华为无线配置 WLAN 外置 Portal 认证实战案例

知孤云出岫

发布于 2026-03-04 17:36:06

760

华为无线配置 WLAN 外置 Portal 认证示例

一、组网图形

图1 配置WLAN外置Portal认证示例组网图

二、业务需求

某企业为了提高 WLAN 网络的安全性，采用外置 Portal 认证方式，实现对用户的接入控制。

三、组网需求

1. AC组网方式

旁挂二层组网

2. DHCP部署方式

AC 作为 DHCP 服务器为 AP 分配 IP 地址
汇聚交换机 SwitchB 作为 DHCP 服务器为 STA 分配 IP 地址
STA 默认网关：10.23.101.2

3. 业务数据转发方式

隧道转发

4. 认证方式

外置 Portal 认证

5. 安全策略

开放认证（Open）

四、数据规划

1. AC 数据规划表

配置项	数据
AP管理VLAN	VLAN100
STA业务VLAN	VLAN101
DHCP服务器	AC为AP分配IP，SwitchB为STA分配IP
AP地址池	10.23.100.2～10.23.100.254/24
STA地址池	10.23.101.4～10.23.101.254/24
AC源接口IP	VLANIF100：10.23.100.1/24

2. 业务模板规划

AP组

名称：ap-group1
绑定模板：
- VAP模板 wlan-net
- 域管理模板 default

域管理模板

名称：default
国家码：中国（cn）

SSID模板

名称：wlan-net
SSID名称：wlan-net

安全模板

名称：wlan-net
安全策略：开放认证

RADIUS参数

认证方案：wlan-net
计费方案：wlan-net
服务器模板：wlan-net
- IP：10.23.102.1
- 端口：1812
- 共享密钥：Huawei123

Portal服务器模板

名称：wlan-net
IP地址：10.23.103.1
端口：50200
共享密钥：Huawei123

Portal接入模板

名称：wlan-net
绑定Portal服务器模板：wlan-net

免认证规则模板

名称：default_free_rule
放行资源：8.8.8.8（DNS）

认证模板

名称：wlan-net
绑定：
- Portal接入模板
- RADIUS服务器模板
- 免认证规则模板
- 认证方案

VAP模板

名称：wlan-net
转发模式：隧道转发
业务VLAN：101
绑定：
- SSID模板
- 安全模板
- 认证模板

五、配置思路

配置AP、AC与周边设备互通
配置AP上线
配置AC外置Portal参数
配置RADIUS服务器
配置Portal接入模板
配置免认证规则
配置认证模板
配置WLAN业务参数
配置第三方服务器

六、配置注意事项

1. 组播抑制

无线空口无ACK保障
建议开启组播报文抑制功能

2. 端口隔离

建议AP直连接口开启端口隔离
防止广播风暴

3. VLAN要求

管理VLAN与业务VLAN不能相同
隧道转发模式下，仅放通管理VLAN

4. CAPWAP安全要求（V200R021C00及之后版本）

默认开启DTLS加密
首次上线需：


capwap dtls no-auth enable

上线完成后关闭：


undo capwap dtls no-auth enable

七、操作步骤

1️⃣ 配置周边设备

SwitchA配置

sysname SwitchA
vlan batch 100

interface GigabitEthernet0/0/1
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100
port-isolate enable

interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100

SwitchB配置

sysname SwitchB
vlan batch 100 101
dhcp enable

interface Vlanif101
 ip address 10.23.101.1 255.255.255.0
 dhcp select interface
 dhcp server gateway-list 10.23.101.2
 dhcp server dns-list 8.8.8.8
 dhcp server excluded-ip-address 10.23.101.3

Router配置

sysname Router
vlan batch 101

interface Vlanif101
 ip address 10.23.101.2 255.255.255.0

interface GigabitEthernet1/0/0
 port link-type trunk
 port trunk allow-pass vlan 101

2️⃣ AC基础配置

sysname AC
vlan batch 100 101
dhcp enable

VLAN接口配置

interface Vlanif100
 ip address 10.23.100.1 255.255.255.0
 dhcp select interface

interface Vlanif101
 ip address 10.23.101.3 255.255.255.0

ip route-static 0.0.0.0 0.0.0.0 10.23.101.2

3️⃣ CAPWAP配置

capwap source interface vlanif100
capwap dtls no-auth enable

AP上线成功后：

undo capwap dtls no-auth enable

4️⃣ RADIUS配置

radius-server template wlan-net
 radius-server authentication 10.23.102.1 1812
 radius-server shared-key cipher Huawei123

aaa
 authentication-scheme wlan-net
  authentication-mode radius
 accounting-scheme wlan-net
  accounting-mode radius
  accounting realtime 15

5️⃣ Portal配置

URL模板

url-template name wlan-net
 url http://portal.com:8080/portal
 url-parameter ssid ssid redirect-url url

Portal服务器模板

web-auth-server wlan-net
 server-ip 10.23.103.1
 port 50200
 shared-key cipher Huawei123

Portal接入模板

portal-access-profile name wlan-net
 web-auth-server wlan-net direct

6️⃣ 免认证规则

free-rule-template name default_free_rule
 free-rule 1 destination ip 8.8.8.8 mask 255.255.255.255

7️⃣ 认证模板

authentication-profile name wlan-net
 portal-access-profile wlan-net
 free-rule-template default_free_rule
 authentication-scheme wlan-net
 radius-server wlan-net

8️⃣ WLAN业务配置

wlan

安全模板

security-profile name wlan-net
 security open

SSID模板

ssid-profile name wlan-net
 ssid wlan-net

VAP模板

vap-profile name wlan-net
 forward-mode tunnel
 service-vlan vlan-id 101
 ssid-profile wlan-net
 security-profile wlan-net
 authentication-profile wlan-net

AP组绑定

ap-group name ap-group1
 vap-profile wlan-net wlan 1 radio 0
 vap-profile wlan-net wlan 1 radio 1

八、验证结果

STA可以搜索到SSID：wlan-net
成功获取IP地址
打开浏览器自动跳转Portal认证页面
输入账号密码后认证成功
成功访问网络

九、完整配置文件

SwitchA

#
sysname SwitchA
#
vlan batch 100
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk pvid vlan 100
 port trunk allow-pass vlan 100
 port-isolate enable group 1
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 100
#
return

SwitchB

#
sysname SwitchB
#
vlan batch 100 to 101
#
dhcp enable
#
interface Vlanif101
 ip address 10.23.101.1 255.255.255.0
 dhcp select interface
 dhcp server gateway-list 10.23.101.2
 dhcp server dns-list 8.8.8.8
 dhcp server excluded-ip-address 10.23.101.3
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 100
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 100 to 101
#
interface GigabitEthernet0/0/3
 port link-type trunk
 port trunk allow-pass vlan 101
#
return

Router

#
sysname Router
#
vlan batch 101
#
interface Vlanif101
 ip address 10.23.101.2 255.255.255.0
#
interface GigabitEthernet1/0/0
 port link-type trunk
 port trunk allow-pass vlan 101
#
return

AC

#
 sysname AC
#
vlan batch 100 to 101
#
authentication-profile name wlan-net
 portal-access-profile wlan-net
 free-rule-template default_free_rule
 authentication-scheme wlan-net
 radius-server wlan-net
#
dhcp enable
#
aaa
 authentication-scheme wlan-net
  authentication-mode radius
 accounting-scheme wlan-net
  accounting-mode radius
  accounting realtime 15
#
interface Vlanif100
 ip address 10.23.100.1 255.255.255.0
 dhcp select interface
#
interface Vlanif101
 ip address 10.23.101.3 255.255.255.0
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 100 101
#
ip route-static 0.0.0.0 0.0.0.0 10.23.101.2 
#
capwap source interface vlanif100
#
radius-server template wlan-net
 radius-server shared-key cipher %^%#Oc6_BMCw#9gZ2@SMVtk!PAC6>Ou*eLW/"qLp+f#$%^%#
 radius-server authentication 10.23.102.1 1812 weight 80
#
free-rule-template name default_free_rule
 free-rule 1 destination ip 8.8.8.8 mask 255.255.255.255
#
url-template name wlan-net
 url http://portal.com:8080/portal
#
web-auth-server wlan-net
 server-ip 10.23.103.1
 port 50200
 shared-key cipher %^%#4~ZXE3]6@BXu;2;aw}hA{rSb,@"L@T#e{%6G1AiD%^%#
 url-template wlan-net ciphered-parameter-name cpname iv-parameter-name iv-value key cipher %^%#4~ZXE3]6@BXu;2;aw}hA{rSb,@"L@T#e{%6G1AiD%^%#
#
portal-access-profile name wlan-net
 web-auth-server wlan-net direct
#
wlan
 security-profile name wlan-net
 ssid-profile name wlan-net
  ssid wlan-net
 vap-profile name wlan-net
  forward-mode tunnel
  service-vlan vlan-id 101
  ssid-profile wlan-net
  security-profile wlan-net
  authentication-profile wlan-net
 ap-group name ap-group1
  regulatory-domain-profile default
  radio 0
   vap-profile wlan-net wlan 1
  radio 1
   vap-profile wlan-net wlan 1
 ap-id 0 type-id 35 ap-mac 60de-4476-e360 ap-sn 210235554710CB000042
  ap-name area_1
  ap-group ap-group1
#
return

本文参与腾讯云自媒体同步曝光计划，分享自微信公众号。

原始发表：2026-03-03，如有侵权请联系 cloudcommunity@tencent.com 删除

配置

本文分享自智网研习社微信公众号，前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体同步曝光计划，欢迎热爱写作的你一起参与！

登录后参与评论

0 条评论

热度

华为无线配置 WLAN 外置 Portal 认证实战案例

华为无线配置 WLAN 外置 Portal 认证实战案例

华为无线配置 WLAN 外置 Portal 认证示例

一、组网图形

二、业务需求

三、组网需求

1. AC组网方式

2. DHCP部署方式

3. 业务数据转发方式

4. 认证方式

5. 安全策略

四、数据规划

1. AC 数据规划表

2. 业务模板规划

AP组

域管理模板

SSID模板

安全模板

RADIUS参数

Portal服务器模板

Portal接入模板

免认证规则模板

认证模板

VAP模板

五、配置思路

六、配置注意事项

1. 组播抑制

2. 端口隔离

3. VLAN要求

4. CAPWAP安全要求（V200R021C00及之后版本）

七、操作步骤

1️⃣ 配置周边设备

SwitchA配置

SwitchB配置

Router配置

2️⃣ AC基础配置

VLAN接口配置

3️⃣ CAPWAP配置

4️⃣ RADIUS配置

5️⃣ Portal配置

URL模板

Portal服务器模板

Portal接入模板

6️⃣ 免认证规则

7️⃣ 认证模板

8️⃣ WLAN业务配置

安全模板

SSID模板

VAP模板

AP组绑定

八、验证结果

九、完整配置文件

SwitchA

SwitchB

Router

AC

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐