请详细阅读操作文档，结合实际情况进行配置：

若操作不当将可能导致网络卡顿甚至断网等异常情况。

若网络中存在业务的情况下，请同步客户风险并征得客户同意后再操作。

若您不清楚造成的影响或对操作不熟练，请不要操作，请联系专业的锐捷售后工程师进行评估后再决定是否操作。

【必配】WEB认证

一、原理介绍：

点击查看原图

交互流程：
1. 用户通过DHCP协议获取到IP 地址。
2. 用户打开IE ，发起 HTTP请求。
3. 18k 截获用户HTTP 请求，因用户未认证，重定向到 Portal 服务器。
4. Portal 服务器向终端推送WEB认证页面。
5. 用户在认证页面上填入帐号 / 密码等，提交到Portal服务器。
6. Portal 服务器将接收到的用户认证信息发给 18k 。
7. 18k 向 SAM 发起RADIUS 认证。
8. SAM 根据用户信息判断用户是否合法, 向 18k 返回认证结果。
9. 18k 返回认证结果给Portal服务器。
10. Portal 服务器回应 18k 收到认证结果报文。如果认证失败，则流程到此结束。
11. Portal 服务器根据认证结果，返回重定向信息，用户重定向到认证结果页面。
12. 认证如果成功， 18k 发起计费请求给SAM。
13. SAM 回应计费开始响应报文。
14. SAM 与 ePortal 交互用户详细信息。

二、配置命令：

aaa new-model //启用AAA

aaa accounting network (list name) start-stop group (group name) // AAA 参考配置，以实际业务部署为准

aaa authentication web-auth (list name) group (group name)// AAA 的web模板参考配置，以实际业务部署为准

aaa authentication login default local // AAA 的设备登入采用本地username/password

aaa group server radius (group name) //配置aaa server组，多radius场景适用

server (radius ip)//配置aaa server组，多radius场景适用

radius-server host (radius ip) key 7 (radius key) //配置aaa server IP和key，单radius场景适用

aaa accounting update periodic 30 //配置aaa记帐更新周期30s

aaa accounting update //配置aaa记帐更新

aaa authorization ip-auth-mode mixed //配置dot1x上传sam的IP方式为混合模式，会通过多种方式轮询获取IP（su客户端/dhcp/radius等）

no aaa log enable //关闭aaa log

offline-detect interval 15 threshold 0 //配置无流量下线，检测时间15分钟，【根据实际情况配置】

web-auth template eportalv2 //创建web认证模板

ip 202.204.193.32//portal服务器的IP

url http://202.204.193.32/eportal/index.jsp //portal服务器的url地址

authentication (list name) //选配，当aaa自定义list name时，需要匹配

accounting (list name) //选配，当aaa自定义list name时，需要匹配

web-auth portal key university //选配，密钥

interface range GigabitEthernet 0/2-3 //接口启用web认证

web-auth enable eportalv2//接口使能

web-auth vlan-control 2000-3000 //接口同时配置802.1X认证和WEB认证时，可基于vlan开启WEB认证受控，其余VLAN用户通过802.1X认证。如未开802.1X认证，其余用户将无法认证即无法上网。

snmp-server host x.x.x.x（服务器IP地址） informs version 2c xx（团体字）

snmp-server community xx（团体字） rw

三、注意事项：

WEB认证前用户需先获取地址并且能够通过DNS解析相应网站的IP地址。

四、配置举例：