基于无线场景的内置portal服务器WEB认证方案
内置portal的场景案例
内置的portal功能相对来说比较单一,所以只适合小型的场所、旅馆、访客区域适用,这里还是一样用的FAT AP,跟AC的配置以及思路一模一样,所以没有采用AR+AC的方式,我们来看看portal里面需要注意哪些。
部署前需要了解的一些知识点
1、关于portal用户认证内置的场景下可以是本地,也可以是交给radius服务器,在本地的话我们需要在AC或者FAT AP上面创建用户名,类型为WEB的,而在radius上面则创建用户名信息即可,验证方式可以支持PAP与CHAP(这个是在AC或者FAT AP上面指定)
2、华为内置的portal只能是https方式,用到HTTPS就会用到证书SSL,设备默认内置了一个服务器证书,但是是自签名不可信任的,所以在第一次访问的时候会弹出不可信任,需要我们确认。
正式部署
1、创建一个portal服务器地址,这里直接使用接口地址。(在文档中可能会建议你使用loopback,但是会出现一些问题,在内置的portal下。)
[Huawei]interface vlan 1
[Huawei-Vlanif1]ip address 192.168.1.254 24
2、开启内置portal服务功能
[Huawei]portal local-server ip 192.168.1.254 //指定我们刚刚创建的
[Huawei]portal local-server https ssl-policy default_policy port 4434
PS:关于default_policy这个设备默认内置的SSL服务器策略,自带一个自签名证书,端口号默认不改为443,建议修改,否则HTTPS网管访问会受影响。
3、配置portal接入模板
[Huawei]portal-access-profile name portal
[Huawei-portal-access-profile-portal]portal local-server enable
定义一个portal接入模板,名字叫portal,并且开启了本地服务功能。
4、认证方式配置
由于我们采用的是本地认证,就不需要创建radius模板了
[Huawei]aaa
[Huawei-aaa]authentication-scheme portal
[Huawei-aaa-authen-portal]authentication-mode local
[Huawei-aaa]local-user test password cipher test.123
[Huawei-aaa]local-user test service-type web
5、认证模板
[Huawei]authentication-profile name portal
[Huawei-authentication-profile-portal]authentication-scheme portal
[Huawei-authentication-profile-portal]portal-access-profile portal
6、无线基本业务
[Huawei]wlan
[Huawei-wlan-view]ssid-profile name portal
[Huawei-wlan-ssid-prof-portal]ssid portal
[Huawei-wlan-view]security-profile name portal :这里创建一个模板就行了,默认为open方式
[Huawei-wlan-view]vap-profile name portal
[Huawei-wlan-vap-prof-portal]ssid-profile portal
[Huawei-wlan-vap-prof-portal]security-profile portal
[Huawei-wlan-vap-prof-portal]authentication-profile portal
[Huawei]interface Wlan-Radio 0/0/0
[Huawei-Wlan-Radio0/0/0]vap-profileportal wlan 2
[Huawei]interface Wlan-Radio 0/0/1
[Huawei-Wlan-Radio0/0/1]vap-profileportal wlan 2正式测试(看会遇到哪些问题)
测试的先用电脑端测试的,把本地网卡禁用了,连接的WIFI
连上后自动弹出了网页,这个时候会发现,我们随意点一个网站。
弹出认证界面了。
会出现一个界面,看着像没打开成功,实际是可以的,页面也弹到了success了。
可以看到Q、微信都登录成功了。
实用的查看命令
1、display portal:查看portal相关的全局参数
2、display portal local-server connect:查看当前哪些用户连接着
3、display access-user detail :查看用户的详细情况
免认证规则模板补充
免认证规则模板在portal中使用最多,通常是用来放行在认证之前放行必要的流量,比如DNS、外置的情况下放行portal服务器地址,微信服务器地址等,使得在认证的时候能够正常的跳转。
[Huawei]free-rule-template
name default_free_rule :这里注意下,在FAT中只能使用系统内置的模板,不能自定义,而AC中可以自定义。
[Huawei-free-rule-default_free_rule]free-rule 1 destination ip 223.5.5.5 mask 255.255.255.255
[Huawei-free-rule-default_free_rule]free-rul 2 destination ip 192.168.1.5 mask 255.255.255.255
我们定义2个规则,去往223.5.5.5跟192.168.1.5(都是DNS)的流量放行,注意free-rule必须跟ID。
[AC6005]acl number 6000
[AC6005-acl-ucl-6000]rule permit ip destination 223.5.5.5 0
[AC6005-acl-ucl-6000]rule permit ip destination 192.168.1.5
[AC6005]free-rule-template name test
[AC6005-free-rule-test]free-rule acl 6000
我们可以看到在AC里面除了规则的形式,还能基于我们属性的ACL,注意ACL的ID是6000开头
[Huawei]authentication-profile name portal
[Huawei-authentication-profile-portal]free-rule-template default_free_rule
最终调用,我们配置完后直接在认证模板里面调用这个规则即可。
在我们上面是没有配置免认证模板的,是因为系统自动有这个命令,只要是DNS流量都放行。