11-安全配置指導

05-Portal配置

1.6.4 指定Portal用戶使用的認證域

1.7 配置接口的NAS-Port-Type

1.8 配置接口發送Portal報文使用的源地址

1.9 指定Portal用戶認證成功後認證頁麵自動跳轉的目的網站地址

1.10 配置Portal探測功能

1.10.1 配置Portal服務器探測功能

1.10.2 配置Portal用戶信息同步功能

1.11 強製Porta用戶下線

1.12 配置Portal用戶報文的控製模式

1.13 使能Portal用戶遷移功能

1.14 Portal顯示和維護

1.15 Portal典型配置舉例

1.15.1 Portal直接認證配置舉例

1.15.2 Portal二次地址分配認證配置舉例

1.15.3 可跨三層Portal認證配置舉例

1.15.4 Portal直接認證擴展功能配置舉例

1.15.5 Portal二次地址分配認證擴展功能配置舉例

1.15.6 可跨三層Portal認證方式擴展功能配置舉例

1.15.7 Portal服務器探測和用戶同步功能配置舉例

1.15.8 可跨三層Portal認證支持多實例配置舉例

1.16 常見配置錯誤舉例

1.16.1 接入設備和Portal服務器上的密鑰不一致

1.16.2 接入設備上服務器端口配置錯誤

1 Portal

1.1 Portal簡介

1.1.1 Portal概述

Portal在英語中是入口的意思。Portal認證通常也稱為Web認證，一般將Portal認證網站稱為門戶網站。

未認證用戶上網時，設備強製用戶登錄到特定站點，用戶可以免費訪問其中的服務。當用戶需要使用互聯網中的其它信息時，必須在門戶網站進行認證，隻有認證通過後才可以使用互聯網資源。

用戶可以主動訪問已知的Portal認證網站，輸入用戶名和密碼進行認證，這種開始Portal認證的方式稱作主動認證。反之，如果用戶試圖通過HTTP訪問其他外網，將被強製訪問Portal認證網站，從而開始Portal認證過程，這種方式稱作強製認證。

Portal業務可以為運營商提供方便的管理功能，門戶網站可以開展廣告、社區服務、個性化的業務等，使寬帶運營商、設備提供商和內容服務提供商形成一個產業生態係統。

1.1.2 Portal擴展功能

Portal的擴展功能主要是指通過強製接入終端實施補丁和防病毒策略，加強網絡終端對病毒攻擊的主動防禦能力。具體擴展功能如下：

· 安全性檢測：在Portal身份認證的基礎上增加了安全認證機製，可以檢測接入終端上是否安裝了防病毒軟件、是否更新了病毒庫、是否安裝了非法軟件、是否更新了操作係統補丁等；

· 訪問資源受限：用戶通過身份認證後僅僅獲得訪問部分互聯網資源（受限資源）的權限，如病毒服務器、操作係統補丁更新服務器等；當用戶通過安全認證後便可以訪問更多的互聯網資源（非受限資源）。

1.1.3 Portal的係統組成

Portal的典型組網方式如圖1-1所示，它由五個基本要素組成：認證客戶端、接入設備、Portal服務器、認證/計費服務器和安全策略服務器。

圖1-1 Portal係統組成示意圖

1. 認證客戶端

安裝於用戶終端的客戶端係統，為運行HTTP/HTTPS協議的瀏覽器或運行Portal客戶端軟件的主機。對接入終端的安全性檢測是通過Portal客戶端和安全策略服務器之間的信息交流完成的。

2. 接入設備

交換機、路由器等寬帶接入設備的統稱，主要有三方麵的作用：

· 在認證之前，將用戶的所有HTTP請求都重定向到Portal服務器。

· 在認證過程中，與Portal服務器、安全策略服務器、認證/計費服務器交互，完成身份認證/安全認證/計費的功能。

· 在認證通過後，允許用戶訪問被管理員授權的互聯網資源。

3. Portal服務器

接收Portal客戶端認證請求的服務器端係統，提供免費門戶服務和基於Web認證的界麵，與接入設備交互認證客戶端的認證信息。

4. 認證/計費服務器

與接入設備進行交互，完成對用戶的認證和計費。

5. 安全策略服務器

與Portal客戶端、接入設備進行交互，完成對用戶的安全認證，並對用戶進行授權操作。

以上五個基本要素的交互過程為：

(1) 未認證用戶訪問網絡時，在Web瀏覽器地址欄中輸入一個互聯網的地址，那麼此HTTP請求在經過接入設備時會被重定向到Portal服務器的Web認證主頁上；若需要使用Portal的擴展認證功能，則用戶必須使用Portal客戶端。

(2) 用戶在認證主頁/認證對話框中輸入認證信息後提交，Portal服務器會將用戶的認證信息傳遞給接入設備；

(3) 然後接入設備再與認證/計費服務器通信進行認證和計費；

(4) 認證通過後，如果未對用戶采用安全策略，則接入設備會打開用戶與互聯網的通路，允許用戶訪問互聯網；如果對用戶采用了安全策略，則客戶端、接入設備與安全策略服務器交互，對用戶的安全檢測通過之後，安全策略服務器根據用戶的安全性授權用戶訪問非受限資源。

· 無論是Web客戶端還是H3C iNode客戶端發起的Portal認證，均能支持Portal認證穿越NAT，即Portal客戶端位於私網、Portal服務器位於公網，接入設備上啟用NAT功能的組網環境下，NAT地址轉換不會對Portal認證造成影響，但建議在此組網環境下，將發送Portal報文的源地址配置為接口的公網IP地址。

· 目前支持Portal認證的遠端認證/計費服務器為RADIUS（Remote Authentication Dial-In User Service，遠程認證撥號用戶服務）服務器。

· 目前通過訪問Web頁麵進行的Portal認證不能對用戶實施安全策略檢查，安全檢查功能的實現需要與H3C iNode客戶端配合。

1.1.4 Portal的認證方式

目前，設備支持的Portal的認證方式為三層認證方式。

這種方式支持在接入設備連接用戶的三層接口上開啟Portal認證功能。三層接口Portal認證又可分為三種不同的認證方式：直接認證方式、二次地址分配認證方式和可跨三層認證方式。直接認證方式和二次地址分配認證方式下，認證客戶端和接入設備之間沒有三層轉發；可跨三層認證方式下，認證客戶端和接入設備之間可以跨接三層轉發設備。

1. 直接認證方式

用戶在認證前通過手工配置或DHCP直接獲取一個IP地址，隻能訪問Portal服務器，以及設定的免費訪問地址；認證通過後即可訪問網絡資源。認證流程相對二次地址較為簡單。

2. 二次地址分配認證方式

用戶在認證前通過DHCP獲取一個私網IP地址，隻能訪問Portal服務器，以及設定的免費訪問地址；認證通過後，用戶會申請到一個公網IP地址，即可訪問網絡資源。該認證方式解決了IP地址規劃和分配問題，對未認證通過的用戶不分配公網IP地址。例如運營商對於小區寬帶用戶隻在訪問小區外部資源時才分配公網IP。

3. 可跨三層認證方式

用戶在認證前通過手工配置或DHCP直接獲取一個IP地址，隻能訪問Portal服務器，以及設定的免費訪問地址；認證通過後即可訪問網絡資源。這種認證方式允許認證用戶和接入設備之間跨越三層轉發設備。

對於以上認證方式，IP地址都是用戶的唯一標識。接入設備基於用戶的IP地址下發ACL對接口上通過認證的用戶報文轉發進行控製。由於二次地址分配認證下的接入設備與用戶之間未跨越三層轉發設備，因此接口可以學習到用戶的MAC地址，接入設備可以利用學習到MAC地址增強對用戶報文轉發的控製粒度。

IPv6 Portal認證不支持二次地址分配方式。

1.1.5 Portal認證過程

直接認證和可跨三層Portal認證流程相同。二次地址分配認證流程因為有兩次地址分配過程，所以其認證流程和另外兩種認證方式有所不同。

1. 直接認證和可跨三層Portal認證的流程（CHAP/PAP認證方式）

圖1-2 可跨三層Portal認證流程圖

直接認證/可跨三層Portal認證流程：

(1) Portal用戶通過HTTP協議發起認證請求。HTTP報文經過接入設備時，對於訪問Portal服務器或設定的免費訪問地址的HTTP報文，接入設備允許其通過；對於訪問其它地址的HTTP報文，接入設備將其重定向到Portal服務器。Portal服務器提供Web頁麵供用戶輸入用戶名和密碼來進行認證。

(2) Portal服務器與接入設備之間進行CHAP（Challenge Handshake Authentication Protocol，質詢握手驗證協議）認證交互。若采用PAP（Password Authentication Protocol，密碼驗證協議）認證則直接進入下一步驟。

(3) Portal服務器將用戶輸入的用戶名和密碼組裝成認證請求報文發往接入設備，同時開啟定時器等待認證應答報文。

(4) 接入設備與RADIUS服務器之間進行RADIUS協議報文的交互。

(5) 接入設備向Portal服務器發送認證應答報文。

(6) Portal服務器向客戶端發送認證通過報文，通知客戶端認證（上線）成功。

(7) Portal服務器向接入設備發送認證應答確認。

(8) 客戶端和安全策略服務器之間進行安全信息交互。安全策略服務器檢測接入終端的安全性是否合格，包括是否安裝防病毒軟件、是否更新病毒庫、是否安裝了非法軟件、是否更新操作係統補丁等。

(9) 安全策略服務器根據用戶的安全性授權用戶訪問非受限資源，授權信息保存到接入設備中，接入設備將使用該信息控製用戶的訪問。

步驟(8)、(9)為Portal認證擴展功能的交互過程。

2. 二次地址分配認證方式的流程（CHAP/PAP認證方式）

圖1-3 二次地址分配認證方式流程圖

二次地址分配認證流程：

(1)～(6)同直接/可跨三層Portal認證中步驟（1）～（6）。

(7) 客戶端收到認證通過報文後，通過DHCP獲得新的公網IP地址，並通知Portal服務器用戶已獲得新IP地址。

(8) Portal服務器通知接入設備客戶端獲得新公網IP地址。

(9) 接入設備通過檢測ARP協議報文發現了用戶IP變化，並通告Portal服務器已檢測到用戶IP變化。

(10) Portal服務器通知客戶端上線成功。

(11) Portal服務器向接入設備發送IP變化確認報文。

(12) 客戶端和安全策略服務器之間進行安全信息交互。安全策略服務器檢測接入終端的安全性是否合格，包括是否安裝防病毒軟件、是否更新病毒庫、是否安裝了非法軟件、是否更新操作係統補丁等。

(13) 安全策略服務器根據用戶的安全性授權用戶訪問非受限資源，授權信息保存到接入設備中，接入設備將使用該信息控製用戶的訪問。

步驟(12)、(13)為Portal認證擴展功能的交互過程。

3. 支持ACL下發

ACL（Access Control List，訪問控製列表）提供了控製用戶訪問網絡資源和限製用戶訪問權限的功能。當用戶上線時，如果服務器上配置了授權ACL，則設備會根據服務器下發的授權ACL對用戶所在端口的數據流進行控製；在服務器上配置授權ACL之前，需要在設備上配置相應的規則。管理員可以通過改變服務器的授權ACL設置或設備上對應的ACL規則來改變用戶的訪問權限。

1.1.6 Portal支持多實例

實際組網應用中，某企業的各分支機構屬於不同的VPN，且各VPN之間的業務相互隔離。如果各分支機構的Portal用戶要通過位於總部VPN中的服務器進行統一認證，則需要Portal支持多實例。通過Portal支持多實例，可實現Portal認證報文通過MPLS VPN進行交互。如下圖所示，連接客戶端的PE設備作為NAS，通過MPLS VPN將私網客戶端的Portal認證報文透傳給網絡另一端的私網服務器，並在AAA支持多實例的配合下，實現對私網VPN客戶端的Portal接入認證，滿足了私網VPN業務隔離情況下的客戶端集中認證，且各私網的認證報文互不影響。

圖1-4 Portal支持多實例典型組網圖

· 在MCE設備上進行的Portal接入認證也可支持多實例功能。關於MCE的相關介紹請見參見“MPLS配置指導”中的“MPLS L3VPN”。

· 關於AAA支持多實例的相關介紹請參見“安全配置指導”中的“AAA”。

· 本特性不支持多VPN間的地址重疊。

1.2 Portal配置任務簡介

表1-1 Portal配置任務簡介

配置任務		說明	詳細配置
指定三層Portal認證的Portal服務器監聽IP地址		必選	1.4
使能三層Portal		必選	1.5
控製Portal用戶的接入	配置免認證規則	可選	1.6.1
	配置源認證網段		1.6.2
	配置Portal最大用戶數		1.6.3
	指定Portal用戶使用的認證域		1.6.4
配置接口的NAS-Port-Type		可選	1.7
配置接口發送Portal報文使用的源地址		可選	1.8
指定Portal用戶認證成功後認證頁麵自動跳轉的目的網站地址		可選	1.9
配置Portal探測功能	配置Portal服務器探測功能	可選	1.10.1
配置Portal探測功能	配置Portal用戶信息同步功能	可選	1.10.2
強製Portal用戶下線		可選	1.11
配置Portal用戶報文的控製模式		可選	1.12
使能Portal用戶遷移功能		可選	1.13

1.3 配置準備

Portal提供了一個用戶身份認證和安全認證的實現方案，但是僅僅依靠Portal不足以實現該方案。接入設備的管理者需選擇使用RADIUS認證方法，以配合Portal完成用戶的身份認證。Portal認證的配置前提：

· Portal服務器、RADIUS服務器已安裝並配置成功。

· 若采用二次地址分配認證方式，接入設備需啟動DHCP中繼的安全地址匹配檢查功能，另外需要安裝並配置好DHCP服務器。

· 用戶、接入設備和各服務器之間路由可達。

· 如果通過遠端RADIUS服務器進行認證，則需要在RADIUS服務器上配置相應的用戶名和密碼，然後在接入設備端進行RADIUS客戶端的相關設置。RADIUS客戶端的具體配置請參見“安全配置指導”中的“AAA”。

· 如果需要支持Portal的擴展功能，需要安裝並配置CAMS EAD/iMC EAD。同時保證在接入設備上的ACL配置和安全策略服務器上配置的受限資源ACL號、非受限資源ACL號對應。接入設備上的安全策略服務器配置請參見“安全配置指導”中的“AAA”。

· 安全策略服務器的配置請參考CAMS EAD安全策略組件聯機幫助/iMC EAD安全策略組件聯機幫助。

· 受限資源ACL、非受限資源ACL分別對應安全策略服務器中的隔離ACL與安全ACL。

· 如果接入設備上的授權ACL配置被修改，則修改後的ACL不對已經在線的Portal用戶生效，隻能對新上線的Portal用戶有效。

1.4 指定Portal服務器

本配置用於指定Portal服務器的相關參數，主要包括服務器IP地址、共享加密密鑰、服務器端口號以及服務器提供的Web認證地址。

表1-2 指定三層Portal認證的IPv4 Portal服務器

操作	命令	說明
進入係統視圖	system-view	-
指定三層Portal認證的IPv4 Portal服務器	portal server server-name ip ipv4-address [ key [ cipher \| simple ] key-string \| port port-id \| url url-string \| vpn-instance vpn-instance-name ] *	必選缺省情況下，沒有指定三層Portal認證的Portal服務器

操作

命令

說明

進入係統視圖

system-view

指定三層Portal認證的IPv4 Portal服務器

portal server server-name ip ipv4-address [ key [ cipher | simple ] key-string | port port-id | url url-string | vpn-instance vpn-instance-name ] *

必選

缺省情況下，沒有指定三層Portal認證的Portal服務器

表1-3 指定三層Portal認證的IPv6 Portal服務器

操作	命令	說明
進入係統視圖	system-view	-
指定三層Portal認證的IPv6 Portal服務器	portal server server-name ipv6 ipv6-address [ key [ cipher \| simple ] key-string \| port port-id \| url url-string ] *	必選缺省情況下，沒有指定三層Portal認證的Portal服務器

操作

命令

說明

進入係統視圖

system-view

指定三層Portal認證的IPv6 Portal服務器

portal server server-name ipv6 ipv6-address [ key [ cipher | simple ] key-string | port port-id | url url-string ] *

必選

缺省情況下，沒有指定三層Portal認證的Portal服務器

· 目前，接入設備上最多允許指定8個Portal服務器。

· 已配置的Portal服務器參數僅在該Portal服務器未被接口引用時才可以被刪除或修改。

· 為保證設備能夠向MPLS VPN私網中的Portal服務器發送報文，配置Portal服務器時需指定服務器所屬的VPN且必須和該服務器所在的VPN保持一致。

1.5 使能Portal

隻有在接口上使能了Portal，對接入用戶的Portal認證功能才能生效。

在使能Portal之前，需要滿足以下要求：

· 使能Portal的接口已配置或者獲取了合法的IP地址；

· 使能Portal的接口未加入聚合組；

· 接口上引用的Portal服務器名已經存在；

表1-4 使能三層Portal

操作	命令	說明
進入係統視圖	system-view	-
進入接口視圖	interface interface-type interface-number	- 隻能是三層接口
在接口上使能三層Portal認證	portal server server-name method { direct \| layer3 \| redhcp }	必選缺省情況下，沒有使能三層Portal認證

· 加入聚合組的三層接口不能使能Portal，反之亦然。

· 設備向Portal服務器主動發送報文時使用的目的端口號必須與遠程Portal服務器實際使用的端口號保持一致。

· 已配置的Portal服務器及其參數僅在該Portal服務器未被接口引用時才可以被刪除或修改。

· 對於跨三層設備支持Portal認證的應用隻能配置可跨三層Portal認證方式（portal server server-name method layer3），但可跨三層Portal認證方式不要求接入設備和Portal用戶之間必須跨越三層設備。

· 在二次地址分配認證方式下，允許用戶在未通過Portal認證時以公網地址向外發送報文，但相應的回應報文則受限製。

· IPv6 Portal 服務器不支持二次地址分配方式的Portal認證。

· 允許在接口上同時使能使用IPv4 Portal服務器的三層Portal認證和使用IPv6 Portal服務器的三層Portal認證。但是，不允許同時使能使用相同IP協議的Portal服務器的三層Portal認證。

1.6 控製Portal用戶的接入

1.6.1 配置免認證規則

通過配置免認證規則（free-rule）可以讓特定的用戶不需要通過Portal認證即可訪問外網特定資源，這是由免認證規則中配置的源信息以及目的信息決定的。

免認證規則的匹配項包括IP地址、VLAN，隻有符合免認證規則的用戶報文才不會觸發Portal認證，因此這些報文所屬的用戶才可以直接訪問網絡資源。

表1-5 配置IPv4免認證規則

操作	命令	說明
進入係統視圖	system-view	-
配置Portal的免認證規則	portal free-rule rule-number { destination { any \| ip { ipv4-address mask { mask-length \| mask } \| any \| hostname } } \| source { any \| [ interface interface-type interface-number \| ip { ipv4-address mask { mask-length \| netmask } \| any } \| mac mac-address \| vlan vlan-id ] * } } *	必選

表1-6 配置IPv6免認證規則

操作	命令	說明
進入係統視圖	system-view	-
配置Portal的IPv6免認證規則	portal free-rule rule-number { destination { any \| ipv6 { ipv6-address prefix-length \| any \| hostname } } \| source { any \| [ interface interface-type interface-number \| ipv6 { ipv6-address prefix-length \| any } \| mac mac-address \| vlan vlan-id ] * } } *	必選

· 相同內容的免認證規則不能重複配置，否則提示免認證規則已存在或重複。

· 無論接口上是否使能Portal認證，隻能添加或者刪除免認證規則，不能修改。

· 加入聚合組的二層接口不能被指定為免認證規則的源接口，反之亦然。

1.6.2 配置源認證網段

通過配置源認證網段實現隻允許在源認證網段範圍內的用戶HTTP報文才能觸發Portal認證。如果未認證用戶的HTTP報文既不滿足免認證規則又不在源認證網段內，則將被接入設備丟棄。

表1-7 配置IPv4源認證網段

操作	命令	說明
進入係統視圖	system-view	-
進入接口視圖	interface interface-type interface-number	-
配置IPv4源認證網段	portal auth-network ipv4-network-address { mask-length \| mask }	必選缺省情況下，源IPv4認證網段為0.0.0.0/0，表示對來自任意網段的用戶都進行Portal認證

表1-8 配置IPv6源認證網段

操作	命令	說明
進入係統視圖	system-view	-
進入接口視圖	interface interface-type interface-number	-
配置IPv6源認證網段	portal auth-network ipv6 ipv6-network-address prefix-length	必選缺省情況下，源IPv6認證網段為::/0，表示對來自任意網段的用戶都進行Portal認證

· 源認證網段配置僅對可跨三層Portal認證有效。直接認證方式的認證網段為任意源IP，二次地址分配方式的認證網段為由接口私網IP決定的私網網段。

· 可通過多次執行本命令，配置多個源認證網段。

1.6.3 配置Portal最大用戶數

通過該配置可以控製係統中的Portal接入用戶總數。

表1-9 配置Portal最大用戶數

操作	命令	說明
進入係統視圖	system-view	-
配置Portal最大用戶數	portal max-user max-number	必選缺省情況下，若設備已使能Portal用戶遷移功能，Portal最大用戶數為8000；若設備已取消Portal用戶遷移功能，Portal最大用戶數為32768

操作

命令

說明

進入係統視圖

system-view

配置Portal最大用戶數

portal max-user max-number

必選

缺省情況下，若設備已使能Portal用戶遷移功能，Portal最大用戶數為8000；若設備已取消Portal用戶遷移功能，Portal最大用戶數為32768

如果配置的Portal最大用戶數小於當前已經在線的Portal用戶數，則該命令可以執行成功，且在線Portal用戶不受影響，但係統將不允許新的Portal用戶接入。

1.6.4 指定Portal用戶使用的認證域

通過在指定接口上配置Portal用戶使用的認證域，使得所有從該接口接入的Portal用戶被強製使用指定的認證域來進行認證、授權和計費。即使Portal用戶輸入的用戶名中攜帶的域名相同，接入設備的管理員也可以通過該配置對不同接口指定不同的認證域，從而增加了管理員部署Portal接入策略的靈活性。

表1-10 指定IPv4 Portal用戶使用的認證域

操作	命令	說明
進入係統視圖	system-view	-
進入接口視圖	interface interface-type interface-number	-
指定IPv4 Portal用戶使用的認證域	portal domain domain-name	必選缺省情況下，未指定Portal用戶使用的認證域

表1-11 指定IPv6 Portal用戶使用的認證域

操作	命令	說明
進入係統視圖	system-view	-
進入接口視圖	interface interface-type interface-number	-
指定IPv6 Portal用戶使用的認證域	portal domain ipv6 domain-name	必選缺省情況下，未指定Portal用戶使用的認證域

從指定接口上接入的Portal用戶將按照如下先後順序選擇認證域：接口上指定的ISP域-->用戶名中攜帶的ISP域-->係統缺省的ISP域。關於缺省ISP域的相關介紹請參見“安全配置指導”中的“AAA”。

1.7 配置接口的NAS-Port-Type

RADIUS標準屬性NAS-Port-Type用於表示用戶接入的端口類型。當接口上有Portal用戶上線時候，若該接口上配置了NAS-Port-Type，則使用本命令配置的值作為向RADIUS服務器發送的RADIUS請求報文的NAS-Port-Type屬性值，否則使用接入設備獲取到的用戶接入的端口類型填充該屬性。

若作為Portal認證接入設備的BAS（Broadband Access Server，寬帶接入服務器）與Portal客戶端之間跨越了多個網絡設備，則可能無法正確獲取到接入用戶的實際端口信息，例如對於Portal認證接入的無線客戶端，BAS獲取到的接入端口類型有可能是設備上認證該用戶的有線接口類型。因此，為保證BAS能夠向RADIUS服務器正確傳遞用戶的接入端口信息，需要網絡管理員在了解用戶的實際接入環境後，通過本命令指定相應的NAS-Port-Type。

表1-12 配置接口的NAS-Port-Type

操作	命令	說明
進入係統視圖	system-view	-
進入接口視圖	interface interface-type interface-number	-
配置接口的NAS-Port-Type	portal nas-port-type { ethernet \| wireless }	必選缺省情況下，未指定接口的NAS-Port-Type

1.8 配置接口發送Portal報文使用的源地址

通過在使能Portal的接口上配置發送Portal報文使用的源地址，可以保證接入設備以此IP地址為源地址向Portal服務器發送報文，且Portal服務器向接入設備回應的報文以此IP地址為目的地址。

表1-13 配置接口發送IPv4 Portal報文使用的源地址

操作	命令	說明
進入係統視圖	system-view	-
進入接口視圖	interface interface-type interface-number	-
配置接口發送IPv4 Portal報文使用的源地址	portal nas-ip ipv4-address	可選缺省情況下，未指定接口發送Portal報文使用的源地址，即以接入用戶的接口地址作為發送Portal報文的源地址在NAT組網環境下，此地址建議配置為接口的公網IP地址

表1-14 配置接口發送IPv6 Portal報文使用的源地址

操作	命令	說明
進入係統視圖	system-view	-
進入接口視圖	interface interface-type interface-number	-
配置接口發送IPv6 Portal報文使用的源地址	portal nas-ip ipv6 ipv6-address	可選缺省情況下，未指定接口發送Portal報文使用的源地址，即以接入用戶的接口地址作為發送Portal報文的源地址在NAT組網環境下，此地址建議配置為接口的公網IP地址

1.9 指定Portal用戶認證成功後認證頁麵自動跳轉的目的網站地址

在未認證用戶登錄到Portal認證頁麵進行認證的情況下，當用戶輸入正確的認證信息且認證成功後，若設備上指定了認證頁麵的自動跳轉目的網站地址，則認證成功的用戶將被強製登錄到該指定的目的網站頁麵。

表1-15 指定Portal用戶認證成功後認證頁麵自動跳轉的目的URL

配置步驟	命令	說明
進入係統視圖	system-view	-
指定Portal用戶認證成功後認證頁麵自動跳轉的目的網站地址	portal redirect-url url-string [ wait-time period ]	必選缺省情況下，用戶認證成功後認證頁麵將會跳轉到用戶初始訪問的網站頁麵設備不支持wait-time關鍵字

配置步驟

命令

說明

進入係統視圖

system-view

指定Portal用戶認證成功後認證頁麵自動跳轉的目的網站地址

portal redirect-url url-string [ wait-time period ]

必選

缺省情況下，用戶認證成功後認證頁麵將會跳轉到用戶初始訪問的網站頁麵

設備不支持wait-time關鍵字

對於三層遠程Portal認證，該特性需要與支持自動跳轉頁麵功能的iMC Portal服務器配合使用。

1.10 配置Portal探測功能

1.10.1 配置Portal服務器探測功能

在Portal認證的過程中，如果接入設備與Portal服務器的通信中斷，則會導致新用戶無法上線，已經在線的Portal用戶無法正常下線的問題。為解決這些問題，需要接入設備能夠及時探測到Portal服務器可達狀態的變化，並能觸發執行相應的操作來應對這種變化帶來的影響。例如，當接入設備發現Portal服務器不可達時，可打開網絡限製，允許Portal用戶不需經過認證即可訪問網絡資源，也就是通常所說的Portal逃生功能，該功能為一種靈活的用戶接入方案。

通過配置本特性，設備可以對指定Portal服務器的可達狀態進行探測，具體配置包括如下幾項：

(1) 探測方式（可以選擇其中一種或同時使用兩種）

· 探測HTTP連接：接入設備定期向Portal服務器的HTTP服務端口發起TCP連接，若連接成功建立則表示此服務器的HTTP服務已開啟，就認為一次探測成功且服務器可達。若連接失敗則認為一次探測失敗。

· 探測Portal心跳報文：支持Portal逃生心跳功能的Portal服務器（目前僅iMC支持）會定期向接入設備發送Portal心跳報文，設備通過檢測此報文來判斷服務器的可達狀態：若設備在指定的周期內收到Portal心跳報文或者其它認證報文，且驗證其正確，則認為此次探測成功且服務器可達，否則認為此次探測失敗。

(2) 探測參數

· 探測間隔：進行探測嚐試的時間間隔。

· 失敗探測的最大次數：允許連續探測失敗的最大次數。若連續探測失敗數目達到此值，則認為服務器不可達。

(3) 可達狀態改變時觸發執行的操作（可以選擇其中一種或同時使用多種）

· 發送Trap：Portal服務器可達或者不可達的狀態改變時，向網管服務器發送Trap信息。Trap信息中記錄了Portal服務器名以及該服務器的當前狀態。

· 發送日誌：Portal服務器可達或者不可達的狀態改變時，發送日誌信息。日誌信息中記錄了Portal服務器名以及該服務器狀態改變前後的狀態。

· 打開網絡限製（Portal逃生）：Portal服務器不可達時，暫時取消端口進行的Portal認證，允許該端口接入的所有Portal用戶訪問網絡資源。之後，若設備收到Portal服務器的心跳報文，或者收到其它認證報文（上線報文、下線報文等），則恢複該端口的Portal認證功能。

對於以上配置項，可根據實際情況進行組合使用，但需要注意以下幾點：

· 如果同時指定了兩種探測方式，則隻要使用任何一種探測方式進行探測的失敗次數達到最大值就認為服務器不可達。在服務器不可達狀態下，隻有使用兩種探測方式的探測都成功才能認為服務器恢複為可達狀態。

· 如果同時指定了多種操作，則Portal服務器可達狀態改變時係統可並發執行多種操作。

· 對指定Portal服務器配置的探測功能，隻有接口上使能了Portal認證並引用該Portal服務器之後才能生效。

表1-16 配置Portal服務器探測功能

操作	命令	說明
進入係統視圖	system-view	-
配置對Portal服務器的探測功能	portal server server-name server-detect method { http \| portal-heartbeat } * action { log \| permit-all \| trap } * [ interval interval ] [ retry retries ]	必選缺省情況下，未配置對Portal服務器的探測功能本命令中指定的Portal服務器必須已經存在

操作

命令

說明

進入係統視圖

system-view

配置對Portal服務器的探測功能

portal server server-name server-detect method { http | portal-heartbeat } * action { log | permit-all | trap } * [ interval interval ] [ retry retries ]

必選

缺省情況下，未配置對Portal服務器的探測功能

本命令中指定的Portal服務器必須已經存在

隻有對於支持Portal逃生心跳功能（目前僅iMC的Portal服務器支持）的Portal服務器，portal-heartbeat類型的探測方法才有效。為了配合此類型的探測，還需要在Portal服務器上選擇支持逃生心跳功能，並要求此處的interval與retry參數值的乘積大於等於Portal服務器上的逃生心跳間隔時長，其中interval取值最好大於Portal服務器的逃生間隔時長。

1.10.2 配置Portal用戶信息同步功能

為了解決接入設備與Portal服務器通信中斷後，兩者的Portal用戶信息不一致問題，設備提供了一種Portal用戶信息同步功能。該功能利用了Portal同步報文的發送及檢測機製，具體實現如下：

(1) 由Portal服務器周期性地（周期為Portal服務器上指定的用戶心跳間隔值）將在線用戶信息通過用戶同步報文發送給接入設備；

(2) 接入設備檢測到該用戶同步報文後，將其中攜帶的用戶信息與自己的用戶信息進行對比，如果發現同步報文中有設備上不存在的用戶信息，則將這些自己沒有的用戶信息反饋給Portal 服務器，Portal服務器將刪除這些用戶信息；如果發現接入設備上的某用戶信息在連續N（N為retry參數的取值）個周期內，都未在該Portal服務器發送過來的用戶同步報文中出現過，則認為Portal服務器上已不存在該用戶，設備將強製該用戶下線。

表1-17 配置Portal用戶同步功能

操作	命令	說明
進入係統視圖	system-view	-
配置Portal用戶同步功能	portal server server-name user-sync [ interval interval ] [ retry retries ]	必選缺省情況下，未配置Portal用戶同步功能本命令中指定的Portal服務器必須已經存在隻有在指定的Portal服務器已經在接口上使能的情況下，本功能才能生效

操作

命令

說明

進入係統視圖

system-view

配置Portal用戶同步功能

portal server server-name user-sync [ interval interval ] [ retry retries ]

必選

缺省情況下，未配置Portal用戶同步功能

本命令中指定的Portal服務器必須已經存在

隻有在指定的Portal服務器已經在接口上使能的情況下，本功能才能生效

· 隻有在支持Portal用戶心跳功能（目前僅iMC的Portal服務器支持）的Portal服務器的配合下，本功能才有效。為了實現該功能，還需要在Portal服務器上選擇支持用戶心跳功能，並要求此處的interval與retry參數值的乘積大於等於Portal服務器上的心跳間隔時長，其中interval取值最好大於Portal服務器的逃生間隔時長。

· 對於設備上多餘的用戶信息，即在N個周期後被判定為Portal服務器上已不存在的用戶信息，設備會在第N＋1個周期內的某時刻將其刪除掉。

1.11 強製Porta用戶下線

通過配置強製用戶下線可以終止對指定IP地址用戶的認證過程，或者將已經通過認證的指定IP地址的用戶刪除。

表1-18 配置強製用戶下線

操作	命令	說明
進入係統視圖	system-view	-
強製接入設備上的用戶下線	portal delete-user { ipv4-address \| all \| interface interface-type interface-number \| ipv6 ipv6-address }	必選

1.12 配置Portal用戶報文的控製模式

Portal用戶報文的控製模式分為基於IP+MAC的控製模式和基於MAC的控製模式兩種。在基於IP+MAC的控製模式下，如果報文的IP地址和MAC地址與Portal用戶的IP地址和MAC地址一致，則允許該用戶報文通過；在基於MAC的控製模式下，如果報文的MAC地址與Portal用戶的MAC地址一致，則允許該用戶報文通過。

表1-19 配置Portal用戶報文的控製模式

操作	命令	說明
進入係統視圖	system-view	-
進入接口視圖	interface interface-type interface-number	-
配置Portal用戶報文的控製模式	portal control-mode { ip-mac \| mac }	必選在基於MAC的控製模式下，IPv4用戶和IPv6用戶采用的認證方式必須一致在基於MAC的控製模式下，如果隻配置了IPv4 Portal和IPv6 Portal其中一種認證，設備根據服務器下發的授權ACL對用戶所在端口的數據流進行控製時，不管該授權ACL是IPv4 ACL還是IPv6 ACL都會下發，這裏提到的IPv4 ACL包括 IPv4 基本ACL和IPv4 高級ACL、IPv6 ACl包括IPv6 基本ACL和IPv6 高級ACL

本功能隻對直接認證方式和二次地址認證方式的三層Portal認證生效，可跨三層認證方式下也可配置Portal用戶報文的控製模式，但是功能不生效。

1.13 使能Portal用戶遷移功能

當設備未使能Portal用戶遷移功能時，如果某一Portal用戶與設備相連的端口發生變化（比如從GE3/0/1變為GE3/0/2），即使變更後的端口與原端口屬於同一VLAN，此Portal用戶都需要重新進行Portal認證。使能Portal用戶遷移功能後，Portal用戶通過屬於某VLAN的二層以太網端口接入設備，隻要新接入的端口和原端口屬於同一VLAN，則接入端口變更後無需重新認證。

需要注意的是：

· 本命令配置後，必須保存配置並重啟設備後才會生效。

· 使能Portal用戶遷移功能後，Portal支持的最大用戶數為8000；若需要增加Portal支持的最大用戶數，請先取消Portal用戶遷移功能。關於Portal最大用戶數的配置，請參見1.6.3 配置Portal最大用戶數。

表1-20 使能Portal用戶遷移功能

操作	命令	說明
進入係統視圖	system-view	-
使能Portal用戶遷移功能	portal-roaming enable	可選缺省情況下，設備已使能Portal用戶遷移功能

操作

命令

說明

進入係統視圖

system-view

使能Portal用戶遷移功能

portal-roaming enable

可選

缺省情況下，設備已使能Portal用戶遷移功能

1.14 Portal顯示和維護

在完成上述配置後，在任意視圖下執行display命令可以顯示配置後Portal的運行情況，通過查看顯示信息驗證配置的效果。

在用戶視圖下執行reset命令可以清除Portal統計信息。

表1-21 Portal顯示和維護

操作	命令
顯示接口上Portal的ACL信息	display portal acl { all \| dynamic \| static } interface interface-type interface-number [ \| { begin \| exclude \| include } regular-expression ]
顯示接口上Portal的連接統計信息	display portal connection statistics { all \| interface interface-type interface-number } [ \| { begin \| exclude \| include } regular-expression ]
顯示Portal的免認證規則信息	display portal free-rule [ rule-number ] [ \| { begin \| exclude \| include } regular-expression ]
顯示指定接口的Portal配置信息	display portal interface interface-type interface-number [ \| { begin \| exclude \| include } regular-expression ]
顯示Portal服務器信息	display portal server [ server-name ] [ \| { begin \| exclude \| include } regular-expression ]
顯示接口上Portal服務器的統計信息	display portal server statistics { all \| interface interface-type interface-number } [ \| { begin \| exclude \| include } regular-expression ]
顯示TCP仿冒統計信息	display portal tcp-cheat statistics [ \| { begin \| exclude \| include } regular-expression ]
顯示Portal用戶的信息	display portal user { all \| interface interface-type interface-number } [ \| { begin \| exclude \| include } regular-expression ]
清除接口上Portal的連接統計信息	reset portal connection statistics {all \| interface interface-type interface-number }
清除接口上Portal服務器的統計信息	reset portal server statistics { all \| interface interface-type interface-number }
清除TCP仿冒統計信息	reset portal tcp-cheat statistics
顯示Portal用戶遷移功能的配置信息	display portal-roaming [ \| { begin \| exclude \| include } regular-expression ]

1.15 Portal典型配置舉例

缺省情況下，以太網接口、VLAN接口及聚合接口處於DOWN狀態。如果要對這些接口進行配置，請先使用undo shutdown命令使接口狀態處於UP。

1.15.1 Portal直接認證配置舉例

1. 組網需求

· 用戶主機與接入設備Switch直接相連，采用直接方式的Portal認證。用戶通過手工配置或DHCP獲取的一個公網IP地址進行認證，在通過Portal認證前，隻能訪問Portal服務器；在通過Portal認證後，可以使用此IP地址訪問非受限互聯網資源。

· 采用RADIUS服務器作為認證/計費服務器。

2. 組網圖

圖1-5 配置Portal直接認證組網圖

3. 配置步驟

· 按照組網圖配置設備各接口的IP地址，保證啟動Portal之前各主機、服務器和設備之間的路由可達。

· 完成RADIUS服務器上的配置，保證用戶的認證/計費功能正常運行。

· 如果采用IMC服務器作為Portal服務器，RADIUS服務器也必須采用IMC服務器。

(1) 配置Portal server（iMC PLAT 3.20）

下麵以iMC為例（使用iMC版本為：iMC PLAT 3.20-R2602P13、iMC UAM 3.60-E6301），說明Portal server的基本配置。

# 配置Portal服務器。

登錄進入iMC管理平台，選擇“業務”頁簽，單擊導航樹中的[Portal服務器管理/服務器配置]菜單項，進入服務器配置頁麵。

· 根據實際組網情況調整以下參數，本例中使用缺省配置。

圖1-6 Portal服務器配置頁麵

# 配置IP地址組。

單擊導航樹中的[Portal服務器管理/IP地址組配置]菜單項，進入Portal IP地址組配置頁麵，在該頁麵中單擊<增加>按鈕，進入增加IP地址組配置頁麵。

· 填寫IP地址組名；

· 輸入起始地址和終止地址。用戶主機IP地址必須包含在該IP地址組範圍內；

· 選擇業務分組，本例中使用缺省的“未分組”；

· 選擇IP地址組的類型為“普通”。

圖1-7 增加IP地址組配置頁麵

# 增加Portal設備。

單擊導航樹中的[Portal服務器管理/設備配置]菜單項，進入Portal設備配置頁麵，在該頁麵中單擊<增加>按鈕，進入增加設備信息配置頁麵。

· 填寫設備名；

· 指定IP地址為與接入用戶相連的設備接口IP；

· 輸入密鑰，與接入設備Switch上的配置保持一致；

· 選擇是否進行二次地址分配，本例中為直接認證，因此為否；

· 選擇是否支持逃生心跳功能和用戶心跳功能，本例中不支持。

圖1-8 增加設備信息配置頁麵

# Portal設備關聯IP地址組

在Portal設備配置頁麵中的設備信息列表中，點擊NAS設備的<端口組信息管理>鏈接，進入端口組信息配置頁麵。

圖1-9 設備信息列表

在端口組信息配置頁麵中點擊<增加>按鈕，進入增加端口組信息配置頁麵。

· 填寫端口組名；

· 選擇IP地址組，用戶接入網絡時使用的IP地址必須屬於所選的IP地址組；

· 其它參數采用缺省值。

圖1-10 增加端口組信息配置頁麵

# 最後單擊導航樹中的[業務參數配置/係統配置手工生效]菜單項，使以上Portal服務器配置生效。

(2) 配置Portal server（iMC PLAT 5.0）

下麵以iMC為例（使用iMC版本為：iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)），說明Portal server的基本配置。

# 配置Portal服務器。

登錄進入iMC管理平台，選擇“業務”頁簽，單擊導航樹中的[Portal服務器管理/服務器配置]菜單項，進入服務器配置頁麵。

· 根據實際組網情況調整以下參數，本例中使用缺省配置。

圖1-11 Portal服務器配置頁麵

# 配置IP地址組。

單擊導航樹中的[Portal服務器管理/IP地址組配置]菜單項，進入Portal IP地址組配置頁麵，在該頁麵中單擊<增加>按鈕，進入增加IP地址組配置頁麵。

· 填寫IP地址組名；

· 輸入起始地址和終止地址。用戶主機IP地址必須包含在該IP地址組範圍內；

· 選擇業務分組，本例中使用缺省的“未分組”；

· 選擇IP地址組的類型為“普通”。

圖1-12 增加IP地址組配置頁麵

# 增加Portal設備。

單擊導航樹中的[Portal服務器管理/設備配置]菜單項，進入Portal設備配置頁麵，在該頁麵中單擊<增加>按鈕，進入增加設備信息配置頁麵。

· 填寫設備名；

· 指定IP地址為與接入用戶相連的設備接口IP；

· 輸入密鑰，與接入設備Router上的配置保持一致；

· 選擇是否進行二次地址分配，本例中為直接認證，因此為否；

· 選擇是否支持逃生心跳功能和用戶心跳功能，本例中不支持。

圖1-13 增加設備信息配置頁麵

# Portal設備關聯IP地址組

在Portal設備配置頁麵中的設備信息列表中，點擊NAS設備的<端口組信息管理>鏈接，進入端口組信息配置頁麵。

圖1-14 設備信息列表

在端口組信息配置頁麵中點擊<增加>按鈕，進入增加端口組信息配置頁麵。

· 填寫端口組名；

· 選擇IP地址組，用戶接入網絡時使用的IP地址必須屬於所選的IP地址組；

· 其它參數采用缺省值。

圖1-15 增加端口組信息配置頁麵

# 最後單擊導航樹中的[業務參數配置/係統配置手工生效]菜單項，使以上Portal服務器配置生效。

(3) 配置Switch

· 配置RADIUS方案

# 創建名字為rs1的RADIUS方案並進入該方案視圖。

<Switch> system-view

[Switch] radius scheme rs1

# 配置RADIUS方案的服務器類型。使用CAMS/iMC服務器時，RADIUS服務器類型應選擇extended。

[Switch-radius-rs1] server-type extended

# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。

[Switch-radius-rs1] primary authentication 192.168.0.112

[Switch-radius-rs1] primary accounting 192.168.0.112

[Switch-radius-rs1] key authentication simple radius

[Switch-radius-rs1] key accounting simple radius

# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。

[Switch-radius-rs1] user-name-format without-domain

[Switch-radius-rs1] quit

· 配置認證域

# 創建並進入名字為dm1的ISP域。

[Switch] domain dm1

# 配置ISP域的AAA方法。

[Switch-isp-dm1] authentication portal radius-scheme rs1

[Switch-isp-dm1] authorization portal radius-scheme rs1

[Switch-isp-dm1] accounting portal radius-scheme rs1

[Switch-isp-dm1] quit

# 配置係統缺省的ISP域dm1，所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名，則使用缺省域下的認證方法。

[Switch] domain default enable dm1

· 配置Portal認證

# 配置Portal服務器：名稱為newpt，IP地址為192.168.0.111，密鑰為明文portal，端口為50100，URL為http://192.168.0.111:8080/portal。（Portal服務器的URL請與實際環境中的Portal服務器配置保持一致，此處僅為示例）

[Switch] portal server newpt ip 192.168.0.111 key simple portal port 50100 url http://192.168.0.111:8080/portal

# 在與用戶Host相連的接口上使能Portal認證。

[Switch] interface vlan-interface 100

[Switch–Vlan-interface100] portal server newpt method direct

[Switch] quit