手册下载
H3C EIA 穿越NAT的Portal认证(IPv4)
典型配置举例
资料版本:5W117-20240515
产品版本:EIA (E6604)
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
3.3.1 配置Radius方案和Domain(与AAA服务器交互)
3.3.2 配置并启用Portal认证(与Portal服务器交互)
本案例介绍了接入用户穿越NAT进行Portal认证的配置。
NAT(Network Address Translation,网络地址转换)是一种在计算机网络中广泛使用的技术,它可以将私有IP地址转换为公共IP地址。在IP地址的分配中,公共IP地址和私有IP地址都是指IP地址。公共IP地址是由ISP(Internet Service Provider,互联网服务提供商)分配的全球唯一的地址,用于标识计算机在互联网上的位置。而私有IP地址则是在私有网络中使用的地址,这些地址不能直接在公共互联网上使用。
认证服务器(EIA)部署在公网中,内网用户穿越ISP的NAT设备进行Portal认证。
接入设备需支持Portal协议。
· 接入设备及NAT设备上的相关配置请以设备实际情况为准。
· NAT保护内网用户安全的特性使得EIA的消息下发功能无法使用,其他功能不受影响。
某企业的EIA服务器位于ISP提供的公网中,包含Portal服务器和AAA服务器,企业内部网络与EIA服务器连接需要经过NAT转换。内部用户的PC上安装iNode智能客户端,通过Portal认证接入网络。开启认证服务的设备是与PC端最近的接入交换机。组网图如图1所示。
各部分使用的版本如下:
· EIA版本为EIA(E6604),在集群部署环境中,会涉及EIA服务器IP地址使用北向业务虚IP还是所在实际节点IP的问题,该地址请务必填写为北向业务虚IP,查看方法如下:
a. 打开浏览器输入https://ip_address:8443/matrix/ui,打开matrix页面。其中,ip_address为北向业务虚IP或节点IP。
b. 选择“部署”页签,单击“集群”菜单项,切换至“集群参数”页签,进入集群参数页面,该页面中的北向业务虚IP即为EIA服务器的IP地址。
· 接入设备为H3C S5820V2-54QS-GE Comware Software, Version 7.1.045。
· NAT设备为H3C SecPath F5020 Comware Software, Version 7.1.064。
· iNode智能客户端版本为iNode PC 7.3 (E0617)。
EIA具体环境界面等因版本不同而有差异,配置时请以实际情况为准,同时建议您按照本文章节顺序进行相关配置。
增加接入设备是为了建立EIA服务器和接入设备之间的联动关系。
增加接入设备的方法如下:
(1) 选择“自动化”页签,单击导航树中的[用户业务>接入服务]菜单项,进入接入服务页面。切换至“接入设备”页签,进入接入设备配置页面,如图2所示。
(2) 单击<增加>按钮,进入增加接入设备页面,如图3所示。
(3) 配置接入配置参数。接入配置参数说明如表1所示,配置完成效果如图4所示。
参数 |
说明 |
认证端口 |
EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812 |
计费端口 |
EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813 |
业务类型 |
选择该设备承载的业务,本例保持默认配置 |
接入设备类型 |
在下拉框中选择接入设备的厂商和类型。下拉框中包含了Standard、EIA系统预定义和管理员自定义的厂商和类型。支持标准RADIUS协议的设备都可以选择Standard。系统预定义的厂商和类型有以下几种,包括H3C(General)、3COM(General)、HUAWEI(General)、CISCO(General)、RG(General)、HP(MSM)、HP(Comware)、MICROSOFT(General)、JUNIPER(General)、HP(ProCurve)和ARUBA(General) |
业务分组 |
在下拉框中选择接入设备所属的业务分组。将接入设备加入不同的业务分组以便进行分权管理,本例保持默认配置 |
共享密钥/确认共享密钥 |
输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。本例配置为“hello” |
接入位置分组 |
在下拉框中选择接入设备需要加入的接入设备分组。可选项包括EIA中已经存在的接入设备分组和“无”。接入设备分组是区分终端用户的接入条件之一,本例保持默认配置 |
目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。
(4) 配置设备列表。单击“设备列表”区域中的<增加IPv4设备>按钮,本例“设备IP地址”配置为“172.18.180.105”,如图5所示。单击<确定>按钮,返回接入设备配置页面。
接入设备的IP地址必须满足以下要求:
· 如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip映射后的公网地址的配置保持一致。
· 如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。
(5) 全部参数配置完成效果如图6所示。单击<确定>按钮,增加接入设备操作执行完毕。
配置一个不进行任何接入控制的接入策略,接入策略可被接入服务引用。增加接入策略的方法如下:
(1) 选择“自动化”页签,单击[用户业务>接入服务]菜单项,进入接入服务页面。切换至“接入策略”页签,进入接入策略页面,如图7所示。
图7 接入策略页面
(2) 单击<增加>按钮,进入增加接入策略页面,部分参数说明如表2所示。由于不进行任何接入控制,此处只需输入接入策略名“natpolicy”,其他参数保持默认即可,配置完成效果如图8、图9所示。
参数 |
参数说明 |
接入策略名 |
接入策略在接入业务中的唯一标识 |
业务分组 |
用于分权管理,使特定的人只能管理特定的业务,既职责分明,也不会互相越权。配置该接入策略所属的业务分组,用于接入策略的分权管理。只有拥有该业务分组权限的相关人员才能配置接入策略 |
描述 |
针对该接入策略的描述,方便操作员的日常维护 |
接入时段 |
选择了某一接入时段策略后,使用此规则的用户只能在接入时段策略中定制的时间段内允许接入 |
分配IP地址 |
是否下发用户IP地址。当选择“是”时,则为用户选择使用此接入策略的服务时须填写要下发的IP地址,用户在使用此接入策略上线时,RADIUS服务器会把填写的IP地址下发给客户端,客户端会将此IP应用到所在终端并进行重认证。此外接入策略“用户客户端配置”区域的“IP地址获取方式”不要选择“必须动态获取”;如果接入策略勾选了“绑定用户IP地址”,需把下发给用户的IP地址加入该用户的绑定的IP地址中或保证可以通过自学习的方式绑定此IP地址,已使得用户可通过IP地址检查 |
上行、下行速率 |
根据设定的上下行速率来限制用户使用该规则上网时的上传、下载速率 |
优先级 |
其值高低确定了在网络拥塞时转发报文的优先顺序,此参数应从设备支持的优先级中选取,数值越小优先级越高。配置错误可能导致用户无法上线 |
首选EAP类型/子类型 |
进行EAP认证时,RADIUS服务器优先下发给客户端的EAP类型。包括:EAP-MD5、EAP-TLS、EAP-TTLS和EAP-PEAP。当首选EAP类型为EAP-TTLS和EAP-PEAP时,还需要首选EAP-MSCHAPv2,EAP-MD5和EAP-GTC其中的一种子类型 · EAP-MD5:一种EAP认证方式,使用CHAP方式进行认证 · EAP-TLS:是一种基于证书的身份认证,它需要PKI的部署来管理证书。它推荐进行服务器和客户端之间双向认证,认证双方是用证书来标识自己的身份。在认证通过之后,TLS的认证双方会协商出一个共享密钥、SessionID以及整套的加密套件(加密,压缩和数据完整性校验),这样认证双方就建立了一个安全可靠的数据传输通道EAP-TLS是客户端和AAA服务器借助接入设备的透传,通过TLS协议进行的身份认证。EAP-TLS可以利用SessionID进行快速重认证,简化认证流程,加快认证速度,可对较大的TLS报文进行分片处理 · EAP-TTLS:是一种基于证书的身份认证,利用TLS认证在客户端和AAA服务器之间建立起一个安全通道,在安全通道内部再承载子类型。它具有保护用户标识和EAP认证的协商过程的作用。隧道内的子类型可以是EAP类型,也可以是非EAP类型。目前EIA支持TTLS下三个EAP的子类型(EAP-MSCHAPv2,EAP-MD5,EAP-GTC)和两个非EAP的子类型(MSCHAPv2,PAP)。EIA在配置接入策略指定首选EAP类型为EAP-TTLS时,也必须首选一种EAP的子类型。在实际认证过程中,如果终端采用非EAP的子类型,如PAP,则终端可以忽略EIA的配置,使用终端配置的子类型进行认证 · EAP-PEAP:是一种基于证书的身份认证,利用TLS认证在客户端和AAA服务器之间建立起一个安全通道,在安全通道上再发起EAP认证。它具有保护用户标识,保护EAP认证的协商过程的作用。目前EIA仅支持EAP-MSCHAPv2、EAP-MD5和EAP-GTC认证类型 · EAP-SIM:是一种基于GSM-SIM卡的身份认证,EAP-SIM提供了双向认证,即服务器端认证客户端,客户端认证服务器端,只有双向认证通过之后,服务器端才发送EAP-Success消息至客户端,客户端才可以接入网络。同时,EAP-SIM认证机制还通过多次挑战响应机制,生成更强的会话密钥 |
EAP自协商 |
当客户端配置的EAP类型与EIA中配置的首选EAP类型不同时的处理方式 · 配置为“启用”时,EIA完全适应由客户端中配置的EAP认证方式,即无论客户端中配置什么类型的EAP认证,EIA都允许客户端继续认证 · 配置为“禁用”时,如果客户端配置的EAP类型与EIA中配置的首选EAP类型不同,则EIA拒绝其认证 |
单次最大在线时长(分钟) |
使用该策略的接入帐号认证成功后可在线的最长时间,单位为分钟。该参数默认值为空,表示不限制;最小值为1,最大值为1440。如果帐号在线时间超过该参数值,EIA则强制该用户下线 |
在线最大时长预警阀值(分钟) |
达到最大在线时长下线提前预警,适用于使用iNode认证。该参数取值范围为1~1440,单位为分钟;默认值为20,表示将达到最大在线时长时提前20分钟预警。此功能必须启用策略服务器心跳,且心跳周期需要小于该参数值 |
下发地址池 |
输入地址池名称。EIA将地址池名称下发给接入设备,接入设备根据下发的地址池名称寻找设备上对应的地址池,然后给用户分配该地址池中的IP地址。只有下发设备上配置了对应的地址池,该功能才生效 |
下发VLAN |
设置向用户下发的VLAN · 当接入设备类型为H3C(General)、Huawei(General)、HP(Comware)、3Com(General)时,如果配置的VLAN为1~4094,接入业务将以整型的VLAN ID下发给设备,设备上的VLAN分配模式应为整型;所有其他值都以字符型VLAN NAME下发给设备,设备上VLAN分配模式应为字符型 · 其他设备类型都以字符型VLAN NAME下发给设备,设备上VLAN分配模式应为字符型 |
下发User Profile |
将用户配置文件名称下发给设备,实现基于用户的QoS功能。只有下发设备上已经配置完成了User Profile,User Profile才生效 |
下发VSI名称 |
对于采用VXLAN组网的场景,Leaf设备作为接入设备时,可以下发VSI名称,将用户划分到相应的VXLAN中 |
下发ACL |
设置向用户下发的访问控制列表 |
离线检查时长(小时) |
哑终端用户认证通过后向设备下发该参数,设备以该参数作为时间间隔周期性检测哑终端,如果在周期内未收到哑终端的报文,则断开该哑终端的连接并通知RADIUS服务器该哑终端用户已下线。该参数为空时,表示不检测;时长必须为整数,范围为[0,596523]。该参数只适用于哑终端 |
认证密码方式 |
· 如果选择“帐号密码”,服务器只校验帐号密码 · 如果选择“动态密码”,服务器只校验动态密码,动态密码可由短信、电子邮件两种方式发送给用户 · 如果选择“帐号密码+动态密码”,服务器同时校验帐号密码和动态密码,动态密码由短信方式发送给用户 由于动态密码只支持PAP、EAP-MD5、EAP-PEAP/EAP-MD5和EAP-PEAP/EAP-GTCS四种认证方式,所以选择“动态密码”或“帐号密码+动态密码”时,认证方式只能配置为以上四种方式 |
授权下发需要设备支持对应属性,认证绑定需要设备在RADIUS属性中上传对应信息。本例不对设备进行任何下发,因此保持默认。
(3) 单击<确定>按钮,接入策略增加完毕。返回接入策略管理页面,可在接入策略列表中查看新增的接入策略,如图10所示。
接入服务是对用户进行认证授权的各种策略的集合,增加接入服务的方法如下:
(1) 选择“自动化”页签,单击导航树中的[用户业务>接入服务]菜单项,进入接入服务页面,如图11所示。
图11 接入服务页面
(2) 单击<增加>按钮,进入增加接入服务页面,参数说明如表3所示。本例分别配置服务名、服务后缀及缺省接入策略为“natservice”、“nat”、“natpolicy”,其他参数保持默认配置即可,配置完成效果如图12所示。
参数 |
参数说明 |
服务名 |
输入服务名称,其为特定服务在接入业务中的唯一标识 |
服务后缀 |
服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见表4 |
缺省接入策略 |
当接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省接入策略的控制 |
缺省私有属性下发策略 |
不受接入位置分组限制的用户上网时,EIA会根据本参数指定的策略将私有属性下发到此用户连接的接入设备上 |
缺省单帐号最大绑定终端数 |
接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号最大绑定终端数的控制。该参数只有在部署了EIP组件后才会显示。取值范围为0~999,值为0时表示不限制 |
缺省单帐号在线数量限制 |
接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号在线数量限制的控制。取值范围为0~999,取值为0时表示不限制 |
单日累计在线最长时间(分钟) |
每天允许帐号使用该服务接入网络的总时长,达到该时长后,帐号将被强制下线,且当日不能再次接入。若一个帐号对应多个终端,则多个终端时长累计,累计时长达到该时长后,帐号将被强制下线,且当日不能再次接入。取值范围为0~1440,单位为分钟,只支持输入整数,取值为0时表示不限制 |
无感知认证 |
决定服务是否支持无感知认证功能。无感知认证是指终端通过网页方式进行认证,第一次认证时会强制推出认证页面,用户需要输入用户名和密码进行认证,第一次认证成功后,服务器会将该终端的MAC地址和接入用户绑定(如果是Portal认证方式,还会和服务绑定),之后如果该智能终端再次接入网络,服务器会根据终端的MAC地址自动匹配绑定的接入用户和服务,并自动进行认证,不会再强制推出认证页面,无需再次输入用户名和密码。该项需勾选“MAC Portal认证”后方能显示 |
认证连接用户名 |
设备用于认证的Domain |
设备Radius scheme中的命令 |
服务的后缀 |
X@Y |
Y |
user-name-format with-domain |
Y |
user-name-format without-domain |
无后缀 |
||
X |
[Default Domain] 设备上指定的缺省域 |
user-name-format with-domain |
[Default Domain] |
user-name-format without-domain |
无后缀 |
(3) 单击<确定>按钮,完成增加接入服务。返回接入服务页面,可在接入服务列表中查看到新增的接入服务,如图13所示。
接入用户是用户接入网络时使用的身份凭证,包含帐号名、密码和使用的服务等信息,增加接入用户的方法如下:
(1) 选择“自动化”页签,单击[用户业务>接入用户]菜单项,进入接入用户页面,如图14所示。
图14 接入用户页面
(2) 单击<增加>按钮,进入增加接入用户页面,配置基本信息和接入服务。本例只需配置“用户姓名”、“证件号码”、“帐号名”、“密码/密码确认”和“接入服务”,其他参数保持默认即可,配置完成效果如图15、图16所示。
图15 增加接入用户完成效果1
(3) 单击<确定>按钮,完成增加接入用户操作,返回接入用户页面。可在接入用户列表中查看新增的接入用户,如图17所示。
iNode客户端通过Portal方式认证上线,需要配置Portal服务。Portal服务需要配置下列内容:
(1) 服务器配置。
(2) IP地址组配置。
(3) 设备配置。
(1) 选择“自动化”页签,单击[用户业务>业务参数>Portal服务]菜单项,进入Portal服务管理页面,如图18所示。
(2) 在“服务类型列表”区段中,单击<增加>按钮,弹出增加服务类型窗口。本例参考配置如下,配置完成效果如图19所示。
¡ 服务类型标识:设备根据用户选择的服务类型确定相应的认证方案,必须与之前增加接入服务中的服务后缀相同,本例为“nat”。
¡ 服务类型:服务类型标识是设备使用的信息,用户可能无法直观地理解其内在的含义。因此使用服务类型对其进行解释,会显示在Portal认证主页上,便于用户对服务类型的理解。其中,服务类型信息不能为空,并且不能和现有的服务类型信息相同,服务类型的数量不能超过64个,本例为“穿越NAT”。
(3) 配置完成后单击<确定>按钮,完成增加服务类型操作,可在服务类型列表中查看到新增的服务类型,如图20所示。
(4) 单击<确定>按钮,完成服务器配置操作。
(1) 选择“自动化”页签,单击[用户业务>业务参数>Portal服务]菜单项,进入Portal服务管理页面,切换至“IP地址组配置”页签,进入IP地址组配置页面,如图21所示。
图21 IP地址组配置页面
(2) 单击<增加>按钮,进入增加IP地址组页面,本例参考配置如下,配置完成效果如图22所示。
¡ IP地址组名:IP地址组的名称,本例为“natip”。
¡ 起始/地址终止地址:IP地址组的起始地址和终止地址。IP地址属于该地址段的终端都要进行认证。本例配置为“12.12.12.1”、“12.12.12.56”。
¡ 类型:IP地址组的类型,本例选择“NAT”。
¡ 转换后起始/转换后终止地址:转换后的起始地址和终止地址,本例配置为“172.18.180.106”。
图22 增加IP地址组
(3) 单击<确定>按钮,完成增加IP地址组,返回IP地址组配置页面。可在IP地址组列表中查看新增的IP地址组,如图23所示。
图23 查看新增的IP地址组
· 增加/修改IP地址组时,终止地址必须大于或等于起始地址。
· 起始/终止地址与NAT设备上配置的内网地址保持一致。
· 转换后起始/终止地址与NAT设备上配置的NAT地址池保持一致。
(1) 选择“自动化”页签,单击[用户业务>业务参数>Portal服务]菜单项,进入Portal服务管理页面,切换至“设备配置”页签,进入设备配置页面,如图24所示。
(2) 单击<增加>按钮,进入增加设备配置页面,部分参数说明如表5所示,其他参数保持默认配置即可,配置完成效果如图25所示。
参数 |
说明 |
设备名 |
Portal接入设备的名称,不能和已经存在的任一设备名相同。本例为“AccessDev” |
公网IP |
公司外部网络环境可以访问到这台设备的IP,本例为“172.18.180.106” |
私网IP |
公司内部网络环境可以访问到这台设备的IP。NAT组网场景下配置Portal认证必须填私网IP。本例为“12.12.12.1” |
密钥 |
Portal服务器与设备通信时两端需要配置相同的共享密钥,否则无法通过接收方的校验。本例为“world”,密钥必须和接入设备上配置的Portal服务器的共享密钥一致 |
组网方式 |
本例选择“直连”。组网方式选择直连时,用户在认证前通过手工配置或DHCP直接获取一个IP地址,只能访问Portal服务器以及设定的免费访问地址。认证通过后即可访问网络资源 |
(3) 单击<确定>按钮,完成设备配置操作,可在设备列表中查看新增的设备,如图26所示。
(4) 在新增的Portal设备对应操作列中,单击按钮,进入端口组信息配置页面,如图27所示。
(5) 单击<增加>按钮,进入增加端口组信息页面,本例参考配置如下,其他参数配置保持默认即可,配置完成效果如图28所示。
¡ 端口组名:端口组的名称,本例为“natport”。
¡ 认证方式:选择“CHAP认证”。
¡ 是否NAT:选择“是”。
¡ IP地址组:选择之前增加的IP地址组“natip”(如没有找到NAT类型的IP地址组,请将参数“是否NAT”配置为“是”后再城市)。
¡ 缺省认证页面:选择“PC-缺省PC账号认证”。
(6) 单击<确定>按钮,完成增加端口组信息。返回端口组信息配置页面,可在端口组列表中查看新增的端口组,如图29所示。
接入设备主要负责与Portal服务器和AAA服务器交互,因此必须配置RADIUS Scheme、Domain以及Portal特性。
(1) 创建RADIUS方案“EIA”。
[AccessDev]radius scheme EIA
(2) 将认证/计费服务器指向AAA服务器,监听端口与3.2.1 增加接入设备中的配置保持一致。
[AccessDev-radius-EIA]primary authentication 192.168.7.105 1812
[AccessDev-radius-EIA]primary accounting 192.168.7.105 1813
(3) 配置认证/计费密钥,与3.2.1 增加接入设备中的配置保持一致。
[AccessDev-radius-EIA]key authentication simple hello
[AccessDev-radius-EIA]key accounting simple hello
[AccessDev-radius-EIA]nas-ip 10.10.10.254
(4) iNode认证时的用户名、设备的Domain、EIA中服务后缀的配置约束关系参见表4,本例采用第一种搭配。
[AccessDev-radius-EIA]user-name-format with-domain
[AccessDev-radius-EIA]quit
(5) 新建Domain nat,Domain名称要与3.2.3 增加接入服务中的服务后缀保持一致。
[AccessDev]domain nat
(6) 用户进行Portal接入时,认证/授权/计费都是用RADIUS方案“EIA”。
[AccessDev-isp-nat]authentication portal radius-scheme EIA
[AccessDev-isp-nat]authorization portal radius-scheme EIA
[AccessDev-isp-nat]accounting portal radius-scheme EIA
[AccessDev-isp-nat]quit
(1) 配置Portal认证服务器:名称为“EIA”,IP地址指向EIA,key与3.2.5 3. 设备配置中配置的密钥保持一致。
[AccessDev]portal server EIA
[AccessDev-portal-server-EIA]ip 192.168.7.105 key simple world
[AccessDev-portal-server-EIA]quit
(2) 配置Portal Web服务器的URL为http://192.168.7.105:9092/portal,要与3.2.5 1. 服务器配置中的Portal主页保持一致,具体配置如图18所示。
[AccessDev]portal web-server EIA
[AccessDev-portal-websvr-EIA] url http://192.168.7.105:9092/portal
[AccessDev-portal-websvr-EIA]quit
(3) 将接口Ethernet1/0/23划分至VLAN。
[AccessDev]interface Ethernet1/0/23
[AccessDev-Ethernet1/0/23]port access vlan 12
[AccessDev-Ethernet1/0/23]port link-mode bridge
(4) 在接口Ethernet1/0/23所在VLAN虚接口Vlan-interface12上启用直接方式的Portal认证,从该接口接入的用户都要通过Portal认证后才能正常使用网络资源。
[AccessDev]interface Vlan-interface12
[Device-Vlan-interface12]ip address 12.12.12.1 255.255.255.0
[Device-Vlan-interface12]portal enable method direct
[Device-Vlan-interface12]portal apply web-server EIA
[Device-Vlan-interface12]portal bas-ip 12.12.12.1
[Device-Vlan-interface12]portal domain nat
[Device-Vlan-interface12]quit
接入设备要透过NAT设备与EIA交互报文,因此需要配置并应用NAT地址池;配置内网服务器,将接入设备的一些IP映射到公网上。
(1) NAT地址池需要限定进行NAT转换的内网地址的范围,因此先配置ACL来确定这一范围。
[NATDev]acl advanced 3000
(2) 本例中属于10.10.10.0/24及12.12.12.0/24的内网地址可以进行NAT转换。
[NATDev-acl-adv-3000]rule 0 permit ip source 10.10.10.0 0.0.0.255
[NATDev-acl-adv-3000]rule 1 permit ip source 12.12.12.0 0.0.0.255
[NATDev-acl-adv-3000]rule 1000 deny ip
[NATDev-acl-adv-3000]quit
(3) 配置NAT地址池的公网地址。
[NATDev]nat address-group 0
[NATDev-address-group-0]address 172.18.180.105 172.18.180.106
[NATDev-address-group-0]quit
(4) 将接口GigabitEthernet 1/0划分至VLAN。
[AccessDev]interface GigabitEthernet 1/0
[NATDev-GigabitEthernet1/0]port link-mode bridge
[NATDev-GigabitEthernet1/0]port access vlan 180
(5) 在连接公网的接口所在VLAN虚接口Vlan-interface180上配置NAT地址池和ACL,配置完成后,10.10.10.0/24及12.12.12.0/24网段的机器访问公网时,报文都要进行NAT转换。由于Portal认证使用UDP报文,因此开放UDP映射。
[NATDev]interface Vlan-interface180
[NATDev-Vlan-interface180]ip address 172.18.180.1 255.255.255.0
[NATDev-Vlan-interface180]nat outbound 3000 address-group 0
[NATDev-Vlan-interface180]nat server protocol udp global 172.18.180.106 2000 inside 12.12.12.1 2000
[NATDev- Vlan-interface180]nat static enable
(6) 将接入设备连接NAT设备的接口IP映射成静态地址。
[NATDev]nat static outbound 10.10.10.254 172.18.180.105
(7) 同样的方法将接入设备连接用户的IP地址进行静态映射。
[NATDev]nat static outbound 12.12.12.1 172.18.180.106
用户使用iNode PC客户端及Web网页进行Portal认证,验证认证是否成功。同时在EIA中查看在线用户的详细信息,确认用户穿越了NAT。
(1) 在iNode PC客户端主页面,选择“Portal连接”,展开Portal连接区域,如图30所示。单击服务器文本框右侧的“刷新”链接,iNode客户端会获取Portal服务器信息,获取成功后服务器信息自动填充在文本框中。
图30 iNode PC客户端主页面
(2) 输入用户名和密码后,单击<连接>按钮,开始进行Portal认证,认证成功后的界面如图31所示。
图31 Portal认证成功
(1) 打开浏览器,首次认证时,在浏览器中访问任意网址,即可被重定向至Portal认证页面,如图32所示。
(2) 在认证页面输入用户名及密码,并选择服务类型为“穿越NAT”,如图33所示。
(3) 单击<上线>按钮,终端认证成功,可正常访问网络,如图34所示。
Portal认证穿越了NAT后,EIA仍然可以获取用户真实的IP。EIA可以获取接入设备的真实IP地址,同时可以获取接入设备进行NAT转换后的IP地址。查看方式如下:
(1) 选择“监控”页签,单击[监控列表>在线用户]菜单项,切换至“本地在线用户”页签,可查看在线用户详细信息。