- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
04-Portal配置
本章節下載: 04-Portal配置 (1.27 MB)
目 錄
1.13.5 開啟第二類Portal過濾規則下發的完整性檢查功能
1.14.3 配置Portal Web服務器的可達性探測功能
1.16.1 配置RADIUS NAS-Port-ID屬性格式
1.16.2 配置接入設備發送的RADIUS請求報文的NAS-Port-Type屬性類型
1.19 關閉Portal客戶端Rule ARP/ND表項生成功能
1.22.7 Portal認證服務器探測和用戶信息同步功能配置舉例
1.22.8 使用本地Portal Web服務的直接Portal認證配置舉例
1.23.1 Portal用戶認證時,沒有彈出Portal認證頁麵
1.23.3 RADIUS服務器上無法強製Portal用戶下線
1.23.4 接入設備強製用戶下線後,Portal認證服務器上還存在該用戶
Portal認證通過Web頁麵接受用戶輸入的用戶名和密碼,對用戶進行身份認證,以達到對用戶訪問進行控製的目的。Portal認證通常部署在接入層以及需要保護的關鍵數據入口處實施訪問控製。在采用了Portal認證的組網環境中,用戶可以主動訪問已知的Portal Web服務器網站進行Portal認證,也可以訪問任意非Portal Web服務器網站時,被強製訪問Portal Web服務器網站,繼而開始Portal認證。目前,設備支持的Portal版本為Portal 1.0、Portal 2.0和Portal 3.0。
· 可以不安裝客戶端軟件,直接使用Web頁麵認證,使用方便。
· 可以為運營商提供方便的管理功能和業務拓展功能,例如運營商可以在認證頁麵上開展廣告、社區服務、信息發布等個性化的業務。
· 支持多種組網型態,例如二次地址分配認證方式可以實現靈活的地址分配策略且能節省公網IP地址,可跨三層認證方式可以跨網段對用戶作認證。
Portal的安全擴展功能是指,在Portal身份認證的基礎之上,通過強製接入終端實施補丁和防病毒策略,加強網絡終端對病毒攻擊的主動防禦能力。具體的安全擴展功能如下:
· 安全性檢測:在對用戶的身份認證的基礎上增加了安全認證機製,可以檢測接入終端上是否安裝了防病毒軟件、是否更新了病毒庫、是否安裝了非法軟件、是否更新了操作係統補丁等;
· 訪問資源受限:用戶通過身份認證後僅僅獲得訪問指定互聯網資源的權限,如病毒服務器、操作係統補丁更新服務器等;當用戶通過安全認證後便可以訪問更多的互聯網資源。
安全性檢測功能必須與iMC安全策略服務器以及iNode客戶端配合使用。
如圖1-1所示,Portal係統通常由如下實體組成:認證客戶端、接入設備、Portal認證服務器、Portal Web服務器、AAA服務器和安全策略服務器。
圖1-1 Portal係統組成示意圖
用戶終端的客戶端係統,為運行HTTP/HTTPS協議的瀏覽器或運行Portal客戶端的主機。對用戶終端的安全性檢測是通過Portal客戶端和安全策略服務器之間的信息交流完成的。目前,Portal客戶端僅支持iNode客戶端。
提供接入服務的設備,主要有三方麵的作用:
· 在認證之前,將用戶的所有HTTP/HTTPS請求都重定向到Portal Web服務器。
· 在認證過程中,與Portal認證服務器、AAA服務器交互,完成身份認證/授權/計費的功能。
· 在認證通過後,允許用戶訪問被授權的互聯網資源。
包括Portal Web服務器和Portal認證服務器。Portal Web服務器負責向客戶端提供Web認證頁麵,並將客戶端的認證信息(用戶名、密碼等)提交給Portal認證服務器。Portal認證服務器用於接收Portal客戶端認證請求的服務器端係統,與接入設備交互認證客戶端的認證信息。Portal Web服務器通常與Portal認證服務器是一體的,也可以是獨立的服務器端係統。
與接入設備進行交互,完成對用戶的認證、授權和計費。目前RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)服務器可支持對Portal用戶進行認證、授權和計費,以及LDAP(Lightweight Directory Access Protocol,輕量級目錄訪問協議)服務器可支持對Portal用戶進行認證。
與Portal客戶端、接入設備進行交互,完成對用戶的安全檢測,並對用戶進行安全授權操作。僅運行Portal客戶端的主機支持與安全策略服務器交互。
Portal係統中各基本要素的交互過程如下:
(1) 當未認證用戶使用瀏覽器進行Portal認證時,可以通過瀏覽器訪問任一互聯網地址,接入設備會將此HTTP或HTTPS請求重定向到Portal Web服務器的Web認證主頁上。也可以主動登錄Portal Web服務器的Web認證主頁。當未認證用戶使用iNode客戶端進行Portal認證時,可直接打開客戶端,輸入認證信息。
(2) 用戶在認證主頁/認證對話框中輸入認證信息後提交,Portal Web服務器會將用戶的認證信息傳遞給Portal認證服務器,由Portal認證服務器處理並轉發給接入設備。
(3) 接入設備與AAA服務器交互進行用戶的認證、授權和計費。
(4) 認證通過後,如果未對用戶采用安全策略,則接入設備會打開用戶與互聯網的通路,允許用戶訪問互聯網;如果使用iNode客戶端進行認證,並對用戶采用了安全策略,則客戶端、接入設備與安全策略服務器交互,對用戶的安全檢測通過之後,安全策略服務器根據用戶的安全性授權用戶訪問非受限資源。
接入設備可以同時提供Portal Web服務器和Portal認證服務器功能,對接入的Portal用戶進行本地Portal認證,如圖1-2所示。該組網方式下,Portal係統僅支持通過Web登錄、下線的基本認證功能,不支持使用Portal客戶端方式的Portal認證,因此不支持Portal擴展功能,無需部署安全策略服務器。
圖1-2 使用本地Portal服務的Portal係統組成示意圖
本地Portal Web服務支持由用戶自定義認證頁麵的內容,即允許用戶編輯一套或多套認證頁麵的HTML文件,並將其壓縮之後保存至設備的存儲介質的根目錄中。每套自定義頁麵文件中包括六個認證頁麵:登錄頁麵、登錄成功頁麵、在線頁麵、下線成功頁麵、登錄失敗頁麵和係統忙碌頁麵。本地Portal Web服務根據不同的認證階段向客戶端推出對應的認證頁麵。
Portal支持三種認證方式:直接認證方式、二次地址分配認證方式和可跨三層認證方式。直接認證方式和二次地址分配認證方式下,認證客戶端和接入設備之間沒有三層轉發設備;可跨三層認證方式下,認證客戶端和接入設備之間可以(但不必須)跨接三層轉發設備。
用戶在認證前通過手工配置或DHCP直接獲取一個IP地址,隻能訪問Portal Web服務器,以及設定的免認證地址;認證通過後即可訪問網絡資源。認證流程相對簡單。
用戶在認證前通過DHCP獲取一個私網IP地址,隻能訪問Portal Web服務器,以及設定的免認證地址;認證通過後,用戶會申請到一個公網IP地址,即可訪問網絡資源。該認證方式解決了IP地址規劃和分配問題,對未認證通過的用戶不分配公網IP地址。例如運營商對於小區寬帶用戶隻在訪問小區外部資源時才分配公網IP。目前,僅iNode客戶端支持該認證方式。需要注意的是,IPv6 Portal認證不支持二次地址分配方式。
和直接認證方式基本相同,但是這種認證方式允許認證用戶和接入設備之間跨越三層轉發設備。
對於以上三種認證方式,IP地址都是用戶的唯一標識。接入設備基於用戶的IP地址下發ACL對接口上通過認證的用戶報文轉發進行控製。由於直接認證和二次地址分配認證下的接入設備與用戶之間未跨越三層轉發設備,因此接口可以學習到用戶的MAC地址,接入設備可以利用學習到MAC地址增強對用戶報文轉發的控製力度。
直接認證和可跨三層Portal認證流程相同。二次地址分配認證流程因為有兩次地址分配過程,所以其認證流程和另外兩種認證方式有所不同。
圖1-3 直接認證/可跨三層Portal認證流程圖
直接認證/可跨三層Portal認證流程:
(1) Portal用戶通過HTTP/HTTPS協議訪問外部網絡。HTTP/HTTPS報文經過接入設備時,對於訪問Portal Web服務器或設定的免認證地址的HTTP/HTTPS報文,接入設備允許其通過;對於訪問其它地址的HTTP/HTTPS報文,接入設備將其重定向到Portal Web服務器。Portal Web服務器提供Web頁麵供用戶輸入用戶名和密碼。
(2) Portal Web服務器將用戶輸入的信息提交給Portal認證服務器進行認證。
(3) Portal認證服務器與接入設備之間進行CHAP(Challenge Handshake Authentication Protocol,質詢握手認證協議)認證交互。若采用PAP(Password Authentication Protocol,密碼認證協議)認證則直接進入下一步驟。采用哪種認證交互方式由Portal認證服務器決定。
(4) Portal認證服務器將用戶輸入的用戶名和密碼組裝成認證請求報文發往接入設備,同時開啟定時器等待認證應答報文。
(5) 接入設備與RADIUS服務器之間進行RADIUS協議報文的交互。
(6) 接入設備向Portal認證服務器發送認證應答報文,表示認證成功或者認證失敗。
(7) Portal認證服務器向客戶端發送認證成功或認證失敗報文,通知客戶端認證成功(上線)或失敗。
(8) 若認證成功,Portal認證服務器還會向接入設備發送認證應答確認。若是iNode客戶端,則還需要進行以下安全擴展功能的步驟,否則Portal認證過程結束,用戶上線。
(9) 客戶端和安全策略服務器之間進行安全信息交互。安全策略服務器檢測客戶端的安全性是否合格,包括是否安裝防病毒軟件、是否更新病毒庫、是否安裝了非法軟件、是否更新操作係統補丁等。
(10) 安全策略服務器根據安全檢查結果授權用戶訪問指定的網絡資源,授權信息保存到接入設備中,接入設備將使用該信息控製用戶的訪問。
步驟(9)、(10)為Portal認證安全擴展功能的交互過程。
圖1-4 二次地址分配認證方式流程圖
二次地址分配認證流程:
(1)~(7)同直接/可跨三層Portal認證中步驟(1)~(7)。
(8) 客戶端收到認證通過報文後,通過DHCP獲得新的公網IP地址,並通知Portal認證服務器用戶已獲得新IP地址。
(9) Portal認證服務器通知接入設備客戶端獲得新公網IP地址。
(10) 接入設備通過DHCP模塊得知用戶IP地址變化後,通告Portal認證服務器已檢測到用戶IP變化。
(11) 當Portal認證服務器接收到客戶端以及接入設備發送的關於用戶IP變化的通告後,通知客戶端上線成功。
(12) Portal認證服務器向接入設備發送IP變化確認報文。
(13) 客戶端和安全策略服務器之間進行安全信息交互。安全策略服務器檢測客戶端的安全性是否合格,包括是否安裝防病毒軟件、是否更新病毒庫、是否安裝了非法軟件、是否更新操作係統補丁等。
(14) 安全策略服務器根據用戶的安全性授權用戶訪問指定的網絡資源,授權信息保存到接入設備中,接入設備將使用該信息控製用戶的訪問。
步驟(13)、(14)為Portal認證擴展功能的交互過程。
EAP認證僅能與iMC的Portal服務器以及iNode Portal客戶端配合使用,且僅使用遠程Portal服務器的Portal認證支持該功能。
在對接入用戶身份可靠性要求較高的網絡應用中,傳統的基於用戶名和口令的用戶身份驗證方式存在一定的安全問題,基於數字證書的用戶身份驗證方式通常被用來建立更為安全和可靠的網絡接入認證機製。
EAP(Extensible Authentication Protocol,可擴展認證協議)可支持多種基於數字證書的認證方式(例如EAP-TLS),它與Portal認證相配合,可共同為用戶提供基於數字證書的接入認證服務。
圖1-5 Portal支持EAP認證協議交互示意圖
如圖1-5所示,在Portal支持EAP認證的實現中,客戶端與Portal服務器之間交互EAP認證報文,Portal服務器與接入設備之間交互攜帶EAP-Message屬性的Portal協議報文,接入設備與RADIUS服務器之間交互攜帶EAP-Message屬性的RADIUS協議報文,由具備EAP服務器功能的RADIUS服務器處理EAP-Message屬性中封裝的EAP報文,並給出EAP認證結果。整個EAP認證過程中,接入設備隻是對Portal服務器與RADIUS服務器之間的EAP-Message屬性進行透傳,並不對其進行任何處理,因此接入設備上無需任何額外配置。
接入設備通過一係列的過濾規則對用戶報文進行控製,這些規則也稱為Portal過濾規則。
設備會根據配置以及Portal用戶的認證狀態,生成四種不同類型的Portal過濾規則。設備收到用戶報文後,將依次按照如下順序對報文進行匹配,一旦匹配上某條規則便結束匹配過程:
· 第一類規則:設備允許所有去往Portal Web服務器或者符合免認證規則的用戶報文通過。
· 第二類規則:如果AAA認證服務器未下發授權ACL,則設備允許認證成功的Portal用戶可以訪問任意的目的網絡資源;如果AAA認證服務器下發了授權ACL,則設備僅允許認證成功的Portal用戶訪問該授權ACL允許訪問的網絡資源。需要注意的是,Portal認證可成功授權的ACL類型為基本ACL(ACL編號為2000~2999)和高級ACL(ACL編號為3000~3999)。當下發的ACL不存在、未配置ACL規則或ACL規則中配置了counting、established、fragment或logging參數時,授權ACL不生效。關於ACL規則的詳細介紹,請參見“ACL和QoS命令參考”中的“ACL”。設備將根據Portal用戶的在線狀態動態添加和刪除本規則。
· 第三類規則:設備將所有未認證Portal用戶的HTTP/HTTPS請求報文重定向到Portal Web服務器。
· 第四類規則:對於直接認證方式和可跨三層認證方式,設備將拒絕所有用戶報文通過;對於二次地址分配認證方式,設備將拒絕所有源地址為私網地址的用戶報文通過。
通過訪問Web頁麵進行的Portal認證不能對用戶實施安全策略檢查,安全檢查功能的實現需要與iNode客戶端配合。
無論是Web客戶端還是iNode客戶端發起的Portal認證,均能支持Portal認證穿越NAT,即Portal客戶端位於私網、Portal認證服務器位於公網。
Portal配置任務如下:
(1) 配置遠程Portal服務
如果組網中架設遠程Portal認證服務器,則進行該配置。
(2) 配置本地Portal服務
如果采用接入設備作為Portal服務器,則進行該配置。
(3) 開啟Portal認證並引用Portal Web服務器
如果用戶主機同時支持IPv4和IPv6兩種協議,則需要開啟本功能。
(4) (可選)配置Portal認證前用戶參數
(5) (可選)指定Portal用戶使用的認證域
(6) (可選)控製Portal用戶的接入
¡ 配置免認證規則
¡ 配置源認證網段
¡ 配置目的認證網段
(7) (可選)配置Portal探測功能
(8) (可選)配置Portal和RADIUS報文屬性
可配置Portal報文的BAS-IP/BAS-IPv6屬性和接入設備的ID。
可配置RADIUS報文的NAS-Port-ID屬性、NAS-Port-Type屬性類型和接口的NAS-ID Profile。
(9) (可選)配置Portal用戶上下線功能
(10) (可選)配置Portal認證的增強功能
¡ 關閉Portal客戶端Rule ARP/ND表項生成功能
Portal提供了一個用戶身份認證和安全認證的實現方案,但是僅僅依靠Portal不足以實現該方案。接入設備的管理者需選擇使用RADIUS認證方法,以配合Portal完成用戶的身份認證。Portal認證的配置前提:
· Portal認證服務器、Portal Web服務器、RADIUS服務器已安裝並配置成功。
· 若采用二次地址分配認證方式,接入設備需啟動DHCP中繼功能,另外需要安裝並配置好DHCP服務器。
· 用戶、接入設備和各服務器之間路由可達。
· 如果通過遠端RADIUS服務器進行認證,則需要在RADIUS服務器上配置相應的用戶名和密碼,然後在接入設備端進行RADIUS客戶端的相關設置。RADIUS客戶端的具體配置請參見“安全配置指導”中的“AAA”。
· 如果需要支持Portal的安全擴展功能,需要安裝並配置CAMS EAD/iMC EAD安全策略組件。同時保證在接入設備上的ACL配置和安全策略服務器上配置的隔離ACL的編號、安全ACL的編號對應。安全策略服務器的配置請參考“CAMS EAD安全策略組件聯機幫助”以及“iMC EAD安全策略組件聯機幫助”。
開啟了Portal認證功能後,設備收到Portal報文時,首先根據報文的源IP地址和VPN信息查找本地配置的Portal認證服務器,若查找到相應的Portal認證服務器配置,則認為報文合法,並向該Portal認證服務器回應認證響應報文;否則,認為報文非法,將其丟棄。
不要刪除正在被用戶使用的Portal認證服務器,否則會導致設備上的在線用戶無法正常下線。
(1) 進入係統視圖。
system-view
(2) 創建Portal認證服務器,並進入Portal認證服務器視圖。
portal server server-name
設備支持配置多個Portal認證服務器。
(3) 指定Portal認證服務器的IP地址。
(IPv4網絡)
ip ipv4-address [ vpn-instance vpn-instance-name ] [ key { cipher | simple } string ]
(IPv6網絡)
ipv6 ipv6-address [ vpn-instance vpn-instance-name ] [ key { cipher | simple } string ]
(4) (可選)配置接入設備主動向Portal認證服務器發送Portal報文時使用的UDP端口號。
port port-number
缺省情況下,接入設備主動向Portal認證服務器發送Portal報文時使用的UDP端口號為50100。
接入設備主動向Portal認證服務器發送Portal報文時使用的UDP端口號必須與遠程Portal認證服務器實際使用的監聽端口號保持一致。
(5) 配置Portal認證服務器的類型。
server-type { cmcc | imc }
缺省情況下,Portal認證服務器類型為iMC服務器。
配置的Portal認證服務器類型必須與認證所使用的服務器類型保持一致。
(6) (可選)配置設備定期向Portal認證服務器發送注冊報文。
server-register [ interval interval-value ]
缺省情況下,設備不會向Portal認證服務器發送注冊報文。
Portal Web服務器配置任務如下:
(2) (可選)開啟Portal被動Web認證功能
(3) (可選)配置重定向URL的匹配規則
(1) 進入係統視圖。
system-view
(2) 創建Portal Web服務器,並進入Portal Web服務器視圖。
portal web-server server-name
可以配置多個Portal Web服務器。
(3) 指定Portal Web服務器所屬的VPN。
vpn-instance vpn-instance-name
缺省情況下,Portal Web服務器位於公網中。
(4) 指定Portal Web服務器的URL。
url url-string
缺省情況下,未指定Portal Web服務器的URL。
(5) 配置設備重定向給用戶的Portal Web服務器的URL中攜帶的參數信息。
url-parameter param-name { original-url | source-address | source-mac [ encryption { aes | des } key { cipher | simple } string ] | value expression }
缺省情況下,未配置設備重定向給用戶的Portal Web服務器的URL中攜帶的參數信息。
(6) 配置Portal Web服務器的類型。
server-type { cmcc | imc }
缺省情況下,設備默認支持的Portal Web服務器類型為iMC服務器。該配置隻適用於遠程Portal認證。
配置的Portal Web服務器類型必須與認證所使用的服務器類型保持一致。
iOS係統或者部分Android係統的用戶接入已開啟Portal認證的網絡後,設備會主動向這類用戶終端推送Portal認證頁麵。開啟Portal被動Web認證功能後,僅在這類用戶使用瀏覽器訪問Internet時,設備才會為其推送Portal認證頁麵。
(1) 進入係統視圖。
system-view
(2) 進入Portal Web服務器視圖。
portal web-server server-name
(3) 開啟Portal被動Web認證功能。
captive-bypass enable
缺省情況下,Portal被動Web認證功能處於關閉狀態。
重定向URL匹配規則用於控製重定向用戶的HTTP或HTTPS請求,該匹配規則可匹配用戶的Web請求地址或者用戶的終端信息。與url命令不同的是,重定向匹配規則可以靈活的進行地址的重定向,而url命令一般隻用於將用戶的HTTP或HTTPS請求重定向到Portal Web服務器進行Portal認證。
為了讓用戶能夠成功訪問重定向後的地址,需要通過portal free-rule命令配置免認證規則,放行去往該地址的HTTP或HTTPS請求報文。
當同時配置了url命令和重定向URL的匹配規則時,重定向URL匹配規則優先進行地址的重定向。
(1) 進入係統視圖。
system-view
(2) 進入Portal Web服務器視圖。
portal web-server server-name
(3) 配置重定向URL的匹配規則。
if-match { original-url url-string redirect-url url-string [ url-param-encryption { aes | des } key { cipher | simple } string ] | user-agent string redirect-url url-string }
配置了本地Portal服務後,由設備作為Portal Web服務器和Portal認證服務器,對接入用戶進行認證。Portal認證頁麵文件存儲在設備的根目錄下。
隻有接口上引用的Portal Web服務器中的URL同時滿足以下兩個條件時,接口上才會使用本地Portal Web服務功能。條件如下:
· 該URL中的IP地址是設備上與客戶端路由可達的三層接口IP地址(除127.0.0.1以外)。
· 該URL以/portal/結尾,例如:http://1.1.1.1/portal/。
設備本身自帶有缺省頁麵文件包,用戶也可以自定義認證頁麵的內容和樣式。
用戶自定義的認證頁麵為HTML文件的形式,壓縮後保存在設備的存儲介質的根目錄中。每套認證頁麵可包括六個主索引頁麵(登錄頁麵、登錄成功頁麵、登錄失敗頁麵、在線頁麵、係統忙碌頁麵、下線成功頁麵)及其頁麵元素(認證頁麵需要應用的各種文件,如Logon.htm頁麵中的back.jpg),每個主索引頁麵可以引用若幹頁麵元素。
用戶在自定義這些頁麵時需要遵循一定的規範,否則會影響本地Portal Web服務功能的正常使用和係統運行的穩定性。
主索引頁麵文件名不能自定義,必須使用表1-1中所列的固定文件名。
|
主索引頁麵 |
文件名 |
|
登錄頁麵 |
logon.htm |
|
登錄成功頁麵 |
logonSuccess.htm |
|
登錄失敗頁麵 |
logonFail.htm |
|
在線頁麵 用於提示用戶已經在線 |
online.htm |
|
係統忙頁麵 用於提示係統忙或者該用戶正在登錄過程中 |
busy.htm |
|
下線成功頁麵 |
logoffSuccess.htm |
主索引頁麵文件之外的其他文件名可由用戶自定義,但需注意文件名和文件目錄名中不能含有中文且字符不區分大小寫。
本地Portal Web服務器隻能接受Get請求和Post請求。
· Get請求用於獲取認證頁麵中的靜態文件,其內容不能為遞歸內容。例如,Logon.htm文件中包含了Get ca.htm文件的內容,但ca.htm文件中又包含了對Logon.htm的引用,這種遞歸引用是不允許的。
· Post請求用於用戶提交用戶名和密碼以及用戶執行登錄、下線操作。
(1) 認證頁麵中表單(Form)的編輯必須符合以下原則:
¡ 認證頁麵可以含有多個Form,但是必須有且隻有一個Form的action=logon.cgi,否則無法將用戶信息送到本地Portal服務器。
¡ 用戶名屬性固定為”PtUser”,密碼屬性固定為”PtPwd”。
¡ 需要有用於標記用戶登錄還是下線的屬性”PtButton”,取值為"Logon"表示登錄,取值為"Logoff"表示下線。
¡ 登錄Post請求必須包含”PtUser”,”PtPwd”和"PtButton"三個屬性。
¡ 下線Post請求必須包含”PtButton”這個屬性。
(2) 需要包含登錄Post請求的頁麵有logon.htm和logonFail.htm。
logon.htm頁麵腳本內容的部分示例:
<form action=logon.cgi method = post >
<p>User name:<input type="text" name = "PtUser" style="width:160px;height:22px" maxlength=64>
<p>Password :<input type="password" name = "PtPwd" style="width:160px;height:22px" maxlength=32>
<p><input type=SUBMIT value="Logon" name = "PtButton" style="width:60px;" onclick="form.action=form.action+location.search;">
</form>
(3) 需要包含下線Post請求的頁麵有logonSuccess.htm和online.htm。
online.htm頁麵腳本內容的部分示例:
<form action=logon.cgi method = post >
<p><input type=SUBMIT value="Logoff" name="PtButton" style="width:60px;">
</form>
· 完成所有認證頁麵的編輯之後,必須按照標準Zip格式將其壓縮到一個Zip文件中,該Zip文件的文件名隻能包含字母、數字和下劃線。
· 壓縮後的Zip文件中必須直接包含認證頁麵,不允許存在間接目錄。
· 壓縮生成的Zip文件可以通過FTP或TFTP的二進製方式上傳至設備,並保存在設備的根目錄下。
Zip文件保存目錄示例:
<Sysname> dir
Directory of flash:
1 -rw- 1405 Feb 28 2008 15:53:20 ssid1.zip
0 -rw- 1405 Feb 28 2008 15:53:31 ssid2.zip
2 -rw- 1405 Feb 28 2008 15:53:39 ssid3.zip
3 -rw- 1405 Feb 28 2008 15:53:44 ssid4.zip
2540 KB total (1319 KB free)
若要支持認證成功後認證頁麵的自動跳轉功能,即認證頁麵會在用戶認證成功後自動跳轉到指定的網站頁麵,則需要在認證頁麵logon.htm和logonSuccess.htm的腳本文件中做如下改動。
(1) 將logon.htm文件中的Form的target值設置為“_blank”。
修改的腳本內容如下突出顯示部分所示:
<form method=post action=logon.cgi target="_blank">
(2) logonSucceess.htm文件添加頁麵加載的初始化函數“pt_init()”。
增加的腳本內容如下突出顯示部分所示:
<html>
<head>
<title>LogonSuccessed</title>
<script type="text/javascript" language="javascript" src="pt_private.js"></script>
</head>
<body onload="pt_init();" onbeforeunload="return pt_unload();">
... ...
</body>
</html>
若指定本地Portal Web服務支持的協議類型為HTTPS,則需要首先完成以下配置:
· 配置PKI策略,並成功申請本地證書和CA證書,具體配置請參見“安全配置指導”中的“PKI”。
· 配置SSL服務器端策略,並指定使用已配置的PKI域。為避免在用戶瀏覽器和設備建立SSL連接過程中用戶瀏覽器出現“使用的證書不安全”的告警,需要通過配置自定義名稱為https_redirect的SSL服務器端策略,在設備上安裝用戶瀏覽器信任的證書。具體配置請參見“安全配置指導”中的“SSL”。
(1) 進入係統視圖。
system-view
(2) 開啟本地Portal服務,並進入基於HTTP/HTTPS協議的本地Portal Web服務視圖。
portal local-web-server { http | https ssl-server-policy policy-name [ tcp-port port-number ] }
(3) 配置本地Portal Web服務提供的缺省認證頁麵文件。
default-logon-page filename
缺省情況下,本地Portal Web服務提供的缺省認證頁麵文件為defaultfile.zip。
(4) (可選)配置本地Portal Web服務的HTTP/HTTPS服務偵聽的TCP端口號。
tcp-port port-number
缺省情況下,HTTP服務偵聽的TCP端口號為80,HTTPS服務偵聽的TCP端口號為portal local-web-server命令指定的TCP端口號。
在接口上開啟Portal認證時,請遵循以下配置原則:
· 當接入設備和Portal用戶之間跨越三層設備時,隻能配置可跨三層Portal認證方式(layer3),但可跨三層Portal認證方式不要求接入設備和Portal用戶之間必需跨越三層設備。
· 允許在接口上同時開啟IPv4 Portal認證和IPv6 Portal認證。
當Portal認證方式為二次地址分配方式時,請遵循以下配置限製和指導:
· 在開啟二次地址分配方式的Portal認證之前,需要保證開啟Portal的接口已配置或者獲取了合法的IP地址。
· 在二次地址分配認證方式下,接口上配置的授權ARP後,係統會禁止該接口動態學習ARP表項,隻有通過DHCP合法分配到公網IP地址的用戶的ARP報文才能夠被學習。因此,為保證隻有合法用戶才能接入網絡,建議使用二次地址分配認證方式的Portal認證時,接口上同時配置了授權ARP功能。
· 為了確保Portal用戶能在開啟二次地址分配認證方式的接口上成功進行Portal認證,必須確保Portal認證服務器上指定的設備IP與設備BAS-IP或BAS-IPv6屬性值保持一致。可以通過portal { bas-ip | bas-ipv6 }命令來配置該屬性值。
· IPv6 Portal服務器不支持二次地址分配方式的Portal認證。
Portal支持HTTP和HTTPS重定向。設備對HTTPS報文進行重定向的內部偵聽端口號缺省為6654。如果需要修改該端口號,具體配置請參見“三層技術-IP業務配置指導”中的“HTTP重定向”。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 開啟Portal認證,並指定認證方式。
(IPv4網絡)
portal enable method { direct | layer3 | redhcp }
(IPv6網絡)
portal ipv6 enable method { direct | layer3 }
缺省情況下,接口上的Portal認證功能處於關閉狀態。
一個接口上可以同時引用一個IPv4 Portal Web服務器和一個IPv6 Portal Web認證服務器。在接口上引用指定的Portal Web服務器後,設備會將該接口上Portal用戶的HTTP請求報文重定向到該Web服務器。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 引用Portal Web服務器。
portal [ ipv6 ] apply web-server server-name [ fail-permit ]
缺省情況下,接口上未引用Portal Web服務器。
用戶主機同時支持IPv4和IPv6兩種協議時,可能會產生兩種協議類型的流量。如果用戶隻通過IPv4 Portal或IPv6 Portal其中一種認證,就隻能訪問對應協議棧的網絡資源。例如,用戶通過IPv4 Portal認證後隻能訪問IPv4協議棧的網絡資源,不能訪問IPv6協議棧的網絡資源。在同時配置了IPv4 Portal直接認證和IPv6 Portal直接認證的接口上,開啟本功能後,用戶隻需要通過IPv4 Portal或IPv6 Portal認證其中任何一種,就可以訪問IPv4和IPv6兩種協議棧對應的網絡資源。
Portal支持雙協議棧功能的運行機製如下:
(1) 第一協議棧(IPv4或IPv6)Portal用戶上網時,在認證頁麵中輸入用戶名和密碼,若通過IPv4或IPv6 Portal認證,則可訪問對應協議棧的網絡資源。
(2) 設備將通過IPv4或IPv6 Portal認證的用戶的MAC地址和IP地址記錄在Portal用戶表項中。
(3) 設備收到該用戶的第二協議棧(IPv6或IPv4)任意報文時,如果報文中的源MAC地址與記錄在Portal用戶表項中的MAC地址相同,則允許其訪問對應協議棧的網絡資源,不需要再次進行認證。
僅R6515P06及以上版本支持本配置。
僅當接口上同時開啟直接認證方式的IPv4 和IPv6 Portal認證功能時,開啟本功能才生效。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 開啟Portal支持雙協議棧功能。
portal dual-stack enable
缺省情況下,Portal支持雙協議棧功能處於關閉狀態。
在Portal用戶通過設備的子接口接入網絡的組網環境中,當子接口上未配置IP地址,且用戶需要通過DHCP獲取地址時,就必須在用戶進行Portal認證之前為其分配一個IP地址使其可以進行Portal認證。
Portal用戶接入到開啟了Portal認證的接口上後,該接口就會按照下麵的規則為其分配IP地址:
· 如果接口上配置了IP地址,但沒有配置認證前使用的地址池,則用戶可以使用客戶端上靜態配置的IP地址或者通過DHCP獲取分配的IP地址。
· 如果接口上配置了IP地址,且配置了認證前使用的地址池,當用戶通過DHCP獲取IP地址時,接口將從指定的認證前的地址池中為其分配IP地址;否則,用戶使用客戶端上靜態配置的IP地址。
· 若接口上沒有配置IP地址,且沒有配置認證前使用的地址池,則用戶無法進行認證。
Portal用戶使用靜態配置或動態獲取的IP地址進行Portal認證,並通過認證後,認證服務器會為其下發授權IP地址池,且由DHCP重新為其分配IP地址。如果認證服務器未下發授權IP地址池,則用戶繼續使用認證之前獲得的IP地址。
僅當接口使用直接認證方式情況下,本配置才能生效。
當使用接口上指定的IP地址池為認證前的Portal用戶分配IP地址時,該指定的IP地址池必須存在且配置完整,否則無法為Portal用戶分配IP地址,並導致用戶無法進行Portal認證。
若Portal用戶不進行認證,或認證失敗,已分配的地址不會被收回。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 配置Portal認證前用戶使用的地址池。
portal [ ipv6 ] pre-auth ip-pool pool-name
缺省情況下,接口上未配置Portal認證前用戶使用的地址池。
每個Portal用戶都屬於一個認證域,且在其所屬的認證域內進行認證/授權/計費,認證域中定義了一套認證/授權/計費的策略。
通過配置Portal用戶使用的認證域,使得所有接入的Portal用戶被強製使用指定的認證域來進行認證、授權和計費。即使Portal用戶輸入的用戶名中攜帶的域名相同,接入設備的管理員也可以通過該配置使得不同接口上接入的Portal用戶使用不同的認證域,從而增加管理員部署Portal接入策略的靈活性。
Portal用戶將按照如下先後順序選擇認證域:接口上指定的Portal用戶使用的ISP域-->用戶名中攜帶的ISP域-->係統缺省的ISP域。如果根據以上原則決定的認證域在設備上不存在,但設備上為未知域名的用戶指定了ISP域,則最終使用該指定的ISP域認證。否則,用戶將無法認證。關於ISP域的相關介紹請參見“安全配置指導”中的“AAA”。
對於認證域中指定的授權ACL,需要注意的是:
· 如果有流量匹配上該授權ACL規則,設備將按照規則中指定的permit或deny動作進行處理。
· 如果沒有流量匹配上該授權ACL規則,設備將允許所有報文通過,用戶可以直接訪問網絡。
· 如果需要禁止未匹配上ACL規則的報文通過,請確保授權ACL中的最後一條規則為拒絕所有流量(由rule deny ip命令配置)。
· 該授權ACL中不要配置源IPv4/IPv6地址或源MAC地址信息,否則,可能會導致引用該ACL的用戶不能正常上線。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 配置接口上Portal用戶使用的認證域。
portal [ ipv6 ] domain domain-name
缺省情況下,接口上未配置Portal用戶使用的認證域。
接口上可以同時配置IPv4 Portal用戶和IPv6 Portal用戶的認證域。
免認證規則的匹配項包括主機名、IP地址、TCP/UDP端口號、MAC地址、所連接設備的接口和VLAN,隻有符合免認證規則的用戶報文才不會觸發Portal認證,因此這些報文所屬的用戶不需要通過Portal認證即可訪問網絡資源。
如果免認證規則中同時配置了接口和VLAN,則要求接口屬於指定的VLAN,否則該規則無效。
相同內容的免認證規則不能重複配置,否則提示免認證規則已存在或重複。
無論接口上是否開啟Portal認證,隻能添加或者刪除免認證規則,不能修改。
(1) 進入係統視圖。
system-view
(2) 配置基於IP地址的Portal免認證規則。
(IPv4網絡)
portal free-rule rule-number { destination ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] | source ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] } * [ interface interface-type interface-number ]
(IPv6網絡)
portal free-rule rule-number { destination ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] | source ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] } * [ interface interface-type interface-number ]
(1) 進入係統視圖。
system-view
(2) 配置基於源的Portal免認證規則。
portal free-rule rule-number source { interface interface-type interface-number | mac mac-address | vlan vlan-id } *
vlan關鍵字僅對通過VLAN接口接入的Portal用戶生效。
(1) 進入係統視圖。
system-view
(2) 配置基於目的Portal免認證規則。
portal free-rule rule-number destination host-name
缺省情況下,不存在基於目的的Portal免認證規則。
配置本功能前,請確保組網中已部署DNS服務器。
通過配置源認證網段實現隻允許在源認證網段範圍內的用戶HTTP/HTTPS報文才能觸發Portal認證。如果未認證用戶的HTTP/HTTPS報文既不滿足免認證規則又不在源認證網段內,則將被接入設備丟棄。
源認證網段配置僅對可跨三層Portal認證有效。
直接認證方式和二次地址分配認證方式下,用戶與接入設備上開啟Portal的接口在同一個網段,因此配置源認證網段沒有實際意義。對於直接認證方式,接入設備認為接口上的源認證網段為任意源IP;對於二次地址分配認證方式,接入設備認為接口上的源認證網段為接口私網IP決定的私網網段。
如果接口上同時配置了源認證網段和目的認證網段,則源認證網段的配置不會生效。
設備上可以配置多條源認證網段。若配置了網段地址範圍有所覆蓋或重疊的源認證網段,則僅其中地址範圍最大(子網掩碼或地址前綴最小)的一條源認證網段配置生效。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 配置源認證網段。
(IPv4網絡)
portal layer3 source ipv4-network-address { mask-length | mask }
(IPv6網絡)
portal ipv6 layer3 source ipv6-network-address prefix-length
缺省情況下,對任意用戶都進行Portal認證。
通過配置目的認證網段實現僅對要訪問指定目的網段(除免認證規則中指定的目的IP地址或網段)的用戶進行Portal認證,用戶訪問非目的認證網段時無需認證,可直接訪問。
如果接口上同時配置了源認證網段和目的認證網段,則源認證網段的配置無效。
設備上可以配置多條目的認證網段。若配置了網段地址範圍有所覆蓋或重疊的目的認證網段,則僅其中地址範圍最大(子網掩碼或地址前綴最小)的一條目的認證網段配置生效。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 配置目的認證網段。
(IPv4網絡)
portal free-all except destination ipv4-network-address { mask-length | mask }
(IPv6網絡)
portal ipv6 free-all except destination ipv6-network-address prefix-length
缺省情況下,對訪問任意目的網段的用戶都進行Portal認證。
設備默認隻允許未配置Web代理服務器的用戶瀏覽器發起的HTTP請求才能觸發Portal認證。若用戶使用配置了Web代理服務器的瀏覽器上網,則用戶的這類HTTP請求報文將被丟棄,而不能觸發Portal認證。這種情況下,網絡管理員可以通過在設備上添加Web代理服務器的TCP端口號,來允許使用Web代理服務器的用戶瀏覽器發起的HTTP請求也可以觸發Portal認證。
如果用戶瀏覽器采用WPAD(Web Proxy Auto-Discovery,Web代理服務器自動發現)方式自動配置Web代理,需要注意以下幾點:
· 需要網絡管理員在設備上添加Web代理服務器端口,同時配置免認證規則,允許目的IP為WPAD主機IP地址的用戶報文免認證。
· 需要用戶在瀏覽器上將Portal認證服務器的IP地址配置為Web代理服務器的例外地址,避免Portal用戶發送給Portal認證服務器的HTTP報文被發送到Web代理服務器上,從而影響正常的Portal認證。
目前,不支持配置Portal認證Web代理服務器的端口號為443。
多次配置本命令可以添加多個Web代理服務器的TCP端口號,其中任意一個端口號發起的HTTP請求均可觸發Portal認證。
(1) 進入係統視圖。
system-view
(2) 配置允許觸發Portal認證的Web代理服務器端口。
portal web-proxy port port-number
缺省情況下,用戶通過認證後,隻要有一個成員設備成功下發第二類Portal過濾規則,用戶就可以上線,對於通過全局接口接入的用戶,上線後可能會無法正常訪問網絡。開啟本功能後,隻有設備上所有成員設備都成功下發第二類Portal過濾規則,才會允許用戶上線。在全局接口上使能Portal認證時,建議開啟下發第二類Portal過濾規則的完整性檢查功能,可確保用戶上線後可以正常訪問網絡。
(1) 進入係統視圖。
system-view
(2) 開啟第二類Portal過濾規則下發的完整性檢查功能。
portal user-rule assign-check enable
缺省情況下,第二類Portal過濾規則下發的完整性檢查功能處於關閉狀態。
通過配置可以控製係統中的全局Portal接入用戶總數和每個接口上的最大Portal用戶數(包括IPv4 Portal用戶和IPv6 Portal用戶)。
建議將全局最大Portal用戶數配置為所有開啟Portal的接口上的最大IPv4 Portal用戶數和最大IPv6 Portal用戶數之和,但不超過整機最大Portal用戶數,否則會有部分Portal用戶因為整機最大用戶數已達到而無法上線。
建議接口上配置的最大IPv4 Portal用戶數和最大IPv6 Portal用戶數之和不超過配置的接口最大Portal用戶數,否則會有部分Portal用戶因為接口最大用戶數已達到上限而無法上線。
設備支持多種方式配置Portal最大用戶數,多種方式同時配置時,Portal最大用戶數為以下配置項的最小值:
· 如果設備接口上未開啟Portal支持雙協議棧功能,Portal最大用戶數為以下配置項的最小值:
¡ 接口上允許的最大IPv4或IPv6 Portal用戶數。
¡ 接口上允許的最大Portal用戶數。
¡ 全局Portal最大用戶數。
· 如果設備接口上開啟了Portal支持雙協議棧功能,Portal最大用戶數為以下配置項的最小值:
¡ 接口上允許的最大Portal用戶數。
¡ 全局Portal最大用戶數。
(1) 進入係統視圖。
system-view
(2) 配置全局Portal最大用戶數。
portal max-user max-number
缺省情況下,不限製Portal最大用戶數。
如果配置的全局Portal最大用戶數小於當前已經在線的Portal用戶數,則配置可以執行成功,且在線Portal用戶不受影響,但係統將不允許新的Portal用戶接入。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 配置Portal最大用戶數。
portal { ipv4-max-user | ipv6-max-user | max-user } max-number
缺省情況下,接口上的Portal最大用戶數不受限製。
如果接口上配置的Portal最大用戶數小於當前接口上已經在線的Portal用戶數,則配置可以執行成功,且在線Portal用戶不受影響,但係統將不允許新的Portal用戶從該接口接入。
嚴格檢查模式用於配合服務器上的用戶授權控製策略,允許成功下發了授權信息的用戶在線。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 配置Portal授權信息的嚴格檢查模式。
portal authorization { acl | user-profile } strict-checking
· 當認證服務器下發的授權ACL、User Profile在設備上不存在或者下發失敗時,設備將強製Portal用戶下線。
· 若同時開啟了對授權ACL和對授權User Profile的嚴格檢查模式,則隻要其中任意一個授權屬性未通過嚴格授權檢查,則用戶就會下線。
缺省情況下,Portal授權信息處於非嚴格檢查模式,即當認證服務器下發的授權ACL、User Profile在設備上不存在或者設備下發User Profile失敗時,允許Portal用戶在線。
為了保證隻有合法IP地址的用戶能夠接入,可以配置僅允許DHCP用戶上線功能,配置此功能後,IP地址為靜態配置的Portal認證用戶將不能上線。
本功能僅在采用接入設備作為DHCP服務器的組網中生效。
本配置不會影響已經在線的用戶。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 開啟Portal僅允許DHCP用戶上線功能。
portal [ ipv6 ] user-dhcp-only
· 配置本功能後,IP地址為靜態配置的Portal認證用戶將不能上線。
· 在IPv6網絡中,配置本功能後,終端仍會使用臨時IPv6地址進行Portal認證,從而導致認證失敗,所以終端必須關閉臨時IPv6地址。
缺省情況下,通過DHCP方式獲取IP地址的客戶端和配置靜態IP地址的客戶端都可以上線。
Portal用戶漫遊功能允許同屬一個VLAN的用戶在VLAN內漫遊,即隻要Portal用戶在某VLAN接口通過認證,則可以在該VLAN內的任何二層端口上訪問網絡資源,且移動接入端口時無須重複認證。若VLAN接口上未開啟該功能,則在線用戶在同一個VLAN內其它端口接入時,將無法訪問外部網絡資源,必須首先在原端口正常下線之後,才能在其它端口重新認證上線。
該功能隻對通過VLAN接口上線的用戶有效,對於通過普通三層接口上線的用戶無效。
設備上有用戶在線的情況下,不能配置此功能。
Portal用戶漫遊功能需要在關閉Portal客戶端Rule ARP/ND表項生成功能(通過命令undo portal refresh { arp | nd } enable)的情況下才能生效。
(1) 進入係統視圖。
system-view
(2) 開啟Portal用戶漫遊功能。
portal roaming enable
缺省情況下,Portal用戶漫遊功能處於關閉狀態。
當接入設備探測到Portal認證服務器或者Portal Web服務器不可達時,可打開接口上的網絡限製,允許Portal用戶不需經過認證即可訪問網絡資源,也就是通常所說的Portal逃生功能。
如果接口同時開啟了Portal認證服務器不可達時的Portal用戶逃生功能和Portal Web服務器不可達時的Portal用戶逃生功能,則當任意一個服務器不可達時,即取消接口的Portal認證功能,當兩個服務器均恢複可達性後,再重新啟動Portal認證功能。重新啟動接口的Portal認證功能之後,未通過認證的用戶需要通過認證之後才能訪問網絡資源,已通過認證的用戶可繼續訪問網絡資源。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 開啟Portal認證服務器不可達時的Portal用戶逃生功能。
portal [ ipv6 ] fail-permit server server-name
缺省情況下,設備探測到Portal認證服務器不可達時,不允許Portal用戶逃生。
(4) 開啟Portal Web服務器不可達時的Portal用戶逃生功能。
portal [ ipv6 ] apply web-server server-name [ fail-permit ]
缺省情況下,設備探測到Portal Web服務器不可達時,不允許Portal用戶逃生。
IPv4探測類型為ARP或ICMP,IPv6探測類型為ND或ICMPv6。
根據探測類型的不同,設備有以下兩種探測機製:
· 當探測類型為ICMP/ICMPv6時,若設備發現一定時間(idle time)內接口上未收到某Portal用戶的報文,則會向該用戶定期(interval interval)發送ICMP/ICMPv6報文。如果在指定探測次數(retry retries)之內,設備收到了該用戶的響應報文,則認為用戶在線,且停止發送探測報文,重複這個過程,否則,強製其下線。
· 當探測類型為ARP/ND時,若設備發現一定時間(idle time)內接口上未收到某Portal用戶的報文,則會向該用戶發送ARP/ND請求報文。設備定期(interval interval)檢測用戶ARP/ND表項是否被刷新過,如果在指定探測次數(retry retries)內用戶ARP/ND表項被刷新過,則認為用戶在線,且停止檢測用戶ARP/ND表項,重複這個過程,否則,強製其下線。
ARP和ND方式的探測隻適用於直接方式和二次地址分配方式的Portal認證。ICMP方式的探測適用於所有認證方式。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 開啟Portal用戶在線探測功能。
(IPv4網絡)
portal user-detect type { arp | icmp } [ retry retries ] [ interval interval ] [ idle time ]
(IPv6網絡)
portal ipv6 user-detect type { icmpv6 | nd } [ retry retries ] [ interval interval ] [ idle time ]
缺省情況下,接口上的Portal用戶在線探測功能處於關閉狀態。
在Portal認證的過程中,如果接入設備與Portal認證服務器的通信中斷,則會導致新用戶無法上線,已經在線的Portal用戶無法正常下線的問題。為解決這些問題,需要接入設備能夠及時探測到Portal認證服務器可達狀態的變化,並能觸發執行相應的操作來應對這種變化帶來的影響。
開啟Portal認證服務器的可達性探測功能後,設備會定期檢測Portal認證服務器發送的報文(例如,用戶上線報文、用戶下線報文、心跳報文)來判斷服務器的可達狀態:若設備在指定的探測超時時間(timeout timeout)內收到Portal報文,且驗證其正確,則認為此次探測成功且服務器可達,否則認為此次探測失敗,服務器不可達。
當接入設備檢測到Portal認證服務器可達或不可達狀態改變時,可執行以下一種或多種操作:
· 發送日誌:Portal認證服務器可達或者不可達的狀態改變時,發送日誌信息。日誌信息中記錄了Portal認證服務器名以及該服務器狀態改變前後的狀態。
· Portal用戶逃生:Portal認證服務器不可達時,暫時取消接口上進行的Portal認證,允許該接口接入的所有Portal用戶訪問網絡資源。之後,若設備收到Portal認證服務器發送的報文,則恢複該端口的Portal認證功能。該功能的詳細配置請參見“1.13.10 配置Portal用戶逃生功能”。
隻有當設備上存在開啟Portal認證的接口時,Portal認證服務器的可達性探測功能才生效。
目前,隻有iMC的Portal認證服務器支持發送心跳報文,由於心跳報文是周期性發送的,所以iMC的Portal認證服務器可以更好得與設備配合,使其能夠及時而準確地探測到它的可達性狀態。如果要采用心跳報文探測Portal服務器的可達性,服務器上必須保證逃生心跳功能處於開啟狀態。
如果同時指定了多種操作,則Portal認證服務器可達狀態改變時係統可並發執行多種操作。
設備配置的探測超時時間(timeout timeout)必須大於服務器上配置的逃生心跳間隔時間。
(1) 進入係統視圖。
system-view
(2) 進入Portal認證服務器視圖。
portal server server-name
(3) 開啟Portal認證服務器的可達性探測功能。
server-detect [ timeout timeout ] log
缺省情況下,Portal服務器可達性探測功能處於關閉狀態。
在Portal認證的過程中,如果接入設備與Portal Web服務器的通信中斷,將無法完成整個認證過程,因此必須對Portal Web服務器的可達性進行探測。
由於Portal Web服務器用於對用戶提供Web服務,不需要和設備交互報文,因此無法通過發送某種協議報文的方式來進行可達性檢測。無論是否有接口上開啟了Portal認證,開啟了Portal Web服務器的可達性探測功能之後,接入設備采用模擬用戶進行Web訪問的過程來實施探測:接入設備主動向Portal Web服務器發起TCP連接,如果連接可以建立,則認為此次探測成功且服務器可達,否則認為此次探測失敗。
· 探測參數
¡ 探測間隔:進行探測嚐試的時間間隔。
¡ 失敗探測的最大次數:允許連續探測失敗的最大次數。若連續探測失敗數目達到此值,則認為服務器不可達。
· 可達狀態改變時觸發執行的操作(可以選擇其中一種或同時使用多種)
¡ 發送日誌:Portal Web服務器可達或者不可達的狀態改變時,發送日誌信息。日誌信息中記錄了Portal Web服務器名以及該服務器狀態改變前後的狀態。
¡ Portal用戶逃生:Portal Web服務器不可達時,暫時取消端口進行的Portal認證,允許該端口接入的所有Portal用戶訪問網絡資源。之後,若Portal Web服務器可達,則恢複該端口的Portal認證功能。該功能的詳細配置請參見“1.13.10 配置Portal用戶逃生功能”。
隻有當配置了Portal Web服務器的URL地址,且設備上存在開啟Portal認證接口時,該Portal Web服務器的可達性探測功能才生效。
(1) 進入係統視圖。
system-view
(2) 進入Portal Web服務器視圖。
portal web-server server-name
(3) 開啟Portal Web服務器的可達性探測功能。
server-detect [ interval interval ] [ retry retries ] log
缺省情況下,Portal Web認證服務器的可達性探測功能處於關閉狀態。
為了解決接入設備與Portal認證服務器通信中斷後,兩者的Portal用戶信息不一致問題,設備提供了一種Portal用戶信息同步功能。該功能利用了Portal同步報文的發送及檢測機製,具體實現如下:
(1) 由Portal認證服務器周期性地(周期為Portal認證服務器上指定的用戶心跳間隔值)將在線用戶信息通過用戶同步報文發送給接入設備;
(2) 接入設備在用戶上線之後,即開啟用戶同步檢測定時器(超時時間為timeout timeout),在收到用戶同步報文後,將其中攜帶的用戶列表信息與自己的用戶列表信息進行對比,如果發現同步報文中有設備上不存在的用戶信息,則將這些自己沒有的用戶信息反饋給Portal認證服務器,Portal認證服務器將刪除這些用戶信息;如果發現接入設備上的某用戶信息在一個用戶同步報文的檢測超時時間內,都未在該Portal認證服務器發送過來的用戶同步報文中出現過,則認為Portal認證服務器上已不存在該用戶,設備將強製該用戶下線。
隻有在支持Portal用戶心跳功能(目前僅iMC的Portal認證服務器支持)的Portal認證服務器的配合下,本功能才有效。為了實現該功能,還需要在Portal認證服務器上選擇支持用戶心跳功能,且服務器上配置的用戶心跳間隔要小於等於設備上配置的檢測超時時間。
在設備上刪除Portal認證服務器時將會同時刪除該服務器的用戶信息同步功能配置。
(1) 進入係統視圖。
system-view
(2) 進入Portal認證服務器視圖。
portal server server-name
(3) 開啟Portal用戶信息同步功能。
user-sync timeout timeout
缺省情況下,Portal用戶信息同步功能處於關閉狀態。
設備上運行Portal 2.0版本時,主動發送給Portal認證服務器的報文(例如強製用戶下線報文)中必須攜帶BAS-IP屬性。設備上運行Portal 3.0版本時,主動發送給Portal認證服務器的報文必須攜帶BAS-IP或者BAS-IPv6屬性。若配置此功能,設備主動發送的通知類Portal報文,其源IP地址為配置的BAS-IP或BAS-IPv6屬性值,否則為Portal報文出接口的IP地址。
設備進行二次地址分配認證和強製Portal用戶下線過程中,均需要設備主動向Portal認證服務器發送相應的通知類Portal報文,因此,為了保證二次地址分配認證方式下Portal用戶可以成功上線,以及設備可以成功通知Portal認證服務器用戶下線,需要保證BAS-IP/BAS-IPv6屬性值與Portal認證服務器上指定的設備IP一致。
使用iMC的Portal認證服務器的情況下,如果Portal服務器上指定的設備IP不是設備上Portal報文出接口的IP地址,則開啟了Portal認證的接口上必須配置BAS-IP或者BAS-IPv6屬性與Portal認證服務器上指定的設備IP一致。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 配置BAS-IP或BAS-IPv6屬性。
(IPv4網絡)
portal bas-ip ipv4-address
缺省情況下,發送給Portal認證服務器的響應類的IPv4 Portal報文中攜帶的BAS-IP屬性為報文的源IPv4地址,通知類IPv4 Portal報文中攜帶的BAS-IP屬性為報文出接口的IPv4地址。
(IPv6網絡)
portal bas-ipv6 ipv6-address
缺省情況下,發送給Portal認證服務器的響應類的IPv6 Portal報文中攜帶的BAS-IPv6屬性為報文的源IPv6地址,通知類IPv6 Portal報文中攜帶的BAS-IPv6屬性為報文出接口的IPv6地址。
通過配置接入設備的ID,使得接入設備向Portal認證服務器發送的協議報文中攜帶一個屬性,此屬性用於向Portal服務器標識發送協議報文的接入設備。
不同設備的設備ID不能相同。
(1) 進入係統視圖。
system-view
(2) 配置接入設備的ID。
portal device-id device-id
缺省情況下,未配置任何設備的ID。
不同廠商的RADIUS服務器對RADIUS報文中的NAS-Port-ID屬性格式要求不同,可修改設備發送的RADIUS報文中填充的NAS-Port-ID屬性的格式。設備支持四種屬性格式,分別為format 1和format 2、format 3和format 4,這四種屬性格式具體要求請參見“安全命令參考”中的“Portal”。
(1) 進入係統視圖。
system-view
(2) 配置NAS-Port-ID屬性的格式。
portal nas-port-id format { 1 | 2 | 3 | 4 }
缺省情況下,NAS-Port-ID屬性的格式為format 2。
RADIUS標準屬性NAS-Port-Type用於表示用戶接入的端口類型。若Portal認證接入設備與Portal客戶端之間跨越了多個網絡設備,則可能無法正確獲取到用戶接入的實際端口信息。網絡管理員根據用戶實際接入環境,通過本配置指定接入設備發送的RADIUS請求報文的NAS-Port-Type屬性類型,可保證接入設備能夠向RADIUS服務器準確傳遞用戶的接入端口信息。
本功能配置後僅對新接入的Portal用戶生效,對已上線的Portal用戶不生效。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置接入設備發送的RADIUS請求報文的NAS-Port-Type屬性類型。
portal nas-port-type { 802.11 | adsl-cap | adsl-dmt | async | cable | ethernet | g.3-fax | hdlc | idsl | isdn-async-v110 | isdn-async-v120 | isdn-sync | piafs | sdsl | sync | virtual | wireless-other | x.25 | x.75 | xdsl }
缺省情況下,接入設備發送的RADIUS請求報文中的NAS-Port-Type屬性類型為Ethernet,屬性值為15。
用戶的接入VLAN可標識用戶的接入位置,而在某些應用環境中,網絡運營商需要使用接入設備發送給RADIUS服務器的NAS-Identifier屬性值來標識用戶的接入位置,因此接入設備上需要建立用戶接入VLAN與指定的NAS-ID之間的綁定關係。當接口上有Portal用戶上線時,若該接口上指定了NAS-ID Profile,則接入設備會根據指定的Profile名稱和用戶接入的VLAN來獲取與此VLAN綁定的NAS-ID,此NAS-ID的值將作為向RADIUS服務器發送的RADIUS請求報文中的NAS-Identifier屬性值。
如果接口上指定了NAS-ID Profile,則此Profile中定義的綁定關係優先使用;如果未指定NAS-ID Profile或指定的Profile中沒有找到匹配的綁定關係,則使用設備名作為NAS-ID。
(1) 進入係統視圖。
system-view
(2) 創建NAS-ID Profile,並進入NAS-ID-Profile視圖。
aaa nas-id profile profile-name
該命令的具體介紹請參見“安全命令參考”中的“AAA”。
(3) 設置NAS-ID與VLAN的綁定關係。
nas-id nas-identifier bind vlan vlan-id
該命令的具體情況請參見“安全命令參考”中的“AAA”。對於QinQ報文,Portal接入隻能匹配內層VLAN,有關QinQ的詳細介紹,請參見“二層技術-以太網交換配置指導”中的“QinQ”。
(4) 指定引用的NAS-ID Profile。
a. 退回係統視圖。
quit
b. 進入三層接口視圖。
interface interface-type interface-number
c. 指定引用的NAS-ID Profile
portal nas-id-profile profile-name
缺省情況下,未指定引用的NAS-ID Profile。
通過配置強製在線用戶下線可以終止對用戶的Portal認證過程,或者將已經通過認證的Portal用戶刪除。
當在線用戶數目超過2000時,執行命令強製在線用戶下線需要幾分鍾的時間,在此期間,請勿進行主備倒換、關閉接口上Portal功能等操作;否則會導致在線用戶刪除操作不能正常完成。
(1) 進入係統視圖。
system-view
(2) 強製指定的在線Portal用戶或所有在線Portal用戶下線。
portal delete-user { ipv4-address | all | interface interface-type interface-number | ipv6 ipv6-address | mac mac-address }
設備開啟Portal用戶上/下線日誌功能後,會對用戶上線和下線時的信息進行記錄,包括用戶名、IP地址、接口名稱、VLAN、用戶MAC地址、上線失敗原因等。生成的日誌信息將被發送到設備的信息中心,通過設置信息中心的參數,決定日誌信息的輸出規則(即是否允許輸出以及輸出方向)。有關信息中心參數的配置請參見“網絡管理和監控配置指導”中的“信息中心”。
(1) 進入係統視圖。
system-view
(2) 開啟Portal用戶上/下線日誌功能。
portal log enable
缺省情況下,Portal用戶上/下線日誌功能處於關閉狀態。
Portal客戶端的Rule ARP/ND表項生成功能處於開啟狀態時,Portal客戶端上線後,其ARP/ND表項為Rule表項,在Portal客戶端下線後會被立即刪除,導致Portal客戶端在短時間內再上線時會因ARP/ND表項還未學習到而認證失敗。此情況下,需要關閉本功能,使得Portal客戶端上線後其ARP/ND表項仍為動態表項,在Portal客戶端下線後按老化時間正常老化。
此功能的開啟和關閉不影響已經在線的Portal客戶端的ARP/ND表項類型。
(1) 進入係統視圖。
system-view
(2) 關閉Portal客戶端Rule ARP/ND表項生成功能。
undo portal refresh { arp | nd } enable
缺省情況下,Portal客戶端Rule ARP/ND表項生成功能均處於開啟狀態。
接口上配置了Web重定向功能後,當該接口上接入的用戶初次通過Web頁麵訪問外網時,設備會將用戶的初始訪問頁麵重定向到指定的URL頁麵,之後用戶才可以正常訪問外網。經過一定時長(interval)後,設備又可以將用戶要訪問的網頁或者正在訪問的網頁重定向到指定的URL頁麵。Web重定向功能是一種簡化的Portal功能,它不需要用戶通過Web訪問外部網絡之前提供用戶名和密碼,可通過對用戶訪問的網頁定期重定向的方式為網絡服務提供商的業務拓展提供方便,例如可以在重定向的頁麵上開展廣告、信息發布等業務。
配置Web重定向功能,請遵循以下配置原則:
· Web重定向功能僅對使用默認端口號80的HTTP協議報文生效。
· 同時開啟Web重定向功能和Portal功能時,Web重定向功能失效。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 配置Web重定向功能。
web-redirect [ ipv6 ] url url-string [ interval interval ]
缺省情況下,Web重定功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後Portal的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除Portal統計信息。
表1-2 Portal顯示和維護
|
操作 |
命令 |
|
顯示指定接口上的Portal配置信息和Portal運行狀態信息 |
display portal interface interface-type interface-number |
|
顯示Portal認證服務器的報文統計信息 |
display portal packet statistics [ server server-name ] |
|
顯示用於報文匹配的Portal過濾規則信息 |
display portal rule { all | dynamic | static } interface interface-type interface-number [ slot slot-number ] |
|
顯示Portal認證服務器信息 |
display portal server [ server-name ] |
|
顯示Portal用戶的信息 |
display portal user { all | interface interface-type interface-number | ip ipv4-address | ipv6 ipv6-address | mac mac-address | pre-auth [ interface interface-type interface-number | ip ipv4-address | ipv6 ipv6-address ] } [ verbose ] |
|
顯示Portal Web服務器信息 |
display portal web-server [ server-name ] |
|
顯示接口上的Web重定向過濾規則信息 |
display web-redirect rule interface interface-type interface-number [ slot slot-number ] |
|
清除Portal認證服務器的報文統計信息 |
reset portal packet statistics [ server server-name ] |
· 用戶主機與接入設備Switch直接相連,采用直接方式的Portal認證。用戶通過手工配置或DHCP獲取的一個公網IP地址進行認證,在通過Portal認證前,隻能訪問Portal Web服務器;在通過Portal認證後,可以使用此IP地址訪問非受限互聯網資源。
· 采用一台iMC服務器同時承擔Portal認證服務器和Portal Web服務器的職責。iMC版本為:iMC PLAT 7.1(E0303)、iMC EIA 7.1(E0304)。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-6 配置Portal直接認證組網圖
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
(1) 配置Portal server
# 配置Portal認證服務器。
登錄進入iMC管理平台,選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > 服務器配置”菜單項,進入服務器配置頁麵。
¡ 根據實際組網情況調整以下參數,本例中使用缺省配置。
圖1-7 Portal認證服務器配置頁麵
# 配置IP地址組。
選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > IP地址組配置”菜單項,進入IP地址組配置頁麵。在該頁麵中單擊<增加>按鈕,進入增加IP地址組頁麵。
a. 輸入IP地址組名;
b. 輸入起始地址和終止地址。用戶主機IP地址必須包含在該IP地址組範圍內;
c. 選擇業務分組,本例中使用缺省的“未分組”;
d. 選擇IP地址組的類型為“普通”。
e. 單擊<確定>按鈕完成操作。
圖1-8 增加IP地址組頁麵
# 增加Portal設備。
選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > 設備配置”菜單項,進入設備配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加設備信息頁麵。
f. 輸入設備名;
g. 指定IP地址為與接入用戶相連的設備接口IP;
h. 選擇支持逃生心跳為“否”。
i. 選擇支持用戶心跳為“否”。
j. 輸入密鑰,與接入設備Switch上的配置保持一致;
k. 選擇組網方式為“直連”;
l. 其它參數采用缺省值;
m. 單擊<確定>按鈕完成操作。
圖1-9 增加設備信息頁麵
# 設備關聯IP地址組。
在設備配置頁麵中的設備信息列表中,點擊NAS設備的<端口組信息管理>鏈接,進入端口組信息配置頁麵。
圖1-10 設備信息列表
在端口組信息配置頁麵中點擊<增加>按鈕,進入增加端口組信息頁麵。
n. 輸入端口組名;
o. 選擇IP地址組,用戶接入網絡時使用的IP地址必須屬於所選的IP地址組;
p. 其它參數采用缺省值;
q. 單擊<確定>按鈕完成操作。
圖1-11 增加端口組信息頁麵
(2) 配置Switch
¡ 配置RADIUS方案
# 創建名稱為rs1的RADIUS方案並進入該方案視圖。
<Switch> system-view
[Switch] radius scheme rs1
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[Switch-radius-rs1] primary authentication 192.168.0.112
[Switch-radius-rs1] primary accounting 192.168.0.112
[Switch-radius-rs1] key authentication simple radius
[Switch-radius-rs1] key accounting simple radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[Switch-radius-rs1] user-name-format without-domain
[Switch-radius-rs1] quit
# 開啟RADIUS session control功能。
[Switch] radius session-control enable
¡ 配置認證域
# 創建並進入名稱為dm1的ISP域。
[Switch] domain dm1
# 配置ISP域的AAA方法。
[Switch-isp-dm1] authentication portal radius-scheme rs1
[Switch-isp-dm1] authorization portal radius-scheme rs1
[Switch-isp-dm1] accounting portal radius-scheme rs1
[Switch-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[Switch] domain default enable dm1
¡ 配置Portal認證
# 配置Portal認證服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,監聽Portal報文的端口為50100。
[Switch] portal server newpt
[Switch-portal-server-newpt] ip 192.168.0.111 key simple portal
[Switch-portal-server-newpt] port 50100
[Switch-portal-server-newpt] quit
# 配置Portal Web服務器的URL為http://192.168.0.111:8080/portal。(Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致,此處僅為示例)
[Switch] portal web-server newpt
[Switch-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[Switch-portal-websvr-newpt] quit
# 在接口Vlan-interface100上開啟直接方式的Portal認證。
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] portal enable method direct
# 在接口Vlan-interface100上引用Portal Web服務器newpt。
[Switch–Vlan-interface100] portal apply web-server newpt
# 在接口Vlan-interface100上設置發送給Portal認證服務器的Portal報文中的BAS-IP屬性值為2.2.2.1。
[Switch–Vlan-interface100] portal bas-ip 2.2.2.1
[Switch–Vlan-interface100] quit
# 以上配置完成後,通過執行以下顯示命令可查看Portal配置是否生效。
[Switch] display portal interface vlan-interface 100
Portal information of Vlan-interface100
NAS-ID profile: Not configured
Authorization : Strict checking
ACL : Disabled
User profile : Disabled
Dual stack : Disabled
Max users : Not configured
IPv4:
Portal status: Enabled
Portal authentication method: Direct
Portal web server: newpt
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ip: 2.2.2.1
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Mask
Destination authenticate subnet:
IP address Mask
IPv6:
Portal status: Disabled
Portal authentication method: Disabled
Portal web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ipv6: Not configured
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authenticate subnet:
IP address Prefix length
用戶既可以使用iNode客戶端,也可以通過網頁方式進行Portal認證。用戶在通過認證前,隻能訪問認證頁麵http://192.168.0.111:8080/portal,且發起的Web訪問均被重定向到該認證頁麵,在通過認證後,可訪問非受限的互聯網資源。
# Portal用戶認證通過後,可通過執行以下顯示命令查看Switch上生成的Portal在線用戶信息。
[Switch] display portal user interface vlan-interface 100
Total portal users: 1
Username: abc
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-e9a6-7cfe 2.2.2.2 100 Vlan-interface100
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
· 用戶主機與接入設備Switch直接相連,采用二次地址分配方式的Portal認證。用戶通過DHCP服務器獲取IP地址,Portal認證前使用分配的一個私網地址;通過Portal認證後,用戶申請到一個公網地址,才可以訪問非受限互聯網資源。
· 采用一台Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-12 配置Portal二次地址分配認證組網圖
· Portal二次地址分配認證方式應用中,DHCP服務器上需創建公網地址池(20.20.20.0/24)及私網地址池(10.0.0.0/24),具體配置略。
· Portal二次地址分配認證方式應用中,接入設備需要配置DHCP中繼來配合Portal認證,且啟動Portal的接口需要配置主IP地址(公網IP)及從IP地址(私網IP)。關於DHCP中繼的詳細配置請參見“三層技術-IP業務配置指導”中的“DHCP中繼”。
· 請保證在Portal認證服務器上添加的Portal設備的IP地址為與用戶相連的接口的公網IP地址(20.20.20.1),且與該Portal設備關聯的IP地址組中的轉換前地址為用戶所在的私網網段(10.0.0.0/24)、轉換後地址為公網網段(20.20.20.0/24)。
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
(1) 配置RADIUS方案
# 創建名稱為rs1的RADIUS方案並進入該方案視圖。
<Switch> system-view
[Switch] radius scheme rs1
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[Switch-radius-rs1] primary authentication 192.168.0.113
[Switch-radius-rs1] primary accounting 192.168.0.113
[Switch-radius-rs1] key authentication simple radius
[Switch-radius-rs1] key accounting simple radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[Switch-radius-rs1] user-name-format without-domain
[Switch-radius-rs1] quit
# 開啟RADIUS session control功能。
[Switch] radius session-control enable
(2) 配置認證域
# 創建並進入名稱為dm1的ISP域。
[Switch] domain dm1
# 配置ISP域的AAA方法。
[Switch-isp-dm1] authentication portal radius-scheme rs1
[Switch-isp-dm1] authorization portal radius-scheme rs1
[Switch-isp-dm1] accounting portal radius-scheme rs1
[Switch-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[Switch] domain default enable dm1
(3) 配置DHCP中繼和授權ARP
# 配置DHCP中繼。
[Switch] dhcp enable
[Switch] dhcp relay client-information record
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] ip address 20.20.20.1 255.255.255.0
[Switch–Vlan-interface100] ip address 10.0.0.1 255.255.255.0 sub
[Switch-Vlan-interface100] dhcp select relay
[Switch-Vlan-interface100] dhcp relay server-address 192.168.0.112
# 開啟授權ARP功能。
[Switch-Vlan-interface100] arp authorized enable
[Switch-Vlan-interface100] quit
(4) 配置Portal認證
# 配置Portal認證服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,監聽Portal報文的端口為50100。
[Switch] portal server newpt
[Switch-portal-server-newpt] ip 192.168.0.111 key simple portal
[Switch-portal-server-newpt] port 50100
[Switch-portal-server-newpt] quit
# 配置Portal Web服務器的URL為http://192.168.0.111:8080/portal。(Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致,此處僅為示例)
[Switch] portal web-server newpt
[Switch-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[Switch-portal-websvr-newpt] quit
# 在接口Vlan-interface100上開啟二次地址方式的Portal認證。
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] portal enable method redhcp
# 在接口Vlan-interface100上引用Portal Web服務器newpt。
[Switch–Vlan-interface100] portal apply web-server newpt
# 在接口Vlan-interface100上設置發送給Portal報文中的BAS-IP屬性值為20.20.20.1。
[Switch–Vlan-interface100] portal bas-ip 20.20.20.1
[Switch–Vlan-interface100] quit
# 以上配置完成後,通過執行以下顯示命令可查看Portal配置是否生效。
[Switch] display portal interface vlan-interface 100
Portal information of Vlan-interface100
NAS-ID profile: Not configured
Authorization : Strict checking
ACL : Disabled
User profile : Disabled
Dual stack : Disabled
Max users : Not configured
IPv4:
Portal status: Enabled
Portal authentication method: Redhcp
Portal web server: newpt
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ip: 20.20.20.1
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Mask
Destination authenticate subnet:
IP address Mask
IPv6:
Portal status: Disabled
Portal authentication method: Disabled
Portal web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ipv6: Not configured
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authenticate subnet:
IP address Prefix length
在采用二次地址分配方式時,請使用iNode客戶端進行Portal認證。通過認證後,可訪問非受限的互聯網資源。
# Portal用戶認證通過後,可通過執行以下顯示命令查看Switch上生成的Portal在線用戶信息。
[Switch] display portal user interface vlan-interface 100
Total portal users: 1
Username: abc
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-e9a6-7cfe 20.20.20.2 100 Vlan-interface100
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Switch A支持Portal認證功能。用戶Host通過Switch B接入到Switch A。
· 配置Switch A采用可跨三層Portal認證。用戶在未通過Portal認證前,隻能訪問Portal Web服務器;用戶通過Portal認證後,可以訪問非受限互聯網資源。
· 采用一台Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-13 配置可跨三層Portal認證組網圖
· 請保證在Portal認證服務器上添加的Portal設備的IP地址為與用戶相連的接口IP地址(20.20.20.1),且與該Portal設備關聯的IP地址組為用戶所在網段(8.8.8.0/24)。
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
(1) 配置RADIUS方案
# 創建名稱為rs1的RADIUS方案並進入該方案視圖。
<SwitchA> system-view
[SwitchA] radius scheme rs1
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[SwitchA-radius-rs1] primary authentication 192.168.0.112
[SwitchA-radius-rs1] primary accounting 192.168.0.112
[SwitchA-radius-rs1] key authentication simple radius
[SwitchA-radius-rs1] key accounting simple radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[SwitchA-radius-rs1] user-name-format without-domain
[SwitchA-radius-rs1] quit
# 開啟RADIUS session control功能。
[SwitchA] radius session-control enable
(2) 配置認證域
# 創建並進入名稱為dm1的ISP域。
[SwitchA] domain dm1
# 配置ISP域的AAA方法。
[SwitchA-isp-dm1] authentication portal radius-scheme rs1
[SwitchA-isp-dm1] authorization portal radius-scheme rs1
[SwitchA-isp-dm1] accounting portal radius-scheme rs1
[SwitchA-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[SwitchA] domain default enable dm1
(3) 配置Portal認證
# 配置Portal認證服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,監聽Portal報文的端口為50100。
[SwitchA] portal server newpt
[SwitchA-portal-server-newpt] ip 192.168.0.111 key simple portal
[SwitchA-portal-server-newpt] port 50100
[SwitchA-portal-server-newpt] quit
# 配置Portal Web服務器的URL為http://192.168.0.111:8080/portal。(Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致,此處僅為示例)
[SwitchA] portal web-server newpt
[SwitchA-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[SwitchA-portal-websvr-newpt] quit
# 在接口Vlan-interface4上開啟可跨三層方式的Portal認證。
[SwitchA] interface vlan-interface 4
[SwitchA–Vlan-interface4] portal enable method layer3
# 在接口Vlan-interface4上引用Portal Web服務器newpt。
[SwitchA–Vlan-interface4] portal apply web-server newpt
# 在接口Vlan-interface4上設置發送給Portal報文中的BAS-IP屬性值為20.20.20.1。
[SwitchA–Vlan-interface4] portal bas-ip 20.20.20.1
[SwitchA–Vlan-interface4] quit
# 以上配置完成後,通過執行以下顯示命令可查看Portal配置是否生效。
[SwitchA] display portal interface vlan-interface 4
Portal information of Vlan-interface4
NAS-ID profile: Not configured
Authorization : Strict checking
ACL : Disabled
User profile : Disabled
Dual stack : Disabled
Max users : Not configured
IPv4:
Portal status: Enabled
Portal authentication method: Layer3
Portal web server: newpt
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ip: 20.20.20.1
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Mask
Destination authenticate subnet:
IP address Mask
IPv6:
Portal status: Disabled
Portal authentication method: Disabled
Portal web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ipv6: Not configured
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authenticate subnet:
IP address Prefix length
用戶既可以使用iNode客戶端,也可以通過網頁方式進行Portal認證。用戶在通過認證前,隻能訪問認證頁麵http://192.168.0.111:8080/portal,且發起的Web訪問均被重定向到該認證頁麵,在通過認證後,可訪問非受限的互聯網資源。
# Portal用戶認證通過後,可通過執行以下顯示命令查看Switch A上生成的Portal在線用戶信息。
[SwitchA] display portal user interface vlan-interface 4
Total portal users: 1
Username: abc
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0000-0000-0000 8.8.8.2 4 Vlan-interface4
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
· 用戶主機與接入設備Switch直接相連,采用直接方式的Portal認證。用戶通過手工配置或DHCP獲取的一個公網IP地址進行認證,在通過身份認證而沒有通過安全認證時可以訪問192.168.0.0/24網段;在通過安全認證後,可以訪問非受限互聯網資源。
· 采用一台Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-14 配置Portal直接認證擴展功能組網圖
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
(1) 配置RADIUS方案
# 創建名稱為rs1的RADIUS方案並進入該方案視圖。
<Switch> system-view
[Switch] radius scheme rs1
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[Switch-radius-rs1] primary authentication 192.168.0.112
[Switch-radius-rs1] primary accounting 192.168.0.112
[Switch-radius-rs1] key accounting simple radius
[Switch-radius-rs1] key authentication simple radius
[Switch-radius-rs1] user-name-format without-domain
[Switch-radius-rs1] quit
# 開啟RADIUS session control功能。
[Switch] radius session-control enable
# 指定一個session control客戶端IP地址為192.168.0.113,共享密鑰為明文12345。
[Switch] radius session-control client ip 192.168.0.113 key simple 12345
(2) 配置認證域
# 創建並進入名稱為dm1的ISP域。
[Switch] domain dm1
# 配置ISP域的AAA方法。
[Switch-isp-dm1] authentication portal radius-scheme rs1
[Switch-isp-dm1] authorization portal radius-scheme rs1
[Switch-isp-dm1] accounting portal radius-scheme rs1
[Switch-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[Switch] domain default enable dm1
(3) 配置隔離ACL為3000,安全ACL為3001
安全策略服務器上需要將ACL 3000和ACL 3001分別指定為隔離ACL和安全ACL。
[Switch] acl advanced 3000
[Switch-acl-ipv4-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255
[Switch-acl-ipv4-adv-3000] rule deny ip
[Switch-acl-ipv4-adv-3000] quit
[Switch] acl advanced 3001
[Switch-acl-ipv4-adv-3001] rule permit ip
[Switch-acl-ipv4-adv-3001] quit
(4) 配置Portal認證
# 配置Portal認證服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,監聽Portal報文的端口為50100。
[Switch] portal server newpt
[Switch-portal-server-newpt] ip 192.168.0.111 key simple portal
[Switch-portal-server-newpt] port 50100
[Switch-portal-server-newpt] quit
# 配置Portal Web服務器的URL為http://192.168.0.111:8080/portal。(Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致,此處僅為示例)
[Switch] portal web-server newpt
[Switch-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[Switch-portal-websvr-newpt] quit
# 在接口Vlan-interface100上開啟直接方式的Portal認證。
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] portal enable method direct
# 在接口Vlan-interface100上引用Portal Web服務器newpt。
[Switch–Vlan-interface100] portal apply web-server newpt
# 在接口Vlan-interface100上設置發送給Portal報文中的BAS-IP屬性值為2.2.2.1。
[Switch–Vlan-interface100] portal bas-ip 2.2.2.1
[Switch–Vlan-interface100] quit
# 以上配置完成後,通過執行以下顯示命令可查看Portal配置是否生效。
[Switch] display portal interface vlan-interface 100
Portal information of Vlan-interface100
NAS-ID profile: Not configured
Authorization : Strict checking
ACL : Disabled
User profile : Disabled
Dual stack : Disabled
Max users : Not configured
IPv4:
Portal status: Enabled
Portal authentication method: Direct
Portal web server: newpt
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ip: 2.2.2.1
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Mask
Destination authenticate subnet:
IP address Mask
IPv6:
Portal status: Disabled
Portal authentication method: Disabled
Portal web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ipv6: Not configured
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authenticate subnet:
IP address Prefix length
使用iNode客戶端的用戶在通過認證前,隻能訪問認證頁麵http://192.168.0.111:8080/portal,且發起的Web訪問均被重定向到該認證頁麵。通過身份認證但未通過安全認證時,隻能訪問匹配ACL 3000的網絡資源;通過身份認證以及安全認證後,可以訪問匹配ACL 3001的互聯網資源。
# Portal用戶認證通過後,可通過執行以下顯示命令查看Switch上生成的Portal在線用戶信息。
[Switch] display portal user interface vlan-interface 100
Total portal users: 1
Username: abc
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-e9a6-7cfe 2.2.2.2 100 Vlan-interface100
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL: 3001
Inbound CAR: N/A
Outbound CAR: N/A
· 用戶主機與接入設備Switch直接相連,采用二次地址分配方式的Portal認證。用戶通過DHCP服務器獲取IP地址,Portal認證前使用分配的一個私網地址;通過Portal認證後,用戶申請到一個公網地址。
· 用戶在通過身份認證而沒有通過安全認證時可以訪問192.168.0.0/24網段;用戶通過安全認證後,可以訪問非受限互聯網資源。
· 采用一台Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-15 配置Portal二次地址分配認證擴展功能組網圖
· Portal二次地址分配認證方式應用中,DHCP服務器上需創建公網地址池(20.20.20.0/24)及私網地址池(10.0.0.0/24),具體配置略。
· Portal二次地址分配認證方式應用中,接入設備需要配置DHCP中繼來配合Portal認證,且啟動Portal的接口需要配置主IP地址(公網IP)及從IP地址(私網IP)。關於DHCP中繼的詳細配置請參見“三層技術-IP業務配置指導”中的“DHCP中繼”。
· 請保證在Portal認證服務器上添加的Portal設備的IP地址為與用戶相連的接口的公網IP地址(20.20.20.1),且與該Portal設備關聯的IP地址組中的轉換前地址為用戶所在的私網網段(10.0.0.0/24)、轉換後地址為公網網段(20.20.20.0/24)。
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
(1) 配置RADIUS方案
# 創建名稱為rs1的RADIUS方案並進入該方案視圖。
<Switch> system-view
[Switch] radius scheme rs1
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[Switch-radius-rs1] primary authentication 192.168.0.113
[Switch-radius-rs1] primary accounting 192.168.0.113
[Switch-radius-rs1] key accounting simple radius
[Switch-radius-rs1] key authentication simple radius
[Switch-radius-rs1] user-name-format without-domain
[Switch-radius-rs1] quit
# 開啟RADIUS session control功能。
[Switch] radius session-control enable
# 指定一個session control客戶端IP地址為192.168.0.113,共享密鑰為明文12345。
[Switch] radius session-control client ip 192.168.0.113 key simple 12345
(2) 配置認證域
# 創建並進入名稱為dm1的ISP域。
[Switch] domain dm1
# 配置ISP域的AAA方法。
[Switch-isp-dm1] authentication portal radius-scheme rs1
[Switch-isp-dm1] authorization portal radius-scheme rs1
[Switch-isp-dm1] accounting portal radius-scheme rs1
[Switch-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[Switch] domain default enable dm1
(3) 配置隔離ACL為3000,安全ACL為3001
安全策略服務器上需要將ACL 3000和ACL 3001分別指定為隔離ACL和安全ACL。
[Switch] acl advanced 3000
[Switch-acl-ipv4-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255
[Switch-acl-ipv4-adv-3000] rule deny ip
[Switch-acl-ipv4-adv-3000] quit
[Switch] acl advanced 3001
[Switch-acl-ipv4-adv-3001] rule permit ip
[Switch-acl-ipv4-adv-3001] quit
(4) 配置DHCP中繼和授權ARP
# 配置DHCP中繼。
[Switch] dhcp enable
[Switch] dhcp relay client-information record
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] ip address 20.20.20.1 255.255.255.0
[Switch–Vlan-interface100] ip address 10.0.0.1 255.255.255.0 sub
[Switch-Vlan-interface100] dhcp select relay
[Switch-Vlan-interface100] dhcp relay server-address 192.168.0.112
# 開啟授權ARP功能。
[Switch-Vlan-interface100] arp authorized enable
[Switch-Vlan-interface100] quit
(5) 配置Portal認證
# 配置Portal認證服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,監聽Portal報文的端口為50100。
[Switch] portal server newpt
[Switch-portal-server-newpt] ip 192.168.0.111 key simple portal
[Switch-portal-server-newpt] port 50100
[Switch-portal-server-newpt] quit
# 配置Portal Web服務器的URL為http://192.168.0.111:8080/portal。(Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致,此處僅為示例)
[Switch] portal web-server newpt
[Switch-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[Switch-portal-websvr-newpt] quit
# 在接口Vlan-interface100上開啟二次地址方式的Portal認證。
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] portal enable method redhcp
# 在接口Vlan-interface100上引用Portal Web服務器newpt。
[Switch–Vlan-interface100] portal apply web-server newpt
# 在接口Vlan-interface100上設置發送給Portal報文中的BAS-IP屬性值為20.20.20.1。
[Switch–Vlan-interface100] portal bas-ip 20.20.20.1
[Switch–Vlan-interface100] quit
# 以上配置完成後,通過執行以下顯示命令可查看Portal配置是否生效。
[Switch] display portal interface vlan-interface 100
Portal information of Vlan-interface100
NAS-ID profile: Not configured
Authorization : Strict checking
ACL : Disabled
User profile : Disabled
Dual stack : Disabled
Max users : Not configured
IPv4:
Portal status: Enabled
Portal authentication method: Redhcp
Portal web server: newpt
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ip: 20.20.20.1
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Mask
Destination authenticate subnet:
IP address Mask
IPv6:
Portal status: Disabled
Portal authentication method: Disabled
Portal web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ipv6: Not configured
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authenticate subnet:
IP address Prefix length
使用iNode客戶端的用戶在通過認證前,隻能訪問認證頁麵http://192.168.0.111:8080/portal,且發起的Web訪問均被重定向到該認證頁麵。通過身份認證但未通過安全認證時,隻能訪問匹配ACL 3000的網絡資源;通過身份認證以及安全認證後,可以訪問匹配ACL 3001的互聯網資源。
# Portal用戶認證通過後,可通過執行以下顯示命令查看Switch上生成的Portal在線用戶信息。
[Switch] display portal user interface vlan-interface 100
Total portal users: 1
Username: abc
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-e9a6-7cfe 20.20.20.2 100 Vlan-interface100
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: 3001 (active)
Inbound CAR: N/A
Outbound CAR: N/A
Switch A支持Portal認證功能。用戶Host通過Switch B接入到Switch A。
· 配置Switch A采用可跨三層Portal認證。用戶在通過身份認證而沒有通過安全認證時可以訪問192.168.0.0/24網段;在通過安全認證後,可以訪問非受限互聯網資源。
· 采用一台Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-16 配置可跨三層Portal認證擴展功能組網圖
· 請保證在Portal認證服務器上添加的Portal設備的IP地址為與用戶相連的接口IP地址(20.20.20.1),且與該Portal設備關聯的IP地址組為用戶所在網段(8.8.8.0/24)。
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
(1) 配置RADIUS方案
# 創建名稱為rs1的RADIUS方案並進入該方案視圖。
<SwitchA> system-view
[SwitchA] radius scheme rs1
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[SwitchA-radius-rs1] primary authentication 192.168.0.112
[SwitchA-radius-rs1] primary accounting 192.168.0.112
[SwitchA-radius-rs1] key accounting simple radius
[SwitchA-radius-rs1] key authentication simple radius
[SwitchA-radius-rs1] user-name-format without-domain
[SwitchA-radius-rs1] quit
# 開啟RADIUS session control功能。
[SwitchA] radius session-control enable
# 指定一個session control客戶端IP地址為192.168.0.113,共享密鑰為明文12345。
[SwitchA] radius session-control client ip 192.168.0.113 key simple 12345
(2) 配置認證域
# 創建並進入名稱為dm1的ISP域。
[SwitchA] domain dm1
# 配置ISP域的AAA方法。
[SwitchA-isp-dm1] authentication portal radius-scheme rs1
[SwitchA-isp-dm1] authorization portal radius-scheme rs1
[SwitchA-isp-dm1] accounting portal radius-scheme rs1
[SwitchA-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[SwitchA] domain default enable dm1
(3) 配置隔離ACL為3000,安全ACL為3001
安全策略服務器上需要將ACL 3000和ACL 3001分別指定為隔離ACL和安全ACL。
[SwitchA] acl advanced 3000
[SwitchA-acl-ipv4-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255
[SwitchA-acl-ipv4-adv-3000] rule deny ip
[SwitchA-acl-ipv4-adv-3000] quit
[SwitchA] acl advanced 3001
[SwitchA-acl-ipv4-adv-3001] rule permit ip
[SwitchA-acl-ipv4-adv-3001] quit
(4) 配置Portal認證
# 配置Portal認證服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,監聽Portal報文的端口為50100。
[SwitchA] portal server newpt
[SwitchA-portal-server-newpt] ip 192.168.0.111 key simple portal
[SwitchA-portal-server-newpt] port 50100
[SwitchA-portal-server-newpt] quit
# 配置Portal Web服務器的URL為http://192.168.0.111:8080/portal。(Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致,此處僅為示例)
[SwitchA] portal web-server newpt
[SwitchA-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[SwitchA-portal-websvr-newpt] quit
# 在接口Vlan-interface4上開啟可跨三層方式的Portal認證。
[SwitchA] interface vlan-interface 4
[SwitchA–Vlan-interface4] portal enable method layer3
# 在接口Vlan-interface4上引用Portal Web服務器newpt。
[SwitchA–Vlan-interface4] portal apply web-server newpt
# 在接口Vlan-interface4上設置發送給Portal報文中的BAS-IP屬性值為20.20.20.1。
[SwitchA–Vlan-interface4] portal bas-ip 20.20.20.1
[SwitchA–Vlan-interface4] quit
# 以上配置完成後,通過執行以下顯示命令可查看Portal配置是否生效。
[SwitchA] display portal interface vlan-interface 4
Portal information of Vlan-interface4
NAS-ID profile: Not configured
Authorization : Strict checking
ACL : Disabled
User profile : Disabled
Dual stack : Disabled
Max users : Not configured
IPv4:
Portal status: Enabled
Portal authentication method: Layer3
Portal web server: newpt
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ip: 20.20.20.1
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Mask
Destination authenticate subnet:
IP address Mask
IPv6:
Portal status: Disabled
Portal authentication method: Disabled
Portal web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ipv6: Not configured
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authenticate subnet:
IP address Prefix length
使用iNode客戶端的用戶在通過認證前,隻能訪問認證頁麵http://192.168.0.111:8080/portal,且發起的Web訪問均被重定向到該認證頁麵。通過身份認證但未通過安全認證時,隻能訪問匹配ACL 3000的網絡資源;通過身份認證以及安全認證後,可以訪問匹配ACL 3001的互聯網資源。
# Portal用戶認證通過後,可通過執行以下顯示命令查看Switch A上生成的Portal在線用戶信息。
[SwitchA] display portal user interface vlan-interface 4
Total portal users: 1
Username: abc
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-e9a6-7cfe 8.8.8.2 4 Vlan-interface4
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: 3001 (active)
Inbound CAR: N/A
Outbound CAR: N/A
用戶主機與接入設備Switch直接相連,通過Portal認證接入網絡。具體要求如下:
· 用戶通過手工配置或DHCP獲取的一個公網IP地址進行認證,在通過Portal認證前,隻能訪問Portal認證服務器;在通過Portal認證後,可以使用此IP地址訪問非受限的互聯網資源。
· 接入設備能夠探測到Portal認證服務器是否可達,並輸出可達狀態變化的日誌信息,在服務器不可達時(例如,網絡連接中斷、網絡設備故障或服務器無法正常提供服務等情況),取消Portal認證,使得用戶仍然可以正常訪問網絡。
· 接入設備能夠與服務器定期進行用戶信息的同步。
· 采用一台iMC服務器同時承擔Portal認證服務器和Portal Web服務器的職責。iMC版本為:iMC PLAT 7.1(E0303)、iMC EIA 7.1(E0304)。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-17 Portal認證服務器探測和用戶同步信息功能配置組網圖
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
(1) 配置Portal認證服務器
# 配置Portal認證服務器。
登錄進入iMC管理平台,選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > 服務器配置”菜單項,進入服務器配置頁麵。
¡ 根據實際組網情況調整以下參數,本例中使用缺省配置。
圖1-18 Portal認證服務器配置頁麵
# 配置IP地址組。
選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > IP地址組配置”菜單項,進入IP地址組配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加IP地址組頁麵。
a. 輸入IP地址組名;
b. 輸入起始地址和終止地址。用戶主機IP地址必須包含在該IP地址組範圍內;
c. 選擇業務分組,本例中使用缺省的“未分組”;
d. 選擇IP地址組的類型為“普通”。
e. 單擊<確定>按鈕完成操作。
圖1-19 增加IP地址組頁麵
# 增加Portal設備。
選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > 設備配置”菜單項,進入設備配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加設備信息頁麵。
f. 輸入設備名;
g. 指定IP地址為與接入用戶相連的設備接口IP;
h. 選擇支持逃生心跳為“是”。
i. 選擇支持用戶心跳為“是”。
j. 輸入密鑰,與接入設備Switch上的配置保持一致;
k. 選擇組網方式為“直連”;
l. 其它參數采用缺省值;
m. 單擊<確定>按鈕完成操作。
圖1-20 增加設備信息頁麵
# 設備關聯IP地址組。
在設備配置頁麵中的設備信息列表中,點擊NAS設備的<端口組信息管理>鏈接,進入端口組信息配置頁麵。
圖1-21 設備信息列表
在端口組信息配置頁麵中點擊<增加>按鈕,進入增加端口組信息配置頁麵。
n. 輸入端口組名;
o. 選擇IP地址組,用戶接入網絡時使用的IP地址必須屬於所選的IP地址組;
p. 其它參數采用缺省值;
q. 單擊<確定>按鈕完成操作。
圖1-22 增加端口組信息頁麵
(2) 配置Switch
¡ 配置RADIUS方案
# 創建名稱為rs1的RADIUS方案並進入該方案視圖。
<Switch> system-view
[Switch] radius scheme rs1
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[Switch-radius-rs1] primary authentication 192.168.0.112
[Switch-radius-rs1] primary accounting 192.168.0.112
[Switch-radius-rs1] key authentication simple radius
[Switch-radius-rs1] key accounting simple radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[Switch-radius-rs1] user-name-format without-domain
[Switch-radius-rs1] quit
# 開啟RADIUS session control功能。
[Switch] radius session-control enable
¡ 配置認證域
# 創建並進入名稱為dm1的ISP域。
[Switch] domain dm1
# 配置ISP域的AAA方法。
[Switch-isp-dm1] authentication portal radius-scheme rs1
[Switch-isp-dm1] authorization portal radius-scheme rs1
[Switch-isp-dm1] accounting portal radius-scheme rs1
[Switch-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[Switch] domain default enable dm1
¡ 配置Portal認證
# 配置Portal認證服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,監聽Portal報文的端口為50100。
[Switch] portal server newpt
[Switch-portal-server-newpt] ip 192.168.0.111 key simple portal
[Switch-portal-server-newpt] port 50100
# 配置對Portal認證服務器newpt的探測功能:每次探測間隔時間為40秒,若服務器可達狀態改變,則發送日誌信息。
[Switch-portal-server-newpt] server-detect timeout 40 log
此處timeout取值應該大於等於Portal認證服務器的逃生心跳間隔時長。
# 配置對Portal認證服務器newpt的Portal用戶信息同步功能,檢測用戶同步報文的時間間隔為600秒,如果設備中的某用戶信息在600秒內未在該Portal認證服務器發送的同步報文中出現,設備將強製該用戶下線。
[Switch-portal-server-newpt] user-sync timeout 600
[Switch-portal-server-newpt] quit
此處timeout取值應該大於等於Portal認證服務器上的用戶心跳間隔時長。
# 配置Portal Web服務器的URL為http://192.168.0.111:8080/portal。(Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致,此處僅為示例)
[Switch] portal web-server newpt
[Switch-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[Switch-portal-websvr-newpt] quit
# 在接口Vlan-interface100上開啟直接方式的Portal認證。
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] portal enable method direct
# 開啟Portal認證服務器newpt不可達時的Portal用戶逃生功能。
[Switch–Vlan-interface100] portal fail-permit server newpt
# 在接口Vlan-interface100上引用Portal Web服務器newpt。
[Switch–Vlan-interface100] portal apply web-server newpt
# 在接口Vlan-interface100上設置發送給Portal報文中的BAS-IP屬性值為2.2.2.1。
[Switch–Vlan-interface100] portal bas-ip 2.2.2.1
[Switch–Vlan-interface100] quit
# 以上配置完成後,可以通過執行以下命令查看到Portal認證服務器的狀態為Up,說明當前Portal認證服務器可達。
[Switch] display portal server newpt
Portal server: newpt
Type : IMC
IP : 192.168.0.111
VPN instance : Not configured
Port : 50100
Server Detection : Timeout 40s Action: log
User synchronization : Timeout 600s
Status : Up
之後,若接入設備探測到Portal認證服務器不可達了,可通過以上顯示命令查看到Portal認證服務器的狀態為Down,同時,設備會輸出表示服務器不可達的日誌信息“Portal server newpt turns down from up.”,並取消對該接口接入的用戶的Portal認證,使得用戶可以直接訪問外部網絡。
· 用戶主機與接入設備Switch直接相連,采用直接方式的Portal認證。用戶通過手工配置或DHCP獲取的一個公網IP地址進行認證,在通過Portal認證前,隻能訪問Portal Web服務器;在通過Portal認證後,可以使用此IP地址訪問非受限互聯網資源。
· Switch同時承擔Portal Web服務器和Portal認證服務器的職責。
· 采用RADIUS服務器作為認證/計費服務器。
· 配置本地Portal Web服務使用HTTP協議,且HTTP服務偵聽的TCP端口號為2331。
圖1-23 使用本地Portal Web服務的直接Portal認證組網圖
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
(1) 配置RADIUS方案
# 創建名稱為rs1的RADIUS方案並進入該方案視圖。
<Switch> system-view
[Switch] radius scheme rs1
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[Switch-radius-rs1] primary authentication 192.168.0.112
[Switch-radius-rs1] primary accounting 192.168.0.112
[Switch-radius-rs1] key authentication simple radius
[Switch-radius-rs1] key accounting simple radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[Switch-radius-rs1] user-name-format without-domain
[Switch-radius-rs1] quit
# 開啟RADIUS session control功能。
[Switch] radius session-control enable
(2) 配置認證域
# 創建並進入名稱為dm1的ISP域。
[Switch] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[Switch-isp-dm1] authentication portal radius-scheme rs1
[Switch-isp-dm1] authorization portal radius-scheme rs1
[Switch-isp-dm1] accounting portal radius-scheme rs1
[Switch-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方式。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方案。
[Switch] domain default enable dm1
(3) 配置Portal認證
# 配置Portal Web服務器的URL為http://2.2.2.1:2331/portal(Portal Web服務器URL中的IP地址可配置為設備上與客戶端路由可達的三層接口IP地址或除127.0.0.1以外的Loopback接口的IP地址)。
[Switch] portal web-server newpt
[Switch-portal-websvr-newpt] url http://2.2.2.1:2331/portal
[Switch-portal-websvr-newpt] quit
# 在接口Vlan-interface100上開啟直接方式的Portal認證。
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] portal enable method direct
# 在接口Vlan-interface100上引用Portal Web服務器newpt。
[Switch–Vlan-interface100] portal apply web-server newpt
[Switch–Vlan-interface100] quit
# 進入本地Portal Web服務視圖,並指定使用HTTP協議和客戶端交互認證信息。
[Switch] portal local-web-server http
# 配置本地Portal Web服務提供的缺省認證頁麵文件為defaultfile.zip(設備的存儲介質的根目錄下必須已存在該認證頁麵文件,否則功能不生效)。
[Switch–portal-local-websvr-http] default-logon-page defaultfile.zip
# 配置本地Portal Web服務的HTTP服務偵聽的TCP端口號為2331。
[Switch–portal-local-webserver-http] tcp-port 2331
[Switch–portal-local-websvr-http] quit
# 以上配置完成後,通過執行以下顯示命令可查看Portal配置是否生效。
[Switch] display portal interface vlan-interface 100
Portal information of Vlan-interface 100
Authorization Strict checking
ACL Disabled
User profile Disabled
IPv4:
Portal status: Enabled
Portal authentication method: Direct
Portal web server: newpt
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ip: Not configured
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Mask
Destination authenticate subnet:
IP address Mask
IPv6:
Portal status: Disabled
Portal authentication method: Disabled
Portal web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max users: Not configured
Bas-ipv6: Not configured
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authenticate subnet:
IP address Prefix length
使用本地Portal Web服務進行Portal認證的組網環境中,隻支持通過網頁方式進行Portal認證。用戶在通過認證前,隻能訪問認證頁麵http://2.2.2.1:2331/portal,且發起的Web訪問均被重定向到該認證頁麵,在通過認證後,可訪問非受限的互聯網資源。
# Portal用戶認證通過後,可通過執行以下顯示命令查看Switch上生成的Portal在線用戶信息。
[Switch] display portal user interface vlan-interface 100
Total portal users: 1
Username: abc
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-e9a6-7cfe 2.2.2.2 100 Vlan-interface100
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
用戶被強製去訪問iMC Portal認證服務器時沒有彈出Portal認證頁麵,也沒有錯誤提示,登錄的Portal認證服務器頁麵為空白。
接入設備上配置的Portal密鑰和Portal認證服務器上配置的密鑰不一致,導致Portal認證服務器報文驗證出錯,Portal認證服務器拒絕彈出認證頁麵。
在Portal認證服務器視圖下使用display this命令查看接入設備上是否配置了Portal認證服務器密鑰,若沒有配置密鑰,請補充配置;若配置了密鑰,請在Portal認證服務器視圖中使用ip或ipv6命令修改密鑰,或者在Portal認證服務器上查看對應接入設備的密鑰並修改密鑰,直至兩者的密鑰設置一致。
用戶通過Portal認證後,在接入設備上使用portal delete-user命令強製用戶下線失敗,但是使用客戶端的“斷開”屬性可以正常下線。
在接入設備上使用portal delete-user命令強製用戶下線時,由接入設備主動發送下線通知報文到Portal認證服務器,Portal認證服務器會在指定的端口監聽該報文(缺省為50100),但是接入設備發送的下線通知報文的目的端口和Portal認證服務器真正的監聽端口不一致,故Portal認證服務器無法收到下線通知報文,Portal認證服務器上的用戶無法下線。
當使用客戶端的“斷開”屬性讓用戶下線時,由Portal認證服務器主動向接入設備發送下線請求,其源端口為50100,接入設備的下線應答報文的目的端口使用請求報文的源端口,避免了其配置上的錯誤,使得Portal認證服務器可以收到下線應答報文,從而Portal認證服務器上的用戶成功下線。
使用display portal server命令查看接入設備對應服務器的端口,並在係統視圖中使用portal server命令修改服務器的端口,使其和Portal認證服務器上的監聽端口一致。
接入設備使用iMC服務器作為RADIUS服務器對Portal用戶進行身份認證,用戶通過Portal認證上線後,管理員無法在RADIUS服務器上強製Portal用戶下線。
iMC服務器使用session control報文向設備發送斷開連接請求。接入設備上監聽session control報文的UDP端口缺省是關閉的,因此無法接收RADIUS服務器發送的Portal用戶下線請求。
查看接入設備上的RADIUS session control功能是否處於開啟狀態,若未開啟,請在係統視圖下執行radius session-control enable命令開啟。
接入設備上通過命令行強製Portal用戶下線後,Portal認證服務器上還存在該用戶。
在接入設備上使用portal delete-user命令強製用戶下線時,由接入設備主動發送下線通知報文到Portal認證服務器,若接入設備主動發送的Portal報文攜帶的BAS-IP/BAS-IPv6屬性值與Portal認證服務器上指定的設備IP地址不一致,Portal認證服務器會將該下線通知報文丟棄。當接入設備嚐試發送該報文超時之後,會將該用戶強製下線,但Portal認證服務器上由於並未成功接收這樣的通知報文,認為該用戶依然在線。
在開啟Portal認證的接口上配置BAS-IP/BAS-IPv6屬性值,使其與Portal認證服務器上指定的設備IP地址保持一致。
設備對用戶采用二次地址分配認證方式的Portal認證,用戶輸入正確的用戶名和密碼,且客戶端先後成功獲取到了私網IP地址和公網的IP地址,但認證結果為失敗。
在接入設備對用戶進行二次地址分配認證過程中,當接入設備感知到客戶端的IP地址更新之後,需要主動發送Portal通知報文告知Portal認證服務器已檢測到用戶IP變化,當Portal認證服務器接收到客戶端以及接入設備發送的關於用戶IP變化的通告後,才會通知客戶端上線成功。若接入設備主動發送的Portal報文攜帶的BAS-IP/BAS-IPv6屬性值與Portal認證服務器上指定的設備IP地址不一致時,Portal認證服務器會將該Portal通知報文丟棄,因此會由於未及時收到用戶IP變化的通告認為用戶認證失敗。
在開啟Portal認證的接口上配置BAS-IP/BAS-IPv6屬性值,使其與Portal認證服務器上指定的設備IP地址保持一致。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
