04-Portal配置
本章节下载: 04-Portal配置 (660.46 KB)
Portal在英语中是入口的意思。Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。
未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时,必须在门户网站进行认证,只有认证通过后才可以使用互联网资源。
用户可以主动访问已知的Portal认证网站,输入用户名和密码进行认证,这种开始Portal认证的方式称作主动认证。反之,如果用户试图通过HTTP访问其他外网,将被强制访问Portal认证网站,从而开始Portal认证过程,这种方式称作强制认证。
Portal业务可以为运营商提供方便的管理功能,门户网站可以开展广告、社区服务、个性化的业务等,使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。
Portal的扩展功能主要是指通过强制接入终端实施补丁和防病毒策略,加强网络终端对病毒攻击的主动防御能力。具体扩展功能如下:
l 安全性检测:在Portal身份认证的基础上增加了安全认证机制,可以检测接入终端上是否安装了防病毒软件、是否更新了病毒库、是否安装了非法软件、是否更新了操作系统补丁等;
l 访问资源受限:用户通过身份认证后仅仅获得访问部分互联网资源(受限资源)的权限,如病毒服务器、操作系统补丁更新服务器等;当用户通过安全认证后便可以访问更多的互联网资源(非受限资源)。
Portal的典型组网方式如图1-1所示,它由五个基本要素组成:认证客户端、接入设备、Portal服务器、认证/计费服务器和安全策略服务器。
图1-1 Portal系统组成示意图
安装于用户终端的客户端系统,为运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的主机。对接入终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息交流完成的。
交换机、路由器等宽带接入设备的统称,主要有三方面的作用:
l 在认证之前,将用户的所有HTTP请求都重定向到Portal服务器。
l 在认证过程中,与Portal服务器、安全策略服务器、认证/计费服务器交互,完成身份认证/安全认证/计费的功能。
l 在认证通过后,允许用户访问被管理员授权的互联网资源。
接收Portal客户端认证请求的服务器端系统,提供免费门户服务和基于Web认证的界面,与接入设备交互认证客户端的认证信息。
与接入设备进行交互,完成对用户的认证和计费。
与Portal客户端、接入设备进行交互,完成对用户的安全认证,并对用户进行授权操作。
以上五个基本要素的交互过程为:
(1) 未认证用户访问网络时,在Web浏览器地址栏中输入一个互联网的地址,那么此HTTP请求在经过接入设备时会被重定向到Portal服务器的Web认证主页上;若需要使用Portal的扩展认证功能,则用户必须使用Portal客户端。
(2) 用户在认证主页/认证对话框中输入认证信息后提交,Portal服务器会将用户的认证信息传递给接入设备;
(3) 然后接入设备再与认证/计费服务器通信进行认证和计费;
(4) 认证通过后,如果未对用户采用安全策略,则接入设备会打开用户与互联网的通路,允许用户访问互联网;如果对用户采用了安全策略,则客户端、接入设备与安全策略服务器交互,对用户的安全检测通过之后,安全策略服务器根据用户的安全性授权用户访问非受限资源。
l 无论是Web客户端还是H3C iNode客户端发起的Portal认证,均能支持Portal认证穿越NAT,即Portal客户端位于私网、Portal服务器位于公网,接入设备上启用NAT功能的组网环境下,NAT地址转换不会对Portal认证造成影响,但建议在此组网环境下,将发送Portal报文的源地址配置为接口的公网IP地址。
l 目前支持Portal认证的远端认证/计费服务器为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。
l 目前通过访问Web页面进行的Portal认证不能对用户实施安全策略检查,安全检查功能的实现需要与H3C iNode客户端配合。
不同的组网方式下,可采用的Portal认证方式不同。按照网络中实施Portal认证的网络层次来分,设备支持的Portal的认证方式为三层认证方式。
这种方式支持在接入设备连接用户的三层接口上开启Portal认证功能。三层接口Portal认证又可分为三种不同的认证方式:直接认证方式、二次地址分配认证方式和可跨三层认证方式。直接认证方式和二次地址分配认证方式下,认证客户端和接入设备之间没有三层转发;可跨三层认证方式下,认证客户端和接入设备之间可以跨接三层转发设备。
(1) 直接认证方式
用户在认证前通过手工配置或DHCP直接获取一个IP地址,只能访问Portal服务器,以及设定的免费访问地址;认证通过后即可访问网络资源。认证流程相对二次地址较为简单。
(2) 二次地址分配认证方式
用户在认证前通过DHCP获取一个私网IP地址,只能访问Portal服务器,以及设定的免费访问地址;认证通过后,用户会申请到一个公网IP地址,即可访问网络资源。该认证方式解决了IP地址规划和分配问题,对未认证通过的用户不分配公网IP地址。例如运营商对于小区宽带用户只在访问小区外部资源时才分配公网IP。
(3) 可跨三层认证方式
和直接认证方式基本相同,但是这种认证方式允许认证用户和接入设备之间跨越三层转发设备。
对于以上三种认证方式,IP地址都是用户的唯一标识。接入设备基于用户的IP地址下发ACL对接口上通过认证的用户报文转发进行控制。由于直接认证和二次地址分配认证下的接入设备与用户之间未跨越三层转发设备,因此接口可以学习到用户的MAC地址,接入设备可以利用学习到MAC地址增强对用户报文转发的控制粒度。
在对接入用户身份可靠性要求较高的网络应用中,传统的基于用户名和口令的用户身份验证方式存在一定的安全问题,基于数字证书的用户身份验证方式通常被用来建立更为安全和可靠的网络接入认证机制。
EAP(Extensible Authentication Protocol,可扩展认证协议)可支持多种基于数字证书的认证方式(例如EAP-TLS),它与Portal认证相配合,可共同为用户提供基于数字证书的接入认证服务。
图1-2 Portal支持EAP认证协议交互示意图
如图1-2所示,在Portal支持EAP认证的实现中,客户端与Portal服务器之间交互EAP认证报文,Portal服务器与接入设备之间交互携带EAP-Message属性的Portal协议报文,接入设备与RADIUS服务器之间交互携带EAP-Message属性的RADIUS协议报文,由具备EAP服务器功能的RADIUS服务器处理EAP-Message属性中封装的EAP报文,并给出EAP认证结果。整个EAP认证过程中,接入设备只是对Portal服务器与RADIUS服务器之间的EAP-Message属性进行透传,并不对其进行任何处理,因此接入设备上无需任何额外配置。
l 该功能仅能与iMC的Portal服务器以及iNode Portal客户端配合使用。
l 目前,仅使用远程Portal服务器的三层Portal认证支持EAP认证。
直接认证和可跨三层Portal认证流程相同。二次地址分配认证流程因为有两次地址分配过程,所以其认证流程和另外两种认证方式有所不同。
图1-3 直接认证/可跨三层Portal认证流程图
直接认证/可跨三层Portal认证流程:
(1) Portal用户通过HTTP协议发起认证请求。HTTP报文经过接入设备时,对于访问Portal服务器或设定的免费访问地址的HTTP报文,接入设备允许其通过;对于访问其它地址的HTTP报文,接入设备将其重定向到Portal服务器。Portal服务器提供Web页面供用户输入用户名和密码来进行认证。
(2) Portal服务器与接入设备之间进行CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)认证交互。若采用PAP(Password Authentication Protocol,密码验证协议)认证则直接进入下一步骤。
(3) Portal服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备,同时开启定时器等待认证应答报文。
(4) 接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。
(5) 接入设备向Portal服务器发送认证应答报文。
(6) Portal服务器向客户端发送认证通过报文,通知客户端认证(上线)成功。
(7) Portal服务器向接入设备发送认证应答确认。
(8) 客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全性是否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。
(9) 安全策略服务器根据用户的安全性授权用户访问非受限资源,授权信息保存到接入设备中,接入设备将使用该信息控制用户的访问。
步骤(8)、(9)为Portal认证扩展功能的交互过程。
图1-4 二次地址分配认证方式流程图
二次地址分配认证流程:
(1)~(6)同直接/可跨三层Portal认证中步骤(1)~(6)。
(7) 客户端收到认证通过报文后,通过DHCP获得新的公网IP地址,并通知Portal服务器用户已获得新IP地址。
(8) Portal服务器通知接入设备客户端获得新公网IP地址。
(9) 接入设备通过检测ARP协议报文发现了用户IP变化,并通告Portal服务器已检测到用户IP变化。
(10) Portal服务器通知客户端上线成功。
(11) Portal服务器向接入设备发送IP变化确认报文。
(12) 客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全性是否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。
(13) 安全策略服务器根据用户的安全性授权用户访问非受限资源,授权信息保存到接入设备中,接入设备将使用该信息控制用户的访问。
步骤(12)、(13)为Portal认证扩展功能的交互过程。
图1-5 Portal支持EAP认证流程图
支持EAP认证的Portal认证流程如下(各Portal认证方式下EAP认证的处理流程相同,此处仅以直接方式的Portal认证为例):
(1) Portal客户端发起EAP认证请求,向Portal服务器发送Identity类型的EAP请求报文。
(2) Portal服务器向接入设备发送Portal认证请求报文,同时开启定时器等待Portal认证应答报文,该认证请求报文中包含若干个EAP-Message属性,这些属性用于封装Portal客户端发送的EAP报文,并可携带客户端的证书信息。
(3) 接入设备接收到Portal认证请求报文后,构造RADIUS认证请求报文与RADIUS服务器进行认证交互,该RADIUS认证请求报文的EAP-Message属性值由接入设备收到的Portal认证请求报文中的EAP-Message属性值填充。
(4) 接入设备根据RADIUS服务器的回应信息向Portal服务器发送证书请求报文,该报文中同样会包含若干个EAP-Message属性,可用于携带RADIUS服务器的证书信息,这些属性值由RADIUS认证回应报文中的EAP-Message属性值填充。
(5) Portal服务器接收到证书请求报文后,向Portal客户端发送EAP认证回应报文,直接将RADIUS服务器响应报文中的EAP-Message属性值透传给Portal客户端。
(6) Portal客户端继续发起的EAP认证请求,与RADIUS服务器进行后续的EAP认证交互,期间Portal认证请求报文可能会出现多次。后续认证过程与第一个EAP认证请求报文的交互过程类似,仅EAP报文类型会根据EAP认证阶段发展有所变化,此处不再详述。
(7) EAP认证通过后,RADIUS服务器向接入设备发送认证通过响应报文,该报文的EAP-Message属性中封装了EAP认证成功报文(EAP-Success)。
(8) 接入设备向Portal服务器发送认证应答报文,该报文的EAP-Message属性中封装了EAP认证成功报文。
(9) Portal服务器根据认证应答报文中的认证结果通知Portal客户端认证成功。
(10) Portal服务器向接入设备发送认证应答确认。
后续为Portal认证扩展功能的交互过程,可参考CHAP/PAP认证方式下的认证流程介绍,此处略。
实际组网应用中,某企业的各分支机构属于不同的VPN,且各VPN之间的业务相互隔离。如果各分支机构的Portal用户要通过位于总部VPN中的服务器进行统一认证,则需要Portal支持多实例。
通过Portal支持多实例,可实现Portal认证报文通过MPLS VPN进行交互。如下图所示,连接客户端的PE设备作为NAS,通过MPLS VPN将私网客户端的Portal认证报文透传给网络另一端的私网服务器,并在AAA支持多实例的配合下,实现对私网VPN客户端的Portal接入认证,满足了私网VPN业务隔离情况下的客户端集中认证,且各私网的认证报文互不影响。
图1-6 Portal支持多实例典型组网图
l 在MCE设备上进行的Portal接入认证也可支持多实例功能。关于MCE的相关介绍请见参见“MPLS配置指导”中的“MPLS L3VPN”。
l 关于AAA支持多实例的相关介绍请参见“安全配置指导”中的“AAA”。
l 本特性不支持多VPN间的地址重叠。
表1-1 三层Portal配置任务简介
配置任务 |
说明 |
详细配置 |
|
指定三层Portal认证的Portal服务器监听IP地址 |
必选 |
||
使能三层Portal |
必选 |
||
控制Portal用户的接入 |
配置免认证规则 |
可选 |
|
配置源认证网段 |
|||
配置Portal最大用户数 |
|||
指定Portal用户使用的认证域 |
|||
配置接口发送RADIUS报文的相关属性 |
配置接口的NAS-Port-Type |
可选 |
|
配置接口的NAS-ID Profile |
|||
配置接口发送Portal报文使用的源地址 |
可选 |
||
指定Portal用户认证成功后认证页面的自动跳转目的网站地址 |
可选 |
||
配置Portal探测功能 |
配置Portal服务器探测功能 |
可选 |
|
配置Portal用户信息同步功能 |
|||
强制Portal用户下线 |
可选 |
Portal提供了一个用户身份认证和安全认证的实现方案,但是仅仅依靠Portal不足以实现该方案。接入设备的管理者需选择使用RADIUS认证方法,以配合Portal完成用户的身份认证。Portal认证的配置前提:
l Portal服务器、RADIUS服务器已安装并配置成功。
l 若采用二次地址分配认证方式,接入设备需启动DHCP中继的安全地址匹配检查功能,另外需要安装并配置好DHCP服务器。
l 用户、接入设备和各服务器之间路由可达。
l 如果通过远端RADIUS服务器进行认证,则需要在RADIUS服务器上配置相应的用户名和密码,然后在接入设备端进行RADIUS客户端的相关设置。RADIUS客户端的具体配置请参见“安全配置指导”中的“AAA”。
l 如果需要支持Portal的扩展功能,需要安装并配置iMC EAD。同时保证在接入设备上的ACL配置和安全策略服务器上配置的受限资源ACL号、非受限资源ACL号对应。接入设备上的安全策略服务器配置请参见“安全配置指导”中的“AAA”。
l 安全策略服务器的配置请参考iMC EAD安全策略组件联机帮助。
l 受限资源ACL、非受限资源ACL分别对应安全策略服务器中的隔离ACL与安全ACL。
l 如果接入设备上的授权ACL配置被修改,则修改后的ACL不对已经在线的Portal用户生效,只能对新上线的Portal用户有效。
本配置用于指定Portal服务器的相关参数,主要包括服务器IP地址、共享加密密钥、服务器端口号以及服务器提供的Web认证地址。
表1-2 指定三层Portal认证的Portal服务器
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
指定三层Portal认证的Portal服务器 |
portal server server-name ip ip-address [ key key-string | port port-id | url url-string | vpn-instance vpn-instance-name ] * |
必选 缺省情况下,没有指定三层Portal认证的Portal服务器 |
l 已配置的Portal服务器参数仅在该Portal服务器未被接口引用时才可以被删除或修改。
l 为保证设备能够向MPLS VPN私网中的Portal服务器发送报文,指定Portal服务器时需指定服务器所属的VPN且必须和该服务器所在的VPN保持一致。
只有在接口上使能了Portal认证,对接入用户的Portal认证功能才能生效。在使能三层Portal认证之前,需要满足以下要求:
l 使能Portal的接口已配置或者获取了合法的IP地址;
l 接口上引用的Portal服务器名已经存在;
表1-3 使能三层Portal认证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- 只能是三层接口 |
在接口上使能三层Portal认证 |
portal server server-name method { direct | layer3 | redhcp } |
必选 缺省情况下,没有使能三层Portal认证 |
l 设备向Portal服务器主动发送报文时使用的目的端口号必须与远程Portal服务器实际使用的端口号保持一致。
l 已配置的Portal服务器及其参数仅在该Portal服务器未被接口引用时才可以被删除或修改。
l 对于跨三层设备支持Portal认证的应用只能配置可跨三层Portal认证方式(portal server server-name method layer3),但可跨三层Portal认证方式不要求接入设备和Portal用户之间必需跨越三层设备。
l 在二次地址分配认证方式下,允许用户在未通过Portal认证时以公网地址向外发送报文,但相应的回应报文则受限制。
通过配置免认证规则(free-rule)可以让特定的用户不需要通过Portal认证即可访问外网特定资源,这是由免认证规则中配置的源信息以及目的信息决定的。
免认证规则的匹配项包括IP地址、MAC地址、所连接设备的接口和VLAN,只有符合免认证规则的用户报文才不会触发Portal认证,因此这些报文所属的用户才可以直接访问网络资源。
表1-4 配置免认证规则
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置Portal的免认证规则 |
portal free-rule rule-number { destination { any | ip { ip-address mask { mask-length | netmask } | any } } | source { any | [ interface interface-type interface-number | ip { ip-address mask { mask-length | mask } | any } | mac mac-address | vlan vlan-id ] * } } * |
必选 |
l 如果免认证规则中同时配置了vlan和interface项,则要求interface属于该VLAN,否则该规则无效。
l 相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复。
l 无论接口上是否使能Portal认证,只能添加或者删除免认证规则,不能修改。
l 加入聚合组的二层以太网端口不能被指定为免认证规则的源接口,反之亦然。
通过配置源认证网段实现只允许在源认证网段范围内的用户HTTP报文才能触发Portal认证。如果未认证用户的HTTP报文既不满足免认证规则又不在源认证网段内,则将被接入设备丢弃。
表1-5 配置源认证网段
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置源认证网段 |
portal auth-network network-address { mask-length | mask } |
可选 缺省情况下,源认证网段为0.0.0.0/0,表示对来自任意网段的用户都进行Portal认证 |
l 源认证网段配置仅对可跨三层Portal认证有效。直接认证方式的认证网段为任意源IP,二次地址分配方式的认证网段为由接口私网IP决定的私网网段。
l 可通过多次执行本命令,配置多个源认证网段。
通过该配置可以控制系统中的Portal接入用户总数。
表1-6 配置Portal最大用户数
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置Portal最大用户数 |
portal max-user max-number |
必选 缺省情况下,Portal最大用户数为6000 |
如果配置的Portal最大用户数小于当前已经在线的Portal用户数,则该命令可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户接入。
通过在指定接口上配置Portal用户使用的认证域,使得所有从该接口接入的Portal用户被强制使用指定的认证域来进行认证、授权和计费。即使Portal用户输入的用户名中携带的域名相同,接入设备的管理员也可以通过该配置对不同接口指定不同的认证域,从而增加了管理员部署Portal接入策略的灵活性。
表1-7 指定Portal用户使用的认证域
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
指定Portal用户使用的认证域 |
portal domain domain-name |
必选 缺省情况下,未指定Portal用户使用的认证域 |
从指定接口上接入的Portal用户将按照如下先后顺序选择认证域:接口上指定的ISP域-->用户名中携带的ISP域-->系统缺省的ISP域。关于缺省ISP域的相关介绍请参见“安全配置指导”中的“AAA”。
对于三层Portal认证,缺省情况下,设备不支持配置了Web代理服务器的用户浏览器发起的Portal认证。若用户使用配置了Web代理服务器的浏览器上网,则用户的这类HTTP请求报文将被丢弃,而不能触发Portal认证。这种情况下,网络管理员可以通过在设备上添加Web代理服务器端口号,来允许使用Web代理服务器的用户浏览器发起的HTTP请求也可以触发Portal认证。
如表1-8所示,不同的应用场景中,客户端浏览器的Web代理配置有所不同,为使这些场景下的客户端可以成功触发Portal认证,除了需要在设备上添加允许触发Portal认证的Web代理服务器端口之外,还需要完成相关的配置准备。
表1-9 配置允许触发Portal认证的Web代理服务器端口
l 如果用户浏览器采用WPAD方式自动配置Web代理,则不仅需要网络管理员在设备上添加Web代理服务器端口,还需要配置免认证规则,允许目的IP为WPAD主机IP地址的用户报文免认证。
l 如果设备上已添加了80端口为Web代理服务器端口,则未使用代理服务器上网的客户端只有通过访问开启了HTTP服务的可达主机,才能触发Portal认证。
l 如果需要对认证成功的Portal用户下发授权ACL,则该ACL必须包含一条允许Web代理服务器IP地址的规则,否则用户上线后,无法接收远程Portal服务器发送的心跳检测报文。
RADIUS标准属性NAS-Port-Type用于表示用户接入的端口类型。当接口上有Portal用户上线时候,若该接口上配置了NAS-Port-Type,则使用本命令配置的值作为向RADIUS服务器发送的RADIUS请求报文的NAS-Port-Type属性值,否则使用接入设备获取到的用户接入的端口类型填充该属性。
若作为Portal认证接入设备的BAS(Broadband Access Server,宽带接入服务器)与Portal客户端之间跨越了多个网络设备,则可能无法正确获取到接入用户的实际端口信息,例如对于Portal认证接入的无线客户端,BAS获取到的接入端口类型有可能是设备上认证该用户的有线接口类型。因此,为保证BAS能够向RADIUS服务器正确传递用户的接入端口信息,需要网络管理员在了解用户的实际接入环境后,通过本命令指定相应的NAS-Port-Type。
表1-10 配置接口的NAS-Port-Type
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置接口的NAS-Port-Type |
portal nas-port-type { ethernet | wireless } |
必选 缺省情况下,未指定接口的NAS-Port-Type |
在某些组网环境下,依靠VLAN来确定用户的接入位置,网络运营商需要使用NAS-Identifier来标识用户的接入位置。当接口上有Portal用户上线时,若该接口上指定了NAS-ID Profile,则接入设备会根据指定的Profile名字和用户接入的VLAN来获取与此VLAN绑定的NAS-ID,此NAS-ID的值将作为向RADIUS服务器发送的RADIUS请求报文中的NAS-Identifier属性值。
本特性中指定的Profile名字用于标识VLAN和NAS-ID的绑定关系,该绑定关系由AAA中的nas-id id-value bind vlan vlan-id命令生成,有关该命令的具体情况请参见“安全命令参考”中的“AAA”。
在接口上未指定NAS-ID Profile或指定的Profile中没有找到匹配的绑定关系的情况下,使用设备名作为接口的NAS-ID。
表1-11 配置接口的NAS-ID Profile
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建NAS-ID Profile,并进入NAS-ID-Profile视图 |
aaa nas-id profile profile-name |
必选 该命令的具体情况请参见“安全命令参考”中的“AAA” |
设置NAS-ID与VLAN的绑定关系 |
nas-id nas-identifier bind vlan vlan-id |
必选 该命令的具体情况请参见“安全命令参考”中的“AAA” |
退出当前视图 |
quit |
- |
进入接口视图 |
interface interface-type interface-number |
- |
指定接口的NAS-ID Profile |
portal nas-id-profile profile-name |
必选 缺省情况下,未指定NAS-ID Profile |
通过在使能Portal的接口上配置发送Portal报文使用的源地址,可以保证接入设备以此IP地址为源地址向Portal服务器发送报文,且Portal服务器向接入设备回应的报文以此IP地址为目的地址。
表1-12 配置接口发送Portal报文使用的源地址
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置接口发送Portal报文使用的源地址 |
portal nas-ip ip-address |
可选 缺省情况下,未指定源地址,即以接入用户的接口地址作为发送Portal报文的源地址 在NAT组网环境下,此地址建议配置为接口的公网IP地址 |
未认证用户上网时,首先会主动或被强制登录到Portal认证页面进行认证,当用户输入正确的认证信息且认证成功后,若设备上指定了认证页面的自动跳转目的网站地址,则认证成功的用户将在一定的时间间隔(由wait-time参数配置)之后被强制登录到该指定的目的网站页面。
表1-13 指定Portal用户认证成功后认证页面的自动跳转目的URL
配置步骤 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
指定Portal用户认证成功后认证页面的自动跳转目的网站地址 |
portal redirect-url url-string [ wait-time period ] |
必选 缺省情况下,用户认证成功后认证页面将会跳转到用户初始访问的网站页面 |
对于三层远程Portal认证,该特性需要与支持自动跳转页面功能的iMC Portal服务器配合使用。
在Portal认证的过程中,如果接入设备与Portal服务器的通信中断,则会导致新用户无法上线,已经在线的Portal用户无法正常下线的问题。为解决这些问题,需要接入设备能够及时探测到Portal服务器可达状态的变化,并能触发执行相应的操作来应对这种变化带来的影响。例如,当接入设备发现Portal服务器不可达时,可打开网络限制,允许Portal用户不需经过认证即可访问网络资源,也就是通常所说的Portal逃生功能,该功能为一种灵活的用户接入方案。
通过配置本特性,设备可以对指定Portal服务器的可达状态进行探测,具体配置包括如下几项:
(1) 探测方式(可以选择其中一种或同时使用两种)
l 探测HTTP连接:接入设备定期向Portal服务器的HTTP服务端口发起TCP连接,若连接成功建立则表示此服务器的HTTP服务已开启,就认为一次探测成功且服务器可达。若连接失败则认为一次探测失败。
l 探测Portal心跳报文:支持Portal逃生心跳功能的Portal服务器(目前仅iMC支持)会定期向接入设备发送Portal心跳报文,设备通过检测此报文来判断服务器的可达状态:若设备在指定的周期内收到Portal心跳报文或者其它认证报文,且验证其正确,则认为此次探测成功且服务器可达,否则认为此次探测失败。
(2) 探测参数
l 探测间隔:进行探测尝试的时间间隔。
l 失败探测的最大次数:允许连续探测失败的最大次数。若连续探测失败数目达到此值,则认为服务器不可达。
(3) 可达状态改变时触发执行的操作(可以选择其中一种或同时使用多种)
l 发送日志:Portal服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal服务器名以及该服务器状态改变前后的状态。
l 打开网络限制(Portal逃生):Portal服务器不可达时,暂时取消端口进行的Portal认证,允许该端口接入的所有Portal用户访问网络资源。之后,若设备收到Portal服务器的心跳报文,或者收到其它认证报文(上线报文、下线报文等),则恢复该端口的Portal认证功能。
对于以上配置项,可根据实际情况进行组合使用,但需要注意以下几点:
l 如果同时指定了两种探测方式,则只要使用任何一种探测方式进行探测的失败次数达到最大值就认为服务器不可达。在服务器不可达状态下,只有使用两种探测方式的探测都成功才能认为服务器恢复为可达状态。
l 如果同时指定了多种操作,则Portal服务器可达状态改变时系统可并发执行多种操作。
l 对指定Portal服务器配置的探测功能,只有接口上使能了Portal认证并引用该Portal服务器之后才能生效。
表1-14 配置Portal服务器探测功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置对Portal服务器的探测功能 |
portal server server-name server-detect method { http | portal-heartbeat } * action { log | permit-all } * [ interval interval ] [ retry retries ] |
必选 缺省情况下,未配置对Portal服务器的探测功能 本命令中指定的Portal服务器必须已经存在 |
只有对于支持Portal逃生心跳功能(目前仅iMC的Portal服务器支持)的Portal服务器,portal-heartbeat类型的探测方法才有效。为了配合此类型的探测,还需要在Portal服务器上选择支持逃生心跳功能,并要求此处的interval与retry参数值的乘积大于等于Portal服务器上的逃生心跳间隔时长,其中interval取值最好大于Portal服务器的逃生间隔时长。
为了解决接入设备与Portal服务器通信中断后,两者的Portal用户信息不一致问题,设备提供了一种Portal用户信息同步功能。该功能利用了Portal同步报文的发送及检测机制,具体实现如下:
(1) 由Portal服务器周期性地(周期为Portal服务器上指定的用户心跳间隔值)将在线用户信息通过用户同步报文发送给接入设备;
(2) 接入设备检测到该用户同步报文后,将其中携带的用户信息与自己的用户信息进行对比,如果发现同步报文中有设备上不存在的用户信息,则将这些自己没有的用户信息反馈给Portal 服务器,Portal服务器将删除这些用户信息;如果发现接入设备上的某用户信息在连续N(N为retry参数的取值)个周期内,都未在该Portal服务器发送过来的用户同步报文中出现过,则认为Portal服务器上已不存在该用户,设备将强制该用户下线。
表1-15 配置Portal用户同步功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置Portal用户同步功能 |
portal server server-name user-sync [ interval interval ] [ retry retries ] |
必选 缺省情况下,未配置Portal用户同步功能 本命令中指定的Portal服务器必须已经存在 只有在指定的Portal服务器已经在接口上使能的情况下,本功能才能生效 |
l 只有在支持Portal用户心跳功能(目前仅iMC的Portal服务器支持)的Portal服务器的配合下,本功能才有效。为了实现该功能,还需要在Portal服务器上选择支持用户心跳功能,并要求此处的interval与retry参数值的乘积应该大于等于Portal服务器上的用户心跳间隔时长,其中interval取值最好大于Portal服务器的用户心跳间隔时长。
l 对于设备上多余的用户信息,即在N个周期后被判定为Portal服务器上已不存在的用户信息,设备会在第N+1个周期内的某时刻将其删除掉。
通过配置强制用户下线可以终止对指定IP地址用户的认证过程,或者将已经通过认证的指定IP地址的用户删除。
表1-16 配置强制用户下线
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
强制接入设备上的用户下线 |
portal delete-user { ip-address | all | interface interface-type interface-number } |
必选 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后Portal的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除Portal统计信息。
表1-17 Portal显示和维护
操作 |
命令 |
显示接口上Portal的ACL信息 |
display portal acl { all | dynamic | static } interface interface-type interface-number [ | { begin | exclude | include } regular-expression ] |
显示接口上Portal的连接统计信息 |
display portal connection statistics { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ] |
显示Portal的免认证规则信息 |
display portal free-rule [ rule-number ] [ | { begin | exclude | include } regular-expression ] |
显示指定接口的Portal配置信息 |
display portal interface interface-type interface-number [ | { begin | exclude | include } regular-expression ] |
显示Portal服务器信息 |
display portal server [ server-name ] [ | { begin | exclude | include } regular-expression ] |
显示接口上Portal服务器的统计信息 |
display portal server statistics { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ] |
显示TCP仿冒统计信息 |
display portal tcp-cheat statistics [ | { begin | exclude | include } regular-expression ] |
显示Portal用户的信息 |
display portal user { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ] |
清除接口上Portal的连接统计信息 |
reset portal connection statistics {all | interface interface-type interface-number } |
清除接口上Portal服务器的统计信息 |
reset portal server statistics { all | interface interface-type interface-number } |
清除TCP仿冒统计信息 |
reset portal tcp-cheat statistics |
l 用户主机与接入设备Switch直接相连,采用直接方式的Portal认证。用户通过手工配置或DHCP获取的一个公网IP地址进行认证,在通过Portal认证前,只能访问Portal服务器;在通过Portal认证后,可以使用此IP地址访问非受限互联网资源。
l 采用RADIUS服务器作为认证/计费服务器。
图1-7 配置Portal直接认证组网图
l 按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。
l 完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。
(1) 配置Portal server(iMC PLAT 5.0)
下面以iMC为例(使用iMC版本为:iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)),说明Portal server的基本配置。
# 配置Portal服务器。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[Portal服务器管理/服务器配置]菜单项,进入服务器配置页面。
l 根据实际组网情况调整以下参数,本例中使用缺省配置。
图1-8 Portal服务器配置页面
# 配置IP地址组。
单击导航树中的[Portal服务器管理/IP地址组配置]菜单项,进入Portal IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。
l 填写IP地址组名;
l 输入起始地址和终止地址。用户主机IP地址必须包含在该IP地址组范围内;
l 选择业务分组,本例中使用缺省的“未分组”;
l 选择IP地址组的类型为“普通”。
图1-9 增加IP地址组配置页面
# 增加Portal设备。
单击导航树中的[Portal服务器管理/设备配置]菜单项,进入Portal设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。
l 填写设备名;
l 指定IP地址为与接入用户相连的设备接口IP;
l 输入密钥,与接入设备Switch上的配置保持一致;
l 选择是否进行二次地址分配,本例中为直接认证,因此为否;
l 选择是否支持逃生心跳功能和用户心跳功能,本例中不支持。
图1-10 增加设备信息配置页面
# Portal设备关联IP地址组
在Portal设备配置页面中的设备信息列表中,点击NAS设备的<端口组信息管理>链接,进入端口组信息配置页面。
图1-11 设备信息列表
在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。
l 填写端口组名;
l 选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组;
l 其它参数采用缺省值。
图1-12 增加端口组信息配置页面
# 最后单击导航树中的[业务参数配置/系统配置手工生效]菜单项,使以上Portal服务器配置生效。
(2) 配置Switch
l 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
<Switch> system-view
[Switch] radius scheme rs1
# 配置RADIUS方案的服务器类型。使用iMC服务器时,RADIUS服务器类型应选择extended。
[Switch-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Switch-radius-rs1] primary authentication 192.168.0.112
[Switch-radius-rs1] primary accounting 192.168.0.112
[Switch-radius-rs1] key authentication radius
[Switch-radius-rs1] key accounting radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Switch-radius-rs1] user-name-format without-domain
[Switch-radius-rs1] quit
l 配置认证域
# 创建并进入名字为dm1的ISP域。
[Switch] domain dm1
# 配置ISP域的AAA方法。
[Switch-isp-dm1] authentication portal radius-scheme rs1
[Switch-isp-dm1] authorization portal radius-scheme rs1
[Switch-isp-dm1] accounting portal radius-scheme rs1
[Switch-isp-dm1] quit
# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
[Switch] domain default enable dm1
l 配置Portal认证
# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为portal,端口为50100,URL为http://192.168.0.111:8080/portal。(Portal服务器的URL请与实际环境中的Portal服务器配置保持一致,此处仅为示例)
[Switch] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal
# 在与用户Host相连的接口上使能Portal认证。
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] portal server newpt method direct
[Switch] quit
l 用户主机与接入设备Switch直接相连,采用二次地址分配方式的Portal认证。用户通过DHCP服务器获取IP地址,Portal认证前使用分配的一个私网地址;通过Portal认证后,用户申请到一个公网地址,才可以访问非受限互联网资源。
l 采用RADIUS服务器作为认证/计费服务器。
图1-13 配置Portal二次地址分配认证组网图
l Portal二次地址分配认证方式应用中,DHCP服务器上需创建公网地址池(20.20.20.0/24)及私网地址池(10.0.0.0/24),具体配置略。
l Portal二次地址分配认证方式应用中,接入设备上需要配置DHCP中继功能来配合Portal认证,且启动Portal的接口需要配置主IP地址(公网IP)及从IP地址(私网IP)。关于DHCP中继的详细配置请参见“三层技术-IP业务配置指导”中的“DHCP中继”。
l 请保证在Portal服务器上添加的Portal设备的IP地址为与用户相连的接口的公网IP地址(20.20.20.1),且与该Portal设备关联的IP地址组中的转换前地址为用户所在的私网网段(10.0.0.0/24)、转换后地址为公网网段(20.20.20.0/24)。
l 按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。
l 完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。
在Switch上进行以下配置。
(1) 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
<Switch> system-view
[Switch] radius scheme rs1
# 配置RADIUS方案的服务器类型。使用iMC服务器时,RADIUS服务器类型应选择extended。
[Switch-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Switch-radius-rs1] primary authentication 192.168.0.113
[Switch-radius-rs1] primary accounting 192.168.0.113
[Switch-radius-rs1] key authentication radius
[Switch-radius-rs1] key accounting radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Switch-radius-rs1] user-name-format without-domain
[Switch-radius-rs1] quit
(2) 配置认证域
# 创建并进入名字为dm1的ISP域。
[Switch] domain dm1
# 配置ISP域的AAA方法。
[Switch-isp-dm1] authentication portal radius-scheme rs1
[Switch-isp-dm1] authorization portal radius-scheme rs1
[Switch-isp-dm1] accounting portal radius-scheme rs1
[Switch-isp-dm1] quit
# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
[Switch] domain default enable dm1
(3) 配置Portal认证
# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为portal,端口为50100,URL为http://192.168.0.111:8080/portal(请根据Portal服务器的实际情况配置,此处仅为示例)。
[Switch] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal
# 配置DHCP中继,并启动DHCP中继的安全地址匹配检查功能。
[Switch] dhcp enable
[Switch] dhcp relay server-group 0 ip 192.168.0.112
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] ip address 20.20.20.1 255.255.255.0
[Switch–Vlan-interface100] ip address 10.0.0.1 255.255.255.0 sub
[Switch-Vlan-interface100] dhcp select relay
[Switch-Vlan-interface100] dhcp relay server-select 0
[Switch-Vlan-interface100] dhcp relay address-check enable
# 在与用户Host相连的接口上使能Portal认证。
[Switch–Vlan-interface100] portal server newpt method redhcp
[Switch–Vlan-interface100] quit
Switch A支持Portal认证功能。用户Host通过Switch B接入到Switch A。
l 配置Switch A采用可跨三层Portal认证。用户在未通过Portal认证前,只能访问Portal服务器;用户通过Portal认证后,可以访问非受限互联网资源。
l 采用RADIUS服务器作为认证/计费服务器。
图1-14 配置可跨三层Portal认证组网图
l 请保证在Portal服务器上添加的Portal设备的IP地址为与用户相连的接口IP地址(20.20.20.1),且与该Portal设备关联的IP地址组为用户所在网段(8.8.8.0/24)。
l 按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。
l 完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。
在Switch A上进行以下配置。
(1) 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
<SwitchA> system-view
[SwitchA] radius scheme rs1
# 配置RADIUS方案的服务器类型。使用iMC服务器时,RADIUS服务器类型应选择extended。
[SwitchA-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[SwitchA-radius-rs1] primary authentication 192.168.0.112
[SwitchA-radius-rs1] primary accounting 192.168.0.112
[SwitchA-radius-rs1] key authentication radius
[SwitchA-radius-rs1] key accounting radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[SwitchA-radius-rs1] user-name-format without-domain
[SwitchA-radius-rs1] quit
(2) 配置认证域
# 创建并进入名字为dm1的ISP域。
[SwitchA] domain dm1
# 配置ISP域的AAA方法。
[SwitchA-isp-dm1] authentication portal radius-scheme rs1
[SwitchA-isp-dm1] authorization portal radius-scheme rs1
[SwitchA-isp-dm1] accounting portal radius-scheme rs1
[SwitchA-isp-dm1] quit
# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
[SwitchA] domain default enable dm1
(3) 配置Portal认证
# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为portal,端口为50100,URL为http://192.168.0.111:8080/portal(请根据Portal服务器的实际情况配置,此处仅为示例)。
[SwitchA] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal
# 在与Switch B相连的接口上使能Portal认证。
[SwitchA] interface vlan-interface 4
[SwitchA–Vlan-interface4] portal server newpt method layer3
[SwitchA–Vlan-interface4] quit
Switch B上需要配置到192.168.0.0/24网段的缺省路由,下一跳为20.20.20.1,具体配置略。
l 用户主机与接入设备Switch直接相连,采用直接方式的Portal认证。用户通过手工配置或DHCP获取的一个公网IP地址进行认证,在通过身份认证而没有通过安全认证时可以访问192.168.0.0/24网段;在通过安全认证后,可以访问非受限互联网资源。
l 采用RADIUS服务器作为认证/计费服务器。
图1-15 配置Portal直接认证扩展功能组网图
l 按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。
l 完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。
在Swtich上进行以下配置。
(1) 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
<Switch> system-view
[Switch] radius scheme rs1
# 配置RADIUS方案的服务器类型。使用iMC服务器时,RADIUS服务器类型应选择extended。
[Switch-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Switch-radius-rs1] primary authentication 192.168.0.112
[Switch-radius-rs1] primary accounting 192.168.0.112
[Switch-radius-rs1] key accounting radius
[Switch-radius-rs1] key authentication radius
[Switch-radius-rs1] user-name-format without-domain
# 配置RADIUS方案的安全策略服务器。
[Switch-radius-rs1] security-policy-server 192.168.0.113
[Switch-radius-rs1] quit
(2) 配置认证域
# 创建并进入名字为dm1的ISP域。
[Switch] domain dm1
# 配置ISP域的AAA方法。
[Switch-isp-dm1] authentication portal radius-scheme rs1
[Switch-isp-dm1] authorization portal radius-scheme rs1
[Switch-isp-dm1] accounting portal radius-scheme rs1
[Switch-isp-dm1] quit
# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
[Switch] domain default enable dm1
(3) 配置受限资源对应的ACL为3000,非受限资源对应的ACL为3001
安全策略服务器上需要将ACL 3000和ACL 3001分别指定为隔离ACL和安全ACL。
[Switch] acl number 3000
[Switch-acl-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255
[Switch-acl-adv-3000] rule deny ip
[Switch-acl-adv-3000] quit
[Switch] acl number 3001
[Switch-acl-adv-3001] rule permit ip
[Switch-acl-adv-3001] quit
(4) 配置Portal认证
# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为portal,端口为50100,URL为http://192.168.0.111:8080/portal(请根据Portal服务器的实际情况配置,此处仅为示例)。
[Switch] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal
# 在与用户Host相连的接口上使能Portal认证。
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] portal server newpt method direct
[Switch] quit
l 用户主机与接入设备Switch直接相连,采用二次地址分配方式的Portal认证。用户通过DHCP服务器获取IP地址,Portal认证前使用分配的一个私网地址;通过Portal认证后,用户申请到一个公网地址。
l 用户在通过身份认证而没有通过安全认证时可以访问192.168.0.0/24网段;用户通过安全认证后,可以访问非受限互联网资源。
l 采用RADIUS服务器作为认证/计费服务器。
图1-16 配置Portal二次地址分配认证扩展功能组网图
l Portal二次地址分配认证方式应用中,DHCP服务器上需创建公网地址池(20.20.20.0/24)及私网地址池(10.0.0.0/24),具体配置略。
l Portal二次地址分配认证方式应用中,接入设备上需要配置DHCP中继来配合Portal认证,且启动Portal的接口需要配置主IP地址(公网IP)及从IP地址(私网IP)。关于DHCP中继的详细配置请参见“三层技术-IP业务配置指导”中的“DHCP中继”。
l 请保证在Portal服务器上添加的Portal设备的IP地址为与用户相连的接口的公网IP地址(20.20.20.1),且与该Portal设备关联的IP地址组中的转换前地址为用户所在的私网网段(10.0.0.0/24)、转换后地址为公网网段(20.20.20.0/24)。
l 按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。
l 完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。
在Switch上进行以下配置。
(1) 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
<Switch> system-view
[Switch] radius scheme rs1
# 配置RADIUS方案的服务器类型。使用iMC服务器时,RADIUS服务器类型应选择extended。
[Switch-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Switch-radius-rs1] primary authentication 192.168.0.113
[Switch-radius-rs1] primary accounting 192.168.0.113
[Switch-radius-rs1] key accounting radius
[Switch-radius-rs1] key authentication radius
[Switch-radius-rs1] user-name-format without-domain
# 配置RADIUS方案的安全策略服务器。
[Switch-radius-rs1] security-policy-server 192.168.0.114
[Switch-radius-rs1] quit
(2) 配置认证域
# 创建并进入名字为dm1的ISP域。
[Switch] domain dm1
# 配置ISP域的AAA方法。
[Switch-isp-dm1] authentication portal radius-scheme rs1
[Switch-isp-dm1] authorization portal radius-scheme rs1
[Switch-isp-dm1] accounting portal radius-scheme rs1
[Switch-isp-dm1] quit
# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
[Switch] domain default enable dm1
(3) 配置受限资源对应的ACL为3000,非受限资源对应的ACL为3001
安全策略服务器上需要将ACL 3000和ACL 3001分别指定为隔离ACL和安全ACL。
[Switch] acl number 3000
[Switch-acl-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255
[Switch-acl-adv-3000] rule deny ip
[Switch-acl-adv-3000] quit
[Switch] acl number 3001
[Switch-acl-adv-3001] rule permit ip
[Switch-acl-adv-3001] quit
(4) 配置Portal认证
# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为portal,端口为50100,URL为http://192.168.0.111:8080/portal(请根据Portal服务器的实际情况配置,此处仅为示例)。
[Switch] portal server newpt ip 192.168.0.111 key portal port 50100
url http://192.168.0.111:8080/portal
# 配置DHCP中继,并启动DHCP中继的安全地址匹配检查功能。
[Switch] dhcp enable
[Switch] dhcp relay server-group 0 ip 192.168.0.112
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] ip address 20.20.20.1 255.255.255.0
[Switch–Vlan-interface100] ip address 10.0.0.1 255.255.255.0 sub
[Switch-Vlan-interface100] dhcp select relay
[Switch-Vlan-interface100] dhcp relay server-select 0
[Switch-Vlan-interface100] dhcp relay address-check enable
# 在与用户Host相连的接口上使能Portal认证。
[Switch–Vlan-interface100] portal server newpt method redhcp
[Switch–Vlan-interface100] quit
Switch A支持Portal认证功能。用户Host通过Switch B接入到Switch A。
l 配置Switch A采用可跨三层Portal认证。用户在通过身份认证而没有通过安全认证时可以访问192.168.0.0/24网段;在通过安全认证后,可以访问非受限互联网资源。
l 采用RADIUS服务器作为认证/计费服务器。
图1-17 配置可跨三层Portal认证扩展功能组网图
l 请保证在Portal服务器上添加的Portal设备的IP地址为与用户相连的接口IP地址(20.20.20.1),且与该Portal设备关联的IP地址组为用户所在网段(8.8.8.0/24)。
l 按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。
l 完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。
在Switch A上进行以下配置。
(1) 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
<SwitchA> system-view
[SwitchA] radius scheme rs1
# 配置RADIUS方案的服务器类型。使用iMC服务器时,RADIUS服务器类型应选择extended。
[Switch-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[SwitchA-radius-rs1] primary authentication 192.168.0.112
[SwitchA-radius-rs1] primary accounting 192.168.0.112
[SwitchA-radius-rs1] key accounting radius
[SwitchA-radius-rs1] key authentication radius
[SwitchA-radius-rs1] user-name-format without-domain
# 配置RADIUS方案的安全策略服务器。
[SwitchA-radius-rs1] security-policy-server 192.168.0.113
[SwitchA-radius-rs1] quit
(2) 配置认证域
# 创建并进入名字为dm1的ISP域。
[SwitchA] domain dm1
# 配置ISP域的AAA方法。
[SwitchA-isp-dm1] authentication portal radius-scheme rs1
[SwitchA-isp-dm1] authorization portal radius-scheme rs1
[SwitchA-isp-dm1] accounting portal radius-scheme rs1
[SwitchA-isp-dm1] quit
# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
[SwitchA] domain default enable dm1
(3) 配置受限资源对应的ACL为3000,非受限资源对应的ACL为3001
安全策略服务器上需要将ACL 3000和ACL 3001分别指定为隔离ACL和安全ACL。
[SwitchA] acl number 3000
[SwitchA-acl-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255
[SwitchA-acl-adv-3000] rule deny ip
[SwitchA-acl-adv-3000] quit
[SwitchA] acl number 3001
[SwitchA-acl-adv-3001] rule permit ip
[SwitchA-acl-adv-3001] quit
(4) 配置Portal认证
# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为portal,端口为50100,URL为http://192.168.0.111:8080/portal(请根据Portal服务器的实际情况配置,此处仅为示例)。
[SwitchA] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal
# 在与Switch B相连的接口上使能Portal认证。
[SwitchA] interface vlan-interface 4
[SwitchA–Vlan-interface4] portal server newpt method layer3
[SwitchA–Vlan-interface4] quit
Switch B上需要配置到192.168.0.0/24网段的缺省路由,下一跳为20.20.20.1,具体配置略。
用户主机与接入设备Switch直接相连,通过Portal认证接入网络,并采用RADIUS服务器作为认证/计费服务器。
具体要求如下:
l 用户通过手工配置或DHCP获取的一个公网IP地址进行认证,在通过Portal认证前,只能访问Portal服务器;在通过Portal认证后,可以使用此IP地址访问非受限的互联网资源。
l 接入设备能够探测到Portal服务器是否可达,并输出可达状态变化的Trap信息,在服务器不可达时(例如,网络连接中断、网络设备故障或服务器无法正常提供服务等情况),取消Portal认证,使得用户仍然可以正常访问网络。
l 接入设备能够与服务器定期进行用户信息的同步。
图1-18 Portal服务器探测和用户同步功能配置组网图
(1) 配置Portal服务器,并启动逃生心跳功能和用户心跳功能;
(2) 配置RADIUS服务器,实现正常的认证及计费功能;
(3) 接入设备通过接口Vlan-int100与用户主机直接相连,在该接口上配置直接方式的Portal认证;
(4) 接入设备上配置Portal服务器探测功能,在与Portal服务器的逃生心跳功能的配合下,对Portal服务器的可达状态进行探测;
(5) 接入设备上配置Portal用户同步功能,在与Portal服务器的用户心跳功能的配合下,与Portal服务器上的用户信息进行同步。
l 按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。
l 完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。
(1) 配置Portal服务器(iMC PLAT 5.0)
下面以iMC为例(使用iMC版本为:iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)),说明Portal server的基本配置。
# 配置Portal服务器。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[Portal服务器管理/服务器配置]菜单项,进入服务器配置页面。
l 配置逃生心跳间隔时长及用户心跳间隔时长;
l 其它参数使用缺省配置。
图1-19 Portal服务器配置页面
# 配置IP地址组。
单击导航树中的[Portal服务器管理/IP地址组配置]菜单项,进入Portal IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。
l 填写IP地址组名;
l 输入起始地址和终止地址。用户主机IP地址必须包含在该IP地址组范围内;
l 选择业务分组,本例中使用缺省的“未分组”;
l 选择IP地址组的类型为“普通”。
图1-20 增加IP地址组配置页面
# 增加Portal设备。
单击导航树中的[Portal服务器管理/设备配置]菜单项,进入Portal设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。
l 填写设备名;
l 指定IP地址为与接入用户相连的设备接口IP;
l 输入密钥,与接入设备Switch上的配置保持一致;
l 选择是否进行二次地址分配,本例中为直接认证,因此为否;
l 选择支持逃生心跳功能和用户心跳功能。
图1-21 增加设备信息配置页面
# Portal设备关联IP地址组
在Portal设备配置页面中的设备信息列表中,点击NAS设备的<端口组信息管理>链接,进入端口组信息配置页面。
图1-22 设备信息列表
在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。
l 填写端口组名;
l 选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组;
l 其它参数采用缺省值。
图1-23 增加端口组信息配置页面
# 最后单击导航树中的[业务参数配置/系统配置手工生效]菜单项,使以上Portal服务器配置生效。
(2) 配置Switch
l 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
<Switch> system-view
[Switch] radius scheme rs1
# 配置RADIUS方案的服务器类型。使用iMC服务器时,RADIUS服务器类型应选择extended。
[Switch-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Switch-radius-rs1] primary authentication 192.168.0.112
[Switch-radius-rs1] primary accounting 192.168.0.112
[Switch-radius-rs1] key authentication radius
[Switch-radius-rs1] key accounting radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Switch-radius-rs1] user-name-format without-domain
[Switch-radius-rs1] quit
l 配置认证域
# 创建并进入名字为dm1的ISP域。
[Switch] domain dm1
# 配置ISP域的AAA方法。
[Switch-isp-dm1] authentication portal radius-scheme rs1
[Switch-isp-dm1] authorization portal radius-scheme rs1
[Switch-isp-dm1] accounting portal radius-scheme rs1
[Switch-isp-dm1] quit
# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
[Switch] domain default enable dm1
l 使能Portal认证
# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为portal,端口为50100,URL为http://192.168.0.111:8080/portal。(Portal服务器的URL请与实际环境中的Portal服务器配置保持一致,此处仅为示例)
[Switch] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal
# 在与用户Host相连的接口上使能Portal认证。
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] portal server newpt method direct
[Switch–Vlan-interface100] quit
l 配置Portal服务器探测功能
# 配置对Portal服务器newpt的探测功能:探测方式为探测Portal心跳报文,每次探测间隔时间为40秒,若连续二次探测均失败,则发送服务器不可达的Trap信息,并打开网络限制,允许未认证用户访问网络。
[Switch] portal server newpt server-detect method portal-heartbeat action trap permit-all interval 40 retry 2
此处interval与retry的乘积应该大于等于Portal服务器的逃生心跳间隔时长,且推荐interval取值大于Portal服务器的逃生心跳间隔时长。
l 配置Portal用户信息同步功能
# 配置对Portal服务器newpt的Portal用户同步功能,检测用户同步报文的时间间隔为600秒,如果设备中的某用户信息在连续两个探测周期内都未在该Portal服务器发送的同步报文中出现,设备将强制该用户下线。
[Switch] portal server newpt user-sync interval 600 retry 2
此处interval与retry的乘积应该大于等于Portal服务器上的用户心跳间隔时长,且推荐interval取值大于Portal服务器的用户心跳间隔时长。
以上配置完成后,可以通过执行以下命令查看Portal服务器的状态。
<Switch> display portal server newpt
Portal server:
1)newpt:
IP : 192.168.0.111
Key : portal
Port : 50100
URL : http://192.168.0.111:8080/portal
Status : Up
连接客户端的PE设备Switch A对私网VPN 1中的用户Host进行Portal接入认证,RADIUS服务器和Portal服务器位于私网VPN 3中。
l 配置Switch A采用可跨三层Portal认证。用户在通过身份认证后,可以访问非受限网络资源。
l RADIUS服务器和Portal服务器由同一台服务器承担。
图1-24 配置三层Portal认证支持多实例组网图
l 启动Portal之前,需要首先配置MPLS L3VPN功能,通过为VPN 1和VPN 3指定匹配的VPN Target,确保VPN 1和VPN 3可以互通。本例仅介绍客户端PE上接入认证的相关配置,其它配置请参考“MPLS配置指导”中的“MPLS L3VPN”。
l 完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。
在Switch A上进行以下配置。
(1) 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
<SwitchA> system-view
[SwitchA] radius scheme rs1
# 配置RADIUS方案所属的VPN实例为vpn3。
[SwitchA-radius-rs1] vpn-instance vpn3
# 配置RADIUS方案的服务器类型。使用iMC服务器时,RADIUS服务器类型应选择extended。
[Switch-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[SwitchA-radius-rs1] primary authentication 192.168.0.111
[SwitchA-radius-rs1] primary accounting 192.168.0.111
[SwitchA-radius-rs1] key accounting radius
[SwitchA-radius-rs1] key authentication radius
# 配置向RADIUS服务器发送的用户名不携带域名。
[SwitchA-radius-rs1] user-name-format without-domain
# 配置发送RADIUS报文使用的源地址为3.3.0.3。
[SwitchA-radius-rs1] nas-ip 3.3.0.3
[SwitchA-radius-rs1] quit
建议通过命令nas-ip指定设备发送RADIUS报文的源地址,并与服务器上指定的接入设备IP保持一致,避免未指定源地址的情况下,设备选择的源地址与服务器上指定的接入设备IP不一致,而造成认证失败。
(2) 配置认证域
# 创建并进入名字为dm1的ISP域。
[SwitchA] domain dm1
# 配置ISP域的AAA方法。
[SwitchA-isp-dm1] authentication portal radius-scheme rs1
[SwitchA-isp-dm1] authorization portal radius-scheme rs1
[SwitchA-isp-dm1] accounting portal radius-scheme rs1
[SwitchA-isp-dm1] quit
# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
[SwitchA] domain default enable dm1
(3) 配置Portal认证
# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,所属的VPN为vpn3,密钥为portal,端口为50100,URL为http://192.168.0.111:8080/portal。
[SwitchA] portal server newpt ip 192.168.0.111 vpn-instance vpn3 key portal port 50100 url http://192.168.0.111:8080/portal
# 在与客户端相连的接口上使能Portal认证。
[SwitchA] interface vlan-interface 3
[SwitchA–Vlan-interface3] portal server newpt method layer3
[SwitchA–Vlan-interface3] quit
以上配置完成后,通过执行命令display portal interface可查看Portal配置是否生效。用户认证通过后,通过执行命令display portal user查看Switch A上生成的Portal在线用户信息。
[SwitchA] display portal user all
Index:2
State:ONLINE
SubState:NONE
ACL:NONE
Work-mode:stand-alone
VPN instance:vpn1
MAC IP Vlan Interface
----------------------------------------------------------------------------
000d-88f7-c268 3.3.0.1 3 Vlan-interface3
Total 1 user(s) matched, 1 listed.
用户被强制去访问Portal服务器时没有弹出Portal认证页面,也没有错误提示,登录的Portal认证服务器Web页面为空白。
接入设备上配置的Portal密钥和Portal服务器上配置的密钥不一致,导致Portal服务器报文验证出错,Portal服务器拒绝弹出认证页面。
使用display portal server命令查看接入设备上配置的Portal服务器密钥,并在系统视图中使用portal server命令修改密钥,或者在Portal服务器上查看对应接入设备的密钥并修改密钥,直至两者的密钥设置一致。
用户通过Portal认证后,在接入设备上使用portal delete-user命令强制用户下线失败,但是使用客户端的“断开”属性可以正常下线。
在Portal上使用portal delete-user命令强制用户下线时,由接入设备主动发送下线请求报文到Portal服务器,Portal服务器默认的报文监听端口为50100,但是因为接入设备上配置的服务器监听端口错误(不是50100),即其发送的下线请求报文的目的端口和Portal服务器真正的监听端口不一致,故Portal服务器无法收到下线请求报文,Portal服务器上的用户无法下线。
当使用客户端的“断开”属性让用户下线时,由Portal服务器主动向接入设备发送下线请求,其源端口为50100,接入设备的下线应答报文的目的端口使用请求报文的源端口,避免了其配置上的错误,使得Portal服务器可以收到下线应答报文,从而Portal服务器上的用户成功下线。
使用display portal server命令查看接入设备对应服务器的端口,并在系统视图中使用portal server命令修改服务器的端口,使其和Portal服务器上的监听端口一致。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!