- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
14-Portal认证功能典型配置举例
本章节下载: 14-Portal认证功能典型配置举例 (1.01 MB)
目录
本文档介绍设备的Portal Server认证策略配置举例,分别对接AAS、IMC、热点三种Portal Server认证服务器。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解用户认证特性。
· 只支持IPv4认证对接。
· 主主组网场景,如果认证URL配置为主机时,内网用户的网关地址需要配置为主机的;如果认证URL配置为备机时,内网用户的网关地址需要配置为备机的;不然会出现无感知不生效的情况。
如下图所示,某公司内网搭建有第三方认证服务器,用户名全部存放在认证服务器上,要求内网用户使用认证服务器上的用户进行认证。具体要求如下:
· 内网用户进行Portal Server认证上网,用户名和密码存储在认证服务器上,认证成功后用户在设备上上线。
图1 用户认证功能配置组网图
· 配置热点认证服务器对象,设备上的相关参数配置需要和服务器保持一致。
· 配置地址对象;
· 创建用户组,作为用户认证后的录入组;
· 配置控制策略允许上网;
· 配置Portal Server认证方式
· 配置用户策略触发认证。
本举例是在R6618版本上进行配置和验证的。
· 设备的配置认证时,允许用户的TCP三次握手报文通过,当检测到用户HTTP报文时拦截并弹出认证页面。所以,在使用认证功能时,需要保证终端可以进行正常的HTTP访问。
· 如果需要实现访问某些资源时免认证,请在对应用户策略的目的地址对象中配置排除地址,将需要免认证访问的IP地址排除。目前仅支持排除IP地址,不支持排除域名。或者在认证策略白名单中配置需要排除的IP地址。
通过菜单“用户管理>认证管理>认证服务器”,选择“新建>RADIUS服务器”,配置“服务器地址”为192.168.194.121,“服务器密码”和“端口”需要和Radius服务器保持一致,点击<提交>。
图2 添加RADIUS服务器
2. 配置地址对象
通过菜单“策略配置>对象管理 > 地址对象”,点击<新建>地址对象,配置内网用户和无线wifi地址对象。
3. 配置用户组对象
通过菜单“用户管理>用户组织结构”,单击<新建>用户组,配置热点用户组。
图4 配置Radius用户组
通过菜单“策略配置>控制策略”,点击<新建>控制策略。
在导航栏中选择“用户管理>认证管理>高级选项”,进入全局配置页面,进行识别范围配置。
通过菜单进入“用户管理>认证管理>认证方式>Portal Server”,勾选“启用”,认证服务器配置为步骤1中添加的服务器“192.168.194.121”,Portal协议配置为“HUAWEI Portal 2.0”,服务器地址配置为热点服务器地址“192.168.194.121”,端口配置为“2000”,共享密码配置为和在热点服务器上面配置的一致,认证URL配置格式和示例一样,把服务器地址、WLANACNAME、WLANACIP三项配置为和自己实际环境一致,此处配置为:
“http://192.168.194.121/a79.htm?wlanuserip=<USERIP>&wlanacname=10.210.1.117&wlanacip=10.210.1.117”,如果开启快速无感知,无感知认证方式配置为“MAC绑定Radius查询”。
图7 配置Portal Server认证方式
配置内网用户认证策略,用户永久录入。
通过菜单进入“用户管理>认证管理>认证策略”,点击<新建>,源地址配置为“内网用户地址对象”,相关行为配置为“Portal Server认证”,用户录入选择创建的“热点组”,有效期为永久录入,点击<提交>。
内网终端进行HTTP访问,弹出如下PortalServer认证页面,使用热点认证服务器上用户名、密码进行认证。
(2) 设备在线用户显示Portal Server用户认证。
(3) 通过菜单“用户管理>用户组织结构”,查看热点用户组下,user5用户已录入。
如下图所示,编辑用户查看用户永不过期。
如下图所示,某公司内网搭建有第三方认证服务器,用户名全部存放在认证服务器上,要求内网用户使用认证服务器上的用户进行认证。具体要求如下:
· 内网用户进行Portal Server认证上网,用户名和密码存储在认证服务器上,认证成功后用户在设备上上线。
图13 用户认证功能配置组网图
· 配置认证服务器对象,设备上的相关参数配置需要和服务器保持一致。
· 配置地址对象;
· 创建用户组,作为用户认证后的录入组;
· 配置控制策略允许上网;
· 配置Portal Server认证方式
· 配置用户策略触发认证。
本举例是在R6618版本上进行配置和验证的。
· 设备的配置认证时,允许用户的TCP三次握手报文通过,当检测到用户HTTP报文时拦截并弹出认证页面。所以,在使用认证功能时,需要保证终端可以进行正常的HTTP访问。
· 如果需要实现访问某些资源时免认证,请在对应用户策略的目的地址对象中配置排除地址,将需要免认证访问的IP地址排除。目前仅支持排除IP地址,不支持排除域名。或者在认证策略白名单中配置需要排除的IP地址。
通过菜单“用户管理>认证管理>认证服务器”,选择“新建>RADIUS服务器”,配置“服务器地址”为192.168.194.32,“服务器密码”和“端口”需要和Radius服务器保持一致,点击<提交>。
图14 添加RADIUS服务器
2. 配置地址对象
通过菜单“策略配置>对象管理 > 地址对象”,点击<新建>地址对象,配置内网用户地址对象。
图15 添加内网用户地址对象
3. 配置用户组对象
通过菜单“用户管理>用户组织结构”,单击<新建>用户组,配置AAS用户组。
图16 配置用户组
通过菜单“策略配置>控制策略”,点击<新建>控制策略。
图17 控制策略配置
在导航栏中选择“用户管理>认证管理>高级选项”,进入全局配置页面,进行识别范围配置。
图18 全局模式识别范围配置效果图
通过菜单进入“用户管理>认证管理>认证方式>Portal Server”,勾选“启用”,认证服务器配置为步骤1中添加的服务器“192.168.194.32”,Portal协议配置为“AAAS Portal 2.0”,服务器地址配置为热点服务器地址“192.168.194.32”,端口配置为“2000”,认证URL配置格式和示例一样,把服务器地址、WLANACNAME两项配置为和自己实际环境一致,此处配置为:
“http://192.168.194.32/portal/Login.do?wlanuserip=<USERIP>&wlanuseripv6=<USERIPV6>&wlanacname=10197&wlanusermac=<USERMAC>&ssid=<SRCDEV>&srcurl=<ORIGURL>×tamp=<TIMESTAMP>&sign=<SIGN>”,如果开启快速无感知,无感知认证方式配置为“MAC绑定Portal查询”,如下图所示。
图19 配置Portal Server认证方式
配置内网用户认证策略,用户永久录入。
通过菜单进入“用户管理>认证管理>认证策略”,点击<新建>,源地址配置为“内网用户地址对象”,相关行为配置为“Portal Server认证”,用户录入选择创建的用户组,有效期为永久录入,点击<提交>。
图20 配置内网用户认证用户策略
(1) 内网用户使用热点服务器用户认证。
内网终端进行HTTP访问,弹出如下PortalServer认证页面,使用热点认证服务器上用户名、密码进行认证。
图21 内网用户使用AAS认证服务器用户认证成功
(2) 设备在线用户显示Portal Server用户认证。
图22 用户认证成功
(3) 通过菜单“用户管理>用户组织结构”,查看热点用户组下,user5用户已录入。
图23 用户组下录入用户
如下图所示,编辑用户查看用户永不过期。
图24 录入用户显示为永不过期
如下图所示,某公司内网搭建有第三方认证服务器,用户名全部存放在认证服务器上,要求内网用户使用认证服务器上的用户进行认证。具体要求如下:
· 内网用户进行Portal Server认证上网,用户名和密码存储在认证服务器上,认证成功后用户在设备上上线。
图25 用户认证功能配置组网图
· 配置热点认证服务器对象,设备上的相关参数配置需要和服务器保持一致。
· 配置地址对象;
· 创建用户组,作为用户认证后的录入组;
· 配置控制策略允许上网;
· 配置Portal Server认证方式
· 配置用户策略触发认证。
本举例是在R6618版本上进行配置和验证的。
· 设备的配置认证时,允许用户的TCP三次握手报文通过,当检测到用户HTTP报文时拦截并弹出认证页面。所以,在使用认证功能时,需要保证终端可以进行正常的HTTP访问。
· 如果需要实现访问某些资源时免认证,请在对应用户策略的目的地址对象中配置排除地址,将需要免认证访问的IP地址排除。目前仅支持排除IP地址,不支持排除域名。或者在认证策略白名单中配置需要排除的IP地址。
通过菜单“用户管理>认证管理>认证服务器”,选择“新建>RADIUS服务器”,配置“服务器地址”为192.168.194.121,“服务器密码”和“端口”需要和Radius服务器保持一致,点击<提交>。
图26 添加RADIUS服务器
2. 配置地址对象
通过菜单“策略配置>对象管理 > 地址对象”,点击<新建>地址对象,配置内网用户和认证目的地址的地址对象。如下图所示。
图27 添加内网用户地址对象
3. 配置用户组对象
通过菜单“用户管理>用户组织结构”,单击<新建>用户组,配置IMC用户组。
图28 配置Radius用户组
通过菜单“策略配置>控制策略”,点击<新建>控制策略。
图29 控制策略配置
在导航栏中选择“用户管理>认证管理>高级选项”,进入全局配置页面,进行识别范围配置。
图30 全局模式识别范围配置效果图
通过菜单进入“用户管理>认证管理>认证方式>Portal Server”,勾选“启用”,认证服务器配置为步骤1中添加的服务器“10.0.50.21”,Portal协议配置为“CMCC 2.0”,服务器地址配置为IMC服务器地址“10.0.50.21”,端口配置为“50100”,共享密码配置为和在热点服务器上面配置的一致,认证URL配置格式和示例一样,把服务器地址、nasip两项配置为和自己实际环境一致,此处配置为:
“http://10.0.50.21:8080/portal?userip=<USERIP>&usermac=<USERMAC>&origurl=<ORIGURL>&nasip=192.168.210.197”,如果开启快速无感知,无感知认证方式配置为“MAC绑定Portal查询”。
图31 配置Portal Server认证方式
配置内网用户认证策略,用户永久录入。
通过菜单进入“用户管理>认证管理>认证策略”,点击<新建>,源地址配置为“内网用户地址对象”,相关行为配置为“Portal Server认证”,用户录入选择创建的“IMC组”,有效期为永久录入,点击<提交>。
图32 配置内网用户认证用户策略
(1) 内网用户使用热点服务器用户认证
内网终端进行HTTP访问,弹出如下PortalServer认证页面,使用热点认证服务器上用户名、密码进行认证。
图33 内网用户使用IMC认证服务器用户认证成功
(2) 设备在线用户显示Portal Server用户认证。
图34 用户认证成功
(3) 通过菜单“用户管理>用户组织结构”,查看热点用户组下,user5用户已录入。
图35 用户组下录入用户
如4.1.6 (3)图12所示,编辑用户查看用户永不过期。
图36 录入用户显示为永不过期
认证用户通过设备正常上网,如果Radius服务器失效,已认证用户仍可通过设备正常访问互联网。
图37 Portal逃生的配置案例组网图
图39 配置Portal服务器
图40 配置排除iMC服务器地址10.0.50.21
图41 配置portal认证用户策略
图43 开启portal逃生功能
(1) 查看当Portal逃生的地址探测失败情况下,已经认证的用户能够正常上网,从未认证过的用户无法正常上网。
图44 地址探测状态为down,设备portal逃生功能开始生效
(2) 通过命令行查看设备存储的已认证用户。当Portal逃生生效的时候,如果选择已认证用户逃生,包含设备启动后新认证的在线用户和设备启动前曾经认证过的未在线用户均可以正常上网。
#查看设备存储的已认证用户
HOST# display user-authed
#max number can save:10000
#user-authed count:1
user mac online time alive time login times
hxuser1 00:50:56:a9:98:77 2024/09/13 10:33 2024/09/13 18:17 230
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
