- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
11-Portal配置
本章節下載: 11-Portal配置 (1.82 MB)
目 錄
1.6.3 配置對重定向給用戶的URL中的userip參數進行base64編碼
1.6.6 配置重定向給用戶的Portal Web服務器URL中不轉義的特殊字符
1.7.5 配置Portal認證請求報文中User-Agent字段需要匹配的信息
1.13.5 配置允許觸發Portal認證的Web代理服務器端口
1.14.3 配置Portal Web服務器的可達性探測功能
1.14.4 開啟通過捕獲DHCP報文進行Portal用戶在線探測的功能
1.16.1 配置RADIUS NAS-Port-ID屬性格式
1.21 關閉Portal客戶端Rule ARP/ND表項生成功能
1.28 配置Portal OAuth認證同步用戶信息的時間間隔
1.29 配置Portal Wifidog認證同步用戶信息的時間間隔
1.35.7 Portal認證服務器探測和用戶信息同步功能配置舉例
1.35.9 Portal二次地址分配認證支持認證前域配置舉例
1.35.10 使用本地Portal Web服務器直接Portal認證配置舉例
1.35.11 Portal基於MAC地址的快速認證配置舉例
1.36.1 Portal用戶認證時,沒有彈出Portal認證頁麵
1.36.3 RADIUS服務器上無法強製Portal用戶下線
1.36.4 接入設備強製用戶下線後,Portal認證服務器上還存在該用戶
Portal認證通過Web頁麵接受用戶輸入的用戶名和密碼,對用戶進行身份認證,以達到對用戶訪問進行控製的目的。Portal認證通常部署在接入層以及需要保護的關鍵數據入口處實施訪問控製。在采用了Portal認證的組網環境中,用戶可以主動訪問已知的Portal Web服務器網站進行Portal認證,也可以訪問任意非Portal Web服務器網站時,被強製訪問Portal Web服務器網站,繼而開始Portal認證。目前,設備支持的Portal版本為Portal 1.0、Portal 2.0和Portal 3.0。
· 可以不安裝客戶端軟件,直接使用Web頁麵認證,使用方便。
· 可以為運營商提供方便的管理功能和業務拓展功能,例如運營商可以在認證頁麵上開展廣告、社區服務、信息發布等個性化的業務。
· 支持多種組網型態,例如二次地址分配認證方式可以實現靈活的地址分配策略且能節省公網IP地址,可跨三層認證方式可以跨網段對用戶作認證。
Portal的安全擴展功能是指,在Portal身份認證的基礎之上,通過強製接入終端實施補丁和防病毒策略,加強網絡終端對病毒攻擊的主動防禦能力。具體的安全擴展功能如下:
· 安全性檢測:在對用戶的身份認證的基礎上增加了安全認證機製,可以檢測接入終端上是否安裝了防病毒軟件、是否更新了病毒庫、是否安裝了非法軟件、是否更新了操作係統補丁等;
· 訪問資源受限:用戶通過身份認證後僅僅獲得訪問指定互聯網資源的權限,如病毒服務器、操作係統補丁更新服務器等;當用戶通過安全認證後便可以訪問更多的互聯網資源。
安全性檢測功能必須與iMC安全策略服務器以及iNode客戶端配合使用。
如圖1-1所示,Portal係統通常由如下實體組成:認證客戶端、接入設備、Portal認證服務器、Portal Web服務器、AAA服務器和安全策略服務器。
圖1-1 Portal係統組成示意圖
用戶終端的客戶端係統,為運行HTTP/HTTPS協議的瀏覽器或運行Portal客戶端的主機。對用戶終端的安全性檢測是通過Portal客戶端和安全策略服務器之間的信息交流完成的。目前,Portal客戶端僅支持iNode客戶端。
提供接入服務的設備,主要有三方麵的作用:
· 在認證之前,將用戶的所有HTTP/HTTPS請求都重定向到Portal Web服務器。
· 在認證過程中,與Portal認證服務器、AAA服務器交互,完成身份認證/授權/計費的功能。
· 在認證通過後,允許用戶訪問被授權的互聯網資源。
包括Portal Web服務器和Portal認證服務器。Portal Web服務器負責向客戶端提供Web認證頁麵,並將客戶端的認證信息(用戶名、密碼等)提交給Portal認證服務器。Portal認證服務器用於接收Portal客戶端認證請求的服務器端係統,與接入設備交互認證客戶端的認證信息。Portal Web服務器通常與Portal認證服務器是一體的,也可以是獨立的服務器端係統。
與接入設備進行交互,完成對用戶的認證、授權和計費。目前RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)服務器可支持對Portal用戶進行認證、授權和計費,以及LDAP(Lightweight Directory Access Protocol,輕量級目錄訪問協議)服務器可支持對Portal用戶進行認證。
與Portal客戶端、接入設備進行交互,完成對用戶的安全檢測,並對用戶進行安全授權操作。僅運行Portal客戶端的主機支持與安全策略服務器交互。
Portal係統中各基本要素的交互過程如下:
(1) 當未認證用戶使用瀏覽器進行Portal認證時,可以通過瀏覽器訪問任一互聯網地址,接入設備會將此HTTP或HTTPS請求重定向到Portal Web服務器的Web認證主頁上。也可以主動登錄Portal Web服務器的Web認證主頁。當未認證用戶使用iNode客戶端進行Portal認證時,可直接打開客戶端,輸入認證信息。
(2) 用戶在認證主頁/認證對話框中輸入認證信息後提交,Portal Web服務器會將用戶的認證信息傳遞給Portal認證服務器,由Portal認證服務器處理並轉發給接入設備。
(3) 接入設備與AAA服務器交互進行用戶的認證、授權和計費。
(4) 認證通過後,如果未對用戶采用安全策略,則接入設備會打開用戶與互聯網的通路,允許用戶訪問互聯網;如果使用iNode客戶端進行認證,並對用戶采用了安全策略,則客戶端、接入設備與安全策略服務器交互,對用戶的安全檢測通過之後,安全策略服務器根據用戶的安全性授權用戶訪問非受限資源。
接入設備可以同時提供Portal Web服務器和Portal認證服務器功能,對接入的Portal用戶進行本地Portal認證,如圖1-2所示。該組網方式下,Portal係統僅支持通過Web登錄、下線的基本認證功能,不支持使用Portal客戶端方式的Portal認證,因此不支持Portal擴展功能,無需部署安全策略服務器。
圖1-2 使用本地Portal服務的Portal係統組成示意圖
本地Portal Web服務支持由用戶自定義認證頁麵的內容,即允許用戶編輯一套或多套認證頁麵的HTML文件,並將其壓縮之後保存至設備的存儲介質的根目錄中。每套自定義頁麵文件中包括六個認證頁麵:登錄頁麵、登錄成功頁麵、在線頁麵、下線成功頁麵、登錄失敗頁麵和係統忙碌頁麵。本地Portal Web服務根據不同的認證階段向客戶端推出對應的認證頁麵。
Portal支持三種認證方式:直接認證方式、二次地址分配認證方式和可跨三層認證方式。直接認證方式和二次地址分配認證方式下,認證客戶端和接入設備之間沒有三層轉發設備;可跨三層認證方式下,認證客戶端和接入設備之間可以(但不必須)跨接三層轉發設備。
用戶在認證前通過手工配置或DHCP直接獲取一個IP地址,隻能訪問Portal Web服務器,以及設定的免認證地址;認證通過後即可訪問網絡資源。認證流程相對簡單。
用戶在認證前通過DHCP獲取一個私網IP地址,隻能訪問Portal Web服務器,以及設定的免認證地址;認證通過後,用戶會申請到一個公網IP地址,即可訪問網絡資源。該認證方式解決了IP地址規劃和分配問題,對未認證通過的用戶不分配公網IP地址。例如運營商對於小區寬帶用戶隻在訪問小區外部資源時才分配公網IP。目前,僅iNode客戶端支持該認證方式。需要注意的是,IPv6 Portal認證不支持二次地址分配方式。
和直接認證方式基本相同,但是這種認證方式允許認證用戶和接入設備之間跨越三層轉發設備。
對於以上三種認證方式,IP地址都是用戶的唯一標識。接入設備基於用戶的IP地址下發ACL對接口上通過認證的用戶報文轉發進行控製。由於直接認證和二次地址分配認證下的接入設備與用戶之間未跨越三層轉發設備,因此接口可以學習到用戶的MAC地址,接入設備可以利用學習到MAC地址增強對用戶報文轉發的控製力度。
直接認證和可跨三層Portal認證流程相同。二次地址分配認證流程因為有兩次地址分配過程,所以其認證流程和另外兩種認證方式有所不同。
圖1-3 直接認證/可跨三層Portal認證流程圖
直接認證/可跨三層Portal認證流程:
(1) Portal用戶通過HTTP/HTTPS協議訪問外部網絡。HTTP/HTTPS報文經過接入設備時,對於訪問Portal Web服務器或設定的免認證地址的HTTP/HTTPS報文,接入設備允許其通過;對於訪問其它地址的HTTP/HTTPS報文,接入設備將其重定向到Portal Web服務器。Portal Web服務器提供Web頁麵供用戶輸入用戶名和密碼。
(2) Portal Web服務器將用戶輸入的信息提交給Portal認證服務器進行認證。
(3) Portal認證服務器與接入設備之間進行CHAP(Challenge Handshake Authentication Protocol,質詢握手認證協議)認證交互。若采用PAP(Password Authentication Protocol,密碼認證協議)認證則直接進入下一步驟。采用哪種認證交互方式由Portal認證服務器決定。
(4) Portal認證服務器將用戶輸入的用戶名和密碼組裝成認證請求報文發往接入設備,同時開啟定時器等待認證應答報文。
(5) 接入設備與RADIUS服務器之間進行RADIUS協議報文的交互。
(6) 接入設備向Portal認證服務器發送認證應答報文,表示認證成功或者認證失敗。
(7) Portal認證服務器向客戶端發送認證成功或認證失敗報文,通知客戶端認證成功(上線)或失敗。
(8) 若認證成功,Portal認證服務器還會向接入設備發送認證應答確認。若是iNode客戶端,則還需要進行以下安全擴展功能的步驟,否則Portal認證過程結束,用戶上線。
(9) 客戶端和安全策略服務器之間進行安全信息交互。安全策略服務器檢測客戶端的安全性是否合格,包括是否安裝防病毒軟件、是否更新病毒庫、是否安裝了非法軟件、是否更新操作係統補丁等。
(10) 安全策略服務器根據安全檢查結果授權用戶訪問指定的網絡資源,授權信息保存到接入設備中,接入設備將使用該信息控製用戶的訪問。
步驟(9)、(10)為Portal認證安全擴展功能的交互過程。
圖1-4 二次地址分配認證方式流程圖
二次地址分配認證流程:
(1)~(7)同直接/可跨三層Portal認證中步驟(1)~(7)。
(8) 客戶端收到認證通過報文後,通過DHCP獲得新的公網IP地址,並通知Portal認證服務器用戶已獲得新IP地址。
(9) Portal認證服務器通知接入設備客戶端獲得新公網IP地址。
(10) 接入設備通過DHCP模塊得知用戶IP地址變化後,通告Portal認證服務器已檢測到用戶IP變化。
(11) 當Portal認證服務器接收到客戶端以及接入設備發送的關於用戶IP變化的通告後,通知客戶端上線成功。
(12) Portal認證服務器向接入設備發送IP變化確認報文。
(13) 客戶端和安全策略服務器之間進行安全信息交互。安全策略服務器檢測客戶端的安全性是否合格,包括是否安裝防病毒軟件、是否更新病毒庫、是否安裝了非法軟件、是否更新操作係統補丁等。
(14) 安全策略服務器根據用戶的安全性授權用戶訪問指定的網絡資源,授權信息保存到接入設備中,接入設備將使用該信息控製用戶的訪問。
步驟(13)、(14)為Portal認證擴展功能的交互過程。
EAP認證僅能與iMC的Portal服務器以及iNode Portal客戶端配合使用,且僅使用遠程Portal服務器的Portal認證支持該功能。
在對接入用戶身份可靠性要求較高的網絡應用中,傳統的基於用戶名和口令的用戶身份驗證方式存在一定的安全問題,基於數字證書的用戶身份驗證方式通常被用來建立更為安全和可靠的網絡接入認證機製。
EAP(Extensible Authentication Protocol,可擴展認證協議)可支持多種基於數字證書的認證方式(例如EAP-TLS),它與Portal認證相配合,可共同為用戶提供基於數字證書的接入認證服務。
圖1-5 Portal支持EAP認證協議交互示意圖
如圖1-5所示,在Portal支持EAP認證的實現中,客戶端與Portal服務器之間交互EAP認證報文,Portal服務器與接入設備之間交互攜帶EAP-Message屬性的Portal協議報文,接入設備與RADIUS服務器之間交互攜帶EAP-Message屬性的RADIUS協議報文,由具備EAP服務器功能的RADIUS服務器處理EAP-Message屬性中封裝的EAP報文,並給出EAP認證結果。整個EAP認證過程中,接入設備隻是對Portal服務器與RADIUS服務器之間的EAP-Message屬性進行透傳,並不對其進行任何處理,因此接入設備上無需任何額外配置。
接入設備通過一係列的過濾規則對用戶報文進行控製,這些規則也稱為Portal過濾規則。
設備會根據配置以及Portal用戶的認證狀態,生成四種不同類型的Portal過濾規則。設備收到用戶報文後,將依次按照如下順序對報文進行匹配,一旦匹配上某條規則便結束匹配過程:
· 第一類規則:設備允許所有去往Portal Web服務器或者符合免認證規則的用戶報文通過。
· 第二類規則:如果AAA認證服務器未下發授權ACL,則設備允許認證成功的Portal用戶可以訪問任意的目的網絡資源;如果AAA認證服務器下發了授權ACL,則設備僅允許認證成功的Portal用戶訪問該授權ACL允許訪問的網絡資源。需要注意的是,Portal認證可成功授權的ACL類型為基本ACL(ACL編號為2000~2999)和高級ACL(ACL編號為3000~3999)。當下發的ACL不存在、未配置ACL規則或ACL規則中配置了counting、established、fragment、source-mac或logging參數時,授權ACL不生效。關於ACL規則的詳細介紹,請參見“ACL和QoS命令參考”中的“ACL”。設備將根據Portal用戶的在線狀態動態添加和刪除本規則。
· 第三類規則:設備將所有未認證Portal用戶的HTTP/HTTPS請求報文重定向到Portal Web服務器。
· 第四類規則:對於直接認證方式和可跨三層認證方式,設備將拒絕所有用戶報文通過;對於二次地址分配認證方式,設備將拒絕所有源地址為私網地址的用戶報文通過。
在Portal認證環境中,對於需要頻繁接入網絡的合法用戶,可以通過基於MAC地址的快速認證功能,使用戶無需手工輸入認證信息便可以自動完成Portal認證。
基於MAC地址的快速認證又稱為MAC-trigger認證或無感知認證,該方式需要在網絡中部署MAC綁定服務器。MAC綁定服務器用於記錄用戶的Portal認證信息(用戶名、密碼)和用戶終端的MAC地址,並將二者進行綁定,以便代替用戶完成Portal認證。
僅IPv4的直接認證方式支持基於MAC地址的快速認證。
本功能的實現過程如下:
(1) 用戶在首次接入網絡時,將獲得一定的免認證流量。在用戶收發的流量達到設定的閾值之前,用戶無需進行認證。接入設備將用戶的MAC地址及接入端口信息保存為MAC-trigger表項。
(2) 當用戶收發的流量達到設定的閾值時,接入設備會根據MAC-trigger表項將用戶的MAC地址發送至MAC綁定服務器進行查詢。
(3) MAC綁定服務器在本地查詢是否存在與用戶MAC地址綁定的Portal認證信息:
¡ 如果存在Portal認證信息,則MAC綁定服務器將通知接入設備該用戶為“已綁定”狀態,並使用用戶的認證信息向接入設備發起Portal認證,在用戶無感知的情況下完成認證過程。此時,如果Portal認證失敗,則設備向用戶返回認證失敗信息,接入設備上的MAC-trigger表項將自動老化,然後重新進行MAC-trigger認證。
¡ 如果不存在Portal認證信息,則MAC綁定服務器將通知接入設備該用戶為“未綁定”狀態。接入設備將對“未綁定”狀態的用戶發起正常的Portal認證。如果Portal認證失敗,則Portal Web服務器向用戶返回Portal認證失敗頁麵,流程終止;如果Portal認證成功,在用戶完成Portal認證過程後,接入設備會將用戶的MAC地址和認證信息發送至MAC綁定服務器,完成信息綁定。當同一用戶再次訪問網絡時,MAC綁定服務器便可以利用保存的認證信息代替用戶完成認證。
(4) 用戶通過Portal認證後,接入設備將刪除MAC-trigger表項。
· 關於MAC綁定服務器的配置請參見服務器軟件的用戶手冊。
在Portal與NAT444網關聯動的組網環境中,Portal用戶通過AAA認證並分配得到私網地址之後,NAT444網關會立即為該Portal用戶分配公網地址以及端口塊,並將Portal用戶的私網IP地址、分配的公網地址及該端口塊的映射關係通知給Portal(如果NAT444網關上可分配的公網資源已耗盡,Portal會強製用戶下線,也不會對用戶進行計費)。Portal記錄該地址映射關係,並將這個映射關係上報給AAA服務器。之後,該用戶訪問外部網絡時直接使用NAT444網關已經分配的公網地址和端口塊。通過此聯動功能,AAA服務器能夠獲得並統一維護所有Portal用戶的地址映射關係,提供更便捷的用戶溯源服務。
通過在認證ISP域中配置user-address-type private-ipv4命令指定Portal用戶地址類型為私網IPv4地址,可實現Portal與NAT444網關聯動,關於設置當前ISP域的用戶地址類型的詳細介紹請參見“安全配置指導”中的“AAA”。關於NAT444的詳細介紹請參見“三層技術-IP業務”中的“NAT”。
用戶進行Portal認證時,設備可將其HTTPS請求重定向到Portal Web服務器上。HTTPS重定向服務支持兩種本地證書:設備簽發的自簽名證書和CA簽發的本地證書。用戶可根據安全性要求和配置複雜度在如下兩種方案中進行選擇:
· 采用設備簽發的自簽名證書,此方式配置簡單但存在安全隱患。在該方式下,無需配置HTTPS重定向服務關聯的SSL服務器端策略,使用的SSL參數均為缺省值。但由於自簽名證書不是由可信的CA機構簽發而不受瀏覽器信任,當設備將HTTPS請求重定向到Portal Web服務器時,用戶瀏覽器上將會彈出安全風險提示,若用戶能夠接受使用自簽名證書帶來的安全風險,可選擇忽略此提示,繼續瀏覽網頁。
· 采用CA簽發的本地證書,此方式配置相對複雜但安全性較強。在該方式下,用戶需要獲取CA證書並向CA申請本地證書,同時配置SSL服務器端策略(指定的SSL服務器端策略名必須為https_redirect),並將其與HTTPS重定向服務進行關聯,來增強HTTPS重定向服務的安全性。
有關數字證書和SSL服務器端策略的詳細介紹,請分別參見“安全配置指導”中的“PKI”和“SSL”。
通過訪問Web頁麵進行的Portal認證不能對用戶實施安全策略檢查,安全檢查功能的實現需要與iNode客戶端配合。
無論是Web客戶端還是iNode客戶端發起的Portal認證,均能支持Portal認證穿越NAT,即Portal客戶端位於私網、Portal認證服務器位於公網。
當Portal客戶端和Portal服務器屬於不同的VPN實例時,請通過undo portal refresh arp enable命令關閉Portal客戶端的Rule ARP表項生成功能,否則會導致Portal客戶端異常下線。
Portal配置任務如下:
(1) 配置遠程Portal服務
如果組網中架設遠程Portal認證服務器,則進行該配置。
(2) 配置本地Portal服務
a. 配置本地Portal服務
如果采用接入設備作為Portal服務器,則進行該配置。
(3) 開啟Portal認證並引用Portal Web服務器
請根據實際情況選擇在接口上進行以下配置。
(4) (可選)配置Portal認證前用戶參數
(5) (可選)指定Portal用戶使用的認證域
(6) (可選)控製Portal用戶的接入
¡ 配置免認證規則
¡ 配置源認證網段
¡ 配置目的認證網段
¡ 配置黑名單規則
(7) (可選)配置Portal探測功能
¡ 開啟通過捕獲DHCP報文進行Portal用戶在線探測的功能
(8) (可選)配置Portal和RADIUS報文屬性
可配置Portal報文的BAS-IP/BAS-IPv6屬性和接入設備的ID。
可配置RADIUS報文的NAS-Port-ID屬性、NAS-Port-Type屬性和接口的NAS-ID Profile。
(9) (可選)配置基於MAC地址的快速認證
a. 配置遠程MAC綁定服務器
b. 配置本地MAC綁定服務器
(10) (可選)配置Portal用戶上下線功能
(11) (可選)配置Portal認證的增強功能
¡ 關閉Portal客戶端Rule ARP/ND表項生成功能
¡ 配置Portal Wifidog認證同步用戶信息的時間間隔
(12) (可選)配置Portal認證的監控功能
Portal提供了一個用戶身份認證和安全認證的實現方案,但是僅僅依靠Portal不足以實現該方案。接入設備的管理者需選擇使用RADIUS認證方法,以配合Portal完成用戶的身份認證。Portal認證的配置前提:
· Portal認證服務器、Portal Web服務器、RADIUS服務器已安裝並配置成功。
· 若采用二次地址分配認證方式,接入設備需啟動DHCP中繼功能,另外需要安裝並配置好DHCP服務器。
· 用戶、接入設備和各服務器之間路由可達。
· 如果通過遠端RADIUS服務器進行認證,則需要在RADIUS服務器上配置相應的用戶名和密碼,然後在接入設備端進行RADIUS客戶端的相關設置。RADIUS客戶端的具體配置請參見“安全配置指導”中的“AAA”。
· 如果需要支持Portal的安全擴展功能,需要安裝並配置iMC EAD安全策略組件。同時保證在接入設備上的ACL配置和安全策略服務器上配置的隔離ACL的編號、安全ACL的編號對應。接入設備上與安全策略服務器相關的配置請參見“安全配置指導”中的“AAA”。安全策略服務器的配置請參考“iMC EAD安全策略組件聯機幫助”。
開啟了Portal認證功能後,設備收到Portal報文時,首先根據報文的源IP地址和VPN實例信息查找本地配置的Portal認證服務器,若查找到相應的Portal認證服務器配置,則認為報文合法,並向該Portal認證服務器回應認證響應報文;否則,認為報文非法,將其丟棄。
不要刪除正在被用戶使用的Portal認證服務器,否則會導致設備上的在線用戶無法正常下線。
(1) 進入係統視圖。
system-view
(2) 創建Portal認證服務器,並進入Portal認證服務器視圖。
portal server server-name
設備支持配置多個Portal認證服務器。
(3) 指定Portal認證服務器的IP地址。
(IPv4網絡)
ip ipv4-address [ vpn-instance vpn-instance-name ] [ key { cipher | simple } string ]
(IPv6網絡)
ipv6 ipv6-address [ vpn-instance vpn-instance-name ] [ key { cipher | simple } string ]
(4) (可選)配置接入設備主動向Portal認證服務器發送Portal報文時使用的UDP端口號。
port port-number
缺省情況下,接入設備主動向Portal認證服務器發送Portal報文時使用的UDP端口號為50100。
接入設備主動向Portal認證服務器發送Portal報文時使用的UDP端口號必須與遠程Portal認證服務器實際使用的監聽端口號保持一致。
(5) 配置Portal認證服務器的類型。
server-type { cmcc | imc }
缺省情況下,Portal認證服務器類型為iMC服務器。
配置的Portal認證服務器類型必須與認證所使用的服務器類型保持一致。
(6) 配置強製用戶下線通知報文的重傳時間間隔和最大重傳次數。
logout-notify retry retries interval interval
缺省情況下,未配置強製用戶下線通知報文的重傳時間間隔和最大重傳次數。
(7) (可選)配置設備定期向Portal認證服務器發送注冊報文。
server-register [ interval interval-value ]
缺省情況下,設備不會向Portal認證服務器發送注冊報文。
Portal Web服務器配置任務如下:
(2) (可選)配置對重定向給用戶的URL中的userip參數進行base64編碼
(3) (可選)開啟Portal被動Web認證功能
(4) (可選)配置重定向URL的匹配規則
(5) (可選)配置重定向給用戶的Portal Web服務器URL中不轉義的特殊字符
(1) 進入係統視圖。
system-view
(2) 創建Portal Web服務器,並進入Portal Web服務器視圖。
portal web-server server-name
可以配置多個Portal Web服務器。
(3) 指定Portal Web服務器所屬的VPN。
vpn-instance vpn-instance-name
缺省情況下,Portal Web服務器位於公網中。
(4) 指定Portal Web服務器的URL。
url url-string
缺省情況下,未指定Portal Web服務器的URL。
(5) 配置設備重定向給用戶的Portal Web服務器的URL中攜帶的參數信息。
url-parameter param-name { bas-ip | nas-id | nas-port-id | original-url | source-address | source-mac [ format section { 1 | 3 | 6 } { lowercase | uppercase } ] [ encryption { aes | des } key { cipher | simple } string ] | value expression | vlan }
缺省情況下,未配置設備重定向給用戶的Portal Web服務器的URL中攜帶的參數信息。
(6) 配置Portal Web服務器的類型。
server-type { cmcc | imc | ise | oauth | wifidog }
缺省情況下,設備默認支持的Portal Web服務器類型為iMC服務器。該配置隻適用於遠程Portal認證。
配置的Portal Web服務器類型必須與認證所使用的服務器類型保持一致。
手機用戶采用OAuth協議進行Portal本地微信認證時,如果URL中攜帶了userip,則微信認證服務器可能對部分手機用戶的userip無法識別,從而無法向用戶推送Portal認證頁麵,配置本命令後,設備會對重定向URL中的userip參數進行base64編碼,編碼後微信認證服務器即可正常推送Portal認證頁麵。
如果采用非OAuth協議的Portal認證或非Portal本地微信認證,則不需要配置本命令。
如果url-parameter命令中未攜帶source-address參數,則不需要配置本命令。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 配置對重定向給用戶的URL中的userip參數進行base64編碼。
portal url-param source-address code-base64
缺省情況下,未配置對重定向給用戶的URL中的userip參數進行base64編碼。
iOS係統或者部分Android係統的用戶接入已開啟Portal認證的網絡後,設備會主動向這類用戶終端推送Portal認證頁麵。開啟Portal被動Web認證功能後,僅在這類用戶使用瀏覽器訪問Internet時,設備才會為其推送Portal認證頁麵。
當用戶暫時不需要進行Portal認證,按Home鍵返回桌麵時,Wi-Fi連接會斷開,開啟Portal被動認證優化功能後,可以使Wi-Fi在一段時間內繼續保持連接。
Portal被動認證優化功能開啟後,iOS移動終端接入網絡時會自動彈出Portal認證頁麵,並自動發送服務器可達性探測報文探測蘋果服務器是否可達,如果可達,則顯示Wi-Fi已連接,如果不可達,則斷開網絡連接。由於網絡或其他原因,iOS移動終端無法在缺省超時時間內發送服務器可達性探測報文,導致Wi-Fi無法連接,被動認證優化功能失效。通過配置探測定時器超時時間,可以延長Portal被動認證優化功能的生效時間,且設備會模擬蘋果服務器返回探測響應報文,使Portal認證頁麵正常顯示,並保持Wi-Fi已連接狀態。
(1) 進入係統視圖。
system-view
(2) 進入Portal Web服務器視圖。
portal web-server server-name
(3) 開啟Portal被動Web認證功能。
captive-bypass [ android | ios [ optimize ] ] enable
缺省情況下,Portal被動Web認證功能處於關閉狀態,即iOS係統和部分Android係統的用戶接入已開啟Portal認證的網絡後會自動彈出Portal認證頁麵。
(4) (可選)配置Portal被動Web認證探測的定時器超時時間。
a. 退回係統視圖。
quit
b. 配置Portal被動Web認證探測的定時器超時時間。
portal captive-bypass optimize delay seconds
缺省情況下,Portal被動Web認證探測的定時器超時時間為6秒。
重定向URL匹配規則用於控製重定向用戶的HTTP或HTTPS請求,該匹配規則可匹配用戶的Web請求地址或者用戶的終端信息。與url命令不同的是,重定向匹配規則可以靈活的進行地址的重定向,而url命令一般隻用於將用戶的HTTP或HTTPS請求重定向到Portal Web服務器進行Portal認證。
為了讓用戶能夠成功訪問重定向後的地址,需要通過portal free-rule命令配置免認證規則,放行去往該地址的HTTP或HTTPS請求報文。
當同時配置了url命令和重定向URL的匹配規則時,重定向URL匹配規則優先進行地址的重定向。
當同時配置了Portal安全重定向功能和重定向URL的匹配規則時,重定向URL匹配規則優先進行地址的重定向。
(1) 進入係統視圖。
system-view
(2) 進入Portal Web服務器視圖。
portal web-server server-name
(3) 配置重定向URL的匹配規則。
if-match { original-url url-string redirect-url url-string [ url-param-encryption { aes | des } key { cipher | simple } string ] | user-agent string redirect-url url-string }
缺省情況下,設備重定向給用戶的Portal Web服務器的URL中的特殊字符,均會被轉換成安全的形式(即轉義字符),以防止客戶端將特殊符號當作語法符號或指令,更改原本預期的語義。
在實際應用中,一些Portal Web服務器無法識別URL中的某些特殊字符的轉義字符,會導致Portal Web服務器向客戶端提供Web認證頁麵失敗。此時,可以通過配置本命令對某些特殊字符不進行轉義處理。
配置特殊字符時,請先確認Portal Web服務器是否能夠識別這些特殊字符的轉義字符。
(1) 進入係統視圖。
system-view
(2) 配置重定向給用戶的Portal Web服務器URL中不轉義的特殊字符。
portal url-unescape-chars character-string
缺省情況下,對重定向給用戶的Portal Web服務器URL中所有的特殊字符進行轉義。
配置了本地Portal服務後,由設備作為Portal Web服務器和Portal認證服務器,對接入用戶進行認證。Portal認證頁麵文件存儲在設備的根目錄下。
隻有接口上引用的Portal Web服務器中的URL同時滿足以下兩個條件時,接口上才會使用本地Portal Web服務功能。條件如下:
· 該URL中的IP地址是設備上與客戶端路由可達的三層接口IP地址(除127.0.0.1以外)。
· 該URL以/portal/結尾,例如:https://1.1.1.1/portal/。
認證頁麵的內容和樣式需要用戶自定義。
用戶自定義的認證頁麵為HTML文件的形式,壓縮後保存在設備的存儲介質的根目錄中。每套認證頁麵可包括六個主索引頁麵(登錄頁麵、登錄成功頁麵、登錄失敗頁麵、在線頁麵、係統忙碌頁麵、下線成功頁麵)及其頁麵元素(認證頁麵需要應用的各種文件,如Logon.htm頁麵中的back.jpg),每個主索引頁麵可以引用若幹頁麵元素。
用戶在自定義這些頁麵時需要遵循一定的規範,否則會影響本地Portal Web服務功能的正常使用和係統運行的穩定性。
主索引頁麵文件名不能自定義,必須使用表1-1中所列的固定文件名。
|
主索引頁麵 |
文件名 |
|
登錄頁麵 |
logon.htm |
|
登錄成功頁麵 |
logonSuccess.htm |
|
登錄失敗頁麵 |
logonFail.htm |
|
在線頁麵 用於提示用戶已經在線 |
online.htm |
|
係統忙頁麵 用於提示係統忙或者該用戶正在登錄過程中 |
busy.htm |
|
下線成功頁麵 |
logoffSuccess.htm |
主索引頁麵文件之外的其他文件名可由用戶自定義,但需注意文件名和文件目錄名中不能含有中文且字符不區分大小寫。
本地Portal Web服務器隻能接受Get請求和Post請求。
· Get請求用於獲取認證頁麵中的靜態文件,其內容不能為遞歸內容。例如,Logon.htm文件中包含了Get ca.htm文件的內容,但ca.htm文件中又包含了對Logon.htm的引用,這種遞歸引用是不允許的。
· Post請求用於用戶提交用戶名和密碼以及用戶執行登錄、下線操作。
(1) 認證頁麵中表單(Form)的編輯必須符合以下原則:
¡ 認證頁麵可以含有多個Form,但是必須有且隻有一個Form的action=logon.cgi,否則無法將用戶信息送到本地Portal服務器。
¡ 用戶名屬性固定為”PtUser”,密碼屬性固定為”PtPwd”。
¡ 需要有用於標記用戶登錄還是下線的屬性”PtButton”,取值為"Logon"表示登錄,取值為"Logoff"表示下線。
¡ 登錄Post請求必須包含”PtUser”,”PtPwd”和"PtButton"三個屬性。
¡ 下線Post請求必須包含”PtButton”這個屬性。
(2) 需要包含登錄Post請求的頁麵有logon.htm和logonFail.htm。
logon.htm頁麵腳本內容的部分示例:
<form action=logon.cgi method = post >
<p>User name:<input type="text" name = "PtUser" style="width:160px;height:22px" maxlength=64>
<p>Password :<input type="password" name = "PtPwd" style="width:160px;height:22px" maxlength=32>
<p><input type=SUBMIT value="Logon" name = "PtButton" style="width:60px;" onclick="form.action=form.action+location.search;">
</form>
(3) 需要包含下線Post請求的頁麵有logonSuccess.htm和online.htm。
online.htm頁麵腳本內容的部分示例:
<form action=logon.cgi method = post >
<p><input type=SUBMIT value="Logoff" name="PtButton" style="width:60px;">
</form>
· 完成所有認證頁麵的編輯之後,必須按照標準Zip格式將其壓縮到一個Zip文件中,該Zip文件的文件名隻能包含字母、數字和下劃線。
· 壓縮後的Zip文件中必須直接包含認證頁麵,不允許存在間接目錄。
· 壓縮生成的Zip文件可以通過FTP或TFTP的二進製方式上傳至設備,並保存在設備的根目錄下。
Zip文件保存目錄示例:
<Sysname> dir
Directory of flash:
1 -rw- 1405 Feb 28 2008 15:53:20 abc1.zip
0 -rw- 1405 Feb 28 2008 15:53:31 abc2.zip
2 -rw- 1405 Feb 28 2008 15:53:39 abc3.zip
3 -rw- 1405 Feb 28 2008 15:53:44 abc4.zip
2540 KB total (1319 KB free)
若要支持認證成功後認證頁麵的自動跳轉功能,即認證頁麵會在用戶認證成功後自動跳轉到指定的網站頁麵,則需要在認證頁麵logon.htm和logonSuccess.htm的腳本文件中做如下改動。
(1) 將logon.htm文件中的Form的target值設置為“_blank”。
修改的腳本內容如下突出顯示部分所示:
<form method=post action=logon.cgi target="_blank">
(2) logonSucceess.htm文件添加頁麵加載的初始化函數“pt_init()”。
增加的腳本內容如下突出顯示部分所示:
<html>
<head>
<title>LogonSuccessed</title>
<script type="text/javascript" language="javascript" src="pt_private.js"></script>
</head>
<body onload="pt_init();" onbeforeunload="return pt_unload();">
... ...
</body>
</html>
若指定本地Portal Web服務支持的協議類型為HTTPS,則需要首先完成以下配置:
· 配置PKI策略,並成功申請本地證書和CA證書,具體配置請參見“安全配置指導”中的“PKI”。
· 配置SSL服務器端策略,並指定使用已配置的PKI域。為避免在用戶瀏覽器和設備建立SSL連接過程中用戶瀏覽器出現“使用的證書不安全”的告警,需要通過配置自定義名稱為https_redirect的SSL服務器端策略,在設備上安裝用戶瀏覽器信任的證書。具體配置請參見“安全配置指導”中的“SSL”。
(1) 進入係統視圖。
system-view
(2) 開啟本地Portal服務,並進入基於HTTP/HTTPS協議的本地Portal Web服務視圖。
portal local-web-server { http | https [ ssl-server-policy policy-name ] [ tcp-port port-number ] }
(3) 配置本地Portal Web服務提供的缺省認證頁麵文件。
default-logon-page filename
缺省情況下,本地Portal Web服務是否提供缺省認證頁麵文件請參考命令手冊。
(4) (可選)配置本地Portal Web服務的HTTP/HTTPS服務偵聽的TCP端口號。
tcp-port port-number
缺省情況下,HTTP服務偵聽的TCP端口號為80,HTTPS服務偵聽的TCP端口號為portal local-web-server命令指定的TCP端口號。
(5) (可選)配置根據設備類型,實現Portal用戶認證頁麵的定製功能。
logon-page bind { device-type { computer | pad | phone } | device-name device-name } * file file-name
缺省情況下,未配置終端設備類型與任何定製頁麵文件的綁定關係。
(6) (可選)在Portal的Web認證頁麵上開啟Portal本地用戶密碼修改功能。
user-password modify enable
缺省情況下,Portal本地用戶密碼修改功能處於關閉狀態。
如果設備上已開啟網絡接入類本地用戶全局密碼管理功能(通過password-control enable network-class命令),Portal本地用戶在Web認證頁麵修改後的密碼必須符合Password Control密碼設置控製要求。關於密碼設置控製的詳細介紹,請參見“安全配置指導”中的“Password Control”。
(7) 配置Portal用戶認證成功時的重定向URL地址。
login success-url url-string
缺省情況下,未配置Portal用戶認證成功時的重定向URL地址。
(8) 配置Portal用戶認證失敗時的重定向URL地址。
login failed-url url-string
缺省情況下,未配置Portal用戶認證失敗時的重定向URL地址。
用戶采用第三方軟件認證上網時,設備會對Portal認證請求報文中的User Agent字段內容進行校驗。User Agent字段內容包括硬件廠商信息、軟件操作係統信息、瀏覽器信息、搜索引擎信息等。如果該字段內容不包含設備指定的字符串,則用戶無法通過Portal認證。
為了匹配第三方軟件自定義的User Agent信息,可以通過配置本功能,指定Portal認證請求報文中User-Agent字段需要匹配的信息。例如,用戶使用微信關注公共號認證上網時,Portal認證請求報文中User-Agent字段需要匹配的信息為MicroMessenger。
(1) 進入係統視圖。
system-view
(2) 開啟本地Portal服務,並進入基於HTTP/HTTPS協議的本地Portal Web服務視圖。
portal local-web-server { http | https [ ssl-server-policy policy-name ] [ tcp-port port-number ] }
(3) 配置Portal認證請求報文中User-Agent字段需要匹配的信息。
user-agent user-agent-string
缺省情況下,Portal認證請求報文中User-Agent字段需要匹配的信息為字符串。MicroMessenger。
在接口上開啟Portal認證時,請遵循以下配置原則:
· 為保證以太網接口上的Portal功能生效,請不要將開啟Portal功能的以太網接口加入聚合組。
· 當接入設備和Portal用戶之間跨越三層設備時,隻能配置可跨三層Portal認證方式(layer3),但可跨三層Portal認證方式不要求接入設備和Portal用戶之間必須跨越三層設備。
· 允許在接口上同時開啟IPv4 Portal認證和IPv6 Portal認證。
當Portal認證方式為二次地址分配方式時,請遵循以下配置限製和指導:
· 在開啟二次地址分配方式的Portal認證之前,需要保證開啟Portal的接口已配置或者獲取了合法的IP地址。
· 在二次地址分配認證方式下,接口上配置的授權ARP後,係統會禁止該接口動態學習ARP表項,隻有通過DHCP合法分配到公網IP地址的用戶的ARP報文才能夠被學習。因此,為保證隻有合法用戶才能接入網絡,建議使用二次地址分配認證方式的Portal認證時,接口上同時配置了授權ARP功能。
· 為了確保Portal用戶能在開啟二次地址分配認證方式的接口上成功進行Portal認證,必須確保Portal認證服務器上指定的設備IP與設備BAS-IP或BAS-IPv6屬性值保持一致。可以通過portal { bas-ip | bas-ipv6 }命令來配置該屬性值。
· IPv6 Portal服務器不支持二次地址分配方式的Portal認證。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 開啟Portal認證,並指定認證方式。
(IPv4網絡)
portal enable method { direct | layer3 | redhcp }
(IPv6網絡)
portal ipv6 enable method { direct | layer3 }
缺省情況下,接口上的Portal認證功能處於關閉狀態。
一個接口上可以同時引用一個IPv4 Portal Web服務器和一個IPv6 Portal Web認證服務器。在接口上引用指定的Portal Web服務器後,設備會將該接口上Portal用戶的HTTP請求報文重定向到該Web服務器。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 引用Portal Web服務器。
portal [ ipv6 ] apply web-server server-name [ secondary ]
缺省情況下,接口上未引用Portal Web服務器。
開啟了Portal的接口上配置了認證前用戶使用的認證域(簡稱為認證前域)時,當該接口上接入的未經過Portal認證的用戶在通過DHCP獲取到IP地址之後,將被Portal授予認證前域內配置的相關授權屬性(目前包括ACL和CAR),並根據授權信息獲得相應的網絡訪問權限。若該接口上的DHCP用戶後續觸發了Portal認證,則認證成功之後會被AAA下發新的授權屬性。之後,若該用戶下線,則又被重新授予認證前域中的授權屬性。
該配置隻對采用DHCP或DHCPv6分配IP地址的用戶生效。
該配置在可跨三層認證方式的接口上不生效。
配置Portal認證前域時,請確保被引用的ISP域已創建。如果Portal認證前域引用的ISP域不存在或者引用過程中該ISP域被刪除後,又重新創建該域,請刪除Portal認證前域(執行undo portal [ ipv6 ] pre-auth domain命令)後重新配置。
對於認證前域中指定的授權ACL,需要注意的是:
· 如果有流量匹配上該授權ACL規則,設備將按照規則中指定的permit或deny動作進行處理。
· 如果該授權ACL不存在,或者配置的規則中允許訪問的目的IP地址為“any”,則表示不對用戶的訪問進行限製,用戶可以直接訪問網絡。
· 如果該授權ACL中沒有配置任何規則,則表示對用戶的所有訪問進行限製,用戶需要通過認證才可以訪問網絡。
· 如果沒有流量匹配上該授權ACL規則,設備推出認證頁麵,用戶需要通過認證才可以訪問網絡。
· 請不要在該授權ACL中配置源IPv4/IPv6地址或源MAC地址信息,否則該授權ACL下發後將會導致用戶不能正常上線。
(1) 進入係統視圖
system-view
(2) 進入三層接口視圖
interface interface-type interface-number
(3) 配置Portal認證前用戶使用的認證域。
portal [ ipv6 ] pre-auth domain domain-name
缺省情況下,未配置Portal認證前用戶使用的認證域。
在Portal用戶通過設備的三層子接口接入網絡的組網環境中,當三層子接口上未配置IP地址,且用戶需要通過DHCP獲取地址時,就必須在用戶進行Portal認證之前為其分配一個IP地址使其可以進行Portal認證。
Portal用戶接入到開啟了Portal認證的接口上後,該接口就會按照下麵的規則為其分配IP地址:
· 如果接口上配置了IP地址,但沒有配置認證前使用的地址池,則用戶可以使用客戶端上靜態配置的IP地址或者通過DHCP獲取分配的IP地址。
· 如果接口上配置了IP地址,且配置了認證前使用的地址池,當用戶通過DHCP獲取IP地址時,接口將從指定的認證前的地址池中為其分配IP地址;否則,用戶使用客戶端上靜態配置的IP地址。但是如果接口上沒有配置IP地址,則客戶端使用靜態IP地址將無法認證成功。
· 若接口上沒有配置IP地址,且沒有配置認證前使用的地址池,則用戶無法進行認證。
Portal用戶使用靜態配置或動態獲取的IP地址進行Portal認證,並通過認證後,認證服務器會為其下發授權IP地址池,且由DHCP重新為其分配IP地址。如果認證服務器未下發授權IP地址池,則用戶繼續使用認證之前獲得的IP地址。
僅當接口使用直接認證方式情況下,本配置才能生效。
當使用接口上指定的IP地址池為認證前的Portal用戶分配IP地址時,該指定的IP地址池必須存在且配置完整,否則無法為Portal用戶分配IP地址,並導致用戶無法進行Portal認證。
若Portal用戶不進行認證,或認證失敗,已分配的地址不會被收回。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 配置Portal認證前用戶使用的地址池。
portal [ ipv6 ] pre-auth ip-pool pool-name
缺省情況下,接口上未配置Portal認證前用戶使用的地址池。
每個Portal用戶都屬於一個認證域,且在其所屬的認證域內進行認證/授權/計費,認證域中定義了一套認證/授權/計費的策略。
通過配置Portal用戶使用的認證域,使得所有接入的Portal用戶被強製使用指定的認證域來進行認證、授權和計費。即使Portal用戶輸入的用戶名中攜帶的域名相同,接入設備的管理員也可以通過該配置使得不同接口上接入的Portal用戶使用不同的認證域,從而增加管理員部署Portal接入策略的靈活性。
Portal用戶將按照如下先後順序選擇認證域:接口上指定的Portal用戶使用的ISP域-->用戶名中攜帶的ISP域-->係統缺省的ISP域。如果根據以上原則決定的認證域在設備上不存在,但設備上為未知域名的用戶指定了ISP域,則最終使用該指定的ISP域認證。否則,用戶將無法認證。關於ISP域的相關介紹請參見“安全配置指導”中的“AAA”。
認證域中指定用戶所屬的VPN實例時,需要注意的是:
· 請確保該授權VPN實例存在,否則用戶無法上線成功。
· 用戶在線過程中,請不要刪除該授權VPN實例,否則用戶會被強製下線。
對於認證域中指定的授權ACL,需要注意的是:
· 如果有流量匹配上該授權ACL規則,設備將按照規則中指定的permit或deny動作進行處理。
· 如果沒有流量匹配上該授權ACL規則,設備將允許所有報文通過,用戶可以直接訪問網絡。
· 如果需要禁止未匹配上ACL規則的報文通過,請確保授權ACL中的最後一條規則為拒絕所有流量(由rule deny ip命令配置)。
· 該授權ACL中不要配置源IPv4/IPv6地址或源MAC地址信息,否則,可能會導致引用該ACL的用戶不能正常上線。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 配置接口上Portal用戶使用的認證域。
portal [ ipv6 ] domain domain-name
缺省情況下,接口上未配置Portal用戶使用的認證域。
接口上可以同時配置IPv4 Portal用戶和IPv6 Portal用戶的認證域。
免認證規則的匹配項包括主機名、IP地址、TCP/UDP端口號、MAC地址、所連接設備的接口和VLAN等,隻有符合免認證規則的用戶報文才不會觸發Portal認證,因此這些報文所屬的用戶不需要通過Portal認證即可訪問網絡資源。
如果免認證規則中同時配置了接口和VLAN,則要求接口屬於指定的VLAN,否則該規則無效。
相同內容的免認證規則不能重複配置,否則提示免認證規則已存在或重複。
無論接口上是否開啟Portal認證,隻能添加或者刪除免認證規則,不能修改。
Portal免認證規則引用的ACL中隻能包含IP五元組(源IP地址、源端口號、目的IP地址、目的端口號、傳輸層協議)或IPv4/IPv6地址對象組。
(1) 進入係統視圖。
system-view
(2) 配置基於IP地址的Portal免認證規則。
(IPv4網絡)
portal free-rule rule-number { destination ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] | source ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] } * [ interface interface-type interface-number ]
(IPv6網絡)
portal free-rule rule-number { destination ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] | source ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] } * [ interface interface-type interface-number ]
缺省情況下,未配置基於IP地址的Portal免認證規則。
(1) 進入係統視圖。
system-view
(2) 配置基於源的Portal免認證規則。
portal free-rule rule-number source { interface interface-type interface-number | mac mac-address | object-group object-group-name | vlan vlan-id } * }
缺省情況下,未配置基於源的Portal免認證規則。
vlan關鍵字僅對通過VLAN接口接入的Portal用戶生效。
(1) 進入係統視圖。
system-view
(2) 配置基於目的的Portal免認證規則。
portal free-rule rule-number destination host-name
缺省情況下,未配置基於目的的Portal免認證規則。
配置本功能前,請確保組網中已部署DNS服務器。
(1) 進入係統視圖。
system-view
(2) 配置基於ACL的Portal免認證規則。
(IPv4網絡)
portal free-rule rule-number acl acl-number
(IPv6網絡)
portal free-rule rule-number acl ipv6 acl-number
(1) 進入係統視圖。
system-view
(2) 配置Portal免認證規則的描述信息。
portal free-rule rule-number description text
缺省情況下,未配置Portal免認證規則的描述信息。
通過配置源認證網段實現隻允許在源認證網段範圍內的用戶HTTP/HTTPS報文才能觸發Portal認證。如果未認證用戶的HTTP/HTTPS報文既不滿足免認證規則又不在源認證網段內,則將被接入設備丟棄。
源認證網段配置僅對可跨三層Portal認證有效。
直接認證方式和二次地址分配認證方式下,用戶與接入設備上開啟Portal的接口在同一個網段,因此配置源認證網段沒有實際意義。對於直接認證方式,接入設備認為接口上的源認證網段為任意源IP;對於二次地址分配認證方式,接入設備認為接口上的源認證網段為接口私網IP決定的私網網段。
如果接口上同時配置了源認證網段和目的認證網段,則源認證網段的配置不會生效。
設備上可以配置多條源認證網段。若配置了網段地址範圍有所覆蓋或重疊的源認證網段,則僅其中地址範圍最大(子網掩碼或地址前綴最小)的一條源認證網段配置生效。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 配置源認證網段。
(IPv4網絡)
portal layer3 source ipv4-network-address { mask-length | mask }
(IPv6網絡)
portal ipv6 layer3 source ipv6-network-address prefix-length
缺省情況下,對任意用戶都進行Portal認證。
通過配置目的認證網段實現僅對要訪問指定目的網段(除免認證規則中指定的目的IP地址或網段)的用戶進行Portal認證,用戶訪問非目的認證網段時無需認證,可直接訪問。
如果接口上同時配置了源認證網段和目的認證網段,則源認證網段的配置無效。
設備上可以配置多條目的認證網段。若配置了網段地址範圍有所覆蓋或重疊的目的認證網段,則僅其中地址範圍最大(子網掩碼或地址前綴最小)的一條目的認證網段配置生效。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 配置目的認證網段。
(IPv4網絡)
portal free-all except destination ipv4-network-address { mask-length | mask }
(IPv6網絡)
portal ipv6 free-all except destination ipv6-network-address prefix-length
缺省情況下,對訪問任意目的網段的用戶都進行Portal認證。
黑名單規則用來過濾某些來自特定源或去往特定目的的報文。當通過設備的報文與黑名單規則相匹配的時候,設備會將這些報文丟棄。
如果黑名單規則中同時配置了源端口號和目的端口號,則要求源和目的端口號所屬的傳輸層協議類型保持一致。
源地址和目的地址的IP類型必須相同。
可以配置多條黑名單規則。
如果同時配置了免認證規則和黑名單規則,且二者指定的對象範圍有所重疊,則黑名單規則生效。
當黑名單規則配置為目的主機名時,設備會丟棄用戶發送的查詢目的主機名的DNS報文。如果設備上正確配置了DNS服務器,設備會解析目的主機名的地址,並將去往此地址的報文丟棄;在用戶沒有發送DNS報文的情況下,如果設備沒有正確配置DNS服務器,黑名單規則不生效。
(1) 進入係統視圖。
system-view
(2) 配置黑名單規則。
(IPv4網絡)
portal forbidden-rule rule-number [ source { ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] | ssid ssid-name } * ] destination { host-name | ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] }
(IPv6網絡)
portal forbidden-rule rule-number [ source { ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] | ssid ssid-name } * ] destination { host-name | ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] }
缺省情況下,未配置黑名單規則。
設備默認隻允許未配置Web代理服務器的用戶瀏覽器發起的HTTP/HTTPS請求才能觸發Portal認證,若用戶使用配置了Web代理服務器的瀏覽器上網,則用戶的這類HTTP/HTTPS請求報文將被丟棄,而不能觸發Portal認證。這種情況下,網絡管理員可以通過在設備上添加Web代理服務器的TCP端口號,來允許使用Web代理服務器的用戶瀏覽器發起的HTTP/HTTPS請求也可以觸發Portal認證。
配置允許觸發Portal認證的Web代理服務器端口,需要注意的是:
· 80和443端口是Portal預留端口號,Portal認證的Web代理服務器的TCP端口號不能配置為80和443。
· 通過多次配置本功能,最多可以添加64個允許觸發Portal認證的Web代理服務器端口。
· HTTP和HTTPS請求允許觸發Portal認證的Web代理服務器端口不能相同。
如果用戶瀏覽器采用WPAD(Web Proxy Auto-Discovery,Web代理服務器自動發現)方式自動配置Web代理,還需要注意以下幾點:
· 配置允許觸發Portal認證的Web代理服務器端口的同時,還需要配置免認證規則,允許目的IP為WPAD主機IP地址的用戶報文免認證。
· 需要用戶在瀏覽器上將Portal認證服務器的IP地址配置為Web代理服務器的例外地址,避免Portal用戶發送給Portal認證服務器的HTTP/HTTPS報文被發送到Web代理服務器上,從而影響正常的Portal認證。
(1) 進入係統視圖。
system-view
(2) 配置允許觸發Portal認證的Web代理服務器端口。
portal web-proxy { http | https } port port-number
缺省情況下,未配置允許觸發Portal認證的Web代理服務器端口。
通過配置可以控製係統中的全局Portal接入用戶總數和每個接口上的最大Portal用戶數(包括IPv4 Portal用戶和IPv6 Portal用戶)。
建議將全局最大Portal用戶數配置為所有開啟Portal的接口上的最大IPv4 Portal用戶數和最大IPv6 Portal用戶數之和,但不超過整機最大Portal用戶數,否則會有部分Portal用戶因為整機最大用戶數已達到而無法上線。
(1) 進入係統視圖。
system-view
(2) 配置全局Portal最大用戶數。
portal max-user max-number
缺省情況下,全局Portal最大用戶數不受限製。
如果配置的全局Portal最大用戶數小於當前已經在線的Portal用戶數,則配置可以執行成功,且在線Portal用戶不受影響,但係統將不允許新的Portal用戶接入。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 配置Portal最大用戶數。
portal { ipv4-max-user | ipv6-max-user } max-number
缺省情況下,接口上Portal最大用戶數不受限製。
如果接口上配置的Portal最大用戶數小於當前接口上已經在線的Portal用戶數,則配置可以執行成功,且在線Portal用戶不受影響,但係統將不允許新的Portal用戶從該接口接入。
嚴格檢查模式用於配合服務器上的用戶授權控製策略,允許成功下發了授權信息的用戶在線。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 配置Portal授權信息的嚴格檢查模式。
portal authorization { acl | user-profile } strict-checking
缺省情況下,Portal授權信息處於非嚴格檢查模式,即當認證服務器下發的授權ACL在設備上不存在或者設備下發ACL失敗時,允許Portal用戶在線。
· 當認證服務器下發的授權ACL在設備上不存在或者設備下發ACL失敗時,設備將強製Portal用戶下線。
為了保證隻有合法IP地址的用戶能夠接入,可以配置僅允許DHCP用戶上線功能。
本功能僅在采用接入設備作為DHCP服務器的組網中生效。
此配置不會影響已經在線的用戶。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 開啟Portal僅允許DHCP用戶上線功能。
portal [ ipv6 ] user-dhcp-only
缺省情況下,通過DHCP方式獲取IP地址的客戶端和配置靜態IP地址的客戶端都可以上線。
· 配置本功能後,IP地址為靜態配置的Portal認證用戶將不能上線。
· 在IPv6網絡中,配置本功能後,終端仍會使用臨時IPv6地址進行Portal認證,從而導致認證失敗,所以終端必須關閉臨時IPv6地址。
Portal認證失敗後的用戶阻塞功能處於開啟狀態時,如果在指定時間內用戶進行Portal認證失敗的次數達到指定值,該用戶將被阻塞一段時間,即在此時間段內來自該用戶的認證請求報文將被丟棄。通過配置該功能,可防止非法用戶使用窮舉法試探合法用戶的密碼。
Portal認證前域中的用戶在指定時間內認證失敗達到限定次數後不會被阻塞。
(1) 進入係統視圖。
system-view
(2) 開啟Portal認證失敗後的用戶阻塞功能。
portal user-block failed-times failed-times period period [ method { ip | mac | username } ]
缺省情況下,用戶進行Portal認證失敗後的用戶阻塞功能處於關閉狀態。
(3) 配置Portal用戶被阻塞的時長。
portal user-block reactive period
缺省情況下,Portal用戶被阻塞的時長為30分鍾。
Portal用戶被阻塞的時長取值為0時表示該用戶不能被激活重新進行Portal認證。
正常情況下,IPv4用戶通過Portal認證後隻能訪問IPv4網絡,IPv6用戶通過Portal認證後隻能訪問IPv6網絡,而配置Portal支持雙協議棧功能後,用戶可以通過一次Portal認證實現既能訪問IPv4網絡也能訪問IPv6網絡。
(1) 進入係統視圖。
system-view
(2) 配置Portal用戶日誌信息區分IPv4流量和IPv6流量。
portal user-log traffic-separate
缺省情況下,Portal用戶日誌信息不區分IPv4流量和IPv6流量。
(3) 進入三層接口視圖。
interface interface-type interface-number
(4) 開啟Portal支持雙協議棧功能。
portal dual-stack enable
缺省情況下,Portal支持雙協議棧功能處於關閉狀態。
(5) 開啟Portal雙協議棧流量計費分離功能。
portal dual-stack traffic-separate enable
缺省情況下,Portal雙協議棧流量計費分離功能處於關閉狀態,即Portal用戶的IPv4和IPv6流量合並計費。
(6) 開啟單棧用戶遠程Portal認證時同時攜帶IPv4和IPv6地址功能。
portal dual-ip enable
缺省情況下,單棧用戶Portal認證時同時攜帶IPv4和IPv6地址功能處於關閉狀態。
Portal用戶VLAN內漫遊功能允許同屬一個VLAN的用戶在VLAN內漫遊,即隻要Portal用戶在某VLAN接口通過認證,則可以在該VLAN內的任何二層端口上訪問網絡資源,且移動接入端口時無須重複認證。若VLAN接口上未開啟該功能,則在線用戶在同一個VLAN內其它端口接入時,將無法訪問外部網絡資源,必須首先在原端口正常下線之後,才能在其它端口重新認證上線。
該功能隻對通過VLAN接口上線的用戶有效,對於通過普通三層接口上線的用戶無效。
設備上有用戶在線或認證前域用戶的情況下,不能配置此功能。
Portal用戶VLAN內漫遊功能需要在關閉Portal客戶端Rule ARP/ND表項生成功能(通過命令undo portal refresh { arp | nd } enable)的情況下才能生效。
(1) 進入係統視圖。
system-view
(2) 開啟Portal用戶VLAN內漫遊功能。
portal roaming enable
缺省情況下,Portal用戶VLAN內漫遊功能處於開啟狀態。
缺省情況下,開啟了Portal認證的接口,發送的報文不受Portal過濾規則的限製,即允許發送所有報文。當需要對此類接口發送的報文進行嚴格控製時,可以在接口上開啟Portal出方向報文過濾功能。開啟該功能後,在開啟了Portal認證的接口上,僅當出方向的報文目的IP地址是已通過Portal認證的用戶IP地址或滿足已配置的免認證規則,才發送該報文,否則丟棄報文。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 開啟Portal出方向報文過濾功能。
portal [ ipv6 ] outbound-filter enable
缺省情況下,Portal出方向的報文過濾功能處於關閉狀態。
當接入設備探測到Portal認證服務器或者Portal Web服務器不可達時,可打開接口上的網絡限製,允許Portal用戶不需經過認證即可訪問網絡資源,也就是通常所說的Portal逃生功能。
如果接口上同時開啟了Portal認證服務器不可達時的Portal用戶逃生功能和Portal Web服務器不可達時的Portal用戶逃生功能,則當任意一個服務器不可達時,即取消接口的Portal認證功能,當兩個服務器均恢複可達性後,再重新啟動Portal認證功能。重新啟動接口的Portal認證功能之後,未通過認證的用戶需要通過認證之後才能訪問網絡資源,已通過認證的用戶可繼續訪問網絡資源。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 開啟Portal認證服務器不可達時的Portal用戶逃生功能。
portal [ ipv6 ] fail-permit server server-name
缺省情況下,設備探測到Portal認證服務器不可達時,不允許Portal用戶逃生。
(4) 開啟Portal Web服務器不可達時的Portal用戶逃生功能。
portal [ ipv6 ] fail-permit web-server
缺省情況下,設備探測到Portal Web服務器不可達時,不允許Portal用戶逃生。
IPv4探測類型為ARP或ICMP,IPv6探測類型為ND或ICMPv6。
根據探測類型的不同,設備有以下兩種探測機製:
· 當探測類型為ICMP/ICMPv6時,若設備發現一定時間(idle time)內接口上未收到某Portal用戶的報文,則會向該用戶定期(interval interval)發送ICMP/ICMPv6報文。如果在指定探測次數(retry retries)之內,設備收到了該用戶的響應報文,則認為用戶在線,且停止發送探測報文,重複這個過程,否則,強製其下線。
· 當探測類型為ARP/ND時,若設備發現一定時間(idle time)內接口上未收到某Portal用戶的報文,則會向該用戶發送ARP/ND請求報文。設備定期(interval interval)檢測用戶ARP/ND表項是否被刷新過,如果在指定探測次數(retry retries)內用戶ARP/ND表項被刷新過,則認為用戶在線,且停止檢測用戶ARP/ND表項,重複這個過程,否則,強製其下線。
ARP和ND方式的探測隻適用於直接方式和二次地址分配方式的Portal認證。ICMP方式的探測適用於所有認證方式。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 開啟Portal用戶在線探測功能。
(IPv4網絡)
portal user-detect type { arp | icmp } [ retry retries ] [ interval interval ] [ idle time ]
(IPv6網絡)
portal ipv6 user-detect type { icmpv6 | nd } [ retry retries ] [ interval interval ] [ idle time ]
缺省情況下,接口上的Portal用戶在線探測功能處於關閉狀態。
在Portal認證的過程中,如果接入設備與Portal認證服務器的通信中斷,則會導致新用戶無法上線,已經在線的Portal用戶無法正常下線的問題。為解決這些問題,需要接入設備能夠及時探測到Portal認證服務器可達狀態的變化,並能觸發執行相應的操作來應對這種變化帶來的影響。
開啟Portal認證服務器的可達性探測功能後,設備會定期檢測Portal認證服務器發送的報文(例如,用戶上線報文、用戶下線報文、心跳報文)來判斷服務器的可達狀態:若設備在指定的探測超時時間(timeout timeout)內收到Portal報文,且驗證其正確,則認為此次探測成功且服務器可達,否則認為此次探測失敗,服務器不可達。
當接入設備檢測到Portal認證服務器可達或不可達狀態改變時,可執行以下一種或多種操作:
· 發送Trap信息:Portal認證服務器可達或者不可達的狀態改變時,向網管服務器發送Trap信息。Trap信息中記錄了Portal認證服務器名以及該服務器的當前狀態。
· 發送日誌:Portal認證服務器可達或者不可達的狀態改變時,發送日誌信息。日誌信息中記錄了Portal認證服務器名以及該服務器狀態改變前後的狀態。
· Portal用戶逃生:Portal認證服務器不可達時,暫時取消接口上進行的Portal認證,允許該接口接入的所有Portal用戶訪問網絡資源。之後,若設備收到Portal認證服務器發送的報文,則恢複該端口的Portal認證功能。該功能的詳細配置請參見“1.13.13 配置Portal用戶逃生功能”。
隻有當設備上存在開啟Portal認證的接口時,Portal認證服務器的可達性探測功能才生效。
目前,隻有iMC的Portal認證服務器支持發送心跳報文,由於心跳報文是周期性發送的,所以iMC的Portal認證服務器可以更好得與設備配合,使其能夠及時而準確地探測到它的可達性狀態。如果要采用心跳報文探測Portal服務器的可達性,服務器上必須保證逃生心跳功能處於開啟狀態。
如果同時指定了多種操作,則Portal認證服務器可達狀態改變時係統可並發執行多種操作。
設備配置的探測超時時間(timeout timeout)必須大於服務器上配置的逃生心跳間隔時間。
(1) 進入係統視圖。
system-view
(2) 進入Portal認證服務器視圖。
portal server server-name
(3) 開啟Portal認證服務器的可達性探測功能。
server-detect [ timeout timeout ] { log | trap } *
缺省情況下,Portal服務器可達性探測功能處於關閉狀態。
在Portal認證的過程中,如果接入設備與Portal Web服務器的通信中斷,將無法完成整個認證過程,因此必須對Portal Web服務器的可達性進行探測。
由於Portal Web服務器用於對用戶提供Web服務,不需要和設備交互報文,因此無法通過發送某種協議報文的方式來進行可達性檢測。開啟了Portal Web服務器的可達性探測功能之後,接入設備采用模擬用戶進行Web訪問的過程來實施探測:接入設備主動向Portal Web服務器發起TCP連接,如果連接可以建立,則認為此次探測成功且服務器可達,否則認為此次探測失敗。
· 探測參數
¡ 探測間隔:進行探測嚐試的時間間隔。
¡ 失敗探測的最大次數:允許連續探測失敗的最大次數。若連續探測失敗數目達到此值,則認為服務器不可達。
· 可達狀態改變時觸發執行的操作(可以選擇其中一種或同時使用多種)
¡ 發送Trap信息:Portal Web服務器可達或者不可達的狀態改變時,向網管服務器發送Trap信息。Trap信息中記錄了Portal Web服務器名以及該服務器的當前狀態。
¡ 發送日誌:Portal Web服務器可達或者不可達的狀態改變時,發送日誌信息。日誌信息中記錄了Portal Web服務器名以及該服務器狀態改變前後的狀態。
¡ Portal用戶逃生:Portal Web服務器不可達時,暫時取消端口進行的Portal認證,允許該端口接入的所有Portal用戶訪問網絡資源。之後,若Portal Web服務器可達,則恢複該端口的Portal認證功能。該功能的詳細配置請參見“1.13.13 配置Portal用戶逃生功能”。
隻有當配置了Portal Web服務器的URL地址,且設備上存在開啟Portal認證接口時,該Portal Web服務器的可達性探測功能才生效。
對於無線AC應用,如果Portal Web服務器的URL是域名形式,則集中轉發時,需要在AC上配置DNS server,本地轉發時,需要在AP上配置DNS server(通過MAP文件下發),否則可能會導致Portal Web服務器可達性探測失敗。
(1) 進入係統視圖。
system-view
(2) 進入Portal Web服務器視圖。
portal web-server server-name
(3) 開啟Portal Web服務器的可達性探測功能。
server-detect [ interval interval ] [ retry retries ] { log | trap } *
缺省情況下,Portal Web認證服務器的可達性探測功能處於關閉狀態。
(4) 配置Portal web服務器的探測URL及探測類型。
server-detect url string [ detect-type { http | tcp } ]
缺省情況下,Portal Web服務器可達性探測的URL為Portal web服務器視圖下url命令配置的URL地址,探測類型為TCP。
開啟DHCP報文捕獲功能後,AC會通過AP捕獲DHCP客戶端(Portal用戶)與DHCP服務器之間的DHCP報文,並進行報文解析以獲取IP地址租約等信息,如果在IP地址租約到期前收到Portal用戶的續約報文,則AC認為Portal用戶在線,繼續提供Portal服務,如果IP地址租約到期未收到Portal用戶續約報文,則會強製在線Portal用戶下線。有關DHCP報文的詳細介紹,請參見“三層技術-IP業務配置指導”中的“DHCP”。
DHCP報文捕獲定時器與DHCP報文中IP地址租約保持一致,每次捕獲DHCP報文後,都會刷新DHCP報文捕獲定時器時間。
(1) 進入係統視圖。
system-view
(2) 開啟通過捕獲DHCP報文進行Portal用戶在線探測的功能。
portal idle-cut dhcp-capture enable
缺省情況下,通過捕獲DHCP報文進行Portal用戶在線探測的功能處於關閉狀態。
為了解決接入設備與Portal認證服務器通信中斷後,兩者的Portal用戶信息不一致問題,設備提供了一種Portal用戶信息同步功能。該功能利用了Portal同步報文的發送及檢測機製,具體實現如下:
(1) 由Portal認證服務器周期性地(周期為Portal認證服務器上指定的用戶心跳間隔值)將在線用戶信息通過用戶同步報文發送給接入設備;
(2) 接入設備在用戶上線之後,即開啟用戶同步檢測定時器(超時時間為timeout timeout),在收到用戶同步報文後,將其中攜帶的用戶列表信息與自己的用戶列表信息進行對比,如果發現同步報文中有設備上不存在的用戶信息,則將這些自己沒有的用戶信息反饋給Portal認證服務器,Portal認證服務器將刪除這些用戶信息;如果發現接入設備上的某用戶信息在一個用戶同步報文的檢測超時時間內,都未在該Portal認證服務器發送過來的用戶同步報文中出現過,則認為Portal認證服務器上已不存在該用戶,設備將強製該用戶下線。
隻有在支持Portal用戶心跳功能(目前僅iMC的Portal認證服務器支持)的Portal認證服務器的配合下,本功能才有效。為了實現該功能,還需要在Portal認證服務器上選擇支持用戶心跳功能,且服務器上配置的用戶心跳間隔要小於設備上配置的檢測超時時間。建議設備上配置的檢測超時時間為服務器上配置的用戶心跳間隔的兩倍以上。
在設備上刪除Portal認證服務器時將會同時刪除該服務器的用戶信息同步功能配置。
(1) 進入係統視圖。
system-view
(2) 進入Portal認證服務器視圖。
portal server server-name
(3) 開啟Portal用戶信息同步功能。
user-sync timeout timeout
缺省情況下,Portal用戶信息同步功能處於關閉狀態。
設備上運行Portal 2.0版本時,主動發送給Portal認證服務器的報文(例如強製用戶下線報文)中必須攜帶BAS-IP屬性。設備上運行Portal 3.0版本時,主動發送給Portal認證服務器的報文必須攜帶BAS-IP或者BAS-IPv6屬性。若配置此功能,設備主動發送的通知類Portal報文,其源IP地址為配置的BAS-IP或BAS-IPv6屬性值,否則為Portal報文出接口的IP地址。
設備進行二次地址分配認證和強製Portal用戶下線過程中,均需要設備主動向Portal認證服務器發送相應的通知類Portal報文,因此,為了保證二次地址分配認證方式下Portal用戶可以成功上線,以及設備可以成功通知Portal認證服務器用戶下線,需要保證BAS-IP/BAS-IPv6屬性值與Portal認證服務器上指定的設備IP一致。
使用iMC的Portal認證服務器的情況下,如果Portal服務器上指定的設備IP不是設備上Portal報文出接口的IP地址,則開啟了Portal認證的接口上必須配置BAS-IP或者BAS-IPv6屬性與Portal認證服務器上指定的設備IP一致。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 配置BAS-IP或BAS-IPv6屬性。
(IPv4網絡)
portal bas-ip ipv4-address
缺省情況下,發送給Portal認證服務器的響應類的IPv4 Portal報文中攜帶的BAS-IP屬性為報文的源IPv4地址,通知類IPv4 Portal報文中攜帶的BAS-IP屬性為報文出接口的IPv4地址。
(IPv6網絡)
portal bas-ipv6 ipv6-address
缺省情況下,發送給Portal認證服務器的響應類的IPv6 Portal報文中攜帶的BAS-IPv6屬性為報文的源IPv6地址,通知類IPv6 Portal報文中攜帶的BAS-IPv6屬性為報文出接口的IPv6地址。
通過配置接入設備的ID,使得接入設備向Portal認證服務器發送的協議報文中攜帶一個屬性,此屬性用於向Portal服務器標識發送協議報文的接入設備。
不同設備的設備ID不能相同。
(1) 進入係統視圖。
system-view
(2) 配置接入設備的ID。
portal device-id device-id
缺省情況下,未配置任何設備的ID。
不同廠商的RADIUS服務器對RADIUS報文中的NAS-Port-ID屬性格式要求不同,可修改設備發送的RADIUS報文中填充的NAS-Port-ID屬性的格式。設備支持四種屬性格式,分別為format 1和format 2、format 3和format 4,這四種屬性格式具體要求請參見“安全命令參考”中的“Portal”。
(1) 進入係統視圖。
system-view
(2) 配置NAS-Port-ID屬性的格式。
portal nas-port-id format { 1 | 2 | 3 | 4 }
缺省情況下,NAS-Port-ID屬性的格式為format 2。
用戶的接入VLAN可標識用戶的接入位置,而在某些應用環境中,網絡運營商需要使用接入設備發送給RADIUS服務器的NAS-Identifier屬性值來標識用戶的接入位置,因此接入設備上需要建立用戶接入VLAN與指定的NAS-ID之間的綁定關係。當接口上有Portal用戶上線時,若該接口上指定了NAS-ID Profile,則接入設備會根據指定的Profile名稱和用戶接入的VLAN來獲取與此VLAN綁定的NAS-ID,此NAS-ID的值將作為向RADIUS服務器發送的RADIUS請求報文中的NAS-Identifier屬性值。
如果接口上指定了NAS-ID Profile,則此Profile中定義的綁定關係優先使用;如果未指定NAS-ID Profile或指定的Profile中沒有找到匹配的綁定關係,則使用設備名作為NAS-ID。
(1) 進入係統視圖。
system-view
(2) 創建NAS-ID Profile,並進入NAS-ID-Profile視圖。
aaa nas-id profile profile-name
該命令的具體介紹請參見“安全命令參考”中的“AAA”。
(3) 設置NAS-ID與VLAN的綁定關係。
nas-id nas-identifier bind vlan vlan-id
該命令的具體情況請參見“安全命令參考”中的“AAA”。
(4) 指定引用的NAS-ID Profile。
a. 退回係統視圖。
quit
b. 進入三層接口視圖。
interface interface-type interface-number
c. 指定引用的NAS-ID Profile
portal nas-id-profile profile-name
RADIUS標準屬性NAS-Port-Type用於表示用戶接入的端口類型。
若作為Portal認證接入設備的BAS(Broadband Access Server,寬帶接入服務器)與Portal客戶端之間跨越了多個網絡設備,則可能無法正確獲取到接入用戶的實際端口信息。因此,為保證BAS能夠向RADIUS服務器正確傳遞用戶的接入端口信息,需要網絡管理員在了解用戶的實際接入環境後,通過本命令指定相應的NAS-Port-Type。
當接口上有Portal用戶上線時候,若該接口上配置了NAS-Port-Type,則使用本命令配置的值作為向RADIUS服務器發送的RADIUS請求報文的NAS-Port-Type屬性值,否則使用接入設備獲取到的用戶接入的端口類型填充該屬性。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 配置NAS-Port-Type。
portal nas-port-type { ethernet | wireless }
缺省情況下,接入設備向RADIUS服務器發送的RADIUS請求報文中的NAS-Port-Type屬性值為接入設備獲取到的用戶接入的端口類型值。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置NAS-Port-Type。
portal nas-port-type { ethernet | wireless }
缺省情況下,接入設備向RADIUS服務器發送的RADIUS請求報文中的NAS-Port-Type屬性值為接入設備獲取到的用戶接入的端口類型值。
僅IPv4的直接認證和可跨三層的認證方式支持基於MAC地址的快速認證。
如果在同一個接口上,既應用了基於MAC地址的快速認證,又配置了Portal認證前用戶使用的認證域,則請保證用戶免認證流量的閾值為0字節,否則會導致基於MAC地址的快速認證功能失效。
設備支持配置多個MAC綁定服務器,每個MAC綁定服務器擁有獨立的視圖,可以用於配置MAC綁定服務器的相關參數,包括服務器的IP地址、服務器的端口號、服務器所在的VPN實例以及設備和服務器間通信的共享密鑰等。
(1) 進入係統視圖。
system-view
(2) 創建MAC綁定服務器並進入MAC綁定服務器視圖。
portal mac-trigger-server server-name
(3) 配置MAC綁定服務器。
¡ 配置MAC綁定服務器的IP地址。
ip ipv4-address [ vpn-instance vpn-instance-name ] [ key { cipher | simple } string ]
缺省情況下,未配置MAC綁定服務器的IP地址。
¡ (可選)配置MAC綁定服務器監聽查詢報文的UDP端口號。
port port-number
缺省情況下,MAC綁定服務器監聽查詢報文的UDP端口號是50100。
¡ (可選)配置設備向MAC綁定服務器發起MAC查詢的最大次數和時間間隔。
binding-retry { retries | interval interval } *
缺省情況下,設備發起MAC查詢的最大次數為3次,發起MAC查詢的時間間隔為1秒。
¡ (可選)配置MAC綁定服務器的服務類型。
server-type { cmcc | imc }
缺省情況下,MAC綁定服務器的服務類型為iMC。
(4) (可選)配置用戶免認證流量的閾值。
free-traffic threshold value
缺省情況下,用戶免認證流量的閾值為0字節。
(5) (可選)配置設備發送的RADIUS請求報文中的NAS-Port-Type屬性值。
nas-port-type value
缺省情況下,設備發送的RADIUS請求報文中的NAS-Port-Type屬性值為15。
(6) (可選)配置Portal協議報文的版本號。
version version-number
缺省情況下,Portal協議報文的版本號為1。
(7) (可選)配置設備收到MAC綁定服務器的查詢響應消息後,等待Portal認證完成的超時時間。
authentication-timeout minutes
缺省情況下,設備收到MAC綁定服務器查詢回複消息後,等待Portal認證完成的超時時間為3分鍾。
(8) (可選)配置MAC-trigger表項老化時間。
aging-time seconds
缺省情況下,MAC-trigger表項老化時間為300秒。
(9) (可選)配置若用戶在基於MAC地址的快速認證過程中AAA認證失敗,則設備直接發起Portal認證。
aaa-fail nobinding enable
缺省情況下,若用戶在基於MAC地址的快速認證過程中AAA認證失敗,則用戶報文將觸發基於MAC地址的快速認證流程。
當配置本地MAC-trigger認證時,MAC綁定服務器就是接入設備本身且用戶必須進行本地Portal認證。設備支持配置多個MAC綁定服務器,每個MAC綁定服務器擁有獨立的視圖,可以用於配置MAC綁定服務器的相關參數。
(1) 進入係統視圖。
system-view
(2) 創建MAC綁定服務器並進入MAC綁定服務器視圖。
portal mac-trigger-server server-name
(3) 開啟Portal本地MAC-trigger認證功能。
local-binding enable
缺省情況下,Portal本地MAC-trigger認證功能處於關閉狀態。
(4) (可選)配置用戶免認證流量的閾值。
free-traffic threshold value
缺省情況下,用戶免認證流量的閾值為0字節。
(5) (可選)配置本地MAC-trigger綁定表項的老化時間。
local-binding aging-time minutes
缺省情況下,本地MAC-trigger綁定表項的老化時間為720分鍾。
(6) (可選)配置MAC-trigger表項老化時間。
aging-time seconds
缺省情況下,MAC-trigger表項老化時間為300秒。
(7) (可選)配置用戶開啟基於MAC地址的快速認證且AAA認證失敗後,設備直接發起正常的Portal認證。
aaa-fail nobinding enable
缺省情況下,用戶開啟基於MAC地址的快速認證且AAA認證失敗後,用戶報文將觸發正常的基於MAC地址的快速認證流程。
在接口上應用MAC綁定服務器,可以為通過該接口接入網絡的用戶提供基於MAC地址的快速認證服務。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 在接口上應用MAC綁定服務器。
portal apply mac-trigger-server server-name
缺省情況下,未應用MAC綁定服務器。
當進行雲端MAC-trigger認證時,需要開啟Portal雲端MAC-trigger認證功能。
(1) 進入係統視圖。
system-view
(2) 進入MAC綁定服務器視圖。
portal mac-trigger-server server-name
(3) 開啟Portal雲端MAC-trigger認證功能。
cloud-binding enable
缺省情況下,Portal雲端MAC-trigger認證功能處於關閉狀態。
(4) 指定雲端Portal認證服務器URL。
cloud-server url url-string
缺省情況下,未指定雲端Portal認證服務器URL,設備采用Portal Web服務器下配置的URL。
通過配置強製在線用戶下線可以終止對用戶的Portal認證過程,或者將已經通過認證的Portal用戶刪除。
多機備份環境中,在互為備份的任意一台設備上執行強製在線Portal用戶下線命令,互為備份的所有設備上的在線Portal用戶都將下線。
當在線用戶數目超過2000時,執行命令強製在線用戶下線需要幾分鍾的時間,在此期間,請勿進行雙機主備切換、斷開VSRP連接、單機主備切換、關閉接口上Portal功能等操作;否則會導致在線用戶刪除操作不能正常完成。
(1) 進入係統視圖。
system-view
(2) 強製指定的在線Portal用戶或所有在線Portal用戶下線。
(IPv4網絡)
portal delete-user { ipv4-address | all | auth-type { cloud | email | facebook | local | normal | qq | wechat } | interface interface-type interface-number | mac mac-address | username username }
(IPv6網絡)
portal delete-user { all | auth-type { cloud | email | facebook | local | normal | qq | wechat } | interface interface-type interface-number | ipv6 ipv6-address | mac mac-address | username username }
缺省情況下,流量備份的閾值為10M字節,即用戶流量達到10M字節時設備會對該Portal用戶的會話數據以及流量等信息進行備份。流量備份的閾值越小備份越頻繁,流量備份越精確。當設備上有大量Portal用戶在線時,對Portal用戶信息進行頻繁備份會影響到用戶的上下線以及計費等流程的處理性能。因此,需綜合考慮對各業務的處理性能和流量備份的精確度合理配置流量備份閾值。
(1) 進入係統視圖。
system-view
(2) 配置Portal用戶流量備份閾值。
portal traffic-backup threshold value
缺省情況下,Portal用戶流量備份閾值為10兆字節。
缺省情況下,Portal用戶流量速率計算時間間隔為1秒,設備僅能獲取到用戶瞬間的流量速率,不利於對用戶實際使用的流量均值進行準確有效地分析。當管理員需要查看用戶在一定周期內的平均流量速率值時,可以通過此功能配置用戶流量速率計算時間間隔。設備根據時間間隔內獲取到的Portal用戶所有流量的總值除以時間間隔,計算得到用戶在該間隔內的流量速率平均值。之後,管理員可以通過display portal user命令查看到用戶流量速率平均值。
(1) 進入係統視圖。
system-view
(2) 配置Portal用戶流量速率計算時間間隔。
portal traffic-rate statistics-interval interval
缺省情況下,Portal用戶流量速率計算時間間隔為1秒。
Portal客戶端的Rule ARP/ND表項生成功能處於開啟狀態時,Portal客戶端上線後,其ARP/ND表項為Rule表項,在Portal客戶端下線後會被立即刪除,導致Portal客戶端在短時間內再上線時會因ARP/ND表項還未學習到而認證失敗。此情況下,需要關閉本功能,使得Portal客戶端上線後其ARP/ND表項仍為動態表項,在Portal客戶端下線後按老化時間正常老化。
此功能的開啟和關閉不影響已經在線的Portal客戶端的ARP/ND表項類型。
當Portal客戶端和Portal服務器屬於不同的VPN實例時,請通過undo portal refresh arp enable命令關閉Portal客戶端的Rule ARP表項生成功能,否則會導致Portal客戶端異常下線。
(1) 進入係統視圖。
system-view
(2) 關閉Portal客戶端Rule ARP/ND表項生成功能。
undo portal refresh { arp | nd } enable
缺省情況下,Portal客戶端Rule ARP表項、ND表項生成功能處於關閉狀態。
在計費服務器上,可根據不同的應用場景對用戶采用不同的計費方式,包括時長計費、流量計費或者不計費。當計費服務器采用時長計費或不計費時,需要關閉設備上的流量計費功能,此時設備對用戶流量不做精確統計。當計費服務器采用流量計費的方式時,需要設備上開啟流量計費功能,從而精確統計用戶實際使用的流量。
(1) 進入係統視圖。
system-view
(2) 關閉Portal用戶流量計費功能。
portal traffic-accounting disable
缺省情況下,Portal用戶流量計費功能處於開啟狀態。
接口上配置了Web重定向功能後,當該接口上接入的用戶初次通過Web頁麵訪問外網時,設備會將用戶的初始訪問頁麵重定向到指定的URL頁麵,之後用戶才可以正常訪問外網。經過一定時長(interval)後,設備又可以將用戶要訪問的網頁或者正在訪問的網頁重定向到指定的URL頁麵。Web重定向功能是一種簡化的Portal功能,它不需要用戶通過Web訪問外部網絡之前提供用戶名和密碼,可通過對用戶訪問的網頁定期重定向的方式為網絡服務提供商的業務拓展提供方便,例如可以在重定向的頁麵上開展廣告、信息發布等業務。
配置Web重定向功能,請遵循以下配置原則:
· Web重定向功能僅對使用默認端口號80的HTTP協議報文生效。
· 如果設備支持以太網通道接口(Eth-channel),則該設備所有支持Web重定向和Portal功能的接口下可以同時開啟Web重定向功能和Portal功能,否則當接口下同時開啟Web重定向功能和Portal功能時,Web重定向功能失效。
· Web重定向功能指定的URL地址或用戶訪問的地址為本設備地址時,本設備必須保證HTTP服務處於開啟狀態。
· 如果接口下同時開啟了Portal認證、Web重定向:
¡ 設備會將該用戶初始訪問的HTTP請求重定向到Web重定向指定的URL頁麵,之後,用戶首次訪問外網的HTTP請求會被重定向到Portal Web服務器觸發Portal認證。Portal用戶下線後,用戶初始訪問的HTTP請求還會被重定向到Web重定向指定的URL。
¡ 當Web重定向周期達到指定的時長(interval)後,無論Portal用戶是否在線,設備都會把任何的HTTP請求重定向到Web重定向指定的URL頁麵,且此過程不會導致在線Portal用戶下線。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 配置Web重定向功能。
web-redirect [ ipv6 ] url url-string [ interval interval ]
缺省情況下,Web重定功能處於關閉狀態。
配置基於目的的Portal強製重定向規則用於當Portal用戶訪問指定地址時,Portal服務器會將用戶Web請求重定向到指定URL。
若同時配置了基於目的的Portal強製重定向規則和重定向URL的匹配規則,則僅基於目的的Portal強製重定向規則生效。
如果配置了redirect-url參數,則參數中的URL地址不能與host或ipv6配置的地址位置互換,避免造成循環重定向。
係統中最多允許同時存在10條Portal強製重定向規則,訪問同一主機名或IP地址的Portal強製重定向規則隻能配置一條。
(1) 進入係統視圖。
system-view
(2) 配置基於目的的Portal強製重定向規則。
portal redirect-rule destination { host { host-name | ip-address } | ipv6 ipv6-address } [ redirect-url url ]
缺省情況下,設備存在兩條基於目的地址10.1.0.6和10.168.168.1的Portal強製重定向規則。
Portal安全重定向功能是根據HTTP報文的請求方法、產生HTTP報文的瀏覽器類型和訪問網絡的目的URL這些特征,有針對性的將一些HTTP請求報文丟棄,不再重定向到Portal Web服務器,從而有效的減輕了Portal Web服務器的負擔,降低因大量HTTP請求造成的Portal服務器資源耗盡無法響應正常認證請求的風險。
|
瀏覽器類型 |
描述 |
|
Safari |
蘋果瀏覽器 |
|
Chrome |
穀歌瀏覽器 |
|
Firefox |
火狐瀏覽器 |
|
UC |
UC瀏覽器 |
|
QQBrowser |
QQ瀏覽器 |
|
LBBROWSER |
獵豹瀏覽器 |
|
TaoBrowser |
淘寶瀏覽器 |
|
Maxthon |
傲遊瀏覽器 |
|
BIDUBrowser |
百度瀏覽器 |
|
MSIE 10.0 |
微軟IE 10.0瀏覽器 |
|
MSIE 9.0 |
微軟IE 9.0瀏覽器 |
|
MSIE 8.0 |
微軟IE 8.0瀏覽器 |
|
MSIE 7.0 |
微軟IE 7.0瀏覽器 |
|
MSIE 6.0 |
微軟IE 6.0瀏覽器 |
|
MetaSr |
搜狗瀏覽器 |
(1) 進入係統視圖。
system-view
(2) 開啟Portal安全重定向功能。
portal safe-redirect enable
缺省情況下,Portal安全重定向功能處於關閉狀態。
(3) (可選)配置Portal安全重定向允許的HTTP協議的請求方法。
portal safe-redirect method { get | post }
缺省情況下,未配置HTTP協議的請求方法。
Portal安全重定向功能開啟後,HTTP協議的請求方法缺省為GET。
(4) (可選)匹配Portal安全重定向允許的HTTP User Agent中的瀏覽器類型。
portal safe-redirect user-agent user-agent-string
缺省情況下,未配置匹配Portal安全重定向允許的HTTP User Agent中的瀏覽器類型。
Portal安全重定向功能開啟後,默認與表1-2中的所有瀏覽器類型匹配的HTTP報文都能被Portal重定向。
(5) (可選)配置Portal安全重定向禁止的URL地址。
portal safe-redirect forbidden-url user-url-string
Portal可以對任意URL地址的HTTP請求報文進行重定向。
(6) (可選)配置用戶訪問目的網絡的HTTP請求中禁止攜帶指定的關鍵字。
portal safe-redirect forbidden-keyword keyword
缺省情況下,Portal安全重定向允許URL攜帶任意關鍵字。
(7) (可選)配置Portal安全重定向URL地址匹配的缺省動作。
portal safe-redirect default-action { forbidden | permit }
缺省情況下,未配置Portal安全重定向URL地址匹配的缺省動作。
(8) 配置Portal安全重定向允許的URL地址。
portal safe-redirect permit-url user-url-string
缺省情況下,設備允許對任意URL地址進行Portal安全重定向。
當用戶客戶端裝了惡意軟件或遭到病毒攻擊時,會發起大量Portal重定向會話。本特性用來同時配置設備上單個Portal用戶的HTTP和HTTPS重定向的最大會話數,即單個Portal用戶的HTTP重定向的最大會話數和HTTPS重定向會話數均為設置值,且每秒處理的HTTP和HTTPS重定向的最大會話數也為設置值,Portal重定向的總最大會話數為二者之和,且每秒處理的重定向總最大會話數也為二者之和。
(1) 進入係統視圖。
system-view
(2) 配置單用戶Portal重定向的最大會話數。
portal redirect max-session per-user number
缺省情況下,未配置單用戶Portal重定向的最大會話數。
由於不同的Portal認證服務器對Portal協議報文中的屬性字段支持情況不同,如果設備發送給Portal認證服務器的Portal協議報文中攜帶了服務器不支持的屬性字段,會導致設備和Portal認證服務器不能通信。
通過配置本特性,可以指定設備發送的Portal協議報文中不攜帶Portal認證服務器不支持的屬性字段,從而避免因設備和Portal認證服務器不通導致Portal認證失敗。
(1) 進入係統視圖。
system-view
(2) 進入Portal認證服務器視圖。
portal server server-name
(3) 配置Portal協議報文中不攜帶的屬性字段。
exclude-attribute number { ack-auth | ntf-logout | ack-logout }
缺省情況下,未配置Portal協議報文中不攜帶的屬性字段。
(1) 進入係統視圖。
system-view
(2) 進入MAC綁定服務器視圖。
portal mac-trigger-server server-name
(3) 配置Portal協議報文中不攜帶的屬性字段。
exclude-attribute attribute-number
缺省情況下,未配置Portal協議報文中不攜帶的屬性字段。
通常Portal認證需要用戶自己搭建Portal認證服務器和Portal Web服務器,並需要創建專門用於Portal認證的用戶名和密碼,增加了用戶的管理和維護成本。隨著第三方賬號的普及,設備支持配置QQ、微信、Facebook或者郵箱服務器作為第三方Portal認證服務器,完成Portal認證的功能。
在使用第三方認證時,網絡管理員需要在Portal Web頁麵上增加第三方認證按鈕,終端用戶點擊按鈕後可直接跳轉到第三方認證頁麵,使用已有的第三方賬號來進行Portal認證。
僅當設備配置本地Portal Web服務功能,且使用直接認證方式時,才支持配置Portal第三方認證功能。
微信認證不需要編輯第三方認證按鈕和認證登錄頁麵。
配置Portal第三方認證功能需要在Portal Web認證頁麵上添加第三方認證按鈕,通過點擊第三方認證按鈕跳轉到第三方認證頁麵上。第三方認證按鈕包括QQ認證按鈕、郵箱認證按鈕和Facebook認證按鈕。
· 在編輯QQ認證按鈕時,必須調用pt_getQQSubmitUrl()函數獲取QQ認證頁麵地址。
腳本內容的部分示例:
<html>
<head>
<title>Logon</title>
<script type="text/javascript" language="javascript" src="pt_private.js"></script>
<script type="text/javascript">
function setQQUrl(){
document.getElementById("qqurl").href = pt_getQQSubmitUrl();
}
</script>
</head>
<body>
... ...
<a href="javascript:void(null)" id="qqurl" onclick="setQQUrl()">QQ</a>
... ...
</body>
</html>
· 郵箱認證按鈕和Facebook認證按鈕無特殊要求,按正常編輯方法編輯即可。
在Portal Web認證頁麵上點擊第三方認證按鈕會跳轉到第三方認證頁麵上,QQ認證登錄頁麵由騰訊提供,郵箱認證登錄頁麵需要用戶自己編輯。在編輯郵箱認證登錄頁麵時除需遵守1.7.3 自定義認證頁麵文件的相關規範外,還有以下要求:
· 郵箱認證登錄頁麵Form的action=maillogin.html,否則無法將用戶信息送到本地進行郵箱認證。
· 郵箱認證登錄頁麵的文件名稱為emailLogon.htm。
emailLogon.htm頁麵腳本內容的部分示例:
<form action= maillogin.html method = post >
<p>User name:<input type="text" name = "PtUser" style="width:160px;height:22px" maxlength=64>
<p>Password :<input type="password" name = "PtPwd" style="width:160px;height:22px" maxlength=32>
<p><input type=SUBMIT value="Logon" name = "PtButton" style="width:60px;" onclick="form.action=form.action+location.search;">
</form>
當終端用戶通過QQ認證後,QQ認證服務器會發送授權碼給Portal Web服務器,Portal Web服務器會將獲得的授權碼、app-id以及app-key發送到QQ認證服務器進行再次驗證,以獲知終端用戶是否已通過QQ認證。
在使用QQ認證功能前,網絡管理員必須先到QQ互聯平台http://connect.qq.com/intro/login進行網站接入申請,申請時需要使用合法的QQ號和QQ認證成功之後終端用戶訪問的頁麵地址(通過redirect-url命令配置)。申請驗證通過後網絡管理員可從QQ互聯平台獲得app-id和app-key。
(1) 進入係統視圖。
system-view
(2) 創建QQ認證服務器,並進入QQ認證服務器視圖。
portal extend-auth-server qq
(3) (可選)配置QQ認證服務器的地址。
auth-url url-string
缺省情況下,QQ認證服務器的地址為https://graph.qq.com。
(4) (可選)配置QQ認證成功之後的重定向地址。
redirect-url url-string
缺省情況下,QQ認證成功之後的重定向地址為http://oauthindev.h3c.com/portal/qqlogin.html。
(5) (可選)配置QQ認證服務時用戶的唯一標識。
app-id app-id
缺省情況下,QQ認證存在一個預定義的唯一標識。
(6) (可選)配置app-id對應的密鑰。
app-key app-key
缺省情況下,QQ認證存在一個預定義的密鑰。
在進行郵箱認證功能時,終端用戶直接在認證頁麵輸入郵箱賬號和密碼,若郵箱服務器驗證通過,即可訪問相關資源。
(1) 進入係統視圖。
system-view
(2) 創建郵箱認證服務器,並進入郵箱認證服務器視圖。
portal extend-auth-server mail
(3) 配置郵箱認證服務支持的協議類型。
mail-protocol { imap | pop3 } *
缺省情況下,未配置郵箱認證服務支持的協議類型。
(4) 配置郵箱認證服務支持的郵箱類型。
mail-domain-name string
缺省情況下,未配置郵箱認證服務支持的郵箱類型。
Portal本地微信認證強製關注功能用來強製終端用戶在進行Portal本地微信認證時關注商家微信公眾號,如果終端用戶未關注商家的微信公眾號,則無法進行Portal本地微信認證。
對Portal用戶應用本地微信認證強製關注功能時,設備需要將配置的app-id、app-secret發送到微信公眾平台獲取access-token。當設備收到用戶的Portal認證請求時,會用獲取的access-token和認證請求中的openId向微信服務器發送請求來獲取用戶信息,設備通過微信服務器返回的用戶信息來判斷用戶是否關注微信公眾號。
終端用戶采用本地微信認證服務時,設備需要將配置的app-id、app-key、shop-id發送到微信公眾平台進行驗證,驗證通過後才能繼續進行Portal認證。網絡管理員必須先登錄微信公眾平台(https://mp.weixin.qq.com)申請一個微信公眾號(如果已有微信公眾號可直接使用)。進入微信公眾號,在左側功能欄下單擊<添加功能插件>按鈕進入插件庫,選擇“微信連Wi-Fi”插件。然後單擊<開通>按鈕,開通此插件。單擊<查看功能>按鈕,然後選擇“設備管理”頁簽,單擊<添加設備>按鈕,選擇所屬的門店、設備類型(Portal型)、設備設置,完成後即可獲得app-id、app-key和shop-id。
網絡管理員必須先登錄微信公眾平台(https://mp.weixin.qq.com)申請一個微信公眾號(如果已有微信公眾號可直接使用)。進入微信公眾號,在左側導航欄下“微信公眾平台->開發->基本配置”頁獲得app-secret。
(1) 進入係統視圖。
system-view
(2) 創建微信認證服務器,並進入微信認證服務器視圖。
portal extend-auth-server wechat
(3) (可選)配置微信認證服務時用戶的唯一標識。
app-id app-id
缺省情況下,微信認證不存在用戶的唯一標識。
(4) (可選)配置app-id對應的密鑰。
app-key app-key
缺省情況下,微信認證不存在預定義密鑰。
(5) (可選)配置微信認證服務時設備所在門店的唯一標識。
shop-id shop-id
缺省情況下,未配置設備所在門店的唯一標識。
(6) (可選)配置Portal本地微信認證強製關注功能。
a. 開啟Portal本地微信認證強製關注功能。
subscribe-required enable
缺省情況下,Portal本地微信認證強製關注功能處於關閉狀態。
本功能必須與開啟Portal臨時放行功能配合使用,並建議將臨時放行時間配置為600秒。
b. 配置微信認證服務使用的APP密碼。
app-secret { cipher | simple } string
缺省情況下,未配置微信認證服務使用的APP密碼。
在使用Facebook認證功能前,網絡管理員必須先到Facebook官網進行注冊,注冊成功後會獲得app-id和app-key。
(1) 進入係統視圖。
system-view
(2) 創建Facebook認證服務器,並進入Facebook認證服務器視圖。
portal extend-auth-server facebook
(3) (可選)配置Facebook認證服務器的地址。
auth-url url-string
缺省情況下,Facebook認證服務器的地址為https://graph.facebook.com。
(4) (可選)配置Facebook認證成功之後的重定向地址。
redirect-url url-string
缺省情況下,Facebook認證成功之後的重定向地址為http://oauthindev.h3c.com/portal/fblogin.html。
(5) (可選)配置Facebook認證服務時用戶的唯一標識。
app-id app-id
缺省情況下,未配置Facebook認證服務時用戶的唯一標識。
(6) (可選)配置app-id對應的密鑰。
app-key app-key
缺省情況下,未配置app-id對應的密鑰。
在接口上配置第三方認證用戶使用的認證域,所有從該接口接入的第三方認證用戶強製使用該認證域進行Portal認證。
配置第三方認證用戶使用的認證域後,請確保該域的AAA認證、授權、計費方法為none。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 配置第三方認證用戶使用的認證域。
portal extend-auth domain domain-name
缺省情況下,未配置第三方認證用戶使用的認證域。
當用戶采用微信賬號進行Portal認證時,需要通過Internet訪問微信服務器,以便與接入設備進行信息交換。
一般情況下,用戶未通過Portal認證時不允許訪問Internet。配置本功能後,接入設備可以在一定時間內臨時放行使用微信賬號的用戶訪問Internet的流量。
本功能僅在直接認證方式下支持。
當同時配置了Portal安全重定向功能和Portal臨時放行功能的匹配規則時,Portal臨時放行功能的匹配規則優先級高。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 開啟Portal臨時放行功能並設置臨時放行時間。
portal temp-pass [ period period-value ] enable
缺省情況下,Portal臨時放行功能處於關閉狀態。
(4) 配置Portal臨時放行功能的匹配規則。
a. 退回係統視圖。
quit
b. 進入Portal Web服務器視圖。
portal web-server server-name
c. 配置Portal臨時放行功能的匹配規則
if-match { original-url url-string | user-agent user-agent } * temp-pass [ redirect-url url-string | original ]
缺省情況下,未配置Portal臨時放行功能的匹配規則。
Portal采用OAuth協議進行認證時,認證服務器需要設備周期上報用戶信息。本功能用來配置用戶信息由設備向服務器同步的時間間隔。如果時間間隔配置為0,則表示關閉Portal OAuth認證用戶同步功能。
(1) 進入係統視圖。
system-view
(2) 配置當Portal用戶采用OAuth認證時用戶信息同步的時間間隔。
portal oauth user-sync interval interval
缺省情況下,Portal OAuth認證用戶信息同步的時間間隔為60秒。
當用戶采用Wifidog協議進行Portal認證時,開啟用戶信息同步功能並配置同步時間間隔後,設備會按配置的時間間隔向Portal服務器同步用戶信息,使得服務器上的Portal用戶信息與設備上的用戶信息保持一致。
開啟用戶信息同步功能之前,請確保通過server-type命令配置Portal Web服務器的類型為wifidog,否則功能不生效。
(1) 進入係統視圖。
system-view
(2) 開啟用戶信息同步功能,並配置采用Wifidog協議進行Portal認證時用戶信息同步的時間間隔。
portal wifidog user-sync interval interval
缺省情況下,用戶信息同步功能處於關閉狀態。
配置本功能後,設備會將Portal認證失敗和認證錯誤信息上報給雲端。
首次上報Portal認證失敗和認證錯誤信息是在設備與雲端建立連接之後的30秒時發生,之後將按照本功能配置的間隔定期上報Portal認證失敗和認證錯誤信息。修改上報時間間隔將在下一個上報周期生效。
(1) 進入係統視圖。
system-view
(2) 配置Portal認證信息上報雲端的時間間隔。
portal cloud report interval minutes
缺省情況下,Portal認證信息上報雲端的時間間隔為5分鍾。
為了滿足網絡管理員安全審計的需要,可以開啟Portal日誌功能,以便對Portal認證信息進行記錄。
設備生成的Portal日誌信息會交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“網絡管理和監控配置指導”中的“信息中心”。
(1) 進入係統視圖。
system-view
(2) 開啟Portal用戶上/下線日誌功能。
portal user log enable
缺省情況下,Portal用戶上/下線日誌功能處於關閉狀態。
(3) 開啟Portal協議報文的日誌功能。
portal packet log enable
缺省情況下,Portal協議報文的日誌功能處於關閉狀態。
(4) 開啟Portal重定向日誌功能。
portal redirect log enable
缺省情況下,Portal重定向日誌功能處於關閉狀態。
Portal認證監控功能主要是對Portal認證過程中的下線、認證失敗和異常等信息進行記錄,以便在Portal認證出現故障時快速定位。
(1) 進入係統視圖。
system-view
(2) 開啟Portal用戶下線信息記錄功能。
portal logout-record enable
缺省情況下,Portal用戶下線信息記錄功能處於關閉狀態。
(3) 配置設備保存Portal用戶下線記錄的最大條數。
portal logout-record max number
缺省情況下,設備保存Portal用戶下線記錄的最大條數請參見命令參考。
(4) 導出Portal用戶下線記錄。
portal logout-record export url url-string [ start-time start-date start-time end-time end-date end-time ]
(5) 開啟Portal認證失敗信息記錄功能。
portal auth-fail-record enable
缺省情況下,Portal認證失敗信息記錄功能處於開啟狀態。
(6) 配置設備保存Portal認證失敗記錄的最大條數。
portal auth-fail-record max number
缺省情況下,設備保存Portal認證失敗記錄的最大條數請參見命令參考。
(7) 導出Portal認證失敗記錄。
portal auth-fail-record export url url-string [ start-time start-date start-time end-time end-date end-time ]
(8) 開啟Portal認證異常信息記錄功能。
portal auth-error-record enable
缺省情況下,Portal認證異常信息記錄功能處於開啟狀態。
(9) 配置設備保存Portal認證異常記錄的最大條數。
portal auth-error-record max number
缺省情況下,設備保存Portal認證異常記錄的最大條數請參見命令參考。
(10) 導出Portal認證異常記錄。
portal auth-error-record export url url-string [ start-time start-date start-time end-time end-date end-time ]
開啟Portal推送廣告功能後,當用戶通過Portal認證時,設備會給Portal用戶推送廣告。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 開啟Portal推送廣告功能。
portal ad-push enable
缺省情況下,Portal推送廣告功能處於關閉狀態。
(4) 配置采用內嵌廣告模式推送廣告。
portal ad-push embedded
缺省情況下,未配置采用內嵌廣告模式推送廣告,即設備給Portal用戶推送的廣告為獨立的Web頁麵。
(5) 配置推送給Portal用戶的廣告組或廣告網址。
portal [ ipv6 ] ad-push { url url-string [ interval interval | time-range time-range-name | traffic-threshold traffic-threshold ] | url-group group-name }
缺省情況下,未配置推送給Portal用戶的廣告組或廣告網址。
(6) 退出三層接口視圖。
quit
(7) (可選)配置Portal廣告推送白名單。
portal ad-push whitelist { ip ipv4-address | ipv6 ipv6-address | mac-address mac-address }
缺省情況下,未配置Portal廣告推送白名單。
(8) (可選)創建Portal廣告組並進入廣告組視圖。
portal ad-url-group group-name [ method { interval | time-range | traffic } ]
(9) (可選)配置廣告網址。
ad-url url-string [ time-range time-range-name ]
缺省情況下,未配置廣告網址。
(10) (可選)配置廣告組中廣告網址推送的時間間隔或流量閾值。
ad-url-group { interval interval | traffic-threshold traffic-threshold }
缺省情況下,廣告網址推送的時間間隔為360分鍾,廣告網址推送的流量閾值為100MB。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後Portal的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除Portal統計信息。
表1-3 Portal顯示和維護
|
操作 |
命令 |
|
|
顯示Portal的配置信息和Portal的運行狀態信息 |
display portal interface interface-type interface-number |
|
|
顯示Portal推送廣告統計信息 |
display portal ad-push statistics { ad-url-group | url } |
|
|
顯示用戶Portal認證異常記錄 |
display portal auth-error-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time } |
|
|
顯示用戶Portal認證失敗記錄 |
display portal auth-fail-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time | username username } |
|
|
顯示Portal被動Web認證功能的報文統計信息 |
display portal captive-bypass statistics [ slot slot-number ] |
|
|
顯示基於目的的Portal免認證規則中的主機名對應的IP地址 |
display portal dns free-rule-host [ host-name ] |
|
|
顯示基於目的的Portal強製重定向規則中的主機名對應的IP地址 |
display portal dns redirect-rule-host [ host-name ] |
|
|
顯示第三方認證服務器信息 |
display portal extend-auth-server { all | facebook | mail | qq | wechat } |
|
|
顯示本地MAC-trigger綁定表項信息 |
display portal local-binding mac-address { all | mac-address } |
|
|
顯示Portal用戶的下線記錄 |
display portal logout-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time | username username } |
|
|
顯示基於MAC地址的快速認證的用戶信息 |
display portal mac-trigger user { all | ip ipv4-address | mac mac-address } |
|
|
顯示MAC綁定服務器信息 |
display portal mac-trigger-server { all | name server-name } |
|
|
顯示Portal認證服務器的報文統計信息 |
display portal packet statistics [ extend-auth-server { cloud | facebook | mail | qq | wechat } | mac-trigger-server server-name | server server-name ] |
|
|
顯示Portal過濾規則的統計信息 |
display portal permit-rule statistics |
|
|
顯示Portal重定向的會話信息 |
display portal redirect session [ ip ipv4-address | ipv6 ipv6-address ] [ slot slot-number ] |
|
|
顯示Portal重定向的會話曆史記錄 |
display portal redirect session-record [ start-time start-date start-time ] [ end-time end-date end-time ] [ slot slot-number ] |
|
|
顯示Portal重定向會話統計信息 |
display portal redirect session-statistics [ slot slot-number ] |
|
|
顯示Portal重定向報文統計信息 |
display portal redirect statistics [ slot slot-number ] |
|
|
顯示用於報文匹配的Portal過濾規則信息 |
display portal rule { all | dynamic | static } interface interface-type interface-number [ slot slot-number ] |
|
|
顯示Portal安全重定向功能的報文統計信息 |
display portal safe-redirect statistics [ slot slot-number ] |
|
|
顯示Portal認證服務器信息 |
display portal server [ server-name ] |
|
|
顯示Portal用戶的信息 |
display portal user { [ ipv6 ] access-group group-name | all | auth-type { cloud | email | facebook | local | mac-trigger | normal | qq | wechat } | interface interface-type interface-number | ip ip-address | ipv6 ipv6-address | mac mac-address | pre-auth [ interface interface-type interface-number | ip ip-address | ipv6 ipv6-address ] | username username } [ brief | verbose ] |
|
|
顯示Portal用戶數量 |
display portal user count |
|
|
顯示IPv4 Portal用戶的DHCP租約和剩餘時間 |
display portal user dhcp-lease [ ipv4 ipv4-address ] |
|
|
顯示IPv6 Portal用戶的DHCP租約和剩餘時間 |
display portal user dhcpv6-lease [ ipv6 ipv6-address ] |
|
|
顯示Portal認證失敗後當前阻塞用戶的信息 |
display portal user-block [ ip ipv4-address | ipv6 ipv6-address | mac mac-address | username username ] |
|
|
顯示Portal Web服務器信息 |
display portal web-server [ server-name ] |
|
|
顯示Web重定向過濾規則信息 |
display web-redirect rule interface interface-type interface-number [ slot slot-number ] |
|
|
清除Portal推送廣告統計信息 |
reset portal ad-push statistics { ad-url-group | url } |
|
|
清除Portal認證異常記錄。 |
reset portal auth-error-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time } |
|
|
清除Portal認證失敗記錄 |
reset portal auth-fail-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time | username username } |
|
|
清除Portal被動Web認證功能的報文統計信息 |
reset portal captive-bypass statistics [ slot slot-number ] |
|
|
清除本地MAC-Trigger綁定表項信息 |
reset portal local-binding mac-address { mac-address | all } |
|
|
清除用戶下線記錄 |
reset portal logout-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time | username username } |
|
|
清除Portal認證服務器的報文統計信息 |
reset portal packet statistics [ extend-auth-server { cloud | facebook | mail | qq | wechat } | mac-trigger-server server-name | server server-name ] |
|
|
清除Portal重定向的會話曆史信息 |
reset portal redirect session-record [ slot slot-number ] |
|
|
清除Portal重定向會話統計信息 |
reset portal redirect session-statistics [ slot slot-number ] |
|
|
清除Portal重定向報文統計信息 |
reset portal redirect statistics [ slot slot-number ] |
|
|
清除Portal安全重定向功能的報文統計信息 |
reset portal safe-redirect statistics [ slot slot-number ] |
|
· 用戶主機與接入設備Device直接相連,采用直接方式的Portal認證。用戶通過手工配置或DHCP獲取的一個公網IP地址進行認證,在通過Portal認證前,隻能訪問Portal Web服務器;在通過Portal認證後,可以使用此IP地址訪問非受限的互聯網資源。
· 采用一台iMC服務器同時承擔Portal認證服務器和Portal Web服務器的職責。iMC版本為:iMC PLAT 7.1(E0303)、iMC EIA 7.1(E0304)。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-6 Portal直接認證配置組網圖
完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行,具體配置步驟略。
(1) 配置Portal認證服務器。
登錄進入iMC管理平台,選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > 服務器配置”菜單項,進入服務器配置頁麵。
¡ 根據實際組網情況調整以下參數,本例中使用缺省配置。
圖1-7 Portal認證服務器配置頁麵
(2) 配置IP地址組。
選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > IP地址組配置”菜單項,進入IP地址組配置頁麵。在該頁麵中單擊<增加>按鈕,進入增加IP地址組頁麵。
a. 輸入IP地址組名;
b. 輸入起始地址和終止地址。用戶主機IP地址必須包含在該IP地址組範圍內;
c. 選擇業務分組,本例中使用缺省的“未分組”;
d. 選擇IP地址組的類型為“普通”。
e. 單擊<確定>按鈕完成操作。
圖1-8 增加IP地址組頁麵
(3) 增加Portal設備。
選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > 設備配置”菜單項,進入設備配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加設備信息頁麵。
a. 輸入設備名;
b. 指定IP地址為與接入用戶相連的設備接口IP;
c. 選擇支持逃生心跳為“否”。
d. 選擇支持用戶心跳為“否”。
e. 輸入密鑰,與接入設備Device上的配置保持一致;
f. 選擇組網方式為“直連”;
g. 其它參數采用缺省值;
h. 單擊<確定>按鈕完成操作。
圖1-9 增加設備信息頁麵
(4) 設備關聯IP地址組
在設備配置頁麵中的設備信息列表中,點擊NAS設備的<端口組信息管理>鏈接,進入端口組信息配置頁麵。
圖1-10 設備信息列表
在端口組信息配置頁麵中點擊<增加>按鈕,進入增加端口組信息頁麵。
a. 輸入端口組名;
b. 選擇IP地址組,用戶接入網絡時使用的IP地址必須屬於所選的IP地址組;
c. 其它參數采用缺省值;
d. 單擊<確定>按鈕完成操作。
圖1-11 增加端口組信息頁麵
(1) 配置接口IP地址。
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.0.100 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/1
[Device-security-zone-DMZ] quit
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/2
[Device-security-zone-Trust] quit
(3) 配置安全策略
a. 配置安全策略放行Trust到DMZ安全域的流量。
# 配置名稱為trust-dmz的安全策規則,用於主機Host可以訪問Portal服務器,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-dmz
[Device-security-policy-ip-1-trust-dmz] source-zone trust
[Device-security-policy-ip-1-trust-dmz] destination-zone dmz
[Device-security-policy-ip-1-trust-dmz] source-ip-host 2.2.2.2
[Device-security-policy-ip-1-trust-dmz] destination-ip-host 192.168.0.111
[Device-security-policy-ip-1-trust-dmz] action pass
[Device-security-policy-ip-1-trust-dmz] quit
b. 配置安全策略放行DMZ與Local安全域之間的流量,用於設備Device與RADIUS服務器及Portal服務器之間的報文交互。
# 配置名稱為portallocalout的安全策規則,使Device可以向RADIUS服務器及Portal發送報文,具體配置步驟如下。
[Device-security-policy-ip] rule name portallocalout
[Device-security-policy-ip-2-portallocalout] source-zone local
[Device-security-policy-ip-2-portallocalout] destination-zone dmz
[Device-security-policy-ip-2-portallocalout] destination-ip-host 192.168.0.111
[Device-security-policy-ip-2-portallocalout] destination-ip-host 192.168.0.112
[Device-security-policy-ip-2-portallocalout] action pass
[Device-security-policy-ip-2-portallocalout] quit
# 配置名稱為portallocalin的安全策略規則,使Device可以接收和處理來自RADIUS服務器及Portal服務器的報文,具體配置步驟如下。
[Device-security-policy-ip] rule name portallocalin
[Device-security-policy-ip-3-portallocalin] source-zone dmz
[Device-security-policy-ip-3-portallocalin] destination-zone local
[Device-security-policy-ip-3-portallocalin] source-ip-host 192.168.0.111
[Device-security-policy-ip-3-portallocalin] source-ip-host 192.168.0.112
[Device-security-policy-ip-3-portallocalin] action pass
[Device-security-policy-ip-3-portallocalin] quit
[Device-security-policy-ip] quit
(4) 配置RADIUS方案
# 創建名稱為rs1的RADIUS方案,配置發送給RADIUS服務器的用戶名不攜帶ISP域名並開啟RADIUS session control功能。
[Device] radius scheme rs1
[Device-radius-rs1] primary authentication 192.168.0.112
[Device-radius-rs1] primary accounting 192.168.0.112
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
[Device] radius session-control enable
(5) 配置認證域
# 創建名稱為dm1的ISP域,配置dm1域使用的RADIUS方案為rs1,係統缺省ISP域為dm1。
[Device] domain dm1
[Device-isp-dm1] authentication portal radius-scheme rs1
[Device-isp-dm1] authorization portal radius-scheme rs1
[Device-isp-dm1] accounting portal radius-scheme rs1
[Device-isp-dm1] quit
[Device] domain default enable dm1
(6) 配置Portal認證
# 配置Portal認證服務器newpt,在接口GigabitEthernet1/0/2上開啟直接方式的Portal認證,並引用Portal Web服務器newpt。在接口GigabitEthernet1/0/2上設置發送給Portal認證服務器的Portal報文中的BAS-IP屬性值。
[Device] portal server newpt
[Device-portal-server-newpt] ip 192.168.0.111 key simple portal
[Device-portal-server-newpt] port 50100
[Device-portal-server-newpt] quit
[Device] portal web-server newpt
[Device-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[Device-portal-websvr-newpt] quit
[Device] interface gigabitethernet 1/0/2
[Device–GigabitEthernet1/0/2] portal enable method direct
[Device–GigabitEthernet1/0/2] portal apply web-server newpt
[Device–GigabitEthernet1/0/2] portal bas-ip 2.2.2.1
[Device–GigabitEthernet1/0/2] quit
# 以上配置完成後,通過執行以下顯示命令可查看Portal配置是否生效。
[Device] display portal interface gigabitethernet 1/0/2
Portal information of GigabitEthernet1/0/2
NAS-ID profile: Not configured
Authorization : Strict checking
ACL : Disabled
User profile : Disabled
Dual stack : Disabled
Dual traffic-separate: Disabled
Dual IP : Disabled
Advertisement-push : Disabled
Embedded advertisement: Disabled
IPv4:
Portal status: Enabled
Portal authentication method: Direct
Portal Web server: newpt(active)
Secondary portal Web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
Extend-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max portal users: Not configured
Bas-ip: 2.2.2.1
User detection: Not configured
Portal temp-pass: Disabled
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Mask
Destination authenticate subnet:
IP address Mask
Advertisement push: Not configured
IPv6:
Portal status: Disabled
Portal authentication method: Disabled
Portal Web server: Not configured
Secondary portal Web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
Extend-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max portal users: Not configured
Bas-ipv6: Not configured
User detection: Not configured
Portal temp-pass: Disabled
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authenticate subnet:
IP address Prefix length
Advertisement push: Not configured
# 用戶既可以使用iNode客戶端,也可以通過網頁方式進行Portal認證。用戶在通過認證前,隻能訪問認證頁麵http://192.168.0.111:8080/portal,且發起的Web訪問均被重定向到該認證頁麵,在通過認證後,可訪問非受限的互聯網資源。
# Portal用戶認證通過後,可通過執行以下顯示命令查看Device上生成的Portal在線用戶信息。
[Device] display portal user interface gigabitethernet 1/0/2
Total portal users: 1
Username: abc
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-e9a6-7cfe 2.2.2.2 -- GigabitEthernet1/0/2
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number/name: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Web URL: N/A
· 用戶主機與接入設備Device直接相連,采用二次地址分配方式的Portal認證。用戶通過DHCP服務器獲取IP地址,Portal認證前使用分配的一個私網地址;通過Portal認證後,用戶申請到一個公網地址,才可以訪問非受限互聯網資源。
· 采用一台Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-12 Portal二次地址分配認證配置組網圖
· Portal二次地址分配認證方式應用中,DHCP服務器上需創建公網地址池(20.20.20.0/24)及私網地址池(10.0.0.0/24),具體配置略。
· Portal二次地址分配認證方式應用中,接入設備上需要配置DHCP中繼來配合Portal認證,且啟動Portal的接口需要配置主IP地址(公網IP)及從IP地址(私網IP)。關於DHCP中繼的詳細配置請參見“三層技術-IP業務配置指導”中的“DHCP中繼”。
· 請保證在Portal認證服務器上添加的Portal設備的IP地址為與用戶相連的接口的公網IP地址(20.20.20.1),且與該Portal設備關聯的IP地址組中的轉換前地址為用戶所在的私網網段(10.0.0.0/24)、轉換後地址為公網網段(20.20.20.0/24)。
(1) 配置RADIUS服務器和Portal服務器,保證Portal用戶的認證/計費功能正常運行,具體配置步驟略。
(2) 配置接口IP地址。
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.0.100 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(3) 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/1
[Device-security-zone-DMZ] quit
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/2
[Device-security-zone-Trust] quit
(4) 配置安全策略
a. 配置安全策略放行Trust到DMZ安全域的流量。
# 配置名稱為trust-dmz的安全策規則,用於主機Host可以訪問Portal服務器具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-dmz
[Device-security-policy-ip-1-trust-dmz] source-zone trust
[Device-security-policy-ip-1-trust-dmz] destination-zone dmz
[Device-security-policy-ip-1-trust-dmz] destination-ip-host 192.168.0.111
[Device-security-policy-ip-1-trust-dmz] action pass
[Device-security-policy-ip-1-trust-dmz] quit
b. 配置安全策略放行DMZ與Local安全域之間的流量,用於設備Device與RADIUS服務器、Portal服務器及DHCP服務器之間的報文交互。
# 配置名稱為portallocalout1的安全策規則,使Device可以向RADIUS服務、Portal服務器及DHCP服務器發送報文,具體配置步驟如下。
[Device-security-policy-ip] rule name portallocalout1
[Device-security-policy-ip-2-portallocalout1] source-zone local
[Device-security-policy-ip-2-portallocalout1] destination-zone dmz
[Device-security-policy-ip-2-portallocalout1] destination-ip-host 192.168.0.111
[Device-security-policy-ip-2-portallocalout1] destination-ip-host 192.168.0.112
[Device-security-policy-ip-2-portallocalout1] destination-ip-host 192.168.0.113
[Device-security-policy-ip-2-portallocalout1] action pass
[Device-security-policy-ip-2-portallocalout1] quit
# 配置名稱為portallocalin1的安全策略規則,使Device可以接收和處理來自RADIUS服務器、Portal服務器及DHCP服務器的報文,具體配置步驟如下。
[Device-security-policy-ip] rule name portallocalin1
[Device-security-policy-ip-3-portallocalin1] source-zone dmz
[Device-security-policy-ip-3-portallocalin1] destination-zone local
[Device-security-policy-ip-3-portallocalin1] source-ip-host 192.168.0.111
[Device-security-policy-ip-3-portallocalin1] source-ip-host 192.168.0.112
[Device-security-policy-ip-3-portallocalin1] source-ip-host 192.168.0.113
[Device-security-policy-ip-3-portallocalin1] action pass
[Device-security-policy-ip-3-portallocalin1] quit
c. 配置安全策略放行Trust與Local安全域之間的流量,用於主機Host可以從設備Device獲取IP地址。
# 配置名稱為portallocalin2的安全策規則,使用戶Host可以向設備Device發送DHCP請求報文,具體配置步驟如下。
[Device-security-policy-ip] rule 4 name portallocalin2
[Device-security-policy-ip-4-portallocalin2] source-zone trust
[Device-security-policy-ip-4-portallocalin2] service dhcp-relay
[Device-security-policy-ip-4-portallocalin2] destination-zone local
[Device-security-policy-ip-4-portallocalin2] action pass
[Device-security-policy-ip-4-portallocalin2] quit
# 配置名稱為portallocalout2的安全策略規則,使用戶Host可以接收來自DHCP服務器分配的地址,具體配置步驟如下。
[Device-security-policy-ip] rule 5 name portallocalout2
[Device-security-policy-ip-5-portallocalout2] source-zone local
[Device-security-policy-ip-5-portallocalout2] service dhcp-client
[Device-security-policy-ip-5-portallocalout2] destination-zone trust
[Device-security-policy-ip-5-portallocalout2] action pass
[Device-security-policy-ip-5-portallocalout2] quit
[Device-security-policy-ip] quit
(5) 配置RADIUS方案
#創建名稱為rs1的RADIUS方案,配置發送給RADIUS服務器的用戶名不攜帶ISP域名並開啟RADIUS session control功能。
[Device] radius scheme rs1
[Device-radius-rs1] primary authentication 192.168.0.113
[Device-radius-rs1] primary accounting 192.168.0.113
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
[Device] radius session-control enable
(6) 配置認證域
# 創建並進入名稱為dm1的ISP域,配置dm1的ISP域使用的RADIUS方案為rs1,係統缺省ISP域為dm1。
[Device] domain dm1
[Device-isp-dm1] authentication portal radius-scheme rs1
[Device-isp-dm1] authorization portal radius-scheme rs1
[Device-isp-dm1] accounting portal radius-scheme rs1
[Device-isp-dm1] quit
[Device] domain default enable dm1
(7) 配置DHCP中繼和授權ARP,使主機Host能夠從DHCP服務器獲得IP地址。
[Device] dhcp enable
[Device] dhcp relay client-information record
[Device] interface gigabitethernet 1/0/2
[Device–GigabitEthernet1/0/2] ip address 20.20.20.1 255.255.255.0
[Device–GigabitEthernet1/0/2] ip address 10.0.0.1 255.255.255.0 sub
[Device-GigabitEthernet1/0/2] dhcp select relay
[Device-GigabitEthernet1/0/2] dhcp relay server-address 192.168.0.112
[Device-GigabitEthernet1/0/2] arp authorized enable
[Device-GigabitEthernet1/0/2] quit
(8) 配置Portal認證
# 配置Portal認證服務器及Portal Web服務器,在接口GigabitEthernet1/0/2上開啟二次地址方式的Portal認證,並引用Portal web 服務器。設置接口GigabitEthernet1/0/2發送給Portal報文中的BAS-IP屬性值。
[Device] portal server newpt
[Device-portal-server-newpt] ip 192.168.0.111 key simple portal
[Device-portal-server-newpt] port 50100
[Device-portal-server-newpt] quit
[Device] portal web-server newpt
[Device-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[Device-portal-websvr-newpt] quit
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] portal enable method redhcp
[Device–GigabitEthernet1/0/2] portal apply web-server newpt
[Device–GigabitEthernet1/0/2] portal bas-ip 20.20.20.1
[Device–GigabitEthernet1/0/2] quit
# 以上配置完成後,通過執行以下顯示命令可查看Portal配置是否生效。
[Device] display portal interface gigabitethernet 1/0/2
Portal information of GigabitEthernet1/0/2
NAS-ID profile: Not configured
Authorization : Strict checking
ACL : Disabled
User profile : Disabled
Dual stack : Disabled
Dual traffic-separate: Disabled
Dual IP : Disabled
Advertisement-push : Disabled
Embedded advertisement: Disabled
IPv4:
Portal status: Enabled
Portal authentication method: Redhcp
Portal Web server: newpt(active)
Secondary portal Web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
Extend-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max portal users: Not configured
Bas-ip: 20.20.20.1
User detection: Not configured
Portal temp-pass: Disabled
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Mask
Destination authenticate subnet:
IP address Mask
Advertisement push: Not configured
IPv6:
Portal status: Disabled
Portal authentication method: Disabled
Portal Web server: Not configured
Secondary portal Web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
Extend-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max portal users: Not configured
Bas-ipv6: Not configured
User detection: Not configured
Portal temp-pass: Disabled
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authenticate subnet:
IP address Prefix length
Advertisement push: Not configured
# 在采用二次地址分配方式時,請使用iNode客戶端進行Portal認證。通過認證後,可訪問非受限的互聯網資源。
# Portal用戶認證通過後,可通過執行以下顯示命令查看Device上生成的Portal在線用戶信息。
[Device] display portal user interface gigabitethernet 1/0/2
Total portal users: 1
Username: abc
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-e9a6-7cfe 20.20.20.2 -- GigabitEthernet1/0/2
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number/name: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Web URL: N/A
Device A支持Portal認證功能。用戶Host通過Device B接入到Device A。
· 配置Device A采用可跨三層Portal認證。用戶在未通過Portal認證前,隻能訪問Portal Web認證服務器;用戶通過Portal認證後,可以訪問非受限互聯網資源。
· 采用一台Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-13 可跨三層Portal認證配置組網圖
請保證在Portal認證服務器上添加的Portal設備的IP地址為與用戶相連的接口IP地址(20.20.20.1),且與該Portal設備關聯的IP地址組為用戶所在網段(8.8.8.0/24)。
(1) 配置RADIUS服務器和Portal服務器,保證Portal用戶的認證/計費功能正常運行,具體配置步驟略。
(2) 配置接口IP地址。
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip address 192.168.0.100 255.255.255.0
[DeviceA-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(3) 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name dmz
[DeviceA-security-zone-DMZ] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-DMZ] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Trust] quit
(4) 配置靜態路由。
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由。本舉例中設備DeviceA到達用戶Host的下一跳為Device B實際使用中請以具體組網情況為準,具體配置步驟如下。
[DeviceA] ip route-static 8.8.8.0 24 20.20.20.2
(5) 配置安全策略
a. 配置安全策略放行Trust到DMZ安全域的流量。
# 配置名稱為trust-dmz的安全策規則,用於主機Host可以訪問Portal服務器,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name trust-dmz
[DeviceA-security-policy-ip-1-trust-dmz] source-zone trust
[DeviceA-security-policy-ip-1-trust-dmz] destination-zone dmz
[DeviceA-security-policy-ip-1-trust-dmz] source-ip-host 8.8.8.2
[DeviceA-security-policy-ip-1-trust-dmz] destination-ip-host 192.168.0.111
[DeviceA-security-policy-ip-1-trust-dmz] action pass
[DeviceA-security-policy-ip-1-trust-dmz] quit
b. 配置安全策略放行DMZ與Local安全域之間的流量,用於設備Device A與RADIUS服務器及Portal服務器之間的報文交互。
# 配置名稱為portallocalout的安全策規則,使Device A可以向RADIUS服務器及Portal發送報文,具體配置步驟如下。
[DeviceA-security-policy-ip] rule name portallocalout
[DeviceA-security-policy-ip-2-portallocalout] source-zone local
[DeviceA-security-policy-ip-2-portallocalout] destination-zone dmz
[DeviceA-security-policy-ip-2-portallocalout] destination-ip-host 192.168.0.111
[DeviceA-security-policy-ip-2-portallocalout] destination-ip-host 192.168.0.112
[DeviceA-security-policy-ip-2-portallocalout] action pass
[DeviceA-security-policy-ip-2-portallocalout] quit
# 配置名稱為portallocalin的安全策略規則,使Device A可以接收和處理主動來自RADIUS服務器及Portal服務器的報文,具體配置步驟如下。
[DeviceA-security-policy-ip] rule name portallocalin
[DeviceA-security-policy-ip-3-portallocalin] source-zone dmz
[DeviceA-security-policy-ip-3-portallocalin] destination-zone local
[DeviceA-security-policy-ip-3-portallocalin] source-ip-host 192.168.0.111
[DeviceA-security-policy-ip-3-portallocalin] source-ip-host 192.168.0.112
[DeviceA-security-policy-ip-3-portallocalin] action pass
[DeviceA-security-policy-ip-3-portallocalin] quit
[DeviceA-security-policy-ip] quit
(6) 配置RADIUS方案
# 配置RADIUS方案rs1,配置發送給RADIUS服務器的用戶名不攜帶ISP域名並開啟RADIUS session control功能。
[DeviceA] radius scheme rs1
[DeviceA-radius-rs1] primary authentication 192.168.0.112
[DeviceA-radius-rs1] primary accounting 192.168.0.112
[DeviceA-radius-rs1] key authentication simple radius
[DeviceA-radius-rs1] key accounting simple radius
[DeviceA-radius-rs1] user-name-format without-domain
[DeviceA-radius-rs1] quit
[Device] radius session-control enable
(7) 配置認證域
# 創建名稱為dm1的ISP域,配置dm1的ISP域使用的RADIUS方案為rs1,係統缺省的ISP域為dm1。
[DeviceA] domain dm1
[DeviceA-isp-dm1] authentication portal radius-scheme rs1
[DeviceA-isp-dm1] authorization portal radius-scheme rs1
[DeviceA-isp-dm1] accounting portal radius-scheme rs1
[DeviceA-isp-dm1] quit
[Device] domain default enable dm1
(8) 配置Portal認證
# 配置Portal認證服務器及web服務器,在接口GigabitEthernet1/0/2上開啟可跨三層方式的Portal認證,並引用Portal web 服務器,設置接口GigabitEthernet1/0/2發送給Portal報文中的BAS-IP屬性值。
[DeviceA] portal server newpt
[DeviceA-portal-server-newpt] ip 192.168.0.111 key simple portal
[DeviceA-portal-server-newpt] port 50100
[DeviceA-portal-server-newpt] quit
[Device] portal web-server newpt
[DeviceA-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[DeviceA-portal-websvr-newpt] quit
[DeviceA] interface gigabitethernet 1/0/2
[DeviceA–GigabitEthernet1/0/2] portal enable method layer3
[DeviceA–GigabitEthernet1/0/2] portal apply web-server newpt
[DeviceA–GigabitEthernet1/0/2] portal bas-ip 20.20.20.1
[DeviceA–GigabitEthernet1/0/2] quit
# 以上配置完成後,通過執行以下顯示命令可查看Portal配置是否生效。
[DeviceA] display portal interface gigabitethernet 1/0/2
Portal information of GigabitEthernet1/0/2
NAS-ID profile: Not configured
Authorization : Strict checking
ACL : Disabled
User profile : Disabled
Dual stack : Disabled
Dual traffic-separate: Disabled
Dual IP : Disabled
Advertisement-push : Disabled
Embedded advertisement: Disabled
IPv4:
Portal status: Enabled
Portal authentication method: Layer3
Portal Web server: newpt(active)
Secondary portal Web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
Extend-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max portal users: Not configured
Bas-ip: 20.20.20.1
User detection: Not configured
Portal temp-pass: Disabled
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Mask
Destination authenticate subnet:
IP address Mask
Advertisement push: Not configured
IPv6:
Portal status: Disabled
Portal authentication method: Disabled
Portal Web server: Not configured
Secondary portal Web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
Extend-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max portal users: Not configured
Bas-ipv6: Not configured
User detection: Not configured
Portal temp-pass: Disabled
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authenticate subnet:
IP address Prefix length
Advertisement push: Not configured
# 用戶既可以使用iNode客戶端,也可以通過網頁方式進行Portal認證。用戶在通過認證前,隻能訪問認證頁麵http://192.168.0.111:8080/portal,且發起的Web訪問均被重定向到該認證頁麵,在通過認證後,可訪問非受限的互聯網資源。
# Portal用戶認證通過後,可通過執行以下顯示命令查看Device A上生成的Portal在線用戶信息。
[DeviceA] display portal user interface gigabitethernet 1/0/2
Total portal users: 1
Username: abc
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-e9a6-7cfe 8.8.8.2 -- GigabitEthernet1/0/2
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number/name: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Web URL: N/A
· 用戶主機與接入設備Device直接相連,采用直接方式的Portal認證。用戶通過手工配置或DHCP獲取的一個公網IP地址進行認證,在通過身份認證而沒有通過安全認證時可以訪問192.168.0.0/24網段;在通過安全認證後,可以使用此IP地址訪問非受限互聯網資源。
· 采用一台Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-14 Portal直接認證擴展功能配置組網圖
(1) 配置RADIUS服務器和Portal服務器,保證Portal用戶的認證/計費功能正常運行,具體配置步驟略。
(2) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.0.100 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(3) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/1
[Device-security-zone-DMZ] quit
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/2
[Device-security-zone-Trust] quit
(4) 配置安全策略
a. 配置安全策略放行Trust到DMZ安全域的流量。
# 配置名稱為trust-dmz的安全策規則,用於主機Host可以訪問Portal服務器,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-dmz
[Device-security-policy-ip-1-trust-dmz] source-zone trust
[Device-security-policy-ip-1-trust-dmz] destination-zone dmz
[Device-security-policy-ip-1-trust-dmz] source-ip-host 2.2.2.2
[Device-security-policy-ip-1-trust-dmz] destination-ip-host 192.168.0.111
[Device-security-policy-ip-1-trust-dmz] destination-ip-host 192.168.0.113
[Device-security-policy-ip-1-trust-dmz] action pass
[Device-security-policy-ip-1-trust-dmz] quit
b. 配置安全策略放行DMZ與Local安全域之間的流量,用於設備Device與RADIUS服務器、Portal服務器及安全策略服務器之間的報文交互。
# 配置名稱為portallocalout的安全策規則,使Device可以向RADIUS服務器、Portal服務器及安全策略服務器發送報文,具體配置步驟如下。
[Device-security-policy-ip] rule name portallocalout
[Device-security-policy-ip-2-portallocalout] source-zone local
[Device-security-policy-ip-2-portallocalout] destination-zone dmz
[Device-security-policy-ip-2-portallocalout] destination-ip-host 192.168.0.111
[Device-security-policy-ip-2-portallocalout] destination-ip-host 192.168.0.112
[Device-security-policy-ip-2-portallocalout] destination-ip-host 192.168.0.113
[Device-security-policy-ip-2-portallocalout] action pass
[Device-security-policy-ip-2-portallocalout] quit
# 配置名稱為portallocalin的安全策略規則,使Device可以接收和處理主動來自RADIUS服務器、Portal服務器及安全策略服務器的報文,具體配置步驟如下。
[Device-security-policy-ip] rule name portallocalin
[Device-security-policy-ip-3-portallocalin] source-zone dmz
[Device-security-policy-ip-3-portallocalin] destination-zone local
[Device-security-policy-ip-3-portallocalin] source-ip-host 192.168.0.111
[Device-security-policy-ip-3-portallocalin] source-ip-host 192.168.0.112
[Device-security-policy-ip-3-portallocalin] source-ip-host 192.168.0.113
[Device-security-policy-ip-3-portallocalin] action pass
[Device-security-policy-ip-3-portallocalin] quit
[Device-security-policy-ip] quit
(5) 配置RADIUS方案
# 創建名稱為rs1的RADIUS方案,配置發送給RADIUS服務器的用戶名不攜帶ISP域。
[Device] radius scheme rs1
[Device-radius-rs1] primary authentication 192.168.0.112
[Device-radius-rs1] primary accounting 192.168.0.112
[Device-radius-rs1] key accounting simple radius
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] user-name-format without-domain
(6) 開啟RADIUS session control功能,指定session control客戶端IP地址及共享密鑰。
[Device] radius session-control enable
[Device] radius session-control client ip 192.168.0.113 key simple 12345
(7) 配置認證域
# 創建並進入名稱為dm1的ISP域,配置dm1的ISP域使用的RADIUS方案為rs1,係統缺省ISP域為dm1。
[Device] domain dm1
[Device-isp-dm1] authentication portal radius-scheme rs1
[Device-isp-dm1] authorization portal radius-scheme rs1
[Device-isp-dm1] accounting portal radius-scheme rs1
[Device-isp-dm1] quit
[Device] domain default enable dm1
(8) 配置隔離ACL為3000,安全ACL為3001
安全策略服務器上需要將ACL 3000和ACL 3001分別指定為隔離ACL和安全ACL。
[Device] acl advanced 3000
[Device-acl-ipv4-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255
[Device-acl-ipv4-adv-3000] rule deny ip
[Device-acl-ipv4-adv-3000] quit
[Device] acl advanced 3001
[Device-acl-ipv4-adv-3001] rule permit ip
[Device-acl-ipv4-adv-3001] quit
(9) 配置Portal認證
# 配置Portal認證服務器及Portal web服務器,在接口GigabitEthernet1/0/2上開啟直接方式的Portal認證,並引用Portal web 服務器,設置接口GigabitEthernet1/0/2發送給Portal報文中的BAS-IP屬性值。
[Device] portal server newpt
[Device-portal-server-newpt] ip 192.168.0.111 key simple portal
[Device-portal-server-newpt] port 50100
[Device-portal-server-newpt] quit
[Device] portal web-server newpt
[Device-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[Device-portal-websvr-newpt] quit
[Device] interface gigabitethernet 1/0/2
[Device–GigabitEthernet1/0/2] portal enable method direct
[Device–GigabitEthernet1/0/2] portal apply web-server newpt
[Device–GigabitEthernet1/0/2] portal bas-ip 2.2.2.1
[Device–GigabitEthernet1/0/2] quit
# 以上配置完成後,通過執行以下顯示命令可查看Portal配置是否生效。
[Device] display portal interface gigabitethernet 1/0/2
Portal information of GigabitEthernet1/0/2
NAS-ID profile: Not configured
Authorization : Strict checking
ACL : Disabled
User profile : Disabled
Dual stack : Disabled
Dual traffic-separate: Disabled
Dual IP : Disabled
Advertisement-push : Disabled
Embedded advertisement: Disabled
IPv4:
Portal status: Enabled
Portal authentication method: Direct
Portal Web server: newpt(active)
Secondary portal Web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
Extend-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max portal users: Not configured
Bas-ip: 2.2.2.1
User detection: Not configured
Portal temp-pass: Disabled
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Mask
Destination authenticate subnet:
IP address Mask
Advertisement push: Not configured
IPv6:
Portal status: Disabled
Portal authentication method: Disabled
Portal Web server: Not configured
Secondary portal Web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
Extend-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max portal users: Not configured
Bas-ipv6: Not configured
User detection: Not configured
Portal temp-pass: Disabled
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authenticate subnet:
IP address Prefix length
Advertisement push: Not configured
# 使用iNode客戶端的用戶在通過認證前,隻能訪問認證頁麵http://192.168.0.111:8080/portal,且發起的Web訪問均被重定向到該認證頁麵。通過身份認證但未通過安全認證時,隻能訪問匹配ACL 3000的網絡資源;通過身份認證以及安全認證後,可以訪問匹配ACL 3001的互聯網資源。
# Portal用戶認證通過後,可通過執行以下顯示命令查看Device上生成的Portal在線用戶信息。
[Device] display portal user interface gigabitethernet 1/0/2
Total portal users: 1
Username: abc
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-e9a6-7cfe 2.2.2.2 -- GigabitEthernet1/0/2
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number/name: 3001
Inbound CAR: N/A
Outbound CAR: N/A
Web URL: N/A
· 用戶主機與接入設備Device直接相連,采用二次地址分配方式的Portal認證。用戶通過DHCP服務器獲取IP地址,Portal認證前使用分配的一個私網地址;通過Portal認證後,用戶申請到一個公網地址。
· 用戶在通過身份認證而沒有通過安全認證時可以訪問192.168.0.0/24網段;在通過安全認證後,可以訪問非受限互聯網資源。
· 采用一台Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-15 Portal二次地址分配認證擴展功能配置組網圖
· Portal二次地址分配認證方式應用中,DHCP服務器上需創建公網地址池(20.20.20.0/24)及私網地址池(10.0.0.0/24),具體配置略。
· Portal二次地址分配認證方式應用中,接入設備需要配置DHCP中繼來配合Portal認證,且啟動Portal的接口需要配置主IP地址(公網IP)及從IP地址(私網IP)。關於DHCP中繼的詳細配置請參見“三層技術-IP業務配置指導”中的“DHCP中繼”。
· 請保證在Portal認證服務器上添加的Portal設備的IP地址為與用戶相連的接口的公網IP地址(20.20.20.1),且與該Portal設備關聯的IP地址組中的轉換前地址為用戶所在的私網網段(10.0.0.0/24)、轉換後地址為公網網段(20.20.20.0/24)。
(1) 配置RADIUS服務器和Portal服務器,保證Portal用戶的認證/計費功能正常運行,具體配置步驟略。
(2) 配置接口IP地址。
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.0.100 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(3) 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/1
[Device-security-zone-DMZ] quit
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/2
[Device-security-zone-Trust] quit
(4) 配置安全策略
a. 配置安全策略放行Trust到DMZ安全域的流量。
# 配置名稱為trust-dmz的安全策規則,用於主機Host可以訪問DHCP服務器、Portal服務器及安全策略服務器具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-dmz
[Device-security-policy-ip-1-trust-dmz] source-zone trust
[Device-security-policy-ip-1-trust-dmz] destination-zone dmz
[Device-security-policy-ip-1-trust-dmz] destination-ip-host 192.168.0.111
[Device-security-policy-ip-1-trust-dmz] destination-ip-host 192.168.0.112
[Device-security-policy-ip-1-trust-dmz] destination-ip-host 192.168.0.114
[Device-security-policy-ip-1-trust-dmz] action pass
[Device-security-policy-ip-1-trust-dmz] quit
b. 配置安全策略放行DMZ與Local安全域之間的流量,用於設備Device與RADIUS服務器、Portal服務器、DHCP服務器及安全策略服務器之間的報文交互。
# 配置名稱為portallocalout1的安全策規則,使Device可以向RADIUS服務器、Portal服務器、DHCP服務器及安全策略服務器發送報文,具體配置步驟如下。
[Device-security-policy-ip] rule name portallocalout1
[Device-security-policy-ip-2-portallocalout1] source-zone local
[Device-security-policy-ip-2-portallocalout1] destination-zone dmz
[Device-security-policy-ip-2-portallocalout1] destination-ip-host 192.168.0.111
[Device-security-policy-ip-2-portallocalout1] destination-ip-host 192.168.0.112
[Device-security-policy-ip-2-portallocalout1] destination-ip-host 192.168.0.113
[Device-security-policy-ip-2-portallocalout1] destination-ip-host 192.168.0.114
[Device-security-policy-ip-2-portallocalout1] action pass
[Device-security-policy-ip-2-portallocalout1] quit
# 配置名稱為portallocalin1的安全策略規則,使Device可以接收和處理來自RADIUS服務器、Portal服務器、DHCP服務器及安全策略服務器的報文,具體配置步驟如下。
[Device-security-policy-ip] rule name portallocalin1
[Device-security-policy-ip-3-portallocalin1] source-zone dmz
[Device-security-policy-ip-3-portallocalin1] destination-zone local
[Device-security-policy-ip-3-portallocalin1] source-ip-host 192.168.0.111
[Device-security-policy-ip-3-portallocalin1] source-ip-host 192.168.0.112
[Device-security-policy-ip-3-portallocalin1] source-ip-host 192.168.0.113
[Device-security-policy-ip-3-portallocalin1] source-ip-host 192.168.0.114
[Device-security-policy-ip-3-portallocalin1] action pass
[Device-security-policy-ip-3-portallocalin1] quit
c. 配置安全策略放行Trust與Local安全域之間的流量,用於主機Host可以從設備Device獲取IP地址。
# 配置名稱為portallocalin2的安全策規則,使用戶Host可以向設備Device發送DHCP請求報文,具體配置步驟如下。
[Device-security-policy-ip] rule name portallocalin2
[Device-security-policy-ip-4-portallocalin2] source-zone trust
[Device-security-policy-ip-4-portallocalin2] service dhcp-relay
[Device-security-policy-ip-4-portallocalin2] destination-zone local
[Device-security-policy-ip-4-portallocalin2] action pass
[Device-security-policy-ip-4-portallocalin2] quit
# 配置名稱為portallocalout2的安全策略規則,使用戶Host可以接收DHCP服務器分配的地址,具體配置步驟如下。
[Device-security-policy-ip] rule name portallocalout2
[Device-security-policy-ip-5-portallocalout2] source-zone local
[Device-security-policy-ip-4-portallocalout2] service dhcp-client
[Device-security-policy-ip-5-portallocalout2] destination-zone trust
[Device-security-policy-ip-5-portallocalout2] action pass
[Device-security-policy-ip-5-portallocalout2] quit
[Device-security-policy-ip] quit
(5) 配置RADIUS方案
# 創建名稱為rs1的RADIUS方案,配置發送給RADIUS服務器的用戶名不攜帶ISP域。
[Device] radius scheme rs1
[Device-radius-rs1] primary authentication 192.168.0.113
[Device-radius-rs1] primary accounting 192.168.0.113
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
[Device-radius-rs1] user-name-format without-domain
(6) 開啟RADIUS session control功能,指定session control客戶端IP地址及共享密鑰。
[Device] radius session-control enable
[Device] radius session-control client ip 192.168.0.114 key simple 12345
(7) 配置認證域
# 創建名稱為dm1的ISP域,配置dm1的ISP域使用的RADIUS方案為rs1,係統缺省的ISP域為dm1。
[Device] domain dm1
[Device-isp-dm1] authentication portal radius-scheme rs1
[Device-isp-dm1] authorization portal radius-scheme rs1
[Device-isp-dm1] accounting portal radius-scheme rs1
[Device-isp-dm1] quit
[Device] domain default enable dm1
(8) 配置隔離ACL為3000,安全ACL為3001
安全策略服務器上需要將ACL 3000和ACL 3001分別指定為隔離ACL和安全ACL。
[Device] acl advanced 3000
[Device-acl-ipv4-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255
[Device-acl-ipv4-adv-3000] rule deny ip
[Device-acl-ipv4-adv-3000] quit
[Device] acl advanced 3001
[Device-acl-ipv4-adv-3001] rule permit ip
[Device-acl-ipv4-adv-3001] quit
(9) 配置DHCP中繼並開啟授權ARP功能
[Device] dhcp enable
[Device] dhcp relay client-information record
[Device] interface gigabitethernet 1/0/2
[Device–GigabitEthernet1/0/2] ip address 20.20.20.1 255.255.255.0
[Device–GigabitEthernet1/0/2] ip address 10.0.0.1 255.255.255.0 sub
[Device-GigabitEthernet1/0/2] dhcp select relay
[Device-GigabitEthernet1/0/2] dhcp relay server-address 192.168.0.112
[Device-GigabitEthernet1/0/2] arp authorized enable
[Device-GigabitEthernet1/0/2] quit
(10) 配置Portal認證
# 配置Portal認證服務器及Portal web服務器,在接口GigabitEthernet1/0/2上開啟二次地址認證方式的Portal認證,並引用Portal web 服務器,設置接口GigabitEthernet1/0/2發送給Portal報文中的BAS-IP屬性值。
[Device] portal server newpt
[Device-portal-server-newpt] ip 192.168.0.111 key simple portal
[Device-portal-server-newpt] port 50100
[Device-portal-server-newpt] quit
[Device] portal web-server newpt
[Device-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[Device-portal-websvr-newpt] quit
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] portal enable method redhcp
[Device–GigabitEthernet1/0/2] portal apply web-server newpt
[Device–GigabitEthernet1/0/2] portal bas-ip 20.20.20.1
[Device–GigabitEthernet1/0/2] quit
# 以上配置完成後,通過執行以下顯示命令可查看Portal配置是否生效。
[Device] display portal interface gigabitethernet 1/0/2
Portal information of GigabitEthernet1/0/2
NAS-ID profile: Not configured
Authorization : Strict checking
ACL : Disabled
User profile : Disabled
Dual stack : Disabled
Dual traffic-separate: Disabled
Dual IP : Disabled
Advertisement-push : Disabled
Embedded advertisement: Disabled
IPv4:
Portal status: Enabled
Portal authentication method: Redhcp
Portal Web server: newpt(active)
Secondary portal Web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
Extend-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max portal users: Not configured
Bas-ip: 20.20.20.1
User detection: Not configured
Portal temp-pass: Disabled
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Mask
Destination authenticate subnet:
IP address Mask
Advertisement push: Not configured
IPv6:
Portal status: Disabled
Portal authentication method: Disabled
Portal Web server: Not configured
Secondary portal Web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
Extend-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max portal users: Not configured
Bas-ipv6: Not configured
User detection: Not configured
Portal temp-pass: Disabled
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authenticate subnet:
IP address Prefix length
Advertisement push: Not configured
# 使用iNode客戶端的用戶在通過認證前,隻能訪問認證頁麵http://192.168.0.111:8080/portal,且發起的Web訪問均被重定向到該認證頁麵。通過身份認證但未通過安全認證時,隻能訪問匹配ACL 3000的網絡資源;通過身份認證以及安全認證後,可以訪問匹配ACL 3001的互聯網資源。
# Portal用戶認證通過後,可通過執行以下顯示命令查看Device上生成的Portal在線用戶信息。
[Device] display portal user interface gigabitethernet 1/0/2
Total portal users: 1
Username: abc
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-e9a6-7cfe 20.20.20.2 -- GigabitEthernet1/0/2
Authorization information:
DHCP IP pool: N/A
ACL number/name: 3001
User profile: N/A
Session group profile: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Web URL: N/A
Device A支持Portal認證功能。用戶Host通過Device B接入到Device A。
· 配置Device A采用可跨三層Portal認證。用戶在通過身份認證而沒有通過安全認證時可以訪問192.168.0.0/24網段;在通過安全認證後,可以訪問非受限互聯網資源。
· 采用一台Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-16 可跨三層Portal認證擴展功能配置組網圖
請保證在Portal認證服務器上添加的Portal設備的IP地址為與用戶相連的接口IP地址(20.20.20.1),且與該Portal設備關聯的IP地址組為用戶所在網段(8.8.8.0/24)。
(1) 配置RADIUS服務器和Portal服務器,保證Portal用戶的認證/計費功能正常運行,具體配置步驟略。
(2) 配置接口IP地址。
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip address 192.168.0.100 255.255.255.0
[DeviceA-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(3) 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name dmz
[DeviceA-security-zone-DMZ] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-DMZ] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Trust] quit
(4) 配置靜態路由。
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由。本舉例中設備DeviceA到達用戶Host的下一跳為Device B,實際使用中請以具體組網情況為準,具體配置步驟如下。
[DeviceA] ip route-static 8.8.8.0 24 20.20.20.2
(5) 配置安全策略
a. 配置安全策略放行Trust到DMZ安全域的流量。
# 配置名稱為trust-dmz的安全策規則,用於主機Host可以訪問RADIUS服務器、Portal服務器及安全策略服務器,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name trust-dmz
[DeviceA-security-policy-ip-1-trust-dmz] source-zone trust
[DeviceA-security-policy-ip-1-trust-dmz] destination-zone dmz
[DeviceA-security-policy-ip-1-trust-dmz] source-ip-host 8.8.8.2
[DeviceA-security-policy-ip-1-trust-dmz] destination-ip-host 192.168.0.111
[DeviceA-security-policy-ip-1-trust-dmz] destination-ip-host 192.168.0.112
[DeviceA-security-policy-ip-1-trust-dmz] destination-ip-host 192.168.0.113
[DeviceA-security-policy-ip-1-trust-dmz] action pass
[DeviceA-security-policy-ip-1-trust-dmz] quit
b. 配置安全策略放行DMZ與Local安全域之間的流量,用於設備Device A與RADIUS服務器及Portal服務器之間的報文交互。
# 配置名稱為portallocalout的安全策規則,使Device A可以向RADIUS服務器、Porta服務器及安全策略服務器發送報文,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name portallocalout
[DeviceA-security-policy-ip-2-portallocalout] source-zone local
[DeviceA-security-policy-ip-2-portallocalout] destination-zone dmz
[DeviceA-security-policy-ip-2-portallocalout] destination-ip-host 192.168.0.111
[DeviceA-security-policy-ip-2-portallocalout] destination-ip-host 192.168.0.112
[DeviceA-security-policy-ip-2-portallocalout] destination-ip-host 192.168.0.113
[DeviceA-security-policy-ip-2-portallocalout] action pass
[DeviceA-security-policy-ip-2-portallocalout] quit
# 配置名稱為portallocalin的安全策略規則,使Device A可以接收和處理來自RADIUS服務器、Portal服務器及安全策略服務器的報文,具體配置步驟如下。
[DeviceA-security-policy-ip] rule name portallocalin
[DeviceA-security-policy-ip-3-portallocalin] source-zone dmz
[DeviceA-security-policy-ip-3-portallocalin] destination-zone local
[DeviceA-security-policy-ip-3-portallocalin] source-ip-host 192.168.0.111
[DeviceA-security-policy-ip-3-portallocalin] source-ip-host 192.168.0.112
[DeviceA-security-policy-ip-3-portallocalin] source-ip-host 192.168.0.113
[DeviceA-security-policy-ip-3-portallocalin] action pass
[DeviceA-security-policy-ip-3-portallocalin] quit
[Device-security-policy-ip] quit
(6) 配置RADIUS方案
# 創建名稱為rs1的RADIUS方案,配置發送給RADIUS服務器的用戶名不攜帶ISP域。
[DeviceA] radius scheme rs1
[DeviceA-radius-rs1] primary authentication 192.168.0.112
[DeviceA-radius-rs1] primary accounting 192.168.0.112
[DeviceA-radius-rs1] key authentication simple radius
[DeviceA-radius-rs1] key accounting simple radius
[DeviceA-radius-rs1] user-name-format without-domain
(7) 開啟RADIUS session control功能,指定session control客戶端IP地址及共享密鑰。
[DeviceA] radius session-control enable
[DeviceA] radius session-control client ip 192.168.0.113 key simple 12345
(8) 配置認證域
# 創建名稱為dm1的ISP域,配置dm1的ISP域使用的RADIUS方案為rs1,係統缺省的ISP域為dm1。
[DeviceA] domain dm1
[DeviceA-isp-dm1] authentication portal radius-scheme rs1
[DeviceA-isp-dm1] authorization portal radius-scheme rs1
[DeviceA-isp-dm1] accounting portal radius-scheme rs1
[DeviceA-isp-dm1] quit
[DeviceA] domain default enable dm1
(9) 配置隔離ACL為3000,安全ACL為3001
安全策略服務器上需要將ACL 3000和ACL 3001分別指定為隔離ACL和安全ACL。
[DeviceA] acl advanced 3000
[DeviceA-acl-ipv4-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255
[DeviceA-acl-ipv4-adv-3000] rule deny ip
[DeviceA-acl-ipv4-adv-3000] quit
[DeviceA] acl advanced 3001
[DeviceA-acl-ipv4-adv-3001] rule permit ip
[DeviceA-acl-ipv4-adv-3001] quit
(10) 配置Portal認證
# 配置Portal認證服務器及Portal web服務器,在接口GigabitEthernet1/0/2上開啟可跨三層方式的Portal認證,並引用Portal web 服務器,設置接口GigabitEthernet1/0/2發送給Portal報文中的BAS-IP屬性值。
[DeviceA] portal server newpt
[DeviceA-portal-server-newpt] ip 192.168.0.111 key simple portal
[DeviceA-portal-server-newpt] port 50100
[DeviceA-portal-server-newpt] quit
[Device] portal web-server newpt
[DeviceA-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[DeviceA-portal-websvr-newpt] quit
[DeviceA] interface gigabitethernet 1/0/2
[DeviceA–GigabitEthernet1/0/2] portal enable method layer3
[DeviceA–GigabitEthernet1/0/2] portal apply web-server newpt
[DeviceA–GigabitEthernet1/0/2] portal bas-ip 20.20.20.1
[DeviceA–GigabitEthernet1/0/2] quit
# 以上配置完成後,通過執行以下顯示命令可查看Portal配置是否生效。
[DeviceA] display portal interface gigabitethernet 1/0/2
Portal information of GigabitEthernet1/0/2
NAS-ID profile: Not configured
Authorization : Strict checking
ACL : Disabled
User profile : Disabled
Dual stack : Disabled
Dual traffic-separate: Disabled
Dual IP : Disabled
Advertisement-push : Disabled
Embedded advertisement: Disabled
IPv4:
Portal status: Enabled
Portal authentication method: Layer3
Portal Web server: newpt(active)
Secondary portal Web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
Extend-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max portal users: Not configured
Bas-ip: 20.20.20.1
User detection: Not configured
Portal temp-pass: Disabled
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Mask
Destination authenticate subnet:
IP address Mask
Advertisement push: Not configured
IPv6:
Portal status: Disabled
Portal authentication method: Disabled
Portal Web server: Not configured
Secondary portal Web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
Extend-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max portal users: Not configured
Bas-ipv6: Not configured
User detection: Not configured
Portal temp-pass: Disabled
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authenticate subnet:
IP address Prefix length
Advertisement push: Not configured
# 使用iNode客戶端的用戶在通過認證前,隻能訪問認證頁麵http://192.168.0.111:8080/portal,且發起的Web訪問均被重定向到該認證頁麵。通過身份認證但未通過安全認證時,隻能訪問匹配ACL 3000的網絡資源;通過身份認證以及安全認證後,可以訪問匹配ACL 3001的互聯網資源。
# Portal用戶認證通過後,可通過執行以下顯示命令查看Device A上生成的Portal在線用戶信息。
[DeviceA] display portal user interface gigabitethernet 1/0/2
Total portal users: 1
Username: abc
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-e9a6-7cfe 8.8.8.2 -- GigabitEthernet1/0/2
Authorization information:
DHCP IP pool: N/A
ACL number/name: 3001
User profile: N/A
Session group profile: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Web URL: N/A
用戶主機與接入設備Device直接相連,通過Portal認證接入網絡。具體要求如下:
· 用戶通過手工配置或DHCP獲取的一個公網IP地址進行認證,在通過Portal認證前,隻能訪問Portal認證服務器;在通過Portal認證後,可以使用此IP地址訪問非受限的互聯網資源。
· 接入設備能夠探測到Portal認證服務器是否可達,並輸出可達狀態變化的日誌信息,在服務器不可達時(例如,網絡連接中斷、網絡設備故障或服務器無法正常提供服務等情況),取消Portal認證,使得用戶仍然可以正常訪問網絡。
· 接入設備能夠與服務器定期進行用戶信息的同步。
· 采用一台iMC服務器同時承擔Portal認證服務器和Portal Web服務器的職責,iMC版本為:iMC PLAT 7.1(E0303)、iMC EIA 7.1(E0304)。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-17 Portal認證服務器探測和用戶同步信息功能配置組網圖
完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行,具體配置步驟略。
(1) 配置Portal認證服務器。
登錄進入iMC管理平台,選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > 服務器配置”菜單項,進入服務器配置頁麵。
¡ 根據實際組網情況調整以下參數,本例中使用缺省配置。
圖1-18 Portal認證服務器配置頁麵
(2) 配置IP地址組。
選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > IP地址組配置”菜單項,進入IP地址組配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加IP地址組頁麵。
a. 輸入IP地址組名;
b. 輸入起始地址和終止地址。用戶主機IP地址必須包含在該IP地址組範圍內;
c. 選擇業務分組,本例中使用缺省的“未分組”;
d. 選擇IP地址組的類型為“普通”。
e. 單擊<確定>按鈕完成操作。
圖1-19 增加IP地址組頁麵
(3) 增加Portal設備。
選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > 設備配置”菜單項,進入設備配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加設備信息頁麵。
a. 輸入設備名;
b. 指定IP地址為與接入用戶相連的設備接口IP;
c. 選擇支持逃生心跳為“是”。
d. 選擇支持用戶心跳為“是”。
e. 輸入密鑰,與接入設備Device上的配置保持一致;
f. 選擇組網方式為“直連”;
g. 其它參數采用缺省值;
h. 單擊<確定>按鈕完成操作。
圖1-20 增加設備信息頁麵
(4) 設備關聯IP地址組。
在設備配置頁麵中的設備信息列表中,點擊NAS設備的<端口組信息管理>鏈接,進入端口組信息配置頁麵。
圖1-21 設備信息列表
在端口組信息配置頁麵中點擊<增加>按鈕,進入增加端口組信息配置頁麵。
a. 輸入端口組名;
b. 選擇IP地址組,用戶接入網絡時使用的IP地址必須屬於所選的IP地址組;
c. 其它參數采用缺省值;
d. 單擊<確定>按鈕完成操作。
圖1-22 增加端口組信息頁麵
(1) 配置接口IP地址。
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.0.100 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/1
[Device-security-zone-DMZ] quit
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/2
[Device-security-zone-Trust] quit
(3) 配置安全策略
a. 配置安全策略放行Trust到DMZ安全域的流量。
# 配置名稱為trust-dmz的安全策規則,用於主機Host可以訪問Portal服務器,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-dmz
[Device-security-policy-ip-1-trust-dmz] source-zone trust
[Device-security-policy-ip-1-trust-dmz] destination-zone dmz
[Device-security-policy-ip-1-trust-dmz] source-ip-host 2.2.2.2
[Device-security-policy-ip-1-trust-dmz] destination-ip-host 192.168.0.111
[Device-security-policy-ip-1-trust-dmz] action pass
[Device-security-policy-ip-1-trust-dmz] quit
b. 配置安全策略放行DMZ與Local安全域之間的流量,用於設備Device與RADIUS服務器及Portal服務器之間的報文交互。
# 配置名稱為portallocalout的安全策規則,使Device可以向RADIUS服務器及Portal發送報文,具體配置步驟如下。
[Device-security-policy-ip] rule name portallocalout
[Device-security-policy-ip-2-portallocalout] source-zone local
[Device-security-policy-ip-2-portallocalout] destination-zone dmz
[Device-security-policy-ip-2-portallocalout] destination-ip-host 192.168.0.111
[Device-security-policy-ip-2-portallocalout] destination-ip-host 192.168.0.112
[Device-security-policy-ip-2-portallocalout] action pass
[Device-security-policy-ip-2-portallocalout] quit
# 配置名稱為portallocalin的安全策略規則,使Device可以接收和處理來自RADIUS服務器及Portal服務器的報文,具體配置步驟如下。
[Device-security-policy-ip] rule name portallocalin
[Device-security-policy-ip-3-portallocalin] source-zone dmz
[Device-security-policy-ip-3-portallocalin] destination-zone local
[Device-security-policy-ip-3-portallocalin] source-ip-host 192.168.0.111
[Device-security-policy-ip-3-portallocalin] source-ip-host 192.168.0.112
[Device-security-policy-ip-3-portallocalin] action pass
[Device-security-policy-ip-3-portallocalin] quit
[Device-security-policy-ip] quit
(4) 配置RADIUS方案
# 創建名稱為rs1的RADIUS方案,配置發送給RADIUS服務器的用戶名不攜帶ISP域名並開啟RADIUS session control功能。
[Device] radius scheme rs1
[Device-radius-rs1] primary authentication 192.168.0.112
[Device-radius-rs1] primary accounting 192.168.0.112
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
# 開啟RADIUS session control功能。
[Device] radius session-control enable
(5) 配置認證域
# 創建名稱為dm1的ISP域,配置dm1的ISP域使用的RADIUS方案為rs1,係統缺省的ISP域為dm1。
[Device] domain dm1
[Device-isp-dm1] authentication portal radius-scheme rs1
[Device-isp-dm1] authorization portal radius-scheme rs1
[Device-isp-dm1] accounting portal radius-scheme rs1
[Device-isp-dm1] quit
[Device] domain default enable dm1
(6) 配置Portal認證
# 配置Portal認證服務器, 配置對Portal認證服務器的每次探測間隔為40秒,若服務器可達,則發送日誌信息。
[Device] portal server newpt
[Device-portal-server-newpt] ip 192.168.0.111 key simple portal
[Device-portal-server-newpt] port 50100
[Device-portal-server-newpt] server-detect timeout 40 log
此處timeout取值應該大於等於Portal認證服務器的逃生心跳間隔時長。
# 配置對Portal認證服務器newpt的Portal用戶信息同步功能,檢測用戶同步報文的時間間隔為600秒,如果設備中的某用戶信息在600秒內未在該Portal認證服務器發送的同步報文中出現,設備將強製該用戶下線。
[Device-portal-server-newpt] user-sync timeout 600
[Device-portal-server-newpt] quit
此處timeout取值應該大於等於Portal認證服務器上的用戶心跳間隔時長。
# 配置Portal web服務器,在接口GigabitEthernet1/0/2上開啟直接方式的Portal認證及Portal認證服務器newpt不可達時的Portal用戶逃生功能,並引用Portal web服務器。設置接口GigabitEthernet1/0/2發送給Portal報文中的BAS-IP屬性值。
[Device] portal web-server newpt
[Device-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[Device-portal-websvr-newpt] quit
[Device] interface gigabitethernet 1/0/2
[Device–GigabitEthernet1/0/2] portal enable method direct
[Device–GigabitEthernet1/0/2] portal fail-permit server newpt
[Device–GigabitEthernet1/0/2] portal apply web-server newpt
[Device–GigabitEthernet1/0/2] portal bas-ip 2.2.2.1
[Device–GigabitEthernet1/0/2] quit
# 以上配置完成後,可以通過執行以下命令查看到Portal認證服務器的狀態為Up,說明當前Portal認證服務器可達。
[Device] display portal server newpt
Portal server: newpt
Type : IMC
IP : 192.168.0.111
VPN instance : Not configured
Port : 50100
Server Detection : Timeout 40s Action: log
User synchronization : Timeout 600s
Status : Up
Exclude-attribute : Not configured
Logout notification : Not configured
之後,若接入設備探測到Portal認證服務器不可達了,可通過以上顯示命令查看到Portal認證服務器的狀態為Down,同時,設備會輸出表示服務器不可達的日誌信息“Portal server newpt turns down from up.”,並取消對該接口接入的用戶的Portal認證,使得用戶可以直接訪問外部網絡。
· 用戶主機與接入設備Device直接相連,采用直接方式的Portal認證。由Device作為DHCP服務器為用戶分配IP地址。用戶通過DHCP獲取的一個公網IP地址進行認證,在沒有通過身份認證時僅可以訪問192.168.0.0/24網段;在通過認證後,可以使用此IP地址訪問非受限互聯網資源。
· 采用一台Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-23 Portal直接認證支持認證前域配置組網圖
(1) 配置RADIUS服務器和Portal服務器,保證Portal用戶的認證/計費功能正常運行,具體配置步驟略。
(2) 配置接口IP地址。
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.0.100 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(3) 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/1
[Device-security-zone-DMZ] quit
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/2
[Device-security-zone-Trust] quit
(4) 配置安全策略
a. 配置安全策略放下Trust到Local安全域的流量。
# 配置名稱為portallocalin1的安全策規則,用於主機Host可以向設備Device發送DHCP地址請求報文,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name portallocalin1
[Device-security-policy-ip-1-portallocalin1] source-zone trust
[Device-security-policy-ip-1-portallocalin1] service dhcp-server
[Device-security-policy-ip-1-portallocalin1] destination-zone local
[Device-security-policy-ip-1-portallocalin1] action pass
[Device-security-policy-ip-1-portallocalin1] quit
# 配置名稱為portallocalout1的安全策規則,用於設備Device向用戶Host發送DHCP地址響應報文,具體配置步驟如下。
[Device-security-policy-ip] rule name portallocalout1
[Device-security-policy-ip-2-portallocalout1] source-zone local
[Device-security-policy-ip-2-portallocalout1] service dhcp-client
[Device-security-policy-ip-2-portallocalout1] destination-zone trust
[Device-security-policy-ip-2-portallocalout1] action pass
[Device-security-policy-ip-2-portallocalout1] quit
b. 配置安全策略放行Trust到DMZ安全域的流量。
# 配置名稱為trust-dmz的安全策規則,用於主機Host可以訪問Portal服務器,具體配置步驟如下。
[Device-security-policy-ip] rule name trust-dmz
[Device-security-policy-ip-3-trust-dmz] source-zone trust
[Device-security-policy-ip-3-trust-dmz] destination-zone dmz
[Device-security-policy-ip-3-trust-dmz] source-ip-subnet 2.2.2.0 24
[Device-security-policy-ip-3-trust-dmz] destination-ip-host 192.168.0.111
[Device-security-policy-ip-3-trust-dmz] action pass
[Device-security-policy-ip-3-trust-dmz] quit
c. 配置安全策略放行DMZ與Local安全域之間的流量,用於設備Device與RADIUS服務器及Portal服務器之間的報文交互。
# 配置名稱為portallocalout2的安全策規則,使Device可以向RADIUS服務器及Portal發送報文,具體配置步驟如下。
[Device-security-policy-ip] rule name portallocalout2
[Device-security-policy-ip-4-portallocalout2] source-zone local
[Device-security-policy-ip-4-portallocalout2] destination-zone dmz
[Device-security-policy-ip-4-portallocalout2] destination-ip-host 192.168.0.111
[Device-security-policy-ip-4-portallocalout2] destination-ip-host 192.168.0.112
[Device-security-policy-ip-4-portallocalout2] action pass
[Device-security-policy-ip-4-portallocalout2] quit
# 配置名稱為portallocalin2的安全策略規則,使Device可以接收和處理來自RADIUS服務器及Portal服務器的報文,具體配置步驟如下。
[Device-security-policy-ip] rule name portallocalin2
[Device-security-policy-ip-5-portallocalin2] source-zone dmz
[Device-security-policy-ip-5-portallocalin2] destination-zone local
[Device-security-policy-ip-5-portallocalin2] source-ip-host 192.168.0.111
[Device-security-policy-ip-5-portallocalin2] source-ip-host 192.168.0.112
[Device-security-policy-ip-5-portallocalin2] action pass
[Device-security-policy-ip-5-portallocalin2] quit
[Device-security-policy-ip] quit
(5) 配置為認證前用戶分配IP地址的地址池,配置接口GigabitEthernet1/0/2工作在DHCP服務器模式。
[Device] dhcp server ip-pool pre
[Device-dhcp-pool-pre] gateway-list 2.2.2.1
[Device-dhcp-pool-pre] network 2.2.2.0 24
[Device-dhcp-pool-pre] quit
[Device] interface gigabitethernet 1/0/2
[Device–GigabitEthernet1/0/2] dhcp select server
[Device–GigabitEthernet1/0/2] quit
(6) 配置Portal用戶認證前使用的認證域
# 配置Portal用戶認證前使用的認證域為abc,設置該認證域中授權ACL為3010。配置ACL3010,允許192.168.0.0/24網段的報文通過。在接口GigabitEthernet1/0/2上配置Portal用戶認證前使用的認證域為abc。
[Device] domain abc
[Device-isp-abc] authorization-attribute acl 3010
[Device-isp-abc] quit
[Device] acl advanced 3010
[Device-acl-ipv4-adv-3010] rule 1 permit ip destination 192.168.0.0 0.0.0.255
[Device-acl-ipv4-adv-3010] quit
[Device] interface gigabitethernet 1/0/2
[Device–GigabitEthernet1/0/2] portal pre-auth domain abc
[Device–GigabitEthernet1/0/2] quit
(7) 配置Portal認證
# 配置Portal 認證服務器及Portal web服務器,在接口GigabitEthernet1/0/2上開啟直接方式的Portal認證,並引用Portal web 服務器。設置接口GigabitEthernet1/0/2發送給Portal報文中的BAS-IP屬性值。
[Device] portal server newpt
[Device-portal-server-newpt] ip 192.168.0.111 key simple portal
[Device-portal-server-newpt] port 50100
[Device-portal-server-newpt] quit
[Device] portal web-server newpt
[Device-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[Device-portal-websvr-newpt] quit
[Device] interface gigabitethernet 1/0/2
[Device–GigabitEthernet1/0/2] portal enable method direct
[Device–GigabitEthernet1/0/2] portal apply web-server newpt
[Device–GigabitEthernet1/0/2] portal bas-ip 2.2.2.1
[Device–GigabitEthernet1/0/2] quit
# 以上配置完成後,通過執行命令display portal interface可查看Portal配置是否生效。Portal用戶在通過Portal認證前,受認證前域中配置的授權信息限製,隻能訪問192.168.0.0/24網段,對其餘網段的Web訪問均被重定向到Portal認證頁麵。通過Portal認證後,則可訪問未受限的互聯網資源。Portal用戶下線後,Device上會重新生成認證前用戶。
# 可通過執行以下顯示命令查看Device上生成的Portal認證前用戶信息。
[Device] display portal user pre-auth interface gigabitethernet 1/0/2
Total portal pre-auth users: 1
MAC IP VLAN Interface
0015-e9a6-7cfe 2.2.2.4 -- GigabitEthernet1/0/2
State: Online
VPN instance: N/A
Authorization information:
DHCP IP pool: N/A
ACL number/name: 3010
User profile: N/A
Session group profile: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Web URL: N/A
· 用戶主機與接入設備Device直接相連,采用二次地址分配方式的Portal認證。用戶通過DHCP服務器獲取IP地址,Portal認證前使用分配的一個私網地址;通過Portal認證後,用戶申請到一個公網地址。
· 用戶在沒有通過身份認證時僅可以訪問192.168.0.0/24網段;在通過認證後,可以使用分配的公網地址訪問非受限互聯網資源。
· 采用一台Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-24 Portal二次地址分配認證支持認證前域配置組網圖
· Portal二次地址分配認證方式應用中,DHCP服務器上需創建公網地址池(20.20.20.0/24)及私網地址池(10.0.0.0/24),具體配置略。
· Portal二次地址分配認證方式應用中,接入設備需要配置DHCP中繼來配合Portal認證,且啟動Portal的接口需要配置主IP地址(公網IP)及從IP地址(私網IP)。關於DHCP中繼的詳細配置請參見“三層技術-IP業務配置指導”中的“DHCP中繼”。
· 請保證在Portal認證服務器上添加的Portal設備的IP地址為與用戶相連的接口的公網IP地址(20.20.20.1),且與該Portal設備關聯的IP地址組中的轉換前地址為用戶所在的私網網段(10.0.0.0/24)、轉換後地址為公網網段(20.20.20.0/24)。
· 如果開啟Portal的接口上配置了認證前用戶使用的IP地址池,為保證DHCP服務器可以為用戶分配到私網網段地址,需要在接入設備上配置同名的中繼地址池,該地址池下必須指定私網用戶所在的網段地址,以及該地址池對應的DHCP服務器地址。其中,指定私網用戶所在的網段地址時,必須指定export-route參數。
(1) 配置RADIUS服務器和Portal服務器,保證Portal用戶的認證/計費功能正常運行,具體配置步驟略。
(2) 配置接口IP地址。
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.0.100 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(3) 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/1
[Device-security-zone-DMZ] quit
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/2
[Device-security-zone-Trust] quit
(4) 配置安全策略
a. 配置安全策略放下Trust到Local安全域的流量。
# 配置名稱為portallocalin1的安全策規則,用於主機Host可以向設備Device發送DHCP請求報文,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name portallocalin1
[Device-security-policy-ip-1-portallocalin1] source-zone trust
[Device-security-policy-ip-1-portallocalin1] service dhcp-relay
[Device-security-policy-ip-1-portallocalin1] destination-zone local
[Device-security-policy-ip-1-trust-local] action pass
[Device-security-policy-ip-1-trust-local] quit
# 配置名稱為portallocalout1的安全策規則,用於設備Device向設備Device發送DHCP響應報文,具體配置步驟如下。
[Device-security-policy-ip] rule name portallocalout1
[Device-security-policy-ip-2-portallocalout1] source-zone local
[Device-security-policy-ip-2-portallocalout1] service dhcp-client
[Device-security-policy-ip-2-portallocalout1] destination-zone trust
[Device-security-policy-ip-2-portallocalout1] action pass
[Device-security-policy-ip-2-portallocalout1] quit
b. 配置安全策略放行DMZ與Local安全域之間的流量,用於設備Device與RADIUS服務器、Portal服務器及DHCP服務器之間的報文交互。
# 配置名稱為portallocalout2的安全策規則,使Device可以向RADIUS服務、Portal服務器及DHCP服務器發送報文,具體配置步驟如下。
[Device-security-policy-ip] rule name portallocalout2
[Device-security-policy-ip-3-portallocalout2] source-zone local
[Device-security-policy-ip-3-portallocalout2] destination-zone dmz
[Device-security-policy-ip-3-portallocalout2] destination-ip-host 192.168.0.111
[Device-security-policy-ip-3-portallocalout2] destination-ip-host 192.168.0.112
[Device-security-policy-ip-3-portallocalout2] destination-ip-host 192.168.0.113
[Device-security-policy-ip-3-portallocalout2] action pass
[Device-security-policy-ip-3-portallocalout2] quit
# 配置名稱為portallocalin2的安全策略規則,使Device可以接收和處理來自RADIUS服務器、Portal服務器及DHCP服務器的報文,具體配置步驟如下。
[Device-security-policy-ip] rule name portallocalin2
[Device-security-policy-ip-4-portallocalin2] source-zone dmz
[Device-security-policy-ip-4-portallocalin2] destination-zone local
[Device-security-policy-ip-4-portallocalin2] source-ip-host 192.168.0.111
[Device-security-policy-ip-4-portallocalin2] source-ip-host 192.168.0.112
[Device-security-policy-ip-4-portallocalin2] source-ip-host 192.168.0.113
[Device-security-policy-ip-4-portallocalin2] action pass
[Device-security-policy-ip-4-portallocalin2] quit
c. 配置安全策略放行Trust到DMZ安全域的流量。
# 配置名稱為trust-dmz的安全策規則,用於主機Host可以訪問Portal服務器具體配置步驟如下。
[Device-security-policy-ip] rule name trust-dmz
[Device-security-policy-ip-5-trust-dmz] source-zone trust
[Device-security-policy-ip-5-trust-dmz] destination-zone dmz
[Device-security-policy-ip-5-trust-dmz] destination-ip-host 192.168.0.111
[Device-security-policy-ip-5-trust-dmz] action pass
[Device-security-policy-ip-5-trust-dmz] quit
[Device-security-policy-ip] quit
(5) 配置Portal用戶認證前使用的認證域
# 配置Portal用戶認證前使用的認證域為abc,設置該認證域中授權ACL為3010。配置ACL3010,允許192.168.0.0/24網段的報文通過。在接口GigabitEthernet1/0/2上配置Portal用戶認證前使用的認證域為abc。
[Device] domain abc
[Device-isp-abc] authorization-attribute acl 3010
[Device-isp-abc] quit
[Device] acl advanced 3010
[Device-acl-ipv4-adv-3010] rule 1 permit ip destination 192.168.0.0 0.0.0.255
[Device-acl-ipv4-adv-3010] quit
[Device] interface gigabitethernet 1/0/2
[Device–GigabitEthernet1/0/2] portal pre-auth domain abc
[Device–GigabitEthernet1/0/2] quit
(6) 配置DHCP中繼和授權ARP,使用戶Host能夠從DHCP服務器獲得IP地址。
[Device] dhcp enable
[Device] dhcp relay client-information record
[Device] interface gigabitethernet 1/0/2
[Device–GigabitEthernet1/0/2] ip address 20.20.20.1 255.255.255.0
[Device–GigabitEthernet1/0/2] ip address 10.0.0.1 255.255.255.0 sub
[Device-GigabitEthernet1/0/2] dhcp select relay
[Device-GigabitEthernet1/0/2] dhcp relay server-address 192.168.0.112
[Device-GigabitEthernet1/0/2] arp authorized enable
[Device-GigabitEthernet1/0/2] quit
(7) 配置Portal認證
# 配置Portal 認證服務器及Portal web服務器,在接口GigabitEthernet1/0/2上開啟二次地址方式的Portal認證,並引用Portal web 服務器。設置接口GigabitEthernet1/0/2發送給Portal報文中的BAS-IP屬性值。
[Device] portal server newpt
[Device-portal-server-newpt] ip 192.168.0.111 key simple portal
[Device-portal-server-newpt] port 50100
[Device-portal-server-newpt] quit
[Device] portal web-server newpt
[Device-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[Device-portal-websvr-newpt] quit
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] portal enable method redhcp
[Device–GigabitEthernet1/0/2] portal apply web-server newpt
[Device–GigabitEthernet1/0/2] portal bas-ip 20.20.20.1
[Device–GigabitEthernet1/0/2] quit
# 以上配置完成後,通過執行命令display portal interface可查看Portal配置是否生效。Portal認證前用戶在通過Portal認證前,受認證前域中配置的授權信息限製,隻能訪問192.168.0.0/24網段,對其餘網段的Web訪問均被重定向到Portal認證頁麵。通過Portal認證後,則可訪問未受限的互聯網資源。Portal用戶下線後,Device上會重新生成認證前用戶。
# 可通過執行以下顯示命令查看Device上生成的Portal認證前用戶信息。
[Device] display portal user pre-auth interface gigabitethernet 1/0/2
Total portal pre-auth users: 1
MAC IP VLAN Interface
0015-e9a6-7cfe 10.10.10.4 -- GigabitEthernet1/0/2
State: Online
VPN instance: N/A
DHCP IP pool: N/A
ACL number/name: 3010
User profile: N/A
Session group profile: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Web URL: N/A
· 用戶主機與接入設備Device直接相連,采用直接方式的Portal認證。用戶通過手工配置或DHCP獲取的一個公網IP地址進行認證,在通過Portal認證前,隻能訪問Portal Web服務器;在通過Portal認證後,可以使用此IP地址訪問非受限的互聯網資源。
· Device同時承擔Portal Web服務器和Portal認證服務器的職責。
· 采用RADIUS服務器作為認證/計費服務器。
· 配置本地Portal Web服務使用HTTP協議,且HTTP服務偵聽的TCP端口號為2331。
圖1-25 使用本地Portal Web服務的直接Portal認證配置組網圖
按照自定義認證頁麵文件編輯規範,完成認證頁麵的編輯。並上傳到設備存儲介質的根目錄下。
(1) 配置RADIUS服務器,保證用戶的認證/計費功能正常運行,具體配置步驟略。
(2) 配置接口IP地址。
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.0.100 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
[Device-GigabitEthernet1/0/2] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(3) 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/1
[Device-security-zone-DMZ] quit
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/2
[Device-security-zone-Trust] quit
(4) 配置安全策略
a. 配置安全策略放行DMZ與Local安全域之間的流量,用於設備Device與RADIUS服務器之間的報文交互。
# 配置名稱為portallocalout的安全策規則,使Device可以向RADIUS服務器發送報文,具體配置步驟如下。
[Device-security-policy-ip] rule name portallocalout
[Device-security-policy-ip-2-portallocalout] source-zone local
[Device-security-policy-ip-2-portallocalout] destination-zone dmz
[Device-security-policy-ip-2-portallocalout] destination-ip-host 192.168.0.112
[Device-security-policy-ip-2-portallocalout] action pass
[Device-security-policy-ip-2-portallocalout] quit
# 配置名稱為portallocalin1的安全策略規則,使Device可以接收和處理來自RADIUS服務器的報文,具體配置步驟如下。
[Device-security-policy-ip] rule name portallocalin1
[Device-security-policy-ip-3-portallocalin1] source-zone dmz
[Device-security-policy-ip-3-portallocalin1] destination-zone local
[Device-security-policy-ip-3-portallocalin1] source-ip-host 192.168.0.112
[Device-security-policy-ip-3-portallocalin1] action pass
[Device-security-policy-ip-3-portallocalin1] quit
b. 配置安全策略放行Trust與Local安全域之間的流量。
# 配置名稱為portallocalin2的安全策規則,使用戶Host可以向設備本地的Portal服務器發送報文,具體配置步驟如下。
[Device-security-policy-ip] rule name portallocalin2
[Device-security-policy-ip-4-portallocalin2] source-zone trust
[Device-security-policy-ip-4-portallocalin2] source-ip-host 2.2.2.2
[Device-security-policy-ip-4-portallocalin2] destination-zone local
[Device-security-policy-ip-4-portallocalin2] action pass
[Device-security-policy-ip-4-portallocalin2] quit
[Device-security-policy-ip] quit
(5) 配置RADIUS方案
# 建名稱為rs1的RADIUS方案,配置發送給RADIUS服務器的用戶名不攜帶ISP域名,開啟RADIUS session control功能。
[Device] radius scheme rs1
[Device-radius-rs1] primary authentication 192.168.0.112
[Device-radius-rs1] primary accounting 192.168.0.112
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
[Device] radius session-control enable
(6) 配置認證域
# 創建名稱為dm1的ISP域,配置dm1的ISP域使用的RADIUS方案為rs1,係統缺省的ISP域為dm1。
[Device] domain dm1
[Device-isp-dm1] authentication portal radius-scheme rs1
[Device-isp-dm1] authorization portal radius-scheme rs1
[Device-isp-dm1] accounting portal radius-scheme rs1
[Device-isp-dm1] quit
[Device] domain default enable dm1
(7) 配置Portal認證
# 配置Portal web服務器newpt的URL,在接口GigabitEthernet1/0/2開啟直接方式的Portal認證,並引用Portal web 服務器。
[Device] portal web-server newpt
[Device-portal-websvr-newpt] url http://2.2.2.1:2331/portal
[Device-portal-websvr-newpt] quit
[Device] interface gigabitethernet 1/0/2
[Device–GigabitEthernet1/0/2] portal enable method direct
[Device–GigabitEthernet1/0/2] portal apply web-server newpt
[Device–GigabitEthernet1/0/2] quit
# 開啟本地Portal web服務,配置本地Portal Web服務提供的缺省認證頁麵文件(設備的存儲介質的根目錄下必須已存在該認證頁麵文件,否則功能不生效),指定本地Portal Web服務的HTTP服務偵聽的TCP端口號。
[Device] portal local-web-server http
[Device–portal-local-websvr-http] default-logon-page abc.zip
[Device–portal-local-webserver-http] tcp-port 2331
[Device–portal-local-webserver-http] quit
# 以上配置完成後,通過執行以下顯示命令可查看Portal配置是否生效。
[Device] display portal interface gigabitethernet 1/0/2
Portal information of GigabitEthernet1/0/2
NAS-ID profile: Not configured
Authorization : Strict checking
ACL : Disabled
User profile : Disabled
Dual stack : Disabled
Dual traffic-separate: Disabled
Dual IP : Disabled
Advertisement-push : Disabled
Embedded advertisement: Disabled
IPv4:
Portal status: Enabled
Portal authentication method: Direct
Portal Web server: newpt(active)
Secondary portal Web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
Extend-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max portal users: Not configured
Bas-ip: Not configured
User detection: Not configured
Portal temp-pass: Disabled
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Mask
Destination authenticate subnet:
IP address Mask
Advertisement push: Not configured
IPv6:
Portal status: Disabled
Portal authentication method: Disabled
Portal Web server: Not configured
Secondary portal Web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
Extend-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max portal users: Not configured
Bas-ipv6: Not configured
User detection: Not configured
Portal temp-pass: Disabled
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authenticate subnet:
IP address Prefix length
Advertisement push: Not configured
# 使用本地Portal Web服務進行Portal認證的組網環境中,隻支持通過網頁方式進行Portal認證。用戶在通過認證前,隻能訪問認證頁麵http://2.2.2.1:2331/portal,且發起的Web訪問均被重定向到該認證頁麵,在通過認證後,可訪問非受限的互聯網資源。
# Portal用戶認證通過後,可通過執行以下顯示命令查看Device上生成的Portal在線用戶信息。
[Device] display portal user interface gigabitethernet 1/0/2
Total portal users: 1
Username: abc
Portal server: N/A
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-e9a6-7cfe 2.2.2.2 -- GigabitEthernet1/0/2
Authorization information:
DHCP IP pool: N/A
ACL number/name: N/A
User profile: N/A
Session group profile: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Web URL: N/A
· 用戶主機通過接入設備Device接入網絡,采用直接方式的Portal認證。用戶通過手工配置或DHCP獲取的一個公網IP地址進行認證,在通過Portal認證前,隻能訪問Portal Web服務器;在通過Portal認證後,可以使用此IP地址訪問非受限的互聯網資源。
· 配置MAC地址快速認證功能,使得用戶隻需在首次進行認證時,需要手工輸入用戶名和密碼。當用戶再次上線時,將可以直接訪問互聯網資源,不會感知到Portal認證過程。
· 采用一台iMC服務器同時承擔Portal認證服務器、Portal Web服務器以及MAC綁定服務器的職責。iMC版本為:iMC PLAT 7.1(E0303)、iMC EIA 7.1(F0303)。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-26 Portal基於MAC地址的快速認證配置組網圖
完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行,具體配置步驟略。
(1) 配置Portal認證服務。
登錄進入iMC管理平台,選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > 服務器配置”菜單項,進入服務器配置頁麵。
¡ 根據實際組網情況調整以下參數,本例中使用缺省配置。
圖1-27 Portal認證服務器配置頁麵
(2) 配置IP地址組。
選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > IP地址組配置”菜單項,進入IP地址組配置頁麵。在該頁麵中單擊<增加>按鈕,進入增加IP地址組頁麵。
a. 輸入IP地址組名;
b. 輸入起始地址和終止地址,輸入的地址範圍中應包含用戶主機的IP地址;
c. 選擇業務分組,本例中使用缺省的“未分組”;
d. 選擇IP地址組的類型為“普通”。
e. 單擊<確定>按鈕完成操作。
圖1-28 增加IP地址組頁麵
(3) 增加Portal設備。
選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > 設備配置”菜單項,進入設備配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加設備信息配置頁麵。
a. 輸入設備名;
b. 指定IP地址為與接入用戶相連的設備接口IP;
c. 選擇支持逃生心跳為“否”。
d. 選擇支持用戶心跳為“否”。
e. 輸入密鑰,與接入設備Device上的配置保持一致;
f. 選擇組網方式為“直連”;
g. 其它參數采用缺省值;
h. 單擊<確定>按鈕完成操作。
圖1-29 增加設備信息頁麵
(4) 設備關聯IP地址組。
在設備配置頁麵中的設備信息列表中,點擊NAS設備的<端口組信息管理>鏈接,進入端口組信息配置頁麵。
圖1-30 設備信息列表
在端口組信息配置頁麵中點擊<增加>按鈕,進入增加端口組信息頁麵。
a. 輸入端口組名;
b. 選擇IP地址組,用戶接入網絡時使用的IP地址必須屬於所選的IP地址組;
c. 選擇無感知認證為“支持”;
d. 其它參數采用缺省配置;
e. 單擊<確定>按鈕完成操作。
圖1-31 增加端口組信息配置頁麵
(1) 增加接入策略
單擊導航樹中的[接入策略管理/接入策略管理]菜單項,並點擊<增加>按鈕,進入“增加接入策略”頁麵。
¡ 填寫接入策略名;
¡ 選擇業務分組;
¡ 其它參數可采用缺省配置。
圖1-32 增加接入策略配置
(2) 增加接入服務
單擊導航樹中的[接入策略管理/接入服務管理]菜單項,並點擊<增加>按鈕,進入“增加接入服務配置”頁麵。
¡ 填寫服務名;
¡ 勾選“Portal無感知認證”;
¡ 其它參數可采用缺省配置。
圖1-33 增加接入服務配置
(3) 增加接入用戶
單擊導航樹中的[接入用戶管理/接入用戶]菜單項,並點擊<增加>按鈕,進入增加接入用戶頁麵。在接入信息部分:
¡ 選擇可接入的用戶;
¡ 設置密碼;
¡ 設置“Portal無感知認證最大綁定數”。
圖1-34 增加接入用戶
(4) 配置係統參數
單擊導航樹中的[接入策略管理/業務參數配置/係統配置]菜單項,並點擊[終端管理參數配置]對應的<配置>按鈕,進入終端管理參數配置頁麵。
“非智能終端Portal無感知認證”可根據實際需要啟用或禁用,本例中為啟用。
圖1-35 配置終端管理參數
單擊導航樹中的[接入策略管理/業務參數配置/係統配置]菜單項,點擊[終端老化時長]對應的<配置>按鈕後點擊<修改>,進入終端老化時長配置頁麵。
根據實際需要配置終端老化時間,本例中采用缺省值。
圖1-36 配置終端老化時長
# 最後單擊導航樹中的[接入策略管理/業務參數配置/係統配置手工生效]菜單項,使以上配置生效。
(1) 配置接口IP地址。
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.0.100 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/1
[Device-security-zone-DMZ] quit
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/2
[Device-security-zone-Trust] quit
(3) 配置安全策略
a. 配置安全策略放行Trust到DMZ安全域的流量。
# 配置名稱為trust-dmz的安全策規則,用於主機Host可以訪問Portal服務器,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule 1 name trust-dmz
[Device-security-policy-ip-1-trust-dmz] source-zone trust
[Device-security-policy-ip-1-trust-dmz] destination-zone dmz
[Device-security-policy-ip-1-trust-dmz] source-ip-host 2.2.2.2
[Device-security-policy-ip-1-trust-dmz] destination-ip-host 192.168.0.111
[Device-security-policy-ip-1-trust-dmz] action pass
[Device-security-policy-ip-1-trust-dmz] quit
b. 配置安全策略放行DMZ與Local安全域之間的流量,用於設備Device與RADIUS服務器、Portal服務器及MAC地址綁定服務器之間的報文交互。
# 配置名稱為portallocalout的安全策規則,使Device可以向RADIUS服務器及Portal發送報文,具體配置步驟如下。
[Device-security-policy-ip] rule 2 name portallocalout
[Device-security-policy-ip-2-portallocalout] source-zone local
[Device-security-policy-ip-2-portallocalout] destination-zone dmz
[Device-security-policy-ip-2-portallocalout] destination-ip-host 192.168.0.111
[Device-security-policy-ip-2-portallocalout] destination-ip-host 192.168.0.112
[Device-security-policy-ip-2-portallocalout] action pass
[Device-security-policy-ip-2-portallocalout] quit
# 配置名稱為portallocalin的安全策略規則,使Device可以接收和處理來自RADIUS服務器、Portal服務器及MAC地址綁定服務器的報文,具體配置步驟如下。
[Device-security-policy-ip] rule 3 name portallocalin
[Device-security-policy-ip-3-portallocalin] source-zone dmz
[Device-security-policy-ip-3-portallocalin] destination-zone local
[Device-security-policy-ip-3-portallocalin] source-ip-host 192.168.0.111
[Device-security-policy-ip-3-portallocalin] source-ip-host 192.168.0.112
[Device-security-policy-ip-3-portallocalin] action pass
[Device-security-policy-ip-3-portallocalin] quit
[Device-security-policy-ip] quit
(4) 配置RADIUS方案
#創建名稱為rs1的RADIUS方案,配置發送給RADIUS服務器的用戶名不攜帶ISP域名並開啟RADIUS session control功能。
[Device] radius scheme rs1
[Device-radius-rs1] primary authentication 192.168.0.112
[Device-radius-rs1] primary accounting 192.168.0.112
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
[Device] radius session-control enable
(5) 配置認證域
# 創建名稱為dm1的ISP域,配置dm1域使用的RADIUS方案為rs1,係統缺省ISP域為dm1。
[Device] domain dm1
[Device-isp-dm1] authentication portal radius-scheme rs1
[Device-isp-dm1] authorization portal radius-scheme rs1
[Device-isp-dm1] accounting portal radius-scheme rs1
[Device-isp-dm1] quit
[Device] domain default enable dm1
(6) 配置Portal認證
# 配置Portal認證服務器newpt,在接口GigabitEthernet1/0/2上開啟直接方式的Portal認證,並引用Portal Web服務器newpt。在接口GigabitEthernet1/0/2上設置發送給Portal認證服務器的Portal報文中的BAS-IP屬性值。
[Device] portal server newpt
[Device-portal-server-newpt] ip 192.168.0.111 key simple portal
[Device-portal-server-newpt] port 50100
[Device-portal-server-newpt] quit
[Device] portal web-server newpt
[Device-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[Device-portal-websvr-newpt] quit
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] portal enable method direct
[Device-GigabitEthernet1/0/2] portal apply web-server newpt
[Device-GigabitEthernet1/0/2] portal bas-ip 2.2.2.1
[Device-GigabitEthernet1/0/2] quit
(7) 配置Portal基於MAC地址的快速認證
# 創建MAC綁定服務器mts,配置用戶免認證流量的閾值及MAC綁定服務器的地址,在接口在接口GigabitEthernet1/0/2上引用MAC綁定服務器mts。
[Device] portal mac-trigger-server mts
[Device-portal-mac-trigger-server-mts] free-traffic threshold 1024000
[Device-portal-mac-trigger-server-mts] ip 192.168.0.111
[Device-portal-mac-trigger-server-mts] quit
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] portal apply mac-trigger-server mts
[Device-GigabitEthernet1/0/2] quit
# 通過執行以下顯示命令可查看MAC綁定服務器配置。
[Device] display portal mac-trigger-server name mts
Portal mac-trigger server name: mts
Version : 1.0
Server type : IMC
IP : 192.168.0.111
Port : 50100
VPN instance : Not configured
Aging time : 300 seconds
Free-traffic threshold : 1024000 bytes
NAS-Port-Type : Not configured
Binding retry times : 3
Binding retry interval : 1 seconds
Authentication timeout : 3 minutes
Local-binding : Disabled
Local-binding aging-time : 12 minutes
aaa-fail nobinding : Disabled
Excluded attribute list : Not configured
Cloud-binding : Disabled
Cloud-server URL : Not configured
# 用戶可以使用iNode客戶端或通過網頁方式進行Portal認證。用戶在通過認證前,發起的所有Web訪問均被重定向到Portal認證頁麵(http://192.168.0.111:8080/portal),在通過認證後,可訪問非受限的互聯網資源。
# 用戶在首次進行Portal認證時,需要手工輸入用戶名和密碼。當用戶再次上線時,將可以直接訪問互聯網資源,不會感知到Portal認證過程。
# 通過執行以下顯示命令查看Device上生成的Portal在線用戶信息。
[Device] display portal user interface gigabitethernet 1/0/2
Total portal users: 1
Username: Client1
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-e9a6-7cfe 2.2.2.2 -- GigabitEthernet1/0/2
Authorization information:
DHCP IP pool: N/A
ACL number/name: N/A
User profile: N/A
Session group profile: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Web URL: N/A
用戶被強製去訪問iMC Portal認證服務器時沒有彈出Portal認證頁麵,也沒有錯誤提示,登錄的Portal認證服務器頁麵為空白。
接入設備上配置的Portal密鑰和Portal認證服務器上配置的密鑰不一致,導致Portal認證服務器報文驗證出錯,Portal認證服務器拒絕彈出認證頁麵。
在Portal認證服務器視圖下使用display this命令查看接入設備上是否配置了Portal認證服務器密鑰,若沒有配置密鑰,請補充配置;若配置了密鑰,請在Portal認證服務器視圖中使用ip或ipv6命令修改密鑰,或者在Portal認證服務器上查看對應接入設備的密鑰並修改密鑰,直至兩者的密鑰設置一致。
用戶通過Portal認證後,在接入設備上使用portal delete-user命令強製用戶下線失敗,但是使用客戶端的“斷開”屬性可以正常下線。
在接入設備上使用portal delete-user命令強製用戶下線時,由接入設備主動發送下線通知報文到Portal認證服務器,Portal認證服務器會在指定的端口監聽該報文(缺省為50100),但是接入設備發送的下線通知報文的目的端口和Portal認證服務器真正的監聽端口不一致,故Portal認證服務器無法收到下線通知報文,Portal認證服務器上的用戶無法下線。
當使用客戶端的“斷開”屬性讓用戶下線時,由Portal認證服務器主動向接入設備發送下線請求,其源端口為50100,接入設備的下線應答報文的目的端口使用請求報文的源端口,避免了其配置上的錯誤,使得Portal認證服務器可以收到下線應答報文,從而Portal認證服務器上的用戶成功下線。
使用display portal server命令查看接入設備對應服務器的端口,並在係統視圖中使用portal server命令修改服務器的端口,使其和Portal認證服務器上的監聽端口一致。
接入設備使用iMC服務器作為RADIUS服務器對Portal用戶進行身份認證,用戶通過Portal認證上線後,管理員無法在RADIUS服務器上強製Portal用戶下線。
iMC服務器使用session control報文向設備發送斷開連接請求。接入設備上監聽session control報文的UDP端口缺省是關閉的,因此無法接收RADIUS服務器發送的Portal用戶下線請求。
查看接入設備上的RADIUS session control功能是否處於開啟狀態,若未開啟,請在係統視圖下執行radius session-control enable命令開啟。
接入設備上通過命令行強製Portal用戶下線後,Portal認證服務器上還存在該用戶。
在接入設備上使用portal delete-user命令強製用戶下線時,由接入設備主動發送下線通知報文到Portal認證服務器,若接入設備主動發送的Portal報文攜帶的BAS-IP/BAS-IPv6屬性值與Portal認證服務器上指定的設備IP地址不一致,Portal認證服務器會將該下線通知報文丟棄。當接入設備嚐試發送該報文超時之後,會將該用戶強製下線,但Portal認證服務器上由於並未成功接收這樣的通知報文,認為該用戶依然在線。
在開啟Portal認證的接口上配置BAS-IP/BAS-IPv6屬性值,使其與Portal認證服務器上指定的設備IP地址保持一致。
設備對用戶采用二次地址分配認證方式的Portal認證,用戶輸入正確的用戶名和密碼,且客戶端先後成功獲取到了私網IP地址和公網的IP地址,但認證結果為失敗。
在接入設備對用戶進行二次地址分配認證過程中,當接入設備感知到客戶端的IP地址更新之後,需要主動發送Portal通知報文告知Portal認證服務器已檢測到用戶IP變化,當Portal認證服務器接收到客戶端以及接入設備發送的關於用戶IP變化的通告後,才會通知客戶端上線成功。若接入設備主動發送的Portal報文攜帶的BAS-IP/BAS-IPv6屬性值與Portal認證服務器上指定的設備IP地址不一致時,Portal認證服務器會將該Portal通知報文丟棄,因此會由於未及時收到用戶IP變化的通告認為用戶認證失敗。
在開啟Portal認證的接口上配置BAS-IP/BAS-IPv6屬性值,使其與Portal認證服務器上指定的設備IP地址保持一致。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
