内置PORTAL和外置PORTAL配置详解 WLAN学习资料

1.portal简介和认证流程：portal是一种用web页面来进行认证的认证机制，通过提供给上网用户一个web页面访问点进行用户身份认证，在认证成功前用户不能真正上网，访问任何页面都会被强制转换到portal提供的认证页面。

Portal认证的实现:在用户端不用安装专门的客户端，只需浏览器即可。

通过ac,portal，radius服务器，用户四者的数据交互完成portal认证的整个流程。

Portal认证流程主要分为以下几步：1.用户与AC交互用户发起http请求，AC在配置的制定接口监听到http请求后，向用户返回重定向报文（http 302），用户访问302报文提供的portal页面地址，开始与portal进行交互:(由用户10.1.1.100向5.1.1.1发起的http请求，ac监听到以后，返回一个http302报文，其中包含portal页面的地址，并把源ip填写成5.1.1.1，)，用户根据该地址，与针对这一步骤的说明：1)Iptables介绍:ac对报文监听和阻截的功能通过iptables实现，iptables是unix 的内置firewall机制，由一系列的规则链表组成，链表的每一表项包括对源，目的，匹配后的处理动作（target），协议几个部分。

实现过程如下：当数据包进入AC时，Linux Kernel会查找对应的链，直到找到一条规则与数据包匹配（源和目的ip均匹配）。

匹配后，如果该规则的target是ACCEPT，则整个匹配过程结束，跳过剩下的规则，数据包被发送。

如果该规则的target是DROP，该数据包会被拦截掉，匹配过程结束，不会再参考其他规则，如果target是另一个链表的名称，则跳转到相应的链表，这种表称为内层链表，好处在于使匹配过程更易管理和明晰。

如果该规则的target是RETURN，不再根据当前链的其他规则来检查数据包，而是直接返回，继续被发送到其目的地址，或下一个链。

WLAN业务技术规范符号及缩略语缩写英文全称中文名称AP Access Point 接入点AC Access Controller 接入控制器AS Authentication Server 认证服务器DHCP Dynamic Host Configuration Protocol 动态地址分配DNS Domain Name Server 域名解析服务器EAP Extensible Authentication Protocol 扩展认证协议EAPOL EAP Over LAN 针对扩展认证协议LAN ESSID Extended Service Set Identification 扩展的服务集标示符HLR/AuC Home Location Register/Authentication Center 归属地注册/认证中心HTTP Hyper Text Transport Protocol 超文本传输协议IMSI International Mobile Subscriber Identification 国际移动用户识别码MAC Media Access Contaol 介质访问控制NA T Network Address Translation 网络地址转换PAT Port Address Translation 端口地址转换RADIUS Remote Authentication Dial In User Service 远程验证用户拨入服务SIM Subscriber Identity Module 用户识别模块WEP Wired Equivalent Privacy 有线等效私密WLAN Wireless Local Area Network 无线局域网Wi-Fi Wireless Fidelity 无线保真概述⏹WLAN网络构成中国移动北京公司WLAN网络逻辑系统结构主要由下列主要部分组成。

WLAN基础配置基础知识1:AC、胖AP与瘦APWLAN系统⼀般由AC（接⼊控制设备）和AP（访问接⼊点）组成。

1、APAP即“访问接⼊点"，⽆线接⼊点是⼀个⽆线⽹络的接⼊点，它是⽤于⽆线⽹络的⽆线交换机。

AP相当于⼀个连接有线⽹和⽆线⽹的桥梁，其主要作⽤是将各个⽆线⽹络客户端连接到⽆线⽹络中。

胖AP模式:类似于家⽤的⽆线路由器。

每台AP需要单独配置。

瘦AP模式:对于较⼤规模的WLAN来说，所需的AP数量巨⼤，这时AP可以切换到瘦AP模式，由AC集中对所有的AP进⾏管理。

2、ACAC即“接⼊控制设备”，AC⽤来集中化控制、管理LAN内的AP，对AP管理包括:下发配置、修改相关配置参数、射频智能管理、接⼊安全控制等。

基础知识2:AC直连式组⽹、AC旁挂式组⽹根据AC在⽹络中的位置，可以分为直连式组⽹、旁挂式组⽹。

直连式组⽹:AC同时扮演AC和汇聚或接⼊交换机的功能。

旁挂式组⽹:AC没有直接与AC进⾏连接，⽽是旁挂在AP的上⾏⽹络。

基础知识3:⼆层组⽹、三层组⽹根据AC与AP是否在同⼀个IP地址⽹段内，可以分为⼆层组⽹、三层组⽹。

⼆层组⽹:AC与AP的IP地址在同⼀个IP地址⽹段，AC与AP在同⼀个⼴播域内。

三层组⽹:AC与AP的IP地址不在同⼀个IP地址⽹段，AC与AP通常需要通过路由器或者三层交换机，连接在⼀起。

基础知识4:直接转发(本地转发)、隧道转发(集中转发)1.WLAN⽹络中的两种数据流⼀种是AC对AP进⾏控制管理的数据流，称为AP管理数据流。

⼀种是STA通过⽆线信号、接⼊有线⽹络、从⽽访问Internet的数据流，称为⽆线业务数据流。

通常，在⽹络规划的时候，把AP管理数据流放在⼀个VLAN 中，这个VLAN叫做AP管理VLAN。

把⽆线业务数据流放在⼀个VLAN中，这个VLAN叫做⽆线业务VLAN。

2. CAPWAP协议CAPWAP协议(Control And Provisioning of Wireless Access Points Protocol )⽤于⽆线终端接⼊AP和⽆线控制器AC之间的通信交互，实现AC对其所关联的AP进⾏集中管理和控制。

WiFi Portal用户使用手册一、wifi连接用户使用带wifi功能的电脑,开启wifi模块,通过系统自带的wifi管理软件连接上ssid 名称为chinanet的wifi网络。

二、wifi Portal页面用户打开浏览器，输入任何一个网址，将会跳转至如下wifi portal页面：二、不同类型用户使用说明1.普通用户普通用户是指中国电信普通WIFI用户、无线宽带套餐用户、e8/e9尊享用户。

登录使用：用户在Portal页面左方登录区域用户类型中选择普通用户。

用户在帐号输入框和密码输入框输入申请WIFI业务时分配的帐号和密码，选择开户地，点击“登录”按钮，如果所有信息都输入正确，浏览器显示登录成功页面，您可以使用WIFI上网业务。

登录成功后还会弹出一个计时小窗口，用来记录当前的上网时长，时间精确到秒。

用户退出：如果用户想下线，需要点击计时小窗口的“退出”按钮，点击后出现确认窗口，询问用户是否真的要断开网络连接，如果用户点击确定按钮，则计时小窗口消失，网络断开。

如果用户点击取消按钮，则确认窗口消失。

2.天翼手机用户天翼手机用户是指中国电信133/153/189手机用户。

a)用户使用静态密码登录使用：用户在Portal页面左方登录区域用户类型中选择天翼手机用户。

用户在手机号输入框和密码输入框输入天翼手机号码与分配的WIFI业务密码，点击“登录”按钮，如果所有信息都输入正确，浏览器显示登录成功页面，您可以使用WIFI上网业务。

登录成功后还会弹出一个计时小窗口，用来记录当前的上网时长，时间精确到秒。

用户退出：如果用户想下线，需要点击计时小窗口的“退出”按钮，点击后出现确认窗口，询问用户是否真的要断开网络连接，如果用户点击确定按钮，则计时小窗口消失，网络断开。

如果用户点击取消按钮，则确认窗口消失。

b)用户使用动态密码动态密码获取：用户在Portal页面左方登录区域选择天翼手机用户，Portal页面刷新，刷新后在登录区域右方显示对该类用户的解释说明文本，在密码输入框右方有“获取密码”按钮。

portal 简介portal 是用来进行网页认证的认证机制，在认证成功前用户不能真正上网，只能查看到portal server 的页面，如图：访问任何页面都会被强制转换到如图所示的portal 页面，需要手动输入用户名和密码后才能够正常上网。

Portal 的优点是用户不需要安装专门的客户端就可以直接进行认证和上网。

Portal 协议流程Portal 认证拓扑图如下：认证流程如下：如图：1，首先wlan 用户上网，AC 侦测到http 连接后，强制发送http 重定向报文给wlan 用户 2， Wlan 用户接收到重定向报文后，按照重定向报文提供的目的IP 地址访问portal 服务器，推送出认证页面3，用户通过认证界面，输入用户名密码给portal server 4， Portal server向AC 发送需要认证用户的用户名 5， AC 向portal server发送认证挑战 6， Portal server 回应认证挑战7， AC 向radius 发起认证8，如果认证成功，则AC 把认证成功信息发送给portal 服务器，推送出认证成功界面，同时AC 上下发规则，认证成功。

下面按照一次实际抓包来分析一次实际认证过程：如上抓图，分别为从AC 端口的抓包和从PC 端口的抓包1，首先在PC 的IE 上数据url 地址后，pc 发起http 访问，该访问被AC 连接，并直接返回重定向报文：http 302报文给PC ，把pc 直接重定向到portal server上去，如图：2，然后PC 根据http 的重定向信息向portal server发起请求并获得认证页面，在认证页面中输入用户名密码后进行认证。

整个过程对于AC 来说和普通IP 包的处理是相同的，由于实现配置了portal server的IP 地址在白名单中，所以AC 对这次访问不进行阻止，按照普通的IP 包进行处理使用tcp.port eq 7080作为过滤条件可以看到pc 和portal server交互的整个过程3， portal server得到用户名和密码后开始和AC 联系，出发AC 进行portal 认证，如图：Portal 协议根据移动规定采用的是udp 的2000端口进行认证的具体的数据包分析如下第一个包：如图，portal server向AC 发送认证请求，数据包的类型为01，表示为认证请求报文。

⽹络配置——portal服务器配置Portal服务器是基于web进⾏认证的机制，属于B/S架构。

通过和RADIUS进⾏配合，可以呈现⽤户连⽹弹⽹页，输⼊⽤户名密码后即可上⽹。

当前portal认真的相关版本：各家⼚家的版本各有差异，公有标准的为portal2.0标准。

⽽portal3.0是为IPv6进⾏的适配。

这⾥H3C的portal2.0是CMCC的标准。

也是通⽤标准接⼝。

H3C AC相关配置：版本V5，型号：LSQ1WCMD0（板卡式AC）配置portal认证：portal free-rule 3 source ip 10.10.160.0 mask 255.255.224.0 destination ip any #⽩名单，写⼊后⽹段或Ip地址或端⼝不⽤进⾏认证。

portal wlan ssid Expo_Center_Free server sundray_portal domain dsf-portal #SSID号和domain想对应portal mac-trigger server ip 10.0.10.22#配置URL代的参数portal url-param include user-macportal url-param include nas-ip param-name wlanacipportal url-param include ap-mac param-name apmacportal url-param include user-urlportal url-param include user-ipportal其他参数：portal host-check wlanportal silent ios optimizeportal safe-redirect enableportal safe-redirect method get postportal safe-redirect user-agent Andriodportal safe-redirect user-agent CaptiveNetworkSupport配置radius参数：radius scheme dsf-portalserver-type extendedprimary authentication 10.0.10.22primary accounting 10.0.10.22key authentication cipher $c$3$6FpFlPjx7jpCsVhgflm6nH8YiOrEnAuT+w== #默认为123456key accounting cipher $c$3$LRr7EjHcuPutYY0eopNZgytQc9FIUx7+hw== #该为计费系统的秘钥：默认123456user-name-format without-domainnas-ip 10.0.2.246accounting-on enable interval 15配置域名：domain dsf-portalauthentication portal radius-scheme dsf-portalauthorization portal radius-scheme dsf-portalaccounting portal radius-scheme dsf-portalaccess-limit disablestate activeidle-cut enable 5 10240self-service-url disable华为portal认证配置：Huawei AC6605 版本：V200R006C10SPC100radius-server template ndkey-wcc-radiusradius-server shared-key cipher %^%##]iND0f2x8p_=EWjzY2.I`(FUy/INB>`7_:+~f+I%^%#radius-server authentication 10.0.10.22 1812 weight 80radius-server accounting 10.0.10.22 1813 weight 80radius-server authorization 10.0.10.22 shared-key cipher %^%#{"E%OMEJ31zjZtU(7U*/C~Q#/n6gX+;nqtMMxI^E%^%# free-rule-template name default_free_rulefree-rule 0 destination ip 61.128.128.68 mask 255.255.255.255 source ip anyfree-rule 2 destination ip any source ip 192.168.250.0 mask 255.255.255.0portal-access-profile name portal1701web-auth-server ndkey-wcc-web-ser direct#portal-access-profile name portal1702web-auth-server ndkey-wcc-web-ser directaaaauthentication-scheme defaultauthentication-scheme radiusauthentication-mode radiusauthentication-scheme ndkey-wcc-radiusauthentication-mode radiusauthorization-scheme defaultaccounting-scheme defaultaccounting-scheme ndkey-wcc-radiusaccounting-mode radiusdomain defaultauthentication-scheme ndkey-wcc-radiusaccounting-scheme ndkey-wcc-radiusradius-server ndkey-wcc-radiusdomain default_admindomain authentication-scheme ndkey-wcc-radiusaccounting-scheme ndkey-wcc-radiusradius-server ndkey-wcc-radius。

娱乐场所无线覆盖网络解决方案2013-08目录第一章需求分析 (3)第二章组网结构图 (4)第三章Wifi AP架构 (4)第四章产品功能 (5)4.1基本网络功能 (5)4.2高级管理功能 (7)第五章飞鱼星无线云网络解决方案优势 (7)5.1有线无线一体化解决方案 (7)5.2 AP即插即用，密集无线接入 (8)5.3 AirQoS无线流控，合理分配带宽资源 (8)5.4 可视化集中控制，易用易管理 (9)5.5 内置Portal认证及广告推送 (10)5.6 防冲突，彻底解决ARP问题 (12)5.7 专业的办公网络解决方案 (12)5.8 稳定可靠，企业级产品设计 (13)第六章产品型号介绍： (13)5.1 组网产品型号及简介 (13)5.2 N&P系列技术参数 (14)第一章需求分析现如今公共场所、KTV、咖啡厅、酒店宾馆这中流动性的场所，无线网络覆盖的需求越来越旺盛，目前此行业竞争的重点已经从硬件的竞争转移到服务的竞争,因为大量各行各业的商务人士开始利用网络这种媒体获得所需的资料和对外界的联系，在酒店大堂、咖啡厅、会议室、餐厅同样也要获得联系。

客人带着ipad 平板电脑，智能手机、笔记本电脑入住，在酒店大堂、咖啡厅、会议室、餐厅都要求随时随地上网浏览，公共场所无线覆盖并提供WIFI上网已经成为休息娱乐最基本的服务功能之一。

1、公共区域全部无线覆盖。

2、无效接入支持所有的wifi终端，采用web认证potal方式，强制引导客户达到定制的页面（品牌宣传、促销活动），并允许对智能手机、平板电脑、笔记本电脑推送广告。

3、用户上网通过输入手机号码获取短信，得到上网密码，输入密码即可上网。

4、可以设置上网授权时间5、管理员可以对用户的手机号码进行记录，方便定期给用户发送促销活动。

第二章组网结构图组网说明：AC做出口网关路由器使用，portal认证服务器放在公网上。

分支交换机接入没有AP。

AC6005内置portal服务器配置设备配置网络配置，vlanif 88 管理AP Vlanif 100 为业务vlan 为终端分配地址开启DHCP[AC6005]dhcp enableInfo: The operation may take a few seconds. Please wait for a moment.done.创建VLAN 88 和100[AC6005]vlan batch 88 100Info: This operation may take a few seconds. Please wait for a moment...done.配置与上行设备通信接口的地址[AC6005]int Vlanif 1[AC6005-Vlanif1]ip address 192.168.1.254 255.255.255.0[AC6005-Vlanif1]dhcp select interface[AC6005-Vlanif1]dhcp server dns-list 61.153.177.196配置VLAN 88和100的网关[AC6005]int vlan 88[AC6005-Vlanif88]ip address 192.168.88.1 255.255.255.0[AC6005-Vlanif88]dhcp select interface[AC6005]int vlan 100[AC6005-Vlanif100]ip address 192.168.100.1 255.255.255.0[AC6005-Vlanif100]dhcp select interface[AC6005-Vlanif100]dhcp server dns-list 61.153.177.196配置AC与AP相连的端口[AC6005]int g0/0/8[AC6005-GigabitEthernet0/0/8]port link-type trunk[AC6005-GigabitEthernet0/0/8]port trunk pvid vlan 88[AC6005-GigabitEthernet0/0/8]undo port trunk allow-pass vlan 1[AC6005-GigabitEthernet0/0/8]port trunk allow-pass vlan 88 100[AC6005]int g0/0/7[AC6005-GigabitEthernet0/0/7]port link-type a[AC6005-GigabitEthernet0/0/7]port link-type access[AC6005-GigabitEthernet0/0/7]port default vlan 100[AC6005]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1创建登录用户[AC6005]aaa[AC6005-aaa]local-user huawei password cipher huawei123Info: Add a new user.创建登录用户最大连接数[AC6005-aaa]local-user huawei access-limit 5开启portal的web访问认证功，配置内置portal 的SSL策略和端口号（443已经被web端口启用，不可用）[AC6005]portal local-server ip 192.168.100.1[AC6005]portal local-server https ssl-policy default_policy port 2000Info: Load web file successfully.配置免认证规则[AC6005]portal free-rule 0 destination ip 61.153.177.196 mask 255.255.255.255Info: This free rule configured successfully, only <0-63> can be commit to AP.配置wlan-ess接口，在接口调用内置portal与允许的认证域[AC6005]interface Wlan-Ess 1[AC6005-Wlan-Ess1]port hybrid pvid vlan 100[AC6005-Wlan-Ess1]port hybrid untagged vlan 100[AC6005-Wlan-Ess1]portal local-server enable[AC6005-Wlan-Ess1]permit-domain name default配置AC与AP之间的隧道通信[AC6005]wlan[AC6005-wlan-view]wlan ac source interface Vlanif 88配置AP的认证方式为免认证[AC6005-wlan-view]ap-auth-mode no-auth查看AP[AC6005-wlan-view]dis ap allAll AP information(Normal-1,UnNormal-0):------------------------------------------------------------------------------AP AP AP Profile AP AP/RegionID Type MAC ID State Sysname------------------------------------------------------------------------------0 AP6310SN-GN 4862-7602-35d0 0/0 normal ap-0------------------------------------------------------------------------------Total number: 1配置名为wmm1的wmm模板，参数采用默认[AC6005-wlan-view]wmm-profile name wmm1 id 1配置名为radio1的radio模板，参数采用默认，调用wmm模板[AC6005-wlan-view]radio-profile name radio1 id 1、[AC6005-wlan-radio-prof-radio1]wmm-profile id 1配置名为traffic1 的traffic模板，参数采用默认[AC6005-wlan-view]traffic-profile name traffic1 id 1配置名为security1的安全模板，认证方式为WEP认证，开放认证，不加密[AC6005-wlan-view]security-profile name scurity1 id 1创建名为service的服务集，并绑定流量模板和安全模板，wlan-ess 接口[AC6005-wlan-view]service-set name service1 id 1[AC6005-wlan-service-set-service1]wlan-ess 1[AC6005-wlan-service-set-service1]ssid [AC6005-wlan-service-set-service1]traffic-profile id 1[AC6005-wlan-service-set-service1]security-profile id 1[AC6005-wlan-service-set-service1]service-vlan 100Info: This action may cause service interruption if you don't execute commit command.配置AP对应的VAP，下发Wlan服务，[AC6005-wlan-view]ap 0 radio 0[AC6005-wlan-radio-0/0]radio-profile id 1Warning: Modify the Radio type may cause some parameters of Radio resume default value, are you sure to continue?[Y/N]:y[AC6005-wlan-radio-0/0]service-set id 1 wlan 1下发AP的WLAN配置[AC6005-wlan-view]commit allWarning: Committing configuration may cause service interruption,continue?[Y/N]y搜索SSID 测试成功。

内置portal配置portal认证的相关配置，分布在两个部分：1、captive portal配置界面认证服务器IP地址即为你使用AC的IP地址认证服务器端口固定为3990接口选择，一般选择是由AC上与AP关联转发的端口。

2、白名单配置由于是内置PORTAL，所有该处白名单无须配置。

3、EAG配置界面1.开启EAG2.开启空闲时间：当用户异常下线时，用户的实际下线时间和AC实际侦测到的用户下线时间有一定的误差。

这个误差为一个radius计费跟新报文的时间。

如果不勾选，实际的计费时间最大会比用户的实际上网时间多一个radius计费间隔的时间。

如果勾选，实际的计费时间会比用户实际的上网时间+/-(radius计费间隔时间)/2。

这个参数对正常下线的用户不产生效果。

3.Debug log勾选可在出现问题时记录相关日志，便于查看问题，目前日志生成较快，需要时再勾选此项4.重定向侦听:该处所填应该为AC的IP地址5.NAS ID: AC的一个编号，会携带在radius报文中，需要由运营商给出。

可以配置vlan或者wlan等同nasid的映射关系。

6.NAS port ID：携带在radius中的一个属性。

根据广州移动的需求添加的，实际是sta所在的vlan号,或者是wlan id+wtp id的一个映射关系。

7.Radius密钥：AC和radius之间进行交互的密钥，需要由运营商提供。

如果这个值错误，会导致用户登录失败。

（注意在RADIUS服务器上要与该处设置的RADIUS密钥保持一致）8.Portal服务器：内置portal即为AC的IP地址9.Portal服务器：固定值399010.登陆页面：/www/index.html，该处所填的登陆页面即为到时候推portal所显示页面的url地址。

此处如果成功推出portal页面到时候会显示登陆web管理的页面。

总结一下：如果你选择的是内置portal，那么此处只需要修改如下几处内容。