- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
20-Portal逃生功能典型配置举例
本章节下载 (445.79 KB)
目录
本文档介绍F1000-C8102设备portal逃生的配置举例。
Portal逃生介绍:当发生网络问题导致Portal服务器不可用时,对于指定用户无需认证仍可上网。
已认证用户:包含设备启动后新认证的在线用户和设备启动前曾经认证过的未在线用户。
全局逃生模式:开始逃生时,所有用户均可上网。
已认证用户逃生模式:开始逃生时,只有已认证用户才可上网。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解portal逃生的特性。
(1) 1G内存设备存储规格为1000;
(2) 2G内存设备存储规格为5000;
(3) 4G内存设备(含小于8G设备)存储规格为1W;
(4) 8G及超8G内存设备规格为2W。
如图1所示,认证用户网段IP地址为172.16.4.0/24。使用F1000-C8102设备的ge1口连接内网设备,ge0口连接外网,在F1000-C8102产品开启portal逃生功能。
图1 Portal逃生功能组网图
· 在设备上配置iMC对应的Radius服务器。
· 在设备上配置iMC对应的Portal服务器。
· 在设备上配置地址对象,注意在认证目的地址中排除iMC服务器地址和172.16.0.30。
· 在设备上配置用户策略。
· 配置地址探测。
· 开启portal逃生的功能,当地址探测失败时,用户可以正常上网,验证portal逃生功能生效。
已认证用户逃生,包含设备启动后新认证的在线用户和设备启动前曾经认证过的未在线用户
对于全局逃生模式,要求在逃生时所有用户均可上网、逃生结束后未认证用户均需认证。也就意味着,在逃生期间在线用户不发生变动。
如图2所示,使用http或https的方式登录F1000-C8102设备的Web网管,默认的用户名和密码是admin/admin,输入验证码,并点击<登录>按钮。
图2 登录H3C 设备 Web网管
如图3所示,在设备上进入“用户管理>认证服务器>radius服务器”,点击<新建>,配置与imc对应的radius服务器。
图3 配置radius服务器
如图4所示,在设备上进入“用户管理>认证设置> portal sever”,配置Portal服务器。
图4 配置Portal服务器
如图5所示,在设备上进入“资源管理>ipv4地址对象”,点击<新建>,配置排除iMC服务器地址172.16.0.30。
图5 配置排除iMC服务器地址172.16.0.30
如图6所示,在设备上进入“用户管理>认证策略”,点击<新建>,配置portal认证用户策略。
图6 配置portal认证用户策略
如图7所示,在设备上进入“资源管理>地址>地址探测”,点击<新建>,配置地址探测。
如图8所示,在设备上进入“用户管理>portal server>portal逃生”,点击<新建>,配置开启portal逃生功能,选择已认证用户逃生模式。
图8 配置开启portal逃生功能,选择已认证用户逃生模式
查看当portal逃生的地址探测失败情况下,设备已经认证的服务器能够正常上网,查看从未认证过的设备的用户无法正常上网,如图9。
图9 地址探测状态为down,设备portal逃生功能开始生效
设备命令行查看设备存储的已认证用户(当portal逃生生效的时候,如果选择已认证用户逃生,包含设备启动后新认证的在线用户和设备启动前曾经认证过的未在线用户均可以正常上网。
图10 查看设备上已认证用户
图11 设备已认证用户正常上网,设备未认证用户无法上网
H3C:WD-D# display running-config!
user-portal-escape mode authed
user-portal-escape track enable
user-portal-escape track portal-server地址
H3C:WD-D#
· 《H3C SecPath F1000-C8102安全产品管理平台Web配置手册》中的“portal 逃生”
· 《H3C SecPath F1000-C8102安全产品管理平台配置指导》中的“portal 逃生”
· 《H3C SecPath F1000-C8102安全产品管理平台对外测试手册》中的“portal 逃生”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
