WX3520H portal认证对接思科ise服务器不成功

版本要求：无线AC需要R5428以上及更新版本

且需要AC传入定制的本地ISE portal页面文件。见附件

此案例设备型号：WX3520H

版本：5438P01

AC对接思科ISE服务器，可以弹portal页面，输入用户名密码后提示认证成功，但后续打开网页后还是弹出认证界面，频繁弹出。和ISE售后了解到此台服务器不支持portal协议，其设备支持LWA的认证方式。实现服务器做认证，设备侧提供portal认证界面的需求。

wlan service-template test-portal

 ssid test-portal

 vlan 21

portal enable method direct

 portal domain radius

 portal apply web-server raidus

 service-template enable

radius session-control enable

 radius scheme i​se

 primary authentication 192.168.240.51 key cipher $c$3$Xmv0GhXsQ2UYz3KY9I+/ypB3vFc4EA+0jhO0+jDS

 primary accounting 192.168.240.51 key cipher $c$3$cVHCS35MyNjq6eaLcQWfmJLBeLxYheJGWoJx8bVx

 secondary authentication 192.168.240.52 key cipher $c$3$1H+BYmLy7d6Eanqlsna4pauu4HWSgEsnSFmohQzt

 secondary accounting 192.168.240.52 key cipher $c$3$VXOqViRcrY9yFFZ/sjVXccnEF1XupQC0sqIKHwxv

 key authentication cipher $c$3$XP7FOzEh0+STmlb7+Wf7U0I7gJ1g51Cj4wdsJ13X

 key accounting cipher $c$3$wFxUWWJViO7kNnhnfAjhnLJYwXeK+0ocTEXsVhlU

 user-name-format without-domain

 nas-ip 172.31.151.130

#

domain radius

 authorization-attribute idle-cut 15 1024

 authentication portal radius-scheme ise

 authorization portal   radius-scheme ise

 accounting  portal  radius-scheme ise

 portal host-check enable

 portal free-rule 1000 destination ip 114.114.114.114 255.255.255.255

 portal free-rule 1001 destination ip 192.168.240.51 255.255.255.255

 portal free-rule 1002 destination ip 192.168.240.52 255.255.255.255

 portal free-rule 1003 destination ip 192.168.240.154 255.255.255.255

 portal free-rule 10000 description ip 172.31.151.130

portal web-server raidus

 url https://192.168.240.51:8443/portal/g?p=br9B5Ddpmz7RPS1l8MjDykDd5w

 server-type ise

#

portal local-web-server http

 default-logon-page Ise_h3c.zip

#

portal local-web-server https

 default-logon-page Ise_h3c.zip

对接第三方服务器需要把AC的地址参数带给服务器，使得认证服务器返回报文后，客户端可以访问AC,需要在AC上配上 portal client-gateway interface。

下面是命令释义：

portal client-gateway interface命令用来配置Portal认证时客户端访问AC的接口。

undo portal client-gateway interface命令用来恢复缺省情况。

【命令释义】:

portal client-gateway interface interface-type interface-number

undo portal client-gateway interface

【缺省情况】

未配置Portal认证时客户端访问AC的接口。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

interface-type interface-number：表示接口类型和接口编号。

【使用指导】

当数据报文转发位置配置在AP上，且用户进行Portal第三方认证时，client和AP通过公网直接与第三方认证服务器进行报文交互，不会经过AC。但是第三方认证服务器在返回报文时会要求client访问AC，而client是不知道AC的IP地址的，因此需要通过配置AC的接口来让客户端获得AC的IP地址，以便客户端访问AC。

【举例】

# 配置Portal认证时客户端访问AC的接口为vlan-interface 10。

system-view

[Sysname] portal client-gateway interface vlan-interface 10