在portal认证中,交换机上必须配置哪些参数

Portal服务器IP、Portal页面URL、Shared-KEY。根据相关公开信息查询显示，Portal认证中，交换机必须要配置的参数有Portal服务器IP、Portal页面URL、Shared-KEY。Portal认证是网络接入控制方案（NAC）中的一种。Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。用户上网时，必须在门户网站进行认证，只有认证通过后才可以使用网络资源。Portal认证安全性较低，但是无需客户终端安装客户端软件，网络部署灵活。

AuthServer是Portal服务器的配置项；GatewayPort是Wifidog监听的地址，默认是2060，一般保持默认即可；CheckInterval是心跳时长，单位是秒，什么是心跳呢，客户端认证成功之后，如果有网络访问动作，Wifidog getway就会每隔一段时间访问Portal服务器的一个脚本，用于认证计费，当然，如果客户使用超时或超流量，也可以通过心跳强制客户端下线。ClientTimeout是用户一次认证成功后的网络访问时长，超过这个时间需要重新认证，这个时长并非由ClientTimeout单独决定，取决于INTERVAL * TIMEOUT。详细的配置信息可以访问： http://dev.wifidog.org/browser/trunk/wifidog/wifidog.conf 。

重点讨论Portal服务器的配置项，Hostname是Portal服务器的ip或者是域名，SSLAvailable和SSLPort是SSL加密配置，如果你的Portal服务器有配置HTTPS加密，则需要配置这两项；Path是指你的脚本路径(举例， http://a.com/to/ ，则a.com是域名，/to/是路径)，注意路径必须以“/”开头和结尾，如果是根路径，则填一个“/”即可；接下来的5个配置指明你的脚本名，这说明了我们需要写五个脚本，我会详细说明。(以下文中涉及的“第几步”均是指Wifidog认证过程的步骤)

LoginScriptPathFragment配置项配置的是登陆脚本，它通过GET方式接受传入参数gw_address、gw_port、gw_id、mac和url，gw_address是AP Getway的ip地址；gw_port是Wifidog监听的端口，即上面介绍的wifidog.conf中的GatewayPort配置；gw_id是AP Getway的id，配置文件wifidog.conf中可以配置，默认值是default，这个值的作用是当存在

可以配置

网络配置，VLANIF 88为管理VLAN为AP分配地址，VLANIF 100为业务VLAN为终端分配地址。

[AC6605]dhcp enable

[AC6605]vlan batch 88 100

[AC6605]interface Vlanif 88

[AC6605-Vlanif88]ip address 192.168.88.1 255.255.255.0

[AC6605-Vlanif88]dhcp select interface

[AC6605]interface Vlanif 100

[AC6605-Vlanif100]ip address 192.168.100.1 255.255.255.0

[AC6605-Vlanif100]dhcp select interface

[AC6605-Vlanif100]dhcp server dns-list 218.85.152.99

配置与上行设备通信接口地址，添加一条默认路由，指向USG防火墙

[AC6605]interface Vlanif 1

[AC6605-Vlanif1]ip address 192.168.31.100 255.255.255.0

[AC6605]ip route-static 0.0.0.0 0.0.0.0 192.168.31.1

配置AC与AP相连的端口。

[AC6605]interface GigabitEthernet0/0/11

[AC6605-GigabitEthernet0/0/11]port link-type trunk

[AC6605-GigabitEthernet0/0/11]port trunk pvid vlan 88

[AC6605-GigabitEthernet0/0/11]undo port trunk allow-pass vlan 1

[AC6605-GigabitEthernet0/0/11]port trunk allow-pass vlan 88 100

创建本地用户（登录时候用到）。

[AC6605]aaa

[AC6605-aaa]local-user huawei password cipher Admin@123

配置内置Portal的Server Portal服务器IP地址。推荐指向的IP地址使用LoopBack接口地址。利用LoopBack接口状态稳定的优点，可以避免因为接口故障导致用户无法打开的问题。

[AC6605]interface loopback 99

[AC6605-LoopBack99]ip address 192.168.99.1 255.255.255.0

[AC6605]portal local-server ip 192.168.99.1

配置内置Portal 的SSL策略和端口号（默认443已被AC WEB管理占用，不可用）。

[AC6605]portal local-server https ssl-policy default_policy port 2000

Info: Load web file successfully.

配置免认证规则。

[AC6605]portal free-rule 0 destination ip 218.85.152.99 mask 255.255.255.255

配置wlan-ess接口，在wlan-ess接口调用内置Portal与允许的认证域。

[AC6605]interface Wlan-Ess 1

[AC6605-Wlan-Ess1]port hybrid pvid vlan 100

[AC6605-Wlan-Ess1]port hybrid untagged vlan 100

[AC6605-Wlan-Ess1]portal local-server enable

[AC6605-Wlan-Ess1]permit-domain name default

配置AC的源接口，用于AC和AP之间建立隧道通信。

[AC6605]wlan

[AC6605-wlan-view]wlan ac source interface vlanif88

配置AP的认证方式为免认证。

[AC6605-wlan-view]ap-auth-mode no-auth

添加AP。

[AC6605-wlan-view]ap id 0 type-id 31 mac d4b1-10ac-0b00 sn 210235582910D6000354

创建名为“wmm1”的WMM模版，参数采用默认配置。

[AC6605-wlan-view]wmm-profile name wmm1 id 1

创建名为“radio1”的射频模版，绑定WMM模版“wmm1”。

[AC6605-wlan-view]radio-profile name radio1 id 1

[AC6605-wlan-radio-prof-radio1]wmm-profile id 1

创建名为“traffic1”的流量模版，参数采用默认配置。

[AC6605-wlan-view]traffic-profile name traffic1 id 1

创建名为“security1”的安全模版，认证方式为WEP认证，开放认证，不加密。

[AC6605-wlan-view]security-profile name security1 id 1

创建名为“service1”的服务集，并绑定流量模版和安全模版，WLAN-ESS接口。

[AC6605-wlan-view]service-set name service1 id 1

[AC6605-wlan-service-set-service1]wlan-ess 1

[AC6605-wlan-service-set-service1]ssid huawei-portal

[AC6605-wlan-service-set-service1]traffic-profile id 1

[AC6605-wlan-service-set-service1]security-profile id 1

[AC6605-wlan-service-set-service1]service-vlan 100

配置AP对应的VAP，下发WLAN服务

[AC6605-wlan-view]ap 0 radio 0

[AC6605-wlan-radio-0/0]radio-profile id 1

[AC6605-wlan-radio-0/0]service-set id 1 wlan 1

---