问题描述:
S7506E对接锐捷SMP+做跨三层portal认证,现在终端访问https网页无法跳转到portal页面,http的则可以
组网及组网描述:
关键配置:
#
portal free-rule 1 destination ip 10.211.207.11 255.255.255.255
portal free-rule 2 destination ip 8.8.8.8 255.255.255.255
portal free-rule 3 destination ip 114.114.114.114 255.255.255.255
portal free-rule 4 source ip 10.211.135.10 255.255.255.255
portal free-rule 5 source ip 10.211.135.69 255.255.255.255
portal free-rule 6 destination ip 61.139.2.69 255.255.255.255
portal free-rule 7 destination ip 10.20.198.125 255.255.255.255
portal free-rule 8 destination ip 10.211.135.1 255.255.255.255
portal free-rule 9 destination ip 10.211.254.30 255.255.255.255
portal free-rule 10 destination ip 10.211.207.1 255.255.255.255
#
portal web-server kdszww
url http://10.211.207.11/eportal/index.jsp
url-parameter mac source-mac
url-parameter nasip value 10.211.207.1
url-parameter t value wireless-v2-plain
url-parameter url original-url
url-parameter wlanacname value S7506E
url-parameter wlanuserip source-address
#
portal server kdszww
ip 10.211.207.11 key cipher $c$3$ptxL5Zebruf4DcFtn92iMyaGz7nhwwL5KPKyb3U=
#
#
radius session-control enable
#
radius scheme kdszww
primary authentication 10.211.207.11
primary accounting 10.211.207.11
key authentication cipher $c$3$2OjfnHNIoCEBTV6HikiMbQXkcVcj5ubQtFcruhM=
key accounting cipher $c$3$zgnZWpGO47DiW8f/hAzwn9SonyZ0nb64huyHqOg=
user-name-format without-domain
#
domain kdszww
authentication portal radius-scheme kdszww
authorization portal radius-scheme kdszww
accounting portal radius-scheme kdszww
#
domain system
#
domain default enable kdszww
#
#
interface Vlan-interface107
ip address 10.211.254.30 255.255.255.252
portal enable method layer3
portal bas-ip 10.211.207.1
portal apply web-server kdszww
#
return
组网 终端----网关-------核心交换机(S7506E)------路由器----防火墙---外网,其中锐捷SMP+旁挂在S7506E上
- 2026-06-01提问
- 举报
-
(0)
最佳答案
一、为什么 HTTP 可以、HTTPS 不行?
-
HTTP(80 端口)
- 交换机可以直接拦截、改写 302 重定向到 Portal,浏览器无感知。
-
HTTPS(443 端口)
- 是 加密隧道,交换机不能直接解包改内容;
- 必须设备做 SSL 中间人(自签名证书) 才能劫持并重定向;
- V5 的 S7506E 默认关闭 HTTPS 重定向,你现在配置里完全没有这部分,所以 HTTPS 直接放行,不弹 Portal。
-
HSTS 影响(次要但常见)
- 百度等大站开启 HSTS,浏览器强制 HTTPS 且不接受陌生证书;
- 会导致即使开了重定向,也会直接报安全错误而不跳转H3C。
二、S7506E(V5 R3733)必须加的配置
1. 新建 SSL 策略(V5 自带自签名证书,不用导入)
# 新建一个空 SSL 策略(名字随便,比如 portal-ssl)
ssl server-policy portal-ssl
quit
2. 开启 Portal 的 HTTPS 重定向并绑定 SSL 策略
# 关键命令:启用 HTTPS 重定向,绑定上面的 ssl 策略
portal https-redirect server-policy portal-ssl
3. 确认重定向功能全局开启(一般默认开启)
portal redirect enable
4. 检查 free-rule 是否放通了必要地址
- ✅ 放行 DNS(8.8.8.8、114.114.114.114) —— 你已经有
- ✅ 放行 Portal 服务器 10.211.207.11 —— 你已经有
- ✅ 不要放行 443 全网(否则无法触发重定向)
注意:加上portal https-redirect后,终端访问 HTTPS 会弹出证书不安全提示(因为是交换机自签名),用户点 “继续 / 高级→继续访问” 才会跳到 Portal,这是正常现象。
三、接口下配置不用改(你现在是对的)
interface Vlan-interface107
ip address 10.211.254.30 255.255.255.252
portal enable method layer3
portal bas-ip 10.211.207.1
portal apply web-server kdszww
四、锐捷 SMP+(Portal 服务器)配合要点
-
你的
portal web-server是 HTTP:bash运行portal web-server kdszww url http://10.211.207.11/eportal/index.jsp没问题,重定向跳 HTTP 的 Portal 是可以的; 想更安全可以把 SMP+ 也配成 HTTPS(可选)。 -
SMP+ 上要确认:
- 监听 80 端口正常;
- 没有绑定客户端 IP/MAC 白名单导致绕过认证。
五、验证步骤(配置完后)
-
未认证终端:
- 访问
http://www.baidu.com→ 正常跳 Portal - 访问
https://www.baidu.com→ 弹出证书警告 → 继续 → 跳到 Portal
- 访问
-
查看设备配置:bash运行
display portal configuration输出里要能看到:plaintextportal https-redirect server-policy portal-ssl
六、常见坑(你可能会遇到)
-
证书报错用户不点继续
- 这是 HTTPS 重定向的常态;
- 想消除报错:给交换机导入正式证书(域名需匹配),或把 Portal 改成 HTTPS 并信任证书。
-
部分 HTTPS 网站仍不跳转
- 大概率是 HSTS,浏览器强制加密 + 拒绝陌生证书;
- 解决:让用户清浏览器缓存或用无痕模式测试H3C。
总结
ssl server-policy portal-ssl
portal https-redirect server-policy portal-ssl
- 2026-06-02回答
- 评论(0)
- 举报
-
(0)
可以参考下面链接里面的介绍
https://www.h3c.com/cn/d_202406/2195998_30005_0.htm#_Ref425858759
配置HTTPS重定向功能
用户进行Portal认证时,设备可将其HTTPS请求重定向到Portal Web服务器上。在建立SSL连接过程中,用户浏览器可能会出现“使用的证书不安全”的告警。若要避免此告警,需要通过配置自定义SSL服务器端策略在设备上安装用户浏览器信任的证书。该自定义SSL服务器端策略的策略名必须为https_redirect。有关SSL服务器端策略配置的详细介绍,请参见“安全配置指导”中的“SSL”;有关安装证书的详细介绍,请参见“安全配置指导”中的“PKI”。
表1-42 配置HTTPS重定向功能
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
创建SSL服务器端策略,并进入SSL服务器端策略视图 | ssl server-policy policy-name | 缺省情况下,不存在任何SSL服务器端策略 有关本命令的详细介绍,请参见“安全命令参考”中的“SSL” |
- 2026-06-01回答
- 评论(0)
- 举报
-
(0)
暂无评论
核心原因:HTTPS 的安全机制与 HSTS 协议
- HTTPS 无法被“中间人”拦截:
Portal 认证的原理是设备(S7506E)作为“中间人”拦截终端的上网请求,并强制重定向到认证页面。对于 HTTP(80端口),设备可以轻松拦截并返回重定向报文。但对于 HTTPS(443端口),终端会与目标服务器建立加密的 SSL/TLS 连接。设备无法在不引起浏览器警觉的情况下解密并重定向这些流量。 - HSTS 安全策略拦截:
现代主流网站(如百度、淘宝等)普遍启用了 HSTS(HTTP 严格传输安全协议)。该策略会强制要求浏览器必须使用 HTTPS 访问,且必须校验服务器的安全证书是否合法。当 S7506E 尝试拦截并使用自带的“自签名证书”伪装成目标网站时,浏览器会检测到证书不受信任,从而直接中断连接,导致你无法看到 Portal 跳转页面。 - 设备性能与版本限制:
虽然部分较新的 H3C 设备(如 V7 版本的 AC/AP)支持 HTTPS 重定向,但老旧设备或内存较小的 AP 在本地转发时可能根本不支持对 HTTPS 流量进行重定向。
结合你当前配置的排查步骤
- 现象验证:让终端连接 Wi-Fi 后,不要访问任何 HTTPS 网站,直接在浏览器地址栏输入一个普通的 HTTP 网站(如
***.***)或者任意 IP 地址(如http://1.1.1.1)。 - 预期结果:如果能正常弹出 Portal 认证页面,说明你的跨三层 Portal 基础配置(DHCP、免认证规则、BAS-IP、Portal 服务器对接)是完全正确的,问题仅局限在 HTTPS 拦截上。
- 问题点:终端访问 HTTPS 域名时,首先需要向 DNS 服务器发起域名解析请求。如果 DNS 流量被拦截,终端连目标网站的 IP 都拿不到,自然无法触发后续的拦截重定向。
- 配置检查:你的配置中已经放通了
8.8.8.8和114.114.114.114(free-rule 2 和 3)。请确认终端实际获取到的 DNS 服务器地址是否在这两条规则内。如果终端使用的是运营商自动下发的 DNS,你需要将其 IP 也添加到portal free-rule中。
- 查看配置:H3C 设备通常需要单独开启 HTTPS 重定向功能。你可以在 S7506E 的系统视图下查看是否有类似
portal https-redirect enable的配置(不同版本命令可能略有差异,部分老版本可能不支持)。 - 注意:即使开启了该功能,由于上述的 HSTS 和证书问题,访问主流 HTTPS 网站时,浏览器依然大概率会报“您的连接不是私密连接”的安全警告,需要用户手动点击“继续前往(不安全)”才能触发跳转。
- 如果在 S7506E 的
Vlan-interface107(终端网关接口)上抓包,你会发现终端发起 HTTPS 的 TCP 三次握手后,S7506E 尝试进行 SSL 握手,但被终端的 TCP RST 报文强行断开。这进一步印证了是终端浏览器或 HSTS 策略拒绝了设备的重定向。
- 2026-06-02回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论