- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C EIA Portal无感知认证(IPv4)
典型配置举例
资料版本:5W128-20250519
产品版本:EIA (E6602)
Copyright © 2025 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
在Portal普通认证环境中,用户每次上网都需要手动输入用户名和密码进行身份认证。对于需要频
繁接入网络的合法用户,普通认证方式的易用性和便捷性较差。Portal无感知认证,是一种基于MAC地址的快速认证方式,用户仅需在首次上网时输入用户名和密码,后续上网时无需输入认证信息,自动便可完成Portal认证。
适用于需要Portal认证的企业网或校园网:
· 校园网络:学生首次认证后,后续接入校园Wi-Fi无需再次输入学号及密码,提升使用体验。
· 企业网络:企业员工使用笔记本电脑、手机等设备接入公司Wi-Fi,首次认证后即可自动联网,避免重复输入账号密码。
接入设备需支持Portal协议。
某公司计划启用Portal认证,用户接入网络时需要进行身份验证,具体的组网如图1所示。
· EIA服务器IP地址为172.19.206.7。在集群部署环境中,会涉及EIA服务器IP地址使用北向业务虚IP还是所在实际节点IP的问题,该地址请务必填写为北向业务虚IP,查看方法如下:
a. 打开浏览器输入https://ip_address:8443/matrix/ui,打开matrix页面。其中,ip_address为北向业务虚IP或节点IP。
b. 选择“部署”页签,单击“集群”菜单项,切换至“集群参数”页签,进入集群参数页面,该页面中的北向业务虚IP即为EIA服务器的IP地址。
· 接入设备用户侧GigabitEthernet1/0/16所在VLAN的虚接口Vlan-interface 108的IP地址为108.108.108.1。
· PC的IP地址为108.108.108.3。其中,PC上需安装Windows操作系统。
本案例中各部分使用的版本如下:
· EIA版本:EIA (E6602)
· 接入设备:H3C S5820V2-54QS-GE
增加接入设备是为了建立EIA服务器和接入设备之间的联动关系。增加接入设备的方法如下:
(1) 选择“自动化”页签,单击导航树中的[用户业务>接入服务]菜单项,进入接入服务页面。切换至“接入设备”页签,进入接入设备配置页面,如图2所示。
(2) 单击<增加>按钮,进入增加接入设备页面,如图3所示。
(3) 单击“设备列表”区域中的<增加IPv4设备>按钮,弹出增加接入设备窗口,输入接入设备的IP地址,本例配置为“172.19.254.177”,如图4所示,配置完成后单击<确定>按钮,返回增加接入设备页面。其中,接入设备的IP地址必须满意以下要求:
¡ 如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致。
¡ 如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。
图4 手工增加接入设备
(4) 配置接入配置参数,参数说明如表1所示,其他参数配置保持默认即可,配置完成效果如图5所示。
|
参数 |
说明 |
|
认证端口 |
EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812,本例配置为“1812” |
|
计费端口 |
EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813,本例配置为“1813” |
|
接入设备类型 |
按实际接入设备情况进行选择,本例配置为“H3C (General)” |
|
共享密钥/确认共享密钥 |
输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致,本例配置为“movie” |
目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。
(5) 单击<确定>按钮,增加接入设备完毕,可在接入设备列表中查看新增的接入设备,如图6所示。
配置一个不进行任何接入控制的接入策略。增加接入策略的方法如下:
(1) 选择“自动化”页签,单击导航树中的[用户业务>接入服务]菜单项,进入接入服务页面。切换至“接入策略”页签,进入接入策略页面,如图7所示。
(2) 单击<增加>按钮,进入增加接入策略页面,参数明说如表2所示。由于不需要任何接入控制,所以只需输入接入策略名,本例为“portal_Policy”,其他参数保持默认即可,配置完成效果如图8、图9所示。
|
参数 |
参数说明 |
|
接入策略名 |
接入策略在接入业务中的唯一标识 |
|
业务分组 |
用于分权管理,使特定的人只能管理特定的业务,既职责分明,也不会互相越权。配置该接入策略所属的业务分组,用于接入策略的分权管理。只有拥有该业务分组权限的管理员才能配置接入策略 |
|
描述 |
针对该接入策略的描述,方便操作员的日常维护 |
|
接入时段 |
选择了某一接入时段策略后,使用此规则的用户只能在接入时段策略中定制的时间段内允许接入 |
|
分配IP地址 |
是否下发用户IP地址。当选择“是”时,则为用户选择使用此接入策略的服务时须填写要下发的IP地址,用户在使用此接入策略上线时,RADIUS服务器会把填写的IP地址下发给客户端,客户端会将此IP应用到所在终端并进行重认证。此外接入策略“用户客户端配置”区域的“IP地址获取方式”不要选择“必须动态获取”;如果接入策略勾选了“绑定用户IP地址”,需把下发给用户的IP地址加入该用户的绑定的IP地址中或保证可以通过自学习的方式绑定此IP地址,已使得用户可通过IP地址检查 |
|
上行、下行速率 |
根据设定的上下行速率来限制用户使用该规则上网时的上传、下载速率 |
|
优先级 |
其值高低确定了在网络拥塞时转发报文的优先顺序,此参数应从设备支持的优先级中选取,数值越小优先级越高。配置错误可能导致用户无法上线 |
|
认证类型/子类型 |
进行EAP认证时,RADIUS服务器优先下发给客户端的EAP类型。包括:EAP-MD5、EAP-TLS、EAP-TTLS和EAP-PEAP。当首选EAP类型为EAP-TTLS和EAP-PEAP时,还需要首选EAP-MSCHAPv2,EAP-MD5和EAP-GTC其中的一种子类型 · EAP-MD5:一种EAP认证方式,使用CHAP方式进行认证 · EAP-TLS:是一种基于证书的身份认证,它需要PKI的部署来管理证书。它推荐进行服务器和客户端之间双向认证,认证双方是用证书来标识自己的身份。在认证通过之后,TLS的认证双方会协商出一个共享密钥、SessionID以及整套的加密套件(加密,压缩和数据完整性校验),这样认证双方就建立了一个安全可靠的数据传输通道。EAP-TLS是客户端和AAA服务器借助接入设备的透传,通过TLS协议进行的身份认证。EAP-TLS可以利用SessionID进行快速重认证,简化认证流程,加快认证速度,可对较大的TLS报文进行分片处理 · EAP-TTLS:是一种基于证书的身份认证,利用TLS认证在客户端和AAA服务器之间建立起一个安全通道,在安全通道内部再承载子类型。它具有保护用户标识和EAP认证的协商过程的作用。隧道内的子类型可以是EAP类型,也可以是非EAP类型。目前EIA支持TTLS下三个EAP的子类型(EAP-MSCHAPv2,EAP-MD5,EAP-GTC)和两个非EAP的子类型(MSCHAPv2,PAP)。EIA在配置接入策略指定首选EAP类型为EAP-TTLS时,也必须首选一种EAP的子类型。在实际认证过程中,如果终端采用非EAP的子类型,如PAP,则终端可以忽略EIA的配置,使用终端配置的子类型进行认证 · EAP-PEAP:是一种基于证书的身份认证,利用TLS认证在客户端和AAA服务器之间建立起一个安全通道,在安全通道上再发起EAP认证。它具有保护用户标识,保护EAP认证的协商过程的作用。目前EIA仅支持EAP-MSCHAPv2、EAP-MD5和EAP-GTC认证类型 · EAP-SIM:是一种基于GSM-SIM卡的身份认证,EAP-SIM提供了双向认证,即服务器端认证客户端,客户端认证服务器端,只有双向认证通过之后,服务器端才发送EAP-Success消息至客户端,客户端才可以接入网络。同时,EAP-SIM认证机制还通过多次挑战响应机制,生成更强的会话密钥 |
|
EAP自协商 |
当客户端配置的EAP类型与EIA中配置的首选EAP类型不同时的处理方式 · 配置为“启用”时,EIA完全适应由客户端中配置的EAP认证方式,即无论客户端中配置什么类型的EAP认证,EIA都允许客户端继续认证 · 配置为“禁用”时,如果客户端配置的EAP类型与EIA中配置的首选EAP类型不同,则EIA拒绝其认证 |
|
单次最大在线时长(分钟) |
使用该策略的接入账号认证成功后可在线的最长时间,单位为分钟。该参数默认值为空,表示不限制;最小值为1,最大值为1440。如果账号在线时间超过该参数值,EIA则强制该用户下线 |
|
下发地址池 |
输入地址池名称。EIA将地址池名称下发给接入设备,接入设备根据下发的地址池名称寻找设备上对应的地址池,然后给用户分配该地址池中的IP地址。只有下发设备上配置了对应的地址池,该功能才生效 |
|
下发VLAN |
设置向用户下发的VLAN · 当接入设备类型为H3C(General)、Huawei(General)、HP(Comware)、3Com(General)时,如果配置的VLAN为1~4094,接入业务将以整型的VLAN ID下发给设备,设备上的VLAN分配模式应为整型;所有其他值都以字符型VLAN NAME下发给设备,设备上VLAN分配模式应为字符型 · 其他设备类型都以字符型VLAN NAME下发给设备,设备上VLAN分配模式应为字符型 |
|
下发User Profile |
将用户配置文件名称下发给设备,实现基于用户的QoS功能。只有下发设备上已经配置完成了User Profile,User Profile才生效 |
|
下发VSI名称 |
对于采用VXLAN组网的场景,Leaf设备作为接入设备时,可以下发VSI名称,将用户划分到相应的VXLAN中 |
|
下发ACL |
设置向用户下发的访问控制列表 |
(3) 单击<确定>按钮,接入策略增加完毕。返回接入策略管理页面,可在接入策略列表中查看新增的接入策略,如图10所示。
接入服务是对用户进行认证授权的各种策略的集合。本例不对用户进行任何接入控制,因此只需增加一个简单的接入服务即可。增加接入服务的方法如下:
(1) 选择“自动化”页签,单击导航树中的[用户业务>接入服务]菜单项,进入接入服务页面,如图11所示。
(2) 单击<增加>按钮,进入增加接入服务页面,参数说明如表3所示,其他参数配置保持默认即可,配置完成效果如图12所示。
|
参数 |
参数说明 |
|
服务名 |
输入服务名称,其为特定服务在接入业务中的唯一标识,本例为“portal_Service” |
|
服务后缀 |
服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见表4,本例配置为“portal” |
|
缺省接入策略 |
当接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省接入策略的控制,本例选择之前新增的接入策略“portal_Policy” |
|
缺省私有属性下发策略 |
不受接入位置分组限制的用户上网时,EIA会根据本参数指定的策略将私有属性下发到此用户连接的接入设备上 |
|
缺省安全策略 |
根据该安全策略指定的安全方案对用户的上网的计算机进行安全检查和监控,从而实现网络的自动防御。该选项只有在安装了EAD安全策略组件后才会显示 |
|
缺省内网外连策略 |
接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省内网外连策略的控制 |
|
缺省单账号最大绑定终端数 |
接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单账号最大绑定终端数的控制。该参数只有在部署了EIP组件后才会显示。取值范围为0~999,值为0时表示不限制 |
|
缺省单账号在线数量限制 |
接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单账号在线数量限制的控制。取值范围为0~999,取值为0时表示不限制 |
|
单日累计在线最长时间(分钟) |
每天允许账号使用该服务接入网络的总时长,达到该时长后,账号将被强制下线,且当日不能再次接入。若一个账号对应多个终端,则多个终端时长累计,累计时长达到该时长后,账号将被强制下线,且当日不能再次接入。取值范围为0~1440,单位为分钟,只支持输入整数,取值为0时表示不限制。 |
|
无感知认证 |
决定服务是否支持无感知认证功能。无感知认证是指终端通过网页方式进行认证,第一次认证时会强制推出认证页面,用户需要输入用户名和密码进行认证,第一次认证成功后,服务器会将该终端的MAC地址和接入用户绑定(如果是Portal认证方式,还会和服务绑定),之后如果该智能终端再次接入网络,服务器会根据终端的MAC地址自动匹配绑定的接入用户和服务,并自动进行认证,不会再强制推出认证页面,无需再次输入用户名和密码。该项需勾选“MAC Portal认证”后方能显示 |
表4 EIA中服务后缀的选择
|
认证连接用户名 |
设备用于认证的Domain |
设备Radius scheme中的命令 |
EIA中服务的后缀 |
|
X@Y |
Y |
user-name-format with-domain |
Y |
|
user-name-format without-domain |
无后缀 |
||
|
X |
[Default Domain] 设备上指定的缺省域 |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
(3) 单击<确定>按钮,完成增加接入服务。返回接入服务管理页面,可在接入服务列表中查看新增的接入服务,如图13所示。
(1) 选择“自动化”页签,单击导航树中的[用户业务>接入用户]菜单项,进入接入用户页面,如图14所示。
(2) 单击<增加>按钮,进入增加接入用户页面,参数说明如表5所示,其他参数配置保持默认即可,配置完成效果如图15所示。
|
参数 |
说明 |
|
用户姓名/证件号码 |
用户的姓名及证件号码 |
|
账号名 |
唯一标识账号用户的名称,用户使用该名称申请和使用服务,该名称不能与已有名称相同,不能包含如下特殊字符:#+/?%&=*'@\"[]()<>`和TAB键,最大长度200个字符 |
|
密码/确认密码 |
输入两次相同的密码,密码用于身份验证,不可为空,最大长度32个字符 |
|
接入服务 |
选择之前新增的接入服务,本例为“portal_Service” |
(3) 单击<确定>按钮,完成增加接入用户,返回接入用户页面。可在接入用户列表中查看新增的接入用户,如图16所示。
(1) 选择“自动化”页签,单击导航树中的[用户业务>业务参数>Portal服务]菜单项,进入Portal服务管理页面,如图17所示。
(2) 在“服务类型列表”区域中,单击<增加>按钮,弹出增加服务类型窗口,参数说明如表6所示,配置完成效果如图18所示。
|
参数 |
说明 |
|
服务类型标识 |
设备根据用户选择的服务类型确定相应的认证方案,必须与之前增加接入服务中的服务后缀相同。 |
|
服务类型 |
服务类型标识是设备使用的信息,用户可能无法直观地理解其内在的含义。因此使用服务类型对其进行解释,会显示在Portal认证主页上,便于用户对服务类型的理解。其中,服务类型信息不能为空,并且不能和现有的服务类型信息相同,服务类型的数量不能超过64个。 |
(3) 单击<确定>按钮,完成Portal服务器配置。
(1) 选择“自动化”页签,单击导航树中的[用户业务>业务参数>Portal服务]菜单项,切换至“IP地址组配置”页签,进入IP地址组配置页面,如图19所示。
图19 IP地址组配置
(2) 单击<增加>按钮,进入增加IP地址组页面,输入IP地址组名,本例为“portal_Address”,并输入起始地址和终止地址的IP地址,IP属于该IP地址组的终端均可进行Portal认证,配置完成如图20所示。
图20 增加IP地址组
(3) 单击<确定>按钮,完成增加IP地址组,返回IP地址组配置页面。可在IP地址组列表中查看新增的IP地址组,如图21所示。
图21 查看新增的IP地址组
(1) 选择“自动化”页签,单击导航树中的[用户业务>业务参数>Portal服务]菜单项,切换至“设备配置”页签,进入设备配置页面,如图22所示。
(2) 单击<增加>按钮,进入增加设备信息页面,参数说明如表7所示,其他参数配置保持默认即可,配置完成效果如图23所示。
|
参数 |
说明 |
|
设备名 |
Portal接入设备的名称,不能和已经存在的任一设备名相同,本例为“zhangsan-Switch” |
|
公网IP |
公司外部网络环境可以访问到这台设备的IP,本例为“108.108.108.1” |
|
密钥/确认密钥 |
Portal服务器与设备通信时两端需要配置相同的共享密钥,否则无法通过接收方的校验,本例为“movie”。 |
|
组网方式 |
支持设备配置为直连、三层或二次地址分配方式进行认证,本例为“直连”: · 直连:用户在认证前通过手工配置或DHCP直接获取一个IP地址,只能访问Portal服务器,以及设定的免费访问地址;认证通过后即可访问网络资源。 · 三层:和直连基本相同,但是这种认证方式允许认证客户端和接入设备之间跨越三层转发设备。 · 二次地址分配:多用于校园、社区、公司等局域网的用户,接入设备首先为用户分配一个私网地址,用户使用这个私网地址访问局域网内的资源;如果用户需要访问互联网,那么接入设备会强制进行Portal认证,一旦认证通过,设备会分配给用户一个公网地址,用户使用这个公网地址访问Internet,这个过程就是二次地址分配。该参数必须与设备的配置相同。 |
(3) 单击<确定>按钮,完成增加设备信息。返回设备配置页面,可在列表中查看新增的设备信息,如图24所示。
(4) 单击设备配置列表“操作”列的
按钮,进入端口组信息配置页面,如图25所示。
(5) 单击<增加>按钮,进入增加端口组信息页面,参数说明如表8所示,其他参数保持默认配置即可,配置完成效果如图26所示。
|
参数 |
说明 |
|
端口组名 |
端口组的名称,不能和已添加的所有设备信息下已经存在的任一端口组名相同,本例为“port-Port” |
|
认证方式 |
认证方式分为PAP、CHAP和EAP,本例为“CHAP认证” |
|
无感知认证 |
功能描述请参见表3,该功能特性需要设备支持,本例选择“支持” |
|
IP地址组 |
择本端口组要使用的IP地址组。如果选择了NAT方式,那么本端口组只能选择公网的IP地址组,本例选择之前配置的“portal_Address” |
|
缺省认证页面 |
Portal用户认证的页面,本例选择“PC-缺省PC账号认证” |
(6) 单击<确定>按钮,完成增加端口组信息。返回端口组信息配置页面,可在端口组信息配置列表中查看新增的端口组信息,如图27所示。
选择“自动化”页签,单击左侧导航树[用户业务>业务参数>接入参数]菜单项,进入接入参数页面。切换至“系统配置”页签,单击列表“终端管理参数配置”项后的
按钮,进入终端管理参数配置页面。将“无感知认证”项配置为“启用”、将“非智能终端Portal无感知认证”项配置为“允许”,如图28所示。
选择“禁用”非智能终端Portal无感知认证,则用户只能在智能终端上进行Portal无感知认证,用户在非智能终端上无法进行Portal无感知认证。
选择“自动化”页签,单击左侧导航树[用户业务>业务参数>接入参数]菜单项,进入接入参数页面。切换至“系统配置”页签,单击列表“终端老化策略配置”项后的
按钮,进入终端老化策略配置页面。
按需增加终端老化策略或直接使用缺省策略,如需增加终端老化策略,参数说明如表9所示。本例选择直接直接使用缺省策略,如图29所示。
|
参数 |
说明 |
|
终端老化方式 |
包括按绑定时间和按闲置时长两种类型,该参数与“无感知终端老化时长”配合使用。 · 如果配置为按绑定时间,则终端首次进行无感知认证后的时间超过终端老化时长且终端下线后EIA删除该终端,下次认证需要重新输入账号名和密码 · 如果配置为按闲置时长,则终端未上线时长超过老化时长后,EIA删除该终端,下次认证需要重新输入账号名和密码 |
|
无感知终端老化时长 |
按天或小时配置无感知终端老化时长。按天配置终端老化时长,EIA每天凌晨删除超过老化时长且已下线的终端;按小时配置终端老化时长,EIA实时删除超过老化时长且已下线的终端 |
|
非无感知终端老化时长 |
按天或小时配置非无感知终端老化时长。按天配置终端老化时长,EIA每天凌晨删除超过老化时长且已下线的终端;按小时配置终端老化时长,EIA实时删除超过老化时长且已下线的终端。 |
· 终端MAC地址与接入用户进行关联后,该终端再次接入网络时无需输入账号名及密码,系统自动进行Portal认证。为了安全起见,系统定时删除超过老化时长的终端,此后终端再次接入网络时,需要再次输入账号名及密码重新绑定。
· 老化时长设置为0天/小时,MAC地址将永远不老化。
接入设备用于控制用户的接入。通过认证的用户可以接入网络,未通过认证的用户无法接入网络。
以下使用Windows的CLI窗口telnet到接入设备并进行配置,具体的命令及其说明如下:
(1) 进入系统视图。
<Device>system-view
System View: return to User View with Ctrl+Z.
(2) 配置RADIUS策略“allpermit”。认证、计费服务器均指向EIA。认证端口、计费端口、共享密钥要与3.2.1 1. 增加接入设备中的配置保持一致。
[Device]radius scheme allpermit
New Radius scheme
[Device-radius-allpermit]primary authentication 172.19.206.7 1812
[Device-radius-allpermit]primary accounting 172.19.206.7 1813
[Device-radius-allpermit]key authentication simple movie
[Device-radius-allpermit]key accounting simple movie
[Device-radius-allpermit]user-name-format with-domain
[Device-radius-allpermit]nas-ip 172.19.254.177
[Device-radius-allpermit]quit
(3) 配置domain域“portal”,引用配置好的“allpermit”策略。domain的名称必须与3.2.1 3. 增加接入服务中配置的服务后缀保持一致。
[Device]domain portal
[Device-isp-portal]authentication portal radius-scheme allpermit
[Device-isp-portal]authorization portal radius-scheme allpermit
[Device-isp-portal]accounting portal radius-scheme allpermit
[Device-isp-portal]quit
(4) 配置Portal认证服务器:名称为myportal,IP地址指向EIA,key要与3.2.2 3. 设备配置中配置的密钥一致。
[Device]portal server myportal
New portal server added.
[Device-portal-server-myportal]ip 172.19.206.7 key simple movie
[Device-portal-server-myportal]quit
(5) 配置Portal Web服务器的URL为http://172.19.206.7:9092/portal,要与3.2.2 1. 服务器配置中“Portal主页”项中的配置项一致,具体配置项如图17所示。
[Device]portal web-server myportal
New portal web-server added.
[Device-portal-websvr-myportal]url http://172.19.206.7:9092/portal
[Device-portal-websvr-myportal]quit
(6) 创建MAC绑定服务器并配置MAC绑定服务器的IP地址。服务器用来记录用户的Portal认证信息(用户名、密码)和用户终端MAC地址,并进行二者绑定,以便替代用户完成Portal认证。其中,IP地址指向EIA服务器地址,密钥与3.2.1 1. 增加接入设备中的配置相同。
[Device]portal mac-trigger-server mtsp
[Device-portal-mac-trigger-server mtsp]ip 172.19.206.7 key simple movie
(7) 将接口GigabitEthernet 1/0/16划分至VLAN。
[Device]interface GigabitEthernet 1/0/16
[Device-GigabitEthernet1/0/16]port access vlan 108
[Device-GigabitEthernet1/0/16]port link-mode bridge
(8) 在接口GigabitEthernet 1/0/16所在VLAN虚接口Vlan-interface 108上开启直接方式的Portal,引用Portal Web服务器myportal,引用MAC绑定服务器mtsp,设置发送给Portal认证服务器的Portal报文中的BAS-IP属性值,该BAS-IP需和3.2.2 3. 设备配置中的公网IP保持一致。
[Device]interface Vlan-interface 108
[Device-Vlan-interface108]ip address 108.108.108.1 255.255.255.0
[Device-Vlan-interface108]portal enable method direct
[Device-Vlan-interface108]portal apply web-server myportal
[Device-Vlan-interface108]portal apply mac-trigger-server mtsp
[Device-Vlan-interface108]portal bas-ip 108.108.108.1
[Device-Vlan-interface108]portal domain portal
[Device-Vlan-interface108]quit
若网络中存在防火墙设备,请确保网络中开放相应的UDP端口。
配置完成后,使用Web网页进行认证,认证步骤如下:
(1) 打开浏览器,首次认证时,在浏览器中访问任意网址,即可被重定向至Portal认证页面,如图30所示。
(2) 在认证页面输入用户名及密码,并选择服务类型为“无感知认证”,如图31所示。
(3) 单击<上线>按钮,终端认证成功,可正常访问网络,如图32所示。
(4) 单击<下线>按钮,终端下线。下线成功后,用户无需再次输入用户名及密码,即可正常访问网络,如图33所示。
支持
