- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
04-Portal配置
本章節下載: 04-Portal配置 (1.01 MB)
目 錄
1.1.4 使用本地Portal服務器的Portal認證係統
1.1.6 Portal支持EAP認證(僅S5500-EI係列支持)
1.1.8 三層Portal認證過程(僅S5500-EI係列支持)
1.1.9 Portal支持雙機熱備(僅S5500-EI係列支持)
1.1.10 Portal支持多實例(僅S5500-EI係列支持)
1.4.1 指定二層Portal認證的本地Portal服務器監聽IP地址
1.4.2 指定三層Portal認證的Portal服務器(僅S5500-EI係列支持)
1.6.2 使能三層Portal認證(僅S5500-EI係列支持)
1.10 配置接口發送Portal報文使用的源地址(僅S5500-EI係列支持)
1.11 配置Portal支持雙機熱備(僅S5500-EI係列支持)
1.12 指定Portal用戶認證成功後認證頁麵的自動跳轉目的網站地址
1.13.2 配置Portal服務器探測功能(僅S5500-EI係列支持)
1.13.3 配置Portal用戶信息同步功能(僅S5500-EI係列支持)
僅S5500-EI係列以太網交換機支持Portal IPv6相關配置。
Portal在英語中是入口的意思。Portal認證通常也稱為Web認證,一般將Portal認證網站稱為門戶網站。
未認證用戶上網時,設備強製用戶登錄到特定站點,用戶可以免費訪問其中的服務。當用戶需要使用互聯網中的其它信息時,必須在門戶網站進行認證,隻有認證通過後才可以使用互聯網資源。
用戶可以主動訪問已知的Portal認證網站,輸入用戶名和密碼進行認證,這種開始Portal認證的方式稱作主動認證。反之,如果用戶試圖通過HTTP訪問其他外網,將被強製訪問Portal認證網站,從而開始Portal認證過程,這種方式稱作強製認證。
Portal業務可以為運營商提供方便的管理功能,門戶網站可以開展廣告、社區服務、個性化的業務等,使寬帶運營商、設備提供商和內容服務提供商形成一個產業生態係統。
Portal的擴展功能主要是指通過強製接入終端實施補丁和防病毒策略,加強網絡終端對病毒攻擊的主動防禦能力。具體擴展功能如下:
· 安全性檢測:在Portal身份認證的基礎上增加了安全認證機製,可以檢測接入終端上是否安裝了防病毒軟件、是否更新了病毒庫、是否安裝了非法軟件、是否更新了操作係統補丁等;
· 訪問資源受限:用戶通過身份認證後僅僅獲得訪問部分互聯網資源(受限資源)的權限,如病毒服務器、操作係統補丁更新服務器等;當用戶通過安全認證後便可以訪問更多的互聯網資源(非受限資源)。
Portal的典型組網方式如圖1-1所示,它由五個基本要素組成:認證客戶端、接入設備、Portal服務器、認證/計費服務器和安全策略服務器。
Portal服務器可以是接入設備之外的獨立實體(僅S5500-EI係列支持),也可以是存在於接入設備之內的內嵌實體,本文稱之為“本地Portal服務器”,因此下文中除對本地支持的Portal服務器做特殊說明之外,其它所有Portal服務器均指獨立的Portal服務器,請勿混淆。
圖1-1 Portal係統組成示意圖
安裝於用戶終端的客戶端係統,為運行HTTP/HTTPS協議的瀏覽器或運行Portal客戶端軟件的主機。對接入終端的安全性檢測是通過Portal客戶端和安全策略服務器之間的信息交流完成的。
交換機、路由器等寬帶接入設備的統稱,主要有三方麵的作用:
· 在認證之前,將用戶的所有HTTP請求都重定向到Portal服務器。
· 在認證過程中,與Portal服務器、安全策略服務器、認證/計費服務器交互,完成身份認證/安全認證/計費的功能。
· 在認證通過後,允許用戶訪問被管理員授權的互聯網資源。
接收Portal客戶端認證請求的服務器端係統,提供免費門戶服務和基於Web認證的界麵,與接入設備交互認證客戶端的認證信息。
與接入設備進行交互,完成對用戶的認證和計費。
與Portal客戶端、接入設備進行交互,完成對用戶的安全認證,並對用戶進行授權操作。
以上五個基本要素的交互過程為:
(1) 未認證用戶訪問網絡時,在Web瀏覽器地址欄中輸入一個互聯網的地址,那麼此HTTP請求在經過接入設備時會被重定向到Portal服務器的Web認證主頁上;若需要使用Portal的擴展認證功能,則用戶必須使用Portal客戶端。
(2) 用戶在認證主頁/認證對話框中輸入認證信息後提交,Portal服務器會將用戶的認證信息傳遞給接入設備;
(3) 然後接入設備再與認證/計費服務器通信進行認證和計費;
(4) 認證通過後,如果未對用戶采用安全策略,則接入設備會打開用戶與互聯網的通路,允許用戶訪問互聯網;如果對用戶采用了安全策略,則客戶端、接入設備與安全策略服務器交互,對用戶的安全檢測通過之後,安全策略服務器根據用戶的安全性授權用戶訪問非受限資源。
· 無論是Web客戶端還是H3C iNode客戶端發起的Portal認證,均能支持Portal認證穿越NAT,即Portal客戶端位於私網、Portal服務器位於公網,接入設備上啟用NAT功能的組網環境下,NAT地址轉換不會對Portal認證造成影響,但建議在此組網環境下,將發送Portal報文的源地址配置為接口的公網IP地址。
· 目前支持Portal認證的遠端認證/計費服務器為RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)服務器。
· 目前通過訪問Web頁麵進行的Portal認證不能對用戶實施安全策略檢查,安全檢查功能的實現需要與H3C iNode客戶端配合。
本地Portal服務器功能是指,Portal認證係統中不采用外部獨立的Portal服務器,而由接入設備實現Portal服務器功能。這種情況下,Portal認證係統僅包括三個基本要素:認證客戶端、接入設備和認證/計費服務器,如圖1-2所示。由於設備支持Web用戶直接認證,因此就不需要部署額外的Portal服務器,增強了Portal認證的通用性。
圖1-2 使用本地Portal服務器的Portal係統組成示意圖
· 使用本地Portal服務器的Portal認證係統不支持Portal擴展功能,因此不需要部署安全策略服務器。
· 內嵌本地Portal服務器的接入設備實現了簡單的Portal服務器功能,僅能給用戶提供通過Web方式登錄、下線的基本功能,並不能完全替代獨立的Portal服務器。
認證客戶端和內嵌本地Portal服務器的接入設備之間可以采用HTTP和HTTPS協議通信。若客戶端和接入設備之間交互HTTP協議,則報文以明文形式傳輸,安全性無法保證;若客戶端和接入設備之間交互HTTPS協議,則報文基於SSL提供的安全機製以密文的形式傳輸,數據的安全性有保障。
本地Portal服務器支持由用戶自定義認證頁麵的內容,即允許用戶編輯一套認證頁麵的HTML文件,並在壓縮之後保存至設備的存儲設備中。該套自定義頁麵中包括六個認證頁麵:登錄頁麵、登錄成功頁麵、在線頁麵、下線成功頁麵、登錄失敗頁麵和係統忙頁麵。本地Portal服務器根據不同的認證階段向客戶端推出對應的認證頁麵,若不自定義,則分別推出係統提供的缺省認證頁麵。
不同的組網方式下,可采用的Portal認證方式不同。按照網絡中實施Portal認證的網絡層次來分,Portal的認證方式分為兩種:二層認證方式和三層認證方式。
這種方式支持在接入設備連接用戶的二層端口上開啟Portal認證功能,隻允許源MAC地址通過認證的用戶才能訪問外部網絡資源。目前,該認證方式僅支持本地Portal認證,即接入設備作為本地Portal服務器向用戶提供Web認證服務。
另外,該方式還支持服務器下發授權VLAN和將認證失敗用戶加入認證失敗VLAN功能(三層認證方式不支持)。
這種方式支持在接入設備連接用戶的三層接口上開啟Portal認證功能。三層接口Portal認證又可分為三種不同的認證方式:直接認證方式、二次地址分配認證方式和可跨三層認證方式。直接認證方式和二次地址分配認證方式下,認證客戶端和接入設備之間沒有三層轉發;可跨三層認證方式下,認證客戶端和接入設備之間可以跨接三層轉發設備。
(1) 直接認證方式
用戶在認證前通過手工配置或DHCP直接獲取一個IP地址,隻能訪問Portal服務器,以及設定的免費訪問地址;認證通過後即可訪問網絡資源。認證流程相對二次地址較為簡單。
(2) 二次地址分配認證方式
用戶在認證前通過DHCP獲取一個私網IP地址,隻能訪問Portal服務器,以及設定的免費訪問地址;認證通過後,用戶會申請到一個公網IP地址,即可訪問網絡資源。該認證方式解決了IP地址規劃和分配問題,對未認證通過的用戶不分配公網IP地址。例如運營商對於小區寬帶用戶隻在訪問小區外部資源時才分配公網IP。
· 使用本地Portal服務器的Portal認證不支持二次地址分配認證方式。
· IPv6 Portal認證不支持二次地址分配方式。
(3) 可跨三層認證方式
和直接認證方式基本相同,但是這種認證方式允許認證用戶和接入設備之間跨越三層轉發設備。
對於以上三種認證方式,IP地址都是用戶的唯一標識。接入設備基於用戶的IP地址下發ACL對接口上通過認證的用戶報文轉發進行控製。由於直接認證和二次地址分配認證下的接入設備與用戶之間未跨越三層轉發設備,因此接口可以學習到用戶的MAC地址,接入設備可以利用學習到MAC地址增強對用戶報文轉發的控製力度。
在對接入用戶身份可靠性要求較高的網絡應用中,傳統的基於用戶名和口令的用戶身份驗證方式存在一定的安全問題,基於數字證書的用戶身份驗證方式通常被用來建立更為安全和可靠的網絡接入認證機製。
EAP(Extensible Authentication Protocol,可擴展認證協議)可支持多種基於數字證書的認證方式(例如EAP-TLS),它與Portal認證相配合,可共同為用戶提供基於數字證書的接入認證服務。
圖1-3 Portal支持EAP認證協議交互示意圖
如圖1-3所示,在Portal支持EAP認證的實現中,客戶端與Portal服務器之間交互EAP認證報文,Portal服務器與接入設備之間交互攜帶EAP-Message屬性的Portal協議報文,接入設備與RADIUS服務器之間交互攜帶EAP-Message屬性的RADIUS協議報文,由具備EAP服務器功能的RADIUS服務器處理EAP-Message屬性中封裝的EAP報文,並給出EAP認證結果。整個EAP認證過程中,接入設備隻是對Portal服務器與RADIUS服務器之間的EAP-Message屬性進行透傳,並不對其進行任何處理,因此接入設備上無需任何額外配置。
· 該功能僅能與iMC的Portal服務器以及iNode Portal客戶端配合使用。
· 目前,僅使用遠程Portal服務器的三層Portal認證支持EAP認證。
目前,二層Portal認證隻支持本地Portal認證,即由接入設備作為本地Portal服務器向用戶提供Web認證服務,具體認證過程如下。
圖1-4 二層Portal認證流程圖
(1) Portal用戶通過HTTP協議發起認證,HTTP報文經過配置了本地Portal服務器的接入設備的端口時會被重定向到本地Portal服務器的監聽IP地址,本地Portal服務器提供Web頁麵供用戶輸入用戶名和密碼來進行認證且支持HTTP和HTTPS協議的認證請求。該本地Portal服務器的監聽IP地址為接入設備上一個與用戶之間路由可達的三層接口IP地址(通常為Loopback接口IP)。
(2) 接入設備與RADIUS服務器之間進行RADIUS協議報文的交互,對用戶身份進行驗證。
(3) 如果RADIUS認證成功,則接入設備上的本地Portal服務器向客戶端發送登錄成功頁麵,通知客戶端認證(上線)成功。
二層Portal認證支持認證服務器下發授權VLAN。當用戶通過Portal認證後,如果認證服務器上配置了下發VLAN功能,那麼認證服務器會將授權VLAN信息下發給接入設備,由接入設備將認證成功的用戶加入對應的授權VLAN中,則端口上會生成該用戶MAC對應的MAC VLAN表項,若該VLAN不存在,則接入設備首先創建VLAN,而後將用戶加入授權VLAN中。
通過支持下發授權VLAN,可實現對已認證用戶可訪問網絡資源的控製。
Auth-Fail VLAN功能允許用戶在認證失敗的情況下,可以訪問某一特定VLAN中的資源,比如病毒補丁服務器,存儲客戶端軟件或殺毒軟件的服務器,進行升級客戶端或執行其他一些用戶升級程序。這個VLAN稱之為Auth-Fail VLAN。
二層Portal認證支持基於MAC的Auth-Fail VLAN,如果接入用戶的端口上配置了Auth-Fail VLAN,則端口上會基於認證失敗的MAC地址生成相應的MAC VLAN表項,認證失敗的用戶將會被加入Auth-Fail VLAN中。加入Auth-Fail VLAN中的用戶可以訪問該VLAN中的非HTTP資源,但用戶的所有HTTP訪問請求會被重定向到接入設備上進行認證,若用戶仍然沒有通過認證,則將繼續處於Auth-Fail VLAN內;若認證成功,則回到加入Auth-Fail VLAN之前端口所在的VLAN。處於Auth-Fail VLAN中的用戶,若在指定時間(默認90秒)內無流量通過接入端口,則將離開該VLAN,回到端口的初始VLAN。
用戶加入授權VLAN或Auth-Fail VLAN後,需要自動申請或者手動更新客戶端IP地址,以保證可以與授權VLAN或Auth-Fail VLAN中的資源互通。
ACL(Access Control List,訪問控製列表)提供了控製用戶訪問網絡資源和限製用戶訪問權限的功能。當用戶上線時,如果服務器上配置了授權ACL,則設備會根據服務器下發的授權ACL對用戶所在端口的數據流進行控製;在服務器上配置授權ACL之前,需要在設備上配置相應的規則。管理員可以通過改變服務器的授權ACL設置或設備上對應的ACL規則來改變用戶的訪問權限。
直接認證和可跨三層Portal認證流程相同。二次地址分配認證流程因為有兩次地址分配過程,所以其認證流程和另外兩種認證方式有所不同。
圖1-5 直接認證/可跨三層Portal認證流程圖
直接認證/可跨三層Portal認證流程:
(1) Portal用戶通過HTTP協議發起認證請求。HTTP報文經過接入設備時,對於訪問Portal服務器或設定的免費訪問地址的HTTP報文,接入設備允許其通過;對於訪問其它地址的HTTP報文,接入設備將其重定向到Portal服務器。Portal服務器提供Web頁麵供用戶輸入用戶名和密碼來進行認證。
(2) Portal服務器與接入設備之間進行CHAP(Challenge Handshake Authentication Protocol,質詢握手驗證協議)認證交互。若采用PAP(Password Authentication Protocol,密碼驗證協議)認證則直接進入下一步驟。
(3) Portal服務器將用戶輸入的用戶名和密碼組裝成認證請求報文發往接入設備,同時開啟定時器等待認證應答報文。
(4) 接入設備與RADIUS服務器之間進行RADIUS協議報文的交互。
(5) 接入設備向Portal服務器發送認證應答報文。
(6) Portal服務器向客戶端發送認證通過報文,通知客戶端認證(上線)成功。
(7) Portal服務器向接入設備發送認證應答確認。
(8) 客戶端和安全策略服務器之間進行安全信息交互。安全策略服務器檢測接入終端的安全性是否合格,包括是否安裝防病毒軟件、是否更新病毒庫、是否安裝了非法軟件、是否更新操作係統補丁等。
(9) 安全策略服務器根據用戶的安全性授權用戶訪問非受限資源,授權信息保存到接入設備中,接入設備將使用該信息控製用戶的訪問。
步驟(8)、(9)為Portal認證擴展功能的交互過程。
圖1-6 二次地址分配認證方式流程圖
二次地址分配認證流程:
(1)~(6)同直接/可跨三層Portal認證中步驟(1)~(6)。
(7) 客戶端收到認證通過報文後,通過DHCP獲得新的公網IP地址,並通知Portal服務器用戶已獲得新IP地址。
(2) Portal服務器通知接入設備客戶端獲得新公網IP地址。
(3) 接入設備通過檢測ARP協議報文發現了用戶IP變化,並通告Portal服務器已檢測到用戶IP變化。
(4) Portal服務器通知客戶端上線成功。
(5) Portal服務器向接入設備發送IP變化確認報文。
(6) 客戶端和安全策略服務器之間進行安全信息交互。安全策略服務器檢測接入終端的安全性是否合格,包括是否安裝防病毒軟件、是否更新病毒庫、是否安裝了非法軟件、是否更新操作係統補丁等。
(7) 安全策略服務器根據用戶的安全性授權用戶訪問非受限資源,授權信息保存到接入設備中,接入設備將使用該信息控製用戶的訪問。
步驟(12)、(13)為Portal認證擴展功能的交互過程。
圖1-7 Portal支持EAP認證流程圖
支持EAP認證的Portal認證流程如下(各Portal認證方式下EAP認證的處理流程相同,此處僅以直接方式的Portal認證為例):
(1) Portal客戶端發起EAP認證請求,向Portal服務器發送Identity類型的EAP請求報文。
(2) Portal服務器向接入設備發送Portal認證請求報文,同時開啟定時器等待Portal認證應答報文,該認證請求報文中包含若幹個EAP-Message屬性,這些屬性用於封裝Portal客戶端發送的EAP報文,並可攜帶客戶端的證書信息。
(3) 接入設備接收到Portal認證請求報文後,構造RADIUS認證請求報文與RADIUS服務器進行認證交互,該RADIUS認證請求報文的EAP-Message屬性值由接入設備收到的Portal認證請求報文中的EAP-Message屬性值填充。
(4) 接入設備根據RADIUS服務器的回應信息向Portal服務器發送證書請求報文,該報文中同樣會包含若幹個EAP-Message屬性,可用於攜帶RADIUS服務器的證書信息,這些屬性值由RADIUS認證回應報文中的EAP-Message屬性值填充。
(5) Portal服務器接收到證書請求報文後,向Portal客戶端發送EAP認證回應報文,直接將RADIUS服務器響應報文中的EAP-Message屬性值透傳給Portal客戶端。
(6) Portal客戶端繼續發起的EAP認證請求,與RADIUS服務器進行後續的EAP認證交互,期間Portal認證請求報文可能會出現多次。後續認證過程與第一個EAP認證請求報文的交互過程類似,僅EAP報文類型會根據EAP認證階段發展有所變化,此處不再詳述。
(7) EAP認證通過後,RADIUS服務器向接入設備發送認證通過響應報文,該報文的EAP-Message屬性中封裝了EAP認證成功報文(EAP-Success)。
(8) 接入設備向Portal服務器發送認證應答報文,該報文的EAP-Message屬性中封裝了EAP認證成功報文。
(9) Portal服務器根據認證應答報文中的認證結果通知Portal客戶端認證成功。
(10) Portal服務器向接入設備發送認證應答確認。
後續為Portal認證擴展功能的交互過程,可參考CHAP/PAP認證方式下的認證流程介紹,此處略。
在當前的組網應用中,用戶對網絡可靠性的要求越來越高,特別是在一些重點的業務入口或接入點上需要保證網絡業務的不間斷性。雙機熱備技術可以保證這些關鍵業務節點在單點故障的情況下,信息流仍然不中斷。
所謂雙機熱備,其實是雙機業務備份。在兩台設備上分別指定相同的備份VLAN,專用於傳輸雙機熱備相關的報文。在設備正常工作時,對業務信息進行主備同步;在設備故障後,利用VRRP機製實現業務流量切換到備份設備,由備份設備繼續處理業務,從而保證了當前的業務不被中斷。關於雙機熱備的詳細介紹請參見“可靠性配置指導”中的“雙機熱備”。
如圖1-8所示,在一個典型的Portal雙機熱備組網環境中,用戶通過Portal認證接入網絡,為避免接入設備單機故障的情況下造成的Portal業務中斷,接入設備提供了Portal支持雙機熱備功能。該功能是指,接入設備Gateway A和Gateway B通過備份鏈路互相備份兩台設備上的Portal在線用戶信息,實現當其中一台設備發生故障時,另外一台設備可以對新的Portal用戶進行接入認證,並能夠保證所有已上線Portal用戶的正常數據通信。
備份鏈路對於部分雙機熱備設備不是必須的,隻要保證互為備份的設備上存在相同的VLAN專用於傳輸雙機熱備相關的報文。若組網中配置了專門的備份鏈路,則需要將兩台設備上連接備份鏈路的物理接口加入備份VLAN中。
(1) 設備的工作狀態
· 獨立運行狀態:設備未與其它設備建立備份連接時所處的一種穩定狀態。
· 同步運行狀態:設備與對端設備之間成功建立備份連接,可以進行數據備份時所處的一種穩定狀態。
(2) 用戶的工作模式
· Stand-alone:表示用戶數據隻在一台設備上存在。當前設備處於獨立運行狀態,或者當前設備處於同步運行狀態但用戶數據還未同步。
· Primary:表明用戶是由本端設備上線,用戶數據由本端設備生成。本端設備處於同步運行狀態,可以處理並接收服務器發送的報文。
· Secondary:表明用戶是由對端設備上線,用戶數據是由對端設備同步到本端設備上的。本端設備處於同步運行狀態,隻接收並處理同步消息,不處理服務器發送的報文。
實際組網應用中,某企業的各分支機構屬於不同的VPN,且各VPN之間的業務相互隔離。如果各分支機構的Portal用戶要通過位於總部VPN中的服務器進行統一認證,則需要Portal支持多實例。
通過Portal支持多實例,可實現Portal認證報文通過MPLS VPN進行交互。如下圖所示,連接客戶端的PE設備作為NAS,通過MPLS VPN將私網客戶端的Portal認證報文透傳給網絡另一端的私網服務器,並在AAA支持多實例的配合下,實現對私網VPN客戶端的Portal接入認證,滿足了私網VPN業務隔離情況下的客戶端集中認證,且各私網的認證報文互不影響。
圖1-9 Portal支持多實例典型組網圖
· 在MCE設備上進行的Portal接入認證也可支持多實例功能。關於MCE的相關介紹請見參見“三層技術-IP路由配置指導”中的“MCE”。
· 關於AAA支持多實例的相關介紹請參見“安全配置指導”中的“AAA”。
· 本特性不支持多VPN間的地址重疊。
目前,S5500-SI係列以太網交換機僅支持二層Portal認證相關配置。
表1-1 二層Portal配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
|
指定二層Portal認證的本地Portal服務器IP地址 |
必選 |
||
|
配置本地Portal服務器 |
自定義認證頁麵 |
可選 |
|
|
配置本地Portal服務器 |
必選 |
||
|
使能二層Portal |
必選 |
||
|
控製Portal用戶的接入 |
配置免認證規則 |
可選 |
|
|
配置Portal最大用戶數 |
|||
|
指定Portal用戶使用的認證域 |
|||
|
配置二層Portal支持Web代理 |
|||
|
配置Portal用戶認證端口的自動遷移功能 |
|||
|
配置Portal認證的Auth-Fail VLAN |
可選 |
||
|
指定Portal用戶認證成功後認證頁麵的自動跳轉目的網站地址 |
可選 |
||
|
配置二層Portal用戶的在線檢測功能 |
可選 |
||
|
強製Portal用戶下線 |
可選 |
||
表1-2 三層Portal配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
|
指定三層Portal認證的Portal服務器監聽IP地址 |
必選 |
||
|
使能三層Portal |
必選 |
||
|
控製Portal用戶的接入 |
配置免認證規則 |
可選 |
|
|
配置源認證網段 |
|||
|
配置Portal最大用戶數 |
|||
|
指定Portal用戶使用的認證域 |
|||
|
配置接口發送RADIUS報文的相關屬性 |
配置接口的NAS-Port-Type |
可選 |
|
|
配置接口的NAS-ID Profile |
|||
|
配置接口發送Portal報文使用的源地址 |
可選 |
||
|
配置Portal支持雙機熱備(僅S5500-EI係列支持) |
可選 |
||
|
指定Portal用戶認證成功後認證頁麵的自動跳轉目的網站地址 |
可選 |
||
|
配置Portal探測功能 |
配置Portal服務器探測功能 |
可選 |
|
|
配置Portal用戶信息同步功能 |
|||
|
強製Portal用戶下線 |
可選 |
||
Portal提供了一個用戶身份認證和安全認證的實現方案,但是僅僅依靠Portal不足以實現該方案。接入設備的管理者需選擇使用RADIUS認證方法,以配合Portal完成用戶的身份認證。Portal認證的配置前提:
· Portal服務器、RADIUS服務器已安裝並配置成功。本地Portal認證無需單獨安裝Portal服務器。
· 若采用二次地址分配認證方式,接入設備需啟動DHCP中繼的安全地址匹配檢查功能,另外需要安裝並配置好DHCP服務器。(僅S5500-EI係列支持)
· 用戶、接入設備和各服務器之間路由可達。
· 如果通過遠端RADIUS服務器進行認證,則需要在RADIUS服務器上配置相應的用戶名和密碼,然後在接入設備端進行RADIUS客戶端的相關設置。RADIUS客戶端的具體配置請參見“安全配置指導”中的“AAA”。
· 如果需要支持Portal的擴展功能,需要安裝並配置CAMS EAD/iMC EAD。同時保證在接入設備上的ACL配置和安全策略服務器上配置的受限資源ACL號、非受限資源ACL號對應。接入設備上的安全策略服務器配置請參見“安全配置指導”中的“AAA”。
· 安全策略服務器的配置請參考CAMS EAD安全策略組件聯機幫助/iMC EAD安全策略組件聯機幫助。
· 受限資源ACL、非受限資源ACL分別對應安全策略服務器中的隔離ACL與安全ACL。
· 如果接入設備上的授權ACL配置被修改,則修改後的ACL不對已經在線的Portal用戶生效,隻能對新上線的Portal用戶有效。
· 為保證Portal認證可正常進行,請將接入設備係統名稱的長度限製在16個字符以內。
二層Portal認證使用本地Portal服務器,因此需要將設備上一個與Portal客戶端路由可達的三層接口IP地址指定為本地Portal服務器的監聽IP地址,並強烈建議使用設備上空閑的Loopback接口的IP地址,利用LoopBack接口狀態穩定的優點,避免因為接口故障導致用戶無法打開認證頁麵的問題。另外,由於發送到LoopBack接口的報文不會被轉發到網絡中,當請求上線的用戶數目較大時,可減輕對係統性能的影響。
表1-3 指定二層Portal認證的本地Portal服務器監聽IP地址
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
指定二層Portal認證的本地Portal服務器監聽IP地址 |
portal local-server ip ip-address |
必選 缺省情況下,沒有指定本地Portal服務器的監聽IP地址 |
已配置的本地Portal服務器監聽IP地址僅在二層Portal認證未在任何端口上使能時才可以被刪除或修改。
本配置用於指定Portal服務器的相關參數,主要包括服務器IP地址、共享加密密鑰、服務器端口號以及服務器提供的Web認證地址。
表1-4 指定三層Portal認證的Portal服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
指定三層Portal認證的Portal服務器 |
portal server server-name { ip ipv4-address [ key [ cipher | simple ] key-string | port port-id | url url-string | vpn-instance vpn-instance-name ] * | ipv6 ipv6-address [ key [ cipher | simple ] key-string | port port-id | url url-string ] * } |
必選 缺省情況下,沒有指定三層Portal認證的Portal服務器 |
· 已配置的Portal服務器參數僅在該Portal服務器未被接口引用時才可以被刪除或修改。
· 為保證設備能夠向MPLS VPN私網中的Portal服務器發送報文,指定Portal服務器時需指定服務器所屬的VPN且必須和該服務器所在的VPN保持一致。
本特性用於配合Portal本地認證,且僅在使用本地Portal服務器時必配。使用本地Portal服務器進行認證時,本地Portal服務器負責向用戶推出認證頁麵。認證頁麵的內容和樣式可自定義,若未配置自定義認證頁麵,則向用戶推出係統提供的缺省認證頁麵。
用戶自定義的認證頁麵為HTML文件的形式,壓縮後保存在本地設備的存儲設備中。每套認證頁麵可包括六個主索引頁麵(登錄頁麵、登錄成功頁麵、登錄失敗頁麵、在線頁麵、係統忙頁麵、下線成功頁麵)及其頁麵元素(認證頁麵需要應用的各種文件,如Logon.htm頁麵中的back.jpg),每個主索引頁麵可以引用若幹頁麵元素。若用戶隻自定義了部分主索引頁麵,則其餘主索引頁麵使用係統提供的缺省認證頁麵。
用戶在自定義這些頁麵時需要遵循一定的規範,否則會影響本地Portal服務器功能的正常使用和係統運行的穩定性。
主索引頁麵文件名不能自定義,必須使用表1-5中所列的固定文件名。
|
主索引頁麵 |
文件名 |
|
登錄頁麵 |
logon.htm |
|
登錄成功頁麵 |
logonSuccess.htm |
|
登錄失敗頁麵 |
logonFail.htm |
|
在線頁麵 用於提示用戶已經在線 |
online.htm |
|
係統忙頁麵 用於提示係統忙或者該用戶正在登錄過程中 |
busy.htm |
|
下線成功頁麵 |
logoffSuccess.htm |
主索引頁麵文件之外的其他文件名可由用戶自定義,但需注意文件名和文件目錄名中不能含有中文且不區分大小寫。
本地Portal服務器隻能接受Get請求和Post請求。
· Get請求用於獲取認證頁麵中的靜態文件,其內容不能為遞歸內容。例如,Logon.htm文件中包含了Get ca.htm文件的內容,但ca.htm文件中又包含了對Logon.htm的引用,這種遞歸引用是不允許的。
· Post請求用於用戶提交用戶名和密碼以及用戶執行登錄、下線操作。
(1) 認證頁麵中表單(Form)的編輯必須符合以下原則:
· 認證頁麵可以含有多個Form,但是必須有且隻有一個Form的action=logon.cgi,否則無法將用戶信息送到本地Portal服務器。
· 用戶名屬性固定為”PtUser”,密碼屬性固定為”PtPwd”。
· 需要有用於標記用戶登錄還是下線的屬性”PtButton”,取值為"Logon"表示登錄,取值為"Logoff"表示下線。
· 登錄Post請求必須包含”PtUser”,”PtPwd”和"PtButton"三個屬性。
· 下線Post請求必須包含”PtButton”這個屬性。
(2) 需要包含登錄Post請求的頁麵有logon.htm和logonFail.htm。
logon.htm頁麵腳本內容的部分示例:
<form action=logon.cgi method = post >
<p>User name:<input type="text" name = "PtUser" style="width:160px;height:22px" maxlength=64>
<p>Password :<input type="password" name = "PtPwd" style="width:160px;height:22px" maxlength=32>
<p><input type=SUBMIT value="Logon" name = "PtButton" style="width:60px;" onclick="form.action=form.action+location.search;>
</form>
(3) 需要包含下線Post請求的頁麵有logonSuccess.htm和online.htm。
online.htm頁麵腳本內容的部分示例:
<form action=logon.cgi method = post >
<p><input type=SUBMIT value="Logoff" name="PtButton" style="width:60px;">
</form>
· 完成所有認證頁麵的編輯之後,必須按照標準Zip格式將其壓縮到一個Zip文件中,該Zip文件的文件名隻能包含字母、數字和下劃線。缺省認證頁麵文件必須以defaultfile.zip為文件名保存。
· 壓縮後的Zip文件中必須直接包含認證頁麵,不允許存在間接目錄。
· 壓縮生成的Zip文件可以通過FTP或TFTP的方式上傳至設備,並保存在設備的指定目錄下。缺省認證頁麵文件必須保存在設備的根目錄下,非缺省認證頁麵文件可以保存在設備根目錄下或者根目錄的portal目錄下。
Zip文件保存目錄示例:
<Sysname> dir
Directory of flash:/portal/
0 -rw- 1405 Feb 28 2011 15:53:31 2.zip
1 -rw- 1405 Feb 28 2011 15:53:20 1.zip
2 -rw- 1405 Feb 28 2011 15:53:39 3.zip
3 -rw- 1405 Feb 28 2011 15:53:44 4.zip
2540 KB total (1319 KB free)
為了方便係統推出自定義的認證頁麵,認證頁麵在文件大小和內容上需要有如下限製:
· 每套頁麵(包括主索引頁麵文件及其頁麵元素)壓縮後的Zip文件大小不能超過500K字節。
· 每個單獨頁麵(包括單個主索引頁麵文件及其頁麵元素)壓縮前的文件大小不能超過50K字節。
· 頁麵元素隻能包含HTML、JS、CSS和圖片之類的靜態內容。
用戶認證成功後,係統會推出登錄成功頁麵(文件名為logonSuccess.htm),認證通過後再次通過登錄頁麵進行認證操作,係統會推出在線頁麵(文件名為online.htm)。若希望用戶關閉這兩個頁麵的同時,觸發設備執行強製當前在線用戶下線的操作,就需要按照如下要求在這兩個頁麵文件的腳本文件中增加如下內容。
(1) 添加對JS文件“pt_private.js”的引用;
(2) 添加觸發頁麵卸載的函數“pt_unload()”;
(3) 添加Form的提交事件處理函數“pt_submit()”;
(4) 添加頁麵加載的初始化函數“pt_init()”。
需要在logonSuccess.htm和online.htm頁麵腳本中增加的內容如示例中突出顯示部分:
<html>
<head>
<script type="text/javascript" language="javascript" src="pt_private.js"></script>
</head>
<body onload="pt_init();" onbeforeunload="return pt_unload();">
... ...
<form action=logon.cgi method = post onsubmit="pt_submit()">
... ...
</body>
</html>
若要支持認證成功後自定義認證頁麵的自動跳轉功能,即認證頁麵會在用戶認證成功後自動跳轉到設備指定的網站頁麵,則需要按照如下要求在認證頁麵logon.htm和logonSuccess.htm的腳本文件中做如下改動。
(1) 將logon.htm文件中的Form的target值設置為“blank”。
修改的腳本內容如下突出顯示部分所示:
<form method=post action=logon.cgi target="blank">
(2) logonSucceess.htm文件添加頁麵加載的初始化函數“pt_init()”。
增加的腳本內容如下突出顯示部分所示:
<html>
<head>
<title>LogonSuccessed</title>
<script type="text/javascript" language="javascript" src="pt_private.js"></script>
</head>
<body onload="pt_init();" onbeforeunload="return pt_unload();">
... ...
</body>
</html>
· 推薦使用IE6.0版本以上的瀏覽器。
· 需要用戶瀏覽器設置為允許彈出窗口,或者將設備的IP地址設置為允許彈出的網站地址。若瀏覽器禁止彈出窗口,則關閉登錄成功或在線頁麵時會提示用戶無法下線,用戶可以點擊“取消”回到原頁麵。
· 目前,僅IE瀏覽器、Firefox瀏覽器和Safari瀏覽器支持關閉登錄成功/在線頁麵後的強製用戶下線功能,而其它瀏覽器(例如Chrome瀏覽器、Opera瀏覽器等)均不支持該功能。
· 刷新登錄成功/在線頁麵或者使該頁麵跳轉到別的網站上時都會觸發強製用戶下線事件。
在本配置任務中,通過指定Portal客戶端和本地Portal服務器的之間采用的通信協議(HTTP或HTTPS),接入設備上的本地Portal服務器功能才能生效。
若指定本地Portal服務器支持的協議類型為HTTPS,則需要首先完成以下配置:
· 配置PKI策略,並成功申請本地證書和CA證書,具體配置請參見“安全配置指導”中的“PKI”。
· 配置SSL服務器端策略,並指定使用已配置的PKI域。具體配置請參見“安全配置指導”中的“SSL”。
由於指定本地Portal服務器支持的協議類型時,本地Portal服務器將同時加載已保存在根目錄的缺省認證頁麵文件,因此若需要使用自定義的缺省認證頁麵文件,則需要首先完成對它的編輯和保存工作,否則使用係統默認的缺省認證頁麵。
表1-6 配置本地Portal服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置本地Portal服務器支持的協議類型,並同時加載缺省認證頁麵文件 |
portal local-server { http | https server-policy policy-name } |
必選 缺省情況下,本地Portal服務器不支持任何協議類型 |
|
配置本地Portal服務器缺省認證頁麵的歡迎信息 |
portal server banner banner-string |
可選 缺省情況下,無Web頁麵歡迎信息 |
隻有在接口上使能了Portal認證,對接入用戶的Portal認證功能才能生效。
在使能二層Portal認證之前,需要滿足以下要求:
· 已經指定了本地Portal服務器的監聽IP地址;
· 未在任何接口上使能三層Portal認證。
表1-7 使能二層Portal認證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入二層以太網端口視圖 |
interface interface-type interface-number |
- |
|
在端口上使能二層Portal認證 |
portal local-server enable |
必選 缺省情況下,未使能二層Portal認證 |
· 為使二層端口上的Portal認證功能正常運行,不建議端口上同時使能端口安全、802.1X的Guest VLAN或802.1X的EAD快速部署功能。
· 若要支持授權VLAN下發功能,則需要在端口上使能MAC VLAN功能。
在使能三層Portal認證之前,需要滿足以下要求:
· 使能Portal的接口已配置或者獲取了合法的IP地址;
· 使能Portal的接口未加入聚合組;
· 接口上引用的Portal服務器名已經存在;
· 未在任何端口上使能二層Portal認證。
表1-8 使能三層Portal認證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
在接口上使能三層Portal認證 |
portal server server-name method { direct | layer3 | redhcp } |
必選 缺省情況下,沒有使能三層Portal認證 |
· 加入聚合組的三層接口不能使能Portal,反之亦然。
· 設備向Portal服務器主動發送報文時使用的目的端口號必須與遠程Portal服務器實際使用的端口號保持一致。
· 已配置的Portal服務器及其參數僅在該Portal服務器未被接口引用時才可以被刪除或修改。
· 對於跨三層設備支持Portal認證的應用隻能配置可跨三層Portal認證方式(portal server server-name method layer3),但可跨三層Portal認證方式不要求接入設備和Portal用戶之間必需跨越三層設備。
· 在二次地址分配認證方式下,允許用戶在未通過Portal認證時以公網地址向外發送報文,但相應的回應報文則受限製。
· IPv6 Portal 服務器不支持二次地址分配方式的Portal認證。
· 允許在接口上同時使能使用IPv4 Portal服務器的三層Portal認證和使用IPv6 Portal服務器的三層Portal認證。但是,不允許同時使能使用相同IP協議的Portal服務器的三層Portal認證。
通過配置免認證規則(free-rule)可以讓特定的用戶不需要通過Portal認證即可訪問外網特定資源,這是由免認證規則中配置的源信息以及目的信息決定的。
免認證規則的匹配項包括IP地址、TCP/UDP端口號、MAC地址、所連接設備的接口和VLAN,隻有符合免認證規則的用戶報文才不會觸發Portal認證,因此這些報文所屬的用戶才可以直接訪問網絡資源。
對於二層Portal認證,隻能配置從任意源地址(即source any)到任意或指定目的地址的免認證規則。配置了到指定目的地址的免認證規則後,用戶不需要通過Portal認證即可訪問指定目的網段或地址的網絡資源,且用戶訪問這些資源的HTTP請求不會被重定向到Portal認證頁麵上。通常,可以將一些提供特定服務器資源(例如軟件升級服務器)的IP地址指定為免認證規則的目的IP,便於二層Portal用戶在免認證的情況下獲取特定的服務資源。
表1-9 配置免認證規則
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置Portal的免認證規則 |
S5500-EI: portal free-rule rule-number { destination { any | ip { ip-address mask { mask-length | netmask } | any } [ tcp tcp-port-number | udp udp-port-number ] | ipv6 { ipv6-address prefix-length | any } } | source { any | [ interface interface-type interface-number | ip { ip-address mask { mask-length | netmask } | any } [ tcp tcp-port-number | udp udp-port-number ] | ipv6 { ipv6-address prefix-length | any } | mac mac-address | vlan vlan-id ] * } } * S5500-SI: portal free-rule rule-number { destination { any | ip { ip-address mask { mask-length | netmask } | any } } | source any } * |
必選 |
· 如果免認證規則中同時配置了vlan和interface項,則要求interface屬於該VLAN,否則該規則無效。
· 相同內容的免認證規則不能重複配置,否則提示免認證規則已存在或重複。
· 無論接口上是否使能Portal認證,隻能添加或者刪除免認證規則,不能修改。
· 加入聚合組的二層接口不能被指定為免認證規則的源接口,反之亦然。
本特性僅三層Portal認證支持。
通過配置源認證網段實現隻允許在源認證網段範圍內的用戶HTTP報文才能觸發Portal認證。如果未認證用戶的HTTP報文既不滿足免認證規則又不在源認證網段內,則將被接入設備丟棄。
表1-10 配置源認證網段
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置源認證網段 |
portal auth-network { ipv4-network-address { mask-length | mask } | ipv6 ipv6-network-address prefix-length } |
可選 缺省情況下,缺省情況下,源IPv4認證網段為0.0.0.0/0,源IPv6認證網段為::/0,表示對來自任意網段的用戶都進行Portal認證 |
· 源認證網段配置僅對可跨三層Portal認證有效。直接認證方式的認證網段為任意源IP,二次地址分配方式的認證網段為由接口私網IP決定的私網網段。
· 可通過多次執行本命令,配置多個源認證網段。
通過該配置可以控製係統中的Portal接入用戶總數。
表1-11 配置Portal最大用戶數
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置Portal最大用戶數 |
portal max-user max-number |
必選 缺省情況下,S5500-EI係列以太網交換機的Portal最大用戶數為3000,S5500-SI係列以太網交換機的Portal最大用戶數為1000 |
· 交換機實際下發的Portal最大的用戶數和設備的ACL資源有關。
· 如果配置的Portal最大用戶數小於當前已經在線的Portal用戶數,則該命令可以執行成功,且在線Portal用戶不受影響,但係統將不允許新的Portal用戶接入。
通過在指定接口上配置Portal用戶使用的認證域,使得所有從該接口接入的Portal用戶被強製使用指定的認證域來進行認證、授權和計費。即使Portal用戶輸入的用戶名中攜帶的域名相同,接入設備的管理員也可以通過該配置對不同接口指定不同的認證域,從而增加了管理員部署Portal接入策略的靈活性。
表1-12 指定Portal用戶使用的認證域
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
指定Portal用戶使用的認證域 |
portal domain [ ipv6 ] domain-name |
必選 缺省情況下,未指定Portal用戶使用的認證域 僅S5500-EI係列支持ipv6參數 |
從指定接口上接入的Portal用戶將按照如下先後順序選擇認證域:接口上指定的ISP域-->用戶名中攜帶的ISP域-->係統缺省的ISP域。關於缺省ISP域的相關介紹請參見“安全配置指導”中的“AAA”。
對於二層Portal認證,缺省情況下,設備不支持配置了Web代理服務器的用戶瀏覽器發起的Portal認證。若用戶使用配置了Web代理服務器的瀏覽器上網,則用戶的這類HTTP請求報文將被丟棄,而不能觸發Portal認證。這種情況下,網絡管理員可以通過在設備上添加Web代理服務器端口號,來允許使用Web代理服務器的用戶瀏覽器發起的HTTP請求也可以觸發Portal認證。
表1-13 配置允許觸發Portal認證的Web代理服務器端口
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
添加允許觸發Portal認證的Web代理服務器端口 |
portal web-proxy port port-number |
必選 缺省情況下,不存在允許觸發Portal認證的Web代理服務器端口 |
· 如果用戶瀏覽器采用WPAD(Web Proxy Auto-Discovery,Web代理服務器自動發現)方式自動配置Web代理,則不僅需要網絡管理員在設備上添加Web代理服務器端口,還需要配置免認證規則,允許目的IP為WPAD主機IP地址的用戶報文免認證。
· 除了網絡管理員需要在設備上添加指定的Web代理服務器端口,還需要用戶在瀏覽器上將設備的本地Portal服務器監聽IP地址配置為Web代理服務器的例外地址,避免Portal用戶發送給本地Portal服務器的HTTP報文被發送到Web代理服務器上,從而影響正常的Portal認證。
本特性僅二層Portal認證支持。
在用戶和設備之間存在Hub、二層交換機或AP的組網環境下,若在線用戶在未下線的情況下從同一設備上的當前認證端口離開並遷移到其它使能了二層Portal的認證端口上接入時,由於原端口上仍然存在該用戶的認證信息,因此設備默認不允許用戶在新端口上認證上線。
開啟本功能後,設備允許在線用戶離開當前端口後在新端口上上線,具體分為以下兩種情況:
· 若原認證端口狀態未down,且用戶先後接入的兩個端口屬於同一個VLAN,則用戶不需要重新認證就能夠繼續以在線狀態在新的端口上訪問網絡,並按照新的端口信息繼續計費;
· 若原認證端口狀態變為down,或者原認證端口狀態未down但是兩個認證端口所屬的VLAN不同,則設備會將用戶在原端口上的認證信息刪除掉,並要求用戶在新端口上重新進行認證。
表1-14 配置Portal用戶認證端口的自動遷移功能
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟Portal用戶認證端口的自動遷移功能 |
portal move-mode auto |
必選 缺省情況下,Portal用戶認證端口的自動遷移功能處於關閉狀態 |
用戶遷移到新端口上之後,若設備發現該用戶具有授權屬性(例如授權VLAN),則設備會嚐試在新的端口上添加該用戶的授權信息,若授權信息添加失敗,設備會刪除原端口上的用戶信息,要求用戶重新進行認證。
本特性僅二層Portal認證支持。
通過該配置可以指定Portal用戶認證失敗後加入的VLAN。
進行本配置之前,請首先創建需要配置為Auth-Fail VLAN的VLAN。
表1-15 配置Portal認證的Auth-Fail VLAN
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入二層以太網接口視圖 |
interface interface-type interface-number |
- |
|
配置端口的Portal認證的Auth-Fail VLAN |
portal auth-fail vlan authfail-vlan-id |
必選 缺省情況下,端口沒有配置Portal認證的Auth-Fail VLAN |
· 為使端口的Portal認證的Auth-Fail VLAN生效,還必須使能端口上的MAC VLAN功能。MAC VLAN功能的具體配置請參考“二層技術-以太網交換配置指導”中的“VLAN”。
· 不同的端口可以配置不同的Portal認證的Auth-Fail VLAN,但一個端口最多隻能配置一個Portal認證的Auth-Fail VLAN。
· 端口上Portal認證失敗產生的MAC VLAN表項不會覆蓋已存在的其它認證方式產生的MAC VLAN表項。
本特性僅三層Portal認證支持。
RADIUS標準屬性NAS-Port-Type用於表示用戶接入的端口類型。當接口上有Portal用戶上線時候,若該接口上配置了NAS-Port-Type,則使用本命令配置的值作為向RADIUS服務器發送的RADIUS請求報文的NAS-Port-Type屬性值,否則使用接入設備獲取到的用戶接入的端口類型填充該屬性。
若作為Portal認證接入設備的BAS(Broadband Access Server,寬帶接入服務器)與Portal客戶端之間跨越了多個網絡設備,則可能無法正確獲取到接入用戶的實際端口信息,例如對於Portal認證接入的無線客戶端,BAS獲取到的接入端口類型有可能是設備上認證該用戶的有線接口類型。因此,為保證BAS能夠向RADIUS服務器正確傳遞用戶的接入端口信息,需要網絡管理員在了解用戶的實際接入環境後,通過本命令指定相應的NAS-Port-Type。
表1-16 配置接口的NAS-Port-Type
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置接口的NAS-Port-Type |
portal nas-port-type { ethernet | wireless } |
必選 缺省情況下,未指定接口的NAS-Port-Type |
在某些組網環境下,依靠VLAN來確定用戶的接入位置,網絡運營商需要使用NAS-Identifier來標識用戶的接入位置。當接口上有Portal用戶上線時,若該接口上指定了NAS-ID Profile,則接入設備會根據指定的Profile名字和用戶接入的VLAN來獲取與此VLAN綁定的NAS-ID,此NAS-ID的值將作為向RADIUS服務器發送的RADIUS請求報文中的NAS-Identifier屬性值。
本特性中指定的Profile名字用於標識VLAN和NAS-ID的綁定關係,該綁定關係由AAA中的nas-id id-value bind vlan vlan-id命令生成,有關該命令的具體情況請參見“安全命令參考”中的“AAA”。
在接口上未指定NAS-ID Profile或指定的Profile中沒有找到匹配的綁定關係的情況下,使用設備名作為接口的NAS-ID。
表1-17 配置接口的NAS-ID Profile
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建NAS-ID Profile,並進入NAS-ID-Profile視圖 |
aaa nas-id profile profile-name |
必選 該命令的具體情況請參見“安全命令參考”中的“AAA” |
|
設置NAS-ID與VLAN的綁定關係 |
nas-id nas-identifier bind vlan vlan-id |
必選 該命令的具體情況請參見“安全命令參考”中的“AAA” |
|
退出當前視圖 |
quit |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
指定接口的NAS-ID Profile |
portal nas-id-profile profile-name |
必選 缺省情況下,未指定NAS-ID Profile |
本特性僅三層Portal認證支持。
通過在使能Portal的接口上配置發送Portal報文使用的源地址,可以保證接入設備以此IP地址為源地址向Portal服務器發送報文,且Portal服務器向接入設備回應的報文以此IP地址為目的地址。
表1-18 配置接口發送Portal報文使用的源地址
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置接口發送Portal報文使用的源地址 |
portal nas-ip { ipv4-address | ipv6 ipv6-address } |
可選 缺省情況下,未指定接口發送Portal報文使用的源地址,即以接入用戶的接口地址作為發送Portal報文的源地址 在NAT組網環境下,此地址建議配置為接口的公網IP地址 |
本特性僅三層Portal認證支持。
為實現Portal支持雙機熱備,在保證實現業務流量切換的VRRP機製工作正常的前提下,還需要完成以下配置任務:
· 指定備份Portal業務所涉及的接口,本文簡稱為業務備份接口,並在該業務備份接口上使能Portal。
· 配置業務備份接口所屬的Portal備份組,兩台設備上有備份關係的業務備份接口屬於同一個Portal備份組。
· 配置雙機熱備模式下的設備ID,保證設備上用戶的全局唯一性,該設備ID必須不同於對端的設備ID。
· 配置設備發送RADIUS報文的備份源IP地址,使得對端設備也能夠收到服務器發送的報文。備份源IP地址必須指定為對端設備發送RADIUS報文使用的源IP地址。(此配置可選)
· 指定備份VLAN,並使能雙機熱備功能,相關配置請參考“可靠性配置指導”的“雙機熱備”。
對端設備上也需要完成以上配置,才能保證雙機熱備環境下的Portal業務備份正常進行。
當雙機工作狀態由獨立運行狀態轉換為同步運行狀態,且Portal備份組已生效時,兩台設備上已經上線的Portal用戶數據會開始進行相互的備份。
表1-19 配置Portal支持雙機熱備
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置業務備份接口所屬的Portal備份組 |
portal backup-group group-id |
必選 缺省情況下,業務備份接口不屬於任何Portal備份組 相互備份的兩台設備上業務備份接口所屬的Portal備份組必須相同 |
|
退回係統視圖 |
quit |
- |
|
配置雙機熱備模式下的設備ID |
nas device-id device-id |
必選 缺省情況下,設備運行在單機模式下,無設備ID 具體配置請參考“安全命令參考”中的“AAA” |
|
指定設備發送RADIUS報文使用的備份源IP地址 |
radius nas-backup-ip ip-address |
二者可選其一 缺省情況下,未指定發送RADIUS報文使用的備份源IP地址 若將設備發送RADIUS報文使用的源IP地址指定為VRRP上行鏈路所在備份組的虛擬IP地址,則不需要本配置 具體配置請參考“安全命令參考”中的“AAA” |
|
radius scheme radius-scheme-name nas-backup-ip ip-address |
· 雙機熱備模式下,設備不支持業務備份接口使能二次地址方式的Portal認證。
· 工作於雙機熱備模式下的任何一台設備上的用戶被強製下線,都會導致另外一台設備上的相同用戶信息同時被刪除。設備和Portal服務器上均可執行強製用戶下線操作,例如,設備上可通過執行命令cut connetion、portal delete-user來強製用戶下線。
· 互為備份的兩台設備上的AAA及Portal的相關配置必須保持一致,比如兩台設備上都必須配置相同的Portal服務器。
· 由於配置或改變設備的設備ID會導致設備上所有在線用戶被強製下線,因此需慎重操作,並建議該配置成功執行後,保存配置並重啟設備。
· 在雙機熱備運行的情況下,不要刪除已配置的備份源IP地址,否則可能會導致備份設備上的在線用戶無法收到服務器發送的報文。
未認證用戶上網時,首先會主動或被強製登錄到Portal認證頁麵進行認證,當用戶輸入正確的認證信息且認證成功後,若設備上指定了認證頁麵的自動跳轉目的網站地址,則認證成功的用戶將在一定的時間間隔(由wait-time參數配置)之後被強製登錄到該指定的目的網站頁麵。
表1-20 指定Portal用戶認證成功後認證頁麵的自動跳轉目的URL
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
指定Portal用戶認證成功後認證頁麵的自動跳轉目的網站地址 |
portal redirect-url url-string [ wait-time period ] |
必選 缺省情況下,用戶認證成功後認證頁麵將會跳轉到用戶初始訪問的網站頁麵 |
· 對於三層遠程Portal認證,該特性需要與支持自動跳轉頁麵功能的iMC Portal服務器配合使用。
· wait-time參數隻對本地Portal認證有效,對於遠程Portal認證無效。
· 本地Portal認證時,若用戶初始訪問的頁麵URL長度超過255個字符,則在未指定跳轉目的網站地址的情況下,用戶認證成功之後的認證頁麵無法返回到初始頁麵。
本特性僅二層Portal認證支持。
二層端口上有Portal用戶上線後,設備會啟動一個用戶在線檢測定時器,定期對該端口上的所有在線用戶的MAC地址表項進行檢測,查看定時器超時前該用戶是否有報文發送到設備上(該用戶MAC地址表項是否被命中過),來確認該用戶是否在線,以便及時發現異常離線用戶。若發現某用戶MAC地址表項已經被老化或檢測間隔內未收到過該用戶的報文,則認為一次檢測失敗,連續兩次檢測失敗後,設備會強製該用戶下線。
表1-21 配置二層Portal用戶在線檢測時間間隔
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置二層Portal用戶在線檢測時間間隔 |
portal offline-detect interval offline-detect-interval |
必選 缺省情況下,二層Portal用戶在線檢測時間間隔為300秒 |
本特性僅三層Portal認證支持。
在Portal認證的過程中,如果接入設備與Portal服務器的通信中斷,則會導致新用戶無法上線,已經在線的Portal用戶無法正常下線的問題。為解決這些問題,需要接入設備能夠及時探測到Portal服務器可達狀態的變化,並能觸發執行相應的操作來應對這種變化帶來的影響。例如,當接入設備發現Portal服務器不可達時,可打開網絡限製,允許Portal用戶不需經過認證即可訪問網絡資源,也就是通常所說的Portal逃生功能,該功能為一種靈活的用戶接入方案。
通過配置本特性,設備可以對指定Portal服務器的可達狀態進行探測,具體配置包括如下幾項:
(1) 探測方式(可以選擇其中一種或同時使用兩種)
· 探測HTTP連接:接入設備定期向Portal服務器的HTTP服務端口發起TCP連接,若連接成功建立則表示此服務器的HTTP服務已開啟,就認為一次探測成功且服務器可達。若連接失敗則認為一次探測失敗。
· 探測Portal心跳報文:支持Portal逃生心跳功能的Portal服務器(目前僅iMC支持)會定期向接入設備發送Portal心跳報文,設備通過檢測此報文來判斷服務器的可達狀態:若設備在指定的周期內收到Portal心跳報文或者其它認證報文,且驗證其正確,則認為此次探測成功且服務器可達,否則認為此次探測失敗。
(2) 探測參數
· 探測間隔:進行探測嚐試的時間間隔。
· 失敗探測的最大次數:允許連續探測失敗的最大次數。若連續探測失敗數目達到此值,則認為服務器不可達。
(3) 可達狀態改變時觸發執行的操作(可以選擇其中一種或同時使用多種)
· 發送Trap:Portal服務器可達或者不可達的狀態改變時,向網管服務器發送Trap信息。Trap信息中記錄了Portal服務器名以及該服務器的當前狀態。
· 發送日誌:Portal服務器可達或者不可達的狀態改變時,發送日誌信息。日誌信息中記錄了Portal服務器名以及該服務器狀態改變前後的狀態。
· 打開網絡限製(Portal逃生):Portal服務器不可達時,暫時取消端口進行的Portal認證,允許該端口接入的所有Portal用戶訪問網絡資源。之後,若設備收到Portal服務器的心跳報文,或者收到其它認證報文(上線報文、下線報文等),則恢複該端口的Portal認證功能。
對於以上配置項,可根據實際情況進行組合使用,但需要注意以下幾點:
· 如果同時指定了兩種探測方式,則隻要使用任何一種探測方式進行探測的失敗次數達到最大值就認為服務器不可達。在服務器不可達狀態下,隻有使用兩種探測方式的探測都成功才能認為服務器恢複為可達狀態。
· 如果同時指定了多種操作,則Portal服務器可達狀態改變時係統可並發執行多種操作。
· 對指定Portal服務器配置的探測功能,隻有接口上使能了Portal認證並引用該Portal服務器之後才能生效。
表1-22 配置Portal服務器探測功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置對Portal服務器的探測功能 |
portal server server-name server-detect method { http | portal-heartbeat } * action { log | permit-all | trap } * [ interval interval ] [ retry retries ] |
必選 缺省情況下,未配置對Portal服務器的探測功能 本命令中指定的Portal服務器必須已經存在 |
隻有對於支持Portal逃生心跳功能(目前僅iMC的Portal服務器支持)的Portal服務器,portal-heartbeat類型的探測方法才有效。為了配合此類型的探測,還需要在Portal服務器上選擇支持逃生心跳功能,並要求此處的interval與retry參數值的乘積大於等於Portal服務器上的逃生心跳間隔時長,其中interval取值最好大於Portal服務器的逃生間隔時長。
本特性僅三層Portal認證支持。
為了解決接入設備與Portal服務器通信中斷後,兩者的Portal用戶信息不一致問題,設備提供了一種Portal用戶信息同步功能。該功能利用了Portal同步報文的發送及檢測機製,具體實現如下:
(1) 由Portal服務器周期性地(周期為Portal服務器上指定的用戶心跳間隔值)將在線用戶信息通過用戶同步報文發送給接入設備;
(2) 接入設備檢測到該用戶同步報文後,將其中攜帶的用戶信息與自己的用戶信息進行對比,如果發現同步報文中有設備上不存在的用戶信息,則將這些自己沒有的用戶信息反饋給Portal 服務器,Portal服務器將刪除這些用戶信息;如果發現接入設備上的某用戶信息在連續N(N為retry參數的取值)個周期內,都未在該Portal服務器發送過來的用戶同步報文中出現過,則認為Portal服務器上已不存在該用戶,設備將強製該用戶下線。
表1-23 配置Portal用戶同步功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置Portal用戶同步功能 |
portal server server-name user-sync [ interval interval ] [ retry retries ] |
必選 缺省情況下,未配置Portal用戶同步功能 本命令中指定的Portal服務器必須已經存在 隻有在指定的Portal服務器已經在接口上使能的情況下,本功能才能生效 |
· 隻有在支持Portal用戶心跳功能(目前僅iMC的Portal服務器支持)的Portal服務器的配合下,本功能才有效。為了實現該功能,還需要在Portal服務器上選擇支持用戶心跳功能,並要求此處的interval與retry參數值的乘積應該大於等於Portal服務器上的用戶心跳間隔時長,其中interval取值最好大於Portal服務器的用戶心跳間隔時長。
· 對於設備上多餘的用戶信息,即在N個周期後被判定為Portal服務器上已不存在的用戶信息,設備會在第N+1個周期內的某時刻將其刪除掉。
通過配置強製用戶下線可以終止對指定IP地址用戶的認證過程,或者將已經通過認證的指定IP地址的用戶刪除。
表1-24 配置強製用戶下線
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
強製接入設備上的用戶下線 |
portal delete-user { ipv4-address | all | interface interface-type interface-number | ipv6 ipv6-address } |
必選 僅S5500-EI係列支持ipv6 ipv6-address參數 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後Portal的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除Portal統計信息。
表1-25 Portal顯示和維護
|
操作 |
命令 |
|
顯示接口上Portal的ACL信息(僅S5500-EI係列支持) |
display portal acl { all | dynamic | static } interface interface-type interface-number [ | { begin | exclude | include } regular-expression ] |
|
顯示接口上Portal的連接統計信息(僅S5500-EI係列支持) |
display portal connection statistics { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ] |
|
顯示Portal的免認證規則信息 |
display portal free-rule [ rule-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示指定接口的Portal配置信息 |
display portal interface interface-type interface-number [ | { begin | exclude | include } regular-expression ] |
|
顯示本地Portal服務器信息 |
display portal local-server [ | { begin | exclude | include } regular-expression ] |
|
顯示Portal服務器信息(僅S5500-EI係列支持) |
display portal server [ server-name ] [ | { begin | exclude | include } regular-expression ] |
|
顯示接口上Portal服務器的統計信息(僅S5500-EI係列支持) |
display portal server statistics { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ] |
|
顯示TCP仿冒統計信息 |
display portal tcp-cheat statistics [ | { begin | exclude | include } regular-expression ] |
|
顯示Portal用戶的信息 |
display portal user { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ] |
|
清除接口上Portal的連接統計信息(僅S5500-EI係列支持) |
reset portal connection statistics {all | interface interface-type interface-number } |
|
清除接口上Portal服務器的統計信息(僅S5500-EI係列支持) |
reset portal server statistics { all | interface interface-type interface-number } |
|
清除TCP仿冒統計信息 |
reset portal tcp-cheat statistics |
目前,S5500係列以太網交換機中,S5500-EI係列以太網交換機支持Portal的二層認證方式和三層認證方式;S5500-SI係列以太網交換機僅支持二層Portal認證方式。因此本小節中,僅1.16.9 配置二層Portal認證適用於S5500-SI係列以太網交換機。
· 用戶主機與接入設備Switch直接相連,采用直接方式的Portal認證。用戶通過手工配置或DHCP獲取的一個公網IP地址進行認證,在通過Portal認證前,隻能訪問Portal服務器;在通過Portal認證後,可以使用此IP地址訪問非受限互聯網資源。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-10 配置Portal直接認證組網圖
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
(1) 配置Portal server(iMC PLAT 5.0)
下麵以iMC為例(使用iMC版本為:iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)),說明Portal server的基本配置。
# 配置Portal服務器。
登錄進入iMC管理平台,選擇“業務”頁簽,單擊導航樹中的[Portal服務器管理/服務器配置]菜單項,進入服務器配置頁麵。
· 根據實際組網情況調整以下參數,本例中使用缺省配置。
圖1-11 Portal服務器配置頁麵
# 配置IP地址組。
單擊導航樹中的[Portal服務器管理/IP地址組配置]菜單項,進入Portal IP地址組配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加IP地址組配置頁麵。
· 填寫IP地址組名;
· 輸入起始地址和終止地址。用戶主機IP地址必須包含在該IP地址組範圍內;
· 選擇業務分組,本例中使用缺省的“未分組”;
· 選擇IP地址組的類型為“普通”。
圖1-12 增加IP地址組配置頁麵
# 增加Portal設備。
單擊導航樹中的[Portal服務器管理/設備配置]菜單項,進入Portal設備配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加設備信息配置頁麵。
· 填寫設備名;
· 指定IP地址為與接入用戶相連的設備接口IP;
· 輸入密鑰,與接入設備Switch上的配置保持一致;
· 選擇是否進行二次地址分配,本例中為直接認證,因此為否;
· 選擇是否支持逃生心跳功能和用戶心跳功能,本例中不支持。
圖1-13 增加設備信息配置頁麵
# Portal設備關聯IP地址組
在Portal設備配置頁麵中的設備信息列表中,點擊NAS設備的<端口組信息管理>鏈接,進入端口組信息配置頁麵。
圖1-14 設備信息列表
在端口組信息配置頁麵中點擊<增加>按鈕,進入增加端口組信息配置頁麵。
· 填寫端口組名;
· 選擇IP地址組,用戶接入網絡時使用的IP地址必須屬於所選的IP地址組;
· 其它參數采用缺省值。
圖1-15 增加端口組信息配置頁麵
# 最後單擊導航樹中的[業務參數配置/係統配置手工生效]菜單項,使以上Portal服務器配置生效。
(2) 配置Switch
· 配置RADIUS方案
# 創建名字為rs1的RADIUS方案並進入該方案視圖。
<Switch> system-view
[Switch] radius scheme rs1
# 配置RADIUS方案的服務器類型。使用CAMS/iMC服務器時,RADIUS服務器類型應選擇extended。
[Switch-radius-rs1] server-type extended
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[Switch-radius-rs1] primary authentication 192.168.0.112
[Switch-radius-rs1] primary accounting 192.168.0.112
[Switch-radius-rs1] key authentication simple radius
[Switch-radius-rs1] key accounting simple radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[Switch-radius-rs1] user-name-format without-domain
[Switch-radius-rs1] quit
· 配置認證域
# 創建並進入名字為dm1的ISP域。
[Switch] domain dm1
# 配置ISP域的AAA方法。
[Switch-isp-dm1] authentication portal radius-scheme rs1
[Switch-isp-dm1] authorization portal radius-scheme rs1
[Switch-isp-dm1] accounting portal radius-scheme rs1
[Switch-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[Switch] domain default enable dm1
· 配置Portal認證
# 配置Portal服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,端口為50100,URL為http://192.168.0.111:8080/portal。(Portal服務器的URL請與實際環境中的Portal服務器配置保持一致,此處僅為示例)
[Switch] portal server newpt ip 192.168.0.111 key simple portal port 50100 url http://192.168.0.111:8080/portal
# 在與用戶Host相連的接口上使能Portal認證。
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] portal server newpt method direct
[Switch] quit
· 用戶主機與接入設備Switch直接相連,采用二次地址分配方式的Portal認證。用戶通過DHCP服務器獲取IP地址,Portal認證前使用分配的一個私網地址;通過Portal認證後,用戶申請到一個公網地址,才可以訪問非受限互聯網資源。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-16 配置Portal二次地址分配認證組網圖
· Portal二次地址分配認證方式應用中,DHCP服務器上需創建公網地址池(20.20.20.0/24)及私網地址池(10.0.0.0/24),具體配置略。
· Portal二次地址分配認證方式應用中,接入設備上需要配置DHCP中繼來配合Portal認證,且啟動Portal的接口需要配置主IP地址(公網IP)及從IP地址(私網IP)。關於DHCP中繼的詳細配置請參見“三層技術-IP業務配置指導”中的“DHCP中繼”。
· 請保證在Portal服務器上添加的Portal設備的IP地址為與用戶相連的接口的公網IP地址(20.20.20.1),且與該Portal設備關聯的IP地址組中的轉換前地址為用戶所在的私網網段(10.0.0.0/24)、轉換後地址為公網網段(20.20.20.0/24)。
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
在Switch上進行以下配置。
(1) 配置RADIUS方案
# 創建名字為rs1的RADIUS方案並進入該方案視圖。
<Switch> system-view
[Switch] radius scheme rs1
# 配置RADIUS方案的服務器類型。使用CAMS/iMC服務器時,RADIUS服務器類型應選擇extended。
[Switch-radius-rs1] server-type extended
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[Switch-radius-rs1] primary authentication 192.168.0.113
[Switch-radius-rs1] primary accounting 192.168.0.113
[Switch-radius-rs1] key authentication simple radius
[Switch-radius-rs1] key accounting simple radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[Switch-radius-rs1] user-name-format without-domain
[Switch-radius-rs1] quit
(2) 配置認證域
# 創建並進入名字為dm1的ISP域。
[Switch] domain dm1
# 配置ISP域的AAA方法。
[Switch-isp-dm1] authentication portal radius-scheme rs1
[Switch-isp-dm1] authorization portal radius-scheme rs1
[Switch-isp-dm1] accounting portal radius-scheme rs1
[Switch-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[Switch] domain default enable dm1
(3) 配置Portal認證
# 配置Portal服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,端口為50100,URL為http://192.168.0.111:8080/portal(請根據Portal服務器的實際情況配置,此處僅為示例)。
[Switch] portal server newpt ip 192.168.0.111 key simple portal port 50100 url http://192.168.0.111:8080/portal
# 配置DHCP中繼,並啟動DHCP中繼的安全地址匹配檢查功能。
[Switch] dhcp enable
[Switch] dhcp relay server-group 0 ip 192.168.0.112
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] ip address 20.20.20.1 255.255.255.0
[Switch–Vlan-interface100] ip address 10.0.0.1 255.255.255.0 sub
[Switch-Vlan-interface100] dhcp select relay
[Switch-Vlan-interface100] dhcp relay server-select 0
[Switch-Vlan-interface100] dhcp relay address-check enable
# 在與用戶Host相連的接口上使能Portal認證。
[Switch–Vlan-interface100] portal server newpt method redhcp
[Switch–Vlan-interface100] quit
Switch A支持Portal認證功能。用戶Host通過Switch B接入到Switch A。
· 配置Switch A采用可跨三層Portal認證。用戶在未通過Portal認證前,隻能訪問Portal服務器;用戶通過Portal認證後,可以訪問非受限互聯網資源。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-17 配置可跨三層Portal認證組網圖
· 請保證在Portal服務器上添加的Portal設備的IP地址為與用戶相連的接口IP地址(20.20.20.1),且與該Portal設備關聯的IP地址組為用戶所在網段(8.8.8.0/24)。
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
在Switch A上進行以下配置。
(1) 配置RADIUS方案
# 創建名字為rs1的RADIUS方案並進入該方案視圖。
<SwitchA> system-view
[SwitchA] radius scheme rs1
# 配置RADIUS方案的服務器類型。使用CAMS/iMC服務器時,RADIUS服務器類型應選擇extended。
[SwitchA-radius-rs1] server-type extended
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[SwitchA-radius-rs1] primary authentication 192.168.0.112
[SwitchA-radius-rs1] primary accounting 192.168.0.112
[SwitchA-radius-rs1] key authentication simple radius
[SwitchA-radius-rs1] key accounting simple radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[SwitchA-radius-rs1] user-name-format without-domain
[SwitchA-radius-rs1] quit
(2) 配置認證域
# 創建並進入名字為dm1的ISP域。
[SwitchA] domain dm1
# 配置ISP域的AAA方法。
[SwitchA-isp-dm1] authentication portal radius-scheme rs1
[SwitchA-isp-dm1] authorization portal radius-scheme rs1
[SwitchA-isp-dm1] accounting portal radius-scheme rs1
[SwitchA-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[SwitchA] domain default enable dm1
(3) 配置Portal認證
# 配置Portal服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,端口為50100,URL為http://192.168.0.111:8080/portal(請根據Portal服務器的實際情況配置,此處僅為示例)。
[SwitchA] portal server newpt ip 192.168.0.111 key simple portal port 50100 url http://192.168.0.111:8080/portal
# 在與Switch B相連的接口上使能Portal認證。
[SwitchA] interface vlan-interface 4
[SwitchA–Vlan-interface4] portal server newpt method layer3
[SwitchA–Vlan-interface4] quit
Switch B上需要配置到192.168.0.0/24網段的缺省路由,下一跳為20.20.20.1,具體配置略。
· 用戶主機與接入設備Switch直接相連,采用直接方式的Portal認證。用戶通過手工配置或DHCP獲取的一個公網IP地址進行認證,在通過身份認證而沒有通過安全認證時可以訪問192.168.0.0/24網段;在通過安全認證後,可以訪問非受限互聯網資源。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-18 配置Portal直接認證擴展功能組網圖
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
在Swtich上進行以下配置。
(1) 配置RADIUS方案
# 創建名字為rs1的RADIUS方案並進入該方案視圖。
<Switch> system-view
[Switch] radius scheme rs1
# 配置RADIUS方案的服務器類型。使用CAMS/iMC服務器時,RADIUS服務器類型應選擇extended。
[Switch-radius-rs1] server-type extended
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[Switch-radius-rs1] primary authentication 192.168.0.112
[Switch-radius-rs1] primary accounting 192.168.0.112
[Switch-radius-rs1] key accounting simple radius
[Switch-radius-rs1] key authentication simple radius
[Switch-radius-rs1] user-name-format without-domain
# 配置RADIUS方案的安全策略服務器。
[Switch-radius-rs1] security-policy-server 192.168.0.113
[Switch-radius-rs1] quit
(2) 配置認證域
# 創建並進入名字為dm1的ISP域。
[Switch] domain dm1
# 配置ISP域的AAA方法。
[Switch-isp-dm1] authentication portal radius-scheme rs1
[Switch-isp-dm1] authorization portal radius-scheme rs1
[Switch-isp-dm1] accounting portal radius-scheme rs1
[Switch-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[Switch] domain default enable dm1
(3) 配置受限資源對應的ACL為3000,非受限資源對應的ACL為3001
安全策略服務器上需要將ACL 3000和ACL 3001分別指定為隔離ACL和安全ACL。
[Switch] acl number 3000
[Switch-acl-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255
[Switch-acl-adv-3000] rule deny ip
[Switch-acl-adv-3000] quit
[Switch] acl number 3001
[Switch-acl-adv-3001] rule permit ip
[Switch-acl-adv-3001] quit
(4) 配置Portal認證
# 配置Portal服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,端口為50100,URL為http://192.168.0.111:8080/portal(請根據Portal服務器的實際情況配置,此處僅為示例)。
[Switch] portal server newpt ip 192.168.0.111 key simple portal port 50100 url http://192.168.0.111:8080/portal
# 在與用戶Host相連的接口上使能Portal認證。
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] portal server newpt method direct
[Switch] quit
· 用戶主機與接入設備Switch直接相連,采用二次地址分配方式的Portal認證。用戶通過DHCP服務器獲取IP地址,Portal認證前使用分配的一個私網地址;通過Portal認證後,用戶申請到一個公網地址。
· 用戶在通過身份認證而沒有通過安全認證時可以訪問192.168.0.0/24網段;用戶通過安全認證後,可以訪問非受限互聯網資源。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-19 配置Portal二次地址分配認證擴展功能組網圖
· Portal二次地址分配認證方式應用中,DHCP服務器上需創建公網地址池(20.20.20.0/24)及私網地址池(10.0.0.0/24),具體配置略。
· Portal二次地址分配認證方式應用中,接入設備上需要配置DHCP中繼來配合Portal認證,且啟動Portal的接口需要配置主IP地址(公網IP)及從IP地址(私網IP)。關於DHCP中繼的詳細配置請參見“三層技術-IP業務配置指導”中的“DHCP中繼”。
· 請保證在Portal服務器上添加的Portal設備的IP地址為與用戶相連的接口的公網IP地址(20.20.20.1),且與該Portal設備關聯的IP地址組中的轉換前地址為用戶所在的私網網段(10.0.0.0/24)、轉換後地址為公網網段(20.20.20.0/24)。
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
在Switch上進行以下配置。
(1) 配置RADIUS方案
# 創建名字為rs1的RADIUS方案並進入該方案視圖。
<Switch> system-view
[Switch] radius scheme rs1
# 配置RADIUS方案的服務器類型。使用CAMS/iMC服務器時,RADIUS服務器類型應選擇extended。
[Switch-radius-rs1] server-type extended
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[Switch-radius-rs1] primary authentication 192.168.0.113
[Switch-radius-rs1] primary accounting 192.168.0.113
[Switch-radius-rs1] key accounting simple radius
[Switch-radius-rs1] key authentication simple radius
[Switch-radius-rs1] user-name-format without-domain
# 配置RADIUS方案的安全策略服務器。
[Switch-radius-rs1] security-policy-server 192.168.0.114
[Switch-radius-rs1] quit
(2) 配置認證域
# 創建並進入名字為dm1的ISP域。
[Switch] domain dm1
# 配置ISP域的AAA方法。
[Switch-isp-dm1] authentication portal radius-scheme rs1
[Switch-isp-dm1] authorization portal radius-scheme rs1
[Switch-isp-dm1] accounting portal radius-scheme rs1
[Switch-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[Switch] domain default enable dm1
(3) 配置受限資源對應的ACL為3000,非受限資源對應的ACL為3001
安全策略服務器上需要將ACL 3000和ACL 3001分別指定為隔離ACL和安全ACL。
[Switch] acl number 3000
[Switch-acl-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255
[Switch-acl-adv-3000] rule deny ip
[Switch-acl-adv-3000] quit
[Switch] acl number 3001
[Switch-acl-adv-3001] rule permit ip
[Switch-acl-adv-3001] quit
(4) 配置Portal認證
# 配置Portal服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,端口為50100,URL為http://192.168.0.111:8080/portal(請根據Portal服務器的實際情況配置,此處僅為示例)。
[Switch] portal server newpt ip 192.168.0.111 key simple portal port 50100
url http://192.168.0.111:8080/portal
# 配置DHCP中繼,並啟動DHCP中繼的安全地址匹配檢查功能。
[Switch] dhcp enable
[Switch] dhcp relay server-group 0 ip 192.168.0.112
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] ip address 20.20.20.1 255.255.255.0
[Switch–Vlan-interface100] ip address 10.0.0.1 255.255.255.0 sub
[Switch-Vlan-interface100] dhcp select relay
[Switch-Vlan-interface100] dhcp relay server-select 0
[Switch-Vlan-interface100] dhcp relay address-check enable
# 在與用戶Host相連的接口上使能Portal認證。
[Switch–Vlan-interface100] portal server newpt method redhcp
[Switch–Vlan-interface100] quit
Switch A支持Portal認證功能。用戶Host通過Switch B接入到Switch A。
· 配置Switch A采用可跨三層Portal認證。用戶在通過身份認證而沒有通過安全認證時可以訪問192.168.0.0/24網段;在通過安全認證後,可以訪問非受限互聯網資源。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-20 配置可跨三層Portal認證擴展功能組網圖
· 請保證在Portal服務器上添加的Portal設備的IP地址為與用戶相連的接口IP地址(20.20.20.1),且與該Portal設備關聯的IP地址組為用戶所在網段(8.8.8.0/24)。
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
在Switch A上進行以下配置。
(1) 配置RADIUS方案
# 創建名字為rs1的RADIUS方案並進入該方案視圖。
<SwitchA> system-view
[SwitchA] radius scheme rs1
# 配置RADIUS方案的服務器類型。使用CAMS/iMC服務器時,RADIUS服務器類型應選擇extended。
[Switch-radius-rs1] server-type extended
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[SwitchA-radius-rs1] primary authentication 192.168.0.112
[SwitchA-radius-rs1] primary accounting 192.168.0.112
[SwitchA-radius-rs1] key accounting simple radius
[SwitchA-radius-rs1] key authentication simple radius
[SwitchA-radius-rs1] user-name-format without-domain
# 配置RADIUS方案的安全策略服務器。
[SwitchA-radius-rs1] security-policy-server 192.168.0.113
[SwitchA-radius-rs1] quit
(2) 配置認證域
# 創建並進入名字為dm1的ISP域。
[SwitchA] domain dm1
# 配置ISP域的AAA方法。
[SwitchA-isp-dm1] authentication portal radius-scheme rs1
[SwitchA-isp-dm1] authorization portal radius-scheme rs1
[SwitchA-isp-dm1] accounting portal radius-scheme rs1
[SwitchA-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[SwitchA] domain default enable dm1
(3) 配置受限資源對應的ACL為3000,非受限資源對應的ACL為3001
安全策略服務器上需要將ACL 3000和ACL 3001分別指定為隔離ACL和安全ACL。
[SwitchA] acl number 3000
[SwitchA-acl-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255
[SwitchA-acl-adv-3000] rule deny ip
[SwitchA-acl-adv-3000] quit
[SwitchA] acl number 3001
[SwitchA-acl-adv-3001] rule permit ip
[SwitchA-acl-adv-3001] quit
(4) 配置Portal認證
# 配置Portal服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,端口為50100,URL為http://192.168.0.111:8080/portal(請根據Portal服務器的實際情況配置,此處僅為示例)。
[SwitchA] portal server newpt ip 192.168.0.111 key simple portal port 50100 url http://192.168.0.111:8080/portal
# 在與Switch B相連的接口上使能Portal認證。
[SwitchA] interface vlan-interface 4
[SwitchA–Vlan-interface4] portal server newpt method layer3
[SwitchA–Vlan-interface4] quit
Switch B上需要配置到192.168.0.0/24網段的缺省路由,下一跳為20.20.20.1,具體配置略。
接入設備Switch A和Switch B之間存在備份鏈路,使用VRRP協議實現雙機熱備的流量切換,且兩台設備均支持Portal認證功能。現要求Switch A和Switch B支持雙機熱備運行情況下的Portal用戶數據備份,具體為:
· Switch A正常工作的情況下,Host通過Switch A進行Portal認證接入到外網。Switch A發生故障的情況下,Host通過Switch B接入到外網,並且在VRRP監視上行鏈路接口功能的配合下,保證業務流量切換不被中斷。
· 采用RADIUS服務器作為認證/計費服務器。(本例中Portal服務器和RADIUS服務器的功能均由Server實現)
· Switch A和Switch B之間通過單獨的鏈路傳輸雙機熱備報文,且指定專用於雙機熱備的VLAN為VLAN 8。
圖1-21 配置Portal支持雙機熱備組網圖
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 保證啟動Portal之前主機可以分別通過Switch A和Switch B訪問認證服務器。
· 配置VRRP備份組1和VRRP備份組2分別實現下行、上行鏈路的備份。VRRP配置的相關介紹請參見“可靠性配置指導”中的“VRRP”。
· 雙機熱備配置的相關介紹請參見“可靠性配置指導”中的“雙機熱備”。
(1) 配置Portal服務器(iMC PLAT 5.0)
下麵以iMC為例(使用iMC版本為:iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)),說明Portal server的基本配置。
# 配置Portal服務器。
登錄進入iMC管理平台,選擇“業務”頁簽,單擊導航樹中的[Portal服務器管理/服務器配置]菜單項,進入服務器配置頁麵。
· 根據實際組網情況調整以下參數,本例中使用缺省配置。
圖1-22 Portal服務器配置頁麵
# 配置IP地址組。
單擊導航樹中的[Portal服務器管理/IP地址組配置]菜單項,進入Portal IP地址組配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加IP地址組配置頁麵。
· 填寫IP地址組名;
· 輸入起始地址和終止地址。用戶主機IP地址必須包含在該IP地址組範圍內;
· 選擇業務分組,本例中使用缺省的“未分組”;
· 選擇IP地址組的類型為“普通”。
圖1-23 增加IP地址組配置頁麵
# 增加Portal設備。
單擊導航樹中的[Portal服務器管理/設備配置]菜單項,進入Portal設備配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加設備信息配置頁麵。
· 填寫設備名;
· 指定主機IP地址為使能Portal的接口所在的VRRP組的虛擬IP地址;
· 輸入密鑰,與接入設備Switch上的配置保持一致;
· 選擇是否進行二次地址分配,本例中為直接認證,因此為否;
· 選擇是否支持逃生心跳功能和用戶心跳功能,本例中不支持。
圖1-24 增加設備信息配置頁麵
# Portal設備關聯IP地址組
在Portal設備配置頁麵中的設備信息列表中,點擊NAS設備的<端口組信息管理>鏈接,進入端口組信息配置頁麵。
圖1-25 設備信息列表
在端口組信息配置頁麵中點擊<增加>按鈕,進入增加端口組信息配置頁麵。
· 填寫端口組名;
· 選擇IP地址組,用戶接入網絡時使用的IP地址必須屬於所選的IP地址組;
· 其它參數采用缺省值。
圖1-26 增加端口組信息配置頁麵
# 最後單擊導航樹中的[業務參數配置/係統配置手工生效]菜單項,使以上Portal服務器配置生效。
(2) 配置Switch A
· 配置VRRP
# 創建VRRP備份組1,並配置VRRP備份組1的虛擬IP地址為9.9.1.1。
<SwitchA> system-view
[SwitchA] interface vlan-interface 10
[SwitchA–Vlan-interface10] vrrp vrid 1 virtual-ip 9.9.1.1
# 配置VLAN接口10在VRRP備份組1中的優先級為200。
[SwitchA–Vlan-interface10] vrrp vrid 1 priority 200
# 在VLAN接口10上配置監視VLAN接口20,當VLAN接口20狀態為Down或Removed時,VLAN接口10在備份組1中的優先級降低150。
[SwitchA–Vlan-interface10] vrrp vrid 1 track interface vlan-interface20 reduced 150
[SwitchA–Vlan-interface10] quit
# 創建VRRP備份組2,並配置VRRP備份組2的虛擬IP地址為192.168.0.1。
[SwitchA] interface vlan-interface 20
[SwitchA–Vlan-interface20] vrrp vrid 2 virtual-ip 192.168.0.1
# 配置VLAN接口20在VRRP備份組2中的優先級為200。
[SwitchA–Vlan-interface20] vrrp vrid 2 priority 200
# 在VLAN接口20上配置監視VLAN接口10,當VLAN接口10狀態為Down或Removed時,VLAN接口20在備份組2中的優先級降低150。
[SwitchA–Vlan-interface20] vrrp vrid 2 track interface vlan-interface10 reduced 150
[SwitchA–Vlan-interface20] quit
· 配置RADIUS方案
# 創建名字為rs1的RADIUS方案並進入該方案視圖。
[SwitchA] radius scheme rs1
# 配置RADIUS方案的服務器類型。使用CAMS/iMC服務器時,RADIUS服務器類型應選擇extended。
[SwitchA-radius-rs1] server-type extended
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[SwitchA-radius-rs1] primary authentication 192.168.0.111
[SwitchA-radius-rs1] primary accounting 192.168.0.111
[SwitchA-radius-rs1] key authentication simple expert
[SwitchA-radius-rs1] key accounting simple expert
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。(可選,請根據實際應用需求調整)
[SwitchA-radius-rs1] user-name-format without-domain
[SwitchA-radius-rs1] quit
· 配置認證域
# 創建並進入名字為dm1的ISP域。
[SwitchA] domain dm1
# 配置ISP域的AAA方法。
[SwitchA-isp-dm1] authentication portal radius-scheme rs1
[SwitchA-isp-dm1] authorization portal radius-scheme rs1
[SwitchA-isp-dm1] accounting portal radius-scheme rs1
[SwitchA-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[SwitchA] domain default enable dm1
· 配置接口使能Portal
# 配置Portal服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,端口為50100,URL為http://192.168.0.111:8080/portal。(Portal服務器的URL請與實際環境中的Portal服務器配置保持一致,此處僅為示例)
[SwitchA] portal server newpt ip 192.168.0.111 key simple portal port 50100 url http://192.168.0.111:8080/portal
# 在與用戶Host相連的接口上使能Portal認證。
[SwitchA] interface vlan-interface 10
[SwitchA–Vlan-interface10] portal server newpt method layer3
# 指定發送Portal報文的源IP地址為VRRP組1的虛擬IP地址9.9.1.1。
[SwitchA–Vlan-interface10] portal nas-ip 9.9.1.1
· 配置Portal支持雙機熱備
# 配置VLAN接口10屬於Portal備份組1。
[SwitchA–Vlan-interface10] portal backup-group 1
[SwitchA–Vlan-interface10] quit
# 配置雙機熱備模式下的設備ID為1。
[SwitchA] nas device-id 1
# 配置發送RADIUS報文的源IP地址為VRRP組2的虛擬IP地址192.168.0.1。
[SwitchA] radius nas-ip 192.168.0.1
請保證RADIUS服務器上成功添加了IP地址為192.168.0.1的接入設備。
· 配置雙機熱備
# 配置備份VLAN為VLAN 8。
[SwitchA] dhbk vlan 8
# 使能雙機熱備功能,且支持對稱路徑。
[SwitchA] dhbk enable backup-type symmetric-path
(3) 配置Switch B
· 配置VRRP
# 創建VRRP備份組1,並配置VRRP備份組1的虛擬IP地址為9.9.1.1。
<SwitchB> system-view
[SwitchB–Vlan-interface10] vrrp vrid 1 virtual-ip 9.9.1.1
# 配置VLAN接口10在VRRP備份組1中的優先級為150。
[SwitchB–Vlan-interface10] vrrp vrid 1 priority 150
[SwitchB–Vlan-interface10] quit
# 創建VRRP備份組2,並配置VRRP備份組2的虛擬IP地址為192.168.0.1。
[SwitchB] interface vlan-interface 20
[SwitchB–Vlan-interface20] vrrp vrid 2 virtual-ip 192.168.0.1
# 配置VLAN接口20在VRRP備份組2中的優先級為150。
[SwitchB–Vlan-interface20] vrrp vrid 2 priority 150
[SwitchB–Vlan-interface20] quit
· 配置RADIUS方案
# 創建名字為rs1的RADIUS方案並進入該方案視圖。
[SwitchA] radius scheme rs1
# 配置RADIUS方案的服務器類型。使用CAMS/iMC服務器時,RADIUS服務器類型應選擇extended。
[SwitchB-radius-rs1] server-type extended
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[SwitchB-radius-rs1] primary authentication 192.168.0.111
[SwitchB-radius-rs1] primary accounting 192.168.0.111
[SwitchB-radius-rs1] key authentication simple expert
[SwitchB-radius-rs1] key accounting simple expert
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。(可選,請根據實際應用需求調整)
[SwitchB-radius-rs1] user-name-format without-domain
[SwitchB-radius-rs1] quit
· 配置認證域
# 創建並進入名字為dm1的ISP域。
[SwitchB] domain dm1
# 配置ISP域的AAA方法。
[SwitchB-isp-dm1] authentication portal radius-scheme rs1
[SwitchB-isp-dm1] authorization portal radius-scheme rs1
[SwitchB-isp-dm1] accounting portal radius-scheme rs1
[SwitchB-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[SwitchB] domain default enable dm1
· 配置接口使能Portal
# 配置Portal服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,端口為50100,URL為http://192.168.0.111:8080/portal。(Portal服務器的URL請與實際環境中的Portal服務器配置保持一致,此處僅為示例)
[SwitchB] portal server newpt ip 192.168.0.111 key simple portal port 50100 url http://192.168.0.111:8080/portal
# 在與用戶Host相連的接口上使能Portal認證。
[SwitchB] interface vlan-interface 10
[SwitchB–Vlan-interface10] portal server newpt method layer3
# 指定發送Portal報文的源IP地址為VRRP組1的虛擬IP地址9.9.1.1。
[SwitchA–Vlan-interface10] portal nas-ip 9.9.1.1
· 配置Portal支持雙機熱備
# 配置VLAN接口10屬於Portal備份組1。
[SwitchB–Vlan-interface10] portal backup-group 1
[SwitchB–Vlan-interface10] quit
# 配置雙機熱備模式下的設備ID為2。
[SwitchB] nas device-id 2
# 配置發送RADIUS報文的源IP地址為VRRP組2的虛擬IP地址192.168.0.1。
[SwitchB] radius nas-ip 192.168.0.1
請保證RADIUS服務器上成功添加了IP地址為192.168.0.1的接入設備。
· 配置雙機熱備
# 配置備份VLAN為VLAN 8。
[SwitchB] dhbk vlan 8
# 使能雙機熱備功能。
[SwitchB] dhbk enable backup-type symmetric-path
# 用戶Host從Switch A成功上線後,在Switch A和Switch B上均可以通過命令display portal user查看該用戶的認證情況。
[SwitchA] display portal user all
Index:3
State:ONLINE
SubState:NONE
ACL:NONE
Work-mode: primary
VPN instance:NONE
MAC IP Vlan Interface
---------------------------------------------------------------------
000d-88f8-0eac 9.9.1.2 10 Vlan-interface10
Total 1 user(s) matched, 1 listed.
[SwitchB] display portal user all
Index:2
State:ONLINE
SubState:NONE
ACL:NONE
Work-mode: secondary
VPN instance:NONE
MAC IP Vlan Interface
---------------------------------------------------------------------
000d-88f8-0eac 9.9.1.2 10 Vlan-interface10
Total 1 user(s) matched, 1 listed.
通過以上顯示信息可以看到,Switch A和Switch B上均有Portal用戶Host的信息,且Switch A上的用戶模式為primary,Switch B上的用戶模式為secondary,表示該用戶是由Switch A上線並被同步到Switch B上的。
用戶主機與接入設備Switch直接相連,通過Portal認證接入網絡,並采用RADIUS服務器作為認證/計費服務器。
具體要求如下:
· 用戶通過手工配置或DHCP獲取的一個公網IP地址進行認證,在通過Portal認證前,隻能訪問Portal服務器;在通過Portal認證後,可以使用此IP地址訪問非受限的互聯網資源。
· 接入設備能夠探測到Portal服務器是否可達,並輸出可達狀態變化的Trap信息,在服務器不可達時(例如,網絡連接中斷、網絡設備故障或服務器無法正常提供服務等情況),取消Portal認證,使得用戶仍然可以正常訪問網絡。
· 接入設備能夠與服務器定期進行用戶信息的同步。
圖1-27 Portal服務器探測和用戶同步功能配置組網圖
(1) 配置Portal服務器,並啟動逃生心跳功能和用戶心跳功能;
(2) 配置RADIUS服務器,實現正常的認證及計費功能;
(3) 接入設備通過接口Vlan-int100與用戶主機直接相連,在該接口上配置直接方式的Portal認證;
(4) 接入設備上配置Portal服務器探測功能,在與Portal服務器的逃生心跳功能的配合下,對Portal服務器的可達狀態進行探測;
(5) 接入設備上配置Portal用戶同步功能,在與Portal服務器的用戶心跳功能的配合下,與Portal服務器上的用戶信息進行同步。
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
(1) 配置Portal服務器(iMC PLAT 5.0)
下麵以iMC為例(使用iMC版本為:iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)),說明Portal server的基本配置。
# 配置Portal服務器。
登錄進入iMC管理平台,選擇“業務”頁簽,單擊導航樹中的[Portal服務器管理/服務器配置]菜單項,進入服務器配置頁麵。
· 配置逃生心跳間隔時長及用戶心跳間隔時長;
· 其它參數使用缺省配置。
圖1-28 Portal服務器配置頁麵
# 配置IP地址組。
單擊導航樹中的[Portal服務器管理/IP地址組配置]菜單項,進入Portal IP地址組配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加IP地址組配置頁麵。
· 填寫IP地址組名;
· 輸入起始地址和終止地址。用戶主機IP地址必須包含在該IP地址組範圍內;
· 選擇業務分組,本例中使用缺省的“未分組”;
· 選擇IP地址組的類型為“普通”。
圖1-29 增加IP地址組配置頁麵
# 增加Portal設備。
單擊導航樹中的[Portal服務器管理/設備配置]菜單項,進入Portal設備配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加設備信息配置頁麵。
· 填寫設備名;
· 指定IP地址為與接入用戶相連的設備接口IP;
· 輸入密鑰,與接入設備Switch上的配置保持一致;
· 選擇是否進行二次地址分配,本例中為直接認證,因此為否;
· 選擇支持逃生心跳功能和用戶心跳功能。
圖1-30 增加設備信息配置頁麵
# Portal設備關聯IP地址組
在Portal設備配置頁麵中的設備信息列表中,點擊NAS設備的<端口組信息管理>鏈接,進入端口組信息配置頁麵。
圖1-31 設備信息列表
在端口組信息配置頁麵中點擊<增加>按鈕,進入增加端口組信息配置頁麵。
· 填寫端口組名;
· 選擇IP地址組,用戶接入網絡時使用的IP地址必須屬於所選的IP地址組;
· 其它參數采用缺省值。
圖1-32 增加端口組信息配置頁麵
# 最後單擊導航樹中的[業務參數配置/係統配置手工生效]菜單項,使以上Portal服務器配置生效。
(2) 配置Switch
· 配置RADIUS方案
# 創建名字為rs1的RADIUS方案並進入該方案視圖。
<Switch> system-view
[Switch] radius scheme rs1
# 配置RADIUS方案的服務器類型。使用CAMS/iMC服務器時,RADIUS服務器類型應選擇extended。
[Switch-radius-rs1] server-type extended
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[Switch-radius-rs1] primary authentication 192.168.0.112
[Switch-radius-rs1] primary accounting 192.168.0.112
[Switch-radius-rs1] key authentication simple radius
[Switch-radius-rs1] key accounting simple radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[Switch-radius-rs1] user-name-format without-domain
[Switch-radius-rs1] quit
· 配置認證域
# 創建並進入名字為dm1的ISP域。
[Switch] domain dm1
# 配置ISP域的AAA方法。
[Switch-isp-dm1] authentication portal radius-scheme rs1
[Switch-isp-dm1] authorization portal radius-scheme rs1
[Switch-isp-dm1] accounting portal radius-scheme rs1
[Switch-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[Switch] domain default enable dm1
· 使能Portal認證
# 配置Portal服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,端口為50100,URL為http://192.168.0.111:8080/portal。(Portal服務器的URL請與實際環境中的Portal服務器配置保持一致,此處僅為示例)
[Switch] portal server newpt ip 192.168.0.111 key simple portal port 50100 url http://192.168.0.111:8080/portal
# 在與用戶Host相連的接口上使能Portal認證。
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] portal server newpt method direct
[Switch–Vlan-interface100] quit
· 配置Portal服務器探測功能
# 配置對Portal服務器newpt的探測功能:探測方式為探測Portal心跳報文,每次探測間隔時間為40秒,若連續二次探測均失敗,則發送服務器不可達的Trap信息,並打開網絡限製,允許未認證用戶訪問網絡。
[Switch] portal server newpt server-detect method portal-heartbeat action trap permit-all interval 40 retry 2
此處interval與retry的乘積應該大於等於Portal服務器的逃生心跳間隔時長,且推薦interval取值大於Portal服務器的逃生心跳間隔時長。
· 配置Portal用戶信息同步功能
# 配置對Portal服務器newpt的Portal用戶同步功能,檢測用戶同步報文的時間間隔為600秒,如果設備中的某用戶信息在連續兩個探測周期內都未在該Portal服務器發送的同步報文中出現,設備將強製該用戶下線。
[Switch] portal server newpt user-sync interval 600 retry 2
此處interval與retry的乘積應該大於等於Portal服務器上的用戶心跳間隔時長,且推薦interval取值大於Portal服務器的用戶心跳間隔時長。
以上配置完成後,可以通過執行以下命令查看Portal服務器的狀態。
<Switch> display portal server newpt
Portal server:
1)newpt:
IP : 192.168.0.111
Key : ******
Port : 50100
URL : http://192.168.0.111:8080/portal
Status : Up
用戶主機與接入設備Switch直接相連,接入設備在端口GigabitEthernet1/0/1上對用戶進行二層Portal認證。具體要求如下:
· 使用遠程RADIUS服務器進行認證、授權和計費;
· 使用遠程DHCP服務器為用戶分配IP地址;
· 本地Portal認證服務器的監聽IP地址為4.4.4.4,設備向Portal用戶推出自定義的認證頁麵,並使用HTTPS傳輸認證數據;
· 認證成功的用戶可被授權加入VLAN 3;
· 認證失敗的用戶將被加入VLAN 2,允許訪問其中的Update服務器資源;
· Host通過DHCP動態獲取IP地址,認證前使用192.168.1.0/24網段的IP地址,認證成功後使用3.3.3.0/24網段的IP地址,認證失敗後使用2.2.2.0/24網段的IP地址。
圖1-33 配置二層Portal認證組網圖
· 保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成RADIUS服務器的配置,保證用戶的認證/授權/計費功能正常運行。本例中,RADIUS服務器上需要配置一個Portal用戶(帳戶名為userpt),並配置授權VLAN。
· 完成DHCP服務器的配置,主要包括:指定為Portal客戶端分配的IP地址範圍(192.168.1.0/24、3.3.3.0/24、2.2.2.0/24);指定客戶端的默認網關地址(192.168.1.1、3.3.3.1、2.2.2.1),並將Update server地址(2.2.2.2)排除在可分配的IP地址範圍外;確定分配給客戶端的IP地址的租約期限(建議盡量取較小的值,以縮短認證狀態變化後IP地址更新的時間);保證DHCP server上具有到達客戶端主機的路由。
· 由於DHCP服務器與DHCP客戶端不在同一個網段,因此需要在客戶端所在的網段設置DHCP中繼。關於DHCP中繼的詳細介紹請參見“三層技術-IP業務配置指導”中的“DHCP中繼”。
(1) 配置Portal認證
# 配置各以太網端口加入VLAN及對應VLAN接口的IP地址(略)。
# 完成PKI域pkidm的配置,並成功申請本地證書和CA證書,具體配置請參見“安全配置指導”中的“PKI”。
# 完成自定義缺省認證頁麵文件的編輯,並將其以defaultfile為名稱壓縮為一個Zip文件之後保存在設備根目錄下。
# 配置SSL服務器端策略sslsvr,指定使用的PKI域為pkidm。
<Switch> system-view
[Switch] ssl server-policy sslsvr
[Switch-ssl-server-policy-sslsvr] pki pkidm
[Switch-ssl-server-policy-sslsvr] quit
# 配置本地Portal服務器支持HTTPS協議,並引用SSL服務器端策略sslsvr。
[Switch] portal local-server https server-policy sslsvr
# 配置Loopback接口12的IP地址為4.4.4.4。
[Switch] interface loopback 12
[Switch-LoopBack12] ip address 4.4.4.4 32
[Switch-LoopBack12] quit
# 指定二層Portal認證的本地Portal服務器監聽IP地址為4.4.4.4。
[Switch] portal local-server ip 4.4.4.4
# 在端口GigabitEthernet1/0/1上使能Portal認證,並配置認證失敗的VLAN為VLAN 2。
[Switch] interface gigabitethernet 1/0/1
[Switch–GigabitEthernet1/0/1] port link-type hybrid
[Switch–GigabitEthernet1/0/1] mac-vlan enable
[Switch–GigabitEthernet1/0/1] portal local-server enable
[Switch–GigabitEthernet1/0/1] portal auth-fail vlan 2
[Switch–GigabitEthernet1/0/1] quit
(2) 配置RADIUS方案
# 創建名字為rs1的RADIUS方案並進入該方案視圖。
[Switch] radius scheme rs1
# 配置RADIUS方案的服務器類型。使用CAMS/iMC服務器時,RADIUS服務器類型應選擇extended。
[Switch-radius-rs1] server-type extended
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[Switch-radius-rs1] primary authentication 1.1.1.2
[Switch-radius-rs1] primary accounting 1.1.1.2
[Switch-radius-rs1] key accounting simple radius
[Switch-radius-rs1] key authentication simple radius
[Switch-radius-rs1] quit
(3) 配置認證域
# 創建並進入名字為triple的ISP域。
[Switch] domain triple
# 配置ISP域的AAA方法。
[Switch-isp-triple] authentication portal radius-scheme rs1
[Switch-isp-triple] authorization portal radius-scheme rs1
[Switch-isp-triple] accounting portal radius-scheme rs1
[Switch-isp-triple] quit
# 配置係統缺省的ISP域triple,所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[Switch] domain default enable triple
(4) 配置DHCP中繼
# 使能DHCP服務。
[Switch] dhcp enable
# 配置DHCP服務器的地址。
[Switch] dhcp relay server-group 1 ip 1.1.1.3
# 配置VLAN接口8工作在DHCP中繼模式。
[Switch] interface vlan-interface 8
[Switch-Vlan-interface8] dhcp select relay
# 配置VLAN接口8對應DHCP服務器組1。
[Switch-Vlan-interface8] dhcp relay server-select 1
[Switch-Vlan-interface8] quit
# 配置VLAN接口2工作在DHCP中繼模式。
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] dhcp select relay
# 配置VLAN接口2對應DHCP服務器組1。
[Switch-Vlan-interface2] dhcp relay server-select 1
[Switch-Vlan-interface2] quit
# 配置VLAN接口3工作在DHCP中繼模式。
[Switch] interface vlan-interface 3
[Switch-Vlan-interface3] dhcp select relay
# 配置VLAN接口3對應DHCP服務器組1。
[Switch-Vlan-interface3] dhcp relay server-select 1
[Switch-Vlan-interface3] quit
用戶userpt未進行Web訪問之前,位於初始VLAN(VLAN 8)中,並被分配192.168.1.0/24網段中的IP地址。當用戶通過Web瀏覽器訪問外部網絡時,其Web請求均被重定向到認證頁麵https://4.4.4.4/portal/logon.htm。用戶根據網頁提示輸入正確的用戶名和密碼後,能夠成功通過Portal認證。通過認證的用戶將會離開初始VLAN(VLAN 8),並加入授權VLAN(VLAN 3)。可通過display connection ucibindex命令查看已在線用戶的詳細信息。
<Switch> display connection ucibindex 30
Slot: 1
Index=30 , Username=userpt@triple
MAC=0015-e9a6-7cfe
IP=192.168.1.2
IPv6=N/A
Access=PORTAL ,AuthMethod=PAP
Port Type=Ethernet,Port Name=GigabitEthernet1/0/1
Initial VLAN=8, Authorization VLAN=3
ACL Group=Disable
User Profile=N/A
CAR=Disable
Priority=Disable
Start=2009-11-26 17:40:02 ,Current=2009-11-26 17:48:21 ,Online=00h08m19s
Total 1 connection matched.
可以通過display mac-vlan all命令查看到認證成功用戶的MAC VLAN表項,該表項中記錄了加入授權VLAN的MAC地址與端口上生成的基於MAC的VLAN之間的對應關係。
[Switch] display mac-vlan all
The following MAC VLAN addresses exist:
S:Static D:Dynamic
MAC ADDR MASK VLAN ID PRIO STATE
--------------------------------------------------------
0015-e9a6-7cfe ffff-ffff-ffff 3 0 D
Total MAC VLAN address count:1
若用戶認證失敗,將被加入VLAN 2中,端口上生成的MAC VLAN表項及IP地址分配情況的查看方式同上,此處略。
用戶被強製去訪問Portal服務器時沒有彈出Portal認證頁麵,也沒有錯誤提示,登錄的Portal認證服務器Web頁麵為空白。
接入設備上配置的Portal密鑰和Portal服務器上配置的密鑰不一致,導致Portal服務器報文驗證出錯,Portal服務器拒絕彈出認證頁麵。
使用display portal server命令查看接入設備上配置的Portal服務器密鑰,並在係統視圖中使用portal server命令修改密鑰,或者在Portal服務器上查看對應接入設備的密鑰並修改密鑰,直至兩者的密鑰設置一致。
用戶通過Portal認證後,在接入設備上使用portal delete-user命令強製用戶下線失敗,但是使用客戶端的“斷開”屬性可以正常下線。
在Portal上使用portal delete-user命令強製用戶下線時,由接入設備主動發送下線請求報文到Portal服務器,Portal服務器默認的報文監聽端口為50100,但是因為接入設備上配置的服務器監聽端口錯誤(不是50100),即其發送的下線請求報文的目的端口和Portal服務器真正的監聽端口不一致,故Portal服務器無法收到下線請求報文,Portal服務器上的用戶無法下線。
當使用客戶端的“斷開”屬性讓用戶下線時,由Portal服務器主動向接入設備發送下線請求,其源端口為50100,接入設備的下線應答報文的目的端口使用請求報文的源端口,避免了其配置上的錯誤,使得Portal服務器可以收到下線應答報文,從而Portal服務器上的用戶成功下線。
使用display portal server命令查看接入設備對應服務器的端口,並在係統視圖中使用portal server命令修改服務器的端口,使其和Portal服務器上的監聽端口一致。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
