选择区域语言: EN CN HK

11-安全配置指导

09-Portal配置

本章节下载  (908.84 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR/MSR_50/Configure/Operation_Manual/H3C_MSR_CG-Release_2104(V1.10)/11/201311/803422_30005_0.htm

09-Portal配置

  录

1 Portal配置

1.1 Portal简介

1.1.1 Portal概述

1.1.2 Portal扩展功能

1.1.3 Portal的系统组成

1.1.4 使用本地Portal服务器的Portal认证系统

1.1.5 Portal的认证方式

1.1.6 二层Portal认证过程

1.1.7 三层Portal认证过程

1.1.8 Portal支持多实例

1.2 Portal配置任务简介

1.3 配置准备

1.4 指定Portal服务器

1.4.1 指定二层Portal认证的本地Portal服务器监听IP地址

1.4.2 指定三层Portal认证的Portal服务器

1.5 配置本地Portal服务器

1.5.1 自定义认证页面文件

1.5.2 配置本地Portal服务器

1.6 使能Portal认证

1.6.1 使能二层Portal认证

1.6.2 使能三层Portal认证

1.7 控制Portal用户的接入

1.7.1 配置免认证规则

1.7.2 配置源认证网段

1.7.3 配置目的认证网段

1.7.4 配置Portal最大用户数

1.7.5 指定Portal用户使用的认证域

1.8 配置接口发送RADIUS报文的相关属性

1.8.1 配置接口的NAS-Port-Type

1.8.2 配置接口的NAS-ID Profile

1.9 配置接口发送Portal报文使用的源地址

1.10 配置Portal探测功能

1.10.1 配置Portal用户在线探测功能

1.10.2 配置Portal服务器探测功能

1.10.3 配置Portal用户信息同步功能

1.11 强制Portal用户下线

1.12 配置强推页面功能

1.13 Portal显示和维护

1.14 Portal典型配置举例

1.14.1 Portal直接认证配置举例

1.14.2 Portal二次地址分配认证配置举例

1.14.3 三层Portal认证配置举例

1.14.4 Portal直接认证扩展功能配置举例

1.14.5 Portal二次地址分配认证扩展功能配置举例

1.14.6 三层Portal认证扩展功能配置举例

1.14.7 Portal服务器探测和用户同步功能配置举例

1.14.8 三层Portal认证支持多实例配置举例

1.15 常见配置错误举例

1.15.1 接入设备和Portal服务器上的密钥不一致

1.15.2 接入设备上服务器端口配置错误

 


1 Portal配置

1.1  Portal简介

1.1.1  Portal概述

Portal在英语中是入口的意思。Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。

未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时,必须在门户网站进行认证,只有认证通过后才可以使用互联网资源。

用户可以主动访问已知的Portal认证网站,输入用户名和密码进行认证,这种开始Portal认证的方式称作主动认证。反之,如果用户试图通过HTTP访问其他外网,将被强制访问Portal认证网站,从而开始Portal认证过程,这种方式称作强制认证。

Portal业务可以为运营商提供方便的管理功能,门户网站可以开展广告、社区服务、个性化的业务等,使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。

1.1.2  Portal扩展功能

Portal的扩展功能主要是指通过强制接入终端实施补丁和防病毒策略,加强网络终端对病毒攻击的主动防御能力。具体扩展功能如下:

l              Portal身份认证的基础上增加了安全认证机制,可以检测接入终端上是否安装了防病毒软件、是否更新了病毒库、是否安装了非法软件、是否更新了操作系统补丁等;

l              用户通过身份认证后仅仅获得访问部分互联网资源(受限资源)的权限,如病毒服务器、操作系统补丁更新服务器等;当用户通过安全认证后便可以访问更多的互联网资源(非受限资源)。

1.1.3  Portal的系统组成

Portal的典型组网方式如图1-1所示,它由五个基本要素组成:认证客户端、接入设备、Portal服务器、认证/计费服务器和安全策略服务器。

由于Portal服务器可以是接入设备之外的独立实体,也可以是存在于接入设备之内的内嵌实体,本文称之为“本地Portal服务器”,因此下文中除对本地支持的Portal服务器做特殊说明之外,其它所有Portal服务器均指独立的Portal服务器,请勿混淆。

 

图1-1 Portal系统组成示意图

 

1. 认证客户端

安装于用户终端的客户端系统,为运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的主机。对接入终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息交流完成的。

2. 接入设备

交换机、路由器等宽带接入设备的统称,主要有三方面的作用:

l              在认证之前,将认证网段内用户的所有HTTP请求都重定向到Portal服务器。

l              在认证过程中,与Portal服务器、安全策略服务器、认证/计费服务器交互,完成身份认证/安全认证/计费的功能。

l              在认证通过后,允许用户访问被管理员授权的互联网资源。

3. Portal服务器

接收Portal客户端认证请求的服务器端系统,提供免费门户服务和基于Web认证的界面,与接入设备交互认证客户端的认证信息。

4. 认证/计费服务器

与接入设备进行交互,完成对用户的认证和计费。

5. 安全策略服务器

与Portal客户端、接入设备进行交互,完成对用户的安全认证,并对用户进行授权操作。

以上五个基本要素的交互过程为:

(1)        未认证用户访问网络时,在IE地址栏中输入一个互联网的地址,那么此HTTP请求在经过接入设备时会被重定向到Portal服务器的Web认证主页上;若需要使用Portal的扩展认证功能,则用户必须使用Portal客户端。

(2)        用户在认证主页/认证对话框中输入认证信息后提交,Portal服务器会将用户的认证信息传递给接入设备;

(3)        然后接入设备再与认证/计费服务器通信进行认证和计费;

(4)        认证通过后,如果未对用户采用安全策略,则接入设备会打开用户与互联网的通路,允许用户访问互联网;如果对用户采用了安全策略,则客户端、接入设备与安全策略服务器交互,对用户的安全检测通过之后,安全策略服务器根据用户的安全性授权用户访问非受限资源。

l    由于Portal客户端以IP地址为身份标识,因此使用Portal业务时,在认证客户端、接入设备、Portal服务器、认证/计费服务器之间不能有配置NAT(Network Address Translation,网络地址转换)特性的设备,避免地址转换导致认证失败。

l    目前支持Portal认证的远端认证/计费服务器为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。

l    目前通过访问IE页面进行的Portal认证不能对用户实施安全策略检查,安全检查功能的实现需要使用H3C iNode客户端的配合。

 

1.1.4  使用本地Portal服务器的Portal认证系统

1. 系统组成

本地Portal服务器功能是指,Portal认证系统中不采用外部独立的Portal服务器,而由接入设备实现Portal服务器功能。这种情况下,Portal认证系统仅包括三个基本要素:认证客户端、接入设备和认证/计费服务器,如图1-2所示。由于设备支持Web用户直接认证,因此就不需要部署额外的Portal服务器,增强了Portal认证的通用性。

图1-2 使用本地Portal服务器的Portal系统组成示意图

 

l    使用本地Portal服务器的Portal认证系统不支持Portal扩展功能,因此不需要部署安全策略服务器。

l    内嵌本地Portal服务器的接入设备实现了简单的Portal服务器功能,仅能给用户提供通过Web方式登录、下线的基本功能,并不能完全替代独立的Portal服务器。

 

2. 认证客户端和本地Portal服务器之间的交互协议

认证客户端和内嵌本地Portal服务器的接入设备之间可以采用HTTP和HTTPS协议通信。若客户端和接入设备之间交互HTTP协议,则报文以明文形式传输,安全性无法保证;若客户端和接入设备之间交互HTTPS协议,则报文基于SSL提供的安全机制以密文的形式传输,数据的安全性有保障。

3. 本地Portal服务器支持用户自定义认证页面

本地Portal服务器支持由用户自定义认证页面的内容,即允许用户编辑一套认证页面的HTML文件,并在压缩之后保存至设备的存储设备中。该套自定义页面中包括六个认证页面:登录页面、登录成功页面、在线页面、下线成功页面、登录失败页面和系统忙页面。本地Portal服务器根据不同的认证阶段向客户端推出对应的认证页面,若不自定义,则分别推出系统提供的缺省认证页面。

关于认证页面文件的自定义规范请参见“1.5.1  自定义认证页面文件”。

 

1.1.5  Portal的认证方式

不同的组网方式下,可采用的Portal认证方式不同。按照网络中实施Portal认证的网络层次来分,Portal的认证方式分为两种:二层认证方式和三层认证方式。

MSR系列路由器各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:

特性

MSR 900

MSR 20-1X

MSR 20

MSR 30

MSR 50

二层认证方式

No

No

No

MIM二层以太网交换模块支持

MSR 30-11E、MSR 30-11F支持

No

 

1. 二层认证方式

这种方式支持在接入设备连接用户的二层端口上开启Portal认证功能,只允许源MAC地址通过认证的用户才能访问外部网络资源。目前,该认证方式仅支持本地Portal认证,即接入设备作为本地Portal服务器向用户提供Web认证服务。

2. 三层认证方式

这种方式支持在接入设备连接用户的三层接口上开启Portal认证功能。三层接口Portal认证又可分为三种不同的认证方式:直接认证方式、二次地址分配认证方式和可跨三层认证方式。直接认证方式和二次地址分配认证方式下,认证客户端和接入设备之间没有三层转发;可跨三层认证方式下,认证客户端和接入设备之间可以跨接三层转发设备。

(1)        直接认证方式

用户在认证前通过手工配置或DHCP直接获取一个IP地址,只能访问Portal服务器,以及设定的免费访问地址;认证通过后即可访问网络资源。认证流程相对二次地址较为简单。

(2)        二次地址分配认证方式

用户在认证前通过DHCP获取一个私网IP地址,只能访问Portal服务器,以及设定的免费访问地址;认证通过后,用户会申请到一个公网IP地址,即可访问网络资源。该认证方式解决了IP地址规划和分配问题,对未认证通过的用户不分配公网IP地址。例如运营商对于小区宽带用户只在访问小区外部资源时才分配公网IP。

使用本地Portal服务器的Portal认证不支持二次地址分配认证方式。

 

(3)        可跨三层认证方式

和直接认证方式基本相同,但是这种认证方式允许认证用户和接入设备之间跨越三层转发设备。

对于以上三种认证方式,IP地址都是用户的唯一标识。接入设备基于用户的IP地址下发ACL对接口上通过认证的用户报文转发进行控制。由于直接认证和二次地址分配认证下的接入设备与用户之间未跨越三层转发设备,因此接口可以学习到用户的MAC地址,接入设备可以利用学习到MAC地址增强对用户报文转发的控制粒度。

1.1.6  二层Portal认证过程

目前,二层Portal认证只支持本地Portal认证,即由接入设备作为本地Portal服务器向用户提供Web认证服务,具体认证过程如下。

图1-3 二层Portal认证流程图

 

(1)        Portal用户通过HTTP或HTTPS协议发起认证请求。HTTP报文经过配置了本地Portal服务器的接入设备的端口时会被重定向到本地Portal服务器的监听IP地址,本地Portal服务器提供Web页面供用户输入用户名和密码来进行认证。该本地Portal服务器的监听IP地址为接入设备上一个与用户之间路由可达的三层接口IP地址(通常为Loopback接口IP)。

(2)        接入设备与RADIUS服务器之间进行RADIUS协议报文的交互,对用户身份进行验证。

(3)        如果RADIUS认证成功,则接入设备上的本地Portal服务器向客户端发送登录成功页面,通知客户端认证(上线)成功。

1.1.7  三层Portal认证过程

直接认证和可跨三层Portal认证流程相同。二次地址分配认证流程因为有两次地址分配过程,所以其认证流程和另外两种认证方式有所不同。

1. 直接认证和可跨三层Portal认证的流程

图1-4 直接认证/可跨三层Portal认证流程图

 

直接认证/可跨三层Portal认证流程:

(1)        Portal用户通过HTTP协议发起认证请求。HTTP报文经过接入设备时,对于访问Portal服务器或设定的免费访问地址的HTTP报文,接入设备允许其通过;对于访问其它地址的HTTP报文,接入设备将其重定向到Portal服务器。Portal服务器提供Web页面供用户输入用户名和密码来进行认证。

(2)        Portal服务器与接入设备之间进行CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)认证交互。若采用PAP(Password Authentication Protocol,密码验证协议)认证则直接进入下一步骤。

(3)        Portal服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备,同时开启定时器等待认证应答报文。

(4)        接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。

(5)        接入设备向Portal服务器发送认证应答报文。

(6)        Portal服务器向客户端发送认证通过报文,通知客户端认证(上线)成功。

(7)        Portal服务器向接入设备发送认证应答确认。

(8)        客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全性是否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。

(9)        安全策略服务器根据用户的安全性授权用户访问非受限资源,授权信息保存到接入设备中,接入设备将使用该信息控制用户的访问。

步骤(8)、(9)为Portal认证扩展功能的交互过程。

2. 二次地址分配认证方式的流程

图1-5 二次地址分配认证方式流程图

 

二次地址分配认证流程:

(1)~(6)同直接/可跨三层Portal认证中步骤(1)~(6)。

(7)        客户端收到认证通过报文后,通过DHCP请求获得新的公网IP地址,并通知Portal服务器用户已获得新IP地址。

(8)        Portal服务器通知接入设备客户端获得新公网IP地址。

(9)        接入设备通过检测ARP协议报文发现了用户IP变化,并通告Portal服务器已检测到用户IP变化。

(10)    Portal服务器通知客户端上线成功。

(11)    Portal服务器向接入设备发送IP变化确认报文。

(12)    客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全性是否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。

(13)    安全策略服务器根据用户的安全性授权用户访问非受限资源,授权信息保存到接入设备中,接入设备将使用该信息控制用户的访问。

步骤(12)、(13)为Portal认证扩展功能的交互过程。

3. 使用本地Portal服务器的认证流程

图1-6 使用本地Portal服务器的认证流程图

 

直接/可跨三层本地Portal认证流程:

(1)        Portal用户通过HTTP或HTTPS协议发起认证请求。HTTP报文经过配置了本地Portal服务器的接入设备的接口时会被重定向到本地Portal服务器,本地Portal服务器提供Web页面供用户输入用户名和密码来进行认证。该本地Portal服务器的监听IP地址为接入设备上一个与用户之间路由可达的三层接口IP地址。

(2)        接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。

(3)        接入设备中的本地Portal服务器向客户端发送登录成功页面,通知客户端认证(上线)成功。

1.1.8  Portal支持多实例

实际组网应用中,某企业的各分支机构属于不同的VPN,且各VPN之间的业务相互隔离。如果各分支机构的Portal用户要通过位于总部VPN中的服务器进行统一认证,则需要Portal支持多实例。

通过Portal支持多实例,可实现Portal认证报文通过MPLS VPN进行交互。如下图所示,连接客户端的PE设备作为NAS,通过MPLS VPN将私网客户端的Portal认证报文透传给网络另一端的私网服务器,并在AAA支持多实例的配合下,实现对私网VPN客户端的Portal接入认证,满足了私网VPN业务隔离情况下的客户端集中认证,且各私网的认证报文互不影响。

图1-7 Portal支持多实例典型组网图

 

l    在MCE设备上进行的Portal接入认证也可支持多实例功能。关于MCE的相关介绍请参见“MPLS配置指导”中的“MPLS L3VPN”。

l    关于AAA支持多实例的相关介绍请参见“安全配置指导”中的“AAA”。

l    本特性不支持多VPN间的地址重叠。

 

1.2  Portal配置任务简介

表1-1 二层Portal配置任务简介

配置任务

说明

详细配置

指定二层Portal认证的本地Portal服务器IP地址

必选

1.4.1 

配置本地Portal服务器

必选

1.5 

使能二层Portal

必选

1.6.1 

控制Portal用户的接入

配置Portal最大用户数

可选

1.7.4 

指定Portal用户使用的认证域

1.7.5 

强制Portal用户下线

可选

1.11 

 

表1-2 三层Portal配置任务简介

配置任务

说明

详细配置

指定三层Portal认证的Portal服务器监听IP地址

必选

1.4.2 

配置本地Portal服务器

可选

1.5 

使能三层Portal

必选

1.6.2 

控制Portal用户的接入

配置免认证规则

可选

1.7.1 

配置认证网段

1.7.2 

配置目的认证网段

1.7.3 

配置Portal最大用户数

1.7.4 

指定Portal用户使用的认证域

1.7.5 

配置接口发送RADIUS报文的相关属性

配置接口的NAS-Port-Type

可选

1.8.1 

配置接口的NAS-ID Profile

1.8.2 

配置接口发送Portal报文使用的源地址

可选

1.9 

配置Portal探测功能

配置Portal用户的在线探测功能

可选

1.10.1 

配置Portal服务器探测功能

1.10.2 

配置Portal用户信息同步功能

1.10.3 

强制Portal用户下线

可选

1.11 

 

表1-3 配置强推页面功能

配置任务

说明

详细配置

配置强推页面功能

必选

该功能与接口使能Portal不能同时配置

1.12 

 

1.3  配置准备

Portal提供了一个用户身份认证和安全认证的实现方案,但是仅仅依靠Portal不足以实现该方案。接入设备的管理者需选择使用RADIUS认证方法,以配合Portal完成用户的身份认证。Portal认证的配置前提:

l              Portal服务器、RADIUS服务器已安装并配置成功。本地Portal认证无需单独安装Portal服务器。

l              若采用二次地址分配认证方式,接入设备需启动DHCP中继的安全地址匹配检查功能,另外需要安装并配置好DHCP服务器。

l              用户、接入设备和各服务器之间路由可达。

l              如果通过远端RADIUS服务器进行认证,则需要在RADIUS服务器上配置相应的用户名和密码,然后在接入设备端进行RADIUS客户端的相关设置。RADIUS客户端的具体配置请参见“安全配置指导”中的“AAA”。

l              如果需要支持Portal的扩展功能,需要安装并配置CAMS EAD/iMC EAD。同时保证在接入设备上的ACL配置和安全策略服务器上配置的受限资源ACL号、非受限资源ACL号对应。接入设备上的安全策略服务器配置请参见“安全配置指导”中的“AAA”。

l    安全策略服务器的配置请参考CAMS EAD安全策略组件联机帮助/iMC EAD安全策略组件联机帮助。

l    受限资源ACL、非受限资源ACL分别对应安全策略服务器中的隔离ACL与安全ACL。

l    如果接入设备上的授权ACL配置被修改,则修改后的ACL不能对已经在线的Portal用户生效,只能对新上线的Portal用户有效。

 

1.4  指定Portal服务器

1.4.1  指定二层Portal认证的本地Portal服务器监听IP地址

MSR系列路由器各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:

特性

MSR 900

MSR 20-1X

MSR 20

MSR 30

MSR 50

指定二层Portal认证的本地Portal服务器监听IP地址

No

No

No

MIM二层以太网交换模块支持

MSR 30-11E、MSR 30-11F支持

No

 

二层Portal认证使用本地Portal服务器,因此需要将设备上一个与Portal客户端路由可达的三层接口IP地址指定为本地Portal服务器的监听IP地址,并强烈建议使用设备上空闲的Loopback接口的IP地址,利用LoopBack接口状态稳定的优点,避免因为接口故障导致用户无法打开认证页面的问题。另外,由于发送到LoopBack接口的报文不会被转发到网络中,当请求上线的用户数目较大时,可减轻对系统性能的影响。

表1-4 指定二层Portal认证的本地Portal服务器监听IP地址

操作

命令

说明

进入系统视图

system-view

-

指定二层Portal认证的本地Portal服务器监听IP地址

portal local-server ip ip-address

必选

缺省情况下,没有指定本地Portal服务器的监听IP地址

 

已配置的本地Portal服务器监听IP地址仅在二层Portal认证未在任何端口上使能时才可以被删除或修改。

 

1.4.2  指定三层Portal认证的Portal服务器

本配置用于指定Portal服务器的相关参数,主要包括服务器IP地址、共享加密密钥、服务器端口号以及服务器提供的Web认证地址。根据不同的组网环境,此处指定的服务器IP地址有所不同:

l              如果使用远程Portal服务器,则指定为外部Portal服务器的IP地址;

l              如果使用本地Portal服务器,则指定为设备上与Portal客户端路由可达的三层接口IP地址。

表1-5 指定三层Portal认证的Portal服务器

操作

命令

说明

进入系统视图

system-view

-

指定三层Portal认证的Portal服务器

portal server server-name ip ip-address [ key key-string | port port-id | url url-string | vpn-instance vpn-instance-name ] *

必选

缺省情况下,没有指定三层Portal认证的Portal服务器

 

l    目前,接入设备上允许最多允许指定4个Portal服务器。

l    已配置的Portal服务器参数仅在该Portal服务器未被接口引用时才可以被删除或修改。

l    使用本地Portal服务器时,Portal服务器参数keyporturl均不需配置,若配置也无效;另外,接口上使能redhcp(二次地址)方式的Portal也可配置但不生效。

 

1.5  配置本地Portal服务器

MSR系列路由器各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:

特性

MSR 900

MSR 20-1X

MSR 20

MSR 30

MSR 50

本地Portal服务器功能

No

No

No

MIM二层以太网交换模块支持

MSR 30-11E、MSR 30-11F支持

No

 

本特性用于配合Portal本地认证,且仅在使用本地Portal服务器时必配。使用本地Portal服务器进行认证时,本地Portal服务器负责向用户推出认证页面。认证页面的内容和样式可自定义,若未配置自定义认证页面,则向用户推出系统提供的缺省认证页面。

1.5.1  自定义认证页面文件

用户自定义的认证页面为HTML文件的形式,压缩后保存在本地设备的存储设备中。每套认证页面可包括六个主索引页面(登录页面、登录成功页面、登录失败页面、在线页面、系统忙页面、下线成功页面)及其页面元素(认证页面需要应用的各种文件,如Logon.htm页面中的back.jpg),每个主索引页面可以引用若干页面元素。若用户只自定义了部分主索引页面,则其余主索引页面使用系统提供的缺省认证页面。

用户在自定义这些页面时需要遵循一定的规范,否则会影响本地Portal服务器功能的正常使用和系统运行的稳定性。

1. 文件名规范

主索引页面文件名不能自定义,必须使用表1-6中所列的固定文件名。

表1-6 认证页面文件名

主索引页面

文件名

登录页面

logon.htm

登录成功页面

logonSuccess.htm

登录失败页面

logonFail.htm

在线页面

用于提示用户已经在线

online.htm

系统忙页面

用于提示系统忙或者该用户正在登录过程中

busy.htm

下线成功页面

logoffSuccess.htm

 

主索引页面文件之外的其他文件名可由用户自定义,但需注意文件名和文件目录名中不能含有中文且不区分大小写。

 

2. 页面请求规范

本地Portal服务器只能接受Get请求和Post请求。

l              Get请求用于获取认证页面中的静态文件,其内容不能为递归内容。例如,Logon.htm文件中包含了Get ca.htm文件的内容,但ca.htm文件中又包含了对Logon.htm的引用,这种递归引用是不允许的。

l              Post请求用于用户提交用户名和密码以及用户执行登录、下线操作。

3. Post请求中的属性规范

(1)        认证页面中表单(Form)的编辑必须符合以下原则:

l              认证页面可以含有多个Form,但是必须有且只有一个Form的action=logon.cgi,否则无法将用户信息送到本地Portal服务器。

l              用户名属性固定为”PtUser”,密码属性固定为”PtPwd”。

l              需要有用于标记用户登录还是下线的属性”PtButton”,取值为"Logon"表示登录,取值为"Logoff"表示下线。

l              登录Post请求必须包含”PtUser”,”PtPwd”和"PtButton"三个属性。

l              下线Post请求必须包含”PtButton”这个属性。

(2)        需要包含登录Post请求的页面有logon.htm和logonFail.htm。

logon.htm页面脚本内容的部分示例:

<form action=logon.cgi method = post >

<p>User name:<input type="text" name = "PtUser" style="width:160px;height:22px" maxlength=64>

<p>Password :<input type="password" name = "PtPwd" style="width:160px;height:22px" maxlength=32>

<p><input type=SUBMIT value="Logon" name = "PtButton" style="width:60px;">

</form>

(3)        需要包含下线Post请求的页面有logonSuccess.htm和online.htm。

online.htm页面脚本内容的部分示例:

<form action=logon.cgi method = post >

<p><input type=SUBMIT value="Logoff" name="PtButton" style="width:60px;">

</form>

4. 页面文件压缩及保存规范

l              完成所有认证页面的编辑之后,必须按照标准Zip格式将其压缩到一个Zip文件中,该Zip文件的文件名只能包含字母、数字和下划线。缺省认证页面文件必须以defaultfile为文件名保存。

l              压缩后的Zip文件中必须直接包含认证页面,不允许存在间接目录。

l              压缩生成的Zip文件可以通过FTP或TFTP的方式上传至设备,并保存在设备的指定目录下。缺省认证页面文件必须保存在设备的根目录下,非缺省认证页面文件可以保存在设备根目录下或者根目录的portal目录下。

Zip文件保存目录示例:

<Sysname> dir

Directory of flash:/portal/

   0     -rw-      1405  Feb 28 2008 15:53:31   page2.zip

   1     -rw-      1405  Feb 28 2008 15:53:20   page1.zip

   2     -rw-      1405  Feb 28 2008 15:53:39   page3.zip

   3     -rw-      1405  Feb 28 2008 15:53:44   page4.zip

2540 KB total (1319 KB free)

5. 页面文件大小和内容规范

为了方便系统推出自定义的认证页面,认证页面在文件大小和内容上需要有如下限制:

l              每套页面(包括主索引页面文件及其页面元素)压缩后的Zip文件大小不能超过500K字节。

l              每个单独页面(包括单个主索引页面文件及其页面元素)压缩前的文件大小不能超过50K字节。

l              页面元素只能包含HTML、JS、CSS和图片之类的静态内容。

6. 关闭认证页面后强制用户下线

用户认证成功后,系统会推出登陆成功页面(文件名为logonSuccess.htm),若希望用户关闭该页面的同时,触发设备执行强制当前在线用户下线的操作,就需要按照如下要求在认证页面文件的logonSuccess.htm脚本文件中增加如下内容。

(1)        添加对JS文件“pt_private.js”的引用;

(2)        添加触发页面卸载的函数“pt_unload()”;

(3)        添加Form的提交事件处理函数“pt_submit()”。

增加的logonSuccess.htm页面脚本内容如示例中突出显示部分:

    <html>

    <head>

    <title>LogonSuccessed</title>

    <script type="text/javascript" language="javascript" src="pt_private.js"></script>

    </head>

    <body onunload="pt_unload();">

    ... ...

<form action=logon.cgi method = post onsubmit="pt_submit()">

    ... ...

    </body>

    </html>

l    推荐使用IE6.0版本以上的浏览器。在本地Portal服务器支持的协议类型为HTTPS的情况下,若使用Firefox浏览器,则只支持关闭登陆成功页签时强制用户下线,不支持关闭Firefox浏览器时强制用户下线。

l    需要用户浏览器设置为允许弹出页面,或者设置设备的IP地址为允许弹出的网站地址。

 

1.5.2  配置本地Portal服务器

在本配置任务中,通过指定Portal客户端和本地Portal服务器的之间采用的通信协议(HTTP或HTTPS),接入设备上的本地Portal服务器功能才能生效。

1. 配置准备

若指定本地Portal服务器支持的协议类型为HTTPS,则需要首先完成以下配置:

l              配置PKI策略,并成功申请本地证书和CA证书,具体配置请参见“安全配置指导”中的“PKI”。

l              配置SSL服务器端策略,并指定使用已配置的PKI域。具体配置请参见“安全配置指导”中的“SSL”。

由于指定本地Portal服务器支持的协议类型时,本地Portal服务器将同时加载已保存在根目录的缺省认证页面文件,因此若需要使用自定义的缺省认证页面文件,则需要首先完成对它的编辑和保存工作,否则使用系统默认的缺省认证页面。

2. 配置本地Portal服务器

表1-7 配置本地Portal服务器

操作

命令

说明

进入系统视图

system-view

-

配置本地Portal服务器支持的协议类型,并同时加载缺省认证页面文件

portal local-server { http | https server-policy policy-name }

必选

缺省情况下,本地Portal服务器不支持任何协议类型

配置本地Portal服务器缺省认证页面的欢迎信息

portal server banner banner-string

可选

缺省情况下,无Web页面欢迎信息

 

1.6  使能Portal认证

只有在接口上使能了Portal认证,对接入用户的Portal认证功能才能生效。

1.6.1  使能二层Portal认证

MSR系列路由器各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:

特性

MSR 900

MSR 20-1X

MSR 20

MSR 30

MSR 50

使能二层Portal认证

No

No

No

MIM二层以太网交换模块支持

MSR 30-11E、MSR 30-11F支持

No

 

在使能二层Portal认证之前,需要满足以下要求:

l              已经指定了本地Portal服务器的监听IP地址;

l              未在任何接口上使能三层Portal认证。

表1-8 使能二层Portal认证

操作

命令

说明

进入系统视图

system-view

-

进入二层以太网接口视图

interface interface-type interface-number

-

在端口上使能二层Portal认证

portal local-server enable

必选

缺省情况下,未使能二层Portal认证

 

为使二层端口上的Portal认证功能正常运行,不建议端口上同时使能端口安全、802.1X的Guest VLAN或802.1X的EAD快速部署功能。

 

1.6.2  使能三层Portal认证

在使能三层Portal认证之前,需要满足以下要求:

l              使能Portal的接口已配置或者获取了合法的IP地址;

l              使能Portal的接口未加入聚合组;

l              接口上引用的Portal服务器名已经存在;

l              未在任何端口上使能二层Portal认证。

表1-9 使能三层Portal认证

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

只能是三层接口

在接口上使能三层Portal认证

portal server server-name method { direct | layer3 | redhcp }

必选

缺省情况下,没有使能三层Portal认证

 

l    加入聚合组的三层接口不能使能Portal,反之亦然。

l    设备向Portal服务器主动发送报文时使用的目的端口号必须与远程Portal服务器实际使用的端口号保持一致。

l    为保证设备能够向MPLS VPN私网中的Portal服务器发送报文,配置Portal服务器时需指定服务器所属的VPN且必须和该服务器所在的VPN保持一致。

l    已配置的Portal服务器及其参数仅在该Portal服务器未被接口引用时才可以被删除或修改。

l    对于跨三层设备支持Portal认证的应用只能配置可跨三层Portal认证方式(portal server server-name method layer3),但可跨三层Portal认证方式不要求接入设备和Portal用户之间必需跨越三层设备。

l    在二次地址分配认证方式下,允许用户在未通过Portal认证时以公网地址向外发送报文,但相应的回应报文则受限制。

l    使用本地Portal服务器时,Portal服务器参数keyporturl均不需配置,若配置也无效;另外,接口上使能redhcp(二次地址)方式的Portal也可配置但不生效。

 

1.7  控制Portal用户的接入

1.7.1  配置免认证规则

目前,本特性仅三层Portal认证支持。

 

通过配置免认证规则(free-rule)可以让特定的用户不需要通过Portal认证即可访问外网特定资源,这是由免认证规则中配置的源信息以及目的信息决定的。

免认证规则的匹配项包括IP地址、MAC地址、所连接设备的接口和VLAN,只有符合免认证规则的用户报文才不会触发Portal认证,因此这些报文所属的用户才可以直接访问网络资源。

表1-10 配置免认证规则

操作

命令

说明

进入系统视图

system-view

-

配置Portal的免认证规则

portal free-rule rule-number { destination { any | ip { ip-address mask { mask-length | netmask } | any } } | source { any | [ interface interface-type interface-number | ip { ip-address mask { mask-length | mask } | any } | mac mac-address | vlan vlan-id ] * } } *

必选

 

l    如果免认证规则中同时配置了vlaninterface则要求interface属于该VLAN,否则该规则无效。

l    相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复。

l    无论接口上是否使能Portal认证,只能添加或者删除免认证规则,不能修改。

l    加入聚合组的二层接口不能被指定为免认证规则的源接口,反之亦然。

 

1.7.2  配置源认证网段

本特性仅三层Portal认证支持。

 

通过配置源认证网段实现只允许在源认证网段范围内的用户报文才能触发Portal强制认证。如果用户在访问外部网络之前未主动进行Portal认证,且用户报文既不满足免认证规则又不在源认证网段内,则用户报文将被接入设备丢弃。

表1-11 配置源认证网段

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置源认证网段

portal auth-network network-address { mask-length | mask }

可选

缺省情况下,认证网段为0.0.0.0/0,表示对任意源IP都进行认证

 

源认证网段配置仅对可跨三层Portal认证有效。直接认证方式的认证网段为任意源IP,二次地址分配方式的认证网段为由接口私网IP决定的私网网段。

 

1.7.3  配置目的认证网段

本特性仅三层Portal认证支持。

 

通过配置目的认证网段实现仅要求访问指定目的网段(除免认证规则中指定的目的IP地址或网段)的用户进行Portal认证,其它用户访问外部网络时无需认证。

表1-12 配置目的认证网段

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置目的认证网段

portal auth-network destination network-address { mask-length | mask }

可选

缺省情况下,目的认证网段为0.0.0.0/0,表示对访问任意网段的用户都进行Portal认证

 

l          可通过多次执行本命令,配置多个目的认证网段,最多允许配置的源认证网段和目的认证网段总数为16个。

l          如果接口下同时配置了源认证网段和目的认证网段,则源认证网段的配置无效。

 

1.7.4  配置Portal最大用户数

通过该配置可以控制系统中的Portal接入用户总数。

表1-13 配置Portal最大用户数

操作

命令

说明

进入系统视图

system-view

-

配置Portal最大用户数

portal max-user max-number

必选

 

如果配置的Portal最大用户数小于当前已经在线的Portal用户数,则该命令可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户接入。

 

1.7.5  指定Portal用户使用的认证域

通过在指定接口上配置Portal用户使用的认证域,使得所有从该接口接入的Portal用户被强制使用指定的认证域来进行认证、授权和计费。即使Portal用户输入的用户名中携带的域名相同,接入设备的管理员也可以通过该配置对不同接口指定不同的认证域,从而增加了管理员部署Portal接入策略的灵活性。

表1-14 指定Portal用户使用的认证域

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

指定Portal用户使用的认证域

portal domain domain-name

必选

缺省情况下,未指定Portal用户使用的认证域

 

从指定接口上接入的Portal用户将按照如下先后顺序选择认证域:接口上指定的ISP域-->用户名中携带的ISP域-->系统缺省的ISP域。关于缺省ISP域的相关介绍请参见“安全配置指导”中的“AAA”。

 

1.8  配置接口发送RADIUS报文的相关属性

本特性仅三层Portal认证支持。

 

1.8.1  配置接口的NAS-Port-Type

RADIUS标准属性NAS-Port-Type用于表示用户接入的端口类型。当接口上有Portal用户上线时候,若该接口上配置了NAS-Port-Type,则使用本命令配置的值作为向RADIUS服务器发送的RADIUS请求报文的NAS-Port-Type属性值,否则使用接入设备获取到的用户接入的端口类型填充该属性。

若作为Portal认证接入设备的BASBroadband Access Server,宽带接入服务器)与Portal客户端之间跨越了多个网络设备,则可能无法正确获取到接入用户的实际端口信息,例如对于Portal认证接入的无线客户端,BAS获取到的接入端口类型有可能是设备上认证该用户的有线接口类型。因此,为保证BAS能够向RADIUS服务器正确传递用户的接入端口信息,需要网络管理员在了解用户的实际接入环境后,通过本命令指定相应的NAS-Port-Type

表1-15 配置接口的NAS-Port-Type

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置接口的NAS-Port-Type

portal nas-port-type { ethernet | wireless }

必选

缺省情况下,未指定接口的NAS-Port-Type

 

1.8.2  配置接口的NAS-ID Profile

在某些组网环境下,依靠VLAN来确定用户的接入位置,网络运营商需要使用NAS-Identifier来标识用户的接入位置。当接口上有Portal用户上线时,若该接口上指定了NAS-ID Profile,则接入设备会根据指定的Profile名字和用户接入的VLAN来获取与此VLAN绑定的NAS-ID,此NAS-ID的值将作为向RADIUS服务器发送的RADIUS请求报文中的NAS-Identifier属性值。

本特性中指定的Profile名字用于标识VLAN和NAS-ID的绑定关系,该绑定关系由AAA中的nas-id id-value bind vlan vlan-id命令生成,有关该命令的具体情况请参见“安全命令参考”中的“AAA”。

接口使用设备名作为接口的NAS-ID。

表1-16 配置接口的NAS-ID Profile

操作

命令

说明

进入系统视图

system-view

-

创建NAS-ID Profile,并进入NAS-ID-Profile视图

aaa nas-id profile profile-name

必选

该命令的具体情况请参见“安全命令参考”中的“AAA”

设置NAS-ID与VLAN的绑定关系

nas-id nas-identifier bind vlan vlan-id

必选

该命令的具体情况请参见“安全命令参考”中的“AAA”

退出当前视图

quit

-

进入接口视图

interface interface-type interface-number

-

指定接口的NAS-ID Profile

portal nas-id-profile profile-name

必选

缺省情况下,未指定NAS-ID Profile

 

1.9  配置接口发送Portal报文使用的源地址

本特性仅三层Portal认证支持。

 

通过配置接口发送Portal报文使用的源地址,可以保证接入设备与Portal服务器交互的报文从此IP地址发送,且Portal服务器向接入设备回应的报文也向此地址发送。

表1-17 配置接口发送Portal报文使用的源地址

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置接口发送Portal报文使用的源地址

portal nas-ip ip-address

可选

缺省情况下,未指定源地址,即以接入用户的接口地址作为发送Portal报文的源地址

 

1.10  配置Portal探测功能

本特性仅三层Portal认证支持。

 

1.10.1  配置Portal用户在线探测功能

在接口上配置Portal用户在线探测功能后,设备会定期向从该接口上线的Portal在线用户发送探测报文(目前支持发送ARP请求),来确认该用户是否在线,以便及时发现异常离线用户。

l              若设备在指定的探测次数之内收到了该Portal用户的响应报文,则认为此用户在线,并通过继续发送探测报文,来持续确认该用户的在线状态。

l              若设备在指定的探测次数之后仍然未收到该Portal用户的响应报文,则认为此用户已经下线,则停止发送探测报文,并删除该用户。

表1-18 配置Portal用户在线探测功能

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

Portal用户在线探测功能

access-user detect type arp retransmit number interval interval

必选

缺省情况下,未配置Portal用户在线探测功能

 

探测报文的发送次数和发送间隔请根据网络的实际情况进行调整。

 

1.10.2  配置Portal服务器探测功能

在Portal认证的过程中,如果接入设备与Portal服务器的通信中断,则会导致新用户无法上线,已经在线的Portal用户无法正常下线的问题。为解决这些问题,需要接入设备能够及时探测到Portal服务器可达状态的变化,并能触发执行相应的操作来应对这种变化带来的影响。例如,当接入设备发现Portal服务器不可达时,可打开网络限制,允许Portal用户不需经过认证即可访问网络资源,也就是通常所说的Portal逃生功能,该功能为一种灵活的用户接入方案。

通过配置本特性,设备可以对指定Portal服务器的可达状态进行探测,具体配置包括如下几项:

(1)        探测方式(可以选择其中一种或同时使用两种)

l              探测HTTP连接:接入设备定期向Portal服务器的HTTP服务端口发起TCP连接,若连接成功建立则表示此服务器的HTTP服务已开启,就认为一次探测成功且服务器可达。若连接失败则认为一次探测失败。

l              探测Portal心跳报文:支持Portal逃生心跳功能的Portal服务器(目前仅iMC支持)会定期向接入设备发送Portal心跳报文,设备通过检测此报文来判断服务器的可达状态:若设备在指定的周期内收到Portal心跳报文或者其它认证报文,且验证其正确,则认为此次探测成功且服务器可达,否则认为此次探测失败。

(2)        探测参数

l              探测间隔:进行探测尝试的时间间隔。

l              失败探测的最大次数:允许连续探测失败的最大次数。若连续探测失败数目达到此值,则认为服务器不可达。

(3)        可达状态改变时触发执行的操作(可以选择其中一种或同时使用多种)

l              发送Trap:Portal服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息。Trap信息中记录了Portal服务器名以及该服务器的当前状态。

l              发送日志:Portal服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal服务器名以及该服务器状态改变前后的状态。

l              打开网络限制(Portal逃生):Portal服务器不可达时,暂时取消端口进行的Portal认证,允许所有Portal用户访问网络资源。之后,若设备收到Portal服务器的心跳报文,或者收到其它认证报文(上线报文、下线报文等),则恢复该端口的Portal认证功能。

对于以上配置项,可根据实际情况进行组合使用,但需要注意以下几点:

l              如果同时指定了两种探测方式,则只要使用任何一种探测方式进行探测的失败次数达到最大值就认为服务器不可达。在服务器不可达状态下,只有使用两种探测方式的探测都成功才能认为服务器恢复为可达状态。

l              如果同时指定了多种操作,则Portal服务器可达状态改变时系统可并发执行多种操作。

l              对指定Portal服务器配置的探测功能,只有当该服务器在接口上使能之后才能生效。

表1-19 配置Portal服务器探测功能

操作

命令

说明

进入系统视图

system-view

-

配置对Portal服务器的探测功能

portal server server-name server-detect method { http | portal-heartbeat } * action { log | permit-all | trap } * [ interval interval ] [ retry retries ]

必选

缺省情况下,未配置对Portal服务器的探测功能

本命令中指定的Portal服务器必须已经存在

 

只有对于支持Portal逃生心跳功能(目前仅iMC的Portal服务器支持)的Portal服务器,portal-heartbeat类型的探测方法才有效。为了配合此类型的探测,还需要在Portal服务器上选择支持逃生心跳功能,且服务器上配置的逃生心跳间隔要小于等于设备上配置的服务器探测间隔。

 

1.10.3  配置Portal用户信息同步功能

为了解决接入设备与Portal服务器通信中断后,两者的Portal用户信息不一致问题,设备提供了一种Portal用户信息同步功能。该功能利用了Portal同步报文的发送及检测机制,具体实现如下:

(1)        由Portal服务器周期性地(周期为Portal服务器上指定的用户心跳间隔值)将在线用户信息通过用户同步报文发送给接入设备;

(2)        接入设备检测到该用户同步报文后,将其中携带的用户信息与自己的用户信息进行对比,如果发现同步报文中有设备上不存在的用户信息,则将这些自己没有的用户信息反馈给Portal 服务器,Portal服务器将删除这些用户信息;如果发现接入设备上的某用户信息在连续N(N为retry参数的取值)个周期内,都未在该Portal服务器发送过来的用户同步报文中出现过,则认为Portal服务器上已不存在该用户,设备将强制该用户下线。

表1-20 配置Portal用户同步功能

操作

命令

说明

进入系统视图

system-view

-

配置Portal用户同步功能

portal server server-name user-sync [ interval interval ] [ retry retries ]

必选

缺省情况下,未配置Portal用户同步功能

本命令中指定的Portal服务器必须已经存在

只有在指定的Portal服务器已经在接口上使能的情况下,本功能才能立即生效

 

l    只有在支持Portal用户心跳功能(目前仅iMC的Portal服务器支持)的Portal服务器的配合下,本功能才有效。为了实现该功能,还需要在Portal服务器上选择支持用户心跳功能,且服务器上配置的用户心跳间隔要小于等于设备上配置的用户同步检测间隔。

l    对于设备上多余的用户信息,即在N个周期后被判定为Portal服务器上已不存在的用户信息,设备会在第N1个周期内的某时刻将其删除掉。

 

1.11  强制Portal用户下线

通过配置强制用户下线可以终止对指定IP地址用户的认证过程,或者将已经通过认证的指定IP地址的用户删除,对应的用户就被强制下线。

表1-21 配置强制用户下线

操作

命令

说明

进入系统视图

system-view

-

强制接入设备上的用户下线

portal delete-user { ip-address | all | interface interface-type interface-number }

必选

 

1.12  配置强推页面功能

通过在接口上配置强推页面功能,可以实现该接口上的接入用户在首次进行Web访问时被强制访问指定网页的功能,即该用户的Web访问请求被重定向到指定的URL,之后用户可以正常访问网络资源。在固定时间间隔后,若该用户重新发起Web访问请求,则再次推出指定页面。

该特性可为酒店或者网络运营商提供对用户进行周期性推出广告页面的类似功能。与普通Portal不同的是,该特性不要求接口上接入的用户进行认证,因此也无需其它认证方面的部署来配合。

表1-22 配置强推页面功能

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置强推页面功能

web-redirect url url-string [ interval interval ]

必选

缺省情况下,未配置强推页面功能

 

目前,若接口上使能了Portal功能,则强推页面功能不能生效,建议二者不要同时配置使用。

 

1.13  Portal显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后Portal的运行情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除Portal统计信息。

表1-23 Portal显示和维护

操作

命令

显示接口上Portal的ACL信息

display portal acl { all | dynamic | static } interface interface-type interface-number [ | { begin | exclude | include } regular-expression ]

显示接口上Portal的连接统计信息

display portal connection statistics { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ]

显示Portal的免认证规则信息

display portal free-rule [ rule-number ] [ | { begin | exclude | include } regular-expression ]

显示指定接口的Portal配置信息

display portal interface interface-type interface-number [ | { begin | exclude | include } regular-expression ]

显示本地Portal服务器信息

display portal local-server [ | { begin | exclude | include } regular-expression ]

显示Portal服务器信息

display portal server [ server-name ] [ | { begin | exclude | include } regular-expression ]

显示接口上Portal服务器的统计信息

display portal server statistics { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ]

显示TCP仿冒统计信息

display portal tcp-cheat statistics [ | { begin | exclude | include } regular-expression ]

显示Portal用户的信息

display portal user { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ]

清除接口上Portal的连接统计信息

reset portal connection statistics {all | interface interface-type interface-number }

清除接口上Portal服务器的统计信息

reset portal server statistics { all | interface interface-type interface-number }

清除TCP仿冒统计信息

reset portal tcp-cheat statistics

 

1.14  Portal典型配置举例

1.14.1  Portal直接认证配置举例

1. 组网需求

l              用户主机与接入设备Router直接相连,采用直接方式的Portal认证。用户通过手工配置或DHCP获取的一个公网IP地址进行认证,在通过Portal认证前,只能访问Portal服务器;在通过Portal认证后,可以使用此IP地址访问非受限的互联网资源。

l              采用RADIUS服务器作为认证/计费服务器。

2. 组网图

图1-8 配置Portal直接认证组网图

 

3. 配置步骤

l    按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。

l    完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。

 

(1)        配置Portal server

下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102),说明Portal server的基本配置。

 

# 配置Portal服务器。

登录进入iMC管理平台,选择“业务”页签,单击导航树中的[Portal服务器管理/服务器配置]菜单项,进入服务器配置页面。

l              输入Portal认证主页地址,形式为http://ip:port/portal,其中ip和port在安装iMC UAM的时候确定,port一般使用缺省值8080即可。

图1-9 Portal服务器配置页面

 

# 配置IP地址组。

单击导航树中的[Portal服务器管理/IP地址组配置]菜单项,进入Portal IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。

l              填写IP地址组名、起始地址和终止地址。用户主机IP地址必须包含在该IP地址组范围内。

图1-10 增加IP地址组配置页面

 

# 增加Portal设备。

单击导航树中的[Portal服务器管理/设备配置]菜单项,进入Portal设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。

l              填写设备名;

l              输入IP地址为与接入用户相连的设备接口IP;

l              输入密钥,与接入设备Router上的配置保持一致;

l              选择是否进行二次地址分配,本例中为直接认证,因此为否。

图1-11 增加设备信息配置页面

 

# Portal设备关联IP地址组

在Portal设备配置页面中的设备信息列表中,点击Router设备的<端口组信息管理>链接,进入端口组信息配置页面。

图1-12 设备信息列表

 

在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。

l              填写端口组名;

l              选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组;

l              其它参数采用缺省值。

图1-13 增加端口组信息配置页面

 

# 最后单击导航树中的[业务参数配置/系统配置手工生效]菜单项,使以上Portal服务器配置生效。

(2)        配置Router

l              配置RADIUS方案

# 创建名字为rs1的RADIUS方案并进入该方案视图。

<Router> system-view

[Router] radius scheme rs1

# 配置RADIUS方案的服务器类型。使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended

[Router-radius-rs1] server-type extended

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[Router-radius-rs1] primary authentication 192.168.0.112

[Router-radius-rs1] primary accounting 192.168.0.112

[Router-radius-rs1] key authentication radius

[Router-radius-rs1] key accounting radius

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[Router-radius-rs1] user-name-format without-domain

[Router-radius-rs1] quit

l              配置认证域

# 创建并进入名字为dm1的ISP域。

[Router] domain dm1

# 配置ISP域的RADIUS方案rs1

[Router-isp-dm1] authentication portal radius-scheme rs1

[Router-isp-dm1] authorization portal radius-scheme rs1

[Router-isp-dm1] accounting portal radius-scheme rs1

[Router-isp-dm1] quit

# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方式。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案。

[Router] domain default enable dm1

l              配置Portal认证

# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为portal,端口为50100,URL为http://192.168.0.111:8080/portal。

[Router] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal

# 在与用户Host相连的接口上使能Portal认证。

[Router] interface ethernet 1/2

[Router–Ethernet1/2] portal server newpt method direct

[Router–Ethernet1/2] quit

4. 验证配置结果

以上配置完成后,通过执行以下显示命令可查看Portal配置是否生效。

[Router] display portal interface ethernet 1/2

 Interface portal configuration:

 Ethernet1/2: Portal running

 Portal server: newpt

 Portal backup-group: None

 Authentication type: Direct

 Authentication domain:

 Authentication network:

 address : 0.0.0.0  mask : 0.0.0.0

用户既可以使用H3C的iNode客户端,也可以通过网页方式进行Portal认证。用户在通过认证前,只能访问认证页面http://192.168.0.111:8080/portal,且发起的Web访问均被重定向到该认证页面,在通过认证后,可访问非受限的互联网资源。

认证通过后,可通过执行以下显示命令查看Router上生成的Portal在线用户信息。

[Router] display portal user interface ethernet 1/2

 Index:19

 State:ONLINE

 SubState:NONE

 ACL:NONE

 Work-mode:stand-alone

 MAC              IP                Vlan   Interface

 ---------------------------------------------------------------------

 0015-e9a6-7cfe   2.2.2.2           0      Ethernet1/2

 On interface Ethernet1/2:total 1 user(s) matched, 1 listed.

1.14.2  Portal二次地址分配认证配置举例

1. 组网需求

l              用户主机与接入设备Router直接相连,采用二次地址分配方式的Portal认证。用户通过DHCP服务器获取IP地址,Portal认证前使用分配的一个私网地址;通过Portal认证后,用户申请到一个公网地址,才可以访问非受限互联网资源。

l              采用RADIUS服务器作为认证/计费服务器。

2. 组网图

图1-14 配置Portal二次地址分配认证组网图

 

3. 配置步骤

l    Portal二次地址分配认证方式应用中,DHCP服务器上需创建公网地址池(20.20.20.0/24)及私网地址池(10.0.0.0/24),具体配置略。关于DHCP的详细配置请参见“三层技术-IP业务配置指导”中的“DHCP”。

l    Portal二次地址分配认证方式应用中,接入设备必须配置为DHCP中继(不能配置为Server),且启动Portal的接口需要配置主IP地址(公网IP)及从IP地址(私网IP)。

l    请保证在Portal服务器上添加的Portal设备的IP地址为与用户相连的接口的私网IP地址(10.0.0.1),且与该Portal设备关联的IP地址组为用户所在的私网网段(10.0.0.0/24)。

l    按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。

l    完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。

 

在Router上进行以下配置。

(1)        配置RADIUS方案

# 创建名字为rs1的RADIUS方案并进入该方案视图。

<Router> system-view

[Router] radius scheme rs1

# 配置RADIUS方案的服务器类型。使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended

[Router-radius-rs1] server-type extended

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[Router-radius-rs1] primary authentication 192.168.0.113

[Router-radius-rs1] primary accounting 192.168.0.113

[Router-radius-rs1] key authentication radius

[Router-radius-rs1] key accounting radius

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[Router-radius-rs1] user-name-format without-domain

[Router-radius-rs1] quit

(2)        配置认证域

# 创建并进入名字为dm1的ISP域。

[Router] domain dm1

# 配置ISP域的RADIUS方案rs1

[Router-isp-dm1] authentication portal radius-scheme rs1

[Router-isp-dm1] authorization portal radius-scheme rs1

[Router-isp-dm1] accounting portal radius-scheme rs1

[Router-isp-dm1] quit

# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方式。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案。

[Router] domain default enable dm1

(3)        配置Portal认证

# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为portal,端口为50100,URL为http://192.168.0.111:8080/portal(请根据Portal服务器的实际情况配置,此处仅为示例)。

[Router] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal

# 配置DHCP中继,并启动DHCP中继的安全地址匹配检查功能。

[Router] dhcp enable

[Router] dhcp relay server-group 0 ip 192.168.0.112

[Router] interface ethernet 1/2

[Router–Ethernet1/2] ip address 20.20.20.1 255.255.255.0

[Router–Ethernet1/2] ip address 10.0.0.1 255.255.255.0 sub

[Router-Ethernet1/2] dhcp select relay

[Router-Ethernet1/2] dhcp relay server-select 0

[Router-Ethernet1/2] dhcp relay address-check enable

# 在与用户Host相连的接口上使能Portal认证。

[Router–Ethernet1/2] portal server newpt method redhcp

[Router–Ethernet1/2] quit

1.14.3  三层Portal认证配置举例

1. 组网需求

Router A支持Portal认证功能。用户Host通过Router B接入到Router A。

l              配置Router A采用三层Portal认证。用户在未通过Portal认证前,只能访问Portal服务器;用户通过Portal认证后,可以访问非受限互联网资源。

l              采用RADIUS服务器作为认证/计费服务器。

2. 组网图

图1-15 配置三层Portal认证组网图

 

3. 配置步骤

l    请保证在Portal服务器上添加的Portal设备的IP地址为与用户相连的接口IP地址(20.20.20.1),且与该Portal设备关联的IP地址组为用户所在网段(8.8.8.0/24)。

l    按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。

l    完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。

 

在Router A上进行以下配置。

(1)        配置RADIUS方案

# 创建名字为rs1的RADIUS方案并进入该方案视图。

<RouterA> system-view

[RouterA] radius scheme rs1

# 配置RADIUS方案的服务器类型。使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended

[RouterA-radius-rs1] server-type extended

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[RouterA-radius-rs1] primary authentication 192.168.0.112

[RouterA-radius-rs1] primary accounting 192.168.0.112

[RouterA-radius-rs1] key authentication radius

[RouterA-radius-rs1] key accounting radius

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[RouterA-radius-rs1] user-name-format without-domain

[RouterA-radius-rs1] quit

(2)        配置认证域

# 创建并进入名字为dm1的ISP域。

[RouterA] domain dm1

# 配置ISP域的RADIUS方案rs1

[RouterA-isp-dm1] authentication portal radius-scheme rs1

[RouterA-isp-dm1] authorization portal radius-scheme rs1

[RouterA-isp-dm1] accounting portal radius-scheme rs1

[RouterA-isp-dm1] quit

# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方式。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案。

[Router] domain default enable dm1

(3)        配置Portal认证

# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为portal,端口为50100,URL为http://192.168.0.111:8080/portal(请根据Portal服务器的实际情况配置,此处仅为示例)。

[RouterA] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal

# 在与Router B相连的接口上使能Portal认证。

[RouterA] interface ethernet 1/2

[RouterA–Ethernet1/2] portal server newpt method layer3

[RouterA–Ethernet1/2] quit

Router B上需要配置到192.168.0.0/24网段的缺省路由,下一跳为20.20.20.1,具体配置略。

1.14.4  Portal直接认证扩展功能配置举例

1. 组网需求

l              用户主机与接入设备Router直接相连,采用直接方式的Portal认证。用户通过手工配置或DHCP获取的一个公网IP地址进行认证,在通过身份认证而没有通过安全认证时可以访问192.168.0.0/24网段;在通过安全认证后,可以使用此IP地址访问非受限互联网资源。

l              采用RADIUS服务器作为认证/计费服务器。

2. 组网图

图1-16 配置Portal直接认证扩展功能组网图

 

3. 配置步骤

l    按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。

l    完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。

 

在Router上进行以下配置。

(1)        配置RADIUS方案

# 创建名字为rs1的RADIUS方案并进入该方案视图。

<Router> system-view

[Router] radius scheme rs1

# 配置RADIUS方案的服务器类型。使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended

[Router-radius-rs1] server-type extended

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[Router-radius-rs1] primary authentication 192.168.0.112

[Router-radius-rs1] primary accounting 192.168.0.112

[Router-radius-rs1] key accounting radius

[Router-radius-rs1] key authentication radius

[Router-radius-rs1] user-name-format without-domain

# 配置RADIUS方案的安全策略服务器IP。

[Router-radius-rs1] security-policy-server 192.168.0.113

[Router-radius-rs1] quit

(2)        配置认证域

# 创建并进入名字为dm1的ISP域。

[Router] domain dm1

# 配置ISP域的RADIUS方案rs1

[Router-isp-dm1] authentication portal radius-scheme rs1

[Router-isp-dm1] authorization portal radius-scheme rs1

[Router-isp-dm1] accounting portal radius-scheme rs1

[Router-isp-dm1] quit

# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方式。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案。

[Router] domain default enable dm1

(3)        配置受限资源对应的ACL为3000,非受限资源对应的ACL为3001

安全策略服务器上需要将ACL 3000和ACL 3001分别指定为隔离ACL和安全ACL。

 

[Router] acl number 3000

[Router-acl-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255

[Router-acl-adv-3000] rule deny ip

[Router-acl-adv-3000] quit

[Router] acl number 3001

[Router-acl-adv-3001] rule permit ip

[Router-acl-adv-3001] quit

(4)        配置Portal认证

# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为portal,端口为50100,URL为http://192.168.0.111:8080/portal(请根据Portal服务器的实际情况配置,此处仅为示例)。

[Router] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal

# 在与用户Host相连的接口上使能Portal认证。

[Router] interface ethernet 1/2

[Router–Ethernet1/2] portal server newpt method direct

[Router–Ethernet1/2] quit

1.14.5  Portal二次地址分配认证扩展功能配置举例

1. 组网需求

l              用户主机与接入设备Router直接相连,采用二次地址分配方式的Portal认证。用户通过DHCP服务器获取IP地址,Portal认证前使用分配的一个私网地址;通过Portal认证后,用户申请到一个公网地址。

l              用户在通过身份认证而没有通过安全认证时可以访问192.168.0.0/24网段;在通过安全认证后,可以访问非受限互联网资源。

l              采用RADIUS服务器作为认证/计费服务器。

2. 组网图

图1-17 配置Portal二次地址分配认证扩展功能组网图

 

3. 配置步骤

l    Portal二次地址分配认证方式应用中,DHCP服务器上需创建公网地址池(20.20.20.0/24)及私网地址池(10.0.0.0/24),具体配置略。关于DHCP的详细配置请参见“三层技术-IP业务配置指导”中的“DHCP”。

l    Portal二次地址分配认证方式应用中,接入设备必须配置为DHCP中继(不能配置为Server),且启动Portal的接口需要配置主IP地址(公网IP)及从IP地址(私网IP)。

l    请保证在Portal服务器上添加的Portal设备的IP地址为与用户相连的接口的私网IP地址(10.0.0.1),且与该Portal设备关联的IP地址组为用户所在的私网网段(10.0.0.0/24)。

l    按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。

l    完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。

 

在Router上进行以下配置。

(1)        配置RADIUS方案

# 创建名字为rs1的RADIUS方案并进入该方案视图。

<Router> system-view

[Router] radius scheme rs1

# 配置RADIUS方案的服务器类型。使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended

[Router-radius-rs1] server-type extended

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[Router-radius-rs1] primary authentication 192.168.0.113

[Router-radius-rs1] primary accounting 192.168.0.113

[Router-radius-rs1] key authentication radius

[Router-radius-rs1] key accounting radius

[Router-radius-rs1] user-name-format without-domain

# 配置RADIUS方案的安全策略服务器IP。

[Router-radius-rs1] security-policy-server 192.168.0.114

[Router-radius-rs1] quit

(2)        配置认证域

# 创建并进入名字为dm1的ISP域。

[Router] domain dm1

# 配置ISP域的RADIUS方案rs1

[Router-isp-dm1] authentication portal radius-scheme rs1

[Router-isp-dm1] authorization portal radius-scheme rs1

[Router-isp-dm1] accounting portal radius-scheme rs1

[Router-isp-dm1] quit

# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方式。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案。

[Router] domain default enable dm1

(3)        配置受限资源对应的ACL为3000,非受限资源对应的ACL为3001

安全策略服务器上需要将ACL 3000和ACL 3001分别指定为隔离ACL和安全ACL。

 

[Router] acl number 3000

[Router-acl-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255

[Router-acl-adv-3000] rule deny ip

[Router-acl-adv-3000] quit

[Router] acl number 3001

[Router-acl-adv-3001] rule permit ip

[Router-acl-adv-3001] quit

(4)        配置Portal认证

# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为portal,端口为50100,URL为http://192.168.0.111:8080/portal(请根据Portal服务器的实际情况配置,此处仅为示例)。

[Router] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal

# 配置DHCP中继,并启动DHCP中继的安全地址匹配检查功能。

[Router] dhcp enable

[Router] dhcp relay server-group 0 ip 192.168.0.112

[Router] interface ethernet 1/2

[Router–Ethernet1/2] ip address 20.20.20.1 255.255.255.0

[Router–Ethernet1/2] ip address 10.0.0.1 255.255.255.0 sub

[Router-Ethernet1/2] dhcp select relay

[Router-Ethernet1/2] dhcp relay server-select 0

[Router-Ethernet1/2] dhcp relay address-check enable

# 在与用户Host相连的接口上使能Portal认证。

[Router–Ethernet1/2] portal server newpt method redhcp

[Router–Ethernet1/2] quit

1.14.6  三层Portal认证扩展功能配置举例

1. 组网需求

Router A支持Portal认证功能。用户Host通过Router B接入到Router A。

l              配置Router A采用三层Portal认证。用户在通过身份认证而没有通过安全认证时可以访问192.168.0.0/24网段;在通过安全认证后,可以访问非受限互联网资源。

l              采用RADIUS服务器作为认证/计费服务器。

2. 组网图

图1-18 配置三层Portal认证扩展功能组网图

 

3. 配置步骤

l    请保证在Portal服务器上添加的Portal设备的IP地址为与用户相连的接口IP地址(20.20.20.1),且与该Portal设备关联的IP地址组为用户所在网段(8.8.8.0/24)。

l    按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。

l    完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。

 

在Router A上进行以下配置。

(1)        配置RADIUS方案

# 创建名字为rs1的RADIUS方案并进入该方案视图。

<RouterA> system-view

[RouterA] radius scheme rs1

# 配置RADIUS方案的服务器类型。使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended

[RouterA-radius-rs1] server-type extended

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[RouterA-radius-rs1] primary authentication 192.168.0.112

[RouterA-radius-rs1] primary accounting 192.168.0.112

[RouterA-radius-rs1] key authentication radius

[RouterA-radius-rs1] key accounting radius

[RouterA-radius-rs1] user-name-format without-domain

# 配置RADIUS方案的安全策略服务器IP。

[RouterA-radius-rs1] security-policy-server 192.168.0.113

[RouterA-radius-rs1] quit

(2)        配置认证域

# 创建并进入名字为dm1的ISP域。

[RouterA] domain dm1

# 配置ISP域的RADIUS方案rs1

[RouterA-isp-dm1] authentication portal radius-scheme rs1

[RouterA-isp-dm1] authorization portal radius-scheme rs1

[RouterA-isp-dm1] accounting portal radius-scheme rs1

[RouterA-isp-dm1] quit

# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方式。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案。

[RouterA] domain default enable dm1

(3)        配置受限资源对应的ACL为3000,非受限资源对应的ACL为3001

安全策略服务器上需要将ACL 3000和ACL 3001分别指定为隔离ACL和安全ACL。

 

[RouterA] acl number 3000

[RouterA-acl-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255

[RouterA-acl-adv-3000] rule deny ip

[RouterA-acl-adv-3000] quit

[RouterA] acl number 3001

[RouterA-acl-adv-3001] rule permit ip

[RouterA-acl-adv-3001] quit

(4)        配置Portal认证

# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为portal,端口为50100,URL为http://192.168.0.111:8080/portal(请根据Portal服务器的实际情况配置,此处仅为示例)。

[RouterA] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal

# 在与Router B相连的接口上使能Portal认证。

[RouterA] interface ethernet 1/2

[RouterA–Ethernet1/2] portal server newpt method layer3

[RouterA–Ethernet1/2] quit

Router B上需要配置到192.168.0.0/24网段的缺省路由,下一跳为20.20.20.1,具体配置略。

1.14.7  Portal服务器探测和用户同步功能配置举例

1. 组网需求

用户主机与接入设备Router直接相连,通过Portal认证接入网络,并采用RADIUS服务器作为认证/计费服务器。

具体要求如下:

l              用户通过手工配置或DHCP获取的一个公网IP地址进行认证,在通过Portal认证前,只能访问Portal服务器;在通过Portal认证后,可以使用此IP地址访问非受限的互联网资源。

l              接入设备能够探测到Portal服务器是否可达,并输出可达状态变化的Trap信息,在服务器不可达时(例如,网络连接中断、网络设备故障或服务器无法正常提供服务等情况),取消Portal认证,使得用户仍然可以正常访问网络。

l              接入设备能够与服务器定期进行用户信息的同步。

2. 组网图

图1-19 Portal服务器探测和用户同步功能配置组网图

 

3. 配置思路

(1)        配置Portal服务器,并启动逃生心跳功能和用户心跳功能;

(2)        配置RADIUS服务器,实现正常的认证及计费功能;

(3)        接入设备通过接口Ethernet1/2与用户主机直接相连,在该接口上配置直接方式的Portal认证;

(4)        接入设备上配置Portal服务器探测功能,在与Portal服务器的逃生心跳功能的配合下,对Portal服务器的可达状态进行探测;

(5)        接入设备上配置Portal用户同步功能,在与Portal服务器的用户心跳功能的配合下,与Portal服务器上的用户信息进行同步。

4. 配置步骤

l    按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。

l    完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。

 

(1)        配置Portal serveriMC

下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2606iMC UAM 3.60-E6206),说明Portal server的相关配置。

 

# 配置Portal服务器。

登录进入iMC管理平台,选择“业务”页签,单击导航树中的[Portal服务器管理/服务器配置]菜单项,进入服务器配置页面。

l              配置逃生心跳间隔时长及用户心跳间隔时长;

l              输入Portal认证主页地址,形式为http://ip:port/portal,其中ip和port在安装iMC UAM的时候确定,port一般使用缺省值8080即可。

图1-20 Portal服务器配置页面

 

# 配置IP地址组。

单击导航树中的[Portal服务器管理/IP地址组配置]菜单项,进入Portal IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。

l              填写IP地址组名;

l              输入起始地址和终止地址。用户主机IP地址必须包含在该IP地址组范围内;

l              选择是否NAT,本例中不启用NAT,因此为否。

图1-21 增加IP地址组配置页面

 

# 增加Portal设备。

单击导航树中的[Portal服务器管理/设备配置]菜单项,进入Portal设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。

l              填写设备名;

l              输入IP地址为与接入用户相连的设备接口IP;

l              输入密钥,与接入设备Router上的配置保持一致;

l              选择是否进行二次地址分配,本例中为直接认证,因此为否;

l              选择支持逃生心跳功能和用户心跳功能。

图1-22 增加设备信息配置页面

 

# Portal设备关联IP地址组

在Portal设备配置页面中的设备信息列表中,点击Router设备的<端口组信息管理>链接,进入端口组信息配置页面。

图1-23 设备信息列表

 

在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。

l              填写端口组名;

l              选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组;

l              其它参数采用缺省值。

图1-24 增加端口组信息配置页面

 

# 最后单击导航树中的[业务参数配置/系统配置手工生效]菜单项,使以上Portal服务器配置生效。

(2)        配置Router

l              配置RADIUS方案

# 创建名字为rs1的RADIUS方案并进入该方案视图。

<Router> system-view

[Router] radius scheme rs1

# 配置RADIUS方案的服务器类型。使用iMC服务器时,RADIUS服务器类型应选择extended

[Router-radius-rs1] server-type extended

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[Router-radius-rs1] primary authentication 192.168.0.112

[Router-radius-rs1] primary accounting 192.168.0.112

[Router-radius-rs1] key authentication radius

[Router-radius-rs1] key accounting radius

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[Router-radius-rs1] user-name-format without-domain

[Router-radius-rs1] quit

l              配置认证域

# 创建并进入名字为dm1的ISP域。

[Router] domain dm1

# 配置ISP域的RADIUS方案rs1

[Router-isp-dm1] authentication portal radius-scheme rs1

[Router-isp-dm1] authorization portal radius-scheme rs1

[Router-isp-dm1] accounting portal radius-scheme rs1

[Router-isp-dm1] quit

# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方式。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案。

[Router] domain default enable dm1

l              使能Portal认证

# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为portal,端口为50100,URL为http://192.168.0.111:8080/portal。

[Router] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal

# 在与用户Host相连的接口上使能Portal认证。

[Router] interface ethernet 1/2

[Router–Ethernet1/2] portal server newpt method direct

[Router–Ethernet1/2] quit

l              配置Portal服务器探测功能

# 配置对Portal服务器pts的探测功能:探测方式为探测Portal心跳报文,每次探测间隔时间为40秒,若连续二次探测均失败,则发送服务器不可达的日志信息,并打开网络限制,允许未认证用户访问网络。

[Router] portal server newpt server-detect method portal-heartbeat action log permit-all interval 40 retry 2

此处interval与retry的乘积应该大于等于Portal服务器的逃生心跳间隔时长,且推荐interval取值大于Portal服务器的逃生心跳间隔时长。

 

l              配置Portal用户信息同步功能

# 配置对Portal服务器pts的Portal用户同步功能,检测用户同步报文的时间间隔为600秒,如果设备中的某用户信息在连续两个探测周期内都未在该Portal服务器发送的同步报文中出现,设备将强制该用户下线。

[Router] portal server newpt user-sync interval 600 retry 2

此处interval与retry的乘积应该大于等于Portal服务器上的用户心跳间隔时长,且推荐interval取值大于Portal服务器的用户心跳间隔时长。

 

5. 验证配置结果

以上配置完成后,可以通过执行以下命令查看Portal服务器的状态。

<Router> display portal server newpt

 Portal server:

  1)newpt:

      IP   : 192.168.0.111

      Key  : portal

      Port : 50100

      URL  : http://192.168.0.111:8080/portal

   Status  : Up

1.14.8  三层Portal认证支持多实例配置举例

1. 组网需求

连接客户端的PE设备Rourer A对私网VPN 1中的用户Host进行Portal接入认证,RADIUS服务器和Portal服务器位于私网VPN 3中。

l              配置Rourer A采用三层Portal认证。用户在通过身份认证后,可以访问非受限网络资源。

l              RADIUS服务器和Portal服务器由同一台服务器承担。

2. 组网图

图1-25 配置三层Portal认证支持多实例组网图

 

3. 配置步骤

l    启动Portal之前,需要首先配置MPLS L3VPN功能,通过为VPN 1和VPN 3指定匹配的VPN Target,确保VPN 1和VPN 3可以互通。本例仅介绍客户端PE上接入认证的相关配置,其它配置请参考“MPLS配置指导”中的“MPLS L3VPN”。

l    完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。

 

在Router A上进行以下配置。

(1)        配置RADIUS方案

# 创建名字为rs1的RADIUS方案并进入该方案视图。

<RouterA> system-view

[RouterA] radius scheme rs1

# 配置RADIUS方案所属的VPN实例为vpn3。

[RouterA-radius-rs1] vpn-instance vpn3

# 配置RADIUS方案的服务器类型。使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended

[RouterA-radius-rs1] server-type extended

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[RouterA-radius-rs1] primary authentication 192.168.0.111

[RouterA-radius-rs1] primary accounting 192.168.0.111

[RouterA-radius-rs1] key accounting radius

[RouterA-radius-rs1] key authentication radius

# 配置向RADIUS服务器发送的用户名不携带域名。

[RouterA-radius-rs1] user-name-format without-domain

# 配置发送RADIUS报文使用的源地址为3.3.0.3。

[RouterA-radius-rs1] nas-ip 3.3.0.3

[RouterA-radius-rs1] quit

建议通过命令nas-ip指定设备发送RADIUS报文的源地址,并与服务器上指定的接入设备IP保持一致,避免未指定源地址的情况下,设备选择的源地址与服务器上指定的接入设备IP不一致,而造成认证失败。

 

(2)        配置认证域

# 创建并进入名字为dm1的ISP域。

[RouterA] domain dm1

# 配置ISP域的RADIUS方案rs1

[RouterA-isp-dm1] authentication portal radius-scheme rs1

[RouterA-isp-dm1] authorization portal radius-scheme rs1

[RouterA-isp-dm1] accounting portal radius-scheme rs1

[RouterA-isp-dm1] quit

# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方式。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案。

[RouterA] domain default enable dm1

(3)        配置Portal认证

# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,所属的VPN为vpn3,密钥为portal,端口为50100,URL为http://192.168.0.111:8080/portal。

[RouterA] portal server newpt ip 192.168.0.111 vpn-instance vpn3 key portal port 50100 url http://192.168.0.111:8080/portal

# 在与客户端相连的接口上使能Portal认证。

[RouterA] interface ethernet 1/1

[RouterA–Ethernet1/1] portal server newpt method layer3

[RouterA–Ethernet1/1] quit

4. 验证配置结果

以上配置完成后,通过执行命令display portal server可查看Portal配置是否生效。用户认证通过后,通过执行命令display portal user查看Router A上生成的Portal在线用户信息。

[RouterA] display portal user all

 Index:2

 State:ONLINE

 SubState:NONE

 ACL:NONE

 Work-mode:stand-alone

 VPN instance:vpn1

 MAC              IP                Vlan   Interface

 ----------------------------------------------------------------------------

 000d-88f7-c268   3.3.0.1           0      Ethernet1/1

 Total 1 user(s) matched, 1 listed.

1.15  常见配置错误举例

1.15.1  接入设备和Portal服务器上的密钥不一致

1. 故障现象

用户被强制去访问Portal服务器时没有弹出Portal认证页面,也没有错误提示,登录的Portal认证服务器Web页面为空白。

2. 故障分析

接入设备上配置的Portal密钥和Portal服务器上配置的密钥不一致,导致Portal服务器报文验证出错,Portal服务器拒绝弹出认证页面。

3. 处理过程

使用display portal server命令查看接入设备上配置的Portal服务器密钥,并在系统视图中使用portal server命令修改密钥,或者在Portal服务器上查看对应接入设备的密钥并修改密钥,直至两者的密钥设置一致。

1.15.2  接入设备上服务器端口配置错误

1. 故障现象

用户通过Portal认证后,在接入设备上使用portal delete-user命令强制用户下线失败,但是使用客户端的“断开”属性可以正常下线。

2. 故障分析

在Portal上使用portal delete-user命令强制用户下线时,由接入设备主动发送下线请求报文到Portal服务器,Portal服务器默认的报文监听端口为50100,但是因为接入设备上配置的服务器监听端口错误(不是50100),即其发送的下线请求报文的目的端口和Portal服务器真正的监听端口不一致,故Portal服务器无法收到下线请求报文,Portal服务器上的用户无法下线。

当使用客户端的“断开”属性让用户下线时,由Portal服务器主动向接入设备发送下线请求,其源端口为50100,接入设备的下线应答报文的目的端口使用请求报文的源端口,避免了其配置上的错误,使得Portal服务器可以收到下线应答报文,从而Portal服务器上的用户成功下线。

3. 处理过程

使用display portal server命令查看接入设备对应服务器的端口,并在系统视图中使用portal server命令修改服务器的端口,使其和Portal服务器上的监听端口一致。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!