EIA Portal无感知认证（IPv6）

典型配置举例

资料版本：5W106-20221228

产品版本：AD-Campus EIA (E6205)

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

除新华三技术有限公司的商标外，本手册中出现的其它公司的商标、产品标识及商品名称，由各自权利人拥有。

本文档中的信息可能变动，恕不另行通知。

3.2.2 配置Portal服务·· 11

3.2.3 配置系统参数·· 17

3.2.4 配置接入设备·· 18

3.3 配置验证·· 19

1 介绍

通用Portal认证不包含任何接入控制和安全检查。用户身份验证成功后便可接入网络。

2 特性使用指南

2.1 使用场合

适用于需要Portal认证的企业网或校园网。

2.2 配置前提

接入设备需支持Portal协议。

3 配置举例

3.1 组网需求

某公司计划启用Portal认证，用户接入网络时需要进行身份验证，具体的组网如图2所示。

· EIA服务器IP地址为2016:12::7。查看方式如下：

· 在集群部署环境中，会涉及EIA服务器IP地址使用北向业务虚IP还是所在实际节点IP的问题，该地址请务必填写为北向业务虚IP。

· 下述步骤为查看EIA服务器IP地址的通用步骤，涉及到的IP地址与本文档无关，以查看EIA服务器IP地址“2016:7::122”为例进行介绍。

a. 打开浏览器输入https://ip_address:8443/matrix/ui，打开Matrix页面。其中，ip_address为北向业务虚IP或节点IP。

b. 选择“部署”页签，单击“集群”菜单项，切换至“集群参数”页签，进入集群参数页面。

c. 该页面中的北向业务虚IP即为EIA服务器的IP地址，如图1所示。

图1 查看EIA服务器IP地址

· 接入设备用户侧GigabitEthernet1/0/16所在VLAN的虚接口Vlan-interface 108的IP地址为108::1。

· PC的IP地址为108::5。其中，PC上需安装Windows操作系统。

图2 组网图

注：本案例中各部分使用的版本如下：

· EIA版本：AD-Campus EIA (E6205)

· 接入设备：H3C S5820V2-54QS-GE

3.2 配置步骤

3.2.1 配置EIA服务器

配置EIA服务器时，需要配置以下功能：

· 启用IPv6

· 接入设备

· 接入策略

· 接入服务

· 接入用户

· Portal服务

· 配置系统参数

1. 启用IPv6

EIA默认是不启用IPv6的，如果要使用IPv6需要先在接入参数中启用IPv6。启用IPv6的方法如下：

(1) 选择“自动化”页签，单击导航树中的“用户业务 > 业务参数 > 接入参数”菜单项，进入接入参数页面。单击系统参数配置对应配置列的“配置”图标，如图3所示。

图3 接入参数页面

(2) 将“用户数据管理参数”区域中的“启用IPv6”项置为“是”，如图4所示。

图4 系统配置页面

2. 增加接入设备

增加接入设备是为了建立EIA服务器和接入设备之间的联动关系。增加接入设备的方法如下：

(1) 选择“自动化”页签，单击导航树中的“用户业务 > 接入服务”菜单项，进入接入服务页面。切换至“接入设备 > 接入设备配置”页签，进入接入设备配置页面，如图5所示。

图5 接入设备配置页面

(2) 单击<增加>按钮，进入增加接入设备页面，如图6所示。

图6 增加接入设备

(3) 单击“设备列表”区域中的<增加IPv6设备>按钮，弹出增加接入设备窗口，如图7所示。输入接入设备的IP地址，单击<确定>按钮，返回增加接入设备页面。其中，接入设备的IP地址必须满足以下要求：

¡ 如果在接入设备上配置radius scheme时配置了nas ip命令，则EIA中接入设备的IP地址必须与nas ip的配置保持一致。

¡ 如果未配置nas ip命令，则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址（或接口所在VLAN的虚接口IP地址）。

图7 手工增加接入设备

(4) 配置公共参数。公共参数的配置要求如下：

¡ 认证端口：EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。

¡ 计费端口：EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。

目前仅支持将EIA同时作为认证和计费服务器，即不支持将EIA作为认证服务器，而其他服务器作为计费服务器的场景。

¡ 共享密钥/确认共享密钥：输入两次相同的共享密钥。接入设备与EIA配合进行认证时，使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果将[自动化>用户业务>业务参数>接入参数>系统配置>系统参数配置]中的“密钥显示方式”设置为明文时，只需输入一次共享密钥即可。

¡ 其他参数保持默认。

本例以共享密钥\确认共享密钥“movie”为例进行介绍，其他保持默认即可，如图8所示。

图8 配置公共参数

(5) 单击<确定>按钮，增加接入设备完毕，可在接入设备列表中查看新增的接入设备，如图9所示。

图9 查看新增的接入设备

3. 增加接入策略

配置一个不进行任何接入控制的接入策略。增加接入策略的方法如下：

(1) 选择“自动化”页签，单击导航树中的“用户业务 > 接入服务”菜单项，进入接入服务页面。切换至“接入策略 > 接入策略”页签，进入接入策略页面，如图10所示。

图10 接入策略管理

(2) 单击<增加>按钮，进入增加接入策略页面，如图11所示。由于不需要任何接入控制，所以只需输入接入策略名，其他参数保持默认即可。

图11 增加接入策略

授权下发需要设备支持对应属性，认证绑定需要设备在RADIUS属性中上传对应信息。本例不对设备进行任何下发，因此保持默认。

(3) 单击<确定>按钮，接入策略增加完毕。返回接入策略管理页面，可在接入策略列表中查看新增的接入策略，如图12所示。

图12 查看新增的接入策略

4. 增加接入服务

接入服务是对用户进行认证授权的各种策略的集合。本例不对用户进行任何接入控制，因此只需增加一个简单的接入服务即可。增加接入服务的方法如下：

(1) 选择“自动化”页签，单击导航树中的“用户业务 > 接入服务”菜单项，进入接入服务页面，如图13所示。

图13 接入服务管理

(2) 单击<增加>按钮，进入增加接入服务页面，增加服务名、服务后缀及缺省接入策略，并勾选接入场景列表上方的“无感知认证”项，该项默认勾选，如图14所示。

图14 增加接入服务

配置服务的各个参数：

¡ 服务名：输入服务名称，在EIA中必须唯一。

¡ 服务后缀：服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关，具体的搭配关系请参见表1。

¡ 缺省接入策略：选择之前新增的接入策略。

¡ 安全组：选择的安全组。

¡ 安全子组：选择的安全子组。

¡ 缺省私有属性下发策略：不受接入位置分组限制的用户上网时，EIA会根据本参数指定的策略将私有属性下发到此用户连接的接入设备上。

¡ 缺省单帐号最大绑定终端数：接入用户的接入场景与服务中的接入场景均不匹配时，用户受到缺省单帐号最大绑定终端数的控制。该参数只有在部署了EIP组件后才会显示。

- 匹配的接入场景：EIA检查该场景中用户已经绑定的终端数量是否已达到数量限制，如果已达到数量限制，则拒绝用户认证；

- 所有服务中包含的场景：检查用户申请的所有服务中（包括服务中的所有场景）已绑定的终端数量，如果用户绑定的所有终端数量已达到终端管理参数中定义的“单帐号最大绑定终端数”数量限制，则EIA拒绝用户认证，否则允许用户继续认证。

¡ 缺省单帐号在线数量限制：接入用户的接入场景与服务中的接入场景均不匹配时，用户受到缺省单帐号在线数量限制的控制。

¡ 单日累计在线最长时间（分钟）：每天允许帐号使用该服务接入网络的总时长，达到该时长后，帐号将被强制下线，且当日不能再次接入。该参数单位是分钟，只支持输入整数，最小值是0，表示不限制每天在线时长，最大值是1440。

¡ 服务描述：针对该服务的简单描述，以方便操作员的日常维护。

表1 EIA中服务后缀的选择

认证连接用户名	设备用于认证的Domain	设备Radius scheme中的命令	iMC中服务的后缀
X@Y	Y	user-name-format with-domain	Y
X@Y	Y	user-name-format without-domain	无后缀
X	[Default Domain] 设备上指定的缺省域	user-name-format with-domain	[Default Domain]
X	[Default Domain] 设备上指定的缺省域	user-name-format without-domain	无后缀

(3) 单击<确定>按钮，完成增加接入服务。返回接入服务管理页面，可在接入服务列表中查看新增的接入服务，如图15所示。

图15 查看新增的接入服务

5. 增加接入用户

(1) 选择“自动化”页签，单击导航树中的“用户业务 > 接入用户”菜单项，进入接入用户页面，如图16所示。

图16 接入用户

(2) 单击<增加>按钮，进入增加接入用户页面，如图17所示。

图17 增加接入用户

参数说明：

¡ 用户姓名、证件号码：用户的姓名及证件号码。

¡ 帐号名：唯一标识帐号用户的名称，用户使用该名称申请和使用服务，该名称不能与已有名称相同，不能包含如下特殊字符：#+/?%&=*'@\"[]()<>`和TAB键，且最大长度为200字符。

¡ 密码/确认密码：输入两次相同的密码。

¡ 接入服务：选择之前增加的接入服务。

¡ 其他参数：保持缺省值。

(3) 单击<确定>按钮，完成增加接入用户，返回接入用户页面。可在接入用户列表中查看新增的接入用户，如图18所示。

图18 查看新增的接入用户

3.2.2 配置Portal服务

配置Portal服务的步骤如下：

· 服务器配置

· IP地址组配置

· 设备配置

1. 服务器配置

(1) 选择“自动化”页签，单击导航树中的“用户业务 > 业务参数 > Portal服务”菜单项，进入Portal服务管理页面，如图19所示。

图19 服务器配置

(2) 在“服务类型列表”区域中，单击<增加>按钮，弹出增加服务类型窗口，如图20所示。

图20 增加服务类型

参数说明：

¡ 服务类型标识：设备根据用户选择的服务类型确定相应的认证方案，必须与之前增加接入服务中的服务后缀相同。

¡ 服务类型：服务类型标识是设备使用的信息，用户可能无法直观地理解其内在的含义。因此使用服务类型对其进行解释，会显示在Portal认证主页上，便于用户对服务类型的理解。其中，服务类型信息不能为空，并且不能和现有的服务类型信息相同，服务类型的数量不能超过64个。

(3) 单击<确定>按钮，完成增加服务类型。返回服务器配置页面。可在服务类型列表中查看新增的服务类型，如图21所示。

图21 查看新增的服务类型

(4) 单击<确定>按钮，完成Portal服务器配置。

2. IP地址组配置

(1) 选择“自动化”页签，单击导航树中的“用户业务 > 业务参数 > Portal服务”菜单项，进入Portal服务管理页面。切换至“IP地址组配置”页签，进入IP地址组配置页面，如图22所示。

图22 IP地址组配置

(2) 单击<增加>按钮，进入增加IP地址组页面，如图23所示。

图23 增加IP地址组

(3) 输入IP地址组名，本例为“portal_Address”，将IPv6项设置为“是”并输入起始地址和终止地址IP地址。其中，属于该地址段的终端都要进行认证。

(4) 单击<确定>按钮，完成增加IP地址组，返回IP地址组配置页面。可在IP地址组列表中查看新增的IP地址组，如图24所示。

图24 查看新增的IP地址组

3. 设备配置

(1) 选择“自动化”页签，单击导航树中的“用户业务 > 业务参数 > Portal服务”菜单项，进入Portal服务管理页面。切换至“设备配置”页签，进入设备配置页面，如图25所示。

图25 设备配置

(2) 单击<增加>按钮，进入增加设备信息页面，如图26所示。

图26 增加设备信息

参数说明：

¡ 设备名：输入设备名称，本例为“zhangsan-Switch”。

¡ 公网IP：Portal接入设备的公网IP地址。

¡ 密钥\确认密钥：输入“movie”。密钥要与设备上配置的Portal服务器密钥保持一致。

¡ 组网方式：在下拉框中选择“直连”。

¡ 其他参数：保持默认值。

(3) 单击<确定>按钮，完成增加设备信息。返回设备配置页面，可在列表中查看新增的设备信息，如图27所示。

图27 查看新增的设备信息

(4) 单击列表“操作”列的端口组信息管理图标，进入端口组信息配置页面，如图28所示。

图28 端口组信息配置

(5) 单击<增加>按钮，进入增加端口组信息页面，输入端口组名，选择认证方式及IP地址组后，将“无感知认证”项置为“支持”，如图29所示。

图29 增加端口组信息

参数说明：

¡ 端口组名：输入端口组的名称，本例为“port-Port”。

¡ 认证方式：在下拉框中选择“CHAP认证”。

¡ IP地址组：选择之前配置的“portal_Address”。

¡ 缺省认证页面：选择“PC-缺省PC账号认证”。

¡ 其他参数：保持默认值。

(6) 单击<确定>按钮，完成增加端口组信息。返回端口组信息配置页面，可在端口组信息配置列表中查看新增的端口组信息，如图30所示。

图30 查看新增的端口组信息

3.2.3 配置系统参数

1. 终端管理参数配置

选择“自动化”页签，单击左侧导航树“用户业务 > 业务参数 > 接入参数”菜单项，进入接入参数页面。切换至“系统配置”页签，单击列表“终端管理参数”项后的配置图标，进入终端管理参数配置页面。将“无感知认证”项置为“启用”、将“非智能终端Portal无感知认证”项置为“允许”，如图31所示。

图31 终端管理参数配置

参数说明：

非智能终端Portal无感知认证：当禁止非智能终端进行Portal无感知认证时，用户在非智能终端上不能进行Portal无感知认证，但可以进行其它方式的认证。

选择“禁用”非智能终端Portal无感知认证，则用户只能在智能终端上进行Portal无感知认证，用户在非智能终端上无法进行Portal无感知认证。

2. 终端老化策略配置

选择“自动化”页签，单击左侧导航树“用户业务 > 业务参数 > 接入参数”菜单项，进入接入参数页面。切换至“系统配置”页签，单击列表“终端老化策略配置”项后的配置图标，进入终端老化策略配置页面。按需增加老化策略或使用缺省策略，如图32所示。

图32 终端老化策略配置

参数说明：

· 无感知终端老化时长：按天或小时配置无感知终端老化时长。按天配置终端老化时长，EIA每天凌晨删除超过老化时长且已下线的终端；按小时配置终端老化时长，EIA实时删除超过老化时长且已下线的终端。

· 终端老化方式：包括按绑定时间和按闲置时长两种类型，该参数与“无感知终端老化时长”配合使用。

¡ 如果配置为按绑定时间，则终端首次进行无感知认证后的时间超过终端老化时长且终端下线后EIA删除该终端，下次认证需要重新输入帐号名和密码。

¡ 如果配置为按闲置时长，则终端未上线时长超过老化时长后，EIA删除该终端，下次认证需要重新输入帐号名和密码。

· 非无感知终端老化时长：按天或小时配置非无感知终端老化时长。按天配置终端老化时长，EIA每天凌晨删除超过老化时长且已下线的终端；按小时配置终端老化时长，EIA实时删除超过老化时长且已下线的终端。

· 终端MAC地址与接入用户进行关联后，该终端再次接入网络时无需输入帐号名及密码，系统自动进行Portal认证。为了安全起见，系统定时删除超过老化时长的终端，此后终端再次接入网络时，需要再次输入帐号名及密码重新绑定。

· 老化时长设置为0天时，MAC地址将永远不老化。

3.2.4 配置接入设备

接入设备用于控制用户的接入。通过认证的用户可以接入网络，未通过认证的用户无法接入网络。

以下使用Windows的CLI窗口telnet到接入设备并进行配置，具体的命令及其说明如下：

(1) 进入系统视图。

<Device>system-view

System View: return to User View with Ctrl+Z.

(2) 配置RADIUS策略“allpermit”。认证、计费服务器均指向EIA。认证端口、计费端口、共享密钥要与3.2.1 2. 增加接入设备中的配置保持一致。

[Device]radius scheme allpermit

New Radius scheme

[Device-radius-allpermit]primary authentication 2016:12::7 1812

[Device-radius-allpermit]primary accounting 2016:12::7 1813

[Device-radius-allpermit]key authentication simple movie

[Device-radius-allpermit]key accounting simple movie

[Device-radius-allpermit]user-name-format with-domain

[Device-radius-allpermit]nas-ip 2020::1

[Device-radius-allpermit]quit

(3) 配置domain域“portal”，引用配置好的“allpermit”策略。domain的名称必须与3.2.1 4. 增加接入服务中配置的服务后缀保持一致。

[Device]domain portal

[Device-isp-portal]authentication portal radius-scheme allpermit

[Device-isp-portal]authorization portal radius-scheme allpermit

[Device-isp-portal]accounting portal radius-scheme allpermit

[Device-isp-portal]quit

(4) 配置Portal认证服务器：名称为myportal，IP地址指向EIA，key要与3.2.2 3. 设备配置中配置的密钥一致。

[Device]portal server myportal

New portal server added.

[Device-portal-server-myportal]ip 2016:12::7 key simple movie

[Device-portal-server-myportal]quit

(5) 配置Portal Web服务器的URL，要与3.2.2 1. 服务器配置中“Portal主页”项中的配置项一致，具体配置项如图19所示。

[Device]portal web-server myportal

New portal web-server added.

[Device-portal-websvr-myportal]url http://[2016:12::7]:9092/portal

[Device-portal-websvr-myportal]quit

(6) 创建MAC绑定服务器并配置MAC绑定服务器的IP地址。服务器用来记录用户的Portal认证信息（用户名、密码）和用户终端MAC地址，并进行二者绑定，以便替代用户完成Portal认证。其中，IP地址指向EIA服务器地址，密钥与3.2.1 2. 增加接入设备中的配置相同。

[Device]portal mac-trigger-server mtsp

[Device-portal-mac-trigger-server mtsp]ip 2016:12::7 key simple movie

(7) 将接口GigabitEthernet 1/0/16划分至VLAN。

[Device]interface GigabitEthernet 1/0/16

[Device-GigabitEthernet1/0/16]port access vlan 108

[Device-GigabitEthernet1/0/16]port link-mode bridge

(8) 在接口GigabitEthernet1/0/16所在VLAN虚接口Vlan-interface 108上开启直接方式的Portal，引用Portal Web服务器myportal，引用MAC绑定服务器mtsp，设置发送给Portal认证服务器的Portal报文中的BAS-IP属性值，该BAS-IP需和3.2.2 3. 设备配置中的公网IP保持一致。