AC配置Portal认证之邮箱认证（V7）

组网环境：正常无线接入，AC需要具备对与邮箱服务器之间三层可通信    

设备型号：WX3540H （仅举例，V7平台AC通用）

软件版本：R5223P01（仅举例说明）

接口及IP：Mail Server 192.168.2.1 AC的Vlan int20 192.168.2.2，AC的Vlan int10 192.168.1.1 AP的IP 192.168.1.2

AC上开启DHCP服务，为无线客户端分配私网IP地址，用户通过此私网IP地址进行邮箱认证，在通过认证前，只能访问本地Web服务器；

在通过邮箱认证后，可以访问非受限的互联网资源。AC通过VLAN 20接口连接外网与邮箱服务器通信。

(1) 基本网络功能配置 

 # 创建VLAN 10，并进入VLAN 10视图。Client将使用该VLAN接入无线网络。

  system-view 

 [AC] vlan 10

 [AC-vlan10] quit

 # 创建VLAN 20，并进入VLAN 20视图。此VLAN用来配置NAT及通过DHCP获取公网IP地址。 

 [AC] vlan 20 

 [AC-vlan20] quit

 # 配置各VLAN接口的IP地址（略）。 

 # 开启DNS proxy功能。 

 [AC] dns proxy enable 

 # 配置Portal Web服务器域名***.***对应的IP地址为192.168.2.1。如果是知名常用邮箱服务器比如mail.qq.com则不需要配置，AC会通过DNS进行学习，前提是AC具备DNS地址，比如配置dns server 114.114.114.114 

 [AC] ip host ***.*** 192.168.2.1

 # 开启DHCP服务。

  [AC] dhcp enable 

 # 创建DHCP地址池client，并进入DHCP地址池视图。 

  [AC] dhcp server ip-pool client

 # 配置DHCP地址池为无线客户端动态分配的IP地址网段为192.168.1.0/24。 

  [AC-dhcp-pool-client] network 192.168.1.0 mask 255.255.255.0  

 # 配置为DHCP客户端分配的网关地址为192.168.1.1。 

  [AC-dhcp-pool-client] gateway-list 192.168.1.1 

 # 配置为DHCP客户端分配的DNS服务器地址为192.168.1.1。 

  [AC-dhcp-pool-client] dns-list 192.168.1.1 

  [AC-dhcp-pool-client] quit 

(2) 配置认证域 

 # 创建一个名称为extend-auth的ISP域，并进入其视图。 

  [AC] domain extend-auth

 # 为Portal用户配置认证、授权、计费方法均为none。

  [AC-isp-extend-auth] authentication portal none

  [AC-isp-extend-auth] authorization portal none

  [AC-isp-extend-auth] accounting portal none 

  [AC-isp-extend-auth] quit 

 (3) 配置邮箱认证 

 # 配置Portal Web服务器wbs的URL为https:// 192.168.1.1/portal。 

 [AC] portal web-server wbs 

 [AC-portal-websvr-wbs] url https://192.168.1.1/portal 

 [AC-portal-websvr-wbs] quit 

 # 创建邮箱认证服务器，并进入邮箱认证服务器视图。 

 [AC] portal extend-auth-server mail 

 # 配置邮箱认证服务支持的协议类型为POP3和IMAP。如果为QQ邮箱，需要在QQ邮箱的设置界面打开POP3或者IMAP权限，具体查考QQ邮箱帮助文档。

 [AC-portal-extend-auth-server-mail] mail-protocol pop3 imap

 # 配置邮箱认证服务支持的邮箱类型；如果为QQ邮箱，则为@qq.com; 也可以不做配置，保持默认，即不对邮箱认证服务支持的邮箱类型做限制。

 [AC-portal-extend-auth-server-mail]mail-domain-name @qq.com

 [AC-portal-extend-auth-server-mail] quit

 # 创建无线服务模版st1，并进入无线服务模板视图。 

 [AC] wlan service-template st1 

 # 配置无线服务模板VLAN为VLAN 10，无线客户端通过此VLAN接入无线服务。 

 [AC-wlan-st-st1] vlan 100 

 # 配置SSID为mail。 

 [AC-wlan-st-st1] ssid mail 

 # 在无线服务模板st1上开启直接方式的Portal认证。

 [AC-wlan-st-st1] portal enable method direct 

 # 指定从无线服务模板service上接入的邮箱认证用户强制使用认证域extend-auth进行邮箱认证。

 [AC-wlan-st-st1] portal extend-auth domain extend-auth 

 # 在无线服务模板st1上引用Portal Web服务器wbs。

 [AC-wlan-st-st1] portal apply web-server wbs

 # 开启无线服务模板。

 [AC-wlan-st-st1] service-template enable

 [AC-wlan-st-st1] quit 

# 创建本地Portal Web 服务器，并进入本地Portal Web服务器视图，指定使用HTTPS协议和客户端交互认证信息。

 [AC] portal local-web-server https 

# 配置本地Portal Web 服务器的缺省认证页面（默认设备自带缺省页面，如果要定制化修改需要将定制后的文件如abc.zip上传到设备）。

 [AC-portal-local-websvr-https] default-logon-page abc.zip（缺省可不配置）

 [AC-portal-local-websvr-https] quit

# 配置基于IP地址的Portal免认证规则（端口号53表示DNS报文），允许用户不需要经过Portal认证即可访问DNS服务。 

[AC] portal free-rule 1 destination ip any udp 53 

[AC] portal free-rule 2 destination ip any tcp 53  

1、大部分环境中的邮箱认证功能需要对接公网设备的邮箱服务器，比如mail.qq.com，ad这时一定要确保AC自己具备DNS地址，可以正常解析域名，比如在AC上ping www.baidu.com做测试。

2、大部分的主流邮箱服务器比如163和QQ 对POP3的方式进行过安全级别升级，目前在QQ邮箱的个人账号打开IMAP功能之后会生成一个特殊的16位密码，在账号输入界面要用这个16为密码替代原先的密码来进行登录，比如：

3、目前一部分邮箱服务器POP3的安全级别提升过，AC上邮箱功能采用的ssl版本偏低，可能存在兼容性问题。所以暂时推荐IMAP方案为主。

4、当设备配置了

 [AC-portal-extend-auth-server-mail] mail-protocol  imap

 [AC-portal-extend-auth-server-mail]mail-domain-name @***.***

则认证登录时用户的账号密码则会往imap.***.***发送，如果替换为mail-protocol  pop3，则会往pop3.***.***发送，属于规定好的语句格式，如果有部分局点的邮箱服务器不遵循这样的格式接收报文，则需要在AC上IP host强制指定IP地址，避免AC发送报文给错地址。