Portal认证方式

初级安全 WPA-PSK + 接入点隐藏

中级安全 IEEE802.1X认证 + TKIP加密
专业级安全 用户隔离技术 + iEEE802.11i + radiu认证和计费

Portal技术称为Web认证技术，一般Portal认证网站称为门户网站
Portal认证时一种三层网络接入认证，认证之前可以获取地址，这点与802.1X不同

扩展功能
1、在portal身份认证的基础上增加了安全认证机制，可以检测接入终端上是否安装了防病毒软件，是否更新了病毒库，是否安装了非法软件，是否更新了操作系统补丁等
2、用户通过身份认证后仅仅获得访问部分互联网资源（受限资源）的权限，当用户通过安全认证后便可以访问更多的互联网资源

优点 用户无需安装客户端软件、新业务支持能力强大、快速认证方式
portal的基本原理是:未认证用户只能访问特定的站点服务，任何其他访问都被无条件地重定向到portal服务器；只有在认证通过后，用户才能访问internet

portal基本四要素:认证客户端、接入设备、portal服务器、认证计费服务器、安全策略服务器
注:四要素之间不能使用NAT

认证前:将用户的所有http请求都重定向到portal服务器上

认证过程中:用户在认证过程中，与认证计费服务器、安全策略服务器交互，完成身份认证/安全检查功能
认证通过后：允许用户访问网络资源
认证/计费服务器:完成对用户的认证和计费

portal认证方式:非三层认证方式、三层认证方式

三层认证方式:客户端与接入设备间有三层设备（直接获取IP地址）

非三层认证方式:客户端与接入设备间没有三层设备

非三层认证方式分为直连认证方式、二次地址分配认证方式

直接认证方式：用户在认证前通过手工设置或DHCP获取IP地址，只能访问portal服务器，认证后即可访问网络资源

二次地址分配认证方式：认证前通过DHCP获取一个私网地址，只能访问portal服务器，认证后，会申请到一个公网地址，即可访问网络资源

目前只能是radius认证计费服务器，TACACS暂时不支持portal服务

配置Portal服务器

portal server china ip 192.168.16.254 key cipher 123 port 8080 url http://192.168.16.254/portal

定义portal服务器名称为china、地址，与portal服务器通信共享密钥，http报文重定向地址

portal free-rule 0 source ip 192.168.16.254 mask 255.255.255.255 destination ip any

portal free-rule 1 source ip any destination ip 192.168.16.253 mask 255.255.255.255 配置iNode
portal free-rule 2 source ip 192.168.16.252 mask 255.255.255.255 destination ip any 病毒服务器

portal free-rule 3 source ip 192.168.16.1 mask 255.255.255.255 destination ip any 

interface Vlan-interface1
 ip address 192.168.16.1 255.255.255.0
 ospf bfd enable
 portal server china method layer3 启用Portal认证方式

H3C设备AAA配置信息

radius scheme AAA #创建radius认证名称
 primary authentication 192.168.16.253 1812#主认证服务器IP地址
 primary accounting 192.168.16.253 1813 #主审计服务器IP地址
 key authentication cipher 123456 #与认证服务器交互报文时的共享密钥为123456
 key accounting cipher 123456 #与审计服务器交互报文时的共享密钥为123456
 user-name-format without-domain #向radius服务器发送的用户名不携带域名
 nas-ip 192.168.16.1 本设备地址(Radius客户端地址)
 server-type extended #服务类型为扩展

security-policy-server 192.168.16.252 部署安全策略服务器

domain CHINA
authentication portal radius-scheme AAA

authorization portal radius-scheme AAA

accounting portal radius-scheme AAA

domain default enable CHINA

display history-command 显示当前用户输入的历史命令
reset factory-configuration恢复出厂设置
management-plane isolate enable 开启管理口隔离，业务口无法访问管理口