- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C EIA Portal无感知认证(IPv4)
典型配置举例
资料版本:5W104-20260319
产品版本:EIA (E7401)
Copyright © 2026 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
在Portal普通认证模式下,用户每次上网都需要手动输入用户名和密码进行身份验证。对于需要频繁接入网络的合法用户而言,这种方式在易用性和便捷性方面存在明显不足。
Portal无感知认证是一种基于MAC地址的快速认证机制。终端首次接入网络时,系统会弹出Portal认证页面,用户需输入用户名和密码完成认证。认证成功后,RADIUS服务器会将终端的MAC地址与对应的用户账号进行绑定。
当该终端再次接入网络时,RADIUS会根据其MAC地址自动匹配已绑定的用户和服务并完成认证,无需再弹出认证页面,也不用再次输入用户名和密码。这样便实现了“无感知”上网,大幅提升了频繁接入用户的使用体验。
适用于需要Portal认证的企业网或校园网:
· 校园网络:学生首次连接校园Wi-Fi时通过Portal页面输入学号和密码完成认证,之后在同一设备上再次接入时即可自动联网,无需重复输入账号和密码,大幅提升上网体验。
· 企业网络:员工使用笔记本电脑、手机等终端接入公司Wi-Fi时,第一次通过Portal页面输入工号和密码认证。认证成功后,终端MAC地址与账号自动绑定,此后连接公司网络即可快速通过认证,避免频繁输入账号密码,提升办公效率与便捷性。
接入设备需支持Portal协议。
某公司计划启用Portal无感知认证,用户接入网络时需要进行身份验证,具体的组网如下图所示。
· 接入设备用户侧GigabitEthernet1/0/16所在VLAN的虚接口Vlan-interface 108的IP地址为108.108.108.1。
· PC的IP地址为108.108.108.3。其中,PC上需安装Windows操作系统。
本案例中各部分使用的版本如下:
· EIA版本:EIA (E7401)
· 接入设备:H3C S5820V2-54QS-GE
增加接入设备是为了建立EIA服务器和接入设备之间的联动关系。增加接入设备的方法如下:
(1) 单击[自动化>网络准入>准入管理>接入设备>接入设备>设备配置]菜单项,进入设备配置页面,如下图所示。
(2) 单击<增加>按钮,进入增加接入设备页面,如下图所示。
(3) 配置公共参数。公共参数的配置要求如下:
¡ 认证端口:EIA监听RADIUS认证报文的端口。
¡ 计费端口:EIA监听RADIUS计费报文的端口。
目前仅支持将EIA同时作为认证和计费服务器,不支持将EIA作为认证服务器、其他服务器作为计费服务器的场景。
¡ 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果[自动化>网络准入>准入管理>参数管理>接入认证>系统参数]中的密钥显示方式设置为明文时,只需输入一次共享密钥即可
¡ 强制下线方式:在下拉框中选择强制用户下线的方式,包括断开用户连接和Down-Up端口。前者表示EIA服务器向NAS设备下发Disconnect Message(DM)强制用户下线;后者表示EIA服务器向NAS设备下发Change-of-Authorization(CoA)消息强制用户下线,NAS设备收到CoA消息后先Down掉连接用户的端口,然后再重新UP该端口。
¡ 强制下线端口:当服务器强制终端用户下线时,设备支持的端口。本端口仅适用于非Radius Over TLS场景。
¡ 业务类型:接入设备所承载的业务类型,目前仅支持设备管理业务和接入用户业务。
¡ 接入设备类型:可以选择各个厂商的设备或标准协议类型。管理员也可以配置自定义厂商。
¡ 授权报文类型:授权报文类型支持“私有报文”和“COA报文”,默认为“私有报文”,只有接入设备类型为“H3C (General)”或“HUAWEI (General)”时才会显示该字段。
¡ 接入位置分组:在下拉框中选择接入设备需要加入的接入位置分组。可选项包括EIA中已经存在的接入位置分组和“无”。接入位置分组是区分终端用户的接入条件之一。
¡ 下发User-Notify属性:该属性用于对接iNode客户端认证时下发服务器侧配置信息。对于华为和3com早期设备、H3C设备,需要配置为“是”进行下发;对于华为新设备,设备自身重用了User-Notify属性,需要配置为“否”不进行下发;其他厂商设备不涉及该属性配置。
¡ VLAN格式:VLAN属性值的格式。可以是默认、字符串或数字。
¡ 下发TAG属性:如果分配的属性值是一个字符串或数字,则可以选择在前面添加一个TAG,以指示该属性值的格式和含义。该字段是可选字段,RFC协议没有明确说明是否必须,但对于不同设备可能存在不同情况,有的设备可能需要有的可能不需要,一般建议是携带TAG。
¡ 设备分组:选择设备的分组。
¡ Nas ID:接入设备的唯一标识符。如果Radius报文中不存在接入设备IP属性,但存在Nas ID属性,则Radius服务器将使用Nas ID唯一标识一台接入设备。
¡ 服务器TLS端口:本端口适用于Radius Over TLS场景,此场景中服务器与设备之间通过TLS隧道加密通信。本端口是服务器侧的监听端口,服务器通过此端口接受设备发送的认证和计费报文。如果端口配置为0,则表示服务器不启用TLS监听功能,设备无法通过TLS隧道向服务器发送认证报文或者计费报文。
¡ 设备TLS端口:本端口适用于Radius Over TLS场景,此场景中服务器与设备之间通过TLS隧道加密通信。本端口是设备侧的监听端口,设备通过此端口接受服务器发送的Radius COA请求。如果配置为0,则表示服务器将不通过TLS隧道发送Radius COA请求给设备,而是发送明文的Radius COA请求给设备。
¡ 校验Message-Authenticators属性:该功能用于校验非EAP认证报文中的Message- Authenticators属性,Message-Authenticators属性用于对RADIUS报文进行完整性校验和认证。开启后要求认证请求报文和计费请求报文必须携带该属性,否则认证失败,认证成功后认证服务器会下发该属性给认证设备。该功能需要配合认证设备使用,要求认证设备支持携带该属性。
本例中公共参数只需要输入共享密钥\确认共享密钥“movie”,其他保持默认即可。
(4) 单击“设备列表”区域中的<增加IPv4设备>按钮,弹出增加接入设备窗口,如下图所示。输入设备起始IP地址,单击<确定>按钮,返回增加接入设备页面。其中,接入设备的IP地址必须满足以下要求:
¡ 如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致。
¡ 如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。
图3-4 手工增加接入设备
(5) 单击<确定>按钮,增加接入设备完毕,可在接入设备列表中查看新增的接入设备,如下图所示。
配置一个不进行任何接入控制的接入策略。增加接入策略的方法如下:
(1) 单击[自动化>网络准入>准入管理>接入服务>接入策略>接入策略]菜单项,进入接入策略页面,如下图所示。
(2) 单击<增加>按钮,进入增加接入策略页面,如下图所示。由于不需要任何接入控制,所以只需输入接入策略名,其他参数保持默认即可。
授权下发需要设备支持对应属性,认证绑定需要设备在RADIUS属性中上传对应信息。本例不对设备进行任何下发,因此保持默认。
参数说明如下:
¡ 接入时段:选择了某一接入时段策略后,使用此规则的用户只能在接入时段策略中定制的时间段内允许接入。
¡ 速率下发策略:控制是否下发平均速率和峰值速率。
- 平均速率:下行速率或上行速率。
- 峰值速率:基于下行速率×下行倍率或上行速率×上行倍率计算得出。
¡ 上行、下行速率:根据设定的上下行速率来限制用户使用该规则上网时的上传、下载速率。
¡ 上行、下行速率倍率:用于计算下行/上行峰值速率使用,下行/上行峰值速率=下行/上行速率*下行/上行速率倍率,下行/上行峰值速率是下发到交换机的QoS配置,即下行/上行流量突发峰值速率。
¡ 优先级:它的高低确定了在网络拥塞时转发报文的优先顺序,此参数应从设备支持的优先级中选取,数值越小优先级越高。配置错误可能导致用户无法上线。
¡ 下发用户组:用户认证通过后向设备下发该用户所属的用户组,可以输入多个组,每个组以分号分隔。与ACG1000联动或与SSL VPN设备配合时,该属性才有效 。
¡ 认证类型:进行EAP认证时,RADIUS服务器优先下发给客户端的EAP类型。包括:EAP-MD5、EAP-TLS、EAP-TTLS和EAP-PEAP。当首选EAP类型为EAP-TTLS和EAP-PEAP时,还需要首选EAP-MSCHAPv2、EAP-MD5和EAP-GTC其中的一种子类型。
- EAP-MD5:一种EAP认证方式,使用CHAP方式进行认证。
- EAP-TLS:是一种基于证书的身份认证,它需要PKI的部署来管理证书。它推荐进行服务器和客户端之间双向认证,认证双方是用证书来标识自己的身份。在认证通过之后,TLS的认证双方会协商出一个共享密钥、SessionId以及整套的加密套件(加密,压缩和数据完整性校验),这样认证双方就建立了一个安全可靠的数据传输通道。EAP-TLS是客户端和AAA服务器借助接入设备的透传,通过TLS协议进行的身份认证。EAP-TLS可以利用SessionId进行快速重认证,简化认证流程,加快认证速度,还对较大的TLS报文进行了分片处理。
- EAP-TTLS:是一种基于证书的身份认证,利用TLS认证在客户端和AAA服务器之间建立起一个安全通道,在安全通道内部再承载子类型。它具有保护用户标识和EAP认证的协商过程的作用。隧道内的子类型可以是EAP类型,也可以是非EAP类型。目前EIA支持TTLS下三个EAP的子类型(EAP-MSCHAPv2、EAP-MD5、EAP-GTC)。EIA在配置接入策略指定首选EAP类型为EAP-TTLS时,也必须首选一种EAP的子类型。在实际认证过程中,如果终端采用非EAP的子类型,如PAP,则终端可以忽略EIA的配置,使用终端配置的子类型进行认证。
- EAP-PEAP:是一种基于证书的身份认证,利用TLS认证在客户端和AAA服务器之间建立起一个安全通道,在安全通道上再发起EAP认证。它具有保护用户标识,保护EAP认证的协商过程的作用。目前EIA仅支持EAP-MSCHAPv2、EAP-MD5和EAP-GTC认证类型。
¡ 认证密码方式:
- 如果选择“账号密码”,服务器只校验账号密码。
- 如果选择“动态密码”,服务器只校验动态密码,动态密码由短信、电子邮件、企业微信、钉钉应用和政务微信五种方式发送给用户。
- 如果选择“账号密码+动态密码”,服务器同时校验账号密码和动态密码,动态密码由短信方式发送给用户。
- 如果选择“账号密码+异步短信验证码”,服务器先校验账号密码,账号密码校验通过后再去校验短信验证码,验证码由短信方式发送给用户。
- 如果选择了“Portal Web证书认证”,服务器校验Portal Web证书。
- 如果选择了“企业名称+手机号”,服务器同时校验企业名称和手机号。
- 如果选择了"人脸识别",服务器只校验人脸识别
由于动态密码只支持PAP、EAP-MD5、EAP-PEAP/EAP-MD5和 EAP-PEAP/EAP-GTCS四种认证方式,所以选择“动态密码”或“账号密码+动态密码”时,认证方式只能配置为以上四种方式。
¡ EAP自协商:当客户端配置的EAP类型与EIA中配置的首选EAP类型不同时的处理方式。配置为“启用”时,EIA完全适应由客户端中配置的EAP认证方式,即无论客户端中配置什么类型的EAP认证,EIA都允许客户端继续认证。配置为“禁用”时,如果客户端配置的EAP类型与EIA中配置的首选EAP类型不同,则EIA拒绝其认证。
¡ 单次最大在线时长(分钟):使用该策略的接入账号认证成功后可在线的最长时间,单位为分钟。该参数缺省值为空,表示不限制;最小值为1,最大值为1440。如果账号在线时间超过该参数值,EIA则强制该用户下线。
¡ 下发地址池:输入地址池名称。EIA将地址池名称下发给接入设备,接入设备根据下发的地址池名称寻找设备上对应的地址池,然后给用户分配该地址池中的IP地址。只有下发设备上配置了对应的地址池,该功能才生效。
¡ 下发VLAN:设置向用户下发的VLAN,当接入设备类型为H3C(General)、Huawei(General)、HP(Comware)、3Com(General)时,如果配置的VLAN为1~4094,接入业务以整型的VLAN ID下发给设备,设备上的VLAN分配模式应为整型;所有其他值都以字符型VLAN NAME下发给设备,设备上VLAN分配模式应为字符型。其他设备类型都以字符型VLAN NAME下发给设备,设备上VLAN分配模式应为字符型,用户认证通过后将只能访问该VLAN的内部资源。
¡ 离线检查时长(小时):哑终端认证通过后向设备下发该参数,设备以该参数作为时间间隔,周期性检测哑终端是否已离线。该参数为空时,表示不检测;时长必须为整数,范围为[0,596523]。该参数只适用于哑终端。
¡ 下发VSI名称:对于采用VXLAN组网的场景,Leaf设备作为接入设备时,可以下发VSI名称,将用户划分到相应的VXLAN中。
¡ 终端信息不一致处理方式:用户进行认证过程中,如果系统获取到的该用户终端信息与数据库中已存在的终端信息不一致时的处理方式。“拒绝认证”即拒绝用户上线;“记录差异日志后允许认证”即允许用户继续认证,并将终端信息差异记录到日志中。
¡ 终端信息更新时处理动作:如果在接入场景中使用终端信息做接入条件,要求终端首次认证识别到终端信息时立即生效,可以配置该参数。配置该参数后,在上线过程中如果识别到终端信息有更新,会对当前在线用户做强制下线处理,后续再发起认证时可以根据终端信息匹配到正确的接入场景。
¡ 会话结束时处理动作:当会话服务结束后,接入设备应该采取的动作。通过在Access-Accept报文中下发Termination-Action属性值实现。
- 如果选择“按设备厂商”,则根据接入设备类型进行处理。
- 如果选择“下线”,表示将用户下线。
- 如果选择“重认证”,表示对用户进行重认证。当指定服务终止(如:用户在线时长达到Session-Timeout的属性值)时,接入设备会对用户进行重认证。
¡ 在线最大时长预警阈值(分钟):达到最大在线时长下线提前预警,适用于使用客户端认证。单位为分钟。比如该参数值为20,表示达到最大在线时长提前20分钟预警。
¡ 重定向URL:配置重定向的URL。
¡ 分配IP地址:是否下发用户IP地址。
¡ 下发User Profile:将用户配置文件名称下发给设备,实现基于用户的QoS功能。只有下发设备上已经配置完成了User Profile,User Profile才生效。
¡ 禁止在线修改IP地址:勾选该参数后禁止在线修改IP地址。
¡ 下发ACL:设置向用户下发的访问控制列表。ACL列表可以从以下4种方式选择:
- 手工输入(IPv4)。
- 手工输入(IPv6)。
- 接入ACL列表:其值可以在接入ACL策略管理配置。
- 动态ACL:动态ACL根据厂商有不同的规则。
¡ 认证绑定信息:目前接入策略管理与接入设备配合可对接入设备IP地址、端口、VLAN、QinQ双VLAN、接入设备序列号、用户IP地址、MAC地址、IMSI、IMEI、手机号、无线用户SSID和硬盘序列号进行绑定检查。客户端与策略服务器配合可对用户IP地址、MAC地址、计算机名称、计算机域、用户登录域和硬盘序列号进行绑定检查。其中MAC地址绑定、手机号绑定和IMSI绑定只能同时选择一个。当账号用户申请具有绑定策略的服务时,可以设置相关的绑定信息,如果不设置,绑定时将采用自学习策略。所谓自学习就是绑定用户首次上网时所使用的相关参数,比如用户使用的服务采用自学习绑定用户IP地址,用户首次使用该业务上网时的IP地址为10.100.10.10,则今后用户只能通过使用这个IP地址才能通过认证。
¡ 用户客户端配置:用来对用户认证客户端进行限制。如果选中“仅限客户端”,则最终用户只能使用客户端进行认证上网,同时可以通过禁用代理服务器、IE代理、修改MAC地址等功能来对用户进行限制。
(3) 单击<确定>按钮,接入策略增加完毕。返回接入策略页面,可在接入策略列表中查看新增的接入策略,如下图所示。
接入服务是对用户进行认证授权的各种策略的集合。本例不对用户进行任何接入控制,因此只需增加一个简单的接入服务即可。增加接入服务的方法如下:
(1) 单击[自动化>网络准入>准入管理>接入服务>接入服务]菜单项,进入接入服务页面,如下图所示。
(2) 单击<增加>按钮,进入增加接入服务页面,配置服务名、服务后缀、缺省接入策略,其他参数保持默认,如下图所示。
配置服务的各个参数:
¡ 服务名:输入服务名称,在EIA中必须唯一。
¡ 服务后缀:服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见下表。
¡ 缺省接入策略:选择增加接入策略新增的接入策略“Portal_Policy”。
¡ 安全组:选择的安全组。
¡ 安全子组:选择的安全子组。
¡ 缺省私有属性下发策略:不受接入位置分组限制的用户上网时,EIA会根据本参数指定的策略将私有属性下发到此用户连接的接入设备上。
¡ 缺省安全策略:不受接入位置分组限制的用户上网时,会根据该安全策略指定的安全方案对用户的上网的计算机进行安全检查和监控,从而实现网络的自动防御。该选项只有安装了EAD终端合规管理模块后才会出现。
¡ 缺省内网外连策略:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省内网外连策略的控制。
¡ 缺省单账号最大绑定终端数:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单账号最大绑定终端数的控制。
¡ 缺省单账号在线数量限制:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单账号在线数量限制的控制。
¡ 单日累计在线最长时间(分钟):每天允许账号使用该服务接入网络的总时长,达到该时长后,账号将被强制下线,且当日不能再次接入。该参数单位是分钟,只支持输入整数,最小值是0,表示不限制每天在线时长,最大值是1440。
¡ 服务描述:针对该服务的简单描述,以方便操作员的日常维护。
¡ 无感知认证:决定服务是否支持无感知认证功能。无感知认证是指终端通过网页方式进行认证,第一次认证时会强制推出认证页面,用户需要输入用户名和密码进行认证,第一次认证成功后,服务器会将该终端的MAC地址和接入用户绑定(如果是Portal认证方式,还会和服务绑定),之后如果该智能终端再次接入网络,服务器会根据终端的MAC地址自动匹配绑定的接入用户和服务,并自动进行认证,不会再强制推出认证页面,无需再次输入用户名和密码。该项需勾选“MAC Portal认证”后方能显示。本例需要勾选“无感知认证”。
表3-1 EIA中服务后缀的选择
|
认证连接用户名 |
设备用于认证的Domain |
设备Radius scheme中的命令 |
EIA中服务的后缀 |
|
X@Y |
Y |
user-name-format with-domain |
Y |
|
user-name-format without-domain |
无后缀 |
||
|
X |
[Default Domain] 设备上指定的缺省域 |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
(3) 单击<确定>按钮,完成增加接入服务。返回接入服务页面,可在接入服务列表中查看新增的接入服务,如下图所示。
图3-11 查看新增的接入服务
(1) 单击[自动化>网络准入>准入管理>接入用户>接入用户]菜单项,进入接入用户页面,如下图所示。
(2) 单击<增加>按钮,进入增加接入用户页面,如下图所示。
参数说明:
¡ 用户姓名、证件号码:用户的姓名及证件号码。
¡ 用户类型:用户的类型,本例为“普通用户”。
¡ 账号名:唯一标识账号用户的名称,用户使用该名称申请和使用服务,该名称不能与已有名称相同,不能包含如下特殊字符:#+/?%&=*'@\"[]()<>`和TAB键,且最大长度为200字符。
¡ 密码/确认密码:输入两次相同的密码。
¡ 接入服务:选择增加接入服务增加的接入服务“portal_Service”。
¡ 其他参数:保持缺省值。
(3) 单击<确定>按钮,完成增加接入用户,返回接入用户页面。可在接入用户列表中查看新增的接入用户,如下图所示。
配置Portal服务的步骤如下:
· 服务器配置
· IP地址组配置
· 设备配置
(1) 单击[自动化>网络准入>准入管理>Portal认证>服务器配置]菜单项,进入Portal服务器管理页面,如下图所示。
(2) 在“服务类型列表”区域中,单击<增加>按钮,弹出增加服务类型窗口,如下图所示。
参数说明:
¡ 服务类型标识:设备根据用户选择的服务类型确定相应的认证方案,必须与之前增加接入服务中的服务后缀相同。
¡ 服务类型:服务类型标识是设备使用的信息,用户可能无法直观地理解其内在的含义。因此使用服务类型对其进行解释,会显示在Portal认证主页上,便于用户对服务类型的理解。其中,服务类型信息不能为空,并且不能和现有的服务类型信息相同,服务类型的数量不能超过64个。
(3) 单击<确定>按钮,完成增加服务类型。可在服务类型列表中查看新增的服务类型,如下所示。
(1) 单击[自动化>网络准入>准入管理>Portal认证>IP地址组配置]菜单项,进入IP地址组配置页面,如下图所示。
图3-18 IP地址组配置
(2) 单击<增加>按钮,进入增加IP地址组页面,如下图所示。
图3-19 增加IP地址组
(3) 输入IP地址组名,本例为“portal_Address”,并输入起始地址和终止地址IP地址。其中,属于该地址段的终端都要进行认证。
(4) 单击<确定>按钮,完成增加IP地址组,返回IP地址组配置页面。可在IP地址组列表中查看新增的IP地址组,如下图所示。
(1) 单击[自动化>网络准入>准入管理>Portal认证>设备配置]菜单项,进入设备配置页面,如下图所示。
(2) 单击<增加>按钮,进入增加设备信息页面,如下图所示。
参数说明:
¡ 设备名:输入设备名称,本例为“zhangsan-Switch”。
¡ 公网IP:公司外部网络环境可以访问到这台设备的IP。若支持DTLS协议,不同组网方式下,公网IP填写值不同,具体介绍如下:
- 非NAT组网下,填写为“Portal设备的上行口IP地址”;
- NAT组网下,若Portal设备的公网IP是固定的,则填写真实的公网IP即可;
- NAT组网下,若Portal设备的公网IP不是固定的,则可随意填写一个目前在准入服务器系统中不存在的IP(即确保Portal设备列表中每条记录的公网IP字段是唯一的、不重复的)。
¡ 私网IP:公司内部网络环境可以访问到这台设备的IP。NAT组网场景下配置Portal认证必须填私网IP。
¡ 密钥\确认密钥:输入“movie”。密钥要与设备上配置的Portal服务器密钥保持一致。
¡ 监听端口:此监听端口为Portal服务器与设备进行通信时,设备用来监听的UDP报文的端口号。
¡ 本地Challenge:在CHAP认证方式中,Portal服务器根据此配置来决定是否向设备发送Challenge请求报文,目前不支持本地Challenge方式。
¡ 认证重发次数:认证重发次数决定了Portal服务器在认证响应报文超时之后的认证请求重发次数。
¡ 下线重发次数:下线重发次数决定了Portal服务器在下线响应报文超时之后的下线请求重发次数。
¡ 支持逃生心跳:该参数表示本系统准入服务器是否针对这台Portal接入设备启用逃生心跳功能。如果设备不支持逃生心跳功能,或者Portal服务器不针对该设备启用逃生心跳功能,请将该参数设置为“否”。
¡ 支持用户心跳:该参数表示本系统准入服务器是否针对这台Portal设备启用用户心跳功能。如果设备不支持用户心跳功能,或者Portal服务器不针对该设备启用用户心跳功能,请将该参数设置为“否”。
¡ 版本:准入服务器支持Portal 2.0、Portal 3.0、CMCC和华为Portal。各选项的使用说明如下:
- 当NAS设备是华为设备时,请选择华为Portal。
- 当NAS设备是其他厂商的设备时,请选择CMCC。
¡ 支持DTLS协议:此参数用于配置本系统准入服务器是否与Portal设备通过DTLS协议建立加密通信,以确保数据传输的安全性。若Portal设备不支持DTLS协议,请将此参数设置为“否”。
¡ 业务分组:用于分权管理,使特定的人只能管理特定的业务,既职责分明,也不会互相越权。配置该Portal设备所属的业务分组,用于Portal设备的分权管理。只有拥有该业务分组权限的管理员/维护员才能配置Portal。
¡ 组网方式:此设备配置为直连、三层或二次地址分配方式进行认证,本例配置为“直连”。
- 直连:用户在认证前通过手工配置或DHCP直接获取一个IP地址,只能访问Portal服务器,以及设定的免费访问地址;认证通过后即可访问网络资源。
- 三层:和直连基本相同,但是这种认证方式允许认证客户端和接入设备之间跨越三层转发设备。
- 二次地址分配:多用于校园、社区、公司等局域网的用户,接入设备首先为用户分配一个私网地址,用户使用这个私网地址访问局域网内的资源; 如果用户需要访问互联网,那么接入设备会强制进行Portal认证,一旦认证通过,设备会分配给用户一个公网地址,用户使用这个公网地址访问Internet。 这个过程就是二次地址分配。该参数必须与设备的配置相同。
¡ 设备序列号:用于唯一标识设备的识别码,目前该参数应用于在NAT组网且Portal设备的公网IP不是固定的场景下。在这种场景下,除了填写设备序列号外,还需要开启Portal设备的server-register命令,该命令可使Portal服务器能动态获取到设备的公网IP。
¡ 设备描述:用户可以通过对设备的具体描述区分所有的设备。
(3) 单击<确定>按钮,完成增加设备信息。返回设备配置页面,可在列表中查看新增的设备信息,如下图所示。
(4) 单击列表操作列的端口组信息管理图标
,进入端口组信息配置页面,如下图所示。
(5) 单击<增加>按钮,进入增加端口组信息页面,如下图所示。
参数说明:
¡ 端口组名:端口组的名称,不能和已添加的所有设备信息下已经存在的任一端口组名相同。本例为“port-Port”。
¡ 认证方式:认证方式分为PAP、CHAP和EAP。纯网页认证,客户端可溶解客户端认证以及“无感知认证”不支持EAP认证方式。本例选择“CHAP认证”。
¡ 无感知认证:开启无感知认证功能。无感知认证是指终端用户可以使用智能终端(如智能手机等)通过网页方式进行Portal认证,仅第一次认证时Portal网关会强制推出认证页面,终端用户需要输入用户名和密码进行认证,第一次认证成功后,Portal服务器会将该智能终端的MAC地址和准入服务器中的用户及服务配置绑定,之后如果该智能终端再次接入网络,Portal网关和Portal服务器会根据智能终端的MAC地址自动匹配准入服务器中的用户,并自动进行Portal认证,Portal网关不会再强制推出Portal认证页面,当然也不需要再次输入用户名和密码,这样就实现了智能终端的无感知认证。本特性需要设备支持。本例选择“支持”。
¡ IP地址组:选择本端口组要使用的IP地址组。如果选择了NAT方式,那么本端口组只能选择公网的IP地址组。选择IP地址组配置配置的“portal_Address”。
¡ 页面推送策略:根据配置的页面推送策略,在页面推送策略配置中找到对应的认证页面,用户访问Portal服务器将被重定向到此页面。如果所配置的页面推送策略为空或者没有找到配置的认证页面,用户访问Portal服务器将被重定向到配置的默认认证页面。
¡ 缺省认证页面:Portal用户认证的页面,本例选择“PC-缺省PC账号认证”。
¡ 开始/终止端口:设置此端口组所对应设备的开始/终止端口。
¡ 协议类型:系统支持HTTP和HTTPS协议。
¡ 快速认证:系统支持快速认证。如果选择快速认证,在进行认证时可以不输入用户名和密码,设备会根据实际的情况如所在的设备端口、MAC或者VLAN ID等信息进行认证。如果不选择快速认证,则必须输入用户名称和密码。本特性需要设备的支持。
¡ 是否NAT:系统支持NAT用户进行Portal认证。如果设备配置为二次地址分配,那么此项只能选择“否”,即“二次地址分配”和“NAT”属性是互斥的。本特性需要设备的支持。并且使用同一IP地址组的端口组信息其是否NAT的属性也必须一致。
¡ 错误透传:如果选择错误透传,系统会将设备返回的错误信息发送到用户侧。本特性需要设备的支持。
¡ 提示语言:选择通过此端口接入用户的提示语言。选项包括“中文”,“英文”和“动态检测”三种。如果选择“动态检测”,根据使用的浏览器语言来显示用户的提示信息。 目前提示语言的种类仅支持“中文”和“英文”,若使用的浏览器不是中文,则不管是什么其他语言,都显示为英文。
¡ 客户端防破解:该参数启用后,用户使用配置了“仅限客户端”的服务进行Portal认证时,准入服务器与客户端配合实现客户端防破解。进行客户端防破解时,需要在 “用户>接入策略管理>业务参数配置>系统配置>客户端防破解配置”增加客户端管理中心并生效。
¡ 心跳间隔:心跳间隔时间用来控制用户和Portal服务器之间的握手时间间隔,0表示没有心跳。
¡ 心跳超时:心跳超时时间用来控制用户和Portal服务器之间的握手超时时间,心跳超时时间不能小于心跳间隔时间的两倍,0表示没有心跳。当心跳间隔为0时,心跳超时也应配置为0。
¡ 用户域名:输入此端口组所对应的域名。用户域名必须与设备端配置的一致,否则用户无法通过设备的认证。在设备使用用户域名的情况下,如果用户在认证主页上输入的用户名并没有带上域名, 那么Portal服务器会自动在用户名后面加上此处配置的域名;否则Portal服务器将发送不带域名的用户名给设备。
¡ 端口组描述:端口组描述用于描述此端口组信息。
(6) 单击<确定>按钮,完成增加端口组信息。返回端口组信息管理页面,可在端口组信息管理列表中查看新增的端口组信息,如下图所示。
单击[自动化>网络准入>准入管理>参数管理>终端管理>终端管理参数配置]菜单项,进入终端管理参数配置页面。将“无感知认证”项配置为“启用”、将“非智能终端Portal无感知认证”项配置为“允许”,其他参数保持缺省值,如下图所示。
选择“禁用”非智能终端Portal无感知认证,则用户只能在智能终端上进行Portal无感知认证,用户在非智能终端上无法进行Portal无感知认证。
单击[自动化>网络准入>准入管理>参数管理>终端管理>终端老化策略配置]菜单项,进入终端老化策略配置页面。
按需增加终端老化策略或直接使用缺省策略,如需增加终端老化策略,参数说明如下。本例选择直接使用缺省策略。
· 终端老化方式:包括按绑定时间和按闲置时长两种类型,该参数与“无感知终端老化时长”配合使用。
¡ 如果配置为按绑定时间,则终端首次进行无感知认证后的时间超过终端老化时长后准入服务器老化该终端,下次认证需要重新输入账号名和密码。例如,终端老化时长设置为1天时,如果某终端首次无感知认证日期为 2019-12-1,那么准入服务器在2019-12-2凌晨老化该终端。
¡ 如果配置为按闲置时长,则终端未上线时长超过老化时长后,准入服务器老化该终端,下次认证需要重新输入账号名和密码。例如,终端老化策略设置为1天时,如果某终端最后下线日期为 2019-12-1,那么准入服务器在2019-12-3凌晨老化该终端。
· 无感知终端老化时长:按天或小时配置无感知终端老化时长。按天配置终端老化时长,准入服务器每天凌晨老化符合条件的终端;按小时配置终端老化时长,准入服务器实时老化超过老化时长的终端。例如,终端老化方式配置为按绑定时间,终端首次进行无感知认证的时间是2019-12-1上午10点 ,如果终端老化时长配置为24小时,那么准入服务器在2019-12-2上午10点以后老化该终端;如果终端老化时长配置为1天,那么准入服务器在2019-12-2日凌晨老化该终端。
· 无感知终端老化动作:在启用VXLAN组网时显示。按“修改MAC Portal状态”和“删除终端”两种动作来触发终端老化。
· 非无感知终端老化时长:按天或小时配置非无感知终端老化时长。按天配置终端老化时长,准入服务器每天凌晨老化超过老化时长且已下线的终端;按小时配置终端老化时长,准入服务器实时老化超过老化时长且已下线的终端。例如,终端最后一次接入网络的时间是2019-12-1上午10点 ,如果终端老化时长配置为24小时,那么准入服务器在2019-12-2上午10点以后当该终端下线后实时老化该终端;如果终端老化时长配置为1天,那么准入服务器在2019-12-3日及以后每天凌晨检查该终端是否下线,如果该终端已下线则执行老化终端操作。
· 终端MAC地址与接入用户进行关联后,该终端再次接入网络时无需输入账号名及密码,系统自动进行Portal认证。为了安全起见,系统定时删除超过老化时长的终端,此后终端再次接入网络时,需要再次输入账号名及密码重新绑定。
· 老化时长设置为0天/小时,MAC地址将永远不老化。
接入设备用于控制用户的接入。通过认证的用户可以接入网络,未通过认证的用户无法接入网络。
以下使用Windows的CLI窗口telnet到接入设备并进行配置,具体的命令及其说明如下:
(1) 进入系统视图。
<Device>system-view
System View: return to User View with Ctrl+Z.
(2) 配置RADIUS策略“allpermit”。认证、计费服务器均指向EIA。认证端口、计费端口、共享密钥要与增加接入设备中的配置保持一致。
[Device]radius scheme allpermit
New Radius scheme
[Device-radius-allpermit]primary authentication 172.19.206.7 1812
[Device-radius-allpermit]primary accounting 172.19.206.7 1813
[Device-radius-allpermit]key authentication simple movie
[Device-radius-allpermit]key accounting simple movie
[Device-radius-allpermit]user-name-format with-domain
[Device-radius-allpermit]nas-ip 172.19.254.177
[Device-radius-allpermit]quit
(3) 配置domain域“portal”,引用配置好的“allpermit”策略。domain的名称必须与增加接入服务中配置的服务后缀保持一致。
[Device]domain portal
[Device-isp-portal]authentication portal radius-scheme allpermit
[Device-isp-portal]authorization portal radius-scheme allpermit
[Device-isp-portal]accounting portal radius-scheme allpermit
[Device-isp-portal]quit
(4) 配置Portal认证服务器:名称为myportal,IP地址指向EIA,key要与设备配置中配置的密钥一致。
[Device]portal server myportal
New portal server added.
[Device-portal-server-myportal]ip 172.19.206.7 key simple movie
[Device-portal-server-myportal]quit
(5) 配置Portal Web服务器的URL为http://172.19.206.7:9092/portal,要与服务器配置中“Portal主页”项中的配置项一致。
[Device]portal web-server myportal
New portal web-server added.
[Device-portal-websvr-myportal]url http://172.19.206.7:9092/portal
[Device-portal-websvr-myportal]quit
(6) 创建MAC绑定服务器并配置MAC绑定服务器的IP地址。服务器用来记录用户的Portal认证信息(用户名、密码)和用户终端MAC地址,并进行二者绑定,以便替代用户完成Portal认证。其中,IP地址指向EIA服务器地址,密钥与增加接入设备中的配置相同。
[Device]portal mac-trigger-server mtsp
[Device-portal-mac-trigger-server mtsp]ip 172.19.206.7 key simple movie
(7) 将接口GigabitEthernet 1/0/16划分至VLAN。
[Device]interface GigabitEthernet 1/0/16
[Device-GigabitEthernet1/0/16]port access vlan 108
[Device-GigabitEthernet1/0/16]port link-mode bridge
(8) 在接口GigabitEthernet 1/0/16所在VLAN虚接口Vlan-interface 108上开启直接方式的Portal,引用Portal Web服务器myportal,引用MAC绑定服务器mtsp,设置发送给Portal认证服务器的Portal报文中的BAS-IP属性值,该BAS-IP需和设备配置中的公网IP保持一致。
[Device]interface Vlan-interface 108
[Device-Vlan-interface108]ip address 108.108.108.1 255.255.255.0
[Device-Vlan-interface108]portal enable method direct
[Device-Vlan-interface108]portal apply web-server myportal
[Device-Vlan-interface108]portal apply mac-trigger-server mtsp
[Device-Vlan-interface108]portal bas-ip 108.108.108.1
[Device-Vlan-interface108]portal domain portal
[Device-Vlan-interface108]quit
若网络中存在防火墙设备,请确保网络中开放相应的UDP端口。
配置完成后,使用Web网页进行认证,认证步骤如下:
(1) 打开浏览器,首次认证时,在浏览器中访问任意网址,即可被重定向至Portal认证页面,如下图所示。
(2) 在认证页面输入用户名及密码,并选择服务类型为“无感知认证”,如下图所示。
(3) 单击<上线>按钮,终端认证成功,可正常访问网络,如下图所示,后续用户登录时无需再次输入用户名及密码,即可正常访问网络。
支持
