- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- BOB登陆 人才研學中心
- 關於我們
04-Portal配置
本章節下載: 04-Portal配置 (1.04 MB)
目 錄
1.1.4 使用本地Portal服務器的Portal認證係統
1.12 指定Portal用戶認證成功後認證頁麵的自動跳轉目的網站地址
1.17.7 使用本地Portal服務器的直接Portal認證配置舉例
Portal在英語中是入口的意思。Portal認證通常也稱為Web認證,一般將Portal認證網站稱為門戶網站。
未認證用戶上網時,設備強製用戶登錄到特定站點,用戶可以免費訪問其中的服務。當用戶需要使用互聯網中的其它信息時,必須在門戶網站進行認證,隻有認證通過後才可以使用互聯網資源。
用戶可以主動訪問已知的Portal認證網站,輸入用戶名和密碼進行認證,這種開始Portal認證的方式稱作主動認證。反之,如果用戶試圖通過HTTP訪問其他外網,將被強製訪問Portal認證網站,從而開始Portal認證過程,這種方式稱作強製認證。
Portal業務可以為運營商提供方便的管理功能,門戶網站可以開展廣告、社區服務、個性化的業務等,使寬帶運營商、設備提供商和內容服務提供商形成一個產業生態係統。
Portal的擴展功能主要是指通過強製接入終端實施補丁和防病毒策略,加強網絡終端對病毒攻擊的主動防禦能力。具體擴展功能如下:
· 安全性檢測:在Portal身份認證的基礎上增加了安全認證機製,可以檢測接入終端上是否安裝了防病毒軟件、是否更新了病毒庫、是否安裝了非法軟件、是否更新了操作係統補丁等;
· 訪問資源受限:用戶通過身份認證後僅僅獲得訪問部分互聯網資源(受限資源)的權限,如病毒服務器、操作係統補丁更新服務器等;當用戶通過安全認證後便可以訪問更多的互聯網資源(非受限資源)。
Portal的典型組網方式如圖1-1所示,它由五個基本要素組成:認證客戶端、接入設備、Portal服務器、認證/計費服務器和安全策略服務器。
由於Portal服務器可以是接入設備之外的獨立實體,也可以是存在於接入設備之內的內嵌實體,本文稱之為“本地Portal服務器”,因此下文中除對本地支持的Portal服務器做特殊說明之外,其它所有Portal服務器均指獨立的Portal服務器,請勿混淆。
圖1-1 Portal係統組成示意圖
安裝於用戶終端的客戶端係統,為運行HTTP/HTTPS協議的瀏覽器或運行Portal客戶端軟件的主機。對接入終端的安全性檢測是通過Portal客戶端和安全策略服務器之間的信息交流完成的。
交換機、路由器等寬帶接入設備的統稱,主要有三方麵的作用:
· 在認證之前,將用戶的所有HTTP請求都重定向到Portal服務器。
· 在認證過程中,與Portal服務器、安全策略服務器、認證/計費服務器交互,完成身份認證/安全認證/計費的功能。
· 在認證通過後,允許用戶訪問被管理員授權的互聯網資源。
接收Portal客戶端認證請求的服務器端係統,提供免費門戶服務和基於Web認證的界麵,與接入設備交互認證客戶端的認證信息。
與接入設備進行交互,完成對用戶的認證和計費。
與Portal客戶端、接入設備進行交互,完成對用戶的安全認證,並對用戶進行授權操作。
以上五個基本要素的交互過程為:
(1) 未認證用戶訪問網絡時,在Web瀏覽器地址欄中輸入一個互聯網的地址,那麼此HTTP請求在經過接入設備時會被重定向到Portal服務器的Web認證主頁上;若需要使用Portal的擴展認證功能,則用戶必須使用Portal客戶端。
(2) 用戶在認證主頁/認證對話框中輸入認證信息後提交,Portal服務器會將用戶的認證信息傳遞給接入設備;
(3) 然後接入設備再與認證/計費服務器通信進行認證和計費;
(4) 認證通過後,如果未對用戶采用安全策略,則接入設備會打開用戶與互聯網的通路,允許用戶訪問互聯網;如果對用戶采用了安全策略,則客戶端、接入設備與安全策略服務器交互,對用戶的安全檢測通過之後,安全策略服務器根據用戶的安全性授權用戶訪問非受限資源。
· 無論是Web客戶端還是H3C iNode客戶端發起的Portal認證,均能支持Portal認證穿越NAT,即Portal客戶端位於私網、Portal服務器位於公網,接入設備上啟用NAT功能的組網環境下,NAT地址轉換不會對Portal認證造成影響,但建議在此組網環境下,將發送Portal報文的源地址配置為接口的公網IP地址。
· 目前支持Portal認證的遠端認證/計費服務器為RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)服務器。
· 目前通過訪問Web頁麵進行的Portal認證不能對用戶實施安全策略檢查,安全檢查功能的實現需要與H3C iNode客戶端配合。
本地Portal服務器功能是指,Portal認證係統中不采用外部獨立的Portal服務器,而由接入設備實現Portal服務器功能。這種情況下,Portal認證係統僅包括三個基本要素:認證客戶端、接入設備和認證/計費服務器,如圖1-2所示。由於設備支持Web用戶直接認證,因此就不需要部署額外的Portal服務器,增強了Portal認證的通用性。
圖1-2 使用本地Portal服務器的Portal係統組成示意圖
· 使用本地Portal服務器的Portal認證係統不支持Portal擴展功能,因此不需要部署安全策略服務器。
· 內嵌本地Portal服務器的接入設備實現了簡單的Portal服務器功能,僅能給用戶提供通過Web方式登錄、下線的基本功能,並不能完全替代獨立的Portal服務器。
認證客戶端和內嵌本地Portal服務器的接入設備之間可以采用HTTP和HTTPS協議通信。若客戶端和接入設備之間交互HTTP協議,則報文以明文形式傳輸,安全性無法保證;若客戶端和接入設備之間交互HTTPS協議,則報文基於SSL提供的安全機製以密文的形式傳輸,數據的安全性有保障。
本地Portal服務器支持由用戶自定義認證頁麵的內容,即允許用戶編輯一套認證頁麵的HTML文件,並在壓縮之後保存至設備的存儲設備中。該套自定義頁麵中包括六個認證頁麵:登錄頁麵、登錄成功頁麵、在線頁麵、下線成功頁麵、登錄失敗頁麵和係統忙頁麵。本地Portal服務器根據不同的認證階段向客戶端推出對應的認證頁麵,若不自定義,則分別推出係統提供的缺省認證頁麵。
不同的組網方式下,可采用的Portal認證方式不同。按照網絡中實施Portal認證的網絡層次來分,Portal的認證方式分為兩種:二層認證方式和三層認證方式。目前,設備僅支持三層認證方式。
這種方式支持在接入設備連接用戶的三層接口上開啟Portal認證功能。三層接口Portal認證又可分為三種不同的認證方式:直接認證方式、二次地址分配認證方式和可跨三層認證方式。直接認證方式和二次地址分配認證方式下,認證客戶端和接入設備之間沒有三層轉發;可跨三層認證方式下,認證客戶端和接入設備之間可以跨接三層轉發設備。
(1) 直接認證方式
用戶在認證前通過手工配置或DHCP直接獲取一個IP地址,隻能訪問Portal服務器,以及設定的免費訪問地址;認證通過後即可訪問網絡資源。認證流程相對二次地址較為簡單。
(2) 二次地址分配認證方式
用戶在認證前通過DHCP獲取一個私網IP地址,隻能訪問Portal服務器,以及設定的免費訪問地址;認證通過後,用戶會申請到一個公網IP地址,即可訪問網絡資源。該認證方式解決了IP地址規劃和分配問題,對未認證通過的用戶不分配公網IP地址。例如運營商對於小區寬帶用戶隻在訪問小區外部資源時才分配公網IP。
使用本地Portal服務器的Portal認證不支持二次地址分配認證方式。
(3) 可跨三層認證方式
和直接認證方式基本相同,但是這種認證方式允許認證用戶和接入設備之間跨越三層轉發設備。
對於以上三種認證方式,IP地址都是用戶的唯一標識。接入設備基於用戶的IP地址下發ACL對接口上通過認證的用戶報文轉發進行控製。由於直接認證和二次地址分配認證下的接入設備與用戶之間未跨越三層轉發設備,因此接口可以學習到用戶的MAC地址,接入設備可以利用學習到MAC地址增強對用戶報文轉發的控製粒度。
在對接入用戶身份可靠性要求較高的網絡應用中,傳統的基於用戶名和口令的用戶身份驗證方式存在一定的安全問題,基於數字證書的用戶身份驗證方式通常被用來建立更為安全和可靠的網絡接入認證機製。
EAP(Extensible Authentication Protocol,可擴展認證協議)可支持多種基於數字證書的認證方式(例如EAP-TLS),它與Portal認證相配合,可共同為用戶提供基於數字證書的接入認證服務。
圖1-3 Portal支持EAP認證協議交互示意圖
如圖1-3所示,在Portal支持EAP認證的實現中,客戶端與Portal服務器之間交互EAP認證報文,Portal服務器與接入設備之間交互攜帶EAP-Message屬性的Portal協議報文,接入設備與RADIUS服務器之間交互攜帶EAP-Message屬性的RADIUS協議報文,由具備EAP服務器功能的RADIUS服務器處理EAP-Message屬性中封裝的EAP報文,並給出EAP認證結果。整個EAP認證過程中,接入設備隻是對Portal服務器與RADIUS服務器之間的EAP-Message屬性進行透傳,並不對其進行任何處理,因此接入設備上無需任何額外配置。
· 該功能僅能與H3C iMC的Portal服務器以及H3C iNode Portal客戶端配合使用。
· 目前,僅使用遠程Portal服務器的三層Portal認證支持EAP認證。
直接認證和可跨三層Portal認證流程相同。二次地址分配認證流程因為有兩次地址分配過程,所以其認證流程和另外兩種認證方式有所不同。
圖1-4 直接認證/可跨三層Portal認證流程圖
直接認證/可跨三層Portal認證流程:
(1) Portal用戶通過HTTP協議發起認證請求。HTTP報文經過接入設備時,對於訪問Portal服務器或設定的免費訪問地址的HTTP報文,接入設備允許其通過;對於訪問其它地址的HTTP報文,接入設備將其重定向到Portal服務器。Portal服務器提供Web頁麵供用戶輸入用戶名和密碼來進行認證。
(2) Portal服務器與接入設備之間進行CHAP(Challenge Handshake Authentication Protocol,質詢握手驗證協議)認證交互。若采用PAP(Password Authentication Protocol,密碼驗證協議)認證則直接進入下一步驟。
(3) Portal服務器將用戶輸入的用戶名和密碼組裝成認證請求報文發往接入設備,同時開啟定時器等待認證應答報文。
(4) 接入設備與RADIUS服務器之間進行RADIUS協議報文的交互。
(5) 接入設備向Portal服務器發送認證應答報文。
(6) Portal服務器向客戶端發送認證通過報文,通知客戶端認證(上線)成功。
(7) Portal服務器向接入設備發送認證應答確認。
(8) 客戶端和安全策略服務器之間進行安全信息交互。安全策略服務器檢測接入終端的安全性是否合格,包括是否安裝防病毒軟件、是否更新病毒庫、是否安裝了非法軟件、是否更新操作係統補丁等。
(9) 安全策略服務器根據用戶的安全性授權用戶訪問非受限資源,授權信息保存到接入設備中,接入設備將使用該信息控製用戶的訪問。
步驟(8)、(9)為Portal認證擴展功能的交互過程。
圖1-5 二次地址分配認證方式流程圖
二次地址分配認證流程:
(1)~(6)同直接/可跨三層Portal認證中步驟(1)~(6)。
(7) 客戶端收到認證通過報文後,通過DHCP獲得新的公網IP地址,並通知Portal服務器用戶已獲得新IP地址。
(8) Portal服務器通知接入設備客戶端獲得新公網IP地址。
(9) 接入設備通過檢測ARP協議報文發現了用戶IP變化,並通告Portal服務器已檢測到用戶IP變化。
(10) Portal服務器通知客戶端上線成功。
(11) Portal服務器向接入設備發送IP變化確認報文。
(12) 客戶端和安全策略服務器之間進行安全信息交互。安全策略服務器檢測接入終端的安全性是否合格,包括是否安裝防病毒軟件、是否更新病毒庫、是否安裝了非法軟件、是否更新操作係統補丁等。
(13) 安全策略服務器根據用戶的安全性授權用戶訪問非受限資源,授權信息保存到接入設備中,接入設備將使用該信息控製用戶的訪問。
步驟(12)、(13)為Portal認證擴展功能的交互過程。
圖1-6 使用本地Portal服務器的認證流程圖
直接/可跨三層本地Portal認證流程:
(1) Portal用戶通過HTTP或HTTPS協議發起認證請求。HTTP報文經過配置了本地Portal服務器的接入設備的接口時會被重定向到本地Portal服務器,本地Portal服務器提供Web頁麵供用戶輸入用戶名和密碼來進行認證。該本地Portal服務器的監聽IP地址為接入設備上一個與用戶之間路由可達的三層接口IP地址。
(2) 接入設備與RADIUS服務器之間進行RADIUS協議報文的交互。
(3) 接入設備中的本地Portal服務器向客戶端發送登錄成功頁麵,通知客戶端認證(上線)成功。
圖1-7 Portal支持EAP認證流程圖
支持EAP認證的Portal認證流程如下(各Portal認證方式下EAP認證的處理流程相同,此處僅以直接方式的Portal認證為例):
(1) Portal客戶端發起EAP認證請求,向Portal服務器發送Identity類型的EAP請求報文。
(2) Portal服務器向接入設備發送Portal認證請求報文,同時開啟定時器等待Portal認證應答報文,該認證請求報文中包含若幹個EAP-Message屬性,這些屬性用於封裝Portal客戶端發送的EAP報文,並可攜帶客戶端的證書信息。
(3) 接入設備接收到Portal認證請求報文後,構造RADIUS認證請求報文與RADIUS服務器進行認證交互,該RADIUS認證請求報文的EAP-Message屬性值由接入設備收到的Portal認證請求報文中的EAP-Message屬性值填充。
(4) 接入設備根據RADIUS服務器的回應信息向Portal服務器發送證書請求報文,該報文中同樣會包含若幹個EAP-Message屬性,可用於攜帶RADIUS服務器的證書信息,這些屬性值由RADIUS認證回應報文中的EAP-Message屬性值填充。
(5) Portal服務器接收到證書請求報文後,向Portal客戶端發送EAP認證回應報文,直接將RADIUS服務器響應報文中的EAP-Message屬性值透傳給Portal客戶端。
(6) Portal客戶端繼續發起的EAP認證請求,與RADIUS服務器進行後續的EAP認證交互,期間Portal認證請求報文可能會出現多次。後續認證過程與第一個EAP認證請求報文的交互過程類似,僅EAP報文類型會根據EAP認證階段發展有所變化,此處不再詳述。
(7) EAP認證通過後,RADIUS服務器向接入設備發送認證通過響應報文,該報文的EAP-Message屬性中封裝了EAP認證成功報文(EAP-Success)。
(8) 接入設備向Portal服務器發送認證應答報文,該報文的EAP-Message屬性中封裝了EAP認證成功報文。
(9) Portal服務器根據認證應答報文中的認證結果通知Portal客戶端認證成功。
(10) Portal服務器向接入設備發送認證應答確認。
後續為Portal認證擴展功能的交互過程,可參考CHAP/PAP認證方式下的認證流程介紹,此處略。
在當前的組網應用中,用戶對網絡可靠性的要求越來越高,特別是在一些重點的業務入口或接入點上需要保證網絡業務的不間斷性。雙機熱備技術可以保證這些關鍵業務節點在單點故障的情況下,信息流仍然不中斷。
所謂雙機熱備,其實是雙機業務備份。可以分別指定兩台設備上的任意一個支持備份接口功能的以太網接口為備份接口,兩個備份接口通過備份鏈路直接相連。或者在兩台設備上分別指定相同的備份VLAN,專用於傳輸雙機熱備相關的報文。在設備正常工作時,對業務信息進行主備同步;在設備故障後,利用VRRP或動態路由(例如OSPF)機製實現業務流量切換到備份設備,由備份設備繼續處理業務,從而保證了當前的業務不被中斷。關於雙機熱備的詳細介紹請參見“可靠性配置指導”中的“雙機熱備配置”。
如圖1-8所示,在一個典型的Portal雙機熱備組網環境中,用戶通過Portal認證接入網絡,為避免接入設備單機故障的情況下造成的Portal業務中斷,接入設備提供了Portal支持雙機熱備功能。該功能是指,接入設備Gateway A和Gateway B通過備份鏈路互相備份兩台設備上的Portal在線用戶信息,實現當其中一台設備發生故障時,另外一台設備可以對新的Portal用戶進行接入認證,並能夠保證所有已上線Portal用戶的正常數據通信。
備份鏈路對於部分雙機熱備設備不是必須的,隻要保證互為備份的設備上存在相同的VLAN專用於傳輸雙機熱備相關的報文。若組網中配置了專門的備份鏈路,則需要將兩台設備上連接備份鏈路的物理接口加入備份VLAN中。
(1) 設備的工作狀態
· 獨立運行狀態:設備未與其它設備建立備份連接時所處的一種穩定狀態。
· 同步運行狀態:設備與對端設備之間成功建立備份連接,可以進行數據備份時所處的一種穩定狀態。
(2) 用戶的工作模式
· Stand-alone:表示用戶數據隻在一台設備上存在。當前設備處於獨立運行狀態,或者當前設備處於同步運行狀態但用戶數據還未同步。
· Primary:表明用戶是由本端設備上線,用戶數據由本端設備生成。本端設備處於同步運行狀態,可以處理並接收服務器發送的報文。
· Secondary:表明用戶是由對端設備上線,用戶數據是由對端設備同步到本端設備上的。本端設備處於同步運行狀態,隻接收並處理同步消息,不處理服務器發送的報文。
表1-1 三層Portal配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
|
指定三層Portal認證的Portal服務器監聽IP地址 |
必選 |
||
|
配置本地Portal服務器 |
可選 |
||
|
使能三層Portal |
必選 |
||
|
控製Portal用戶的接入 |
配置免認證規則 |
可選 |
|
|
配置源認證網段 |
|||
|
配置Portal最大用戶數 |
|||
|
指定Portal用戶使用的認證域 |
|||
|
配置三層Portal支持Web代理 |
|||
|
配置接口發送RADIUS報文的相關屬性 |
配置接口的NAS-Port-Type |
可選 |
|
|
配置接口的NAS-ID Profile |
|||
|
配置接口發送Portal報文使用的源地址 |
可選 |
||
|
配置Portal支持基於MAC地址的快速認證 |
可選 |
||
|
配置Portal支持雙機熱備 |
可選 |
||
|
指定Portal用戶認證成功後認證頁麵的自動跳轉目的網站地址 |
可選 |
||
|
配置Portal探測功能 |
配置三層Portal用戶的在線探測功能 |
可選 |
|
|
配置Portal服務器探測功能 |
|||
|
配置Portal用戶信息同步功能 |
|||
|
強製Portal用戶下線 |
可選 |
||
|
配置Portal報文信息的日誌開關 |
可選 |
||
Portal提供了一個用戶身份認證和安全認證的實現方案,但是僅僅依靠Portal不足以實現該方案。接入設備的管理者需選擇使用RADIUS認證方法,以配合Portal完成用戶的身份認證。Portal認證的配置前提:
· Portal服務器、RADIUS服務器已安裝並配置成功。本地Portal認證無需單獨安裝Portal服務器。
· 若采用二次地址分配認證方式,接入設備需啟動DHCP中繼的安全地址匹配檢查功能,另外需要安裝並配置好DHCP服務器。
· 用戶、接入設備和各服務器之間路由可達。
· 如果通過遠端RADIUS服務器進行認證,則需要在RADIUS服務器上配置相應的用戶名和密碼,然後在接入設備端進行RADIUS客戶端的相關設置。RADIUS客戶端的具體配置請參見“安全配置指導”中的“AAA配置”。
· 如果需要支持Portal的擴展功能,需要安裝並配置iMC EAD。同時保證在接入設備上的ACL配置和安全策略服務器上配置的受限資源ACL號、非受限資源ACL號對應。接入設備上的安全策略服務器配置請參見“安全配置指導”中的“AAA配置”。
· 安全策略服務器的配置請參考iMC EAD安全策略組件聯機幫助。
· 受限資源ACL、非受限資源ACL分別對應安全策略服務器中的隔離ACL與安全ACL。
· 如果接入設備上的授權ACL配置被修改,則修改後的ACL不對已經在線的Portal用戶生效,隻能對新上線的Portal用戶有效。
本配置用於指定Portal服務器的相關參數,主要包括服務器IP地址、共享加密密鑰、服務器端口號以及服務器提供的Web認證地址。根據不同的組網環境,此處指定的服務器IP地址有所不同:
· 如果使用遠程Portal服務器,則指定為外部Portal服務器的IP地址;
· 如果使用本地Portal服務器,則指定為設備上與Portal客戶端路由可達的三層接口IP地址。
表1-2 指定三層Portal認證的Portal服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
指定三層Portal認證的Portal服務器 |
portal server server-name ip ip-address [ key [ cipher | simple ] key-string | port port-id | server-type { cmcc | imc } | url url-string ] * |
必選 缺省情況下,沒有指定三層Portal認證的Portal服務器
配置Portal認證時服務器名稱、重定向URL配置項的內容不能包含中文以及?<>\’’%’&#任何字符之一 |
· 目前,接入設備上最多允許指定32個Portal服務器。
· 已配置的Portal服務器參數僅在該Portal服務器未被接口引用時才可以被刪除或修改。
· 通常,使用本地Portal服務器時,Portal服務器參數key、port和url均不需配置,若配置也無效。但在無線環境下使用本地Portal服務器進行雙機熱備時,url需要配置,且地址格式為http://ip-address/portal/logon.htm或https://ip-address/portal/logon.htm,其中,協議類型為本地Portal服務器支持的協議類型(由命令portal local-server配置),ip-address為VRRP下行鏈路所在備份組的虛擬IP地址。
· 使用本地Portal服務器的情況下,二次地址分配認證方式(redhcp)可配置但不生效。
本特性用於配合Portal本地認證,且僅在使用本地Portal服務器時必配。使用本地Portal服務器進行認證時,本地Portal服務器負責向用戶推出認證頁麵。認證頁麵的內容和樣式可自定義,若未配置自定義認證頁麵,則向用戶推出係統提供的缺省認證頁麵。
在無線應用環境中,可以給屬於不同SSID(Service Set Identifier,服務集識別碼)的用戶綁定不同的認證頁麵,係統向用戶推出認證頁麵的選擇順序為:與用戶SSID綁定的自定義認證頁麵-->用戶自定義的缺省認證頁麵-->係統提供的缺省認證頁麵。
用戶自定義的認證頁麵為HTML文件的形式,壓縮後保存在本地設備的存儲設備中。每套認證頁麵可包括六個主索引頁麵(登錄頁麵、登錄成功頁麵、登錄失敗頁麵、在線頁麵、係統忙頁麵、下線成功頁麵)及其頁麵元素(認證頁麵需要應用的各種文件,如Logon.htm頁麵中的back.jpg),每個主索引頁麵可以引用若幹頁麵元素。若用戶隻自定義了部分主索引頁麵,則其餘主索引頁麵使用係統提供的缺省認證頁麵。
用戶在自定義這些頁麵時需要遵循一定的規範,否則會影響本地Portal服務器功能的正常使用和係統運行的穩定性。
主索引頁麵文件名不能自定義,必須使用表1-3中所列的固定文件名。
|
主索引頁麵 |
文件名 |
|
登錄頁麵 |
logon.htm |
|
登錄成功頁麵 |
logonSuccess.htm |
|
登錄失敗頁麵 |
logonFail.htm |
|
在線頁麵 用於提示用戶已經在線 |
online.htm |
|
係統忙頁麵 用於提示係統忙或者該用戶正在登錄過程中 |
busy.htm |
|
下線成功頁麵 |
logoffSuccess.htm |
主索引頁麵文件之外的其他文件名可由用戶自定義,但需注意文件名和文件目錄名中不能含有中文且不區分大小寫。
本地Portal服務器隻能接受Get請求和Post請求。
· Get請求用於獲取認證頁麵中的靜態文件,其內容不能為遞歸內容。例如,Logon.htm文件中包含了Get ca.htm文件的內容,但ca.htm文件中又包含了對Logon.htm的引用,這種遞歸引用是不允許的。
· Post請求用於用戶提交用戶名和密碼以及用戶執行登錄、下線操作。
(1) 認證頁麵中表單(Form)的編輯必須符合以下原則:
· 認證頁麵可以含有多個Form,但是必須有且隻有一個Form的action=logon.cgi,否則無法將用戶信息送到本地Portal服務器。
· 用戶名屬性固定為”PtUser”,密碼屬性固定為”PtPwd”。
· 需要有用於標記用戶登錄還是下線的屬性”PtButton”,取值為"Logon"表示登錄,取值為"Logoff"表示下線。
· 登錄Post請求必須包含”PtUser”,”PtPwd”和"PtButton"三個屬性。
· 下線Post請求必須包含”PtButton”這個屬性。
(2) 需要包含登錄Post請求的頁麵有logon.htm和logonFail.htm。
logon.htm頁麵腳本內容的部分示例:
<form action=logon.cgi method = post >
<p>User name:<input type="text" name = "PtUser" style="width:160px;height:22px" maxlength=64>
<p>Password :<input type="password" name = "PtPwd" style="width:160px;height:22px" maxlength=32>
<p><input type=SUBMIT value="Logon" name = "PtButton" style="width:60px;" onclick="form.action=form.action+location.search;>
</form>
(3) 需要包含下線Post請求的頁麵有logonSuccess.htm和online.htm。
online.htm頁麵腳本內容的部分示例:
<form action=logon.cgi method = post >
<p><input type=SUBMIT value="Logoff" name="PtButton" style="width:60px;">
</form>
· 完成所有認證頁麵的編輯之後,必須按照標準Zip格式將其壓縮到一個Zip文件中,該Zip文件的文件名隻能包含字母、數字和下劃線。缺省認證頁麵文件必須以defaultfile.zip為文件名保存。
· 壓縮後的Zip文件中必須直接包含認證頁麵,不允許存在間接目錄。
· 壓縮生成的Zip文件可以通過FTP或TFTP的方式上傳至設備,並保存在設備的指定目錄下。缺省認證頁麵文件必須保存在設備的根目錄下,非缺省認證頁麵文件可以保存在設備根目錄下或者根目錄的portal目錄下。
Zip文件保存目錄示例:
<Sysname> dir
Directory of flash:/portal/
0 -rw- 1405 Feb 28 2008 15:53:31 ssid2.zip
1 -rw- 1405 Feb 28 2008 15:53:20 ssid1.zip
2 -rw- 1405 Feb 28 2008 15:53:39 ssid3.zip
3 -rw- 1405 Feb 28 2008 15:53:44 ssid4.zip
2540 KB total (1319 KB free)
為了方便係統推出自定義的認證頁麵,認證頁麵在文件大小和內容上需要有如下限製:
· 每套頁麵(包括主索引頁麵文件及其頁麵元素)壓縮後的Zip文件大小不能超過500K字節。
· 每個單獨頁麵(包括單個主索引頁麵文件及其頁麵元素)壓縮前的文件大小不能超過50K字節。
· 頁麵元素隻能包含HTML、JS、CSS和圖片之類的靜態內容。
用戶認證成功後,係統會推出登錄成功頁麵(文件名為logonSuccess.htm),認證通過後再次通過登錄頁麵進行認證操作,係統會推出在線頁麵(文件名為online.htm)。若希望用戶關閉這兩個頁麵的同時,觸發設備執行強製當前在線用戶下線的操作,就需要按照如下要求在這兩個頁麵文件的腳本文件中增加如下內容。
(1) 添加對JS文件“pt_private.js”的引用;
(2) 添加觸發頁麵卸載的函數“pt_unload()”;
(3) 添加Form的提交事件處理函數“pt_submit()”;
(4) 添加頁麵加載的初始化函數“pt_init()”。
需要在logonSuccess.htm和online.htm頁麵腳本中增加的內容如示例中突出顯示部分:
<html>
<head>
<script type="text/javascript" language="javascript" src="pt_private.js"></script>
</head>
<body onload="pt_init();" onbeforeunload="return pt_unload();">
... ...
<form action=logon.cgi method = post onsubmit="pt_submit()">
... ...
</body>
</html>
若要支持認證成功後自定義認證頁麵的自動跳轉功能,即認證頁麵會在用戶認證成功後自動跳轉到設備指定的網站頁麵,則需要按照如下要求在認證頁麵logon.htm和logonSuccess.htm的腳本文件中做如下改動。
(1) 將logon.htm文件中的Form的target值設置為“blank”。
修改的腳本內容如下突出顯示部分所示:
<form method=post action=logon.cgi target="blank">
(2) logonSucceess.htm文件添加頁麵加載的初始化函數“pt_init()”。
增加的腳本內容如下突出顯示部分所示:
<html>
<head>
<title>LogonSuccessed</title>
<script type="text/javascript" language="javascript" src="pt_private.js"></script>
</head>
<body onload="pt_init();" onbeforeunload="return pt_unload();">
... ...
</body>
</html>
· 推薦使用IE6.0版本以上的瀏覽器。
· 需要用戶瀏覽器設置為允許彈出窗口,或者將設備的IP地址設置為允許彈出的網站地址。若瀏覽器禁止彈出窗口,則關閉登錄成功或在線頁麵時會提示用戶無法下線,用戶可以點擊“取消”回到原頁麵。
· 目前,僅IE瀏覽器、Firefox瀏覽器和Safari瀏覽器支持關閉登錄成功/在線頁麵後的強製用戶下線功能,而其它瀏覽器(例如Chrome瀏覽器、Opera瀏覽器等)均不支持該功能。
· 刷新登錄成功/在線頁麵或者使該頁麵跳轉到別的網站上時都會觸發強製用戶下線事件。
在本配置任務中,通過指定Portal客戶端和本地Portal服務器的之間采用的通信協議(HTTP或HTTPS),接入設備上的本地Portal服務器功能才能生效。
若指定本地Portal服務器支持的協議類型為HTTPS,則需要首先完成以下配置:
· 配置PKI策略,並成功申請本地證書和CA證書,具體配置請參見“安全配置指導”中的“PKI配置”。
· 配置SSL服務器端策略,並指定使用已配置的PKI域。具體配置請參見“安全配置指導”中的“SSL配置”。
由於指定本地Portal服務器支持的協議類型時,本地Portal服務器將同時加載已保存在根目錄的缺省認證頁麵文件,因此若需要使用自定義的缺省認證頁麵文件,則需要首先完成對它的編輯和保存工作,否則使用係統默認的缺省認證頁麵。
表1-4 配置本地Portal服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置本地Portal服務器支持的協議類型,並同時加載缺省認證頁麵文件 |
portal local-server { http | https server-policy policy-name } |
必選 缺省情況下,本地Portal服務器不支持任何協議類型 |
|
配置SSID與認證頁麵文件的綁定 |
portal local-server bind ssid ssidname&<1-10> file filename |
可選 缺省情況下,無任何綁定配置 與SSID綁定的文件必須已經存在,否則綁定配置失敗 該命令的支持情況與設備的型號有關,請以設備的實際情況為準 |
|
配置本地Portal服務器缺省認證頁麵的歡迎信息 |
portal server banner banner-string |
可選 缺省情況下,無Web頁麵歡迎信息 |
由於無線三層組網模式下的AC(Access Controller,接入控製器)無法獲得用戶所屬的SSID,因此不支持SSID與自定義認證頁麵文件的綁定功能。關於AC及SSID的相關介紹,請參見“WLAN配置指導”中的“WLAN服務配置”。
隻有在接口上使能了Portal認證,對接入用戶的Portal認證功能才能生效。
在使能三層Portal認證之前,需要滿足以下要求:
· 使能Portal的接口已配置或者獲取了合法的IP地址;
· 接口上引用的Portal服務器名已經存在。
表1-5 使能三層Portal認證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- 隻能是三層接口 |
|
在接口上使能三層Portal認證 |
portal server server-name method { direct | layer3 | redhcp } |
必選 缺省情況下,沒有使能三層Portal認證 |
· 設備向Portal服務器主動發送報文時使用的目的端口號必須與遠程Portal服務器實際使用的端口號保持一致。
· 已配置的Portal服務器及其參數僅在該Portal服務器未被接口引用時才可以被刪除或修改。
· 對於跨三層設備支持Portal認證的應用隻能配置可跨三層Portal認證方式(portal server server-name method layer3),但可跨三層Portal認證方式不要求接入設備和Portal用戶之間必需跨越三層設備。
· 在二次地址分配認證方式下,允許用戶在未通過Portal認證時以公網地址向外發送報文,但相應的回應報文則受限製。
通過配置免認證規則(free-rule)可以讓特定的用戶不需要通過Portal認證即可訪問外網特定資源,這是由免認證規則中配置的源信息以及目的信息決定的。
免認證規則的匹配項包括IP地址、MAC地址、所連接設備的接口和VLAN,隻有符合免認證規則的用戶報文才不會觸發Portal認證,因此這些報文所屬的用戶才可以直接訪問網絡資源。
表1-6 配置免認證規則
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置Portal的免認證規則 |
portal free-rule rule-number { destination { any | ip { ip-address mask { mask-length | netmask } | any } } | source { any | [ { interface interface-type interface-number | wlan ssid ssid } | ip { ip-address mask { mask-length | mask } | any } | mac mac-address | vlan vlan-id ] * } } * |
必選 |
· 如果免認證規則中同時配置了vlan和interface項,則要求interface屬於該VLAN,否則該規則無效。
· 相同內容的免認證規則不能重複配置,否則提示免認證規則已存在或重複。
· 無論接口上是否使能Portal認證,隻能添加或者刪除免認證規則,不能修改。
通過配置源認證網段實現隻允許在源認證網段範圍內的用戶HTTP報文才能觸發Portal認證。如果未認證用戶的HTTP報文既不滿足免認證規則又不在源認證網段內,則將被接入設備丟棄。
表1-7 配置源認證網段
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置源認證網段 |
portal auth-network network-address { mask-length | mask } |
可選 缺省情況下,源認證網段為0.0.0.0/0,表示對來自任意網段的用戶都進行Portal認證 |
· 源認證網段配置僅對可跨三層Portal認證有效。直接認證方式的認證網段為任意源IP,二次地址分配方式的認證網段為由接口私網IP決定的私網網段。
· 可通過多次執行本命令,配置多個源認證網段,最多允許配置的源認證網段總數為32個。
通過該配置可以控製係統中的Portal接入用戶總數。
表1-8 配置Portal最大用戶數
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置Portal最大用戶數 |
portal max-user max-number |
必選 缺省情況下,Portal最大用戶數與設備的型號有關,請參見“命令參考導讀”中的“命令行及參數差異情況”部分的介紹 |
如果配置的Portal最大用戶數小於當前已經在線的Portal用戶數,則該命令可以執行成功,且在線Portal用戶不受影響,但係統將不允許新的Portal用戶接入。
通過在指定接口上配置Portal用戶使用的認證域,使得所有從該接口接入的Portal用戶被強製使用指定的認證域來進行認證、授權和計費。即使Portal用戶輸入的用戶名中攜帶的域名相同,接入設備的管理員也可以通過該配置對不同接口指定不同的認證域,從而增加了管理員部署Portal接入策略的靈活性。
表1-9 指定Portal用戶使用的認證域
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
指定Portal用戶使用的認證域 |
portal domain domain-name |
必選 缺省情況下,未指定Portal用戶使用的認證域 |
從指定接口上接入的Portal用戶將按照如下先後順序選擇認證域:接口上指定的ISP域-->用戶名中攜帶的ISP域-->係統缺省的ISP域。關於缺省ISP域的相關介紹請參見“安全配置指導”中的“AAA配置”。
三層Portal認證支持Web代理功能的支持情況與設備的型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。
對於三層Portal認證,缺省情況下,設備不支持配置了Web代理服務器的用戶瀏覽器發起的Portal認證。若用戶使用配置了Web代理服務器的瀏覽器上網,則用戶的這類HTTP請求報文將被丟棄,而不能觸發Portal認證。這種情況下,網絡管理員可以通過在設備上添加Web代理服務器端口號,來允許使用Web代理服務器的用戶瀏覽器發起的HTTP請求也可以觸發Portal認證。
如表1-10所示,不同的應用場景中,客戶端瀏覽器的Web代理配置有所不同,為使這些場景下的客戶端可以成功觸發Portal認證,除了需要在設備上添加允許觸發Portal認證的Web代理服務器端口之外,還需要完成相關的配置準備。
|
支持的應用場景 |
配置準備 |
|
場景1: 所有或部分客戶端使用Web代理服務器上網,且這些客戶端未將Portal服務器的IP地址配置為Web代理服務器的例外地址 |
· 若使用iMC Portal服務器,則Portal服務器上與Portal設備關聯的IP地址組類型應選擇支持NAT,並且轉換後的IP地址應指定為代理服務器的IP地址,相應的端口組也應選擇支持NAT。 · Portal服務器與Web代理服務器路由可達。 |
|
場景2: 所有或部分客戶端使用Web代理服務器上網,且這些客戶端將Portal服務器的IP地址配置為Web代理服務器的例外地址 |
· 若使用iMC Portal服務器,則Portal服務器上與Portal設備關聯的IP地址組和端口組類型都應該選擇不支持NAT。 |
|
場景3: 所有客戶端均使用Web代理服務器上網,但僅部分客戶端將Portal服務器的IP地址配置為Web代理服務器的例外地址 |
· 若使用iMC Portal服務器,需要將客戶端IP地址分為兩組,分別按照場景1和場景2下的配置約束配置對應的IP地址組和端口組。 · Portal服務器與Web代理服務器路由可達。 |
表1-11 配置允許觸發Portal認證的Web代理服務器端口
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
添加允許觸發Portal認證的Web代理服務器端口 |
portal web-proxy port port-number |
必選 缺省情況下,不存在允許觸發Portal認證的Web代理服務器端口 |
· 如果用戶瀏覽器采用WPAD方式自動配置Web代理,則不僅需要網絡管理員在設備上添加Web代理服務器端口,還需要配置免認證規則,允許目的IP為WPAD主機IP地址的用戶報文免認證。
· 如果設備上已添加了80端口為Web代理服務器端口,則未使用代理服務器上網的客戶端隻有通過訪問開啟了HTTP服務的可達主機,才能觸發Portal認證。
· 如果需要對認證成功的Portal用戶下發授權ACL,則該ACL必須包含一條允許Web代理服務器IP地址的規則,否則用戶上線後,無法接收遠程Portal服務器發送的心跳檢測報文。
本特性僅三層Portal認證支持。
RADIUS標準屬性NAS-Port-Type用於表示用戶接入的端口類型。當接口上有Portal用戶上線時候,若該接口上配置了NAS-Port-Type,則使用本命令配置的值作為向RADIUS服務器發送的RADIUS請求報文的NAS-Port-Type屬性值,否則使用接入設備獲取到的用戶接入的端口類型填充該屬性。
若作為Portal認證接入設備的BAS(Broadband Access Server,寬帶接入服務器)與Portal客戶端之間跨越了多個網絡設備,則可能無法正確獲取到接入用戶的實際端口信息,例如對於Portal認證接入的無線客戶端,BAS獲取到的接入端口類型有可能是設備上認證該用戶的有線接口類型。因此,為保證BAS能夠向RADIUS服務器正確傳遞用戶的接入端口信息,需要網絡管理員在了解用戶的實際接入環境後,通過本命令指定相應的NAS-Port-Type。
表1-12 配置接口的NAS-Port-Type
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置接口的NAS-Port-Type |
portal nas-port-type { ethernet | wireless } |
必選 缺省情況下,未指定接口的NAS-Port-Type |
在某些組網環境下,依靠VLAN來確定用戶的接入位置,網絡運營商需要使用NAS-Identifier來標識用戶的接入位置。當接口上有Portal用戶上線時,若該接口上指定了NAS-ID Profile,則接入設備會根據指定的Profile名字和用戶接入的VLAN來獲取與此VLAN綁定的NAS-ID,此NAS-ID的值將作為向RADIUS服務器發送的RADIUS請求報文中的NAS-Identifier屬性值。
本特性中指定的Profile名字用於標識VLAN和NAS-ID的綁定關係,該綁定關係由AAA中的nas-id id-value bind vlan vlan-id命令生成,有關該命令的具體情況請參見“安全命令參考”中的“AAA配置命令”。
在接口上未指定NAS-ID Profile或指定的Profile中沒有找到匹配的綁定關係的情況下,使用設備名作為接口的NAS-ID。
表1-13 配置接口的NAS-ID Profile
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建NAS-ID Profile,並進入NAS-ID-Profile視圖 |
aaa nas-id profile profile-name |
必選 該命令的具體情況請參見“安全命令參考”中的“AAA配置命令” |
|
設置NAS-ID與VLAN的綁定關係 |
nas-id nas-identifier bind vlan vlan-id |
必選 該命令的具體情況請參見“安全命令參考”中的“AAA配置命令” |
|
退出當前視圖 |
quit |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
指定接口的NAS-ID Profile |
portal nas-id-profile profile-name |
必選 缺省情況下,未指定NAS-ID Profile |
本特性僅三層Portal認證支持。
通過在使能Portal的接口上配置發送Portal報文使用的源地址,可以保證接入設備以此IP地址為源地址向Portal服務器發送報文,且Portal服務器向接入設備回應的報文以此IP地址為目的地址。
表1-14 配置接口發送Portal報文使用的源地址
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置接口發送Portal報文使用的源地址 |
portal nas-ip ip-address |
可選 缺省情況下,未指定源地址,即以接入用戶的接口地址作為發送Portal報文的源地址 在NAT組網環境下,此地址建議配置為接口的公網IP地址 |
本特性僅三層Portal認證支持,且支持情況與設備的型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。
為使基於MAC地址的快速認證生效,在完成普通三層Portal認證的相關配置後,還必須完成以下配置:
· 指定MAC綁定服務器的IP地址和端口號;
· 在使能了Portal認證的接口上使能MAC快速認證功能;
· 將MAC地址綁定服務器指定為一個Portal服務器。具體配置請參見“1.4 指定Portal服務器”。
基於MAC地址的快速認證生效後,接入設備會在指定的周期內(可通過period period-value配置)檢測用戶的流量,在用戶的流量達到設定的閾值(可通過threshold threshold-value配置)之前,允許用戶訪問外部網絡資源,一旦用戶流量達到設定的閾值,則觸發MAC快速認證功能。
表1-15 配置Portal支持基於MAC地址的快速認證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
指定MAC綁定服務器 |
portal mac-trigger server ip ip-address [ port port-number ] |
必選 缺省情況下,未指定MAC綁定服務器 |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
使能MAC快速認證功能 |
portal mac-trigger enable [ period period-value ] [ threshold threshold-value ] |
必選 缺省情況下,MAC快速認證功能處於關閉狀態 |
本特性的支持情況與設備的型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。
為實現Portal支持雙機熱備,在保證實現業務流量切換的VRRP或動態路由機製工作正常的前提下,還需要完成以下配置任務:
· 指定備份Portal業務所涉及的接口,(與傳輸狀態協商報文和備份數據的備份接口相區別)本文簡稱為業務備份接口,並在該業務備份接口上使能Portal。
· 配置業務備份接口所屬的Portal備份組,兩台設備上有備份關係的業務備份接口屬於同一個Portal備份組。
· 配置雙機熱備模式下的設備ID,保證設備上用戶的全局唯一性,該設備ID必須不同於對端的設備ID。
· 配置設備發送RADIUS報文的備份源IP地址,使得對端設備也能夠收到服務器發送的報文。備份源IP地址必須指定為對端設備發送RADIUS報文使用的源IP地址。(此配置可選)
· 指定備份接口,並使能雙機熱備功能,相關配置請參考“可靠性配置指導”的“雙機熱備配置”。
對端設備上也需要完成以上配置,才能保證雙機熱備環境下的Portal業務備份正常進行。
當雙機工作狀態由獨立運行狀態轉換為同步運行狀態,且Portal備份組已生效時,兩台設備上已經上線的Portal用戶數據會開始進行相互的備份。
表1-16 配置Portal支持雙機熱備
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置業務備份接口所屬的Portal備份組 |
portal backup-group group-id |
必選 缺省情況下,業務備份接口不屬於任何Portal備份組 相互備份的兩台設備上業務備份接口所屬的Portal備份組必須相同 |
|
退回係統視圖 |
quit |
- |
|
配置雙機熱備模式下的設備ID |
nas device-id device-id |
必選 缺省情況下,設備運行在單機模式下,無設備ID 具體配置請參考“安全命令參考”中的“AAA配置命令” |
|
指定設備發送RADIUS報文使用的備份源IP地址 |
radius nas-backup-ip ip-address |
二者可選其一 缺省情況下,未指定發送RADIUS報文使用的備份源IP地址 若將設備發送RADIUS報文使用的源IP地址指定為VRRP上行鏈路所在備份組的虛擬IP地址,則不需要本配置 具體配置請參考“安全命令參考”中的“AAA配置命令” |
|
radius scheme radius-scheme-name nas-backup-ip ip-address |
· 雙機熱備模式下,設備不支持業務備份接口使能二次地址方式的Portal認證。
· 工作於雙機熱備模式下的任何一台設備上的用戶被強製下線,都會導致另外一台設備上的相同用戶信息同時被刪除。設備和Portal服務器上均可執行強製用戶下線操作,例如,設備上可通過執行命令cut connetion、portal delete-user來強製用戶下線。
· 互為備份的兩台設備上的AAA及Portal的相關配置必須保持一致,比如兩台設備上都必須配置相同的Portal服務器。
· 由於配置或改變設備的設備ID會導致設備上所有在線用戶被強製下線,因此需慎重操作,並建議該配置成功執行後,保存配置並重啟設備。
· 在雙機熱備運行的情況下,不要刪除已配置的備份源IP地址,否則可能會導致備份設備上的在線用戶無法收到服務器發送的報文。
在未認證用戶被強製登錄到Portal認證頁麵進行認證的情況下,當用戶輸入正確的認證信息且認證成功後,若設備上指定了認證頁麵的自動跳轉目的網站地址,則認證成功的用戶將在一定的時間間隔(由wait-time參數配置)之後被強製登錄到該指定的目的網站頁麵。
表1-17 指定Portal用戶認證成功後認證頁麵的自動跳轉目的URL
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
指定Portal用戶認證成功後認證頁麵的自動跳轉目的網站地址 |
portal redirect-url url-string [ wait-time period ] |
必選 缺省情況下,用戶認證成功後認證頁麵將會跳轉到用戶初始訪問的網站頁麵 |
· 對於三層遠程Portal認證,該特性需要與支持自動跳轉頁麵功能的iMC Portal服務器配合使用。
· wait-time參數隻對本地Portal認證有效,對於遠程Portal認證無效。
· 本地Portal認證時,若用戶初始訪問的頁麵URL長度超過255個字符,則在未指定跳轉目的網站地址的情況下,用戶認證成功之後的認證頁麵無法返回到初始頁麵。
在接口上配置Portal用戶在線探測功能後,設備會定期向從該接口上線的Portal在線用戶發送探測報文(目前支持發送ARP請求),來確認該用戶是否在線,以便及時發現異常離線用戶。
· 若設備在指定的探測次數之內收到了該Portal用戶的響應報文,則認為此用戶在線,並通過繼續發送探測報文,來持續確認該用戶的在線狀態。
· 若設備在指定的探測次數之後仍然未收到該Portal用戶的響應報文,則認為此用戶已經下線,則停止發送探測報文,並刪除該用戶。
表1-18 配置三層Portal用戶在線探測功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置三層Portal用戶在線探測功能 |
access-user detect type arp retransmit number interval interval |
必選 缺省情況下,未配置三層Portal用戶在線探測功能 |
探測報文的發送次數和發送間隔請根據網絡的實際情況進行調整。
本特性僅三層Portal認證支持。
在Portal認證的過程中,如果接入設備與Portal服務器的通信中斷,則會導致新用戶無法上線,已經在線的Portal用戶無法正常下線的問題。為解決這些問題,需要接入設備能夠及時探測到Portal服務器可達狀態的變化,並能觸發執行相應的操作來應對這種變化帶來的影響。例如,當接入設備發現Portal服務器不可達時,可打開網絡限製,允許Portal用戶不需經過認證即可訪問網絡資源,也就是通常所說的Portal逃生功能,該功能為一種靈活的用戶接入方案。
通過配置本特性,設備可以對指定Portal服務器的可達狀態進行探測,具體配置包括如下幾項:
(1) 探測方式(可以選擇其中一種或同時使用兩種)
· 探測HTTP連接:接入設備定期向Portal服務器的HTTP服務端口發起TCP連接,若連接成功建立則表示此服務器的HTTP服務已開啟,就認為一次探測成功且服務器可達。若連接失敗則認為一次探測失敗。
· 探測Portal心跳報文:支持Portal逃生心跳功能的Portal服務器(目前僅iMC支持)會定期向接入設備發送Portal心跳報文,設備通過檢測此報文來判斷服務器的可達狀態:若設備在指定的周期內收到Portal心跳報文或者其它認證報文,且驗證其正確,則認為此次探測成功且服務器可達,否則認為此次探測失敗。
(2) 探測參數
· 探測間隔:進行探測嚐試的時間間隔。
· 失敗探測的最大次數:允許連續探測失敗的最大次數。若連續探測失敗數目達到此值,則認為服務器不可達。
(3) 可達狀態改變時觸發執行的操作(可以選擇其中一種或同時使用多種)
· 發送Trap:Portal服務器可達或者不可達的狀態改變時,向網管服務器發送Trap信息。Trap信息中記錄了Portal服務器名以及該服務器的當前狀態。
· 發送日誌:Portal服務器可達或者不可達的狀態改變時,發送日誌信息。日誌信息中記錄了Portal服務器名以及該服務器狀態改變前後的狀態。
(4) 打開網絡限製(Portal逃生):Portal服務器不可達時,暫時取消端口進行的Portal認證,允許該端口接入的所有Portal用戶訪問網絡資源。之後,若設備收到Portal服務器的心跳報文,或者收到其它認證報文(上線報文、下線報文等),則恢複該端口的Portal認證功能。
對於以上配置項,可根據實際情況進行組合使用,但需要注意以下幾點:
· 如果同時指定了兩種探測方式,則隻要使用任何一種探測方式進行探測的失敗次數達到最大值就認為服務器不可達。在服務器不可達狀態下,隻有使用兩種探測方式的探測都成功才能認為服務器恢複為可達狀態。
· 如果同時指定了多種操作,則Portal服務器可達狀態改變時係統可並發執行多種操作。
· 對指定Portal服務器配置的探測功能,隻有接口上使能了Portal認證並引用該Portal服務器之後才能生效。
表1-19 配置Portal服務器探測功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置對Portal服務器的探測功能 |
portal server server-name server-detect method { http | portal-heartbeat } * action { log | permit-all | trap } * [ interval interval ] [ retry retries ] |
必選 缺省情況下,未配置對Portal服務器的探測功能 本命令中指定的Portal服務器必須已經存在 |
隻有對於支持Portal逃生心跳功能(目前僅iMC的Portal服務器支持)的Portal服務器,portal-heartbeat類型的探測方法才有效。為了配合此類型的探測,還需要在Portal服務器上選擇支持逃生心跳功能,並要求此處的interval與retry參數值的乘積大於等於Portal服務器上的逃生心跳間隔時長,其中interval取值最好大於Portal服務器的逃生間隔時長。
本特性僅三層Portal認證支持。
為了解決接入設備與Portal服務器通信中斷後,兩者的Portal用戶信息不一致問題,設備提供了一種Portal用戶信息同步功能。該功能利用了Portal同步報文的發送及檢測機製,具體實現如下:
(1) 由Portal服務器周期性地(周期為Portal服務器上指定的用戶心跳間隔值)將在線用戶信息通過用戶同步報文發送給接入設備;
(2) 接入設備檢測到該用戶同步報文後,將其中攜帶的用戶信息與自己的用戶信息進行對比,如果發現同步報文中有設備上不存在的用戶信息,則將這些自己沒有的用戶信息反饋給Portal 服務器,Portal服務器將刪除這些用戶信息;如果發現接入設備上的某用戶信息在連續N(N為retry參數的取值)個周期內,都未在該Portal服務器發送過來的用戶同步報文中出現過,則認為Portal服務器上已不存在該用戶,設備將強製該用戶下線。
表1-20 配置Portal用戶同步功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置Portal用戶同步功能 |
portal server server-name user-sync [ interval interval ] [ retry retries ] |
必選 缺省情況下,未配置Portal用戶同步功能 本命令中指定的Portal服務器必須已經存在 隻有在指定的Portal服務器已經在接口上使能的情況下,本功能才能生效 |
· 隻有在支持Portal用戶心跳功能(目前僅iMC的Portal服務器支持)的Portal服務器的配合下,本功能才有效。為了實現該功能,還需要在Portal服務器上選擇支持用戶心跳功能,並要求此處的interval與retry參數值的乘積應該大於等於Portal服務器上的用戶心跳間隔時長,其中interval取值最好大於Portal服務器的用戶心跳間隔時長。
· 對於設備上多餘的用戶信息,即在N個周期後被判定為Portal服務器上已不存在的用戶信息,設備會在第N+1個周期內的某時刻將其刪除掉。
通過配置強製用戶下線可以終止對指定IP地址用戶的認證過程,或者將已經通過認證的指定IP地址的用戶刪除。
表1-21 配置強製用戶下線
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
強製接入設備上的用戶下線 |
portal delete-user { ip-address | all | interface interface-type interface-number } |
必選 |
本特性的支持情況與設備的型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。
通過以下配置可以關閉Portal報文信息的日誌開關,避免在設備上啟動日誌功能而影響係統的性能。
表1-22 配置Portal報文信息的日誌開關
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
打開Portal報文信息的日誌開關 |
portal log packet |
必選 缺省情況下,Portal報文信息的日誌開關處於關閉狀態 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後Portal的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除Portal統計信息。
表1-23 Portal顯示和維護
|
操作 |
命令 |
|
顯示接口上Portal的ACL信息 |
display portal acl { all | dynamic | static } interface interface-type interface-number [ | { begin | exclude | include } regular-expression ] |
|
顯示接口上Portal的連接統計信息 |
display portal connection statistics { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ] |
|
顯示Portal的免認證規則信息 |
display portal free-rule [ rule-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示指定接口的Portal配置信息 |
display portal interface interface-type interface-number [ | { begin | exclude | include } regular-expression ] |
|
顯示本地Portal服務器信息 |
display portal local-server [ | { begin | exclude | include } regular-expression ] |
|
顯示Portal服務器信息 |
display portal server [ server-name ] [ | { begin | exclude | include } regular-expression ] |
|
顯示接口上Portal服務器的統計信息 |
display portal server statistics { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ] |
|
顯示TCP仿冒統計信息 |
display portal tcp-cheat statistics [ | { begin | exclude | include } regular-expression ] |
|
顯示Portal用戶的信息 |
display portal user { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ] |
|
清除接口上Portal的連接統計信息 |
reset portal connection statistics {all | interface interface-type interface-number } |
|
清除接口上Portal服務器的統計信息 |
reset portal server statistics { all | interface interface-type interface-number } |
|
清除TCP仿冒統計信息 |
reset portal tcp-cheat statistics |
· 配置AC采用直接方式的Portal認證。無線用戶Client在未通過Portal認證前,隻能訪問Portal服務器;無線用戶Client通過Portal認證後,可以訪問外部網絡。
· 采用RADIUS服務器作為認證/計費服務器。
· 無線用戶Client屬於VLAN1,AP屬於VLAN3。
圖1-9 配置Portal直接認證組網圖
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
(1) 配置Portal server(iMC PLAT 3.20)
下麵以iMC為例(使用iMC版本為:iMC PLAT 3.20-R2602P13、iMC UAM 3.60-E6301),說明Portal server的基本配置。
# 配置Portal服務器。
登錄進入iMC管理平台,選擇“業務”頁簽,單擊導航樹中的[Portal服務管理/服務器配置]菜單項,進入服務器配置頁麵。
· 根據實際組網情況調整以下參數,本例中使用缺省配置。
圖1-10 Portal服務器配置頁麵
# 配置IP地址組。
單擊導航樹中的[Portal服務管理/Portal IP地址組配置]菜單項,進入Portal IP地址組配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加IP地址組配置頁麵。
· 填寫IP地址組名;
· 輸入起始地址和終止地址。用戶主機IP地址必須包含在該IP地址組範圍內;
· 選擇業務分組,本例中使用缺省的“未分組”;
· 選擇IP地址組的類型為“普通”。
圖1-11 增加IP地址組配置頁麵
# 增加Portal設備。
單擊導航樹中的[Portal服務管理/Portal設備配置]菜單項,進入Portal設備配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加設備信息配置頁麵。
· 填寫設備名;
· 輸入IP地址為與接入用戶相連的設備接口IP;
· 輸入密鑰,與接入設備AC上的配置保持一致;
· 選擇是否進行二次地址分配,本例中為直接認證,因此為否。
· 選擇是否支持逃生心跳功能和用戶心跳功能,本例中不支持。
圖1-12 增加設備信息配置頁麵
# Portal設備關聯IP地址組
在Portal設備配置頁麵中的設備信息列表中,點擊AC設備的<端口組信息管理>鏈接,進入端口組信息配置頁麵。
圖1-13 設備信息列表
在端口組信息配置頁麵中點擊<增加>按鈕,進入增加端口組信息配置頁麵。
· 填寫端口組名;
· 選擇IP地址組,用戶接入網絡時使用的IP地址必須屬於所選的IP地址組;
· 其它參數采用缺省值。
圖1-14 增加端口組信息配置頁麵
# 最後單擊導航樹中的[業務參數配置/係統配置手工生效]菜單項,使以上Portal服務器配置生效。
(2) 配置Portal server(iMC PLAT 5.0)
下麵以iMC為例(使用iMC版本為:iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)),說明Portal server的基本配置。
# 配置Portal服務器。
登錄進入iMC管理平台,選擇“業務”頁簽,單擊導航樹中的[Portal服務管理/服務器配置]菜單項,進入服務器配置頁麵。
· 根據實際組網情況調整以下參數,本例中使用缺省配置。
圖1-15 Portal服務器配置頁麵
# 配置IP地址組。
單擊導航樹中的[Portal服務管理/Portal IP地址組配置]菜單項,進入Portal IP地址組配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加IP地址組配置頁麵。
· 填寫IP地址組名;
· 輸入起始地址和終止地址。用戶主機IP地址必須包含在該IP地址組範圍內;
· 選擇業務分組,本例中使用缺省的“未分組”;
· 選擇IP地址組的類型為“普通”。
圖1-16 增加IP地址組配置頁麵
# 增加Portal設備。
單擊導航樹中的[Portal服務管理/Portal設備配置]菜單項,進入Portal設備配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加設備信息配置頁麵。
· 填寫設備名;
· 指定IP地址為與接入用戶相連的設備接口IP;
· 輸入密鑰,與接入設備Router上的配置保持一致;
· 選擇是否進行二次地址分配,本例中為直接認證,因此為否;
· 選擇是否支持逃生心跳功能和用戶心跳功能,本例中不支持。
圖1-17 增加設備信息配置頁麵
# Portal設備關聯IP地址組
在Portal設備配置頁麵中的設備信息列表中,點擊AC設備的<端口組信息管理>鏈接,進入端口組信息配置頁麵。
圖1-18 設備信息列表
在端口組信息配置頁麵中點擊<增加>按鈕,進入增加端口組信息配置頁麵。
· 填寫端口組名;
· 選擇IP地址組,用戶接入網絡時使用的IP地址必須屬於所選的IP地址組;
· 其它參數采用缺省值。
圖1-19 增加端口組信息配置頁麵
# 最後單擊導航樹中的[業務參數配置/係統配置手工生效]菜單項,使以上Portal服務器配置生效。
在接入AC上進行以下配置:
(3) 配置RADIUS方案
# 創建名字為rs1的RADIUS方案並進入該方案視圖。
<AC> system-view
[AC] radius scheme rs1
# 配置RADIUS方案的服務器類型。使用iMC服務器時,RADIUS服務器類型應選擇extended。
[AC-radius-rs1] server-type extended
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[AC-radius-rs1] primary authentication 192.168.0.112
[AC-radius-rs1] primary accounting 192.168.0.112
[AC-radius-rs1] key authentication radius
[AC-radius-rs1] key accounting radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[AC-radius-rs1] user-name-format without-domain
[AC-radius-rs1] quit
(4) 配置認證域
# 創建並進入名字為dm1的ISP域。
[AC] domain dm1
# 配置ISP域的RADIUS方案rs1。
[AC-isp-dm1] authentication portal radius-scheme rs1
[AC-isp-dm1] authorization portal radius-scheme rs1
[AC-isp-dm1] accounting portal radius-scheme rs1
[AC-isp-dm1] quit
(5) 配置Portal認證
# 配置Portal服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為portal,端口為50100,URL為http://192.168.0.111/portal。
[AC] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111/portal
# 在與用戶Client相連的接口上配置接入的Portal用戶使用認證域dm1,並使能Portal認證。
[AC] interface vlan-interface 1
[AC–Vlan-interface1] portal domain dm1
[AC–Vlan-interface1] portal server newpt method direct
[AC] quit
· 配置AC采用二次地址分配方式的Portal認證。無線用戶Client通過DHCP服務器獲取IP地址,Portal認證前分配一個私網地址;通過Portal認證後,無線用戶Client申請到一個公網地址,才可以訪問外部網絡。
· 采用RADIUS服務器作為認證/計費服務器。
· iMC上配置指定認證網段為內網地址所在網段。
· 無線用戶Client屬於VLAN10,AP屬於VLAN3。
圖1-20 配置Portal二次地址分配認證組網圖
· Portal二次地址分配認證方式應用中,DHCP服務器上需創建公網地址池(20.20.20.0/24)及私網地址池(10.0.0.0/24),具體配置略。關於DHCP的詳細配置請參見“三層技術配置指導”中“DHCP服務器配置”。
· Portal二次地址分配認證方式應用中,接入設備必須配置為DHCP中繼(不能配置為Server),且啟動Portal的接口需要配置主IP地址(公網IP)及從IP地址(私網IP)。
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
在AC上進行以下配置。
(1) 配置RADIUS方案
# 創建名字為rs1的RADIUS方案並進入該方案視圖。
<AC> system-view
[AC] radius scheme rs1
# 配置RADIUS方案的服務器類型。使用iMC服務器時,RADIUS服務器類型應選擇extended。
[AC-radius-rs1] server-type extended
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[AC-radius-rs1] primary authentication 192.168.0.113
[AC-radius-rs1] primary accounting 192.168.0.113
[AC-radius-rs1] key authentication radius
[AC-radius-rs1] key accounting radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[AC-radius-rs1] user-name-format without-domain
[AC-radius-rs1] quit
(2) 配置認證域
# 創建並進入名字為dm1的ISP域。
[AC] domain dm1
# 配置ISP域的RADIUS方案rs1。
[AC-isp-dm1] authentication portal radius-scheme rs1
[AC-isp-dm1] authorization portal radius-scheme rs1
[AC-isp-dm1] accounting portal radius-scheme rs1
[AC-isp-dm1] quit
(3) 配置Portal認證
# 配置Portal服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為portal,端口為50100,URL為http://192.168.0.111/portal。
[AC] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111/portal
# 配置DHCP中繼,並啟動DHCP中繼的安全地址匹配檢查功能。
[AC] dhcp enable
[AC] dhcp relay server-group 0 ip 192.168.0.112
[AC] interface vlan-interface 1
[AC–Vlan-interface1] ip address 20.20.20.1 255.255.255.0
[AC–Vlan-interface1] ip address 10.0.0.1 255.255.255.0 sub
[AC-Vlan-interface1] dhcp select relay
[AC-Vlan-interface1] dhcp relay server-select 0
[AC-Vlan-interface1] dhcp relay address-check enable
# 在與Client相連的接口上配置接入的Portal用戶使用認證域dm1,並使能Portal認證。
[AC-Vlan-interface1] portal domain dm1
[AC–Vlan-interface1] portal server newpt method redhcp
[AC–Vlan-interface1] quit
· 配置AC采用直接方式的Portal認證。無線用戶Client在通過身份認證而沒有通過安全認證時可以訪問192.168.0.0/24網段;無線用戶Client通過安全認證後,可以隨意訪問外部網絡。
· 采用RADIUS服務器作為認證/計費服務器。
· 無線用戶Client屬於VLAN10,AP屬於VLAN3。
圖1-21 配置Portal直接認證擴展功能組網圖
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
在AC上進行以下配置。
(1) 配置RADIUS方案
# 創建名字為rs1的RADIUS方案並進入該方案視圖。
<AC> system-view
[AC] radius scheme rs1
# 配置RADIUS方案的服務器類型。使用iMC服務器時,RADIUS服務器類型應選擇extended。
[AC-radius-rs1] server-type extended
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[AC-radius-rs1] primary authentication 192.168.0.112
[AC-radius-rs1] primary accounting 192.168.0.112
[AC-radius-rs1] key accounting radius
[AC-radius-rs1] key authentication radius
[AC-radius-rs1] user-name-format without-domain
# 配置RADIUS方案的安全策略服務器。
[AC-radius-rs1] security-policy-server 192.168.0.113
[AC-radius-rs1] quit
(2) 配置認證域
# 創建並進入名字為dm1的ISP域。
[AC] domain dm1
# 配置ISP域的RADIUS方案rs1。
[AC-isp-dm1] authentication portal radius-scheme rs1
[AC-isp-dm1] authorization portal radius-scheme rs1
[AC-isp-dm1] accounting portal radius-scheme rs1
[AC-isp-dm1] quit
(3) 配置受限資源對應的ACL為3000,非受限資源對應的ACL為3001
安全策略服務器上需要將ACL 3000和ACL 3001分別指定為隔離ACL和安全ACL。
[AC] acl number 3000
[AC-acl-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255
[AC-acl-adv-3000] quit
[AC] acl number 3001
[AC-acl-adv-3001] rule permit ip
[AC-acl-adv-3001] quit
(4) 配置Portal認證
# 配置Portal服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為portal,端口為50100,URL為http://192.168.0.111/portal。
[AC] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111/portal
# 在與Client相連的接口上配置接入的Portal用戶使用認證域dm1,並使能Portal認證。
[AC] interface vlan-interface 1
[AC–Vlan-interface1] portal domain dm1
[AC–Vlan-interface1] portal server newpt method direct
[AC] quit
· 配置AC采用二次地址分配方式的Portal認證。無線用戶Client通過DHCP服務器獲取IP地址,Portal認證前分配一個私網地址;通過Portal認證後,無線用戶Client申請到一個公網地址。
· 無線用戶Client在通過身份認證而沒有通過安全認證時可以訪問192.168.0.0/24網段;無線用戶Client通過安全認證後,可以隨意訪問外部網絡。
· 采用RADIUS服務器作為認證/計費服務器。
· 無線用戶Client屬於VLAN100,AP屬於VLAN3。
圖1-22 配置Portal二次地址分配認證擴展功能組網圖
· Portal二次地址分配認證方式應用中,DHCP服務器上需創建公網地址池(20.20.20.0/24)及私網地址池(10.0.0.0/24),具體配置略。關於DHCP的詳細配置請參見“三層技術配置指導”中的“DHCP服務器配置”。
· Portal二次地址分配認證方式應用中,接入設備必須配置為DHCP中繼(不能配置為Server),且啟動Portal的接口需要配置主IP地址(公網IP)及從IP地址(私網IP)。
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
在AC上進行以下配置。
(1) 配置RADIUS方案
# 創建名字為rs1的RADIUS方案並進入該方案視圖。
<AC> system-view
[AC] radius scheme rs1
# 配置RADIUS方案的服務器類型。使用iMC服務器時,RADIUS服務器類型應選擇extended。
[AC-radius-rs1] server-type extended
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[AC-radius-rs1] primary authentication 192.168.0.113
[AC-radius-rs1] primary accounting 192.168.0.113
[AC-radius-rs1] key accounting radius
[AC-radius-rs1] key authentication radius
[AC-radius-rs1] user-name-format without-domain
# 配置RADIUS方案的安全策略服務器。
[AC-radius-rs1] security-policy-server 192.168.0.114
[AC-radius-rs1] quit
(2) 配置認證域
# 創建並進入名字為dm1的ISP域。
[AC] domain dm1
# 配置ISP域的RADIUS方案rs1。
[AC-isp-dm1] authentication portal radius-scheme rs1
[AC-isp-dm1] authorization portal radius-scheme rs1
[AC-isp-dm1] accounting portal radius-scheme rs1
[AC-isp-dm1] quit
(3) 配置受限資源對應的ACL為3000,非受限資源對應的ACL為3001
安全策略服務器上需要將ACL 3000和ACL 3001分別指定為隔離ACL和安全ACL。
[AC] acl number 3000
[AC-acl-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255
[AC-acl-adv-3000] quit
[AC] acl number 3001
[AC-acl-adv-3001] rule permit ip
[AC-acl-adv-3001] quit
(4) 配置Portal認證
# 配置Portal服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為portal,端口為50100,URL為http://192.168.0.111/portal。
[AC] portal server newpt ip 192.168.0.111 key portal port 50100
url http://192.168.0.111/portal
# 配置DHCP中繼,並啟動DHCP中繼的安全地址匹配檢查功能。
[AC] dhcp enable
[AC] dhcp relay server-group 0 ip 192.168.0.112
[AC] interface vlan-interface 100
[AC–Vlan-interface100] ip address 20.20.20.1 255.255.255.0
[AC–Vlan-interface100] ip address 10.0.0.1 255.255.255.0 sub
[AC-Vlan-interface100] dhcp select relay
[AC-Vlan-interface100] dhcp relay server-select 0
[AC-Vlan-interface100] dhcp relay address-check enable
# 在與Client相連的接口上配置接入的Portal用戶使用認證域dm1,並使能Portal認證。
[AC–Vlan-interface100] portal domain dm1
[AC–Vlan-interface100] portal server newpt method redhcp
接入設備AC 1和AC 2之間存在備份鏈路,使用VRRP協議和AC熱備實現雙機熱備的流量切換,且兩台設備均支持Portal認證功能。現要求AC 1和AC 2支持雙機熱備運行情況下的Portal用戶數據備份,具體為:
· AC 1正常工作的情況下,Client通過AC 1進行Portal認證接入到外網。AC 1發生故障的情況下,Client通過AC 2接入到外網,並且在VRRP監視上行鏈路接口功能的配合下,保證業務流量切換不被中斷。
· 采用RADIUS服務器作為認證/計費服務器。(本例中Portal服務器和RADIUS服務器的功能均由Server實現)
· AC 1和AC 2之間通過單獨的鏈路傳輸雙機熱備報文,且指定專用於雙機熱備的VLAN為VLAN 8。
圖1-23 配置Portal支持雙機熱備組網圖
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 保證啟動Portal之前主機可以分別通過AC 1和 AC 2訪問認證服務器。
· 認證服務器上指定接入設備的IP地址為VRRP備份組的虛擬IP地址。VRRP配置的相關介紹請參見“可靠性配置指導”中的“VRRP配置”。
· 雙機熱備配置的相關介紹請參見“可靠性配置指導”中的“雙機熱備配置”。
· 在AC熱備中,各個設備的主、備角色與在VRRP備份組中的主、備角色必須保持一致,即作為主AC的設備在VRRP備份組中也是Master設備,否則會導致本地認證時無法按照SSID推出認證頁麵。若由於組網需要,例如兩個AC進行負載分擔的情況下,未滿足以上一致性要求,則需要配置相應的免認證規則,具體配置見配置步驟中的相關內容。
(1) 配置Portal服務器(iMC PLAT 3.20)
下麵以iMC為例(使用iMC版本為:iMC PLAT 3.20-R2606P13、iMC UAM 3.60-E6301),說明Portal server的相關配置。
# 配置Portal服務器。
登錄進入iMC管理平台,選擇“業務”頁簽,單擊導航樹中的[Portal服務管理/服務器配置]菜單項,進入服務器配置頁麵。
· 根據實際組網情況調整以下參數,本例中使用缺省配置。
圖1-24 Portal服務器配置頁麵
# 配置IP地址組。
單擊導航樹中的[Portal服務管理/Portal IP地址組配置]菜單項,進入Portal IP地址組配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加IP地址組配置頁麵。
· 填寫IP地址組名;
· 輸入起始地址和終止地址。用戶主機IP地址必須包含在該IP地址組範圍內;
· 選擇業務分組,本例中使用缺省的“未分組”;
· 選擇IP地址組的類型為“普通”。
圖1-25 增加IP地址組配置頁麵
# 增加Portal設備。
單擊導航樹中的[Portal服務管理/Portal 設備配置]菜單項,進入Portal設備配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加設備信息配置頁麵。
· 填寫設備名;
· 指定主機IP地址為AC上所指定的Portal NAS-IP的地址,即VRRP組的虛擬IP地址;
· 輸入密鑰,與接入設備AC上的配置保持一致;
· 選擇是否進行二次地址分配,本例中為直接認證,因此為否;
· 選擇是否支持逃生心跳功能和用戶心跳功能,本例中不支持。
圖1-26 增加設備信息配置頁麵
# Portal設備關聯IP地址組
在Portal設備配置頁麵中的設備信息列表中,點擊AC設備的<端口組信息管理>鏈接,進入端口組信息配置頁麵。
圖1-27 設備信息列表
在端口組信息配置頁麵中點擊<增加>按鈕,進入增加端口組信息配置頁麵。
· 填寫端口組名;
· 選擇IP地址組,用戶接入網絡時使用的IP地址必須屬於所選的IP地址組;
· 其它參數采用缺省值。
圖1-28 增加端口組信息配置頁麵
# 最後單擊導航樹中的[業務參數配置/係統配置手工生效]菜單項,使以上Portal服務器配置生效。
(2) 配置Portal服務器(iMC PLAT 5.0)
下麵以iMC為例(使用iMC版本為:iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)),說明Portal server的基本配置。
# 配置Portal服務器。
登錄進入iMC管理平台,選擇“業務”頁簽,單擊導航樹中的[Portal服務管理/服務器配置]菜單項,進入服務器配置頁麵。
· 根據實際組網情況調整以下參數,本例中使用缺省配置。
圖1-29 Portal服務器配置頁麵
# 配置IP地址組。
單擊導航樹中的[Portal服務管理/Portal IP地址組配置]菜單項,進入Portal IP地址組配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加IP地址組配置頁麵。
· 填寫IP地址組名;
· 輸入起始地址和終止地址。用戶主機IP地址必須包含在該IP地址組範圍內;
· 選擇業務分組,本例中使用缺省的“未分組”;
· 選擇IP地址組的類型為“普通”。
圖1-30 增加IP地址組配置頁麵
# 增加Portal設備。
單擊導航樹中的[Portal服務管理/Portal設備配置]菜單項,進入Portal設備配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加設備信息配置頁麵。
· 填寫設備名;
· 指定主機IP地址為使能Portal的接口所在的VRRP組的虛擬IP地址;
· 輸入密鑰,與接入設備AC上的配置保持一致;
· 選擇是否進行二次地址分配,本例中為直接認證,因此為否;
· 選擇是否支持逃生心跳功能和用戶心跳功能,本例中不支持。
圖1-31 增加設備信息配置頁麵
# Portal設備關聯IP地址組
在Portal設備配置頁麵中的設備信息列表中,點擊AC設備的<端口組信息管理>鏈接,進入端口組信息配置頁麵。
圖1-32 設備信息列表
在端口組信息配置頁麵中點擊<增加>按鈕,進入增加端口組信息配置頁麵。
· 填寫端口組名;
· 選擇IP地址組,用戶接入網絡時使用的IP地址必須屬於所選的IP地址組;
· 其它參數采用缺省值。
圖1-33 增加端口組信息配置頁麵
# 最後單擊導航樹中的[業務參數配置/係統配置手工生效]菜單項,使以上Portal服務器配置生效。
(3) 配置AC 1
· 配置VRRP
# 創建VRRP備份組,並配置VRRP備份組的虛擬IP地址為192.168.0.1。
<AC1> system-view
[AC1] interface vlan-interface 20
[AC1–Vlan-interface20] vrrp vrid 1 virtual-ip 192.168.0.1
# 配置VLAN接口20在VRRP備份組中的優先級為200。
[AC1–Vlan-interface20] vrrp vrid 1 priority 200
# 在VLAN接口20上配置監視VLAN接口10,當VLAN接口10狀態為Down或Removed時,VLAN接口20在備份組中的優先級降低150。
[AC1–Vlan-interface20] vrrp vrid 1 track interface vlan-interface10 reduced 150
[AC1–Vlan-interface20] quit
· 配置RADIUS方案
# 創建名字為rs1的RADIUS方案並進入該方案視圖。
[AC1] radius scheme rs1
# 配置RADIUS方案的服務器類型。使用iMC服務器時,RADIUS服務器類型應選擇extended。
[AC1-radius-rs1] server-type extended
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[AC1-radius-rs1] primary authentication 192.168.0.111
[AC1-radius-rs1] primary accounting 192.168.0.111
[AC1-radius-rs1] key authentication expert
[AC1-radius-rs1] key accounting expert
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。(可選,請根據實際應用需求調整)
[AC1-radius-rs1] user-name-format without-domain
[AC1-radius-rs1] quit
· 配置認證域
# 創建並進入名字為dm1的ISP域。
[AC1] domain dm1
# 配置ISP域的AAA方法。
[AC1-isp-dm1] authentication portal radius-scheme rs1
[AC1-isp-dm1] authorization portal radius-scheme rs1
[AC1-isp-dm1] accounting portal radius-scheme rs1
[AC1-isp-dm1] quit
· 配置接口使能Portal
# 配置Portal服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為portal,端口為50100,URL為http://192.168.0.111:8080/portal。(Portal服務器的URL請與實際環境中的Portal服務器配置保持一致,此處僅為示例)
[AC1] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal
# 配置免認證規則,允許AC 2發送的報文在不需要認證的情況下通過AC 1。(此配置可選,僅當設備在AC熱備中的主備角色與在VRRP備份組中的主備角色不一致的情況下必須配置)。
[AC1] portal free-rule 0 source interface GigabitEthernet1/0/1 destination any
# 在與Client相連的接口上配置接入的Portal用戶使用認證域dm1,並使能Portal認證。
[AC1] interface vlan-interface 10
[AC1–Vlan-interface10] portal domain dm1
[AC1–Vlan-interface10] portal server newpt method direct
# 指定發送Portal報文的源IP地址為VRRP組的虛擬IP地址192.168.0.1。
[AC1–Vlan-interface10] portal nas-ip 192.168.0.1
· 配置Portal支持雙機熱備
# 配置VLAN接口10屬於Portal備份組1。
[AC1–Vlan-interface10] portal backup-group 1
[AC1–Vlan-interface10] quit
# 配置雙機熱備模式下的設備ID為1。
[AC1] nas device-id 1
# 配置發送RADIUS報文的源IP地址為VRRP組的虛擬IP地址192.168.0.1。
[AC1] radius nas-ip 192.168.0.1
請保證RADIUS服務器上成功添加了IP地址為192.168.0.1的接入設備。
· 配置WLAN服務
# 配置全局備份AC的IP地址為1.1.1.2。
[AC1] wlan backup-ac ip 1.1.1.2
# 使能AC間熱備份功能。
[AC1] hot-backup enable
# 配置AC間用於熱備份的VLAN為VLAN 8。
[AC1] hot-backup vlan 8
# 創建接口WLAN-ESS1,並將其加入VLAN 10。
[AC1] interface WLAN-ESS 1
[AC1-WLAN-ESS1] port link-type hybrid
[AC1-WLAN-ESS1] port hybrid vlan 10 untagged
[AC1-WLAN-ESS1] port hybrid pvid VLAN 10
[AC1-WLAN-ESS1] quit
# 配置WLAN服務模板,並將接口WLAN-ESS1與該服務模板綁定。
[AC1] wlan service-template 1 clear
[AC1-wlan-st-1] ssid abc
[AC1-wlan-st-1] bind WLAN-ESS 1
[AC1-wlan-st-1] service-template enable
[AC1-wlan-st-1] quit
# 在AC上配置AP(其中AP的接入優先級設置為7,該值越大優先級越高,缺省為4)。
[AC1] wlan ap ap1 model WA2100
[AC1-wlan-ap-ap1] serial-id 210235A29G007C000020
[AC1-wlan-ap-ap1] priority level 7
[AC1-wlan-ap-ap1] radio 1
[AC1-wlan-ap-ap1-radio-1] service-template 1
[AC1-wlan-ap-ap1-radio-1] radio enable
[AC1-wlan-ap-ap1-radio-1] quit
[AC1-wlan-ap-ap1] quit
· 配置雙機熱備
# 配置備份VLAN為VLAN 8。
[AC1] dhbk vlan 8
# 使能雙機熱備功能,且支持對稱路徑。
[AC1] dhbk enable backup-type symmetric-path
(4) 配置AC 2
· 配置VRRP
# 創建VRRP備份組,並配置VRRP備份組的虛擬IP地址為192.168.0.1。
[AC2] system-view
[AC2] interface vlan-interface 20
[AC2–Vlan-interface20] vrrp vrid 1 virtual-ip 192.168.0.1
# 配置VLAN接口20在VRRP備份組中的優先級為150。
[AC2–Vlan-interface20] vrrp vrid 1 priority 150
[AC2–Vlan-interface20] quit
· 配置RADIUS方案
# 創建名字為rs1的RADIUS方案並進入該方案視圖。
[AC2] radius scheme rs1
# 配置RADIUS方案的服務器類型。使用iMC服務器時,RADIUS服務器類型應選擇extended。
[AC2-radius-rs1] server-type extended
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[AC2-radius-rs1] primary authentication 192.168.0.111
[AC2-radius-rs1] primary accounting 192.168.0.111
[AC2-radius-rs1] key authentication expert
[AC2-radius-rs1] key accounting expert
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。(可選,請根據實際應用需求調整)
[AC2-radius-rs1] user-name-format without-domain
[AC2-radius-rs1] quit
· 配置認證域
# 創建並進入名字為dm1的ISP域。
[AC2] domain dm1
# 配置ISP域的AAA方法。
[AC2-isp-dm1] authentication portal radius-scheme rs1
[AC2-isp-dm1] authorization portal radius-scheme rs1
[AC2-isp-dm1] accounting portal radius-scheme rs1
[AC2-isp-dm1] quit
· 配置接口使能Portal
# 配置Portal服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為portal,端口為50100,URL為http://192.168.0.111:8080/portal。(Portal服務器的URL請與實際環境中的Portal服務器配置保持一致,此處僅為示例)
[AC2] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal
# 配置免認證規則,允許AC 1發送的報文在不需要認證的情況下通過AC 2。(此配置可選,僅在設備在AC熱備中的主備角色與在VRRP備份組中的主備角色不一致的情況下必須)
[AC2]portal free-rule 0 source interface gigabitethernet1/0/1 destination any
# 在與Client相連的接口上配置接入的Portal用戶使用認證域dm1,並使能Portal認證。
[AC2] interface vlan-interface 10
[AC2–Vlan-interface10] portal domain dm1
[AC2–Vlan-interface10] portal server newpt method direct
# 指定發送Portal報文的源IP地址為VRRP組的虛擬IP地址192.168.0.1。
[AC2–Vlan-interface10] portal nas-ip 192.168.0.1
· 配置Portal支持雙機熱備
# 配置VLAN接口10屬於Portal備份組1。
[AC2–Vlan-interface10] portal backup-group 1
[AC2–Vlan-interface10] quit
# 配置雙機熱備模式下的設備ID為2。
[AC2] nas device-id 2
# 配置發送RADIUS報文的源IP地址為VRRP組的虛擬IP地址192.168.0.1。
[AC2] radius nas-ip 192.168.0.1
請保證RADIUS服務器上成功添加了IP地址為192.168.0.1的接入設備。
· 配置WLAN服務
# 配置全局備份AC的IP地址為1.1.1.1。
[AC2] wlan backup-ac ip 1.1.1.1
# 使能AC間熱備份功能。
[AC2] hot-backup enable
# 配置AC間用於熱備份的VLAN為VLAN 8。
[AC2] hot-backup vlan 8
# 創建接口WLAN-ESS1,並將其加入VLAN 10。
[AC2] interface WLAN-ESS 1
[AC2-WLAN-ESS1] port link-type hybrid
[AC2-WLAN-ESS1] port hybrid vlan 10 untagged
[AC2-WLAN-ESS1] port hybrid pvid VLAN 10
# 配置WLAN服務模板,並將接口WLAN-ESS1與該服務模板綁定。
[AC2] wlan service-template 1 clear
[AC2-wlan-st-1] ssid abc
[AC2-wlan-st-1] bind WLAN-ESS 1
[AC2-wlan-st-1] service-template enable
[AC2-wlan-st-1] quit
# 在AC上配置AP(其中AP的接入優先級取缺省值4)。
[AC2] wlan ap ap1 model WA2100
[AC2-wlan-ap-ap1] serial-id 210235A29G007C000020
[AC2-wlan-ap-ap1] radio 1
[AC2-wlan-ap-ap1-radio-1] service-template 1
[AC2-wlan-ap-ap1-radio-1] radio enable
[AC2-wlan-ap-ap1-radio-1] quit
[AC2-wlan-ap-ap1] quit
· 配置雙機熱備
# 配置備份VLAN為VLAN 8。
[AC2] dhbk vlan 8
# 使能雙機熱備功能。
[AC2] dhbk enable backup-type symmetric-path
# 用戶Client從AC 1成功上線後,在AC 1和AC 2上均可以通過命令display portal user查看該用戶的認證情況。
[AC1] display portal user all
Index:3
State:ONLINE
SubState:NONE
ACL:NONE
Work-mode: primary
MAC IP Vlan Interface
---------------------------------------------------------------------
000d-88f8-0eac 9.9.1.2 10 Vlan-interface10
Total 1 user(s) matched, 1 listed.
[AC2] display portal user all
Index:2
State:ONLINE
SubState:NONE
ACL:NONE
Work-mode: secondary
MAC IP Vlan Interface
---------------------------------------------------------------------
000d-88f8-0eac 9.9.1.2 10 Vlan-interface10
Total 1 user(s) matched, 1 listed.
通過以上顯示信息可以看到,AC 1和AC 2上均有Portal用戶Client的信息,且AC 1上的用戶模式為primary,AC 2上的用戶模式為secondary,表示該用戶是由AC 1上線並被同步到AC 2上的。
無線用戶Client(屬於VLAN10)與接入設備AC關聯成功後,通過Portal認證接入網絡,並采用RADIUS服務器作為認證/計費服務器。
具體要求如下:
· 用戶通過手工配置或DHCP獲取的一個公網IP地址進行認證,在通過Portal認證前,隻能訪問Portal服務器;在通過Portal認證後,可以使用此IP地址訪問非受限的互聯網資源。
· 接入設備能夠探測到Portal服務器是否可達,並輸出可達狀態變化的Trap信息,在服務器不可達時(例如,網絡連接中斷、網絡設備故障或服務器無法正常提供服務等情況),取消Portal認證,使得用戶仍然可以正常訪問網絡。
· 接入設備能夠與服務器定期進行用戶信息的同步。
圖1-34 Portal服務器探測和用戶同步功能配置組網圖
(1) 配置Portal服務器,並啟動逃生心跳功能和用戶心跳功能;
(2) 配置RADIUS服務器,實現正常的認證及計費功能;
(3) 接入設備通過接口Vlan-int10與無線用戶Client相連,在該接口上配置直接方式的Portal認證;
(4) 接入設備上配置Portal服務器探測功能,在與Portal服務器的逃生心跳功能的配合下,對Portal服務器的可達狀態進行探測;
(5) 接入設備上配置Portal用戶同步功能,在與Portal服務器的用戶心跳功能的配合下,與Portal服務器上的用戶信息進行同步。
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
(1) 配置Portal服務器(iMC PLAT 3.20)
下麵以iMC為例(使用iMC版本為:iMC PLAT 3.20-R2606P13、iMC UAM 3.60-E6301),說明Portal server的相關配置。
# 配置Portal服務器。
登錄進入iMC管理平台,選擇“業務”頁簽,單擊導航樹中的[Portal服務管理/服務器配置]菜單項,進入服務器配置頁麵。
· 配置逃生心跳間隔時長及用戶心跳間隔時長;
· 其它參數使用缺省配置。
圖1-35 Portal服務器配置頁麵
# 配置IP地址組。
單擊導航樹中的[Portal服務管理/Portal IP地址組配置]菜單項,進入Portal IP地址組配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加IP地址組配置頁麵。
· 填寫IP地址組名;
· 輸入起始地址和終止地址。用戶主機IP地址必須包含在該IP地址組範圍內;
· 選擇業務分組,本例中使用缺省的“未分組”;
· 選擇IP地址組的類型為“普通”。
圖1-36 增加IP地址組配置頁麵
# 增加Portal設備。
單擊導航樹中的[Portal服務管理/Portal設備配置]菜單項,進入Portal設備配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加設備信息配置頁麵。
· 填寫設備名;
· 指定IP地址為與接入用戶相連的設備接口IP;
· 輸入密鑰,與接入設備AC上的配置保持一致;
· 選擇是否進行二次地址分配,本例中為直接認證,因此為否;
· 選擇支持逃生心跳功能和用戶心跳功能。
圖1-37 增加設備信息配置頁麵
# Portal設備關聯IP地址組
在Portal設備配置頁麵中的設備信息列表中,點擊AC設備的<端口組信息管理>鏈接,進入端口組信息配置頁麵。
圖1-38 設備信息列表
在端口組信息配置頁麵中點擊<增加>按鈕,進入增加端口組信息配置頁麵。
· 填寫端口組名;
· 選擇IP地址組,用戶接入網絡時使用的IP地址必須屬於所選的IP地址組;
· 其它參數采用缺省值。
圖1-39 增加端口組信息配置頁麵
# 最後單擊導航樹中的[業務參數配置/係統配置手工生效]菜單項,使以上Portal服務器配置生效。
(2) 配置Portal服務器(iMC PLAT 5.0)
下麵以iMC為例(使用iMC版本為:iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)),說明Portal server的基本配置。
# 配置Portal服務器。
登錄進入iMC管理平台,選擇“業務”頁簽,單擊導航樹中的[Portal服務管理/服務器配置]菜單項,進入服務器配置頁麵。
· 配置逃生心跳間隔時長及用戶心跳間隔時長;
· 其它參數使用缺省配置。
圖1-40 Portal服務器配置頁麵
# 配置IP地址組。
單擊導航樹中的[Portal服務管理/Portal IP地址組配置]菜單項,進入Portal IP地址組配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加IP地址組配置頁麵。
· 填寫IP地址組名;
· 輸入起始地址和終止地址。用戶主機IP地址必須包含在該IP地址組範圍內;
· 選擇業務分組,本例中使用缺省的“未分組”;
· 選擇IP地址組的類型為“普通”。
圖1-41 增加IP地址組配置頁麵
# 增加Portal設備。
單擊導航樹中的[Portal服務管理/Portal設備配置]菜單項,進入Portal設備配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加設備信息配置頁麵。
· 填寫設備名;
· 指定IP地址為與接入用戶相連的設備接口IP;
· 輸入密鑰,與接入設備AC上的配置保持一致;
· 選擇是否進行二次地址分配,本例中為直接認證,因此為否;
· 選擇支持逃生心跳功能和用戶心跳功能。
圖1-42 增加設備信息配置頁麵
# Portal設備關聯IP地址組
在Portal設備配置頁麵中的設備信息列表中,點擊AC設備的<端口組信息管理>鏈接,進入端口組信息配置頁麵。
圖1-43 設備信息列表
在端口組信息配置頁麵中點擊<增加>按鈕,進入增加端口組信息配置頁麵。
· 填寫端口組名;
· 選擇IP地址組,用戶接入網絡時使用的IP地址必須屬於所選的IP地址組;
· 其它參數采用缺省值。
圖1-44 增加端口組信息配置頁麵
# 最後單擊導航樹中的[業務參數配置/係統配置手工生效]菜單項,使以上Portal服務器配置生效。
(3) 配置AC
· 配置RADIUS方案
# 創建名字為rs1的RADIUS方案並進入該方案視圖。
<AC> system-view
[AC] radius scheme rs1
# 配置RADIUS方案的服務器類型。使用iMC服務器時,RADIUS服務器類型應選擇extended。
[AC-radius-rs1] server-type extended
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[AC-radius-rs1] primary authentication 192.168.0.112
[AC-radius-rs1] primary accounting 192.168.0.112
[AC-radius-rs1] key authentication radius
[AC-radius-rs1] key accounting radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[AC-radius-rs1] user-name-format without-domain
[AC-radius-rs1] quit
· 配置認證域
# 創建並進入名字為dm1的ISP域。
[AC] domain dm1
# 配置ISP域的AAA方法。
[AC-isp-dm1] authentication portal radius-scheme rs1
[AC-isp-dm1] authorization portal radius-scheme rs1
[AC-isp-dm1] accounting portal radius-scheme rs1
[AC-isp-dm1] quit
· 使能Portal認證
# 配置Portal服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為portal,端口為50100,URL為http://192.168.0.111:8080/portal。(Portal服務器的URL請與實際環境中的Portal服務器配置保持一致,此處僅為示例)
[AC] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal
# 在與Client相連的接口上配置接入的Portal用戶使用認證域dm1,並使能Portal認證。
[AC] interface vlan-interface 10
[AC–Vlan-interface10] portal domain dm1
[AC–Vlan-interface10] portal server newpt method direct
[AC–Vlan-interface10] quit
· 配置Portal服務器探測功能
# 配置對Portal服務器newpt的探測功能:探測方式為探測Portal心跳報文,每次探測間隔時間為40秒,若連續二次探測均失敗,則發送服務器不可達的Trap信息,並打開網絡限製,允許未認證用戶訪問網絡。
[AC] portal server newpt server-detect method portal-heartbeat action trap permit-all interval 40 retry 2
此處interval與retry的乘積應該大於等於Portal服務器的逃生心跳間隔時長,且推薦interval取值大於Portal服務器的逃生心跳間隔時長。
· 配置Portal用戶信息同步功能
# 配置對Portal服務器newpt的Portal用戶同步功能,檢測用戶同步報文的時間間隔為600秒,如果設備中的某用戶信息在連續兩個探測周期內都未在該Portal服務器發送的同步報文中出現,設備將強製該用戶下線。
[AC] portal server newpt user-sync interval 600 retry 2
此處interval與retry的乘積應該大於等於Portal服務器上的用戶心跳間隔時長,且推薦interval取值大於Portal服務器的用戶心跳間隔時長。
以上配置完成後,可以通過執行以下命令查看Portal服務器的狀態為Up,說明當前Portal服務器可達。
<AC> display portal server newpt
Portal server:
1)newpt:
IP : 192.168.0.111
Key : portal
Port : 50100
URL : http://192.168.0.111:8080/portal
Status : Up
之後,若接入設備探測到Portal服務器不可達了,可通過以上顯示命令查看到Portal服務器的狀態為Down,同時,AC會輸出表示服務器不可達的Trap信息“portal server newpt lost”,並啟用逃生模式,取消對該接口接入用戶的Portal認證,使得用戶可以直接訪問外部網絡。
· 無線客戶(屬於VLAN 2)端通過AP(屬於VLAN 3)接入網絡。
· AC支持運行HTTPS協議的本地Portal服務器。本地Portal服務器可以根據用戶登錄接口的SSID推出其對應的定製頁麵。
· 采用RADIUS服務器作為認證/計費服務器。
· 客戶端采用直接方式進行Portal認證,在通過Portal認證前,隻能訪問本地Portal服務器;在通過Portal認證後,可以訪問非受限的互聯網資源。
圖1-45 使用本地Portal服務器的直接認證方式組網圖
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和各設備之間的路由可達。
· 完成PKI域的配置,並成功申請本地證書和CA證書,具體配置請參見“安全配置指導”中的“PKI配置”。
· 完成SSL服務器端策略access-policy的配置,具體配置請參見“安全配置指導”中的“SSL配置”。
· 完成客戶端SSID綁定的認證頁麵文件的編輯。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
· 建議不要將無線客戶端與AP置於同一個網段中,否則在該網段啟動Portal認證後,AP無法和AC建立連接。
在AC上進行以下配置。
(1) 配置RADIUS方案
# 創建名字為rs1的RADIUS方案並進入該方案視圖。
<AC> system-view
[AC] radius scheme rs1
# 配置RADIUS方案的服務器類型。使用iMC服務器時,RADIUS服務器類型應選擇extended。
[AC-radius-rs1] server-type extended
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[AC-radius-rs1] primary authentication 1.1.1.2
[AC-radius-rs1] primary accounting 1.1.1.2
[AC-radius-rs1] key authentication radius
[AC-radius-rs1] key accounting radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[AC-radius-rs1] user-name-format without-domain
[AC-radius-rs1] quit
(2) 配置認證域
# 創建並進入名字為dm1的ISP域。
[AC] domain dm1
# 配置ISP域的RADIUS方案rs1。
[AC-isp-dm1] authentication portal radius-scheme rs1
[AC-isp-dm1] authorization portal radius-scheme rs1
[AC-isp-dm1] accounting portal radius-scheme rs1
[AC-isp-dm1] quit
(3) 配置WLAN服務
# 在AC上創建WLAN-ESS1口,並將其加入VLAN2。
[AC] interface WLAN-ESS 1
[AC-WLAN-ESS1] port access vlan 2
[AC-WLAN-ESS1] port link-type hybrid
[AC-WLAN-ESS1] port hybrid vlan 2 untagged
[AC-WLAN-ESS1] port hybrid pvid VLAN2
# 配置WLAN服務模板,並將WLAN-ESS接口與該服務模板綁定。
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid abc
[AC-wlan-st-1] bind WLAN-ESS 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] service-template enable
# 在AC上配置AP。
[AC] wlan ap ap1 model WA2100
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
[AC-wlan-ap-ap1] radio 1 type dot11g
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1]quit
(4) 配置本地Portal認證
# 配置本地Portal服務器支持HTTPS協議,並引用已經配置的SSL服務器端策略access-policy。
[AC] portal local-server https server-policy access-policy
# 配置客戶端SSID與定製的認證頁麵文件的綁定(該配置可選,如果沒有配置則推出係統缺省的認證頁麵)。要綁定的SSID名為abc,對應的認證頁麵文件名為ssid1.zip,且已保存在設備的flash:/portal/目錄下。
[AC] portal local-server bind ssid abc file ssid1.zip
# 配置Portal服務器:名稱為newpt,IP地址為192.168.1.1,其它參數不需要配置。
[AC] portal server newpt ip 192.168.1.1
# 在接口Vlan-interface 2上使能Portal,指定Portal服務器為newpt,並配置為直接認證方式。
[AC] interface vlan-interface 2
[AC–Vlan-interface2] portal domain dm1
[AC–Vlan-interface2] portal server newpt method direct
[AC–Vlan-interface2] quit
無線客戶端接入SSID為abc的無線網絡時,若通過Web瀏覽器訪問1.1.1.0/24網段,將被重定向到https://192.168.1.1/portal/logon.htm,該網頁內容為與SSID abc相綁定的認證頁麵內容。用戶根據網頁提示輸入正確的用戶名和密碼後,能夠成功通過認證。在AC上通過display portal user命令可以查看到認證成功的用戶信息。
AC 1和AC 2之間存在備份鏈路,使用VRRP協議和AC熱備實現雙機熱備的流量切換,且兩台設備均支持Portal認證功能。現要求AC 1和AC 2支持雙機熱備運行情況下的Portal用戶數據備份,具體為:
· AC 1正常工作的情況下,Client通過AC 1進行Portal認證接入到外網。AC 1發生故障的情況下,Client通過AC 2接入到外網,並且在VRRP監視上/下行鏈路接口功能的配合下,保證業務流量切換不被中斷。
· 采用RADIUS服務器作為認證/計費服務器。
· 采用AC作為本地Portal服務器。
· AC 1和AC 2之間通過單獨的鏈路傳輸雙機熱備報文,且指定專用於雙機熱備的VLAN為VLAN 10。
圖1-46 無線本地Portal雙機熱備組網圖
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 保證啟動Portal之前主機可以分別通過AC 1和AC 2訪問認證服務器。
· 配置VRRP備份組1和VRRP備份組2分別實現下行、上行鏈路的備份。VRRP配置的相關介紹請參見“可靠性配置指導”中的“VRRP配置”。
· 認證服務器上指定接入設備的IP地址為VRRP備份組2的虛擬IP地址。
· 雙機熱備配置的相關介紹請參見“可靠性配置指導”中的“雙機熱備配置”。
· 在AC熱備中,各個設備的主、備角色與在VRRP備份組中的主、備角色必須保持一致,即作為主AC的設備在VRRP備份組中也是Master設備,否則會導致本地認證時無法按照SSID推出認證頁麵。若由於組網需要,例如兩個AC進行負載分擔的情況下,未滿足以上一致性要求,則需要配置相應的免認證規則,具體配置見配置步驟中的相關內容。
(1) 配置AC 1
· 配置VRRP
# 創建VRRP備份組1,並配置VRRP備份組1的虛擬IP地址為16.16.0.8。
<AC1> system-view
[AC1] interface vlan-interface 100
[AC1–Vlan-interface100] vrrp vrid 1 virtual-ip 16.16.0.8
# 配置VLAN接口100在VRRP備份組1中的優先級為200。
[AC1–Vlan-interface100] vrrp vrid 1 priority 200
# 在VLAN接口100上配置監視VLAN接口8,當VLAN接口8狀態為Down或Removed時,VLAN接口100在備份組1中的優先級降低120。
[AC1–Vlan-interface100] vrrp vrid 1 track interface vlan-interface8 reduced 120
[AC1–Vlan-interface100] quit
# 創建VRRP備份組2,並配置VRRP備份組2的虛擬IP地址為8.1.1.68。
[AC1] interface vlan-interface 8
[AC1–Vlan-interface8] vrrp vrid 2 virtual-ip 8.1.1.68
# 配置VLAN接口8在VRRP備份組2中的優先級為200。
[AC1–Vlan-interface8] vrrp vrid 2 priority 200
# 在VLAN接口8上配置監視VLAN接口100,當VLAN接口100狀態為Down或Removed時,VLAN接口8在備份組2中的優先級降低120。
[AC1–Vlan-interface8] vrrp vrid 2 track interface vlan-interface100 reduced 120
[AC1–Vlan-interface8] quit
· 配置RADIUS方案
# 創建名字為rs1的RADIUS方案,並進入該方案視圖。
[AC1] radius scheme rs1
# 配置RADIUS方案的服務器類型。使用iMC服務器時,RADIUS服務器類型應選擇extended。
[AC1-radius-rs1] server-type extended
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[AC1-radius-rs1] primary authentication 8.1.1.2
[AC1-radius-rs1] primary accounting 8.1.1.2
[AC1-radius-rs1] key authentication expert
[AC1-radius-rs1] key accounting expert
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。(可選,請根據實際應用需求調整)
[AC1-radius-rs1] user-name-format without-domain
[AC1-radius-rs1] quit
· 配置認證域
# 創建並進入名字為dm1的ISP域。
[AC1] domain dm1
# 配置ISP域的認證、授權、計費方法。
[AC1-isp-dm1] authentication portal radius-scheme rs1
[AC1-isp-dm1] authorization portal radius-scheme rs1
[AC1-isp-dm1] accounting portal radius-scheme rs1
[AC1-isp-dm1] quit
· 配置接口使能Portal
# 配置Portal服務器:名稱為local,IP地址為16.16.0.8(VRRP備份組1的虛擬IP地址),URL為http://16.16.0.8/portal/logon.htm。
[AC1] portal server local ip 16.16.0.8 url http://16.16.0.8/portal/logon.htm
# 配置免認證規則,允許AC 2發送的報文在不需要認證的情況下通過AC 1。(此配置可選,僅在設備在AC熱備中的主備角色與在VRRP備份組中的主備角色不一致的情況下必須)
[AC1] portal free-rule 0 source interface gigabitethernet1/0/1 destination any
# 配置本地Portal服務器支持HTTP協議。
[AC1] portal local-server http
# 在與Client相連的接口上配置接入的Portal用戶使用認證域dm1,並使能Portal認證。
[AC1] interface vlan-interface 100
[AC1–Vlan-interface100] portal domain dm1
[AC1–Vlan-interface100] portal server local method direct
# 指定發送Portal報文的源IP地址為VRRP組1的虛擬IP地址16.16.0.8。
[AC1–Vlan-interface100] portal nas-ip 16.16.0.8
· 配置Portal支持雙機熱備
# 配置VLAN接口100屬於Portal備份組1。
[AC1] interface vlan-interface 100
[AC1–Vlan-interface100] portal backup-group 1
[AC1–Vlan-interface100] quit
# 配置雙機熱備模式下的設備ID為1。
[AC1] nas device-id 1
# 配置發送RADIUS報文的源IP地址為8.1.1.68(VRRP備份組2的虛擬IP地址)。
[AC1] radius nas-ip 8.1.1.68
· 配置WLAN服務
# 配置全局備份AC的IP地址為2.2.2.3。
[AC1] wlan backup-ac ip 2.2.2.3
# 使能AC間熱備份功能。
[AC1] hot-backup enable
# 配置AC間用於熱備份的VLAN為VLAN 10。
[AC1] hot-backup vlan 10
# 創建接口WLAN-ESS1,並將其加入VLAN 100。
[AC1] interface WLAN-ESS 1
[AC1-WLAN-ESS1] port link-type hybrid
[AC1-WLAN-ESS1] port hybrid vlan 100 untagged
[AC1-WLAN-ESS1] port hybrid pvid VLAN 100
# 配置WLAN服務模板,並將接口WLAN-ESS1與該服務模板綁定。
[AC1] wlan service-template 1 clear
[AC1-wlan-st-1] ssid abc
[AC1-wlan-st-1] bind WLAN-ESS 1
[AC1-wlan-st-1] service-template enable
[AC1-wlan-st-1] quit
# 在AC上配置AP。
[AC1] wlan ap ap1 model WA2100
[AC1-wlan-ap-ap1] serial-id 210235A29G007C000020
[AC1-wlan-ap-ap1] radio 1
[AC1-wlan-ap-ap1-radio-1] service-template 1
[AC1-wlan-ap-ap1-radio-1] radio enable
[AC1-wlan-ap-ap1-radio-1] quit
[AC1-wlan-ap-ap1] quit
· 配置雙機熱備
# 配置備份VLAN為VLAN 10。
[AC1] dhbk vlan 10
# 使能雙機熱備功能,且支持對稱路徑。
[AC1] dhbk enable backup-type symmetric-path
(2) 配置AC 2
· 配置VRRP
# 創建VRRP備份組1,並配置VRRP備份組1的虛擬IP地址為16.16.0.8。
<AC2> system-view
[AC2] interface vlan-interface 100
[AC2–Vlan-interface100] vrrp vrid 1 virtual-ip 16.16.0.8
[AC2–Vlan-interface100] quit
# 創建VRRP備份組2,並配置VRRP備份組2的虛擬IP地址為8.1.1.68。
[AC2] interface vlan-interface 8
[AC2–Vlan-interface8] vrrp vrid 2 virtual-ip 8.1.1.68
[AC2–Vlan-interface8] quit
· 配置RADIUS方案
# 創建名字為rs1的RADIUS方案並進入該方案視圖。
[AC2] radius scheme rs1
# 配置RADIUS方案的服務器類型。使用iMC服務器時,RADIUS服務器類型應選擇extended。
[AC2-radius-rs1] server-type extended
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[AC2-radius-rs1] primary authentication 8.1.1.2
[AC2-radius-rs1] primary accounting 8.1.1.2
[AC2-radius-rs1] key authentication expert
[AC2-radius-rs1] key accounting expert
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。(缺省情況下攜帶域名,請根據實際應用需求調整)
[AC2-radius-rs1] user-name-format without-domain
[AC2-radius-rs1] quit
· 配置認證域
# 創建並進入名字為dm1的ISP域。
[AC2] domain dm1
# 配置ISP域的認證、授權、計費方法。
[AC2-isp-dm1] authentication portal radius-scheme rs1
[AC2-isp-dm1] authorization portal radius-scheme rs1
[AC2-isp-dm1] accounting portal radius-scheme rs1
[AC2-isp-dm1] quit
· 配置接口使能Portal
# 配置Portal服務器:名稱為local,IP地址為16.16.0.8(VRRP備份組1的虛擬IP地址),URL為http://16.16.0.8/portal/logon.htm。
[AC2] portal server local ip 16.16.0.8 url http://16.16.0.8/portal/logon.htm
# 配置免認證規則,允許AC 1發送的報文在不需要認證的情況下通過AC 2。(此配置可選,僅在設備在AC熱備中的主備角色與在VRRP備份組中的主備角色不一致的情況下必須)
[AC2]portal free-rule 0 source interface gigabitethernet1/0/1 destination any
# 配置本地Portal服務器支持HTTP協議。
[AC2]portal local-server http
# 在與Client相連的接口上配置接入的Portal用戶使用認證域dm1,並使能Portal認證。
[AC2] interface vlan-interface 100
[AC2–Vlan-interface100] portal domain dm1
[AC2–Vlan-interface100] portal server local method direct
# 指定發送Portal報文的源IP地址為VRRP組1的虛擬IP地址16.16.0.8。
[AC2–Vlan-interface100] portal nas-ip 16.16.0.8
· 配置Portal支持雙機熱備
# 配置VLAN接口100屬於Portal備份組1。
[AC2] interface vlan-interface 100
[AC2–Vlan-interface100] portal backup-group 1
[AC2–Vlan-interface100] quit
# 配置雙機熱備模式下的設備ID為2。
[AC2] nas device-id 2
# 配置發送RADIUS報文的源IP地址為8.1.1.68(VRRP備份組2的虛擬IP地址)。
[AC2] radius nas-ip 8.1.1.68
· 配置WLAN服務
# 配置全局備份AC的IP地址為2.2.2.1。
[AC2] wlan backup-ac ip 2.2.2.1
# 使能AC間熱備份功能。
[AC2] hot-backup enable
# 配置AC間用於熱備份的VLAN為VLAN 10。
[AC2] hot-backup vlan 10
# 創建接口WLAN-ESS1,並將其加入VLAN 100。
[AC2] interface WLAN-ESS 1
[AC2-WLAN-ESS1] port link-type hybrid
[AC2-WLAN-ESS1] port hybrid vlan 100 untagged
[AC2-WLAN-ESS1] port hybrid pvid VLAN 100
[AC2-WLAN-ESS1] quit
# 配置WLAN服務模板,並將接口WLAN-ESS1與該服務模板綁定。
[AC2] wlan service-template 1 clear
[AC2-wlan-st-1] ssid abc
[AC2-wlan-st-1] bind WLAN-ESS 1
[AC2-wlan-st-1] service-template enable
[AC2-wlan-st-1] quit
# 在AC上配置AP(其中AP的接入優先級取缺省值4)。
[AC2] wlan ap ap1 model WA2100
[AC2-wlan-ap-ap1] serial-id 210235A29G007C000020
[AC2-wlan-ap-ap1] radio 1
[AC2-wlan-ap-ap1-radio-1] service-template 1
[AC2-wlan-ap-ap1-radio-1] radio enable
[AC2-wlan-ap-ap1-radio-1] quit
[AC2-wlan-ap-ap1] quit
· 配置雙機熱備
# 配置備份VLAN為VLAN 10。
[AC2] dhbk vlan 10
# 使能雙機熱備功能。
[AC2] dhbk enable backup-type symmetric-path
# 用戶Client從AC 1成功上線後,在AC 1和AC 2上均可以通過命令display portal user查看該用戶的認證情況。
[AC1] display portal user all
Index:3
State:ONLINE
SubState:NONE
ACL:NONE
Work-mode: primary
MAC IP Vlan Interface
---------------------------------------------------------------------
000d-88f8-0eac 16.16.0.12 100 WLAN-DBSS1:1
Total 1 user(s) matched, 1 listed.
[AC2] display portal user all
Index:2
State:ONLINE
SubState:NONE
ACL:NONE
Work-mode: secondary
MAC IP Vlan Interface
---------------------------------------------------------------------
000d-88f8-0eac 16.16.0.12 100 WLAN-DBSS1:0
Total 1 user(s) matched, 1 listed.
通過以上顯示信息可以看到,AC 1和AC 2上均有Portal用戶Client的信息,且AC 1上的用戶模式為primary,AC 2上的用戶模式為secondary,表示該用戶是由AC1上線並被同步到AC2上的。
用戶被強製去訪問Portal服務器時沒有彈出Portal認證頁麵,也沒有錯誤提示,登錄的Portal認證服務器Web頁麵為空白。
接入設備上配置的Portal密鑰和Portal服務器上配置的密鑰不一致,導致Portal服務器報文驗證出錯,Portal服務器拒絕彈出認證頁麵。
使用display portal server命令查看接入設備上配置的Portal服務器密鑰,並在係統視圖中使用portal server命令修改密鑰,或者在Portal服務器上查看對應接入設備的密鑰並修改密鑰,直至兩者的密鑰設置一致。
用戶通過Portal認證後,在接入設備上使用portal delete-user命令強製用戶下線失敗,但是使用客戶端的“斷開”屬性可以正常下線。
在Portal上使用portal delete-user命令強製用戶下線時,由接入設備主動發送下線請求報文到Portal服務器,Portal服務器默認的報文監聽端口為50100,但是因為接入設備上配置的服務器監聽端口錯誤(不是50100),即其發送的下線請求報文的目的端口和Portal服務器真正的監聽端口不一致,故Portal服務器無法收到下線請求報文,Portal服務器上的用戶無法下線。
當使用客戶端的“斷開”屬性讓用戶下線時,由Portal服務器主動向接入設備發送下線請求,其源端口為50100,接入設備的下線應答報文的目的端口使用請求報文的源端口,避免了其配置上的錯誤,使得Portal服務器可以收到下線應答報文,從而Portal服務器上的用戶成功下線。
使用display portal server命令查看接入設備對應服務器的端口,並在係統視圖中使用portal server命令修改服務器的端口,使其和Portal服務器上的監聽端口一致。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
售前谘詢
售後谘詢
人工在線谘詢
