41-Portal认证
本章节下载: 41-Portal认证 (626.91 KB)
Portal在英语中是入口的意思。Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。
未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时,必须在门户网站进行认证,只有认证通过后才可以使用互联网资源。
用户可以主动访问已知的Portal认证网站,输入用户名和密码进行认证,这种开始Portal认证的方式称作主动认证。反之,如果用户试图通过HTTP访问其他外网,将被强制访问Portal认证网站,从而开始Portal认证过程,这种方式称作强制认证。
Portal业务可以为运营商提供方便的管理功能,门户网站可以开展广告、社区服务、个性化的业务等,使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。
Portal的扩展功能主要是指通过强制接入终端实施补丁和防病毒策略,加强网络终端对病毒攻击的主动防御能力。具体扩展功能如下:
· 在Portal身份认证的基础上增加了安全认证机制,可以检测接入终端上是否安装了防病毒软件、是否更新了病毒库、是否安装了非法软件、是否更新了操作系统补丁等。
· 用户通过身份认证后仅仅获得访问部分互联网资源(受限资源)的权限,如病毒服务器、操作系统补丁更新服务器等;当用户通过安全认证后便可以访问更多的互联网资源(非受限资源)。
Portal的典型组网方式如下图所示,它由五个基本要素组成:认证客户端、接入设备、Portal服务器、认证/计费服务器和安全策略服务器。
由于Portal服务器可以是接入设备之外的独立实体,也可以是存在于接入设备之内的内嵌实体,本文称之为“本地Portal服务器”,因此下文中除对本地支持的Portal服务器做特殊说明之外,其它所有Portal服务器均指独立的Portal服务器,请勿混淆。
图1-1 Portal系统组成示意图
安装于用户终端的客户端系统,为运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的主机。对接入终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息交流完成的。
交换机、路由器等宽带接入设备的统称,主要有三方面的作用:
· 在认证之前,将认证网段内用户的所有HTTP请求都重定向到Portal服务器。
· 在认证过程中,与Portal服务器、安全策略服务器、认证/计费服务器交互,完成身份认证/安全认证/计费的功能。
· 在认证通过后,允许用户访问被管理员授权的互联网资源。
接收Portal客户端认证请求的服务器端系统,提供免费门户服务和基于Web认证的界面,与接入设备交互认证客户端的认证信息。
与接入设备进行交互,完成对用户的认证和计费。
与Portal客户端、接入设备进行交互,完成对用户的安全认证,并对用户进行授权操作。
以上五个基本要素的交互过程为:
(1) 未认证用户访问网络时,在Web浏览器地址栏中输入一个互联网的地址,那么此HTTP请求在经过接入设备时会被重定向到Portal服务器的Web认证主页上;若需要使用Portal的扩展认证功能,则用户必须使用Portal客户端。
(2) 用户在认证主页/认证对话框中输入认证信息后提交,Portal服务器会将用户的认证信息传递给接入设备。
(3) 然后接入设备再与认证/计费服务器通信进行认证和计费。
(4) 认证通过后,如果未对用户采用安全策略,则接入设备会打开用户与互联网的通路,允许用户访问互联网;如果对用户采用了安全策略,则客户端、接入设备与安全策略服务器交互,对用户的安全检测通过之后,安全策略服务器根据用户的安全性授权用户访问非受限资源。
· 无论是Web客户端还是H3C iNode客户端发起的Portal认证,均能支持Portal认证穿越NAT,即Portal客户端位于私网、Portal服务器位于公网,接入设备上启用NAT功能的组网环境下,NAT地址转换不会对Portal认证造成影响。
· 目前支持Portal认证的远端认证/计费服务器为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。
· 目前通过访问Web页面进行的Portal认证不能对用户实施安全策略检查,安全检查功能的实现需要与H3C iNode客户端配合。
本地Portal服务器功能是指,Portal认证系统中不采用外部独立的Portal服务器,而由接入设备实现Portal服务器功能。这种情况下,Portal认证系统仅包括三个基本要素:认证客户端、接入设备和认证/计费服务器,如下图所示。由于设备支持Web用户直接认证,因此就不需要部署额外的Portal服务器,增强了Portal认证的通用性。
图1-2 使用本地Portal服务器的Portal系统组成示意图
· 使用本地Portal服务器的Portal认证系统不支持Portal扩展功能,因此不需要部署安全策略服务器。
· 内嵌本地Portal服务器的接入设备实现了简单的Portal服务器功能,仅能给用户提供通过Web方式登录、下线的基本功能,并不能完全替代独立的Portal服务器。
认证客户端和内嵌本地Portal服务器的接入设备之间可以采用HTTP和HTTPS协议通信。若客户端和接入设备之间交互HTTP协议,则报文以明文形式传输,安全性无法保证;若客户端和接入设备之间交互HTTPS协议,则报文基于SSL提供的安全机制以密文的形式传输,数据的安全性有保障。
不同的组网方式下,可采用的Portal认证方式不同。按照网络中实施Portal认证的网络层次来分,Portal的认证方式分为两种:二层认证方式和三层认证方式。
这种方式支持在接入设备连接用户的二层端口上开启Portal认证功能,只允许源MAC地址通过认证的用户才能访问外部网络资源。目前,该认证方式仅支持本地Portal认证,即接入设备作为本地Portal服务器向用户提供Web认证服务。
另外,该方式还支持服务器下发授权VLAN和将认证失败用户加入认证失败VLAN功能(三层认证方式不支持)。
这种方式支持在接入设备连接用户的三层接口上开启Portal认证功能。三层接口Portal认证又可分为:直接认证方式和可跨三层认证方式。直接认证方式下,认证客户端和接入设备之间没有三层转发;可跨三层认证方式下,认证客户端和接入设备之间可以跨接三层转发设备。
· 直接认证方式:用户在认证前通过手工配置或DHCP直接获取一个IP地址,只能访问Portal服务器,以及设定的免费访问地址;认证通过后即可访问网络资源。
· 可跨三层认证方式:和直接认证方式基本相同,但是这种认证方式允许认证客户端和接入设备之间跨越三层转发设备。
对于以上两种认证方式,IP地址都是用户的唯一标识。接入设备基于用户的IP地址下发ACL对接口上通过认证的用户报文转发进行控制。由于直接认证下的接入设备与用户之间未跨越三层转发设备,因此接口可以学习到用户的MAC地址,接入设备可以利用学习到MAC地址增强对用户报文转发的控制粒度。
在对接入用户身份可靠性要求较高的网络应用中,传统的基于用户名和口令的用户身份验证方式存在一定的安全问题,基于数字证书的用户身份验证方式通常被用来建立更为安全和可靠的网络接入认证机制。
EAP(Extensible Authentication Protocol,可扩展认证协议)可支持多种基于数字证书的认证方式(例如EAP-TLS),它与Portal认证相配合,可共同为用户提供基于数字证书的接入认证服务。
图1-3 Portal支持EAP认证协议交互示意图
如上图所示,在Portal支持EAP认证的实现中,客户端与Portal服务器之间交互EAP认证报文,Portal服务器与接入设备之间交互携带EAP-Message属性的Portal协议报文,接入设备与RADIUS服务器之间交互携带EAP-Message属性的RADIUS协议报文,由具备EAP服务器功能的RADIUS服务器处理EAP-Message属性中封装的EAP报文,并给出EAP认证结果。整个EAP认证过程中,接入设备只是对Portal服务器与RADIUS服务器之间的EAP-Message属性进行透传,并不对其进行任何处理,因此接入设备上无需任何额外配置。
目前,二层Portal认证只支持本地Portal认证,即由接入设备作为本地Portal服务器向用户提供Web认证服务,具体认证过程如下。
图1-4 二层Portal认证流程图
(1) Portal用户通过HTTP或HTTPS协议发起认证请求。HTTP报文经过配置了本地Portal服务器的接入设备的端口时会被重定向到本地Portal服务器的监听IP地址,本地Portal服务器提供Web页面供用户输入用户名和密码来进行认证。该本地Portal服务器的监听IP地址为接入设备上一个与用户之间路由可达的三层接口IP地址(通常为Loopback接口IP)。
(2) 接入设备与RADIUS服务器之间进行RADIUS协议报文的交互,对用户身份进行验证。
(3) 如果RADIUS认证成功,则接入设备上的本地Portal服务器向客户端发送登录成功页面,通知客户端认证(上线)成功。
ACL(Access Control List,访问控制列表)提供了控制用户访问网络资源和限制用户访问权限的功能。当用户上线时,如果服务器上配置了授权ACL,则设备会根据服务器下发的授权ACL对用户所在端口的数据流进行控制;在服务器上配置授权ACL之前,需要在设备上配置相应的规则。管理员可以通过改变服务器的授权ACL设置或设备上对应的ACL规则来改变用户的访问权限。
(1) Portal用户通过HTTP协议发起认证请求。HTTP报文经过接入设备时,对于访问Portal服务器或设定的免费访问地址的HTTP报文,接入设备允许其通过;对于访问其它地址的HTTP报文,接入设备将其重定向到Portal服务器。Portal服务器提供Web页面供用户输入用户名和密码来进行认证。
(2) Portal服务器与接入设备之间进行CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)认证交互。若采用PAP(Password Authentication Protocol,密码验证协议)认证则直接进入下一步骤。
(3) Portal服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备,同时开启定时器等待认证应答报文。
(4) 接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。
(6) Portal服务器向客户端发送认证通过报文,通知客户端认证(上线)成功。
(8) 客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全性是否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。
(9) 安全策略服务器根据用户的安全性授权用户访问非受限资源,授权信息保存到接入设备中,接入设备将使用该信息控制用户的访问。
(1) Portal用户通过HTTP或HTTPS协议发起认证请求。HTTP报文经过配置了本地Portal服务器的接入设备的接口时会被重定向到本地Portal服务器,本地Portal服务器提供Web页面供用户输入用户名和密码来进行认证。该本地Portal服务器的监听IP地址为接入设备上一个与用户之间路由可达的三层接口IP地址。
(2) 接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。
(3) 接入设备中的本地Portal服务器向客户端发送登录成功页面,通知客户端认证(上线)成功。
支持EAP认证的Portal认证流程如下(各Portal认证方式下EAP认证的处理流程相同,此处仅以直接方式的Portal认证为例):
(1) Portal客户端发起EAP认证请求,向Portal服务器发送Identity类型的EAP请求报文。
(2) Portal服务器向接入设备发送Portal认证请求报文,同时开启定时器等待Portal认证应答报文,该认证请求报文中包含若干个EAP-Message属性,这些属性用于封装Portal客户端发送的EAP报文,并可携带客户端的证书信息。
(3) 接入设备接收到Portal认证请求报文后,构造RADIUS认证请求报文与RADIUS服务器进行认证交互,该RADIUS认证请求报文的EAP-Message属性值由接入设备收到的Portal认证请求报文中的EAP-Message属性值填充。
(4) 接入设备根据RADIUS服务器的回应信息向Portal服务器发送证书请求报文,该报文中同样会包含若干个EAP-Message属性,可用于携带RADIUS服务器的证书信息,这些属性值由RADIUS认证回应报文中的EAP-Message属性值填充。
(5) Portal服务器接收到证书请求报文后,向Portal客户端发送EAP认证回应报文,直接将RADIUS服务器响应报文中的EAP-Message属性值透传给Portal客户端。
(6) Portal客户端继续发起的EAP认证请求,与RADIUS服务器进行后续的EAP认证交互,期间Portal认证请求报文可能会出现多次。后续认证过程与第一个EAP认证请求报文的交互过程类似,仅EAP报文类型会根据EAP认证阶段发展有所变化,此处不再详述。
(7) EAP认证通过后,RADIUS服务器向接入设备发送认证通过响应报文,该报文的EAP-Message属性中封装了EAP认证成功报文(EAP-Success)。
(8) 接入设备向Portal服务器发送认证应答报文,该报文的EAP-Message属性中封装了EAP认证成功报文。
(9) Portal服务器根据认证应答报文中的认证结果通知Portal客户端认证成功。
后续为Portal认证扩展功能的交互过程,可参考CHAP/PAP认证方式下的认证流程介绍,此处略。
Portal提供了一个用户身份认证和安全认证的实现方案,但是仅仅依靠Portal不足以实现该方案。接入设备的管理者需选择使用RADIUS认证方法,以配合Portal完成用户的身份认证。Portal认证的配置前提:
· 使能Portal的接口已配置或者获取了合法的IP地址。
· Portal服务器、RADIUS服务器已安装并配置成功。本地Portal认证无需单独安装Portal服务器。
· 用户、接入设备和各服务器之间路由可达。
· 如果通过远端RADIUS服务器进行认证,则需要在RADIUS服务器上配置相应的用户名和密码,然后在接入设备端进行RADIUS客户端的相关设置。RADIUS客户端的具体配置请参见“RADIUS”。
· 如果需要支持Portal的扩展功能,需要安装并配置iMC EAD。同时保证在接入设备上的ACL配置和安全策略服务器上配置的受限资源ACL号、非受限资源ACL号对应。接入设备上的安全策略服务器地址与认证服务器地址一致,相关配置请参见“RADIUS”。
二层Portal认证配置的推荐步骤如下表所示。
表1-1 二层Portal认证配置步骤
步骤 |
配置任务 |
说明 |
1 |
必选 配置本地Portal服务器,并应用到二层接口上,以及配置二层Portal认证的相关参数 缺省情况下,不存在任何本地Portal服务器 为使二层接口上的Portal认证功能正常运行,不建议接口上同时启用端口安全或802.1X的Guest VLAN功能 |
|
2 |
可选 配置Web代理服务器端口、认证成功后自动跳转的等待时长和目的URL、端口迁移功能 |
|
3 |
可选 配置Portal的免认证策略,指定源过滤条件或目的过滤条件 通过配置免认证策略可以让特定的用户访问外网特定资源,这是由免认证策略中配置的源信息以及目的信息决定的。符合免认证策略的报文不会触发Portal认证,而是直接访问网络资源 缺省情况下,不存在任何免认证策略 |
表1-2 三层Portal认证配置步骤
通过配置免认证策略可以让特定的用户访问外网特定资源,这是由免认证策略中配置的源信息以及目的信息决定的。符合免认证策略的报文不会触发Portal认证,而是直接访问网络资源 |
(1) 在导航栏中选择“认证 > Portal认证”,默认进入“配置Portal服务器”页签的页面,如下图所示。
接口上应用Portal服务有以下两种状态:
· 运行:表示接口上的Portal认证已生效。
· 已启动:表示接口上的Portal认证已使能,但未生效。
(2) 在“应用Portal服务:二层接口”中单击<新建>按钮,进入如下图所示的页面。
图1-9 应用Portal服务(二层接口)
(3) 配置二层Portal认证,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表1-3 二层Portal认证的详细配置
配置项 |
说明 |
接口名称 |
设置要使能Portal认证的二层接口 |
认证域 |
设置二层Portal用户使用的认证域 通过在二层接口上配置Portal用户使用的认证域,使得所有从该接口接入的Portal用户被强制使用指定的认证域来进行认证、授权和计费。即使Portal用户输入的用户名中携带的域名相同,接入设备的管理员也可以通过该配置对不同接口指定不同的认证域,从而增加了管理员部署Portal接入策略的灵活性 可选的认证域在“认证 > AAA”中配置,详细配置请参见“AAA” |
在线探测时长 |
设置二层Portal用户在线探测时间间隔 二层接口上有Portal用户上线后,设备会启动一个用户在线探测定时器,定期对该接口上的所有在线用户的MAC地址表项进行探测,插卡定时器超时前该用户是否有报文发送到设备上(该用户MAC地址表项是否被命中过),来确认该用户是否在线,以便及时发现异常离线用户。若发现某用户MAC地址表项已经被老化或探测间隔内未收到过该用户的报文,则认为一次探测失败,连续两次探测失败后,设备会强制该用户下线 |
服务器IP地址 |
设置二层Portal认证的本地Portal服务器监听IP地址 此IP地址会被同时指定为设备上LoopBack接口的IP地址。利用LoopBack接口状态稳定的优点,可避免因为接口故障导致用户无法打开认证页面的问题;另外,由于发送到LoopBack接口的报文不会被转发到网络中,当请求上线的用户数目较大时,可减轻对系统性能的影响 |
认证页面传输协议 |
设置本地Portal服务器与客户端交互认证信息所使用的协议类型,包括HTTP和HTTPS |
PKI域 |
当认证页面传输协议选择“HTTPS”时,设置HTTPS协议所使用的PKI域 可选的PKI域在“认证 > PKI”中配置,详细配置请参见“PKI” 服务管理、Portal认证两个个模块中引用的PKI域是相互关联的,在任何一个模块进行了修改,另外一个模块中引用的PKI域也会随之改变 |
(1) 在导航栏中选择“认证 > Portal认证”,默认进入“配置Portal服务器”页签的页面,如图1-8所示。
(2) 在“应用Portal服务:三层接口”中单击<新建>按钮,进入如下图所示的页面。
图1-10 应用Portal服务(三层接口)
表1-4 三层Portal认证的详细配置
· 使用已有服务器:可以在下来框中选择一个已经存在的Portal服务器 · 新建服务器:选择此项时,页面下方显示如图1-11所示的内容,可以新建一个三层Portal认证的远程Portal服务器,并应用到该接口,详细配置如表1-5所示 · 使能本地服务:选择此项时,页面下方显示如图1-12所示的内容,可以配置三层Portal认证的本地Portal服务的相关参数,详细配置如表1-6所示 |
|
对于跨三层设备支持Portal认证的应用只能配置Layer3方式,但Layer3方式不要求接入设备和Portal用户之间必需跨越三层设备 |
|
当认证方式选择“Layer3”时,设置认证网段的IP地址和掩码 通过配置认证网段实现只允许源IP地址在认证网段范围内的用户HTTP报文才能触发Portal强制认证;如果未主动认证的用户的HTTP报文既不满足免认证策略又不在认证网段内,则将被接入设备丢弃 |
|
通过在三层接口上配置Portal用户使用的认证域,使得所有从该接口接入的Portal用户被强制使用指定的认证域来进行认证、授权和计费。即使Portal用户输入的用户名中携带的域名相同,接入设备的管理员也可以通过该配置对不同接口指定不同的认证域,从而增加了管理员部署Portal接入策略的灵活性 |
表1-5 新建Portal服务器的详细配置
图1-12 本地Portal服务配置
表1-6 本地Portal服务的详细配置
当认证页面传输协议选择“HTTPS”时,设置HTTPS协议所使用的PKI域 可选的PKI域在“认证 > PKI”中配置,详细配置请参见“ PKI” 服务管理、Portal认证两个模块中引用的PKI域是相互关联的,在任何一个模块进行了修改,另外一个模块中引用的PKI域也会随之改变 |
(1) 在导航栏中选择“认证 > Portal认证”,进入“配置Portal服务器”页签的页面,如图1-8所示。
(2) 单击页面下方的“高级设置”前的扩展按钮,展开Portal认证高级参数的配置内容,如下图所示。
(3) 配置Portal认证高级参数,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表1-7 Portal认证高级参数的详细配置
配置项 |
说明 |
Web代理服务器端口 |
设置Web代理服务器端口号,以允许使用Web代理服务器的用户浏览器发起的HTTP请求也可以触发Portal认证;否则,只有未配置Web代理服务器的用户浏览器发起的HTTP请求才能触发Portal认证 除了配置Web代理服务器端口,还需要用户在其浏览器上将本地Portal服务器IP地址配置为Web代理服务器的例外地址,避免Portal用户发送给本地Portal服务器的HTTP报文被发送到Web代理服务器上,从而影响正常的Portal认证 · 此特性仅二层Portal认证支持。 · 如果用户浏览器采用WPAD方式自动配置Web代理,则设备上不仅需要配置Web代理服务器端口,还需要配置免认证策略,允许目的IP为WPAD主机IP地址的用户报文免认证 |
认证成功后跳转到URL |
设置Portal用户认证成功后认证页面的自动跳转目的网站地址 未认证用户上网时,首先会主动或被强制登录到Portal认证页面进行认证,当用户输入正确的认证信息且认证成功后,若设备上指定了认证页面的自动跳转目的网站地址,则认证成功的用户将在一定的时间间隔之后被强制登录到该指定的目的网站页面 |
等待时长 |
设置Portal用户认证成功后认证页面等待进行跳转的时间间隔 |
启用端口迁移功能 |
设置是否启用Portal用户认证端口的自动迁移功能 在用户和设备之间存在Hub、二层交换机或AP的组网环境下,若在线用户在未下线的情况下从同一设备上的当前认证端口离开并迁移到其它使能了二层Portal的认证端口上接入时,由于原端口上仍然存在该用户的认证信息,因此设备默认不允许用户在新端口上认证上线 启用端口迁移功能后,设备允许在线用户离开当前端口后在新端口上上线,具体分为以下两种情况: · 若原认证端口状态未down,且用户先后接入的两个端口属于同一个VLAN,则用户不需要重新认证就能够继续以在线状态在新的端口上访问网络,并按照新的端口信息继续计费 · 若原认证端口状态变为down,或者原认证端口状态未down但是两个认证端口所属的VLAN不同,则设备会将用户在原端口上的认证信息删除掉,并要求用户在新端口上重新进行认证 用户迁移到新端口上之后,若设备发现该用户具有授权属性(例如授权VLAN),则设备会尝试在新的端口上添加该用户的授权信息,若授权信息添加失败,设备会删除原端口上的用户信息,要求用户重新进行认证 |
(1) 在导航栏中选择“认证 > Portal认证”。
(2) 单击“免认证策略配置”页签,进入如下图所示的页面。
(3) 单击<新建>按钮,进入新建免认证策略的配置页面,如下图所示。
(4) 配置免认证策略,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
配置项 |
说明 |
序号 |
设置免认证策略的序号 |
源接口 |
设置免认证策略的源接口 |
源IP地址 |
设置免认证策略的源IP地址和网络掩码 |
网络掩码 |
|
源MAC地址 |
设置免认证策略的源MAC地址 如果同时配置了源IP地址和源MAC地址,则必须保证源IP地址的网络掩码为255.255.255.255,否则配置的MAC地址无效 |
源VLAN |
设置免认证策略的源VLAN编号 如果同时配置了源VLAN和源接口,则要求源接口必须属于该VLAN,否则该策略无效 |
目的IP地址 |
设置免认证策略的目的IP地址和网络掩码 |
网络掩码 |
用户主机与接入设备Switch直接相连,接入设备在端口GigabitEthernet1/0/1上对用户进行二层Portal认证。具体要求如下:
· 使用iMC服务器作为远程RADIUS服务器进行认证、授权和计费。
· 本地Portal认证服务器的监听IP地址为4.4.4.4,设备使用HTTP协议传输认证数据。
· 保证配置Portal认证之前各主机、服务器和设备之间的路由可达。
· 完成RADIUS服务器的配置,保证用户的认证/授权/计费功能正常运行。本例中,RADIUS服务器上需要配置一个Portal用户(帐户名为userpt)。
· 完成DHCP服务器的配置,主要包括:指定为Portal客户端分配的IP地址范围(192.168.1.0/24);指定客户端的默认网关地址(192.168.1.1);确定分配给客户端的IP地址的租约期限;保证DHCP服务器上具有到达客户端主机的路由。
(1) 配置各以太网端口加入VLAN及对应VLAN接口的IP地址。(略)
· 在导航栏中选择“认证 > RADIUS”,默认进入“RADIUS服务器配置”页签的页面。进行如下配置,如图1-10所示。
图1-10 配置RADIUS认证服务器
图1-11 配置RADIUS计费服务器
· 如图1-11所示,选择服务类型为“计费服务器”。
· 单击“RADIUS参数设置”页签,进行如下配置,如图1-12所示。
图1-12 配置设备与RADIUS服务器交互的方案
· 选中“认证服务器共享密钥”前的复选框,输入认证密钥为“expert”。
· 选中“计费服务器共享密钥”前的复选框,输入计费密钥为“expert”。
(3) 配置系统缺省ISP域test,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
步骤1:在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面。
· 选中“Default认证”前的复选框,选择认证方式为“RADIUS”。
图1-14 配置ISP域的AAA认证方案
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
· 选中“Default授权”前的复选框,选择授权方式为“RADIUS”。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图1-16 配置ISP域的AAA授权方案
· 选中“Default计费”前的复选框,选择计费方式为“RADIUS”。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图1-17 配置ISP域的AAA计费方案
步骤2:单击“DHCP中继”页签,进入DHCP中继的配置页面。
步骤1:在“服务器组”中单击<新建>按钮,进入新建服务器组的配置页面。
图1-19 配置DHCP服务器组
(9) 配置接口Vlan-interface8工作在DHCP中继模式。
步骤1:在“接口设置”中单击Vlan-interface8对应的图标,进入接口的配置页面。
图1-20 配置接口Vlan-interface8工作在DHCP中继模式
(10) 配置本地Portal服务器,并应用到二层接口GigabitEthernet1/0/1(为Hybrid口)上。
步骤1:在导航栏中选择“认证 > Portal认证”,默认进入“配置Portal服务器”页签的页面。
步骤2:在“应用Portal服务:二层接口”中单击<新建>按钮,进入二层Portal认证的配置页面。
· 选择接口名称为“GigabitEthernet1/0/1”(为Hybrid口)。
图1-21 应用Portal服务(二层接口)
用户userpt未进行Web访问之前,位于初始VLAN(VLAN 8)中,并被分配192.168.1.0/24网段中的IP地址。当用户通过Web浏览器访问外部网络时,其Web请求均被重定向到认证页面http://4.4.4.4/portal/logon.htm。用户根据网页提示输入正确的用户名和密码后,能够成功通过Portal认证。通过认证的用户将可以访问外部网络。
· 用户主机与接入设备Switch直接相连,采用直接方式的Portal认证。用户通过手工配置或DHCP获取的一个公网IP地址进行认证,在通过Portal认证前,只能访问Portal服务器;在通过Portal认证后,可以使用此IP地址访问非受限互联网资源。
· 使用iMC服务器作为RADIUS服务器进行认证、授权和计费。
图1-22 Portal直接认证配置组网图
· 请保证在Portal服务器上添加的Portal设备的IP地址为与用户相连的接口的IP地址(2.2.2.1),且与该Portal设备关联的IP地址组为用户所在的网段(2.2.2.0/24)。
· 按照组网图配置设备各接口的IP地址,保证配置Portal认证之前各主机、服务器和设备之间的路由可达。
· 完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。
(1) 配置RADIUS方案system。
步骤1:配置RADIUS认证服务器。
· 在导航栏中选择“认证 > RADIUS”,默认进入“RADIUS服务器配置”页签的页面。进行如下配置,如图1-23所示。
图1-23 配置RADIUS认证服务器
· 选择服务类型为“认证服务器”。
· 输入IP地址为“192.168.0.112”。
· 输入端口为“1812”。
· 选择主服务器状态为“active”。
· 单击<确定>按钮完成操作。
步骤2:配置RADIUS计费服务器。
图1-24 配置RADIUS计费服务器
· 选择服务类型为“计费服务器”。
· 输入IP地址为“192.168.0.112”。
· 输入端口为“1813”。
· 选择主服务器状态为“active”。
· 单击<确定>按钮完成操作
步骤3:配置设备与RADIUS服务器交互的方案。
· 单击“RADIUS参数设置”页签,进行如下配置,如图1-25所示。
图1-25 配置设备与RADIUS服务器交互的方案
· 选择服务器类型为“extended”。
· 选中“认证服务器共享密钥”前的复选框,输入认证密钥为“expert”。
· 输入确认认证密钥为“expert”。
· 选中“计费服务器共享密钥”前的复选框,输入计费密钥为“expert”。
· 输入确认计费密钥为“expert”。
· 选择用户名格式为“without-domain”。
· 单击<确定>按钮完成操作。
(2) 配置系统缺省ISP域test,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
步骤1:在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面。
步骤2:进行如下配置,如下图所示。
· 输入域名为“test”。
· 选择缺省域为“Enable”。
步骤3:单击<应用>按钮完成操作。
(3) 配置ISP域的AAA认证方案。
步骤1:单击“认证”页签,进入AAA认证方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Default认证”前的复选框,选择认证方式为“RADIUS”。
· 选择认证方案名称为“system”。
图1-27 配置ISP域的AAA认证方案
步骤3:单击<应用>按钮,弹出配置进度对话框,如下图所示。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(4) 配置ISP域的AAA授权方案。
步骤1:单击“授权”页签,进入AAA授权方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Default授权”前的复选框,选择授权方式为“RADIUS”。
· 选择授权方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图1-29 配置ISP域的AAA授权方案
(5) 配置ISP域的AAA计费方案。
步骤1:单击“计费”页签,进入AAA计费方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Default计费”前的复选框,选择计费方式为“RADIUS”。
· 选择计费方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图1-30 配置ISP域的AAA计费方案
(6) 在与用户Host相连的接口Vlan-interface100上配置Portal直接认证。
步骤1:在导航栏中选择“认证 > Portal认证”,默认进入“配置Portal服务器”页签的页面,
步骤2:在“应用Portal服务:三层接口”中单击<新建>按钮,进入三层Portal认证的配置页面。步骤3:进行如下配置,如下图所示。
· 选择接口名称为“Vlan-interface100”。
· 选择Portal服务器为“新建Portal服务器”。
· 选择认证方式为“Direct”。
· 输入服务器名称为“newpt”。
· 输入服务器IP地址“192.168.0.111”。
· 输入共享密钥为“portal”。
· 输入端口号为“50100”。
· 输入重定向URL为“http://192.168.0.111:8080/portal”。
步骤4:单击<确定>按钮完成操作。
图1-31 应用Portal服务(三层接口)
Switch A支持Portal认证功能。用户Host通过Switch B接入到Switch A。
· 配置Switch A采用可跨三层Portal认证。用户在未通过Portal认证前,只能访问Portal服务器;用户通过Portal认证后,可以访问非受限互联网资源。
· 使用iMC服务器作为RADIUS服务器进行认证、授权和计费。
图1-32 可跨三层Portal认证配置组网图
· 请保证在Portal服务器上添加的Portal设备的IP地址为与用户相连的接口IP地址(20.20.20.1),且与该Portal设备关联的IP地址组为用户所在网段(8.8.8.0/24)。
· 按照组网图配置设备各接口的IP地址,保证配置Portal认证之前各主机、服务器和设备之间的路由可达。
· 完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。
在Switch A上进行以下配置。
(1) 配置RADIUS方案system。
步骤1:配置RADIUS认证服务器。
· 在导航栏中选择“认证 > RADIUS”,默认进入“RADIUS服务器配置”页签的页面。进行如下配置,如图1-23所示。
图1-33 配置RADIUS认证服务器
· 选择服务类型为“认证服务器”。
· 输入IP地址为“192.168.0.112”。
· 输入端口为“1812”。
· 选择主服务器状态为“active”。
· 单击<确定>按钮完成操作。
步骤2:配置RADIUS计费服务器。
图1-34 配置RADIUS计费服务器
· 选择服务类型为“计费服务器”。
· 输入IP地址为“192.168.0.112”。
· 输入端口为“1813”。
· 选择主服务器状态为“active”。
· 单击<确定>按钮完成操作
步骤3:配置设备与RADIUS服务器交互的方案。
· 单击“RADIUS参数设置”页签,进行如下配置,如图1-25所示。
图1-35 配置设备与RADIUS服务器交互的方案
· 选择服务器类型为“extended”。
· 选中“认证服务器共享密钥”前的复选框,输入认证密钥为“expert”。
· 输入确认认证密钥为“expert”。
· 选中“计费服务器共享密钥”前的复选框,输入计费密钥为“expert”。
· 输入确认计费密钥为“expert”。
· 选择用户名格式为“without-domain”。
· 单击<确定>按钮完成操作。
(2) 配置系统缺省ISP域test,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
步骤1:在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面。
步骤2:进行如下配置,如下图所示。
· 输入域名为“test”。
· 选择缺省域为“Enable”。
步骤3:单击<应用>按钮完成操作。
(3) 配置ISP域的AAA认证方案。
步骤1:单击“认证”页签,进入AAA认证方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Default认证”前的复选框,选择认证方式为“RADIUS”。
· 选择认证方案名称为“system”。
图1-37 配置ISP域的AAA认证方案
步骤3:单击<应用>按钮,弹出配置进度对话框,如下图所示。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(4) 配置ISP域的AAA授权方案。
步骤1:单击“授权”页签,进入AAA授权方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Default授权”前的复选框,选择授权方式为“RADIUS”。
· 选择授权方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图1-39 配置ISP域的AAA授权方案
(5) 配置ISP域的AAA计费方案。
步骤1:单击“计费”页签,进入AAA计费方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Default计费”前的复选框,选择计费方式为“RADIUS”。
· 选择计费方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图1-40 配置ISP域的AAA计费方案
(6) 在与用户Host相连的接口Vlan-interface4上配置可跨三层Portal认证。
步骤1:在导航栏中选择“认证 > Portal认证”,默认进入“配置Portal服务器”页签的页面。
步骤2:在“应用Portal服务:三层接口”中单击<新建>按钮,进入三层Portal认证的配置页面。步骤3:进行如下配置,如下图所示。
· 选择接口名称为“Vlan-interface4”。
· 选择Portal服务器为“新建Portal服务器”。
· 选择认证方式为“Layer3”。
· 输入服务器名称为“newpt”。
· 输入服务器IP地址“192.168.0.111”。
· 输入共享密钥为“portal”。
· 输入端口号为“50100”。
· 输入重定向URL为“http://192.168.0.111:8080/portal”。
步骤4:单击<确定>按钮完成操作。
图1-41 应用Portal服务(三层接口)
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!