目前信息看可行性基本没有

有特殊需求联系专业团队沟通下需求吧，确认最佳方案吧

参考手册配置尝试吧。

本地Portal认证典型配置举例(专家模式Web版)

参考：https://www.h3c.com/cn/d_202304/1831744_30005_0.htm

3  配置举例

3.1  组网需求

如图1所示，Switch作为DHCP服务器为AP和Client分配IP地址。现要求：

·     AC同时承担Portal Web服务器和Portal认证服务器的职责。

·     采用直接方式的Portal认证。

图1 本地Portal认证组网图

3.2  配置AC

1. 配置AC基本功能

在AC上完成IP地址、接口、AP接入和射频状态相关配置（略）。

2. 配置认证域

(1)     选择页面底部的<网络>按钮，进入网络菜单页面。

(2)     选择页面左侧导航栏的[网络安全/认证]，进入“ISP域”页签，单击“”按钮，进入“添加ISP域”页面，配置如下：

¡     配置ISP域名为dm1；

¡     勾选接入方式为“Portal”，并勾选AAA认证、授权和计费方法为本地认证、本地授权和不计费；

¡     配置用户闲置切断时间为15分钟；

¡     配置用户在闲置切断时间内产生的数据流量为1024字节；

¡     其它保持缺省配置；

¡     点击<确定>按钮完成配置。

图2 配置认证域

3. 配置本地用户

(1)     选择页面底部的<网络>按钮，进入网络菜单页面。

(2)     选择页面左侧导航栏的[网络安全/用户管理]，进入“本地用户”页面，单击“”按钮，进入“添加用户”页面，配置如下：

¡     配置用户名为portal；

¡     密码为portal123；

¡     勾选可用服务为Portal；

¡     其它保持缺省配置；

¡     点击<确定>按钮完成配置。

图3 添加本地用户

4. 配置Portal认证

(1)     选择页面底部的<网络>按钮，进入网络菜单页面。

(2)     选择页面左侧导航栏的[网络安全/接入管理]，进入“Portal”页签，点击“Portal Web服务器”，然后点击“”按钮，进入“创建Portal Web服务器”页面，配置如下：

¡     配置Portal Web服务器名称为portal；

¡     配置Portal Web服务器的URL为http://2.2.2.1/portal；

¡     其它保持缺省配置；

¡     点击<确定>按钮完成配置。

图4 配置Portal Web服务器

(3)     在“Portal”页签，点击“本地Portal Web服务器”，然后点击“”按钮，进入“创建本地Portal Web服务器”页面，配置如下：

¡     使用HTTP协议和客户端交互认证信息；

¡     选择缺省认证页面文件为defaultfile.zip；

¡     其它保持缺省配置；

¡     点击<确定>按钮完成配置。

图5 配置本地Portal Web服务器

¡     点击“免认证规则”，然后点击“”按钮新增免认证规则，配置规则编号为1，勾选“基于IP配置 -> 任意IPv4 ->UDP端口号”并配置端口号为53，点击<确定>按钮完成操作。

图6 配置免认证规则

¡     点击“免认证规则”，然后点击“”按钮新增免认证规则，配置规则编号为2，勾选“基于IP配置 -> 任意IPv4 ->TCP端口号”并配置端口号为53，点击<确定>按钮完成操作。

图7 配置免认证规则

5. 配置无线服务

(1)     选择页面底部的<网络>按钮，进入网络菜单页面。

(2)     选择页面左侧导航栏的[无线配置/无线网络]，进入“无线网络”页面，单击“”按钮，进入“新增无线服务”页面，配置如下：

¡     配置无线服务名称为service11；

¡     配置SSID为service22；

¡     配置VLAN为200；

¡     勾选“IPv4 Portal认证”；

-     配置接入无线服务的Portal用户使用的认证域为dm1；

-     在无线服务模板service11上引用Portal Web服务器portal；

¡     开启无线服务service11；

¡     其它保持缺省配置；

¡     点击<确定>按钮完成配置。

图8 配置无线服务

(3)     将无线服务service11绑定到AP射频（略）。

一、开启 MSG360-10S 自带的 Portal 认证功能配置步骤
1. 基础配置准备
确认设备版本：确保 MSG360-10S 运行 Comware V7 或兼容版本（通过display version命令检查）。
规划 IP 地址：为无线客户端分配独立的 IP 地址段（如 192.168.1.0/24），并确保 AC 的管理 IP 与客户端网段可达。
启用 DHCP 服务：在 AC 或关联的交换机上配置 DHCP 服务器，为无线客户端自动分配 IP 地址、网关（AC 的 IP）和 DNS 服务器。
2. Web 界面配置步骤
（1）创建 Portal Web 服务器
登录 AC 的 Web 管理界面 → 网络配置 → 接入管理 → Portal → Portal Web 服务器。
点击 新建，配置以下参数：
名称：自定义（如local_portal）。
URL：http://<AC的IP地址>/portal（例如http://192.168.1.1/portal）。
服务器类型：选择 CMCC 或 H3C（根据实际需求）。
URL 参数：勾选 wlanuserip，确保客户端 IP 地址传递给认证页面。
点击 确定 保存配置。
（2）配置本地认证用户
网络配置 → 认证管理 → 用户管理 → 本地用户。
点击 新建，添加认证用户（如用户名user1，密码password1）。
（3）配置无线服务模板
无线配置 → 无线网络 → 服务模板。
选择已有的 SSID（或新建 SSID），进入编辑界面：
认证模式：选择 Portal 认证。
Portal Web 服务器：选择之前创建的local_portal。
认证域：输入default domain或自定义域名（需与后续配置一致）。
加密方式：建议保留原有 WPA2-PSK 加密（增强安全性）。
点击 确定 并启用服务模板。
（4）配置 Portal 免认证规则
网络配置 → 接入管理 → Portal → 免认证规则。
添加以下规则（确保客户端能访问认证页面和 DNS）：
规则 1：目的 IP 为 AC 的 IP 地址，协议为 TCP/UDP，端口为 80。
规则 2：目的 IP 为 DNS 服务器（如 114.114.114.114），协议为 UDP，端口为 53。
（5）验证配置
无线客户端连接 SSID，自动获取 IP 后，打开浏览器访问任意 HTTP 网站，应自动跳转至 AC 的 Portal 认证页面。
输入用户名和密码，认证成功后可访问互联网。
3. 命令行配置补充（可选）
创建 Portal Web 服务器：
system-view
portal web-server local_portal
url http://192.168.1.1/portal
url-parameter wlanuserip source-address
server-type cmcc
quit
关联服务模板：
wlan service-template 1
portal enable method direct
portal apply web-server local_portal
quit
配置本地用户：
local-user user1
password simple password1
service-type web
authorization-attribute user-role network-admin
quit
二、Portal 认证对微信、腾讯会议等客户端的拦截能力分析
1. Portal 认证的基本原理
Portal 认证通过HTTP 重定向实现：未认证用户访问 HTTP 网站时，设备将其请求重定向到 Portal 认证页面。对于 HTTPS 流量，设备默认无法直接拦截，除非开启 SSL 解密功能。
2. 对微信、腾讯会议等客户端的影响
HTTP 流量：可被强制拦截并跳转至 Portal 页面（需用户手动认证）。
HTTPS 流量：
若设备未开启 SSL 解密，HTTPS 连接（如微信的 API 通信）无法被拦截，客户端可直接访问互联网，导致认证绕过。
若设备支持 SSL 解密（需额外配置证书和策略），可拦截 HTTPS 流量并重定向，但会增加性能开销和证书管理复杂度。
私有协议：微信、腾讯会议等客户端可能使用私有协议（如 TCP/UDP 自定义端口），Portal 认证无法识别，导致无法拦截。

三、关键注意事项
性能影响开启 SSL 解密和深度检测会显著增加 AC 的负载，建议根据实际带宽选择合适的设备型号（如 F100 系列防火墙）。
兼容性问题
iOS 设备需配置CNA（Captive Network Assistant） 功能，确保认证页面自动弹出。
部分浏览器（如 Chrome）可能拦截重定向，需添加 AC 的 IP 到信任站点。
认证页面定制支持自定义认证页面（如替换 LOGO、添加免责声明），需将 HTML 文件压缩为 ZIP 格式并上传至 AC 的flash:/portal目录。
故障排查
使用display portal user命令查看在线用户状态。
检查 AC 的日志（系统工具 → 日志管理），定位认证失败原因（如用户不存在、密码错误）。