在上一篇里面介绍到了内置的portal认证,要求是输入一个用户名密码的,可能在某些环境下,客户只希望能看到宣传的广告图片,不需要输入什么帐号密码,直接可以匿名登录(也就是一键上网,点击就可以了)。还一种环境下可以直接是接入码认证,输入指定的“编号”即可上网,这次我们就看看这两种方式如何配置,应该注意什么。
拓扑跟内置的时候一样的,用FAT AP,这里大部分配置是跟帐号密码形式一样的,只有小部分区别,所以这一篇只会着重讲解下区别的地方。
匿名认证
1、创建一个portal服务器地址,这里直接使用接口地址。(在文档中可能会建议你使用loopback,但是会出现一些问题,在内置的portal下。)
[Huawei]interface vlan 1
[Huawei-Vlanif1]ipaddress 192.168.1.254 24
2、开启内置portal服务功能
[Huawei]portallocal-server ip 192.168.1.254 //指定我们刚刚创建的
[Huawei]portallocal-server https ssl-policy default_policy port 4434
PS:关于default_policy这个设备默认内置的SSL服务器策略,自带一个自签名证书,端口号默认不改为443,建议修改,否则HTTPS网管访问会受影响。
3、配置portal接入模板
[Huawei]portal-access-profilename portal
[Huawei-portal-access-profile-portal]portallocal-server enable
[Huawei-portal-access-profile-portal]portallocal-server anonymous
这条命令就是关键,启用匿名功能。
4、(区别地方)认证方式配置为none,就是不认证
[Huawei]aaa
[Huawei-aaa]authentication-schemeportal
[Huawei-aaa-authen-portal]authentication-modenone
5、配置免认证模板
[Huawei]free-rule-templatename default_free_rule:这里注意下,在FAT中只能使用系统内置的模板,不能自定义,而AC中可以自定义。
[Huawei-free-rule-default_free_rule]free-rule1 destination ip 223.5.5.5 mask 255.255.255.255
[Huawei-free-rule-default_free_rule]free-rule2 destination ip 192.168.1.5 mask 255.255.255.255
我们定义2个规则,去往223.5.5.5跟192.168.1.5(都是DNS)的流量放行,注意free-rule必须跟ID。
6、认证模板
[Huawei]authentication-profilename portal
[Huawei-authentication-profile-portal]authentication-schemeportal
[Huawei-authentication-profile-portal]portal-access-profile portal
[Huawei-authentication-profile-portal]free-rule-templatedefault_free_rule
7、无线基本业务
[Huawei]wlan
[Huawei-wlan-view]ssid-profile name portal
[Huawei-wlan-ssid-prof-portal]ssidportal
[Huawei-wlan-view]security-profile name portal :这里创建一个模板就行了,默认为open方式
[Huawei-wlan-view]vap-profilename portal
[Huawei-wlan-vap-prof-portal]ssid-profile portal
[Huawei-wlan-vap-prof-portal]security-profileportal
[Huawei-wlan-vap-prof-portal]authentication-profileportal
[Huawei]interface Wlan-Radio 0/0/0
[Huawei-Wlan-Radio0/0/0]vap-profileportal wlan 2
[Huawei]interface Wlan-Radio 0/0/1
[Huawei-Wlan-Radio0/0/1]vap-profileportal wlan 2
默认是英文版本
可以切换到中文,点击登录即可
成功后就可以正常上网了,当然我们也可以优化下一些内容。
我们可以在WEB界面这启用默认语言为中文,然后编辑一些声明(可以广告,自定义)还可以换图片,LOG来装饰下整个页面。最后点击那应用即可。
再次登录就有声明跟中文了。
匿名认证跟很多其他提供的一键认证差不多,客户那边不需要输入帐号信息,只需要在登录后弹出页面,客户点击登录就可以了(这个页面可以自定义广告、宣传语、免责之类的)。
切换中文在命令行里面也可以设置,免责声明则在WEB相对方便很多。
接入码认证
接入码认证在一些酒店、公寓的网络场景会被使用到,我们在本地数据库里面可以创建很多接入码(任意字符串),并且可以设置有效期,在这个有效期类,输入了定义的字符串就可以上网了。这里的配置跟portal、匿名整体步骤一样,区别点在于认证这一块得采用本地。
1、区别一:改成本地认证
[Huawei]aaa
[Huawei-aaa]authentication-schemeportal
[Huawei-aaa-authen-portal]authentication-modelocal
2、区别二:创建本地认证接入码
[Huawei-aaa]local-access-code cipher YJ301 expire-date 2020/9/08expire-hour 23
这里创建了一个接入码(YJ301),有效期在2020年9月8号的23点之前都可以使用
3、区别三:在认证接入模板里面加入接入码认证功能
portal-access-profilename portal
portal local-server enable
在portal认证只需要启用本地认证即可,我们需要在这个基础上面在加一个命令
portal-access-profilename portal
portal local-server enable
portal local-server access-code
启用本地接入码功能,当这个配置后,其余的配置跟内置portal、匿名登录一模一样,我们来测试下。
我们可以用cut命令来踢掉用户测试,否则要等待8小时。
我们输入接入码,YJ301,区分大小写
这个时候上网正常了
4、如果提示错误,这个时候我们还需要注意一个接入码认证的地方,那就是设备的时间!!
如果设备时间不对,比如设备的时间已经过了接入码设置的时间,它会认为这个接入码失效了,接入码是否有效,取决于设备本身的时间,而不是客户端的时间!!
匿名与接入码的场景
在portal认证中,匿名跟接入码的场景用的相对较少,在小型酒店、公寓可能会遇到这样的需求,比如公寓的房间号作为接入码,或者在酒店推送一些广告宣传服务等。AC环境还支持内置微信认证,不过目前暂时没有AC设备,这个功能就演示不了了。