09-PORTAL配置举例
本章节下载 (206.1 KB)
4.3.2 CAMS(RADIUS&Portal服务器)配置
Portal又称为门户网站,Portal认证通常也称为Web认证。其优点主要有:
l 用户可以选择安装iNode客户端工具,也可无需安装客户端软件直接使用重定向页面认证;
l 新业务支撑能力强大:利用Portal认证的门户功能,运营商可以将信息查询、网上购物等业务放到Portal上。
Portal的基本原理是:未认证用户只能访问特定的站点服务器,其它任何访问都被无条件地重定向到Portal服务器;只有在认证通过后,用户才能访问Internet。
软件版本:S9500-CMW310-R1628版本及以后升级版本(R2126及以上版本不支持)
硬件版本:S9500交换机全系列硬件版本
l 注意CAMS、DHCP Server必须与交换机保持网络畅通;
l DHCP Server需要配置可以分配192.169.1.1/24和192.169.2.1/24的IP地址;
l 如果客户端使用iNode,CAMS的监听端口必须设置为80端口
l CAMS上配置完成后都需要点击”配置生效”以使配置可以立即生效;
l Portal与802.1x不能同时使用,若已使能802.1x,则VLAN接口上无法使能portal;
l 若需Portal与流量计费协同使用,则需要NAM板。
l 适用于需要使用认证的场合,比如学校以及一些ISP的认证;
l 可以使用iNode客户端工具认证,也可不需要认证客户端软件,用IE浏览器完成认证。
图4-1 Portal典型配置组网图
[S9500] portal method redhcp
[S9500] portal server portal1 ip 202.103.0.1 key hello url http://202.103.0.1/portal
l portal method redhcp指定portal认证方式为二次认证;
l portal server portal1 ip 202.103.0.1 key hello url http://202.103.0.1/portal此命令指定portal服务名为portal1,portal服务器的ip为202.103.0.1,portal服务器与交换机之间的密钥为hello,用户认证时被重定向到的URL地址为http://202.103.0.1/portal。
# 配置VLAN接口IP地址。
[S9500] interface vlan-interface 192
[S9500-vlan-interface192] ip address 192.169.1.1 24
[S9500-vlan-interface192] ip address 192.169.2.1 24 sub
# VLAN接口视图,指定本交换机为DHCP RELAY。
[S9500-vlan-interface192] dhcp select relay
# VLAN接口视图,设置DHCP Server的IP地址。
[S9500-vlan-interface192] ip relay address 30.0.2.2
# VLAN接口视图,打开DHCP安全表项检查功能。
[S9500-vlan-interface192] dhcp relay security address-check enable
# VLAN接口视图,使能Portal。
[S9500-vlan-interface192] portal portal1
#系统视图下,创建radius方案。
[S9500] radius scheme portal
New Radius scheme added.
# 设置主认证/计费服务器IP地址及端口。
[S9500-radius-portal] primary authentication 202.103.0.1 1812
[S9500-radius-portal] primary accounting 202.103.0.1 1813
# 设置交换机与radius服务器的协商密钥。
[S9500-radius-portal] key authentication hello
[S9500-radius-portal] key accounting hello
# 设置交换机发往radius服务器的用户名不带域名。
[S9500-radius-portal] user-name-format without-domain
# 系统视图下,创建ISP域。
[S9500] domain portal
New Domain added.
# 指定此域使用名为“portal”的radius方案。
[S9500-isp-portal] radius-scheme portal
全局地址池配置
# 系统视图下,创建DHCP地址池
[S9500] dhcp server ip-pool dhcp_direct
[S9500-dhcp-dhcp_ direct] network 192.169.1.0 mask 255.255.266.0
[S9500-dhcp-dhcp_ direct] gateway-list 192.169.1.1
[S9500-dhcp-dhcp_ direct] quit
[S9500] dhcp server ip-pool dhcp_second
[S9500-dhcp-dhcp_ second] network 192.169.2.0 mask 255.255.255.0
[S9500-dhcp-dhcp_ second] gateway-list 192.169.2.1
[S9500-dhcp-dhcp_ second] quit
以下配置在CAMS 2.10-R0208/CAMS V200R001B02D027版本上实现
在CAMS配置菜单中依次找到系统管理->系统配置->接入设备配置,点击进入:
图4-2 增加配置项
l 必须保证交换机与CAMS相连的VLAN接口地址在初始IP地址和结束IP地址之间,表示CAMS信任此IP地址段内的交换机;
l 共享密钥设置与交换机上的Radius方案中的key相同为“hello”;
l 业务类型选择为“LAN接入业务”;
l 端口列表设置为“1812,1813”,这里表示Radius服务器监听Radius报文的端口;
l 协议类型设置为“扩展协议”。
到此接入设备配置完成。
# 服务器信息配置。
在CAMS菜单中依次找到组件管理->Portal组件->服务器信息:
图4-3 服务器信息配置
l 服务器主IP地址设置为Portal服务器的地址“202.103.0.1”;
l 监听端口号使用默认的“50100”;
l Portal主页设置为安装CAMS Portal组件时时所选择的“http://202.103.0.1/portal”;
l 其它配置默认。
点击确定,到此完成服务器信息的配置。
#IP地址组配置。
在CAMS菜单中依次找到组件管理->Portal组件->IP地址组,增加IP地址组:
图4-4 增加IP地址组一
取名为“direct”,起始地址为“192.169.1.1”,终止IP为“192.169.1.254”,再增加IP地址组:
图4-5 增加IP地址组二
取名为“second”,起始地址为“192.169.2.1”,终止地址为“192.169.2.254”。到此完成IP地址组的配置。
#设备信息配置。
在CAMS菜单中依次找到组件管理->Portal组件->设备信息,增加设备信息:
图4-6 增加设备信息
l 设备名设置为“S9500”;
l IP地址设置为交换机的IP地址“202.103.0.2”;
l 版本设置为“Portal 2.0”;
l 密钥设置为“hello”;
l 二次地址分配选择为“是”;
l 其他选项默认,点击“增加”完成设备信息的配置。
到此完成设备信息的配置。
# 端口信息配置。
在CAMS菜单中依次找到组件管理->Portal组件->设备信息,见下图:
图4-7 端口信息配置
点击端口信息管理,点击增加:
图4-8 增加设备端口组
l 端口组名设置为“direct”;
l 开始端口选择为“s9500-VLAN-03-0002”,终止端口为“s9500-VLAN-03-4094”,这里的设置需要有固定格式sysname-VLAN-slot-VLANid,其中sysname需要设置为设备的sysname,VLAN就固定设置为“VLAN”,slot设置为使能portal的VLAN内端口所在槽位(这里是3号槽),VLAN id设置为起始/终止VLAN(开始端口里填写起始VLAN,终止端口里填写终止VLAN,目的是保证使能portal的VLAN接口在这个VLAN范围内),这里表示VLAN的范围为0002到4094;
l IP地址组在下拉菜单中选择“direct”;
l 其他选项默认。
点击确认完成端口组“direct”的配置,需要再添加一个端口组,再次增加;
图4-9 增加设备端口组
l 端口组名设置为“second”;
l 开始端口选择为“s9500-VLAN-03-0002”,终止端口为“s9500-VLAN-03-4094”,这里的设置需要有固定格式sysname-VLAN-slot-VLANid,其中sysname需要设置为设备的sysname,VLAN就固定设置为“VLAN”,slot设置为使能portal的VLAN内端口所在槽位(这里是3号槽),VLAN id设置为起始/终止VLAN(开始端口里填写起始VLAN,终止端口里填写终止VLAN,目的是保证使能portal的VLAN接口在这个VLAN范围内),这里表示VLAN的范围为0002到4094;
l IP地址组在下拉菜单中选择“second”;
l 其他选项默认。
点击确认,到此完成端口组“second”的配置。
# 配置生效。
在CAMS菜单中依次找到组件管理->Portal组件->配置生效:
图4-10 配置生效
点击“配置生效”,到此Portal组件配置完成;
# 计费策略添加。
在CAMS菜单中依次找到用户管理->资费管理->计费策略,添加计费策略:
图4-11 计费策略添加
l 计费策略名设置为Portal;
l 计费策略描述设置为“用于Portal”;
l 业务类型设置为“LAN接入业务”;
l 子类型设置为“普通类型”;
l 计费策略模板设置为“普通纯计量计费型”。
点击下一步:
图4-12 计费属性设置
l 计费方式为按时长;
l 使用量计费单位设置为秒;
l 缺省费率为1元/1小时。
点击下一步,到此完成计费策略的配置。
# 服务添加。
在CAMS菜单中依次找到用户管理->服务管理->服务配置,点击增加:
图4-13 增加服务
l 服务名设置为portal;
l 计费策略设置为Portal;
l 安全策略设置为不使用安全策略。
其他选项默认,点击确定,到此完成服务的添加。
# 帐户添加。
在CAMS菜单中依次找到用户管理->帐号用户,点击“增加”:
图4-14 用户开户
l 帐号名为portaluser;
l 设置用户密码为111111;
l 设置用户姓名为portaluser;
l 设置帐号类型为预付费帐号;
l 设置预付金额为8000元;
l 钩选下面”服务信息”中的portal;
点击确定,到此完成portaluser用户的添加。
以上是一个最典型的Portal二次认证的配置过程,之后用户即可以正常使用Portal认证了。
#
portal method redhcp
portal server portal1 ip 202.103.0.1 key hello url http://202.103.0.1/portal
#
interface vlan-interface192
ip address 192.169.1.1 255.255.255.0
ip address 192.169.2.1 255.255.255.0 sub
ip relay address 30.0.2.2
dhcp select relay
dhcp relay security address-check enable
#
radius scheme portal
primary authentication 202.103.0.1
primary accounting 202.103.0.1
key authentication hello
key accounting hello
user-name-format without-domain
#
domain portal
scheme radius-scheme portal
vlan-assignment-mode integer
access-limit disable
state active
idle-cut disable
self-service-url disable
#
#
dhcp server ip-pool direct
network 192.169.1.0 mask 255.255.255.0
gateway-list 192.169.1.1
#
dhcp server ip-pool second
network 192.169.2.0 mask 255.255.255.0
gateway-list 192.169.2.1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!