无线AC如何与aruba clearpass类的认证服务器对接portal认证

Portal认证协议并没有一个国际标准，在中国国内主要是中国移动引导的《中国移动WLAN业务PORTAL协议规范》，也就是我们常见的portal认证方式，这里根据细分还有imc cmcc等方式。然后就是国内各厂家的私有协议。

但国外厂商提出的Portal方案比较另类（例如Aruba），基本思路如下：

（1）AC开启local portal server。如下，ip X.X.X.X是AC的BAS-IP，url是portal server(aruba clearpass)的；

#

portal server abc

 ip x.x.x.x 

#

portal web-server abc

url http://y.y.y.y/logon.htm

 url-parameter switch_url value http://X.X.X.X  //部分服务器会需要switch url参数来让portal server知道发给哪个bas设备

#

# portal local-web-server http 

 default-logon-page Wlan1.zip   //上传附件中的wlan1.zip文件。并作对应修改。

#

 wlan service-template 6 

 ssid Portal 

 vlan 30 

 portal enable method direct 

 portal domain portal 

 portal bas-ip x.x.x.x 

 portal apply web-server abc  

 service-template enable

#

domain portal 

authorization-attribute idle-cut 15 1024

 authentication portal radius-scheme h3c

 authorization portal radius-scheme h3c 

 accounting portal radius-scheme h3c

#

# radius scheme h3c 

 primary authentication a.a.a.a

 primary accounting a.a.a.a

 key authentication cipher $c$3$nOBmbIHUBCreQOwFHC3cBN1oVZX9JA== 

 key accounting cipher $c$3$H6k1j9ItGdJaMFrO/zbl+wXz0L6t+Q== 

 user-name-format without-domain 

 nas-ip x.x.x.x

#

# portal host-check enable 

 portal client-gateway interface Vlan-interfaceX 

 portal free-rule 1 source ip any udp 53 

 portal free-rule 2 destination ip any udp 53 

 portal free-rule 3 destination ip y.y.y.y

 portal free-rule 10 source interface GigabitEthernet1/0/1 

 portal free-rule 11 destination ip x.x.x.x 255.255.255.255  //需要放通终端到AC bas-ip的白名单

（2）AC负责重定向，把用户的HTTP请求指引到第三方Portal server的登陆页面，配置free rule放通去往第三方Portal server；

（3）关键：第三方Portal server推送的登陆页面内嵌了AC的local portal server URL；

第三方Portal server推送的登陆页面，内嵌关键内容如下，即提交用户名/密码直接指向AC的local portal server URL。

红色关键字是固定的，不要随便修改！x.x.x.x是AC的IP。

<p>User name:<input type="text" name = "PtUser" style="width:160px;height:22px" maxlength=64>

<p>Password :<input type="password" name = "PtPwd" style="width:160px;height:22px" maxlength=32>

<p><input type=SUBMIT value="Logon" name="PtButton" Onclick="form.action="http://x.x.x.x/portal/logon.cgi"+location.search;">

PtUser、PtPwd、PtButton、Logon、http这几个关键字不能变；

PtUser表示用户名，携带用户名内容；PtPwd表示密码，携带密码内容；PtButton的值等于Logon表示登录；

PtUser、PtPwd、PtButton需要提交给http://x.x.x.x/portal/logon.cgi；

（4）用户在第三方Portal server登陆页面上提交用户名/密码时实际上直接提交到AC的local portal server；

（5）AC跟Radius交互后负责推送认证成功页面或者认证失败页面；

（6）如果认证成功后还想推送广告页面，可以在认证成功页面窗口直接跳转到广告页面（也就没有了认证成功页面，没有了下线按钮），或者由认证成功页面自动新开一个窗口跳转到广告页面。

不能在最初的第三方portal server推送的登陆页面上跳转到广告页面。

具体原因：初始登陆页面是第三方portal server的，后续认证成功页面是AC的，用户终端上登陆页面和认证成功页面属于不同IP地址和端口，java脚本由于安全性是互相隔离无法访问的。所以通过认证成功页面中执行java脚本让登陆页面跳转广告页面完全不可行。

（7）用户的异常下线只能通过AC的流量检测idle-cut来识别。

（8）第三方portal server在用户的整个上网过程中，不保存用户信息，不直接跟AC交互，仅仅提供初始登陆页面和广告页面（广告页面有可能还是其他server提供），实现很简单。