如何配置portal认证，有没有详解，小白一枚

您好，请知：

以下是portal的配置举例，请参考：

1.34  Portal典型配置举例

1.34.1  Portal配置举例（VLAN接口视图）

1. 组网需求

·     用户主机通过AP与AC相连，采用直接方式的Portal认证。用户通过手工配置或DHCP获取的一个公网IP地址进行认证，在通过Portal认证前，只能访问Portal Web服务器；在通过Portal认证后，可以使用此IP地址访问非受限互联网资源。

·     采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。

·     采用RADIUS服务器作为认证/计费服务器。

2. 组网图

图1-5 配置Portal认证组网图

3. 配置步骤

(1)     配置Portal server（iMC PLAT 5.0）

# 配置Portal认证服务器。

登录进入iMC管理平台，选择“业务”页签，单击导航树中的[Portal认证服务器管理/服务器配置]菜单项，进入服务器配置页面。

根据实际组网情况调整以下参数，本例中使用缺省配置。

图1-6 Portal认证服务器配置页面

# 配置IP地址组。

单击导航树中的[Portal认证服务器管理/IP地址组配置]菜单项，进入Portal IP地址组配置页面，在该页面中单击<增加>按钮，进入增加IP地址组配置页面。

·     填写IP地址组名；

·     输入起始地址和终止地址。用户主机IP地址必须包含在该IP地址组范围内；

·     选择业务分组，本例中使用缺省的“未分组”；

·     选择IP地址组的类型为“普通”。

图1-7 增加IP地址组配置页面

# 增加Portal设备。

单击导航树中的[Portal认证服务器管理/设备配置]菜单项，进入Portal设备配置页面，在该页面中单击<增加>按钮，进入增加设备信息配置页面。

·     填写设备名；

·     指定IP地址为与接入用户相连的设备接口IP；

·     输入密钥，与接入设备AC上的配置保持一致；

·     选择是否进行二次地址分配，本例中为直接认证，因此为否；

·     选择是否支持逃生心跳功能和用户心跳功能，本例中不支持。

图1-8 增加设备信息配置页面

# Portal设备关联IP地址组

在Portal设备配置页面中的设备信息列表中，点击NAS设备的<端口组信息管理>链接，进入端口组信息配置页面。

图1-9 设备信息列表

在端口组信息配置页面中点击<增加>按钮，进入增加端口组信息配置页面。

·     填写端口组名；

·     选择IP地址组，用户接入网络时使用的IP地址必须属于所选的IP地址组；

·     其它参数采用缺省值。

图1-10 增加端口组信息配置页面

# 最后单击导航树中的[业务参数配置/系统配置手工生效]菜单项，使以上Portal认证服务器配置生效。

(2)     配置AC

·     配置RADIUS方案

# 创建名字为rs1的RADIUS方案并进入该方案视图。

<AC> system-view

[AC] radius scheme rs1

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[AC-radius-rs1] primary authentication 192.168.0.112

[AC-radius-rs1] primary accounting 192.168.0.112

[AC-radius-rs1] key authentication simple radius

[AC-radius-rs1] key accounting simple radius

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[AC-radius-rs1] user-name-format without-domain

[AC-radius-rs1] quit

# 使能RADIUS session control功能。

[AC] radius session-control enable

·     配置认证域

# 创建并进入名字为dm1的ISP域。

[AC] domain dm1

# 配置ISP域的AAA方法。

[AC-isp-dm1] authentication portal radius-scheme rs1

[AC-isp-dm1] authorization portal radius-scheme rs1

[AC-isp-dm1] accounting portal radius-scheme rs1

[AC-isp-dm1] quit

# 配置系统缺省的ISP域dm1，所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名，则使用缺省域下的认证方法。

[AC] domain default enable dm1

·     配置Portal认证

# 配置Portal认证服务器：名称为newpt，IP地址为192.168.0.111，密钥为明文portal，监听Portal报文的端口为50100。

[AC] portal server newpt

[AC-portal-server-newpt] ip 192.168.0.111 key simple portal

[AC-portal-server-newpt] port 50100

[AC-portal-server-newpt] quit

# 配置Portal Web服务器的URL为http://192.168.0.111:8080/portal。（Portal Web服务器的URL请与实际环境中的Portal Web服务器配置保持一致，此处仅为示例）

[AC] portal web-server newpt

[AC-portal-websvr-newpt] url http://192.168.0.111:8080/portal

[AC-portal-websvr-newpt] quit

# 在接口Vlan-interface100上使能直接方式的Portal认证。

[AC] interface vlan-interface 100

[AC–Vlan-interface100] portal enable method direct

# 在接口Vlan-interface100上引用Portal Web服务器newpt。

[AC–Vlan-interface100] portal apply web-server newpt

# 在接口Vlan-interface100上设置发送给Portal认证服务器的Portal报文中的BAS-IP属性值为2.2.2.1。

[AC–Vlan-interface100] portal bas-ip 2.2.2.1

[AC–Vlan-interface100] quit

4. 验证配置

以上配置完成后，通过执行以下显示命令可查看Portal配置是否生效。

[AC] display portal interface vlan-interface 100

 Portal information of Vlan-interface100

     NAS-ID profile: Not configured

     VSRP instance : Not configured

     VSRP state    : N/A

     Authorization : Strict checking

     ACL           : Disabled

     User profile  : Disabled

 IPv4:

     Portal status: Enabled

     Portal authentication method: Direct

     Portal Web server: newpt(active)

     Secondary portal Web server: Not configured

     Authentication domain: Not configured

     Pre-auth domain: Not configured

     User-dhcp-only: Disabled

     Pre-auth IP pool: Not configured

     Max portal users: Not configured

     Bas-ip: 2.2.2.1

     User Detection:  Not configured

     Action for server detection:

         Server type    Server name                        Action

         --             --                                 --

     Layer3 source network:

         IP address               Mask

     Destination authenticate subnet:

         IP address               Mask

IPv6:

     Portal status: Disabled

     Portal authentication method: Disabled

     Portal Web server: Not configured

     Secondary portal Web server: Not configured

     Authentication domain: Not configured

     Pre-auth domain: Not configured

     User-dhcp-only: Disabled

     Pre-auth IP pool: Not configured

     Max portal users: Not configured

     Bas-ipv6: Not configured

     User detection: Not configured

     Action for server detection:

         Server type    Server name                        Action

         --             --                                 --

     Layer3 source network:

         IP address                                        Prefix length

     Destination authenticate subnet:

         IP address                                        Prefix length

用户既可以使用H3C的iNode客户端，也可以通过网页方式进行Portal认证。用户在通过认证前，只能访问认证页面http://192.168.0.111:8080/portal，且发起的Web访问均被重定向到该认证页面，在通过认证后，可访问非受限的互联网资源。

Portal用户认证通过后，可通过执行以下显示命令查看AC上生成的Portal在线用户信息。

[AC] display portal user interface vlan-interface 100

 Total portal users: 1

  Username: abc

  Portal server: newpt

  State: Online

  VPN instance: N/A

  MAC                IP                 VLAN   Interface

  0015-e9a6-7cfe     2.2.2.2            100    Vlan-interface100

  Authorization information:

    DHCP IP pool: N/A

    User profile: N/A

    Session group profile: N/A

    ACL: N/A

以下是portal的用户手册链接：

https://www.h3c.com/cn/d_202006/1299774_30005_0.htm#_Toc41903231