无线控制器轻量级Portal认证典型配置

用户主机通过AP与AC相连，采用直接方式的Portal认证。用户通过DHCP获取的一个公网IP地址进行认证，在通过Cloud Portal认证前，只能访问Cloud服务器；在通过Cloud Portal认证后，可以使用此IP地址访问非受限的互联网资源。

配置AC

•   配置认证域

# 创建并进入名字为cloud的ISP域。

[AC] domain cloud

# 配置ISP域的AAA方法。

[AC-isp-cloud1] authentication portal none

[AC-isp-cloud] authorization portal none

[AC-isp-cloud] accounting portal none

[AC-isp-cloud] quit

# 配置系统缺省的ISP域cloud，所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名，则使用缺省域下的认证方法。

[AC] domain default enable cloud

•   配置云端portal的地址

# 配置Portal Web服务器的URL为http:// o2o.h3c.com:8080/portal。（Portal Web服务器的URL和redirect_url所指的设备地址请与实际环境中的配置保持一致，此处仅为示例）

[AC] portal web-server cloud

[AC-portal-websvr-cloud] url http://lvzhou.h3c.com/portal/protocol

[AC-portal-websvr-cloud] server-type oauth

 [AC-portal-websvr-cloud] quit

# 创建无线服务模版st1                                           

[AC]portal user-logoff after-client-offline enable

[AC]wlan service-template st1

[AC-wlan-st-st1]ssid st1                                                        

# 在无线服务模版st1上使能直接方式的Portal认证。

[AC-wlan-st-st1] portal enable method direct

# 在无线服务模版st1上引用Portal Web服务器cloud。

[AC-wlan-st-st1] portal apply web-server cloud

[AC-wlan-st-st1] portal domain cloud

[AC-wlan-st-st1] quit

# 创建本地Portal Web 服务器，进入本地Portal Web服务器视图，并指定使用HTTP协议和客户端交互认证信息。

[AC] portal local-web-server http

# 配置开启DNS proxy功能

[AC] dns proxy enable

# 配置两条基于目的的Portal免认证规则：编号为2、3、端口号为53（端口号53表示DNS报文）

[AC] portal free-rule 2 destination ip any udp 53                                  

[AC] portal free-rule 3 destination ip any tcp 53

# 配置开启DHCP服务，创建DHCP地址池client，并进入DHCP地址池视图，配置DHCP地址池动态分配的IP地址网段为1.1.1.0/24，DNS客户端分配的DNS服务器地址为10.1.1.1

[AC]dhcp  enable       

[AC]dhcp server ip-pool client  

[AC-dhcp-pool-client]network 10.1.1.0 mask 255.255.255.0

[AC-dhcp-pool-client]forbidden-ip 10.1.1.1

[AC-dhcp-pool-client]dns-list 10.1.1.1 

[AC]interface vlan 1  

[AC-Vlan-interface1]dhcp server apply ip-pool client

轻量级Portal也叫做O2O认证，目前H3C的绿洲和IMC平台均支持这套认证流程。