无线portal用户在线30天不需要反复认证配置

第一部分：iMC侧配置

1.增加接入设备

用户>接入策略管理>接入设备管理>接入设备配置，输入接入设备IP地址192.168.128.13，该IP地址需要与设备配置（网络设备）中RADIUS scheme的NAS IP一致；如果设备未配置NAS IP，则默认为接入设备与UAM相连接口所在VLAN的IP地址.

公共参数只需要输入共享密钥\确认共享密钥“admin”，选择设备类型H3C（General），其他保持默认即可，认证端口和计费端口默认为1812、1813，注意密钥（admin）、端口与设备配置保持一致，与接入设备配置的radius 中的密钥对应

radius scheme service

  primary authentication 192.168.127.69

  primary accounting 192.168.127.69

  key authentication simple admin

  key accounting simple admin

2.增加接入策略

用户>接入策略管理>接入策略管理，可以根据具体需求做相应的控制，所以输入接入策略名“portal案例”，其他参数保持默认。

3.增加接入服务

用户>接入策略管理>接入服务管理，输入服务名“portal案例”、服务后缀“service”，缺省接入策略选择之前配置的“portal案例”，勾选“Portal案例”，其他参数保持默认即可。

服务后缀、设备的Domain和设备Radius scheme中的命令这几个要素密切相关，具体的搭配关系请参见下表：

4.接入用户

用户>接入用户，增加接入用户“zmy”，在线数量限制数字可供选择，且每个帐号绑定的终端数上限即为该参数的值，最后再绑定启用无感知认证的接入服务“portal案例”

5.查看Portal服务器配置

这里有两个需要注意的地方：设备上配置的Portal server URL必须和此处的Portal主页URL保持一致；服务类型列表为可选性配置，如果配置服务类型，一定要注意服务类型标识必须与之前增加服务的服务后缀相同，而服务类型是对服务类型标识主观意识上的说明和区分。

6.增加需要无感知认证的终端IP地址组

用户>接入策略管理>Portal服务管理>IP地址组配置，增加IP地址组“portal”,对应192.168.30.0-192.168.34.1用户网段（根据实际需求需要做portal认证的网段）

7.增加Portal设备

用户>接入策略管理>Portal服务管理>设备配置，增加Portal设备IP地址“192.168.128.13”和密钥\确认密钥“admin”，并选择组网方式直连，其他参数保持默认即可。

三个注意点：

第一，密钥必须与网络设备上配置的Portal服务器密钥保持一致。如下标红所示：

radius scheme service

  primary authentication 192.168.127.69

  primary accounting 192.168.127.69

  key authentication simple admin

  key accounting simple admin

第二，增加的Portal设备IP地址必须和设备上配置的Portal nas-ip保持一致，设备上如果没有手工指定的话则Portal nas-ip默认为启用Portal认证的接口IP地址。

第三，组网方式需要和设备上配置的Portal server xx method direct对应。其中认证的客户端IP如果和设备启用Portal认证的接口IP属于同网段则为直连方式，跨网段则为三层方式。

8.增加Portal设备的端口组信息

Portal设备信息列表中，单击操作下的端口组信息管理图标，进入端口组信息配置页面，增加端口组“portal”，绑定之前配置的IP地址组“portal”，并注意无感知认证这一项选择“支持”，否则用户在该端口组对应的端口上不能进行Portal无感知认证。

9.配置终端管理参数配置，选择“启用”。

10.配置终端老化策略配置，本案例选择默认策略。

为了安全起见，系统定时删除超时老化时长的终端，此后终端再次接入网络时，需要再次输入账号名和密码重新绑定。老化时长设置为0天时，mac地址将永远不老化

至此imc服务器上的portal无感知配置已经完成。

第二部分：设备关键配置

1.创建portal认证使用的radius scheme service，认证端口、计费端口、共享密钥要与EIA中增加接入设备时的配置保持一致。192.168.127.69这个地址是radius服务器地址，本案例中指iMC EIA的地址192.168.127.69 

radius scheme service

  primary authentication 192.168.127.69

  primary accounting 192.168.127.69

  key authentication simple admin

  key accounting simple admin

  nas-ip 192.168.128.13

2.创建domain service，并配置使用该domain的认证、授权、计费请求都由上一步新建的RADIUS方案service来处理。

domain service

 authentication portal radius-scheme service

 authorization portal radius-scheme service

 accounting portal radius-scheme service

3.配置portal服务器“portalservice”的密钥要与服务器保持一致

portal service portalservice

ip 192.168.127.69 key simple admin

4.配置portal web服务器，指定portal Web服务器的URL，URL格式为：http://ip:port/portal，也可以是https。其中IP为portal服务器的IP，Port为portal服务器提供的HTTP服务端口

portal web-server portalweb

    url http://192.168.127.69:8080/portal

5.配置终端MAC地址上传给portal服务器（此处为Portal无感知认证需要的命令）

portal mac-trigger-server  mac

  ip 192.168.127.69

命令说明：MAC绑定服务器上记录了portal用户的MAC地址与portal用户帐号的绑定关系表项，当MAC绑定服务器接收到来自接入设备的MAC绑定查询请求后，会查询该MAC地址是否与服务器上的portal用户帐号绑定。如果已绑定，则MAC绑定服务器获取该用户的帐号信息，并使用该用户的用户名和密码向接入设备直接发起portal认证。

6.在用户对应的VLAN虚接口下期启用dhcp服务

interface Vlan-interface132

 ip address 192.168.32.254 255.255.255.0

 dhcp server apply ip-pool zmy

7.配置服务模板

wlan service-template portal11

 ssid portalservice

 vlan 132

 portal enable method direct

 portal apply web-server portalweb

 portal apply mac-trigger-server mac    //开启上传MAC地址功能（此处为portal无感知认证需要的命令）

 service-template enable

8.配置AP并开启射频

wlan ap zss model WA2620i-AGN  

 serial-id 219801A0CMC168000144  //前两行为注册ap命令（本案例使用的ap型号为WA2620i-AGN ）

 radio 1

  radio enable

  service-template portal1 vlan 130

9.配置服务器ip地址免认证规则

 portal free-rule 0 destination ip 192.168.127.69  255.255.255.0