05-Portal配置
本章节下载: 05-Portal配置 (1.68 MB)
目 录
1.1.4 使用本地Portal服务器的Portal认证系统
1.13 配置根据SSID和AP热点指定使用的Portal服务器和认证域
1.14 指定Portal用户认证成功后认证页面自动跳转的目的网站地址
1.19 配置无线Portal用户SSID切换后的强制下线功能
1.22 配置Portal重定向URL中携带的用户或AP的MAC地址格式
1.34.7 使用本地Portal服务器的直接Portal认证配置举例
1.34.9 Portal支持基于MAC地址的快速认证配置举例
1.34.10 采用CMCC Portal服务器的直接IPv6 Portal认证配置举例
Portal在英语中是入口的意思。Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。
未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时,必须在门户网站进行认证,只有认证通过后才可以使用互联网资源。
用户可以主动访问已知的Portal认证网站,输入用户名和密码进行认证,这种开始Portal认证的方式称作主动认证。反之,如果用户试图通过HTTP访问其他外网,将被强制访问Portal认证网站,从而开始Portal认证过程,这种方式称作强制认证。
Portal业务可以为运营商提供方便的管理功能,门户网站可以开展广告、社区服务、个性化的业务等,使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。
Portal的扩展功能主要是指通过强制接入终端实施补丁和防病毒策略,加强网络终端对病毒攻击的主动防御能力。具体扩展功能如下:
· 安全性检测:在Portal身份认证的基础上增加了安全认证机制,可以检测接入终端上是否安装了防病毒软件、是否更新了病毒库、是否安装了非法软件、是否更新了操作系统补丁等;
· 访问资源受限:用户通过身份认证后仅仅获得访问部分互联网资源(受限资源)的权限,如病毒服务器、操作系统补丁更新服务器等;当用户通过安全认证后便可以访问更多的互联网资源(非受限资源)。
Portal的典型组网方式如图1-1所示,它由五个基本要素组成:认证客户端、接入设备、Portal服务器、认证/计费服务器和安全策略服务器。
由于Portal服务器可以是接入设备之外的独立实体,也可以是存在于接入设备之内的内嵌实体,本文称之为“本地Portal服务器”,因此下文中除对本地支持的Portal服务器做特殊说明之外,其它所有Portal服务器均指独立的Portal服务器,请勿混淆。
图1-1 Portal系统组成示意图
安装于用户终端的客户端系统,为运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的主机。对接入终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息交流完成的。
· 在认证之前,将用户的所有HTTP请求都重定向到Portal服务器。
· 在认证过程中,与Portal服务器、安全策略服务器、认证/计费服务器交互,完成身份认证/安全认证/计费的功能。
接收Portal客户端认证请求的服务器端系统,提供免费门户服务和基于Web认证的界面,与接入设备交互认证客户端的认证信息。
与Portal客户端、接入设备进行交互,完成对用户的安全认证,并对用户进行授权操作。
(1) 未认证用户访问网络时,在Web浏览器地址栏中输入一个互联网的地址,那么此HTTP请求在经过接入设备时会被重定向到Portal服务器的Web认证主页上;若需要使用Portal的扩展认证功能,则用户必须使用Portal客户端。
(2) 用户在认证主页/认证对话框中输入认证信息后提交,Portal服务器会将用户的认证信息传递给接入设备;
(3) 然后接入设备再与认证/计费服务器通信进行认证和计费;
· 无论是Web客户端还是H3C iNode客户端发起的Portal认证,均能支持Portal认证穿越NAT,即Portal客户端位于私网、Portal服务器位于公网,接入设备上启用NAT功能的组网环境下,NAT地址转换不会对Portal认证造成影响,但建议在此组网环境下,将发送Portal报文的源地址配置为接口的公网IP地址。
· 目前支持Portal认证的远端认证/计费服务器为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。
· 目前通过访问Web页面进行的Portal认证不能对用户实施安全策略检查,安全检查功能的实现需要与H3C iNode客户端配合。
本地Portal服务器功能是指,Portal认证系统中不采用外部独立的Portal服务器,而由接入设备实现Portal服务器功能。这种情况下,Portal认证系统仅包括三个基本要素:认证客户端、接入设备和认证/计费服务器,如图1-2所示。由于设备支持Web用户直接认证,因此就不需要部署额外的Portal服务器,增强了Portal认证的通用性。
图1-2 使用本地Portal服务器的Portal系统组成示意图
· 使用本地Portal服务器的Portal认证系统不支持Portal扩展功能,因此不需要部署安全策略服务器。
· 内嵌本地Portal服务器的接入设备实现了简单的Portal服务器功能,仅能给用户提供通过Web方式登录、下线的基本功能,并不能完全替代独立的Portal服务器。
认证客户端和内嵌本地Portal服务器的接入设备之间可以采用HTTP和HTTPS协议通信。若客户端和接入设备之间交互HTTP协议,则报文以明文形式传输,安全性无法保证;若客户端和接入设备之间交互HTTPS协议,则报文基于SSL提供的安全机制以密文的形式传输,数据的安全性有保障。
本地Portal服务器支持由用户自定义认证页面的内容,即允许用户编辑一套认证页面的HTML文件,并在压缩之后保存至设备的存储设备中。该套自定义页面中包括六个认证页面:登录页面、登录成功页面、在线页面、下线成功页面、登录失败页面和系统忙页面。本地Portal服务器根据不同的认证阶段向客户端推出对应的认证页面,若不自定义,则分别推出系统提供的缺省认证页面。
不同的组网方式下,可采用的Portal认证方式不同。按照网络中实施Portal认证的网络层次来分,Portal的认证方式分为两种:二层认证方式和三层认证方式。
目前,设备仅支持三层Portal认证方式。
三层Portal认证方式支持在接入设备连接用户的三层接口上开启Portal认证功能。三层接口Portal认证又可分为三种不同的认证方式:直接认证方式、二次地址分配认证方式和可跨三层认证方式。直接认证方式和二次地址分配认证方式下,认证客户端和接入设备之间没有三层转发;可跨三层认证方式下,认证客户端和接入设备之间可以跨接三层转发设备。
用户在认证前通过手工配置或DHCP直接获取一个IP地址,只能访问Portal服务器,以及设定的免费访问地址;认证通过后即可访问网络资源。认证流程相对二次地址较为简单。
用户在认证前通过DHCP获取一个私网IP地址,只能访问Portal服务器,以及设定的免费访问地址;认证通过后,用户会申请到一个公网IP地址,即可访问网络资源。该认证方式解决了IP地址规划和分配问题,对未认证通过的用户不分配公网IP地址。例如运营商对于小区宽带用户只在访问小区外部资源时才分配公网IP。
· 使用本地Portal服务器的Portal认证不支持二次地址分配认证方式。
· IPv6 Portal认证不支持二次地址分配方式。
和直接认证方式基本相同,但是这种认证方式允许认证用户和接入设备之间跨越三层转发设备。
对于以上三种认证方式,IP地址都是用户的唯一标识。接入设备基于用户的IP地址下发ACL对接口上通过认证的用户报文转发进行控制。由于直接认证和二次地址分配认证下的接入设备与用户之间未跨越三层转发设备,因此接口可以学习到用户的MAC地址,接入设备可以利用学习到MAC地址增强对用户报文转发的控制力度。
在对接入用户身份可靠性要求较高的网络应用中,传统的基于用户名和口令的用户身份验证方式存在一定的安全问题,基于数字证书的用户身份验证方式通常被用来建立更为安全和可靠的网络接入认证机制。
EAP(Extensible Authentication Protocol,可扩展认证协议)可支持多种基于数字证书的认证方式(例如EAP-TLS),它与Portal认证相配合,可共同为用户提供基于数字证书的接入认证服务。
图1-3 Portal支持EAP认证协议交互示意图
如图1-3所示,在Portal支持EAP认证的实现中,客户端与Portal服务器之间交互EAP认证报文,Portal服务器与接入设备之间交互携带EAP-Message属性的Portal协议报文,接入设备与RADIUS服务器之间交互携带EAP-Message属性的RADIUS协议报文,由具备EAP服务器功能的RADIUS服务器处理EAP-Message属性中封装的EAP报文,并给出EAP认证结果。整个EAP认证过程中,接入设备只是对Portal服务器与RADIUS服务器之间的EAP-Message属性进行透传,并不对其进行任何处理,因此接入设备上无需任何额外配置。
· 该功能仅能与H3C iMC的Portal服务器以及H3C iNode Portal客户端配合使用。
· 目前,仅使用远程Portal服务器的三层Portal认证支持EAP认证。
直接认证和可跨三层Portal认证流程相同。二次地址分配认证流程因为有两次地址分配过程,所以其认证流程和另外两种认证方式有所不同。
图1-4 直接认证/可跨三层Portal认证流程图
直接认证/可跨三层Portal认证流程:
(1) Portal用户通过HTTP协议发起认证请求。HTTP报文经过接入设备时,对于访问Portal服务器或设定的免费访问地址的HTTP报文,接入设备允许其通过;对于访问其它地址的HTTP报文,接入设备将其重定向到Portal服务器。Portal服务器提供Web页面供用户输入用户名和密码来进行认证。
(2) Portal服务器与接入设备之间进行CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)认证交互。若采用PAP(Password Authentication Protocol,密码验证协议)认证则直接进入下一步骤。
(3) Portal服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备,同时开启定时器等待认证应答报文。
(4) 接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。
(5) 接入设备向Portal服务器发送认证应答报文。
(6) Portal服务器向客户端发送认证通过报文,通知客户端认证(上线)成功。
(7) Portal服务器向接入设备发送认证应答确认。
(8) 客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全性是否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。
(9) 安全策略服务器根据用户的安全性授权用户访问非受限资源,授权信息保存到接入设备中,接入设备将使用该信息控制用户的访问。
步骤(8)、(9)为Portal认证扩展功能的交互过程。
(1)~(6)同直接/可跨三层Portal认证中步骤(1)~(6)。
(7) 客户端收到认证通过报文后,通过DHCP获得新的公网IP地址,并通知Portal服务器用户已获得新IP地址。
(8) Portal服务器通知接入设备客户端获得新公网IP地址。
(9) 接入设备通过检测ARP协议报文发现了用户IP变化,并通告Portal服务器已检测到用户IP变化。
(10) Portal服务器通知客户端上线成功。
(11) Portal服务器向接入设备发送IP变化确认报文。
(12) 客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全性是否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。
(13) 安全策略服务器根据用户的安全性授权用户访问非受限资源,授权信息保存到接入设备中,接入设备将使用该信息控制用户的访问。
步骤(12)、(13)为Portal认证扩展功能的交互过程。
图1-6 使用本地Portal服务器的认证流程图
直接/可跨三层本地Portal认证流程:
(1) Portal用户通过HTTP协议发起认证请求。HTTP报文经过配置了本地Portal服务器的接入设备的接口时会被重定向到本地Portal服务器,本地Portal服务器提供Web页面供用户输入用户名和密码来进行认证。该本地Portal服务器的监听IP地址为接入设备上一个与用户之间路由可达的三层接口IP地址。
(2) 接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。
(3) 接入设备中的本地Portal服务器向客户端发送登录成功页面,通知客户端认证(上线)成功。
图1-7 Portal支持EAP认证流程图
支持EAP认证的Portal认证流程如下(各Portal认证方式下EAP认证的处理流程相同,此处仅以直接方式的Portal认证为例):
(1) Portal客户端发起EAP认证请求,向Portal服务器发送Identity类型的EAP请求报文。
(2) Portal服务器向接入设备发送Portal认证请求报文,同时开启定时器等待Portal认证应答报文,该认证请求报文中包含若干个EAP-Message属性,这些属性用于封装Portal客户端发送的EAP报文,并可携带客户端的证书信息。
(3) 接入设备接收到Portal认证请求报文后,构造RADIUS认证请求报文与RADIUS服务器进行认证交互,该RADIUS认证请求报文的EAP-Message属性值由接入设备收到的Portal认证请求报文中的EAP-Message属性值填充。
(4) 接入设备根据RADIUS服务器的回应信息向Portal服务器发送证书请求报文,该报文中同样会包含若干个EAP-Message属性,可用于携带RADIUS服务器的证书信息,这些属性值由RADIUS认证回应报文中的EAP-Message属性值填充。
(5) Portal服务器接收到证书请求报文后,向Portal客户端发送EAP认证回应报文,直接将RADIUS服务器响应报文中的EAP-Message属性值透传给Portal客户端。
(6) Portal客户端继续发起的EAP认证请求,与RADIUS服务器进行后续的EAP认证交互,期间Portal认证请求报文可能会出现多次。后续认证过程与第一个EAP认证请求报文的交互过程类似,仅EAP报文类型会根据EAP认证阶段发展有所变化,此处不再详述。
(7) EAP认证通过后,RADIUS服务器向接入设备发送认证通过响应报文,该报文的EAP-Message属性中封装了EAP认证成功报文(EAP-Success)。
(8) 接入设备向Portal服务器发送认证应答报文,该报文的EAP-Message属性中封装了EAP认证成功报文。
(9) Portal服务器根据认证应答报文中的认证结果通知Portal客户端认证成功。
(10) Portal服务器向接入设备发送认证应答确认。
后续为Portal认证扩展功能的交互过程,可参考CHAP/PAP认证方式下的认证流程介绍,此处略。
一个完整的Portal认证过程中,需要用户首先输入用户名和密码。在一些终端用户通过浏览器上网的环境中,以Portal认证方式接入网络的用户信息已知,且这些用户会进行较为频繁的Portal认证,因此,就存在合法Portal用户要求免输入用户名和密码的需求。为了满足这一需求,Portal支持一种基于MAC地址的快速认证机制,也称为MAC Trigger认证方式。
该方式的基本过程是,接入设备获取到Portal用户的源MAC地址后,在用户的网络访问流量达到设定的阈值之前,例如15分钟内上传以及下载了1024字节的流量(可配置),允许用户流量通过设备,无需认证。一旦用户流量达到设定的阈值,则触发认证。具体的认证流程如下:
(1) 接入设备向MAC绑定服务器发送MAC绑定查询请求;
(2) MAC绑定服务器接收到该请求后,查询该MAC地址是否与服务器上的Portal用户帐号绑定。
· 如果已绑定,则MAC绑定服务器获取该用户的帐号信息,并使用该用户的用户名和密码向接入设备直接发起Portal认证。这种情况下,无需Portal用户提供用户名和密码;
· 如果未绑定,则MAC绑定服务器通知接入设备对该用户进行普通的Portal认证。接入设备将该用户的后续HTTP报文重定向到Portal服务器,并推送Portal认证页面给用户,供其输入用户名密码,并根据用户输入的用户名和密码向Portal服务器发起Portal认证。
通过上述认证机制可知,这种基于MAC地址的快速认证机制,不仅免去了用户输入用户名和密码的步骤,而且整个认证流程比普通Portal认证更为简洁高效。
这种基于MAC地址的快速认证机制需要相应的MAC绑定服务器来配合。MAC绑定服务器上记录了Portal用户的MAC地址与Portal用户帐号的绑定关系,MAC绑定服务器主要实现以下功能:
(3) 保存终端(以MAC地址来标识)与帐号名的关联关系,方便操作员对用户进行审计。
有以下两种方式可以在终端设备列表中增加终端与帐号名的关联关系。
· 终端用户首次使用帐号名密码认证成功后,MAC绑定服务器会自动学习终端和帐号名的关联关系,并记录到终端设备列表中。该关联关系不会自动更新,即只要关联关系不被删除,即使在同一个终端上使用其他帐号名认证成功,终端还是与首次认证的帐号名关联,不会与其他帐号名关联。
· 终端用户登录用户自助服务平台,手工增加终端与自身帐号名的关联关系。这种方式下,一个帐号名可以关联多个终端。
(4) 保存终端(以MAC地址来标识)与厂商/终端类型/操作系统的关联关系,方便操作员对终端信息进行审计。
MAC绑定服务器通过终端识别技术首次获取到终端的厂商、终端类型、操作系统后,即把终端与这些信息关联,并保存在终端设备列表中。用户进行认证时,MAC绑定服务器会比较用户所使用终端的信息与终端设备列表中保存的信息是否一致。如果不一致,则认为终端信息冲突,记录终端信息冲突日志。
(5) 快速启用/禁用基于MAC地址的快速认证功能。
如果在MAC绑定服务器的终端管理参数中启用了基于MAC地址的快速认证功能,则在终端设备列表中可以快速开启和关闭特定终端的基于MAC地址的快速认证功能。
目前,HP的IMC Portal服务器可通过配置Portal智能终端快速认证功能来支持基于MAC地址的快速认证,具体配置请参见IMC服务器的相关配置手册。
在当前的组网应用中,用户对网络可靠性的要求越来越高,特别是在一些重点的业务入口或接入点上需要保证网络业务的不间断性。双机热备技术可以保证这些关键业务节点在单点故障的情况下,信息流仍然不中断。
所谓双机热备,其实是双机业务备份。可以分别指定两台设备上的任意一个支持备份接口功能的以太网接口为备份接口,两个备份接口通过备份链路直接相连。或者在两台设备上分别指定相同的备份VLAN,专用于传输双机热备相关的报文。在设备正常工作时,对业务信息进行主备同步;在设备故障后,利用VRRP机制实现业务流量切换到备份设备,由备份设备继续处理业务,从而保证了当前的业务不被中断。关于双机热备的详细介绍请参见“可靠性配置指导”中的“双机热备”。
如图1-8所示,在一个典型的Portal双机热备组网环境中,用户通过Portal认证接入网络,为避免接入设备单机故障的情况下造成的Portal业务中断,接入设备提供了Portal支持双机热备功能。该功能是指,接入设备Gateway A和Gateway B通过备份链路互相备份两台设备上的Portal在线用户信息,实现当其中一台设备发生故障时,另外一台设备可以对新的Portal用户进行接入认证,并能够保证所有已上线Portal用户的正常数据通信。
备份链路不是必须的,只要保证互为备份的设备上存在相同的VLAN专用于传输双机热备相关的报文。若组网中配置了专门的备份链路,则需要将两台设备上连接备份链路的物理接口加入备份VLAN中。
· 独立运行状态:设备未与其它设备建立备份连接时所处的一种稳定状态。
· 同步运行状态:设备与对端设备之间成功建立备份连接,可以进行数据备份时所处的一种稳定状态。
· Stand-alone:表示用户数据只在一台设备上存在。当前设备处于独立运行状态,或者当前设备处于同步运行状态但用户数据还未同步。
· Primary:表明用户是由本端设备上线,用户数据由本端设备生成。本端设备处于同步运行状态,可以处理并接收服务器发送的报文。
· Secondary:表明用户是由对端设备上线,用户数据是由对端设备同步到本端设备上的。本端设备处于同步运行状态,只接收并处理同步消息,不处理服务器发送的报文。
表1-1 三层Portal配置任务简介
指定三层Portal认证的Portal服务器监听IP地址 |
|||
配置本地Portal服务器 |
|||
控制Portal用户的接入 |
|||
配置灰名单规则 |
|||
配置Portal最大用户数 |
|||
指定Portal用户使用的认证域 |
|||
配置三层Portal支持Web代理 |
|||
配置微信认证 |
|||
配置基于用户Web访问地址的重定向URL |
|||
配置接口发送RADIUS报文的相关属性 |
|||
配置接口的NAS-Port-Type |
|||
配置接口发送Portal报文使用的源地址 |
|||
配置向Portal客户端发送的设备编码名 |
|||
配置Portal支持基于MAC地址的快速认证 |
|||
配置Portal支持双机热备 |
|||
指定Portal用户认证成功后认证页面自动跳转的目的网站地址 |
|||
配置在重定向URL中添加的NAS-IP属性值 |
仅适用于MAC-BAC组网环境,且必选 |
||
配置监听和接收Portal报文端口 |
仅适用于MAC-BAC组网环境下,与Master AC的Portal代理功能配合使用 |
||
配置Portal探测功能 |
配置三层Portal用户的在线探测功能 |
||
配置Portal服务器探测功能 |
|||
配置Portal用户信息同步功能 |
|||
强制Portal用户下线 |
|||
配置无线Portal用户SSID切换后的强制下线功能 |
可选 |
||
配置Portal报文信息的日志开关 |
|||
配置重定向URL携带参数 |
|||
配置Portal重定向URL中携带的用户或AP的MAC地址格式 |
可选 |
||
配置Portal用户报文的控制模式 |
|||
配置Portal用户的主机合法性检查功能 |
|||
配置强推页面功能 |
可选 |
||
配置Portal用户动态IP地址检查功能 |
可选 |
||
配置CMCC错误码发送功能 |
可选 |
||
配置Portal认证的本地转发模式 |
可选 |
||
配置Portal安全重定向功能 |
可选 |
||
配置Portal用户上网日志记录功能 |
可选 |
||
配置Portal支持HTTPS重定向功能 |
可选 |
Portal提供了一个用户身份认证和安全认证的实现方案,但是仅仅依靠Portal不足以实现该方案。接入设备的管理者需选择使用RADIUS认证方法,以配合Portal完成用户的身份认证。Portal认证的配置前提:
· Portal服务器、RADIUS服务器已安装并配置成功。本地Portal认证无需单独安装Portal服务器。
· 若采用二次地址分配认证方式,接入设备需启动DHCP中继的安全地址匹配检查功能,另外需要安装并配置好DHCP服务器。
· 如果通过远端RADIUS服务器进行认证,则需要在RADIUS服务器上配置相应的用户名和密码,然后在接入设备端进行RADIUS客户端的相关设置。RADIUS客户端的具体配置请参见“安全配置指导”中的“AAA”。
· 如果需要支持Portal的扩展功能,需要安装并配置iMC EAD。同时保证在接入设备上的ACL配置和安全策略服务器上配置的受限资源ACL号、非受限资源ACL号对应。接入设备上的安全策略服务器配置请参见“安全配置指导”中的“AAA”。
· 安全策略服务器的配置请参考iMC EAD安全策略组件联机帮助。
· 受限资源ACL、非受限资源ACL分别对应安全策略服务器中的隔离ACL与安全ACL。
· 如果接入设备上的授权ACL配置被修改,则修改后的ACL不对已经在线的Portal用户生效,只能对新上线的Portal用户有效。
本配置用于指定Portal服务器的相关参数,主要包括服务器IP地址、共享加密密钥、服务器端口号以及服务器提供的Web认证地址。根据不同的组网环境,此处指定的服务器IP地址有所不同:
· 如果使用远程Portal服务器,则指定为外部Portal服务器的IP地址;
· 如果使用本地Portal服务器,则指定为设备上与Portal客户端路由可达的三层接口IP地址。
表1-2 指定三层Portal认证的Portal服务器
指定三层Portal认证的Portal服务器 |
portal server server-name { ip ipv4-address [ key [ cipher | simple ] key-string | port port-id | server-type { cmcc | imc } | url url-string ] * | ipv6 ipv6-address [ key [ cipher | simple ] key-string | port port-id | server-type { cmcc | imc } | url url-string ] * } |
缺省情况下,没有指定三层Portal认证的Portal服务器 ipv6和server-type { cmcc | imc }参数的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍 配置Portal认证时服务器名称、重定向URL配置项的内容不能包含中文以及?<>\’’%’&#任何字符之一 |
· 目前,接入设备上最多允许指定的Portal服务器个数与设备的型号有关,请参见“配置指导导读”中的“特性差异情况”部分的介绍。
· 已配置的Portal服务器参数仅在该Portal服务器未被接口引用时才可以被删除或修改。
· 通常,使用本地Portal服务器时,Portal服务器参数key、port、server-type和url均不需配置,若配置也无效。但在无线环境下使用本地Portal服务器进行双机热备时,url需要配置,且地址格式为http://ip-address/portal/logon.htm或https://ip-address/portal/logon.htm,其中,协议类型为本地Portal服务器支持的协议类型(由命令portal local-server配置),ip-address为VRRP下行链路所在备份组的虚拟IP地址。
· 使用本地Portal服务器的情况下,二次地址分配认证方式(redhcp)可配置但不生效。
· CMCC类型的Portal服务器可同时支持IPv4 Portal用户和IPv6 Portal用户。目前,使用CMCC类型的Portal服务器认证IPv6 Portal用户时,必须同时指定一个IPv4类型的Portal服务器和一个IPv6类型的Portal服务器,分别用于认证和HTTP报文重定向。
本特性用于配合Portal本地认证,且仅在使用本地Portal服务器时必配。使用本地Portal服务器进行认证时,本地Portal服务器负责向用户推出认证页面。认证页面的内容和样式可自定义,若未配置自定义认证页面,则向用户推出系统提供的缺省认证页面。
在无线应用环境中,可以给属于不同SSID(Service Set Identifier,服务集标识符)的用户绑定不同的认证页面,系统向用户推出认证页面的选择顺序为:与用户SSID绑定的自定义认证页面-->用户自定义的缺省认证页面-->系统提供的缺省认证页面。
用户自定义的认证页面为HTML文件的形式,压缩后保存在本地设备的存储设备中。每套认证页面可包括六个主索引页面(登录页面、登录成功页面、登录失败页面、在线页面、系统忙页面、下线成功页面)及其页面元素(认证页面需要应用的各种文件,如Logon.htm页面中的back.jpg),每个主索引页面可以引用若干页面元素。若用户只自定义了部分主索引页面,则其余主索引页面使用系统提供的缺省认证页面。
用户在自定义这些页面时需要遵循一定的规范,否则会影响本地Portal服务器功能的正常使用和系统运行的稳定性。
主索引页面文件名不能自定义,必须使用表1-3中所列的固定文件名。
本地Portal服务器只能接受Get请求和Post请求。
· Get请求用于获取认证页面中的静态文件,其内容不能为递归内容。例如,Logon.htm文件中包含了Get ca.htm文件的内容,但ca.htm文件中又包含了对Logon.htm的引用,这种递归引用是不允许的。
· Post请求用于用户提交用户名和密码以及用户执行登录、下线操作。
(1) 认证页面中表单(Form)的编辑必须符合以下原则:
· 认证页面可以含有多个Form,但是必须有且只有一个Form的action=logon.cgi,否则无法将用户信息送到本地Portal服务器。
· 用户名属性固定为”PtUser”,密码属性固定为”PtPwd”。
· 需要有用于标记用户登录还是下线的属性”PtButton”,取值为"Logon"表示登录,取值为"Logoff"表示下线。
· 登录Post请求必须包含”PtUser”,”PtPwd”和"PtButton"三个属性。
· 下线Post请求必须包含”PtButton”这个属性。
(2) 需要包含登录Post请求的页面有logon.htm和logonFail.htm。
logon.htm页面脚本内容的部分示例:
<form action=logon.cgi method = post >
<p>User name:<input type="text" name = "PtUser" style="width:160px;height:22px" maxlength=64>
<p>Password :<input type="password" name = "PtPwd" style="width:160px;height:22px" maxlength=32>
<p><input type=SUBMIT value="Logon" name = "PtButton" style="width:60px;" onclick="form.action=form.action+location.search;>
</form>
(3) 需要包含下线Post请求的页面有logonSuccess.htm和online.htm。
online.htm页面脚本内容的部分示例:
<form action=logon.cgi method = post >
<p><input type=SUBMIT value="Logoff" name="PtButton" style="width:60px;">
</form>
· 完成所有认证页面的编辑之后,必须按照标准Zip格式将其压缩到一个Zip文件中,该Zip文件的文件名只能包含字母、数字和下划线。缺省认证页面文件必须以defaultfile.zip为文件名保存。
· 压缩后的Zip文件中必须直接包含认证页面,不允许存在间接目录。
· 压缩生成的Zip文件可以通过FTP或TFTP的方式上传至设备,并保存在设备的指定目录下。缺省认证页面文件必须保存在设备的根目录下,非缺省认证页面文件可以保存在设备根目录下或者根目录的portal目录下。
Zip文件保存目录示例:
Directory of flash:/portal/
0 -rw- 1405 Feb 28 2008 15:53:31 ssid2.zip
1 -rw- 1405 Feb 28 2008 15:53:20 ssid1.zip
2 -rw- 1405 Feb 28 2008 15:53:39 ssid3.zip
3 -rw- 1405 Feb 28 2008 15:53:44 ssid4.zip
2540 KB total (1319 KB free)
为了方便系统推出自定义的认证页面,认证页面在文件大小和内容上需要有如下限制:
· 每套页面(包括主索引页面文件及其页面元素)压缩后的Zip文件大小不能超过500K字节。
· 每个单独页面(包括单个主索引页面文件及其页面元素)压缩前的文件大小不能超过50K字节。
· 页面元素只能包含HTML、JS、CSS和图片之类的静态内容。
用户认证成功后,系统会推出登录成功页面(文件名为logonSuccess.htm),认证通过后再次通过登录页面进行认证操作,系统会推出在线页面(文件名为online.htm)。若希望用户关闭这两个页面的同时,触发设备执行强制当前在线用户下线的操作,就需要按照如下要求在这两个页面文件的脚本文件中增加如下内容。
(1) 添加对JS文件“pt_private.js”的引用;
(3) 添加Form的提交事件处理函数“pt_submit()”;
需要在logonSuccess.htm和online.htm页面脚本中增加的内容如示例中突出显示部分:
<head>
<script type="text/javascript" language="javascript" src="pt_private.js"></script>
</head>
<body onload="pt_init();" onbeforeunload="return pt_unload();">
... ...
<form action=logon.cgi method = post onsubmit="pt_submit()">
... ...
</body>
</html>
若要支持认证成功后自定义认证页面的自动跳转功能,即认证页面会在用户认证成功后自动跳转到设备指定的网站页面,则需要按照如下要求在认证页面logon.htm和logonSuccess.htm的脚本文件中做如下改动。
(1) 将logon.htm文件中的Form的target值设置为“blank”。
<form method=post action=logon.cgi target="blank">
(2) logonSucceess.htm文件添加页面加载的初始化函数“pt_init()”。
<head>
<title>LogonSuccessed</title>
<script type="text/javascript" language="javascript" src="pt_private.js"></script>
</head>
<body onload="pt_init();" onbeforeunload="return pt_unload();">
... ...
</body>
</html>
· 推荐使用IE6.0版本以上的浏览器。
· 需要用户浏览器设置为允许弹出窗口,或者将设备的IP地址设置为允许弹出的网站地址。若浏览器禁止弹出窗口,则关闭登录成功或在线页面时会提示用户无法下线,用户可以点击“取消”回到原页面。
· 目前,仅IE浏览器、Firefox浏览器和Safari浏览器支持关闭登录成功/在线页面后的强制用户下线功能,而其它浏览器(例如Chrome浏览器、Opera浏览器等)均不支持该功能。
· 刷新登录成功/在线页面或者使该页面跳转到别的网站上时都会触发强制用户下线事件。
在本配置任务中,通过指定Portal客户端和本地Portal服务器的之间采用的通信协议(HTTP或HTTPS),接入设备上的本地Portal服务器功能才能生效。
若指定本地Portal服务器支持的协议类型为HTTPS,则需要首先完成以下配置:
· 配置PKI策略,并成功申请本地证书和CA证书,具体配置请参见“安全配置指导”中的“PKI”。
· 配置SSL服务器端策略,并指定使用已配置的PKI域。具体配置请参见“安全配置指导”中的“SSL”。
由于指定本地Portal服务器支持的协议类型时,本地Portal服务器将同时加载已保存在根目录的缺省认证页面文件,因此若需要使用自定义的缺省认证页面文件,则需要首先完成对它的编辑和保存工作,否则使用系统默认的缺省认证页面。
配置本地Portal服务器支持的协议类型,并同时加载缺省认证页面文件 |
portal local-server { http | https server-policy policy-name } |
缺省情况下,本地Portal服务器不支持任何协议类型 |
配置SSID与认证页面文件的绑定 |
与SSID绑定的文件必须已经存在,否则绑定配置失败 |
|
配置本地Portal服务器缺省认证页面的欢迎信息 |
缺省情况下,无Web页面欢迎信息 |
由于Portal跨三层组网模式下(layer3)的接入设备无法获得用户所属的SSID,因此这种组网模式下不支持SSID与自定义认证页面文件的绑定功能。关于SSID的相关介绍,请参见“WLAN配置指导”中的“WLAN接入”。
只有在接口上使能了Portal认证,对接入用户的Portal认证功能才能生效。
在使能三层Portal认证之前,需要满足以下要求:
· 使能Portal的接口已配置或者获取了合法的IP地址;
· 接口上引用的Portal服务器名已经存在;
在接口上使能三层Portal认证 |
portal server server-name method { direct | layer3 | redhcp } |
采用CMCC Portal服务器认证IPv6 Portal用户时,必须使能IPv6类型的Portal服务器 |
· 设备向Portal服务器主动发送报文时使用的目的端口号必须与远程Portal服务器实际使用的端口号保持一致。
· 已配置的Portal服务器及其参数仅在该Portal服务器未被接口引用时才可以被删除或修改。
· 对于跨三层设备支持Portal认证的应用只能配置可跨三层Portal认证方式(portal server server-name method layer3),但可跨三层Portal认证方式不要求接入设备和Portal用户之间必需跨越三层设备。
· 在二次地址分配认证方式下,允许用户在未通过Portal认证时以公网地址向外发送报文,但相应的回应报文则受限制。
· IPv6 Portal服务器不支持二次地址分配方式的Portal认证。
· 允许在接口上同时使能使用IPv4 Portal服务器的三层Portal认证和使用IPv6 Portal服务器的三层Portal认证。但是,不允许同时使能使用相同IP协议的Portal服务器的三层Portal认证。
通过配置免认证规则(free-rule)可以让特定的用户不需要通过Portal认证即可访问外网特定资源,这是由免认证规则中配置的源信息以及目的信息决定的。
免认证规则的匹配项包括IP地址、TCP/UDP端口号、MAC地址、所连接设备的接口和VLAN,只有符合免认证规则的用户报文才不会触发Portal认证,因此这些报文所属的用户才可以直接访问网络资源。
配置Portal的免认证规则 |
本命令中参数tcp、udp、wlan ssid的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍 IPv6 Portal免认证规则的支持情况与设备的型号有关,请参见“配置指导导读”中的“特性差异情况”部分的介绍 |
|
· 如果免认证规则中同时配置了vlan和interface项,则要求interface属于该VLAN,否则该规则无效。
· 相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复。
· 无论接口上是否使能Portal认证,只能添加或者删除免认证规则,不能修改。
通过配置禁止访问规则(forbidden-rule)可以禁止Portal用户访问特定的资源,根据禁止访问规则中配置的目的信息决定的。禁止访问规则的匹配项包括IP地址、域名信息、TCP协议和UDP协议的端口号,满足禁止访问规则的报文将不能被转发。
通过配置灰名单规则(no-accounting rule),设备不会将匹配灰名单规则的数据流量发送给AAA服务器,从而使用户自己决定对访问哪些网站的流量不进行计费。
表1-8 配置灰名单规则
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
开启灰名单功能 |
portal grey-rule enable |
缺省情况下,未开启接口的灰名单功能 |
退出接口视图 |
quit |
- |
配置灰名单规则 |
portal grey-rule rule-number [ source { ip ip-address [ mask { mask-length | mask } ] | wlan ssid ssid-name [ hotspot hotspot-name ] } * ] destination { domain domain-name | ip ip-address [ mask { mask-length | mask } ] | tcp tcp-port-number | udp udp-port-number } * |
缺省情况下,未配置任何灰名单规则 |
通过配置源认证网段实现只允许在源认证网段范围内的用户HTTP报文才能触发Portal认证。如果未认证用户的HTTP报文既不满足免认证规则又不在源认证网段内,则将被接入设备丢弃。
缺省情况下,源IPv4认证网段为0.0.0.0/0,源IPv6认证网段为::/0,表示对来自任意网段的用户都进行Portal认证 ipv6参数的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍 |
· 源认证网段配置仅对可跨三层Portal认证有效。直接认证方式的认证网段为任意源IP,二次地址分配方式的认证网段为由接口私网IP决定的私网网段。
· 可通过多次执行本命令,配置多个源认证网段,最多允许配置32个源认证网段。
通过该配置可以控制系统中的Portal接入用户总数。
表1-10 配置Portal最大用户数
配置Portal最大用户数 |
缺省情况下,Portal最大用户数与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍 |
如果配置的Portal最大用户数小于当前已经在线的Portal用户数,则该命令可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户接入。
通过在指定接口上配置Portal用户使用的认证域,使得所有从该接口接入的Portal用户被强制使用指定的认证域来进行认证、授权和计费。即使Portal用户输入的用户名中携带的域名相同,接入设备的管理员也可以通过该配置对不同接口指定不同的认证域,从而增加了管理员部署Portal接入策略的灵活性。
表1-11 指定Portal用户使用的认证域
指定Portal用户使用的认证域 |
缺省情况下,未指定Portal用户使用的认证域 ipv6参数的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍 |
从指定接口上接入的Portal用户将按照如下先后顺序选择认证域:接口上指定的ISP域-->用户名中携带的ISP域-->系统缺省的ISP域。关于缺省ISP域的相关介绍请参见“安全配置指导”中的“AAA”。
对于三层Portal认证,设备默认只允许未配置Web代理服务器的用户浏览器发起的HTTP请求才能触发Portal认证。若用户使用配置了Web代理服务器的浏览器上网,则用户的这类HTTP请求报文将被丢弃,而不能触发Portal认证。这种情况下,网络管理员可以通过在设备上添加Web代理服务器端口号,来允许使用Web代理服务器的用户浏览器发起的HTTP请求也可以触发Portal认证。
如表1-12所示,不同的应用场景中,客户端浏览器的Web代理配置有所不同,为使这些场景下的客户端可以成功触发Portal认证,除了需要在设备上添加允许触发Portal认证的Web代理服务器端口之外,还需要完成相关的配置准备。
场景1: 所有或部分客户端使用Web代理服务器上网,且这些客户端未将Portal服务器的IP地址配置为Web代理服务器的例外地址 |
· 若使用iMC Portal服务器,则Portal服务器上与Portal设备关联的IP地址组类型应选择支持NAT,并且转换后的IP地址应指定为代理服务器的IP地址,相应的端口组也应选择支持NAT。 · Portal服务器与Web代理服务器路由可达。 |
场景2: 所有或部分客户端使用Web代理服务器上网,且这些客户端将Portal服务器的IP地址配置为Web代理服务器的例外地址 |
· 若使用iMC Portal服务器,则Portal服务器上与Portal设备关联的IP地址组和端口组类型都应该选择不支持NAT。 |
场景3: 所有客户端均使用Web代理服务器上网,但仅部分客户端将Portal服务器的IP地址配置为Web代理服务器的例外地址 |
· 若使用iMC Portal服务器,需要将客户端IP地址分为两组,分别按照场景1和场景2下的配置约束配置对应的IP地址组和端口组。 · Portal服务器与Web代理服务器路由可达。 |
表1-13 配置允许触发Portal认证的Web代理服务器端口
添加允许触发Portal认证的Web代理服务器端口 |
portal web-proxy port port-number |
缺省情况下,不存在允许触发Portal认证的Web代理服务器端口 |
· 如果用户浏览器采用WPAD方式自动配置Web代理,则不仅需要网络管理员在设备上添加Web代理服务器端口,还需要配置免认证规则,允许目的IP为WPAD主机IP地址的用户报文免认证。
· 如果设备上已添加了80端口为Web代理服务器端口,则未使用代理服务器上网的客户端只有通过访问开启了HTTP服务的可达主机,才能触发Portal认证。
· 如果需要对认证成功的Portal用户下发授权ACL,则该ACL必须包含一条允许Web代理服务器IP地址的规则,否则用户上线后,无法接收远程Portal服务器发送的心跳检测报文。
目前多数大型互联网公司域名不存在对应的固定IP,而是通过GSLB(Global Server Load Balance,全局负载均衡)方式动态获取IP地址。原有free rule方式只能添加域名对应的IP地址,无法满足目前需求。现可以通过配置微信认证的方式,Portal认证前放通微信或者App Store等GSLB后面的服务器,使用户关注微信公共账号或下载App后可以通过Portal认证上网。如Portal认证前用户可以访问微信账号,当用户关注微信公共账号后,返回Portal认证上网。
当无线控制器开启了Portal认证,iOS移动终端会自动弹出Portal认证页面,如果没有通过Portal认证,当按“home”键返回桌面时,Wi-Fi连接会自动断开。当开启iOS重定向优化功能后,可以使Wi-Fi继续保持连接状态。
表1-14 配置微信认证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置对用户放行指定的一类域名服务器地址 |
portal user-url user-url-string free |
必选 缺省情况下,没有配置对用户放行指定的域名服务器地址 |
在Portal用户认证前将指定的移动终端设置成静默状态 |
portal silent { android | ios user-agent [ user-agent [ reply-file file-name ] ] } |
必选 缺省情况下,没有将任何移动终端设置成静默状态 |
开启iOS重定向优化功能 |
portal silent ios optimize |
可选 缺省情况下,未开启iOS重定向优化功能 |
当配置了该功能后,重定向的URL地址指定为Portal认证页面URL,可以实现根据用户访问URL推不同认证页面。
表1-15 配置基于用户Web访问地址的重定向URL
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置基于用户Web访问地址的重定向URL |
portal user-url user-url-string redirect-url url-string |
必选 缺省情况下,没有基于用户Web访问地址的重定向URL |
若设备使用RADIUS服务器对Portal用户进行认证/授权/计费,则当接口上有Portal用户上线时,设备会向RADIUS服务器发送RADIUS请求报文,并使用RADIUS请求报文中携带的NAS-Identifier属性来向RADIUS服务器标识自己。该属性值可在系统视图下或者接口视图下进行配置,接口上的配置优先,若接口上没有配置,则使用系统视图下的全局配置。
表1-16 配置接口发送RADIUS报文的NAS-ID
配置接口发送RADIUS报文的NAS-ID |
缺省情况下,使用命令sysname配置的设备名作为接口发送RADIUS报文的NAS ID sysname的具体配置请参见“基础配置命令参考”中的“设备管理” |
||
RADIUS标准属性NAS-Port-Type用于表示用户接入的端口类型。当接口上有Portal用户上线时候,若该接口上配置了NAS-Port-Type,则使用本命令配置的值作为向RADIUS服务器发送的RADIUS请求报文的NAS-Port-Type属性值,否则使用接入设备获取到的用户接入的端口类型填充该属性。
若作为Portal认证接入设备的BAS(Broadband Access Server,宽带接入服务器)与Portal客户端之间跨越了多个网络设备,则可能无法正确获取到接入用户的实际端口信息,例如对于Portal认证接入的无线客户端,BAS获取到的接入端口类型有可能是设备上认证该用户的有线接口类型。因此,为保证BAS能够向RADIUS服务器正确传递用户的接入端口信息,需要网络管理员在了解用户的实际接入环境后,通过本命令指定相应的NAS-Port-Type。
表1-17 配置接口的NAS-Port-Type
配置接口的NAS-Port-Type |
portal nas-port-type { ethernet | wireless } |
Portal用户进行RADIUS认证时,设备发送给RADIUS服务器的请求报文中需要携带NAS-Port-ID属性。该属性值的使用情况与具体的Portal服务器配置相关。
配置接口的NAS-Port-ID |
portal nas-port-id nas-port-id-value |
缺省情况下,未指定接口的NAS-Port-ID,RADIUS请求报文中的NAS-Port-ID属性值为接入设备获取到的Portal用户接入的物理接口信息 |
在某些组网环境下,依靠VLAN来确定用户的接入位置,网络运营商需要使用NAS-Identifier来标识用户的接入位置。当接口上有Portal用户上线时,若该接口上指定了NAS-ID Profile,则接入设备会根据指定的Profile名字和用户接入的VLAN来获取与此VLAN绑定的NAS-ID,此NAS-ID的值将作为向RADIUS服务器发送的RADIUS请求报文中的NAS-Identifier属性值。
本特性中指定的Profile名字用于标识VLAN和NAS-ID的绑定关系,该绑定关系由AAA中的nas-id id-value bind vlan vlan-id命令生成,有关该命令的具体情况请参见“安全命令参考”中的“AAA”。
在接口上未指定NAS-ID Profile或指定的Profile中没有找到匹配的绑定关系的情况下,若接口上已通过命令portal nas-id命令配置了NAS-ID,则使用该NAS-ID作为接口的NAS-ID;若接口上未配置portal nas-id命令,则使用设备名作为接口的NAS-ID。
创建NAS-ID Profile,并进入NAS-ID-Profile视图 |
||
设置NAS-ID与VLAN的绑定关系 |
||
通过在使能Portal的接口上配置发送Portal报文使用的源地址,可以保证接入设备以此IP地址为源地址向Portal服务器发送报文,且Portal服务器向接入设备回应的报文以此IP地址为目的地址。
表1-20 配置接口发送Portal报文使用的源地址
配置接口发送Portal报文使用的源地址 |
缺省情况下,未指定接口发送Portal报文使用的源地址,即以接入用户的接口地址作为发送Portal报文的源地址 ipv6参数的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍 在NAT组网环境下,此地址建议配置为接口的公网IP地址 |
· 本特性需要与CMCC类型的Portal服务器配合使用。
· 本特性的支持情况与设备的型号有关,请参见“配置指导导读”中的“特性差异情况”部分的介绍。
通过配置设备的编码名,使得设备向Portal客户端发送的重定向URL中携带一个参数“wlanacname”和一个XML信息,该XML信息的值就是设备的编码名。Portal服务器端可以利用此信息得知Portal客户端从哪个接入设备接入。
为使基于MAC地址的快速认证生效,在完成普通三层Portal认证的相关配置后,还必须完成以下配置:
· 指定MAC绑定服务器的IP地址和端口号;
· 在使能了Portal认证的接口上使能MAC快速认证功能;
· 将MAC地址绑定服务器指定为一个Portal服务器。具体配置请参见“1.4 指定三层Portal认证的Portal服务器”。
基于MAC地址的快速认证生效后,接入设备会在指定的周期内(可通过period period-value配置)检测用户的流量,在用户的流量达到设定的阈值(可通过threshold threshold-value配置)之前,允许用户访问外部网络资源,一旦用户流量达到设定的阈值,则触发MAC快速认证功能。
表1-22 配置Portal支持基于MAC地址的快速认证
指定MAC绑定服务器 |
portal mac-trigger server ip ip-address [ port port-number ] |
缺省情况下,未指定MAC绑定服务器 |
使能MAC快速认证功能 |
portal mac-trigger enable [ period period-value ] [ threshold threshold-value ] |
缺省情况下,MAC快速认证功能处于关闭状态 |
配置MAC快速认证用户发送RADIUS计费请求报文时携带的NAS-Port-Type属性值 |
portal mac-trigger nas-port-type value |
可选 缺省情况下,携带的NAS-Port-Type属性值与设备的接口类型相关 |
配置MAC地址绑定查询报文的重传次数和发送时间间隔 |
portal mac-trigger binding-retry retry-times interval interval-value |
可选 缺省情况下,当MAC地址绑定服务器没有回应的情况下,设备最多尝试发送3次MAC绑定查询报文,重传MAC绑定查询报文的时间间隔为1秒 |
为实现Portal支持双机热备,在保证实现业务流量切换的VRRP机制工作正常的前提下,还需要完成以下配置任务:
· 指定备份Portal业务所涉及的接口,本文简称为业务备份接口,并在该业务备份接口上使能Portal。
· 配置业务备份接口所属的Portal备份组,两台设备上有备份关系的业务备份接口属于同一个Portal备份组。
· 配置双机热备模式下的设备ID,保证设备上用户的全局唯一性,该设备ID必须不同于对端的设备ID。
· 配置设备发送RADIUS报文的备份源IP地址,使得对端设备也能够收到服务器发送的报文。备份源IP地址必须指定为对端设备发送RADIUS报文使用的源IP地址。(此配置可选)
· 指定备份VLAN,并使能双机热备功能,相关配置请参考“可靠性配置指导”的“双机热备”。
对端设备上也需要完成以上配置,才能保证双机热备环境下的Portal业务备份正常进行。
当双机工作状态由独立运行状态转换为同步运行状态,且Portal备份组已生效时,两台设备上已经上线的Portal用户数据会开始进行相互的备份。
表1-23 配置Portal支持双机热备
相互备份的两台设备上业务备份接口所属的Portal备份组必须相同 |
||
nas device-id device-id |
||
指定设备发送RADIUS报文使用的备份源IP地址 |
缺省情况下,未指定发送RADIUS报文使用的备份源IP地址 若将设备发送RADIUS报文使用的源IP地址指定为VRRP上行链路所在备份组的虚拟IP地址,则不需要本配置 |
|
· 双机热备模式下,设备不支持业务备份接口使能二次地址方式的Portal认证。
· 工作于双机热备模式下的任何一台设备上的用户被强制下线,都会导致另外一台设备上的相同用户信息同时被删除。设备和Portal服务器上均可执行强制用户下线操作,例如,设备上可通过执行命令cut connetion、portal delete-user来强制用户下线。
· 互为备份的两台设备上的AAA及Portal的相关配置必须保持一致,比如两台设备上都必须配置相同的Portal服务器。
· 由于配置或改变设备的设备ID会导致设备上所有在线用户被强制下线,因此需慎重操作,并建议该配置成功执行后,保存配置并重启设备。
· 在双机热备运行的情况下,不要删除已配置的备份源IP地址,否则可能会导致备份设备上的在线用户无法收到服务器发送的报文。
该配置定义了SSID和AP热点的IPv4或者IPv6用户绑定Portal认证使用的Portal服务器和认证域或者重定向的用户URL。无线用户接入时,先根据其接入的SSID和AP热点来查找使用的Portal server和认证域,若未找到与之匹配的绑定关系,则使用接口下使能Portal认证时指定的Portal server和系统视图下配置的认证域进行认证。无线用户认证后,先根据其接入的SSID和AP热点来查找使用的重定向URL以及需要携带的参数。若未找到与之匹配的绑定关系,则使用全局配置的命令portal redirect-url。
为使配置的绑定关系生效,需要配置相应的免认证规则,以保证设备发送给被绑定Portal服务器的报文可以被放行,以及需要保证绑定的Portal服务器和认证域存在。
表1-24 配置根据SSID使用不同Portal服务器和认证域
为指定的SSID和AP热点绑定使用的Portal服务器和认证域 |
portal [ ipv6 ] wlan ssid ssid-name [ spot spot-name ] { server server-name [ domain domain-name ] | redirect-url url-value [ wait-time value ] | redirect-url-param { nas-id param-name | nas-ip param-name | user-ip param-name | user-mac param-name [ des-encrypt ] | ap-mac param-name [ des-encrypt ] | ac-name param-name | ssid-name param-name } *} * |
缺省情况下,没有为任何SSID和AP热点绑定使用的Portal服务器和认证域以及重定向URL和携带参数 |
在未认证用户登录到Portal认证页面进行认证的情况下,当用户输入正确的认证信息且认证成功后,若设备上指定了认证页面的自动跳转目的网站地址,则认证成功的用户将在一定的时间间隔(由wait-time参数配置)之后被强制登录到该指定的目的网站页面。
表1-25 指定Portal用户认证成功后认证页面自动跳转的目的URL
指定Portal用户认证成功后认证页面自动跳转的目的网站地址 |
· 该特性需要与支持自动跳转页面功能的iMC Portal服务器配合使用。
· wait-time参数只对本地Portal认证有效,对于远程Portal认证无效。
· 本地Portal认证时,若用户初始访问的页面URL长度超过255个字符,则在未指定跳转目的网站地址的情况下,用户认证成功之后的认证页面无法返回到初始页面。
在MAC-BAC组网环境下,BAS AC在发送给用户的重定向URL中添加的NAS-IP属性值必须为Master AC的IP地址。Portal服务器收到用户的HTTP请求报文时,在报文的URL中读取此NAS-IP值用于识别接入设备,并向该NAS-IP的设备发送Portal请求报文。
本命令必须与命令portal url-param include配合使用,且仅当配置portal url-param include nas-ip的情况下本命令才能生效。
· 若系统视图下配置了portal url-param include nas-ip,且接口下配置了在重定向URL中添加的NAS-IP属性值,则重定向URL中将包含NAS-IP属性字段且为配置值,例如http://10.0.0.20/portal?nasip=10.0.0.1;
· 若系统视图下配置了portal url-param include nas-ip,但接口下未配置在重定向URL中添加的NAS-IP属性值,则重定向URL中将包含NAS-IP属性字段,且取值为接口发送Portal报文使用的源地址,具体请见“1.9 配置接口发送Portal报文使用的源地址配置接口发送Portal报文使用的源地址”;
· 若系统视图未配置portal url-param include nas-ip,则重定向URL中将不包含NAS-IP属性字段。
表1-26 配置在重定向URL中添加的NAS-IP属性值
配置在重定向URL中添加的NAS-IP属性值 |
缺省情况下,未配置在重定向URL中添加的NAS-IP属性值 |
缺省情况下,设备接收Portal报文的UDP端口为2000。在MAC-BAC组网环境下,可通过本功能修改BAS AC监听和接收Master AC发送的Portal报文的端口,避免端口2000被其它应用使用引起监听端口冲突。
表1-27 配置监听和接收Portal报文端口
配置监听和接收Portal报文端口 |
缺省情况下,设备接收Portal报文的UDP端口为2000 |
· 本特性仅直接方式的三层Portal认证支持。
· 双机热备情况下,探测报文发送的间隔是主、备设备配置的探测报文发送的间隔之和。
在接口上配置Portal用户在线探测功能后,设备会定期向从该接口上线的Portal在线用户发送探测报文(目前支持发送ARP请求),来确认该用户是否在线,以便及时发现异常离线用户。
· 若设备在指定的探测次数之内收到了该Portal用户的响应报文,则认为此用户在线,并通过继续发送探测报文,来持续确认该用户的在线状态。
· 若设备在指定的探测次数之后仍然未收到该Portal用户的响应报文,则认为此用户已经下线,则停止发送探测报文,并删除该用户。
表1-28 配置三层Portal用户在线探测功能
配置三层Portal用户在线探测功能 |
access-user detect type arp retransmit number interval interval |
缺省情况下,未配置三层Portal用户在线探测功能 |
在Portal认证的过程中,如果接入设备与Portal服务器的通信中断,则会导致新用户无法上线,已经在线的Portal用户无法正常下线的问题。为解决这些问题,需要接入设备能够及时探测到Portal服务器可达状态的变化,并能触发执行相应的操作来应对这种变化带来的影响。例如,当接入设备发现Portal服务器不可达时,可打开网络限制,允许Portal用户不需经过认证即可访问网络资源,也就是通常所说的Portal逃生功能,该功能为一种灵活的用户接入方案。
通过配置本特性,设备可以对指定Portal服务器的可达状态进行探测,具体配置包括如下几项:
· 探测HTTP连接:接入设备定期向Portal服务器的HTTP服务端口发起TCP连接,若连接成功建立则表示此服务器的HTTP服务已开启,就认为一次探测成功且服务器可达。若连接失败则认为一次探测失败。
· 探测Portal心跳报文:支持Portal逃生心跳功能的Portal服务器(目前仅iMC支持)会定期向接入设备发送Portal心跳报文,设备通过检测此报文来判断服务器的可达状态:若设备在指定的周期内收到Portal心跳报文或者其它认证报文,且验证其正确,则认为此次探测成功且服务器可达,否则认为此次探测失败。
· 失败探测的最大次数:允许连续探测失败的最大次数。若连续探测失败数目达到此值,则认为服务器不可达。
(3) 可达状态改变时触发执行的操作(可以选择其中一种或同时使用多种)
· 发送Trap:Portal服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息。Trap信息中记录了Portal服务器名以及该服务器的当前状态。
· 发送日志:Portal服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal服务器名以及该服务器状态改变前后的状态。
· 打开网络限制(Portal逃生):Portal服务器不可达时,暂时取消端口进行的Portal认证,允许该端口接入的所有Portal用户访问网络资源。之后,若设备收到Portal服务器的心跳报文,或者收到其它认证报文(上线报文、下线报文等),则恢复该端口的Portal认证功能。
对于以上配置项,可根据实际情况进行组合使用,但需要注意以下几点:
· 如果同时指定了两种探测方式,则只要使用任何一种探测方式进行探测的失败次数达到最大值就认为服务器不可达。在服务器不可达状态下,只有使用两种探测方式的探测都成功才能认为服务器恢复为可达状态。
· 如果同时指定了多种操作,则Portal服务器可达状态改变时系统可并发执行多种操作。
· 对指定Portal服务器配置的探测功能,只有接口上使能了Portal认证并引用该Portal服务器之后才能生效。
· 同一接口下,配置根据SSID和AP热点指定使用不同的portal服务器时,不支持portal逃生功能。
表1-29 配置Portal服务器探测功能
配置对Portal服务器的探测功能 |
缺省情况下,未配置对Portal服务器的探测功能 本命令中指定的Portal服务器必须已经存在,且只能为IPv4 Portal服务器 |
只有对于支持Portal逃生心跳功能(目前仅iMC的Portal服务器支持)的Portal服务器,portal-heartbeat类型的探测方法才有效。为了配合此类型的探测,还需要在Portal服务器上选择支持逃生心跳功能,并要求此处的interval与retry参数值的乘积大于等于Portal服务器上的逃生心跳间隔时长,其中interval取值最好大于Portal服务器的逃生间隔时长。
为了解决接入设备与Portal服务器通信中断后,两者的Portal用户信息不一致问题,设备提供了一种Portal用户信息同步功能。该功能利用了Portal同步报文的发送及检测机制,具体实现如下:
(1) 由Portal服务器周期性地(周期为Portal服务器上指定的用户心跳间隔值)将在线用户信息通过用户同步报文发送给接入设备;
(2) 接入设备检测到该用户同步报文后,将其中携带的用户信息与自己的用户信息进行对比,如果发现同步报文中有设备上不存在的用户信息,则将这些自己没有的用户信息反馈给Portal 服务器,Portal服务器将删除这些用户信息;如果发现接入设备上的某用户信息在连续N(N为retry参数的取值)个周期内,都未在该Portal服务器发送过来的用户同步报文中出现过,则认为Portal服务器上已不存在该用户,设备将强制该用户下线。
表1-30 配置Portal用户同步功能
配置Portal用户同步功能 |
portal server server-name user-sync [ interval interval ] [ retry retries ] |
缺省情况下,未配置Portal用户同步功能,且只能为IPv4 Portal服务器 本命令中指定的Portal服务器必须已经存在 只有在指定的Portal服务器已经在接口上使能的情况下,本功能才能生效 |
· 只有在支持Portal用户心跳功能(目前仅iMC的Portal服务器支持)的Portal服务器的配合下,本功能才有效。为了实现该功能,还需要在Portal服务器上选择支持用户心跳功能,并要求此处的interval与retry参数值的乘积应该大于等于Portal服务器上的用户心跳间隔时长,其中interval取值最好大于Portal服务器的用户心跳间隔时长。
· 对于设备上多余的用户信息,即在N个周期后被判定为Portal服务器上已不存在的用户信息,设备会在第N+1个周期内的某时刻将其删除掉。
通过配置强制用户下线可以终止对指定IP地址用户的认证过程,或者将已经通过认证的指定IP地址的用户删除。
表1-31 配置强制Portal用户下线
ipv6参数的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍 |
用户接入的SSID切换后,通过配置无线Portal用户SSID切换后的强制下线功能,可以强制用户下线。
表1-32 配置无线Portal用户SSID切换后的强制下线功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置无线Portal用户SSID切换后的强制下线功能 |
portal wlan ssid-switch logoff |
必选 缺省情况下,无线Portal用户SSID切换后,用户保持在线状态 |
关闭Portal报文信息的日志开关,可以避免在设备上启动日志功能而影响系统的性能。
表1-33 配置Portal报文信息的日志开关
打开Portal报文信息的日志开关 |
缺省情况下,Portal报文信息的日志开关处于关闭状态 |
通过以下配置可以指定重定向URL携带参数,并指定它在重定向URL中的参数名。各参数的含义如下:
· nas-id:指定Portal重定向URL中包含NAS-ID参数。
· nas-ip:portal重定向URL包含nas-ip参数。
· nas-port-id:指定Portal重定向URL中包含NAS-PORT-ID参数。
· user-mac:指定Portal重定向URL中包含UserMac参数。
· ap-mac:Portal重定向URL中包含ap-mac参数。
· des-encrypt:Portal重定向URL中的用户MAC地址或者AP MAC地址采用DES方式加密。若不指定该参数,则表示Portal重定向URL中的用户MAC地址或者AP MAC地址为明文。
· user-url:指定Portal重定向URL包含用户访问的URL。
· user-ip:Portal重定向URL中包含user-ip参数,不配置此参数时,iMC和CMCC以各自默认参数名携带此参数。
· user-vlan:Portal重定向URL中包含UserVLAN参数。
· ac-name:Portal重定向URL中包含ac-name参数。
· ssid:Portal重定向URL中包含ssid参数。
表1-34 配置重定向URL携带参数
配置全局重定向URL携带参数 |
缺省情况下,重定向URL携带的参数与服务器支持的URL格式有关,具体如下: · CMCC方式重定向页面携带参数为user-ip、ac-name和ssid; · iMC方式重定向页面携带参数为user-ip; · 本地Portal Server方式重定向页面携带参数为user-ip、ac-name和ssid。 |
|
配置重定向URL携带参数的加密密钥 |
portal url-param des-key { simple | cipher } key |
可选 缺省情况下,初始密钥密钥为12345678 |
进入接口视图 |
interface interface-type interface-number |
|
配置接口视图下重定向URL携带参数 |
portal url-param include { nas-id | nas-ip | nas-port-id | { user-mac | ap-mac } [ des-encrypt ] | user-url | user-ip | user-vlan | ac-name | ssid } [ param-name param-name ] |
必选 缺省情况下,重定向URL不携带参数 |
通过以下配置,可以指定Portal重定向URL中携带的用户或AP的MAC地址格式。
表1-35 配置Portal重定向URL中携带的用户或AP的MAC地址格式
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置Portal重定向URL中携带的用户或AP的MAC地址格式 |
portal url-param { user-mac | ap-mac } format { with-2-hyphen | with-5-hyphen | no-hyphen } { lowercase | uppercase } |
必选 缺省情况下,Portal重定向URL中携带的用户或AP的MAC地址格式为5个连字符的大写方式 |
通过配置Portal用户报文的控制模式,可以控制认证接口允许通过的认证用户的报文类型。Portal用户报文的控制模式有如下两种:
· 基于MAC的控制模式:IPv4或者IPv6用户通过Portal认证上线后,同时允许该用户的IPv4和IPv6报文通过认证接口。
· 基于IP+MAC的控制模式:IPv4用户通过Portal认证上线后,仅允许该用户的IPv4报文通过认证接口。IPv6用户通过Portal认证上线后,仅允许该用户的IPv6报文通过认证接口。
表1-36 配置Portal用户报文的控制模式
配置Portal用户报文的控制模式 |
缺省情况下,Portal用户报文的控制模式为IP+MAC |
本特性的支持情况与设备的型号有关,请参见“配置指导导读”中的“特性差异情况”部分的介绍。
当设备作为二层设备使用时,设备有可能无法学习到ARP表项,则不能通过ARP表项来对主机进行合法性检查。此时可以通过查找DHCP Snooping表项或者客户端的WLAN绑定表项信息来获取用户的物理信息,对主机进行合法性检查。有关DHCP Snooping表项的详细介绍,请参见“三层技术配置指导”中的“DHCP Snooping”。有关WLAN绑定表项信息的详细介绍,请参见“WLAN配置指导”中的“WLAN接入”。
表1-37 配置Portal用户的主机合法性检查功能
配置Portal用户的主机合法性检查功能 |
缺省情况下,根据ARP表项对主机进行合法性检查 |
通过在接口上配置强推页面功能,可以实现该接口上的接入用户在首次进行Web访问时被强制访问指定网页的功能,即该用户的Web访问请求被重定向到指定的URL,之后用户可以正常访问网络资源。在固定时间间隔后,若该用户重新发起Web访问请求,则再次推出指定页面。
该特性可为酒店或者网络运营商提供对用户进行周期性推出广告页面的类似功能。与普通Portal不同的是,该特性不要求接口上接入的用户进行认证,因此也无需其它认证方面的部署来配合。
当修改了强推页面功能指定的网页后,已在线用户仍访问原配置指定的网页,在原配置的强推页面周期过后访问新配置指定的网页,首次进行Web访问的用户访问新配置指定的网页。 |
目前,若接口上使能了Portal功能,则强推页面功能不能生效,建议二者不要同时配置使用。
通过在接口上配置Portal用户动态IP地址检查功能,可以实现接口上仅允许使用动态分配方式获取IP地址的用户上线,当使用静态方式获取IP地址的用户发起Portal认证时,直接认证失败。
表1-39 配置Portal用户动态IP地址检查功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置Portal用户动态IP地址检查功能 |
portal user-address dhcp-alloc-only |
必选 缺省情况下,未配置Portal用户动态IP地址检查该功能 |
CMCC规范要求如果用户认证失败,必须发送错误码给服务器。通过配置CMCC错误码发送功能可以控制当用户认证失败时是否将错误码发送给服务器。
表1-40 配置CMCC错误码发送功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置CMCC错误码发送功能 |
portal server server-name include-error-message |
必选 缺省情况下,未配置CMCC错误码发送功能 |
通常情况下,当客户端完成Portal认证之后AP会将Portal客户端的数据流量发送给AC,由AC进行转发,当配置了Portal认证的本地转发模式后,客户端的数据流量将由AP直接转发,减轻了AC的转发负担。
表1-41 配置Portal认证的本地转发模式
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置Portal认证的本地转发模式 |
portal forwarding-mode local |
必选 缺省情况下,AP会将Portal客户端的数据流量发送给AC,由AC进行转发 |
Portal功能开启后,对于客户端发送的报文不会做甄别,只要是HTTP请求报文都会做重定向。而随着移动终端的普及和各类APP的广泛应用,更多的HTTP请求是由非浏览器访问产生的,如杀毒软件、微信、QQ和微博等。对这类由APP发出的HTTP请求报文做重定向只会增加Portal服务器的负担,并不能真正的完成Portal认证过程。而Portal安全重定向功能是根据HTTP报文的请求方法、User-Agent、目的主机这些特征,针对性的将一些重定向报文丢弃,有效的减少了Portal服务器的负担。
表1-42 配置Portal安全重定向功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启Portal安全重定向功能 |
portal safe-redirect enable |
必选 缺省情况下,不开启Portal安全重定向功能 |
开启Portal服务器仅允许HTTP协议的请求方法为GET或者POST的报文进行重定向 |
portal safe-redirect method { get | post } |
可选 缺省情况下,不指定HTTP协议的请求方法。 需要注意的是,需要先开启Portal安全重定向功能才能配置上述功能 |
配置合法的HTTP协议请求的浏览器类型 |
portal safe-redirect user-agent user-agent-string |
可选 缺省情况下,没有配置HTTP协议请求的浏览器类型。 |
配置禁止对用户指定的目的主机进行重定向 |
portal safe-redirect forbidden-url user-url-string |
可选 缺省情况下,不限制对任何指定的目的主机进行重定向 |
Portal用户上网日志记录功能可以对通过Portal认证的用户的上网行为进行审计,并记录到日志中,然后每隔一定时间将一定数量的日志记录发送到日志服务器。
表1-43 配置Portal用户上网日志记录功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启Portal用户上网日志记录功能 |
portal audit enable |
必选 缺省情况下,Portal用户上网日志记录功能处于关闭状态 |
配置设备向日志服务器发送用户上网日志记录的时间间隔和每次发送的日志的最大数目 |
portal audit { interval interval | count number } * |
可选 缺省情况下,设备向日志服务器发送用户上网日志记录的时间间隔为3秒,每次发送的日志最大数目为50 |
通过配置本功能,可以对用户HTTPS的访问进行Portal重定向。
表1-44 配置Portal支持HTTPS重定向功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置HTTPS重定向引用的SSL服务器端策略 |
portal https-redirect ssl-server-policy policy-name |
必选 缺省情况下,未配置HTTPS重定向引用的SSL服务器端策略 |
由于不同的Portal认证服务器对Portal协议报文中的属性字段支持情况不同,如果设备发送给Portal认证服务器的Portal协议报文中携带了服务器不支持的属性字段,会导致设备和Portal认证服务器不能通信。
通过配置本特性,可以指定设备发送的Portal协议报文中不携带Portal认证服务器不支持的属性字段,从而避免因设备和Portal认证服务器不通导致Portal认证失败。
表1-45 配置Portal协议报文中不携带的属性字段
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置Portal协议报文中不携带的属性字段 |
portal mac-trigger exclude-attribute attribute-number |
缺省情况下,未配置Portal协议报文中不携带的属性字段 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后Portal的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除Portal统计信息。
表1-46 Portal显示和维护
显示接口上Portal的ACL信息 |
|
显示接口上Portal的连接统计信息 |
|
显示Portal的免认证规则信息 |
display portal free-rule [ rule-number ] [ | { begin | exclude | include } regular-expression ] |
显示指定接口的Portal配置信息 |
|
显示本地Portal服务器信息 |
display portal local-server [ | { begin | exclude | include } regular-expression ] |
显示Portal服务器信息 |
display portal server [ server-name ] [ | { begin | exclude | include } regular-expression ] |
显示接口上Portal服务器的统计信息 |
|
显示TCP仿冒统计信息 |
display portal tcp-cheat statistics [ | { begin | exclude | include } regular-expression ] |
显示Portal用户的信息 |
|
显示重定向Portal用户的信息 |
display web-redirect user [ | { begin | exclude | include } regular-expression ] |
清除接口上Portal的连接统计信息 |
reset portal connection statistics {all | interface interface-type interface-number } |
清除接口上Portal服务器的统计信息 |
reset portal server statistics { all | interface interface-type interface-number } |
清除TCP仿冒统计信息 |
· 配置AC采用直接方式的Portal认证。无线用户Client在未通过Portal认证前,只能访问Portal服务器;无线用户Client通过Portal认证后,可以访问外部网络。
· 采用RADIUS服务器作为认证/计费服务器。
· 无线用户Client属于VLAN 1,AP属于VLAN 3。
图1-9 配置Portal直接认证组网图
· 按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。
· 完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。
(1) 配置Portal server(iMC PLAT 3.20)
下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2602P13、iMC UAM 3.60-E6301),说明Portal server的基本配置。
# 配置Portal服务器。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[Portal服务管理/服务器配置]菜单项,进入服务器配置页面。
图1-10 Portal服务器配置页面
# 配置IP地址组。
单击导航树中的[Portal服务管理/Portal IP地址组配置]菜单项,进入Portal IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。
· 填写IP地址组名;
· 输入起始地址和终止地址。用户主机IP地址必须包含在该IP地址组范围内;
· 选择IP地址组的类型为“普通”。
图1-11 增加IP地址组配置页面
# 增加Portal设备。
单击导航树中的[Portal服务管理/Portal设备配置]菜单项,进入Portal设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。
· 输入IP地址为与接入用户相连的设备接口IP;
· 输入密钥,与接入设备AC上的配置保持一致;
# Portal设备关联IP地址组
在Portal设备配置页面中的设备信息列表中,点击AC设备的<端口组信息管理>链接,进入端口组信息配置页面。
在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。
· 选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组;
# 最后单击导航树中的[业务参数配置/系统配置手工生效]菜单项,使以上Portal服务器配置生效。
(2) 配置Portal server(iMC PLAT 5.0)
下面以iMC为例(使用iMC版本为:iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)),说明Portal server的基本配置。
# 配置Portal服务器。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[Portal服务管理/服务器配置]菜单项,进入服务器配置页面。
图1-15 Portal服务器配置页面
# 配置IP地址组。
单击导航树中的[Portal服务管理/Portal IP地址组配置]菜单项,进入Portal IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。
· 填写IP地址组名;
· 输入起始地址和终止地址。用户主机IP地址必须包含在该IP地址组范围内;
· 选择IP地址组的类型为“普通”。
图1-16 增加IP地址组配置页面
# 增加Portal设备。
单击导航树中的[Portal服务管理/Portal设备配置]菜单项,进入Portal设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。
· 指定IP地址为与接入用户相连的设备接口IP;
· 输入密钥,与接入设备AC上的配置保持一致;
# Portal设备关联IP地址组
在Portal设备配置页面中的设备信息列表中,点击AC设备的<端口组信息管理>链接,进入端口组信息配置页面。
在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。
· 选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组;
# 最后单击导航树中的[业务参数配置/系统配置手工生效]菜单项,使以上Portal服务器配置生效。
在接入设备AC上进行以下配置:
# 创建名字为rs1的RADIUS方案并进入该方案视图。
[AC] radius scheme rs1
# 配置RADIUS方案的服务器类型。使用iMC服务器时,RADIUS服务器类型应选择extended。
[AC-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[AC-radius-rs1] primary authentication 192.168.0.112
[AC-radius-rs1] primary accounting 192.168.0.112
[AC-radius-rs1] key authentication simple radius
[AC-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[AC-radius-rs1] user-name-format without-domain
[AC-radius-rs1] quit
# 创建并进入名字为dm1的ISP域。
# 配置ISP域的RADIUS方案rs1。
[AC-isp-dm1] authentication portal radius-scheme rs1
[AC-isp-dm1] authorization portal radius-scheme rs1
[AC-isp-dm1] accounting portal radius-scheme rs1
[AC-isp-dm1] quit
# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为明文portal,端口为50100,URL为http://192.168.0.111:8080/portal。
# 配置免认证规则,允许AC发送的报文在不需要认证的情况下通过Portal服务器。(此配置可选,仅在配置无线控制器业务板时需要配置)
[AC] portal free-rule 0 source interface bridge-aggregation 1 destination any
# 在与用户Client相连的接口上配置接入的Portal用户使用认证域dm1,并使能Portal认证。
[AC] interface vlan-interface 1
[AC–Vlan-interface1] portal domain dm1
[AC–Vlan-interface1] portal server newpt method direct
[AC–Vlan-interface1] quit
· 配置AC采用二次地址分配方式的Portal认证。无线用户Client通过DHCP服务器获取IP地址,Portal认证前分配一个私网地址;通过Portal认证后,无线用户Client申请到一个公网地址,才可以访问外部网络。
· 采用RADIUS服务器作为认证/计费服务器。
· iMC上配置指定认证网段为内网地址所在网段。
· 无线用户Client属于VLAN 10,AP属于VLAN 3。
图1-20 配置Portal二次地址分配认证组网图
· Portal二次地址分配认证方式应用中,DHCP服务器上需创建公网地址池(20.20.20.0/24)及私网地址池(10.0.0.0/24),具体配置略。关于DHCP的详细配置请参见“三层技术配置指导”中“DHCP服务器配置”。
· Portal二次地址分配认证方式应用中,接入设备需要配置DHCP中继来配合Portal认证,且启动Portal的接口需要配置主IP地址(公网IP)及从IP地址(私网IP)。
· 按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。
· 完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。
在AC上进行以下配置。
# 创建名字为rs1的RADIUS方案并进入该方案视图。
[AC] radius scheme rs1
# 配置RADIUS方案的服务器类型。使用iMC服务器时,RADIUS服务器类型应选择extended。
[AC-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[AC-radius-rs1] primary authentication 192.168.0.113
[AC-radius-rs1] primary accounting 192.168.0.113
[AC-radius-rs1] key authentication simple radius
[AC-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[AC-radius-rs1] user-name-format without-domain
[AC-radius-rs1] quit
# 创建并进入名字为dm1的ISP域。
# 配置ISP域的RADIUS方案rs1。
[AC-isp-dm1] authentication portal radius-scheme rs1
[AC-isp-dm1] authorization portal radius-scheme rs1
[AC-isp-dm1] accounting portal radius-scheme rs1
[AC-isp-dm1] quit
# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为明文portal,端口为50100,URL为http://192.168.0.111:8080/portal。
# 配置免认证规则,允许AC发送的报文在不需要认证的情况下通过Portal服务器。(此配置可选,仅在配置无线控制器业务板时需要配置)
[AC] portal free-rule 0 source interface bridge-aggregation 1 destination any
# 配置DHCP中继,并启动DHCP中继的安全地址匹配检查功能。
[AC] dhcp relay server-group 0 ip 192.168.0.112
[AC] interface vlan-interface 10
[AC–Vlan-interface10] ip address 20.20.20.1 255.255.255.0
[AC–Vlan-interface10] ip address 10.0.0.1 255.255.255.0 sub
[AC-Vlan-interface10] dhcp select relay
[AC-Vlan-interface10] dhcp relay server-select 0
[AC-Vlan-interface10] dhcp relay address-check enable
# 在与Client相连的接口上配置接入的Portal用户使用认证域dm1,并使能Portal认证。
[AC-Vlan-interface10] portal domain dm1
[AC–Vlan-interface10] portal server newpt method redhcp
[AC–Vlan-interface10] quit
· 配置AC采用直接方式的Portal认证。无线用户Client在通过身份认证而没有通过安全认证时可以访问192.168.0.0/24网段;无线用户Client通过安全认证后,可以随意访问外部网络。
· 采用RADIUS服务器作为认证/计费服务器。
· 无线用户Client属于VLAN 10,AP属于VLAN 3。
图1-21 配置Portal直接认证扩展功能组网图
· 按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。
· 完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。
在AC上进行以下配置。
# 创建名字为rs1的RADIUS方案并进入该方案视图。
[AC] radius scheme rs1
# 配置RADIUS方案的服务器类型。使用iMC服务器时,RADIUS服务器类型应选择extended。
[AC-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[AC-radius-rs1] primary authentication 192.168.0.112
[AC-radius-rs1] primary accounting 192.168.0.112
[AC-radius-rs1] key accounting simple radius
[AC-radius-rs1] key authentication simple radius
[AC-radius-rs1] user-name-format without-domain
# 配置RADIUS方案的安全策略服务器。
[AC-radius-rs1] security-policy-server 192.168.0.113
[AC-radius-rs1] quit
# 创建并进入名字为dm1的ISP域。
# 配置ISP域的RADIUS方案rs1。
[AC-isp-dm1] authentication portal radius-scheme rs1
[AC-isp-dm1] authorization portal radius-scheme rs1
[AC-isp-dm1] accounting portal radius-scheme rs1
[AC-isp-dm1] quit
(3) 配置受限资源对应的ACL为3000,非受限资源对应的ACL为3001
安全策略服务器上需要将ACL 3000和ACL 3001分别指定为隔离ACL和安全ACL。
[AC-acl-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255
[AC-acl-adv-3000] quit
[AC] acl number 3001
[AC-acl-adv-3001] rule permit ip
[AC-acl-adv-3001] quit
# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为明文portal,端口为50100,URL为http://192.168.0.111:8080/portal。
[AC] portal server newpt ip 192.168.0.111 key simple portal port 50100 url http://192.168.0.111:8080/portal
# 配置免认证规则,允许AC发送的报文在不需要认证的情况下通过Portal服务器。(此配置可选,仅在配置无线控制器业务板时需要配置)
[AC] portal free-rule 0 source interface bridge-aggregation 1 destination any
# 在与Client相连的接口上配置接入的Portal用户使用认证域dm1,并使能Portal认证。
[AC] interface vlan-interface 10
[AC–Vlan-interface10] portal domain dm1
[AC–Vlan-interface10] portal server newpt method direct
[AC–Vlan-interface10] quit
· 配置AC采用二次地址分配方式的Portal认证。无线用户Client通过DHCP服务器获取IP地址,Portal认证前分配一个私网地址;通过Portal认证后,无线用户Client申请到一个公网地址。
· 无线用户Client在通过身份认证而没有通过安全认证时可以访问192.168.0.0/24网段;无线用户Client通过安全认证后,可以随意访问外部网络。
· 采用RADIUS服务器作为认证/计费服务器。
· 无线用户Client属于VLAN 100,AP属于VLAN 3。
图1-22 配置Portal二次地址分配认证扩展功能组网图
· Portal二次地址分配认证方式应用中,DHCP服务器上需创建公网地址池(20.20.20.0/24)及私网地址池(10.0.0.0/24),具体配置略。关于DHCP的详细配置请参见“三层技术配置指导”中的“DHCP服务器配置”。
· Portal二次地址分配认证方式应用中,接入设备需要配置DHCP中继来配合Portal认证,且启动Portal的接口需要配置主IP地址(公网IP)及从IP地址(私网IP)。
· 按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。
· 完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。
在AC上进行以下配置。
# 创建名字为rs1的RADIUS方案并进入该方案视图。
[AC] radius scheme rs1
# 配置RADIUS方案的服务器类型。使用iMC服务器时,RADIUS服务器类型应选择extended。
[AC-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[AC-radius-rs1] primary authentication 192.168.0.113
[AC-radius-rs1] primary accounting 192.168.0.113
[AC-radius-rs1] key accounting simple radius
[AC-radius-rs1] key authentication simple radius
[AC-radius-rs1] user-name-format without-domain
# 配置RADIUS方案的安全策略服务器。
[AC-radius-rs1] security-policy-server 192.168.0.114
[AC-radius-rs1] quit
# 创建并进入名字为dm1的ISP域。
# 配置ISP域的RADIUS方案rs1。
[AC-isp-dm1] authentication portal radius-scheme rs1
[AC-isp-dm1] authorization portal radius-scheme rs1
[AC-isp-dm1] accounting portal radius-scheme rs1
[AC-isp-dm1] quit
(3) 配置受限资源对应的ACL为3000,非受限资源对应的ACL为3001
安全策略服务器上需要将ACL 3000和ACL 3001分别指定为隔离ACL和安全ACL。
[AC-acl-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255
[AC-acl-adv-3000] quit
[AC] acl number 3001
[AC-acl-adv-3001] rule permit ip
[AC-acl-adv-3001] quit
# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为明文portal,端口为50100,URL为http://192.168.0.111:8080/portal。
[AC] portal server newpt ip 192.168.0.111 key simple portal port 50100
url http://192.168.0.111:8080/portal
# 配置免认证规则,允许AC发送的报文在不需要认证的情况下通过Portal服务器。(此配置可选,仅在配置无线控制器业务板时需要配置)
[AC] portal free-rule 0 source interface bridge-aggregation 1 destination any
# 配置DHCP中继,并启动DHCP中继的安全地址匹配检查功能。
[AC] dhcp relay server-group 0 ip 192.168.0.112
[AC] interface vlan-interface 100
[AC–Vlan-interface100] ip address 20.20.20.1 255.255.255.0
[AC–Vlan-interface100] ip address 10.0.0.1 255.255.255.0 sub
[AC-Vlan-interface100] dhcp select relay
[AC-Vlan-interface100] dhcp relay server-select 0
[AC-Vlan-interface100] dhcp relay address-check enable
# 在与Client相连的接口上配置接入的Portal用户使用认证域dm1,并使能Portal认证。
[AC–Vlan-interface100] portal domain dm1
[AC–Vlan-interface100] portal server newpt method redhcp
[AC–Vlan-interface100] quit
接入设备AC 1和AC 2之间存在备份链路,使用VRRP协议和AC热备实现双机热备的流量切换,且两台设备均支持Portal认证功能。现要求AC 1和AC 2支持双机热备运行情况下的Portal用户数据备份,具体为:
· AC 1正常工作的情况下,Client通过AC 1进行Portal认证接入到外网。AC 1发生故障的情况下,Client通过AC 2接入到外网,并且在VRRP监视下行链路接口功能的配合下,保证业务流量切换不被中断。
· 采用RADIUS服务器作为认证/计费服务器。(本例中Portal服务器和RADIUS服务器的功能均由Server实现)
· AC 1和AC 2之间通过单独的链路传输双机热备报文,且指定专用于双机热备的VLAN为VLAN 8。
图1-23 配置Portal支持双机热备组网图
· 按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。
· 保证启动Portal之前主机可以分别通过AC 1和 AC 2访问认证服务器。
· 认证服务器上指定接入设备的IP地址为VRRP备份组的虚拟IP地址。VRRP配置的相关介绍请参见“可靠性配置指导”中的“VRRP”。
· 双机热备配置的相关介绍请参见“可靠性配置指导”中的“双机热备”。
· 在AC热备中,各个设备的主、备角色与在VRRP备份组中的主、备角色必须保持一致,即作为主AC的设备在VRRP备份组中也是Master设备,否则会导致本地认证时无法按照SSID推出认证页面。若由于组网需要,例如两个AC进行负载分担的情况下,未满足以上一致性要求,则需要配置相应的免认证规则,具体配置见配置步骤中的相关内容。
(1) 配置Portal服务器(iMC PLAT 3.20)
下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2606P13、iMC UAM 3.60-E6301),说明Portal server的相关配置。
# 配置Portal服务器。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[Portal服务管理/服务器配置]菜单项,进入服务器配置页面。
图1-24 Portal服务器配置页面
# 配置IP地址组。
单击导航树中的[Portal服务管理/Portal IP地址组配置]菜单项,进入Portal IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。
· 填写IP地址组名;
· 输入起始地址和终止地址。用户主机IP地址必须包含在该IP地址组范围内;
· 选择IP地址组的类型为“普通”。
图1-25 增加IP地址组配置页面
# 增加Portal设备。
单击导航树中的[Portal服务管理/Portal 设备配置]菜单项,进入Portal设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。
· 指定主机IP地址为AC上所指定的Portal NAS-IP的地址,即VRRP组的虚拟IP地址;
· 输入密钥,与接入设备AC上的配置保持一致;
# Portal设备关联IP地址组
在Portal设备配置页面中的设备信息列表中,点击AC设备的<端口组信息管理>链接,进入端口组信息配置页面。
在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。
· 选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组;
# 最后单击导航树中的[业务参数配置/系统配置手工生效]菜单项,使以上Portal服务器配置生效。
(2) 配置Portal服务器(iMC PLAT 5.0)
下面以iMC为例(使用iMC版本为:iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)),说明Portal server的基本配置。
# 配置Portal服务器。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[Portal服务管理/服务器配置]菜单项,进入服务器配置页面。
图1-29 Portal服务器配置页面
# 配置IP地址组。
单击导航树中的[Portal服务管理/Portal IP地址组配置]菜单项,进入Portal IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。
· 填写IP地址组名;
· 输入起始地址和终止地址。用户主机IP地址必须包含在该IP地址组范围内;
· 选择IP地址组的类型为“普通”。
图1-30 增加IP地址组配置页面
# 增加Portal设备。
单击导航树中的[Portal服务管理/Portal设备配置]菜单项,进入Portal设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。
· 指定主机IP地址为使能Portal的接口所在的VRRP组的虚拟IP地址;
· 输入密钥,与接入设备AC上的配置保持一致;
# Portal设备关联IP地址组
在Portal设备配置页面中的设备信息列表中,点击AC设备的<端口组信息管理>链接,进入端口组信息配置页面。
在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。
· 选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组;
# 最后单击导航树中的[业务参数配置/系统配置手工生效]菜单项,使以上Portal服务器配置生效。
# 创建VRRP备份组,并配置VRRP备份组的虚拟IP地址为192.168.0.1。
[AC1] interface vlan-interface 20
[AC1–Vlan-interface20] vrrp vrid 1 virtual-ip 192.168.0.1
# 配置VLAN接口20在VRRP备份组中的优先级为200。
[AC1–Vlan-interface20] vrrp vrid 1 priority 200
# 在VLAN接口20上配置监视VLAN接口10,当VLAN接口10状态为Down或Removed时,VLAN接口20在备份组中的优先级降低150。
[AC1–Vlan-interface20] vrrp vrid 1 track interface vlan-interface10 reduced 150
[AC1–Vlan-interface20] quit
# 创建名字为rs1的RADIUS方案并进入该方案视图。
# 配置RADIUS方案的服务器类型。使用iMC服务器时,RADIUS服务器类型应选择extended。
[AC1-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[AC1-radius-rs1] primary authentication 192.168.0.111
[AC1-radius-rs1] primary accounting 192.168.0.111
[AC1-radius-rs1] key authentication simple expert
[AC1-radius-rs1] key accounting simple expert
# 配置发送给RADIUS服务器的用户名不携带ISP域名。(可选,请根据实际应用需求调整)
[AC1-radius-rs1] user-name-format without-domain
[AC1-radius-rs1] quit
# 创建并进入名字为dm1的ISP域。
# 配置ISP域的AAA方法。
[AC1-isp-dm1] authentication portal radius-scheme rs1
[AC1-isp-dm1] authorization portal radius-scheme rs1
[AC1-isp-dm1] accounting portal radius-scheme rs1
[AC1-isp-dm1] quit
# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为明文portal,端口为50100,URL为http://192.168.0.111:8080/portal。(Portal服务器的URL请与实际环境中的Portal服务器配置保持一致,此处仅为示例)
# 配置免认证规则,允许AC 2发送的报文在不需要认证的情况下通过AC 1。(此配置可选,仅当设备在AC热备中的主备角色与在VRRP备份组中的主备角色不一致的情况下必须配置)。
[AC1] portal free-rule 0 source interface bridge-aggregation 1 destination any
# 在与Client相连的接口上配置接入的Portal用户使用认证域dm1,并使能Portal认证。
[AC1] interface vlan-interface 10
[AC1–Vlan-interface10] portal domain dm1
[AC1–Vlan-interface10] portal server newpt method direct
# 指定发送Portal报文的源IP地址为VRRP组的虚拟IP地址192.168.0.1。
[AC1–Vlan-interface10] portal nas-ip 192.168.0.1
· 配置Portal支持双机热备
# 配置VLAN接口10属于Portal备份组1。
[AC1–Vlan-interface10] portal backup-group 1
[AC1–Vlan-interface10] quit
# 配置双机热备模式下的设备ID为1。
# 配置发送RADIUS报文的源IP地址为VRRP组的虚拟IP地址192.168.0.1。
[AC1] radius nas-ip 192.168.0.1
请保证RADIUS服务器上成功添加了IP地址为192.168.0.1的接入设备。
· 配置WLAN服务
# 配置全局备份AC的IP地址为1.1.1.2。
[AC1] wlan backup-ac ip 1.1.1.2
# 使能AC间热备份功能。
# 配置AC间用于热备份的VLAN为VLAN 8。
# 创建接口WLAN-ESS1,并将其加入VLAN 10。
[AC1-WLAN-ESS1] port link-type hybrid
[AC1-WLAN-ESS1] port hybrid vlan 10 untagged
[AC1-WLAN-ESS1] port hybrid pvid vlan 10
[AC1-WLAN-ESS1] quit
# 配置WLAN服务模板,并将接口WLAN-ESS1与该服务模板绑定。
[AC1] wlan service-template 1 clear
[AC1-wlan-st-1] ssid abc
[AC1-wlan-st-1] bind wlan-ess 1
[AC1-wlan-st-1] service-template enable
[AC1-wlan-st-1] quit
# 在AC上配置AP(其中AP的接入优先级设置为7,该值越大优先级越高,缺省为4)。
[AC1] wlan ap ap1 model WA3628i-AGN
[AC1-wlan-ap-ap1] serial-id 210235A29G007C000020
[AC1-wlan-ap-ap1] priority level 7
[AC1-wlan-ap-ap1] radio 1
[AC1-wlan-ap-ap1-radio-1] service-template 1
[AC1-wlan-ap-ap1-radio-1] radio enable
[AC1-wlan-ap-ap1-radio-1] quit
[AC1-wlan-ap-ap1] quit
# 配置备份VLAN为VLAN 8。
# 使能双机热备功能,且支持对称路径。
[AC1] dhbk enable backup-type symmetric-path
# 创建VRRP备份组,并配置VRRP备份组的虚拟IP地址为192.168.0.1。
[AC2] interface vlan-interface 20
[AC2–Vlan-interface20] vrrp vrid 1 virtual-ip 192.168.0.1
# 配置VLAN接口20在VRRP备份组中的优先级为150。
[AC2–Vlan-interface20] vrrp vrid 1 priority 150
[AC2–Vlan-interface20] quit
# 创建名字为rs1的RADIUS方案并进入该方案视图。
# 配置RADIUS方案的服务器类型。使用iMC服务器时,RADIUS服务器类型应选择extended。
[AC2-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[AC2-radius-rs1] primary authentication 192.168.0.111
[AC2-radius-rs1] primary accounting 192.168.0.111
[AC2-radius-rs1] key authentication simple expert
[AC2-radius-rs1] key accounting simple expert
# 配置发送给RADIUS服务器的用户名不携带ISP域名。(可选,请根据实际应用需求调整)
[AC2-radius-rs1] user-name-format without-domain
[AC2-radius-rs1] quit
# 创建并进入名字为dm1的ISP域。
# 配置ISP域的AAA方法。
[AC2-isp-dm1] authentication portal radius-scheme rs1
[AC2-isp-dm1] authorization portal radius-scheme rs1
[AC2-isp-dm1] accounting portal radius-scheme rs1
[AC2-isp-dm1] quit
# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为明文portal,端口为50100,URL为http://192.168.0.111:8080/portal。(Portal服务器的URL请与实际环境中的Portal服务器配置保持一致,此处仅为示例)
# 配置免认证规则,允许AC 1发送的报文在不需要认证的情况下通过AC 2。(此配置可选,仅在设备在AC热备中的主备角色与在VRRP备份组中的主备角色不一致的情况下必须)
[AC2] portal free-rule 0 source interface bridge-aggregation 1 destination any
# 在与Client相连的接口上配置接入的Portal用户使用认证域dm1,并使能Portal认证。
[AC2] interface vlan-interface 10
[AC2–Vlan-interface10] portal domain dm1
[AC2–Vlan-interface10] portal server newpt method direct
# 指定发送Portal报文的源IP地址为VRRP组的虚拟IP地址192.168.0.1。
[AC2–Vlan-interface10] portal nas-ip 192.168.0.1
· 配置Portal支持双机热备
# 配置VLAN接口10属于Portal备份组1。
[AC2–Vlan-interface10] portal backup-group 1
[AC2–Vlan-interface10] quit
# 配置双机热备模式下的设备ID为2。
# 配置发送RADIUS报文的源IP地址为VRRP组的虚拟IP地址192.168.0.1。
[AC2] radius nas-ip 192.168.0.1
请保证RADIUS服务器上成功添加了IP地址为192.168.0.1的接入设备。
· 配置WLAN服务
# 配置全局备份AC的IP地址为1.1.1.1。
[AC2] wlan backup-ac ip 1.1.1.1
# 使能AC间热备份功能。
# 配置AC间用于热备份的VLAN为VLAN 8。
# 创建接口WLAN-ESS1,并将其加入VLAN 10。
[AC2-WLAN-ESS1] port link-type hybrid
[AC2-WLAN-ESS1] port hybrid vlan 10 untagged
[AC2-WLAN-ESS1] port hybrid pvid vlan 10
# 配置WLAN服务模板,并将接口WLAN-ESS1与该服务模板绑定。
[AC2] wlan service-template 1 clear
[AC2-wlan-st-1] ssid abc
[AC2-wlan-st-1] bind wlan-ess 1
[AC2-wlan-st-1] service-template enable
[AC2-wlan-st-1] quit
# 在AC上配置AP(其中AP的接入优先级取缺省值4)。
[AC2] wlan ap ap1 model WA3628i-AGN
[AC2-wlan-ap-ap1] serial-id 210235A29G007C000020
[AC2-wlan-ap-ap1] radio 1
[AC2-wlan-ap-ap1-radio-1] service-template 1
[AC2-wlan-ap-ap1-radio-1] radio enable
[AC2-wlan-ap-ap1-radio-1] quit
[AC2-wlan-ap-ap1] quit
# 配置备份VLAN为VLAN 8。
# 使能双机热备功能。
[AC2] dhbk enable backup-type symmetric-path
# 用户Client从AC 1成功上线后,在AC 1和AC 2上均可以通过命令display portal user查看该用户的认证情况。
Index:3
State:ONLINE
SubState:NONE
ACL:NONE
Work-mode: primary
MAC IP Vlan Interface
---------------------------------------------------------------------
000d-88f8-0eac 9.9.1.2 10 Vlan-interface10
Total 1 user(s) matched, 1 listed.
[AC2] display portal user all
Index:2
State:ONLINE
SubState:NONE
ACL:NONE
Work-mode: secondary
MAC IP Vlan Interface
---------------------------------------------------------------------
000d-88f8-0eac 9.9.1.2 10 Vlan-interface10
Total 1 user(s) matched, 1 listed.
通过以上显示信息可以看到,AC 1和AC 2上均有Portal用户Client的信息,且AC 1上的用户模式为primary,AC 2上的用户模式为secondary,表示该用户是由AC 1上线并被同步到AC 2上的。
无线用户Client(属于VLAN10)与接入设备AC关联成功后,通过Portal认证接入网络,并采用RADIUS服务器作为认证/计费服务器。
· 用户通过手工配置或DHCP获取的一个公网IP地址进行认证,在通过Portal认证前,只能访问Portal服务器;在通过Portal认证后,可以使用此IP地址访问非受限的互联网资源。
· 接入设备能够探测到Portal服务器是否可达,并输出可达状态变化的Trap信息,在服务器不可达时(例如,网络连接中断、网络设备故障或服务器无法正常提供服务等情况),取消Portal认证,使得用户仍然可以正常访问网络。
图1-34 Portal服务器探测和用户同步功能配置组网图
(1) 配置Portal服务器,并启动逃生心跳功能和用户心跳功能;
(2) 配置RADIUS服务器,实现正常的认证及计费功能;
(3) 接入设备通过接口Vlan-interface10与无线用户Client相连,在该接口上配置直接方式的Portal认证;
(4) 接入设备上配置Portal服务器探测功能,在与Portal服务器的逃生心跳功能的配合下,对Portal服务器的可达状态进行探测;
(5) 接入设备上配置Portal用户同步功能,在与Portal服务器的用户心跳功能的配合下,与Portal服务器上的用户信息进行同步。
· 按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。
· 完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。
(1) 配置Portal服务器(iMC PLAT 3.20)
下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2606P13、iMC UAM 3.60-E6301),说明Portal server的相关配置。
# 配置Portal服务器。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[Portal服务管理/服务器配置]菜单项,进入服务器配置页面。
图1-35 Portal服务器配置页面
# 配置IP地址组。
单击导航树中的[Portal服务管理/Portal IP地址组配置]菜单项,进入Portal IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。
· 填写IP地址组名;
· 输入起始地址和终止地址。用户主机IP地址必须包含在该IP地址组范围内;
· 选择IP地址组的类型为“普通”。
图1-36 增加IP地址组配置页面
# 增加Portal设备。
单击导航树中的[Portal服务管理/Portal设备配置]菜单项,进入Portal设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。
· 指定IP地址为与接入用户相连的设备接口IP;
· 输入密钥,与接入设备AC上的配置保持一致;
# Portal设备关联IP地址组
在Portal设备配置页面中的设备信息列表中,点击AC设备的<端口组信息管理>链接,进入端口组信息配置页面。
在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。
· 选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组;
# 最后单击导航树中的[业务参数配置/系统配置手工生效]菜单项,使以上Portal服务器配置生效。
(2) 配置Portal服务器(iMC PLAT 5.0)
下面以iMC为例(使用iMC版本为:iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)),说明Portal server的基本配置。
# 配置Portal服务器。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[Portal服务管理/服务器配置]菜单项,进入服务器配置页面。
图1-40 Portal服务器配置页面
# 配置IP地址组。
单击导航树中的[Portal服务管理/Portal IP地址组配置]菜单项,进入Portal IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。
· 填写IP地址组名;
· 输入起始地址和终止地址。用户主机IP地址必须包含在该IP地址组范围内;
· 选择IP地址组的类型为“普通”。
图1-41 增加IP地址组配置页面
# 增加Portal设备。
单击导航树中的[Portal服务管理/Portal设备配置]菜单项,进入Portal设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。
· 指定IP地址为与接入用户相连的设备接口IP;
· 输入密钥,与接入设备AC上的配置保持一致;
# Portal设备关联IP地址组
在Portal设备配置页面中的设备信息列表中,点击AC设备的<端口组信息管理>链接,进入端口组信息配置页面。
在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。
· 选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组;
# 最后单击导航树中的[业务参数配置/系统配置手工生效]菜单项,使以上Portal服务器配置生效。
# 创建名字为rs1的RADIUS方案并进入该方案视图。
[AC] radius scheme rs1
# 配置RADIUS方案的服务器类型。使用iMC服务器时,RADIUS服务器类型应选择extended。
[AC-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[AC-radius-rs1] primary authentication 192.168.0.112
[AC-radius-rs1] primary accounting 192.168.0.112
[AC-radius-rs1] key authentication simple radius
[AC-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[AC-radius-rs1] user-name-format without-domain
[AC-radius-rs1] quit
# 创建并进入名字为dm1的ISP域。
# 配置ISP域的AAA方法。
[AC-isp-dm1] authentication portal radius-scheme rs1
[AC-isp-dm1] authorization portal radius-scheme rs1
[AC-isp-dm1] accounting portal radius-scheme rs1
[AC-isp-dm1] quit
# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为明文portal,端口为50100,URL为http://192.168.0.111:8080/portal。(Portal服务器的URL请与实际环境中的Portal服务器配置保持一致,此处仅为示例)
# 配置免认证规则,允许AC发送的报文在不需要认证的情况下通过Portal服务器。(此配置可选,仅在配置无线控制器业务板时需要配置)
[AC] portal free-rule 0 source interface bridge-aggregation 1 destination any
# 在与Client相连的接口上配置接入的Portal用户使用认证域dm1,并使能Portal认证。
[AC] interface vlan-interface 10
[AC–Vlan-interface10] portal domain dm1
[AC–Vlan-interface10] portal server newpt method direct
[AC–Vlan-interface10] quit
· 配置Portal服务器探测功能
# 配置对Portal服务器newpt的探测功能:探测方式为探测Portal心跳报文,每次探测间隔时间为40秒,若连续二次探测均失败,则发送服务器不可达的Trap信息,并打开网络限制,允许未认证用户访问网络。
此处interval与retry的乘积应该大于等于Portal服务器的逃生心跳间隔时长,且推荐interval取值大于Portal服务器的逃生心跳间隔时长。
· 配置Portal用户信息同步功能
# 配置对Portal服务器newpt的Portal用户同步功能,检测用户同步报文的时间间隔为600秒,如果设备中的某用户信息在连续两个探测周期内都未在该Portal服务器发送的同步报文中出现,设备将强制该用户下线。
[AC] portal server newpt user-sync interval 600 retry 2
此处interval与retry的乘积应该大于等于Portal服务器上的用户心跳间隔时长,且推荐interval取值大于Portal服务器的用户心跳间隔时长。
以上配置完成后,可以通过执行以下命令查看Portal服务器的状态为Up,说明当前Portal服务器可达。
<AC> display portal server newpt
Portal server:
1)newpt:
IP : 192.168.0.111
Key : ******
Port : 50100
URL : http://192.168.0.111:8080/portal
Status : Up
之后,若接入设备探测到Portal服务器不可达了,可通过以上显示命令查看到Portal服务器的状态为Down,同时,AC会输出表示服务器不可达的Trap信息“portal server newpt lost”,并启用逃生模式,取消对该接口接入用户的Portal认证,使得用户可以直接访问外部网络。
· 无线客户(属于VLAN 2)端通过AP(属于VLAN 3)接入网络。
· AC支持运行HTTPS协议的本地Portal服务器。本地Portal服务器可以根据用户登录接口的SSID推出其对应的定制页面。
· 采用RADIUS服务器作为认证/计费服务器。
· 客户端采用直接方式进行Portal认证,在通过Portal认证前,只能访问本地Portal服务器;在通过Portal认证后,可以访问非受限的互联网资源。
图1-45 使用本地Portal服务器的直接认证方式组网图
· 按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和各设备之间的路由可达。
· 完成PKI域的配置,并成功申请本地证书和CA证书,具体配置请参见“安全配置指导”中的“PKI”。
· 完成SSL服务器端策略access-policy的配置,具体配置请参见“安全配置指导”中的“SSL”。
· 完成客户端SSID绑定的认证页面文件的编辑。
· 完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。
· 建议不要将无线客户端与AP置于同一个网段中,否则在该网段启动Portal认证后,AP无法和AC建立连接。
在AC上进行以下配置。
# 创建名字为rs1的RADIUS方案并进入该方案视图。
[AC] radius scheme rs1
# 配置RADIUS方案的服务器类型。使用iMC服务器时,RADIUS服务器类型应选择extended。
[AC-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[AC-radius-rs1] primary authentication 1.1.1.2
[AC-radius-rs1] primary accounting 1.1.1.2
[AC-radius-rs1] key authentication simple radius
[AC-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[AC-radius-rs1] user-name-format without-domain
[AC-radius-rs1] quit
# 创建并进入名字为dm1的ISP域。
# 配置ISP域的RADIUS方案rs1。
[AC-isp-dm1] authentication portal radius-scheme rs1
[AC-isp-dm1] authorization portal radius-scheme rs1
[AC-isp-dm1] accounting portal radius-scheme rs1
[AC-isp-dm1] quit
# 在AC上创建WLAN-ESS1口,并将其加入VLAN 2。
[AC-WLAN-ESS1] port link-type hybrid
[AC-WLAN-ESS1] port hybrid vlan 2 untagged
[AC-WLAN-ESS1] port hybrid pvid vlan 2
[AC-WLAN-ESS1] quit
# 配置WLAN服务模板,并将WLAN-ESS接口与该服务模板绑定。
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid abc
[AC-wlan-st-1] bind wlan-ess 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 在AC上配置AP。
[AC] wlan ap ap1 model WA3628i-AGN
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
[AC-wlan-ap-ap1] radio 1 type dot11an
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
# 配置本地Portal服务器支持HTTPS协议,并引用已经配置的SSL服务器端策略access-policy。
[AC] portal local-server https server-policy access-policy
# 配置客户端SSID与定制的认证页面文件的绑定(该配置可选,如果没有配置则推出系统缺省的认证页面)。要绑定的SSID名为abc,对应的认证页面文件名为ssid1.zip,且已保存在设备的flash:/portal/目录下。
[AC] portal local-server bind ssid abc file ssid1.zip
# 配置Portal服务器:名称为newpt,IP地址为192.168.1.1,其它参数不需要配置。
[AC] portal server newpt ip 192.168.1.1
# 在接口Vlan-interface 2上使能Portal,指定Portal服务器为newpt,并配置为直接认证方式。
[AC] interface vlan-interface 2
[AC–Vlan-interface2] portal domain dm1
[AC–Vlan-interface2] portal server newpt method direct
[AC–Vlan-interface2] quit
无线客户端接入SSID为abc的无线网络时,若通过Web浏览器访问1.1.1.0/24网段,将被重定向到https://192.168.1.1/portal/logon.htm,该网页内容为与SSID abc相绑定的认证页面内容。用户根据网页提示输入正确的用户名和密码后,能够成功通过认证。在AC上通过display portal user命令可以查看到认证成功的用户信息。
AC 1和AC 2之间存在备份链路,使用VRRP协议和AC热备实现双机热备的流量切换,且两台设备均支持Portal认证功能。现要求AC 1和AC 2支持双机热备运行情况下的Portal用户数据备份,具体为:
· AC 1正常工作的情况下,Client通过AC 1进行Portal认证接入到外网。AC 1发生故障的情况下,Client通过AC 2接入到外网,并且在VRRP监视上/下行链路接口功能的配合下,保证业务流量切换不被中断。
· 采用RADIUS服务器作为认证/计费服务器。
· 采用AC作为本地Portal服务器。
· AC 1和AC 2之间通过单独的链路传输双机热备报文,且指定专用于双机热备的VLAN为VLAN 10。
图1-46 无线本地Portal双机热备组网图
· 按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。
· 保证启动Portal之前主机可以分别通过AC 1和AC 2访问认证服务器。
· 配置VRRP备份组1和VRRP备份组2分别实现下行、上行链路的备份。VRRP配置的相关介绍请参见“可靠性配置指导”中的“VRRP”。
· 认证服务器上指定接入设备的IP地址为VRRP备份组2的虚拟IP地址。
· 双机热备配置的相关介绍请参见“可靠性配置指导”中的“双机热备”。
· 在AC热备中,各个设备的主、备角色与在VRRP备份组中的主、备角色必须保持一致,即作为主AC的设备在VRRP备份组中也是Master设备,否则会导致本地认证时无法按照SSID推出认证页面。若由于组网需要,例如两个AC进行负载分担的情况下,未满足以上一致性要求,则需要配置相应的免认证规则,具体配置见配置步骤中的相关内容。
# 创建VRRP备份组1,并配置VRRP备份组1的虚拟IP地址为16.16.0.8。
[AC1] interface vlan-interface 100
[AC1–Vlan-interface100] vrrp vrid 1 virtual-ip 16.16.0.8
# 配置VLAN接口100在VRRP备份组1中的优先级为200。
[AC1–Vlan-interface100] vrrp vrid 1 priority 200
# 在VLAN接口100上配置监视VLAN接口8,当VLAN接口8状态为Down或Removed时,VLAN接口100在备份组1中的优先级降低120。
[AC1–Vlan-interface100] vrrp vrid 1 track interface vlan-interface8 reduced 120
[AC1–Vlan-interface100] quit
# 创建VRRP备份组2,并配置VRRP备份组2的虚拟IP地址为8.1.1.68。
[AC1] interface vlan-interface 8
[AC1–Vlan-interface8] vrrp vrid 2 virtual-ip 8.1.1.68
# 配置VLAN接口8在VRRP备份组2中的优先级为200。
[AC1–Vlan-interface8] vrrp vrid 2 priority 200
# 在VLAN接口8上配置监视VLAN接口100,当VLAN接口100状态为Down或Removed时,VLAN接口8在备份组2中的优先级降低120。
[AC1–Vlan-interface8] vrrp vrid 2 track interface vlan-interface100 reduced 120
[AC1–Vlan-interface8] quit
# 创建名字为rs1的RADIUS方案,并进入该方案视图。
# 配置RADIUS方案的服务器类型。使用iMC服务器时,RADIUS服务器类型应选择extended。
[AC1-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[AC1-radius-rs1] primary authentication 8.1.1.2
[AC1-radius-rs1] primary accounting 8.1.1.2
[AC1-radius-rs1] key authentication simple expert
[AC1-radius-rs1] key accounting simple expert
# 配置发送给RADIUS服务器的用户名不携带ISP域名。(可选,请根据实际应用需求调整)
[AC1-radius-rs1] user-name-format without-domain
[AC1-radius-rs1] quit
# 创建并进入名字为dm1的ISP域。
# 配置ISP域的认证、授权、计费方法。
[AC1-isp-dm1] authentication portal radius-scheme rs1
[AC1-isp-dm1] authorization portal radius-scheme rs1
[AC1-isp-dm1] accounting portal radius-scheme rs1
[AC1-isp-dm1] quit
# 配置Portal服务器:名称为local,IP地址为16.16.0.8(VRRP备份组1的虚拟IP地址),URL为http://16.16.0.8/portal/logon.htm。
[AC1] portal server local ip 16.16.0.8 url http://16.16.0.8/portal/logon.htm
# 配置免认证规则,允许AC 2发送的报文在不需要认证的情况下通过AC 1。(此配置可选,仅在设备在AC热备中的主备角色与在VRRP备份组中的主备角色不一致的情况下必须)
[AC1] portal free-rule 0 source interface bridge-aggregation 1 destination any
# 配置本地Portal服务器支持HTTP协议。
[AC1] portal local-server http
# 在与Client相连的接口上配置接入的Portal用户使用认证域dm1,并使能Portal认证。
[AC1] interface vlan-interface 100
[AC1–Vlan-interface100] portal domain dm1
[AC1–Vlan-interface100] portal server local method direct
# 指定发送Portal报文的源IP地址为VRRP组1的虚拟IP地址16.16.0.8。
[AC1–Vlan-interface100] portal nas-ip 16.16.0.8
· 配置Portal支持双机热备
# 配置VLAN接口100属于Portal备份组1。
[AC1] interface vlan-interface 100
[AC1–Vlan-interface100] portal backup-group 1
[AC1–Vlan-interface100] quit
# 配置双机热备模式下的设备ID为1。
# 配置发送RADIUS报文的源IP地址为8.1.1.68(VRRP备份组2的虚拟IP地址)。
· 配置WLAN服务
# 配置全局备份AC的IP地址为2.2.2.3。
[AC1] wlan backup-ac ip 2.2.2.3
# 使能AC间热备份功能。
# 配置AC间用于热备份的VLAN为VLAN 10。
# 创建接口WLAN-ESS1,并将其加入VLAN 100。
[AC1-WLAN-ESS1] port link-type hybrid
[AC1-WLAN-ESS1] port hybrid vlan 100 untagged
[AC1-WLAN-ESS1] port hybrid pvid vlan 100
# 配置WLAN服务模板,并将接口WLAN-ESS1与该服务模板绑定。
[AC1] wlan service-template 1 clear
[AC1-wlan-st-1] ssid abc
[AC1-wlan-st-1] bind wlan-ess 1
[AC1-wlan-st-1] service-template enable
[AC1-wlan-st-1] quit
# 在AC上配置AP。
[AC1] wlan ap ap1 model WA3628i-AGN
[AC1-wlan-ap-ap1] serial-id 210235A29G007C000020
[AC1-wlan-ap-ap1] radio 1
[AC1-wlan-ap-ap1-radio-1] service-template 1
[AC1-wlan-ap-ap1-radio-1] radio enable
[AC1-wlan-ap-ap1-radio-1] quit
[AC1-wlan-ap-ap1] quit
# 配置备份VLAN为VLAN 10。
# 使能双机热备功能,且支持对称路径。
[AC1] dhbk enable backup-type symmetric-path
# 创建VRRP备份组1,并配置VRRP备份组1的虚拟IP地址为16.16.0.8。
[AC2] interface vlan-interface 100
[AC2–Vlan-interface100] vrrp vrid 1 virtual-ip 16.16.0.8
[AC2–Vlan-interface100] quit
# 创建VRRP备份组2,并配置VRRP备份组2的虚拟IP地址为8.1.1.68。
[AC2] interface vlan-interface 8
[AC2–Vlan-interface8] vrrp vrid 2 virtual-ip 8.1.1.68
[AC2–Vlan-interface8] quit
# 创建名字为rs1的RADIUS方案并进入该方案视图。
# 配置RADIUS方案的服务器类型。使用iMC服务器时,RADIUS服务器类型应选择extended。
[AC2-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[AC2-radius-rs1] primary authentication 8.1.1.2
[AC2-radius-rs1] primary accounting 8.1.1.2
[AC2-radius-rs1] key authentication simple expert
[AC2-radius-rs1] key accounting simple expert
# 配置发送给RADIUS服务器的用户名不携带ISP域名。(缺省情况下携带域名,请根据实际应用需求调整)
[AC2-radius-rs1] user-name-format without-domain
[AC2-radius-rs1] quit
# 创建并进入名字为dm1的ISP域。
# 配置ISP域的认证、授权、计费方法。
[AC2-isp-dm1] authentication portal radius-scheme rs1
[AC2-isp-dm1] authorization portal radius-scheme rs1
[AC2-isp-dm1] accounting portal radius-scheme rs1
[AC2-isp-dm1] quit
# 配置Portal服务器:名称为local,IP地址为16.16.0.8(VRRP备份组1的虚拟IP地址),URL为http://16.16.0.8/portal/logon.htm。
[AC2] portal server local ip 16.16.0.8 url http://16.16.0.8/portal/logon.htm
# 配置免认证规则,允许AC 1发送的报文在不需要认证的情况下通过AC 2。(此配置可选,仅在设备在AC热备中的主备角色与在VRRP备份组中的主备角色不一致的情况下必须)
[AC2] portal free-rule 0 source interface bridge-aggregation 1 destination any
# 配置本地Portal服务器支持HTTP协议。
[AC2] portal local-server http
# 在与Client相连的接口上配置接入的Portal用户使用认证域dm1,并使能Portal认证。
[AC2] interface vlan-interface 100
[AC2–Vlan-interface100] portal domain dm1
[AC2–Vlan-interface100] portal server local method direct
# 指定发送Portal报文的源IP地址为VRRP组1的虚拟IP地址16.16.0.8。
[AC2–Vlan-interface100] portal nas-ip 16.16.0.8
· 配置Portal支持双机热备
# 配置VLAN接口100属于Portal备份组1。
[AC2] interface vlan-interface 100
[AC2–Vlan-interface100] portal backup-group 1
[AC2–Vlan-interface100] quit
# 配置双机热备模式下的设备ID为2。
# 配置发送RADIUS报文的源IP地址为8.1.1.68(VRRP备份组2的虚拟IP地址)。
· 配置WLAN服务
# 配置全局备份AC的IP地址为2.2.2.1。
[AC2] wlan backup-ac ip 2.2.2.1
# 使能AC间热备份功能。
# 配置AC间用于热备份的VLAN为VLAN 10。
# 创建接口WLAN-ESS1,并将其加入VLAN 100。
[AC2-WLAN-ESS1] port link-type hybrid
[AC2-WLAN-ESS1] port hybrid vlan 100 untagged
[AC2-WLAN-ESS1] port hybrid pvid vlan 100
[AC2-WLAN-ESS1] quit
# 配置WLAN服务模板,并将接口WLAN-ESS1与该服务模板绑定。
[AC2] wlan service-template 1 clear
[AC2-wlan-st-1] ssid abc
[AC2-wlan-st-1] bind wlan-ess 1
[AC2-wlan-st-1] service-template enable
[AC2-wlan-st-1] quit
# 在AC上配置AP(其中AP的接入优先级取缺省值4)。
[AC2] wlan ap ap1 model WA3628i-AGN
[AC2-wlan-ap-ap1] serial-id 210235A29G007C000020
[AC2-wlan-ap-ap1] radio 1
[AC2-wlan-ap-ap1-radio-1] service-template 1
[AC2-wlan-ap-ap1-radio-1] radio enable
[AC2-wlan-ap-ap1-radio-1] quit
[AC2-wlan-ap-ap1] quit
# 配置备份VLAN为VLAN 10。
# 使能双机热备功能。
[AC2] dhbk enable backup-type symmetric-path
# 用户Client从AC 1成功上线后,在AC 1和AC 2上均可以通过命令display portal user查看该用户的认证情况。
Index:3
State:ONLINE
SubState:NONE
ACL:NONE
Work-mode: primary
MAC IP Vlan Interface
---------------------------------------------------------------------
000d-88f8-0eac 16.16.0.12 100 Vlan-interface100
Total 1 user(s) matched, 1 listed.
[AC2] display portal user all
Index:2
State:ONLINE
SubState:NONE
ACL:NONE
Work-mode: secondary
MAC IP Vlan Interface
---------------------------------------------------------------------
000d-88f8-0eac 16.16.0.12 100 Vlan-interface100
Total 1 user(s) matched, 1 listed.
通过以上显示信息可以看到,AC 1和AC 2上均有Portal用户Client的信息,且AC 1上的用户模式为primary,AC 2上的用户模式为secondary,表示该用户是由AC1上线并被同步到AC2上的。
AC采用直接方式的Portal认证,无线用户Client在未通过Portal认证前,只能访问Portal服务器;无线用户Client通过Portal认证后,可以访问外部网络,当无线设备断开该网再次连接该网络后,可以直接触发Portal认证流程,而不需要用户再次输入用户名和密码。无线用户Client属于VLAN 3,AP属于VLAN 5,采用RADIUS服务器作为认证/授权服务器。
(1) 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
<AC> system-view
[AC] radius scheme rs1
# 配置RADIUS方案的服务器类型。使用IMC服务器时,RADIUS服务器类型应选择extended。
[AC-radius-rs1] server-type extended
# 配置RADIUS方案的主认证/授权服务器及其通信密钥。
[AC-radius-rs1] primary authentication 8.1.1.40
[AC-radius-rs1] key authentication simple 123456789
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[AC-radius-rs1] user-name-format without-domain
[AC-radius-rs1] quit
# 配置AC与Radius服务器交互所使用的IP地址。
[AC-radius-rs1] nas-ip 112.113.1.1
[AC-radius-rs1] quit
(2) 配置认证域
# 创建并进入名字为dm1的ISP域。
[AC] domain dm1
# 配置ISP域的RADIUS方案rs1。
[AC-isp-dm1] authentication portal radius-scheme rs1
[AC-isp-dm1] authorization portal radius-scheme rs1
[AC-isp-dm1] quit
(3) 配置Portal认证
# 配置Portal服务器:名称为5,IP地址为8.1.1.40,密钥为明文123456789,端口为50100,URL为http://8.1.1.40:8080/portal。
[AC] portal server 5 ip 8.1.1.40 key simple 123456789 port 50100 url http://8.1.1.40:8080/portal
# 配置免认证规则,允许AC发送的报文在不需要认证的情况下通过Portal服务器。(此配置可选,仅在配置无线控制器业务板时需要配置)
[AC] portal free-rule 0 source interface bridge-aggregation 1 destination any
# 配置AP上线所在的VLAN为VLAN 5,IP地址为112.115.1.1/16。
[AC] vlan 5
[AC-vlan5] quit
[AC] interface vlan 5
[AC-Vlan-interface5] ip address 112.115.1.1 16
[AC-Vlan-interface5] quit
# 配置Client上线所在的VLAN为VLAN 3,IP地址为112.113.1.1/16。
[AC] vlan 3
[AC-vlan3] quit
[AC] interface vlan 3
[AC-Vlan-interface3] ip address 112.113.1.1 16
# 在与用户Client相连的接口上配置接入的Portal用户使用认证域portal,并使能Portal认证。
[AC–Vlan-interface3] portal domain dm1
[AC–Vlan-interface3] portal server 5 method direct
# 配置接入设备IP地址为112.113.1.1。
[AC-Vlan-interface3] portal nas-ip 112.113.1.1
[AC–Vlan-interface3] quit
# 配置快速认证服务器的IP地址为8.1.1.40。
[AC] portal mac-trigger server ip 8.1.1.40
# 在启用Portal认证的VLAN接口下配置基于MAC地址的快速认证功能。
[AC] interface vlan-interface 3
[AC-Vlan-interface3] portal mac-trigger enable
[AC-Vlan-interface3] quit
(4) 配置Portal server
下面以IMC为例(使用IMC版本为:IMC PLAT 5.2 (E0401)、IMC UAM 5.2 (E0402)),说明Portal server的基本配置。
# 配置Portal服务器。
登录进入IMC管理平台,选择“业务”页签,单击导航树中的[Portal服务管理/服务器配置]菜单项,进入服务器配置页面。
· “Portal主页”中为之前配置得服务器地址http://8.1.1.40:8080/portal;
· 其他配置使用缺省配置。
图1-47 Portal服务器配置页面
# 配置IP地址组。
单击导航树中的[Portal服务管理/IP地址组配置]菜单项,进入IP地址组配置页面,在该页面中单击<增加>按钮,进入修改IP地址组页面。
· 填写IP地址组名为“IP_group”;
· 起始地址输入“112.113.0.0”
· 终止地址输入“112.113.255.254”;
· 业务分组选择“未分组”;
· 类型选择“普通”。
无线客户端的IP地址必须包含在该IP地址组范围内。
图1-48 增加IP地址组配置页面
# 增加Portal设备。
单击导航树中的[Portal服务管理/设备配置]菜单项,进入设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。
· 填写设备名Portal;
· 配置IP地址为112.113.1.1(该IP地址为与接入用户相连的设备接口IP,即AC的IP地址);
· 配置密钥123456789(该密钥与接入设备AC上的配置保持一致);
· 配置支持逃生心跳为否;
· 配置支持用户心跳为否。
图1-49 增加设备信息配置页面
# Portal设备关联IP地址组
单击导航树中的[Portal服务管理/设备配置]菜单项,进入设备配置页面,在设备配置页面中的设备信息列表中,选择已配置得设备Portal,在最右侧操作一列点击AC设备的<端口组信息管理>链接。
图1-50 设备信息列表
进入“端口组信息配置”页面,在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。
· 填写端口组名为hp_portal;
· 选择IP地址组为IP_portal(无线客户端Client接入网络时使用的IP地址必须属于所选的IP地址组);
· 配置智能终端快速认证为支持;
· 其它参数采用缺省值。
图1-51 增加端口组信息配置页面
# 配置接入规则:
单击导航树中的[接入规则管理]菜单项,进入接入规则管理页面,在该页面中单击<增加>按钮,进入增加接入规则配置页面。
· 配置接入规则名为mac-trigger;
· 其他采用默认配置。
图1-52 增加接入规则配置页面
# 配置智能终端快速认证
单击导航树中的[服务配置管理]菜单项,进入服务配置管理页面,在该页面中单击<增加>按钮,进入增加服务配置页面。
配置服务名为dot1x;
配置缺省接入规则为mac-trigger;
勾选Portal智能终端快速认证;
图1-53 增加服务配置配置页面
# 配置用户接入设备管理
单击导航树中的[接入设备管理/接入设备配置]菜单项,进入“接入设备配置”页面,在该页面中单击<增加>按钮,进入增加接入设备配置页面。
输入共享密钥为123456789;
输入确认共享密钥为123456789;
在设备列表中点击<手工增加>按钮,在弹出的窗口中输入“起始IP地址”为接入设备的地址112.113.1.1,单击<确定>按钮。
图1-54 增加接入设备配置页面
# 配置接入用户
登录进入IMC管理平台,选择“用户”页签,单击导航树中的[所有接入用户/未分组]菜单项,进入未分组用户配置页面,在该页面中单击<增加>按钮,进入增加接入用户配置页面。
输入用户姓名Portal,账号名dot1x,密码123456789;
配置portal智能终端最大绑定数为5(用户可以根据实际需求进行设定);
在接入服务下面选择用户配置的服务策略为dot1x。
图1-55 增加接入用户配置页面
# 配置HTTP User Agent特征识别
登录进入IMC管理平台,选择“业务”页签,单击导航树中的[用户接入管理/终端识别管理]菜单项,进入终端识别管理配置页面,选择HTTP User Agent特征识别页面,可以看到HTTP User Agent特性里有智能终端登录。
图1-56 HTTP User Agent特征识别配置页面
如果没有智能终端,请在该页面中单击<增加>按钮,并在弹出的页面中自行添加智能终端。
# 启用BYOD快速认证功能
单击导航树中的[业务参数配置]菜单项,进入系统配置页面,在该页面中单击<BYOD系统参数配置>按钮。
配置启用快速认证功能;
其他配置使用默认即可。
图1-57 BYOD系统参数配置页面
# 最后单击导航树中的[业务参数配置/系统配置手工生效]菜单项,使以上Portal服务器配置生效。
用户首次登陆,会弹出portal认证页面,输入用户名Portal和密码123456789,点击<上线>按钮,通过portal认证。
在AC上通过display portal user all命令查看portal用户信息。
[AC] display portal user all
Index:2
State:ONLINE
SubState:NONE
ACL:NONE
Work-mode:stand-alone
MAC IP Vlan Interface
----------------------------------------------------------------------------
3ca9-f414-4c20 112.113.0.1 3 Vlan-interface3
Total 1 user(s) matched, 1 listed.
当无线用户Client断开网络,再次接入无线服务时,不会弹出portal认证页面,此时可以在AC上通过display portal user all命令查看该portal用户。
[AC] display portal user all
Index:3
State:ONLINE
SubState:NONE
ACL:NONE
Work-mode:stand-alone
MAC IP Vlan Interface
----------------------------------------------------------------------------
3ca9-f414-4c20 112.113.0.1 3 Vlan-interface3
Total 1 user(s) matched, 1 listed.
· 无线客户端(属于VLAN 2)通过AP(属于VLAN 3)接入网络。
· AC上配置IPv4地址网段连接Portal服务器,认证协议报文通过IPv4地址链路进行传输。同时配置IPv6地址网段,用户通过AC重定向的url同Portal服务器建立http连接。
· 采用RADIUS服务器作为认证/计费服务器。
· 客户端采用直接方式进行Portal认证,在通过Portal认证前,只能访问本地Portal服务器;在通过Portal认证后,可以访问非受限的互联网资源。
图1-58 CMCC Portal认证IPv6用户组网图
· 按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。
· Portal服务器可以指定bas-ip地址为设备ipv4地址111.8.27.30。
· Portal服务器配置路由可以让用户地址网段跟Portal服务器ipv6地址网段建立http连接。
(1) 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
<AC> system-view
[AC] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[AC-radius-rs1] primary authentication 111.8.0.244
[AC-radius-rs1] primary accounting 111.8.0.244
[AC-radius-rs1] key authentication simple radius
[AC-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[AC-radius-rs1] user-name-format without-domain
[AC-radius-rs1] quit
(2) 配置认证域
# 创建并进入名字为dm1的ISP域。
[AC] domain dm1
# 配置ISP域的AAA方法。
[AC-isp-dm1] authentication portal radius-scheme rs1
[AC-isp-dm1] authorization portal radius-scheme rs1
[AC-isp-dm1] accounting portal radius-scheme rs1
[AC-isp-dm1] quit
# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
[AC] domain default enable dm1
(3) 配置WLAN服务
# 创建接口WLAN-ESS 1,并将其加入VLAN 2。
[AC] interface wlan-ess 1
[AC-WLAN-ESS1] port access vlan 2
[AC-WLAN-ESS1] quit
# 配置WLAN服务模板,并将接口WLAN-ESS 1与该服务模板绑定。
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid abc
[AC-wlan-st-1] bind wlan-ess 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] service-template enable
# 在AC上配置AP。
[AC] wlan ap ap1 model WA3628i-AGN
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
[AC-wlan-ap-ap1] radio 1 type dot11an
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
(4) 配置Portal认证
# 配置CMCC远程Porta服务器:名称为ipv4-srv,地址为111.8.27.229
[AC] portal server ipv4-srv ip 111.8.27.229 url http://111.8.27.229/portal server-type c
mcc
# 配置CMCC远程Portal服务器的web重定向认证地址
[AC] portal server ipv6-web ipv6 2001::9 url http://[2001::9]:8080/portal ser
ver-type cmcc
# 配置免认证规则,允许AC发送的报文在不需要认证的情况下通过Portal服务器。(此配置可选,仅在配置无线控制器业务板时需要配置)
[AC] portal free-rule 0 source interface bridge-aggregation 1 destination any
# 在接口Vlan-interface 2上使能Portal,指定Portal服务器为ipv6-web,并配置为直接认证方式。
[AC] interface vlan-interface 2
[AC–Vlan-interface2] portal server ipv6-web method direct
[AC–Vlan-interface2] quit
无线客户端接入SSID为abc的无线网络时,若通过Web浏览器访问http://[79::12]网段,将被重定向到http://[2001::9]:8080/portal,该网页内容为CMCC服务器推出的认证页面。用户根据网页提示输入正确的用户名和密码后,能够成功通过认证。在AC上通过display portal user命令可以查看到认证成功的用户信息。
用户被强制去访问Portal服务器时没有弹出Portal认证页面,也没有错误提示,登录的Portal认证服务器Web页面为空白。
接入设备上配置的Portal密钥和Portal服务器上配置的密钥不一致,导致Portal服务器报文验证出错,Portal服务器拒绝弹出认证页面。
使用display portal server命令查看接入设备上配置的Portal服务器密钥,并在系统视图中使用portal server命令修改密钥,或者在Portal服务器上查看对应接入设备的密钥并修改密钥,直至两者的密钥设置一致。
用户通过Portal认证后,在接入设备上使用portal delete-user命令强制用户下线失败,但是使用客户端的“断开”属性可以正常下线。
在Portal上使用portal delete-user命令强制用户下线时,由接入设备主动发送下线请求报文到Portal服务器,Portal服务器默认的报文监听端口为50100,但是因为接入设备上配置的服务器监听端口错误(不是50100),即其发送的下线请求报文的目的端口和Portal服务器真正的监听端口不一致,故Portal服务器无法收到下线请求报文,Portal服务器上的用户无法下线。
当使用客户端的“断开”属性让用户下线时,由Portal服务器主动向接入设备发送下线请求,其源端口为50100,接入设备的下线应答报文的目的端口使用请求报文的源端口,避免了其配置上的错误,使得Portal服务器可以收到下线应答报文,从而Portal服务器上的用户成功下线。
使用display portal server命令查看接入设备对应服务器的端口,并在系统视图中使用portal server命令修改服务器的端口,使其和Portal服务器上的监听端口一致。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!