SR8800X 结合IMC平台portal无感知典型配置

为了满足合法用户的免用户名、密码输入的需求，Portal增加了一种支持基于MAC地址的快速认证的新机制，被称为MAC Trigger认证方式即portal无感知。

portal无感知具有如下特点：

l  改善用户体验：首次用户需手动Portal认证，后续使用无感知接入；

l  终端适配较好：适配大部分WLAN终端，无需做客户端的适配测试；

l  认证兼容性较好：兼容现有Portal认证方式。

portal具备“一次认证，永久使用”的用户体验。用户首次登陆Portal页面成功认证后，如选择开通MAC认证，则后续只要关联WLAN就可以用任意应用上网，用户是感知不到认证过程的。

该方式需要在网络中部署MAC绑定服务器。MAC 绑定服务器用于记录用户的Portal 认证信息（用户名、密码）和用户终端的MAC地址，并将二者进行绑定，以便代替用户完成Portal 认证。

这里要先注意一下，仅 IPv4 的直接认证方式支持portal无感知。

这里注意在配置完各接口地址后要保证在portal认证之前，服务器和设备之间的路由要可达。

IMC侧配置与普通portal认证配置基本相同，不再进行赘述。以下列举不同的两点需要特别注意一下。

1、在portal服务器管理中端口组信息配置时，注意开启portal无感知认证支持。

2、在接入策略管理中系统配置板块允许非智能终端portal无感知认证，同时可设定最大绑定终端数。在此以10为例。

1、配置radius方案，命名为1

radius scheme 1

#配置radius方案的主认证和主计费服务器及其密钥
 primary authentication 192.168.88.254
 primary accounting 192.168.88.254
 key authentication cipher 123456
 key accounting cipher 123456

#配置发给radius服务器的用户名不携带ISP域名
 user-name-format without-domain

#配置nas-ip，即设备向radius服务器发送报文的源ip
 nas-ip 192.168.88.3

在系统视图下使能radius session control功能

# radius session-control enable
 

2、配置认证域，并命名为1

domain 1
 authentication portal radius-scheme 1
 authorization portal radius-scheme 1
 accounting portal radius-scheme 1

配置缺省ISP域为domain 1

# domain default enable 1

3、portal认证配置

#配置web服务器
portal web-server 1
 url http://192.168.88.254:8080/portal //url需与服务器侧保持一致
#配置portal认证服务器
portal server 1
 ip 192.168.88.254 key cipher 123456

4、portal无感知配置

#在MAC绑定服务器视图下还需配置免认证流量free-traffic threshold，在此为了方便实验效果没有配置（即配置为0）
portal mac-trigger-server 1
 ip 192.168.88.254

5、服务器侧端口配置

interface GigabitEthernet2/0/23
 port link-mode route
 combo enable copper
 ip address 192.168.88.3 255.255.255.0
#

6、用户侧端口配置

interface GigabitEthernet3/3/4
 port link-mode route
 combo enable copper
 ip address 2.2.2.1 255.255.255.0
 portal enable method direct//直连采用直连认证方式
 portal domain 1
 portal bas-ip 2.2.2.1
 portal apply web-server 1
 portal apply mac-trigger-server 1 //绑定服务器

1、一定要记得配置bas-ip，否则均设备无法主动向服务器发送相应的Portal报文。

2、在IMC侧一定要配置设备端口组，确保req-info报文可以发到BRAS设备上。

3、在路由侧配置[Router] portal mac-trigger-server ，在这里要注意将免费流量阈值free-traffic threshold改小，以便portal页面较快弹出。（用户在首次接入网络时，将获得一定的免认证流量。在用户收发的流量达到设定的阈值之前，用户无需进行认证。接入设备将用户的MAC 地址及接入端口信息保存为MAC-Trigger 表项。）