- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
04-Portal配置
本章節下載: 04-Portal配置 (2.03 MB)
目 錄
1.1.3 使用本地Portal Web服務器的Portal係統
1.10.4 配置第二類Portal過濾規則下發的完整性檢查功能
1.11.3 配置Portal Web服務器的可達性探測功能
1.13 配置Portal用戶使用的逃生策略模板及用戶逃生老化時間
1.14 配置發送給Portal認證服務器的Portal報文的BAS-IP屬性
1.16 配置接入設備發送的RADIUS請求報文的NAS-Port-Type屬性類型
1.27.3 配置M-LAG接口上Portal用戶認證的負載分擔模式
1.27.4 配置M-LAG組網中Portal用戶流量備份功能
1.29 配置Portal OAuth認證同步用戶信息的時間間隔
1.32.7 Portal認證服務器探測和用戶信息同步功能配置舉例
1.32.10 Portal二次地址分配認證支持認證前域配置舉例
1.32.11 使用本地Portal Web服務器的直接Portal認證配置舉例
1.32.12 Portal基於MAC地址的快速認證配置舉例
1.32.13 Portal基於MAC地址的快速認證配置舉例(雲端認證方式)
1.32.14 Portal支持M-LAG的直接認證配置舉例
1.33.1 Portal用戶認證時,沒有彈出Portal認證頁麵
1.33.3 RADIUS服務器上無法強製Portal用戶下線
1.33.4 接入設備強製用戶下線後,Portal認證服務器上還存在該用戶
Portal在英語中是入口的意思。Portal認證通常也稱為Web認證,即通過Web頁麵接受用戶輸入的用戶名和密碼,對用戶進行身份認證,以達到對用戶訪問進行控製的目的。在采用了Portal認證的組網環境中,未認證用戶上網時,接入設備強製用戶登錄到特定站點,用戶可以免費訪問其中的服務;當用戶需要使用互聯網中的其它信息時,必須在Portal Web服務器提供的網站上進行Portal認證,隻有認證通過後才可以使用這些互聯網中的設備或資源。
根據是否為用戶主動發起認證,可以將Portal認證分為主動認證和強製認證兩種類型:用戶可以主動訪問已知的Portal Web服務器網站,輸入用戶名和密碼進行認證,這種開始Portal認證的方式稱作主動認證;用戶訪問任意非Portal Web服務器網站時,被強製訪問Portal Web服務器網站,繼而開始Portal認證的過程稱作強製認證。
Portal認證是一種靈活的訪問控製技術,可以在接入層以及需要保護的關鍵數據入口處實施訪問控製,具有如下優勢:
· 可以不安裝客戶端軟件,直接使用Web頁麵認證,使用方便。
· 可以為運營商提供方便的管理功能和業務拓展功能,例如運營商可以在認證頁麵上開展廣告、社區服務、信息發布等個性化的業務。
· 支持多種組網型態,例如二次地址分配認證方式可以實現靈活的地址分配策略且能節省公網IP地址,可跨三層認證方式可以跨網段對用戶作認證。
目前,設備支持的Portal版本為Portal 1.0、Portal 2.0和Portal 3.0。
Portal的安全擴展功能是指,在Portal身份認證的基礎之上,通過強製接入終端實施補丁和防病毒策略,加強網絡終端對病毒攻擊的主動防禦能力。具體的安全擴展功能如下:
· 安全性檢測:在對用戶的身份認證的基礎上增加了安全認證機製,可以檢測接入終端上是否安裝了防病毒軟件、是否更新了病毒庫、是否安裝了非法軟件、是否更新了操作係統補丁等;
· 訪問資源受限:用戶通過身份認證後僅僅獲得訪問指定互聯網資源的權限,如病毒服務器、操作係統補丁更新服務器等;當用戶通過安全認證後便可以訪問更多的互聯網資源。
安全性檢測功能必須與iMC安全策略服務器以及iNode客戶端配合使用。
Portal的典型組網方式如圖1-1所示,它由六個基本要素組成:認證客戶端、接入設備、Portal認證服務器、Portal Web服務器、AAA服務器和安全策略服務器。
圖1-1 Portal係統組成示意圖
用戶終端的客戶端係統,為運行HTTP/HTTPS協議的瀏覽器或運行Portal客戶端軟件的主機。對用戶終端的安全性檢測是通過Portal客戶端和安全策略服務器之間的信息交流完成的。目前,Portal客戶端僅支持iNode客戶端。
交換機、路由器等寬帶接入設備的統稱,主要有三方麵的作用:
· 在認證之前,將用戶的所有HTTP請求都重定向到Portal Web服務器。
· 在認證過程中,與Portal認證服務器、AAA服務器交互,完成身份認證/授權/計費的功能。
· 在認證通過後,允許用戶訪問被授權的互聯網資源。
接收Portal客戶端認證請求的服務器端係統,與接入設備交互認證客戶端的認證信息。
負責向客戶端提供Web認證頁麵,並將客戶端的認證信息(用戶名、密碼等)提交給Portal認證服務器。Portal Web服務器通常與Portal認證服務器是一體的,也可以是獨立的服務器端係統。
與接入設備進行交互,完成對用戶的認證、授權和計費。目前RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)服務器可支持對Portal用戶進行認證、授權和計費,以及LDAP(Lightweight Directory Access Protocol,輕量級目錄訪問協議)服務器可支持對Portal用戶進行認證。
與Portal客戶端、接入設備進行交互,完成對用戶的安全檢測,並對用戶進行安全授權操作。
接入設備可以同時提供Portal Web服務器和Portal認證服務器功能,對接入的Portal用戶進行本地Portal認證,如圖1-2所示。該組網方式下,Portal係統僅支持通過Web登錄、下線的基本認證功能,不支持使用Portal客戶端方式的Portal認證,因此不支持Portal擴展功能,無需部署安全策略服務器。
圖1-2 使用本地Portal Web服務器的Portal係統組成示意圖
· 使用本地Portal Web服務器的Portal認證係統不支持Portal擴展功能,因此使用本地Portal Web服務器的網絡環境中不需要部署安全策略服務器。
· 內嵌本地Portal Web服務器的接入設備實現了簡單的Portal Web服務器和Portal認證服務器功能,僅能給用戶提供通過Web方式登錄、下線的基本功能,並不能完全替代獨立的Portal服務器。
· 不支持使用iNode客戶端方式的Portal認證。
認證客戶端和內嵌本地Portal Web 服務器的接入設備之間可以采用HTTP和HTTPS協議通信。若客戶端和接入設備之間交互HTTP協議,則報文以明文形式傳輸,安全性無法保證;若客戶端和接入設備之間交互HTTPS協議,則報文基於SSL提供的安全機製以密文的形式傳輸,數據的安全性有保障。
本地Portal Web服務器支持由用戶自定義認證頁麵的內容,即允許用戶編輯一套或多套認證頁麵的HTML文件,並將其壓縮之後保存至設備的存儲介質的根目錄中。每套自定義頁麵文件中包括六個認證頁麵:登錄頁麵、登錄成功頁麵、在線頁麵、下線成功頁麵、登錄失敗頁麵和係統忙碌頁麵。本地Portal Web服務器根據不同的認證階段向客戶端推出對應的認證頁麵。
缺省情況下,本地Portal Web 服務器未提供缺省認證頁麵文件,所以必須使用default-logon-page命令將用戶自定義的一套認證頁麵文件設置為係統提供的缺省認證頁麵文件。有關default-logon-page命令的詳細介紹請參見“安全命令參考”中的“Portal”。
Portal係統中各基本要素的交互過程如下:
(1) 未認證用戶訪問網絡時,在Web瀏覽器地址欄中輸入一個互聯網的地址,那麼此HTTP或HTTPS請求在經過接入設備時會被重定向到Portal Web服務器的Web認證主頁上。用戶也可以主動登錄Portal Web服務器的Web認證主頁。若需要使用Portal的安全擴展認證功能,則用戶必須使用iNode客戶端。
(2) 用戶在認證主頁/認證對話框中輸入認證信息後提交,Portal Web服務器會將用戶的認證信息傳遞給Portal認證服務器,由Portal認證服務器處理並轉發給接入設備。
(3) 接入設備與AAA服務器交互進行用戶的認證、授權和計費。
(4) 認證通過後,如果未對用戶采用安全策略,則接入設備會打開用戶與互聯網的通路,允許用戶訪問互聯網;如果對用戶采用了安全策略,則客戶端、接入設備與安全策略服務器交互,對用戶的安全檢測通過之後,安全策略服務器根據用戶的安全性授權用戶訪問非受限資源。目前通過訪問Web頁麵進行的Portal認證不能對用戶實施安全策略檢查,安全檢查功能的實現需要與iNode客戶端配合。
Portal支持三種認證方式:直接認證方式、二次地址分配認證方式和可跨三層認證方式。直接認證方式和二次地址分配認證方式下,認證客戶端和接入設備之間沒有三層轉發設備;可跨三層認證方式下,認證客戶端和接入設備之間可以(但不必須)跨接三層轉發設備。
用戶在認證前通過手工配置或DHCP直接獲取一個IP地址,隻能訪問Portal Web服務器,以及設定的免認證地址;認證通過後即可訪問網絡資源。認證流程相對簡單。
用戶在認證前通過DHCP獲取一個私網IP地址,隻能訪問Portal Web服務器,以及設定的免認證地址;認證通過後,用戶會申請到一個公網IP地址,即可訪問網絡資源。該認證方式解決了IP地址規劃和分配問題,對未認證通過的用戶不分配公網IP地址。例如運營商對於小區寬帶用戶隻在訪問小區外部資源時才分配公網IP。目前,僅iNode客戶端支持該認證方式。需要注意的是,IPv6 Portal認證不支持二次地址分配方式。
和直接認證方式基本相同,但是這種認證方式允許認證用戶和接入設備之間跨越三層轉發設備。
對於以上三種認證方式,IP地址都是用戶的唯一標識。接入設備基於用戶的IP地址下發ACL對接口上通過認證的用戶報文轉發進行控製。由於直接認證和二次地址分配認證下的接入設備與用戶之間未跨越三層轉發設備,因此接口可以學習到用戶的MAC地址,接入設備可以利用學習到MAC地址增強對用戶報文轉發的控製力度。
在對接入用戶身份可靠性要求較高的網絡應用中,傳統的基於用戶名和口令的用戶身份驗證方式存在一定的安全問題,基於數字證書的用戶身份驗證方式通常被用來建立更為安全和可靠的網絡接入認證機製。
EAP(Extensible Authentication Protocol,可擴展認證協議)可支持多種基於數字證書的認證方式(例如EAP-TLS),它與Portal認證相配合,可共同為用戶提供基於數字證書的接入認證服務。
圖1-3 Portal支持EAP認證協議交互示意圖
如圖1-3所示,在Portal支持EAP認證的實現中,客戶端與Portal服務器之間交互EAP認證報文,Portal服務器與接入設備之間交互攜帶EAP-Message屬性的Portal協議報文,接入設備與RADIUS服務器之間交互攜帶EAP-Message屬性的RADIUS協議報文,由具備EAP服務器功能的RADIUS服務器處理EAP-Message屬性中封裝的EAP報文,並給出EAP認證結果。整個EAP認證過程中,接入設備隻是對Portal服務器與RADIUS服務器之間的EAP-Message屬性進行透傳,並不對其進行任何處理,因此接入設備上無需任何額外配置。
· 該功能僅能與iMC的Portal服務器以及iNode Portal客戶端配合使用。
· 目前,僅使用遠程Portal服務器的Portal認證支持EAP認證。
直接認證和可跨三層Portal認證流程相同。二次地址分配認證流程因為有兩次地址分配過程,所以其認證流程和另外兩種認證方式有所不同。
圖1-4 直接認證/可跨三層Portal認證流程圖
直接認證/可跨三層Portal認證流程:
(1) Portal用戶通過HTTP協議訪問外部網絡。HTTP報文經過接入設備時,對於訪問Portal Web服務器或設定的免認證地址的HTTP報文,接入設備允許其通過;對於訪問其它地址的HTTP報文,接入設備將其重定向到Portal Web服務器。Portal Web服務器提供Web頁麵供用戶輸入用戶名和密碼。
(2) Portal Web服務器將用戶輸入的信息提交給Portal認證服務器進行認證。
(3) Portal認證服務器與接入設備之間進行CHAP(Challenge Handshake Authentication Protocol,質詢握手認證協議)認證交互。若采用PAP(Password Authentication Protocol,密碼認證協議)認證則直接進入下一步驟。采用哪種認證交互方式由Portal認證服務器決定。
(4) Portal認證服務器將用戶輸入的用戶名和密碼組裝成認證請求報文發往接入設備,同時開啟定時器等待認證應答報文。
(5) 接入設備與RADIUS服務器之間進行RADIUS協議報文的交互。
(6) 接入設備向Portal認證服務器發送認證應答報文,表示認證成功或者認證失敗。
(7) Portal認證服務器向客戶端發送認證成功或認證失敗報文,通知客戶端認證成功(上線)或失敗。
(8) 若認證成功,Portal認證服務器還會向接入設備發送認證應答確認。若是iNode客戶端,則還需要進行以下安全擴展功能的步驟,否則Portal認證過程結束,用戶上線。
(9) 客戶端和安全策略服務器之間進行安全信息交互。安全策略服務器檢測客戶端的安全性是否合格,包括是否安裝防病毒軟件、是否更新病毒庫、是否安裝了非法軟件、是否更新操作係統補丁等。
(10) 安全策略服務器根據安全檢查結果授權用戶訪問指定的網絡資源,授權信息保存到接入設備中,接入設備將使用該信息控製用戶的訪問。
步驟(9)、(10)為Portal認證安全擴展功能的交互過程。
圖1-5 二次地址分配認證方式流程圖
二次地址分配認證流程:
(1)~(7)同直接/可跨三層Portal認證中步驟(1)~(7)。
(8) 客戶端收到認證通過報文後,通過DHCP獲得新的公網IP地址,並通知Portal認證服務器用戶已獲得新IP地址。
(9) Portal認證服務器通知接入設備客戶端獲得新公網IP地址。
(10) 接入設備通過DHCP模塊得知用戶IP地址變化後,通告Portal認證服務器已檢測到用戶IP變化。
(11) 當Portal認證服務器接收到客戶端以及接入設備發送的關於用戶IP變化的通告後,通知客戶端上線成功。
(12) Portal認證服務器向接入設備發送IP變化確認報文。
(13) 客戶端和安全策略服務器之間進行安全信息交互。安全策略服務器檢測客戶端的安全性是否合格,包括是否安裝防病毒軟件、是否更新病毒庫、是否安裝了非法軟件、是否更新操作係統補丁等。
(14) 安全策略服務器根據用戶的安全性授權用戶訪問指定的網絡資源,授權信息保存到接入設備中,接入設備將使用該信息控製用戶的訪問。
步驟(13)、(14)為Portal認證擴展功能的交互過程。
接入設備通過一係列的過濾規則對開啟Portal認證的接口上轉發的用戶報文進行控製,這些規則也稱為Portal過濾規則。
設備會根據配置以及Portal用戶的認證狀態,生成四種不同類型的Portal過濾規則。設備收到用戶報文後,將依次按照如下順序對報文進行匹配,一旦匹配上某條規則便結束匹配過程:
· 第一類規則:設備允許所有去往Portal Web服務器或者符合免認證規則的用戶報文通過。
· 第二類規則:如果AAA認證服務器未下發授權ACL或授權微分段,則設備允許認證成功的Portal用戶可以訪問任意的目的網絡資源;如果AAA認證服務器下發了授權ACL或授權微分段,則設備僅允許認證成功的Portal用戶訪問該授權ACL或授權微分段允許訪問的網絡資源。需要注意的是,Portal認證可成功授權的ACL類型為基本ACL(ACL編號為2000~2999)、高級ACL(ACL編號為3000~3999)和二層ACL(ACL編號為4000~4999)。當下發的ACL不存在、未配置ACL規則或ACL規則中配置了counting、established、fragment、source-mac、source-ip或logging參數時,授權ACL不生效。關於ACL規則的詳細介紹,請參見“ACL和QoS命令參考”中的“ACL”。同時,當下發的微分段ID不存在或微分段功能未開啟時,授權微分段不生效。ACL授權與微分段授權可同時生效,但是ACL存在限製(基本ACL不可指定源,高級ACL不可指定微分段),ACL共享功能開啟時授權微分段功能不生效,授權微分段功能隻支持直接認證方式的Portal。該功能僅在支持微分段的單板上支持。關於微分段的詳細介紹,請參見“安全配置指導”中的“微分段”。設備將根據Portal用戶的在線狀態動態添加和刪除本規則。
· 第三類規則:設備將所有未認證Portal用戶的HTTP請求報文重定向到Portal Web服務器。
· 第四類規則:對於直接認證方式和可跨三層認證方式,設備將拒絕所有用戶報文通過;對於二次地址分配認證方式,設備將拒絕所有源地址為私網地址的用戶報文通過。
在Portal認證環境中,對於需要頻繁接入網絡的合法用戶,可以通過基於MAC地址的快速認證功能,使用戶無需手工輸入認證信息便可以自動完成Portal認證。
基於MAC地址的快速認證又稱為MAC Trigger認證或無感知認證,該方式需要在網絡中部署MAC綁定服務器。MAC綁定服務器用於記錄用戶的Portal認證信息(用戶名、密碼)和用戶終端的MAC地址,並將二者進行綁定,以便代替用戶完成Portal認證。
本功能的實現過程如下:
(1) 用戶在首次接入網絡時,接入設備將用戶的MAC地址及接入端口信息保存為MAC-Trigger表項。
(2) 接入設備會根據MAC-Trigger表項將用戶的MAC地址發送至MAC綁定服務器進行查詢。
(3) MAC綁定服務器在本地查詢是否存在與用戶MAC地址綁定的Portal認證信息:
· 如果存在Portal認證信息,則MAC綁定服務器將通知接入設備該用戶為“已綁定”狀態,並使用用戶的認證信息向接入設備發起Portal認證,在用戶無感知的情況下完成認證過程。
· 如果不存在Portal認證信息,則MAC綁定服務器將通知接入設備該用戶為“未綁定”狀態。接入設備將對用戶發起正常的Portal認證。在用戶完成Portal認證過程後,接入設備會將用戶的MAC地址和認證信息發送至MAC綁定服務器,完成信息綁定。當同一用戶再次訪問網絡時,MAC綁定服務器便可以利用保存的認證信息代替用戶完成認證。
(4) 用戶通過Portal認證後,接入設備將刪除MAC-Trigger表項。
關於MAC綁定服務器的配置請參見服務器軟件的用戶手冊。
在Portal認證環境中,對於需要頻繁接入網絡,且設備無法獲取其MAC地址的合法用戶,可以通過基於IP地址的快速認證(又稱為IP-trigger認證或IP無感知認證)功能,使用戶無需手工輸入認證信息便可以自動完成Portal認證。
開啟基於IP地址的快速認證功能後,接入設備在收到滿足指定的ACL規則的用戶報文後,會添加IP-trigger表項記錄用戶的IP地址、用戶上線的接口、用戶所在的VLAN ID和表項老化定時器等信息,然後使用終端的IP地址作為用戶名和密碼進行Portal認證,在用戶無感知的情況下完成認證。
僅直接認證方式和可跨三層認證方式支持IP無感知認證。
為了提高Portal接入設備的可靠性,可以在M-LAG(Multichassis link aggregation,跨設備鏈路聚合)組網下配置Portal功能。如圖1-6所示,M-LAG將接入設備A和B連接起來形成M-LAG係統,該M-LAG係統作為一台Portal接入設備來使用,從而提供設備級冗餘保護和流量負載分擔。有關M-LAG的詳細介紹,請參見“二層技術-以太網交換配置指導”中的“M-LAG”。
在該組網中,若Portal用戶在本端M-LAG設備上通過認證,本端M-LAG設備會將用戶數據同步發送到對端M-LAG設備進行備份。當一端M-LAG設備發生故障時,對端M-LAG設備可以使用備份的用戶數據接替處理業務,從而保證用戶業務的正常運行。
圖1-6 Portal支持M-LAG功能組網圖
微分段可用於對網絡中的接入用戶進行基於微分段組的精細化訪問控製。當用戶通過Portal直接認證方式(非直接共享方式)上線後,如果RADIUS服務器上指定了要下發給該用戶的授權微分段,則設備會根據下發的授權微分段對用戶上線接口的數據流進行過濾,該用戶可以訪問授權微分段所在分組內的網絡資源。該功能僅在支持微分段的單板上支持。有關微分段的詳細介紹,請參見“安全配置指導”中的“微分段”。
同一授權VLAN下,配置用戶授權屬性時一個微分段ID僅支持綁定一條ACL規則。有關授權屬性的詳細介紹,請參見“安全配置指導”中的“AAA”。
Portal Critical微分段功能允許用戶在所有認證服務器都不可達的情況下訪問特定微分段資源,這些特定資源稱之為Critical微分段。目前,隻采用RADIUS認證方式的情況下,在所有RADIUS認證服務器都不可達後,用戶規則才會被加入Critical微分段中。若采用了其它認證方式,則用戶規則不會加入Critical微分段。
在接入控製方式為Portal直接認證(非直接共享方式)的接口上配置Critical微分段策略後,若該接口上有用戶認證時,所有認證服務器都不可達,則該接口上的用戶IP會被加入到Critical微分段中,該用戶將被授權訪問Critical微分段裏的資源。Critical微分段中的用戶再次發起認證時,如果所有認證服務器仍不可達,則該用戶仍然在Critical微分段內;如果服務器可達且認證失敗,則用戶將會離開Critical微分段;如果服務器可達且認證成功,則用戶離開Critical微分段。
僅FD係列接口板支持IPv6 Portal功能。
用戶進行Portal認證時,設備可將其HTTPS請求重定向到Portal Web服務器上。HTTPS重定向服務支持兩種本地證書:設備簽發的自簽名證書和CA簽發的本地證書。用戶可根據安全性要求和配置複雜度在如下兩種方案中進行選擇:
· 采用設備簽發的自簽名證書,此方式配置簡單但存在安全隱患。在該方式下,無需配置HTTPS重定向服務關聯的SSL服務器端策略,使用的SSL參數均為缺省值。但由於自簽名證書不是由可信的CA機構簽發而不受瀏覽器信任,當設備將HTTPS請求重定向到Portal Web服務器時,用戶瀏覽器上將會彈出安全風險提示,若用戶能夠接受使用自簽名證書帶來的安全風險,可選擇忽略此提示,繼續瀏覽網頁。
· 采用CA簽發的本地證書,此方式配置相對複雜但安全性較強。在該方式下,用戶需要獲取CA證書並向CA申請本地證書,同時配置SSL服務器端策略(指定的SSL服務器端策略名必須為https_redirect),並將其與HTTPS重定向服務進行關聯,來增強HTTPS重定向服務的安全性。
有關數字證書和SSL服務器端策略的詳細介紹,請分別參見“安全配置指導”中的“PKI”和“SSL”。請不要在AAA服務器或設備授權用戶的ACL中配置攜帶源IPv4/IPv6地址或源MAC地址信息的規則,否則,可能會導致引用該ACL的用戶不能正常上線。關於用戶授權ACL的詳細介紹,請參見“安全命令參考”中的“AAA”。
隻有通過Portal直接認證方式(非直接共享方式)上線的用戶,支持微分段下發。微分段無法與Portal直接認證的共享模式方式同時使能,若微分段和Portal直接認證的共享模式方式同時使能,Portal直接認證的共享模式方式優先生效。
Portal用戶在授權ACL中指定的微分段,默認為公網微分段。如果該微分段被配置在VPN實例內,會導致授權ACL查找不到微分段信息而無法生效。關於微分段的詳細介紹,請參見“安全配置指導”中的“微分段”。
表1-1 Portal配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
|
配置遠程Portal認證服務器 |
可選 |
||
|
配置Portal Web服務器 |
必選 |
||
|
開啟Portal認證 |
必選 |
||
|
引用Portal Web服務器 |
必選 |
||
|
配置Portal支持雙協議棧功能 |
如果用戶主機同時支持IPv4和IPv6兩種協議,則需要開啟本功能 |
||
|
控製Portal用戶的接入 |
配置免認證規則 |
可選 |
|
|
配置源認證網段 |
|||
|
配置目的認證網段 |
|||
|
配置第二類Portal過濾規則下發的完整性檢查功能 |
|||
|
配置Portal最大用戶數 |
|||
|
指定Portal用戶使用的認證域 |
|||
|
配置Portal認證前用戶使用的認證域 |
|||
|
配置Portal認證前用戶使用的地址池 |
|||
|
配置Portal支持Web代理 |
|||
|
配置Portal授權信息檢查模式 |
|||
|
配置Portal僅允許DHCP用戶上線 |
|||
|
配置Portal探測功能 |
配置Portal用戶的在線探測功能 |
可選 |
|
|
配置Portal認證服務器的可達性探測功能 |
|||
|
配置Portal Web服務器的可達性探測功能 |
|||
|
配置Portal用戶信息同步功能 |
|||
|
配置Portal用戶逃生功能 |
可選 |
||
|
配置Portal用戶使用的逃生策略模板及用戶逃生老化時間 |
可選 |
||
|
配置發送給Portal認證服務器的Portal報文的BAS-IP屬性 |
可選 |
||
|
配置接入設備的ID |
可選 |
||
|
配置接入設備發送的RADIUS請求報文的NAS-Port-Type屬性類型 |
可選 |
||
|
配置Portal用戶漫遊功能 |
可選 |
||
|
配置RADIUS NAS-Port-ID屬性格式 |
可選 |
||
|
強製在線Portal用戶下線 |
可選 |
||
|
配置Web重定向功能 |
可選 當設備上同時開啟Web重定向功能和Portal功能時,Web重定向功能失效 |
||
|
配置接口的NAS-ID Profile |
可選 |
||
|
配置本地Portal Web Server功能 |
可選 |
||
|
配置Portal客戶端ARP/ND表項固化功能 |
可選 |
||
|
配置HTTPS重定向功能 |
可選 |
||
|
配置基於MAC地址的快速認證 |
可選 |
||
|
配置基於IP地址的快速認證 |
可選 |
||
|
配置Portal支持M-LAG |
可選 |
||
|
開啟Portal用戶上/下線日誌功能 |
可選 |
||
|
配置Portal OAuth認證同步用戶信息的時間間隔 |
可選 |
||
|
指定通過查詢ARP/ND表項來獲取用戶信息 |
可選 在遠程Web認證組網中,必須配置本功能 |
||
Portal提供了一個用戶身份認證和安全認證的實現方案,但是僅僅依靠Portal不足以實現該方案。接入設備的管理者需選擇使用RADIUS認證方法,以配合Portal完成用戶的身份認證。Portal認證的配置前提:
· Portal認證服務器、Portal Web服務器、RADIUS服務器已安裝並配置成功。
· 若采用二次地址分配認證方式,接入設備需啟動DHCP中繼功能,另外需要安裝並配置好DHCP服務器。
· 用戶、接入設備和各服務器之間路由可達。
· 如果通過遠端RADIUS服務器進行認證,則需要在RADIUS服務器上配置相應的用戶名和密碼,然後在接入設備端進行RADIUS客戶端的相關設置。RADIUS客戶端的具體配置請參見“安全配置指導”中的“AAA”。
· 如果需要支持Portal的安全擴展功能,需要安裝並配置iMC EAD安全策略組件。同時保證在接入設備上的ACL配置和安全策略服務器上配置的隔離ACL的編號、安全ACL的編號對應。接入設備上與安全策略服務器相關的配置請參見“安全配置指導”中的“AAA”。安全策略服務器的配置請參考“iMC EAD安全策略組件聯機幫助”。
需要注意的是,安全策略服務器上配置ACL時,指定規則時不能指定源IP地址或者源MAC地址,否則會導致用戶無法上線。
在Portal認證組網環境中需要使用外部Portal認證服務器時,需要配置此特性。
Portal認證服務器視圖用於配置Portal認證服務器的相關參數,包括服務器的IP地址,服務器所在的VPN實例,設備和服務器間通信的共享密鑰,服務器探測功能等。
設備支持配置多個Portal認證服務器。
建議不要刪除正在被用戶使用的Portal認證服務器,否則會導致設備上的在線用戶無法正常下線。
設備向Portal認證服務器主動發送報文時使用的目的端口號(由port port-number配置)必須與遠程Portal認證服務器實際使用的監聽端口號保持一致。
配置的Portal認證服務器類型必須與認證所使用的服務器類型保持一致。
表1-2 配置Portal認證服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建Portal認證服務器,並進入Portal認證服務器視圖 |
portal server server-name |
缺省情況下,不存在Portal認證服務器 |
|
指定Portal認證服務器的IPv4地址 |
ip ipv4-address [ vpn-instance vpn-instance-name] [ key { cipher | simple } string ] |
至少選其一 缺省情況下,未指定Portal認證服務器的IP地址 |
|
指定Portal認證服務器的IPv6地址 |
ipv6 ipv6-address [ vpn-instance vpn-instance-name] [ key { cipher | simple } string ] |
|
|
(可選)配置接入設備主動向Portal認證服務器發送Portal報文時使用的UDP端口號 |
port port-number |
缺省情況下,接入設備主動發送Portal報文時使用的UDP端口號為50100 |
|
(可選)配置Portal認證服務器的類型 |
server-type { cmcc | imc } |
缺省情況下,Portal認證服務器類型為iMC服務器 |
|
(可選)配置設備定期向Portal認證服務器發送注冊報文 |
server-register [ interval interval-value ] |
缺省情況下,設備不會向Portal認證服務器發送注冊報文 |
Portal Web服務器是指Portal認證過程中向用戶推送認證頁麵的Web服務器,也是設備強製重定向用戶HTTP請求報文時所使用的Web服務器。Portal Web服務器視圖用於配置Web服務器的URL地址及設備重定向該URL地址給用戶時URL地址所攜帶的參數。同時該視圖還用於配置Portal Web服務器探測等功能。
可以配置多個Portal Web服務器。配置的Portal Web服務器類型必須與認證所使用的服務器類型保持一致。
iOS係統或者部分Android係統的用戶接入已開啟Portal認證的網絡後,設備會主動向這類用戶終端推送Portal認證頁麵。開啟Portal被動Web認證功能後,僅在這類用戶使用瀏覽器訪問Internet時,設備才會為其推送Portal認證頁麵。
重定向URL匹配規則用於控製重定向用戶的HTTP或HTTPS請求,該匹配規則可匹配用戶的Web請求地址或者用戶的終端信息。為了讓用戶能夠成功訪問重定向後的地址,需要通過portal free-rule命令配置免認證規則,放行去往該地址的HTTP或HTTPS請求報文。與url命令不同的是,重定向匹配規則可以靈活的進行地址的重定向,而url命令一般隻用於將用戶的HTTP或HTTPS請求重定向到Portal Web服務器進行Portal認證。在二者同時存在時,if-match命令優先進行地址的重定向。
表1-3 配置Portal Web服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建Portal Web服務器,並進入Portal Web服務器視圖 |
portal web-server server-name |
缺省情況下,不存在Portal Web服務器 |
|
指定Portal Web服務器所屬的VPN |
vpn-instance vpn-instance-name |
缺省情況下,Portal Web服務器位於公網中 |
|
指定Portal Web服務器的URL |
url url-string |
缺省情況下,未指定Portal Web服務器的URL |
|
配置設備重定向給用戶的Portal Web服務器的URL中攜帶的參數信息 |
url-parameter param-name { nas-id | nas-port-id | original-url | source-address | source-mac [ format section { 1 | 3 | 6 } { lowercase | uppercase } ] [ encryption { aes | des } key { cipher | simple } string ] | value expression } |
缺省情況下,未配置設備重定向給用戶的Portal Web服務器的URL中攜帶的參數信息 |
|
(可選)配置Portal Web服務器的類型 |
server-type { cmcc | imc | ise | oauth } |
缺省情況下,設備默認支持的Portal Web服務器類型為iMC服務器 |
|
(可選)開啟Portal被動Web認證功能 |
captive-bypass enable |
缺省情況下,Portal被動Web認證功能處於關閉狀態,即iOS係統和部分Android係統的用戶接入已開啟Portal認證的網絡後會自動彈出Portal認證頁麵 |
|
(可選)配置重定向URL的匹配規則 |
if-match { original-url url-string redirect-url url-string [ url-param-encryption { aes | des } key { cipher | simple } string ] | user-agent string redirect-url url-string } |
缺省情況下,不存在重定向URL的匹配規則 |
隻有在接口上開啟了Portal認證,對接入用戶的Portal認證功能才能生效。
開啟了Portal認證功能後,設備收到Portal報文時,首先根據報文的源IP地址和VPN信息查找本地配置的Portal認證服務器,若查找到相應的Portal認證服務器配置,則認為報文合法,並向該Portal認證服務器回應認證響應報文;否則,認為報文非法,將其丟棄。用戶上線後,將與認證過程中使用的Portal認證服務器進行後續的交互。
在接口上開啟Portal認證時,需要注意:
· Primary VLAN interface上配置Portal認證功能不生效。
· 對於DHCPv6中繼組網,如果同時開啟可跨三層IPv6 Portal認證方式,需要將DHCPv6服務器的IPv6地址配置為免認證規則的目的IPv6地址。
· 在開啟二次地址分配方式的Portal認證之前,需要保證開啟Portal的接口已配置或者獲取了合法的IP地址。
· 為保證以太網接口上的Portal功能生效,請不要將開啟Portal功能的以太網接口加入聚合組。
· 當接入設備和Portal用戶之間跨越三層設備時,隻能配置可跨三層Portal認證方式(layer3),但可跨三層Portal認證方式不要求接入設備和Portal用戶之間必需跨越三層設備。
· 在二次地址分配認證方式下,接口上配置的授權ARP後,係統會禁止該接口動態學習ARP表項,隻有通過DHCP合法分配到公網IP地址的用戶的ARP報文才能夠被學習。因此,為保證隻有合法用戶才能接入網絡,建議使用二次地址分配認證方式的Portal認證時,接口上同時配置了授權ARP功能。
· 為了確保Portal用戶能在開啟二次地址分配認證方式的接口上成功進行Portal認證,必須確保Portal認證服務器上指定的設備IP與設備BAS-IP或BAS-IPv6屬性值保持一致。可以通過portal { bas-ip | bas-ipv6 }命令來配置該屬性值。
· IPv6 Portal服務器不支持二次地址分配方式的Portal認證。
· 允許在接口上同時開啟IPv4 Portal認證和IPv6 Portal認證。
· 接口下不能同時開啟共享模式的Portal認證功能並配置接口的MAC地址數學習上限(通過mac-address max-mac-count命令配置)。
· portal enable method direct shared命令與二層認證(802.1x、MAC地址認證、Web認證、端口安全)不能同時配置。
· 配置portal enable method direct shared命令的接口所屬VLAN下不能使能STP、RRPP、PVST功能。
· 執行undo mac-address命令不會對配置portal enable method direct shared命令的VLAN接口的MAC地址進行刪除。
Portal支持HTTP和HTTPS重定向。設備對HTTPS報文進行重定向的內部偵聽端口號缺省為6654。如果需要修改該端口號,具體配置請參見“三層技術-IP業務配置指導”中的“HTTP重定向”。
需要注意的是,不支持在以下接口板的接口上開啟IPv6 Portal認證,並指定認證方式:
· 下列SA係列接口板:LSQM2GP24TSSA8、LSQM2GP48SA8和LSQM2GT48SA8
· SC係列接口板
表1-4 開啟Portal認證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
隻能是三層接口 |
|
開啟IPv4 Portal認證,並指定認證方式 |
portal enable method { direct [ shared ] | layer3 | redhcp [ shared ] } |
至少選其一 缺省情況下,接口上的Portal認證功能處於關閉狀態 |
|
開啟IPv6 Portal認證,並指定認證方式 |
portal ipv6 enable method { direct [ shared ] | layer3 } |
在接口上引用指定的Portal Web服務器後,設備會將該接口綁定的BSS接口上Portal用戶的HTTP請求報文重定向到該Web服務器。
一個接口上可以同時引用一個IPv4 Portal Web服務器和一個IPv6 Portal Web認證服務器。
需要注意的是,不支持在以下接口板的接口上引用IPv6 Portal Web服務器:
· 下列SA係列接口板:LSQM2GP24TSSA8、LSQM2GP48SA8和LSQM2GT48SA8
· SC係列接口板
表1-5 引用Portal Web服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
隻能是三層接口 |
|
引用IPv4 Portal Web服務器 |
portal apply web-server server-name [ fail-permit | secondary ] |
至少選其一 缺省情況下,接口上未引用Portal Web服務器 |
|
引用IPv6 Portal Web服務器 |
portal ipv6 apply web-server server-name [ fail-permit | secondary ] |
用戶主機同時支持IPv4和IPv6兩種協議時,可能會產生兩種協議類型的流量。如果用戶隻通過IPv4 Portal或IPv6 Portal其中一種認證,就隻能訪問對應協議棧的網絡資源。例如,用戶通過IPv4 Portal認證後隻能訪問IPv4協議棧的網絡資源,不能訪問IPv6協議棧的網絡資源。在同時配置了IPv4 Portal直接認證和IPv6 Portal直接認證的接口上,開啟本功能後,用戶隻需要通過IPv4 Portal或IPv6 Portal認證其中任何一種,就可以訪問IPv4和IPv6兩種協議棧對應的網絡資源。
Portal支持雙協議棧功能的運行機製如下:
(1) 第一協議棧(IPv4或IPv6)Portal用戶上網時,在認證頁麵中輸入用戶名和密碼,若通過IPv4或IPv6 Portal認證,則可訪問對應協議棧的網絡資源。
(2) 設備將通過IPv4或IPv6 Portal認證的用戶的MAC地址和IP地址記錄在Portal用戶表項中。
(3) 設備收到該用戶的第二協議棧(IPv6或IPv4)任意報文時,如果報文中的源MAC地址與記錄在Portal用戶表項中的MAC地址相同,則允許其訪問對應協議棧的網絡資源,不需要再次進行認證。
僅當接口上同時開啟直接認證方式的IPv4 和IPv6 Portal認證功能時,開啟本功能才生效。
表1-6 開啟Portal支持雙協議棧功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
隻能是三層接口 |
|
開啟Portal支持雙協議棧功能 |
portal dual-stack enable |
缺省情況下,Portal支持雙協議棧功能處於關閉狀態 |
通過配置免認證規則可以讓特定的用戶不需要通過Portal認證即可訪問外網特定資源,這是由免認證規則中配置的源信息以及目的信息決定的。
免認證規則的匹配項包括主機名、IP地址、TCP/UDP端口號、MAC地址、目的IP地址所屬微分段參數(包括VPN和微分段ID)所連接設備的接口和VLAN,隻有符合免認證規則的用戶報文才不會觸發Portal認證,因此這些報文所屬的用戶才可以直接訪問網絡資源。
配置免認證規則時,需要注意:
· 如果免認證規則中同時配置了接口和VLAN,則要求接口屬於指定的VLAN,否則該規則無效。
· 相同內容的免認證規則不能重複配置,否則提示免認證規則已存在或重複。
· 無論接口上是否開啟Portal認證,隻能添加或者刪除免認證規則,不能修改。
· 在免認證規則中配置目的微分段功能之前,請先開啟微分段功能。如果微分段功能配置中指定了VPN實例,請確保VPN實例已創建,否則該規則無效。當微分段功能關閉時,如果需要免認證規則中的微分段規則立馬失效,請手動刪除該條配置。該功能僅在支持微分段的單板上支持。有關微分段功能的詳細介紹,請參見“安全配置指導”中“微分段”。
· 不支持在以下接口板的接口上配置基於IPv6地址的Portal免認證規則:
¡ 下列SA係列接口板:LSQM2GP24TSSA8、LSQM2GP48SA8和LSQM2GT48SA8
¡ SC係列接口板
表1-7 配置基於IP地址的免認證規則
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置基於IPv4地址的Portal免認證規則 |
portal free-rule rule-number { destination ip { ipv4-address { mask-length | mask } | any | microsegment microsegment-id [ vpn-instance vpn-instance-name ] } [ tcp tcp-port-number | udp udp-port-number ] | source ip { ipv4-address { mask-length | mask } | any | microsegment microsegment-id [ vpn-instance vpn-instance-name ] } [ tcp tcp-port-number | udp udp-port-number ] } * [ interface interface-type interface-number ] |
缺省情況下,不存在基於IPv4地址的Portal免認證規則 |
|
配置基於IPv6地址的Portal免認證規則 |
portal free-rule rule-number { destination ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] | source ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] } * [ interface interface-type interface-number ] |
缺省情況下,不存在基於IPv6地址的Portal免認證規則 |
表1-8 配置基於源的免認證規則
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置基於源的Portal免認證規則 |
portal free-rule rule-number source { interface interface-type interface-number | mac mac-address [ mac-address-mask ] | vlan vlan-id } * |
缺省情況下,不存在基於源的Portal免認證規則 配置vlan關鍵字僅對通過VLAN接口接入的Portal用戶生效。 |
表1-9 配置基於目的的免認證規則
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置基於目的Portal免認證規則 |
portal free-rule rule-number destination host-name |
缺省情況下,不存在基於目的的Portal免認證規則 配置本功能前,請確保組網中已部署DNS服務器 |
通過配置源認證網段實現隻允許在源認證網段範圍內的用戶HTTP報文才能觸發Portal認證。如果未認證用戶的HTTP報文既不滿足免認證規則又不在源認證網段內,則將被接入設備丟棄。
配置源認證網段時,需要注意:
· 源認證網段配置僅對可跨三層Portal認證有效。
· 直接認證方式和二次地址分配認證方式下,用戶與接入設備上開啟Portal的接口在同一個網段,因此配置源認證網絡沒有實際意義,若配置了非用戶接入的網段為源認證網段,則用戶認證會失敗。對於直接認證方式,接入設備認為接口上的源認證網段為任意源IP;對於二次地址分配認證方式,接入設備認為接口上的源認證網段為接口私網IP決定的私網網段。
· 如果接口上同時配置了源認證網段和目的認證網段,則源認證網段的配置不會生效。
· 設備上可以配置多條源認證網段。若配置了網段地址範圍有所覆蓋或重疊的源認證網段,則僅其中地址範圍最大(子網掩碼或地址前綴最小)的一條源認證網段配置生效。
表1-10 配置IPv4 Portal源認證網段
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置IPv4 Portal源認證網段 |
portal layer3 source ipv4-network-address { mask-length | mask } |
缺省情況下,未配置IPv4 Portal源認證網段,表示對任意IPv4用戶都進行Portal認證 |
表1-11 配置IPv6 Portal源認證網段
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置IPv6 Portal源認證網段 |
portal ipv6 layer3 source ipv6-network-address prefix-length |
缺省情況下, 未配置IPv6 Portal源認證網段,表示對任意IPv6用戶都進行Portal認證 |
通過配置目的認證網段實現僅對要訪問指定目的網段(除免認證規則中指定的目的IP地址或網段)的用戶進行Portal認證,用戶訪問非目的認證網段時無需認證,可直接訪問。
配置目的認證網段時,需要注意:
· 如果接口下同時配置了源認證網段和目的認證網段,則源認證網段的配置無效。
· 設備上可以配置多條目的認證網段。若配置了網段地址範圍有所覆蓋或重疊的目的認證網段,則僅其中地址範圍最大(子網掩碼或地址前綴最小)的一條目的認證網段配置生效。
|
portal free-all except destination ipv4-network-address { mask-length | mask } |
表1-13 配置IPv6 Portal目的認證網段
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置IPv6 Portal目的認證網段 |
portal ipv6 free-all except destination ipv6-network-address prefix-length |
缺省情況下,未配置IPv6 Portal目的認證網段,表示對訪問任意目的網段的用戶都進行Portal認證 |
缺省情況下,用戶通過認證後,隻要有一塊單板成功下發第二類Portal過濾規則,用戶就可以上線,對於通過全局接口接入的用戶,上線後可能會無法正常訪問網絡。開啟本功能後,隻有設備上所有單板都成功下發第二類Portal過濾規則,才會允許用戶上線。在全局接口上使能Portal認證時,建議配置下發第二類Portal過濾規則的完整性檢查功能,可確保用戶上線後可以正常訪問網絡。
表1-14 配置第二類Portal過濾規則下發的完整性檢查功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置第二類Portal過濾規則下發的完整性檢查功能 |
portal user-rule assign-check enable |
缺省情況下,第二類Portal過濾規則下發的完整性檢查功能處於關閉狀態 |
通過配置可以控製係統中的全局Portal接入用戶總數和每個接口上的最大Portal用戶數(包括IPv4 Portal用戶和IPv6 Portal用戶)。
配置portal最大用戶數時,需要注意的是:
· 如果配置的全局Portal最大用戶數小於當前已經在線的Portal用戶數,則配置可以執行成功,且在線Portal用戶不受影響,但係統將不允許新的Portal用戶接入。
· 建議接口上配置的最大IPv4 Portal用戶數和最大IPv6 Portal用戶數之和不超過配置的接口最大Portal用戶數,否則會有部分Portal用戶因為接口最大用戶數已達到上限而無法上線。
· 設備支持多種方式配置Portal最大用戶數,多種方式同時配置時,具體生效情況如下:
¡ 如果設備接口上未開啟Portal支持雙協議棧功能,Portal最大用戶數為以下配置項的最小值:
- 接口上允許的最大IPv4或IPv6 Portal用戶數。
- 接口上允許的最大Portal用戶數。
- 全局Portal最大用戶數。
¡ 如果設備接口上開啟了Portal支持雙協議棧功能,Portal最大用戶數為以下配置項的最小值:
- 接口上允許的最大Portal用戶數。
- 全局Portal最大用戶數。
· 如果接口上配置的Portal最大用戶數小於當前接口上已經在線的Portal用戶數,則配置可以執行成功,且在線Portal用戶不受影響,但係統將不允許新的Portal用戶從該接口接入。
· 建議將全局最大Portal用戶數配置為所有開啟Portal的接口上的最大IPv4 Portal用戶數和最大IPv6 Portal用戶數之和,但不超過整機最大Portal用戶數,否則會有部分Portal用戶因為整機最大用戶數已達到而無法上線。
表1-15 配置全局Portal最大用戶數
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置全局Portal最大用戶數 |
portal max-user max-number |
缺省情況下,不限製Portal最大用戶數 |
表1-16 配置Portal最大用戶數
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置Portal最大用戶數 |
portal { ipv4-max-user | ipv6-max-user | max-user } max-number |
缺省情況下,接口上的Portal最大用戶數不受限製 |
每個Portal用戶都屬於一個認證域,且在其所屬的認證域內進行認證/授權/計費,認證域中定義了一套認證/授權/計費的策略。
通過在指定接口上配置Portal用戶使用的認證域,使得所有從該接口接入的Portal用戶被強製使用指定的認證域來進行認證、授權和計費。即使Portal用戶輸入的用戶名中攜帶的域名相同,接入設備的管理員也可以通過該配置使得不同接口上接入的Portal用戶使用不同的認證域,從而增加管理員部署Portal接入策略的靈活性。
從指定接口上接入的Portal用戶將按照如下先後順序選擇認證域:接口上指定的Portal用戶使用的ISP域-->用戶名中攜帶的ISP域-->係統缺省的ISP域。關於缺省ISP域的相關介紹請參見“安全配置指導”中的“AAA”。
接口上可以同時指定IPv4 Portal用戶和IPv6 Portal用戶的認證域。
對於認證域中指定的授權ACL,需要注意的是:
· 如果有流量匹配上該授權ACL規則,設備將按照規則中指定的permit或deny動作進行處理。
· 如果沒有流量匹配上該授權ACL規則,設備將允許所有報文通過,用戶可以直接訪問網絡。
· 如果需要禁止未匹配上ACL規則的報文通過,請確保授權ACL中的最後一條規則為拒絕所有流量(由rule deny ip命令配置)。
· 該授權ACL中不要配置源IPv4/IPv6地址或源MAC地址信息,否則,可能會導致引用該ACL的用戶不能正常上線。
· 不支持在以下接口板的接口上指定IPv6 Portal用戶使用的認證域:
¡ 下列SA係列接口板:LSQM2GP24TSSA8、LSQM2GP48SA8和LSQM2GT48SA8
¡ SC係列接口板
表1-17 指定IPv4 Portal用戶使用的認證域
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
指定IPv4 Portal用戶使用的認證域 |
portal domain domain-name |
缺省情況下,未指定IPv4 Portal用戶使用的認證域 |
表1-18 指定IPv6 Portal用戶使用的認證域
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
指定IPv6 Portal用戶使用的認證域 |
portal ipv6 domain domain-name |
缺省情況下,未指定IPv6 Portal用戶使用的認證域 |
開啟了Portal的接口上配置了認證前用戶使用的認證域(簡稱為認證前域)時,當該接口上接入的未經過Portal認證的用戶在通過DHCP獲取到IP地址之後,將被Portal授予認證前域內配置的相關授權屬性(目前包括ACL、User Profile),並根據授權信息獲得相應的網絡訪問權限。若該接口上的DHCP用戶後續觸發了Portal認證,則認證成功之後會被AAA下發新的授權屬性。之後,若該用戶下線,則又被重新授予認證前域中的授權屬性。
該配置隻對采用DHCP或DHCPv6分配IP地址的用戶生效。
該配置在可跨三層認證方式的接口上不生效。
配置Portal認證前域時,請確保被引用的ISP域已創建。如果Portal認證前域引用的ISP域不存在或者引用過程中該ISP域被刪除後,又重新創建該域,請刪除Portal認證前域(執行undo portal [ ipv6 ] pre-auth domain命令)後重新配置。
對於認證前域中指定的授權ACL,需要注意的是:
· 如果該授權ACL不存在,或者配置的規則中允許訪問的目的IP地址為“any”,則表示不對用戶的訪問進行限製,用戶可以直接訪問網絡。
· 如果該授權ACL中沒有配置任何規則,則表示對用戶的所有訪問進行限製,用戶需要通過認證才可以訪問網絡。
· 該授權ACL中不要配置源地址信息,如果該授權ACL中配置了源地址信息,則該授權ACL下發後將會導致用戶不能正常上線。
· 如果該授權ACL是IPv4 ACL,則隻支持在該授權ACL中配置目的IPv4地址、IPv4承載的協議類型、DSCP優先級、TCP/UDP源端口號、TCP/UDP目的端口號;
· 如果該授權ACL是IPv6 ACL,則隻支持在該授權ACL中配置目的IPv6地址、IPv6承載的協議類型、DSCP優先級、TCP/UDP源端口號、TCP/UDP目的端口號;
· 如果該授權ACL是二層ACL,則隻支持在該授權ACL中配置目的MAC地址、鏈路層協議類型。
表1-19 配置Portal認證前用戶使用的認證域
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置Portal認證前用戶使用的認證域 |
portal [ ipv6 ] pre-auth domain domain-name |
缺省情況下,接口上未配置Portal認證前用戶使用的認證域 |
在Portal用戶通過設備的子接口接入網絡的組網環境中,當子接口上未配置IP地址,且用戶需要通過DHCP獲取地址時,就必須在用戶進行Portal認證之前為其分配一個IP地址使其可以進行Portal認證。
Portal用戶接入到開啟了Portal的接口上後,該接口就會按照下麵的規則為其分配IP地址:
· 如果接口上配置了IP地址,但沒有配置認證前使用的地址池,則用戶可以使用客戶端上靜態配置的IP地址或者通過DHCP獲取分配的IP地址。
· 如果接口上配置了認證前使用的地址池,當用戶通過DHCP獲取IP地址時,接口從指定的認證前的地址池中為其分配IP地址;否則,用戶使用客戶端上靜態配置的IP地址。但是如果接口上沒有配置IP地址,則客戶端使用靜態IP地址將無法認證成功。
· 若接口上沒有配置IP地址,且沒有配置認證前使用的地址池,則用戶無法進行認證。
Portal用戶使用靜態配置或動態獲取的IP地址進行Portal認證,並通過認證後,認證服務器會為其下發授權IP地址池,且由DHCP重新為其分配IP地址。如果認證服務器未下發授權IP地址池,則用戶繼續使用認證之前獲得的IP地址。
配置Portal認證前用戶使用的地址池時,需要注意的是:
· 僅當接口使用直接認證方式情況下,本配置才能生效。
· 當使用接口上指定的IP地址池為認證前的Portal用戶分配IP地址時,該指定的IP地址池必須存在且配置完整,否則無法為Portal用戶分配IP地址,並導致用戶無法進行Portal認證。
· 若Portal用戶不進行認證,或認證失敗,已分配的地址不會被收回。
表1-20 配置Portal認證前用戶使用的地址池
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置Portal認證前用戶使用的地址池 |
portal [ ipv6 ] pre-auth ip-pool pool-name |
缺省情況下,接口上未配置Portal認證前用戶使用的地址池 |
設備默認隻允許未配置Web代理服務器的用戶瀏覽器發起的HTTP請求才能觸發Portal認證。若用戶使用配置了Web代理服務器的瀏覽器上網,則用戶的這類HTTP請求報文將被丟棄,而不能觸發Portal認證。這種情況下,網絡管理員可以通過在設備上添加Web代理服務器的TCP端口號,來允許使用Web代理服務器的用戶瀏覽器發起的HTTP請求也可以觸發Portal認證。
配置Portal認證Web代理服務器端口號時,需要注意的是:
· 如果用戶瀏覽器采用WPAD(Web Proxy Auto-Discovery,Web代理服務器自動發現)方式自動配置Web代理,則不僅需要網絡管理員在設備上添加Web代理服務器端口,還需要配置免認證規則,允許目的IP為WPAD主機IP地址的用戶報文免認證。
· 除了需要網絡管理員在設備上添加指定的Web代理服務器端口,還需要用戶在瀏覽器上將Portal認證服務器的IP地址配置為Web代理服務器的例外地址,避免Portal用戶發送給Portal認證服務器的HTTP報文被發送到Web代理服務器上,從而影響正常的Portal認證。
· 目前,不支持配置Portal認證Web代理服務器的端口號為443。
表1-21 配置允許觸發Portal認證的Web代理服務器端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
|
|
配置允許觸發Portal認證的Web代理服務器端口 |
portal web-proxy port port-number |
缺省情況下,不存在允許觸發Portal認證的Web代理服務器端口 多次配置本命令可以添加多個Web代理服務器的TCP端口號 |
嚴格檢查模式用於配合服務器上的用戶授權控製策略,它僅允許接口上成功下發了授權信息的用戶在線。
表1-22 配置Portal授權信息嚴格檢查模式
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
開啟Portal授權信息的嚴格檢查模式 |
portal authorization { acl | user-profile } strict-checking |
缺省情況下,Portal授權信息處於非嚴格檢查模式,即當認證服務器下發的授權ACL、User Profile在設備上不存在或者下發失敗時,允許Portal用戶在線 |
· 當認證服務器下發的授權ACL、User Profile在設備上不存在或者下發失敗時,設備將強製Portal用戶下線。
· 若同時開啟了對授權ACL和對授權User Profile的嚴格檢查模式,則隻要其中任意一個授權屬性未通過嚴格授權檢查,則用戶就會下線。
為了保證隻有合法IP地址的用戶能夠接入,可以配置僅允許DHCP用戶上線功能。
Portal雙棧認證組網中,本配置僅對第一協議棧用戶生效,對第二協議棧用戶不生效。
此配置不會影響已經在線的用戶。
表1-23 配置Portal僅允許DHCP用戶上線功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
開啟Portal僅允許DHCP用戶上線功能 |
portal [ ipv6 ] user-dhcp-only |
缺省情況下,通過DHCP方式獲取IP地址的客戶端和配置靜態IP地址的客戶端都可以上線 |
· 配置本功能後,IP地址為靜態配置的Portal認證用戶將不能上線。
· 在IPv6網絡中,配置本功能後,終端仍會使用臨時IPv6地址進行Portal認證,從而導致認證失敗,所以終端必須關閉臨時IPv6地址。
IPv4探測類型為ARP或ICMP,IPv6探測類型為ND或ICMPv6。
根據探測類型的不同,設備有以下兩種探測機製:
· 當探測類型為ICMP/ICMPv6時,若設備發現一定時間(idle time)內接口上未收到某Portal用戶的報文,則會向該用戶定期(interval interval)發送探測報文。如果在指定探測次數(retry retries)之內,設備收到了該用戶的響應報文,則認為用戶在線,且停止發送探測報文,重複這個過程,否則,強製其下線。
· 當探測類型為ARP/ND時,若設備發現一定時間(idle time)內接口上未收到某Portal用戶的報文,則會向該用戶發送ARP/ND請求報文。設備定期(interval interval)檢測用戶ARP/ND表項是否被刷新過,如果在指定探測次數(retry retries)內用戶ARP/ND表項被刷新過,則認為用戶在線,且停止檢測用戶ARP/ND表項,重複這個過程,否則,強製其下線。
ARP和ND方式的探測隻適用於直接方式和二次地址分配方式的Portal認證。ICMP方式的探測適用於所有認證方式。
表1-24 配置IPv4 Portal用戶在線探測功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
開啟IPv4 Portal用戶在線探測功能 |
portal user-detect type { arp | icmp } [ retry retries ] [ interval interval ] [ idle time ] |
缺省情況下,接口上的IPv4 Portal用戶在線探測功能處於關閉狀態 |
表1-25 配置IPv6 Portal用戶在線探測功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
開啟IPv6 Portal用戶在線探測功能 |
portal ipv6 user-detect type { icmpv6 | nd } [ retry retries ] [ interval interval ] [ idle time ] |
缺省情況下,接口上的IPv6 Portal用戶在線探測功能處於關閉狀態 |
在Portal認證的過程中,如果接入設備與Portal認證服務器的通信中斷,則會導致新用戶無法上線,已經在線的Portal用戶無法正常下線的問題。為解決這些問題,需要接入設備能夠及時探測到Portal認證服務器可達狀態的變化,並能觸發執行相應的操作來應對這種變化帶來的影響。
開啟Portal認證服務器的可達性探測功能後,設備會定期檢測Portal認證服務器發送的報文(例如,用戶上線報文、用戶下線報文、心跳報文)來判斷服務器的可達狀態:若設備在指定的探測超時時間(timeout timeout)內收到Portal報文,且驗證其正確,則認為此次探測成功且服務器可達,否則認為此次探測失敗,服務器不可達。
當接入設備檢測到Portal認證服務器可達或不可達狀態改變時,可執行以下一種或多種操作:
· 發送Trap信息:Portal認證服務器可達或者不可達的狀態改變時,向網管服務器發送Trap信息。Trap信息中記錄了Portal認證服務器名以及該服務器的當前狀態。
· 發送日誌:Portal認證服務器可達或者不可達的狀態改變時,發送日誌信息。日誌信息中記錄了Portal認證服務器名以及該服務器狀態改變前後的狀態。
· Portal用戶逃生:Portal認證服務器不可達時,暫時取消接口上進行的Portal認證,允許該接口接入的所有Portal用戶訪問網絡資源。之後,若設備收到Portal認證服務器發送的報文,則恢複該端口的Portal認證功能。該功能的詳細配置請參見“1.12 配置Portal用戶逃生功能”。
配置Portal認證服務器的可達性探測功能時,需要注意:
· 隻有當設備上存在開啟Portal認證的接口時,Portal認證服務器的可達性探測功能才生效。
· 目前,隻有iMC的Portal認證服務器支持發送心跳報文,由於心跳報文是周期性發送的,所以iMC的Portal認證服務器可以更好得與設備配合,使其能夠及時而準確地探測到它的可達性狀態。如果要采用心跳報文探測Portal服務器的可達性,服務器上必須保證逃生心跳功能處於開啟狀態。
· 如果同時指定了多種操作,則Portal認證服務器可達狀態改變時係統可並發執行多種操作。
· 設備配置的探測超時時間(timeout timeout)必須大於服務器上配置的逃生心跳間隔時間。
表1-26 配置Portal認證服務器的可達性探測功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入Portal認證服務器視圖 |
portal server server-name |
- |
|
開啟Portal認證服務器的可達性探測功能 |
server-detect [ timeout timeout ] { log | trap } * |
缺省情況下,Portal服務器可達性探測功能處於關閉狀態 |
在Portal認證的過程中,如果接入設備與Portal Web服務器的通信中斷,將無法完成整個認證過程,因此必須對Portal Web服務器的可達性進行探測。
由於Portal Web服務器用於對用戶提供Web服務,不需要和設備交互報文,因此無法通過發送某種協議報文的方式來進行可達性檢測。開啟了Portal Web服務器的可達性探測功能之後,接入設備采用模擬用戶進行Web訪問的過程來實施探測:接入設備主動向Portal Web服務器發起TCP連接,如果連接可以建立,則認為此次探測成功且服務器可達,否則認為此次探測失敗。
· 探測參數
¡ 探測間隔:進行探測嚐試的時間間隔。
¡ 失敗探測的最大次數:允許連續探測失敗的最大次數。若連續探測失敗數目達到此值,則認為服務器不可達。
· 可達狀態改變時觸發執行的操作(可以選擇其中一種或同時使用多種)
¡ 發送Trap信息:Portal Web服務器可達或者不可達的狀態改變時,向網管服務器發送Trap信息。Trap信息中記錄了Portal Web服務器名以及該服務器的當前狀態。
¡ 發送日誌:Portal Web服務器可達或者不可達的狀態改變時,發送日誌信息。日誌信息中記錄了Portal Web服務器名以及該服務器狀態改變前後的狀態。
¡ Portal用戶逃生:Portal Web服務器不可達時,暫時取消端口進行的Portal認證,允許該端口接入的所有Portal用戶訪問網絡資源。之後,若Portal Web服務器可達,則恢複該端口的Portal認證功能。該功能的詳細配置請參見“1.12 配置Portal用戶逃生功能”。
表1-27 配置Portal Web服務器的可達性探測功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入Portal Web服務器視圖 |
portal web-server server-name |
- |
|
開啟Portal Web服務器的可達性探測功能 |
server-detect [ interval interval ] [ retry retries ] { log | trap } * |
缺省情況下,Portal Web認證服務器的可達性探測功能處於關閉狀態 |
為了解決接入設備與Portal認證服務器通信中斷後,兩者的Portal用戶信息不一致問題,設備提供了一種Portal用戶信息同步功能。該功能利用了Portal同步報文的發送及檢測機製,具體實現如下:
(1) 由Portal認證服務器周期性地(周期為Portal認證服務器上指定的用戶心跳間隔值)將在線用戶信息通過用戶同步報文發送給接入設備;
(2) 接入設備在用戶上線之後,即開啟用戶同步檢測定時器(超時時間為timeout timeout),在收到用戶同步報文後,將其中攜帶的用戶列表信息與自己的用戶列表信息進行對比,如果發現同步報文中有設備上不存在的用戶信息,則將這些自己沒有的用戶信息反饋給Portal認證服務器,Portal認證服務器將刪除這些用戶信息;如果發現接入設備上的某用戶信息在一個用戶同步報文的檢測超時時間內,都未在該Portal認證服務器發送過來的用戶同步報文中出現過,則認為Portal認證服務器上已不存在該用戶,設備將強製該用戶下線。
使用Portal用戶信息同步功能時,需要注意:
· 隻有在支持Portal用戶心跳功能(目前僅iMC的Portal認證服務器支持)的Portal認證服務器的配合下,本功能才有效。為了實現該功能,還需要在Portal認證服務器上選擇支持用戶心跳功能,且服務器上配置的用戶心跳間隔要小於等於設備上配置的檢測超時時間。
· 在設備上刪除Portal認證服務器時將會同時刪除該服務器的用戶信息同步功能配置。
表1-28 配置Portal用戶信息同步功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入Portal認證服務器視圖 |
portal server server-name |
- |
|
開啟Portal用戶信息同步功能 |
user-sync timeout timeout |
缺省情況下,Portal用戶信息同步功能處於關閉狀態 |
當接入設備探測到Portal認證服務器或者Portal Web服務器不可達時,可打開接口上的網絡限製,允許Portal用戶不需經過認證即可訪問網絡資源,也就是通常所說的Portal逃生功能。
如果接口同時開啟了Portal認證服務器不可達時的Portal用戶逃生功能和Portal Web服務器不可達時的Portal用戶逃生功能,則當任意一個服務器不可達時,即取消接口的Portal認證功能,當兩個服務器均恢複可達性後,再重新啟動Portal認證功能。重新啟動接口的Portal認證功能之後,未通過認證的用戶需要通過認證之後才能訪問網絡資源,已通過認證的用戶可繼續訪問網絡資源。Portal雙棧認證組網中,本配置僅對第一協議棧用戶生效,對第二協議棧用戶不生效。
表1-29 配置Portal用戶逃生功能(接口視圖)
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
開啟Portal認證服務器不可達時的Portal用戶逃生功能 |
portal [ ipv6 ] fail-permit server server-name |
缺省情況下,設備探測到Portal認證服務器不可達時,不允許Portal用戶逃生 |
|
開啟Portal Web服務器不可達時的Portal用戶逃生功能 |
portal [ ipv6 ] fail-permit web-server |
缺省情況下,設備探測到Portal Web服務器不可達時,不允許Portal用戶逃生 |
Portal逃生微分段功能是指,當用戶采用直接方式進行Portal認證上線且AAA認證服務器不可達時,用戶采用接口配置的逃生微分段策略跳過認證授權直接上線,下發逃生微分段用戶規則,允許Portal用戶不需經過認證即可訪問微分段限製的網絡資源。
在Portal用戶認證的接口上,引用逃生策略模板後,接口上的用戶將在沒有認證服務器可用時,被授權訪問逃生策略模板內配置的相關資源,例如Critical微分段。對於VPN中的用戶,將會優先采用逃生策略模板中配置的對應VPN實例的逃生資源,其次采用逃生策略模板下的缺省逃生資源。有關逃生策略模板的詳細介紹,請參見“安全配置指導”中的“AAA”。
通過配置Critical微分段中Portal認證用戶逃生老化時間,可以控製係統中Portal認證逃生用戶的數量,當用戶逃生老化時間超時後,Portal用戶將下線。可以避免同一用戶長時間處於逃生狀態,占用過多的係統資源。
配置Portal用戶使用的逃生策略模板前,需開啟微分段功能。同時,接口下Portal配置的逃生微分段策略必須與AAA配置的逃生策略保持一致。
Portal雙棧認證組網中,第二協議棧使用的微分段屬性受第一協議棧上線的逃生微分段策略中獲取的微分段屬性限製。
用戶在線探測等功能對Portal逃生微分段用戶不生效。微分段逃生策略配置更改會導致已上線的逃生微分段用戶下線。
表1-30 配置Portal用戶使用的逃生策略模板及用戶逃生老化時間
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置Critical微分段中Portal認證用戶逃生老化時間 |
portal critical-microsegment aging-time minutes |
缺省情況下,Critical微分段中Portal認證用戶逃生老化時間為10分鍾 |
|
進入三層接口視圖 |
interface interface-type interface-number |
- |
|
開啟Portal認證服務器不可達時的Portal用戶逃生功能 |
portal [ ipv6 ] critical profile profile-name |
缺省情況下,未指定Portal認證用戶使用的逃生策略模板 |
設備上運行Portal 2.0版本時,主動發送給Portal認證服務器的報文(例如強製用戶下線報文)中必須攜帶BAS-IP屬性。設備上運行Portal 3.0版本時,主動發送給Portal認證服務器的報文必須攜帶BAS-IP或者BAS-IPv6屬性。
如果接口上開啟了IPv4 Portal認證,則可以設置BAS-IP屬性值;如果接口上開啟了IPv6 Portal認證,則可以設置BAS-IPv6屬性值。
配置此功能後,設備主動發送的通知類Portal報文,其源IP地址為配置的BAS-IP或BAS-IPv6屬性值,否則為Portal報文出接口的IP地址。由於在設備進行二次地址分配認證和強製Portal用戶下線過程中,均需要設備主動向Portal認證服務器發送相應的通知類Portal報文,因此,為了保證二次地址分配認證方式下Portal用戶可以成功上線,以及設備可以成功通知Portal認證服務器用戶下線,需要保證該屬性值與Portal認證服務器上指定的設備IP一致。
需要注意的是,不支持在以下接口板的接口上配置發送給Portal認證服務器的IPv6 Portal報文的BAS-IPv6屬性:
· 下列SA係列接口板:LSQM2GP24TSSA8、LSQM2GP48SA8和LSQM2GT48SA8
· SC係列接口板
表1-31 配置發送給Portal認證服務器的Portal報文的BAS-IP屬性
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置發送給Portal認證服務器的IPv4 Portal報文的BAS-IP屬性 |
portal bas-ip ipv4-address |
缺省情況下,發送給Portal認證服務器的響應類的IPv4 Portal報文中攜帶的BAS-IP屬性為報文的源IPv4地址,通知類IPv4 Portal報文中攜帶的BAS-IP屬性為報文出接口的IPv4地址 |
|
配置發送給Portal認證服務器的IPv6 Portal報文的BAS-IPv6屬性 |
portal bas-ipv6 ipv6-address |
缺省情況下,發送給Portal認證服務器的響應類的IPv6 Portal報文中攜帶的BAS-IPv6屬性為報文的源IPv6地址,通知類IPv6 Portal報文中攜帶的BAS-IPv6屬性為報文出接口的IPv6地址 |
通過配置接入設備的ID,使得接入設備向Portal認證服務器發送的協議報文中攜帶一個屬性,此屬性用於向Portal服務器標識發送協議報文的接入設備。
不同設備的設備ID不能相同。
表1-32 配置接入設備的ID
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置接入設備的ID |
portal device-id device-id |
缺省情況下,未配置任何設備的ID |
RADIUS標準屬性NAS-Port-Type用於表示用戶接入的端口類型。若Portal認證接入設備與Portal客戶端之間跨越了多個網絡設備,則可能無法正確獲取到用戶接入的實際端口信息。網絡管理員根據用戶實際接入環境,通過本配置指定接入設備發送的RADIUS請求報文的NAS-Port-Type屬性類型,可保證接入設備能夠向RADIUS服務器準確傳遞用戶的接入端口信息。
需要注意的是,本功能配置後僅對新接入的Portal用戶生效,對已上線的Portal用戶不生效。
表1-33 配置接入設備發送的RADIUS請求報文的NAS-Port-Type屬性類型
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置接入設備發送的RADIUS請求報文的NAS-Port-Type屬性類型 |
portal nas-port-type { 802.11 | adsl-cap | adsl-dmt | async | cable | ethernet | g.3-fax | hdlc | idsl | isdn-async-v110 | isdn-async-v120 | isdn-sync | piafs | sdsl | sync | virtual | wireless-other | x.25 | x.75 | xdsl } |
缺省情況下,接入設備發送的RADIUS請求報文中的NAS-Port-Type屬性類型為Ethernet,屬性值為15 |
Portal用戶漫遊功能允許同屬一個VLAN的用戶在VLAN內漫遊,即隻要Portal用戶在某VLAN接口通過認證,則可以在該VLAN內的任何二層端口上訪問網絡資源,且移動接入端口時無須重複認證。若VLAN接口上未開啟該功能,則在線用戶在同一個VLAN內其它端口接入時,將無法訪問外部網絡資源,必須首先在原端口正常下線之後,才能在其它端口重新認證上線。
配置Portal用戶漫遊功能時,需要注意的是:
· 該功能隻對通過VLAN接口上線的用戶有效,對於通過普通三層接口上線的用戶無效。
· 設備上有用戶在線或認證前域用戶的情況下,不能配置此功能。
表1-34 配置Portal用戶漫遊功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟Portal用戶漫遊功能 |
portal roaming enable |
缺省情況下,Portal用戶漫遊功能處於關閉狀態 |
不同廠商的RADIUS服務器對RADIUS報文中的NAS-Port-ID屬性格式要求不同,可修改設備發送的RADIUS報文中填充的NAS-Port-ID屬性的格式。設備支持四種屬性格式,分別為format 1和format 2、format 3和format 4,這四種屬性格式具體要求請參見“安全命令參考”中的“Portal”。
表1-35 配置RADIUS NAS-Port-ID屬性格式
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置NAS-Port-ID屬性的格式 |
portal nas-port-id format { 1 | 2 | 3 | 4 } |
缺省情況下,NAS-Port-ID屬性的格式為format 2 |
通過配置強製在線用戶下線可以終止對用戶的Portal認證過程,或者將已經通過認證的Portal用戶刪除。
當在線用戶數目超過2000時,執行命令強製在線用戶下線需要幾分鍾的時間,在此期間,請勿進行雙機主備切換、關閉接口上Portal功能、單機主備切換等操作;否則會導致在線用戶刪除操作不能正常完成。
表1-36 配置強製Portal用戶下線
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
強製指定的在線Portal用戶或所有在線Portal用戶下線 |
portal delete-user { ipv4-address | all | auth-type { cloud | local | normal } | interface interface-type interface-number | ipv6 ipv6-address | mac mac-address } |
- |
接口上配置了Web重定向功能後,當該接口上接入的用戶初次通過Web頁麵訪問外網時,設備會將用戶的初始訪問頁麵重定向到指定的URL頁麵,之後用戶才可以正常訪問外網。經過一定時長(interval)後,設備又可以將用戶要訪問的網頁或者正在訪問的網頁重定向到指定的URL頁麵。Web重定向功能是一種簡化的Portal功能,它不需要用戶通過Web訪問外部網絡之前提供用戶名和密碼,可通過對用戶訪問的網頁定期重定向的方式為網絡服務提供商的業務拓展提供方便,例如可以在重定向的頁麵上開展廣告、信息發布等業務。
配置Web重定向功能時,需要注意的是:
· 當接口下同時開啟Web重定向功能和Portal功能時,Web重定向功能失效。
· Web重定向功能僅對使用默認端口號80的HTTP協議報文生效。
· 如果設備支持以太網通道接口(Eth-channel),則該設備所有支持Web重定向和Portal功能的接口下可以同時開啟Web重定向功能和Portal功能,否則當接口下同時開啟Web重定向功能和Portal功能時,Web重定向功能失效。
表1-37 配置Web重定向功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置Web重定向功能 |
web-redirect [ ipv6 ] url url-string [ interval interval ] |
缺省情況下,Web重定功能處於關閉狀態 |
用戶的接入VLAN可標識用戶的接入位置,而在某些應用環境中,網絡運營商需要使用接入設備發送給RADIUS服務器的NAS-Identifier屬性值來標識用戶的接入位置,因此接入設備上需要建立用戶接入VLAN與指定的NAS-ID之間的綁定關係。當接口上有Portal用戶上線時,若該接口上指定了NAS-ID Profile,則接入設備會根據指定的Profile名稱和用戶接入的VLAN來獲取與此VLAN綁定的NAS-ID,此NAS-ID的值將作為向RADIUS服務器發送的RADIUS請求報文中的NAS-Identifier屬性值。
需要注意的是,如果接口上指定了NAS-ID Profile,則此Profile中定義的綁定關係優先使用;如果未指定NAS-ID Profile或指定的Profile中沒有找到匹配的綁定關係,則使用設備名作為NAS-ID。
表1-38 配置接口的NAS-ID Profile
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建NAS-ID Profile,並進入NAS-ID-Profile視圖 |
aaa nas-id profile profile-name |
該命令的具體情況請參見“安全命令參考”中的“AAA” |
|
設置NAS-ID與VLAN的綁定關係 |
nas-id nas-identifier bind vlan vlan-id |
該命令的具體情況請參見“安全命令參考”中的“AAA” |
|
退回係統視圖 |
quit |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
指定引用的NAS-ID Profile |
portal nas-id-profile profile-name |
缺省情況下,未指定引用的NAS-ID Profile |
如果接口上已開啟Portal認證功能,同時引用的Portal Web服務器中的URL地址為設備自身的IP地址,那麼配置本地Portal Web服務器功能後,用戶上線認證過程中,設備會使用本地Portal Web服務器向用戶推出認證頁麵。
為了確保本地Portal Web服務功能的正常運行,建議使用設備存儲介質根目錄下自帶的認證頁麵文件。如果用戶需要自定義認證頁麵的內容和樣式,請嚴格遵循“1.22.1 自定義認證頁麵文件”中的規範。
用戶自定義的認證頁麵為HTML文件的形式,壓縮後保存在設備的存儲介質的根目錄中。每套認證頁麵可包括六個主索引頁麵(登錄頁麵、登錄成功頁麵、登錄失敗頁麵、在線頁麵、係統忙碌頁麵、下線成功頁麵)及其頁麵元素(認證頁麵需要應用的各種文件,如Logon.htm頁麵中的back.jpg),每個主索引頁麵可以引用若幹頁麵元素。
用戶在自定義這些頁麵時需要遵循一定的規範,否則會影響本地Portal Web服務器功能的正常使用和係統運行的穩定性。
主索引頁麵文件名不能自定義,必須使用表1-39中所列的固定文件名。
|
主索引頁麵 |
文件名 |
|
登錄頁麵 |
logon.htm |
|
登錄成功頁麵 |
logonSuccess.htm |
|
登錄失敗頁麵 |
logonFail.htm |
|
在線頁麵 用於提示用戶已經在線 |
online.htm |
|
係統忙頁麵 用於提示係統忙或者該用戶正在登錄過程中 |
busy.htm |
|
下線成功頁麵 |
logoffSuccess.htm |
主索引頁麵文件之外的其他文件名可由用戶自定義,但需注意文件名和文件目錄名中不能含有中文且字符不區分大小寫。
本地Portal Web服務器隻能接受Get請求和Post請求。
· Get請求用於獲取認證頁麵中的靜態文件,其內容不能為遞歸內容。例如,Logon.htm文件中包含了Get ca.htm文件的內容,但ca.htm文件中又包含了對Logon.htm的引用,這種遞歸引用是不允許的。
· Post請求用於用戶提交用戶名和密碼以及用戶執行登錄、下線操作。
(1) 認證頁麵中表單(Form)的編輯必須符合以下原則:
· 認證頁麵可以含有多個Form,但是必須有且隻有一個Form的action=logon.cgi,否則無法將用戶信息送到本地Portal服務器。
· 用戶名屬性固定為”PtUser”,密碼屬性固定為”PtPwd”。
· 需要有用於標記用戶登錄還是下線的屬性”PtButton”,取值為"Logon"表示登錄,取值為"Logoff"表示下線。
· 登錄Post請求必須包含”PtUser”,”PtPwd”和"PtButton"三個屬性。
· 下線Post請求必須包含”PtButton”這個屬性。
(2) 需要包含登錄Post請求的頁麵有logon.htm和logonFail.htm。
logon.htm頁麵腳本內容的部分示例:
<form action=logon.cgi method = post >
<p>User name:<input type="text" name = "PtUser" style="width:160px;height:22px" maxlength=64>
<p>Password :<input type="password" name = "PtPwd" style="width:160px;height:22px" maxlength=32>
<p><input type=SUBMIT value="Logon" name = "PtButton" style="width:60px;" onclick="form.action=form.action+location.search;">
</form>
(3) 需要包含下線Post請求的頁麵有logonSuccess.htm和online.htm。
online.htm頁麵腳本內容的部分示例:
<form action=logon.cgi method = post >
<p><input type=SUBMIT value="Logoff" name="PtButton" style="width:60px;">
</form>
· 完成所有認證頁麵的編輯之後,必須按照標準Zip格式將其壓縮到一個Zip文件中,該Zip文件的文件名隻能包含字母、數字和下劃線。
· 壓縮後的Zip文件中必須直接包含認證頁麵,不允許存在間接目錄。
· 壓縮生成的Zip文件可以通過FTP或TFTP的二進製方式上傳至設備,並保存在設備的根目錄下。
Zip文件保存目錄示例:
<Sysname> dir
Directory of flash:
1 -rw- 1405 Feb 28 2008 15:53:20
0 -rw- 1405 Feb 28 2008 15:53:31
2 -rw- 1405 Feb 28 2008 15:53:39
3 -rw- 1405 Feb 28 2008 15:53:44
2540 KB total (1319 KB free)
若要支持認證成功後認證頁麵的自動跳轉功能,即認證頁麵會在用戶認證成功後自動跳轉到指定的網站頁麵,則需要在認證頁麵logon.htm和logonSuccess.htm的腳本文件中做如下改動。
(1) 將logon.htm文件中的Form的target值設置為“_blank”。
修改的腳本內容如下突出顯示部分所示:
<form method=post action=logon.cgi target="_blank">
(2) logonSucceess.htm文件添加頁麵加載的初始化函數“pt_init()”。
增加的腳本內容如下突出顯示部分所示:
<html>
<head>
<title>LogonSuccessed</title>
<script type="text/javascript" language="javascript" src="pt_private.js"></script>
</head>
<body onload="pt_init();" onbeforeunload="return pt_unload();">
... ...
</body>
</html>
若指定本地Portal Web服務器支持的協議類型為HTTPS,則需要首先完成以下配置:
· 配置PKI策略,並成功申請本地證書和CA證書,具體配置請參見“安全配置指導”中的“PKI”。
· 配置SSL服務器端策略,並指定使用已配置的PKI域。具體配置請參見“安全配置指導”中的“SSL”。
表1-40 配置本地Portal Web 服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建本地Portal Web服務器,並進入本地Portal Web服務器視圖 |
portal local-web-server { http | https ssl-server-policy policy-name [ tcp-port port-number ] } |
缺省情況下,不存在本地Protal Web服務器,HTTPS服務偵聽的TCP端口號為443 |
|
配置本地Portal Web服務器提供的缺省認證頁麵文件 |
default-logon-page filename |
缺省情況下,本地Portal Web 服務器提供缺省認證頁麵文件為defaultfile.zip |
|
(可選)配置本地Portal Web服務器的HTTP/HTTPS服務偵聽的TCP端口號 |
tcp-port port-number |
缺省情況下,HTTP服務偵聽的TCP端口號為80,HTTPS服務偵聽的TCP端口號為portal local-web-server命令指定的TCP端口號 |
|
(可選)配置根據設備類型,實現Portal用戶認證頁麵的定製功能 |
logon-page bind device-type type-name file file-name |
缺省情況下,未配置終端設備類型與任何定製頁麵文件的綁定關係 |
短時間內Portal客戶端的頻繁上下線可能會造成Portal認證失敗,此時需要關閉Portal客戶端ARP/ND表項固化功能。關閉本功能後,Portal用戶下線後,相應的表項將會老化。
在某一時刻開啟了本功能,則在此之後認證成功的Portal用戶的ARP或ND表項會被固化,在此之前認證成功的Portal用戶的ARP或ND表項依然會老化。
在某一時刻關閉了本功能,則在此之後認證成功的Portal用戶的ARP或ND表項會老化,在此之前認證成功的Portal用戶的ARP或ND表項已被固化不受影響。
表1-41 配置Portal客戶端ARP/ND表項固化功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟Portal客戶端ARP/ND表項固化功能 |
portal refresh { arp | nd } enable |
缺省情況下,Portal客戶端ARP表項、ND表項固化功能均處於開啟狀態 |
|
關閉Portal客戶端ARP/ND表項固化功能 |
undo portal refresh { arp | nd } enable |
用戶進行Portal認證時,設備可將其HTTPS請求重定向到Portal Web服務器上。在建立SSL連接過程中,用戶瀏覽器可能會出現“使用的證書不安全”的告警。若要避免此告警,需要通過配置自定義SSL服務器端策略在設備上安裝用戶瀏覽器信任的證書。該自定義SSL服務器端策略的策略名必須為https_redirect。有關SSL服務器端策略配置的詳細介紹,請參見“安全配置指導”中的“SSL”;有關安裝證書的詳細介紹,請參見“安全配置指導”中的“PKI”。
表1-42 配置HTTPS重定向功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建SSL服務器端策略,並進入SSL服務器端策略視圖 |
ssl server-policy policy-name |
缺省情況下,不存在任何SSL服務器端策略 有關本命令的詳細介紹,請參見“安全命令參考”中的“SSL” |
基於MAC地址的快速認證配置分為以下兩部分:
· 配置MAC綁定服務器
· 在接口或服務模板上應用MAC綁定服務器
需要注意的是:
· 僅直接認證方式支持基於MAC地址的快速認證。
· 如果在同一個接口上,既應用了基於MAC地址的快速認證,又配置了Portal認證前用戶使用的認證域,則請保證用戶免認證流量的閾值為0字節,否則會導致基於MAC地址的快速認證功能失效。
設備支持配置多個MAC綁定服務器,每個MAC綁定服務器擁有獨立的視圖,可以用於配置MAC綁定服務器的相關參數,包括服務器的IP地址、服務器的端口號、服務器所在的VPN實例以及設備和服務器間通信的共享密鑰等。
表1-43 配置MAC綁定服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建MAC綁定服務器並進入MAC綁定服務器視圖 |
portal mac-trigger-server server-name |
缺省情況下,不存在MAC綁定服務器 |
|
配置MAC綁定服務器的IPv4地址或IPv6地址 |
IPv4網絡: ip ipv4-address [ vpn-instance vpn-instance-name ] [ key { cipher | simple } string ] IPv6網絡: ipv6 ipv6-address [ vpn-instance vpn-instance-name ] [ key { cipher | simple } string ] |
缺省情況下,未配置MAC綁定服務器的IPv4地址或IPv6地址 |
|
(可選)配置用戶免認證流量的閾值 |
free-traffic threshold value |
缺省情況下,用戶免認證流量的閾值為0字節 |
|
(可選)配置設備發送的RADIUS請求報文中的NAS-Port-Type屬性值 |
nas-port-type value |
缺省情況下,設備發送的RADIUS請求報文中的NAS-Port-Type屬性值為0 |
|
(可選)配置MAC綁定服務器監聽查詢報文的UDP端口號 |
port port-number |
缺省情況下,MAC綁定服務器監聽查詢報文的UDP端口號是50100 |
|
(可選)配置設備向MAC綁定服務器發起MAC查詢的最大次數和時間間隔 |
binding-retry { retries | interval interval } * |
缺省情況下,設備發起MAC查詢的最大次數為3次,發起MAC查詢的時間間隔為1秒 |
|
(可選)配置MAC綁定服務器的服務類型 |
server-type { cmcc | imc } |
缺省情況下,MAC綁定服務器的服務類型為imc |
|
(可選)配置Portal協議報文的版本號 |
version version-number |
缺省情況下,Portal協議報文的版本號為1 |
|
(可選)配置設備收到MAC綁定服務器的查詢響應消息後,等待Portal認證完成的超時時間 |
authentication-timeout minutes |
缺省情況下,設備收到MAC綁定服務器查詢回複消息後,等待Portal認證完成的超時時間為3分鍾 |
|
(可選)配置MAC-Trigger表項老化時間 |
aging-time seconds |
缺省情況下,MAC-Trigger表項老化時間為300秒 |
當進行雲端MAC-trigger認證時,需要開啟Portal雲端MAC-trigger認證功能。
表1-44 配置雲端MAC-trigger認證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入MAC綁定服務器視圖 |
portal mac-trigger-server server-name |
- |
|
開啟Portal雲端MAC-trigger認證功能 |
cloud-binding enable |
缺省情況下,Portal雲端MAC-trigger認證功能處於關閉狀態 |
|
指定雲端Portal認證服務器URL |
cloud-server url url-string |
缺省情況下,未指定雲端Portal認證服務器URL,設備采用Portal Web服務器下配置的URL |
在接口上應用MAC綁定服務器,可以為通過該接口接入網絡的用戶提供基於MAC地址的快速認證服務。
表1-45 在接口上應用MAC綁定服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
隻能是三層接口 |
|
在接口上應用MAC綁定服務器 |
portal [ ipv6 ] apply mac-trigger-server server-name |
缺省情況下,未應用MAC綁定服務器 在接口上應用IPv6 MAC綁定服務器時,需要將Portal協議報文的版本號配置為3 |
請先在RADIUS服務器上創建以用戶的IP地址同時作為用戶名和密碼的認證用戶,以便可以為相應的用戶提供基於IP地址的快速認證服務。
表1-46 配置基於IP地址的快速認證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
隻能是三層接口 |
|
配置基於IP地址的快速認證 |
(IPv4網絡) portal enable method { direct | layer3 } [ ip-trigger [ acl acl-number ] ] (IPv6網絡) portal ipv6 enable method { direct | layer3 } [ ip-trigger [ acl acl-number ] ] |
缺省情況下,基於IP地址的快速認證功能處於關閉狀態 僅直接認證方式和可跨三層認證方式支持基於IP地址的快速認證。 當接口下同時開了基於MAC地址的快速認證功能和基於IP地址的快速認證功能,基於MAC地址的快速認證功能優先級較高,即如果設備能夠同時獲取到用戶的MAC地址和IP地址,則僅觸發MAC地址快速認證。 |
|
(可選)配置IP-trigger表項的老化時間 |
portal ip-trigger aging-time seconds |
缺省情況下,IP-trigger表項老化時間為300秒 |
為了保證Portal支持M-LAG功能的正常使用,請在配置此功能前,確保主從設備如下功能配置一致:
· 同時開啟Portal認證功能
· 同時配置IPv4 Portal認證或IPv6 Portal認證
· 配置相同的Portal認證方式
· 同時開啟或者關閉基於MAC地址的快速認證功能
· 配置相同的用戶免認證流量的閾值
· 配置相同的Portal逃生認證服務器的IPv4地址或IPv6地址
· 配置相同的Portal Web服務器的URL
· 配置相同的Portal用戶漫遊功能
· 同時開啟或者關閉Portal雙棧功能
在單歸接入的設備上不允許Portal用戶上線。
缺省情況下,本端和對端M-LAG接口上的Portal用戶認證均由M-LAG主設備進行處理。當Portal用戶數量較多時,為了提高Portal用戶認證上線的處理效率,推薦將M-LAG接口上Portal用戶認證的負載分擔模式配置為分布模式。
表1-47 配置M-LAG接口上Portal用戶認證的負載分擔模式
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置M-LAG接口上Portal用戶認證的負載分擔模式 |
portal m-lag load-sharing-mode { centralized | distributed { even-ip | odd-ip } } |
缺省情況下,M-LAG接口上Portal用戶認證的負載分擔模式為集中處理模式 請勿同時將兩台M-LAG設備的M-LAG接口上Portal用戶認證的負載分擔模式同時設置為even-ip模式或odd-ip模式,否則可能導致Portal用戶無法上線。 當M-LAG組網中已有Portal用戶上線成功後,不允許更改M-LAG接口上Portal用戶認證的負載分擔模式。 |
在M-LAG組網中,為了避免Portal用戶流量統計信息在M-LAG設備之間的頻繁備份,可以使用此功能配置Portal用戶流量備份的時間間隔和流量閾值。
當M-LAG設備收到的Portal用戶流量數值與上次備份的流量數值差值達到設定的閾值時,將觸發本端設備將用戶流量備份給對端M-LAG設備。
表1-48 配置M-LAG組網中Portal用戶流量備份功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置M-LAG組網中Portal用戶流量備份功能 |
portal m-lag traffic backup { interval interval-value | threshold threshold-value } * |
缺省情況下,Portal用戶流量備份的時間間隔和流量閾值分別為10分鍾和50MB |
設備開啟Portal用戶上/下線日誌功能後,會對用戶上線和下線時的信息進行記錄,包括用戶名、IP地址、接口名稱、VLAN、用戶MAC地址上線失敗原因等。生成的日誌信息將被發送到設備的信息中心,通過設置信息中心的參數,決定日誌信息的輸出規則(即是否允許輸出以及輸出方向)。有關信息中心參數的配置請參見“網絡管理和監控配置指導”中的“信息中心”。
表1-49 開啟Portal用戶上/下線日誌功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟Portal用戶上/下線日誌功能 |
portal log enable |
缺省情況下,Portal用戶上/下線日誌功能處於關閉狀態 |
Portal采用OAuth協議進行認證時,認證服務器需要設備周期上報用戶信息。本功能用來配置用戶信息由設備向服務器同步的時間間隔。如果時間間隔配置為0,則表示關閉Portal OAuth認證用戶同步功能。
表1-50 配置Portal OAuth認證同步用戶信息的時間間隔
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置當Portal用戶采用OAuth認證時用戶信息同步的時間間隔 |
portal oauth user-sync interval interval |
缺省情況下,Portal OAuth認證用戶信息同步的時間間隔為60秒 |
在遠程Web認證組網中,設備收到Portal認證服務器發送的Portal協議報文時,通過查詢FIB表項無法獲取用戶的MAC地址和二層接入接口等信息,從而導致用戶無法通過Web認證。
為了解決這個問題,需要指定設備通過查詢ARP/ND表項來獲取用戶的接入信息,從而保證用戶正常上線。
表1-51 指定通過查詢ARP/ND表項來獲取用戶信息
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
指定通過查詢ARP/ND表項來獲取Portal用戶信息 |
portal access-info trust { arp | nd } |
缺省情況下,設備通過查詢FIB表項來獲取用戶信息 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後Portal的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除Portal統計信息。
表1-52 Portal顯示和維護
|
操作 |
命令 |
|
顯示MAC綁定服務器信息 |
display portal mac-trigger-server { all | name server-name } |
|
顯示用於報文匹配的Portal過濾規則信息(獨立運行模式) |
display portal rule { all | dynamic | static } interface interface-type interface-number [ slot slot-number ] } |
|
顯示用於報文匹配的Portal過濾規則信息(IRF模式) |
display portal rule { all | dynamic | static } interface interface-type interface-number [ chassis chassis-number slot slot-number ] |
|
顯示Portal的配置信息和Portal的運行狀態信息 |
display portal interface interface-type interface-number |
|
顯示Portal認證服務器信息 |
display portal server [ server-name ] |
|
顯示Portal Web服務器信息 |
display portal web-server [ server-name ] |
|
顯示Portal認證服務器的報文統計信息 |
display portal packet statistics [ extend-auth-server cloud | server server-name ] |
|
顯示基於Portal協議的指定用戶類型的會話信息 |
display portal session user-type { portal | web-auth } |
|
顯示Portal用戶的信息 |
display portal user { all | auth-type { cloud | local | normal } interface interface-type interface-number | ip ipv4-address | ipv6 ipv6-address | mac mac-address | pre-auth [ interface interface-type interface-number | ip ipv4-address | ipv6 ipv6-address ] } [ brief | verbose ] |
|
清除Portal認證服務器的報文統計信息 |
reset portal packet statistics [ extend-auth-server cloud | server server-name ] |
|
顯示接口上的Web重定向過濾規則信息(獨立運行模式) |
display web-redirect rule interface interface-type interface-number [ slot slot-number ] |
|
顯示接口上的Web重定向過濾規則信息(IRF模式) |
display web-redirect rule interface interface-type interface-number [ chassis chassis-number slot slot-number ] |
· 用戶主機與接入設備Switch直接相連,采用直接方式的Portal認證。用戶通過手工配置或DHCP獲取的一個公網IP地址進行認證,在通過Portal認證前,隻能訪問Portal Web服務器;在通過Portal認證後,可以使用此IP地址訪問非受限互聯網資源。
· 采用一台iMC服務器同時承擔Portal認證服務器和Portal Web服務器的職責。iMC版本為:iMC PLAT 7.1(E0303)、iMC EIA 7.1(E0304)。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-7 配置Portal直接認證組網圖
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
(1) 配置Portal server
# 配置Portal認證服務器。
登錄進入iMC管理平台,選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > 服務器配置”菜單項,進入服務器配置頁麵。
¡ 根據實際組網情況調整以下參數,本例中使用缺省配置。
圖1-8 Portal認證服務器配置頁麵
# 配置IP地址組。
選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > IP地址組配置”菜單項,進入IP地址組配置頁麵。在該頁麵中單擊<增加>按鈕,進入增加IP地址組頁麵。
a. 輸入IP地址組名;
b. 輸入起始地址和終止地址。用戶主機IP地址必須包含在該IP地址組範圍內;
c. 選擇業務分組,本例中使用缺省的“未分組”;
d. 選擇IP地址組的類型為“普通”。
e. 單擊<確定>按鈕完成操作。
圖1-9 增加IP地址組頁麵
# 增加Portal設備。
選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > 設備配置”菜單項,進入設備配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加設備信息頁麵。
f. 輸入設備名;
g. 指定IP地址為與接入用戶相連的設備接口IP;
h. 選擇支持逃生心跳為“否”。
i. 選擇支持用戶心跳為“否”。
j. 輸入密鑰,與接入設備Switch上的配置保持一致;
k. 選擇組網方式為“直連”;
l. 其它參數采用缺省值;
m. 單擊<確定>按鈕完成操作。
圖1-10 增加設備信息頁麵
# 設備關聯IP地址組。
在設備配置頁麵中的設備信息列表中,點擊NAS設備的<端口組信息管理>鏈接,進入端口組信息配置頁麵。
圖1-11 設備信息列表
在端口組信息配置頁麵中點擊<增加>按鈕,進入增加端口組信息頁麵。
n. 輸入端口組名;
o. 選擇IP地址組,用戶接入網絡時使用的IP地址必須屬於所選的IP地址組;
p. 其它參數采用缺省值;
q. 單擊<確定>按鈕完成操作。
圖1-12 增加端口組信息頁麵
(2) 配置Switch
· 配置RADIUS方案
# 創建名稱為rs1的RADIUS方案並進入該方案視圖。
<Switch> system-view
[Switch] radius scheme rs1
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[Switch-radius-rs1] primary authentication 192.168.0.112
[Switch-radius-rs1] primary accounting 192.168.0.112
[Switch-radius-rs1] key authentication simple radius
[Switch-radius-rs1] key accounting simple radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[Switch-radius-rs1] user-name-format without-domain
[Switch-radius-rs1] quit
# 開啟RADIUS session control功能。
[Switch] radius session-control enable
· 配置認證域
# 創建並進入名稱為dm1的ISP域。
[Switch] domain dm1
# 配置ISP域的AAA方法。
[Switch-isp-dm1] authentication portal radius-scheme rs1
[Switch-isp-dm1] authorization portal radius-scheme rs1
[Switch-isp-dm1] accounting portal radius-scheme rs1
[Switch-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[Switch] domain default enable dm1
· 配置Portal認證
# 配置Portal認證服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,監聽Portal報文的端口為50100。
[Switch] portal server newpt
[Switch-portal-server-newpt] ip 192.168.0.111 key simple portal
[Switch-portal-server-newpt] port 50100
[Switch-portal-server-newpt] quit
# 配置Portal Web服務器的URL為http://192.168.0.111:8080/portal。(Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致,此處僅為示例)
[Switch] portal web-server newpt
[Switch-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[Switch-portal-websvr-newpt] quit
# 在接口Vlan-interface100上開啟直接方式的Portal認證。
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] portal enable method direct
# 在接口Vlan-interface100上引用Portal Web服務器newpt。
[Switch–Vlan-interface100] portal apply web-server newpt
# 在接口Vlan-interface100上設置發送給Portal認證服務器的Portal報文中的BAS-IP屬性值為2.2.2.1。
[Switch–Vlan-interface100] portal bas-ip 2.2.2.1
[Switch–Vlan-interface100] quit
# 以上配置完成後,通過執行以下顯示命令可查看Portal配置是否生效。
[Switch] display portal interface vlan-interface 100
Portal information of Vlan-interface100
NAS-ID profile: Not configured
VSRP instance : Not configured
VSRP state : N/A
Authorization : Strict checking
ACL : Disabled
User profile : Disabled
Dual stack : Disabled
Max users : Not configured
IPv4:
Portal status: Enabled
Portal authentication method: Direct
Portal web server: newpt(active)
Secondary portal Web server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ip: 2.2.2.1
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Mask
Destination authenticate subnet:
IP address Mask
Critical profile: Not configured
IPv6:
Portal status: Disabled
Portal authentication method: Disabled
Portal web server: Not configured
Secondary portal Web server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ipv6: Not configured
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authenticate subnet:
IP address Prefix length
Critical profile: Not configured
用戶既可以使用iNode客戶端,也可以通過網頁方式進行Portal認證。用戶在通過認證前,隻能訪問認證頁麵http://192.168.0.111:8080/portal,且發起的Web訪問均被重定向到該認證頁麵,在通過認證後,可訪問非受限的互聯網資源。
# Portal用戶認證通過後,可通過執行以下顯示命令查看Switch上生成的Portal在線用戶信息。
[Switch] display portal user interface vlan-interface 100
Total portal users: 1
Username: abc
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-e9a6-7cfe 2.2.2.2 100 Vlan-interface100
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Microsegment ID: N/A
· 用戶主機與接入設備Switch直接相連,采用二次地址分配方式的Portal認證。用戶通過DHCP服務器獲取IP地址,Portal認證前使用分配的一個私網地址;通過Portal認證後,用戶申請到一個公網地址,才可以訪問非受限互聯網資源。
· 采用一台Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-13 配置Portal二次地址分配認證組網圖
· Portal二次地址分配認證方式應用中,DHCP服務器上需創建公網地址池(20.20.20.0/24)及私網地址池(10.0.0.0/24),具體配置略。
· Portal二次地址分配認證方式應用中,接入設備需要配置DHCP中繼來配合Portal認證,且啟動Portal的接口需要配置主IP地址(公網IP)及從IP地址(私網IP)。關於DHCP中繼的詳細配置請參見“三層技術-IP業務配置指導”中的“DHCP中繼”。
· 請保證在Portal認證服務器上添加的Portal設備的IP地址為與用戶相連的接口的公網IP地址(20.20.20.1),且與該Portal設備關聯的IP地址組中的轉換前地址為用戶所在的私網網段(10.0.0.0/24)、轉換後地址為公網網段(20.20.20.0/24)。
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
(1) 配置RADIUS方案
# 創建名稱為rs1的RADIUS方案並進入該方案視圖。
<Switch> system-view
[Switch] radius scheme rs1
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[Switch-radius-rs1] primary authentication 192.168.0.113
[Switch-radius-rs1] primary accounting 192.168.0.113
[Switch-radius-rs1] key authentication simple radius
[Switch-radius-rs1] key accounting simple radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[Switch-radius-rs1] user-name-format without-domain
[Switch-radius-rs1] quit
# 開啟RADIUS session control功能。
[Switch] radius session-control enable
(2) 配置認證域
# 創建並進入名稱為dm1的ISP域。
[Switch] domain dm1
# 配置ISP域的AAA方法。
[Switch-isp-dm1] authentication portal radius-scheme rs1
[Switch-isp-dm1] authorization portal radius-scheme rs1
[Switch-isp-dm1] accounting portal radius-scheme rs1
[Switch-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[Switch] domain default enable dm1
(3) 配置DHCP中繼和授權ARP
# 配置DHCP中繼。
[Switch] dhcp enable
[Switch] dhcp relay client-information record
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] ip address 20.20.20.1 255.255.255.0
[Switch–Vlan-interface100] ip address 10.0.0.1 255.255.255.0 sub
[Switch-Vlan-interface100] dhcp select relay
[Switch-Vlan-interface100] dhcp relay server-address 192.168.0.112
# 開啟授權ARP功能。
[Switch-Vlan-interface100] arp authorized enable
[Switch-Vlan-interface100] quit
(4) 配置Portal認證
# 配置Portal認證服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,監聽Portal報文的端口為50100。
[Switch] portal server newpt
[Switch-portal-server-newpt] ip 192.168.0.111 key simple portal
[Switch-portal-server-newpt] port 50100
[Switch-portal-server-newpt] quit
# 配置Portal Web服務器的URL為http://192.168.0.111:8080/portal。(Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致,此處僅為示例)
[Switch] portal web-server newpt
[Switch-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[Switch-portal-websvr-newpt] quit
# 在接口Vlan-interface100上開啟二次地址方式的Portal認證。
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] portal enable method redhcp
# 在接口Vlan-interface100上引用Portal Web服務器newpt。
[Switch–Vlan-interface100] portal apply web-server newpt
# 在接口Vlan-interface100上設置發送給Portal報文中的BAS-IP屬性值為20.20.20.1。
[Switch–Vlan-interface100] portal bas-ip 20.20.20.1
[Switch–Vlan-interface100] quit
# 以上配置完成後,通過執行以下顯示命令可查看Portal配置是否生效。
[Switch] display portal interface vlan-interface 100
Portal information of Vlan-interface100
NAS-ID profile: Not configured
VSRP instance : Not configured
VSRP state : N/A
Authorization : Strict checking
ACL : Disabled
User profile : Disabled
Dual stack : Disabled
Max users : Not configured
IPv4:
Portal status: Enabled
Portal authentication method: Redhcp
Portal web server: newpt(active)
Secondary portal Web server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ip: 20.20.20.1
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Mask
Destination authenticate subnet:
IP address Mask
Critical profile: Not configured
IPv6:
Portal status: Disabled
Portal authentication method: Disabled
Portal web server: Not configured
Secondary portal Web server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ipv6: Not configured
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authenticate subnet:
IP address Prefix length
Critical profile: Not configured
在采用二次地址分配方式時,請使用iNode客戶端進行Portal認證。通過認證後,可訪問非受限的互聯網資源。
# Portal用戶認證通過後,可通過執行以下顯示命令查看Switch上生成的Portal在線用戶信息。
[Switch] display portal user interface vlan-interface 100
Total portal users: 1
Username: abc
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-e9a6-7cfe 20.20.20.2 100 Vlan-interface100
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Microsegment ID: N/A
Switch A支持Portal認證功能。用戶Host通過Switch B接入到Switch A。
· 配置Switch A采用可跨三層Portal認證。用戶在未通過Portal認證前,隻能訪問Portal Web服務器;用戶通過Portal認證後,可以訪問非受限互聯網資源。
· 采用一台Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-14 配置可跨三層Portal認證組網圖
· 請保證在Portal認證服務器上添加的Portal設備的IP地址為與用戶相連的接口IP地址(20.20.20.1),且與該Portal設備關聯的IP地址組為用戶所在網段(8.8.8.0/24)。
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
(1) 配置RADIUS方案
# 創建名稱為rs1的RADIUS方案並進入該方案視圖。
<SwitchA> system-view
[SwitchA] radius scheme rs1
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[SwitchA-radius-rs1] primary authentication 192.168.0.112
[SwitchA-radius-rs1] primary accounting 192.168.0.112
[SwitchA-radius-rs1] key authentication simple radius
[SwitchA-radius-rs1] key accounting simple radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[SwitchA-radius-rs1] user-name-format without-domain
[SwitchA-radius-rs1] quit
# 開啟RADIUS session control功能。
[SwitchA] radius session-control enable
(2) 配置認證域
# 創建並進入名稱為dm1的ISP域。
[SwitchA] domain dm1
# 配置ISP域的AAA方法。
[SwitchA-isp-dm1] authentication portal radius-scheme rs1
[SwitchA-isp-dm1] authorization portal radius-scheme rs1
[SwitchA-isp-dm1] accounting portal radius-scheme rs1
[SwitchA-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[SwitchA] domain default enable dm1
(3) 配置Portal認證
# 配置Portal認證服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,監聽Portal報文的端口為50100。
[SwitchA] portal server newpt
[SwitchA-portal-server-newpt] ip 192.168.0.111 key simple portal
[SwitchA-portal-server-newpt] port 50100
[SwitchA-portal-server-newpt] quit
# 配置Portal Web服務器的URL為http://192.168.0.111:8080/portal。(Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致,此處僅為示例)
[SwitchA] portal web-server newpt
[SwitchA-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[SwitchA-portal-websvr-newpt] quit
# 在接口Vlan-interface4上開啟可跨三層方式的Portal認證。
[SwitchA] interface vlan-interface 4
[SwitchA–Vlan-interface4] portal enable method layer3
# 在接口Vlan-interface4上引用Portal Web服務器newpt。
[SwitchA–Vlan-interface4] portal apply web-server newpt
# 在接口Vlan-interface4上設置發送給Portal報文中的BAS-IP屬性值為20.20.20.1。
[SwitchA–Vlan-interface4] portal bas-ip 20.20.20.1
[SwitchA–Vlan-interface4] quit
# 以上配置完成後,通過執行以下顯示命令可查看Portal配置是否生效。
[SwitchA] display portal interface vlan-interface 4
Portal information of Vlan-interface4
NAS-ID profile: Not configured
VSRP instance : Not configured
VSRP state : N/A
Authorization : Strict checking
ACL : Disabled
User profile : Disabled
Dual stack : Disabled
Max users : Not configured
IPv4:
Portal status: Enabled
Portal authentication method: Layer3
Portal web server: newpt(active)
Secondary portal Web server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ip: 20.20.20.1
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Mask
Destination authenticate subnet:
IP address Mask
Critical profile: Not configured
IPv6:
Portal status: Disabled
Portal authentication method: Disabled
Portal web server: Not configured
Secondary portal Web server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ipv6: Not configured
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authenticate subnet:
IP address Prefix length
Critical profile: Not configured
用戶既可以使用iNode客戶端,也可以通過網頁方式進行Portal認證。用戶在通過認證前,隻能訪問認證頁麵http://192.168.0.111:8080/portal,且發起的Web訪問均被重定向到該認證頁麵,在通過認證後,可訪問非受限的互聯網資源。
# Portal用戶認證通過後,可通過執行以下顯示命令查看Switch A上生成的Portal在線用戶信息。
[SwitchA] display portal user interface vlan-interface 4
Total portal users: 1
Username: abc
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0000-0000-0000 8.8.8.2 4 Vlan-interface4
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Microsegment ID: N/A
· 用戶主機與接入設備Switch直接相連,采用直接方式的Portal認證。用戶通過手工配置或DHCP獲取的一個公網IP地址進行認證,在通過身份認證而沒有通過安全認證時可以訪問192.168.0.0/24網段;在通過安全認證後,可以訪問非受限互聯網資源。
· 采用一台Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-15 配置Portal直接認證擴展功能組網圖
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
(1) 配置RADIUS方案
# 創建名稱為rs1的RADIUS方案並進入該方案視圖。
<Switch> system-view
[Switch] radius scheme rs1
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[Switch-radius-rs1] primary authentication 192.168.0.112
[Switch-radius-rs1] primary accounting 192.168.0.112
[Switch-radius-rs1] key accounting simple radius
[Switch-radius-rs1] key authentication simple radius
[Switch-radius-rs1] user-name-format without-domain
# 開啟RADIUS session control功能。
[Switch] radius session-control enable
# 指定一個session control客戶端IP地址為192.168.0.112,共享密鑰為明文12345。
[Switch] radius session-control client ip 192.168.0.112 key simple 12345
(2) 配置認證域
# 創建並進入名稱為dm1的ISP域。
[Switch] domain dm1
# 配置ISP域的AAA方法。
[Switch-isp-dm1] authentication portal radius-scheme rs1
[Switch-isp-dm1] authorization portal radius-scheme rs1
[Switch-isp-dm1] accounting portal radius-scheme rs1
[Switch-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[Switch] domain default enable dm1
(3) 配置隔離ACL為3000,安全ACL為3001
安全策略服務器上需要將ACL 3000和ACL 3001分別指定為隔離ACL和安全ACL。需要注意的是,安全策略服務器上配置ACL時,指定規則時不能指定源IP地址或者源MAC地址,否則會導致用戶無法上線。
[Switch] acl advanced 3000
[Switch-acl-ipv4-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255
[Switch-acl-ipv4-adv-3000] rule deny ip
[Switch-acl-ipv4-adv-3000] quit
[Switch] acl advanced 3001
[Switch-acl-ipv4-adv-3001] rule permit ip
[Switch-acl-ipv4-adv-3001] quit
(4) 配置Portal認證
# 配置Portal認證服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,監聽Portal報文的端口為50100。
[Switch] portal server newpt
[Switch-portal-server-newpt] ip 192.168.0.111 key simple portal
[Switch-portal-server-newpt] port 50100
[Switch-portal-server-newpt] quit
# 配置Portal Web服務器的URL為http://192.168.0.111:8080/portal。(Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致,此處僅為示例)
[Switch] portal web-server newpt
[Switch-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[Switch-portal-websvr-newpt] quit
# 在接口Vlan-interface100上開啟直接方式的Portal認證。
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] portal enable method direct
# 在接口Vlan-interface100上引用Portal Web服務器newpt。
[Switch–Vlan-interface100] portal apply web-server newpt
# 在接口Vlan-interface100上設置發送給Portal報文中的BAS-IP屬性值為2.2.2.1。
[Switch–Vlan-interface100] portal bas-ip 2.2.2.1
[Switch–Vlan-interface100] quit
# 以上配置完成後,通過執行以下顯示命令可查看Portal配置是否生效。
[Switch] display portal interface vlan-interface 100
Portal information of Vlan-interface100
NAS-ID profile: Not configured
VSRP instance : Not configured
VSRP state : N/A
Authorization : Strict checking
ACL : Disabled
User profile : Disabled
Dual stack : Disabled
Max users : Not configured
IPv4:
Portal status: Enabled
Portal authentication method: Direct
Portal web server: newpt(active)
Secondary portal Web server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ip: 2.2.2.1
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Mask
Destination authenticate subnet:
IP address Mask
Critical profile: Not configured
IPv6:
Portal status: Disabled
Portal authentication method: Disabled
Portal web server: Not configured
Secondary portal Web server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ipv6: Not configured
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authenticate subnet:
IP address Prefix length
Critical profile: Not configured
使用iNode客戶端的用戶在通過認證前,隻能訪問認證頁麵http://192.168.0.111:8080/portal,且發起的Web訪問均被重定向到該認證頁麵。通過身份認證但未通過安全認證時,隻能訪問匹配ACL 3000的網絡資源;通過身份認證以及安全認證後,可以訪問匹配ACL 3001的互聯網資源。
# Portal用戶認證通過後,可通過執行以下顯示命令查看Switch上生成的Portal在線用戶信息。
[Switch] display portal user interface vlan-interface 100
Total portal users: 1
Username: abc
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-e9a6-7cfe 2.2.2.2 100 Vlan-interface100
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: 3001 (active)
Inbound CAR: N/A
Outbound CAR: N/A
Microsegment ID: N/A
· 用戶主機與接入設備Switch直接相連,采用二次地址分配方式的Portal認證。用戶通過DHCP服務器獲取IP地址,Portal認證前使用分配的一個私網地址;通過Portal認證後,用戶申請到一個公網地址。
· 用戶在通過身份認證而沒有通過安全認證時可以訪問192.168.0.0/24網段;用戶通過安全認證後,可以訪問非受限互聯網資源。
· 采用一台Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-16 配置Portal二次地址分配認證擴展功能組網圖
· Portal二次地址分配認證方式應用中,DHCP服務器上需創建公網地址池(20.20.20.0/24)及私網地址池(10.0.0.0/24),具體配置略。
· Portal二次地址分配認證方式應用中,接入設備需要配置DHCP中繼來配合Portal認證,且啟動Portal的接口需要配置主IP地址(公網IP)及從IP地址(私網IP)。關於DHCP中繼的詳細配置請參見“三層技術-IP業務配置指導”中的“DHCP中繼”。
· 請保證在Portal認證服務器上添加的Portal設備的IP地址為與用戶相連的接口的公網IP地址(20.20.20.1),且與該Portal設備關聯的IP地址組中的轉換前地址為用戶所在的私網網段(10.0.0.0/24)、轉換後地址為公網網段(20.20.20.0/24)。
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
(1) 配置RADIUS方案
# 創建名稱為rs1的RADIUS方案並進入該方案視圖。
<Switch> system-view
[Switch] radius scheme rs1
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[Switch-radius-rs1] primary authentication 192.168.0.113
[Switch-radius-rs1] primary accounting 192.168.0.113
[Switch-radius-rs1] key accounting simple radius
[Switch-radius-rs1] key authentication simple radius
[Switch-radius-rs1] user-name-format without-domain
# 開啟RADIUS session control功能。
[Switch] radius session-control enable
# 指定一個session control客戶端IP地址為192.168.0.113,共享密鑰為明文12345。
[Switch] radius session-control client ip 192.168.0.113 key simple 12345
(2) 配置認證域
# 創建並進入名稱為dm1的ISP域。
[Switch] domain dm1
# 配置ISP域的AAA方法。
[Switch-isp-dm1] authentication portal radius-scheme rs1
[Switch-isp-dm1] authorization portal radius-scheme rs1
[Switch-isp-dm1] accounting portal radius-scheme rs1
[Switch-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[Switch] domain default enable dm1
(3) 配置隔離ACL為3000,安全ACL為3001
安全策略服務器上需要將ACL 3000和ACL 3001分別指定為隔離ACL和安全ACL。需要注意的是,安全策略服務器上配置ACL時,指定規則時不能指定源IP地址或者源MAC地址,否則會導致用戶無法上線。
[Switch] acl advanced 3000
[Switch-acl-ipv4-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255
[Switch-acl-ipv4-adv-3000] rule deny ip
[Switch-acl-ipv4-adv-3000] quit
[Switch] acl advanced 3001
[Switch-acl-ipv4-adv-3001] rule permit ip
[Switch-acl-ipv4-adv-3001] quit
(4) 配置DHCP中繼和授權ARP
# 配置DHCP中繼。
[Switch] dhcp enable
[Switch] dhcp relay client-information record
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] ip address 20.20.20.1 255.255.255.0
[Switch–Vlan-interface100] ip address 10.0.0.1 255.255.255.0 sub
[Switch-Vlan-interface100] dhcp select relay
[Switch-Vlan-interface100] dhcp relay server-address 192.168.0.112
# 開啟授權ARP功能。
[Switch-Vlan-interface100] arp authorized enable
[Switch-Vlan-interface100] quit
(5) 配置Portal認證
# 配置Portal認證服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,監聽Portal報文的端口為50100。
[Switch] portal server newpt
[Switch-portal-server-newpt] ip 192.168.0.111 key simple portal
[Switch-portal-server-newpt] port 50100
[Switch-portal-server-newpt] quit
# 配置Portal Web服務器的URL為http://192.168.0.111:8080/portal。(Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致,此處僅為示例)
[Switch] portal web-server newpt
[Switch-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[Switch-portal-websvr-newpt] quit
# 在接口Vlan-interface100上開啟二次地址方式的Portal認證。
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] portal enable method redhcp
# 在接口Vlan-interface100上引用Portal Web服務器newpt。
[Switch–Vlan-interface100] portal apply web-server newpt
# 在接口Vlan-interface100上設置發送給Portal報文中的BAS-IP屬性值為20.20.20.1。
[Switch–Vlan-interface100] portal bas-ip 20.20.20.1
[Switch–Vlan-interface100] quit
# 以上配置完成後,通過執行以下顯示命令可查看Portal配置是否生效。
[Switch] display portal interface vlan-interface 100
Portal information of Vlan-interface100
NAS-ID profile: Not configured
VSRP instance : Not configured
VSRP state : N/A
Authorization : Strict checking
ACL : Disabled
User profile : Disabled
Dual stack : Disabled
Max users : Not configured
IPv4:
Portal status: Enabled
Portal authentication method: Redhcp
Portal web server: newpt(active)
Secondary portal Web server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ip: 20.20.20.1
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Mask
Destination authenticate subnet:
IP address Mask
Critical profile: Not configured
IPv6:
Portal status: Disabled
Portal authentication method: Disabled
Portal web server: Not configured
Secondary portal Web server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ipv6: Not configured
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authenticate subnet:
IP address Prefix length
Critical profile: Not configured
使用iNode客戶端的用戶在通過認證前,隻能訪問認證頁麵http://192.168.0.111:8080/portal,且發起的Web訪問均被重定向到該認證頁麵。通過身份認證但未通過安全認證時,隻能訪問匹配ACL 3000的網絡資源;通過身份認證以及安全認證後,可以訪問匹配ACL 3001的互聯網資源。
# Portal用戶認證通過後,可通過執行以下顯示命令查看Switch上生成的Portal在線用戶信息。
[Switch] display portal user interface vlan-interface 100
Total portal users: 1
Username: abc
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-e9a6-7cfe 20.20.20.2 100 Vlan-interface100
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: 3001 (active)
Inbound CAR: N/A
Outbound CAR: N/A
Microsegment ID: N/A
Switch A支持Portal認證功能。用戶Host通過Switch B接入到Switch A。
· 配置Switch A采用可跨三層Portal認證。用戶在通過身份認證而沒有通過安全認證時可以訪問192.168.0.0/24網段;在通過安全認證後,可以訪問非受限互聯網資源。
· 采用一台Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-17 配置可跨三層Portal認證擴展功能組網圖
· 請保證在Portal認證服務器上添加的Portal設備的IP地址為與用戶相連的接口IP地址(20.20.20.1),且與該Portal設備關聯的IP地址組為用戶所在網段(8.8.8.0/24)。
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
(1) 配置RADIUS方案
# 創建名稱為rs1的RADIUS方案並進入該方案視圖。
<SwitchA> system-view
[SwitchA] radius scheme rs1
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[SwitchA-radius-rs1] primary authentication 192.168.0.112
[SwitchA-radius-rs1] primary accounting 192.168.0.112
[SwitchA-radius-rs1] key accounting simple radius
[SwitchA-radius-rs1] key authentication simple radius
[SwitchA-radius-rs1] user-name-format without-domain
# 開啟RADIUS session control功能。
[SwitchA] radius session-control enable
# 指定一個session control客戶端IP地址為192.168.0.112,共享密鑰為明文12345。
[SwitchA] radius session-control client ip 192.168.0.112 key simple 12345
(2) 配置認證域
# 創建並進入名稱為dm1的ISP域。
[SwitchA] domain dm1
# 配置ISP域的AAA方法。
[SwitchA-isp-dm1] authentication portal radius-scheme rs1
[SwitchA-isp-dm1] authorization portal radius-scheme rs1
[SwitchA-isp-dm1] accounting portal radius-scheme rs1
[SwitchA-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[SwitchA] domain default enable dm1
(3) 配置隔離ACL為3000,安全ACL為3001
安全策略服務器上需要將ACL 3000和ACL 3001分別指定為隔離ACL和安全ACL。需要注意的是,安全策略服務器上配置ACL時,指定規則時不能指定源IP地址或者源MAC地址,否則會導致用戶無法上線。
[SwitchA] acl advanced 3000
[SwitchA-acl-ipv4-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255
[SwitchA-acl-ipv4-adv-3000] rule deny ip
[SwitchA-acl-ipv4-adv-3000] quit
[SwitchA] acl advanced 3001
[SwitchA-acl-ipv4-adv-3001] rule permit ip
[SwitchA-acl-ipv4-adv-3001] quit
(4) 配置Portal認證
# 配置Portal認證服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,監聽Portal報文的端口為50100。
[SwitchA] portal server newpt
[SwitchA-portal-server-newpt] ip 192.168.0.111 key simple portal
[SwitchA-portal-server-newpt] port 50100
[SwitchA-portal-server-newpt] quit
# 配置Portal Web服務器的URL為http://192.168.0.111:8080/portal。(Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致,此處僅為示例)
[SwitchA] portal web-server newpt
[SwitchA-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[SwitchA-portal-websvr-newpt] quit
# 在接口Vlan-interface4上開啟可跨三層方式的Portal認證。
[SwitchA] interface vlan-interface 4
[SwitchA–Vlan-interface4] portal enable method layer3
# 在接口Vlan-interface4上引用Portal Web服務器newpt。
[SwitchA–Vlan-interface4] portal apply web-server newpt
# 在接口Vlan-interface4上設置發送給Portal報文中的BAS-IP屬性值為20.20.20.1。
[SwitchA–Vlan-interface4] portal bas-ip 20.20.20.1
[SwitchA–Vlan-interface4] quit
Switch B上需要配置到192.168.0.0/24網段的缺省路由,下一跳為20.20.20.1,具體配置略。
# 以上配置完成後,通過執行以下顯示命令可查看Portal配置是否生效。
[SwitchA] display portal interface vlan-interface 4
Portal information of Vlan-interface4
NAS-ID profile: Not configured
VSRP instance : Not configured
VSRP state : N/A
Authorization : Strict checking
ACL : Disabled
User profile : Disabled
Dual stack : Disabled
Max users : Not configured
IPv4:
Portal status: Enabled
Portal authentication method: Layer3
Portal web server: newpt(active)
Secondary portal Web server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ip: 20.20.20.1
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Mask
Destination authenticate subnet:
IP address Mask
Critical profile: Not configured
IPv6:
Portal status: Disabled
Portal authentication method: Disabled
Portal web server: Not configured
Secondary portal Web server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ipv6: Not configured
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authenticate subnet:
IP address Prefix length
Critical profile: Not configured
使用iNode客戶端的用戶在通過認證前,隻能訪問認證頁麵http://192.168.0.111:8080/portal,且發起的Web訪問均被重定向到該認證頁麵。通過身份認證但未通過安全認證時,隻能訪問匹配ACL 3000的網絡資源;通過身份認證以及安全認證後,可以訪問匹配ACL 3001的互聯網資源。
# Portal用戶認證通過後,可通過執行以下顯示命令查看Switch A上生成的Portal在線用戶信息。
[SwitchA] display portal user interface vlan-interface 4
Total portal users: 1
Username: abc
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0000-0000-0000 8.8.8.2 4 Vlan-interface4
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: 3001 (active)
Inbound CAR: N/A
Outbound CAR: N/A
Microsegment ID: N/A
用戶主機與接入設備Switch直接相連,通過Portal認證接入網絡。具體要求如下:
· 用戶通過手工配置或DHCP獲取的一個公網IP地址進行認證,在通過Portal認證前,隻能訪問Portal認證服務器;在通過Portal認證後,可以使用此IP地址訪問非受限的互聯網資源。
· 接入設備能夠探測到Portal認證服務器是否可達,並輸出可達狀態變化的日誌信息,在服務器不可達時(例如,網絡連接中斷、網絡設備故障或服務器無法正常提供服務等情況),取消Portal認證,使得用戶仍然可以正常訪問網絡。
· 接入設備能夠與服務器定期進行用戶信息的同步。
· 采用一台iMC服務器同時承擔Portal認證服務器和Portal Web服務器的職責。iMC版本為:iMC PLAT 7.1(E0303)、iMC EIA 7.1(E0304)。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-18 Portal認證服務器探測和用戶同步信息功能配置組網圖
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
(1) 配置Portal認證服務器
# 配置Portal認證服務器。
登錄進入iMC管理平台,選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > 服務器配置”菜單項,進入服務器配置頁麵。
¡ 根據實際組網情況調整以下參數,本例中使用缺省配置。
圖1-19 Portal認證服務器配置頁麵
# 配置IP地址組。
選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > IP地址組配置”菜單項,進入IP地址組配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加IP地址組頁麵。
a. 輸入IP地址組名;
b. 輸入起始地址和終止地址。用戶主機IP地址必須包含在該IP地址組範圍內;
c. 選擇業務分組,本例中使用缺省的“未分組”;
d. 選擇IP地址組的類型為“普通”。
e. 單擊<確定>按鈕完成操作。
圖1-20 增加IP地址組頁麵
# 增加Portal設備。
選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > 設備配置”菜單項,進入設備配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加設備信息頁麵。
f. 輸入設備名;
g. 指定IP地址為與接入用戶相連的設備接口IP;
h. 選擇支持逃生心跳為“是”。
i. 選擇支持用戶心跳為“是”。
j. 輸入密鑰,與接入設備Switch上的配置保持一致;
k. 選擇組網方式為“直連”;
l. 其它參數采用缺省值;
m. 單擊<確定>按鈕完成操作。
圖1-21 增加設備信息頁麵
# 設備關聯IP地址組。
在設備配置頁麵中的設備信息列表中,點擊NAS設備的<端口組信息管理>鏈接,進入端口組信息配置頁麵。
圖1-22 設備信息列表
在端口組信息配置頁麵中點擊<增加>按鈕,進入增加端口組信息配置頁麵。
n. 輸入端口組名;
o. 選擇IP地址組,用戶接入網絡時使用的IP地址必須屬於所選的IP地址組;
p. 其它參數采用缺省值;
q. 單擊<確定>按鈕完成操作。
圖1-23 增加端口組信息頁麵
(2) 配置Switch
· 配置RADIUS方案
# 創建名稱為rs1的RADIUS方案並進入該方案視圖。
<Switch> system-view
[Switch] radius scheme rs1
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[Switch-radius-rs1] primary authentication 192.168.0.112
[Switch-radius-rs1] primary accounting 192.168.0.112
[Switch-radius-rs1] key authentication simple radius
[Switch-radius-rs1] key accounting simple radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[Switch-radius-rs1] user-name-format without-domain
[Switch-radius-rs1] quit
# 開啟RADIUS session control功能。
[Switch] radius session-control enable
· 配置認證域
# 創建並進入名稱為dm1的ISP域。
[Switch] domain dm1
# 配置ISP域的AAA方法。
[Switch-isp-dm1] authentication portal radius-scheme rs1
[Switch-isp-dm1] authorization portal radius-scheme rs1
[Switch-isp-dm1] accounting portal radius-scheme rs1
[Switch-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[Switch] domain default enable dm1
· 配置Portal認證
# 配置Portal認證服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,監聽Portal報文的端口為50100。
[Switch] portal server newpt
[Switch-portal-server-newpt] ip 192.168.0.111 key simple portal
[Switch-portal-server-newpt] port 50100
# 配置對Portal認證服務器newpt的探測功能:每次探測間隔時間為40秒,若服務器可達狀態改變,則發送日誌信息。
[Switch-portal-server-newpt] server-detect timeout 40 log
此處timeout取值應該大於等於Portal認證服務器的逃生心跳間隔時長。
# 配置對Portal認證服務器newpt的Portal用戶信息同步功能,檢測用戶同步報文的時間間隔為600秒,如果設備中的某用戶信息在600秒內未在該Portal認證服務器發送的同步報文中出現,設備將強製該用戶下線。
[Switch-portal-server-newpt] user-sync timeout 600
[Switch-portal-server-newpt] quit
此處timeout取值應該大於等於Portal認證服務器上的用戶心跳間隔時長。
# 配置Portal Web服務器的URL為http://192.168.0.111:8080/portal。(Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致,此處僅為示例)
[Switch] portal web-server newpt
[Switch-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[Switch-portal-websvr-newpt] quit
# 在接口Vlan-interface100上開啟直接方式的Portal認證。
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] portal enable method direct
# 開啟Portal認證服務器newpt不可達時的Portal用戶逃生功能。
[Switch–Vlan-interface100] portal fail-permit server newpt
# 在接口Vlan-interface100上引用Portal Web服務器newpt。
[Switch–Vlan-interface100] portal apply web-server newpt
# 在接口Vlan-interface100上設置發送給Portal報文中的BAS-IP屬性值為2.2.2.1。
[Switch–Vlan-interface100] portal bas-ip 2.2.2.1
[Switch–Vlan-interface100] quit
以上配置完成後,可以通過執行以下命令查看到Portal認證服務器的狀態為Up,說明當前Portal認證服務器可達。
[Switch] display portal server newpt
Portal server: newpt
Type : IMC
IP : 192.168.0.111
VPN instance : Not configured
Port : 50100
Server Detection : Timeout 40s Action: log
User synchronization : Timeout 600s
Status : Up
之後,若接入設備探測到Portal認證服務器不可達了,可通過以上顯示命令查看到Portal認證服務器的狀態為Down,同時,設備會輸出表示服務器不可達的日誌信息“Portal server newpt turns down from up.”,並取消對該接口接入的用戶的Portal認證,使得用戶可以直接訪問外部網絡。
連接客戶端的PE設備Switch A對私網VPN 1中的用戶Host進行Portal接入認證,RADIUS服務器和Portal認證服務器位於私網VPN 3中。
· 配置Switch A采用可跨三層Portal認證。用戶在通過身份認證後,可以訪問非受限網絡資源。
· 采用一台Portal服務器承擔Portal認證服務器、Portal Web服務器和RADIUS服務器的職責。
圖1-24 配置三層Portal認證支持多實例組網圖
· 啟動Portal之前,需要首先配置MPLS L3VPN功能,通過為VPN 1和VPN 3指定匹配的VPN Target,確保VPN 1和VPN 3可以互通。本例僅介紹客戶端PE上接入認證的相關配置,其它配置請參考“MPLS配置指導”中的“MPLS L3VPN”。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
在Switch A上進行以下配置。
(1) 配置RADIUS方案
# 創建名稱為rs1的RADIUS方案並進入該方案視圖。
<SwitchA> system-view
[SwitchA] radius scheme rs1
# 配置RADIUS方案所屬的VPN實例為vpn3。該VPN實例為連接服務器的接口上綁定的VPN實例,具體請以Switch A上的MPLS L3VPN配置為準。
[SwitchA-radius-rs1] vpn-instance vpn3
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[SwitchA-radius-rs1] primary authentication 192.168.0.111
[SwitchA-radius-rs1] primary accounting 192.168.0.111
[SwitchA-radius-rs1] key accounting simple radius
[SwitchA-radius-rs1] key authentication simple radius
# 配置向RADIUS服務器發送的用戶名不攜帶域名。
[SwitchA-radius-rs1] user-name-format without-domain
# 配置發送RADIUS報文使用的源地址為3.3.0.3。
[SwitchA-radius-rs1] nas-ip 3.3.0.3
[SwitchA-radius-rs1] quit
# 開啟RADIUS session control功能。
[SwitchA] radius session-control enable
建議通過命令nas-ip指定設備發送RADIUS報文的源地址,並與服務器上指定的接入設備IP保持一致,避免未指定源地址的情況下,設備選擇的源地址與服務器上指定的接入設備IP不一致,而造成認證失敗。
(2) 配置認證域
# 創建並進入名稱為dm1的ISP域。
[SwitchA] domain dm1
# 配置ISP域的AAA方法。
[SwitchA-isp-dm1] authentication portal radius-scheme rs1
[SwitchA-isp-dm1] authorization portal radius-scheme rs1
[SwitchA-isp-dm1] accounting portal radius-scheme rs1
[SwitchA-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[SwitchA] domain default enable dm1
(3) 配置Portal認證
# 配置Portal認證服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,所屬VPN實例名稱為vpn3,監聽Portal報文的端口為50100。
[SwitchA] portal server newpt
[SwitchA-portal-server-newpt] ip 192.168.0.111 vpn-instance vpn3 key simple portal
[SwitchA-portal-server-newpt] port 50100
[SwitchA-portal-server-newpt] quit
# 配置Portal Web服務器的URL為http://192.168.0.111:8080/portal,所屬VPN實例名稱為vpn3。(Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致,此處僅為示例)
[SwitchA] portal web-server newpt
[SwitchA-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[SwitchA-portal-websvr-newpt] vpn-instance vpn3
[SwitchA-portal-websvr-newpt] quit
# 在接口Vlan-interface3上開啟可跨三層方式的Portal認證。
[SwitchA] interface vlan-interface 3
[SwitchA–Vlan-interface3] portal enable method layer3
# 在接口Vlan-interface3上引用Portal Web服務器newpt。
[SwitchA–Vlan-interface3] portal apply web-server newpt
# 在接口Vlan-interface3上設置發送給Portal報文中的BAS-IP屬性值為3.3.0.3。
[SwitchA–Vlan-interface3] portal bas-ip 3.3.0.3
[SwitchA–Vlan-interface3] quit
以上配置完成後,通過執行命令display portal interface可查看Portal配置是否生效。用戶認證通過後,通過執行命令display portal user查看Switch A上生成的Portal在線用戶信息。
[SwitchA] display portal user all
Total portal users: 1
Username: abc
Portal server: newpt
State: Online
VPN instance: vpn3
MAC IP VLAN Interface
0000-0000-0000 3.3.0.1 3 Vlan-interface3
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Microsegment ID: N/A
· 用戶主機與接入設備Switch直接相連,采用直接方式的Portal認證。由Switch作為DHCP服務器為用戶分配IP地址。用戶通過DHCP獲取的一個公網IP地址進行認證,在沒有通過身份認證時可以訪問192.168.0.0/24網段;在通過認證後,可以使用此IP地址訪問非受限互聯網資源。
· 采用一台Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-25 配置Portal直接認證支持認證前域組網圖
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
(1) 配置為認證前用戶分配IP地址的地址池
# 創建並進入名稱為pre的地址池。
[Switch] dhcp server ip-pool pre
[Switch-dhcp-pool-pre] gateway-list 2.2.2.1
[Switch-dhcp-pool-pre] network 2.2.2.0 24
[Switch-dhcp-pool-pre] quit
# 在接口Vlan-interface100工作在DHCP服務器模式。
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] dhcp select server
[Switch–Vlan-interface100] quit
(2) 配置Portal用戶認證前使用的認證域
# 創建並進入名稱為abc的ISP域。
[Switch] domain abc
# 配置ISP域中的授權ACL屬性。
[Switch-isp-abc] authorization-attribute acl 3010
[Switch-isp-abc] quit
# 配置ACL 3010,允許192.168.0.0/24網段的報文通過。
[Switch] acl advanced 3010
[Switch-acl-ipv4-adv-3010] rule 1 permit ip destination 192.168.0.0 0.0.0.255
[Switch-acl-ipv4-adv-3010] quit
# 在接口Vlan-interface100上配置Portal用戶認證前使用的認證域為abc。
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] portal pre-auth domain abc
[Switch–Vlan-interface100] quit
(3) 配置Portal認證
# 配置Portal認證服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,監聽Portal報文的端口為50100。
[Switch] portal server newpt
[Switch-portal-server-newpt] ip 192.168.0.111 key simple portal
[Switch-portal-server-newpt] port 50100
[Switch-portal-server-newpt] quit
# 配置Portal Web服務器的URL為http://192.168.0.111:8080/portal。(Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致,此處僅為示例)
[Switch] portal web-server newpt
[Switch-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[Switch-portal-websvr-newpt] quit
# 在接口Vlan-interface100上開啟直接方式的Portal認證。
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] portal enable method direct
# 在接口Vlan-interface100上引用Portal Web服務器newpt。
[Switch–Vlan-interface100] portal apply web-server newpt
# 在接口Vlan-interface100上設置發送給Portal報文中的BAS-IP屬性值為2.2.2.1。
[Switch–Vlan-interface100] portal bas-ip 2.2.2.1
[Switch–Vlan-interface100] quit
以上配置完成後,通過執行命令display portal interface可查看Portal配置是否生效。Portal認證前用戶在通過Portal認證前,受認證前域中配置的授權信息限製,隻能訪問192.168.0.0/24網段,對其餘網段的Web訪問均被重定向到Portal認證頁麵。通過Portal認證後,則可訪問未受限的互聯網資源。Portal用戶下線後,Switch上會重新生成認證前用戶。
可通過執行以下顯示命令查看Switch上生成的Portal認證前用戶信息。
[Switch] display portal user pre-auth interface vlan-interface 100
MAC IP VLAN Interface
0015-e9a6-7cfe 2.2.2.4 100 Vlan-interface100
State: Online
VPN instance: --
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: 3010 (active)
Inbound CAR: N/A
Outbound CAR: N/A
Microsegment ID: N/A
· 用戶主機與接入設備Switch直接相連,采用二次地址分配方式的Portal認證。用戶通過DHCP服務器獲取IP地址,Portal認證前使用分配的一個私網地址;通過Portal認證後,用戶申請到一個公網地址。
· 用戶在沒有通過身份認證時僅可以訪問192.168.0.0/24網段;在通過認證後,可以使用分配的公網地址訪問非受限互聯網資源。
· 采用一台Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-26 配置Portal二次地址分配認證支持認證前域組網圖
· Portal二次地址分配認證方式應用中,DHCP服務器上需創建公網地址池(20.20.20.0/24)及私網地址池(10.0.0.0/24),具體配置略。
· Portal二次地址分配認證方式應用中,接入設備需要配置DHCP中繼來配合Portal認證,且啟動Portal的接口需要配置主IP地址(公網IP)及從IP地址(私網IP)。關於DHCP中繼的詳細配置請參見“三層技術-IP業務配置指導”中的“DHCP中繼”。
· 請保證在Portal認證服務器上添加的Portal設備的IP地址為與用戶相連的接口的公網IP地址(20.20.20.1),且與該Portal設備關聯的IP地址組中的轉換前地址為用戶所在的私網網段(10.0.0.0/24)、轉換後地址為公網網段(20.20.20.0/24)。
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
· 如果開啟Portal的接口上配置了認證前用戶使用的IP地址池,為保證DHCP服務器可以為用戶分配到私網網段地址,需要在接入設備上配置同名的中繼地址池,該地址池下必須指定私網用戶所在的網段地址,以及該地址池對應的DHCP服務器地址。其中,指定私網用戶所在的網段地址時,必須指定export-route參數。
(1) 配置Portal用戶認證前使用的認證域
# 創建並進入名稱為abc的ISP域。
<Switch> system-view
[Switch] domain abc
# 配置ISP域ISP域中的授權ACL屬性。
[Switch-isp-abc] authorization-attribute acl 3010
[Switch-isp-abc] quit
# 配置ACL 3010,允許192.168.0.0/24網段的報文通過。
[Switch] acl advanced 3010
[Switch-acl-ipv4-adv-3010] rule 1 permit ip destination 192.168.0.0 0.0.0.255
[Switch-acl-ipv4-adv-3010] quit
# 在Vlan-interface100接口上配置Portal用戶認證前使用的認證域為abc。
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] portal pre-auth domain abc
[Switch–Vlan-interface100] quit
(2) 配置DHCP中繼和授權ARP
# 配置DHCP中繼。
[Switch] dhcp enable
[Switch] dhcp relay client-information record
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] ip address 20.20.20.1 255.255.255.0
[Switch–Vlan-interface100] ip address 10.0.0.1 255.255.255.0 sub
[Switch-Vlan-interface100] dhcp select relay
[Switch-Vlan-interface100] dhcp relay server-address 192.168.0.112
# 開啟授權ARP功能。
[Switch-Vlan-interface100] arp authorized enable
[Switch-Vlan-interface100] quit
(3) 配置Portal認證
# 配置Portal認證服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,監聽Portal報文的端口為50100。
[Switch] portal server newpt
[Switch-portal-server-newpt] ip 192.168.0.111 key simple portal
[Switch-portal-server-newpt] port 50100
[Switch-portal-server-newpt] quit
# 配置Portal Web服務器的URL為http://192.168.0.111:8080/portal。(Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致,此處僅為示例)
[Switch] portal web-server newpt
[Switch-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[Switch-portal-websvr-newpt] quit
# 在接口Vlan-interface100上開啟二次地址方式的Portal認證。
[Switch] interface vlan-interface 100
[Switch-Vlan-interface100] portal enable method redhcp
# 在接口Vlan-interface100上引用Portal Web服務器newpt。
[Switch–Vlan-interface100] portal apply web-server newpt
# 在接口Vlan-interface100上設置發送給Portal報文中的BAS-IP屬性值為20.20.20.1。
[Switch–Vlan-interface100] portal bas-ip 20.20.20.1
[Switch–Vlan-interface100] quit
以上配置完成後,通過執行命令display portal interface可查看Portal配置是否生效。Portal認證前用戶在通過Portal認證前,受認證前域中配置的授權信息限製,隻能訪問192.168.0.0/24網段,對其餘網段的Web訪問均被重定向到Portal認證頁麵。通過Portal認證後,則可訪問未受限的互聯網資源。Portal用戶下線後,Switch上會重新生成認證前用戶。
可通過執行以下顯示命令查看Switch上生成的Portal認證前用戶信息。
[Switch] display portal user pre-auth interface vlan-interface 100
MAC IP VLAN Interface
0015-e9a6-7cfe 10.10.10.4 100 Vlan-interface100
State: Online
VPN instance: --
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: 3010 (active)
Inbound CAR: N/A
Outbound CAR: N/A
Microsegment ID: N/A
· 用戶主機與接入設備Switch直接相連,采用直接方式的Portal認證。用戶通過手工配置或DHCP獲取的一個公網IP地址進行認證,在通過Portal認證前,隻能訪問Portal Web服務器;在通過Portal認證後,可以使用此IP地址訪問非受限互聯網資源。
Switch同時承擔Portal Web服務器和Portal認證服務器的職責。
· 采用RADIUS服務器作為認證/計費服務器。
· 配置本地Portal Web服務器使用HTTP協議,且HTTP服務偵聽的TCP端口號為2331。
圖1-27 使用本地Portal Web服務器的直接Portal認證組網圖
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
· 按照自定義認證頁麵文件編輯規範,完成認證頁麵的編輯。並上傳到設備存儲介質的根目錄下。
· 配置RADIUS方案
# 創建名稱為rs1的RADIUS方案並進入該方案視圖。
<Switch> system-view
[Switch] radius scheme rs1
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[Switch-radius-rs1] primary authentication 192.168.0.112
[Switch-radius-rs1] primary accounting 192.168.0.112
[Switch-radius-rs1] key authentication simple radius
[Switch-radius-rs1] key accounting simple radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[Switch-radius-rs1] user-name-format without-domain
[Switch-radius-rs1] quit
# 開啟RADIUS session control功能。
[Switch] radius session-control enable
· 配置認證域
# 創建並進入名稱為dm1的ISP域。
[Switch] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[Switch-isp-dm1] authentication portal radius-scheme rs1
[Switch-isp-dm1] authorization portal radius-scheme rs1
[Switch-isp-dm1] accounting portal radius-scheme rs1
[Switch-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方式。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方案。
[Switch] domain default enable dm1
· 配置Portal認證
# 配置Portal Web服務器的URL為http://2.2.2.1:2331/portal(Portal Web服務器的URL可配置為開啟Portal認證的接口的IP地址或除127.0.0.1以外的Loopback接口的IP地址)。
[Switch] portal web-server newpt
[Switch-portal-websvr-newpt] url http://2.2.2.1:2331/portal
[Switch-portal-websvr-newpt] quit
# 在接口Vlan-interface100上開啟直接方式的Portal認證。
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] portal enable method direct
# 在接口Vlan-interface100上引用Portal Web服務器newpt。
[Switch–Vlan-interface100] portal apply web-server newpt
[Switch–Vlan-interface100] quit
# 創建本地Portal Web 服務器,進入本地Portal Web服務器視圖,並指定使用HTTP協議和客戶端交互認證信息。
[Switch] portal local-web-server http
# 配置本地Portal Web服務器提供的缺省認證頁麵文件為abc.zip(設備的存儲介質的根目錄下必須已存在該認證頁麵文件,否則功能不生效)。
[Switch–portal-local-websvr-http] default-logon-page abc.zip
# 配置本地Portal Web服務器的HTTP服務偵聽的TCP端口號為2331。
[Switch–portal-local-webserver-http] tcp-port 2331
[Switch–portal-local-websvr-http] quit
以上配置完成後,通過執行以下顯示命令可查看Portal配置是否生效。
[Switch] display portal interface vlan-interface 100
Portal information of Vlan-interface 100
VSRP instance: --
VSRP state: N/A
Authorization Strict checking
ACL Disabled
User profile Disabled
IPv4:
Portal status: Enabled
Portal authentication method: Direct
Portal web server: newpt(active)
Secondary portal Web server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ip: Not configured
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Mask
Destination authenticate subnet:
IP address Mask
Critical profile: Not configured
IPv6:
Portal status: Disabled
Portal authentication method: Disabled
Portal web server: Not configured
Secondary portal Web server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ipv6: Not configured
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authenticate subnet:
IP address Prefix length
Critical profile: Not configured
使用本地Portal Web服務器進行Portal認證的組網環境中,隻支持通過網頁方式進行Portal認證。用戶在通過認證前,隻能訪問認證頁麵http://2.2.2.1:2331/portal,且發起的Web訪問均被重定向到該認證頁麵,在通過認證後,可訪問非受限的互聯網資源。
# Portal用戶認證通過後,可通過執行以下顯示命令查看Switch上生成的Portal在線用戶信息。
[Switch] display portal user interface vlan-interface 100
Total portal users: 1
Username: abc
Portal server: newpt
State: Online
VPN instance: --
MAC IP VLAN Interface
0015-e9a6-7cfe 2.2.2.2 100 Vlan-interface100
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Microsegment ID: N/A
· 用戶主機通過接入設備Switch接入網絡,采用直接方式的Portal認證。用戶通過手工配置或DHCP獲取的一個公網IP地址進行認證,在通過Portal認證前,隻能訪問Portal Web服務器;在通過Portal認證後,可以使用此IP地址訪問非受限的互聯網資源。
· 采用一台iMC服務器同時承擔Portal認證服務器、Portal Web服務器以及MAC綁定服務器的職責。iMC版本為:iMC PLAT 7.1(E0303)、iMC EIA 7.1(F0303)。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-28 配置Portal基於MAC地址的快速認證組網圖
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
(1) 配置Portal server
# 配置Portal認證服務。
登錄進入iMC管理平台,選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > 服務器配置”菜單項,進入服務器配置頁麵。
¡ 根據實際組網情況調整以下參數,本例中使用缺省配置。
圖1-29 Portal認證服務器配置頁麵
# 配置IP地址組。
選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > IP地址組配置”菜單項,進入IP地址組配置頁麵。在該頁麵中單擊<增加>按鈕,進入增加IP地址組頁麵。
a. 輸入IP地址組名;
b. 輸入起始地址和終止地址,輸入的地址範圍中應包含用戶主機的IP地址;
c. 選擇業務分組,本例中使用缺省的“未分組”;
d. 選擇IP地址組的類型為“普通”。
e. 單擊<確定>按鈕完成操作。
圖1-30 增加IP地址組頁麵
# 增加Portal設備。
選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > 設備配置”菜單項,進入設備配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加設備信息配置頁麵。
f. 輸入設備名;
g. 指定IP地址為與接入用戶相連的設備接口IP;
h. 選擇支持逃生心跳為“否”。
i. 選擇支持用戶心跳為“否”。
j. 輸入密鑰,與接入設備Router上的配置保持一致;
k. 選擇組網方式為“直連”;
l. 其它參數采用缺省值;
m. 單擊<確定>按鈕完成操作。
圖1-31 增加設備信息頁麵
# 設備關聯IP地址組。
在設備配置頁麵中的設備信息列表中,點擊NAS設備的<端口組信息管理>鏈接,進入端口組信息配置頁麵。
圖1-32 設備信息列表
在端口組信息配置頁麵中點擊<增加>按鈕,進入增加端口組信息頁麵。
a. 輸入端口組名;
b. 選擇IP地址組,用戶接入網絡時使用的IP地址必須屬於所選的IP地址組;
c. 選擇無感知認證為“支持”;
d. 其它參數采用缺省配置;
e. 單擊<確定>按鈕完成操作。
圖1-33 增加端口組信息配置頁麵
(2) 配置MAC綁定服務器
# 增加接入策略。
單擊導航樹中的[接入策略管理/接入策略管理]菜單項,並點擊<增加>按鈕,進入“增加接入策略”頁麵。
¡ 填寫接入策略名。
¡ 選擇業務分組。
¡ 其它參數可采用缺省配置。
圖1-34 增加接入策略配置
# 增加接入服務。
單擊導航樹中的[接入策略管理/接入服務管理]菜單項,並點擊<增加>按鈕,進入“增加接入服務配置”頁麵。
¡ 填寫服務名。
¡ 勾選“Portal無感知認證”。
¡ 其它參數可采用缺省配置。
圖1-35 增加接入服務配置
# 增加接入用戶。
單擊導航樹中的[接入用戶管理/接入用戶]菜單項,並點擊<增加>按鈕,進入增加接入用戶頁麵。在接入信息部分:
¡ 選擇可接入的用戶。
¡ 設置密碼。
¡ 設置“Portal無感知認證最大綁定數”。
圖1-36 增加接入用戶
# 配置係統參數。
單擊導航樹中的[接入策略管理/業務參數配置/係統配置]菜單項,並點擊[終端管理參數配置]對應的<配置>按鈕,進入終端管理參數配置頁麵。
“非智能終端Portal無感知認證”可根據實際需要啟用或禁用,本例中為啟用。
圖1-37 配置終端管理參數
單擊導航樹中的[接入策略管理/業務參數配置/係統配置]菜單項,點擊[終端老化時長]對應的<配置>按鈕後點擊<修改>,進入終端老化時長配置頁麵。
根據實際需要配置終端老化時間,本例中采用缺省值。
圖1-38 配置終端老化時長
# 最後單擊導航樹中的[接入策略管理/業務參數配置/係統配置手工生效]菜單項,使以上配置生效。
(3) 配置Switch
¡ 配置RADIUS方案
# 創建名稱為rs1的RADIUS方案,並進入該方案視圖。
<Switch> system-view
[Switch] radius scheme rs1
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[Switch-radius-rs1] primary authentication 192.168.0.112
[Switch-radius-rs1] primary accounting 192.168.0.112
[Switch-radius-rs1] key authentication simple radius
[Switch-radius-rs1] key accounting simple radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[Switch-radius-rs1] user-name-format without-domain
[Switch-radius-rs1] quit
# 使能RADIUS session control功能。
[Switch] radius session-control enable
¡ 配置認證域
# 創建並進入名稱為dm1的ISP域。
[Switch] domain dm1
# 配置ISP域的AAA方法。
[Switch-isp-dm1] authentication portal radius-scheme rs1
[Switch-isp-dm1] authorization portal radius-scheme rs1
[Switch-isp-dm1] accounting portal radius-scheme rs1
[Switch-isp-dm1] quit
# 配置係統缺省的ISP域為dm1,所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[Switch] domain default enable dm1
¡ 配置Portal認證
# 配置Portal認證服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,監聽Portal報文的端口為50100。
[Switch] portal server newpt
[Switch-portal-server-newpt] ip 192.168.0.111 key simple portal
[Switch-portal-server-newpt] port 50100
[Switch-portal-server-newpt] quit
# 配置Portal Web服務器的URL為http://192.168.0.111:8080/portal。(Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致,此處僅為示例)
[Switch] portal web-server newpt
[Switch-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[Switch-portal-websvr-newpt] quit
# 在接口Vlan-interface100上開啟直接方式的Portal認證。
[Switch] interface vlan-interface 100
[Switch-Vlan-interface100] portal enable method direct
# 在接口Vlan-interface100上引用Portal Web服務器newpt。
[Switch-Vlan-interface100] portal apply web-server newpt
# 在接口Vlan-interface100上設置發送給Portal認證服務器的Portal報文中的BAS-IP屬性值為2.2.2.1。
[Switch-Vlan-interface100] portal bas-ip 2.2.2.1
[Switch-Vlan-interface100] quit
¡ 配置Portal基於MAC地址的快速認證
# 創建MAC綁定服務器mts。
[Switch] portal mac-trigger-server mts
# 配置用戶免認證流量的閾值為1024000字節。
[Switch-portal-mac-trigger-server-mts] free-traffic threshold 1024000
# 配置MAC綁定服務器的地址為192.168.0.111。
[Switch-portal-mac-trigger-server-mts] ip 192.168.0.111
[Switch-portal-mac-trigger-server-mts] quit
# 在接口Vlan-interface100上應用MAC綁定服務器mts。
[Switch] interface vlan-interface 100
[Switch-Vlan-interface100] portal apply mac-trigger-server mts
[Switch-Vlan-interface100] quit
# 通過執行以下顯示命令可查看MAC綁定服務器配置。
[Switch] display portal mac-trigger-server name mts
Portal mac trigger server name: mts
Version : 1.0
Server type : IMC
IP : 192.168.0.111
Port : 50100
VPN instance : Not configured
Aging time : 300 seconds
Free-traffic threshold : 1024000 bytes
NAS-Port-Type : Not configured
Binding retry times : 3
Binding retry interval : 1 seconds
Authentication timeout : 3 minutes
用戶可以使用iNode客戶端或通過網頁方式進行Portal認證。用戶在通過認證前,發起的所有Web訪問均被重定向到Portal認證頁麵(http://192.168.0.111:8080/portal),在通過認證後,可訪問非受限的互聯網資源。
用戶在首次進行Portal認證時,需要手工輸入用戶名和密碼。當用戶再次上線時,將可以直接訪問互聯網資源,不會感知到Portal認證過程。
# 通過執行以下顯示命令查看Switch上生成的Portal在線用戶信息。
[Switch] display portal user interface vlan-interface 100
Total portal users: 1
Username: Client1
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-e9a6-7cfe 2.2.2.2 100 Vlan-interface100
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Microsegment ID: N/A
· 用戶主機通過接入設備Router接入網絡,采用直接方式的Portal認證。用戶通過手工配置或DHCP獲取的一個公網IP地址進行認證,在通過Portal認證前,隻能訪問Portal Web服務器;在通過雲端認證後,可以訪問非受限的互聯網資源。
· 采用雲端服務器同時承擔Portal認證服務器、Portal Web服務器以及MAC綁定服務器的職責。
圖1-39 配置Portal基於MAC地址的雲端快速認證組網圖
# 在雲平台上找到與設備對應的認證模板,開啟再次連接免認證功能。
圖1-40 雲端認證模板配置頁麵
(1) 配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達,具體配置步驟略。
(2) 基本網絡功能配置
# 配置各接口的IP地址(略)。
# 開啟DNS proxy功能。
[Router] dns proxy enable
(3) 配置認證域
# 創建一個名稱為cloud的ISP域,並進入其視圖。
[Router] domain cloud
# 為Portal用戶配置認證、授權、計費方法均為none。
[Router-isp-cloud] authentication portal none
[Router-isp-cloud] authorization portal none
[Router-isp-cloud] accounting portal none
[Router-isp-cloud] quit
(4) 配置雲端MAC-trigger認證功能
# 配置Portal Web服務器wbs的URL為http://oasisauth.h3c.com,類型為oauth。
[Router] portal web-server wbs
[Router-portal-websvr-wbs] url http://oasisauth.h3c.com
[Router-portal-websvr-wbs] server-type oauth
[Router-portal-websvr-wbs] url-parameter nas_id value cm-0-554212-210235A2G1B205000009
[Router-portal-websvr-wbs] url-parameter template_id value 4291
# 創建本地Portal Web服務器,進入本地Portal Web服務器視圖,並指定使用HTTP協議和客戶端交互認證信息。
[Router] portal local-web-server http
# 開啟Portal雲端MAC-trigger認證功能。
[Router] portal mac-trigger-server abc
[Router-portal-extend-auth-server-abc] cloud-binding enable
# 指定雲端Portal認證服務器URL。
[Router-portal-extend-auth-server-abc] cloud-server url http://oasisauth.h3c.com
[Router-portal-extend-auth-server-abc] quit
# 在接口GigabitEthernet1/0/1上開啟直接方式的Portal認證。
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] portal enable method direct
# 在接口GigabitEthernet1/0/1上引用認證域、指定Portal Web服務器和MAC綁定服務器。
[Router-GigabitEthernet1/0/1] portal domain cloud
[Router-GigabitEthernet1/0/1] portal apply web-server cloud
[Router-GigabitEthernet1/0/1] portal apply mac-trigger-server abc
# 通過執行以下顯示命令可查看設備和雲端交互的報文統計。
[Router] display portal packet statistics extend-auth-server cloud
Extend-auth server : cloud
Pkt-Type Success Error Timeout Conn-failure
REQ_ACCESSTOKEN 1 0 0 0
REQ_USERINFO 1 0 0 0
RESP_ACCESSTOKEN 1 0 0 0
RESP_USERINFO 1 0 0 0
POST_ONLINEDATA 10 0 0 0
RESP_ONLINEDATA 10 0 0 0
POST_OFFLINEUSER 1 0 0 0
REPORT_ONLINEUSER 2 0 0 0
REQ_CLOUDBIND 2 0 0 0
ESP_CLOUDBIND 2 0 0 0
REQ_BINDUSERINFO 1 0 0 0
RESP_BINDUSERINFO 1 0 0 0
AUTHENTICATION 2 0 0 0
用戶在通過認證前,發起的所有Web訪問均被重定向到Portal認證頁麵(http://oasisauth.h3c.com),在通過認證後,可訪問非受限的互聯網資源。
用戶在首次進行Portal認證時,需要手工輸入用戶名和密碼。當用戶再次上線時,將可以直接訪問互聯網資源,不會感知到Portal認證過程。
# 通過執行以下顯示命令查看Router上生成的Portal在線用戶信息。
[Router] display portal user interface gigabitethernet 1/0/1
Total portal users: 1
Username: Client1
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-e9a6-7cfe 2.2.2.2 -- GigabitEthernet1/0/1
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Microsegment ID: N/A
· 用戶主機與二層設備Device C直接相連,Device C與接入設備Device A和Device B直接相連,采用直接方式的Portal認證。用戶通過手工配置或DHCP獲取的一個公網IP地址進行認證,在通過Portal認證前,隻能訪問Portal Web服務器;在通過Portal認證後,可以使用此IP地址訪問非受限的互聯網資源。
· 接入設備Device A和Device B組成一個M-LAG係統,當其中一台接入設備發生故障時,另一台設備可以使用備份的用戶數據接替處理業務,從而保證用戶業務的正常運行。
· 當Portal用戶數量較多時,建議將M-LAG接口上Portal用戶認證的負載分擔模式配置為分布處理模式。
· 采用一台iMC服務器同時承擔Portal認證服務器和Portal Web服務器的職責。iMC版本為:iMC PLAT 7.1(E0303)、iMC EIA 7.1(E0304)。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-41 配置Portal支持M-LAG的直接認證組網圖
|
設備 |
接口 |
IP地址 |
設備 |
接口 |
IP地址 |
|
Device A |
Vlan-int10 |
2.2.2.1/24 |
Device B |
Vlan-int10 |
2.2.2.1/24 |
|
|
Vlan-int20 |
3.3.3.1/24 |
|
Vlan-int20 |
3.3.3.1/24 |
|
|
GE1/0/3 |
1.1.1.1/24 |
|
GE1/0/3 |
1.1.1.2/24 |
|
Device C |
Vlan-int10 |
2.2.2.3/24 |
Device D |
Vlan-int10 |
3.3.3.3/24 |
按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
(1) 配置Device A
# 係統配置。
<DeviceA> system-view
[DeviceA] m-lag system-mac 1-1-1
[DeviceA] m-lag system-number 1
[DeviceA] m-lag system-priority 123
# 配置Keepalive報文的目的IP地址和源IP地址。
[DeviceA] m-lag keepalive ip destination 1.1.1.1 source 1.1.1.2
# 配置端口GigabitEthernet1/0/3工作在三層模式,並配置IP地址為Keepalive報文的源IP地址。
[DeviceA] interface gigabitethernet 1/0/3
[DeviceA-GigabitEthernet1/0/3] port link-mode route
[DeviceA-GigabitEthernet1/0/3] ip address 1.1.1.2 24
[DeviceA-GigabitEthernet1/0/3] quit
# 配置Keepalive鏈路接口為保留接口。
[DeviceA] m-lag mad exclude interface gigabitethernet 1/0/3
# 創建二層聚合接口3,並配置該接口為動態聚合模式。
[DeviceA] interface bridge-aggregation 3
[DeviceA-Bridge-Aggregation3] link-aggregation mode dynamic
[DeviceA-Bridge-Aggregation3] quit
# 分別將端口GigabitEthernet1/0/1和GigabitEthernet1/0/2加入到聚合組3中。
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] port link-aggregation group 3
[DeviceA-GigabitEthernet1/0/1] quit
[DeviceA] interface gigabitethernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] port link-aggregation group 3
[DeviceA-GigabitEthernet1/0/2] quit
# 配置二層聚合接口3為Trunk端口,允許所有VLAN 10和VLAN 20的報文通過,並配置該接口為peer-link接口。
[DeviceA] interface bridge-aggregation 3
[DeviceA-Bridge-Aggregation3] port link-type trunk
[DeviceA-Bridge-Aggregation3] port trunk permit vlan 10 20
[DeviceA-Bridge-Aggregation3] port m-lag peer-link 1
[DeviceA-Bridge-Aggregation3] quit
# 創建二層聚合接口4,並配置該接口為動態聚合模式。
[DeviceA] interface bridge-aggregation 4
[DeviceA-Bridge-Aggregation4] link-aggregation mode dynamic
[DeviceA-Bridge-Aggregation4] quit
# 分別將端口GigabitEthernet1/0/4和GigabitEthernet1/0/5加入到聚合組4中。
[DeviceA] interface gigabitethernet 1/0/4
[DeviceA-GigabitEthernet1/0/4] port link-aggregation group 4
[DeviceA-GigabitEthernet1/0/4] quit
[DeviceA] interface gigabitethernet 1/0/5
[DeviceA-GigabitEthernet1/0/5] port link-aggregation group 4
[DeviceA-GigabitEthernet1/0/5] quit
# 將二層聚合接口4加入VLAN 10,並配置該接口為M-LAG接口。
[DeviceA] interface bridge-aggregation 4
[DeviceA-Bridge-Aggregation4] port access vlan 10
[DeviceA-Bridge-Aggregation4] port m-lag group 4
[DeviceA-Bridge-Aggregation4] quit
# 創建二層聚合接口5,並配置該接口為動態聚合模式。
[DeviceA] interface bridge-aggregation 5
[DeviceA-Bridge-Aggregation5] link-aggregation mode dynamic
[DeviceA-Bridge-Aggregation5] quit
# 分別將端口GigabitEthernet1/0/6和GigabitEthernet1/0/7加入到聚合組5中。
[DeviceA] interface gigabitethernet 1/0/6
[DeviceA-GigabitEthernet1/0/6] port link-aggregation group 5
[DeviceA-GigabitEthernet1/0/6] quit
[DeviceA] interface gigabitethernet 1/0/7
[DeviceA-GigabitEthernet1/0/7] port link-aggregation group 5
[DeviceA-GigabitEthernet1/0/7] quit
# 將二層聚合接口5加入VLAN 20,並配置該接口為M-LAG接口。
[DeviceA] interface bridge-aggregation 5
[DeviceA-Bridge-Aggregation5] port access vlan 20
[DeviceA-Bridge-Aggregation5] port m-lag group 5
[DeviceA-Bridge-Aggregation5] quit
(2) 配置Device B
Device B的配置與Device A相似,配置過程略。
(3) 配置Device C
# 創建二層聚合接口4,並配置該接口為動態聚合模式。
<DeviceC> system-view
[DeviceC] interface bridge-aggregation 4
[DeviceC-Bridge-Aggregation4] link-aggregation mode dynamic
[DeviceC-Bridge-Aggregation4] quit
# 分別將端口GigabitEthernet1/0/1~GigabitEthernet1/0/4加入到聚合組4中。
[DeviceC] interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/4
[DeviceC-if-range] port link-aggregation group 4
[DeviceC-if-range] quit
# 將二層聚合接口4加入VLAN 10。
[DeviceC] interface bridge-aggregation 4
[DeviceC-Bridge-Aggregation4] port access vlan 10
[DeviceC-Bridge-Aggregation4] quit
# 將GigabitEthernet1/0/5~GigabitEthernet1/0/7加入VLAN 10。
[DeviceC] interface range gigabitethernet 1/0/5 to gigabitethernet 1/0/7
[DeviceC-if-range] port access vlan 10
[DeviceC-if-range] quit
(4) 配置Device D
Device D的配置與Device C相似,配置過程略。
# 配置Portal認證服務器。
登錄進入iMC管理平台,選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > 服務器配置”菜單項,進入服務器配置頁麵。
· 根據實際組網情況調整以下參數,本例中使用缺省配置。
圖1-42 Portal認證服務器配置頁麵
# 配置IP地址組。
選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > IP地址組配置”菜單項,進入IP地址組配置頁麵。在該頁麵中單擊<增加>按鈕,進入增加IP地址組頁麵。
(1) 輸入IP地址組名;
(2) 輸入起始地址和終止地址。用戶主機IP地址必須包含在該IP地址組範圍內;
(3) 選擇業務分組,本例中使用缺省的“未分組”;
(4) 選擇IP地址組的類型為“普通”。
(5) 單擊<確定>按鈕完成操作。
圖1-43 增加IP地址組頁麵
# 增加Portal設備。
選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > 設備配置”菜單項,進入設備配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加設備信息頁麵。
(1) 輸入設備名;
(2) 指定IP地址為與接入用戶相連的設備接口IP;
(3) 選擇支持逃生心跳為“否”。
(4) 選擇支持用戶心跳為“否”。
(5) 輸入密鑰,與接入設備Device上的配置保持一致;
(6) 選擇組網方式為“直連”;
(7) 其它參數采用缺省值;
(8) 單擊<確定>按鈕完成操作。
圖1-44 增加設備信息頁麵
# 設備關聯IP地址組。
在設備配置頁麵中的設備信息列表中,點擊NAS設備的<端口組信息管理>鏈接,進入端口組信息配置頁麵。
圖1-45 設備信息列表
在端口組信息配置頁麵中點擊<增加>按鈕,進入增加端口組信息頁麵。
(1) 輸入端口組名;
(2) 選擇IP地址組,用戶接入網絡時使用的IP地址必須屬於所選的IP地址組;
(3) 其它參數采用缺省值;
(4) 單擊<確定>按鈕完成操作。
圖1-46 增加端口組信息頁麵
(1) 配置Device A
¡ 配置RADIUS方案
# 創建名稱為rs1的RADIUS方案並進入該方案視圖。
<DeviceA> system-view
[DeviceA] radius scheme rs1
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[DeviceA-radius-rs1] primary authentication 192.168.0.112
[DeviceA-radius-rs1] primary accounting 192.168.0.112
[DeviceA-radius-rs1] key authentication simple radius
[DeviceA-radius-rs1] key accounting simple radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[DeviceA-radius-rs1] user-name-format without-domain
[DeviceA-radius-rs1] quit
¡ 配置認證域
# 創建並進入名稱為dm1的ISP域。
[DeviceA] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[DeviceA-isp-dm1] authentication portal radius-scheme rs1
[DeviceA-isp-dm1] authorization portal radius-scheme rs1
[DeviceA-isp-dm1] accounting portal radius-scheme rs1
[DeviceA-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方式。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方案。
[DeviceA] domain default enable dm1
¡ 配置Portal認證
# 配置Portal認證服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,監聽Portal報文的端口為50100。
[DeviceA] portal server newpt
[DeviceA-portal-server-newpt] ip 192.168.0.111 key simple portal
[DeviceA-portal-server-newpt] port 50100
[DeviceA-portal-server-newpt] quit
# 配置Portal Web服務器的URL為http://192.168.0.111:8080/portal。(Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致,此處僅為示例)
[DeviceA] portal web-server newpt
[DeviceA-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[DeviceA-portal-websvr-newpt] quit
# 在接口Vlan-inerface10上開啟直接方式的Portal認證。
[DeviceA] interface vlan 10
[DeviceA–Vlan-interface10] portal enable method direct
# 在接口Vlan-inerface10上引用Portal Web服務器newpt。
[DeviceA–Vlan-interface10] portal apply web-server newpt
# 在接口Vlan-inerface10上設置發送給Portal認證服務器的Portal報文中的BAS-IP屬性值為2.2.2.1。
[DeviceA–Vlan-interface10] portal bas-ip 2.2.2.1
[DeviceA–Vlan-interface10] quit
# 配置M-LAG接口上Portal用戶認證的負載分擔模式為even-ip模式。
[DeviceA] portal m-lag load-sharing-mode distributed even-ip
(2) 配置Device B
# 配置M-LAG接口上Portal用戶認證的負載分擔模式為odd-ip模式。
[DeviceB] portal m-lag load-sharing-mode distributed odd-ip
Device B其他配置參照Device A,與之保持一致。
# 以上配置完成後,在Device A上通過執行以下顯示命令可查看Portal配置是否生效。
[DeviceA] display portal interface vlan-interface 10
Portal information of Vlan-interface10
NAS-ID profile: Not configured
M-LAG Group ID: 4
M-LAG role : Master
Authorization : Strict checking
ACL : Disabled
User profile : Disabled
Dual stack : Disabled
Max users : Not configured
IPv4:
Portal status: Enabled
PEER_SM state: M_Synced
Portal authentication method: Direct
Portal web server: newpt(active)
Secondary portal Web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: dm1
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ip: 2.2.2.1
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Mask
Destination authentication subnet:
IP address Mask
Critical profile: Not configured
IPv6:
Portal status: Disabled
Portal authentication method: Disabled
Portal web server: Not configured
Secondary portal Web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ipv6: Not configured
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authentication subnet:
IP address Prefix length
Critical profile: Not configured
用戶既可以使用iNode客戶端,也可以通過網頁方式進行Portal認證。用戶在通過認證前,隻能訪問認證頁麵http://192.168.0.111:8080/portal,且發起的Web訪問均被重定向到該認證頁麵,在通過認證後,可訪問非受限的互聯網資源。
# Portal用戶認證通過後,可通過執行以下顯示命令查看Device A上生成的Portal在線用戶信息。
[DeviceA] display portal user interface vlan-interface 10 verbose
Total portal users: 1
Basic:
Current IP address: 2.2.2.2
Original IP address: 2.2.2.2
Username: 11
User ID: 0x10000012
Access interface: Vlan-interface10
Service-VLAN/Customer-VLAN: 10/-
MAC address: 00e0-4c68-8add
Domain name: dm1
VPN instance: N/A
Status: Online
M-LAG user state: Active
Portal server: N/A
Portal authentication method: Direct
AAA:
Realtime accounting interval: 0s, retry times: 1
Idle cut: N/A
Session duration: N/A, remaining: N/A
Remaining traffic: N/A
Login time: 2019-09-16 06:48:26 UTC
Accounting-start fail action: Online
Accounting-update fail action: Online
Accounting quota-out action: Offline
DHCP IP pool: N/A
ACL&QoS&Multicast:
Inbound CAR: N/A
Outbound CAR: N/A
ACL number: N/A
User profile: N/A
Session group profile: N/A
Max multicast addresses: 4
User group: N/A
Flow statistic:
Uplink packets/bytes: 5/290
Downlink packets/bytes: 0/0
Peer flow statistic:
Uplink packets/bytes: 5/290
Downlink packets/bytes: 0/0
# 查看Device B上生成的Portal在線用戶信息。
[DeviceB] display portal user interface Vlan-interface 10 verbose
Total portal users: 1
Basic:
Current IP address: 2.2.2.2
Original IP address: 2.2.2.2
Username: 11
User ID: 0x1000000c
Access interface: Vlan-interface10
Service-VLAN/Customer-VLAN: 10/-
MAC address: 00e0-4c68-8add
Domain name: dm1
VPN instance: N/A
Status: Online
M-LAG user state: Inactive
Portal server: N/A
Portal authentication method: Direct
AAA:
Realtime accounting interval: 0s, retry times: 1
Idle cut: N/A
Session duration: N/A, remaining: N/A
Remaining traffic: N/A
Login time: 2019-09-16 06:48:29 UTC
Accounting-start fail action: Online
Accounting-update fail action: Online
Accounting quota-out action: Offline
DHCP IP pool: N/A
ACL&QoS&Multicast:
Inbound CAR: N/A
Outbound CAR: N/A
ACL number: N/A
User profile: N/A
Session group profile: N/A
Max multicast addresses: 4
User group: N/A
Flow statistic:
Uplink packets/bytes: 5/290
Downlink packets/bytes: 0/0
Peer flow statistic:
Uplink packets/bytes: 5/290
Downlink packets/bytes: 0/0
用戶被強製去訪問iMC Portal認證服務器時沒有彈出Portal認證頁麵,也沒有錯誤提示,登錄的Portal認證服務器頁麵為空白。
接入設備上配置的Portal密鑰和Portal認證服務器上配置的密鑰不一致,導致Portal認證服務器報文驗證出錯,Portal認證服務器拒絕彈出認證頁麵。
使用display portal server命令查看接入設備上是否配置了Portal認證服務器密鑰,若沒有配置密鑰,請補充配置;若配置了密鑰,請在Portal認證服務器視圖中使用ip或ipv6命令修改密鑰,或者在Portal認證服務器上查看對應接入設備的密鑰並修改密鑰,直至兩者的密鑰設置一致。
用戶通過Portal認證後,在接入設備上使用portal delete-user命令強製用戶下線失敗,但是使用客戶端的“斷開”屬性可以正常下線。
在接入設備上使用portal delete-user命令強製用戶下線時,由接入設備主動發送下線通知報文到Portal認證服務器,Portal認證服務器會在指定的端口監聽該報文(缺省為50100),但是接入設備發送的下線通知報文的目的端口和Portal認證服務器真正的監聽端口不一致,故Portal認證服務器無法收到下線通知報文,Portal認證服務器上的用戶無法下線。
當使用客戶端的“斷開”屬性讓用戶下線時,由Portal認證服務器主動向接入設備發送下線請求,其源端口為50100,接入設備的下線應答報文的目的端口使用請求報文的源端口,避免了其配置上的錯誤,使得Portal認證服務器可以收到下線應答報文,從而Portal認證服務器上的用戶成功下線。
使用display portal server命令查看接入設備對應服務器的端口,並在係統視圖中使用portal server命令修改服務器的端口,使其和Portal認證服務器上的監聽端口一致。
接入設備使用iMC服務器作為RADIUS服務器對Portal用戶進行身份認證,用戶通過Portal認證上線後,管理員無法在RADIUS服務器上強製Portal用戶下線。
iMC服務器使用session control報文向設備發送斷開連接請求。接入設備上監聽session control報文的UDP端口缺省是關閉的,因此無法接收RADIUS服務器發送的Portal用戶下線請求。
查看接入設備上的RADIUS session control功能是否處於開啟狀態,若未開啟,請在係統視圖下執行radius session-control enable命令開啟。
接入設備上通過命令行強製Portal用戶下線後,Portal認證服務器上還存在該用戶。
在接入設備上使用portal delete-user命令強製用戶下線時,由接入設備主動發送下線通知報文到Portal認證服務器,若接入設備主動發送的Portal報文攜帶的BAS-IP/BAS-IPv6屬性值與Portal認證服務器上指定的設備IP地址不一致,Portal認證服務器會將該下線通知報文丟棄。當接入設備嚐試發送該報文超時之後,會將該用戶強製下線,但Portal認證服務器上由於並未成功接收這樣的通知報文,認為該用戶依然在線。
在開啟Portal認證的接口上配置BAS-IP/BAS-IPv6屬性值,使其與Portal認證服務器上指定的設備IP地址保持一致。
設備對用戶采用二次地址分配認證方式的Portal認證,用戶輸入正確的用戶名和密碼,且客戶端先後成功獲取到了私網IP地址和公網的IP地址,但認證結果為失敗。
在接入設備對用戶進行二次地址分配認證過程中,當接入設備感知到客戶端的IP地址更新之後,需要主動發送Portal通知報文告知Portal認證服務器已檢測到用戶IP變化,當Portal認證服務器接收到客戶端以及接入設備發送的關於用戶IP變化的通告後,才會通知客戶端上線成功。若接入設備主動發送的Portal報文攜帶的BAS-IP/BAS-IPv6屬性值與Portal認證服務器上指定的設備IP地址不一致時,Portal認證服務器會將該Portal通知報文丟棄,因此會由於未及時收到用戶IP變化的通告認為用戶認證失敗。
在開啟Portal認證的接口上配置BAS-IP/BAS-IPv6屬性值,使其與Portal認證服務器上指定的設備IP地址保持一致。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
