portal认证

在接口上开启Portal认证

1. 配置限制和指导

在接口上开启Portal认证时，请遵循以下配置原则：

·     当接入设备和Portal用户之间跨越三层设备时，只能配置可跨三层Portal认证方式（layer3），但可跨三层Portal认证方式不要求接入设备和Portal用户之间必需跨越三层设备。

·     允许在接口上同时开启IPv4 Portal认证和IPv6 Portal认证。

当Portal认证方式为二次地址分配方式时，请遵循以下配置限制和指导：

·     在开启二次地址分配方式的Portal认证之前，需要保证开启Portal的接口已配置或者获取了合法的IP地址。

·     在二次地址分配认证方式下，接口上配置的授权ARP后，系统会禁止该接口动态学习ARP表项，只有通过DHCP合法分配到公网IP地址的用户的ARP报文才能够被学习。因此，为保证只有合法用户才能接入网络，建议使用二次地址分配认证方式的Portal认证时，接口上同时配置了授权ARP功能。

·     为了确保Portal用户能在开启二次地址分配认证方式的接口上成功进行Portal认证，必须确保Portal认证服务器上指定的设备IP与设备BAS-IP或BAS-IPv6属性值保持一致。可以通过portal { bas-ip | bas-ipv6 }命令来配置该属性值。

·     IPv6 Portal服务器不支持二次地址分配方式的Portal认证。

Portal支持HTTP和HTTPS重定向。如果要对Portal认证用户的HTTPS请求进行重定向，请确保设备上对HTTPS报文进行重定向的内部侦听端口号可用（缺省端口号为6654）。如果需要修改该端口号，具体配置请参见“三层技术-IP业务配置指导”中的“HTTP重定向”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入三层接口视图。

interface interface-type interface-number

(3)     开启Portal认证，并指定认证方式。

（IPv4网络）

portal enable method { direct | layer3 | redhcp }

（IPv6网络）

portal ipv6 enable method { direct | layer3 }

缺省情况下，接口上的Portal认证功能处于关闭状态。