HCNP-Security-CTSS V3 0培訓(xùn)教材HCSCP1306 Portal認(rèn)證技術(shù)

1、HCSCP1306,AC-Campus,V5R1,V3.0,史曉健/wx296245,2017.09.11,王銳/wx163689,新開(kāi)發(fā),Portal認(rèn)證技術(shù),Portal認(rèn)證不僅可以免客戶端軟件，滿足像賓館、酒店等公共場(chǎng)所訪問(wèn)網(wǎng)絡(luò)的需求。還可以基于門戶網(wǎng)站開(kāi)展廣告、社區(qū)服務(wù)、個(gè)性化的業(yè)務(wù)，使寬帶運(yùn)營(yíng)商、設(shè)備提供商和內(nèi)容服務(wù)提供商形成一個(gè)產(chǎn)業(yè)生態(tài)系統(tǒng)。 本章主要介紹Portal認(rèn)證的使用場(chǎng)景，配置部署以及故障處理。,學(xué)完本課程后，您將能夠： 了解Portal認(rèn)證技術(shù)原理及應(yīng)用場(chǎng)景 掌握Portal認(rèn)證技術(shù)的配置部署 掌握Portal認(rèn)證技術(shù)的故障處理,Portal認(rèn)證技術(shù)原理 Portal認(rèn)

2、證技術(shù)配置部署 Portal認(rèn)證技術(shù)故障處理,Portal認(rèn)證簡(jiǎn)介,Portal認(rèn)證通常也稱為Web認(rèn)證，一般將Portal認(rèn)證網(wǎng)站稱為門戶網(wǎng)站。用戶上網(wǎng)時(shí)，必須在門戶網(wǎng)站進(jìn)行認(rèn)證，只有認(rèn)證通過(guò)后才可以使用網(wǎng)絡(luò)資源。,Portal認(rèn)證場(chǎng)景,Portal認(rèn)證應(yīng)用場(chǎng)景 Portal認(rèn)證無(wú)需客戶端支持，部署簡(jiǎn)單，廣泛應(yīng)用于園區(qū)網(wǎng)中。 用戶部署安全管理組件，需要客戶端支持，此時(shí)可采用具有客戶端的Portal認(rèn)證方式。,Portal認(rèn)證方式,二層認(rèn)證,三層認(rèn)證,Portal認(rèn)證上線流程,Portal認(rèn)證上線流程,客戶端主動(dòng)注銷Portal認(rèn)證下線流程,Portal認(rèn)證技術(shù)原理 Portal認(rèn)證技術(shù)配置部

3、署 有線Portal認(rèn)證技術(shù)配置部署 無(wú)線Portal認(rèn)證技術(shù)配置部署 Portal認(rèn)證技術(shù)故障處理,Portal認(rèn)證使用場(chǎng)景,Web頁(yè)面認(rèn)證，方便管理，減少客戶端維護(hù)工作量,便于業(yè)務(wù)運(yùn)營(yíng)和拓展，例如廣告推送，企業(yè)宣傳等,技術(shù)成熟，應(yīng)用廣泛，如運(yùn)營(yíng)商，連鎖快餐，學(xué)校等,Portal認(rèn)證：用戶可以通過(guò)Web認(rèn)證頁(yè)面，輸入用戶帳號(hào)密碼信息，進(jìn)行身份認(rèn)證。,有線Portal認(rèn)證,某企業(yè)由于業(yè)務(wù)需要，需要部署一套身份認(rèn)證系統(tǒng)，對(duì)公司員工接入網(wǎng)絡(luò)進(jìn)行準(zhǔn)入控制，確保只有合法用戶才能接入網(wǎng)絡(luò)。員工的帳號(hào)全部在AD服務(wù)器上維護(hù)。,配置流程,網(wǎng)絡(luò)互通基礎(chǔ)數(shù)據(jù)配置,配置網(wǎng)絡(luò)互通基礎(chǔ)數(shù)據(jù)： 配置接入交換機(jī)VLAN和

4、IP地址。 配置匯聚交換機(jī)。 配置VLAN和IP地址。 配置網(wǎng)關(guān)IP地址，并啟用DHCP。 配置到認(rèn)證服務(wù)器網(wǎng)段的靜態(tài)路由。 配置核心交換機(jī)。 配置VLAN和IP地址。 配置到終端網(wǎng)段的靜態(tài)路由。,網(wǎng)絡(luò)互通基礎(chǔ)數(shù)據(jù)配置,配置網(wǎng)絡(luò)互通基礎(chǔ)數(shù)據(jù)： 配置接入交換機(jī)VLAN和IP地址。 配置匯聚交換機(jī)。 配置VLAN和IP地址。 配置網(wǎng)關(guān)IP地址，并啟用DHCP。 配置到認(rèn)證服務(wù)器網(wǎng)段的靜態(tài)路由。 配置核心交換機(jī)。 配置VLAN和IP地址。 配置到終端網(wǎng)段的靜態(tài)路由。,匯聚交換機(jī)RADIUS參數(shù)配置,配置RADIUS服務(wù)器模板和認(rèn)證計(jì)費(fèi)方案。,S5700 radius-server template

5、radius_template S5700-radius-radius_template radius-server authentication 0 1812 source ip-address 00 S5700-radius-radius_template radius-server accounting 0 1813 source ip-address 00 S5700-radius-radius_template radius-server shared-key cipher Admin

6、123 S5700 radius-server authorization 0 shared-key cipher Admin123 S5700 aaa S5700-aaa authentication-scheme auth_scheme /認(rèn)證方案 S5700-aaa-authen-auth_scheme authentication-mode radius S5700-aaa accounting-scheme acco_scheme /計(jì)費(fèi)方案 S5700-aaa-accounting-acco_scheme accounting-mode radius S57

7、00-aaa-accounting-acco_scheme accounting realtime 15 S5700-aaa domain default S5700-aaa-domain-default authentication-scheme auth_scheme S5700-aaa-domain-default accounting-scheme acco_scheme S5700-aaa-domain-default radius-server radius_template,匯聚交換機(jī)Portal服務(wù)器對(duì)接參數(shù)配置,配置與Portal服務(wù)器的對(duì)接參數(shù)。,S5700 web-aut

8、h-server portal_huawei S5700-web-auth-server-portal_huawei server-ip 0 S5700-web-auth-server-portal_huawei source-ip 00 S5700-web-auth-server-portal_huawei port 50200 S5700-web-auth-server-portal_huawei shared-key cipher Admin123 S5700-web-auth-server-portal_huawei url :8080

9、/portal S5700-web-auth-server-portal_huawei server-detect interval 100 max-times 5 critical-num 1 action log S5700-web-auth-server-portal_huawei user-sync interval 100 max-times 5 S5700 portal quiet-period S5700 portal quiet-times 5 S5700 portal timer quiet-period 240 S5700 web-auth-server listening

10、-port 2000 S5700 interface vlanif 101 S5700-Vlanif101 authentication portal S5700-Vlanif101 web-auth-server portal_huawei direct,匯聚交換機(jī)Portal服務(wù)器對(duì)接參數(shù)配置,配置與Portal服務(wù)器的對(duì)接參數(shù)。,S5700 web-auth-server portal_huawei S5700-web-auth-server-portal_huawei server-ip 0 S5700-web-auth-server-portal_huawei

11、 source-ip 00 S5700-web-auth-server-portal_huawei port 50200 S5700-web-auth-server-portal_huawei shared-key cipher Admin123 S5700-web-auth-server-portal_huawei url :8080/portal S5700-web-auth-server-portal_huawei server-detect interval 100 max-times 5 critical-num 1 action log S5700-web

12、-auth-server-portal_huawei user-sync interval 100 max-times 5 S5700 portal quiet-period S5700 portal quiet-times 5 S5700 portal timer quiet-period 240 S5700 web-auth-server listening-port 2000 S5700 interface vlanif 101 S5700-Vlanif101 authentication portal S5700-Vlanif101 web-auth-server portal_hua

13、wei direct,AC-Campus配置 添加設(shè)備,選擇“資源 設(shè)備 設(shè)備管理”，單擊“增加”，設(shè)置交換機(jī)設(shè)備的參數(shù)。,AC-Campus配置 認(rèn)證授權(quán),選擇“策略 準(zhǔn)入控制 認(rèn)證授權(quán) 認(rèn)證規(guī)則”，修改缺省認(rèn)證規(guī)則或新建認(rèn)證規(guī)則。 選擇“策略 準(zhǔn)入控制 認(rèn)證授權(quán) 授權(quán)結(jié)果”，添加授權(quán)ACL。,AC-Campus配置 關(guān)聯(lián)授權(quán)結(jié)果,選擇“策略 準(zhǔn)入控制 認(rèn)證授權(quán) 授權(quán)規(guī)則”，關(guān)聯(lián)授權(quán)結(jié)果，指定用戶認(rèn)證通過(guò)后允許訪問(wèn)的資源。,結(jié)果驗(yàn)證,終端用戶在沒(méi)有認(rèn)證的情況下只能訪問(wèn)AC-Campus服務(wù)器、DNS服務(wù)器和AD服務(wù)器。 終端用戶訪問(wèn)Internet，被重定向至Portal認(rèn)證頁(yè)面，輸入用戶名

14、密碼認(rèn)證通過(guò)后，自動(dòng)跳轉(zhuǎn)到訪問(wèn)的頁(yè)面。 終端用戶認(rèn)證通過(guò)后可以訪問(wèn)Internet。 認(rèn)證通過(guò)后，在交換機(jī)上執(zhí)行命令display access-user，可以看到終端的在線信息。 在業(yè)務(wù)管理器選擇“資源 用戶 在線用戶管理”，可以看到終端用戶的在線信息。 在業(yè)務(wù)管理器選擇“資源 用戶 RADIUS日志”，可查到終端用戶的RADIUS認(rèn)證日志。,Portal認(rèn)證技術(shù)原理 Portal認(rèn)證技術(shù)配置部署 有線Portal認(rèn)證技術(shù)配置部署 無(wú)線Portal認(rèn)證技術(shù)配置部署 Portal認(rèn)證技術(shù)故障處理,無(wú)線Portal認(rèn)證,某企業(yè)（約1000人規(guī)模）由于業(yè)務(wù)需要，需要部署一套身份認(rèn)證系統(tǒng)，對(duì)所有通過(guò)

15、無(wú)線接入企業(yè)網(wǎng)絡(luò)的人員進(jìn)行準(zhǔn)入控制，確保只有合法用戶才能接入網(wǎng)絡(luò)。,配置流程,網(wǎng)絡(luò)互通基礎(chǔ)數(shù)據(jù)配置,配置網(wǎng)絡(luò)互通基礎(chǔ)數(shù)據(jù)： 配置接入交換機(jī)VLAN和IP地址。 配置匯聚交換機(jī)VLAN和IP地址。 配置AC。 配置VLAN和IP地址。 配置AC通過(guò)接口地址池為AP分配IP地址。 配置AC和服務(wù)器通信的缺省路由，報(bào)文默認(rèn)轉(zhuǎn)發(fā)到核心路由器。,網(wǎng)絡(luò)互通基礎(chǔ)數(shù)據(jù)配置,配置網(wǎng)絡(luò)互通基礎(chǔ)數(shù)據(jù)： 配置接入交換機(jī)VLAN和IP地址。 配置匯聚交換機(jī)VLAN和IP地址。 配置AC。 配置VLAN和IP地址。 配置AC通過(guò)接口地址池為AP分配IP地址。 配置AC和服務(wù)器通信的缺省路由，報(bào)文默認(rèn)轉(zhuǎn)發(fā)到核心路由器。,A

16、C設(shè)備RADIUS參數(shù)配置,配置RADIUS服務(wù)器模板和認(rèn)證計(jì)費(fèi)方案。,AC radius-server template radius_template AC-radius-radius_template radius-server authentication 0 1812 source ip-address 54 AC-radius-radius_template radius-server accounting 0 1813 source ip-address 54 AC-radius-radius

17、_template radius-server shared-key cipher Admin123 AC-radius-radius_template radius-server user-name original /設(shè)備向RADIUS服務(wù)器發(fā)送的用戶名為用戶原始輸入的用戶名 AC radius-server authorization 0 shared-key cipher Admin123 AC aaa AC-aaa authentication-scheme auth_scheme /認(rèn)證方案 AC-aaa-authen-auth_scheme authent

18、ication-mode radius/認(rèn)證方案必須為RADIUS AC-aaa accounting-scheme acco_scheme /計(jì)費(fèi)方案 AC-aaa-accounting-acco_scheme accounting-mode radius /計(jì)費(fèi)方案為RADIUS AC-aaa-accounting-acco_scheme accounting realtime 15,AC設(shè)備Portal服務(wù)器配置 (1/6),配置Portal認(rèn)證頁(yè)面URL地址，當(dāng)用戶未認(rèn)證訪問(wèn)網(wǎng)絡(luò)時(shí)，AC將用戶的訪問(wèn)地址重定向到Portal服務(wù)器。,AC url-template name huawei

19、 AC-url-template-huawei url :8080/portal /為Portal服務(wù)器的主機(jī)名。,AC-url-template-huawei url-parameter ssid ssid redirect-url url,配置URL中攜帶的參數(shù)字段名稱，和認(rèn)證服務(wù)器保持一致,配置設(shè)備上處理Portal協(xié)議報(bào)文的端口號(hào)，默認(rèn)為2000，如果修改此端口的值，在AC-Campus上添加AC設(shè)備時(shí)，也需要配置成修改后的端口號(hào)。,AC web-auth-server listening-port 2000,AC設(shè)備Portal服務(wù)器配置 (2/6),配置Portal服務(wù)器模板，包括

20、：Portal服務(wù)器IP地址、Portal服務(wù)器端口等。,AC web-auth-server portal_huawei AC-web-auth-server-portal_huawei server-ip 0 /配置Portal服務(wù)器的IP地址 AC-web-auth-server-portal_huawei source-ip 54 /配置設(shè)備和Portal服務(wù)器通信的IP地址 AC-web-auth-server-portal_huawei port 50200 /配置向Portal服務(wù)器主動(dòng)發(fā)送報(bào)文時(shí)使用的目的端口號(hào)為50200,配置與Po

21、rtal服務(wù)器通信的共享密鑰，和Portal服務(wù)器保持一致。,AC-web-auth-server-portal_huawei shared-key cipher Admin123 /配置與Portal服務(wù)器通信的共享密鑰 AC-web-auth-server-portal_huawei url-template huawei /Portal服務(wù)器模板綁定URL模板 AC-web-auth-server-portal_huawei server-detect interval 100 max-times 5 critical-num 1 action log /使能Portal服務(wù)器探測(cè)功能

22、AC-web-auth-server-portal_huawei user-sync interval 100 max-times 5 /使能設(shè)備的用戶信息同步功能,AC設(shè)備Portal服務(wù)器配置 (3/6),創(chuàng)建Portal接入模板，并在模板下綁定Portal服務(wù)器模板。,AC portal-access-profile name acc_portal_employee /創(chuàng)建員工的Portal接入模板 AC-portal-access-profile-acc_portal_employee web-auth-server portal_huawei direct /用戶終端和AC之間為二層

23、組網(wǎng)，配置為direct方式，如果為三層組網(wǎng)，則為layer3 AC portal-access-profile name acc_portal_guest /創(chuàng)建訪客的Portal接入模板 AC-portal-access-profile-acc_portal_guest web-auth-server portal_huawei direct,創(chuàng)建MAC接入模板，員工需要進(jìn)行MAC優(yōu)先的Portal認(rèn)證。,AC mac-access-profile name acc_mac,AC設(shè)備Portal服務(wù)器配置 (4/6),配置用戶認(rèn)證前和認(rèn)證后的訪問(wèn)規(guī)則。,AC free-rule-templ

24、ate name default_free_rule AC-free-rule-default_free_rule free-rule 1 destination ip mask 55 /配置portal認(rèn)證的免認(rèn)證規(guī)則，確保終端用戶認(rèn)證前能訪問(wèn)DNS服務(wù)器 AC-free-rule-default_free_rule free-rule 2 destination ip 00 mask 55 /配置portal認(rèn)證的免認(rèn)證規(guī)則，確保終端用戶認(rèn)證前能訪問(wèn)AD服務(wù)器 AC-free-rule-d

25、efault_free_rule free-rule 3 destination ip mask 55 /配置portal認(rèn)證的免認(rèn)證規(guī)則，確保終端用戶認(rèn)證前能訪問(wèn)DHCP服務(wù)器 AC acl 3001 /配置員工認(rèn)證后域，可訪問(wèn)內(nèi)網(wǎng)及Internet AC-acl-adv-3001 rule 5 permit ip AC acl 3002 /配置訪客認(rèn)證后域，可訪問(wèn)Internet AC-acl-adv-3002 rule 5 deny ip destination 00 55 /192.1

26、68.11.200為業(yè)務(wù)系統(tǒng)，不允許訪客訪問(wèn) AC-acl-adv-3002 rule 10 permit ip,AC設(shè)備Portal服務(wù)器配置 (5/6),配置Portal逃生。Portal服務(wù)器Down時(shí)，為用戶授權(quán)用戶組，實(shí)現(xiàn)用戶能夠訪問(wèn)認(rèn)證后域。Portal服務(wù)器Up后，對(duì)用戶進(jìn)行重認(rèn)證。,AC user-group group1 AC-user-group-group1 acl 3001 /group1對(duì)應(yīng)員工認(rèn)證后域 AC portal-access-profile name acc_portal_employee AC-portal-access-profile-acc_port

27、al_employee authentication event portal-server-down action authorize user-group group1 /配置員工在Portal服務(wù)器Down時(shí)的網(wǎng)絡(luò)訪問(wèn)權(quán)限 AC-portal-access-profile-acc_portal_employee authentication event portal-server-up action re-authen /使能當(dāng)Portal服務(wù)器狀態(tài)由Down轉(zhuǎn)變?yōu)閁p時(shí)，設(shè)備對(duì)用戶進(jìn)行重認(rèn)證 AC user-group group2 AC-user-group-group2 acl 3

28、002 /group1對(duì)應(yīng)訪客認(rèn)證后域 AC portal-access-profile name acc_portal_guest AC-portal-access-profile-acc_portal_guest authentication event portal-server-down action authorize user-group group2 /配置訪客在Portal服務(wù)器Down時(shí)的網(wǎng)絡(luò)訪問(wèn)權(quán)限 AC-portal-access-profile-acc_portal_guest authentication event portal-server-up action r

29、e-authen,AC設(shè)備Portal服務(wù)器配置 (6/6),配置認(rèn)證模板。員工需要啟用MAC優(yōu)先的Portal認(rèn)證，所以需要與訪客使用不同的認(rèn)證模板。,AC authentication-profile name auth_portal_employee AC-authentication-profile-auth_portal_employee mac-access-profile acc_mac /員工啟用MAC優(yōu)先的Portal認(rèn)證 AC-authentication-profile-auth_portal_employee portal-access-profile acc_port

30、al_employee AC-authentication-profile-auth_portal_employee authentication-scheme auth_scheme AC-authentication-profile-auth_portal_employee accounting-scheme acco_scheme AC-authentication-profile-auth_portal_employee radius-server radius_template AC-authentication-profile-auth_portal_employee free-r

31、ule-template default_free_rule AC authentication-profile name auth_portal_guest AC-authentication-profile-auth_portal_guest portal-access-profile acc_portal_guest AC-authentication-profile-auth_portal_guest authentication-scheme auth_scheme AC-authentication-profile-auth_portal_guest accounting-sche

32、me acco_scheme AC-authentication-profile-auth_portal_guest radius-server radius_template AC-authentication-profile-auth_portal_guest free-rule-template default_free_rule AC dhcp snooping enable AC device-sensor dhcp option 12 55 60 /配置終端類型感知功能，將DHCP報(bào)文中包含終端類型信息的Option字段，發(fā)送給認(rèn)證服務(wù)器，認(rèn)證服務(wù)器可以根據(jù)終端類型，推送合適的Po

33、rtal認(rèn)證頁(yè)面,AP上線配置 (1/2),創(chuàng)建AP組，用于將相同配置的AP都加入同一AP組中。,AC wlan AC-wlan-view ap-group name employee /員工AP組 AC-wlan-view ap-group name guest /訪客AP組,創(chuàng)建域管理模板，在域管理模板下配置AC的國(guó)家碼并在AP組下引用域管理模板。,AC-wlan-view regulatory-domain-profile name domain1 AC-wlan-regulatory-domain-prof-domain1 country-code cn AC-wlan-view ap

34、-group name employee AC-wlan-ap-group-employee regulatory-domain-profile domain1 Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continue?Y/N:y AC-wlan-view ap-group name guest AC-wlan-ap-group-guest regulatory-domain-profi

35、le domain1 Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continue?Y/N:y,AP上線配置 (2/2),配置AC的源接口。,AC capwap source interface vlanif 10,在AC上離線導(dǎo)入AP，并將AP加入AP組中。,AC wlan AC-wlan-view ap auth-mode mac-auth AC-wlan-view ap-id 0 ap

36、-mac 60de-4476-e360 AC-wlan-ap-0 ap-name ap_0 AC-wlan-ap-0 ap-group employee Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configurations of the radio, Whether to continue? Y/N:y AC-wlan-view ap-id 1 ap-mac 60de-4476-e380 AC-wl

37、an-ap-1 ap-name ap_1 AC-wlan-ap-1 ap-group guest Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configurations of the radio, Whether to continue? Y/N:y,AC設(shè)備業(yè)務(wù)參數(shù)配置 (1/3),創(chuàng)建的安全模板，并配置安全策略。,AC wlan AC-wlan-view security-profile name

38、 security_portal,創(chuàng)建SSID模板。,AC-wlan-view ssid-profile name wlan-ssid-employee AC-wlan-ssid-prof-wlan-ssid-employee ssid employee Warning: This action may cause service interruption. Continue?Y/Ny AC-wlan-view ssid-profile name wlan-ssid-guest AC-wlan-ssid-prof-wlan-ssid-guest ssid guest Warning: This

39、 action may cause service interruption. Continue?Y/Ny,AC設(shè)備業(yè)務(wù)參數(shù)配置 (2/3),建名VAP模板，配置業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)模式、業(yè)務(wù)VLAN，并且引用安全模板、SSID模板和認(rèn)證模板。,AC-wlan-view vap-profile name wlan-vap-employee AC-wlan-vap-prof-wlan-vap-employee forward-mode tunnel Warning: This action may cause service interruption. Continue?Y/Ny AC-wlan-vap

40、-prof-wlan-vap-employee service-vlan vlan-id 100 AC-wlan-vap-prof-wlan-vap-employee security-profile security_portal AC-wlan-vap-prof-wlan-vap-employee ssid-profile wlan-ssid-employee AC-wlan-vap-prof-wlan-vap-employee authentication-profile auth_portal_employee /綁定員工的認(rèn)證模板 AC-wlan-view vap-profile n

41、ame wlan-vap-guest AC-wlan-vap-prof-wlan-vap-guest forward-mode tunnel Warning: This action may cause service interruption. Continue?Y/Ny AC-wlan-vap-prof-wlan-vap-guest service-vlan vlan-id 101 AC-wlan-vap-prof-wlan-vap-guest security-profile security_portal AC-wlan-vap-prof-wlan-vap-guest ssid-pro

42、file wlan-ssid-guest AC-wlan-vap-prof-wlan-vap-guest authentication-profile auth_portal_guest /綁定訪客的認(rèn)證模板,AC設(shè)備業(yè)務(wù)參數(shù)配置 (3/3),配置AP組引用VAP模板，AP上射頻0和射頻1都使用VAP模板的配置。,AC-wlan-view ap-group name employee AC-wlan-ap-group-employee vap-profile wlan-vap-employee wlan 1 radio 0 AC-wlan-ap-group-employee vap-profi

43、le wlan-vap-employee wlan 1 radio 1 AC-wlan-view ap-group name guest AC-wlan-ap-group-guest vap-profile wlan-vap-guest wlan 1 radio 0 AC-wlan-ap-group-guest vap-profile wlan-vap-guest wlan 1 radio 1,AC-Campus配置 添加設(shè)備,選擇“資源 設(shè)備 設(shè)備管理”，單擊“增加”，設(shè)置AC設(shè)備的參數(shù)。,AC-Campus配置 添加SSID,選擇“策略 準(zhǔn)入控制 策略元素 SSID”，單擊“增加”，分別添

44、加員工和訪客SSID。,AC-Campus配置 認(rèn)證規(guī)則,選擇“策略 準(zhǔn)入控制 認(rèn)證授權(quán) 認(rèn)證規(guī)則”，修改缺省認(rèn)證規(guī)則或新建認(rèn)證規(guī)則。,AC-Campus配置 授權(quán)結(jié)果,選擇“策略 準(zhǔn)入控制 認(rèn)證授權(quán) 授權(quán)結(jié)果”，分別添加員工和訪客授權(quán)ACL。,AC-Campus配置 授權(quán)規(guī)則,選擇“策略 準(zhǔn)入控制 認(rèn)證授權(quán) 授權(quán)規(guī)則”，關(guān)聯(lián)授權(quán)結(jié)果，指定員工和訪客認(rèn)證通過(guò)后允許訪問(wèn)的資源。,AC-Campus配置 定制Portal推送頁(yè)面,選擇“策略 準(zhǔn)入控制 頁(yè)面定制 頁(yè)面定制”。 設(shè)置頁(yè)面基本信息。,啟用MAC優(yōu)先的Portal認(rèn)證,選擇“系統(tǒng) 終端參數(shù)配置 全局參數(shù)”，在“MAC優(yōu)先的Portal認(rèn)證

45、”頁(yè)簽下，啟用“MAC優(yōu)先的Portal認(rèn)證”。,結(jié)果驗(yàn)證,Portal認(rèn)證技術(shù)原理 Portal認(rèn)證技術(shù)配置部署 Portal認(rèn)證技術(shù)故障處理,Portal接入故障,Portal接入故障，請(qǐng)根據(jù)下面的流程圖進(jìn)行排查：,終端瀏覽器能否訪問(wèn)Portal認(rèn)證的URL,在終端開(kāi)啟Wi-Fi。 運(yùn)行操作系統(tǒng)自帶的瀏覽器，嘗試訪問(wèn)“http:/SC-IP:8080/portal”。 如果終端不能夠正常訪問(wèn)“http:/SC-IP:8080/portal”，請(qǐng)檢查業(yè)務(wù)控制器與終端之間是否能夠正常通信。 如果終端能夠正常訪問(wèn)“http:/SC-IP:8080/portal”，請(qǐng)依次檢查： 檢查交換機(jī)/AC的

46、Portal認(rèn)證端口與AC-Campus認(rèn)證端口是否一致。 檢查終端與業(yè)務(wù)控制器之間的通信是否被防火墻攔截。 檢查瀏覽器的代理服務(wù)器是否處于未啟動(dòng)狀態(tài)。,SC與終端之間是否能夠正常通信,獲取終端的IP地址。 在業(yè)務(wù)控制器測(cè)試兩者網(wǎng)絡(luò)連接是否正常。 使用ping命令測(cè)試業(yè)務(wù)控制器與終端之間的網(wǎng)絡(luò)連接是否正常。如果業(yè)務(wù)控制器與終端之間網(wǎng)絡(luò)連接出現(xiàn)故障，則： 排查網(wǎng)絡(luò)連接問(wèn)題，例如檢查網(wǎng)關(guān)、路由是否正確。 如果業(yè)務(wù)控制器與接入控制設(shè)備之間存在防火墻，則需要在防火墻上對(duì)兩者交互使用的端口進(jìn)行放行處理。 在業(yè)務(wù)控制器關(guān)閉Windows自帶的防火墻。,檢查SC本機(jī)能否訪問(wèn)Portal認(rèn)證的URL,登錄業(yè)務(wù)控制器所在的操作系統(tǒng)。 運(yùn)行Internet Explorer，嘗試訪問(wèn)“http:/SC-IP:8080/portal”。 如果Internet Explorer不能夠訪問(wèn)“http:/SC-IP:8080/portal”，請(qǐng)檢查業(yè)務(wù)控制器是否已啟動(dòng)。 如果