slot-number ]
清除Portal安全重定向功能的报文统计信息	reset portal safe-redirect statistics [ slot slot-number ]

1.33 Portal典型配置举例

1.33.1 Portal配置举例（VLAN接口视图）

1. 组网需求

· 用户主机通过AP与AC相连，采用直接方式的Portal认证。用户通过手工配置或DHCP获取的一个公网IP地址进行认证，在通过Portal认证前，只能访问Portal Web服务器；在通过Portal认证后，可以使用此IP地址访问非受限互联网资源。

· 采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。

· 采用RADIUS服务器作为认证/计费服务器。

2. 组网图

图1-5 配置Portal认证组网图

3. 配置步骤

· 按照组网图配置设备各接口的IP地址，保证启动Portal之前各Client、服务器和AC之间的路由可达。

· 完成RADIUS服务器上的配置，保证用户的认证/计费功能正常运行。

(1) 配置Portal server（iMC PLAT 5.0）

下面以iMC为例（使用iMC版本为：iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)），说明Portal server的基本配置。

# 配置Portal认证服务器。

登录进入iMC管理平台，选择“业务”页签，单击导航树中的[Portal认证服务器管理/服务器配置]菜单项，进入服务器配置页面。

根据实际组网情况调整以下参数，本例中使用缺省配置。

图1-6 Portal认证服务器配置页面

# 配置IP地址组。

单击导航树中的[Portal认证服务器管理/IP地址组配置]菜单项，进入Portal IP地址组配置页面，在该页面中单击<增加>按钮，进入增加IP地址组配置页面。

· 填写IP地址组名；

· 输入起始地址和终止地址。用户主机IP地址必须包含在该IP地址组范围内；

· 选择业务分组，本例中使用缺省的“未分组”；

· 选择IP地址组的类型为“普通”。

图1-7 增加IP地址组配置页面

# 增加Portal设备。

单击导航树中的[Portal认证服务器管理/设备配置]菜单项，进入Portal设备配置页面，在该页面中单击<增加>按钮，进入增加设备信息配置页面。

· 填写设备名；

· 指定IP地址为与接入用户相连的设备接口IP；

· 输入密钥，与接入设备AC上的配置保持一致；

· 选择是否进行二次地址分配，本例中为直接认证，因此为否；

· 选择是否支持逃生心跳功能和用户心跳功能，本例中不支持。

图1-8 增加设备信息配置页面

# Portal设备关联IP地址组

在Portal设备配置页面中的设备信息列表中，点击NAS设备的<端口组信息管理>链接，进入端口组信息配置页面。

图1-9 设备信息列表

在端口组信息配置页面中点击<增加>按钮，进入增加端口组信息配置页面。

· 填写端口组名；

· 选择IP地址组，用户接入网络时使用的IP地址必须属于所选的IP地址组；

· 其它参数采用缺省值。

图1-10 增加端口组信息配置页面

# 最后单击导航树中的[业务参数配置/系统配置手工生效]菜单项，使以上Portal认证服务器配置生效。

(2) 配置AC

· 配置RADIUS方案

# 创建名字为rs1的RADIUS方案并进入该方案视图。

<AC> system-view

[AC] radius scheme rs1

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[AC-radius-rs1] primary authentication 192.168.0.112

[AC-radius-rs1] primary accounting 192.168.0.112

[AC-radius-rs1] key authentication simple radius

[AC-radius-rs1] key accounting simple radius

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[AC-radius-rs1] user-name-format without-domain

[AC-radius-rs1] quit

# 使能RADIUS session control功能。

[AC] radius session-control enable

· 配置认证域

# 创建并进入名字为dm1的ISP域。

[AC] domain dm1

# 配置ISP域的AAA方法。

[AC-isp-dm1] authentication portal radius-scheme rs1

[AC-isp-dm1] authorization portal radius-scheme rs1

[AC-isp-dm1] accounting portal radius-scheme rs1

[AC-isp-dm1] quit

# 配置系统缺省的ISP域dm1，所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名，则使用缺省域下的认证方法。

[AC] domain default enable dm1

· 配置Portal认证

# 配置Portal认证服务器：名称为newpt，IP地址为192.168.0.111，密钥为明文portal，监听Portal报文的端口为50100。

[AC] portal server newpt

[AC-portal-server-newpt] ip 192.168.0.111 key simple portal

[AC-portal-server-newpt] port 50100

[AC-portal-server-newpt] quit

# 配置Portal Web服务器的URL为http://192.168.0.111:8080/portal。（Portal Web服务器的URL请与实际环境中的Portal Web服务器配置保持一致，此处仅为示例）

[AC] portal web-server newpt

[AC-portal-websvr-newpt] url http://192.168.0.111:8080/portal

[AC-portal-websvr-newpt] quit

# 在接口Vlan-interface100上使能直接方式的Portal认证。

[AC] interface vlan-interface 100

[AC–Vlan-interface100] portal enable method direct

# 在接口Vlan-interface100上引用Portal Web服务器newpt。

[AC–Vlan-interface100] portal apply web-server newpt

# 在接口Vlan-interface100上设置发送给Portal认证服务器的Portal报文中的BAS-IP属性值为2.2.2.1。

[AC–Vlan-interface100] portal bas-ip 2.2.2.1

[AC–Vlan-interface100] quit

4. 验证配置

以上配置完成后，通过执行以下显示命令可查看Portal配置是否生效。

[AC] display portal interface vlan-interface 100

Portal information of Vlan-interface100

NAS-ID profile: Not configured

Authorization : Strict checking

ACL : Disabled

User profile : Disabled

IPv4:

Portal status: Enabled

Portal authentication method: Direct

Portal Web server: newpt(active)

Secondary portal Web server: Not configured

Authentication domain: Not configured

Pre-auth domain: Not configured

User-dhcp-only: Disabled

Pre-auth IP pool: Not configured

Max portal users: Not configured

Bas-ip: 2.2.2.1

User Detection: Not configured

Action for server detection:

Server type Server name Action

-- -- --

Layer3 source network:

IP address Mask

Destination authenticate subnet:

IP address Mask

IPv6:

Portal status: Disabled

Portal authentication method: Disabled

Portal Web server: Not configured

Secondary portal Web server: Not configured

Authentication domain: Not configured

Pre-auth domain: Not configured

User-dhcp-only: Disabled

Pre-auth IP pool: Not configured

Max portal users: Not configured

Bas-ipv6: Not configured

User detection: Not configured

Action for server detection:

Server type Server name Action

-- -- --

Layer3 source network:

IP address Prefix length

Destination authenticate subnet:

IP address Prefix length

用户既可以使用H3C的iNode客户端，也可以通过网页方式进行Portal认证。用户在通过认证前，只能访问认证页面http://192.168.0.111:8080/portal，且发起的Web访问均被重定向到该认证页面，在通过认证后，可访问非受限的互联网资源。

Portal用户认证通过后，可通过执行以下显示命令查看AC上生成的Portal在线用户信息。

[AC] display portal user interface vlan-interface 100

Total portal users: 1

Username: abc

Portal server: newpt

State: Online

VPN instance: N/A

MAC IP VLAN Interface

0015-e9a6-7cfe 2.2.2.2 100 Vlan-interface100

Authorization information:

DHCP IP pool: N/A

User profile: N/A

Session group profile: N/A

ACL: N/A