国家 / 地区

11-安全配置指导

10-Portal配置

本章节下载  (999.78 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR/MSR_50/Configure/Operation_Manual/H3C_MSR_CG(V5)-R2516-V1.16/11/201807/1094148_30005_0.htm

10-Portal配置

  录

1 Portal

1.1 Portal简介

1.1.1 Portal概述

1.1.2 Portal扩展功能

1.1.3 Portal的系统组成

1.1.4 使用本地Portal服务器的Portal认证系统

1.1.5 Portal的认证方式

1.1.6 Portal支持EAP认证

1.1.7 二层Portal认证过程

1.1.8 三层Portal认证过程

1.1.9 Portal支持多实例

1.2 Portal配置任务简介

1.3 配置准备

1.4 指定Portal服务器

1.4.1 指定二层Portal认证的本地Portal服务器监听IP地址

1.4.2 指定三层Portal认证的Portal服务器

1.5 配置本地Portal服务器

1.5.1 自定义认证页面文件

1.5.2 配置本地Portal服务器

1.6 使能Portal认证

1.6.1 使能二层Portal认证

1.6.2 使能三层Portal认证

1.7 控制Portal用户的接入

1.7.1 配置免认证规则

1.7.2 配置源认证网段

1.7.3 配置目的认证网段

1.7.4 配置Portal最大用户数

1.7.5 指定Portal用户使用的认证域

1.7.6 配置二层Portal认证支持Web代理

1.7.7 配置Portal用户认证端口的自动迁移功能

1.8 配置接口发送RADIUS报文的相关属性

1.8.1 配置接口的NAS-Port-Type

1.8.2 配置接口的NAS-Port-ID

1.8.3 配置接口的NAS-ID Profile

1.9 配置接口发送Portal报文使用的源地址

1.10 指定Portal用户认证成功后认证页面的自动跳转目的网站地址

1.11 配置Portal探测功能

1.11.1 配置二层Portal用户在线检测功能

1.11.2 配置三层Portal用户在线探测功能

1.11.3 配置Portal服务器探测功能

1.11.4 配置Portal用户信息同步功能

1.12 强制Portal用户下线

1.13 配置重定向URL携带MAC地址参数

1.14 配置强推页面功能

1.15 Portal显示和维护

1.16 Portal典型配置举例

1.16.1 Portal直接认证配置举例

1.16.2 Portal二次地址分配认证配置举例

1.16.3 可跨三层Portal认证配置举例

1.16.4 Portal直接认证扩展功能配置举例

1.16.5 Portal二次地址分配认证扩展功能配置举例

1.16.6 可跨三层Portal认证扩展功能配置举例

1.16.7 Portal服务器探测和用户同步功能配置举例

1.16.8 可跨三层Portal认证支持多实例配置举例

1.17 常见配置错误举例

1.17.1 接入设备和Portal服务器上的密钥不一致

1.17.2 接入设备上服务器端口配置错误

 


1 Portal

1.1  Portal简介

1.1.1  Portal概述

Portal在英语中是入口的意思。Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。

未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时,必须在门户网站进行认证,只有认证通过后才可以使用互联网资源。

用户可以主动访问已知的Portal认证网站,输入用户名和密码进行认证,这种开始Portal认证的方式称作主动认证。反之,如果用户试图通过HTTP访问其他外网,将被强制访问Portal认证网站,从而开始Portal认证过程,这种方式称作强制认证。

Portal业务可以为运营商提供方便的管理功能,门户网站可以开展广告、社区服务、个性化的业务等,使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。

1.1.2  Portal扩展功能

Portal的扩展功能主要是指通过强制接入终端实施补丁和防病毒策略,加强网络终端对病毒攻击的主动防御能力。具体扩展功能如下:

·     安全性检测:在Portal身份认证的基础上增加了安全认证机制,可以检测接入终端上是否安装了防病毒软件、是否更新了病毒库、是否安装了非法软件、是否更新了操作系统补丁等;

·     访问资源受限:用户通过身份认证后仅仅获得访问部分互联网资源(受限资源)的权限,如病毒服务器、操作系统补丁更新服务器等;当用户通过安全认证后便可以访问更多的互联网资源(非受限资源)。

1.1.3  Portal的系统组成

Portal的典型组网方式如图1-1所示,它由五个基本要素组成:认证客户端、接入设备、Portal服务器、认证/计费服务器和安全策略服务器。

由于Portal服务器可以是接入设备之外的独立实体,也可以是存在于接入设备之内的内嵌实体,本文称之为“本地Portal服务器”,因此下文中除对本地支持的Portal服务器做特殊说明之外,其它所有Portal服务器均指独立的Portal服务器,请勿混淆。

 

图1-1 Portal系统组成示意图

 

1. 认证客户端

安装于用户终端的客户端系统,为运行HTTP协议的浏览器或运行Portal客户端软件的主机。对接入终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息交流完成的。

2. 接入设备

交换机、路由器等宽带接入设备的统称,主要有三方面的作用:

·     在认证之前,将用户的所有HTTP请求都重定向到Portal服务器。

·     在认证过程中,与Portal服务器、安全策略服务器、认证/计费服务器交互,完成身份认证/安全认证/计费的功能。

·     在认证通过后,允许用户访问被管理员授权的互联网资源。

3. Portal服务器

接收Portal客户端认证请求的服务器端系统,提供免费门户服务和基于Web认证的界面,与接入设备交互认证客户端的认证信息。

4. 认证/计费服务器

与接入设备进行交互,完成对用户的认证和计费。

5. 安全策略服务器

与Portal客户端、接入设备进行交互,完成对用户的安全认证,并对用户进行授权操作。

以上五个基本要素的交互过程为:

(1)     未认证用户访问网络时,在Web浏览器地址栏中输入一个互联网的地址,那么此HTTP请求在经过接入设备时会被重定向到Portal服务器的Web认证主页上;若需要使用Portal的扩展认证功能,则用户必须使用Portal客户端。

(2)     用户在认证主页/认证对话框中输入认证信息后提交,Portal服务器会将用户的认证信息传递给接入设备;

(3)     然后接入设备再与认证/计费服务器通信进行认证和计费;

(4)     认证通过后,如果未对用户采用安全策略,则接入设备会打开用户与互联网的通路,允许用户访问互联网;如果对用户采用了安全策略,则客户端、接入设备与安全策略服务器交互,对用户的安全检测通过之后,安全策略服务器根据用户的安全性授权用户访问非受限资源。

·     无论是Web客户端还是H3C iNode客户端发起的Portal认证,均能支持Portal认证穿越NAT,即Portal客户端位于私网、Portal服务器位于公网,接入设备上启用NAT功能的组网环境下,NAT地址转换不会对Portal认证造成影响,但建议在此组网环境下,将发送Portal报文的源地址配置为接口的公网IP地址,也可以通过配置设备发送RADIUS报文的源地址nas-ip解决此问题。

·     目前支持Portal认证的远端认证/计费服务器为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。

·     目前通过访问Web页面进行的Portal认证不能对用户实施安全策略检查,安全检查功能的实现需要与H3C iNode客户端配合。

 

1.1.4  使用本地Portal服务器的Portal认证系统

1. 系统组成

本地Portal服务器功能是指,Portal认证系统中不采用外部独立的Portal服务器,而由接入设备实现Portal服务器功能。这种情况下,Portal认证系统仅包括三个基本要素:认证客户端、接入设备和认证/计费服务器,图1-2所示。由于设备支持Web用户直接认证,因此就不需要部署额外的Portal服务器,增强了Portal认证的通用性。

图1-2 使用本地Portal服务器的Portal系统组成示意图

 

·     使用本地Portal服务器的Portal认证系统不支持Portal扩展功能,因此不需要部署安全策略服务器。

·     内嵌本地Portal服务器的接入设备实现了简单的Portal服务器功能,仅能给用户提供通过Web方式登录、下线的基本功能,并不能完全替代独立的Portal服务器。

 

2. 认证客户端和本地Portal服务器之间的交互协议

认证客户端和内嵌本地Portal服务器的接入设备之间可以采用HTTP协议通信。若客户端和接入设备之间交互HTTP协议,则报文以明文形式传输,安全性较低。

3. 本地Portal服务器支持用户自定义认证页面

本地Portal服务器支持由用户自定义认证页面的内容,即允许用户编辑一套认证页面的HTML文件,并在压缩之后保存至设备的存储设备中。该套自定义页面中包括六个认证页面:登录页面、登录成功页面、在线页面、下线成功页面、登录失败页面和系统忙页面。本地Portal服务器根据不同的认证阶段向客户端推出对应的认证页面,若不自定义,则分别推出系统提供的缺省认证页面。

关于认证页面文件的自定义规范请参见“1.5.1  自定义认证页面文件”。

 

1.1.5  Portal的认证方式

不同的组网方式下,可采用的Portal认证方式不同。按照网络中实施Portal认证的网络层次来分,Portal的认证方式分为两种:二层认证方式和三层认证方式。

MSR系列路由器各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:

型号

特性

描述

MSR800

二层认证方式

不支持

MSR 900

不支持

MSR900-E

不支持

MSR 930

不支持

MSR 20-1X

不支持

MSR 20

不支持

MSR 30

MIM二层以太网交换模块支持

MSR 30-11E、MSR 30-11F支持

MSR 50

不支持

MSR 2600

不支持

MSR3600-51F

支持

 

1. 二层认证方式

这种方式支持在接入设备连接用户的二层端口上开启Portal认证功能,只允许源MAC地址通过认证的用户才能访问外部网络资源。目前,该认证方式仅支持本地Portal认证,即接入设备作为本地Portal服务器向用户提供Web认证服务。

2. 三层认证方式

这种方式支持在接入设备连接用户的三层接口上开启Portal认证功能。三层接口Portal认证又可分为三种不同的认证方式:直接认证方式、二次地址分配认证方式和可跨三层认证方式。直接认证方式和二次地址分配认证方式下,认证客户端和接入设备之间没有三层转发;可跨三层认证方式下,认证客户端和接入设备之间可以跨接三层转发设备。

(1)     直接认证方式

用户在认证前通过手工配置或DHCP直接获取一个IP地址,只能访问Portal服务器,以及设定的免费访问地址;认证通过后即可访问网络资源。认证流程相对二次地址较为简单。

(2)     二次地址分配认证方式

用户在认证前通过DHCP获取一个私网IP地址,只能访问Portal服务器,以及设定的免费访问地址;认证通过后,用户会申请到一个公网IP地址,即可访问网络资源。该认证方式解决了IP地址规划和分配问题,对未认证通过的用户不分配公网IP地址。例如运营商对于小区宽带用户只在访问小区外部资源时才分配公网IP。

使用本地Portal服务器的Portal认证不支持二次地址分配认证方式。

 

(3)     可跨三层认证方式

和直接认证方式基本相同,但是这种认证方式允许认证用户和接入设备之间跨越三层转发设备。

对于以上三种认证方式,IP地址都是用户的唯一标识。接入设备基于用户的IP地址下发ACL对接口上通过认证的用户报文转发进行控制。由于直接认证和二次地址分配认证下的接入设备与用户之间未跨越三层转发设备,因此接口可以学习到用户的MAC地址,接入设备可以利用学习到MAC地址增强对用户报文转发的控制力度。

1.1.6  Portal支持EAP认证

在对接入用户身份可靠性要求较高的网络应用中,传统的基于用户名和口令的用户身份验证方式存在一定的安全问题,基于数字证书的用户身份验证方式通常被用来建立更为安全和可靠的网络接入认证机制。

EAP(Extensible Authentication Protocol,可扩展认证协议)可支持多种基于数字证书的认证方式(例如EAP-TLS),它与Portal认证相配合,可共同为用户提供基于数字证书的接入认证服务。

图1-3 Portal支持EAP认证协议交互示意图

 

图1-3所示,在Portal支持EAP认证的实现中,客户端与Portal服务器之间交互EAP认证报文,Portal服务器与接入设备之间交互携带EAP-Message属性的Portal协议报文,接入设备与RADIUS服务器之间交互携带EAP-Message属性的RADIUS协议报文,由具备EAP服务器功能的RADIUS服务器处理EAP-Message属性中封装的EAP报文,并给出EAP认证结果。整个EAP认证过程中,接入设备只是对Portal服务器与RADIUS服务器之间的EAP-Message属性进行透传,并不对其进行任何处理,因此接入设备上无需任何额外配置。

·     该功能仅能与H3C iMC的Portal服务器以及H3C iNode Portal客户端配合使用。

·     目前,仅使用远程Portal服务器的三层Portal认证支持EAP认证。

 

1.1.7  二层Portal认证过程

1. 二层Portal认证流程

目前,二层Portal认证只支持本地Portal认证,即由接入设备作为本地Portal服务器向用户提供Web认证服务,具体认证过程如下。

图1-4 二层Portal认证流程图

 

(1)     Portal用户通过HTTP协议发起认证请求。HTTP报文经过配置了本地Portal服务器的接入设备的端口时会被重定向到本地Portal服务器的监听IP地址,本地Portal服务器提供Web页面供用户输入用户名和密码来进行认证。该本地Portal服务器的监听IP地址为接入设备上一个与用户之间路由可达的三层接口IP地址(通常为Loopback接口IP)。

(2)     接入设备与RADIUS服务器之间进行RADIUS协议报文的交互,对用户身份进行验证。

(3)     如果RADIUS认证成功,则接入设备上的本地Portal服务器向客户端发送登录成功页面,通知客户端认证(上线)成功。

2. 支持ACL下发

ACL(Access Control List,访问控制列表)提供了控制用户访问网络资源和限制用户访问权限的功能。当用户上线时,如果服务器上配置了授权ACL,则设备会根据服务器下发的授权ACL对用户所在端口的数据流进行控制;在服务器上配置授权ACL之前,需要在设备上配置相应的规则。管理员可以通过改变服务器的授权ACL设置或设备上对应的ACL规则来改变用户的访问权限。

1.1.8  三层Portal认证过程

直接认证和可跨三层Portal认证流程相同。二次地址分配认证流程因为有两次地址分配过程,所以其认证流程和另外两种认证方式有所不同。

1. 直接认证和可跨三层Portal认证的流程(CHAP/PAP认证方式)

图1-5 直接认证/可跨三层Portal认证流程图

 

直接认证/可跨三层Portal认证流程:

(1)     Portal用户通过HTTP协议发起认证请求。HTTP报文经过接入设备时,对于访问Portal服务器或设定的免费访问地址的HTTP报文,接入设备允许其通过;对于访问其它地址的HTTP报文,接入设备将其重定向到Portal服务器。Portal服务器提供Web页面供用户输入用户名和密码来进行认证。

(2)     Portal服务器与接入设备之间进行CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)认证交互。若采用PAP(Password Authentication Protocol,密码验证协议)认证则直接进入下一步骤。

(3)     Portal服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备,同时开启定时器等待认证应答报文。

(4)     接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。

(5)     接入设备向Portal服务器发送认证应答报文。

(6)     Portal服务器向客户端发送认证通过报文,通知客户端认证(上线)成功。

(7)     Portal服务器向接入设备发送认证应答确认。

(8)     客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全性是否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。

(9)     安全策略服务器根据用户的安全性授权用户访问非受限资源,授权信息保存到接入设备中,接入设备将使用该信息控制用户的访问。

步骤(8)、(9)为Portal认证扩展功能的交互过程。

2. 二次地址分配认证方式的流程(CHAP/PAP认证方式)

图1-6 二次地址分配认证方式流程图

 

二次地址分配认证流程:

(1)~(6)同直接/可跨三层Portal认证中步骤(1)~(6)。

(7)     客户端收到认证通过报文后,通过DHCP获得新的公网IP地址,并通知Portal服务器用户已获得新IP地址。

(8)     Portal服务器通知接入设备客户端获得新公网IP地址。

(9)     接入设备通过检测ARP协议报文发现了用户IP变化,并通告Portal服务器已检测到用户IP变化。

(10)     Portal服务器通知客户端上线成功。

(11)     Portal服务器向接入设备发送IP变化确认报文。

(12)     客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全性是否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。

(13)     安全策略服务器根据用户的安全性授权用户访问非受限资源,授权信息保存到接入设备中,接入设备将使用该信息控制用户的访问。

步骤(12)、(13)为Portal认证扩展功能的交互过程。

3. 使用本地Portal服务器的认证流程

图1-7 使用本地Portal服务器的认证流程图

 

直接/可跨三层本地Portal认证流程:

(1)     Portal用户通过HTTP协议发起认证请求。HTTP报文经过配置了本地Portal服务器的接入设备的接口时会被重定向到本地Portal服务器,本地Portal服务器提供Web页面供用户输入用户名和密码来进行认证。该本地Portal服务器的监听IP地址为接入设备上一个与用户之间路由可达的三层接口IP地址。

(2)     接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。

(3)     接入设备中的本地Portal服务器向客户端发送登录成功页面,通知客户端认证(上线)成功。

4. Portal支持EAP认证流程

图1-8 Portal支持EAP认证流程图

 

支持EAP认证的Portal认证流程如下(各Portal认证方式下EAP认证的处理流程相同,此处仅以直接方式的Portal认证为例):

(1)     Portal客户端发起EAP认证请求,向Portal服务器发送Identity类型的EAP请求报文。

(2)     Portal服务器向接入设备发送Portal认证请求报文,同时开启定时器等待Portal认证应答报文,该认证请求报文中包含若干个EAP-Message属性,这些属性用于封装Portal客户端发送的EAP报文,并可携带客户端的证书信息。

(3)     接入设备接收到Portal认证请求报文后,构造RADIUS认证请求报文与RADIUS服务器进行认证交互,该RADIUS认证请求报文的EAP-Message属性值由接入设备收到的Portal认证请求报文中的EAP-Message属性值填充。

(4)     接入设备根据RADIUS服务器的回应信息向Portal服务器发送证书请求报文,该报文中同样会包含若干个EAP-Message属性,可用于携带RADIUS服务器的证书信息,这些属性值由RADIUS认证回应报文中的EAP-Message属性值填充。

(5)     Portal服务器接收到证书请求报文后,向Portal客户端发送EAP认证回应报文,直接将RADIUS服务器响应报文中的EAP-Message属性值透传给Portal客户端。

(6)     Portal客户端继续发起的EAP认证请求,与RADIUS服务器进行后续的EAP认证交互,期间Portal认证请求报文可能会出现多次。后续认证过程与第一个EAP认证请求报文的交互过程类似,仅EAP报文类型会根据EAP认证阶段发展有所变化,此处不再详述。

(7)     EAP认证通过后,RADIUS服务器向接入设备发送认证通过响应报文,该报文的EAP-Message属性中封装了EAP认证成功报文(EAP-Success)。

(8)     接入设备向Portal服务器发送认证应答报文,该报文的EAP-Message属性中封装了EAP认证成功报文。

(9)     Portal服务器根据认证应答报文中的认证结果通知Portal客户端认证成功。

(10)     Portal服务器向接入设备发送认证应答确认。

后续为Portal认证扩展功能的交互过程,可参考CHAP/PAP认证方式下的认证流程介绍,此处略。

1.1.9  Portal支持多实例

实际组网应用中,某企业的各分支机构属于不同的VPN,且各VPN之间的业务相互隔离。如果各分支机构的Portal用户要通过位于总部VPN中的服务器进行统一认证,则需要Portal支持多实例。

通过Portal支持多实例,可实现Portal认证报文通过MPLS VPN进行交互。如下图所示,连接客户端的PE设备作为NAS,通过MPLS VPN将私网客户端的Portal认证报文透传给网络另一端的私网服务器,并在AAA支持多实例的配合下,实现对私网VPN客户端的Portal接入认证,满足了私网VPN业务隔离情况下的客户端集中认证,且各私网的认证报文互不影响。

图1-9 Portal支持多实例典型组网图

 

·     在MCE设备上进行的Portal接入认证也可支持多实例功能。关于MCE的相关介绍请见参见“MPLS配置指导”中的“MPLS L3VPN”。

·     关于AAA支持多实例的相关介绍请参见“安全配置指导”中的“AAA”。

·     本特性不支持多VPN间的地址重叠。

 

1.2  Portal配置任务简介

表1-1 二层Portal配置任务简介

配置任务

说明

详细配置

指定二层Portal认证的本地Portal服务器IP地址

必选

1.4.1 

配置本地Portal服务器

自定义认证页面

可选

1.5.1 

配置本地Portal服务器

必选

1.5.2 

使能二层Portal

必选

1.6.1 

控制Portal用户的接入

配置免认证规则

可选

1.7.1 

配置Portal最大用户数

1.7.4 

指定Portal用户使用的认证域

1.7.5 

配置二层Portal支持Web代理

1.7.6 

配置Portal用户认证端口的自动迁移功能

1.7.7 

指定Portal用户认证成功后认证页面的自动跳转目的网站地址

可选

1.10 

配置二层Portal用户的在线检测功能

可选

1.11 

强制Portal用户下线

可选

1.12 

 

表1-2 三层Portal配置任务简介

配置任务

说明

详细配置

指定三层Portal认证的Portal服务器监听IP地址

必选

1.4.2 

配置本地Portal服务器

可选

1.5 

使能三层Portal

必选

1.6.2 

控制Portal用户的接入

配置免认证规则

可选

1.7.1 

配置源认证网段

1.7.2 

配置目的认证网段

1.7.3 

配置Portal最大用户数

1.7.4 

指定Portal用户使用的认证域

1.7.5 

配置接口发送RADIUS报文的相关属性

配置接口的NAS-Port-Type

可选

1.8.1 

配置接口的NAS-Port-ID

1.8.2 

配置接口的NAS-ID Profile

1.8.3 

配置接口发送Portal报文使用的源地址

可选

1.9 

指定Portal用户认证成功后认证页面的自动跳转目的网站地址

可选

1.10 

配置Portal探测功能

配置三层Portal用户的在线探测功能

可选

1.11.2 

配置Portal服务器探测功能

1.11.3 

配置Portal用户信息同步功能

1.11.4 

强制Portal用户下线

可选

1.12 

配置重定向URL携带MAC地址参数

可选

1.13 

 

表1-3 配置强推页面功能

配置任务

说明

详细配置

配置强推页面功能

必选

该功能与接口使能Portal不能同时配置

1.14 

 

1.3  配置准备

Portal提供了一个用户身份认证和安全认证的实现方案,但是仅仅依靠Portal不足以实现该方案。接入设备的管理者需选择使用RADIUS认证方法,以配合Portal完成用户的身份认证。Portal认证的配置前提:

·     Portal服务器、RADIUS服务器已安装并配置成功。本地Portal认证无需单独安装Portal服务器。

·     若采用二次地址分配认证方式,接入设备需启动DHCP中继的安全地址匹配检查功能,另外需要安装并配置好DHCP服务器。

·     用户、接入设备和各服务器之间路由可达。

·     如果通过远端RADIUS服务器进行认证,则需要在RADIUS服务器上配置相应的用户名和密码,然后在接入设备端进行RADIUS客户端的相关设置。RADIUS客户端的具体配置请参见“安全配置指导”中的“AAA”。

·     如果需要支持Portal的扩展功能,需要安装并配置CAMS EAD/iMC EAD。同时保证在接入设备上的ACL配置和安全策略服务器上配置的受限资源ACL号、非受限资源ACL号对应。接入设备上的安全策略服务器配置请参见“安全配置指导”中的“AAA”。

·     安全策略服务器的配置请参考CAMS EAD安全策略组件联机帮助/iMC EAD安全策略组件联机帮助。

·     受限资源ACL、非受限资源ACL分别对应安全策略服务器中的隔离ACL与安全ACL。

·     如果接入设备上的授权ACL配置被修改,则修改后的ACL不对已经在线的Portal用户生效,只能对新上线的Portal用户有效。

·     为保证Portal认证可正常进行,请将设备名称的长度限制在16个字符以内。

 

1.4  指定Portal服务器

1.4.1  指定二层Portal认证的本地Portal服务器监听IP地址

MSR系列路由器各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:

型号

特性

描述

MSR800

指定二层Portal认证的本地Portal服务器监听IP地址

不支持

MSR 900

不支持

MSR900-E

不支持

MSR 930

不支持

MSR 20-1X

不支持

MSR 20

不支持

MSR 30

MIM二层以太网交换模块支持

MSR 30-11E、MSR 30-11F支持

MSR 50

不支持

MSR 2600

不支持

MSR3600-51F

支持

 

二层Portal认证使用本地Portal服务器,因此需要将设备上一个与Portal客户端路由可达的三层接口IP地址指定为本地Portal服务器的监听IP地址,并强烈建议使用设备上空闲的Loopback接口的IP地址,利用LoopBack接口状态稳定的优点,避免因为接口故障导致用户无法打开认证页面的问题。另外,由于发送到LoopBack接口的报文不会被转发到网络中,当请求上线的用户数目较大时,可减轻对系统性能的影响。

表1-4 指定二层Portal认证的本地Portal服务器监听IP地址

操作

命令

说明

进入系统视图

system-view

-

指定二层Portal认证的本地Portal服务器监听IP地址

portal local-server ip ip-address

必选

缺省情况下,没有指定本地Portal服务器的监听IP地址

 

已配置的本地Portal服务器监听IP地址仅在二层Portal认证未在任何端口上使能时才可以被删除或修改。

 

1.4.2  指定三层Portal认证的Portal服务器

本配置用于指定Portal服务器的相关参数,主要包括服务器IP地址、共享加密密钥、服务器端口号以及服务器提供的Web认证地址。根据不同的组网环境,此处指定的服务器IP地址有所不同:

·     如果使用远程Portal服务器,则指定为外部Portal服务器的IP地址;

·     如果使用本地Portal服务器,则指定为设备上与Portal客户端路由可达的三层接口IP地址。

表1-5 指定三层Portal认证的Portal服务器

操作

命令

说明

进入系统视图

system-view

-

指定三层Portal认证的Portal服务器

portal server server-name ip ip-address [ key [ cipher | simple ] key-string | port port-id | url url-string | vpn-instance vpn-instance-name ] *

必选

缺省情况下,没有指定三层Portal认证的Portal服务器

 

·     目前,接入设备上最多允许指定4个Portal服务器。

·     已配置的Portal服务器参数仅在该Portal服务器未被接口引用时才可以被删除或修改。

·     通常,使用本地Portal服务器时,Portal服务器参数key、port和url均不需配置,若配置也无效。

·     使用本地Portal服务器的情况下,二次地址分配认证方式(redhcp)可配置但不生效。

·     为保证设备能够向MPLS VPN私网中的Portal服务器发送报文,指定Portal服务器时需指定服务器所属的VPN且必须和该服务器所在的VPN保持一致。

 

1.5  配置本地Portal服务器

MSR系列路由器各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:

型号

特性

描述

MSR800

配置二层Portal认证的本地Portal服务器功能

不支持

MSR 900

不支持

MSR900-E

不支持

MSR 930

不支持

MSR 20-1X

不支持

MSR 20

不支持

MSR 30

MIM二层以太网交换模块支持

MSR 30-11E、MSR 30-11F支持

MSR 50

不支持

MSR 2600

支持

MSR3600-51F

支持

 

本特性用于配合Portal本地认证,且仅在使用本地Portal服务器时必配。使用本地Portal服务器进行认证时,本地Portal服务器负责向用户推出认证页面。认证页面的内容和样式可自定义,若未配置自定义认证页面,则向用户推出系统提供的缺省认证页面。

在无线应用环境中,可以给属于不同SSID(Service Set Identifier,服务集标识符)的用户绑定不同的认证页面,系统向用户推出认证页面的选择顺序为:与用户SSID绑定的自定义认证页面-->用户自定义的缺省认证页面-->系统提供的缺省认证页面。

1.5.1  自定义认证页面文件

用户自定义的认证页面为HTML文件的形式,压缩后保存在本地设备的存储设备中。每套认证页面可包括六个主索引页面(登录页面、登录成功页面、登录失败页面、在线页面、系统忙页面、下线成功页面)及其页面元素(认证页面需要应用的各种文件,如Logon.htm页面中的back.jpg),每个主索引页面可以引用若干页面元素。若用户只自定义了部分主索引页面,则其余主索引页面使用系统提供的缺省认证页面。

用户在自定义这些页面时需要遵循一定的规范,否则会影响本地Portal服务器功能的正常使用和系统运行的稳定性。

1. 文件名规范

主索引页面文件名不能自定义,必须使用表1-6中所列的固定文件名。

表1-6 认证页面文件名

主索引页面

文件名

登录页面

logon.htm

登录成功页面

logonSuccess.htm

登录失败页面

logonFail.htm

在线页面

用于提示用户已经在线

online.htm

系统忙页面

用于提示系统忙或者该用户正在登录过程中

busy.htm

下线成功页面

logoffSuccess.htm

 

主索引页面文件之外的其他文件名可由用户自定义,但需注意文件名和文件目录名中不能含有中文且不区分大小写。

 

2. 页面请求规范

本地Portal服务器只能接受Get请求和Post请求。

·     Get请求用于获取认证页面中的静态文件,其内容不能为递归内容。例如,Logon.htm文件中包含了Get ca.htm文件的内容,但ca.htm文件中又包含了对Logon.htm的引用,这种递归引用是不允许的。

·     Post请求用于用户提交用户名和密码以及用户执行登录、下线操作。

3. Post请求中的属性规范

(1)     认证页面中表单(Form)的编辑必须符合以下原则:

·     认证页面可以含有多个Form,但是必须有且只有一个Form的action=logon.cgi,否则无法将用户信息送到本地Portal服务器。

·     用户名属性固定为”PtUser”,密码属性固定为”PtPwd”。

·     需要有用于标记用户登录还是下线的属性”PtButton”,取值为"Logon"表示登录,取值为"Logoff"表示下线。

·     登录Post请求必须包含”PtUser”,”PtPwd”和"PtButton"三个属性。

·     下线Post请求必须包含”PtButton”这个属性。

(2)     需要包含登录Post请求的页面有logon.htm和logonFail.htm。

logon.htm页面脚本内容的部分示例:

<form action=logon.cgi method = post >

<p>User name:<input type="text" name = "PtUser" style="width:160px;height:22px" maxlength=64>

<p>Password :<input type="password" name = "PtPwd" style="width:160px;height:22px" maxlength=32>

<p><input type=SUBMIT value="Logon" name = "PtButton" style="width:60px;" onclick="form.action=form.action+location.search;>

</form>

(3)     需要包含下线Post请求的页面有logonSuccess.htm和online.htm。

online.htm页面脚本内容的部分示例:

<form action=logon.cgi method = post >

<p><input type=SUBMIT value="Logoff" name="PtButton" style="width:60px;">

</form>

4. 页面文件压缩及保存规范

·     完成所有认证页面的编辑之后,必须按照标准Zip格式将其压缩到一个Zip文件中,该Zip文件的文件名只能包含字母、数字和下划线。缺省认证页面文件必须以defaultfile.zip为文件名保存。

·     压缩后的Zip文件中必须直接包含认证页面,不允许存在间接目录。

·     压缩生成的Zip文件可以通过FTP或TFTP的方式上传至设备,并保存在设备的指定目录下。缺省认证页面文件必须保存在设备的根目录下,非缺省认证页面文件可以保存在设备根目录下或者根目录的portal目录下。

Zip文件保存目录示例:

<Sysname> dir

Directory of flash:/portal/

   0     -rw-      1405  Feb 28 2008 15:53:31   ssid2.zip

   1     -rw-      1405  Feb 28 2008 15:53:20   ssid1.zip

   2     -rw-      1405  Feb 28 2008 15:53:39   ssid3.zip

   3     -rw-      1405  Feb 28 2008 15:53:44   ssid4.zip

2540 KB total (1319 KB free)

5. 页面文件大小和内容规范

为了方便系统推出自定义的认证页面,认证页面在文件大小和内容上需要有如下限制:

·     每套页面(包括主索引页面文件及其页面元素)压缩后的Zip文件大小不能超过500K字节。

·     每个单独页面(包括单个主索引页面文件及其页面元素)压缩前的文件大小不能超过50K字节。

·     页面元素只能包含HTML、JS、CSS和图片之类的静态内容。

6. 关闭登录成功/在线页面后强制用户下线

用户认证成功后,系统会推出登录成功页面(文件名为logonSuccess.htm),认证通过后再次通过登录页面进行认证操作,系统会推出在线页面(文件名为online.htm)。若希望用户关闭这两个页面的同时,触发设备执行强制当前在线用户下线的操作,就需要按照如下要求在这两个页面文件的脚本文件中增加如下内容。

(1)     添加对JS文件“pt_private.js”的引用;

(2)     添加触发页面卸载的函数“pt_unload()”;

(3)     添加Form的提交事件处理函数“pt_submit()”;

(4)     添加页面加载的初始化函数“pt_init()”。

需要在logonSuccess.htm和online.htm页面脚本中增加的内容如示例中突出显示部分:

    <html>

    <head>

    <script type="text/javascript" language="javascript" src="pt_private.js"></script>

    </head>

    <body onload="pt_init();" onbeforeunload="return pt_unload();">

    ... ...

<form action=logon.cgi method = post onsubmit="pt_submit()">

    ... ...

    </body>

    </html>

7. 认证成功后认证页面自动跳转

若要支持认证成功后自定义认证页面的自动跳转功能,即认证页面会在用户认证成功后自动跳转到设备指定的网站页面,则需要按照如下要求在认证页面logon.htm和logonSuccess.htm的脚本文件中做如下改动。

(1)     将logon.htm文件中的Form的target值设置为“blank”。

修改的脚本内容如下突出显示部分所示:

    <form method=post action=logon.cgi target="blank">

(2)     logonSucceess.htm文件添加页面加载的初始化函数“pt_init()”。

增加的脚本内容如下突出显示部分所示:

    <html>

    <head>

    <title>LogonSuccessed</title>

    <script type="text/javascript" language="javascript" src="pt_private.js"></script>

    </head>

    <body onload="pt_init();" onbeforeunload="return pt_unload();">

    ... ...

    </body>

    </html>

·     推荐使用IE6.0版本以上的浏览器。

·     需要用户浏览器设置为允许弹出窗口,或者将设备的IP地址设置为允许弹出的网站地址。若浏览器禁止弹出窗口,则关闭登录成功或在线页面时会提示用户无法下线,用户可以点击“取消”回到原页面。

·     目前,仅IE浏览器、Firefox浏览器和Safari浏览器支持关闭登录成功/在线页面后的强制用户下线功能,而其它浏览器(例如Chrome浏览器、Opera浏览器等)均不支持该功能。

·     刷新登录成功/在线页面或者使该页面跳转到别的网站上时都会触发强制用户下线事件。

 

1.5.2  配置本地Portal服务器

在本配置任务中,通过指定Portal客户端和本地Portal服务器的之间采用的通信协议(HTTP或HTTPS),接入设备上的本地Portal服务器功能才能生效。

1. 配置准备

由于指定本地Portal服务器支持的协议类型时,本地Portal服务器将同时加载已保存在根目录的缺省认证页面文件,因此若需要使用自定义的缺省认证页面文件,则需要首先完成对它的编辑和保存工作,否则使用系统默认的缺省认证页面。

2. 配置本地Portal服务器

表1-7 配置本地Portal服务器

操作

命令

说明

进入系统视图

system-view

-

配置本地Portal服务器支持的协议类型,并同时加载缺省认证页面文件

portal local-server http

必选

缺省情况下,本地Portal服务器不支持任何协议类型

配置SSID与认证页面文件的绑定

portal local-server bind ssid ssidname&<1-10> file filename

可选

缺省情况下,无任何绑定配置

与SSID绑定的文件必须已经存在,否则绑定配置失败

该命令的支持情况与设备的型号有关,具体情况请参见“安全命令参考”中的“Portal命令”

配置本地Portal服务器缺省认证页面的欢迎信息

portal server banner banner-string

可选

缺省情况下,无Web页面欢迎信息

 

由于无线三层组网模式下的AC(Access Controller,接入控制器)无法获得用户所属的SSID,因此不支持SSID与自定义认证页面文件的绑定功能。关于AC及SSID的相关介绍,请参见“WLAN配置指导”中的“WLAN服务”。

 

1.6  使能Portal认证

只有在接口上使能了Portal认证,对接入用户的Portal认证功能才能生效。

1.6.1  使能二层Portal认证

在使能二层Portal认证之前,需要满足以下要求:

·     已经指定了本地Portal服务器的监听IP地址;

·     未在任何接口上使能三层Portal认证。

表1-8 使能二层Portal认证

操作

命令

说明

进入系统视图

system-view

-

进入二层以太网接口视图

interface interface-type interface-number

-

在端口上使能二层Portal认证

portal local-server enable

必选

缺省情况下,未使能二层Portal认证

 

为使二层端口上的Portal认证功能正常运行,不建议端口上同时使能端口安全、802.1X的Guest VLAN或802.1X的EAD快速部署功能。

 

1.6.2  使能三层Portal认证

在使能三层Portal认证之前,需要满足以下要求:

·     使能Portal的接口已配置或者获取了合法的IP地址;

·     使能Portal的接口未加入聚合组;

·     接口上引用的Portal服务器名已经存在;

·     未在任何端口上使能二层Portal认证。

表1-9 使能三层Portal认证

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

只能是三层接口

在接口上使能三层Portal认证

portal server server-name method { direct | layer3 | redhcp }

必选

缺省情况下,没有使能三层Portal认证

 

·     加入聚合组的三层接口不能使能Portal,反之亦然。

·     在设备的三层接口上可以同时使能直接或可跨三层方式的Portal认证和802.1X认证,且只要用户通过任何一种类型的认证,都可成功接入网络。若在三层接口上同时使能二次地址方式的Portal认证和802.1X认证,Portal认证会失效。关于802.1X的配置介绍请参见“安全配置指导”中的“802.1X”。

·     设备向Portal服务器主动发送报文时使用的目的端口号必须与远程Portal服务器实际使用的端口号保持一致。

·     已配置的Portal服务器及其参数仅在该Portal服务器未被接口引用时才可以被删除或修改。

·     对于跨三层设备支持Portal认证的应用只能配置可跨三层Portal认证方式(portal server server-name method layer3),但可跨三层Portal认证方式不要求接入设备和Portal用户之间必需跨越三层设备。

·     在二次地址分配认证方式下,允许用户在未通过Portal认证时以公网地址向外发送报文,但相应的回应报文则受限制。

 

1.7  控制Portal用户的接入

1.7.1  配置免认证规则

通过配置免认证规则(free-rule)可以让特定的用户不需要通过Portal认证即可访问外网特定资源,这是由免认证规则中配置的源信息以及目的信息决定的。

免认证规则的匹配项包括IP地址、MAC地址、所连接设备的接口和VLAN,只有符合免认证规则的用户报文才不会触发Portal认证,因此这些报文所属的用户才可以直接访问网络资源。

对于二层Portal认证,只能配置从任意源地址(即source any)到任意或指定目的地址的免认证规则。配置了到指定目的地址的免认证规则后,用户不需要通过Portal认证即可访问指定目的网段或地址的网络资源,且用户访问这些资源的HTTP请求不会被重定向到Portal认证页面上。通常,可以将一些提供特定服务器资源(例如软件升级服务器)的IP地址指定为免认证规则的目的IP,便于二层Portal用户在免认证的情况下获取特定的服务资源。

表1-10 配置免认证规则

操作

命令

说明

进入系统视图

system-view

-

配置Portal的免认证规则

portal free-rule rule-number { destination { any | ip { ip-address mask { mask-length | netmask } | any } } | source { any | [ interface interface-type interface-number | ip { ip-address mask { mask-length | mask } | any } | mac mac-address | vlan vlan-id ] * } } *

必选

 

·     如果免认证规则中同时配置了vlaninterface则要求interface属于该VLAN,否则该规则无效。

·     相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复。

·     无论接口上是否使能Portal认证,只能添加或者删除免认证规则,不能修改。

·     加入聚合组的二层接口不能被指定为免认证规则的源接口,反之亦然。

 

1.7.2  配置源认证网段

本特性仅三层Portal认证支持。

 

通过配置源认证网段实现只允许在源认证网段范围内的用户HTTP报文才能触发Portal认证。如果未认证用户的HTTP报文既不满足免认证规则又不在源认证网段内,则将被接入设备丢弃。

表1-11 配置源认证网段

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置源认证网段

portal auth-network network-address { mask-length | mask }

可选

缺省情况下,源认证网段为0.0.0.0/0,表示对来自任意网段的用户都进行Portal认证

 

·     源认证网段配置仅对可跨三层Portal认证有效。直接认证方式的认证网段为任意源IP,二次地址分配方式的认证网段为由接口私网IP决定的私网网段。

·     可通过多次执行本命令,配置多个源认证网段,最多允许配置的源认证网段和目的认证网段总数为16个。

·     如果接口下同时配置了源认证网段和目的认证网段,则源认证网段的配置无效。

 

1.7.3  配置目的认证网段

·     本特性仅三层Portal认证支持。

 

通过配置目的认证网段实现仅要求访问指定目的网段(除免认证规则中指定的目的IP地址或网段)的用户进行Portal认证,其它用户访问外部网络时无需认证。

表1-12 配置目的认证网段

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置目的认证网段

portal auth-network destination network-address { mask-length | mask }

可选

缺省情况下,目的认证网段为0.0.0.0/0,表示对访问任意网段的用户都进行Portal认证

 

·     可通过多次执行本命令,配置多个目的认证网段,最多允许配置的源认证网段和目的认证网段总数为16个。

·     如果接口下同时配置了源认证网段和目的认证网段,则源认证网段的配置无效。

 

1.7.4  配置Portal最大用户数

通过该配置可以控制系统中的Portal接入用户总数。

表1-13 配置Portal最大用户数

操作

命令

说明

进入系统视图

system-view

-

配置Portal最大用户数

portal max-user max-number

必选

缺省情况下,Portal最大用户数的取值请参见命令手册

 

如果配置的Portal最大用户数小于当前已经在线的Portal用户数,则该命令可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户接入。

 

1.7.5  指定Portal用户使用的认证域

通过在指定接口上配置Portal用户使用的认证域,使得所有从该接口接入的Portal用户被强制使用指定的认证域来进行认证、授权和计费。即使Portal用户输入的用户名中携带的域名相同,接入设备的管理员也可以通过该配置对不同接口指定不同的认证域,从而增加了管理员部署Portal接入策略的灵活性。

表1-14 指定Portal用户使用的认证域

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

指定Portal用户使用的认证域

portal domain domain-name

必选

缺省情况下,未指定Portal用户使用的认证域

 

从指定接口上接入的Portal用户将按照如下先后顺序选择认证域:接口上指定的ISP域-->用户名中携带的ISP域-->系统缺省的ISP域。关于缺省ISP域的相关介绍请参见“安全配置指导”中的“AAA”。

 

1.7.6  配置二层Portal认证支持Web代理

对于二层Portal认证,设备默认只允许未配置Web代理服务器的用户浏览器发起的HTTP请求才能触发Portal认证。若用户使用配置了Web代理服务器的浏览器上网,则用户的这类HTTP请求报文将被丢弃,而不能触发Portal认证。这种情况下,网络管理员可以通过在设备上添加Web代理服务器端口号,来允许使用Web代理服务器的用户浏览器发起的HTTP请求也可以触发Portal认证。

表1-15 配置允许触发Portal认证的Web代理服务器端口

配置步骤

命令

说明

进入系统视图

system-view

-

添加允许触发Portal认证的Web代理服务器端口

portal web-proxy port port-number

必选

缺省情况下,不存在允许触发Portal认证的Web代理服务器端口

 

MSR系列路由器各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:

型号

特性

描述

MSR800

配置允许触发Portal认证的Web代理服务器端口

不支持

MSR 900

不支持

MSR900-E

不支持

MSR 930

不支持

MSR 20-1X

不支持

MSR 20

不支持

MSR 30

MIM二层以太网交换模块支持

MSR 30-11E、MSR 30-11F支持

MSR 50

不支持

MSR 2600

不支持

MSR3600-51F

支持

 

·     如果用户浏览器采用WPAD(Web Proxy Auto-Discovery,Web代理服务器自动发现)方式自动配置Web代理,则不仅需要网络管理员在设备上添加Web代理服务器端口,还需要配置免认证规则,允许目的IP为WPAD主机IP地址的用户报文免认证。

·     除了网络管理员需要在设备上添加指定的Web代理服务器端口,还需要用户在浏览器上将设备的本地Portal服务器监听IP地址配置为Web代理服务器的例外地址,避免Portal用户发送给本地Portal服务器的HTTP报文被发送到Web代理服务器上,从而影响正常的Portal认证。

 

1.7.7  配置Portal用户认证端口的自动迁移功能

本特性仅二层Portal认证支持。

 

在用户和设备之间存在Hub、二层交换机或AP的组网环境下,若在线用户在未下线的情况下从同一设备上的当前认证端口离开并迁移到其它使能了二层Portal的认证端口上接入时,由于原端口上仍然存在该用户的认证信息,因此设备默认不允许用户在新端口上认证上线。

开启本功能后,设备允许在线用户离开当前端口后在新端口上上线,具体分为以下两种情况:

·     若原认证端口状态未down,且用户先后接入的两个端口属于同一个VLAN,则用户不需要重新认证就能够继续以在线状态在新的端口上访问网络,并按照新的端口信息继续计费;

·     若原认证端口状态变为down,或者原认证端口状态未down但是两个认证端口所属的VLAN不同,则设备会将用户在原端口上的认证信息删除掉,并要求用户在新端口上重新进行认证。

表1-16 配置Portal用户认证端口的自动迁移功能

配置步骤

命令

说明

进入系统视图

system-view

-

开启Portal用户认证端口的自动迁移功能

portal move-mode auto

必选

缺省情况下,Portal用户认证端口的自动迁移功能处于关闭状态

 

MSR系列路由器各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:

型号

特性

描述

MSR800

配置Portal用户认证端口的自动迁移功能

不支持

MSR 900

不支持

MSR900-E

不支持

MSR 930

不支持

MSR 20-1X

不支持

MSR 20

不支持

MSR 30

MIM二层以太网交换模块支持

MSR 30-11E、MSR 30-11F支持

MSR 50

不支持

MSR 2600

不支持

MSR3600-51F

支持

 

用户迁移到新端口上之后,若设备发现该用户具有授权属性,则设备会尝试在新的端口上添加该用户的授权信息,若授权信息添加失败,设备会删除原端口上的用户信息,要求用户重新进行认证。

 

1.8  配置接口发送RADIUS报文的相关属性

说明

本特性仅三层Portal认证支持。

 

1.8.1  配置接口的NAS-Port-Type

RADIUS标准属性NAS-Port-Type用于表示用户接入的端口类型。当接口上有Portal用户上线时候,若该接口上配置了NAS-Port-Type,则使用本命令配置的值作为向RADIUS服务器发送的RADIUS请求报文的NAS-Port-Type属性值,否则使用接入设备获取到的用户接入的端口类型填充该属性。

若作为Portal认证接入设备的BAS(Broadband Access Server,宽带接入服务器)与Portal客户端之间跨越了多个网络设备,则可能无法正确获取到接入用户的实际端口信息,例如对于Portal认证接入的无线客户端,BAS获取到的接入端口类型有可能是设备上认证该用户的有线接口类型。因此,为保证BAS能够向RADIUS服务器正确传递用户的接入端口信息,需要网络管理员在了解用户的实际接入环境后,通过本命令指定相应的NAS-Port-Type。

表1-17 配置接口的NAS-Port-Type

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置接口的NAS-Port-Type

portal nas-port-type { ethernet | wireless }

必选

缺省情况下,未指定接口的NAS-Port-Type

 

1.8.2  配置接口的NAS-Port-ID

Portal用户进行RADIUS认证时,设备发送给RADIUS服务器的请求请求报文中需要携带NAS-Port-ID属性。该属性值的使用情况与具体的Portal服务器配置相关。

表1-1 配置接口的NAS-Port-ID

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置接口的NAS-Port-ID

portal nas-port-id nas-port-id-value

必选

缺省情况下,未指定接口的NAS-Port-ID,RADIUS请求报文中的NAS-Port-ID属性值为接入设备获取到的Portal用户接入的物理接口信息

 

1.8.3  配置接口的NAS-ID Profile

在某些组网环境下,依靠VLAN来确定用户的接入位置,网络运营商需要使用NAS-Identifier来标识用户的接入位置。当接口上有Portal用户上线时,若该接口上指定了NAS-ID Profile,则接入设备会根据指定的Profile名字和用户接入的VLAN来获取与此VLAN绑定的NAS-ID,此NAS-ID的值将作为向RADIUS服务器发送的RADIUS请求报文中的NAS-Identifier属性值。

本特性中指定的Profile名字用于标识VLAN和NAS-ID的绑定关系,该绑定关系由AAA中的nas-id id-value bind vlan vlan-id命令生成,有关该命令的具体情况请参见“安全命令参考”中的“AAA”。

在接口上未指定NAS-ID Profile或指定的Profile中没有找到匹配的绑定关系的情况下,使用设备名作为接口的NAS-ID。

表1-18 配置接口的NAS-ID Profile

操作

命令

说明

进入系统视图

system-view

-

创建NAS-ID Profile,并进入NAS-ID-Profile视图

aaa nas-id profile profile-name

必选

该命令的具体情况请参见“安全命令参考”中的“AAA”

设置NAS-ID与VLAN的绑定关系

nas-id nas-identifier bind vlan vlan-id

必选

该命令的具体情况请参见“安全命令参考”中的“AAA”

退出当前视图

quit

-

进入接口视图

interface interface-type interface-number

-

指定接口的NAS-ID Profile

portal nas-id-profile profile-name

必选

缺省情况下,未指定NAS-ID Profile

 

1.9  配置接口发送Portal报文使用的源地址

本特性仅三层Portal认证支持。

 

通过在使能Portal的接口上配置发送Portal报文使用的源地址,可以保证接入设备以此IP地址为源地址向Portal服务器发送报文,且Portal服务器向接入设备回应的报文以此IP地址为目的地址。

表1-19 配置接口发送Portal报文使用的源地址

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置接口发送Portal报文使用的源地址

portal nas-ip ip-address

可选

缺省情况下,未指定源地址,即以接入用户的接口地址作为发送Portal报文的源地址

在NAT组网环境下,此地址建议配置为接口的公网IP地址

 

1.10  指定Portal用户认证成功后认证页面的自动跳转目的网站地址

在未认证用户登录到Portal认证页面进行认证的情况下,当用户输入正确的认证信息且认证成功后,若设备上指定了认证页面的自动跳转目的网站地址,则认证成功的用户将在一定的时间间隔(由wait-time参数配置)之后被强制登录到该指定的目的网站页面。

表1-20 指定Portal用户认证成功后认证页面的自动跳转目的URL

配置步骤

命令

说明

进入系统视图

system-view

-

指定Portal用户认证成功后认证页面的自动跳转目的网站地址

portal redirect-url url-string [ wait-time period ]

必选

缺省情况下,用户认证成功后认证页面将会跳转到用户初始访问的网站页面

 

·     对于三层远程Portal认证,该特性需要与支持自动跳转页面功能的iMC Portal服务器配合使用。

·     wait-time参数只对本地Portal认证有效,对于远程Portal认证无效。

·     本地Portal认证时,若用户初始访问的页面URL长度超过255个字符,则在未指定跳转目的网站地址的情况下,用户认证成功之后的认证页面无法返回到初始页面。

 

1.11  配置Portal探测功能

1.11.1  配置二层Portal用户在线检测功能

二层端口上有Portal用户上线后,设备会启动一个用户在线检测定时器,定期对该端口上的所有在线用户的MAC地址表项进行检测,查看定时器超时前该用户是否有报文发送到设备上(该用户MAC地址表项是否被命中过),来确认该用户是否在线,以便及时发现异常离线用户。若发现某用户MAC地址表项已经被老化或检测间隔内未收到过该用户的报文,则认为一次检测失败,连续两次检测失败后,设备会强制该用户下线。

表1-21 配置二层Portal用户在线检测时间间隔

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置二层Portal用户在线检测时间间隔

portal offline-detect interval offline-detect-interval

必选

缺省情况下,二层Portal用户在线检测时间间隔为300秒

 

1.11.2  配置三层Portal用户在线探测功能

说明

本特性仅直接和二次地址分配方式的三层Portal认证支持。

 

在接口上配置Portal用户在线探测功能后,设备会定期向从该接口上线的Portal在线用户发送探测报文(目前支持发送ARP请求),来确认该用户是否在线,以便及时发现异常离线用户。

·     若设备在指定的探测次数之内收到了该Portal用户的响应报文,则认为此用户在线,并通过继续发送探测报文,来持续确认该用户的在线状态。

·     若设备在指定的探测次数之后仍然未收到该Portal用户的响应报文,则认为此用户已经下线,则停止发送探测报文,并删除该用户。

表1-22 配置三层Portal用户在线探测功能

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置三层Portal用户在线探测功能

access-user detect type arp retransmit number interval interval

必选

缺省情况下,未配置三层Portal用户在线探测功能

 

探测报文的发送次数和发送间隔请根据网络的实际情况进行调整。

 

1.11.3  配置Portal服务器探测功能

本特性仅三层Portal认证支持。

 

在Portal认证的过程中,如果接入设备与Portal服务器的通信中断,则会导致新用户无法上线,已经在线的Portal用户无法正常下线的问题。为解决这些问题,需要接入设备能够及时探测到Portal服务器可达状态的变化,并能触发执行相应的操作来应对这种变化带来的影响。例如,当接入设备发现Portal服务器不可达时,可打开网络限制,允许Portal用户不需经过认证即可访问网络资源,也就是通常所说的Portal逃生功能,该功能为一种灵活的用户接入方案。

通过配置本特性,设备可以对指定Portal服务器的可达状态进行探测,具体配置包括如下几项:

(1)     探测方式(可以选择其中一种或同时使用两种)

·     探测HTTP连接:接入设备定期向Portal服务器的HTTP服务端口发起TCP连接,若连接成功建立则表示此服务器的HTTP服务已开启,就认为一次探测成功且服务器可达。若连接失败则认为一次探测失败。

·     探测Portal心跳报文:支持Portal逃生心跳功能的Portal服务器(目前仅iMC支持)会定期向接入设备发送Portal心跳报文,设备通过检测此报文来判断服务器的可达状态:若设备在指定的周期内收到Portal心跳报文或者其它认证报文,且验证其正确,则认为此次探测成功且服务器可达,否则认为此次探测失败。

(2)     探测参数

·     探测间隔:进行探测尝试的时间间隔。

·     失败探测的最大次数:允许连续探测失败的最大次数。若连续探测失败数目达到此值,则认为服务器不可达。

(3)     可达状态改变时触发执行的操作(可以选择其中一种或同时使用多种)

·     发送Trap:Portal服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息。Trap信息中记录了Portal服务器名以及该服务器的当前状态。

·     发送日志:Portal服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal服务器名以及该服务器状态改变前后的状态。

·     打开网络限制(Portal逃生):Portal服务器不可达时,暂时取消端口进行的Portal认证,允许该端口接入的所有Portal用户访问网络资源。之后,若设备收到Portal服务器的心跳报文,或者收到其它认证报文(上线报文、下线报文等),则恢复该端口的Portal认证功能。

对于以上配置项,可根据实际情况进行组合使用,但需要注意以下几点:

·     如果同时指定了两种探测方式,则只要使用任何一种探测方式进行探测的失败次数达到最大值就认为服务器不可达。在服务器不可达状态下,只有使用两种探测方式的探测都成功才能认为服务器恢复为可达状态。

·     如果同时指定了多种操作,则Portal服务器可达状态改变时系统可并发执行多种操作。

·     对指定Portal服务器配置的探测功能,只有接口上使能了Portal认证并引用该Portal服务器之后才能生效。

表1-23 配置Portal服务器探测功能

操作

命令

说明

进入系统视图

system-view

-

配置对Portal服务器的探测功能

portal server server-name server-detect method { http | portal-heartbeat } * action { log | permit-all | trap } * [ interval interval ] [ retry retries ]

必选

缺省情况下,未配置对Portal服务器的探测功能

本命令中指定的Portal服务器必须已经存在

 

只有对于支持Portal逃生心跳功能(目前仅iMC的Portal服务器支持)的Portal服务器,portal-heartbeat类型的探测方法才有效。为了配合此类型的探测,还需要在Portal服务器上选择支持逃生心跳功能,并要求此处的intervalretry参数值的乘积大于等于Portal服务器上的逃生心跳间隔时长,其中interval取值最好大于Portal服务器的逃生间隔时长。

 

1.11.4  配置Portal用户信息同步功能

本特性仅三层Portal认证支持。

 

为了解决接入设备与Portal服务器通信中断后,两者的Portal用户信息不一致问题,设备提供了一种Portal用户信息同步功能。该功能利用了Portal同步报文的发送及检测机制,具体实现如下:

(1)     由Portal服务器周期性地(周期为Portal服务器上指定的用户心跳间隔值)将在线用户信息通过用户同步报文发送给接入设备;

(2)     接入设备检测到该用户同步报文后,将其中携带的用户信息与自己的用户信息进行对比,如果发现同步报文中有设备上不存在的用户信息,则将这些自己没有的用户信息反馈给Portal 服务器,Portal服务器将删除这些用户信息;如果发现接入设备上的某用户信息在连续N(N为retry参数的取值)个周期内,都未在该Portal服务器发送过来的用户同步报文中出现过,则认为Portal服务器上已不存在该用户,设备将强制该用户下线。

表1-24 配置Portal用户同步功能

操作

命令

说明

进入系统视图

system-view

-

配置Portal用户同步功能

portal server server-name user-sync [ interval interval ] [ retry retries ]

必选

缺省情况下,未配置Portal用户同步功能

本命令中指定的Portal服务器必须已经存在

只有在指定的Portal服务器已经在接口上使能的情况下,本功能才能生效

 

·     只有在支持Portal用户心跳功能(目前仅iMC的Portal服务器支持)的Portal服务器的配合下,本功能才有效。为了实现该功能,还需要在Portal服务器上选择支持用户心跳功能,并要求此处的intervalretry参数值的乘积应该大于等于Portal服务器上的用户心跳间隔时长,其中interval取值最好大于Portal服务器的用户心跳间隔时长。

·     对于设备上多余的用户信息,即在N个周期后被判定为Portal服务器上已不存在的用户信息,设备会在第N+1个周期内的某时刻将其删除掉。

 

1.12  强制Portal用户下线

通过配置强制用户下线可以终止对指定IP地址用户的认证过程,或者将已经通过认证的指定IP地址的用户删除。

表1-25 配置强制用户下线

操作

命令

说明

进入系统视图

system-view

-

强制接入设备上的用户下线

portal delete-user { ip-address | all | interface interface-type interface-number }

必选

 

1.13  配置重定向URL携带MAC地址参数

说明

本特性仅三层Portal认证支持。

 

通过以下配置可以指定重定向URL携带MAC地址参数,并指定它在重定向URL中的参数名。各参数的含义如下:

·     user-mac:指定Portal重定向URL中包含用户MAC地址或AP MAC地址。

·     des-encrypt:Portal重定向URL中的用户MAC地址或者AP MAC地址采用DES方式加密。若不指定该参数,则表示明文。

·     param-name para-name:指定Portal重定向URL中包含的MAC地址参数名称。其中,para-name表示MAC地址参数名,为1~20个字符的字符串,区分大小写,且只支持字母和数字。指定的参数和参数名在Portal重定向URL中的格式为"para-name=param-value"。" param-value"即MAC地址。

需要注意的是,重定向URL的具体显示信息与所用的Portal服务器有关,请以实际情况为准。

表1-26 配置重定向URL携带参数(系统视图)

操作

命令

说明

进入系统视图

system-view

-

配置重定向URL携带参数

portal url-param include user-mac [ des-encrypt ] [ param-name param-name ]

必选

缺省情况下,重定向URL不携带参数

 

表1-27 配置重定向URL携带参数(接口视图)

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置重定向URL携带参数

portal url-param include user-mac [ des-encrypt ] [ param-name param-name ]

必选

缺省情况下,重定向URL不携带参数

 

 

1.14  配置强推页面功能

通过在接口上配置强推页面功能,可以实现该接口上的接入用户在首次进行Web访问时被强制访问指定网页的功能,即该用户的Web访问请求被重定向到指定的URL,之后用户可以正常访问网络资源。在固定时间间隔后,若该用户重新发起Web访问请求,则再次推出指定页面。

该特性可为酒店或者网络运营商提供对用户进行周期性推出广告页面的类似功能。与普通Portal不同的是,该特性不要求接口上接入的用户进行认证,因此也无需其它认证方面的部署来配合。

表1-28 配置强推页面功能

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置强推页面功能

web-redirect url url-string [ interval interval ]

必选

缺省情况下,未配置强推页面功能

 

目前,若接口上使能了Portal功能,则强推页面功能不能生效,建议二者不要同时配置使用。

 

1.15  Portal显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后Portal的运行情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除Portal统计信息。

表1-29 Portal显示和维护

操作

命令

显示接口上Portal的ACL信息

display portal acl { all | dynamic | static } interface interface-type interface-number [ | { begin | exclude | include } regular-expression ]

显示接口上Portal的连接统计信息

display portal connection statistics { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ]

显示Portal的免认证规则信息

display portal free-rule [ rule-number ] [ | { begin | exclude | include } regular-expression ]

显示指定接口的Portal配置信息

display portal interface interface-type interface-number [ | { begin | exclude | include } regular-expression ]

显示本地Portal服务器信息

display portal local-server [ | { begin | exclude | include } regular-expression ]

显示Portal服务器信息

display portal server [ server-name ] [ | { begin | exclude | include } regular-expression ]

显示接口上Portal服务器的统计信息

display portal server statistics { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ]

显示TCP仿冒统计信息

display portal tcp-cheat statistics [ | { begin | exclude | include } regular-expression ]

显示Portal用户的信息

display portal user { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ]

清除接口上Portal的连接统计信息

reset portal connection statistics {all | interface interface-type interface-number }

清除接口上Portal服务器的统计信息

reset portal server statistics { all | interface interface-type interface-number }

清除TCP仿冒统计信息

reset portal tcp-cheat statistics

 

1.16  Portal典型配置举例

1.16.1  Portal直接认证配置举例

1. 组网需求

·     用户主机与接入设备Router直接相连,采用直接方式的Portal认证。用户通过手工配置或DHCP获取的一个公网IP地址进行认证,在通过Portal认证前,只能访问Portal服务器;在通过Portal认证后,可以使用此IP地址访问非受限的互联网资源。

·     采用RADIUS服务器作为认证/计费服务器。

2. 组网图

图1-10 配置Portal直接认证组网图

 

3. 配置步骤

·     按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。

·     完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。

 

(1)     配置Portal server(iMC PLAT 3.20)

下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2602P13、iMC UAM 3.60-E6301),说明Portal server的基本配置。

 

# 配置Portal服务器。

登录进入iMC管理平台,选择“业务”页签,单击导航树中的[Portal服务器管理/服务器配置]菜单项,进入服务器配置页面。

·     根据实际组网情况调整以下参数,本例中使用缺省配置。

图1-11 Portal服务器配置页面

 

# 配置IP地址组。

单击导航树中的[Portal服务器管理/IP地址组配置]菜单项,进入Portal IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。

·     填写IP地址组名;

·     输入起始地址和终止地址。用户主机IP地址必须包含在该IP地址组范围内;

·     选择业务分组,本例中使用缺省的“未分组”;

·     选择IP地址组的类型为“普通”。

图1-12 增加IP地址组配置页面

 

# 增加Portal设备。

单击导航树中的[Portal服务器管理/设备配置]菜单项,进入Portal设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。

·     填写设备名;

·     指定IP地址为与接入用户相连的设备接口IP;

·     输入密钥,与接入设备Router上的配置保持一致;

·     选择是否进行二次地址分配,本例中为直接认证,因此为否;

·     选择是否支持逃生心跳功能和用户心跳功能,本例中不支持。

图1-13 增加设备信息配置页面

 

# Portal设备关联IP地址组

在Portal设备配置页面中的设备信息列表中,点击NAS设备的<端口组信息管理>链接,进入端口组信息配置页面。

图1-14 设备信息列表

 

在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。

·     填写端口组名;

·     选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组;

·     其它参数采用缺省值。

图1-15 增加端口组信息配置页面

 

# 最后单击导航树中的[业务参数配置/系统配置手工生效]菜单项,使以上Portal服务器配置生效。

(2)     配置Portal server(iMC PLAT 5.0)

说明

下面以iMC为例(使用iMC版本为:iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)),说明Portal server的基本配置。

 

# 配置Portal服务器。

登录进入iMC管理平台,选择“业务”页签,单击导航树中的[Portal服务器管理/服务器配置]菜单项,进入服务器配置页面。

·     根据实际组网情况调整以下参数,本例中使用缺省配置。

图1-1 Portal服务器配置页面

 

# 配置IP地址组。

单击导航树中的[Portal服务器管理/IP地址组配置]菜单项,进入Portal IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。

·     填写IP地址组名;

·     输入起始地址和终止地址。用户主机IP地址必须包含在该IP地址组范围内;

·     选择业务分组,本例中使用缺省的“未分组”;

·     选择IP地址组的类型为“普通”。

图1-2 增加IP地址组配置页面

 

# 增加Portal设备。

单击导航树中的[Portal服务器管理/设备配置]菜单项,进入Portal设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。

·     填写设备名;

·     指定IP地址为与接入用户相连的设备接口IP;

·     输入密钥,与接入设备Router上的配置保持一致;

·     选择是否进行二次地址分配,本例中为直接认证,因此为否;

·     选择是否支持逃生心跳功能和用户心跳功能,本例中不支持。

图1-3 增加设备信息配置页面

 

# Portal设备关联IP地址组

在Portal设备配置页面中的设备信息列表中,点击NAS设备的<端口组信息管理>链接,进入端口组信息配置页面。

图1-4 设备信息列表

 

在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。

·     填写端口组名;

·     选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组;

·     其它参数采用缺省值。

图1-5 增加端口组信息配置页面

 

# 最后单击导航树中的[业务参数配置/系统配置手工生效]菜单项,使以上Portal服务器配置生效。

(3)     配置Router

·     配置RADIUS方案

# 创建名字为rs1的RADIUS方案并进入该方案视图。

<Router> system-view

[Router] radius scheme rs1

# 配置RADIUS方案的服务器类型。使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended

[Router-radius-rs1] server-type extended

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[Router-radius-rs1] primary authentication 192.168.0.112

[Router-radius-rs1] primary accounting 192.168.0.112

[Router-radius-rs1] key authentication radius

[Router-radius-rs1] key accounting radius

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[Router-radius-rs1] user-name-format without-domain

[Router-radius-rs1] quit

·     配置认证域

# 创建并进入名字为dm1的ISP域。

[Router] domain dm1

# 配置ISP域使用的RADIUS方案rs1。

[Router-isp-dm1] authentication portal radius-scheme rs1

[Router-isp-dm1] authorization portal radius-scheme rs1

[Router-isp-dm1] accounting portal radius-scheme rs1

[Router-isp-dm1] quit

# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方式。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案。

[Router] domain default enable dm1

·     配置Portal认证

# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为明文portal,端口为50100,URL为http://192.168.0.111:8080/portal。(Portal服务器的URL请与实际环境中的Portal服务器配置保持一致,此处仅为示例)

[Router] portal server newpt ip 192.168.0.111 key simple portal port 50100 url http://192.168.0.111:8080/portal

# 在与用户Host相连的接口上使能Portal认证。

[Router] interface ethernet 1/2

[Router–Ethernet1/2] portal server newpt method direct

[Router–Ethernet1/2] quit

4. 验证配置结果

以上配置完成后,通过执行以下显示命令可查看Portal配置是否生效。

[Router] display portal interface ethernet 1/2

Portal configuration of Ethernet 1/2

 IPv4:

     Status: Portal running

     Portal server: newpt

     Portal backup-group: None

     Authentication type: Direct

     Authentication domain:

     Authentication network:

用户既可以使用H3C的iNode客户端,也可以通过网页方式进行Portal认证。用户在通过认证前,只能访问认证页面http://192.168.0.111:8080/portal,且发起的Web访问均被重定向到该认证页面,在通过认证后,可访问非受限的互联网资源。

认证通过后,可通过执行以下显示命令查看Router上生成的Portal在线用户信息。

[Router] display portal user interface ethernet 1/2

 Index:19

 State:ONLINE

 SubState:NONE

 ACL:NONE

 Work-mode:stand-alone

 MAC              IP                Vlan   Interface

 ---------------------------------------------------------------------

 0015-e9a6-7cfe   2.2.2.2           0      Ethernet1/2

 On interface Ethernet1/2:total 1 user(s) matched, 1 listed.

1.16.2  Portal二次地址分配认证配置举例

1. 组网需求

·     用户主机与接入设备Router直接相连,采用二次地址分配方式的Portal认证。用户通过DHCP服务器获取IP地址,Portal认证前使用分配的一个私网地址;通过Portal认证后,用户申请到一个公网地址,才可以访问非受限互联网资源。

·     采用RADIUS服务器作为认证/计费服务器。

2. 组网图

图1-16 配置Portal二次地址分配认证组网图

 

3. 配置步骤

·     Portal二次地址分配认证方式应用中,DHCP服务器上需创建公网地址池(20.20.20.0/24)及私网地址池(10.0.0.0/24),具体配置略。

·     Portal二次地址分配认证方式应用中,接入设备需要配置为DHCP中继来配合Portal认证,且启动Portal的接口需要配置主IP地址(公网IP)及从IP地址(私网IP)。关于DHCP中继的详细配置请参见“三层技术-IP业务配置指导”中的“DHCP中继”。

·     请保证在Portal服务器上添加的Portal设备的IP地址为与用户相连的接口的公网IP地址(20.20.20.1),且与该Portal设备关联的IP地址组中的转换前地址为用户所在的私网网段(10.0.0.0/24)、转换后地址为公网网段(20.20.20.0/24)。

·     按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。

·     完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。

 

在Router上进行以下配置。

(1)     配置RADIUS方案

# 创建名字为rs1的RADIUS方案并进入该方案视图。

<Router> system-view

[Router] radius scheme rs1

# 配置RADIUS方案的服务器类型。使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended

[Router-radius-rs1] server-type extended

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[Router-radius-rs1] primary authentication 192.168.0.113

[Router-radius-rs1] primary accounting 192.168.0.113

[Router-radius-rs1] key authentication radius

[Router-radius-rs1] key accounting radius

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[Router-radius-rs1] user-name-format without-domain

[Router-radius-rs1] quit

(2)     配置认证域

# 创建并进入名字为dm1的ISP域。

[Router] domain dm1

# 配置ISP域的RADIUS方案rs1。

[Router-isp-dm1] authentication portal radius-scheme rs1

[Router-isp-dm1] authorization portal radius-scheme rs1

[Router-isp-dm1] accounting portal radius-scheme rs1

[Router-isp-dm1] quit

# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方式。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案。

[Router] domain default enable dm1

(3)     配置Portal认证

# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为明文portal,端口为50100,URL为http://192.168.0.111:8080/portal(请根据Portal服务器的实际情况配置,此处仅为示例)。

[Router] portal server newpt ip 192.168.0.111 key simple portal port 50100 url http://192.168.0.111:8080/portal

# 配置DHCP中继,并启动DHCP中继的安全地址匹配检查功能。

[Router] dhcp enable

[Router] dhcp relay server-group 0 ip 192.168.0.112

[Router] interface ethernet 1/2

[Router–Ethernet1/2] ip address 20.20.20.1 255.255.255.0

[Router–Ethernet1/2] ip address 10.0.0.1 255.255.255.0 sub

[Router-Ethernet1/2] dhcp select relay

[Router-Ethernet1/2] dhcp relay server-select 0

[Router-Ethernet1/2] dhcp relay address-check enable

# 在与用户Host相连的接口上使能Portal认证。

[Router–Ethernet1/2] portal server newpt method redhcp

[Router–Ethernet1/2] quit

1.16.3  可跨三层Portal认证配置举例

1. 组网需求

Router A支持Portal认证功能。用户Host通过Router B接入到Router A。

·     配置Router A采用可跨三层Portal认证。用户在未通过Portal认证前,只能访问Portal服务器;用户通过Portal认证后,可以访问非受限互联网资源。

·     采用RADIUS服务器作为认证/计费服务器。

2. 组网图

图1-17 配置可跨三层Portal认证组网图

 

3. 配置步骤

·     请保证在Portal服务器上添加的Portal设备的IP地址为与用户相连的接口IP地址(20.20.20.1),且与该Portal设备关联的IP地址组为用户所在网段(8.8.8.0/24)。

·     按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。

·     完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。

 

在Router A上进行以下配置。

(1)     配置RADIUS方案

# 创建名字为rs1的RADIUS方案并进入该方案视图。

<RouterA> system-view

[RouterA] radius scheme rs1

# 配置RADIUS方案的服务器类型。使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended

[RouterA-radius-rs1] server-type extended

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[RouterA-radius-rs1] primary authentication 192.168.0.112

[RouterA-radius-rs1] primary accounting 192.168.0.112

[RouterA-radius-rs1] key authentication radius

[RouterA-radius-rs1] key accounting radius

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[RouterA-radius-rs1] user-name-format without-domain

[RouterA-radius-rs1] quit

(2)     配置认证域

# 创建并进入名字为dm1的ISP域。

[RouterA] domain dm1

# 配置ISP域的RADIUS方案rs1。

[RouterA-isp-dm1] authentication portal radius-scheme rs1

[RouterA-isp-dm1] authorization portal radius-scheme rs1

[RouterA-isp-dm1] accounting portal radius-scheme rs1

[RouterA-isp-dm1] quit

# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方式。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案。

[Router] domain default enable dm1

(3)     配置Portal认证

# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为portal,端口为50100,URL为http://192.168.0.111:8080/portal(请根据Portal服务器的实际情况配置,此处仅为示例)。

[RouterA] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal

# 在与Router B相连的接口上使能Portal认证。

[RouterA] interface ethernet 1/2

[RouterA–Ethernet1/2] portal server newpt method layer3

[RouterA–Ethernet1/2] quit

Router B上需要配置到192.168.0.0/24网段的缺省路由,下一跳为20.20.20.1,具体配置略。

1.16.4  Portal直接认证扩展功能配置举例

1. 组网需求

·     用户主机与接入设备Router直接相连,采用直接方式的Portal认证。用户通过手工配置或DHCP获取的一个公网IP地址进行认证,在通过身份认证而没有通过安全认证时可以访问192.168.0.0/24网段;在通过安全认证后,可以使用此IP地址访问非受限互联网资源。

·     采用RADIUS服务器作为认证/计费服务器。

2. 组网图

图1-18 配置Portal直接认证扩展功能组网图

 

3. 配置步骤

·     按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。

·     完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。

 

在Router上进行以下配置。

(1)     配置RADIUS方案

# 创建名字为rs1的RADIUS方案并进入该方案视图。

<Router> system-view

[Router] radius scheme rs1

# 配置RADIUS方案的服务器类型。使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended

[Router-radius-rs1] server-type extended

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[Router-radius-rs1] primary authentication 192.168.0.112

[Router-radius-rs1] primary accounting 192.168.0.112

[Router-radius-rs1] key accounting simple radius

[Router-radius-rs1] key authentication simple radius

[Router-radius-rs1] user-name-format without-domain

# 配置RADIUS方案的安全策略服务器IP。

[Router-radius-rs1] security-policy-server 192.168.0.113

[Router-radius-rs1] quit

(2)     配置认证域

# 创建并进入名字为dm1的ISP域。

[Router] domain dm1

# 配置ISP域的RADIUS方案rs1。

[Router-isp-dm1] authentication portal radius-scheme rs1

[Router-isp-dm1] authorization portal radius-scheme rs1

[Router-isp-dm1] accounting portal radius-scheme rs1

[Router-isp-dm1] quit

# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方式。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案。

[Router] domain default enable dm1

(3)     配置受限资源对应的ACL为3000,非受限资源对应的ACL为3001

安全策略服务器上需要将ACL 3000和ACL 3001分别指定为隔离ACL和安全ACL。

 

[Router] acl number 3000

[Router-acl-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255

[Router-acl-adv-3000] rule deny ip

[Router-acl-adv-3000] quit

[Router] acl number 3001

[Router-acl-adv-3001] rule permit ip

[Router-acl-adv-3001] quit

(4)     配置Portal认证

# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为明文portal,端口为50100,URL为http://192.168.0.111:8080/portal(请根据Portal服务器的实际情况配置,此处仅为示例)。

[Router] portal server newpt ip 192.168.0.111 key simple portal port 50100 url http://192.168.0.111:8080/portal

# 在与用户Host相连的接口上使能Portal认证。

[Router] interface ethernet 1/2

[Router–Ethernet1/2] portal server newpt method direct

[Router–Ethernet1/2] quit

1.16.5  Portal二次地址分配认证扩展功能配置举例

1. 组网需求

·     用户主机与接入设备Router直接相连,采用二次地址分配方式的Portal认证。用户通过DHCP服务器获取IP地址,Portal认证前使用分配的一个私网地址;通过Portal认证后,用户申请到一个公网地址。

·     用户在通过身份认证而没有通过安全认证时可以访问192.168.0.0/24网段;在通过安全认证后,可以访问非受限互联网资源。

·     采用RADIUS服务器作为认证/计费服务器。

2. 组网图

图1-19 配置Portal二次地址分配认证扩展功能组网图

 

3. 配置步骤

·     Portal二次地址分配认证方式应用中,DHCP服务器上需创建公网地址池(20.20.20.0/24)及私网地址池(10.0.0.0/24),具体配置略。

·     Portal二次地址分配认证方式应用中,接入设备需要配置为DHCP中继来配合Portal认证,且启动Portal的接口需要配置主IP地址(公网IP)及从IP地址(私网IP)。关于DHCP中继的详细配置请参见“三层技术-IP业务配置指导”中的“DHCP中继”。

·     请保证在Portal服务器上添加的Portal设备的IP地址为与用户相连的接口的公网IP地址(20.20.20.1),且与该Portal设备关联的IP地址组中的转换前地址为用户所在的私网网段(10.0.0.0/24)、转换后地址为公网网段(20.20.20.0/24)。

·     按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。

·     完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。

 

在Router上进行以下配置。

(1)     配置RADIUS方案

# 创建名字为rs1的RADIUS方案并进入该方案视图。

<Router> system-view

[Router] radius scheme rs1

# 配置RADIUS方案的服务器类型。使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended

[Router-radius-rs1] server-type extended

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[Router-radius-rs1] primary authentication 192.168.0.113

[Router-radius-rs1] primary accounting 192.168.0.113

[Router-radius-rs1] key authentication simple radius

[Router-radius-rs1] key accounting simple radius

[Router-radius-rs1] user-name-format without-domain

# 配置RADIUS方案的安全策略服务器IP。

[Router-radius-rs1] security-policy-server 192.168.0.114

[Router-radius-rs1] quit

(2)     配置认证域

# 创建并进入名字为dm1的ISP域。

[Router] domain dm1

# 配置ISP域的RADIUS方案rs1。

[Router-isp-dm1] authentication portal radius-scheme rs1

[Router-isp-dm1] authorization portal radius-scheme rs1

[Router-isp-dm1] accounting portal radius-scheme rs1

[Router-isp-dm1] quit

# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方式。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案。

[Router] domain default enable dm1

(3)     配置受限资源对应的ACL为3000,非受限资源对应的ACL为3001

安全策略服务器上需要将ACL 3000和ACL 3001分别指定为隔离ACL和安全ACL。

 

[Router] acl number 3000

[Router-acl-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255

[Router-acl-adv-3000] rule deny ip

[Router-acl-adv-3000] quit

[Router] acl number 3001

[Router-acl-adv-3001] rule permit ip

[Router-acl-adv-3001] quit

(4)     配置Portal认证

# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为明文portal,端口为50100,URL为http://192.168.0.111:8080/portal(请根据Portal服务器的实际情况配置,此处仅为示例)。

[Router] portal server newpt ip 192.168.0.111 key simple portal port 50100 url http://192.168.0.111:8080/portal

# 配置DHCP中继,并启动DHCP中继的安全地址匹配检查功能。

[Router] dhcp enable

[Router] dhcp relay server-group 0 ip 192.168.0.112

[Router] interface ethernet 1/2

[Router–Ethernet1/2] ip address 20.20.20.1 255.255.255.0

[Router–Ethernet1/2] ip address 10.0.0.1 255.255.255.0 sub

[Router-Ethernet1/2] dhcp select relay

[Router-Ethernet1/2] dhcp relay server-select 0

[Router-Ethernet1/2] dhcp relay address-check enable

# 在与用户Host相连的接口上使能Portal认证。

[Router–Ethernet1/2] portal server newpt method redhcp

[Router–Ethernet1/2] quit

1.16.6  可跨三层Portal认证扩展功能配置举例

1. 组网需求

Router A支持Portal认证功能。用户Host通过Router B接入到Router A。

·     配置Router A采用可跨三层Portal认证。用户在通过身份认证而没有通过安全认证时可以访问192.168.0.0/24网段;在通过安全认证后,可以访问非受限互联网资源。

·     采用RADIUS服务器作为认证/计费服务器。

2. 组网图

图1-20 配置可跨三层Portal认证扩展功能组网图

 

3. 配置步骤

·     请保证在Portal服务器上添加的Portal设备的IP地址为与用户相连的接口IP地址(20.20.20.1),且与该Portal设备关联的IP地址组为用户所在网段(8.8.8.0/24)。

·     按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。

·     完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。

 

在Router A上进行以下配置。

(1)     配置RADIUS方案

# 创建名字为rs1的RADIUS方案并进入该方案视图。

<RouterA> system-view

[RouterA] radius scheme rs1

# 配置RADIUS方案的服务器类型。使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended

[RouterA-radius-rs1] server-type extended

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[RouterA-radius-rs1] primary authentication 192.168.0.112

[RouterA-radius-rs1] primary accounting 192.168.0.112

[RouterA-radius-rs1] key authentication simple radius

[RouterA-radius-rs1] key accounting simple radius

[RouterA-radius-rs1] user-name-format without-domain

# 配置RADIUS方案的安全策略服务器IP。

[RouterA-radius-rs1] security-policy-server 192.168.0.113

[RouterA-radius-rs1] quit

(2)     配置认证域

# 创建并进入名字为dm1的ISP域。

[RouterA] domain dm1

# 配置ISP域的RADIUS方案rs1。

[RouterA-isp-dm1] authentication portal radius-scheme rs1

[RouterA-isp-dm1] authorization portal radius-scheme rs1

[RouterA-isp-dm1] accounting portal radius-scheme rs1

[RouterA-isp-dm1] quit

# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方式。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案。

[RouterA] domain default enable dm1

(3)     配置受限资源对应的ACL为3000,非受限资源对应的ACL为3001

安全策略服务器上需要将ACL 3000和ACL 3001分别指定为隔离ACL和安全ACL。

 

[RouterA] acl number 3000

[RouterA-acl-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255

[RouterA-acl-adv-3000] rule deny ip

[RouterA-acl-adv-3000] quit

[RouterA] acl number 3001

[RouterA-acl-adv-3001] rule permit ip

[RouterA-acl-adv-3001] quit

(4)     配置Portal认证

# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为明文portal,端口为50100,URL为http://192.168.0.111:8080/portal(请根据Portal服务器的实际情况配置,此处仅为示例)。

[RouterA] portal server newpt ip 192.168.0.111 key simple portal port 50100 url http://192.168.0.111:8080/portal

# 在与Router B相连的接口上使能Portal认证。

[RouterA] interface ethernet 1/2

[RouterA–Ethernet1/2] portal server newpt method layer3

[RouterA–Ethernet1/2] quit

Router B上需要配置到192.168.0.0/24网段的缺省路由,下一跳为20.20.20.1,具体配置略。

1.16.7  Portal服务器探测和用户同步功能配置举例

1. 组网需求

用户主机与接入设备Router直接相连,通过Portal认证接入网络,并采用RADIUS服务器作为认证/计费服务器。

具体要求如下:

·     用户通过手工配置或DHCP获取的一个公网IP地址进行认证,在通过Portal认证前,只能访问Portal服务器;在通过Portal认证后,可以使用此IP地址访问非受限的互联网资源。

·     接入设备能够探测到Portal服务器是否可达,并输出可达状态变化的Trap信息,在服务器不可达时(例如,网络连接中断、网络设备故障或服务器无法正常提供服务等情况),取消Portal认证,使得用户仍然可以正常访问网络。

·     接入设备能够与服务器定期进行用户信息的同步。

2. 组网图

图1-21 Portal服务器探测和用户同步功能配置组网图

 

3. 配置思路

(1)     配置Portal服务器,并启动逃生心跳功能和用户心跳功能;

(2)     配置RADIUS服务器,实现正常的认证及计费功能;

(3)     接入设备通过接口Ethernet1/2与用户主机直接相连,在该接口上配置直接方式的Portal认证;

(4)     接入设备上配置Portal服务器探测功能,在与Portal服务器的逃生心跳功能的配合下,对Portal服务器的可达状态进行探测;

(5)     接入设备上配置Portal用户同步功能,在与Portal服务器的用户心跳功能的配合下,与Portal服务器上的用户信息进行同步。

4. 配置步骤

·     按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。

·     完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。

 

(1)     配置Portal服务器(iMC PLAT 3.20)

下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2606P13、iMC UAM 3.60-E6301),说明Portal server的相关配置。

 

# 配置Portal服务器。

登录进入iMC管理平台,选择“业务”页签,单击导航树中的[Portal服务器管理/服务器配置]菜单项,进入服务器配置页面。

·     配置逃生心跳间隔时长及用户心跳间隔时长;

·     其它参数使用缺省配置。

图1-22 Portal服务器配置页面

 

# 配置IP地址组。

单击导航树中的[Portal服务器管理/IP地址组配置]菜单项,进入Portal IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。

·     填写IP地址组名;

·     输入起始地址和终止地址。用户主机IP地址必须包含在该IP地址组范围内;

·     选择业务分组,本例中使用缺省的“未分组”;

·     选择IP地址组的类型为“普通”。

图1-23 增加IP地址组配置页面

 

# 增加Portal设备。

单击导航树中的[Portal服务器管理/设备配置]菜单项,进入Portal设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。

·     填写设备名;

·     指定IP地址为与接入用户相连的设备接口IP;

·     输入密钥,与接入设备Router上的配置保持一致;

·     选择是否进行二次地址分配,本例中为直接认证,因此为否;

·     选择支持逃生心跳功能和用户心跳功能。

图1-24 增加设备信息配置页面

 

# Portal设备关联IP地址组

在Portal设备配置页面中的设备信息列表中,点击NAS设备的<端口组信息管理>链接,进入端口组信息配置页面。

图1-25 设备信息列表

 

在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。

·     填写端口组名;

·     选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组;

·     其它参数采用缺省值。

图1-26 增加端口组信息配置页面

 

# 最后单击导航树中的[业务参数配置/系统配置手工生效]菜单项,使以上Portal服务器配置生效。

(2)     配置Portal服务器(iMC PLAT 5.0)

说明

下面以iMC为例(使用iMC版本为:iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)),说明Portal server的基本配置。

 

# 配置Portal服务器。

登录进入iMC管理平台,选择“业务”页签,单击导航树中的[Portal服务器管理/服务器配置]菜单项,进入服务器配置页面。

·     配置逃生心跳间隔时长及用户心跳间隔时长;

·     其它参数使用缺省配置。

图1-6 Portal服务器配置页面

 

# 配置IP地址组。

单击导航树中的[Portal服务器管理/IP地址组配置]菜单项,进入Portal IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。

·     填写IP地址组名;

·     输入起始地址和终止地址。用户主机IP地址必须包含在该IP地址组范围内;

·     选择业务分组,本例中使用缺省的“未分组”;

·     选择IP地址组的类型为“普通”。

图1-7 增加IP地址组配置页面

 

# 增加Portal设备。

单击导航树中的[Portal服务器管理/设备配置]菜单项,进入Portal设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。

·     填写设备名;

·     指定IP地址为与接入用户相连的设备接口IP;

·     输入密钥,与接入设备Router上的配置保持一致;

·     选择是否进行二次地址分配,本例中为直接认证,因此为否;

·     选择支持逃生心跳功能和用户心跳功能。

图1-8 增加设备信息配置页面

 

# Portal设备关联IP地址组

在Portal设备配置页面中的设备信息列表中,点击NAS设备的<端口组信息管理>链接,进入端口组信息配置页面。

图1-9 设备信息列表

 

在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。

·     填写端口组名;

·     选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组;

·     其它参数采用缺省值。

图1-10 增加端口组信息配置页面

 

# 最后单击导航树中的[业务参数配置/系统配置手工生效]菜单项,使以上Portal服务器配置生效。

(3)     配置Router

·     配置RADIUS方案

# 创建名字为rs1的RADIUS方案并进入该方案视图。

<Router> system-view

[Router] radius scheme rs1

# 配置RADIUS方案的服务器类型。使用iMC服务器时,RADIUS服务器类型应选择extended

[Router-radius-rs1] server-type extended

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[Router-radius-rs1] primary authentication 192.168.0.112

[Router-radius-rs1] primary accounting 192.168.0.112

[Router-radius-rs1] key authentication simple radius

[Router-radius-rs1] key accounting simple radius

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[Router-radius-rs1] user-name-format without-domain

[Router-radius-rs1] quit

·     配置认证域

# 创建并进入名字为dm1的ISP域。

[Router] domain dm1

# 配置ISP域的RADIUS方案rs1。

[Router-isp-dm1] authentication portal radius-scheme rs1

[Router-isp-dm1] authorization portal radius-scheme rs1

[Router-isp-dm1] accounting portal radius-scheme rs1

[Router-isp-dm1] quit

# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方式。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案。

[Router] domain default enable dm1

·     使能Portal认证

# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为明文portal,端口为50100,URL为http://192.168.0.111:8080/portal。(Portal服务器的URL请与实际环境中的Portal服务器配置保持一致,此处仅为示例)

[Router] portal server newpt ip 192.168.0.111 key simple portal port 50100 url http://192.168.0.111:8080/portal

# 在与用户Host相连的接口上使能Portal认证。

[Router] interface ethernet 1/2

[Router–Ethernet1/2] portal server newpt method direct

[Router–Ethernet1/2] quit

·     配置Portal服务器探测功能

# 配置对Portal服务器newpt的探测功能:探测方式为探测Portal心跳报文,每次探测间隔时间为40秒,若连续二次探测均失败,则发送服务器不可达的Trap信息,并打开网络限制,允许未认证用户访问网络。

[Router] portal server newpt server-detect method portal-heartbeat action trap permit-all interval 40 retry 2

此处interval与retry的乘积应该大于等于Portal服务器的逃生心跳间隔时长,且推荐interval取值大于Portal服务器的逃生心跳间隔时长。

 

·     配置Portal用户信息同步功能

# 配置对Portal服务器newpt的Portal用户同步功能,检测用户同步报文的时间间隔为600秒,如果设备中的某用户信息在连续两个探测周期内都未在该Portal服务器发送的同步报文中出现,设备将强制该用户下线。

[Router] portal server newpt user-sync interval 600 retry 2

此处interval与retry的乘积应该大于等于Portal服务器上的用户心跳间隔时长,且推荐interval取值大于Portal服务器的用户心跳间隔时长。

 

5. 验证配置结果

以上配置完成后,可以通过执行以下命令查看到Portal服务器的状态为Up,说明当前Portal服务器可达。

<Router> display portal server newpt

 Portal server:

  1)newpt:

      IP   : 192.168.0.111

      Key  : ******

      Port : 50100

      URL  : http://192.168.0.111:8080/portal

   Status  : Up

之后,若接入设备探测到Portal服务器不可达了,可通过以上显示命令查看到Portal服务器的状态为Down,同时,设备会输出表示服务器不可达的Trap信息“portal server newpt lost”,并取消对该接口接入的用户的Portal认证,使得用户可以直接访问外部网络。

1.16.8  可跨三层Portal认证支持多实例配置举例

1. 组网需求

连接客户端的PE设备Rourer A对私网VPN 1中的用户Host进行Portal接入认证,RADIUS服务器和Portal服务器位于私网VPN 3中。

·     配置Rourer A采用可跨三层Portal认证。用户在通过身份认证后,可以访问非受限网络资源。

·     RADIUS服务器和Portal服务器由同一台服务器承担。

2. 组网图

图1-27 配置可跨三层Portal认证支持多实例组网图

 

3. 配置步骤

·     启动Portal之前,需要首先配置MPLS L3VPN功能,通过为VPN 1和VPN 3指定匹配的VPN Target,确保VPN 1和VPN 3可以互通。本例仅介绍连接客户端的PE上接入认证的相关配置,其它配置请参考“MPLS配置指导”中的“MPLS L3VPN”。

·     完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。

 

在Router A上进行以下配置。

(1)     配置RADIUS方案

# 创建名字为rs1的RADIUS方案并进入该方案视图。

<RouterA> system-view

[RouterA] radius scheme rs1

# 配置RADIUS方案所属的VPN实例为vpn3。

[RouterA-radius-rs1] vpn-instance vpn3

# 配置RADIUS方案的服务器类型。使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended

[RouterA-radius-rs1] server-type extended

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[RouterA-radius-rs1] primary authentication 192.168.0.111

[RouterA-radius-rs1] primary accounting 192.168.0.111

[RouterA-radius-rs1] key accounting simple radius

[RouterA-radius-rs1] key authentication simple radius

# 配置向RADIUS服务器发送的用户名不携带域名。

[RouterA-radius-rs1] user-name-format without-domain

# 配置发送RADIUS报文使用的源地址为3.3.0.3。

[RouterA-radius-rs1] nas-ip 3.3.0.3

[RouterA-radius-rs1] quit

建议通过命令nas-ip指定设备发送RADIUS报文的源地址,并与服务器上指定的接入设备IP保持一致,避免未指定源地址的情况下,设备选择的源地址与服务器上指定的接入设备IP不一致,而造成认证失败。

 

(2)     配置认证域

# 创建并进入名字为dm1的ISP域。

[RouterA] domain dm1

# 配置ISP域的RADIUS方案rs1。

[RouterA-isp-dm1] authentication portal radius-scheme rs1

[RouterA-isp-dm1] authorization portal radius-scheme rs1

[RouterA-isp-dm1] accounting portal radius-scheme rs1

[RouterA-isp-dm1] quit

# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方式。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案。

[RouterA] domain default enable dm1

(3)     配置Portal认证

# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,所属的VPN为vpn3,密钥为明文portal,端口为50100,URL为http://192.168.0.111:8080/portal。

[RouterA] portal server newpt ip 192.168.0.111 vpn-instance vpn3 key simple portal port 50100 url http://192.168.0.111:8080/portal

# 在与客户端相连的接口上使能Portal认证。

[RouterA] interface ethernet 1/1

[RouterA–Ethernet1/1] portal server newpt method layer3

[RouterA–Ethernet1/1] quit

4. 验证配置结果

以上配置完成后,通过执行命令display portal server可查看Portal配置是否生效。用户认证通过后,通过执行命令display portal user查看Router A上生成的Portal在线用户信息。

[RouterA] display portal user all

 Index:2

 State:ONLINE

 SubState:NONE

 ACL:NONE

 Work-mode:stand-alone

 VPN instance:vpn1

 MAC              IP                Vlan   Interface

 ----------------------------------------------------------------------------

 000d-88f7-c268   3.3.0.1           0      Ethernet1/1

 Total 1 user(s) matched, 1 listed.

 

 

1.17  常见配置错误举例

1.17.1  接入设备和Portal服务器上的密钥不一致

1. 故障现象

用户被强制去访问Portal服务器时没有弹出Portal认证页面,也没有错误提示,登录的Portal认证服务器Web页面为空白。

2. 故障分析

接入设备上配置的Portal密钥和Portal服务器上配置的密钥不一致,导致Portal服务器报文验证出错,Portal服务器拒绝弹出认证页面。

3. 处理过程

使用display portal server命令查看接入设备上配置的Portal服务器密钥,并在系统视图中使用portal server命令修改密钥,或者在Portal服务器上查看对应接入设备的密钥并修改密钥,直至两者的密钥设置一致。

1.17.2  接入设备上服务器端口配置错误

1. 故障现象

用户通过Portal认证后,在接入设备上使用portal delete-user命令强制用户下线失败,但是使用客户端的“断开”属性可以正常下线。

2. 故障分析

在Portal上使用portal delete-user命令强制用户下线时,由接入设备主动发送下线请求报文到Portal服务器,Portal服务器默认的报文监听端口为50100,但是因为接入设备上配置的服务器监听端口错误(不是50100),即其发送的下线请求报文的目的端口和Portal服务器真正的监听端口不一致,故Portal服务器无法收到下线请求报文,Portal服务器上的用户无法下线。

当使用客户端的“断开”属性让用户下线时,由Portal服务器主动向接入设备发送下线请求,其源端口为50100,接入设备的下线应答报文的目的端口使用请求报文的源端口,避免了其配置上的错误,使得Portal服务器可以收到下线应答报文,从而Portal服务器上的用户成功下线。

3. 处理过程

使用display portal server命令查看接入设备对应服务器的端口,并在系统视图中使用portal server命令修改服务器的端口,使其和Portal服务器上的监听端口一致。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!