我们前面介绍了有线Portal认证在Web页面中的配置方法(H3C MSR810配置有线Portal认证),可以看到,配置过程还是很简单的,而且认证过程也很简单。
Web网页认证场景下,用户无需安装客户端软件,可以主动访问已知的Portal Web服务器网站进行Portal认证;也可以通过访问任意非认证服务器网站被强制重定向到Portal Web服务器网站,继而开始Portal认证。用户在认证页面输入用户名和密码,设备对用户进行身份认证,用户通过Portal认证后,可以访问互联网资源。
先回顾一下上次实验遇到的问题:
1、随便输入IP地址可以正常重定向认证页面,而当访问域名时,会直接提示无法联网,导致无法正常弹出认证页面。此时,我们可以在“Portal认证”页面的“免认证IP地址地址/域名”页签,添加一个允许访问DNS服务器的免认证规则,使得用户的DNS请求可以正常被解析为IP地址,进而弹出认证页面。
2、使用自定义图片“导入背景图片”功能不是必配项,但是如果要使用,图片的分辨率需要设置为1440×900,名称为background-logon.jpg,同时一定要注意背景的风格,避免影响用户体验。
3、如果开启认证之后出现设备性能不足的情况,请及时检查内网终端的软件运行情况。有些代理软件或浏览器会不停在后台刷新页面,当开启认证之后,触发大量的认证请求,消耗认证设备资源,严重时可能导致内网用户断网。
解决掉这个软件之后,域名就可以正常解析为IP地址,就可以成功触发Portal认证了。
接下来,先看一下通过Web页面配置的有线Portal认证都下发了哪些配置:
#在VLAN接口启用Portal认证
interface Vlan-interface1
portal enable method direct
portal domain portalenabledomain
portal apply web-server PortalEnableWebSrv
portal fail-permit web-server
#指定Portal认证域和认证方式为本地
domain portalenabledomain
accounting start-fail offline
authentication portal local
authorization portal local
accounting portal local
#创建Portal认证用户
local-user portal class network
password cipher $c$3$RBSXJUQDGv1ypeei1OcR9VN33v+NwgfBPcpsAw==
service-type portal
authorization-attribute user-role network-operator
#添加到DNS服务器的免认证规则
portal free-rule 0 destination ip 223.5.5.5 255.255.255.255
#配置Portal Web服务器
portal web-server PortalEnableWebSrv
url http://172.16.113.1/portal
captive-bypass ios enable
#配置Web服务协议类型
portal local-web-server http
default-logon-page bendi.zip
user-password modify enable
这里我们还注意到认证页面使用的是bendi.zip这个文件,说明我们可以通过修改这个页面更改认证页面风格。
下图是默认的背景图:
其他页面文件列表如下:
比如我们想对认证页面做个优化,就可以调整这些文件。
除此之外,基础的网络配置还有以下部分:
#
dhcp server ip-pool lan1
gateway-list 172.16.113.1
network 172.16.113.0 mask 255.255.255.0
address range 172.16.113.100 172.16.113.254
dns-list 223.5.5.5
forbidden-ip-range 172.16.113.1 172.16.113.1
#
wlan service-template h5c
ssid h6c
service-template enable
#
vlan 1
#
interface Vlan-interface1
description LAN-interface
ip address 172.16.113.1 255.255.255.0
tcp mss 1280
#
interface WLAN-Radio0/0
service-template h5c
channel band-width 40
其实,现在这种配置,我们接入到无线网络之后,已经可以实现Portal认证了。但是我们要介绍的是另外一种情况,那就是在无线服务模板上开启Portal认证。
正常使用时,不能在无线服务模板视图和接口视图下同时开启Portal认证功能,也就是说如果我们想单独对无线用户进行认证时,适用于这种配置场景。此时,无线服务模板上的Portal认证只支持直接认证方式。
配置也很简单,首先在接口视图下取消Portal认证。
然后再在无线服务模板上开启Portal认证就好了。
此时,我们就实现了仅对无线网络进行认证了。配置完成后,我们可以通过执行命令可查看Portal配置是否生效。
查看设备上的在线Portal用户信息。
是不是很简单呢,你学废了吗?