我的思想随着这些闪耀的绿叶而闪耀;我的心灵因了这日光的抚触而歌唱;

无处不在的Portal认证

华为认证 致远 289℃ 0评论

1.1 无处不在的Portal认证

场景一:北京国际机场,岩松打开iPhone搜索Wi-Fi信号,看到机场Wi-Fi登录页面,输入手机号获取密码,输入密码后连接Internet刷微博。

场景二:某餐馆,顾客小e拿出手机扫了餐桌上的二维码,弹出“连接网络”页面,单击“连接网络”后以匿名方式连接Internet,在朋友圈和大家分享美食。

场景三:某酒店,出差人员张经理在酒店办理入住手续时获得以房间号为帐号和一个随机密码。通过手机连接酒店提供的Wi-Fi,输入帐号和密码后下载出差地的离线地图。

这几种连接Internet有一个共同点,就是都会弹出登录页面,术语称之为Portal认证页面。

根据国家接入互联网的相关规定,在接入互联网之前必须通过身份认证。从终端的角度看,考虑到终端的复杂性,在终端上安装认证客户端进行身份认证是不现实的。而几乎全部的智能终端都装有Web浏览器。身份认证最好是能够通过Web页面的方式进行。问题是,旅客如何申请登录帐号?

现在常用获取账号的方式有:

l   通过短信获取密码

l   公用的帐号和密码(扫描二维码)

把登录帐号和密码都编码在二维码图案中,使用智能终端扫描后即可自动完成登录。

l   通过打印纸条提供帐号和密码

l   关注微信公共帐号后获取上网帐号和密码

使用微信关注某个公共帐号后接入Internet。

Portal认证有如下优点:

l   不需要安装客户端。使用Web页面认证,使用方便,减少客户端的维护工作量。

l   便于运营。可以在Portal页面上开展业务拓展,如广告展示、责任公告、企业宣传等。

l   提供计费功能,通过计费功能来限制终端接入网络的时长。

Portal认证优势明显,故此无处不在。

1.2 什么是Portal认证

Portal认证也称为Web认证,是基于网页的形式向用户提供身份认证和个性化的信息服务。

Portal认证系统的典型组网方式由四个基本要素组成:认证客户端、接入设备、Portal服务器与认证/授权服务器。

 

l   认证客户端:安装于用户终端的客户端系统,为运行HTTP协议的浏览器或运行Portal客户端软件的主机。

l   接入设备:交换机、路由器或AC(Access Controller)等宽带接入设备的统称。如果把网络看成一栋高楼,那接入设备就是门卫,要进屋必须由门卫放行。接入设备主要有三方面的作用:

?       在认证之前,将认证网段内用户的所有HTTP请求都重定向到Portal服务器。

?       在认证过程中,与Portal服务器、AAA服务器交互,完成身份认证/授权的功能。

?       在认证通过后,允许用户访问被管理员授权的互联网资源。

l   Portal服务器:接收Portal客户端认证请求的服务器端系统,提供免费门户服务和基于Web认证的界面,与接入设备交互认证客户端的认证信息。

Portal服务器可分为内置Portal服务器和外置Portal服务器两种。通常交换机/AC会内置Portal服务器,帐号和密码保存在交换机/AC。受限于接入设备存储空间、功能和性能,内置Portal服务器只适合功能简单、接入人数少的场景。例如小型餐馆提供的连接Internet服务。

如果需要实现微信接入、短信接入等复杂的功能,考虑到接入设备性能和认证体验,内置Portal服务器恐怕难以胜任,需要具有独立于接入设备之外的硬件服务器来承载Portal认证业务。

受益于独立的硬件服务器提供充足的存储空间和性能保证,外置Portal服务器在功能上可获得充分的扩展。例如华为Policy Center服务器中的Portal服务器组件,可在体育馆、机场、地铁、大型商场等用户密集场馆提供可靠的认证和接入服务。

l   AAA服务器:与接入设备进行交互,完成对用户的认证、计费和授权。

不同的用户接入网络的权限可能会不一样。例如访客认证后只允许访问Internet,而员工认证能够访问内部的业务系统。终端认证后访问网络的权限大小,是由AAA服务器说了算。

如果把还网络看成一栋高楼,接入设备看成门卫,那AAA服务器就是坐在楼上办公的老板,他会通知门卫是否准许访客进入大厦,是带到接待室还是会议室。

Portal认证可同时应用于有线终端认证和无线终端认证,在网络中可打造有线无线一体化接入方案。有线终端的Portal认证可由交换机负责接入,而无线终端Portal认证可由无线接入控制设备来完成。Portal认证技术成熟,被广泛应用于运营商、连锁快餐、酒店、学校等网络。

1.3 Portal认证在企业网络中的应用方案

网络中的各种资源对企业的重要程度是不一样的。为了对不同级别的网络资源进行区别对待,Portal认证方案把整个网络分成3个区域:

l   认证前域

终端在认证前允许访问的网络资源。认证过程需要依赖的网络资源都需要在认证前域开放。例如认证服务器(Portal服务器、AAA服务器)、DHCP服务器、DNS服务器。

认证前域是整个网络唯一的,所有的终端用户共享一个认证前域。

l   认证后域

需要由Portal网关保护的网络资源。在终端用户通过认证的情况下才允许访问的网络资源。例如ERP系统、财务系统。

与认证前域的唯一性不同,不同的终端用户的认证后域可能会不一样。例如访客认证通过后只能访问Internet,而员工认证通过后除了能够访问Internet,还能访问内部网络资源。

l   终端

所有需要接入网络的终端,包括便携机、PC、智能手机、平板电脑。

根据有线Portal认证接入控制设备在网络中的部署位置,Portal认证分为三种方案。不同的认证方案适应不同规模的园区。

1.3.1 汇聚层Portal认证方案

汇聚层交换机作为有线网络Portal认证的接入控制设备。AC以旁路方式部署在核心层设备的旁边,作为无线网络Portal认证的接入控制设备。

AC之所以选择以旁路方式部署在核心层而不是汇聚层,是基于如下考虑:

l   如果AC部署在汇聚层,部署位置过低,难以实现对整个网络的AP进行统一的管理。

l   如果AC采取直路部署方式,AC容易成为网络性能瓶颈,并且容易造成单点故障。

汇聚层Portal认证方案适于大、中、小型园区,其优势在于:

l   在汇聚层部署接入控制设备,数量比在接入层部署接入控制设备要少,减轻管理员维护设备的压力。

l   接入控制设备的部署位置比在核心层部署要低,能够在网络的更低的位置对非授权终端进行隔离,安全性比核心层Portal认证要高。

l   采用外置Portal服务器,能够实现双机热备,联合微信、短信对访客进行身份认证,限制终端在线时长等高级功能。

对于网络打印机、IP电话等哑终端,可通过MAC认证方式接入网络,不在此文的讨论范围之内。

1.3.2 核心层Portal认证方案

核心层交换机作为有线网络的Portal认证的接入控制设备。AC以旁路方式部署在核心层设备的旁边,作为无线网络Portal认证的接入控制设备。

核心层Portal认证方案用于小型园区或者网络改造场景,其优势在于:

l   在核心层部署接入控制设备,数量比在汇聚层部署接入控制设备要少,减轻管理员维护设备的压力。

l   只需要替换核心层设备,避免大规模替换网络设备,保护企业**。

l   采用外置Portal服务器,能够实现双机热备,联合微信、短信对访客进行身份认证,限制终端在线时长等高级功能。

1.3.3 出口网关Portal认证方案

对于SOHO型(微小型)园区网,本地没有部署服务器资源,所有的服务器资源保存在总部。所有的终端需要通过Internet连接总部来访问需要的网络资源才能正常办公。

在Internet出口采用具有内置AC功能的路由器作为接入控制设备,对有线终端和无线终端作接入控制。

SOHO型(微小型)园区网终端规模在100以下,出口网关Portal认证方案适用于微型企业或者办事处(终端规模在100以下,例如连锁酒店,连锁咖啡店)的场景,其优势在于:

l   以出口网关作为接入控制设备,设备维护简单。

l   通过接入控制设备内置的Portal服务器对终端进行认证,可节约购买外置Portal服务器的硬件成本。

出口网关Portal认证方案相对比较简单,不属于本文讨论的重点。

1.4 认证原理

有线、无线Portal无论在哪种组网场景下,基本原理和流程都类似。下面以机场候机旅客接入互联网,RADIUS服务器和Portal服务器使用华为Policy Center为例,说明Portal认证的原理。

l   客户端与Portal服务器之间交互使用HTTP协议。

l   Portal服务器与接入控制设备之间交互使用Portal V2协议,Portal协议用了CHAP或PAP认证。

l   接入控制设备与RADIUS服务器之间交互使用RADIUS协议。

 

旅客打开手机Wi-Fi,选择机场提供的免费网络热点,获取由机场分配的IP地址。

旅客访问互联网,HTTP报文经过接入控制设备。接入控制设备发现该终端处于未上线状态,于是通过Web重定向技术向终端发送Portal认证链接。

 

手机的IP地址是10.20.238.199,使用TCP端口号47502(随机端口)。

Portal服务器的IP地址是10.20.5.51,使用TCP端口号8080(固定端口)。

链接http://10.20.5.51:8080/PortalServer/portal.jsp?url=http://comm.inner.bbk.com,“http://10.20.5.51:8080/PortalServer/portal.jsp”是Portal认证页面的地址。“http://comm.inner.bbk.com”是终端在认证前访问的原始地址,记录这个地址是为了在认证后自动跳转到客户在认证前在Web浏览器地址栏输入的原始网址。

虽说旅客访问的是http://comm.inner.bbk.com,但实际显示的是Portal认证的页面。

1.         旅客输入手机号,单机“获取密码”。旅客手机收到验证码短信,在认证页面输入手机号和密码,单击“认证”,对应上图的(1),以此类推。

2.         Portal服务器根据终端的IP地址查找负责接入控制的设备。

3.         在Portal服务器与接入控制设备建立可靠连接之前,Portal服务器会与接入控制设备核对Portal密钥,对应于“REQ_CHALLENGE”消息。

4.         如果两边的Portal密钥配置一致,则校验通过,接入控制设备会回复“ACK_CHALLENGE”消息。

Portal服务器的IP地址是10.20.5.51,使用UDP端口号50100(固定端口)。

AC的IP地址是10.20.5.254,使用UDP端口号2000(固定端口)。

从报文分析结果可看出来,本次Portal服务器与接入控制设备之间交互使用CHAP。

5.         Portal密钥校验通过后,Portal服务器向接入控制设备发送终端上线请求消息“REQ_AUTH”,消息中包含用户信息。

6.         接入控制设备收到上线请求消息后把用户信息和加密后的密码封装在RADIUS报文,通过“Access_Request”发给RADIUS服务器。

AC的IP地址是10.20.5.254,使用UDP端口号1812(固定端口)。

RADIUS的IP地址是10.20.5.51(与Portal服务器安装在同一台PC服务器),使用UDP端口号1812(固定端口)。

7.         如果帐号和密码,与RADIUS服务器上保存的帐号和密码一致,则RADIUS服务器回复Access_Accept(以下发ACL为例)。

由Access_Accept消息可以看到,ACL ID是在RADIUS第11号属性Filter-Id,认证通过后下发给接入控制设备的ACL ID是3001。

华为Policy Center Portal下发的授权属性只支持ACL ID和用户组ID,不支持VLAN ID,也不支持动态ACL。

8.         RADIUS服务器需要通过Accounting_Request消息通知接入控制设备开始计费请求,表示手机在RADIUS服务器开始上线。

9.         接入控制设备向RADIUS服务器回复Accounting_Response消息,手机已经开始计费,在RADIUS服务器上线成功。

计费使用UDP端口,AC与RADIUS服务器分别使用1812和1813端口。

当然,华为Policy Center的计费不是真实意义上的计费(谈钱伤感情),只是通过计费报文记录旅客的上先、下线时间,维护旅客的在线状态。

机场接待旅客的人数和Internet连接服务都是有限制的。为了避免RADIUS服务器和Portal服务器资源耗尽,管理员会限制旅客的在线时长。例如旅客只能上网冲浪4小时,超时后自动断开连接。

10.      AC给Portal服务器回复ACK_AUTH,表示终端认证成功。

11.      Portal服务器通知手机认证成功,在一个新的浏览器窗口推出 http://comm.inner.bbk.com页面(旅客在认证前访问的页面),旅客可以上网冲浪。

理解原理了不等于能够顺利完成Portal认证的部署,下面我们介绍一下Portal认证配置要点,帮助各位加深认识。

1.5 Portal认证配置举例

以向机场旅客提供无线上网服务为例,华为Policy Center V100R003C10作为Portal服务器和RADIUS服务器,采用华为AC6605 V200R005C00作为出口网关的Portal认证方案。

1.5.1 配置AC

保证网络互通的前提下,配置RADIUS服务器认证、计费和授权模板,并配置Portal服务器地址,以便AC能够与RADIUS服务器和Portal服务器联动。

1.         配置RADIUS服务器认证、计费和授权模板。

[AC] radius-server template radius_huawei1

[AC-radius-radius_huawei] radius-server authentication 172.18.1.1 1812 source ip-address 172.19.10.2  //配置RADIUS认证服务器,认证端口1812,使用172.19.10.2和RADIUS服务器通信

[AC-radius-radius_huawei] radius-server accounting 172.18.1.1 1813 source ip-address 172.19.10.2  //配置RADIUS计费服务器,以便获取终端用户的上下线信息,计费端口1813,使用172.19.10.2和RADIUS服务器通信

[AC-radius-radius_huawei] radius-server shared-key cipher Admin@123  //配置RADIUS服务器预共享密钥

[AC-radius-radius_huawei] radius-server user-name original  //设备向RADIUS服务器发送的用户名为用户原始输入的用户名

[AC-radius-radius_huawei] quit

[AC] radius-server authorization 172.18.1.1 shared-key cipher Admin@123  //配置RADIUS授权服务器的地址,共享密钥为Admin@123,必须与认证密钥和计费密钥一致。配置授权服务器以便RADIUS服务器向AC下发授权规则

[AC] aaa

[AC-aaa] authentication-scheme radius_huawei2

[AC-aaa-authen-radius_huawei] authentication-mode radius  //AC与Policy Center联动,Policy Center作为RADIUS服务器,认证方案必须配置为RADIUS

[AC-aaa-authen-radius_huawei] quit

[AC-aaa] accounting-scheme radius_huawei3

[AC-aaa-accounting-radius_huawei] accounting-mode radius  //配置计费方案为RADIUS方式。为了方便RADIUS服务器维护帐号的状态信息,例如上下线信息,强制帐号下线,计费模式必须配置为radius

[AC-aaa-accounting-radius_huawei] accounting realtime 15  //配置实时计费周期为15分钟,计费周期需要按照表1-4根据实际用户数进行配置,本例以用户数1000来配置

[AC-aaa-accounting-radius_huawei] quit

[AC-aaa] domain portal  //配置域,绑定认证方案、计费方案和RADIUS服务器模板

[AC-aaa-domain-portal] authentication-scheme radius_huawei2

[AC-aaa-domain-portal] accounting-scheme radius_huawei3

[AC-aaa-domain-portal] radius-server radius_huawei1

[AC-aaa-domain-portal] quit

[AC-aaa] quit

说明:

accounting realtime命令用来配置实时计费周期。实时计费间隔的取值对设备和RADIUS服务器的性能有要求,实时计费间隔的取值越小,对设备和RADIUS服务器的性能就越高。请根据用户数设置计费间隔,如表1-4所示。

表1-1 表2-12  计费间隔

用户数 实时计费间隔
1~99 3min
100~499 6min
500~999 12min
≥1000 ≥15min

2.         配置Portal服务器。

[AC] url-template name huawei

[AC-url-template-huawei] url http://172.18.1.1:8080/portal  //配置Portal认证页面URL

[AC-url-template-huawei] url-parameter ssid ssid redirect-url url  //配置URL中携带的参数字段名称,和认证服务器保持一致,第一个ssid表示AC向Portal服务器携带的终端用户使用的ssid,第二个ssid表示在参数传递过程中AC不对携带参数名称进行重新命名,沿用ssid作为参数名称;AC使用url作为参数名传递给Portal服务器,Portal服务器侧需要输入url,表示从url这个参数获取跳转的URL地址

[AC-url-template-huawei] quit

[AC] web-auth-server listening-port 2000  //配置设备上处理Portal协议报文的端口号,默认为2000,如果修改此端口的值,在Policy Center上添加AC设备时,也需要配置成修改后的端口号

[AC] web-auth-server portal_huawei

[AC-web-auth-server-portal_huawei] server-ip 172.18.1.1  //配置Portal服务器的IP地址

[AC-web-auth-server-portal_huawei] source-ip 172.19.10.2  //配置设备和Portal服务器通信的IP地址

[AC-web-auth-server-portal_huawei] port 50200  //配置向Portal服务器主动发送报文时使用的目的端口号为50200。Portal服务器接收报文的端口号为50200,AC上默认的发送报文的端口号为50100,必须手动修改为50200,以便与Portal服务器适配

[AC-web-auth-server-portal_huawei] shared-key cipher Admin@123  //配置与Portal服务器通信的共享密钥,和Portal服务器保持一致

[AC-web-auth-server-portal_huawei] url-template huawei [AC-web-auth-server-portal_huawei] quit

# 在业务接口下绑定Portal服务器模板,使能Portal认证的功能。

[AC] interface vlanif 101

[AC-Vlanif101] web-auth-server portal_huawei direct  //绑定Portal服务器模板,用户终端和AC之间为二层组网,配置为direct方式,如果为三层组网,则需要配置layer3方式

[AC-Vlanif101] quit

[AC] interface vlanif 102

[AC-Vlanif102] web-auth-server portal_huawei direct  //绑定Portal服务器模板

[AC-Vlanif102] quit

# 配置用户认证前和认证后的访问规则。

[AC] portal free-rule 0 destination ip 172.18.1.3 mask 255.255.255.255  //配置portal认证的免认证规则,确保终端用户认证前能访问DNS服务器

[AC] portal free-rule 1 destination ip 172.18.1.2 mask 255.255.255.255  //配置portal认证的免认证规则,确保终端用户认证前能访问DHCP服务器

[AC] portal free-rule 1 destination ip 172.18.1.1 mask 255.255.255.255  //配置portal认证的免认证规则,确保终端用户认证前能访问RADIUS服务器和Portal服务器

 

[AC] acl 3002  //配置访客认证后域,可访问Internet,不可以访问机场内部服务器所在的网段

[AC-acl-adv-3002]  rule 5 deny ip destination 10.0.0.0 0.255.255.255  //10.0.0.0为内网服务器资源所在网段,不允许旅客访问,实现旅客与服务器网络隔离

[AC-acl-adv-3002]  rule 10 permit ip

[AC-acl-adv-3002]  quit

# 配置终端类型感知功能,将DHCP报文中包含终端类型信息的Option字段,发送给认证服务器,认证服务器可以根据终端类型,推送合适的Portal认证页面。

[AC] dhcp snooping enable

[AC] device-sensor dhcp option 12 55 60

3.         配置AC,完成WLAN业务配置

# 配置AC的国家码。

[AC] wlan ac-global country-code cn

# 配置AC ID和运营商标识。

[AC] wlan ac-global ac id 1 carrier id other

# 配置AC的源接口。

[AC] capwap source interface vlanif 100

说明:

该命令只支持AC6605/6005 V200R005C10及之后的版本。AC6605/6005 V200R005C00及之前的版本配置AC源接口使用如下命令:

[AC] wlan

[AC] wlan ac source interface vlanif 100

# 现场获取AP的MAC地址后,查看AP的设备类型ID。

[AC] wlan

[AC-wlan-view] display ap-type all

19     AP6010DN-AGN

# 根据查询到的AP设备类型ID,离线添加AP。假设AP的类型为AP6010DN-AGN,为内部员工提供服务的AP_0的MAC地址为60de-4476-e360,为访客提供服务的AP_1的MAC地址为60de-4476-e361。

[AC-wlan-view] ap-auth-mode mac-auth

[AC-wlan-view] ap id 0 type-id 19 mac 60de-4476-e360

[AC-wlan-ap-0] quit

[AC-wlan-view] ap id 1 type-id 19 mac 60de-4476-e361

[AC-wlan-ap-1] quit

[AC-wlan-view] quit

# 将AP上电后,可以查看到AP的“AP State”字段为“normal”。

[AC] display ap all

# 配置WLAN业务参数。

[AC] interface wlan-ess 2  //配置WLAN-ESS接口,旅客接入Internet要进行Portal认证

[AC-Wlan-Ess2] port hybrid pvid vlan 102

[AC-Wlan-Ess2] port hybrid untagged vlan 102

[AC-Wlan-Ess2] force-domain name portal

[AC-Wlan-Ess2] permit-domain name portal

[AC-Wlan-Ess2] quit

[AC] wlan

[AC-wlan-view] wmm-profile name wmm id 1  //配置WMM模板,使用缺省值

[AC-wlan-wmm-prof-wmm] quit

[AC-wlan-view] radio-profile name radio id 1  //配置射频模板,使用缺省值

[AC-wlan-radio-prof-radio] wmm-profile name wmm  //绑定WMM模板

[AC-wlan-radio-prof-radio] quit

[AC-wlan-view] security-profile name security id 1  //配置安全策略,已配置Portal认证,这里使用缺省值open方式

[AC-wlan-sec-prof-security] quit

[AC-wlan-view] traffic-profile name traffic id 1  //配置流量模板,使用缺省值

[AC-wlan-traffic-prof-traffic] quit

[AC-wlan-view] service-set name guest id 2  //配置访客的服务集

[AC-wlan-service-set-guest] ssid Airport

[AC-wlan-service-set-guest] wlan-ess 2

[AC-wlan-service-set-guest] security-profile name security

[AC-wlan-service-set-guest] traffic-profile name traffic

[AC-wlan-service-set-guest] service-vlan 102

[AC-wlan-service-set-guest] forward-mode tunnel

[AC-wlan-service-set-guest] quit

# 配置VAP并下发。

[AC-wlan-view] ap 0 radio 0  //AP_0的射频0为旅客提供服务

[AC-wlan-radio-0/0] radio-profile name radio

[AC-wlan-radio-0/0] service-set name guest

[AC-wlan-radio-0/0] quit

[AC-wlan-view] ap 1 radio 0  //AP_1的射频0为访客提供服务

[AC-wlan-radio-1/0] radio-profile name radio

[AC-wlan-radio-1/0] service-set name guest

[AC-wlan-radio-1/0] quit

[AC-wlan-view] commit ap 0

[AC-wlan-view] commit ap 1

1.5.2 配置Policy Center

1.         选择“接入控制策略 > 接入设备 > 接入设备管理 > 设备”,在业务管理器中添加AC设备。

特别提醒,Agile Controller能与AC能否正常联动,关键在此一步:

Portal密钥、RADIUS认证密钥、RADIUS计费密钥,RADIUS服务器、Portal服务器与接入控制设备侧配置不一致,会导致旅客认证不通过。尤其是RADIUS认证密钥,可通过test-aaa user-name password radius-template template-name pap命令进行测试。如果测试结果没有通过,多半两边的密钥没有配置成相同的密钥。

l   如果计费密钥、实时计费周期没有配置,会导致管理员看不到在线的终端用户,旅客的在线时长控制不准确,旅客无法正常下线。因为RADIUS服务器是通过计费报文记录终端上下线时间。其中旅客无法正常下线会导致Policy Center License耗尽的问题。

RADIUS服务器的实施计费周期配置与接入控制设备的实施计费周期不一致,会导致终端有规律掉线。

l   接入控制设备的端口要与接入设备侧的配置保持一致,请不要修改为其他端口,否则会导致终端用户无法通过身份认证。

l   如果上线的终端IP地址不在接入终端IP地址列表,则RADIUS日志会显示无法找到接入控制设备。把终端网段加入接入终端IP地址列表即可解决。

2.         选择“接入控制策略 > 认证授权 > 授权结果”,增加授权结果。

3.         选择“接入控制策略 > 认证授权 > 授权规则”,增加授权规则。

认证规则不需要配置,使用默认的认证规则即可。

4.         选择“用户与终端 > 访客管理 > 参数配置”,配置访客功能,确保旅客能够申请到上网帐号。

在默认情况下帐号申请后自动通过审批,不用单独配置。

认证后自动跳转到认证前输入的地址是默认的功能,只要AC使用了命令url-parameter ssid ssid redirect-url url把旅客访问的url地址发送到Portal服务器,Portal服务器侧不用单独配置。

Portal推送规则也不用单独设置,因为http:// 172.18.1.1:8080/portal默认指向手机认证页面。

5.         选择“系统配置 > 服务器配置 > 短信服务器配置”,配置短信服务器,确保Policy Center能够把随机上网密码通过短信方式发给旅客。

经常进出无线信号盲区导致掉线反复需要输入密码进行认证。要解决此问题,在服务器和接入控制设备启用MAC优先的Portal认证,在首次认证时服务器记录终端的MAC地址和有效期,下次进入无线信号覆盖区时自动通过认证,无须反复输入手机号和密码。

在AC上开启MAC优先的Portal认证:

[AC] interface wlan-ess 2

[AC-Wlan-Ess2] web-authentication first-mac

在Policy Center上开启MAC优先的Portal认证:

选择“系统配置 > 终端配置 > 全局参数”,启用MAC优先的Portal认证,然后输入MAC帐号的有限期。如此一来,旅客在重新进入信号覆盖区域时自动连接网络,而不必再输入帐号和密码认证了。

转载请注明:致远博客 » 无处不在的Portal认证

喜欢 (0)
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址