H3C SecPath ACG1000系列应用控制网关典型配置举例(R6611P06 E6401)-6W108

58-绿洲联动Portal认证典型配置举例

1 简介

本文档介绍ACG1000设备绿洲联动Portal认证配置举例。

2 配置前提

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解绿洲联动Portal认证特性。本文以认证方式为账号登录方式进行举例。

3 使用限制

· ACG1000设备参与绿洲平台联动portal认证时，ACG端不支持portal server无感知。

· ACG1000设备参与绿洲平台联动portal认证时，只支持认证，不能支持计费相关特性。

4 绿洲平台联动认证配置举例

4.1 组网需求

如图1所示，某公司对内网用户实行ACG参与绿洲平台联动Portal认证上网，认证网段是172.16.4.0/24。绿洲服务器的域名为lvzhou-portal.h3c.com，对应地址为223.71.63.146。使用ACG 设备的ge0和ge1接口透明桥模式部署在网络中，ACG 设备的bvi1接口地址配置为172.16.5.100。在ACG设备上配置绿洲平台联动Portal认证功能。具体要求如下：

· ACG 设备参与Portal认证。

· 172.16.4.0/24网段中的认证用户在认证之前，只允许访问绿洲服务器，其它访问全部被禁止。

· 172.16.4.0/24网段中的认证用户在认证之后可以正常访问内网和互联网。

图1 绿洲平台联动认证功能配置组网图

4.2 配置思路

· 在绿洲平台添加设备和场所，配置认证模板和固定用户。

· 在ACG 设备上配置绿洲平台对应的Portal服务器。

· 在ACG 设备上配置地址对象，注意在认证目的地址中排除绿洲平台服务器地址。

· 在ACG后台配置nas-id。

· 在ACG 设备上配置用户策略。

4.3 使用版本

本举例是在ACG1000 R6611P01、绿洲平台上进行配置和验证的。

4.4 配置注意事项

· 如果需要实现访问某些资源时免Portal认证，需要在对应用户策略的目的地址对象中配置排除地址，将需要免认证访问的IP地址排除，其中绿洲平台服务器的地址必须排除。目前仅支持排除IP地址，不支持排除域名。

· ACG1000设备默认访问https站点不弹portal server认证界面，需后台执行user-policy https-portal enable命令开启弹portal界面。

4.5 配置步骤

4.5.1 配置绿洲平台

1. 登录绿洲平台

如图2所示，使用https的方式登录绿洲平台的Web网管，输入用户名密码，点击<登录>按钮。

图2 登录绿洲平台

2. 添加场所

如图3所示，登录页面后，点击右上角“添加”按钮，点击<场所>。

图3 添加场所

如图4和图5所示，添加场所时在产品类型选择“多种设备类型”，场景类型选择“融合场景”，并根据实际情况配置场所名称和选择地址。

图4 场所类型配置

图5 场所名称配置

3. 添加设备

如图6所示，登录页面后，点击右上角“添加”按钮，点击<设备>。

图6 ACG设备上查看设备SN

如图7和图8所示，先登录ACG设备，在系统首页查看设备SN；并在绿洲平台添加设备时，根据真实设备情况配置厂商和设备序列号(即ACG设备首页硬件SN)等参数。

图7 ACG设备上查看设备SN

图8 绿洲平台设备配置

4. 配置认证模板

如图9所示，进入“网络管理 > 配置>ACG>认证配置”，进入页面后在界面上方根据实际情况选择刚添加设备时对应的场所和设备。

图9 选择场所和设备

如图10所示，再点击“添加”按钮，新建认证模板，选择某一模板并配置模板名称，新建完成后点击“确定”按钮。

图10 新建认证模板

如图11所和图12所示，进入“网络管理 > 配置>ACG>认证配置”，在操作栏点击“绘制”按钮，选择认证方式等参数（本文认证方式以账号登录为例，参数均默认配置）。

图11 绘制认证模板

图12 配置认证方式为账号登录

如图13 所示，认证模板配置完成后界面如下。

图13 认证配置界面

如图14和图15所示，进入“网络管理 > 配置>ACG>认证配置”，在所需本地配置栏点击“查看配置详情”按钮，查看ACG设备端配置详情。

图14 查看本地配置

图15 查看ACG端配置详情

5. 配置固定用户

如图16所示，进入“网络管理 > 配置>ACG>用户管理>固定账号”，进入页面后先在界面上方根据实际情况先选择刚添加设备时对应的场所，再点击“添加”按钮，新建固定账号。

图16 选择场所

如图17所示，配置固定账号名密码等参数。

图17 配置固定账号

如图18所示，添加完成的账号界面如下。

图18 接入设备配置完成

4.5.2 配置ACG 产品

1. 登录Web网管

如图19所示，使用http或https的方式登录ACG1000设备的Web网管，默认的用户名和密码是admin/admin，输入验证码，并点击<登录>按钮。

图19 登录H3C ACG Web网管

2. 配置绿洲平台对应的Portal服务器

如图20所示，进入“用户管理 > 认证管理>认证方式> Portal Server”，“认证服务器”选择“-”。认证URL和portal服务器地址，请根据真实情况进行配置。即“Portal服务器”配置为绿洲认证服务器地址，地址见4.5.1 4. 图15中说明的认证服务器地址；“超时时间”保持默认；“认证URL”见4.5.1 4. 图15，将绿洲平台本地配置详情中URL复制过来即可。

示例如下：

http://223.71.63.146:10080/portal/protocol?response_type=code&nas_id=cm-0-886168-2 219801A2359184P00001&userip=<USERIP>&usermac=<USERMAC>&redirect_uri=https://oasis.h3c.com&ge=ge1/0/1&userurl=https://oasis.h3c.com &template_id=256525

点击<提交>。

图20 配置绿洲平台对应的Portal服务器

3. 后台配置nas-id

如图21所示，登录ACG后台，并配置nas-id。nas-id配置命令见4.5.1 4. 图15 图15，将绿洲平台本地配置详情中URL复制过来即可。请根据真实情况进行配置。

图21 配置nas-id

4. 配置地址对象

如图22所示，进入“策略配置> 对象管理 > 地址对象 > Ipv4 地址对象”，点击<新建>，命名为“认证用户网段”，“地址项目”选为子网地址，配置地址为172.16.4.0/24，点击<提交>。

图22 配置认证用户网段地址对象

如图23所示，进入“上网行为管理 > 对象管理 > 地址对象 > Ipv4 地址对象”，点击<新建>，命名为“认证目的地址”，“地址项目”选为子网地址，配置地址为0.0.0.0/0，“排除地址”配置为绿洲认证服务器地址223.71.63.146，点击<提交>。具体认证服务器地址请根据实际情况进行配置。

图23 配置认证目的地址对象