如下图所示，某大型企业网络中存在大量无线终端（STA），其中：企业办公楼的前台大厅部署SSID为“guest”的无线网络，为来访的客户提供无线网络接入；办公区域部署SSID为“employee”的无线网络，为企业员工提供无线网络接入。

为保证网络安全，企业需要部署一套身份认证系统，对所有通过无线接入企业网络的人员进行准入控制，确保只有合法用户才能接入网络。由于无线终端较多且流动性较大，管理员决定在位于三层网络的AC上部署Portal认证以对用户进行接入控制，要求

用户认证成功前仅能访问公共服务器区（例如Portal服务器、RADIUS服务器和DNS服务器）。用户认证成功后能够访问企业内部网络（例如客户问题处理系统）。实现在一定的时间内（如：60分钟）用户因位置移动而反复进入、离开无线信号覆盖区域时，不需要重新输入用户名和密码进行认证。

MAC优先的Portal认证组网图

配置思路

采用如下的思路配置网络的Portal认证：

配置RADIUS认证参数。配置Portal服务器模板。配置Portal接入模板，管理Portal接入控制参数。配置MAC接入模板，用于MAC优先的Portal认证。配置免认证规则模板，实现AC放行访问DNS服务器的报文。配置ACL，实现为认证通过后的用户能够访问客户问题处理系统。配置认证模板，管理NAC认证的相关配置。数据规划

配置项

数据

RADIUS认证参数

RADIUS认证方案名称：radius_huawei

RADIUS计费方案名称：scheme1

RADIUS服务器模板名称：radius_huawei，其中：

IP地址：172.16.1.1认证端口号：1812共享密钥：[email protected]

Portal服务器模板

名称：abcIP地址：172.16.1.1AC向Portal服务器主动发送报文时使用的目的端口号：50200Portal认证共享密钥：[email protected]

Portal接入模板

名称：portal1绑定的模板：Porta服务器模板abc

MAC接入模板

名称：mac1

免认证规则模板

名称：default_free_rule免认证资源：DNS服务器的地址（172.16.1.2）

认证模板

·名称：p1

绑定的模板和认证方案：

Portal接入模板portal1MAC接入模板mac1RADIUS服务器模板radius_huaweiRADIUS认证方案radius_huawei免认证规则模板default_free_rule

VAP模板

名称：guest

转发模式：隧道转发业务VLAN：VLAN pool绑定模板：SSID模板guest、安全模板wlan-security、认证模板p1

名称：employee

转发模式：隧道转发业务VLAN：VLAN pool绑定模板：SSID模板employee、安全模板wlan-security、认证模板p1

ACL

编号：3001规则：允许访问客户问题处理系统（IP地址为172.16.3.1）操作步骤

前置条件：已完成wlan网络基础配置

1. 配置RADIUS服务器模板、RADIUS认证方案和RADIUS计费方案

# 配置RADIUS服务器模板。

[AC] radius-server template radius_huawei

[AC-radius-radius_huawei] radius-server authentication 172.16.1.1 1812

[AC-radius-radius_huawei] radius-server accounting 172.16.1.1 1813

[AC-radius-radius_huawei] radius-server shared-key cipher [email protected]

[AC-radius-radius_huawei] quit

# 配置RADIUS方式的认证方案。

[AC] aaa

[AC-aaa] authentication-scheme radius_huawei

[AC-aaa-authen-radius_huawei] authentication-mode radius

[AC-aaa-authen-radius_huawei] quit

[AC-aaa] quit

# 配置RADIUS方式的计费方案。

[AC-aaa] accounting-scheme scheme1

[AC-aaa-accounting-scheme1] accounting-mode radius

[AC-aaa-accounting-scheme1] accounting realtime 15

[AC-aaa-accounting-scheme1] quit

[AC-aaa] quit

说明：

计费功能并非真实意义上的计算费用，而是通过计费报文维护终端的在线信息。实时计费间隔的取值对设备和RADIUS服务器的性能有要求，实时计费间隔的取值越小，对设备和RADIUS服务器的性能要求就越高。需要根据用户数设置实时计费间隔。

2. 配置Portal服务器模板

[AC] web-auth-server server-source all-interface //华为AC V200R021C00以及之后的版本，必须使用web-auth-server server-source或server-source命令配置设备可以接收和响应Portal服务器报文的本机网关地址，才能正常使用Portal对接功能。

[AC] web-auth-server abc

[AC-web-auth-server-abc] server-ip 172.16.1.1

[AC-web-auth-server-abc] shared-key cipher [email protected]

[AC-web-auth-server-abc] port 50200

[AC-web-auth-server-abc] url https://172.16.1.1:8445/portal

[AC-web-auth-server-abc] quit

3. 配置ACL3001，使认证通过后的用户能够访问客户问题处理系统

[AC] acl 3001

[AC-acl-adv-3001] rule 5 permit ip destination 172.16.3.0 0.0.0.255

[AC-acl-adv-3001] quit

本举例使用远端服务器授权，服务器上需要配置为认证成功后的用户授权ACL3001。

4. 配置Portal接入模板“portal1”

[AC] portal-access-profile name portal1

[AC-portal-access-profile-portal1] web-auth-server abc direct

[AC-portal-access-profile-portal1] quit

5. 配置MAC接入模板，用于MAC优先的Portal认证

[AC] mac-access-profile name mac1

[AC-mac-access-profile-mac1] quit

6. 配置免认证规则模板

[AC] free-rule-template name default_free_rule

[AC-free-rule-default_free_rule] free-rule 1 destination ip 172.16.1.2 mask 24

[AC-free-rule-default_free_rule] quit

7. 配置认证模板“p1”，并启用MAC优先的Portal认证

[AC] authentication-profile name p1

[AC-authentication-profile-p1] portal-access-profile portal1

[AC-authentication-profile-p1] mac-access-profile mac1

[AC-authentication-profile-p1] free-rule-template default_free_rule

[AC-authentication-profile-p1] authentication-scheme radius_huawei

[AC-authentication-profile-p1] radius-server radius_huawei

[AC-authentication-profile-p1] quit

8. 配置WLAN业务参数

# 创建名为“wlan-security”的安全模板，并配置安全策略。

[AC] wlan

[AC-wlan-view] security-profile name wlan-security

[AC-wlan-sec-prof-wlan-security] security open

[AC-wlan-sec-prof-wlan-security] quit

# 在名为“guest”和“employee”的VAP模板，引用安全模板和认证模板。

[AC-wlan-view] vap-profile name guest

[AC-wlan-vap-prof-guest] security-profile wlan-security

[AC-wlan-vap-prof-guest] authentication-profile p1

[AC-wlan-vap-prof-guest] quit

[AC-wlan-view] vap-profile name employee

[AC-wlan-vap-prof-employee] security-profile wlan-security

[AC-wlan-vap-prof-employee] authentication-profile p1

[AC-wlan-vap-prof-employee] quit

9. 验证配置结果

STA上打开浏览器访问网络时，会自动跳转到外置Portal服务器提供的认证页面，在页面上输入正确的用户名和密码后，STA认证成功并可以访问客户问题处理系统。假设服务器配置的MAC地址有效时间为60分钟。用户断开无线网络5分钟，重新连接无线网络时，可以直接访问；用户断开无线网络65分钟，重新连接无线网络时，会被重定向到Portal认证页面。