- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
23-H3C VSR1000虛擬路由器Portal典型配置舉例
本章節下載: 23-H3C VSR1000虛擬路由器Portal典型配置舉例 (632.52 KB)
H3C VSR1000虛擬路由器Portal配置舉例
|
Copyright © 2014 杭州華三通信技術有限公司 版權所有,保留一切權利。 非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部, 並不得以任何形式傳播。本文檔中的信息可能變動,恕不另行通知。 |
|
目 錄
本文檔介紹了可跨三層Portal認證和直接Portal認證的典型配置舉例。
· 當接入設備與用戶之間跨越三層轉發設備時,可采用可跨三層Portal認證方式。接入設備基於用戶的IP地址下發ACL對接口上通過認證的用戶報文轉發進行控製。
· 當接入設備與用戶之間未跨越三層轉發設備時,可采用直接Portal認證方式。接口可以學習到用戶的MAC地址,接入設備除了可以基於用戶的IP地址下發ACL對接口上通過認證的用戶報文轉發進行控製,還可以利用學習到MAC地址增強對用戶報文轉發的控製力度。
本文檔不嚴格與具體軟件版本對應,如果使用過程中與產品實際情況有差異,請參考相關產品手冊,或以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文假設您已了解Portal特性。
如圖1所示,Device B支持Portal認證功能,Host A、Host B和Host C通過Device A接入到Device B,要求:
· 采用一台Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。
· 配置Device B采用可跨三層Portal認證。
· 用戶在通過Portal認證前,隻能訪問Portal Web服務器。用戶通過認證後,可以訪問非受限互聯網資源。
· 采用RADIUS服務器對Portal用戶接入進行認證/授權和計費。
· 配置發送給Portal認證服務器的Portal報文的BAS-IP屬性。
· 使能RADIUS session control功能來監聽並接收RADIUS服務器發送的session control報文。
圖1 可跨三層Portal認證配置組網圖
· 為了對Department A的網絡訪問進行Portal認證,需要在Device B上配置Portal服務器並且使能Portal認證。
· 為了實現通過RADIUS來對Portal用戶進行認證/授權和計費,需要在Device B上配置RADIUS方案並指定相應的認證/授權服務器和計費服務器,並將其應用於Portal用戶所屬的認證域。
· 配置係統缺省的ISP域,所有接入用戶共用此缺省域的認證/授權和計費方法,若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
本舉例是在E0301版本上進行配置和驗證的。
目前僅支持使用RADIUS服務器對Portal用戶進行認證/授權和計費,同時服務器需要配置路由,可以訪問認證端口及用戶IP地址所在網段。
下麵以iMC為例(使用iMC版本為:iMC PLAT 7.0 (E0202)、iMC EIA 7.0 (E0202)),說明RADIUS server和Portal server的基本配置。
# 增加接入設備
登錄進入iMC管理平台,選擇“用戶”頁簽,單擊導航樹中的[接入策略管理/接入設備管理/接入設備配置]菜單項,進入接入設備配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加接入設備頁麵。
· 設置與Device B交互報文時的認證共享密鑰為“expert”;
· 設置認證及計費的端口號分別為“1812”和“1813”;
· 選擇業務類型為“LAN接入業務”;
· 選擇接入設備類型為“H3C(General)”;
· 選擇或手工增加接入設備,添加IP地址為10.0.10.1的接入設備;
· 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
圖2 增加接入設備
# 增加接入策略
選擇“用戶”頁簽,單擊導航樹中的[接入策略管理/接入策略管理]菜單項,單擊<增加>按鈕,進入“增加接入策略”頁麵。
· 接入策略名填寫portal(該名稱可以自定義)。
· 其他配置采用頁麵默認配置即可。
· 單擊<確定>按鈕完成操作。
圖3 增加接入策略
# 增加服務配置
選擇“用戶”頁簽,單擊導航樹中的[接入策略管理/接入服務管理]菜單項,進入服務器配置管理頁麵,在該頁麵中單擊<增加>按鈕,進入增加服務配置頁麵。
· 輸入服務名為“Portal-auth”(該名稱可以自定義)。
· 缺省接入策略選擇“portal”,即上一步配置的接入策略名。
· 其他配置采用頁麵默認配置即可。
· 單擊<確定>按鈕完成操作。
圖4 增加服務配置
# 增加接入用戶
選擇“用戶”頁簽,單擊導航樹中的[接入用戶管理/接入用戶]菜單項,進入接入用戶列表頁麵,在該頁麵中單擊<增加>按鈕,進入增加接入用戶頁麵。
· 單擊<增加用戶>按鈕,手工增加用戶姓名為“hello”(可自定義),證件號碼為111111(可自定義);
· 其它參數采用缺省值,並單擊<確定>按鈕完成操作;
圖5 接入用戶配置
· 輸入帳號名“portal”和密碼;
· 選擇該用戶所關聯的接入服務為“Portal-auth”;
· 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
圖6 增加接入用戶
# 配置Portal主頁
選擇“用戶”頁簽,單擊導航樹中的[接入策略管理/Portal服務管理/服務器配置]菜單項,進入服務器配置頁麵,配置Portal主頁,采用默認配置即可,並單擊<確定>按鈕完成操作。
圖7 Portal服務器配置頁麵
# 配置Portal認證的地址組範圍
單擊導航樹中的[接入策略管理/Portal服務管理/IP地址組配置]菜單項,進入“IP地址組配置”頁麵,在該頁麵中單擊<增加>按鈕,進入“增加IP地址組配置”頁麵。
· 輸入IP地址組名為“Portal_user”;
· 輸入起始地址為“192.168.0.0”、終止地址為“192.168.0.255”。用戶主機IP地址必須包含在該IP地址組範圍內;
· 其他采用默認配置;
· 單擊<確定>按鈕完成操作。
圖8 增加IP地址組配置頁麵
# 增加接入設備信息
單擊導航樹中的[接入策略管理/Portal服務管理/設備配置]菜單項,進入“設備配置”頁麵,在該頁麵中單擊<增加>按鈕,進入“增加設備信息”頁麵。
· 輸入設備名為“NAS”;
· 輸入IP地址為“10.0.11.1”,該地址為與接入用戶相連的設備接口IP地址;
· 輸入密鑰為“portal”,該密鑰與接入設備Device B上的配置保持一致;
· 選擇組網方式為“三層”;
· 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
圖9 增加設備信息配置頁麵
# 配置端口組信息
返回[接入策略管理/Portal服務管理/設備配置]菜單項,單擊<端口組信息管理>按鈕,進入“端口組信息配置”頁麵。
圖10 設備信息列表
在“端口組信息配置”頁麵中單擊<增加>按鈕,進入“增加端口組信息”頁麵。
· 輸入端口組名為“group”;
· 選擇IP地址組為“Portal_user”,用戶接入網絡時使用的IP地址必須屬於所選的IP地址組;
· 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
圖11 增加端口組信息配置頁麵
# 配置接口GigabitEthernet1/0和GigabitEthernet2/0的IP地址。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0
[DeviceA-GigabitEthernet1/0] ip address 192.168.0.1 24
[DeviceA-GigabitEthernet1/0] quit
[DeviceA] interface gigabitethernet 2/0
[DeviceA-GigabitEthernet2/0] ip address 10.0.11.2 24
[DeviceA-GigabitEthernet2/0] quit
# 配置到10.0.10.0/24網段的靜態路由,下一跳為10.0.11.1。
[DeviceA] ip route-static 10.0.10.0 255.255.255.0 10.0.11.1
# 配置接口GigabitEthernet1/0和GigabitEthernet2/0的IP地址。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0
[DeviceB-GigabitEthernet1/0] ip address 10.0.11.1 24
[DeviceB-GigabitEthernet1/0] quit
[DeviceB] interface gigabitethernet 2/0
[DeviceB-GigabitEthernet2/0] ip address 10.0.10.1 24
[DeviceB-GigabitEthernet2/0] quit
# 配置Portal認證服務器:名稱為newpt,IP地址為10.0.10.2,密鑰為明文portal,監聽Portal報文的端口為50100(設備缺省端口號)。
[DeviceB] portal server newpt
[DeviceB-portal-server-newpt] ip 10.0.10.2 key simple portal
[DeviceB-portal-server-newpt] port 50100
[DeviceB-portal-server-newpt] quit
# 配置Portal Web服務器的URL為http://10.0.10.2:8080/portal。(Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致,此處僅為示例)
[DeviceB] portal web-server newpt
[DeviceB-portal-websvr-newpt] url http://10.0.10.2:8080/portal
[DeviceB-portal-websvr-newpt] quit
# 在與Device A相連的接口上使能可跨三層方式的Portal認證。
[DeviceB] interface gigabitethernet1/0
[DeviceB-GigabitEthernet1/0] portal enable method layer3
# 在與Device A相連的接口上設置發送給Portal報文中的BAS-IP屬性值為10.0.11.1。
[DeviceB-GigabitEthernet1/0] portal bas-ip 10.0.11.1
# 在與Device A相連的接口上引用Portal Web服務器newpt。
[DeviceB-GigabitEthernet1/0] portal apply web-server newpt
[DeviceB-GigabitEthernet1/0] quit
# 創建名字為imc的RADIUS方案並進入該方案視圖。
[DeviceB] radius scheme imc
# 配置RADIUS方案主認證/計費服務器及其通信密鑰。
[DeviceB-radius-imc] primary authentication 10.0.10.2
[DeviceB-radius-imc] primary accounting 10.0.10.2
[DeviceB-radius-imc] key authentication simple expert
[DeviceB-radius-imc] key accounting simple expert
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[DeviceB-radius-imc] user-name-format without-domain
[DeviceB-radius-imc] quit
# 配置名為portal.com的認證域。
[DeviceB] domain portal.com
# 配置ISP域的AAA方法。
[DeviceB-isp-portal.com] authentication portal radius-scheme imc
[DeviceB-isp-portal.com] authorization portal radius-scheme imc
[DeviceB-isp-portal.com] accounting portal radius-scheme imc
[DeviceB-isp-portal.com] quit
# 配置係統缺省的ISP域portal.com,所有接入用戶共用此缺省域的認證/授權和計費方法,若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[DeviceB] domain default enable portal.com
# 配置到Department A的靜態路由。
[DeviceB] ip route-static 192.168.0.0 255.255.255.0 10.0.11.2
# 用戶既可以使用H3C的iNode客戶端,也可以通過網頁方式進行Portal認證。本例用網頁方式進行Portal認證。用戶在通過認證前,任何Web訪問請求都會被重定向到認證頁麵http://10.0.10.2:8080/portal,且發起的Web訪問請求均被重定向到該認證頁麵,如圖12。當用戶通過認證後,跳轉到圖13界麵。
圖12 Portal認證頁麵
圖13 Portal用戶認證成功頁麵
# 認證通過後,可通過執行以下顯示命令查看Device B上生成的Portal在線用戶信息。
[DeviceB] display portal user interface gigabitethernet 1/0
Total portal users: 1
Username: portal
Portal server: newpt
State: Online
Authorization ACL: None
VPN instance: --
MAC IP VLAN Interface
0000-0000-0000 192.168.0.2 -- GigabitEthernet1/0
· Device A:
#
interface GigabitEthernet1/0
port link-mode route
ip address 192.168.0.1 255.255.255.0
#
interface GigabitEthernet2/0
port link-mode route
ip address 10.0.11.2 255.255.255.0
#
ip route-static 10.0.10.0 24 10.0.11.1
#
· Device B:
#
interface GigabitEthernet2/0
port link-mode route
ip address 10.0.10.1 255.255.255.0
#
interface GigabitEthernet1/0
port link-mode route
ip address 10.0.11.1 255.255.255.0
portal enable method layer3
portal bas-ip 10.0.11.1
portal apply web-server newpt
#
ip route-static 192.168.0.0 24 10.0.11.2
#
radius session-control enable
#
radius scheme imc
primary authentication 10.0.10.2
primary accounting 10.0.10.2
key authentication cipher $c$3$M30nGDQxiOCAxe2AJ9yEZdk8kjoWag==
key accounting cipher $c$3$M23dGDQxiOCAxe2BJ9yEZdk8kjoWag==
user-name-format without-domain
#
domain portal.com
authentication portal radius-scheme imc
authorization portal radius-scheme imc
accounting portal radius-scheme imc
#
domain default enable portal.com
#
portal web-server newpt
url http://10.0.10.2:8080/portal
#
portal server newpt
ip 10.0.10.2 key cipher $c$3$r0VxoIiBrpzju9h2akP4TxyknX8VTuYKfA==
#
如圖14所示,Device B支持Portal認證功能,Host A、Host B和Host C通過Device A接入到Device B,要求:
· 采用一台Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。
· 配置Device B采用可跨三層Portal認證。
· 用戶在通過Portal認證前,隻能訪問Portal Web服務器。
· 用戶通過認證,但沒有安裝指定版本的防病毒軟件,則對用戶進行隔離,隻允許訪問病毒和補丁服務器。
· 用戶通過認證,且安裝了指定版本的防病毒軟件,則通過安全策略檢查,可正常訪問網絡。
· 采用RADIUS服務器對用戶接入進行認證和授權,並采用安全策略服務器對登錄成功的用戶進行安全檢查。
· 配置發送給Portal認證服務器的Portal報文的BAS-IP屬性。
· 使能RADIUS session control功能來監聽並接收RADIUS服務器發送的session control報文。
圖14 Portal三層認證擴展功能配置組網圖
· 為了對Department A的網絡訪問進行Portal認證,需要在Device B上配置Portal服務器並且使能Portal認證,認證通過前,所有客戶端隻能訪問Portal Web服務器,用戶訪問任何網頁都被重定向到Portal Web服務器主頁麵。
· 為了實現通過RADIUS來進行認證和授權,需要在Device B上配置RADIUS方案並指定相應的認證和授權服務器,並將其應用於Portal用戶所屬的認證域。
· 為了對登錄成功的用戶進行安全檢查,需要創建ACL並製定規則,不符合檢查要求的用戶,隻能訪問病毒和補丁服務器,升級病毒庫版本滿足安全策略要求後,該用戶才可訪問所有網絡資源。
· 配置係統缺省的ISP域,所有接入用戶共用此缺省域的認證、授權方法,若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
本舉例是在E0301版本上進行配置和驗證的。
目前僅支持使用RADIUS服務器對Portal用戶進行認證和授權,同時服務器需要配置路由,可以訪問認證端口及用戶IP地址所在網段。
· 請保證在RADIUS服務器、Portal服務器上完成相應的配置,具體配置步驟請參見3.5.1 RADIUS/Portal server的配置。
· 安全策略服務器上需要將ACL 3000和ACL 3001分別指定為隔離ACL和安全ACL。
# 配置接口GigabitEthernet1/0和GigabitEthernet2/0的IP地址。
<DeviceA> system-view
[DeviceA] interface gigabitethernet1/0
[DeviceA-GigabitEthernet1/0] ip address 192.168.0.1 24
[DeviceA-GigabitEthernet1/0] quit
[DeviceA] interface gigabitethernet2/0
[DeviceA-GigabitEthernet2/0] ip address 10.0.11.2 24
[DeviceA-GigabitEthernet2/0] quit
# 配置到10.0.10.0/24網段的靜態路由,下一跳為10.0.11.1。
[DeviceA] ip route-static 10.0.10.0 255.255.255.0 10.0.11.1
# 配置到10.0.12.0/24網段的靜態路由,下一跳為10.0.11.1。
[DeviceA] ip route-static 10.0.12.0 255.255.255.0 10.0.11.1
# 配置接口GigabitEthernet1/0、GigabitEthernet2/0和GigabitEthernet3/0的IP地址。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0
[DeviceB-GigabitEthernet1/0] ip address 10.0.11.1 24
[DeviceB-GigabitEthernet1/0] quit
[DeviceB] interface gigabitethernet 2/0
[DeviceB-GigabitEthernet2/0] ip address 10.0.10.1 24
[DeviceB-GigabitEthernet2/0] quit
[DeviceB] interface gigabitethernet 3/0
[DeviceB-GigabitEthernet3/0] ip address 10.0.12.1 24
[DeviceB-GigabitEthernet3/0] quit
# 配置Portal認證服務器:名稱為newpt,IP地址為10.0.10.2,密鑰為明文portal,監聽Portal報文的端口為50100(設備缺省端口號)。
[DeviceB] portal server newpt
[DeviceB-portal-server-newpt] ip 10.0.10.2 key simple portal
[DeviceB-portal-server-newpt] port 50100
[DeviceB-portal-server-newpt] quit
# 配置Portal Web服務器的URL為http://10.0.10.2:8080/portal。(Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致,此處僅為示例)
[DeviceB] portal web-server newpt
[DeviceB-portal-websvr-newpt] url http://10.0.10.2:8080/portal
[DeviceB-portal-websvr-newpt] quit
# 在與Device A相連的接口上使能可跨三層方式的Portal認證。
[DeviceB] interface gigabitethernet 1/0
[DeviceB-GigabitEthernet1/0] portal enable method layer3
# 在與Device A相連的接口上設置發送給Portal報文中的BAS-IP屬性值為10.0.11.1。
[DeviceB–GigabitEthernet1/0] portal bas-ip 10.0.11.1
# 在與Device A相連的接口上引用Portal Web服務器newpt。
[DeviceB–GigabitEthernet1/0] portal apply web-server newpt
[DeviceB-GigabitEthernet1/0] quit
# 配置到Department A的靜態路由。
[DeviceB] ip route-static 192.168.0.0 255.255.255.0 10.0.11.2
# 創建名字為imc的RADIUS方案並進入該方案視圖。
[DeviceB] radius scheme imc
# 配置RADIUS方案相關參數,包括RADIUS服務器地址,認證密鑰等。
[DeviceB-radius-imc] primary authentication 10.0.10.2
[DeviceB-radius-imc] primary accounting 10.0.10.2
[DeviceB-radius-imc] key authentication simple expert
[DeviceB-radius-imc] key accounting simple expert
# 配置RADIUS方案的安全策略服務器。
[DeviceB-radius-imc] security-policy-server 10.0.10.2
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[DeviceB-radius-imc] user-name-format without-domain
[DeviceB-radius-imc] quit
# 使能RADIUS session control功能。
[DeviceB] radius session-control enable
# 配置名為portal.com的認證域。
[DeviceB] domain portal.com
# 配置ISP域的AAA方法。
[DeviceB-isp-portal.com] authentication portal radius-scheme imc
[DeviceB-isp-portal.com] authorization portal radius-scheme imc
[DeviceB-isp-portal.com] accounting portal radius-scheme imc
[DeviceB-isp-portal.com] quit
# 配置係統缺省的ISP域portal.com,所有接入用戶共用此缺省域的認證/授權和計費方法,若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[DeviceB] domain default enable portal.com
# 配置ACL 3000,隻允許訪問補丁和病毒服務器。
[DeviceB] acl number 3000
[DeviceB-acl-adv-3000] rule permit ip destination 10.0.12.2 0
[DeviceB-acl-adv-3000] rule deny ip
[DeviceB-acl-adv-3000] quit
# 配置ACL 3001,允許所有IP地址通過。
[DeviceB] acl number 3001
[DeviceB-acl-adv-3001] rule permit ip
[DeviceB-acl-adv-3001] quit
# 用戶隻能使用H3C的iNode客戶端,進行Portal擴展功能認證。用戶通過iNode客戶端,新建Portal連接,輸入正確的用戶名和密碼,登錄成功。
然後,開始安全檢查,安全檢查不合格,進入隔離模式,查看設備上Portal用戶,可看到下發了隔離ACL 3000。
[DeviceB]display portal user all
Total portal users: 1
Username: cc16
Portal server: newpt
State: Online
Authorization ACL: 3000
VPN instance: --
MAC IP VLAN Interface
0000-0000-0000 192.168.0.2 -- GigabitEthernet1/0
# 升級病毒庫,版本滿足安全策略要求。客戶端斷開後,重新登錄,認證成功後,進行安全檢查,客戶端提示安全檢查合格,設備上查看通過認證的Portal用戶信息,可見下發了安全ACL 3001。
[DeviceB]display portal user all
Total portal users: 1
Username: cc16
Portal server: newpt
State: Online
Authorization ACL: 3001
VPN instance: --
MAC IP VLAN Interface
0000-0000-0000 192.168.0.2 -- GigabitEthernet1/0
· Device A:
#
interface GigabitEthernet1/0
port link-mode route
ip address 192.168.0.1 255.255.255.0
#
interface GigabitEthernet2/0
port link-mode route
ip address 10.0.11.2 255.255.255.0
#
ip route-static 10.0.10.0 24 10.0.11.1
ip route-static 10.0.12.0 24 10.0.11.1
#
· Device B:
#
interface GigabitEthernet1/0
port link-mode route
ip address 10.0.11.1 255.255.255.0
portal enable method layer3
portal bas-ip 10.0.11.1
portal apply web-server newpt
#
interface GigabitEthernet2/0
port link-mode route
ip address 10.0.10.1 255.255.255.0
#
interface GigabitEthernet3/0
port link-mode route
ip address 10.0.12.1 255.255.255.0
#
ip route-static 192.168.0.0 24 10.0.11.2
#
acl number 3000
rule 0 permit ip destination 10.0.12.2 0
rule 5 deny ip
#
acl number 3001
rule 0 permit ip
#
radius session-control enable
#
radius scheme imc
primary authentication 10.0.10.2
primary accounting 10.0.10.2
security-policy-server 10.0.10.2
key authentication cipher $c$3$M30nGDQxiOCAxe2AJ9yEZdk8kjoWag==
key accounting cipher $c$3$M23dGDQxiOCAxe2BJ9yEZdk8kjoWag==
user-name-format without-domain
#
domain portal.com
authentication portal radius-scheme imc
authorization portal radius-scheme imc
accounting portal radius-scheme imc
#
domain default enable portal.com
#
portal web-server newpt
url http://10.0.10.2:8080/portal
#
portal server newpt
ip 10.0.10.2 key cipher $c$3$r0VxoIiBrpzju9h2akP4TxyknX8VTuYKfA==
#
如圖15所示,Department A客戶端與接入設備直接相連,采用直接方式的Portal認證。
· 采用一台Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。
· Department A下麵的用戶在通過Portal認證前,隻能訪問Portal Web服務器,無法訪問內部其它網絡或Internet。用戶通過認證後,可以正常訪問網絡。
· 采用RADIUS服務器對Portal用戶接入進行認證/授權和計費。
· 配置發送給Portal認證服務器的Portal報文的BAS-IP屬性。
· 使能RADIUS session control功能來監聽並接收RADIUS服務器發送的session control報文。
圖15 Portal特性直接認證配置組網圖
· 為了對Department A的網絡訪問進行Portal認證,需要在Device上配置Portal服務器並且使能Portal認證。
· 為了實現通過RADIUS來對Portal用戶進行認證/授權和計費,需要在Device上配置RADIUS方案並指定相應的認證/授權服務器和計費服務器,並將其應用於Portal用戶所屬的認證域。
· 配置係統缺省的ISP域,所有接入用戶共用此缺省域的認證/授權和計費方法,若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
本舉例是在E0301版本上進行配置和驗證的。
目前僅支持使用RADIUS服務器對Portal用戶進行認證/授權和計費,同時服務器需要配置路由,可以訪問認證端口及用戶IP地址所在網段。
請保證在RADIUS服務器、Portal服務器上完成相應的配置,具體配置步驟請參見3.5.1 RADIUS/Portal server的配置。其中“增加Portal設備”步驟中的選擇組網方式改為“直連”,並將IP地址改為192.168.0.1即可。
# 配置接口GigabitEthernet1/0和GigabitEthernet2/0的IP地址。
<Device> system-view
[Device] interface gigabitethernet 1/0
[Device-GigabitEthernet1/0] ip address 192.168.0.1 24
[Device-GigabitEthernet1/0] quit
[Device] interface gigabitethernet 2/0
[Device-GigabitEthernet2/0] ip address 10.0.10.1 24
[Device-GigabitEthernet2/0] quit
# 配置Portal認證服務器:名稱為newpt,IP地址為10.0.10.2,密鑰為明文portal,監聽Portal報文的端口為50100(設備缺省端口號)。
[Device] portal server newpt
[Device-portal-server-newpt] ip 10.0.10.2 key simple portal
[Device-portal-server-newpt] port 50100
[Device-portal-server-newpt] quit
# 配置Portal Web服務器的URL為http://10.0.10.2:8080/portal。(Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致,此處僅為示例)
[Device] portal web-server newpt
[Device-portal-websvr-newpt] url http://10.0.10.2:8080/portal
[Device-portal-websvr-newpt] quit
# 在與客戶端相連的接口上使能直接方式的Portal認證。
[Device] interface gigabitethernet1/0
[Device-GigabitEthernet1/0] portal enable method direct
# 在與客戶端相連的接口上設置發送給Portal報文中的BAS-IP屬性值為192.168.0.1。
[Device-GigabitEthernet1/0] portal bas-ip 192.168.0.1
# 在與客戶端相連的接口上引用Portal Web服務器newpt。
[Device-GigabitEthernet1/0] portal apply web-server newpt
[Device-GigabitEthernet1/0] quit
# 創建名字為imc的RADIUS方案並進入該方案視圖。
[Device] radius scheme imc
# 配置RADIUS方案主認證服務器及其通信密鑰。
[Device-radius-imc] primary authentication 10.0.10.2
[Device-radius-imc] primary accounting 10.0.10.2
[Device-radius-imc] key authentication simple expert
[Device-radius-imc] key accounting simple expert
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[Device-radius-imc] user-name-format without-domain
[Device-radius-imc] quit
# 使能RADIUS session control功能。
[Device] radius session-control enable
# 配置名為portal.com的認證域。
[Device] domain portal.com
# 配置ISP域的AAA方法。
[Device-isp-portal.com] authentication portal radius-scheme imc
[Device-isp-portal.com] authorization portal radius-scheme imc
[Device-isp-portal.com] accounting portal radius-scheme imc
[Device-isp-portal.com] quit
# 配置係統缺省的ISP域portal.com,所有接入用戶共用此缺省域的認證、授權方法,若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[Device] domain default enable portal.com
# 用戶既可以使用H3C的iNode客戶端,也可以通過網頁方式進行Portal認證。本例用網頁方式進行Portal認證。用戶在通過認證前,隻能訪問認證頁麵http://10.0.10.2:8080/portal,且發起的Web訪問請求均被重定向到該認證頁麵,如圖16。當用戶通過認證後,跳轉到圖17界麵。
圖16 Portal認證頁麵
# 認證通過後,可通過執行以下顯示命令查看Device上生成的Portal在線用戶信息。
[DeviceB] display portal user interface gigabitethernet 1/0
Total portal users: 1
Username: portal
Portal server: newpt
State: Online
Authorization ACL: None
VPN instance: --
MAC IP VLAN Interface
0015-e9a6-7cfe 192.168.0.2 -- GigabitEthernet1/0
#
interface GigabitEthernet1/0
port link-mode route
ip address 192.168.0.1 255.255.255.0
portal enable method direct
portal bas-ip 192.168.0.1
portal apply web-server newpt
#
interface GigabitEthernet2/0
port link-mode route
ip address 10.0.10.1 255.255.255.0
#
radius session-control enable
#
radius scheme imc
primary authentication 10.0.10.2
primary accounting 10.0.10.2
key authentication cipher $c$3$M30nGDQxiOCAxe2AJ9yEZdk8kjoWag==
key accounting cipher $c$3$M23dGDQxiOCAxe2BJ9yEZdk8kjoWag==
user-name-format without-domain
#
domain portal.com
authentication portal radius-scheme imc
authorization portal radius-scheme imc
accounting portal radius-scheme imc
#
domain default enable portal.com
#
portal web-server newpt
url http://10.0.10.2:8080/portal
#
portal server newpt
ip 10.0.10.2 key cipher $c$3$r0VxoIiBrpzju9h2akP4TxyknX8VTuYKfA==
#
· 《H3C VSR1000虛擬路由器配置指導》中的“安全配置指導”
· 《H3C VSR1000虛擬路由器命令參考》中的“安全命令參考”
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
