这几天在华为Eudumon1000E-G上配置PORTAL服务,开始照着文档上的示例来配,但根本不成功,经过一番研究终于搞定,下面把配置步骤总结一下:
组网结构:
VLAN1000从G0/0/1(二层接口)上来,DHCP分配IP地址用于接入WIFI认证的终端
GigabitEthernet0/0/0.100 三层接入子接口,信任区域,接入的是PORTAL服务器、WEB服务器和RADIUS服务器。这些服务器的地址是:10.103.129.34
GigabitEthernet0/0/0.101 三层接入子接口,非信任区域,接入互联网
采用第三方RADIUS和第三方PORTAL服务,有FW参与的PORTAL认证

1、配置各接口,并加入各自的安全区域
#注意这里我新建了一个区域wifi,专门用于接入WIFI认证的用户
interface GigabitEthernet0/0/0.100
 vlan-type dot1q 100
 description manage_interface
 ip address 172.16.0.2 255.255.255.252
 service-manage ping permit
 service-manage ssh permit
#
interface GigabitEthernet0/0/0.101
 vlan-type dot1q 101
 description public_interface
 ip address 10.254.1.2 255.255.255.252
#

vlan batch 1000
interface Vlanif1000
 ip address 172.16.4.1 255.255.255.0
 service-manage ping permit
 dhcp select interface
 dhcp server lease day 0 hour 4 minute 0
 dhcp server dns-list 202.103.224.68

interface GigabitEthernet0/0/1
 portswitch
 description dT:wifi_user
 undo shutdown
 port link-type access
 port default vlan 1000

firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0.100
 add interface MEth0/0/0

firewall zone name wifi id 4
 set priority 10
 add interface Vlanif1000

firewall zone untrust
 set priority 5
 add interface GigabitEthernet0/0/0.101

2、配置路由,保证各区域三层互通
请按自己的网络自行配置

3、配置认证、记帐和授权方案,都采用RADIUS处理
authentication-scheme radius
  authentication-mode radius
authorization-scheme radius
  authorization-mode radius
accounting-scheme radius
  accounting-mode radius

4、配置RADIUS服务器模板
radius-server template portal_radius
 radius-server shared-key cipher abcd1234
 radius-server authentication 10.103.129.34 1912 source ip-address 172.16.0.2 weight 80
 radius-server accounting 10.103.129.34 1913 source ip-address 172.16.0.2 weight 80
 radius-server user-name domain-included
 radius-server group-filter class
radius-server authorization 10.103.129.34 shared-key cipher abcd1234

5、配置认证域,一个用于WIFI认证,一个用于MAC认证
#两个域配置是一样的,分别配置是为了域名不一样,程序处理的时候方便一点
aaa
 domain macauth
  authentication-scheme radius
  accounting-scheme radius
  authorization-scheme radius
  radius-server portal_radius
  service-type internetaccess
  internet-access mode password
  reference user current-domain
 domain wifi
  authentication-scheme radius
  accounting-scheme radius
  authorization-scheme radius
  radius-server portal_radius
  service-type internetaccess
  internet-access mode password
  reference user current-domain

6、配置PORTAL服务器
web-auth-server default
 server-ip 10.103.129.34
 port 50100
 shared-key cipher abcd1234
 source-ip 172.16.0.2

7、配置PORTAL模板
#注意不要配置服务器检测,因为我的PORTAL服务器是自己用PYTHON写的,不支持心跳检测。否则由于逃生机制,FW会略过认证机制,直接放通网络。
user-manage portal-template portal 0
 portal-index 0
 portal-url http://10.103.129.34:8081
 portal-url parameter receive-interface nasid
 redirect-mode 302

还要配置一个PORTAL认证模板
authentication-profile name portal_authen_default
 portal-access-profile default
 access-domain wifi #指定认证域
还得在LOOPBACK0绑定
interface LoopBack0
 authentication-profile portal_authen_default

8、配置认证策略
auth-policy
 #配置一个白名单,主要是放行DNS服务器,或者其它你想要免认证访问的服务器
 #要注意认证策略的默认行为是不认证
 rule name wifi_whitelist
  source-zone wifi
  destination-zone untrust
  destination-address 202.103.224.68 mask 255.255.255.255
  destination-address 202.103.225.68 mask 255.255.255.255
  action none
#访问互联网,需要进行认证,并引用之前定义的PORTAL模板
 rule name wifi_internet
  source-zone wifi
  destination-zone untrust
  action auth portal-template portal

9、配置安全策略
#先配置一个服务,我们的PORTAL WEB服务器端口是8081,这里面需要事先定义
#请注意安全策略的默认行为是拒绝访问
ip service-set myportal type object 1024
 service 0 protocol tcp destination-port 8081 description myportal_web
这里面只列出了跟PORTAL认证相关的策略
security-policy
 允许wifi用户访问PORTAL服务
 rule name wifi_to_portal
  source-zone wifi
  destination-zone trust
  destination-address 10.103.129.34 mask 255.255.255.255
  service myportal
  action permit
  防火墙本身要跟RADIUS和PORTAL服务交互的,这里面需要放通
 rule name local_to_portal
  source-zone local
  destination-zone trust
  destination-address 10.103.129.34 mask 255.255.255.255
  action permit
  #PORTAL服务器需要访问防火墙的2000端口,这里也要放通
 rule name portal_to_local
  source-zone trust
  destination-zone local
  source-address 10.103.129.34 mask 255.255.255.255
  action permit
 #需要放通WIFI区域访问互联网
 #防火墙的处理策略是,先认证策略再安全策略,最后才是nat策略,一定要搞清楚每种策略的默认行为,这样配置起来才不会搞
 rule name wifi_to_internet
  source-zone wifi
  destination-zone untrust
  action permit

10、配置NAT
nat-policy
 rule name wifi_to_internet
  source-zone wifi
  destination-zone untrust
  action source-nat easy-ip

这里就基本把PORTAL认证配置好了
下面配置mac认证
11、配置mac认证模板,绑定之前建立的macauth域
authentication-profile name portal_authen_mac
 mac-access-profile mac_access_profile
 access-domain macauth

12、在二层接口绑定mac认证模板
interface GigabitEthernet0/0/1
  authentication-profile portal_authen_mac

13、启用MAC地址认证
user-manage online-user mac-address check enable
user-manage mac-access enable

其它注意事项
1、不要开启服务器检测,原因前面已经说过了
2、RADIUS下发的属性一定要注意,如果属性有误会导致PORTAL认证失败,我之前下发了华为的限速属性,可能限速过高,导致了PORTAL认证失败,建议只下发Filter-Id和Reply-Message这两个属性,其中Filter-Id是对应防火墙上的安全组。用user-manage security group wifi 建立安全组

华为Eudumon1000配置PORTAL认证相关推荐

  1. 华为 H3C 配置 Portal认证 mac-trigger快速认证 Mac无感知认证 Radius认证计费 对接 外部Portal认证计费系统 案例

    华为 H3C 配置 Portal认证 mac-trigger快速认证 Mac无感知认证 Radius认证计费 对接 外部Portal认证计费系统 案例 介绍: OpenPortal网络准入认证计费系统 ...

  2. ASE无线认证服务器,华为ac配置portal认证服务器

    华为ac配置portal认证服务器 内容精选 换一换 配置云AP的SSID时支持的认证方式多达13种,但是常用且推荐使用的认证方式有:密码认证(PSK):设置无线终端接入无线网络时需要输入的密码.Po ...

  3. 华为AC外置Portal认证方案配置步骤指南

    华为AC上配置外置Portal认证 1.配置流程 配置步骤 ** 首先进行与RADIUS服务器和Portal服务器对接参数配置 ** 1.配置RADIUS服务器模板和RADIUS认证方案 a.配置RA ...

  4. 华为汇聚交换机上配置Portal认证实现用户访问网络

    华为汇聚交换机上配置Portal认证实现用户访问网络 前提条件:已完成基础网络连通性配置,交换机到Radius服务器,DNS服务器,URL域名对应IP都要可达. 本实例是汇聚交换机作为认证点,若用核心 ...

  5. portal无线认证服务器,无线AC配置portal认证功能portal 认证服务器问题

    看了下官方portal认证的介绍,关于portal认证服务器和portal web服务器的配置如下: 配置Portal认证 # 配置Portal认证服务器,名称为newpt,IP地址为192.168. ...

  6. AR路由器如何配置Portal认证(二层网络)

    规格 适用于所有版本.所有形态的AR路由器. 说明: 4GE-2S.4ES2G-S.4ES2GP-S和9ES2单板不支持NAC功能. 组网需求 如图所示,某公司接待室需要部署一套身份认证系统,对接入网 ...

  7. 华为ac配置radius认证服务器_AC6005内置portal+外置radius认证失败

    AC配置 # portal local-server ip 10.66.99.2 portal local-server https ssl-policy default_policy port 84 ...

  8. 华为ac配置radius认证服务器_华为aaa配置 华为AAA认证典型配置举例 - 网络设备 - 服务器之家...

    华为aaa配置 华为AAA认证典型配置举例 发布时间:2017-03-06 来源:服务器之家 2.5 AAA典型配置举例 2.5.1 Telnet/SSH用户通过RADIUS服务器认证的应用配置 SS ...

  9. 华为ac配置radius认证服务器_华为思科设备RADIUS配置教程

    1. RADIUS 配置 RADIUS 客户端配置: 思科设备例子: 交换机和路由器的配置: aaa new-model aaa authentication login auth group rad ...

  10. 华为ac配置radius认证服务器_华为ac配置radius认证服务器_华为思科设备RADIUS配置教程...

    1. RADIUS 配置 RADIUS 客户端配置: 思科设备例子: 交换机和路由器的配置: aaa new-model aaa authentication login auth group rad ...

最新文章

  1. HarmonyOS UI开发 TableLayout(表格布局) 的使用
  2. Java外卖点餐系统
  3. 分布式系统的事务处理(推荐)
  4. iScroll.js 用法参考 (share)
  5. java ssm常用注解_SSM框架中常用的注解
  6. Struts学习笔记_i18n
  7. 【转】学习apicloud和IOS之间的模块化使用
  8. 主人公的出场—一个程序员的成长史(1)
  9. dalvik.system.PathClassLoader[DexPathList[[zip file /data/app/comda.xfdsafda.activdity-1/base.apk]
  10. mysql 更新并查询结果_数据库_基础知识_MySQL_UpdateSelect(根据查询出来的结果批量更新)...
  11. chainmaker VerifyingBlock height is not equal to proposed block
  12. C#开源大全--汇总
  13. 中国西北地区专题地图合集(高清)
  14. Android 深色模式适配
  15. 错误的SQL脚本,错误消息 4104
  16. php评论表情包怎么引入,WordPress中添加自定义评论表情包的方法
  17. 腾讯优图开源项目TNN总结与实践
  18. 纳滤膜分离技术用于制药提纯精制处理 稳定可靠
  19. python爬取网易云音乐飙升榜音乐_python爬取网易云音乐热歌榜单(获取iframe中数据,src为空)...
  20. 一切都好,只是很想念

热门文章

  1. could not resolve property: qid of: org.lxh.myzngt.vo.Answer [SELECT COUNT(q.qid) FROM org.lxh.myzn
  2. 钽电容的命名,贴片电解电容耐压,封装
  3. 基于PDF和JSPDF实现调整pdf文件大小功能
  4. OrthoMCL Pipeline 安装
  5. 高清视频录播服务器网站,高清录播服务器——DDA RSS3000
  6. 深圳云计算培训:专科生学习云计算就业前景如何?
  7. mmc驱动中的mmc_host结构体中rescan_disable变量的作用及使用
  8. 软件工程专业知识体系
  9. 小学计算机教师面试试题及答案,2019上半年小学信息技术教师资格证面试试题及答案(精选)第一批...
  10. python isupper_Python中用于检查英文字母大写的isupper()方法