- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
05-Portal配置
本章節下載: 05-Portal配置 (2.15 MB)
目 錄
1.6.3 配置對重定向給用戶的URL中的userip參數進行base64編碼
1.6.6 配置重定向給用戶的Portal Web服務器URL中不轉義的特殊字符
1.7.5 配置Portal認證請求報文中User-Agent字段需要匹配的信息
1.12.4 配置無線服務模板上Portal用戶使用的認證域
1.13.5 配置允許觸發Portal認證的Web代理服務器端口
1.14.3 配置Portal Web服務器的可達性探測功能
1.14.4 開啟通過捕獲DHCP報文進行Portal用戶在線探測的功能
1.16.1 配置RADIUS NAS-Port-ID屬性格式
1.22 關閉Portal客戶端Rule ARP/ND表項生成功能
1.29.2 在Portal認證服務器視圖下配置Portal協議報文中不攜帶的屬性字段
1.29.3 在MAC綁定服務器視圖下配置Portal協議報文中不攜帶的屬性字段
1.30.10 配置Portal第三方認證時客戶端訪問接入設備的接口
1.31 配置Portal OAuth認證同步用戶信息的時間間隔
1.32 配置Portal Wifidog認證同步用戶信息的時間間隔
1.36 開啟無線Portal用戶SSID切換後的強製下線功能
1.38 配置Portal認證位置由Local AC切換為Central AC
1.40.1 Portal直接認證配置舉例(VLAN接口視圖)
1.40.2 Portal直接認證配置舉例(無線服務模板視圖)
1.40.5 使用本地Portal Web服務器的直接Portal認證配置舉例
1.40.6 Portal基於MAC地址的快速認證配置舉例(遠程認證方式)
1.40.7 Portal基於MAC地址的快速認證配置舉例(本地認證方式)
1.40.8 Portal基於MAC地址的快速認證配置舉例(雲端認證方式)
1.41.1 Portal用戶認證時,沒有彈出Portal認證頁麵
1.41.3 RADIUS服務器上無法強製Portal用戶下線
1.41.4 接入設備強製用戶下線後,Portal認證服務器上還存在該用戶
Portal認證通過Web頁麵接受用戶輸入的用戶名和密碼,對用戶進行身份認證,以達到對用戶訪問進行控製的目的。Portal認證通常部署在接入層以及需要保護的關鍵數據入口處實施訪問控製。在采用了Portal認證的組網環境中,用戶可以主動訪問已知的Portal Web服務器網站進行Portal認證,也可以訪問任意非Portal Web服務器網站時,被強製訪問Portal Web服務器網站,繼而開始Portal認證。目前,設備支持的Portal版本為Portal 1.0、Portal 2.0和Portal 3.0。
· 可以不安裝客戶端軟件,直接使用Web頁麵認證,使用方便。
· 可以為運營商提供方便的管理功能和業務拓展功能,例如運營商可以在認證頁麵上開展廣告、社區服務、信息發布等個性化的業務。
· 支持多種組網型態,例如二次地址分配認證方式可以實現靈活的地址分配策略且能節省公網IP地址,可跨三層認證方式可以跨網段對用戶作認證。
Portal的安全擴展功能是指,在Portal身份認證的基礎之上,通過強製接入終端實施補丁和防病毒策略,加強網絡終端對病毒攻擊的主動防禦能力。具體的安全擴展功能如下:
· 安全性檢測:在對用戶的身份認證的基礎上增加了安全認證機製,可以檢測接入終端上是否安裝了防病毒軟件、是否更新了病毒庫、是否安裝了非法軟件、是否更新了操作係統補丁等;
· 訪問資源受限:用戶通過身份認證後僅僅獲得訪問指定互聯網資源的權限,如病毒服務器、操作係統補丁更新服務器等;當用戶通過安全認證後便可以訪問更多的互聯網資源。
安全性檢測功能必須與iMC安全策略服務器以及iNode客戶端配合使用。
如圖1-1所示,Portal係統通常由如下實體組成:認證客戶端、接入設備、Portal認證服務器、Portal Web服務器、AAA服務器和安全策略服務器。
圖1-1 Portal係統組成示意圖
用戶終端的客戶端係統,為運行HTTP/HTTPS協議的瀏覽器或運行Portal客戶端的主機。對用戶終端的安全性檢測是通過Portal客戶端和安全策略服務器之間的信息交流完成的。目前,Portal客戶端僅支持iNode客戶端。
提供接入服務的設備,主要有三方麵的作用:
· 在認證之前,將用戶的所有HTTP/HTTPS請求都重定向到Portal Web服務器。
· 在認證過程中,與Portal認證服務器、AAA服務器交互,完成身份認證/授權/計費的功能。
· 在認證通過後,允許用戶訪問被授權的互聯網資源。
包括Portal Web服務器和Portal認證服務器。Portal Web服務器負責向客戶端提供Web認證頁麵,並將客戶端的認證信息(用戶名、密碼等)提交給Portal認證服務器。Portal認證服務器用於接收Portal客戶端認證請求的服務器端係統,與接入設備交互認證客戶端的認證信息。Portal Web服務器通常與Portal認證服務器是一體的,也可以是獨立的服務器端係統。
與接入設備進行交互,完成對用戶的認證、授權和計費。目前RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)服務器可支持對Portal用戶進行認證、授權和計費,以及LDAP(Lightweight Directory Access Protocol,輕量級目錄訪問協議)服務器可支持對Portal用戶進行認證。
與Portal客戶端、接入設備進行交互,完成對用戶的安全檢測,並對用戶進行安全授權操作。僅運行Portal客戶端的主機支持與安全策略服務器交互。
Portal係統中各基本要素的交互過程如下:
(1) 當未認證用戶使用瀏覽器進行Portal認證時,可以通過瀏覽器訪問任一互聯網地址,接入設備會將此HTTP或HTTPS請求重定向到Portal Web服務器的Web認證主頁上。也可以主動登錄Portal Web服務器的Web認證主頁。當未認證用戶使用iNode客戶端進行Portal認證時,可直接打開客戶端,輸入認證信息。
(2) 用戶在認證主頁/認證對話框中輸入認證信息後提交,Portal Web服務器會將用戶的認證信息傳遞給Portal認證服務器,由Portal認證服務器處理並轉發給接入設備。
(3) 接入設備與AAA服務器交互進行用戶的認證、授權和計費。
(4) 認證通過後,如果未對用戶采用安全策略,則接入設備會打開用戶與互聯網的通路,允許用戶訪問互聯網;如果使用iNode客戶端進行認證,並對用戶采用了安全策略,則客戶端、接入設備與安全策略服務器交互,對用戶的安全檢測通過之後,安全策略服務器根據用戶的安全性授權用戶訪問非受限資源。
接入設備可以同時提供Portal Web服務器和Portal認證服務器功能,對接入的Portal用戶進行本地Portal認證,如圖1-2所示。該組網方式下,Portal係統僅支持通過Web登錄、下線的基本認證功能,不支持使用Portal客戶端方式的Portal認證,因此不支持Portal擴展功能,無需部署安全策略服務器。
圖1-2 使用本地Portal服務的Portal係統組成示意圖
本地Portal Web服務支持由用戶自定義認證頁麵的內容,即允許用戶編輯一套或多套認證頁麵的HTML文件,並將其壓縮之後保存至設備的存儲介質的根目錄中。每套自定義頁麵文件中包括六個認證頁麵:登錄頁麵、登錄成功頁麵、在線頁麵、下線成功頁麵、登錄失敗頁麵和係統忙碌頁麵。本地Portal Web服務根據不同的認證階段向客戶端推出對應的認證頁麵。
Portal支持三種認證方式:直接認證方式、二次地址分配認證方式和可跨三層認證方式。直接認證方式和二次地址分配認證方式下,認證客戶端和接入設備之間沒有三層轉發設備;可跨三層認證方式下,認證客戶端和接入設備之間可以(但不必須)跨接三層轉發設備。
用戶在認證前通過手工配置或DHCP直接獲取一個IP地址,隻能訪問Portal Web服務器,以及設定的免認證地址;認證通過後即可訪問網絡資源。認證流程相對簡單。
用戶在認證前通過DHCP獲取一個私網IP地址,隻能訪問Portal Web服務器,以及設定的免認證地址;認證通過後,用戶會申請到一個公網IP地址,即可訪問網絡資源。該認證方式解決了IP地址規劃和分配問題,對未認證通過的用戶不分配公網IP地址。例如運營商對於小區寬帶用戶隻在訪問小區外部資源時才分配公網IP。目前,僅iNode客戶端支持該認證方式。需要注意的是,IPv6 Portal認證不支持二次地址分配方式。
和直接認證方式基本相同,但是這種認證方式允許認證用戶和接入設備之間跨越三層轉發設備。
對於以上三種認證方式,IP地址都是用戶的唯一標識。接入設備基於用戶的IP地址下發ACL對接口上通過認證的用戶報文轉發進行控製。由於直接認證和二次地址分配認證下的接入設備與用戶之間未跨越三層轉發設備,因此接口可以學習到用戶的MAC地址,接入設備可以利用學習到MAC地址增強對用戶報文轉發的控製力度。
直接認證和可跨三層Portal認證流程相同。二次地址分配認證流程因為有兩次地址分配過程,所以其認證流程和另外兩種認證方式有所不同。
圖1-3 直接認證/可跨三層Portal認證流程圖
直接認證/可跨三層Portal認證流程:
(1) Portal用戶通過HTTP/HTTPS協議訪問外部網絡。HTTP/HTTPS報文經過接入設備時,對於訪問Portal Web服務器或設定的免認證地址的HTTP/HTTPS報文,接入設備允許其通過;對於訪問其它地址的HTTP/HTTPS報文,接入設備將其重定向到Portal Web服務器。Portal Web服務器提供Web頁麵供用戶輸入用戶名和密碼。
(2) Portal Web服務器將用戶輸入的信息提交給Portal認證服務器進行認證。
(3) Portal認證服務器與接入設備之間進行CHAP(Challenge Handshake Authentication Protocol,質詢握手認證協議)認證交互。若采用PAP(Password Authentication Protocol,密碼認證協議)認證則直接進入下一步驟。采用哪種認證交互方式由Portal認證服務器決定。
(4) Portal認證服務器將用戶輸入的用戶名和密碼組裝成認證請求報文發往接入設備,同時開啟定時器等待認證應答報文。
(5) 接入設備與RADIUS服務器之間進行RADIUS協議報文的交互。
(6) 接入設備向Portal認證服務器發送認證應答報文,表示認證成功或者認證失敗。
(7) Portal認證服務器向客戶端發送認證成功或認證失敗報文,通知客戶端認證成功(上線)或失敗。
(8) 若認證成功,Portal認證服務器還會向接入設備發送認證應答確認。若是iNode客戶端,則還需要進行以下安全擴展功能的步驟,否則Portal認證過程結束,用戶上線。
(9) 客戶端和安全策略服務器之間進行安全信息交互。安全策略服務器檢測客戶端的安全性是否合格,包括是否安裝防病毒軟件、是否更新病毒庫、是否安裝了非法軟件、是否更新操作係統補丁等。
(10) 安全策略服務器根據安全檢查結果授權用戶訪問指定的網絡資源,授權信息保存到接入設備中,接入設備將使用該信息控製用戶的訪問。
步驟(9)、(10)為Portal認證安全擴展功能的交互過程。
圖1-4 二次地址分配認證方式流程圖
二次地址分配認證流程:
(1)~(7)同直接/可跨三層Portal認證中步驟(1)~(7)。
(8) 客戶端收到認證通過報文後,通過DHCP獲得新的公網IP地址,並通知Portal認證服務器用戶已獲得新IP地址。
(9) Portal認證服務器通知接入設備客戶端獲得新公網IP地址。
(10) 接入設備通過DHCP模塊得知用戶IP地址變化後,通告Portal認證服務器已檢測到用戶IP變化。
(11) 當Portal認證服務器接收到客戶端以及接入設備發送的關於用戶IP變化的通告後,通知客戶端上線成功。
(12) Portal認證服務器向接入設備發送IP變化確認報文。
(13) 客戶端和安全策略服務器之間進行安全信息交互。安全策略服務器檢測客戶端的安全性是否合格,包括是否安裝防病毒軟件、是否更新病毒庫、是否安裝了非法軟件、是否更新操作係統補丁等。
(14) 安全策略服務器根據用戶的安全性授權用戶訪問指定的網絡資源,授權信息保存到接入設備中,接入設備將使用該信息控製用戶的訪問。
步驟(13)、(14)為Portal認證擴展功能的交互過程。
EAP認證僅能與iMC的Portal服務器以及iNode Portal客戶端配合使用,且僅使用遠程Portal服務器的Portal認證支持該功能。
在對接入用戶身份可靠性要求較高的網絡應用中,傳統的基於用戶名和口令的用戶身份驗證方式存在一定的安全問題,基於數字證書的用戶身份驗證方式通常被用來建立更為安全和可靠的網絡接入認證機製。
EAP(Extensible Authentication Protocol,可擴展認證協議)可支持多種基於數字證書的認證方式(例如EAP-TLS),它與Portal認證相配合,可共同為用戶提供基於數字證書的接入認證服務。
圖1-5 Portal支持EAP認證協議交互示意圖
如圖1-5所示,在Portal支持EAP認證的實現中,客戶端與Portal服務器之間交互EAP認證報文,Portal服務器與接入設備之間交互攜帶EAP-Message屬性的Portal協議報文,接入設備與RADIUS服務器之間交互攜帶EAP-Message屬性的RADIUS協議報文,由具備EAP服務器功能的RADIUS服務器處理EAP-Message屬性中封裝的EAP報文,並給出EAP認證結果。整個EAP認證過程中,接入設備隻是對Portal服務器與RADIUS服務器之間的EAP-Message屬性進行透傳,並不對其進行任何處理,因此接入設備上無需任何額外配置。
接入設備通過一係列的過濾規則對用戶報文進行控製,這些規則也稱為Portal過濾規則。
設備會根據配置以及Portal用戶的認證狀態,生成四種不同類型的Portal過濾規則。設備收到用戶報文後,將依次按照如下順序對報文進行匹配,一旦匹配上某條規則便結束匹配過程:
· 第一類規則:設備允許所有去往Portal Web服務器或者符合免認證規則的用戶報文通過。
· 第二類規則:如果AAA認證服務器未下發授權ACL,則設備允許認證成功的Portal用戶可以訪問任意的目的網絡資源;如果AAA認證服務器下發了授權ACL,則設備僅允許認證成功的Portal用戶訪問該授權ACL允許訪問的網絡資源。需要注意的是,Portal認證可成功授權的ACL類型為基本ACL(ACL編號為2000~2999)和高級ACL(ACL編號為3000~3999)。當下發的ACL不存在、未配置ACL規則或ACL規則中配置了counting、established、fragment、source-mac或logging參數時,授權ACL不生效。關於ACL規則的詳細介紹,請參見“安全命令參考”中的“ACL”。 設備將根據Portal用戶的在線狀態動態添加和刪除本規則。
· 第三類規則:設備將所有未認證Portal用戶的HTTP/HTTPS請求報文重定向到Portal Web服務器。
· 第四類規則:對於直接認證方式和可跨三層認證方式,設備將拒絕所有用戶報文通過;對於二次地址分配認證方式,設備將拒絕所有源地址為私網地址的用戶報文通過。
該功能需要與iMC服務器配合使用。
在用戶進行Portal認證過程中,設備將獲取到的DHCP Option55內容封裝到Portal協議和RADIUS協議中,並分別上傳給Portal認證服務器和RADIUS服務器(對iMC服務器來說,都是上傳到UAM組件)。
iMC服務器中的UAM組件可以根據獲取到的Option55字段的內容來判斷終端設備的類型、操作係統、廠商等信息。進而可以根據識別出來的終端設備類型等信息,向不同終端設備類型的Portal用戶推出不同的認證頁麵和下發不同的授權屬性信息等。
在Portal認證環境中,對於需要頻繁接入網絡的合法用戶,可以通過基於MAC地址的快速認證功能,使用戶無需手工輸入認證信息便可以自動完成Portal認證。
基於MAC地址的快速認證又稱為MAC-trigger認證或無感知認證,該方式需要在網絡中部署MAC綁定服務器。MAC綁定服務器用於記錄用戶的Portal認證信息(用戶名、密碼)和用戶終端的MAC地址,並將二者進行綁定,以便代替用戶完成Portal認證。
僅IPv4的直接認證方式和可跨三層的認證方式支持基於MAC地址的快速認證。
本功能的實現過程如下:
(1) 用戶在首次接入網絡時,將獲得一定的免認證流量。在用戶收發的流量達到設定的閾值之前,用戶無需進行認證。接入設備將用戶的MAC地址及接入端口信息保存為MAC-trigger表項。
(2) 當用戶收發的流量達到設定的閾值時,接入設備會根據MAC-trigger表項將用戶的MAC地址發送至MAC綁定服務器進行查詢。
(3) MAC綁定服務器在本地查詢是否存在與用戶MAC地址綁定的Portal認證信息:
¡ 如果存在Portal認證信息,則MAC綁定服務器將通知接入設備該用戶為“已綁定”狀態,並使用用戶的認證信息向接入設備發起Portal認證,在用戶無感知的情況下完成認證過程。此時,如果Portal認證失敗,則設備向用戶返回認證失敗信息,接入設備上的MAC-trigger表項將自動老化,然後重新進行MAC-trigger認證。
¡ 如果不存在Portal認證信息,則MAC綁定服務器將通知接入設備該用戶為“未綁定”狀態。接入設備將對“未綁定”狀態的用戶發起正常的Portal認證。如果Portal認證失敗,則Portal Web服務器向用戶返回Portal認證失敗頁麵,流程終止;如果Portal認證成功,在用戶完成Portal認證過程後,接入設備會將用戶的MAC地址和認證信息發送至MAC綁定服務器,完成信息綁定。當同一用戶再次訪問網絡時,MAC綁定服務器便可以利用保存的認證信息代替用戶完成認證。
(4) 用戶通過Portal認證後,接入設備將刪除MAC-trigger表項。
· 無線客戶端數據報文轉發位置在AP上,且AC上配置了基於MAC地址的快速認證時,當AP給AC上報流量統計信息的時間間隔超時後,AC才會感知到用戶收發的流量是否達到設定的閾值。關於AP給AC上報流量統計信息的時間間隔的詳細介紹,請參見“1.28 配置AP給AC上報流量統計信息的時間間隔”。
· 關於MAC綁定服務器的配置請參見服務器軟件的用戶手冊。
在Portal與NAT444網關聯動的組網環境中,Portal用戶通過AAA認證並分配得到私網地址之後,NAT444網關會立即為該Portal用戶分配公網地址以及端口塊,並將Portal用戶的私網IP地址、分配的公網地址及該端口塊的映射關係通知給Portal(如果NAT444網關上可分配的公網資源已耗盡,Portal會強製用戶下線,也不會對用戶進行計費)。Portal記錄該地址映射關係,並將這個映射關係上報給AAA服務器。之後,該用戶訪問外部網絡時直接使用NAT444網關已經分配的公網地址和端口塊。通過此聯動功能,AAA服務器能夠獲得並統一維護所有Portal用戶的地址映射關係,提供更便捷的用戶溯源服務。
通過在認證ISP域中配置user-address-type private-ipv4命令指定Portal用戶地址類型為私網IPv4地址,可實現Portal與NAT444網關聯動,關於設置當前ISP域的用戶地址類型的詳細介紹請參見“用戶接入與認證配置指導”中的“AAA”。關於NAT444的詳細介紹請參見“網絡互通”中的“NAT”。
AC/Fit AP組網環境下,有兩種無線客戶端數據報文的轉發模式:
· 集中式轉發:將客戶端數據報文的轉發位置配置在AC上之後,客戶端的數據流量由AP通過CAPWAP隧道透傳到AC,再由AC轉發數據報文。
· 本地轉發:將客戶端數據報文的轉發位置配置在AP上之後,客戶端的數據流量直接由AP進行轉發,不上送到AC上。
在無線環境中,Portal認證功能可以在設備的VLAN接口或無線服務模板上進行配置,有關這兩種Portal配置方式的詳細介紹如下:
· 在VLAN接口下配置時,設備僅能對本接口接收到的用戶報文進行Portal認證。由於在本地轉發模式下,客戶端的數據直接在AP上進行轉發,AC無法接收到用戶的報文,因此在VLAN接口下配置Portal認證隻適用於集中式轉發。
· 在無線服務模板上配置Portal認證且開啟無線服務模板後,如果轉發模式為本地轉發,AC會把Portal過濾規則下發到AP的BSS(Basic Service Set,基本服務集)上;如果轉發模式為集中式轉發,則AC會把Portal過濾規則下發到自身的BSS上。在這兩種轉發模式下,AC均可以對綁定該服務模板的所有AP下接入的用戶進行Portal認證,因此在無線服務模板上配置Portal認證適用於集中式轉發與本地轉發。
關於無線轉發模式的介紹,請參見“WLAN接入配置指導”中的“WLAN接入”。
Portal用戶AC間漫遊是指Portal用戶在AC設備上進行Portal認證成功後,再漫遊到其它AC設備時,不需要再次進行Portal認證,可以繼續訪問網絡資源。典型組網如圖1-6所示。
圖1-6 Portal用戶AC間漫遊示意圖
WLAN漫遊中心負責管理無線Portal用戶的認證、授權和漫遊等信息,同時還可以存儲、更新用戶信息並發送和響應報文以及提供信息查詢服務。如圖1-6所示,AC 1作為WLAN漫遊中心,AC 2和AC 3作為Portal漫遊中心,主要對Client提供Portal認證和漫遊服務。Portal用戶Client從AC 2第一次上線,然後漫遊到AC 3,具體過程如下:
(2) Client在AC 2上第一次上線。
AC 2首先向WLAN漫遊中心AC 1發送用戶查詢報文,AC 1未查到用戶,會給AC 2發送查詢回應報文通知沒有查到用戶,此時Client在AC 2上進行Portal認證流程,Portal認證成功後,AC 2會向AC 1發送上線報文通知用戶已經上線,上線報文中會攜帶AAA服務器下發的授權信息。AC 1收到上線報文後,會建立一個用戶表項,包含用戶的IP地址、MAC地址、上線接入設備列表、授權信息、漫遊信息,然後向AC 2發送上線回應報文。
(3) Client漫遊到AC 3。
Client從AC 2漫遊到AC 3時,AC 3首先會向WLAN漫遊中心AC 1發送用戶查詢報文,AC 1上查詢到用戶,會給AC 3發送查詢回應報文通知查到用戶,回應報文中攜帶Client在AC 2上線獲得的授權信息。AC 3收到查詢回應報文後,直接允許用戶上線,不再進行Portal認證。Client在AC 3上線完成後,AC 3會向AC 1發送上線報文。AC 1收到上線報文後,更新用戶表項中的漫遊信息,並向AC 3發送上線回應報文。
(4) Client下線。
¡ Client主動下線
無論Client漫遊到網絡中的任何設備,Client會在第一次上線的設備AC 2上開始下線流程。AC 2刪除用戶,同時向WLAN漫遊中心AC 1發送用戶下線報文,AC 1收到用戶下線報文後,會將AC 2從用戶表項中的上線設備列表中刪除,並向上線設備列表中的其他設備發送用戶下線報文。AC 3收到AC 1發送的用戶下線報文,刪除Portal用戶表項,並向AC 1發送用戶下線回應報文。
¡ Client被強製下線
當Client在AC 3上被強製下線時,AC 3會向WLAN漫遊中心AC 1發送用戶下線報文,AC 1收到用戶下線報文後,會將AC 3從用戶表項中的上線設備列表中刪除,並向AC 3發送用戶下線回應報文。
導致用戶強製下線的原因主要包括:
- 管理員手工執行強製下線命令行。
- AP下線。
- 用戶的DHCP租約到期。
- AAA授權屬性中的用戶閑置切斷時間或用戶會話超時時間超時。
- 在AAA服務器上直接下線。
用戶進行Portal認證時,設備可將其HTTPS請求重定向到Portal Web服務器上。HTTPS重定向服務支持兩種本地證書:設備簽發的自簽名證書和CA簽發的本地證書。用戶可根據安全性要求和配置複雜度在如下兩種方案中進行選擇:
· 采用設備簽發的自簽名證書,此方式配置簡單但存在安全隱患。在該方式下,無需配置HTTPS重定向服務關聯的SSL服務器端策略,使用的SSL參數均為缺省值。但由於自簽名證書不是由可信的CA機構簽發而不受瀏覽器信任,當設備將HTTPS請求重定向到Portal Web服務器時,用戶瀏覽器上將會彈出安全風險提示,若用戶能夠接受使用自簽名證書帶來的安全風險,可選擇忽略此提示,繼續瀏覽網頁。
· 采用CA簽發的本地證書,此方式配置相對複雜但安全性較強。在該方式下,用戶需要獲取CA證書並向CA申請本地證書,同時配置SSL服務器端策略(指定的SSL服務器端策略名必須為https_redirect),並將其與HTTPS重定向服務進行關聯,來增強HTTPS重定向服務的安全性。
有關數字證書和SSL服務器端策略的詳細介紹,請分別參見“安全配置指導”中的“PKI”和“SSL”。
通過訪問Web頁麵進行的Portal認證不能對用戶實施安全策略檢查,安全檢查功能的實現需要與iNode客戶端配合。
無論是Web客戶端還是iNode客戶端發起的Portal認證,均能支持Portal認證穿越NAT,即Portal客戶端位於私網、Portal認證服務器位於公網。
當Portal客戶端和Portal服務器屬於不同的VPN實例時,請通過undo portal refresh arp enable命令關閉Portal客戶端的Rule ARP表項生成功能,否則會導致Portal客戶端異常下線。
Portal配置任務如下:
(1) 配置遠程Portal服務
如果組網中架設遠程Portal認證服務器,則進行該配置。
(2) 配置本地Portal服務
a. 配置本地Portal服務
如果采用接入設備作為Portal服務器,則進行該配置。
(3) 開啟Portal認證並引用Portal Web服務器
請根據實際情況選擇在接口或無線服務模板上進行以下配置。
(4) (可選)指定Portal用戶使用的認證域
(5) (可選)控製Portal用戶的接入
¡ 配置免認證規則
¡ 配置源認證網段
¡ 配置目的認證網段
¡ 配置黑名單規則
(6) (可選)配置Portal探測功能
¡ 開啟通過捕獲DHCP報文進行Portal用戶在線探測的功能
(7) (可選)配置Portal和RADIUS報文屬性
可配置Portal報文的BAS-IP/BAS-IPv6屬性和接入設備的ID。
可配置RADIUS報文的NAS-Port-ID屬性、NAS-Port-Type屬性和接口的NAS-ID Profile。
(8) (可選)配置基於MAC地址的快速認證
a. 配置遠程MAC綁定服務器
b. 配置本地MAC綁定服務器
(9) (可選)配置Portal用戶上下線功能
(10) (可選)配置Portal認證的增強功能
¡ 關閉Portal客戶端Rule ARP/ND表項生成功能
¡ 配置Portal Wifidog認證同步用戶信息的時間間隔
¡ 配置Portal認證位置由Local AC切換為Central AC
(11) (可選)配置Portal認證的監控功能
Portal提供了一個用戶身份認證和安全認證的實現方案,但是僅僅依靠Portal不足以實現該方案。接入設備的管理者需選擇使用RADIUS認證方法,以配合Portal完成用戶的身份認證。Portal認證的配置前提:
· Portal認證服務器、Portal Web服務器、RADIUS服務器已安裝並配置成功。
· 若采用二次地址分配認證方式,接入設備需啟動DHCP中繼功能,另外需要安裝並配置好DHCP服務器。
· 用戶、接入設備和各服務器之間路由可達。
· 如果通過遠端RADIUS服務器進行認證,則需要在RADIUS服務器上配置相應的用戶名和密碼,然後在接入設備端進行RADIUS客戶端的相關設置。RADIUS客戶端的具體配置請參見“用戶接入與認證配置指導”中的“AAA”。
· 如果需要支持Portal的安全擴展功能,需要安裝並配置iMC EAD安全策略組件。同時保證在接入設備上的ACL配置和安全策略服務器上配置的隔離ACL的編號、安全ACL的編號對應。接入設備上與安全策略服務器相關的配置請參見“用戶接入與認證配置指導”中的“AAA”。 安全策略服務器的配置請參考“iMC EAD安全策略組件聯機幫助”。
開啟了Portal認證功能後,設備收到Portal報文時,首先根據報文的源IP地址信息查找本地配置的Portal認證服務器,若查找到相應的Portal認證服務器配置,則認為報文合法,並向該Portal認證服務器回應認證響應報文;否則,認為報文非法,將其丟棄。
不要刪除正在被用戶使用的Portal認證服務器,否則會導致設備上的在線用戶無法正常下線。
(1) 進入係統視圖。
system-view
(2) 創建Portal認證服務器,並進入Portal認證服務器視圖。
portal server server-name
設備支持配置多個Portal認證服務器。
(3) 指定Portal認證服務器的IP地址。
(IPv4網絡)
ip ipv4-address [ key { cipher | simple } string ]
(IPv6網絡)
ipv6 ipv6-address [ key { cipher | simple } string ]
(4) (可選)配置接入設備主動向Portal認證服務器發送Portal報文時使用的UDP端口號。
port port-number
缺省情況下,接入設備主動向Portal認證服務器發送Portal報文時使用的UDP端口號為50100。
接入設備主動向Portal認證服務器發送Portal報文時使用的UDP端口號必須與遠程Portal認證服務器實際使用的監聽端口號保持一致。
(5) 配置Portal認證服務器的類型。
server-type { cmcc | imc }
缺省情況下,Portal認證服務器類型為iMC服務器。
配置的Portal認證服務器類型必須與認證所使用的服務器類型保持一致。
(6) 配置強製用戶下線通知報文的重傳時間間隔和最大重傳次數。
logout-notify retry retries interval interval
缺省情況下,未配置強製用戶下線通知報文的重傳時間間隔和最大重傳次數。
(7) (可選)配置設備定期向Portal認證服務器發送注冊報文。
server-register [ interval interval-value ]
缺省情況下,設備不會向Portal認證服務器發送注冊報文。
Portal Web服務器配置任務如下:
(2) (可選)配置對重定向給用戶的URL中的userip參數進行base64編碼
(3) (可選)開啟Portal被動Web認證功能
(4) (可選)配置重定向URL的匹配規則
(5) (可選)配置重定向給用戶的Portal Web服務器URL中不轉義的特殊字符
(6) (可選)配置重定向URL的參數分隔符
(1) 進入係統視圖。
system-view
(2) 創建Portal Web服務器,並進入Portal Web服務器視圖。
portal web-server server-name
可以配置多個Portal Web服務器。
(3) 指定Portal Web服務器的URL。
url url-string
缺省情況下,未指定Portal Web服務器的URL。
(4) 配置設備重定向給用戶的Portal Web服務器的URL中攜帶的參數信息。
url-parameter param-name { http-auth-url [ http | https ] | bas-ip | nas-id | nas-port-id | original-url | source-address | ssid | { ap-mac | source-mac } [ format section { 1 | 3 | 6 } { lowercase | uppercase } ] [ encryption { aes | des } key { cipher | simple } string ] | value expression | vlan }
缺省情況下,未配置設備重定向給用戶的Portal Web服務器的URL中攜帶的參數信息。
(5) 配置Portal Web服務器的類型。
server-type { cmcc | http-auth | imc | ise | oauth | wifidog }
缺省情況下,設備默認支持的Portal Web服務器類型為iMC服務器。該配置隻適用於遠程Portal認證。
配置的Portal Web服務器類型必須與認證所使用的服務器類型保持一致。
手機用戶采用OAuth協議進行Portal本地微信認證時,如果URL中攜帶了userip,則微信認證服務器可能對部分手機用戶的userip無法識別,從而無法向用戶推送Portal認證頁麵,配置本命令後,設備會對重定向URL中的userip參數進行base64編碼,編碼後微信認證服務器即可正常推送Portal認證頁麵。
如果采用非OAuth協議的Portal認證或非Portal本地微信認證,則不需要配置本命令。
如果url-parameter命令中未攜帶source-address參數,則不需要配置本命令。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 配置對重定向給用戶的URL中的userip參數進行base64編碼。
portal url-param source-address code-base64
缺省情況下,未配置對重定向給用戶的URL中的userip參數進行base64編碼。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置對重定向給用戶的URL中的userip參數進行base64編碼。
portal url-param source-address code-base64
缺省情況下,未配置對重定向給用戶的URL中的userip參數進行base64編碼。
iOS係統或者部分Android係統的用戶接入已開啟Portal認證的網絡後,設備會主動向這類用戶終端推送Portal認證頁麵。開啟Portal被動Web認證功能後,僅在這類用戶使用瀏覽器訪問Internet時,設備才會為其推送Portal認證頁麵。
當用戶暫時不需要進行Portal認證,按Home鍵返回桌麵時,Wi-Fi連接會斷開,開啟Portal被動認證優化功能後,可以使Wi-Fi在一段時間內繼續保持連接。
Portal被動認證優化功能開啟後,iOS移動終端接入網絡時會自動彈出Portal認證頁麵,並自動發送服務器可達性探測報文探測蘋果服務器是否可達,如果可達,則顯示Wi-Fi已連接,如果不可達,則斷開網絡連接。由於網絡或其他原因,iOS移動終端無法在缺省超時時間內發送服務器可達性探測報文,導致Wi-Fi無法連接,被動認證優化功能失效。通過配置探測定時器超時時間,可以延長Portal被動認證優化功能的生效時間,且設備會模擬蘋果服務器返回探測響應報文,使Portal認證頁麵正常顯示,並保持Wi-Fi已連接狀態。
(1) 進入係統視圖。
system-view
(2) 進入Portal Web服務器視圖。
portal web-server server-name
(3) 開啟Portal被動Web認證功能。
captive-bypass [ android | ios [ optimize ] ] enable
缺省情況下,Portal被動Web認證功能處於關閉狀態,即iOS係統和部分Android係統的用戶接入已開啟Portal認證的網絡後會自動彈出Portal認證頁麵。
(4) (可選)配置Portal被動Web認證探測的定時器超時時間。
a. 退回係統視圖。
quit
b. 配置Portal被動Web認證探測的定時器超時時間。
portal captive-bypass optimize delay seconds
缺省情況下,Portal被動Web認證探測的定時器超時時間為6秒。
重定向URL匹配規則用於控製重定向用戶的HTTP或HTTPS請求,該匹配規則可匹配用戶的Web請求地址或者用戶的終端信息。與url命令不同的是,重定向匹配規則可以靈活的進行地址的重定向,而url命令一般隻用於將用戶的HTTP或HTTPS請求重定向到Portal Web服務器進行Portal認證。
為了讓用戶能夠成功訪問重定向後的地址,需要通過portal free-rule命令配置免認證規則,放行去往該地址的HTTP或HTTPS請求報文。
當同時配置了url命令和重定向URL的匹配規則時,重定向URL匹配規則優先進行地址的重定向。
當同時配置了Portal安全重定向功能和重定向URL的匹配規則時,重定向URL匹配規則優先進行地址的重定向。
(1) 進入係統視圖。
system-view
(2) 進入Portal Web服務器視圖。
portal web-server server-name
(3) 配置重定向URL的匹配規則。
if-match { original-url url-string redirect-url url-string [ url-param-encryption { aes | des } key { cipher | simple } string ] | user-agent string redirect-url url-string }
缺省情況下,設備重定向給用戶的Portal Web服務器的URL中的特殊字符,均會被轉換成安全的形式(即轉義字符),以防止客戶端將特殊符號當作語法符號或指令,更改原本預期的語義。
在實際應用中,一些Portal Web服務器無法識別URL中的某些特殊字符的轉義字符,會導致Portal Web服務器向客戶端提供Web認證頁麵失敗。此時,可以通過配置本命令對某些特殊字符不進行轉義處理。
配置特殊字符時,請先確認Portal Web服務器是否能夠識別這些特殊字符的轉義字符。
(1) 進入係統視圖。
system-view
(2) 配置重定向給用戶的Portal Web服務器URL中不轉義的特殊字符。
portal url-unescape-chars character-string
缺省情況下,對重定向給用戶的Portal Web服務器URL中所有的特殊字符進行轉義。
缺省情況下,重定向URL不同參數之間的分隔符為“&”。當網絡環境中的Portal服務器不支持缺省的參數分隔符&時,可以通過本命令將重定向URL的參數分隔符修改為Portal服務器支持的符號。
例如:配置Portal Web服務器的URL為:http://www.test.com/portal,用戶的源IP地址為1.1.1.1,若為URL同時配置如下兩個參數信息:url-parameter userip source-address和
url-parameter userurl value http://www.abc.com/welcome,缺省情況下,設備給該用戶重定向時回應的URL格式為:http://www.test.com/portal?userip=1.1.1.1&userurl=http://www.abc.com/welcome。如果通過本命令配置不同參數之間的分隔符為#,則設備給該用戶重定向時回應的URL格式為:http://www.test.com/portal?userip=1.1.1.1#userurl=http://www.abc.com/welcome。
本功能僅對集中轉發生效。
(1) 進入係統視圖。
system-view
(2) 進入Portal Web服務器視圖。
portal web-server server-name
(3) 配置重定向URL的參數分隔符。
url-parameter-delimiter delimiter
缺省情況下,重定向URL的參數分隔符為&。
配置了本地Portal服務後,由設備作為Portal Web服務器和Portal認證服務器,對接入用戶進行認證。Portal認證頁麵文件存儲在設備的根目錄下。
隻有接口上引用的Portal Web服務器中的URL同時滿足以下兩個條件時,接口上才會使用本地Portal Web服務功能。條件如下:
· 該URL中的IP地址是設備上與客戶端路由可達的三層接口IP地址(除127.0.0.1以外)。
· 該URL以/portal/結尾,例如:https://1.1.1.1/portal/。
認證頁麵的內容和樣式需要用戶自定義。
在無線應用環境中,可以給屬於不同SSID(Service Set Identifier,服務集標識符)和設備類型(例如蘋果、三星設備等)的用戶綁定不同的認證頁麵,係統向用戶推出認證頁麵的選擇順序為:與用戶SSID及設備類型綁定的認證頁麵-->缺省認證頁麵。
用戶自定義的認證頁麵為HTML文件的形式,壓縮後保存在設備的存儲介質的根目錄中。每套認證頁麵可包括六個主索引頁麵(登錄頁麵、登錄成功頁麵、登錄失敗頁麵、在線頁麵、係統忙碌頁麵、下線成功頁麵)及其頁麵元素(認證頁麵需要應用的各種文件,如Logon.htm頁麵中的back.jpg),每個主索引頁麵可以引用若幹頁麵元素。
用戶在自定義這些頁麵時需要遵循一定的規範,否則會影響本地Portal Web服務功能的正常使用和係統運行的穩定性。
主索引頁麵文件名不能自定義,必須使用表1-1中所列的固定文件名。
|
主索引頁麵 |
文件名 |
|
登錄頁麵 |
logon.htm |
|
登錄成功頁麵 |
logonSuccess.htm |
|
登錄失敗頁麵 |
logonFail.htm |
|
在線頁麵 用於提示用戶已經在線 |
online.htm |
|
係統忙頁麵 用於提示係統忙或者該用戶正在登錄過程中 |
busy.htm |
|
下線成功頁麵 |
logoffSuccess.htm |
主索引頁麵文件之外的其他文件名可由用戶自定義,但需注意文件名和文件目錄名中不能含有中文且字符不區分大小寫。
本地Portal Web服務器隻能接受Get請求和Post請求。
· Get請求用於獲取認證頁麵中的靜態文件,其內容不能為遞歸內容。例如,Logon.htm文件中包含了Get ca.htm文件的內容,但ca.htm文件中又包含了對Logon.htm的引用,這種遞歸引用是不允許的。
· Post請求用於用戶提交用戶名和密碼以及用戶執行登錄、下線操作。
(1) 認證頁麵中表單(Form)的編輯必須符合以下原則:
¡ 認證頁麵可以含有多個Form,但是必須有且隻有一個Form的action=logon.cgi,否則無法將用戶信息送到本地Portal服務器。
¡ 用戶名屬性固定為”PtUser”,密碼屬性固定為”PtPwd”。
¡ 需要有用於標記用戶登錄還是下線的屬性”PtButton”,取值為"Logon"表示登錄,取值為"Logoff"表示下線。
¡ 登錄Post請求必須包含”PtUser”,”PtPwd”和"PtButton"三個屬性。
¡ 下線Post請求必須包含”PtButton”這個屬性。
(2) 需要包含登錄Post請求的頁麵有logon.htm和logonFail.htm。
logon.htm頁麵腳本內容的部分示例:
<form action=logon.cgi method = post >
<p>User name:<input type="text" name = "PtUser" style="width:160px;height:22px" maxlength=64>
<p>Password :<input type="password" name = "PtPwd" style="width:160px;height:22px" maxlength=32>
<p><input type=SUBMIT value="Logon" name = "PtButton" style="width:60px;" onclick="form.action=form.action+location.search;">
</form>
(3) 需要包含下線Post請求的頁麵有logonSuccess.htm和online.htm。
online.htm頁麵腳本內容的部分示例:
<form action=logon.cgi method = post >
<p><input type=SUBMIT value="Logoff" name="PtButton" style="width:60px;">
</form>
· 完成所有認證頁麵的編輯之後,必須按照標準Zip格式將其壓縮到一個Zip文件中,該Zip文件的文件名隻能包含字母、數字和下劃線。
· 壓縮後的Zip文件中必須直接包含認證頁麵,不允許存在間接目錄。
· 壓縮生成的Zip文件可以通過FTP或TFTP的二進製方式上傳至設備,並保存在設備的根目錄下。
Zip文件保存目錄示例:
<Sysname> dir
Directory of flash:
1 -rw- 1405 Feb 28 2008 15:53:20 ssid1.zip
0 -rw- 1405 Feb 28 2008 15:53:31 ssid2.zip
2 -rw- 1405 Feb 28 2008 15:53:39 ssid3.zip
3 -rw- 1405 Feb 28 2008 15:53:44 ssid4.zip
2540 KB total (1319 KB free)
若要支持認證成功後認證頁麵的自動跳轉功能,即認證頁麵會在用戶認證成功後自動跳轉到指定的網站頁麵,則需要在認證頁麵logon.htm和logonSuccess.htm的腳本文件中做如下改動。
(1) 將logon.htm文件中的Form的target值設置為“_blank”。
修改的腳本內容如下突出顯示部分所示:
<form method=post action=logon.cgi target="_blank">
(2) logonSucceess.htm文件添加頁麵加載的初始化函數“pt_init()”。
增加的腳本內容如下突出顯示部分所示:
<html>
<head>
<title>LogonSuccessed</title>
<script type="text/javascript" language="javascript" src="pt_private.js"></script>
</head>
<body onload="pt_init();" onbeforeunload="return pt_unload();">
... ...
</body>
</html>
若指定本地Portal Web服務支持的協議類型為HTTPS,則需要首先完成以下配置:
· 配置PKI策略,並成功申請本地證書和CA證書,具體配置請參見“安全配置指導”中的“PKI”。
· 配置SSL服務器端策略,並指定使用已配置的PKI域。為避免在用戶瀏覽器和設備建立SSL連接過程中用戶瀏覽器出現“使用的證書不安全”的告警,需要通過配置自定義名稱為https_redirect的SSL服務器端策略,在設備上安裝用戶瀏覽器信任的證書。具體配置請參見“安全配置指導”中的“SSL”。
(1) 進入係統視圖。
system-view
(2) 開啟本地Portal服務,並進入基於HTTP/HTTPS協議的本地Portal Web服務視圖。
portal local-web-server { http | https [ ssl-server-policy policy-name ] [ tcp-port port-number ] }
(3) 配置本地Portal Web服務提供的缺省認證頁麵文件。
default-logon-page filename
缺省情況下,本地Portal Web服務提供缺省的認證頁麵文件defaultfile.zip。
(4) (可選)配置本地Portal Web服務的HTTP/HTTPS服務偵聽的TCP端口號。
tcp-port port-number
缺省情況下,HTTP服務偵聽的TCP端口號為80,HTTPS服務偵聽的TCP端口號為portal local-web-server命令指定的TCP端口號。
(5) (可選)配置根據SSID和設備類型,實現Portal用戶認證頁麵的定製功能。
logon-page bind { device-type { computer | pad | phone } | device-name device-name | ssid ssid-name } * file file-name
缺省情況下,未配置SSID或終端設備類型與任何定製頁麵文件的綁定關係。
(6) (可選)在Portal的Web認證頁麵上開啟Portal本地用戶密碼修改功能。
user-password modify enable
缺省情況下,Portal本地用戶密碼修改功能處於關閉狀態。
如果設備上已開啟網絡接入類本地用戶全局密碼管理功能(通過password-control enable network-class命令),Portal本地用戶在Web認證頁麵修改後的密碼必須符合Password Control密碼設置控製要求。關於密碼設置控製的詳細介紹,請參見“安全配置指導”中的“Password Control”。
(7) 配置Portal用戶認證成功時的重定向URL地址。
login success-url url-string
缺省情況下,未配置Portal用戶認證成功時的重定向URL地址。
(8) 配置Portal用戶認證失敗時的重定向URL地址。
login failed-url url-string
缺省情況下,未配置Portal用戶認證失敗時的重定向URL地址。
用戶采用第三方軟件認證上網時,設備會對Portal認證請求報文中的User Agent字段內容進行校驗。User Agent字段內容包括硬件廠商信息、軟件操作係統信息、瀏覽器信息、搜索引擎信息等。如果該字段內容不包含設備指定的字符串,則用戶無法通過Portal認證。
為了匹配第三方軟件自定義的User Agent信息,可以通過配置本功能,指定Portal認證請求報文中User-Agent字段需要匹配的信息。例如,用戶使用微信關注公共號認證上網時,Portal認證請求報文中User-Agent字段需要匹配的信息為MicroMessenger。
(1) 進入係統視圖。
system-view
(2) 開啟本地Portal服務,並進入基於HTTP/HTTPS協議的本地Portal Web服務視圖。
portal local-web-server { http | https [ ssl-server-policy policy-name ] [ tcp-port port-number ] }
(3) 配置Portal認證請求報文中User-Agent字段需要匹配的信息。
user-agent user-agent-string
缺省情況下,Portal認證請求報文中User-Agent字段需要匹配的信息為字符串。MicroMessenger。
客戶端通過HTTP/HTTPS協議與Portal服務器對接時,Portal用戶認證時會根據Portal服務器返回的重定向URL給設備發送請求報文(報文中會攜帶用戶名、密碼和用戶IP地址等參數);設備收到請求報文後,會解析請求報文中的參數,如果這些參數的識別關鍵字與設備配置的不一致,則會導致Portal用戶認證失敗。因此,用戶需要通過本功能將設備的參數識別關鍵字配置為與具體應用環境中的Portal服務器所支持的識別關鍵字一致。請求報文中的參數識別關鍵字示例如下:
配置url-key參數的識別關鍵字時,如果字符串裏的首個字符不為斜杠(/),則設備會自動在HTTP-AUTH認證方式的識別關鍵字前麵添加斜杠(/)。例如:將url-key的識別關鍵字配置為abc/httpauth,則設備會自動將HTTP-AUTH認證方式的識別關鍵字解析為/abc/httpauth。
url-key參數的識別關鍵字不能配置為其他認證類型的字符串,否則會配置失敗並打印提示信息。其他認證類型的字符串包括"/portal/cloudlogin.html"、"/portal/qqlogin.html"、"/portal/maillogin.html"、"/portal/weixinlogin.html"、"/portal/wxlogin.html"、"/portal/locwxlogin.html"、"/portal/fblogin.html"、"/portal/locwxchecksubscribe.html"、"/wifidog/auth"、"/portal/iselogin.html"、"/goform/"。
(1) 進入係統視圖。
system-view
(2) 開啟本地Portal服務,並進入基於HTTP/HTTPS協議的本地Portal Web服務視圖。
portal local-web-server { http | https [ ssl-server-policy policy-name ] [ tcp-port port-number ] }
(3) 配置客戶端發送請求報文中參數的識別關鍵字。
http-auth { fail-url-key fail-url-key-value | password-key password-key-value | success-url-key success-url-key-value | url-key url-key-value | userip-key userip-key-value | username-key username-key-value }
缺省情況下,Portal用戶認證失敗時的重定向URL地址的識別關鍵字為fail_url,密碼的識別關鍵字為password,Portal用戶認證成功時的重定向URL地址的識別關鍵字為success_url,HTTP-AUTH認證方式的識別關鍵字為/portal/httplogin,用戶IP地址的識別關鍵字為userip,用戶名的識別關鍵字為username。
在接口上開啟Portal認證時,請遵循以下配置原則:
· 為保證以太網接口上的Portal功能生效,請不要將開啟Portal功能的以太網接口加入聚合組。
· 禁止在無線服務模板視圖和接口視圖下同時開啟Portal認證功能。
· 當接入設備和Portal用戶之間跨越三層設備時,隻能配置可跨三層Portal認證方式(layer3),但可跨三層Portal認證方式不要求接入設備和Portal用戶之間必須跨越三層設備。
· 允許在接口上同時開啟IPv4 Portal認證和IPv6 Portal認證。
當Portal認證方式為二次地址分配方式時,請遵循以下配置限製和指導:
· 在開啟二次地址分配方式的Portal認證之前,需要保證開啟Portal的接口已配置或者獲取了合法的IP地址。
· 在二次地址分配認證方式下,接口上配置的授權ARP後,係統會禁止該接口動態學習ARP表項,隻有通過DHCP合法分配到公網IP地址的用戶的ARP報文才能夠被學習。因此,為保證隻有合法用戶才能接入網絡,建議使用二次地址分配認證方式的Portal認證時,接口上同時配置了授權ARP功能。
· 為了確保Portal用戶能在開啟二次地址分配認證方式的接口上成功進行Portal認證,必須確保Portal認證服務器上指定的設備IP與設備BAS-IP或BAS-IPv6屬性值保持一致。可以通過portal { bas-ip | bas-ipv6 }命令來配置該屬性值。
· IPv6 Portal服務器不支持二次地址分配方式的Portal認證。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 開啟Portal認證,並指定認證方式。
(IPv4網絡)
portal enable method { direct | layer3 | redhcp }
(IPv6網絡)
portal ipv6 enable method { direct | layer3 }
缺省情況下,接口上的Portal認證功能處於關閉狀態。
一個接口上可以同時引用一個IPv4 Portal Web服務器和一個IPv6 Portal Web認證服務器。在接口上引用指定的Portal Web服務器後,設備會將該接口上Portal用戶的HTTP請求報文重定向到該Web服務器。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 引用Portal Web服務器。
portal [ ipv6 ] apply web-server server-name [ secondary ]
缺省情況下,接口上未引用Portal Web服務器。
禁止在無線服務模板視圖和接口視圖下同時開啟Portal認證功能。
無線服務模板上的Portal認證隻支持直接認證方式。
采用本地轉發模式時需要開啟無線Portal客戶端合法性檢查功能。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟Portal認證,並指定認證方式。
portal [ ipv6 ] enable method direct
缺省情況下,無線服務模板上的Portal認證功能處於關閉狀態。
在無線服務模板上引用指定的Portal Web服務器後,設備會將無線服務模板上Portal用戶的HTTP請求報文重定向到該Web服務器。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 引用Portal Web服務器。
portal [ ipv6 ] apply web-server server-name [ secondary ]
缺省情況下,無線服務模板上未引用Portal Web服務器。
每個Portal用戶都屬於一個認證域,且在其所屬的認證域內進行認證/授權/計費,認證域中定義了一套認證/授權/計費的策略。
通過配置Portal用戶使用的認證域,使得所有接入的Portal用戶被強製使用指定的認證域來進行認證、授權和計費。即使Portal用戶輸入的用戶名中攜帶的域名相同,接入設備的管理員也可以通過該配置使得不同接口或無線服務模板上接入的Portal用戶使用不同的認證域,從而增加管理員部署Portal接入策略的靈活性。
Portal用戶將按照如下先後順序選擇認證域:接口或無線服務模板上指定的Portal用戶使用的ISP域-->用戶名中攜帶的ISP域-->係統缺省的ISP域。如果根據以上原則決定的認證域在設備上不存在,但設備上為未知域名的用戶指定了ISP域,則最終使用該指定的ISP域認證。否則,用戶將無法認證。關於ISP域的相關介紹請參見“用戶接入與認證配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 配置接口上Portal用戶使用的認證域。
portal [ ipv6 ] domain domain-name
缺省情況下,接口上未配置Portal用戶使用的認證域。
接口上可以同時配置IPv4 Portal用戶和IPv6 Portal用戶的認證域。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置無線服務模板上Portal用戶使用的認證域。
portal [ ipv6 ] domain domain-name
缺省情況下,無線服務模板上未配置Portal用戶使用的認證域。
無線服務模板上可以同時指定IPv4 Portal用戶和IPv6 Portal用戶的認證域。
免認證規則的匹配項包括主機名、IP地址、TCP/UDP端口號、MAC地址、所連接設備的接口和VLAN等,隻有符合免認證規則的用戶報文才不會觸發Portal認證,因此這些報文所屬的用戶不需要通過Portal認證即可訪問網絡資源。
如果免認證規則中同時配置了接口和VLAN,則要求接口屬於指定的VLAN,否則該規則無效。
相同內容的免認證規則不能重複配置,否則提示免認證規則已存在或重複。
無論接口上是否開啟Portal認證,隻能添加或者刪除免認證規則,不能修改。
配置基於源AP的免認證規則之前已經在線的Portal用戶會繼續計費。
(1) 進入係統視圖。
system-view
(2) 配置基於IP地址的Portal免認證規則。
(IPv4網絡)
portal free-rule rule-number { destination ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] | source ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] } * [ interface interface-type interface-number ]
(IPv6網絡)
portal free-rule rule-number { destination ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] | source ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] } * [ interface interface-type interface-number ]
缺省情況下,未配置基於IP地址的Portal免認證規則。
(1) 進入係統視圖。
system-view
(2) 配置基於源的Portal免認證規則。
portal free-rule rule-number source { ap ap-name | { interface interface-type interface-number | mac mac-address | object-group object-group-name | vlan vlan-id } * }
缺省情況下,未配置基於源的Portal免認證規則。
vlan關鍵字僅對通過VLAN接口接入的Portal用戶生效。
(1) 進入係統視圖。
system-view
(2) 配置基於目的的Portal免認證規則。
portal free-rule rule-number destination host-name
缺省情況下,未配置基於目的的Portal免認證規則。
配置本功能前,請確保組網中已部署DNS服務器。
(1) 進入係統視圖。
system-view
(2) 配置Portal免認證規則的描述信息。
portal free-rule rule-number description text
缺省情況下,未配置Portal免認證規則的描述信息。
通過配置源認證網段實現隻允許在源認證網段範圍內的用戶HTTP/HTTPS報文才能觸發Portal認證。如果未認證用戶的HTTP/HTTPS報文既不滿足免認證規則又不在源認證網段內,則將被接入設備丟棄。
源認證網段配置僅對可跨三層Portal認證有效。
直接認證方式和二次地址分配認證方式下,用戶與接入設備上開啟Portal的接口在同一個網段,因此配置源認證網段沒有實際意義。對於直接認證方式,接入設備認為接口上的源認證網段為任意源IP;對於二次地址分配認證方式,接入設備認為接口上的源認證網段為接口私網IP決定的私網網段。
如果接口上同時配置了源認證網段和目的認證網段,則源認證網段的配置不會生效。
設備上可以配置多條源認證網段。若配置了網段地址範圍有所覆蓋或重疊的源認證網段,則僅其中地址範圍最大(子網掩碼或地址前綴最小)的一條源認證網段配置生效。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 配置源認證網段。
(IPv4網絡)
portal layer3 source ipv4-network-address { mask-length | mask }
(IPv6網絡)
portal ipv6 layer3 source ipv6-network-address prefix-length
缺省情況下,對任意用戶都進行Portal認證。
通過配置目的認證網段實現僅對要訪問指定目的網段(除免認證規則中指定的目的IP地址或網段)的用戶進行Portal認證,用戶訪問非目的認證網段時無需認證,可直接訪問。
如果接口上同時配置了源認證網段和目的認證網段,則源認證網段的配置無效。
設備上可以配置多條目的認證網段。若配置了網段地址範圍有所覆蓋或重疊的目的認證網段,則僅其中地址範圍最大(子網掩碼或地址前綴最小)的一條目的認證網段配置生效。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 配置目的認證網段。
(IPv4網絡)
portal free-all except destination ipv4-network-address { mask-length | mask }
(IPv6網絡)
portal ipv6 free-all except destination ipv6-network-address prefix-length
缺省情況下,對訪問任意目的網段的用戶都進行Portal認證。
黑名單規則用來過濾某些來自特定源或去往特定目的的報文。當通過設備的報文與黑名單規則相匹配的時候,設備會將這些報文丟棄。
如果黑名單規則中同時配置了源端口號和目的端口號,則要求源和目的端口號所屬的傳輸層協議類型保持一致。
源地址和目的地址的IP類型必須相同。
可以配置多條黑名單規則。
如果同時配置了免認證規則和黑名單規則,且二者指定的對象範圍有所重疊,則黑名單規則生效。
當黑名單規則配置為目的主機名時,設備會丟棄用戶發送的查詢目的主機名的DNS報文。如果設備上正確配置了DNS服務器,設備會解析目的主機名的地址,並將去往此地址的報文丟棄;在用戶沒有發送DNS報文的情況下,如果設備沒有正確配置DNS服務器,黑名單規則不生效。
(1) 進入係統視圖。
system-view
(2) 配置黑名單規則。
(IPv4網絡)
portal forbidden-rule rule-number [ source { ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] | ssid ssid-name } *
] destination { host-name | ip { ipv4-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] }
(IPv6網絡)
portal forbidden-rule rule-number [ source { ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] | ssid ssid-name } * ] destination { host-name | ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] }
缺省情況下,未配置黑名單規則。
設備默認隻允許未配置Web代理服務器的用戶瀏覽器發起的HTTP/HTTPS請求才能觸發Portal認證,若用戶使用配置了Web代理服務器的瀏覽器上網,則用戶的這類HTTP/HTTPS請求報文將被丟棄,而不能觸發Portal認證。這種情況下,網絡管理員可以通過在設備上添加Web代理服務器的TCP端口號,來允許使用Web代理服務器的用戶瀏覽器發起的HTTP/HTTPS請求也可以觸發Portal認證。
配置允許觸發Portal認證的Web代理服務器端口,需要注意的是:
· 80和443端口是Portal預留端口號,Portal認證的Web代理服務器的TCP端口號不能配置為80和443。
· 通過多次配置本功能,最多可以添加64個允許觸發Portal認證的Web代理服務器端口。
· HTTP和HTTPS請求允許觸發Portal認證的Web代理服務器端口不能相同。
如果用戶瀏覽器采用WPAD(Web Proxy Auto-Discovery,Web代理服務器自動發現)方式自動配置Web代理,還需要注意以下幾點:
· 配置允許觸發Portal認證的Web代理服務器端口的同時,還需要配置免認證規則,允許目的IP為WPAD主機IP地址的用戶報文免認證。
· 需要用戶在瀏覽器上將Portal認證服務器的IP地址配置為Web代理服務器的例外地址,避免Portal用戶發送給Portal認證服務器的HTTP/HTTPS報文被發送到Web代理服務器上,從而影響正常的Portal認證。
(1) 進入係統視圖。
system-view
(2) 配置允許觸發Portal認證的Web代理服務器端口。
portal web-proxy { http | https } port port-number
缺省情況下,未配置允許觸發Portal認證的Web代理服務器端口。
在無線組網環境中,設備上可能沒有Portal客戶端的ARP表項,為了保證合法用戶可以進行Portal認證,需要開啟無線Portal客戶端合法性檢查功能。本功能開啟後,當設備收到未認證Portal用戶的認證報文後,將使用WLAN Snooping表、DHCP Snooping表和ARP表對其進行合法性檢查。如果在這三個表中查詢到該Portal客戶端信息,則認為其合法並允許進行Portal認證。
用戶在無線服務模板上開啟Portal認證時需要開啟本功能。
在某些組網(如本地轉發、無線客戶端網關不在AC) 環境中,設備可能隻能通過WLAN Snooping表獲取無線Portal客戶端信息。此時必須要開啟無線客戶端的地址學習功能,相關配置請參見“用戶接入與認證配置指導”中的“WLAN IP Snooping”。
(1) 進入係統視圖。
system-view
(2) 開啟無線Portal客戶端合法性檢查功能。
portal host-check enable
缺省情況下,無線Portal客戶端合法性檢查功能處於開啟狀態。
通過配置可以控製係統中的全局Portal接入用戶總數和每個接口或無線服務模板上的最大Portal用戶數(包括IPv4 Portal用戶和IPv6 Portal用戶)。
建議將全局最大Portal用戶數配置為所有開啟Portal的接口或無線服務模板上的最大IPv4 Portal用戶數和最大IPv6 Portal用戶數之和,但不超過整機最大Portal用戶數,否則會有部分Portal用戶因為整機最大用戶數已達到而無法上線。
(1) 進入係統視圖。
system-view
(2) 配置全局Portal最大用戶數。
portal max-user max-number
缺省情況下,全局Portal最大用戶數不受限製。
如果配置的全局Portal最大用戶數小於當前已經在線的Portal用戶數,則配置可以執行成功,且在線Portal用戶不受影響,但係統將不允許新的Portal用戶接入。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 配置Portal最大用戶數。
portal { ipv4-max-user | ipv6-max-user } max-number
缺省情況下,接口上Portal最大用戶數不受限製。
如果接口上配置的Portal最大用戶數小於當前接口上已經在線的Portal用戶數,則配置可以執行成功,且在線Portal用戶不受影響,但係統將不允許新的Portal用戶從該接口接入。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置Portal最大用戶數。
portal { ipv4-max-user | ipv6-max-user } max-number
缺省情況下,無線服務模板上Portal最大用戶數不受限製。
如果無線服務模板上配置的Portal最大用戶數小於當前無線服務模板上已經在線的Portal用戶數,則配置可以執行成功,且在線Portal用戶不受影響,但係統將不允許新的Portal用戶從該無線服務模板上接入。
嚴格檢查模式用於配合服務器上的用戶授權控製策略,允許成功下發了授權信息的用戶在線。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 配置Portal授權信息的嚴格檢查模式。
portal authorization { acl | user-profile } strict-checking
缺省情況下,Portal授權信息處於非嚴格檢查模式,即當認證服務器下發的授權ACL、User Profile在設備上不存在或者設備下發ACL、User Profile失敗時,允許Portal用戶在線。
· 當認證服務器下發的授權ACL、User Profile在設備上不存在或者設備下發ACL、User Profile失敗時,設備將強製Portal用戶下線。
· 若同時開啟了對授權ACL和對授權User Profile的嚴格檢查模式,則隻要其中任意一個授權屬性未通過嚴格授權檢查,則用戶就會下線。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置Portal授權信息的嚴格檢查模式。
portal authorization { acl | user-profile } strict-checking
缺省情況下,Portal授權信息處於非嚴格檢查模式,即當認證服務器下發的授權ACL、User Profile在設備上不存在或者設備下發ACL、User Profile失敗時,允許Portal用戶在線。
· 當認證服務器下發的授權ACL、User Profile在設備上不存在或者設備下發ACL、User Profile失敗時,設備將強製Portal用戶下線。
· 若同時開啟了對授權ACL和對授權User Profile的嚴格檢查模式,則隻要其中任意一個授權屬性未通過嚴格授權檢查,則用戶就會下線。
為了保證隻有合法IP地址的用戶能夠接入,可以配置僅允許DHCP用戶上線功能。
本功能僅在采用接入設備作為DHCP服務器的組網中生效。
此配置不會影響已經在線的用戶。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 開啟Portal僅允許DHCP用戶上線功能。
portal [ ipv6 ] user-dhcp-only
缺省情況下,通過DHCP方式獲取IP地址的客戶端和配置靜態IP地址的客戶端都可以上線。
· 配置本功能後,IP地址為靜態配置的Portal認證用戶將不能上線。
· 在AC+Fit AP組網中,僅當AC作DHCP服務器時,本命令才生效。
· 在IPv6網絡中,配置本功能後,終端仍會使用臨時IPv6地址進行Portal認證,從而導致認證失敗,所以終端必須關閉臨時IPv6地址。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置Portal僅允許DHCP用戶上線功能。
portal [ ipv6 ] user-dhcp-only
缺省情況下,通過DHCP方式獲取IP地址的客戶端和配置靜態IP地址的客戶端都可以上線。
· 配置本功能後,IP地址為靜態配置的Portal認證用戶將不能上線。
· 在AC+Fit AP組網中,僅當AC作DHCP服務器時,本命令才生效。
· 在IPv6網絡中,配置本功能後,終端仍會使用臨時IPv6地址進行Portal認證,從而導致認證失敗,所以終端必須關閉臨時IPv6地址。
Portal認證失敗後的用戶阻塞功能處於開啟狀態時,如果在指定時間內用戶進行Portal認證失敗的次數達到指定值,該用戶將被阻塞一段時間,即在此時間段內來自該用戶的認證請求報文將被丟棄。通過配置該功能,可防止非法用戶使用窮舉法試探合法用戶的密碼。
Portal認證前域中的用戶在指定時間內認證失敗達到限定次數後不會被阻塞。
(1) 進入係統視圖。
system-view
(2) 開啟Portal認證失敗後的用戶阻塞功能。
portal user-block failed-times failed-times period period [ method { ip | mac | username } ]
缺省情況下,用戶進行Portal認證失敗後的用戶阻塞功能處於關閉狀態。
(3) 配置Portal用戶被阻塞的時長。
portal user-block reactive period
缺省情況下,Portal用戶被阻塞的時長為30分鍾。
Portal用戶被阻塞的時長取值為0時表示該用戶不能被激活重新進行Portal認證。
正常情況下,IPv4用戶通過Portal認證後隻能訪問IPv4網絡,IPv6用戶通過Portal認證後隻能訪問IPv6網絡,而配置Portal支持雙協議棧功能後,用戶可以通過一次Portal認證實現既能訪問IPv4網絡也能訪問IPv6網絡。
(1) 進入係統視圖。
system-view
(2) 配置Portal用戶日誌信息區分IPv4流量和IPv6流量。
portal user-log traffic-separate
缺省情況下,Portal用戶日誌信息不區分IPv4流量和IPv6流量。
(3) 進入三層接口視圖。
interface interface-type interface-number
(4) 開啟Portal支持雙協議棧功能。
portal dual-stack enable
缺省情況下,Portal支持雙協議棧功能處於關閉狀態。
(5) 開啟Portal雙協議棧流量計費分離功能。
portal dual-stack traffic-separate enable
缺省情況下,Portal雙協議棧流量計費分離功能處於關閉狀態,即Portal用戶的IPv4和IPv6流量合並計費。
(6) 開啟單棧用戶遠程Portal認證時同時攜帶IPv4和IPv6地址功能。
portal dual-ip enable
缺省情況下,單棧用戶Portal認證時同時攜帶IPv4和IPv6地址功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 配置Portal用戶日誌信息區分IPv4流量和IPv6流量。
portal user-log traffic-separate
缺省情況下,Portal用戶日誌信息不區分IPv4流量和IPv6流量。
(3) 進入無線服務模板視圖。
wlan service-template service-template-name
(4) 開啟Portal支持雙協議棧功能。
portal dual-stack enable
缺省情況下,Portal支持雙協議棧功能處於關閉狀態。
(5) 開啟Portal雙協議棧流量計費分離功能。
portal dual-stack traffic-separate enable
缺省情況下,Portal雙協議棧流量計費分離功能處於關閉狀態,即Portal用戶的IPv4和IPv6流量合並計費。
(6) 開啟單棧用戶遠程Portal認證時同時攜帶IPv4和IPv6地址功能。
portal dual-ip enable
缺省情況下,單棧用戶Portal認證時同時攜帶IPv4和IPv6地址功能處於關閉狀態。
Portal用戶VLAN內漫遊功能允許同屬一個VLAN的用戶在VLAN內漫遊,即隻要Portal用戶在某VLAN接口通過認證,則可以在該VLAN內的任何二層端口上訪問網絡資源,且移動接入端口時無須重複認證。若VLAN接口上未開啟該功能,則在線用戶在同一個VLAN內其它端口接入時,將無法訪問外部網絡資源,必須首先在原端口正常下線之後,才能在其它端口重新認證上線。
設備上有用戶在線的情況下,不能配置此功能。
Portal用戶VLAN內漫遊功能需要在關閉Portal客戶端Rule ARP/ND表項生成功能(通過命令undo portal refresh { arp | nd } enable)的情況下才能生效。
(1) 進入係統視圖。
system-view
(2) 開啟Portal用戶VLAN內漫遊功能。
portal roaming enable
缺省情況下,Portal用戶VLAN內漫遊功能處於開啟狀態。
Portal用戶AC間漫遊是指Portal用戶在AC設備上進行Portal認證成功後,再漫遊到其它AC設備時,不需要再次進行Portal認證,可以繼續訪問網絡資源。
本功能與基於MAC地址的快速認證功能不能同時配置。
僅用戶通過Web頁麵進行Portal認證支持本功能。
本功能必須與authorization-attribute命令中的idle-cut或session-timeout屬性配合使用。
(1) 進入係統視圖。
system-view
(2) 創建Portal漫遊中心,並進入Portal漫遊中心視圖。
portal roaming-center
(3) 指定WLAN漫遊中心的IPv4地址。
ip ip-address
缺省情況下,未指定WLAN漫遊中心的IPv4地址。
(4) 指定WLAN漫遊中心的IPv6地址。
ipv6 ipv6-address
缺省情況下,未指定WLAN漫遊中心的IPv6地址。
(5) 配置WLAN漫遊中心的UDP端口號。
port port-number
缺省情況下,WLAN漫遊中心的UDP端口號為1088。
(6) (可選)配置Portal漫遊中心等待WLAN漫遊中心響應報文的超時時間。
response-timeout timeout
缺省情況下,Portal漫遊中心接收WLAN漫遊中心響應報文的超時時間為3秒。
(7) (可選)配置Portal漫遊中心向WLAN漫遊中心發送報文的最大嚐試次數。
retry retries
缺省情況下,Portal漫遊中心向WLAN漫遊中心發送報文的最大嚐試次數為5次。
(8) (可選)開啟設備阻止用戶報文訪問網絡的功能。
user-traffic deny
缺省情況下,設備阻止用戶報文訪問網絡的功能處於關閉狀態。
(9) 開啟Portal漫遊中心功能。
roaming-center enable
缺省情況下,Portal漫遊中心功能處於關閉狀態。
缺省情況下,開啟了Portal認證的接口或無線服務模板,發送的報文不受Portal過濾規則的限製,即允許發送所有報文。當需要對此類接口或無線服務模板發送的報文進行嚴格控製時,可以在接口或無線服務模板上開啟Portal出方向報文過濾功能。開啟該功能後,在開啟了Portal認證的接口或無線服務模板上,僅當出方向的報文目的IP地址是已通過Portal認證的用戶IP地址或滿足已配置的免認證規則,才發送該報文,否則丟棄報文。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 開啟Portal出方向報文過濾功能。
portal [ ipv6 ] outbound-filter enable
缺省情況下,Portal出方向的報文過濾功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟Portal出方向報文過濾功能。
portal [ ipv6 ] outbound-filter enable
缺省情況下,Portal出方向的報文過濾功能處於關閉狀態。
當接入設備探測到Portal認證服務器或者Portal Web服務器不可達時,可打開接口或無線服務模板上的網絡限製,允許Portal用戶不需經過認證即可訪問網絡資源,也就是通常所說的Portal逃生功能。
如果接口或無線服務模板上同時開啟了Portal認證服務器不可達時的Portal用戶逃生功能和Portal Web服務器不可達時的Portal用戶逃生功能,則當任意一個服務器不可達時,即取消接口或無線服務模板的Portal認證功能,當兩個服務器均恢複可達性後,再重新啟動Portal認證功能。重新啟動接口或無線服務模板的Portal認證功能之後,未通過認證的用戶需要通過認證之後才能訪問網絡資源,已通過認證的用戶可繼續訪問網絡資源。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 開啟Portal認證服務器不可達時的Portal用戶逃生功能。
portal [ ipv6 ] fail-permit server server-name
缺省情況下,設備探測到Portal認證服務器不可達時,不允許Portal用戶逃生。
(4) 開啟Portal Web服務器不可達時的Portal用戶逃生功能。
portal [ ipv6 ] fail-permit web-server
缺省情況下,設備探測到Portal Web服務器不可達時,不允許Portal用戶逃生。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟Portal Web服務器不可達時的Portal用戶逃生功能。
portal [ ipv6 ] fail-permit web-server
缺省情況下,設備探測到Portal Web服務器不可達時,不允許Portal用戶逃生。
IPv4探測類型為ARP或ICMP,IPv6探測類型為ND或ICMPv6。
根據探測類型的不同,設備有以下兩種探測機製:
· 當探測類型為ICMP/ICMPv6時,若設備發現一定時間(idle time)內接口上未收到某Portal用戶的報文,則會向該用戶定期(interval interval)發送ICMP/ICMPv6報文。如果在指定探測次數(retry retries)之內,設備收到了該用戶的響應報文,則認為用戶在線,且停止發送探測報文,重複這個過程,否則,強製其下線。
· 當探測類型為ARP/ND時,若設備發現一定時間(idle time)內接口上未收到某Portal用戶的報文,則會向該用戶發送ARP/ND請求報文。設備定期(interval interval)檢測用戶ARP/ND表項是否被刷新過,如果在指定探測次數(retry retries)內用戶ARP/ND表項被刷新過,則認為用戶在線,且停止檢測用戶ARP/ND表項,重複這個過程,否則,強製其下線。
ARP和ND方式的探測隻適用於直接方式和二次地址分配方式的Portal認證。ICMP方式的探測適用於所有認證方式。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 開啟Portal用戶在線探測功能。
(IPv4網絡)
portal user-detect type { arp | icmp } [ retry retries ] [ interval interval ] [ idle time ]
(IPv6網絡)
portal ipv6 user-detect type { icmpv6 | nd } [ retry retries ] [ interval interval ] [ idle time ]
缺省情況下,接口上的Portal用戶在線探測功能處於關閉狀態。
在Portal認證的過程中,如果接入設備與Portal認證服務器的通信中斷,則會導致新用戶無法上線,已經在線的Portal用戶無法正常下線的問題。為解決這些問題,需要接入設備能夠及時探測到Portal認證服務器可達狀態的變化,並能觸發執行相應的操作來應對這種變化帶來的影響。
開啟Portal認證服務器的可達性探測功能後,設備會定期檢測Portal認證服務器發送的報文(例如,用戶上線報文、用戶下線報文、心跳報文)來判斷服務器的可達狀態:若設備在指定的探測超時時間(timeout timeout)內收到Portal報文,且驗證其正確,則認為此次探測成功且服務器可達,否則認為此次探測失敗,服務器不可達。
當接入設備檢測到Portal認證服務器可達或不可達狀態改變時,可執行以下一種或多種操作:
· 發送Trap信息:Portal認證服務器可達或者不可達的狀態改變時,向網管服務器發送Trap信息。Trap信息中記錄了Portal認證服務器名以及該服務器的當前狀態。
· 發送日誌:Portal認證服務器可達或者不可達的狀態改變時,發送日誌信息。日誌信息中記錄了Portal認證服務器名以及該服務器狀態改變前後的狀態。
· Portal用戶逃生:Portal認證服務器不可達時,暫時取消接口上進行的Portal認證,允許該接口接入的所有Portal用戶訪問網絡資源。之後,若設備收到Portal認證服務器發送的報文,則恢複該端口的Portal認證功能。該功能的詳細配置請參見“1.13.15 配置Portal用戶逃生功能”。
隻有當設備上存在開啟Portal認證的接口時,Portal認證服務器的可達性探測功能才生效。
目前,隻有iMC的Portal認證服務器支持發送心跳報文,由於心跳報文是周期性發送的,所以iMC的Portal認證服務器可以更好得與設備配合,使其能夠及時而準確地探測到它的可達性狀態。如果要采用心跳報文探測Portal服務器的可達性,服務器上必須保證逃生心跳功能處於開啟狀態。
如果同時指定了多種操作,則Portal認證服務器可達狀態改變時係統可並發執行多種操作。
設備配置的探測超時時間(timeout timeout)必須大於服務器上配置的逃生心跳間隔時間。
(1) 進入係統視圖。
system-view
(2) 進入Portal認證服務器視圖。
portal server server-name
(3) 開啟Portal認證服務器的可達性探測功能。
server-detect [ timeout timeout ] { log | trap } *
缺省情況下,Portal服務器可達性探測功能處於關閉狀態。
在Portal認證的過程中,如果接入設備與Portal Web服務器的通信中斷,將無法完成整個認證過程,因此必須對Portal Web服務器的可達性進行探測。
由於Portal Web服務器用於對用戶提供Web服務,不需要和設備交互報文,因此無法通過發送某種協議報文的方式來進行可達性檢測。開啟了Portal Web服務器的可達性探測功能之後,接入設備采用模擬用戶進行Web訪問的過程來實施探測:接入設備主動向Portal Web服務器發起TCP連接,如果連接可以建立,則認為此次探測成功且服務器可達,否則認為此次探測失敗。
· 探測參數
¡ 探測間隔:進行探測嚐試的時間間隔。
¡ 失敗探測的最大次數:允許連續探測失敗的最大次數。若連續探測失敗數目達到此值,則認為服務器不可達。
· 可達狀態改變時觸發執行的操作(可以選擇其中一種或同時使用多種)
¡ 發送Trap信息:Portal Web服務器可達或者不可達的狀態改變時,向網管服務器發送Trap信息。Trap信息中記錄了Portal Web服務器名以及該服務器的當前狀態。
¡ 發送日誌:Portal Web服務器可達或者不可達的狀態改變時,發送日誌信息。日誌信息中記錄了Portal Web服務器名以及該服務器狀態改變前後的狀態。
¡ Portal用戶逃生:Portal Web服務器不可達時,暫時取消端口進行的Portal認證,允許該端口接入的所有Portal用戶訪問網絡資源。之後,若Portal Web服務器可達,則恢複該端口的Portal認證功能。該功能的詳細配置請參見“1.13.15 配置Portal用戶逃生功能”。
隻有當配置了Portal Web服務器的URL地址,且設備上存在開啟Portal認證接口時,該Portal Web服務器的可達性探測功能才生效。
對於無線AC應用,如果Portal Web服務器的URL是域名形式,則集中轉發時,需要在AC上配置DNS server,本地轉發時,需要在AP上配置DNS server(通過MAP文件下發),否則可能會導致Portal Web服務器可達性探測失敗。
(1) 進入係統視圖。
system-view
(2) 進入Portal Web服務器視圖。
portal web-server server-name
(3) 開啟Portal Web服務器的可達性探測功能。
server-detect [ interval interval ] [ retry retries ] { log | trap } *
缺省情況下,Portal Web認證服務器的可達性探測功能處於關閉狀態。
(4) 配置Portal web服務器的探測URL及探測類型。
server-detect url string [ detect-type { http | tcp } ]
缺省情況下,Portal Web服務器可達性探測的URL為Portal web服務器視圖下url命令配置的URL地址,探測類型為TCP。
開啟DHCP報文捕獲功能後,AC會通過AP捕獲DHCP客戶端(Portal用戶)與DHCP服務器之間的DHCP報文,並進行報文解析以獲取IP地址租約等信息,如果在IP地址租約到期前收到Portal用戶的續約報文,則AC認為Portal用戶在線,繼續提供Portal服務,如果IP地址租約到期未收到Portal用戶續約報文,則會強製在線Portal用戶下線。有關DHCP報文的詳細介紹,請參見“網絡互通配置指導”中的“DHCP”。
DHCP報文捕獲定時器與DHCP報文中IP地址租約保持一致,每次捕獲DHCP報文後,都會刷新DHCP報文捕獲定時器時間。
(1) 進入係統視圖。
system-view
(2) 開啟通過捕獲DHCP報文進行Portal用戶在線探測的功能。
portal idle-cut dhcp-capture enable
缺省情況下,通過捕獲DHCP報文進行Portal用戶在線探測的功能處於關閉狀態。
為了解決接入設備與Portal認證服務器通信中斷後,兩者的Portal用戶信息不一致問題,設備提供了一種Portal用戶信息同步功能。該功能利用了Portal同步報文的發送及檢測機製,具體實現如下:
(1) 由Portal認證服務器周期性地(周期為Portal認證服務器上指定的用戶心跳間隔值)將在線用戶信息通過用戶同步報文發送給接入設備;
(2) 接入設備在用戶上線之後,即開啟用戶同步檢測定時器(超時時間為timeout timeout),在收到用戶同步報文後,將其中攜帶的用戶列表信息與自己的用戶列表信息進行對比,如果發現同步報文中有設備上不存在的用戶信息,則將這些自己沒有的用戶信息反饋給Portal認證服務器,Portal認證服務器將刪除這些用戶信息;如果發現接入設備上的某用戶信息在一個用戶同步報文的檢測超時時間內,都未在該Portal認證服務器發送過來的用戶同步報文中出現過,則認為Portal認證服務器上已不存在該用戶,設備將強製該用戶下線。
隻有在支持Portal用戶心跳功能(目前僅iMC的Portal認證服務器支持)的Portal認證服務器的配合下,本功能才有效。為了實現該功能,還需要在Portal認證服務器上選擇支持用戶心跳功能,且服務器上配置的用戶心跳間隔要小於設備上配置的檢測超時時間。建議設備上配置的檢測超時時間為服務器上配置的用戶心跳間隔的兩倍以上。
在設備上刪除Portal認證服務器時將會同時刪除該服務器的用戶信息同步功能配置。
(1) 進入係統視圖。
system-view
(2) 進入Portal認證服務器視圖。
portal server server-name
(3) 開啟Portal用戶信息同步功能。
user-sync timeout timeout
缺省情況下,Portal用戶信息同步功能處於關閉狀態。
設備上運行Portal 2.0版本時,主動發送給Portal認證服務器的報文(例如強製用戶下線報文)中必須攜帶BAS-IP屬性。設備上運行Portal 3.0版本時,主動發送給Portal認證服務器的報文必須攜帶BAS-IP或者BAS-IPv6屬性。若配置此功能,設備主動發送的通知類Portal報文,其源IP地址為配置的BAS-IP或BAS-IPv6屬性值,否則為Portal報文出接口的IP地址。
設備進行二次地址分配認證和強製Portal用戶下線過程中,均需要設備主動向Portal認證服務器發送相應的通知類Portal報文,因此,為了保證二次地址分配認證方式下Portal用戶可以成功上線,以及設備可以成功通知Portal認證服務器用戶下線,需要保證BAS-IP/BAS-IPv6屬性值與Portal認證服務器上指定的設備IP一致。
使用iMC的Portal認證服務器的情況下,如果Portal服務器上指定的設備IP不是設備上Portal報文出接口的IP地址,則開啟了Portal認證的接口上必須配置BAS-IP或者BAS-IPv6屬性與Portal認證服務器上指定的設備IP一致。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 配置BAS-IP或BAS-IPv6屬性。
(IPv4網絡)
portal bas-ip ipv4-address
缺省情況下,發送給Portal認證服務器的響應類的IPv4 Portal報文中攜帶的BAS-IP屬性為報文的源IPv4地址,通知類IPv4 Portal報文中攜帶的BAS-IP屬性為報文出接口的IPv4地址。
(IPv6網絡)
portal bas-ipv6 ipv6-address
缺省情況下,發送給Portal認證服務器的響應類的IPv6 Portal報文中攜帶的BAS-IPv6屬性為報文的源IPv6地址,通知類IPv6 Portal報文中攜帶的BAS-IPv6屬性為報文出接口的IPv6地址。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置BAS-IP屬性。
(IPv4網絡)
portal bas-ip ipv4-address
缺省情況下,發送給Portal認證服務器的響應類的IPv4 Portal報文中攜帶的BAS-IP屬性為報文的源IPv4地址,通知類IPv4 Portal報文中攜帶的BAS-IP屬性為報文出接口的IPv4地址。
portal bas-ipv6 ipv6-address
缺省情況下,發送給Portal認證服務器的響應類的IPv6 Portal報文中攜帶的BAS-IPv6屬性為報文的源IPv6地址,通知類IPv6 Portal報文中攜帶的BAS-IPv6屬性為報文出接口的IPv6地址。
通過配置接入設備的ID,使得接入設備向Portal認證服務器發送的協議報文中攜帶一個屬性,此屬性用於向Portal服務器標識發送協議報文的接入設備。
不同設備的設備ID不能相同。
(1) 進入係統視圖。
system-view
(2) 配置接入設備的ID。
portal device-id device-id
缺省情況下,未配置任何設備的ID。
不同廠商的RADIUS服務器對RADIUS報文中的NAS-Port-ID屬性格式要求不同,可修改設備發送的RADIUS報文中填充的NAS-Port-ID屬性的格式。設備支持四種屬性格式,分別為format 1和format 2、format 3和format 4,這四種屬性格式具體要求請參見“用戶接入與認證命令參考”中的“Portal” 。
(1) 進入係統視圖。
system-view
(2) 配置NAS-Port-ID屬性的格式。
portal nas-port-id format { 1 | 2 | 3 | 4 }
缺省情況下,NAS-Port-ID屬性的格式為format 2。
用戶的接入VLAN可標識用戶的接入位置,而在某些應用環境中,網絡運營商需要使用接入設備發送給RADIUS服務器的NAS-Identifier屬性值來標識用戶的接入位置,因此接入設備上需要建立用戶接入VLAN與指定的NAS-ID之間的綁定關係。當接口上有Portal用戶上線時,若該接口上指定了NAS-ID Profile,則接入設備會根據指定的Profile名稱和用戶接入的VLAN來獲取與此VLAN綁定的NAS-ID,此NAS-ID的值將作為向RADIUS服務器發送的RADIUS請求報文中的NAS-Identifier屬性值。
如果接口上指定了NAS-ID Profile,則此Profile中定義的綁定關係優先使用;如果未指定NAS-ID Profile或指定的Profile中沒有找到匹配的綁定關係,則使用設備名作為NAS-ID。
(1) 進入係統視圖。
system-view
(2) 創建NAS-ID Profile,並進入NAS-ID-Profile視圖。
aaa nas-id profile profile-name
該命令的具體介紹請參見“用戶接入與認證命令參考”中的“AAA”。
(3) 設置NAS-ID與VLAN的綁定關係。
nas-id nas-identifier bind vlan vlan-id
該命令的具體情況請參見“用戶接入與認證命令參考”中的“AAA”。
(4) 指定引用的NAS-ID Profile。
a. 退回係統視圖。
quit
b. 進入三層接口視圖。
interface interface-type interface-number
c. 指定引用的NAS-ID Profile
portal nas-id-profile profile-name
RADIUS標準屬性NAS-Port-Type用於表示用戶接入的端口類型。
若作為Portal認證接入設備的BAS(Broadband Access Server,寬帶接入服務器)與Portal客戶端之間跨越了多個網絡設備,則可能無法正確獲取到接入用戶的實際端口信息,例如對於Portal認證接入的無線客戶端,BAS獲取到的接入端口類型有可能是設備上認證該用戶的有線接口類型。因此,為保證BAS能夠向RADIUS服務器正確傳遞用戶的接入端口信息,需要網絡管理員在了解用戶的實際接入環境後,通過本命令指定相應的NAS-Port-Type。
當接口或無線服務模板上有Portal用戶上線時候,若該接口或無線服務模板上配置了NAS-Port-Type,則使用本命令配置的值作為向RADIUS服務器發送的RADIUS請求報文的NAS-Port-Type屬性值,否則使用接入設備獲取到的用戶接入的端口類型填充該屬性。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 配置NAS-Port-Type。
portal nas-port-type { ethernet | wireless }
缺省情況下,接入設備向RADIUS服務器發送的RADIUS請求報文中的NAS-Port-Type屬性值為接入設備獲取到的用戶接入的端口類型值。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置NAS-Port-Type。
portal nas-port-type { ethernet | wireless }
缺省情況下,接入設備向RADIUS服務器發送的RADIUS請求報文中的NAS-Port-Type屬性值為接入設備獲取到的用戶接入的端口類型值。
僅IPv4的直接認證和可跨三層的認證方式支持基於MAC地址的快速認證。
如果在同一個接口上,既應用了基於MAC地址的快速認證,又配置了Portal認證前用戶使用的認證域,則請保證用戶免認證流量的閾值為0字節,否則會導致基於MAC地址的快速認證功能失效。
設備支持配置多個MAC綁定服務器,每個MAC綁定服務器擁有獨立的視圖,可以用於配置MAC綁定服務器的相關參數,包括服務器的IP地址、服務器的端口號以及設備和服務器間通信的共享密鑰等。
(1) 進入係統視圖。
system-view
(2) 創建MAC綁定服務器並進入MAC綁定服務器視圖。
portal mac-trigger-server server-name
(3) 配置MAC綁定服務器。
¡ 配置MAC綁定服務器的IP地址。
ip ipv4-address [ key { cipher | simple } string ]
缺省情況下,未配置MAC綁定服務器的IP地址。
¡ (可選)配置MAC綁定服務器監聽查詢報文的UDP端口號。
port port-number
缺省情況下,MAC綁定服務器監聽查詢報文的UDP端口號是50100。
¡ (可選)配置設備向MAC綁定服務器發起MAC查詢的最大次數和時間間隔。
binding-retry { retries | interval interval } *
缺省情況下,設備發起MAC查詢的最大次數為3次,發起MAC查詢的時間間隔為1秒。
¡ (可選)配置MAC綁定服務器的服務類型。
server-type { cmcc | imc }
缺省情況下,MAC綁定服務器的服務類型為iMC。
(4) (可選)配置用戶免認證流量的閾值。
free-traffic threshold value
缺省情況下,用戶免認證流量的閾值為0字節。
(5) (可選)配置設備發送的RADIUS請求報文中的NAS-Port-Type屬性值。
nas-port-type value
缺省情況下,未配置設備發送的RADIUS請求報文中的NAS-Port-Type屬性值。
(6) (可選)配置Portal協議報文的版本號。
version version-number
缺省情況下,Portal協議報文的版本號為1。
(7) (可選)配置設備收到MAC綁定服務器的查詢響應消息後,等待Portal認證完成的超時時間。
authentication-timeout minutes
缺省情況下,設備收到MAC綁定服務器查詢回複消息後,等待Portal認證完成的超時時間為3分鍾。
(8) (可選)配置MAC-trigger表項老化時間。
aging-time seconds
缺省情況下,MAC-trigger表項老化時間為300秒。
(9) (可選)配置若用戶在基於MAC地址的快速認證過程中AAA認證失敗,則設備直接發起Portal認證。
aaa-fail nobinding enable
缺省情況下,若用戶在基於MAC地址的快速認證過程中AAA認證失敗,則用戶報文將觸發基於MAC地址的快速認證流程。
當配置本地MAC-trigger認證時,MAC綁定服務器就是接入設備本身且用戶必須進行本地Portal認證。設備支持配置多個MAC綁定服務器,每個MAC綁定服務器擁有獨立的視圖,可以用於配置MAC綁定服務器的相關參數。
(1) 進入係統視圖。
system-view
(2) 創建MAC綁定服務器並進入MAC綁定服務器視圖。
portal mac-trigger-server server-name
(3) 開啟Portal本地MAC-trigger認證功能。
local-binding enable
缺省情況下,Portal本地MAC-trigger認證功能處於關閉狀態。
(4) (可選)配置用戶免認證流量的閾值。
free-traffic threshold value
缺省情況下,用戶免認證流量的閾值為0字節。
(5) (可選)配置本地MAC-trigger綁定表項的老化時間。
local-binding aging-time minutes
缺省情況下,本地MAC-trigger綁定表項的老化時間為720分鍾。
(6) (可選)配置MAC-trigger表項老化時間。
aging-time seconds
缺省情況下,MAC-trigger表項老化時間為300秒。
(7) (可選)配置用戶開啟基於MAC地址的快速認證且AAA認證失敗後,設備直接發起正常的Portal認證。
aaa-fail nobinding enable
缺省情況下,用戶開啟基於MAC地址的快速認證且AAA認證失敗後,用戶報文將觸發正常的基於MAC地址的快速認證流程。
在接口上應用MAC綁定服務器,可以為通過該接口接入網絡的用戶提供基於MAC地址的快速認證服務。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 在接口上應用MAC綁定服務器。
portal apply mac-trigger-server server-name
缺省情況下,未應用MAC綁定服務器。
在無線服務模板上應用MAC綁定服務器,可以為使用該服務模板接入網絡的用戶提供基於MAC地址的快速認證服務。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 在無線服務模板上應用MAC綁定服務器。
portal apply mac-trigger-server server-name
缺省情況下,未應用MAC綁定服務器。
當進行雲端MAC-trigger認證時,需要開啟Portal雲端MAC-trigger認證功能。
(1) 進入係統視圖。
system-view
(2) 進入MAC綁定服務器視圖。
portal mac-trigger-server server-name
(3) 開啟Portal雲端MAC-trigger認證功能。
cloud-binding enable
缺省情況下,Portal雲端MAC-trigger認證功能處於關閉狀態。
(4) 指定雲端Portal認證服務器URL。
cloud-server url url-string
缺省情況下,未指定雲端Portal認證服務器URL,設備采用Portal Web服務器下配置的URL。
通過配置強製在線用戶下線可以終止對用戶的Portal認證過程,或者將已經通過認證的Portal用戶刪除。
當在線用戶數目超過2000時,執行命令強製在線用戶下線需要幾分鍾的時間,在此期間,請勿進行關閉接口上Portal功能等操作;否則會導致在線用戶刪除操作不能正常完成。
(1) 進入係統視圖。
system-view
(2) 強製指定的在線Portal用戶或所有在線Portal用戶下線。
(IPv4網絡)
portal delete-user { ipv4-address | all | auth-type { azure | cloud | email | facebook | local | normal | qq | wechat } | interface interface-type interface-number | mac mac-address | username username }
(IPv6網絡)
portal delete-user { all | auth-type { azure | cloud | email | facebook | local | normal | qq | wechat } | interface interface-type interface-number | ipv6 ipv6-address | mac mac-address | username username }
通過配置無線Portal用戶自動下線功能,可以在無線客戶端斷開無線連接時,自動將該客戶端上的Portal用戶下線。
(1) 進入係統視圖。
system-view
(2) 開啟無線Portal用戶自動下線功能。
portal user-logoff after-client-offline enable
缺省情況下,無線客戶端斷開無線連接後,Portal用戶不會自動下線。
缺省情況下,流量備份的閾值為10M字節,即用戶流量達到10M字節時設備會對該Portal用戶的會話數據以及流量等信息進行備份。流量備份的閾值越小備份越頻繁,流量備份越精確。當設備上有大量Portal用戶在線時,對Portal用戶信息進行頻繁備份會影響到用戶的上下線以及計費等流程的處理性能。因此,需綜合考慮對各業務的處理性能和流量備份的精確度合理配置流量備份閾值。
(1) 進入係統視圖。
system-view
(2) 配置Portal用戶流量備份閾值。
portal traffic-backup threshold value
缺省情況下,Portal用戶流量備份閾值為10兆字節。
缺省情況下,Portal用戶流量速率計算時間間隔為1秒,設備僅能獲取到用戶瞬間的流量速率,不利於對用戶實際使用的流量均值進行準確有效地分析。當管理員需要查看用戶在一定周期內的平均流量速率值時,可以通過此功能配置用戶流量速率計算時間間隔。設備根據時間間隔內獲取到的Portal用戶所有流量的總值除以時間間隔,計算得到用戶在該間隔內的流量速率平均值。之後,管理員可以通過display portal user命令查看到用戶流量速率平均值。
(1) 進入係統視圖。
system-view
(2) 配置Portal用戶流量速率計算時間間隔。
portal traffic-rate statistics-interval interval
缺省情況下,Portal用戶流量速率計算時間間隔為1秒。
Portal客戶端的Rule ARP/ND表項生成功能處於開啟狀態時,Portal客戶端上線後,其ARP/ND表項為Rule表項,在Portal客戶端下線後會被立即刪除,導致Portal客戶端在短時間內再上線時會因ARP/ND表項還未學習到而認證失敗。此情況下,需要關閉本功能,使得Portal客戶端上線後其ARP/ND表項仍為動態表項,在Portal客戶端下線後按老化時間正常老化。
此功能的開啟和關閉不影響已經在線的Portal客戶端的ARP/ND表項類型。
當Portal客戶端和Portal服務器屬於不同的VPN實例時,請通過undo portal refresh arp enable命令關閉Portal客戶端的Rule ARP表項生成功能,否則會導致Portal客戶端異常下線。
(1) 進入係統視圖。
system-view
(2) 關閉Portal客戶端Rule ARP/ND表項生成功能。
undo portal refresh { arp | nd } enable
缺省情況下,Portal客戶端Rule ARP表項、ND表項生成功能處於關閉狀態。
在計費服務器上,可根據不同的應用場景對用戶采用不同的計費方式,包括時長計費、流量計費或者不計費。當計費服務器采用時長計費或不計費時,需要關閉設備上的流量計費功能,此時設備對用戶流量不做精確統計。當計費服務器采用流量計費的方式時,需要設備上開啟流量計費功能,從而精確統計用戶實際使用的流量。
(1) 進入係統視圖。
system-view
(2) 關閉Portal用戶流量計費功能。
portal traffic-accounting disable
缺省情況下,Portal用戶流量計費功能處於開啟狀態。
接口或無線服務模板上配置了Web重定向功能後,當該接口或無線服務模板上接入的用戶初次通過Web頁麵訪問外網時,設備會將用戶的初始訪問頁麵重定向到指定的URL頁麵,之後用戶才可以正常訪問外網。經過一定時長(interval)後,設備又可以將用戶要訪問的網頁或者正在訪問的網頁重定向到指定的URL頁麵。Web重定向功能是一種簡化的Portal功能,它不需要用戶通過Web訪問外部網絡之前提供用戶名和密碼,可通過對用戶訪問的網頁定期重定向的方式為網絡服務提供商的業務拓展提供方便,例如可以在重定向的頁麵上開展廣告、信息發布等業務。
配置Web重定向功能,請遵循以下配置原則:
· Web重定向功能僅對使用默認端口號80的HTTP協議報文生效。
· 如果設備支持以太網通道接口(Eth-channel),則該設備所有支持Web重定向和Portal功能的接口下可以同時開啟Web重定向功能和Portal功能,否則當接口下同時開啟Web重定向功能和Portal功能時,Web重定向功能失效。
· Web重定向功能指定的URL地址或用戶訪問的地址為本設備地址時,本設備必須保證HTTP服務處於開啟狀態。
· 如果接口下同時開啟了Portal認證、Web重定向:
¡ 設備會將該用戶初始訪問的HTTP請求重定向到Web重定向指定的URL頁麵,之後,用戶首次訪問外網的HTTP請求會被重定向到Portal Web服務器觸發Portal認證。Portal用戶下線後,用戶初始訪問的HTTP請求還會被重定向到Web重定向指定的URL。
¡ 當Web重定向周期達到指定的時長(interval)後,無論Portal用戶是否在線,設備都會把任何的HTTP請求重定向到Web重定向指定的URL頁麵,且此過程不會導致在線Portal用戶下線。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 配置Web重定向功能。
web-redirect [ ipv6 ] url url-string [ interval interval ]
缺省情況下,Web重定功能處於關閉狀態。
配置Web重定向功能,請遵循以下配置原則:
· Web重定向功能僅對使用默認端口號80的HTTP協議報文生效。
· Web重定向功能指定的URL地址或用戶訪問的地址為本設備地址時,本設備必須保證HTTP服務處於開啟狀態。
· 無線服務模板下不能同時開啟Web重定向功能和Portal功能,否則Portal功能失效。
· 如果Portal Web服務器的URL是域名形式,則集中轉發時,需要在AC上配置DNS server,本地轉發時,需要在AP上配置DNS server(通過MAP文件下發),否則可能會導致重定向失敗。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置Web重定向功能。
web-redirect [ ipv6 ] url url-string [ interval interval ]
缺省情況下,Web重定功能處於關閉狀態。
配置基於目的的Portal強製重定向規則用於當Portal用戶訪問指定地址時,Portal服務器會將用戶Web請求重定向到指定URL。
若同時配置了基於目的的Portal強製重定向規則和重定向URL的匹配規則,則僅基於目的的Portal強製重定向規則生效。
如果配置了redirect-url參數,則參數中的URL地址不能與host或ipv6配置的地址位置互換,避免造成循環重定向。
係統中最多允許同時存在10條Portal強製重定向規則,訪問同一主機名或IP地址的Portal強製重定向規則隻能配置一條。
(1) 進入係統視圖。
system-view
(2) 配置基於目的的Portal強製重定向規則。
portal redirect-rule destination { host { host-name | ip-address } | ipv6 ipv6-address } [ redirect-url url ]
缺省情況下,設備存在兩條基於目的地址10.1.0.6和10.168.168.1的Portal強製重定向規則。
缺省情況下,設備默認使用基於HTTPS協議的重定向功能時,終端經常會提示跳轉頁麵存在安全性問題的告警。在安全性要求不高或者可信任的環境下,如果用戶不希望看到這樣的告警,可以通過本功能來關閉基於HTTPS協議的重定向功能。
關閉本功能後,Portal認證、MAC地址認證以及802.1X認證基於HTTPS協議的重定向功能將會失效,即使用HTTP協議進行重定向。
在安全性要求高或者不可信任的環境下,建議不要關閉基於HTTPS協議的重定向功能,否則可能會帶來安全風險。
(1) 進入係統視圖。
system-view
(2) 關閉基於HTTPS協議的重定向功能。
undo http-redirect https enable
缺省情況下,基於HTTPS協議的重定向功能處於開啟狀態。
Portal安全重定向功能是根據HTTP報文的請求方法、產生HTTP報文的瀏覽器類型和訪問網絡的目的URL這些特征,有針對性的將一些HTTP請求報文丟棄,不再重定向到Portal Web服務器,從而有效的減輕了Portal Web服務器的負擔,降低因大量HTTP請求造成的Portal服務器資源耗盡無法響應正常認證請求的風險。
|
瀏覽器類型 |
描述 |
|
Safari |
蘋果瀏覽器 |
|
Chrome |
穀歌瀏覽器 |
|
Firefox |
火狐瀏覽器 |
|
UC |
UC瀏覽器 |
|
QQBrowser |
QQ瀏覽器 |
|
LBBROWSER |
獵豹瀏覽器 |
|
TaoBrowser |
淘寶瀏覽器 |
|
Maxthon |
傲遊瀏覽器 |
|
BIDUBrowser |
百度瀏覽器 |
|
MSIE 10.0 |
微軟IE 10.0瀏覽器 |
|
MSIE 9.0 |
微軟IE 9.0瀏覽器 |
|
MSIE 8.0 |
微軟IE 8.0瀏覽器 |
|
MSIE 7.0 |
微軟IE 7.0瀏覽器 |
|
MSIE 6.0 |
微軟IE 6.0瀏覽器 |
|
MetaSr |
搜狗瀏覽器 |
(1) 進入係統視圖。
system-view
(2) 開啟Portal安全重定向功能。
portal safe-redirect enable
缺省情況下,Portal安全重定向功能處於關閉狀態。
(3) (可選)配置Portal安全重定向允許的HTTP協議的請求方法。
portal safe-redirect method { get | post } *
缺省情況下,未配置HTTP協議的請求方法。
Portal安全重定向功能開啟後,HTTP協議的請求方法缺省為GET。
(4) (可選)匹配Portal安全重定向允許的HTTP User Agent中的瀏覽器類型。
portal safe-redirect user-agent user-agent-string
缺省情況下,未配置匹配Portal安全重定向允許的HTTP User Agent中的瀏覽器類型。
Portal安全重定向功能開啟後,默認與表1-2中的所有瀏覽器類型匹配的HTTP報文都能被Portal重定向。
(5) (可選)配置Portal安全重定向禁止的URL地址。
portal safe-redirect forbidden-url user-url-string
Portal可以對任意URL地址的HTTP請求報文進行重定向。
(6) (可選)配置用戶訪問目的網絡的HTTP請求中禁止攜帶指定的關鍵字。
portal safe-redirect forbidden-keyword keyword
缺省情況下,Portal安全重定向允許URL攜帶任意關鍵字。
(7) (可選)配置Portal安全重定向URL地址匹配的缺省動作。
portal safe-redirect default-action { forbidden | permit }
缺省情況下,未配置Portal安全重定向URL地址匹配的缺省動作。
(8) 配置Portal安全重定向允許的URL地址。
portal safe-redirect permit-url user-url-string
缺省情況下,設備允許對任意URL地址進行Portal安全重定向。
當用戶客戶端裝了惡意軟件或遭到病毒攻擊時,會發起大量Portal重定向會話。本特性用來同時配置設備上單個Portal用戶的HTTP和HTTPS重定向的最大會話數,即單個Portal用戶的HTTP重定向的最大會話數和HTTPS重定向會話數均為設置值,且每秒處理的HTTP和HTTPS重定向的最大會話數也為設置值,Portal重定向的總最大會話數為二者之和,且每秒處理的重定向總最大會話數也為二者之和。
(1) 進入係統視圖。
system-view
(2) 配置單用戶Portal重定向的最大會話數。
portal redirect max-session per-user number
缺省情況下,未配置單用戶Portal重定向的最大會話數。
當客戶端數據報文轉發位置配置在AP上時,AP會定期向AC上報流量統計信息。
(1) 進入係統視圖。
system-view
(2) 配置AP給AC上報流量統計信息時間間隔。
portal client-traffic-report interval interval
缺省情況下,AP給AC上報流量統計信息的時間間隔為60秒。
由於不同的Portal認證服務器對Portal協議報文中的屬性字段支持情況不同,如果設備發送給Portal認證服務器的Portal協議報文中攜帶了服務器不支持的屬性字段,會導致設備和Portal認證服務器不能通信。
通過配置本特性,可以指定設備發送的Portal協議報文中不攜帶Portal認證服務器不支持的屬性字段,從而避免因設備和Portal認證服務器不通導致Portal認證失敗。
(1) 進入係統視圖。
system-view
(2) 進入Portal認證服務器視圖。
portal server server-name
(3) 配置Portal協議報文中不攜帶的屬性字段。
exclude-attribute number { ack-auth | ntf-logout | ack-logout }
缺省情況下,未配置Portal協議報文中不攜帶的屬性字段。
(1) 進入係統視圖。
system-view
(2) 進入MAC綁定服務器視圖。
portal mac-trigger-server server-name
(3) 配置Portal協議報文中不攜帶的屬性字段。
exclude-attribute attribute-number
缺省情況下,未配置Portal協議報文中不攜帶的屬性字段。
通常Portal認證需要用戶自己搭建Portal認證服務器和Portal Web服務器,並需要創建專門用於Portal認證的用戶名和密碼,增加了用戶的管理和維護成本。隨著第三方賬號的普及,設備支持配置QQ、微信、Facebook、Azure AD或者郵箱服務器作為第三方Portal認證服務器,完成Portal認證的功能。
在使用第三方認證時,網絡管理員需要在Portal Web頁麵上增加第三方認證按鈕,終端用戶點擊按鈕後可直接跳轉到第三方認證頁麵,使用已有的第三方賬號來進行Portal認證。
僅當設備配置本地Portal Web服務功能,且使用直接認證方式時,才支持配置Portal第三方認證功能。
微信認證不需要編輯第三方認證按鈕和認證登錄頁麵。
配置Portal第三方認證功能需要在Portal Web認證頁麵上添加第三方認證按鈕,通過點擊第三方認證按鈕跳轉到第三方認證頁麵上。第三方認證按鈕包括QQ認證按鈕、郵箱認證按鈕和Facebook認證按鈕。
· 在編輯QQ認證按鈕時,必須調用pt_getQQSubmitUrl()函數獲取QQ認證頁麵地址。
腳本內容的部分示例:
<html>
<head>
<title>Logon</title>
<script type="text/javascript" language="javascript" src="pt_private.js"></script>
<script type="text/javascript">
function setQQUrl(){
document.getElementById("qqurl").href = pt_getQQSubmitUrl();
}
</script>
</head>
<body>
... ...
<a href="javascript:void(null)" id="qqurl" onclick="setQQUrl()">QQ</a>
... ...
</body>
</html>
· 郵箱認證按鈕和Facebook認證按鈕無特殊要求,按正常編輯方法編輯即可。
在Portal Web認證頁麵上點擊第三方認證按鈕會跳轉到第三方認證頁麵上,QQ認證登錄頁麵由騰訊提供,郵箱認證登錄頁麵需要用戶自己編輯。在編輯郵箱認證登錄頁麵時除需遵守1.7.3 自定義認證頁麵文件的相關規範外,還有以下要求:
· 郵箱認證登錄頁麵Form的action=maillogin.html,否則無法將用戶信息送到本地進行郵箱認證。
· 郵箱認證登錄頁麵的文件名稱為emailLogon.htm。
emailLogon.htm頁麵腳本內容的部分示例:
<form action= maillogin.html method = post >
<p>User name:<input type="text" name = "PtUser" style="width:160px;height:22px" maxlength=64>
<p>Password :<input type="password" name = "PtPwd" style="width:160px;height:22px" maxlength=32>
<p><input type=SUBMIT value="Logon" name = "PtButton" style="width:60px;" onclick="form.action=form.action+location.search;">
</form>
當終端用戶通過QQ認證後,QQ認證服務器會發送授權碼給Portal Web服務器,Portal Web服務器會將獲得的授權碼、app-id以及app-key發送到QQ認證服務器進行再次驗證,以獲知終端用戶是否已通過QQ認證。
在使用QQ認證功能前,網絡管理員必須先到QQ互聯平台http://connect.qq.com/intro/login進行網站接入申請,申請時需要使用合法的QQ號和QQ認證成功之後終端用戶訪問的頁麵地址(通過redirect-url命令配置)。申請驗證通過後網絡管理員可從QQ互聯平台獲得app-id和app-key。
(1) 進入係統視圖。
system-view
(2) 創建QQ認證服務器,並進入QQ認證服務器視圖。
portal extend-auth-server qq
(3) (可選)配置QQ認證服務器的地址。
auth-url url-string
缺省情況下,QQ認證服務器的地址為https://graph.qq.com。
(4) (可選)配置QQ認證成功之後的重定向地址。
redirect-url url-string
缺省情況下,QQ認證成功之後的重定向地址為http://oauthindev.h3c.com/portal//qqlogin.ht
ml。
(5) (可選)配置QQ認證服務時用戶的唯一標識。
app-id app-id
缺省情況下,QQ認證存在一個預定義的唯一標識。
(6) (可選)配置app-id對應的密鑰。
app-key { cipher | simple } app-key
缺省情況下,QQ認證存在一個預定義的密鑰。
在進行郵箱認證功能時,終端用戶直接在認證頁麵輸入郵箱賬號和密碼,若郵箱服務器驗證通過,即可訪問相關資源。
(1) 進入係統視圖。
system-view
(2) 創建郵箱認證服務器,並進入郵箱認證服務器視圖。
portal extend-auth-server mail
(3) 配置郵箱認證服務支持的協議類型。
mail-protocol { imap | pop3 } *
缺省情況下,未配置郵箱認證服務支持的協議類型。
(4) 配置郵箱認證服務支持的郵箱類型。
mail-domain-name string
缺省情況下,未配置郵箱認證服務支持的郵箱類型。
Portal本地微信認證強製關注功能用來強製終端用戶在進行Portal本地微信認證時關注商家微信公眾號,如果終端用戶未關注商家的微信公眾號,則無法進行Portal本地微信認證。
對Portal用戶應用本地微信認證強製關注功能時,設備需要將配置的app-id、app-secret發送到微信公眾平台獲取access-token。當設備收到用戶的Portal認證請求時,會用獲取的access-token和認證請求中的openId向微信服務器發送請求來獲取用戶信息,設備通過微信服務器返回的用戶信息來判斷用戶是否關注微信公眾號。
終端用戶采用本地微信認證服務時,設備需要將配置的app-id、app-key、shop-id發送到微信公眾平台進行驗證,驗證通過後才能繼續進行Portal認證。網絡管理員必須先登錄微信公眾平台(https://mp.weixin.qq.com)申請一個微信公眾號(如果已有微信公眾號可直接使用)。進入微信公眾號,在左側功能欄下單擊<添加功能插件>按鈕進入插件庫,選擇“微信連Wi-Fi”插件。然後單擊<開通>按鈕,開通此插件。單擊<查看功能>按鈕,然後選擇“設備管理”頁簽,單擊<添加設備>按鈕,選擇所屬的門店、設備類型(Portal型)、設備設置(SSID),完成後即可獲得app-id、app-key和shop-id。
網絡管理員必須先登錄微信公眾平台(https://mp.weixin.qq.com)申請一個微信公眾號(如果已有微信公眾號可直接使用)。進入微信公眾號,在左側導航欄下“微信公眾平台->開發->基本配置”頁獲得app-secret。
(1) 進入係統視圖。
system-view
(2) 創建微信認證服務器,並進入微信認證服務器視圖。
portal extend-auth-server wechat
(3) (可選)配置微信認證服務時用戶的唯一標識。
app-id app-id
缺省情況下,微信認證不存在用戶的唯一標識。
(4) (可選)配置app-id對應的密鑰。
app-key { cipher | simple } app-key
缺省情況下,微信認證不存在預定義密鑰。
(5) (可選)配置微信認證服務時設備所在門店的唯一標識。
shop-id shop-id
缺省情況下,未配置設備所在門店的唯一標識。
(6) (可選)配置Portal本地微信認證強製關注功能。
a. 開啟Portal本地微信認證強製關注功能。
subscribe-required enable
缺省情況下,Portal本地微信認證強製關注功能處於關閉狀態。
本功能必須與開啟Portal臨時放行功能配合使用,並建議將臨時放行時間配置為600秒。
b. 配置微信認證服務使用的APP密碼。
app-secret { cipher | simple } string
缺省情況下,未配置微信認證服務使用的APP密碼。
在使用Facebook認證功能前,網絡管理員必須先到Facebook官網進行注冊,注冊成功後會獲得app-id和app-key。
(1) 進入係統視圖。
system-view
(2) 創建Facebook認證服務器,並進入Facebook認證服務器視圖。
portal extend-auth-server facebook
(3) (可選)配置Facebook認證服務器的地址。
auth-url url-string
缺省情況下,Facebook認證服務器的地址為https://graph.facebook.com。
(4) (可選)配置Facebook認證成功之後的重定向地址。
redirect-url url-string
缺省情況下,Facebook認證成功之後的重定向地址為http://oauthindev.h3c.com/portal/fblogin.html。
(5) (可選)配置Facebook認證服務時用戶的唯一標識。
app-id app-id
缺省情況下,未配置Facebook認證服務時用戶的唯一標識。
(6) (可選)配置app-id對應的密鑰。
app-key { cipher | simple } app-key
缺省情況下,未配置app-id對應的密鑰。
用戶使用Azure AD認證服務時,設備會向Azure AD服務器發送租戶ID、應用程序ID、應用程序密鑰、用戶賬號和密碼以進行驗證。驗證成功後,Azure AD服務器會向設備發送授權碼,設備隨後通知用戶上線成功。
租戶ID、應用程序ID和應用程序密鑰可在Azure AD服務器的Web管理頁麵獲取。有關詳細信息,請查閱第三方廠商的配置指導手冊。
當用戶使用Azure AD認證服務進行Portal認證時,鑒於用戶賬號域名較長輸入不便,設備新增了命令行配置功能。該功能可在認證請求發起時自動檢測用戶所輸入的賬號是否包含域名。如若未包含,設備會自動將配置好的域名附加至賬號末尾,簡化用戶操作流程。
采用Azure AD認證方式時,應用程序密鑰為可選配置。
(1) 進入係統視圖。
system-view
(2) 創建Azure AD認證服務器,並進入Azure AD認證服務器視圖。
portal extend-auth-server azure
(3) 配置Azure AD認證時攜帶的租戶ID。
tenant-id tenant-id
缺省情況下,未配置Azure AD認證時攜帶的租戶ID。
(4) 配置Azure AD認證服務時用戶的唯一標識。
app-id app-id
缺省情況下,未配置Azure AD認證服務時用戶的唯一標識。
(5) 配置Azure AD認證時用戶賬號攜帶的域名。
domain domain-name
缺省情況下,未配置Azure AD認證時用戶賬號攜帶的域名。
(6) (可選)配置app-id對應的密鑰。
app-key { cipher | simple } app-key
缺省情況下,未配置app-id對應的密鑰。
在接口或無線服務模板上配置第三方認證用戶使用的認證域,所有從該接口或無線服務模板接入的第三方認證用戶強製使用該認證域進行Portal認證。
配置第三方認證用戶使用的認證域後,請確保該域的AAA認證、授權、計費方法為none。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 配置第三方認證用戶使用的認證域。
portal extend-auth domain domain-name
缺省情況下,未配置第三方認證用戶使用的認證域。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置第三方認證用戶使用的認證域
portal extend-auth domain domain-name
缺省情況下,未配置第三方認證用戶使用的認證域。
當無線客戶端的數據報文轉發位置在AP上,且用戶進行Portal第三方認證時,無線客戶端和AP通過公網直接與第三方認證服務器進行報文交互,不會經過AC,但是第三方認證服務器在應答報文時會要求無線客戶端訪問AC。由於無線客戶端不知道AC的IP地址,因此需要通過配置AC的接口來讓客戶端獲得AC的IP地址,以便客戶端訪問AC。
配置本功能後,當報文的目的IP地址與指定接口的IP地址匹配時,該報文將會被直接放行。
本功能對接口下的IPv6地址不生效。
(1) 進入係統視圖。
system-view
(2) 配置Portal第三方認證時客戶端訪問接入設備的接口。
portal client-gateway interface interface-type interface-number
缺省情況下,未配置Portal認證時客戶端訪問接入設備的接口。
當用戶采用微信賬號進行Portal認證時,需要通過Internet訪問微信服務器,以便與接入設備進行信息交換。
一般情況下,用戶未通過Portal認證時不允許訪問Internet。配置本功能後,接入設備可以在一定時間內臨時放行使用微信賬號的用戶訪問Internet的流量。
本功能僅在直接認證方式下支持。
當同時配置了Portal安全重定向功能和Portal臨時放行功能的匹配規則時,Portal臨時放行功能的匹配規則優先級高。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 開啟Portal臨時放行功能並設置臨時放行時間。
portal temp-pass [ period period-value ] enable
缺省情況下,Portal臨時放行功能處於關閉狀態。
(4) 配置Portal臨時放行功能的匹配規則。
a. 退回係統視圖。
quit
b. 進入Portal Web服務器視圖。
portal web-server server-name
c. 配置Portal臨時放行功能的匹配規則
if-match { original-url url-string | user-agent user-agent } * temp-pass [ redirect-url url-string | original ]
缺省情況下,未配置Portal臨時放行功能的匹配規則。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟Portal臨時放行功能並設置臨時放行時間。
portal temp-pass [ period period-value ] enable
缺省情況下,Portal臨時放行功能處於關閉狀態。
(4) 配置Portal臨時放行功能的匹配規則。
a. 退回係統視圖。
quit
b. 進入Portal Web服務器視圖。
portal web-server server-name
c. 配置Portal臨時放行功能的匹配規則。
if-match { original-url url-string | user-agent user-agent } * temp-pass [ redirect-url url-string | original ]
缺省情況下,未配置Portal臨時放行功能的匹配規則。
Portal采用OAuth協議進行認證時,認證服務器需要設備周期上報用戶信息。本功能用來配置用戶信息由設備向服務器同步的時間間隔。如果時間間隔配置為0,則表示關閉Portal OAuth認證用戶同步功能。
(1) 進入係統視圖。
system-view
(2) 配置當Portal用戶采用OAuth認證時用戶信息同步的時間間隔。
portal oauth user-sync interval interval
缺省情況下,Portal OAuth認證用戶信息同步的時間間隔為60秒。
當用戶采用Wifidog協議進行Portal認證時,開啟用戶信息同步功能並配置同步時間間隔後,設備會按配置的時間間隔向Portal服務器同步用戶信息,使得服務器上的Portal用戶信息與設備上的用戶信息保持一致。
開啟用戶信息同步功能之前,請確保通過server-type命令配置Portal Web服務器的類型為wifidog,否則功能不生效。
(1) 進入係統視圖。
system-view
(2) 開啟用戶信息同步功能,並配置采用Wifidog協議進行Portal認證時用戶信息同步的時間間隔。
portal wifidog user-sync interval interval
缺省情況下,用戶信息同步功能處於關閉狀態。
配置本功能後,設備會將Portal認證失敗和認證錯誤信息上報給雲平台。
首次上報Portal認證失敗和認證錯誤信息是在設備與雲平台建立連接之後的30秒時發生,之後將按照本功能配置的間隔定期上報Portal認證失敗和認證錯誤信息。修改上報時間間隔將在下一個上報周期生效。
(1) 進入係統視圖。
system-view
(2) 配置Portal認證信息上報雲平台的時間間隔。
portal cloud report interval minutes
缺省情況下,Portal認證信息上報雲平台的時間間隔為5分鍾。
為了滿足網絡管理員安全審計的需要,可以開啟Portal日誌功能,以便對Portal認證信息進行記錄。
設備生成的Portal日誌信息會交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“設備管理配置指導”中的“信息中心”。
(1) 進入係統視圖。
system-view
(2) 開啟Portal用戶上/下線日誌功能。
portal user log enable
缺省情況下,Portal用戶上/下線日誌功能處於關閉狀態。
(3) 開啟Portal協議報文的日誌功能。
portal packet log enable
缺省情況下,Portal協議報文的日誌功能處於關閉狀態。
(4) 開啟Portal重定向日誌功能。
portal redirect log enable
缺省情況下,Portal重定向日誌功能處於關閉狀態。
Portal認證監控功能主要是對Portal認證過程中的下線、認證失敗和異常等信息進行記錄,以便在Portal認證出現故障時快速定位。
(1) 進入係統視圖。
system-view
(2) 開啟Portal用戶下線信息記錄功能。
portal logout-record enable
缺省情況下,Portal用戶下線信息記錄功能處於關閉狀態。
(3) 配置設備保存Portal用戶下線記錄的最大條數。
portal logout-record max number
缺省情況下,設備保存Portal用戶下線記錄的最大條數為6000。
(4) 導出Portal用戶下線記錄。
portal logout-record export url url-string [ start-time start-date start-time end-time end-date end-time ]
(5) 開啟Portal認證失敗信息記錄功能。
portal auth-fail-record enable
缺省情況下,Portal認證失敗信息記錄功能處於開啟狀態。
(6) 配置設備保存Portal認證失敗記錄的最大條數。
portal auth-fail-record max number
缺省情況下,設備保存Portal認證失敗記錄的最大條數為6000。
(7) 導出Portal認證失敗記錄。
portal auth-fail-record export url url-string [ start-time start-date start-time end-time end-date end-time ]
(8) 開啟Portal認證異常信息記錄功能。
portal auth-error-record enable
缺省情況下,Portal認證異常信息記錄功能處於開啟狀態。
(9) 配置設備保存Portal認證異常記錄的最大條數。
portal auth-error-record max number
缺省情況下,設備保存Portal認證異常記錄的最大條數為6000。
(10) 導出Portal認證異常記錄。
portal auth-error-record export url url-string [ start-time start-date start-time end-time end-date end-time ]
若用戶創建2個無線服務模板,且都開啟Portal認證,用戶VLAN相同。用戶先從一個無線服務模板的SSID上線,通過Portal認證;當用戶切換到另一個無線服務模板的SSID且進行Portal認證時無法通過認證。
執行本功能後,當無線Portal用戶從原SSID切換到新SSID後,設備會強製用戶下線,並自動刪除用戶信息,用戶再進行Portal認證時便可通過認證。
(1) 進入係統視圖。
system-view
(2) 開啟無線Portal用戶SSID切換後的強製下線功能。
portal user-logoff ssid-switch enable
缺省情況下,無線Portal用戶SSID切換後保持在線狀態。
開啟Portal推送廣告功能後,當用戶通過Portal認證時,設備會給Portal用戶推送廣告。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖或無線服務模板視圖。
¡ 進入三層接口視圖。
interface interface-type interface-number
¡ 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟Portal推送廣告功能。
portal ad-push enable
缺省情況下,Portal推送廣告功能處於關閉狀態。
(4) 配置采用內嵌廣告模式推送廣告。
portal ad-push embedded
缺省情況下,未配置采用內嵌廣告模式推送廣告,即設備給Portal用戶推送的廣告為獨立的Web頁麵。
(5) 配置推送給Portal用戶的廣告組或廣告網址。
portal [ ipv6 ] ad-push { url url-string [ interval interval | time-range time-range-name | traffic-threshold traffic-threshold ] | url-group group-name }
缺省情況下,未配置推送給Portal用戶的廣告組或廣告網址。
(6) 退出三層接口視圖或無線服務模板視圖。
quit
(7) (可選)配置Portal廣告推送白名單。
portal ad-push whitelist { ip ipv4-address | ipv6 ipv6-address | mac-address mac-address }
缺省情況下,未配置Portal廣告推送白名單。
(8) (可選)創建Portal廣告組並進入廣告組視圖。
portal ad-url-group group-name [ method { interval | time-range | traffic } ]
(9) (可選)配置廣告網址。
ad-url url-string [ time-range time-range-name ]
缺省情況下,未配置廣告網址。
(10) (可選)配置廣告組中廣告網址推送的時間間隔或流量閾值。
ad-url-group { interval interval | traffic-threshold traffic-threshold }
缺省情況下,廣告網址推送的時間間隔為360分鍾,廣告網址推送的流量閾值為100MB。
在分層AC組網中,當Portal認證組網方式由在Local AC上進行認證和數據轉發的集中式轉發方式轉換為在Central AC上進行認證,在AP上進行數據轉發的本地轉發方式時,可以通過本功能直接切換Portal的認證位置,而不需要重啟設備。
(1) 進入係統視圖。
system-view
(2) 配置Portal認證位置由Local AC切換為Central AC。
portal authentication-location switchto-central-ac
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後Portal的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除Portal統計信息。
表1-3 Portal顯示和維護
|
操作 |
命令 |
|
|
顯示Portal的配置信息和Portal的運行狀態信息 |
display portal { ap ap-name [ radio radio-id ] | interface interface-type interface-number } |
|
|
顯示Portal認證位置 |
display portal authentication-location |
|
|
顯示Portal推送廣告統計信息 |
display portal ad-push statistics { ad-url-group | url } |
|
|
顯示用戶Portal認證異常記錄 |
display portal auth-error-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time } |
|
|
顯示用戶Portal認證失敗記錄 |
display portal auth-fail-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time | username username } |
|
|
顯示Portal被動Web認證功能的報文統計信息 |
display portal captive-bypass statistics |
|
|
顯示基於目的的Portal免認證規則中的主機名對應的IP地址 |
display portal dns free-rule-host [ host-name ] |
|
|
顯示基於目的的Portal強製重定向規則中的主機名對應的IP地址 |
display portal dns redirect-rule-host [ host-name ] |
|
|
顯示第三方認證服務器信息 |
display portal extend-auth-server { all | azure | facebook | mail | qq | wechat } |
|
|
在Central AC上顯示通過Local AC的Portal認證上線用戶的信息 |
display portal local-ac-user { all | ip ipv4-address | ipv6 ipv6-address | mac mac-address | local-ac local-ac-name | username username } |
|
|
顯示本地MAC-trigger綁定表項信息 |
display portal local-binding mac-address { all | mac-address } |
|
|
顯示Portal用戶的下線記錄 |
display portal logout-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time | username username } |
|
|
顯示基於MAC地址的快速認證的用戶信息 |
display portal mac-trigger user { all | ip ipv4-address | mac mac-address } |
|
|
顯示MAC綁定服務器信息 |
display portal mac-trigger-server { all | name server-name } |
|
|
顯示Portal認證服務器的報文統計信息 |
display portal packet statistics [ extend-auth-server { azure | cloud | facebook | mail | qq | wechat } | mac-trigger-server server-name | server server-name ] |
|
|
顯示Portal過濾規則的統計信息 |
display portal permit-rule statistics |
|
|
顯示Portal重定向的會話信息 |
display portal redirect session [ ip ipv4-address | ipv6 ipv6-address ] |
|
|
顯示Portal重定向的會話曆史記錄 |
display portal redirect session-record [ start-time start-date start-time ] [ end-time end-date end-time ] |
|
|
顯示Portal重定向會話統計信息 |
display portal redirect session-statistics |
|
|
顯示Portal重定向報文統計信息 |
display portal redirect statistics |
|
|
顯示Portal漫遊中心的報文統計信息 |
display portal roaming-center statistics packet |
|
|
顯示用於報文匹配的Portal過濾規則信息 |
display portal rule { all | dynamic | static } { ap ap-name [ radio radio-id ] | interface interface-type interface-number } |
|
|
顯示Portal安全重定向功能的報文統計信息 |
display portal safe-redirect statistics |
|
|
顯示Portal認證服務器信息 |
display portal server [ server-name ] |
|
|
顯示Portal用戶的信息 |
display portal user { all | ap ap-name [ radio radio-id ] | auth-type { azure | cloud | email | facebook | local | mac-trigger | normal | qq | wechat } | interface interface-type interface-number | ip ip-address | ipv6 ipv6-address | mac mac-address | username username } [ brief | verbose ] |
|
|
顯示Portal用戶數量 |
display portal user count |
|
|
顯示IPv4 Portal用戶的DHCP租約和剩餘時間 |
display portal user dhcp-lease [ ipv4 ipv4-address ] |
|
|
顯示IPv6 Portal用戶的DHCP租約和剩餘時間 |
display portal user dhcpv6-lease [ ipv6 ipv6-address ] |
|
|
顯示Portal認證失敗後當前阻塞用戶的信息 |
display portal user-block [ ip ipv4-address | ipv6 ipv6-address | mac mac-address | username username ] |
|
|
顯示Portal Web服務器信息 |
display portal web-server [ server-name ] |
|
|
顯示Web重定向過濾規則信息 |
display web-redirect rule { ap ap-name [ radio radio-id ] | interface interface-type interface-number } |
|
|
清除Portal推送廣告統計信息 |
reset portal ad-push statistics { ad-url-group | url } |
|
|
清除Portal認證異常記錄。 |
reset portal auth-error-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time } |
|
|
清除Portal認證失敗記錄 |
reset portal auth-fail-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time | username username } |
|
|
清除Portal被動Web認證功能的報文統計信息 |
reset portal captive-bypass statistics |
|
|
清除本地MAC-Trigger綁定表項信息 |
reset portal local-binding mac-address { mac-address | all } |
|
|
清除用戶下線記錄 |
reset portal logout-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time | username username } |
|
|
清除Portal認證服務器的報文統計信息 |
reset portal packet statistics [ extend-auth-server { azure | cloud | facebook | mail | qq | wechat } | mac-trigger-server server-name | server server-name ] |
|
|
清除Portal重定向的會話曆史信息 |
reset portal redirect session-record |
|
|
清除Portal重定向會話統計信息 |
reset portal redirect session-statistics |
|
|
清除Portal重定向報文統計信息 |
reset portal redirect statistics |
|
|
清除Portal安全重定向功能的報文統計信息 |
reset portal safe-redirect statistics |
|
· 用戶主機通過AP與AC相連,采用直接方式的Portal認證。用戶通過手工配置或DHCP獲取的一個公網IP地址進行認證,在通過Portal認證前,隻能訪問Portal Web服務器;在通過Portal認證後,可以使用此IP地址訪問非受限互聯網資源。
· 采用一台iMC服務器同時承擔Portal認證服務器和Portal Web服務器的職責。iMC版本為:iMC PLAT 7.1(E0303)、iMC EIA 7.1(E0304)。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-7 配置Portal直接認證組網圖
完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行,具體配置步驟略。
(1) 配置Portal認證服務器。
登錄進入iMC管理平台,選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > 服務器配置”菜單項,進入服務器配置頁麵。
¡ 根據實際組網情況調整以下參數,本例中使用缺省配置。
圖1-8 Portal認證服務器配置頁麵
(2) 配置IP地址組。
選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > IP地址組配置”菜單項,進入IP地址組配置頁麵。在該頁麵中單擊<增加>按鈕,進入增加IP地址組頁麵。
a. 輸入IP地址組名;
b. 輸入起始地址和終止地址。用戶主機IP地址必須包含在該IP地址組範圍內;
c. 選擇業務分組,本例中使用缺省的“未分組”;
d. 選擇IP地址組的類型為“普通”。
e. 單擊<確定>按鈕完成操作。
圖1-9 增加IP地址組頁麵
(3) 增加Portal設備。
選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > 設備配置”菜單項,進入設備配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加設備信息頁麵。
a. 輸入設備名;
b. 指定IP地址為與接入用戶相連的設備接口IP;
c. 選擇支持逃生心跳為“否”。
d. 選擇支持用戶心跳為“否”。
e. 輸入密鑰,與接入設備AC上的配置保持一致;
f. 選擇組網方式為“直連”;
g. 其它參數采用缺省值;
h. 單擊<確定>按鈕完成操作。
圖1-10 增加設備信息頁麵
(4) 設備關聯IP地址組
在設備配置頁麵中的設備信息列表中,點擊NAS設備的<端口組信息管理>鏈接,進入端口組信息配置頁麵。
圖1-11 設備信息列表
在端口組信息配置頁麵中單擊<增加>按鈕,進入增加端口組信息頁麵。
a. 輸入端口組名;
b. 選擇IP地址組,用戶接入網絡時使用的IP地址必須屬於所選的IP地址組;
c. 其它參數采用缺省值;
d. 單擊<確定>按鈕完成操作。
圖1-12 增加端口組信息頁麵
(1) 配置設備各接口的IP地址,保證啟動Portal之前各Client、服務器和AC之間的路由可達,具體配置步驟略。
(2) 配置RADIUS方案
# 創建名字為rs1的RADIUS方案並進入該方案視圖。
<AC> system-view
[AC] radius scheme rs1
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[AC-radius-rs1] primary authentication 192.168.0.112
[AC-radius-rs1] primary accounting 192.168.0.112
[AC-radius-rs1] key authentication simple radius
[AC-radius-rs1] key accounting simple radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[AC-radius-rs1] user-name-format without-domain
[AC-radius-rs1] quit
# 使能RADIUS session control功能。
[AC] radius session-control enable
(3) 配置認證域
# 創建並進入名字為dm1的ISP域。
[AC] domain dm1
# 配置ISP域的AAA方法。
[AC-isp-dm1] authentication portal radius-scheme rs1
[AC-isp-dm1] authorization portal radius-scheme rs1
[AC-isp-dm1] accounting portal radius-scheme rs1
[AC-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[AC] domain default enable dm1
(4) 配置Portal認證
# 配置Portal認證服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,監聽Portal報文的端口為50100。
[AC] portal server newpt
[AC-portal-server-newpt] ip 192.168.0.111 key simple portal
[AC-portal-server-newpt] port 50100
[AC-portal-server-newpt] quit
# 配置Portal Web服務器的URL為https://192.168.0.111:8080/portal。(Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致,此處僅為示例)
[AC] portal web-server newpt
[AC-portal-websvr-newpt] url https://192.168.0.111:8080/portal
[AC-portal-websvr-newpt] quit
# 在接口Vlan-interface100上使能直接方式的Portal認證。
[AC] interface vlan-interface 100
[AC–Vlan-interface100] portal enable method direct
# 在接口Vlan-interface100上引用Portal Web服務器newpt。
[AC–Vlan-interface100] portal apply web-server newpt
# 在接口Vlan-interface100上設置發送給Portal認證服務器的Portal報文中的BAS-IP屬性值為2.2.2.1。
[AC–Vlan-interface100] portal bas-ip 2.2.2.1
[AC–Vlan-interface100] quit
以上配置完成後,通過執行以下顯示命令可查看Portal配置是否生效。
[AC] display portal interface vlan-interface 100
Portal information of Vlan-interface100
NAS-ID profile: Not configured
VSRP instance : Not configured
VSRP state : N/A
Authorization : Strict checking
ACL : Disabled
User profile : Disabled
Dual stack : Disabled
Dual traffic-separate: Disabled
IPv4:
Portal status: Enabled
VSRP_SM state: M_Delay
Portal authentication method: Direct
Portal Web server: newpt(active)
Secondary portal Web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
User-dhcp-only: Disabled
Max portal users: Not configured
Bas-ip: 2.2.2.1
User Detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Mask
Destination authenticate subnet:
IP address Mask
IPv6:
Portal status: Disabled
VSRP_SM state: M_Delay
Portal authentication method: Disabled
Portal Web server: Not configured
Secondary portal Web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
User-dhcp-only: Disabled
Max portal users: Not configured
Bas-ipv6: Not configured
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authenticate subnet:
IP address Prefix length
用戶既可以使用iNode客戶端,也可以通過網頁方式進行Portal認證。用戶在通過認證前,隻能訪問認證頁麵https://192.168.0.111:8080/portal,且發起的Web訪問均被重定向到該認證頁麵,在通過認證後,可訪問非受限的互聯網資源。
Portal用戶認證通過後,可通過執行以下顯示命令查看AC上生成的Portal在線用戶信息。
[AC] display portal user interface vlan-interface 100
Total portal users: 1
Username: abc
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-e9a6-7cfe 2.2.2.2 100 Vlan-interface100
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
在本地轉發模式下,對通過無線接入的用戶采用直接認證方式。
· 無線客戶端通過手工配置或DHCP獲取的一個公網IP地址進行認證,在通過Portal認證前,隻能訪問Portal Web服務器;在通過Portal認證後,可以使用此IP地址訪問非受限互聯網資源。
· 采用一台Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-13 配置Portal直接認證組網圖
完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行,具體配置步驟略。
Portal服務器的配置請參見“1.40.1 4. 配置Portal服務器”。
完成AP上的配置,保證AP與AC能夠互通。
(1) 配置設備各接口的IP地址,保證啟動Portal之前各Client、服務器和AC之間的路由可達,具體配置步驟略。
(2) 配置RADIUS方案
# 創建名字為rs1的RADIUS方案並進入該方案視圖。
<AC> system-view
[AC] radius scheme rs1
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[AC-radius-rs1] primary authentication 192.168.0.112
[AC-radius-rs1] primary accounting 192.168.0.112
[AC-radius-rs1] key authentication simple radius
[AC-radius-rs1] key accounting simple radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[AC-radius-rs1] user-name-format without-domain
[AC-radius-rs1] quit
# 使能RADIUS session control功能。
[AC] radius session-control enable
(3) 配置認證域
# 創建並進入名字為dm1的ISP域。
[AC] domain dm1
# 配置ISP域的AAA方法。
[AC-isp-dm1] authentication portal radius-scheme rs1
[AC-isp-dm1] authorization portal radius-scheme rs1
[AC-isp-dm1] accounting portal radius-scheme rs1
[AC-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[AC] domain default enable dm1
(4) 配置Portal認證
# 配置Portal認證服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,監聽Portal報文的端口為50100。
[AC] portal server newpt
[AC-portal-server-newpt] ip 192.168.0.111 key simple portal
[AC-portal-server-newpt] port 50100
[AC-portal-server-newpt] quit
# 配置Portal Web服務器的URL為https://192.168.0.111:8080/portal。(Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致,此處僅為示例)
[AC] portal web-server newpt
[AC-portal-websvr-newpt] url https://192.168.0.111:8080/portal
[AC-portal-websvr-newpt] quit
# 創建手工AP,名稱為ap2,選擇AP型號並配置序列號。
[AC] wlan ap ap2 model WA6320
[AC-wlan-ap-ap2] serial-id 210235A29G007C000020
[AC-wlan-ap-ap2] quit
# 配置無線服務模板,SSID為portal_1。
[AC] wlan service-template newst
[AC–wlan-st-newst] ssid portal_1
# 在無線服務模板newst上使能直接方式的Portal認證。
[AC–wlan-st-newst] portal enable method direct
# 在無線服務模板newst上引用Portal Web服務器newpt。
[AC–wlan-st-newst] portal apply web-server newpt
# 在無線服務模板newst上設置發送給Portal認證服務器的Portal報文中的BAS-IP屬性值為192.168.0.110。
[AC–wlan-st-newst] portal bas-ip 192.168.0.110
# 配置客戶端數據報文轉發位置為AP。
[AC–wlan-st-newst] client forwarding-location ap
# 使能無線服務模板newst
[AC–wlan-st-newst] service-template enable
[AC–wlan-st-newst] quit
# 配置射頻,指定工作信道為11。
[AC] wlan ap ap2
[AC-wlan-ap-ap2] radio 2
[AC-wlan-ap-ap2-radio-2] channel 11
# 開啟射頻功能,將無線服務模板newst綁定到Radio2上,並綁定vlan2。
[AC-wlan-ap-ap2-radio-2] radio enable
[AC-wlan-ap-ap2-radio-2] service-template newst vlan 2
[AC-wlan-ap-ap2-radio-2] quit
[AC-wlan-ap-ap2] quit
以上配置完成後,通過執行以下顯示命令可查看Portal配置是否生效。
[AC] display portal ap ap2
Portal information of ap2
Radio ID: 2
SSID: portal_1
Authorization : Strict checking
ACL : Disable
User profile : Disable
Dual stack : Disabled
Dual traffic-separate: Disabled
IPv4:
Portal status: Enabled
VSRP_SM state: M_Delay
Portal authentication method: Direct
Portal Web server: newpt(active)
Secondary portal Web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
User-dhcp-only: Disabled
Max portal users: Not configured
Bas-ip: 192.168.0.110
Action for server detection:
Server type Server name Action
-- -- --
Destination authentication subnet:
IP address Mask
IPv6:
Portal status: Disabled
VSRP_SM state: M_Delay
Portal authentication method: Disabled
Portal Web server: Not configured
Secondary portal Web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
User-dhcp-only: Disabled
Max portal users: Not configured
Bas-ipv6: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Destination authentication subnet:
IP address Prefix length
用戶既可以使用iNode客戶端,也可以通過網頁方式進行Portal認證。用戶在通過認證前,隻能訪問認證頁麵https://192.168.0.111:8080/portal,且發起的Web訪問均被重定向到該認證頁麵,在通過認證後,可訪問非受限的互聯網資源。
認證通過後,可通過執行以下顯示命令查看AC上生成的Portal在線用戶信息。
[AC] display portal user ap ap2
Total portal users: 1
Username: 1
AP name: ap2
Radio ID: 2
SSID: portal_1
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-005e-9398 2.2.2.2 2 WLAN-BSS1/0/1
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
· 用戶主機通過AP與AC相連,采用直接方式的Portal認證。用戶通過手工配置或DHCP獲取的一個公網IP地址進行認證,在通過身份認證而沒有通過安全認證時可以訪問192.168.0.0/24網段;在通過安全認證後,可以使用此IP地址訪問非受限互聯網資源。
· 采用一台Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-14 配置Portal直接認證擴展功能組網圖
完成RADIUS服務器和Portal服務器上的配置,保證Portal用戶的認證/計費功能正常運行,具體配置步驟略。
(1) 配置設備各接口的IP地址,保證啟動Portal之前各Client、服務器和AC之間的路由可達,具體配置步驟略。
(2) 配置RADIUS方案
# 創建名字為rs1的RADIUS方案並進入該方案視圖。
<AC> system-view
[AC] radius scheme rs1
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[AC-radius-rs1] primary authentication 192.168.0.112
[AC-radius-rs1] primary accounting 192.168.0.112
[AC-radius-rs1] key accounting simple radius
[AC-radius-rs1] key authentication simple radius
[AC-radius-rs1] user-name-format without-domain
# 使能RADIUS session control功能。
[AC] radius session-control enable
# 指定一個session control客戶端IP地址為192.168.0.112,共享密鑰為明文12345。
[AC] radius session-control client ip 192.168.0.112 key simple 12345
(3) 配置認證域
# 創建並進入名字為dm1的ISP域。
[AC] domain dm1
# 配置ISP域的RADIUS方案rs1。
[AC-isp-dm1] authentication portal radius-scheme rs1
[AC-isp-dm1] authorization portal radius-scheme rs1
[AC-isp-dm1] accounting portal radius-scheme rs1
[AC-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方式。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方案。
[AC] domain default enable dm1
(4) 配置隔離ACL為3000,安全ACL為3001
安全策略服務器上需要將ACL 3000和ACL 3001分別指定為隔離ACL和安全ACL。
[AC] acl advanced 3000
[AC-acl-ipv4-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255
[AC-acl-ipv4-adv-3000] rule deny ip
[AC-acl-ipv4-adv-3000] quit
[AC] acl advanced 3001
[AC-acl-ipv4-adv-3001] rule permit ip
[AC-acl-ipv4-adv-3001] quit
(5) 配置Portal認證
# 配置Portal認證服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,監聽Portal報文的端口為50100。
[AC] portal server newpt
[AC-portal-server-newpt] ip 192.168.0.111 key simple portal
[AC-portal-server-newpt] port 50100
[AC-portal-server-newpt] quit
# 配置Portal Web服務器的URL為https://192.168.0.111:8080/portal。(Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致,此處僅為示例)
[AC] portal web-server newpt
[AC-portal-websvr-newpt] url https://192.168.0.111:8080/portal
[AC-portal-websvr-newpt] quit
# 在接口Vlan-interface100上使能直接方式的Portal認證。
[AC] interface vlan-interface 100
[AC–Vlan-interface100] portal enable method direct
# 在接口Vlan-interface100上引用Portal Web服務器newpt。
[AC–Vlan-interface100] portal apply web-server newpt
# 在接口Vlan-interface100上設置發送給Portal報文中的BAS-IP屬性值為2.2.2.1。
[AC–Vlan-interface100] portal bas-ip 2.2.2.1
[AC–Vlan-interface100] quit
# 以上配置完成後,通過執行以下顯示命令可查看Portal配置是否生效。
[AC] display portal interface vlan-interface 100
Portal information of Vlan-interface100
NAS-ID profile: Not configured
VSRP instance : Not configured
VSRP state : N/A
Authorization : Strict checking
ACL : Disabled
User profile : Disabled
Dual stack : Disabled
Dual traffic-separate: Disabled
IPv4:
Portal status: Enabled
Portal authentication method: Direct
Portal Web server: newpt(active)
Secondary portal Web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
User-dhcp-only: Disabled
Max portal users: Not configured
Bas-ip: 2.2.2.1
User Detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Mask
Destination authenticate subnet:
IP address Mask
IPv6:
Portal status: Disabled
Portal authentication method: Disabled
Portal Web server: Not configured
Secondary portal Web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
User-dhcp-only: Disabled
Max portal users: Not configured
Bas-ipv6: Not configured
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authenticate subnet:
IP address Prefix length
使用iNode客戶端的用戶在通過認證前,隻能訪問認證頁麵https://192.168.0.111:8080/portal,且發起的Web訪問均被重定向到該認證頁麵。通過身份認證但未通過安全認證時,隻能訪問匹配ACL 3000的網絡資源;通過身份認證以及安全認證後,可以訪問匹配ACL 3001的互聯網資源。
# Portal用戶認證通過後,可通過執行以下顯示命令查看AC上生成的Portal在線用戶信息。
[AC] display portal user interface vlan-interface 100
Total portal users: 1
Username: abc
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-e9a6-7cfe 2.2.2.2 -- Vlan-interface100
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL: 3001
用戶主機通過AP與AC相連,通過Portal認證接入網絡。具體要求如下:
· 用戶通過手工配置或DHCP獲取的一個公網IP地址進行認證,在通過Portal認證前,隻能訪問Portal認證服務器;在通過Portal認證後,可以使用此IP地址訪問非受限的互聯網資源。
· AC能夠探測到Portal認證服務器是否可達,並輸出可達狀態變化的日誌信息,在服務器不可達時(例如,網絡連接中斷、網絡設備故障或服務器無法正常提供服務等情況),取消Portal認證,使得用戶仍然可以正常訪問網絡。
· 采用一台iMC服務器同時承擔Portal認證服務器和Portal Web服務器的職責。iMC版本為:iMC PLAT 7.1(E0303)、iMC EIA 7.1(E0304)。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-15 Portal認證服務器探測功能配置組網圖
完成RADIUS服務器和Portal服務器上的配置,保證Portal用戶的認證/計費功能正常運行,具體配置步驟略。
(1) 配置Portal認證服務器。
登錄進入iMC管理平台,選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > 服務器配置”菜單項,進入服務器配置頁麵。
¡ 根據實際組網情況調整以下參數,本例中使用缺省配置。
圖1-16 Portal認證服務器配置頁麵
(2) 配置IP地址組。
選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > IP地址組配置”菜單項,進入IP地址組配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加IP地址組頁麵。
a. 輸入IP地址組名;
b. 輸入起始地址和終止地址。用戶主機IP地址必須包含在該IP地址組範圍內;
c. 選擇業務分組,本例中使用缺省的“未分組”;
d. 選擇IP地址組的類型為“普通”。
e. 單擊<確定>按鈕完成操作。
圖1-17 增加IP地址組頁麵
(3) 增加Portal設備。
選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > 設備配置”菜單項,進入設備配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加設備信息頁麵。
a. 輸入設備名;
b. 指定IP地址為與接入用戶相連的設備接口IP;
c. 選擇支持逃生心跳為“是”。
d. 選擇支持用戶心跳為“是”。
e. 輸入密鑰,與接入設備AC上的配置保持一致;
f. 選擇組網方式為“直連”;
g. 其它參數采用缺省值;
h. 單擊<確定>按鈕完成操作。
圖1-18 增加設備信息頁麵
(4) 設備關聯IP地址組。
在設備配置頁麵中的設備信息列表中,點擊NAS設備的<端口組信息管理>鏈接,進入端口組信息配置頁麵。
圖1-19 設備信息列表
在端口組信息配置頁麵中單擊<增加>按鈕,進入增加端口組信息配置頁麵。
a. 輸入端口組名;
b. 選擇IP地址組,用戶接入網絡時使用的IP地址必須屬於所選的IP地址組;
c. 其它參數采用缺省值;
d. 單擊<確定>按鈕完成操作。
圖1-20 增加端口組信息頁麵
(1) 配置設備各接口的IP地址,保證啟動Portal之前各Client、服務器和AC之間的路由可達,具體配置步驟略。
(2) 配置RADIUS方案
# 創建名字為rs1的RADIUS方案並進入該方案視圖。
<AC> system-view
[AC] radius scheme rs1
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[AC-radius-rs1] primary authentication 192.168.0.112
[AC-radius-rs1] primary accounting 192.168.0.112
[AC-radius-rs1] key authentication simple radius
[AC-radius-rs1] key accounting simple radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[AC-radius-rs1] user-name-format without-domain
[AC-radius-rs1] quit
# 使能RADIUS session control功能。
[AC] radius session-control enable
(3) 配置認證域
# 創建並進入名字為dm1的ISP域。
[AC] domain dm1
# 配置ISP域的AAA方法。
[AC-isp-dm1] authentication portal radius-scheme rs1
[AC-isp-dm1] authorization portal radius-scheme rs1
[AC-isp-dm1] accounting portal radius-scheme rs1
[AC-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[AC] domain default enable dm1
(4) 配置Portal認證
# 配置Portal認證服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,監聽Portal報文的端口為50100。
[AC] portal server newpt
[AC-portal-server-newpt] ip 192.168.0.111 key simple portal
[AC-portal-server-newpt] port 50100
# 配置對Portal認證服務器newpt的探測功能:每次探測間隔時間為40秒,若服務器可達狀態改變,則發送日誌信息。
[AC-portal-server-newpt] server-detect timeout 40 log
[AC-portal-server-newpt] quit
此處timeout取值應該大於等於Portal認證服務器的逃生心跳間隔時長。
# 配置Portal Web服務器的URL為https://192.168.0.111:8080/portal。(Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致,此處僅為示例)
[AC] portal web-server newpt
[AC-portal-websvr-newpt] url https://192.168.0.111:8080/portal
[AC-portal-websvr-newpt] quit
# 在接口Vlan-interface100上使能直接方式的Portal認證。
[AC] interface vlan-interface 100
[AC–Vlan-interface100] portal enable method direct
# 開啟Portal認證服務器newpt不可達時的Portal用戶逃生功能。
[AC–Vlan-interface100] portal fail-permit server newpt
# 在接口Vlan-interface100上引用Portal Web服務器newpt。
[AC–Vlan-interface100] portal apply web-server newpt
# 在接口Vlan-interface100上設置發送給Portal報文中的BAS-IP屬性值為2.2.2.1。
[AC–Vlan-interface100] portal bas-ip 2.2.2.1
[AC–Vlan-interface100] quit
以上配置完成後,可以通過執行以下命令查看到Portal認證服務器的狀態為Up,說明當前Portal認證服務器可達。
[AC] display portal server newpt
Portal server: newpt
IP : 192.168.0.111
VPN instance : Not configured
Port : 50100
Server Detection : Timeout 40s Action: log
User synchronization : Not configured
Status : Up
之後,若AC探測到Portal認證服務器不可達了,可通過以上顯示命令查看到Portal認證服務器的狀態為Down,同時,AC會輸出表示服務器不可達的日誌信息“Portal server newpt turns down from up.”,並取消對該接口接入的用戶的Portal認證,使得用戶可以直接訪問外部網絡。
· 用戶主機通過AP與AC相連,采用直接方式的Portal認證。用戶通過手工配置或DHCP獲取的一個公網IP地址進行認證,在通過Portal認證前,隻能訪問Portal Web服務器;在通過Portal認證後,可以使用此IP地址訪問非受限互聯網資源。
· AC同時承擔Portal Web服務器和Portal認證服務器的職責。
· 采用RADIUS服務器作為認證/計費服務器。
· 配置本地Portal Web服務器使用HTTP協議,且HTTP服務偵聽的TCP端口號為2331。
圖1-21 使用本地Portal Web服務器的直接Portal認證組網圖
完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行,具體配置步驟略。
按照自定義認證頁麵文件編輯規範,完成認證頁麵的編輯。並上傳到設備存儲介質的根目錄下。
(1) 配置設備各接口的IP地址,保證啟動Portal之前各Client、服務器和AC之間的路由可達,具體配置步驟略。
(2) 配置RADIUS方案
# 創建名字為rs1的RADIUS方案並進入該方案視圖。
<AC> system-view
[AC] radius scheme rs1
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[AC-radius-rs1] primary authentication 192.168.0.112
[AC-radius-rs1] primary accounting 192.168.0.112
[AC-radius-rs1] key authentication simple radius
[AC-radius-rs1] key accounting simple radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[AC-radius-rs1] user-name-format without-domain
[AC-radius-rs1] quit
# 使能RADIUS session control功能。
[AC] radius session-control enable
(3) 配置認證域
# 創建並進入名字為dm1的ISP域。
[AC] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[AC-isp-dm1] authentication portal radius-scheme rs1
[AC-isp-dm1] authorization portal radius-scheme rs1
[AC-isp-dm1] accounting portal radius-scheme rs1
[AC-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方式。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方案。
[AC] domain default enable dm1
(4) 配置Portal認證
# 配置Portal Web服務器的URL為https://2.2.2.1:2331/portal(Portal Web服務器的URL可配置為使能Portal認證的接口的IP地址或除127.0.0.1以外的Loopback接口的IP地址)。
[AC] portal web-server newpt
[AC-portal-websvr-newpt] url https://2.2.2.1:2331/portal
[AC-portal-websvr-newpt] quit
# 在接口Vlan-interface100上使能直接方式的Portal認證。
[AC] interface vlan-interface 100
[AC–Vlan-interface100] portal enable method direct
# 在接口Vlan-interface100上引用Portal Web服務器newpt。
[AC–Vlan-interface100] portal apply web-server newpt
[AC–Vlan-interface100] quit
# 創建本地Portal Web 服務器,進入本地Portal Web服務器視圖,並指定使用HTTP協議和客戶端交互認證信息。
[AC] portal local-web-server http
# 配置本地Portal Web服務器提供的缺省認證頁麵文件為defaultfile.zip(設備的存儲介質的根目錄下必須已存在該認證頁麵文件,否則功能不生效)。
[AC–portal-local-websvr-http] default-logon-page defaultfile.zip
# 配置本地Portal Web服務器的HTTP服務偵聽的TCP端口號為2331。
[AC–portal-local-webser-http] tcp-port 2331
[AC–portal-local-websvr-http] quit
以上配置完成後,通過執行以下顯示命令可查看Portal配置是否生效。
[AC] display portal interface vlan-interface 100
Portal information of Vlan-interface 100
VSRP instance: --
VSRP state: N/A
Authorization Strict checking
ACL Disabled
User profile Disabled
Dual stack : Disabled
Dual traffic-separate: Disabled
IPv4:
Portal status: Enabled
Portal authentication method: Direct
Portal Web server: newpt(active)
Secondary portal Web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
User-dhcp-only: Disabled
Max portal users: Not configured
Bas-ip: Not configured
User Detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Mask
Destination authenticate subnet:
IP address Mask
IPv6:
Portal status: Disabled
Portal authentication method: Disabled
Portal Web server: Not configured
Secondary portal Web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
User-dhcp-only: Disabled
Max portal users: Not configured
Bas-ipv6: Not configured
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authenticate subnet:
IP address Prefix length
使用本地Portal Web服務器進行Portal認證的組網環境中,隻支持通過網頁方式進行Portal認證。用戶在通過認證前,隻能訪問認證頁麵https://2.2.2.1:2331/portal,且發起的Web訪問均被重定向到該認證頁麵,在通過認證後,可訪問非受限的互聯網資源。
Portal用戶認證通過後,可通過執行以下顯示命令查看AC上生成的Portal在線用戶信息。
[AC] display portal user interface vlan-interface 100
Total portal users: 1
Username: abc
Portal server: N/A
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-e9a6-7cfe 2.2.2.2 -- Vlan-interface100
Authorization information:
IP pool: N/A
User profile: N/A
Session group profile: N/A
· 用戶主機通過AP接入無線網絡,采用直接方式的Portal認證。用戶通過手工配置或DHCP獲取的一個公網IP地址進行認證,在通過Portal認證前,隻能訪問Portal Web服務器;在通過Portal認證後,可以使用此IP地址訪問非受限的互聯網資源。
· 采用一台iMC服務器同時承擔Portal認證服務器、Portal Web服務器以及MAC綁定服務器的職責。iMC版本為:iMC PLAT 7.1(E0303)、iMC EIA 7.1(F0303)。
· 采用RADIUS服務器作為認證/計費服務器。
圖1-22 配置Portal基於MAC地址的快速認證組網圖
完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行,具體配置步驟略。
(1) 配置Portal認證服務。
登錄進入iMC管理平台,選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > 服務器配置”菜單項,進入服務器配置頁麵。
¡ 根據實際組網情況調整以下參數,本例中使用缺省配置。
圖1-23 Portal認證服務器配置頁麵
(2) 配置IP地址組。
選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > IP地址組配置”菜單項,進入IP地址組配置頁麵。在該頁麵中單擊<增加>按鈕,進入增加IP地址組頁麵。
a. 輸入IP地址組名;
b. 輸入起始地址和終止地址,輸入的地址範圍中應包含用戶主機的IP地址;
c. 選擇業務分組,本例中使用缺省的“未分組”;
d. 選擇IP地址組的類型為“普通”。
e. 單擊<確定>按鈕完成操作。
圖1-24 增加IP地址組頁麵
(3) 增加Portal設備。
選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> Portal服務管理 > 設備配置”菜單項,進入設備配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加設備信息配置頁麵。
a. 輸入設備名;
b. 指定IP地址為與接入用戶相連的設備接口IP;
c. 選擇支持逃生心跳為“否”。
d. 選擇支持用戶心跳為“否”。
e. 輸入密鑰,與接入設備AC上的配置保持一致;
f. 選擇組網方式為“直連”;
g. 其它參數采用缺省值;
h. 單擊<確定>按鈕完成操作。
圖1-25 增加設備信息頁麵
(4) 設備關聯IP地址組。
在設備配置頁麵中的設備信息列表中,點擊NAS設備的<端口組信息管理>鏈接,進入端口組信息配置頁麵。
圖1-26 設備信息列表
在端口組信息配置頁麵中單擊<增加>按鈕,進入增加端口組信息頁麵。
a. 輸入端口組名;
b. 選擇IP地址組,用戶接入網絡時使用的IP地址必須屬於所選的IP地址組;
c. 選擇無感知認證為“支持”;
d. 其它參數采用缺省配置;
e. 單擊<確定>按鈕完成操作。
圖1-27 增加端口組信息配置頁麵
(1) 增加接入服務配置。
單擊導航樹中的[接入策略管理/接入策略管理]菜單項,並單擊<增加>按鈕,進入“增加接入策略”頁麵。
¡ 填寫接入策略名;
¡ 選擇業務分組;
¡ 其它參數可采用缺省配置。
圖1-28 增加接入策略配置
(2) 增加接入服務。
單擊導航樹中的[接入策略管理/接入服務管理]菜單項,並單擊<增加>按鈕,進入“增加接入服務配置”頁麵。
¡ 填寫服務名;
¡ 勾選“Portal無感知認證”;
¡ 其它參數可采用缺省配置。
圖1-29 增加接入服務配置
(3) 增加接入用戶。
單擊導航樹中的[接入用戶管理/接入用戶]菜單項,並單擊<增加>按鈕,進入增加接入用戶頁麵。在接入信息部分:
¡ 選擇可接入的用戶;
¡ 設置密碼;
¡ 設置“Portal無感知認證最大綁定數”。
圖1-30 增加接入用戶
(4) 配置係統參數。
單擊導航樹中的[接入策略管理/業務參數配置/係統配置]菜單項,並點擊[終端管理參數配置]對應的<配置>按鈕,進入終端管理參數配置頁麵。
“非智能終端Portal無感知認證”可根據實際需要啟用或禁用,本例中為啟用。
圖1-31 配置終端管理參數
單擊導航樹中的[接入策略管理/業務參數配置/係統配置]菜單項,單擊[終端老化時長]對應的<配置>按鈕後單擊<修改>,進入終端老化時長配置頁麵。
根據實際需要配置終端老化時間,本例中采用缺省值。
圖1-32 配置終端老化時長
(5) 單擊導航樹中的[接入策略管理/業務參數配置/係統配置手工生效]菜單項,使以上配置生效。
(1) 配置設備各接口的IP地址,保證啟動Portal之前各Client、服務器和AC之間的路由可達,具體配置步驟略。
(2) 配置RADIUS方案
# 創建名稱為rs1的RADIUS方案,並進入該方案視圖。
<AC> system-view
[AC] radius scheme rs1
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[AC-radius-rs1] primary authentication 192.168.0.112
[AC-radius-rs1] primary accounting 192.168.0.112
[AC-radius-rs1] key authentication simple radius
[AC-radius-rs1] key accounting simple radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[AC-radius-rs1] user-name-format without-domain
[AC-radius-rs1] quit
# 使能RADIUS session control功能。
[AC] radius session-control enable
(3) 配置認證域
# 創建並進入名稱為dm1的ISP域。
[AC] domain dm1
# 配置ISP域的AAA方法。
[AC-isp-dm1] authentication portal radius-scheme rs1
[AC-isp-dm1] authorization portal radius-scheme rs1
[AC-isp-dm1] accounting portal radius-scheme rs1
[AC-isp-dm1] quit
# 配置係統缺省的ISP域為dm1,所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[AC] domain default enable dm1
(4) 配置Portal認證
# 配置Portal認證服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,監聽Portal報文的端口為50100。
[AC] portal server newpt
[AC-portal-server-newpt] ip 192.168.0.111 key simple portal
[AC-portal-server-newpt] port 50100
[AC-portal-server-newpt] quit
# 配置Portal Web服務器的URL為https://192.168.0.111:8080/portal。(Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致,此處僅為示例)
[AC] portal web-server newpt
[AC-portal-websvr-newpt] url https://192.168.0.111:8080/portal
[AC-portal-websvr-newpt] quit
# 開啟無線Portal客戶端合法性檢查功能。
[AC] portal host-check enable
# 創建無線服務模板st1,並在該服務模板上配置VLAN 100。
[AC] wlan service-template st1
[AC-wlan-st-st1] ssid st1
[AC-wlan-st-st1] vlan 100
# 在無線服務模板st1上使能直接方式的Portal認證。
[AC-wlan-st-st1] portal enable method direct
# 在無線服務模板st1上引用Portal Web服務器newpt。
[AC-wlan-st-st1] portal apply web-server newpt
# 在無線服務模板st1上設置發送給Portal認證服務器的Portal報文中的BAS-IP屬性值為2.2.2.1。
[AC-wlan-st-st1] portal bas-ip 2.2.2.1
[AC-wlan-st-st1] quit
(5) 配置Portal基於MAC地址的快速認證
# 創建MAC綁定服務器mts。
[AC] portal mac-trigger-server mts
# 配置用戶免認證流量的閾值為1024000字節。
[AC-portal-mac-trigger-server-mts] free-traffic threshold 1024000
# 配置MAC綁定服務器的地址為192.168.0.111。
[AC-portal-mac-trigger-server-mts] ip 192.168.0.111
[AC-portal-mac-trigger-server-mts] quit
# 在無線服務模板上應用MAC綁定服務器mts。
[AC] wlan service-template st1
[AC-wlan-st-st1] portal apply mac-trigger-server mts
# 使能無線服務模板。
[AC-wlan-st-st1] service-template enable
[AC-wlan-st-st1] quit
# 通過執行以下顯示命令可查看MAC綁定服務器配置。
[AC] display portal mac-trigger-server name mts
Portal mac-trigger server: mts
Version : 1.0
Server type : IMC
IP : 192.168.0.111
Port : 50100
VPN instance : Not configured
Aging time : 300 seconds
Free-traffic threshold : 1024000 bytes
NAS-Port-Type : Not configured
Binding retry times : 3
Binding retry interval : 1 seconds
Authentication timeout : 3 minutes
用戶可以使用iNode客戶端或通過網頁方式進行Portal認證。用戶在通過認證前,發起的所有Web訪問均被重定向到Portal認證頁麵(https://192.168.0.111:8080/portal),在通過認證後,可訪問非受限的互聯網資源。
用戶在首次進行Portal認證時,需要手工輸入用戶名和密碼。當用戶再次上線時,將可以直接訪問互聯網資源,不會感知到Portal認證過程。
# 通過執行以下顯示命令查看AC上生成的Portal在線用戶信息。
[AC] display portal user all
Total portal users: 1
Username: Client1
AP name: ap1
Radio ID: 1
SSID:st1
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-e9a6-7cfe 2.2.2.2 100 WLAN-BSS1/0/1
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number/name: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Web URL: N/A
· 客戶端通過AP設備接入網絡,采用直接方式的Portal認證。用戶通過手工配置或DHCP獲取公網IP地址進行認證,在通過Portal認證前,隻能訪問Portal Web服務器;在通過Portal認證後,可以使用此IP地址訪問非受限的互聯網資源。
· AC同時承擔Portal認證服務器、Portal Web服務器以及MAC綁定服務器的職責。
· 配置用戶免認證流量的閾值為1024000字節。
· 配置本地MAC表項的老化時間為24分鍾。
圖1-33 配置Portal基於MAC地址的本地快速認證組網圖
(1) 配置設備各接口的IP地址,保證啟動Portal之前各Client、服務器和AC之間的路由可達,具體配置步驟略。
(2) 配置認證域
# 創建名稱為dm1的ISP域,並進入ISP域視圖。
<AC> system-view
[AC] domain dm1
# 配置ISP域的AAA方法。
[AC-isp-dm1] authentication portal local
[AC-isp-dm1] authorization portal local
[AC-isp-dm1] accounting portal local
[AC-isp-dm1] quit
# 配置係統缺省的ISP域為dm1,所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[AC] domain default enable dm1
(3) 配置Portal認證
# 配置Portal Web服務器的URL為https://192.168.0.111/portal。(Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致,此處設備為Web服務器)
[AC] portal web-server newpt
[AC-portal-websvr-newpt] url https://192.168.0.111/portal
[AC-portal-websvr-newpt] quit
# 開啟無線Portal客戶端合法性檢查功能。
[AC] portal host-check enable
# 創建無線服務模板st1。
[AC] wlan service-template st1
[AC-wlan-st-st1] ssid st1
# 在無線服務模板st1上使能直接方式的Portal認證。
[AC-wlan-st-st1] portal enable method direct
# 在無線服務模板st1上引用Portal Web服務器newpt。
[AC-wlan-st-st1] portal apply web-server newpt
[AC-wlan-st-st1] quit
(4) 配置Portal基於MAC地址的快速認證
# 創建MAC綁定服務器mts,並進入MAC綁定服務器視圖。
[AC] portal mac-trigger-server mts
# 開啟Portal本地MAC-trigger認證功能。
[AC-portal-mac-trigger-server-mts] local-binding enable
# 配置用戶免認證流量的閾值為1024000字節。
[AC-portal-mac-trigger-server-mts] free-traffic threshold 1024000
# 配置本地MAC表項的老化時間為24分鍾。
[AC-portal-mac-trigger-server-mts] local-binding aging-time 24
[AC-portal-mac-trigger-server-mts] quit
# 在無線服務模板上應用MAC綁定服務器mts。
[AC] wlan service-template st1
[AC-wlan-st-st1] portal apply mac-trigger-server mts
# 開啟無線服務模板。
[AC-wlan-st-st1] service-template enable
[AC-wlan-st-st1] quit
# 創建本地Portal Web服務器,進入本地Portal Web服務器視圖,並指定使用HTTP協議和客戶端交互認證信息。
[AC] portal local-web-server http
# 配置本地Portal Web服務器提供的缺省認證頁麵文件為defaultfile.zip(設備的存儲介質的根目錄下必須已存在該認證頁麵文件,否則功能不生效)。
[AC–portal-local-websvr-http] default-logon-page defaultfile.zip
[AC–portal-local-websvr-http] quit
(5) 配置本地用戶
# 創建本地認證的Portal用戶的用戶名為client1,密碼為password。
[AC] local-user client1 class network
[AC-luser-network-client1] password simple password
[AC-luser-network-client1] quit
# 通過執行以下顯示命令可查看MAC綁定服務器信息。
[AC] display portal mac-trigger-server name mts
Portal mac-trigger server: mts
Version : 1.0
Server type : IMC
IP : 192.168.0.111
Port : 50100
VPN instance : Not configured
Aging time : 300 seconds
Free-traffic threshold : 1024000 bytes
NAS-Port-Type : Not configured
Binding retry times : 3
Binding retry interval : 1 seconds
Authentication timeout : 3 minutes
Local-binding : Enabled
Local-binding aging-time : 24 minutes
aaa-fail nobinding : Disabled
Excluded attribute list : Not configured
Cloud-binding : Disabled
Cloud-server URL : Not configured
用戶可以使用iNode客戶端或通過網頁方式進行Portal認證。用戶在通過認證前,發起的所有Web訪問均被重定向到Portal認證頁麵(https://192.168.0.111/portal),在通過認證後,可訪問非受限的互聯網資源。
用戶在首次進行Portal認證時,需要手工輸入用戶名和密碼。當用戶再次上線時,將可以直接訪問互聯網資源,不會感知到Portal認證過程。
# 用戶首次認證成功後通過執行以下顯示命令查看AC上生成的Portal本地綁定用戶信息。
[AC] display portal local-binding mac-address all
Total mac-address number: 1
Mac-address User-name
0800-2700-b43a client1
通過執行以下顯示命令查看AC上生成的Portal在線用戶信息。
[AC] display portal user interface vlan-interface100
Total portal users: 1
Username: client1
Portal server: N/A
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0800-2700-b43a 192.168.0.56 100 WLAN-BSS1/0/1
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number/name: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Web URL: N/A
· 客戶端通過AP設備接入網絡,AC上開啟DHCP服務,為無線客戶端分配私網IP地址,用戶通過此私網IP地址進行雲端MAC-trigger認證。在通過雲端認證前,隻能訪問Portal Web服務器,在通過雲端認證後,可以訪問非受限的互聯網資源。AC通過VLAN 100接口獲取公網IP地址。
· 采用雲端服務器同時承擔Portal認證服務器、Portal Web服務器以及MAC綁定服務器的職責。
圖1-34 配置Portal基於MAC地址的雲端快速認證組網圖
# 在雲平台上找到與設備對應的認證模板,開啟再次連接免認證功能。
圖1-35 雲端認證模板配置頁麵
(1) 配置設備各接口的IP地址,保證啟動Portal之前各Client、服務器和AC之間的路由可達,具體配置步驟略。
(2) 基本網絡功能配置
# 創建VLAN 100,並進入VLAN 100視圖。Client將使用該VLAN接入無線網絡。
<AC> system-view
[AC] vlan 100
[AC-vlan100] quit
# 配置各VLAN接口的IP地址(略)。
# 開啟DNS proxy功能。
[AC] dns proxy enable
# 開啟DHCP服務。
[AC] dhcp enable
# 創建DHCP地址池client,並進入DHCP地址池視圖。
[AC] dhcp server ip-pool client
# 配置DHCP地址池為無線客戶端動態分配的IP地址網段為192.168.100.0/24。
[AC-dhcp-pool-client] network 192.168.100.0 mask 255.255.255.0
# 配置不參與自動分配的IP地址為192.168.100.1。
[AC-dhcp-pool-client] forbidden-ip 192.168.100.1
# 配置為DHCP客戶端分配的網關地址為192.168.100.1。
[AC-dhcp-pool-client] gateway-list 192.168.100.1
# 配置為DHCP客戶端分配的DNS服務器地址為192.168.100.1。
[AC-dhcp-pool-client] dns-list 192.168.100.1
[AC-dhcp-pool-client] quit
# 配置接口VLAN 100引用地址池client。
[AC] interface vlan-interface 100
[AC-Vlan-interface100] dhcp server apply ip-pool client
[AC-Vlan-interface100] quit
(3) 配置認證域
# 創建一個名稱為cloud的ISP域,並進入其視圖。
[AC] domain cloud
# 為Portal用戶配置認證、授權、計費方法均為none。
[AC-isp-cloud] authentication portal none
[AC-isp-cloud] authorization portal none
[AC-isp-cloud] accounting portal none
[AC-isp-cloud] quit
(4) 配置雲端MAC-trigger認證功能
# 配置Portal Web服務器wbs的URL為https://oasisauth.h3c.com,類型為oauth,開啟portal被動Web認證功能。
[AC] portal web-server wbs
[AC-portal-websvr-wbs] url https://oasisauth.h3c.com
[AC-portal-websvr-wbs] server-type oauth
[AC-portal-websvr-wbs] captive-bypass enable
# 配置Portal臨時放行功能的匹配規則,對訪問https://oasisauth.h3c.com的用戶報文臨時放行。
[AC-portal-websvr-wbs] if-match original-url https://oasisauth.h3c.com temp-pass
[AC-portal-websvr-wbs] quit
# 開啟Portal雲端MAC-trigger認證功能。
[AC] portal mac-trigger-server abc
[AC-portal-extend-auth-server-abc] cloud-binding enable
# 指定雲端Portal認證服務器URL。
[AC-portal-extend-auth-server-abc] cloud-server url https://oasisauth.h3c.com
[AC-portal-extend-auth-server-abc] quit
# 創建無線服務模板st1,並進入無線服務模板視圖。
[AC] wlan service-template st1
# 配置無線客戶端從指定無線服務模板上線後所屬的VLAN為100。
[AC-wlan-st-st1] vlan 100
# 配置SSID為cloud。
[AC-wlan-st-st1] ssid cloud
# 開啟Portal認證。
[AC-wlan-st-st1] portal enable method direct
# 引用認證域、Portal Web服務器和MAC綁定服務器。
[AC-wlan-st-st1] portal domain cloud
[AC-wlan-st-st1] portal apply web-server wbs
[AC-wlan-st-st1] portal apply mac-trigger-server abc
# 配置Portal臨時放行規則。
[AC-wlan-st-st1] portal temp-pass period 60 enable
# 開啟無線服務模板。
[AC-wlan-st-st1] service-template enable
[AC-wlan-st-st1] quit
# 創建手工AP,名稱為lvzhou-ap,型號選擇WA2620i-AGN,序列號為219801A0CNC123001072。
[AC] wlan ap lvzhou-ap model WA2620i-AGN
[AC-wlan-ap-lvzhou-ap] serial-id 219801A0CNC123001072
# 進入Radio 1視圖。
[AC-wlan-ap-lvzhou-ap] radio 1
# 將無線服務模板st1綁定到Radio 1。
[AC-wlan-ap-lvzhou-ap-radio-1] service-template st1
# 開啟射頻功能。
[AC-wlan-ap-lvzhou-ap-radio-1] radio enable
[AC-wlan-ap-lvzhou-ap-radio-1] quit
[AC-wlan-ap-lvzhou-ap] quit
# 配置基於IP地址的Portal免認證規則(端口號53表示DNS報文),允許用戶不需要經過Portal認證即可訪問DNS服務。
[AC] portal free-rule 1 destination ip any udp 53
[AC] portal free-rule 2 destination ip any tcp 53
# 通過執行以下顯示命令可查看設備和雲端交互的報文統計。
[AC] display portal packet statistics extend-auth-server cloud
Extend-auth server : cloud
Pkt-Type Success Error Timeout Conn-failure
REQ_ACCESSTOKEN 1 0 0 0
REQ_USERINFO 1 0 0 0
RESP_ACCESSTOKEN 1 0 0 0
RESP_USERINFO 1 0 0 0
POST_ONLINEDATA 10 0 0 0
RESP_ONLINEDATA 10 0 0 0
POST_OFFLINEUSER 1 0 0 0
REPORT_ONLINEUSER 2 0 0 0
REQ_CLOUDBIND 2 0 0 0
ESP_CLOUDBIND 2 0 0 0
REQ_BINDUSERINFO 1 0 0 0
RESP_BINDUSERINFO 1 0 0 0
AUTHENTICATION 2 0 0 0
用戶在通過認證前,發起的所有Web訪問均被重定向到Portal認證頁麵(https://oasisauth.h3c.com),在通過認證後,可訪問非受限的互聯網資源。
用戶在首次進行Portal認證時,需要手工輸入用戶名和密碼。當用戶再次上線時,將可以直接訪問互聯網資源,不會感知到Portal認證過程。
# 通過執行以下顯示命令查看AC上生成的Portal在線用戶信息。
[AC] display portal user all
Total portal users: 1
Username: client1
AP name: lvzhou-ap
Radio ID: 2
SSID: WXauth
Portal server: N/A
State: Online
VPN instance: N/A
MAC IP VLAN Interface
582a-f776-8050 192.168.100.3 100 WLAN-BSS2/0/5
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number/name: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Web URL: N/A
AC上開啟DHCP服務,為無線客戶端分配私網IP地址,用戶通過此私網IP地址進行QQ認證,在通過認證前,隻能訪問QQ服務器;在通過QQ認證後,可以訪問非受限的互聯網資源。AC通過VLAN 200接口獲取公網IP地址。
圖1-36 QQ認證組網圖
按照自定義認證頁麵文件編輯規範,完成第三方認證頁麵的編輯,並上傳到設備存儲介質的根目錄下。
(1) 配置設備各接口的IP地址,保證AC與QQ服務器之間路由可達,且AP和AC之間建立起穩定的連接,具體配置步驟略。
(2) 基本網絡功能配置
# 創建VLAN 100,並進入VLAN 100視圖。Client將使用該VLAN接入無線網絡。
<AC> system-view
[AC] vlan 100
[AC-vlan100] quit
# 創建VLAN 200,並進入VLAN 200視圖。此VLAN用來配置NAT及通過DHCP獲取公網IP地址。
[AC] vlan 200
[AC-vlan200] quit
# 配置各VLAN接口的IP地址(略)。
# 開啟DNS proxy功能。
[AC] dns proxy enable
# 配置Portal Web服務器域名oauthindev.h3c.com對應的IP地址為192.168.1.1。
[AC] ip host oauthindev.h3c.com 192.168.1.1
# 開啟DHCP服務。
[AC] dhcp enable
# 創建DHCP地址池client,並進入DHCP地址池視圖。
[AC] dhcp server ip-pool client
# 配置DHCP地址池為無線客戶端動態分配的IP地址網段為192.168.1.0/24。
[AC-dhcp-pool-client] network 192.168.1.0 mask 255.255.255.0
# 配置不參與自動分配的IP地址為192.168.1.1。
[AC-dhcp-pool-client] forbidden-ip 192.168.1.1
# 配置為DHCP客戶端分配的網關地址為192.168.1.1。
[AC-dhcp-pool-client] gateway-list 192.168.1.1
# 配置為DHCP客戶端分配的DNS服務器地址為192.168.1.1。
[AC-dhcp-pool-client] dns-list 192.168.1.1
[AC-dhcp-pool-client] quit
# 配置接口VLAN 100引用地址池client。
[AC] interface vlan-interface 100
[AC-Vlan-interface100] dhcp server apply ip-pool client
[AC-Vlan-interface100] quit
# 配置ACL 2000,僅允許對192.168.1.0/24網段的用戶報文進行地址轉換。
[AC] acl basic 2000
[AC-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[AC-acl-ipv4-basic-2000] quit
# 配置接口VLAN 200通過DHCP協議獲取公網IP地址。
[AC] interface vlan-interface 200
[AC-Vlan-interface200] ip address dhcp-alloc
# 在接口上配置Easy IP方式的出方向動態地址轉換。
[AC-Vlan-interface200] nat outbound 2000
(3) 配置認證域
# 創建一個名稱為extend-auth的ISP域,並進入其視圖。
[AC] domain extend-auth
# 為Portal用戶配置認證、授權、計費方法均為none。
[AC-isp-extend-auth] authentication portal none
[AC-isp-extend-auth] authorization portal none
[AC-isp-extend-auth] accounting portal none
[AC-isp-extend-auth] quit
(4) 配置QQ認證
# 配置Portal Web服務器wbs的URL為https://192.168.1.1/portal。
[AC] portal web-server wbs
[AC-portal-websvr-wbs] url https://192.168.1.1/portal
[AC-portal-websvr-wbs] quit
# 創建QQ認證服務器,並進入QQ認證服務器視圖。
[AC] portal extend-auth-server qq
[AC-portal-extend-auth-server-qq] quit
# 創建無線服務模板st1,並進入無線服務模板視圖。
[AC] wlan service-template st1
# 配置無線服務模板VLAN為VLAN 100,無線客戶端通過此VLAN接入無線服務。
[AC-wlan-st-st1] vlan 100
# 配置SSID為service。
[AC-wlan-st-st1] ssid service
# 在無線服務模板st1上開啟直接方式的Portal認證。
[AC-wlan-st-st1] portal enable method direct
# 指定從無線服務模板service上接入的QQ認證用戶強製使用認證域extend-auth進行QQ認證。
[AC-wlan-st-st1] portal extend-auth domain extend-auth
# 在無線服務模板st1上引用Portal Web服務器wbs。
[AC-wlan-st-st1] portal apply web-server wbs
# 使能無線服務模板。
[AC-wlan-st-st1] service-template enable
[AC-wlan-st-st1] quit
# 創建手工AP,名稱為ap1,型號選擇WA6320,序列號為210235A29G007C000020。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
# 進入Radio 1視圖。
[AC-wlan-ap-ap1] radio 1
# 將無線服務模板st1綁定到Radio 1。
[AC-wlan-ap-ap1-radio-1] service-template st1
# 開啟射頻功能。
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
# 創建本地Portal Web 服務器,並進入本地Portal Web服務器視圖,指定使用HTTP協議和客戶端交互認證信息。
[AC] portal local-web-server http
# 配置本地Portal Web 服務器的缺省認證頁麵(需要先將缺省認證頁麵文件defaultfile.zip上傳到設備)。
[AC-portal-local-websvr-http] default-logon-page defaultfile.zip
[AC-portal-local-websvr-http] quit
# 配置基於IP地址的Portal免認證規則(端口號53表示DNS報文),允許用戶不需要經過Portal認證即可訪問DNS服務。
[AC] portal free-rule 1 destination ip any udp 53
[AC] portal free-rule 2 destination ip any tcp 53
# 配置基於目的的Portal免認證規則,允許用戶不需要經過Portal認證即可訪問QQ認證服務器。
[AC] portal free-rule 3 destination *.qq.com
[AC] portal free-rule 4 destination *.gtimg.cn
# 以上配置完成後,通過執行以下顯示命令可查看QQ服務器信息。
[AC] display portal extend-auth-server all
Portal extend-auth-server: qq
Authentication URL : https://graph.qq.com
APP ID : 101235509
APP key : ******
Redirect URL : https://oauthindev.h3c.com/portal/qqlogin.html
用戶在通過認證前,隻能訪問本地認證頁麵https://192.168.1.1/portal,且發起的Web訪問均被重定向到該認證頁麵,認證頁麵上用戶點擊QQ認證按鈕,跳轉到QQ認證頁麵,輸入QQ號和QQ密碼,在通過認證後,可訪問非受限的互聯網資源。
# 通過執行以下顯示命令查看AC上生成的Portal在線用戶信息。
[AC] display portal user all
Total portal users: 1
Username: 00-00-00-00-00-01
AP name: ap1
Radio ID: 1
SSID:service
Portal server: N/A
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-e9a6-7cfe 192.168.1.2 100 WLAN-BSS1/0/1
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number/name: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Web URL: N/A
AC上開啟DHCP服務,為無線客戶端分配私網IP地址,用戶通過此私網IP地址進行郵箱認證,在通過認證前,隻能訪問本地Web服務器;在通過郵箱認證後,可以訪問非受限的互聯網資源。AC通過VLAN 200接口獲取公網IP地址。
圖1-37 郵箱認證組網圖
按照自己定義認證頁麵文件編輯規範,完成第三方認證頁麵的編輯。並上傳到設備存儲介質的根目錄下。
(2) 配置設備各接口的IP地址,保證AC與郵箱服務器之間路由可達,且AP和AC之間建立起穩定的連接,具體配置步驟略。
(3) 基本網絡功能配置
# 創建VLAN 100,並進入VLAN 100視圖。Client將使用該VLAN接入無線網絡。
<AC> system-view
[AC] vlan 100
[AC-vlan100] quit
# 創建VLAN 200,並進入VLAN 200視圖。此VLAN用來配置NAT及通過DHCP獲取公網IP地址。
[AC] vlan 200
[AC-vlan200] quit
# 配置各VLAN接口的IP地址(略)。
# 開啟DNS proxy功能。
[AC] dns proxy enable
# 配置Portal Web服務器域名www.mail.com對應的IP地址為192.168.1.1。
[AC] ip host www.mail.com 192.168.1.1
# 開啟DHCP服務。
[AC] dhcp enable
# 創建DHCP地址池client,並進入DHCP地址池視圖。
[AC] dhcp server ip-pool client
# 配置DHCP地址池為無線客戶端動態分配的IP地址網段為192.168.1.0/24。
[AC-dhcp-pool-client] network 192.168.1.0 mask 255.255.255.0
# 配置不參與自動分配的IP地址為192.168.1.1。
[AC-dhcp-pool-client] forbidden-ip 192.168.1.1
# 配置為DHCP客戶端分配的網關地址為192.168.1.1。
[AC-dhcp-pool-client] gateway-list 192.168.1.1
# 配置為DHCP客戶端分配的DNS服務器地址為192.168.1.1。
[AC-dhcp-pool-client] dns-list 192.168.1.1
[AC-dhcp-pool-client] quit
# 配置接口VLAN 100引用地址池client。
[AC] interface vlan-interface 100
[AC-Vlan-interface100] dhcp server apply ip-pool client
[AC-Vlan-interface100] quit
# 配置ACL 2000,僅允許對192.168.1.0/24網段的用戶報文進行地址轉換。
[AC] acl basic 2000
[AC-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[AC-acl-ipv4-basic-2000] quit
# 配置接口VLAN 200通過DHCP協議獲取公網IP地址。
[AC] interface vlan-interface 200
[AC-Vlan-interface200] ip address dhcp-alloc
# 在接口上配置Easy IP方式的出方向動態地址轉換。
[AC-Vlan-interface200] nat outbound 2000
[AC-Vlan-interface200] quit
(4) 配置認證域
# 創建一個名稱為extend-auth的ISP域,並進入其視圖。
[AC] domain extend-auth
# 為Portal用戶配置認證、授權、計費方法均為none。
[AC-isp-extend-auth] authentication portal none
[AC-isp-extend-auth] authorization portal none
[AC-isp-extend-auth] accounting portal none
[AC-isp-extend-auth] quit
(5) 配置郵箱認證
# 配置Portal Web服務器wbs的URL為https:// 192.168.1.1/portal。
[AC] portal web-server wbs
[AC-portal-websvr-wbs] url https://192.168.1.1/portal
[AC-portal-websvr-wbs] quit
# 創建郵箱認證服務器,並進入郵箱認證服務器視圖。
[AC] portal extend-auth-server mail
# 配置郵箱認證服務支持的協議類型為POP3和IMAP。
[AC-portal-extend-auth-server-mail] mail-protocol pop3 imap
[AC-portal-extend-auth-server-mail] quit
# 創建無線服務模版st1,並進入無線服務模板視圖。
[AC] wlan service-template st1
# 配置無線服務模板VLAN為VLAN 100,無線客戶端通過此VLAN接入無線服務。
[AC-wlan-st-st1] vlan 100
# 配置SSID為service。
[AC-wlan-st-st1] ssid service
# 在無線服務模板st1上開啟直接方式的Portal認證。
[AC-wlan-st-st1] portal enable method direct
# 指定從無線服務模板service上接入的郵箱認證用戶強製使用認證域extend-auth進行郵箱認證。
[AC-wlan-st-st1] portal extend-auth domain extend-auth
# 在無線服務模板st1上引用Portal Web服務器wbs。
[AC-wlan-st-st1] portal apply web-server wbs
# 開啟無線服務模板。
[AC-wlan-st-st1] service-template enable
[AC-wlan-st-st1] quit
# 創建手工AP,名稱為ap1,型號選擇WA6320,序列號為210235A29G007C000020。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
# 進入Radio 1視圖。
[AC-wlan-ap-ap1] radio 1
# 將無線服務模板st1綁定到Radio 1。
[AC-wlan-ap-ap1-radio-1] service-template st1
# 開啟射頻功能。
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
# 創建本地Portal Web 服務器,並進入本地Portal Web服務器視圖,指定使用HTTPS協議和客戶端交互認證信息。
[AC] portal local-web-server https
# 配置本地Portal Web 服務器的缺省認證頁麵(需要先將缺省認證頁麵文件defaultfile.zip上傳到設備)。
[AC-portal-local-websvr-https] default-logon-page defaultfile.zip
[AC-portal-local-websvr-https] quit
# 配置基於IP地址的Portal免認證規則(端口號53表示DNS報文),允許用戶不需要經過Portal認證即可訪問DNS服務。
[AC] portal free-rule 1 destination ip any udp 53
[AC] portal free-rule 2 destination ip any tcp 53
# 以上配置完成後,通過執行以下顯示命令可查看郵箱服務器信息。
[AC] display portal extend-auth-server mail
Portal extend-auth-server: mail
Mail protocol : POP3 IMAP
用戶在通過認證前,隻能訪問本地認證頁麵https://192.168.1.1/portal,且發起的Web訪問均被重定向到該認證頁麵,用戶點擊郵箱認證按鈕,跳轉到郵箱認證頁麵,輸入郵箱名和密碼,在通過認證後,可訪問非受限的互聯網資源。
通過執行以下顯示命令查看AC上生成的Portal在線用戶信息。
[AC] display portal user all
Total portal users: 1
Username: user
AP name: ap1
Radio ID: 1
SSID:service
Portal server: N/A
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-e9a6-7cfe 192.168.1.2 100 WLAN-BSS1/0/1
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number/name: N/A
CAR: N/A
如圖1-38所示,Client通過AP與AC相連,采用直接方式的Portal認證。用戶通過手工配置或DHCP獲取的IP地址進行認證,在通過Portal認證前,隻能訪問Portal Web服務器;在通過Portal認證後,可以使用此IP地址訪問非受限互聯網資源。
采用一台支持H3C OAuth協議的服務器承擔Portal認證服務器和Portal Web服務器的職責。
圖1-38 配置Portal Oauth認證組網圖
完成服務器上的配置,保證用戶的認證功能正常運行,具體配置步驟略。
(1) 配置設備各接口的IP地址,保證啟動Portal之前各Client、服務器和AC之間的路由可達,具體配置步驟略。
(2) 配置認證域
# 創建並進入名字為oauth的ISP域。
<AC> system-view
[AC] domain oauth
# 配置ISP域的AAA方法。
[AC-isp-oauth] authentication portal none
[AC-isp-oauth] authorization portal none
[AC-isp-oauth] accounting portal none
[AC-isp-oauth] quit
(3) 配置Portal認證
# 配置Portal Web服務器的URL為https://192.168.0.130/portal(Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致,此處僅為示例),並配置Web服務器的類型為oauth。
[AC] portal web-server newpt
[AC-portal-websvr-newpt] url https://192.168.0.130/portal
[AC-portal-websvr-newpt] server-type oauth
[AC-portal-websvr-newpt] quit
# 創建本地Portal Web服務器,進入本地Portal Web服務器視圖,並指定使用HTTP協議和客戶端交互認證信息。
[AC] portal local-web-server http
# 配置無線服務模板,SSID為portal_1。
[AC] wlan service-template newst
[AC–wlan-st-newst] ssid portal_1
# 在無線服務模板newst上使能直接方式的Portal認證。
[AC–wlan-st-newst] portal enable method direct
# 在無線服務模板newst上引用Portal Web服務器newpt。
[AC–wlan-st-newst] portal apply web-server newpt
# 在無線服務模板newst上引用認證域。
[AC–wlan-st-newst] portal domain oauth
# 開啟無線服務模板newst
[AC–wlan-st-newst] service-template enable
[AC–wlan-st-newst] quit
# 創建手工AP,名稱為ap2,選擇AP型號並配置序列號。
[AC] wlan ap ap2 model WA6320
[AC-wlan-ap-ap2] serial-id 210235A29G007C000020
# 配置射頻,指定工作信道為11。
[AC-wlan-ap-ap2] radio 2
[AC-wlan-ap-ap2-radio-2] channel 11
# 開啟射頻功能,將無線服務模板newst綁定到Radio2上,並綁定VLAN 2。
[AC-wlan-ap-ap2-radio-2] radio enable
[AC-wlan-ap-ap2-radio-2] service-template newst vlan 2
[AC-wlan-ap-ap2-radio-2] quit
[AC-wlan-ap-ap2] quit
以上配置完成後,通過執行以下顯示命令可查看Portal配置是否生效。
[AC] display portal ap ap2
Portal information of ap2
Radio ID: 2
SSID: portal_1
Authorization : Strict checking
ACL : Disable
User profile : Disable
Dual stack : Disabled
Dual traffic-separate: Disabled
IPv4:
Portal status: Enabled
VSRP_SM state: M_Delay
Portal authentication method: Direct
Portal Web server: newpt(active)
Secondary portal Web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: oauth
User-dhcp-only: Disabled
Max portal users: Not configured
Bas-ip: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Destination authentication subnet:
IP address Mask
IPv6:
Portal status: Disabled
VSRP_SM state: M_Delay
Portal authentication method: Disabled
Portal Web server: Not configured
Secondary portal Web server: Not configured
Portal mac-trigger-server: Not configured
Authentication domain: Not configured
User-dhcp-only: Disabled
Max portal users: Not configured
Bas-ipv6: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Destination authentication subnet:
IP address Prefix length
用戶可以通過網頁方式進行Portal認證。用戶在通過認證前,隻能訪問認證頁麵https://192.168.0.130/portal,且發起的Web訪問均被重定向到該認證頁麵,在通過認證後,可訪問非受限的互聯網資源。
認證通過後,可通過執行以下顯示命令查看AC上生成的Portal在線用戶信息。
[AC] display portal user ap ap2
Total portal users: 1
Username: 1
AP name: ap2
Radio ID: 2
SSID: portal_1
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-005e-9398 2.2.2.2 100 WLAN-BSS1/0/1
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
如圖1-39所示,AC 1作為WLAN漫遊中心,AC 2和AC 3作為Portal漫遊中心,Client通過AP在AC 2上進行Portal認證並漫遊到AC 3。要求:當Client漫遊到AC 3時不再進行Portal認證,可直接在AC 3上線並訪問相關資源。
# 創建WLAN漫遊中心,並進入WLAN漫遊中心視圖。
<AC1> system-view
[AC1] wlan roaming-center
# 配置WLAN漫遊中心的UDP端口號為40000。
[AC1-wlan-roaming-center] port 40000
# 開啟WLAN漫遊中心功能。
[AC1-wlan-roaming-center] roaming-center enable
[AC1-wlan-roaming-center] quit
(1) 配置設備各接口的IP地址,保證啟動Portal之前各Client、服務器和AC之間的路由可達,具體配置步驟略。
(2) 配置RADIUS方案
# 創建名字為rs1的RADIUS方案並進入該方案視圖。
<AC2> system-view
[AC2] radius scheme rs1
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[AC2-radius-rs1] primary authentication 192.168.0.112
[AC2-radius-rs1] primary accounting 192.168.0.112
[AC2-radius-rs1] key authentication simple radius
[AC2-radius-rs1] key accounting simple radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[AC2-radius-rs1] user-name-format without-domain
[AC2-radius-rs1] quit
# 使能RADIUS session control功能。
[AC2] radius session-control enable
(3) 配置認證域
# 創建並進入名字為dm1的ISP域。
[AC2] domain dm1
# 配置ISP域的AAA方法。
[AC2-isp-dm1] authentication portal radius-scheme rs1
[AC2-isp-dm1] authorization portal radius-scheme rs1
[AC2-isp-dm1] accounting portal radius-scheme rs1
[AC2-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[AC2] domain default enable dm1
(4) 配置Portal認證
# 配置Portal認證服務器:名稱為newpt,IP地址為192.168.0.111,密鑰為明文portal,監聽Portal報文的端口為50100。
[AC2] portal server newpt
[AC2-portal-server-newpt] ip 192.168.0.111 key simple portal
[AC2-portal-server-newpt] port 50100
[AC2-portal-server-newpt] quit
# 配置Portal Web服務器的URL為https://192.168.0.111:8080/portal。(Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致,此處僅為示例)
[AC2] portal web-server newpt
[AC2-portal-websvr-newpt] url https://192.168.0.111:8080/portal
[AC2-portal-websvr-newpt] quit
# 創建手工AP,名稱為ap2,選擇AP型號並配置序列號。
[AC2] wlan ap ap2 model WA6320
[AC2-wlan-ap-ap2] serial-id 210235A29G007C000020
[AC2-wlan-ap-ap2] quit
# 配置無線服務模板,SSID為portal_1。
[AC2] wlan service-template newst
[AC2–wlan-st-newst] ssid portal_1
# 在無線服務模板newst上使能直接方式的Portal認證。
[AC2–wlan-st-newst] portal enable method direct
# 在無線服務模板newst上引用Portal Web服務器newpt。
[AC2–wlan-st-newst] portal apply web-server newpt
# 在無線服務模板newst上設置發送給Portal認證服務器的Portal報文中的BAS-IP屬性值為192.168.0.110。
[AC2–wlan-st-newst] portal bas-ip 192.168.0.110
# 配置客戶端數據報文轉發位置為AP。
[AC2–wlan-st-newst] client forwarding-location ap
# 使能無線服務模板newst
[AC2–wlan-st-newst] service-template enable
[AC2–wlan-st-newst] quit
# 配置射頻,指定工作信道為11。
[AC2] wlan ap ap2
[AC2-wlan-ap-ap2] radio 2
[AC2-wlan-ap-ap2-radio-2] channel 11
# 開啟射頻功能,將無線服務模板newst綁定到Radio2上,並綁定vlan2。
[AC2-wlan-ap-ap2-radio-2] radio enable
[AC2-wlan-ap-ap2-radio-2] service-template newst vlan 2
[AC2-wlan-ap-ap2-radio-2] quit
[AC2-wlan-ap-ap2] quit
(5) 配置Portal漫遊中心
# 創建Portal漫遊中心,並進入Portal漫遊中心視圖。
[AC2] portal roaming-center
# 指定WLAN漫遊中心的IP地址。
[AC2-portal-roaming-center] ip 192.168.1.1
# 配置WLAN漫遊中心的UDP端口號為40000。
[AC2-portal-roaming-center] port 40000
# 配置Portal漫遊中心等待WLAN漫遊中心響應報文的超時時間為5秒。
[AC2-portal-roaming-center] response-timeout 5
# 配置Portal漫遊中心向WLAN漫遊中心發送報文的最大嚐試次數為3次。
[AC2-portal-roaming-center] retry 3
# 開啟Portal漫遊中心功能。
[AC2-portal-roaming-center] roaming-center enable
[AC2-portal-roaming-center] quit
AC 3的配置與AC 2相同,請參見1.40.12 4. 配置AC 2。
(1) 配置RADIUS服務器
完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行,具體配置步驟略。
(2) 配置Portal服務器
下麵以iMC為例(使用iMC版本為:iMC PLAT 7.1(E0303)、iMC EIA 7.1(E0304)),說明Portal server的基本配置。
(3) 配置Portal認證服務器
登錄進入iMC管理平台,選擇“用戶”頁簽,單擊導航樹中的[接入策略管理/Portal服務管理/服務器配置]菜單項,進入服務器配置頁麵。
¡ 根據實際組網情況調整以下參數,本例中使用缺省配置。
圖1-40 Portal認證服務器配置頁麵
(4) 配置IP地址組
單擊導航樹中的[接入策略管理/Portal服務管理/IP地址組配置]菜單項,進入Portal IP地址組配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加IP地址組配置頁麵。
¡ 填寫IP地址組名;
¡ 輸入起始地址和終止地址,輸入的地址範圍中應包含用戶主機的IP地址;
¡ 選擇業務分組,本例中使用缺省的“未分組”;
¡ 選擇IP地址組的類型為“普通”。
圖1-41 增加IP地址組配置頁麵
(5) 增加Portal設備
單擊導航樹中的[接入策略管理/Portal服務管理/設備配置]菜單項,進入Portal設備配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加設備信息配置頁麵。
¡ 填寫設備名;
¡ 指定IP地址為與接入用戶相連的設備接口IP;
¡ 選擇是否支持逃生心跳功能和用戶心跳功能,本例中選擇否;
¡ 輸入密鑰,與接入設備AC上的配置保持一致;
¡ 選擇組網方式為直連。
圖1-42 增加設備信息配置頁麵
(6) Portal設備關聯IP地址組
在Portal設備配置頁麵中的設備信息列表中,點擊NAS設備的<端口組信息管理>鏈接,進入端口組信息配置頁麵。
圖1-43 設備信息列表
在端口組信息配置頁麵中單擊<增加>按鈕,進入增加端口組信息配置頁麵。
¡ 填寫端口組名;
¡ 選擇IP地址組,用戶接入網絡時使用的IP地址必須屬於所選的IP地址組;
¡ 其它參數采用缺省值。
圖1-44 增加端口組信息配置頁麵
單擊導航樹中的[接入策略管理/業務參數配置/係統配置手工生效]菜單項,使以上Portal認證服務器配置生效。
# 在AC 1上查看WLAN漫遊中心的在線用戶信息。
[AC1] display wlan roaming-center user all
Total user:1
MAC address IP address
000d-88f8-0eac 2.2.2.1
# 在AC 1上查看WLAN漫遊中心上的在線用戶詳細內容,包括授權信息和漫遊軌跡。
[AC1] display wlan roaming-center user all verbose
MAC address: 000d-88f8-0eac
IP address: 2.2.2.1
Username: 1
Authorization information:
User profile: abc
ACL number/name: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Session Timeout period: N/A
Idle cut: N/A
Roaming information:
Online BAS IP: 192.168.0.110
Online time: 12:01:12 01/02 2018 UTC
Roaming count: 3
BAS-IP Roam-in time
192.168.0.11 12:20:12 01/02 2018 UTC
192.168.0.10 12:18:12 01/02 2018 UTC
用戶被強製去訪問iMC Portal認證服務器時沒有彈出Portal認證頁麵,也沒有錯誤提示,登錄的Portal認證服務器頁麵為空白。
接入設備上配置的Portal密鑰和Portal認證服務器上配置的密鑰不一致,導致Portal認證服務器報文驗證出錯,Portal認證服務器拒絕彈出認證頁麵。
在Portal認證服務器視圖下使用display this命令查看接入設備上是否配置了Portal認證服務器密鑰,若沒有配置密鑰,請補充配置;若配置了密鑰,請在Portal認證服務器視圖中使用ip或ipv6命令修改密鑰,或者在Portal認證服務器上查看對應接入設備的密鑰並修改密鑰,直至兩者的密鑰設置一致。
用戶通過Portal認證後,在接入設備上使用portal delete-user命令強製用戶下線失敗,但是使用客戶端的“斷開”屬性可以正常下線。
在接入設備上使用portal delete-user命令強製用戶下線時,由接入設備主動發送下線通知報文到Portal認證服務器,Portal認證服務器會在指定的端口監聽該報文(缺省為50100),但是接入設備發送的下線通知報文的目的端口和Portal認證服務器真正的監聽端口不一致,故Portal認證服務器無法收到下線通知報文,Portal認證服務器上的用戶無法下線。
當使用客戶端的“斷開”屬性讓用戶下線時,由Portal認證服務器主動向接入設備發送下線請求,其源端口為50100,接入設備的下線應答報文的目的端口使用請求報文的源端口,避免了其配置上的錯誤,使得Portal認證服務器可以收到下線應答報文,從而Portal認證服務器上的用戶成功下線。
使用display portal server命令查看接入設備對應服務器的端口,並在係統視圖中使用portal server命令修改服務器的端口,使其和Portal認證服務器上的監聽端口一致。
接入設備使用iMC服務器作為RADIUS服務器對Portal用戶進行身份認證,用戶通過Portal認證上線後,管理員無法在RADIUS服務器上強製Portal用戶下線。
iMC服務器使用session control報文向設備發送斷開連接請求。接入設備上監聽session control報文的UDP端口缺省是關閉的,因此無法接收RADIUS服務器發送的Portal用戶下線請求。
查看接入設備上的RADIUS session control功能是否處於開啟狀態,若未開啟,請在係統視圖下執行radius session-control enable命令開啟。
接入設備上通過命令行強製Portal用戶下線後,Portal認證服務器上還存在該用戶。
在接入設備上使用portal delete-user命令強製用戶下線時,由接入設備主動發送下線通知報文到Portal認證服務器,若接入設備主動發送的Portal報文攜帶的BAS-IP/BAS-IPv6屬性值與Portal認證服務器上指定的設備IP地址不一致,Portal認證服務器會將該下線通知報文丟棄。當接入設備嚐試發送該報文超時之後,會將該用戶強製下線,但Portal認證服務器上由於並未成功接收這樣的通知報文,認為該用戶依然在線。
在開啟Portal認證的接口上配置BAS-IP/BAS-IPv6屬性值,使其與Portal認證服務器上指定的設備IP地址保持一致。
設備對用戶采用二次地址分配認證方式的Portal認證,用戶輸入正確的用戶名和密碼,且客戶端先後成功獲取到了私網IP地址和公網的IP地址,但認證結果為失敗。
在接入設備對用戶進行二次地址分配認證過程中,當接入設備感知到客戶端的IP地址更新之後,需要主動發送Portal通知報文告知Portal認證服務器已檢測到用戶IP變化,當Portal認證服務器接收到客戶端以及接入設備發送的關於用戶IP變化的通告後,才會通知客戶端上線成功。若接入設備主動發送的Portal報文攜帶的BAS-IP/BAS-IPv6屬性值與Portal認證服務器上指定的設備IP地址不一致時,Portal認證服務器會將該Portal通知報文丟棄,因此會由於未及時收到用戶IP變化的通告認為用戶認證失敗。
在開啟Portal認證的接口上配置BAS-IP/BAS-IPv6屬性值,使其與Portal認證服務器上指定的設備IP地址保持一致。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
