1.前言

从11.1(6)B4主线版本之后，基本所有的主线版本以及分支版本都支持web二代认证功能，也包括ACE。

Web二代认证主要依据不同的服务器而配置有所不同，常用的有ePortal/SAM+、ESS/SMP、以及第三方Portal & Radius服务器。

功模块方面，link-sam主要用于跟SAM+服务器的对接；IPFIX主要是用于跟SAM+服务器的对接，配置之后支持IPFIX计费、策略等；

web认证模板，主要用于选择需要使用哪种类型的认证方式。同时需要用到SNMP模块，这个用户设备跟SMP/ESS/ePortal服务器的交互。

此外还有各种联动的服务器的配置，这里不深入说明；以及多Portal/主备Portal联动的配置、web认证免认证配置等。

2.基本配置

选择web二代认证模板，配置portal ip以及重定向URL，如下图，这里的服务器可以是ePortal或者SMP/ESS，以及第三方Portal等；配置举例：

◆ 对于ePortal服务器

主portal服务器IP：172.18.31.203

重定向主页：http://172.18.31.203:8080/eportal

◆ 对于SMP/ESS服务器

主portal服务器IP：172.21.161.248

重定向主页：http://172.21.161.248:80/SMP/commonauth或http://172.21.161.248:80/ess/commonauth

◆ 对于第三方portal服务器(城市热点)

主portal服务器IP：172.16.0.249

重定向主页：http://172.16.0.249/a79.htm

如上，portal的IP以及重定向主页需要以及具体的情况而定，大部分的重定向主页都会是一些客户的定制页面（具体配置方法参考二代WEB认证（对接城市热点）章节）。

2.1 认证服务器配置

需要注意radius key的配置，radius服务器的配置，差别不大，这里以SAM+服务器的配置为例

◆ 服务器IP：172.18.31.220，认证端口、计费端口、超时时间、重传次数，顾名思义，采用默认配置即可。

◆ 共享密钥：ruijie，需要与服务器协商保持一致。

2.2 备用portal服务器配置

备用portal服务器同主portal服务器的使用一样，指定接入用户网段在认证重定向时，会使用绑定的portal服务器以及重定向主页。

2.3 配置portal key、portal检测以及逃生、配置是否开启IPoE

这里主要关注通讯密码，也就是portal key的配置，需要保持更portal服务器一致，在不清楚情况下最好询问portal服务器相关人员。

◆ Portal检测以及逃生：开启服务器检测后，设备会定期去检测服务器的联通状态；开启逃生时，在服务器不可用时，用户认证会被临时放行，等服务器恢复后，被放行的用户会被踢下线，需要重新认证。

◆ IPoE（无感知认证）： 客户场景中，需要用到无感知的，需要在这里勾选上，用户第一次认证后，第二次在接入网络，打开浏览器后，用户可直接上网。

3. 高级配置

这里主要涉及重定向端口（其中HTTPS重定向端口也就是443端口需要特定版本才能支持，大版本从11.1(6)B9开始支持）、无流量下线检测（该功能与IPFIX的无流量下线检测功能冲突，一般开启IPIFX模块功能后，该功能便失效）等。

最大HTTP会话数、重定向超时时间、在线信息更新时间，顾名思义。

◆ 重定向HTTP端口：设置在http(含https)访问时，哪些端口的页面能够被捕获进行重定向，一般的网页都是80端口，此为默认配置；https为443端口；其他的诸如8080等不是默认的http端口，需要手动添加。

◆ 下线检测模式：在没有IPFIX功能模块的版本中，开启有效；开启时，默认为在15min内，流量统计小于0kb/s，也就是没有流量时，对应用户会被踢下线。

◆ IP-MAC绑定模式：适用于二层网络，接口可以学习到同VLAN下的ARP表项。

4. Web认证免认证配置

这个页面主要是用于添加一些需要免认证的内网IP/网段，或者外网资源，常见的有：DNS服务器IP，其他需要不受web认证限制的服务器IP，免认证的特权用户IP等，设备默认自动对Portal服务器免认证或者直通。

◆ 免认证网络资源：适用于设备WAN口一侧的对象，可以是DNS服务器、其他需要不受web认证限制的服务器IP、网络中的云服务器、常用网址对应的IP等。

◆ 免认证用户IP：针对设备Lan口一侧的内网IP，可以是免认证的特权用户IP、部署在内网的服务器IP、内网网关、AP-Controller(简称AC)等。

5. Link-Sam配置

设备跟SAM的联动包括两种，基于端口来分类（默认联动端口配置下），2012端口的是属于老的一代认证的；而2009是一代ipfix计费模板使用的联动端口，此外还有二代web认证支持计费的联动端口。

该模块只适用与SAM跟网关设备的联动，不适用于其他服务器。

6. 服务器联动配置

6.1 SAM+配置

这里要注意设备类型、设备key、读写Community的配置，以及最重要的启用2009端口的配置，这个开启后才能支持网关设备跟SAM+联动的IPFIX计费功能。

◆ 设备类型&具体型号：诸如，锐捷交换机àN18K，出口联动设备àEG设备系列，Web网关认证设备àV5以后（对应到ACE设备）。

◆ 设备Key：此处对应到Radius key

◆ 读写Community：这个对应SNMP Community

◆ 联动端口：对应LINK-SAM端口，采用默认就好

◆ N18K特性：二代Web认证当前只能将网关产品指定为N18K来进行测试（SAM服务器端未添加网关产品支持二代Web认证的设备类型），“启用2009端口”则是用来支持IPFIX计费功能的

其他配置项采用默认。

6.2 ePortal配置

◆ 读写Community：与设备上的SNMP Community配置需要保持一致

◆ web-auth portal key：对应到设备上的Portal key

◆ 设备类型 & 设备IP：顾名思义，本文为二代Web认证配置举例，显然这里就是二代Web认证接入设备

◆ NAT代理模式：NAT代理模式的开启与否跟Portal服务器相对于网关设备所处的位置有关，一般网关设备使用LAN口跟Portal进行通信，则处处不需要开启NAT代理；如果网关设备使用WAN口跟Portal服务器进行通信，则此处需要开启NAT代理。

6.3 ESS/SMP配置

这里重点需要关注设备说配置模板中的portal key以及SNMP Community key要与设备上一致，因为只有这样才能获取到设备的信息，设备才能跟服务器联动上。