04-Portal配置
本章节下载: 04-Portal配置 (1005.33 KB)
目 录
1.1.4 使用本地Portal服务器的Portal认证系统
1.4.1 指定二层Portal认证的本地Portal服务器监听IP地址
1.12 指定Portal用户认证成功后认证页面的自动跳转目的网站地址
Portal在英语中是入口的意思。Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。
未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时,必须在门户网站进行认证,只有认证通过后才可以使用互联网资源。
用户可以主动访问已知的Portal认证网站,输入用户名和密码进行认证,这种开始Portal认证的方式称作主动认证。反之,如果用户试图通过HTTP访问其他外网,将被强制访问Portal认证网站,从而开始Portal认证过程,这种方式称作强制认证。
Portal业务可以为运营商提供方便的管理功能,门户网站可以开展广告、社区服务、个性化的业务等,使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。
Portal的扩展功能主要是指通过强制接入终端实施补丁和防病毒策略,加强网络终端对病毒攻击的主动防御能力。具体扩展功能如下:
· 安全性检测:在Portal身份认证的基础上增加了安全认证机制,可以检测接入终端上是否安装了防病毒软件、是否更新了病毒库、是否安装了非法软件、是否更新了操作系统补丁等;
· 访问资源受限:用户通过身份认证后仅仅获得访问部分互联网资源(受限资源)的权限,如病毒服务器、操作系统补丁更新服务器等;当用户通过安全认证后便可以访问更多的互联网资源(非受限资源)。
Portal的典型组网方式如图1-1所示,它由五个基本要素组成:认证客户端、接入设备、Portal服务器、认证/计费服务器和安全策略服务器。
由于Portal服务器可以是接入设备之外的独立实体,也可以是存在于接入设备之内的内嵌实体,本文称之为“本地Portal服务器”,因此下文中除对本地支持的Portal服务器做特殊说明之外,其它所有Portal服务器均指独立的Portal服务器,请勿混淆。
图1-1 Portal系统组成示意图
安装于用户终端的客户端系统,为运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的主机。对接入终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息交流完成的。
交换机、路由器等宽带接入设备的统称,主要有三方面的作用:
· 在认证之前,将用户的HTTP请求重定向到Portal服务器。
· 在认证过程中,与Portal服务器、安全策略服务器、认证/计费服务器交互,完成身份认证/安全认证/计费的功能。
· 在认证通过后,允许用户访问被管理员授权的互联网资源。
接收Portal客户端认证请求的服务器端系统,提供免费门户服务和基于Web认证的界面,与接入设备交互认证客户端的认证信息。
与接入设备进行交互,完成对用户的认证和计费。
与Portal客户端、接入设备进行交互,完成对用户的安全认证,并对用户进行授权操作。
以上五个基本要素的交互过程为:
(1) 未认证用户访问网络时,在Web浏览器地址栏中输入一个互联网的地址,那么此HTTP请求在经过接入设备时会被重定向到Portal服务器的Web认证主页上;若需要使用Portal的扩展认证功能,则用户必须使用Portal客户端。
(2) 用户在认证主页/认证对话框中输入认证信息后提交,Portal服务器会将用户的认证信息传递给接入设备;
(3) 然后接入设备再与认证/计费服务器通信进行认证和计费;
(4) 认证通过后,如果未对用户采用安全策略,则接入设备会打开用户与互联网的通路,允许用户访问互联网;如果对用户采用了安全策略,则客户端、接入设备与安全策略服务器交互,对用户的安全检测通过之后,安全策略服务器根据用户的安全性授权用户访问非受限资源。
· 无论是Web客户端还是H3C iNode客户端发起的Portal认证,均能支持Portal认证穿越NAT,即Portal客户端位于私网、Portal服务器位于公网。
· 目前支持Portal认证的远端认证/计费服务器为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。
· 目前通过访问Web页面进行的Portal认证不能对用户实施安全策略检查,安全检查功能的实现需要与H3C iNode客户端配合。
· 文中关于三层Portal重定向功能的实现情况与设备的软件版本有关。R1808P12以前版本:设备会将收到的所有未经认证的用户发送的HTTP请求都重定向到Portal服务器。R1808P12及以后的版本的情况:设备收到未经认证的用户发送的HTTP请求后,会判断该请求是否由IE等浏览器发送:如果是,则将该HTTP请求重定向到Portal服务器;否则不进行重定向操作。
本地Portal服务器功能是指,Portal认证系统中不采用外部独立的Portal服务器,而由接入设备实现Portal服务器功能。这种情况下,Portal认证系统仅包括三个基本要素:认证客户端、接入设备和认证/计费服务器,如图1-2所示。由于设备支持Web用户直接认证,因此就不需要部署额外的Portal服务器,增强了Portal认证的通用性。
图1-2 使用本地Portal服务器的Portal系统组成示意图
· 使用本地Portal服务器的Portal认证系统不支持Portal扩展功能,因此不需要部署安全策略服务器。
· 内嵌本地Portal服务器的接入设备实现了简单的Portal服务器功能,仅能给用户提供通过Web方式登录、下线的基本功能,并不能完全替代独立的Portal服务器。
认证客户端和内嵌本地Portal服务器的接入设备之间可以采用HTTP和HTTPS协议通信。若客户端和接入设备之间交互HTTP协议,则报文以明文形式传输,安全性无法保证;若客户端和接入设备之间交互HTTPS协议,则报文基于SSL提供的安全机制以密文的形式传输,数据的安全性有保障。
本地Portal服务器支持由用户自定义认证页面的内容,即允许用户编辑一套认证页面的HTML文件,并在压缩之后保存至设备的存储设备中。该套自定义页面中包括六个认证页面:登录页面、登录成功页面、在线页面、下线成功页面、登录失败页面和系统忙页面。本地Portal服务器根据不同的认证阶段向客户端推出对应的认证页面,若不自定义,则分别推出系统提供的缺省认证页面。
不同的组网方式下,可采用的Portal认证方式不同。按照网络中实施Portal认证的网络层次来分,Portal的认证方式分为两种:二层认证方式和三层认证方式。
这种方式支持在接入设备连接用户的二层端口上开启Portal认证功能,只允许源MAC地址通过认证的用户才能访问外部网络资源。目前,该认证方式仅支持本地Portal认证,即接入设备作为本地Portal服务器向用户提供Web认证服务。
另外,该方式还支持服务器下发授权VLAN和将认证失败用户加入认证失败VLAN功能(三层认证方式不支持)。
这种方式支持在接入设备连接用户的三层接口上开启Portal认证功能。三层接口Portal认证又可分为三种不同的认证方式:直接认证方式、二次地址分配认证方式和可跨三层认证方式。直接认证方式和二次地址分配认证方式下,认证客户端和接入设备之间没有三层转发;可跨三层认证方式下,认证客户端和接入设备之间可以跨接三层转发设备。
(1) 直接认证方式
用户在认证前通过手工配置或DHCP直接获取一个IP地址,只能访问Portal服务器,以及设定的免费访问地址;认证通过后即可访问网络资源。认证流程相对二次地址较为简单。
(2) 二次地址分配认证方式
用户在认证前通过DHCP获取一个私网IP地址,只能访问Portal服务器,以及设定的免费访问地址;认证通过后,用户会申请到一个公网IP地址,即可访问网络资源。该认证方式解决了IP地址规划和分配问题,对未认证通过的用户不分配公网IP地址。例如运营商对于小区宽带用户只在访问小区外部资源时才分配公网IP。
· 使用本地Portal服务器的Portal认证不支持二次地址分配认证方式。
· IPv6 Portal认证不支持二次地址分配方式。
(3) 可跨三层认证方式
和直接认证方式基本相同,但是这种认证方式允许认证用户和接入设备之间跨越三层转发设备。
对于以上三种认证方式,IP地址都是用户的唯一标识。接入设备基于用户的IP地址下发ACL对接口上通过认证的用户报文转发进行控制。由于直接认证和二次地址分配认证下的接入设备与用户之间未跨越三层转发设备,因此接口可以学习到用户的MAC地址,接入设备可以利用学习到MAC地址增强对用户报文转发的控制力度。
在对接入用户身份可靠性要求较高的网络应用中,传统的基于用户名和口令的用户身份验证方式存在一定的安全问题,基于数字证书的用户身份验证方式通常被用来建立更为安全和可靠的网络接入认证机制。
EAP(Extensible Authentication Protocol,可扩展认证协议)可支持多种基于数字证书的认证方式(例如EAP-TLS),它与Portal认证相配合,可共同为用户提供基于数字证书的接入认证服务。
图1-3 Portal支持EAP认证协议交互示意图
如图1-3所示,在Portal支持EAP认证的实现中,客户端与Portal服务器之间交互EAP认证报文,Portal服务器与接入设备之间交互携带EAP-Message属性的Portal协议报文,接入设备与RADIUS服务器之间交互携带EAP-Message属性的RADIUS协议报文,由具备EAP服务器功能的RADIUS服务器处理EAP-Message属性中封装的EAP报文,并给出EAP认证结果。整个EAP认证过程中,接入设备只是对Portal服务器与RADIUS服务器之间的EAP-Message属性进行透传,并不对其进行任何处理,因此接入设备上无需任何额外配置。
· 该功能仅能与H3C iMC的Portal服务器以及H3C iNode Portal客户端配合使用。
· 目前,仅使用远程Portal服务器的三层Portal认证支持EAP认证。
目前,二层Portal认证只支持本地Portal认证,即由接入设备作为本地Portal服务器向用户提供Web认证服务,具体认证过程如下。
图1-4 二层Portal认证流程图
(1) Portal用户通过HTTP协议发起认证。HTTP报文经过配置了本地Portal服务器的接入设备的端口时会被重定向到本地Portal服务器的监听IP地址,本地Portal服务器提供Web页面供用户输入用户名和密码来进行认证且支持HTTP和HTTPS协议的认证请求。该本地Portal服务器的监听IP地址为接入设备上一个与用户之间路由可达的三层接口IP地址(通常为Loopback接口IP)。
(2) 接入设备与RADIUS服务器之间进行RADIUS协议报文的交互,对用户身份进行验证。
(3) 如果RADIUS认证成功,则接入设备上的本地Portal服务器向客户端发送登录成功页面,通知客户端认证(上线)成功。
二层Portal认证支持认证服务器下发授权VLAN。当用户通过Portal认证后,如果认证服务器上配置了下发VLAN功能,那么认证服务器会将授权VLAN信息下发给接入设备,由接入设备将认证成功的用户加入对应的授权VLAN中,则端口上会生成该用户MAC对应的MAC VLAN表项,若该VLAN不存在,则接入设备首先创建VLAN,而后端口将允许该VLAN的用户报文以不携带tag的方式通过。
通过支持下发授权VLAN,可实现对已认证用户可访问网络资源的控制。
Auth-Fail VLAN功能允许用户在认证失败的情况下,可以访问某一特定VLAN中的资源,比如病毒补丁服务器,存储客户端软件或杀毒软件的服务器,进行升级客户端或执行其他一些用户升级程序。这个VLAN称之为Auth-Fail VLAN。
二层Portal认证支持基于MAC的Auth-Fail VLAN,如果接入用户的端口上配置了Auth-Fail VLAN,则端口上会基于认证失败的MAC地址生成相应的MAC VLAN表项,认证失败的用户将会被加入Auth-Fail VLAN中。加入Auth-Fail VLAN中的用户可以访问该VLAN中的非HTTP资源,但用户的所有HTTP访问请求会被重定向到接入设备上进行认证,若用户仍然没有通过认证,则将继续处于Auth-Fail VLAN内;若认证成功,则回到加入Auth-Fail VLAN之前端口所在的VLAN。处于Auth-Fail VLAN中的用户,若在指定时间(默认90秒,不可修改)内无流量通过接入端口,则将离开该VLAN,回到端口的初始VLAN。
用户加入授权VLAN或Auth-Fail VLAN后,需要自动申请或者手动更新客户端IP地址,以保证可以与授权VLAN或Auth-Fail VLAN中的资源互通。
ACL(Access Control List,访问控制列表)提供了控制用户访问网络资源和限制用户访问权限的功能。当用户上线时,如果服务器上配置了授权ACL,则设备会根据服务器下发的授权ACL对用户所在端口的数据流进行控制;在服务器上配置授权ACL之前,需要在设备上配置相应的规则。管理员可以通过改变服务器的授权ACL设置或设备上对应的ACL规则来改变用户的访问权限。
直接认证和可跨三层Portal认证流程相同。二次地址分配认证流程因为有两次地址分配过程,所以其认证流程和另外两种认证方式有所不同。
图1-5 直接认证/可跨三层Portal认证流程图
直接认证/可跨三层Portal认证流程:
(1) Portal用户通过HTTP协议发起认证请求。HTTP报文经过接入设备时,对于访问Portal服务器或设定的免费访问地址的HTTP报文,接入设备允许其通过;对于访问其它地址的HTTP报文,接入设备将其重定向到Portal服务器。Portal服务器提供Web页面供用户输入用户名和密码来进行认证。
(2) Portal服务器与接入设备之间进行CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)认证交互。若采用PAP(Password Authentication Protocol,密码验证协议)认证则直接进入下一步骤。
(3) Portal服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备,同时开启定时器等待认证应答报文。
(4) 接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。
(5) 接入设备向Portal服务器发送认证应答报文。
(6) Portal服务器向客户端发送认证通过报文,通知客户端认证(上线)成功。
(7) Portal服务器向接入设备发送认证应答确认。
(8) 客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全性是否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。
(9) 安全策略服务器根据用户的安全性授权用户访问非受限资源,授权信息保存到接入设备中,接入设备将使用该信息控制用户的访问。
步骤(8)、(9)为Portal认证扩展功能的交互过程。
图1-6 二次地址分配认证方式流程图
二次地址分配认证流程:
(1)~(6)同直接/可跨三层Portal认证中步骤(1)~(6)。
(7) 客户端收到认证通过报文后,通过DHCP获得新的公网IP地址,并通知Portal服务器用户已获得新IP地址。
(8) Portal服务器通知接入设备客户端获得新公网IP地址。
(9) 接入设备通过检测ARP协议报文发现了用户IP变化,并通告Portal服务器已检测到用户IP变化。
(10) Portal服务器通知客户端上线成功。
(11) Portal服务器向接入设备发送IP变化确认报文。
(12) 客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全性是否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。
(13) 安全策略服务器根据用户的安全性授权用户访问非受限资源,授权信息保存到接入设备中,接入设备将使用该信息控制用户的访问。
步骤(12)、(13)为Portal认证扩展功能的交互过程。
图1-7 Portal支持EAP认证流程图
支持EAP认证的Portal认证流程如下(各Portal认证方式下EAP认证的处理流程相同,此处仅以直接方式的Portal认证为例):
(1) Portal客户端发起EAP认证请求,向Portal服务器发送Identity类型的EAP请求报文。
(2) Portal服务器向接入设备发送Portal认证请求报文,同时开启定时器等待Portal认证应答报文,该认证请求报文中包含若干个EAP-Message属性,这些属性用于封装Portal客户端发送的EAP报文,并可携带客户端的证书信息。
(3) 接入设备接收到Portal认证请求报文后,构造RADIUS认证请求报文与RADIUS服务器进行认证交互,该RADIUS认证请求报文的EAP-Message属性值由接入设备收到的Portal认证请求报文中的EAP-Message属性值填充。
(4) 接入设备根据RADIUS服务器的回应信息向Portal服务器发送证书请求报文,该报文中同样会包含若干个EAP-Message属性,可用于携带RADIUS服务器的证书信息,这些属性值由RADIUS认证回应报文中的EAP-Message属性值填充。
(5) Portal服务器接收到证书请求报文后,向Portal客户端发送EAP认证回应报文,直接将RADIUS服务器响应报文中的EAP-Message属性值透传给Portal客户端。
(6) Portal客户端继续发起的EAP认证请求,与RADIUS服务器进行后续的EAP认证交互,期间Portal认证请求报文可能会出现多次。后续认证过程与第一个EAP认证请求报文的交互过程类似,仅EAP报文类型会根据EAP认证阶段发展有所变化,此处不再详述。
(7) EAP认证通过后,RADIUS服务器向接入设备发送认证通过响应报文,该报文的EAP-Message属性中封装了EAP认证成功报文(EAP-Success)。
(8) 接入设备向Portal服务器发送认证应答报文,该报文的EAP-Message属性中封装了EAP认证成功报文。
(9) Portal服务器根据认证应答报文中的认证结果通知Portal客户端认证成功。
(10) Portal服务器向接入设备发送认证应答确认。
后续为Portal认证扩展功能的交互过程,可参考CHAP/PAP认证方式下的认证流程介绍,此处略。
在当前的组网应用中,用户对网络可靠性的要求越来越高,特别是在一些重点的业务入口或接入点上需要保证网络业务的不间断性。双机热备技术可以保证这些关键业务节点在单点故障的情况下,信息流仍然不中断。
所谓双机热备,其实是双机业务备份。在两台设备上分别指定相同的备份VLAN,专用于传输双机热备相关的报文。在设备正常工作时,对业务信息进行主备同步;在设备故障后,利用VRRP机制实现业务流量切换到备份设备,由备份设备继续处理业务,从而保证了当前的业务不被中断。关于双机热备的详细介绍请参见“可靠性配置指导”中的“双机热备”。
如图1-8所示,在一个典型的Portal双机热备组网环境中,用户通过Portal认证接入网络,为避免接入设备单机故障的情况下造成的Portal业务中断,接入设备提供了Portal支持双机热备功能。该功能是指,接入设备Gateway A和Gateway B通过备份链路互相备份两台设备上的Portal在线用户信息,实现当其中一台设备发生故障时,另外一台设备可以对新的Portal用户进行接入认证,并能够保证所有已上线Portal用户的正常数据通信。
备份链路对于部分双机热备设备不是必须的,只要保证互为备份的设备上存在相同的VLAN专用于传输双机热备相关的报文。若组网中配置了专门的备份链路,则需要将两台设备上连接备份链路的物理接口加入备份VLAN中。
(1) 设备的工作状态
· 独立运行状态:设备未与其它设备建立备份连接时所处的一种稳定状态。
· 同步运行状态:设备与对端设备之间成功建立备份连接,可以进行数据备份时所处的一种稳定状态。
(2) 用户的工作模式
· Stand-alone:表示用户数据只在一台设备上存在。当前设备处于独立运行状态,或者当前设备处于同步运行状态但用户数据还未同步。
· Primary:表明用户是由本端设备上线,用户数据由本端设备生成。本端设备处于同步运行状态,可以处理并接收服务器发送的报文。
· Secondary:表明用户是由对端设备上线,用户数据是由对端设备同步到本端设备上的。本端设备处于同步运行状态,只接收并处理同步消息,不处理服务器发送的报文。
实际组网应用中,某企业的各分支机构属于不同的VPN,且各VPN之间的业务相互隔离。如果各分支机构的Portal用户要通过位于总部VPN中的服务器进行统一认证,则需要Portal支持多实例。
通过Portal支持多实例,可实现Portal认证报文通过MPLS VPN进行交互。如下图所示,连接客户端的PE设备作为NAS,通过MPLS VPN将私网客户端的Portal认证报文透传给网络另一端的私网服务器,并在AAA支持多实例的配合下,实现对私网VPN客户端的Portal接入认证,满足了私网VPN业务隔离情况下的客户端集中认证,且各私网的认证报文互不影响。
图1-9 Portal支持多实例典型组网图
· 在MCE设备上进行的Portal接入认证也可支持多实例功能。关于MCE的相关介绍请见参见“MPLS配置指导”中的“MCE”。
· 关于AAA支持多实例的相关介绍请参见“安全配置指导”中的“AAA”。
· 本特性不支持多VPN间的地址重叠。
表1-1 二层Portal配置任务简介
配置任务 |
说明 |
详细配置 |
|
指定二层Portal认证的本地Portal服务器IP地址 |
必选 |
||
配置本地Portal服务器 |
自定义认证页面 |
可选 |
|
配置本地Portal服务器 |
必选 |
||
使能二层Portal |
必选 |
||
控制Portal用户的接入 |
配置免认证规则 |
可选 |
|
配置Portal最大用户数 |
|||
指定Portal用户使用的认证域 |
|||
配置二层Portal支持Web代理 |
|||
配置Portal用户认证端口的自动迁移功能 |
|||
配置Portal认证的Auth-Fail VLAN |
可选 |
||
指定Portal用户认证成功后认证页面的自动跳转目的网站地址 |
可选 |
||
配置二层Portal用户的在线检测功能 |
可选 |
||
强制Portal用户下线 |
可选 |
表1-2 三层Portal配置任务简介
配置任务 |
说明 |
详细配置 |
|
指定三层Portal认证的Portal服务器监听IP地址 |
必选 |
||
使能三层Portal |
必选 |
||
控制Portal用户的接入 |
配置免认证规则 |
可选 |
|
配置源认证网段 |
|||
配置Portal最大用户数 |
|||
指定Portal用户使用的认证域 |
|||
配置接口发送RADIUS报文的相关属性 |
配置接口的NAS-Port-Type |
可选 |
|
配置接口的NAS-ID Profile |
|||
配置接口发送Portal报文使用的源地址 |
可选 |
||
配置Portal支持双机热备 |
可选 |
||
指定Portal用户认证成功后认证页面的自动跳转目的网站地址 |
可选 |
||
配置Portal探测功能 |
配置Portal服务器探测功能 |
可选 |
|
配置Portal用户信息同步功能 |
|||
强制Portal用户下线 |
可选 |
Portal提供了一个用户身份认证和安全认证的实现方案,但是仅仅依靠Portal不足以实现该方案。接入设备的管理者需选择使用RADIUS认证方法,以配合Portal完成用户的身份认证。Portal认证的配置前提:
· Portal服务器、RADIUS服务器已安装并配置成功。本地Portal认证无需单独安装Portal服务器。
· 若采用二次地址分配认证方式,接入设备需启动DHCP中继的安全地址匹配检查功能,另外需要安装并配置好DHCP服务器。
· 用户、接入设备和各服务器之间路由可达。
· 如果通过远端RADIUS服务器进行认证,则需要在RADIUS服务器上配置相应的用户名和密码,然后在接入设备端进行RADIUS客户端的相关设置。RADIUS客户端的具体配置请参见“安全配置指导”中的“AAA”。
· 如果需要支持Portal的扩展功能,需要安装并配置CAMS EAD/iMC EAD。同时保证在接入设备上的ACL配置和安全策略服务器上配置的受限资源ACL号、非受限资源ACL号对应。接入设备上的安全策略服务器配置请参见“安全配置指导”中的“AAA”。
· 安全策略服务器的配置请参考CAMS EAD安全策略组件联机帮助/iMC EAD安全策略组件联机帮助。
· 受限资源ACL、非受限资源ACL分别对应安全策略服务器中的隔离ACL与安全ACL。
· 如果接入设备上的授权ACL配置被修改,则修改后的ACL不对已经在线的Portal用户生效,只能对新上线的Portal用户有效。
· 为保证Portal认证可正常进行,请将设备名称的长度限制在16个字符以内。
二层Portal认证使用本地Portal服务器,因此需要将设备上一个与Portal客户端路由可达的三层接口IP地址指定为本地Portal服务器的监听IP地址,并强烈建议使用设备上空闲的Loopback接口的IP地址,利用LoopBack接口状态稳定的优点,避免因为接口故障导致用户无法打开认证页面的问题。另外,由于发送到LoopBack接口的报文不会被转发到网络中,当请求上线的用户数目较大时,可减轻对系统性能的影响。
表1-3 指定二层Portal认证的本地Portal服务器监听IP地址
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
指定二层Portal认证的本地Portal服务器监听IP地址 |
portal local-server ip ip-address |
必选 缺省情况下,没有指定本地Portal服务器的监听IP地址 |
已配置的本地Portal服务器监听IP地址仅在二层Portal认证未在任何端口上使能时才可以被删除或修改。
本配置用于指定Portal服务器的相关参数,主要包括外部Portal服务器IP地址、共享加密密钥、服务器端口号以及服务器提供的Web认证地址。
表1-4 指定三层Portal认证的Portal服务器
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
指定三层Portal认证的Portal服务器 |
portal server server-name { ip ip v4-address [ key [ cipher | simple ] key-string | port port-id | url url-string | vpn-instance vpn-instance-name ] * | ipv6 ipv6-address [ key [ cipher | simple ] key-string | port port-id | url url-string ] * } |
必选 缺省情况下,没有指定三层Portal认证的Portal服务器 |
· 已配置的Portal服务器参数仅在该Portal服务器未被接口引用时才可以被删除或修改。
· 为保证设备能够向MPLS VPN私网中的Portal服务器发送报文,指定Portal服务器时需指定服务器所属的VPN且必须和该服务器所在的VPN保持一致。
本特性仅二层Portal认证支持。
本特性用于配合Portal本地认证,且仅在使用本地Portal服务器时必配。使用本地Portal服务器进行认证时,本地Portal服务器负责向用户推出认证页面。认证页面的内容和样式可自定义,若未配置自定义认证页面,则向用户推出系统提供的缺省认证页面。
用户自定义的认证页面为HTML文件的形式,压缩后保存在本地设备的存储设备中。每套认证页面可包括六个主索引页面(登录页面、登录成功页面、登录失败页面、在线页面、系统忙页面、下线成功页面)及其页面元素(认证页面需要应用的各种文件,如Logon.htm页面中的back.jpg),每个主索引页面可以引用若干页面元素。若用户只自定义了部分主索引页面,则其余主索引页面使用系统提供的缺省认证页面。
用户在自定义这些页面时需要遵循一定的规范,否则会影响本地Portal服务器功能的正常使用和系统运行的稳定性。
主索引页面文件名不能自定义,必须使用表1-5中所列的固定文件名。
主索引页面 |
文件名 |
登录页面 |
logon.htm |
登录成功页面 |
logonSuccess.htm |
登录失败页面 |
logonFail.htm |
在线页面 用于提示用户已经在线 |
online.htm |
系统忙页面 用于提示系统忙或者该用户正在登录过程中 |
busy.htm |
下线成功页面 |
logoffSuccess.htm |
主索引页面文件之外的其他文件名可由用户自定义,但需注意文件名和文件目录名中不能含有中文且不区分大小写。
本地Portal服务器只能接受Get请求和Post请求。
· Get请求用于获取认证页面中的静态文件,其内容不能为递归内容。例如,Logon.htm文件中包含了Get ca.htm文件的内容,但ca.htm文件中又包含了对Logon.htm的引用,这种递归引用是不允许的。
· Post请求用于用户提交用户名和密码以及用户执行登录、下线操作。
(1) 认证页面中表单(Form)的编辑必须符合以下原则:
· 认证页面可以含有多个Form,但是必须有且只有一个Form的action=logon.cgi,否则无法将用户信息送到本地Portal服务器。
· 用户名属性固定为”PtUser”,密码属性固定为”PtPwd”。
· 需要有用于标记用户登录还是下线的属性”PtButton”,取值为"Logon"表示登录,取值为"Logoff"表示下线。
· 登录Post请求必须包含”PtUser”,”PtPwd”和"PtButton"三个属性。
· 下线Post请求必须包含”PtButton”这个属性。
(2) 需要包含登录Post请求的页面有logon.htm和logonFail.htm。
logon.htm页面脚本内容的部分示例:
<form action=logon.cgi method = post >
<p>User name:<input type="text" name = "PtUser" style="width:160px;height:22px" maxlength=64>
<p>Password :<input type="password" name = "PtPwd" style="width:160px;height:22px" maxlength=32>
<p><input type=SUBMIT value="Logon" name = "PtButton" style="width:60px;" onclick="form.action=form.action+location.search;>
</form>
(3) 需要包含下线Post请求的页面有logonSuccess.htm和online.htm。
online.htm页面脚本内容的部分示例:
<form action=logon.cgi method = post >
<p><input type=SUBMIT value="Logoff" name="PtButton" style="width:60px;">
</form>
· 完成所有认证页面的编辑之后,必须按照标准Zip格式将其压缩到一个Zip文件中,该Zip文件的文件名只能包含字母、数字和下划线。缺省认证页面文件必须以defaultfile.zip为文件名保存。
· 压缩后的Zip文件中必须直接包含认证页面,不允许存在间接目录。
· 压缩生成的Zip文件可以通过FTP或TFTP的方式上传至设备,并保存在设备的指定目录下。缺省认证页面文件必须保存在设备的根目录下,非缺省认证页面文件可以保存在设备根目录下或者根目录的portal目录下。
Zip文件保存目录示例:
<Sysname> dir
Directory of flash:/portal/
0 -rw- 1405 Feb 28 2011 15:53:31 2.zip
1 -rw- 1405 Feb 28 2011 15:53:20 1.zip
2 -rw- 1405 Feb 28 2011 15:53:39 3.zip
3 -rw- 1405 Feb 28 2011 15:53:44 4.zip
2540 KB total (1319 KB free)
为了方便系统推出自定义的认证页面,认证页面在文件大小和内容上需要有如下限制:
· 每套页面(包括主索引页面文件及其页面元素)压缩后的Zip文件大小不能超过500K字节。
· 每个单独页面(包括单个主索引页面文件及其页面元素)压缩前的文件大小不能超过50K字节。
· 页面元素只能包含HTML、JS、CSS和图片之类的静态内容。
用户认证成功后,系统会推出登录成功页面(文件名为logonSuccess.htm),认证通过后再次通过登录页面进行认证操作,系统会推出在线页面(文件名为online.htm)。若希望用户关闭这两个页面的同时,触发设备执行强制当前在线用户下线的操作,就需要按照如下要求在这两个页面文件的脚本文件中增加如下内容。
(1) 添加对JS文件“pt_private.js”的引用;
(2) 添加触发页面卸载的函数“pt_unload()”;
(3) 添加Form的提交事件处理函数“pt_submit()”;
(4) 添加页面加载的初始化函数“pt_init()”。
需要在logonSuccess.htm和online.htm页面脚本中增加的内容如示例中突出显示部分:
<html>
<head>
<script type="text/javascript" language="javascript" src="pt_private.js"></script>
</head>
<body onload="pt_init();" onbeforeunload="return pt_unload();">
... ...
<form action=logon.cgi method = post onsubmit="pt_submit()">
... ...
</body>
</html>
若要支持认证成功后自定义认证页面的自动跳转功能,即认证页面会在用户认证成功后自动跳转到设备指定的网站页面,则需要按照如下要求在认证页面logon.htm和logonSuccess.htm的脚本文件中做如下改动。
(1) 将logon.htm文件中的Form的target值设置为“blank”。
修改的脚本内容如下突出显示部分所示:
<form method=post action=logon.cgi target="blank">
(2) logonSucceess.htm文件添加页面加载的初始化函数“pt_init()”。
增加的脚本内容如下突出显示部分所示:
<html>
<head>
<title>LogonSuccessed</title>
<script type="text/javascript" language="javascript" src="pt_private.js"></script>
</head>
<body onload="pt_init();" onbeforeunload="return pt_unload();">
... ...
</body>
</html>
· 推荐使用IE6.0版本以上的浏览器。
· 需要用户浏览器设置为允许弹出窗口,或者将设备的IP地址设置为允许弹出的网站地址。若浏览器禁止弹出窗口,则关闭登录成功或在线页面时会提示用户无法下线,用户可以点击“取消”回到原页面。
· 目前,仅IE浏览器、Firefox浏览器和Safari浏览器支持关闭登录成功/在线页面后的强制用户下线功能,而其它浏览器(例如Chrome浏览器、Opera浏览器等)均不支持该功能。
· 刷新登录成功/在线页面或者使该页面跳转到别的网站上时都会触发强制用户下线事件。
在本配置任务中,通过指定Portal客户端和本地Portal服务器的之间采用的通信协议(HTTP或HTTPS),接入设备上的本地Portal服务器功能才能生效。
若指定本地Portal服务器支持的协议类型为HTTPS,则需要首先完成以下配置:
· 配置PKI策略,并成功申请本地证书和CA证书,具体配置请参见“安全配置指导”中的“PKI”。
· 配置SSL服务器端策略,并指定使用已配置的PKI域。具体配置请参见“安全配置指导”中的“SSL”。
由于指定本地Portal服务器支持的协议类型时,本地Portal服务器将同时加载已保存在根目录的缺省认证页面文件,因此若需要使用自定义的缺省认证页面文件,则需要首先完成对它的编辑和保存工作,否则使用系统默认的缺省认证页面。
表1-6 配置本地Portal服务器
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置本地Portal服务器支持的协议类型,并同时加载缺省认证页面文件 |
portal local-server { http | https server-policy policy-name } |
必选 缺省情况下,本地Portal服务器不支持任何协议类型 |
配置本地Portal服务器缺省认证页面的欢迎信息 |
portal server banner banner-string |
可选 缺省情况下,无Web页面欢迎信息 |
只有在接口上使能了Portal认证,对接入用户的Portal认证功能才能生效。
在使能二层Portal认证之前,需要满足以下要求:
· 已经指定了本地Portal服务器的监听IP地址;
· 未在任何接口上使能三层Portal认证。
表1-7 使能二层Portal认证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入二层以太网端口视图 |
interface interface-type interface-number |
- |
在端口上使能二层Portal认证 |
portal local-server enable |
必选 缺省情况下,未使能二层Portal认证 |
· 为使二层端口上的Portal认证功能正常运行,不建议端口上同时使能端口安全、802.1X的Guest VLAN或802.1X的EAD快速部署功能。
· 若要支持授权VLAN下发功能,则需要在端口上使能MAC VLAN功能。
在使能三层Portal认证之前,需要满足以下要求:
· 使能Portal的接口已配置或者获取了合法的IP地址;
· 接口上引用的Portal服务器名已经存在;
· 未在任何端口上使能二层Portal认证。
表1-8 使能三层Portal认证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- 只能是三层接口 |
在接口上使能三层Portal认证 |
portal server server-name method { direct | layer3 | redhcp } |
必选 缺省情况下,没有使能三层Portal认证 |
· 设备向Portal服务器主动发送报文时使用的目的端口号必须与远程Portal服务器实际使用的端口号保持一致。
· 已配置的Portal服务器及其参数仅在该Portal服务器未被接口引用时才可以被删除或修改。
· 对于跨三层设备支持Portal认证的应用只能配置可跨三层Portal认证方式(portal server server-name method layer3),但可跨三层Portal认证方式不要求接入设备和Portal用户之间必需跨越三层设备。
· 在二次地址分配认证方式下,允许用户在未通过Portal认证时以公网地址向外发送报文,但相应的回应报文则受限制。
· IPv6 Portal 服务器不支持二次地址分配方式的Portal认证。
· 允许在接口上同时使能使用IPv4 Portal服务器的三层Portal认证和使用IPv6 Portal服务器的三层Portal认证。但是,不允许同时使能使用相同IP协议的Portal服务器的三层Portal认证。
通过配置免认证规则(free-rule)可以让特定的用户不需要通过Portal认证即可访问外网特定资源,这是由免认证规则中配置的源信息以及目的信息决定的。
免认证规则的匹配项包括IP地址、MAC地址、所连接设备的接口和VLAN,只有符合免认证规则的用户报文才不会触发Portal认证,因此这些报文所属的用户才可以直接访问网络资源。
对于二层Portal认证,只能配置从任意源地址(即source any)到任意或指定目的地址的免认证规则。配置了到指定目的地址的免认证规则后,用户不需要通过Portal认证即可访问指定目的网段或地址的网络资源,且用户访问这些资源的HTTP请求不会被重定向到Portal认证页面上。通常,可以将一些提供特定服务器资源(例如软件升级服务器)的IP地址指定为免认证规则的目的IP,便于二层Portal用户在免认证的情况下获取特定的服务资源。
表1-9 配置免认证规则
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置Portal的免认证规则 |
portal free-rule rule-number { destination { any | ip { ip-address mask { mask-length | mask } | any }} | source { any | [ interface interface-type interface-number | ip { ip-address mask { mask-length | mask } | any }| mac mac-address | vlan vlan-id ] * } } * |
二者至少选其一
|
portal free-rule rule-number { destination { any | ipv6 { ipv6-address prefix-length | any } } | source { any | [ interface interface-type interface-number | ipv6 { ipv6-address prefix-length | any } | mac mac-address | vlan vlan-id ] * } } * |
· 如果免认证规则中同时配置了vlan和interface项,则要求interface属于该VLAN,否则该规则无效。
· 相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复。
· 无论接口上是否使能Portal认证,只能添加或者删除免认证规则,不能修改。
· 加入聚合组的二层接口不能被指定为免认证规则的源接口,反之亦然。
本特性仅三层Portal认证支持。
通过配置源认证网段实现只允许在源认证网段范围内的用户HTTP报文才能触发Portal认证。如果未认证用户的HTTP报文既不满足免认证规则又不在源认证网段内,则将被接入设备丢弃。
表1-10 配置源认证网段
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置源认证网段 |
portal auth-network { ipv4-network-address { mask-length | mask } | ipv6 ipv6-network-address prefix-length } |
可选 缺省情况下,源IPv4认证网段为0.0.0.0/0,源IPv6认证网段为::/0,表示对来自任意网段的用户都进行Portal认证 |
· 源认证网段配置仅对可跨三层Portal认证有效。直接认证方式的认证网段为任意源IP,二次地址分配方式的认证网段为由接口私网IP决定的私网网段。
· 可通过多次执行本命令,配置多个源认证网段。
通过该配置可以控制系统中的Portal接入用户总数。
表1-11 配置Portal最大用户数
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置Portal最大用户数 |
portal max-user max-number |
必选 缺省情况下,Portal最大用户数为6000 |
如果配置的Portal最大用户数小于当前已经在线的Portal用户数,则该命令可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户接入。
通过在指定接口上配置Portal用户使用的认证域,使得所有从该接口接入的Portal用户被强制使用指定的认证域来进行认证、授权和计费。即使Portal用户输入的用户名中携带的域名相同,接入设备的管理员也可以通过该配置对不同接口指定不同的认证域,从而增加了管理员部署Portal接入策略的灵活性。
表1-12 指定Portal用户使用的认证域
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
指定Portal用户使用的认证域 |
portal domain [ ipv6 ] domain-name |
必选 缺省情况下,未指定Portal用户使用的认证域 |
从指定接口上接入的Portal用户将按照如下先后顺序选择认证域:接口上指定的ISP域-->用户名中携带的ISP域-->系统缺省的ISP域。关于缺省ISP域的相关介绍请参见“安全配置指导”中的“AAA”。
对于二层Portal认证,缺省情况下,设备不支持配置了Web代理服务器的用户浏览器发起的Portal认证。若用户使用配置了Web代理服务器的浏览器上网,则用户的这类HTTP请求报文将被丢弃,而不能触发Portal认证。这种情况下,网络管理员可以通过在设备上添加Web代理服务器端口号,来允许使用Web代理服务器的用户浏览器发起的HTTP请求也可以触发Portal认证。
表1-13 配置允许触发Portal认证的Web代理服务器端口
配置步骤 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
添加允许触发Portal认证的Web代理服务器端口 |
portal web-proxy port port-number |
必选 缺省情况下,不存在允许触发Portal认证的Web代理服务器端口 |
· 如果用户浏览器采用WPAD(Web Proxy Auto-Discovery,Web代理服务器自动发现)方式自动配置Web代理,则不仅需要网络管理员在设备上添加Web代理服务器端口,还需要配置免认证规则,允许目的IP为WPAD主机IP地址的用户报文免认证。
· 除了网络管理员需要在设备上添加指定的Web代理服务器端口,还需要用户在浏览器上将设备的本地Portal服务器监听IP地址配置为Web代理服务器的例外地址,避免Portal用户发送给本地Portal服务器的HTTP报文被发送到Web代理服务器上,从而影响正常的Portal认证。
本特性仅二层Portal认证支持。
在用户和设备之间存在Hub、二层交换机或AP的组网环境下,若在线用户在未下线的情况下从同一设备上的当前认证端口离开并迁移到其它使能了二层Portal的认证端口上接入时,由于原端口上仍然存在该用户的认证信息,因此设备默认不允许用户在新端口上认证上线。
开启本功能后,设备允许在线用户离开当前端口后在新端口上上线,具体分为以下两种情况:
· 若原认证端口状态未down,且用户先后接入的两个端口属于同一个VLAN,则用户不需要重新认证就能够继续以在线状态在新的端口上访问网络,并按照新的端口信息继续计费;
· 若原认证端口状态变为down,或者原认证端口状态未down但是两个认证端口所属的VLAN不同,则设备会将用户在原端口上的认证信息删除掉,并要求用户在新端口上重新进行认证。
表1-14 配置Portal用户认证端口的自动迁移功能
配置步骤 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启Portal用户认证端口的自动迁移功能 |
portal move-mode auto |
必选 缺省情况下,Portal用户认证端口的自动迁移功能处于关闭状态 |
用户迁移到新端口上之后,若设备发现该用户具有授权属性(例如授权VLAN),则设备会尝试在新的端口上添加该用户的授权信息,若授权信息添加失败,设备会删除原端口上的用户信息,要求用户重新进行认证。
本特性仅二层Portal认证支持。
通过该配置可以指定Portal用户认证失败后加入的VLAN。
进行本配置之前,请首先创建需要配置为Auth-Fail VLAN的VLAN。
表1-15 配置Portal认证的Auth-Fail VLAN
配置步骤 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入二层以太网端口视图 |
interface interface-type interface-number |
- |
配置端口的Portal认证的Auth-Fail VLAN |
portal auth-fail vlan authfail-vlan-id |
必选 缺省情况下,端口没有配置Portal认证的Auth-Fail VLAN |
· 为使端口的Portal认证的Auth-Fail VLAN生效,还必须使能端口上的MAC VLAN功能。MAC VLAN功能的具体配置请参考“二层技术-以太网交换配置指导”中的“VLAN”。
· 不同的端口可以配置不同的Portal认证的Auth-Fail VLAN,但一个端口最多只能配置一个Portal认证的Auth-Fail VLAN。
· 端口上Portal认证失败产生的MAC VLAN表项不会覆盖已存在的其它认证方式产生的MAC VLAN表项。
本特性仅三层Portal认证支持。
RADIUS标准属性NAS-Port-Type用于表示用户接入的端口类型。当接口上有Portal用户上线时候,若该接口上配置了NAS-Port-Type,则使用本命令配置的值作为向RADIUS服务器发送的RADIUS请求报文的NAS-Port-Type属性值,否则使用接入设备获取到的用户接入的端口类型填充该属性。
若作为Portal认证接入设备的BAS(Broadband Access Server,宽带接入服务器)与Portal客户端之间跨越了多个网络设备,则可能无法正确获取到接入用户的实际端口信息,例如对于Portal认证接入的无线客户端,BAS获取到的接入端口类型有可能是设备上认证该用户的有线接口类型。因此,为保证BAS能够向RADIUS服务器正确传递用户的接入端口信息,需要网络管理员在了解用户的实际接入环境后,通过本命令指定相应的NAS-Port-Type。
表1-16 配置接口的NAS-Port-Type
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置接口的NAS-Port-Type |
portal nas-port-type { ethernet | wireless } |
必选 缺省情况下,未指定接口的NAS-Port-Type |
在某些组网环境下,依靠VLAN来确定用户的接入位置,网络运营商需要使用NAS-Identifier来标识用户的接入位置。当接口上有Portal用户上线时,若该接口上指定了NAS-ID Profile,则接入设备会根据指定的Profile名字和用户接入的VLAN来获取与此VLAN绑定的NAS-ID,此NAS-ID的值将作为向RADIUS服务器发送的RADIUS请求报文中的NAS-Identifier属性值。
本特性中指定的Profile名字用于标识VLAN和NAS-ID的绑定关系,该绑定关系由AAA中的nas-id id-value bind vlan vlan-id命令生成,有关该命令的具体情况请参见“安全命令参考”中的“AAA”。
在接口上未指定NAS-ID Profile或指定的Profile中没有找到匹配的绑定关系的情况下,使用设备名作为接口的NAS-ID。
表1-17 配置接口的NAS-ID Profile
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建NAS-ID Profile,并进入NAS-ID-Profile视图 |
aaa nas-id profile profile-name |
必选 该命令的具体情况请参见“安全命令参考”中的“AAA” |
设置NAS-ID与VLAN的绑定关系 |
nas-id nas-identifier bind vlan vlan-id |
必选 该命令的具体情况请参见“安全命令参考”中的“AAA” |
退出当前视图 |
quit |
- |
进入接口视图 |
interface interface-type interface-number |
- |
指定接口的NAS-ID Profile |
portal nas-id-profile profile-name |
必选 缺省情况下,未指定NAS-ID Profile |
本特性仅三层Portal认证支持。
通过在使能Portal的接口上配置发送Portal报文使用的源地址,可以保证接入设备以此IP地址为源地址向Portal服务器发送报文,且Portal服务器向接入设备回应的报文以此IP地址为目的地址。
表1-18 配置接口发送Portal报文使用的源地址
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置接口发送Portal报文使用的源地址 |
portal nas-ip { ipv4-address | ipv6 ipv6-address } |
可选 缺省情况下,未指定接口发送Portal报文使用的源地址,即以接入用户的接口地址作为发送Portal报文的源地址 在NAT组网环境下,此地址建议配置为接口的公网IP地址 |
本特性仅三层Portal认证支持。
为实现Portal支持双机热备,在保证实现业务流量切换的VRRP机制工作正常的前提下,还需要完成以下配置任务:
· 指定备份Portal业务所涉及的接口,(与传输状态协商报文和备份数据的备份接口相区别)本文简称为业务备份接口,并在该业务备份接口上使能Portal。
· 配置业务备份接口所属的Portal备份组,两台设备上有备份关系的业务备份接口属于同一个Portal备份组。
· 配置双机热备模式下的设备ID,保证设备上用户的全局唯一性,该设备ID必须不同于对端的设备ID。
· 配置设备发送RADIUS报文的备份源IP地址,使得对端设备也能够收到服务器发送的报文。备份源IP地址必须指定为对端设备发送RADIUS报文使用的源IP地址。(此配置可选)
· 指定备份VLAN,并使能双机热备功能,相关配置请参考“可靠性配置指导”的“双机热备”。
对端设备上也需要完成以上配置,才能保证双机热备环境下的Portal业务备份正常进行。
当双机工作状态由独立运行状态转换为同步运行状态,且Portal备份组已生效时,两台设备上已经上线的Portal用户数据会开始进行相互的备份。
表1-19 配置Portal支持双机热备
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置业务备份接口所属的Portal备份组 |
portal backup-group group-id |
必选 缺省情况下,业务备份接口不属于任何Portal备份组 相互备份的两台设备上业务备份接口所属的Portal备份组必须相同 |
退回系统视图 |
quit |
- |
配置双机热备模式下的设备ID |
nas device-id device-id |
必选 缺省情况下,设备运行在单机模式下,无设备ID 具体配置请参考“安全命令参考”中的“AAA” |
指定设备发送RADIUS报文使用的备份源IP地址 |
radius nas-backup-ip ip-address [ vpn-instance vpn-instance-name ] |
二者可选其一 缺省情况下,未指定发送RADIUS报文使用的备份源IP地址 若将设备发送RADIUS报文使用的源IP地址指定为VRRP上行链路所在备份组的虚拟IP地址,则不需要本配置 具体配置请参考“安全命令参考”中的“AAA” |
radius scheme radius-scheme-name nas-backup-ip ip-address |
· 双机热备模式下,设备不支持业务备份接口使能二次地址方式的Portal认证。
· 工作于双机热备模式下的任何一台设备上的用户被强制下线,都会导致另外一台设备上的相同用户信息同时被删除。设备和Portal服务器上均可执行强制用户下线操作,例如,设备上可通过执行命令cut connetion、portal delete-user来强制用户下线。
· 互为备份的两台设备上的AAA及Portal的相关配置必须保持一致,比如两台设备上都必须配置相同的Portal服务器。
· 由于配置或改变设备的设备ID会导致设备上所有在线用户被强制下线,因此需慎重操作,并建议该配置成功执行后,保存配置并重启设备。
· 在双机热备运行的情况下,不要删除已配置的备份源IP地址,否则可能会导致备份设备上的在线用户无法收到服务器发送的报文。
在未认证用户登录到Portal认证页面进行认证的情况下,当用户输入正确的认证信息且认证成功后,若设备上指定了认证页面的自动跳转目的网站地址,则认证成功的用户将在一定的时间间隔(由wait-time参数配置)之后被强制登录到该指定的目的网站页面。
表1-20 指定Portal用户认证成功后认证页面的自动跳转目的URL
配置步骤 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
指定Portal用户认证成功后认证页面的自动跳转目的网站地址 |
portal redirect-url url-string [ wait-time period ] |
必选 缺省情况下,用户认证成功后认证页面将会跳转到用户初始访问的网站页面 |
· 对于三层远程Portal认证,该特性需要与支持自动跳转页面功能的iMC Portal服务器配合使用。
· wait-time参数只对本地Portal认证有效,对于远程Portal认证无效。
· 本地Portal认证时,若用户初始访问的页面URL长度超过255个字符,则在未指定跳转目的网站地址的情况下,用户认证成功之后的认证页面无法返回到初始页面。
本特性仅二层Portal认证支持。
二层端口上有Portal用户上线后,设备会启动一个用户在线检测定时器,定期对该端口上的所有在线用户的MAC地址表项进行检测,查看定时器超时前该用户是否有报文发送到设备上(该用户MAC地址表项是否被命中过),来确认该用户是否在线,以便及时发现异常离线用户。若发现某用户MAC地址表项已经被老化或检测间隔内未收到过该用户的报文,则认为一次检测失败,连续两次检测失败后,设备会强制该用户下线。
表1-21 配置二层Portal用户在线检测时间间隔
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置二层Portal用户在线检测时间间隔 |
portal offline-detect interval offline-detect-interval |
必选 缺省情况下,二层Portal用户在线检测时间间隔为300秒 |
本特性仅三层Portal认证支持。
在Portal认证的过程中,如果接入设备与Portal服务器的通信中断,则会导致新用户无法上线,已经在线的Portal用户无法正常下线的问题。为解决这些问题,需要接入设备能够及时探测到Portal服务器可达状态的变化,并能触发执行相应的操作来应对这种变化带来的影响。例如,当接入设备发现Portal服务器不可达时,可打开网络限制,允许Portal用户不需经过认证即可访问网络资源,也就是通常所说的Portal逃生功能,该功能为一种灵活的用户接入方案。
通过配置本特性,设备可以对指定Portal服务器的可达状态进行探测,具体配置包括如下几项:
(1) 探测方式(可以选择其中一种或同时使用两种)
· 探测HTTP连接:接入设备定期向Portal服务器的HTTP服务端口发起TCP连接,若连接成功建立则表示此服务器的HTTP服务已开启,就认为一次探测成功且服务器可达。若连接失败则认为一次探测失败。
· 探测Portal心跳报文:支持Portal逃生心跳功能的Portal服务器(目前仅iMC支持)会定期向接入设备发送Portal心跳报文,设备通过检测此报文来判断服务器的可达状态:若设备在指定的周期内收到Portal心跳报文或者其它认证报文,且验证其正确,则认为此次探测成功且服务器可达,否则认为此次探测失败。
(2) 探测参数
· 探测间隔:进行探测尝试的时间间隔。
· 失败探测的最大次数:允许连续探测失败的最大次数。若连续探测失败数目达到此值,则认为服务器不可达。
(3) 可达状态改变时触发执行的操作(可以选择其中一种或同时使用多种)
· 发送Trap:Portal服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息。Trap信息中记录了Portal服务器名以及该服务器的当前状态。
· 发送日志:Portal服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal服务器名以及该服务器状态改变前后的状态。
· 打开网络限制(Portal逃生):Portal服务器不可达时,暂时取消端口进行的Portal认证,允许该端口接入的所有Portal用户访问网络资源。之后,若设备收到Portal服务器的心跳报文,或者收到其它认证报文(上线报文、下线报文等),则恢复该端口的Portal认证功能。
对于以上配置项,可根据实际情况进行组合使用,但需要注意以下几点:
· 如果同时指定了两种探测方式,则只要使用任何一种探测方式进行探测的失败次数达到最大值就认为服务器不可达。在服务器不可达状态下,只有使用两种探测方式的探测都成功才能认为服务器恢复为可达状态。
· 如果同时指定了多种操作,则Portal服务器可达状态改变时系统可并发执行多种操作。
· 对指定Portal服务器配置的探测功能,只有接口上使能了Portal认证并引用该Portal服务器之后才能生效。
表1-22 配置Portal服务器探测功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置对Portal服务器的探测功能 |
portal server server-name server-detect method { http | portal-heartbeat } * action { log | permit-all | trap } * [ interval interval ] [ retry retries ] |
必选 缺省情况下,未配置对Portal服务器的探测功能 本命令中指定的Portal服务器必须已经存在 |
只有对于支持Portal逃生心跳功能(目前仅iMC的Portal服务器支持)的Portal服务器,portal-heartbeat类型的探测方法才有效。为了配合此类型的探测,还需要在Portal服务器上选择支持逃生心跳功能,并要求此处的interval与retry参数值的乘积大于等于Portal服务器上的逃生心跳间隔时长,其中interval取值最好大于Portal服务器的逃生间隔时长。
本特性仅三层Portal认证支持。
为了解决接入设备与Portal服务器通信中断后,两者的Portal用户信息不一致问题,设备提供了一种Portal用户信息同步功能。该功能利用了Portal同步报文的发送及检测机制,具体实现如下:
(1) 由Portal服务器周期性地(周期为Portal服务器上指定的用户心跳间隔值)将在线用户信息通过用户同步报文发送给接入设备;
(2) 接入设备检测到该用户同步报文后,将其中携带的用户信息与自己的用户信息进行对比,如果发现同步报文中有设备上不存在的用户信息,则将这些自己没有的用户信息反馈给Portal 服务器,Portal服务器将删除这些用户信息;如果发现接入设备上的某用户信息在连续N(N为retry参数的取值)个周期内,都未在该Portal服务器发送过来的用户同步报文中出现过,则认为Portal服务器上已不存在该用户,设备将强制该用户下线。
表1-23 配置Portal用户同步功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置Portal用户同步功能 |
portal server server-name user-sync [ interval interval ] [ retry retries ] |
必选 缺省情况下,未配置Portal用户同步功能 本命令中指定的Portal服务器必须已经存在 只有在指定的Portal服务器已经在接口上使能的情况下,本功能才能生效 |
· 只有在支持Portal用户心跳功能(目前仅iMC的Portal服务器支持)的Portal服务器的配合下,本功能才有效。为了实现该功能,还需要在Portal服务器上选择支持用户心跳功能,并要求此处的interval与retry参数值的乘积应该大于等于Portal服务器上的用户心跳间隔时长,其中interval取值最好大于Portal服务器的用户心跳间隔时长。
· 对于设备上多余的用户信息,即在N个周期后被判定为Portal服务器上已不存在的用户信息,设备会在第N+1个周期内的某时刻将其删除掉。
通过配置强制用户下线可以终止对指定IP地址用户的认证过程,或者将已经通过认证的指定IP地址的用户删除。
表1-24 配置强制用户下线
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
强制接入设备上的用户下线 |
portal delete-user { ipv4-address | all | interface interface-type interface-number | ipv6 ipv6-address } |
必选 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后Portal的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除Portal统计信息。
表1-25 Portal显示和维护
操作 |
命令 |
显示接口上Portal的ACL信息 |
display portal acl { all | dynamic | static } interface interface-type interface-number [ | { begin | exclude | include } regular-expression ] |
显示接口上Portal的连接统计信息 |
display portal connection statistics { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ] |
显示Portal的免认证规则信息 |
display portal free-rule [ rule-number ] [ | { begin | exclude | include } regular-expression ] |
显示指定接口的Portal配置信息 |
display portal interface interface-type interface-number [ | { begin | exclude | include } regular-expression ] |
显示本地Portal服务器信息 |
display portal local-server [ | { begin | exclude | include } regular-expression ] |
显示Portal服务器信息 |
display portal server [ server-name ] [ | { begin | exclude | include } regular-expression ] |
显示接口上Portal服务器的统计信息 |
display portal server statistics { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ] |
显示TCP仿冒统计信息 |
display portal tcp-cheat statistics [ | { begin | exclude | include } regular-expression ] |
显示Portal用户的信息 |
display portal user { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ] |
清除接口上Portal的连接统计信息 |
reset portal connection statistics {all | interface interface-type interface-number } |
清除接口上Portal服务器的统计信息 |
reset portal server statistics { all | interface interface-type interface-number } |
清除TCP仿冒统计信息 |
reset portal tcp-cheat statistics |
· 用户主机与接入设备Switch直接相连,采用直接方式的Portal认证。用户通过手工配置或DHCP获取的一个公网IP地址进行认证,在通过Portal认证前,只能访问Portal服务器;在通过Portal认证后,可以使用此IP地址访问非受限互联网资源。
· 采用RADIUS服务器作为认证/计费服务器。
图1-10 配置Portal直接认证组网图
· 按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。
· 完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。
(1) 配置Portal server(iMC PLAT 5.0)
下面以iMC为例(使用iMC版本为:iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)),说明Portal server的基本配置。
# 配置Portal服务器。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[Portal服务器管理/服务器配置]菜单项,进入服务器配置页面。
· 根据实际组网情况调整以下参数,本例中使用缺省配置。
图1-11 Portal服务器配置页面
# 配置IP地址组。
单击导航树中的[Portal服务器管理/IP地址组配置]菜单项,进入Portal IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。
· 填写IP地址组名;
· 输入起始地址和终止地址。用户主机IP地址必须包含在该IP地址组范围内;
· 选择业务分组,本例中使用缺省的“未分组”;
· 选择IP地址组的类型为“普通”。
图1-12 增加IP地址组配置页面
# 增加Portal设备。
单击导航树中的[Portal服务器管理/设备配置]菜单项,进入Portal设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。
· 填写设备名;
· 指定IP地址为与接入用户相连的设备接口IP;
· 输入密钥,与接入设备Switch上的配置保持一致;
· 选择是否进行二次地址分配,本例中为直接认证,因此为否;
· 选择是否支持逃生心跳功能和用户心跳功能,本例中不支持。
图1-13 增加设备信息配置页面
# Portal设备关联IP地址组
在Portal设备配置页面中的设备信息列表中,点击NAS设备的<端口组信息管理>链接,进入端口组信息配置页面。
图1-14 设备信息列表
在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。
· 填写端口组名;
· 选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组;
· 其它参数采用缺省值。
图1-15 增加端口组信息配置页面
# 最后单击导航树中的[业务参数配置/系统配置手工生效]菜单项,使以上Portal服务器配置生效。
(2) 配置Switch
· 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
<Switch> system-view
[Switch] radius scheme rs1
# 配置RADIUS方案的服务器类型。使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended。
[Switch-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Switch-radius-rs1] primary authentication 192.168.0.112
[Switch-radius-rs1] primary accounting 192.168.0.112
[Switch-radius-rs1] key authentication simple radius
[Switch-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Switch-radius-rs1] user-name-format without-domain
[Switch-radius-rs1] quit
· 配置认证域
# 创建并进入名字为dm1的ISP域。
[Switch] domain dm1
# 配置ISP域的AAA方法。
[Switch-isp-dm1] authentication portal radius-scheme rs1
[Switch-isp-dm1] authorization portal radius-scheme rs1
[Switch-isp-dm1] accounting portal radius-scheme rs1
[Switch-isp-dm1] quit
# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
[Switch] domain default enable dm1
· 配置Portal认证
# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为明文portal,端口为50100,URL为http://192.168.0.111:8080/portal。(Portal服务器的URL请与实际环境中的Portal服务器配置保持一致,此处仅为示例)
[Switch] portal server newpt ip 192.168.0.111 key simple portal port 50100 url http://192.168.0.111:8080/portal
# 在与用户Host相连的接口上使能Portal认证。
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] portal server newpt method direct
[Switch] quit
· 用户主机与接入设备Switch直接相连,采用二次地址分配方式的Portal认证。用户通过DHCP服务器获取IP地址,Portal认证前使用分配的一个私网地址;通过Portal认证后,用户申请到一个公网地址,才可以访问非受限互联网资源。
· 采用RADIUS服务器作为认证/计费服务器。
图1-16 配置Portal二次地址分配认证组网图
· Portal二次地址分配认证方式应用中,DHCP服务器上需创建公网地址池(20.20.20.0/24)及私网地址池(10.0.0.0/24),具体配置略。
· Portal二次地址分配认证方式应用中,接入设备需要配置DHCP中继来配合Portal认证,且启动Portal的接口需要配置主IP地址(公网IP)及从IP地址(私网IP)。关于DHCP中继的详细配置请参见“三层技术-IP业务配置指导”中的“DHCP中继”。
· 请保证在Portal服务器上添加的Portal设备的IP地址为与用户相连的接口的公网IP地址(20.20.20.1),且与该Portal设备关联的IP地址组中的转换前地址为用户所在的私网网段(10.0.0.0/24)、转换后地址为公网网段(20.20.20.0/24)。
· 按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。
· 完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。
在Switch上进行以下配置。
(1) 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
<Switch> system-view
[Switch] radius scheme rs1
# 配置RADIUS方案的服务器类型。使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended。
[Switch-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Switch-radius-rs1] primary authentication 192.168.0.113
[Switch-radius-rs1] primary accounting 192.168.0.113
[Switch-radius-rs1] key authentication simple radius
[Switch-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Switch-radius-rs1] user-name-format without-domain
[Switch-radius-rs1] quit
(2) 配置认证域
# 创建并进入名字为dm1的ISP域。
[Switch] domain dm1
# 配置ISP域的AAA方法。
[Switch-isp-dm1] authentication portal radius-scheme rs1
[Switch-isp-dm1] authorization portal radius-scheme rs1
[Switch-isp-dm1] accounting portal radius-scheme rs1
[Switch-isp-dm1] quit
# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
[Switch] domain default enable dm1
(3) 配置Portal认证
# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为明文portal,端口为50100,URL为http://192.168.0.111:8080/portal(请根据Portal服务器的实际情况配置,此处仅为示例)。
[Switch] portal server newpt ip 192.168.0.111 key simple portal port 50100 url http://192.168.0.111:8080/portal
# 配置DHCP中继,并启动DHCP中继的安全地址匹配检查功能。
[Switch] dhcp enable
[Switch] dhcp relay server-group 0 ip 192.168.0.112
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] ip address 20.20.20.1 255.255.255.0
[Switch–Vlan-interface100] ip address 10.0.0.1 255.255.255.0 sub
[Switch-Vlan-interface100] dhcp select relay
[Switch-Vlan-interface100] dhcp relay server-select 0
[Switch-Vlan-interface100] dhcp relay address-check enable
# 在与用户Host相连的接口上使能Portal认证。
[Switch–Vlan-interface100] portal server newpt method redhcp
[Switch–Vlan-interface100] quit
Switch A支持Portal认证功能。用户Host通过Switch B接入到Switch A。
· 配置Switch A采用可跨三层Portal认证。用户在未通过Portal认证前,只能访问Portal服务器;用户通过Portal认证后,可以访问非受限互联网资源。
· 采用RADIUS服务器作为认证/计费服务器。
图1-17 配置可跨三层Portal认证组网图
· 请保证在Portal服务器上添加的Portal设备的IP地址为与用户相连的接口IP地址(20.20.20.1),且与该Portal设备关联的IP地址组为用户所在网段(8.8.8.0/24)。
· 按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。
· 完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。
在Switch A上进行以下配置。
(1) 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
<SwitchA> system-view
[SwitchA] radius scheme rs1
# 配置RADIUS方案的服务器类型。使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended。
[SwitchA-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[SwitchA-radius-rs1] primary authentication 192.168.0.112
[SwitchA-radius-rs1] primary accounting 192.168.0.112
[SwitchA-radius-rs1] key authentication simple radius
[SwitchA-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[SwitchA-radius-rs1] user-name-format without-domain
[SwitchA-radius-rs1] quit
(2) 配置认证域
# 创建并进入名字为dm1的ISP域。
[SwitchA] domain dm1
# 配置ISP域的AAA方法。
[SwitchA-isp-dm1] authentication portal radius-scheme rs1
[SwitchA-isp-dm1] authorization portal radius-scheme rs1
[SwitchA-isp-dm1] accounting portal radius-scheme rs1
[SwitchA-isp-dm1] quit
# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
[SwitchA] domain default enable dm1
(3) 配置Portal认证
# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为明文portal,端口为50100,URL为http://192.168.0.111:8080/portal(请根据Portal服务器的实际情况配置,此处仅为示例)。
[SwitchA] portal server newpt ip 192.168.0.111 key simple portal port 50100 url http://192.168.0.111:8080/portal
# 在与Switch B相连的接口上使能Portal认证。
[SwitchA] interface vlan-interface 4
[SwitchA–Vlan-interface4] portal server newpt method layer3
[SwitchA–Vlan-interface4] quit
Switch B上需要配置到192.168.0.0/24网段的缺省路由,下一跳为20.20.20.1,具体配置略。
· 用户主机与接入设备Switch直接相连,采用直接方式的Portal认证。用户通过手工配置或DHCP获取的一个公网IP地址进行认证,在通过身份认证而没有通过安全认证时可以访问192.168.0.0/24网段;在通过安全认证后,可以访问非受限互联网资源。
· 采用RADIUS服务器作为认证/计费服务器。
图1-18 配置Portal直接认证扩展功能组网图
· 按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。
· 完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。
在Swtich上进行以下配置。
(1) 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
<Switch> system-view
[Switch] radius scheme rs1
# 配置RADIUS方案的服务器类型。使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended。
[Switch-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Switch-radius-rs1] primary authentication 192.168.0.112
[Switch-radius-rs1] primary accounting 192.168.0.112
[Switch-radius-rs1] key accounting simple radius
[Switch-radius-rs1] key authentication simple radius
[Switch-radius-rs1] user-name-format without-domain
# 配置RADIUS方案的安全策略服务器。
[Switch-radius-rs1] security-policy-server 192.168.0.113
[Switch-radius-rs1] quit
(2) 配置认证域
# 创建并进入名字为dm1的ISP域。
[Switch] domain dm1
# 配置ISP域的AAA方法。
[Switch-isp-dm1] authentication portal radius-scheme rs1
[Switch-isp-dm1] authorization portal radius-scheme rs1
[Switch-isp-dm1] accounting portal radius-scheme rs1
[Switch-isp-dm1] quit
# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
[Switch] domain default enable dm1
(3) 配置受限资源对应的ACL为3000,非受限资源对应的ACL为3001
安全策略服务器上需要将ACL 3000和ACL 3001分别指定为隔离ACL和安全ACL。
[Switch] acl number 3000
[Switch-acl-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255
[Switch-acl-adv-3000] rule deny ip
[Switch-acl-adv-3000] quit
[Switch] acl number 3001
[Switch-acl-adv-3001] rule permit ip
[Switch-acl-adv-3001] quit
(4) 配置Portal认证
# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为明文portal,端口为50100,URL为http://192.168.0.111:8080/portal(请根据Portal服务器的实际情况配置,此处仅为示例)。
[Switch] portal server newpt ip 192.168.0.111 key simple portal port 50100 url http://192.168.0.111:8080/portal
# 在与用户Host相连的接口上使能Portal认证。
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] portal server newpt method direct
[Switch] quit
· 用户主机与接入设备Switch直接相连,采用二次地址分配方式的Portal认证。用户通过DHCP服务器获取IP地址,Portal认证前使用分配的一个私网地址;通过Portal认证后,用户申请到一个公网地址。
· 用户在通过身份认证而没有通过安全认证时可以访问192.168.0.0/24网段;用户通过安全认证后,可以访问非受限互联网资源。
· 采用RADIUS服务器作为认证/计费服务器。
图1-19 配置Portal二次地址分配认证扩展功能组网图
· Portal二次地址分配认证方式应用中,DHCP服务器上需创建公网地址池(20.20.20.0/24)及私网地址池(10.0.0.0/24),具体配置略。
· Portal二次地址分配认证方式应用中,接入设备需要配置DHCP中继来配合Portal认证,且启动Portal的接口需要配置主IP地址(公网IP)及从IP地址(私网IP)。关于DHCP中继的详细配置请参见“三层技术-IP业务配置指导”中的“DHCP中继”。
· 请保证在Portal服务器上添加的Portal设备的IP地址为与用户相连的接口的公网IP地址(20.20.20.1),且与该Portal设备关联的IP地址组中的转换前地址为用户所在的私网网段(10.0.0.0/24)、转换后地址为公网网段(20.20.20.0/24)。
· 按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。
· 完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。
在Switch上进行以下配置。
(1) 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
<Switch> system-view
[Switch] radius scheme rs1
# 配置RADIUS方案的服务器类型。使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended。
[Switch-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Switch-radius-rs1] primary authentication 192.168.0.113
[Switch-radius-rs1] primary accounting 192.168.0.113
[Switch-radius-rs1] key accounting simple radius
[Switch-radius-rs1] key authentication simple radius
[Switch-radius-rs1] user-name-format without-domain
# 配置RADIUS方案的安全策略服务器。
[Switch-radius-rs1] security-policy-server 192.168.0.114
[Switch-radius-rs1] quit
(2) 配置认证域
# 创建并进入名字为dm1的ISP域。
[Switch] domain dm1
# 配置ISP域的AAA方法。
[Switch-isp-dm1] authentication portal radius-scheme rs1
[Switch-isp-dm1] authorization portal radius-scheme rs1
[Switch-isp-dm1] accounting portal radius-scheme rs1
[Switch-isp-dm1] quit
# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
[Switch] domain default enable dm1
(3) 配置受限资源对应的ACL为3000,非受限资源对应的ACL为3001
安全策略服务器上需要将ACL 3000和ACL 3001分别指定为隔离ACL和安全ACL。
[Switch] acl number 3000
[Switch-acl-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255
[Switch-acl-adv-3000] rule deny ip
[Switch-acl-adv-3000] quit
[Switch] acl number 3001
[Switch-acl-adv-3001] rule permit ip
[Switch-acl-adv-3001] quit
(4) 配置Portal认证
# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为明文portal,端口为50100,URL为http://192.168.0.111:8080/portal(请根据Portal服务器的实际情况配置,此处仅为示例)。
[Switch] portal server newpt ip 192.168.0.111 key simple portal port 50100
url http://192.168.0.111:8080/portal
# 配置DHCP中继,并启动DHCP中继的安全地址匹配检查功能。
[Switch] dhcp enable
[Switch] dhcp relay server-group 0 ip 192.168.0.112
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] ip address 20.20.20.1 255.255.255.0
[Switch–Vlan-interface100] ip address 10.0.0.1 255.255.255.0 sub
[Switch-Vlan-interface100] dhcp select relay
[Switch-Vlan-interface100] dhcp relay server-select 0
[Switch-Vlan-interface100] dhcp relay address-check enable
# 在与用户Host相连的接口上使能Portal认证。
[Switch–Vlan-interface100] portal server newpt method redhcp
[Switch–Vlan-interface100] quit
Switch A支持Portal认证功能。用户Host通过Switch B接入到Switch A。
· 配置Switch A采用可跨三层Portal认证。用户在通过身份认证而没有通过安全认证时可以访问192.168.0.0/24网段;在通过安全认证后,可以访问非受限互联网资源。
· 采用RADIUS服务器作为认证/计费服务器。
图1-20 配置可跨三层Portal认证扩展功能组网图
· 请保证在Portal服务器上添加的Portal设备的IP地址为与用户相连的接口IP地址(20.20.20.1),且与该Portal设备关联的IP地址组为用户所在网段(8.8.8.0/24)。
· 按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。
· 完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。
在Switch A上进行以下配置。
(1) 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
<SwitchA> system-view
[SwitchA] radius scheme rs1
# 配置RADIUS方案的服务器类型。使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended。
[Switch-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[SwitchA-radius-rs1] primary authentication 192.168.0.112
[SwitchA-radius-rs1] primary accounting 192.168.0.112
[SwitchA-radius-rs1] key accounting simple radius
[SwitchA-radius-rs1] key authentication simple radius
[SwitchA-radius-rs1] user-name-format without-domain
# 配置RADIUS方案的安全策略服务器。
[SwitchA-radius-rs1] security-policy-server 192.168.0.113
[SwitchA-radius-rs1] quit
(2) 配置认证域
# 创建并进入名字为dm1的ISP域。
[SwitchA] domain dm1
# 配置ISP域的AAA方法。
[SwitchA-isp-dm1] authentication portal radius-scheme rs1
[SwitchA-isp-dm1] authorization portal radius-scheme rs1
[SwitchA-isp-dm1] accounting portal radius-scheme rs1
[SwitchA-isp-dm1] quit
# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
[SwitchA] domain default enable dm1
(3) 配置受限资源对应的ACL为3000,非受限资源对应的ACL为3001
安全策略服务器上需要将ACL 3000和ACL 3001分别指定为隔离ACL和安全ACL。
[SwitchA] acl number 3000
[SwitchA-acl-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255
[SwitchA-acl-adv-3000] rule deny ip
[SwitchA-acl-adv-3000] quit
[SwitchA] acl number 3001
[SwitchA-acl-adv-3001] rule permit ip
[SwitchA-acl-adv-3001] quit
(4) 配置Portal认证
# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为明文portal,端口为50100,URL为http://192.168.0.111:8080/portal(请根据Portal服务器的实际情况配置,此处仅为示例)。
[SwitchA] portal server newpt ip 192.168.0.111 key simple portal port 50100 url http://192.168.0.111:8080/portal
# 在与Switch B相连的接口上使能Portal认证。
[SwitchA] interface vlan-interface 4
[SwitchA–Vlan-interface4] portal server newpt method layer3
[SwitchA–Vlan-interface4] quit
Switch B上需要配置到192.168.0.0/24网段的缺省路由,下一跳为20.20.20.1,具体配置略。
接入设备Switch A和Switch B之间存在备份链路,使用VRRP协议实现双机热备的流量切换,且两台设备均支持Portal认证功能。现要求Switch A和Switch B支持双机热备运行情况下的Portal用户数据备份,具体为:
· Switch A正常工作的情况下,Host通过Switch A进行Portal认证接入到外网。Switch A发生故障的情况下,Host通过Switch B接入到外网,并且在VRRP监视上行链路接口功能的配合下,保证业务流量切换不被中断。
· 采用RADIUS服务器作为认证/计费服务器。(本例中Portal服务器和RADIUS服务器的功能均由Server实现)
· Switch A和Switch B之间通过单独的链路传输双机热备报文,且指定专用于双机热备的VLAN为VLAN 8。
图1-21 配置Portal支持双机热备组网图
· 按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。
· 保证启动Portal之前主机可以分别通过Switch A和Switch B访问认证服务器。
· 配置VRRP备份组1和VRRP备份组2分别实现下行、上行链路的备份。VRRP配置的相关介绍请参见“可靠性配置指导”中的“VRRP”。
· 双机热备配置的相关介绍请参见“可靠性配置指导”中的“双机热备”。
(1) 配置Portal服务器(iMC PLAT 5.0)
下面以iMC为例(使用iMC版本为:iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)),说明Portal server的基本配置。
# 配置Portal服务器。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[Portal服务器管理/服务器配置]菜单项,进入服务器配置页面。
· 根据实际组网情况调整以下参数,本例中使用缺省配置。
图1-22 Portal服务器配置页面
# 配置IP地址组。
单击导航树中的[Portal服务器管理/IP地址组配置]菜单项,进入Portal IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。
· 填写IP地址组名;
· 输入起始地址和终止地址。用户主机IP地址必须包含在该IP地址组范围内;
· 选择业务分组,本例中使用缺省的“未分组”;
· 选择IP地址组的类型为“普通”。
图1-23 增加IP地址组配置页面
# 增加Portal设备。
单击导航树中的[Portal服务器管理/设备配置]菜单项,进入Portal设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。
· 填写设备名;
· 指定主机IP地址为使能Portal的接口所在的VRRP组的虚拟IP地址;
· 输入密钥,与接入设备Switch上的配置保持一致;
· 选择是否进行二次地址分配,本例中为直接认证,因此为否;
· 选择是否支持逃生心跳功能和用户心跳功能,本例中不支持。
图1-24 增加设备信息配置页面
# Portal设备关联IP地址组
在Portal设备配置页面中的设备信息列表中,点击NAS设备的<端口组信息管理>链接,进入端口组信息配置页面。
图1-25 设备信息列表
在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。
· 填写端口组名;
· 选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组;
· 其它参数采用缺省值。
图1-26 增加端口组信息配置页面
# 最后单击导航树中的[业务参数配置/系统配置手工生效]菜单项,使以上Portal服务器配置生效。
(2) 配置Switch A
· 配置VRRP
# 创建VRRP备份组1,并配置VRRP备份组1的虚拟IP地址为9.9.1.1。
<SwitchA> system-view
[SwitchA] interface vlan-interface 10
[SwitchA–Vlan-interface10] vrrp vrid 1 virtual-ip 9.9.1.1
# 配置VLAN接口10在VRRP备份组1中的优先级为200。
[SwitchA–Vlan-interface10] vrrp vrid 1 priority 200
# 在VLAN接口10上配置监视VLAN接口20,当VLAN接口20状态为Down或Removed时,VLAN接口10在备份组1中的优先级降低150。
[SwitchA–Vlan-interface10] vrrp vrid 1 track interface vlan-interface20 reduced 150
[SwitchA–Vlan-interface10] quit
# 创建VRRP备份组2,并配置VRRP备份组2的虚拟IP地址为192.168.0.1。
[SwitchA] interface vlan-interface 20
[SwitchA–Vlan-interface20] vrrp vrid 2 virtual-ip 192.168.0.1
# 配置VLAN接口20在VRRP备份组2中的优先级为200。
[SwitchA–Vlan-interface20] vrrp vrid 2 priority 200
# 在VLAN接口20上配置监视VLAN接口10,当VLAN接口10状态为Down或Removed时,VLAN接口20在备份组2中的优先级降低150。
[SwitchA–Vlan-interface20] vrrp vrid 2 track interface vlan-interface10 reduced 150
[SwitchA–Vlan-interface20] quit
· 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
[SwitchA] radius scheme rs1
# 配置RADIUS方案的服务器类型。使用iMC服务器时,RADIUS服务器类型应选择extended。
[SwitchA-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[SwitchA-radius-rs1] primary authentication 192.168.0.111
[SwitchA-radius-rs1] primary accounting 192.168.0.111
[SwitchA-radius-rs1] key authentication simple expert
[SwitchA-radius-rs1] key accounting simple expert
# 配置发送给RADIUS服务器的用户名不携带ISP域名。(可选,请根据实际应用需求调整)
[SwitchA-radius-rs1] user-name-format without-domain
[SwitchA-radius-rs1] quit
· 配置认证域
# 创建并进入名字为dm1的ISP域。
[SwitchA] domain dm1
# 配置ISP域的AAA方法。
[SwitchA-isp-dm1] authentication portal radius-scheme rs1
[SwitchA-isp-dm1] authorization portal radius-scheme rs1
[SwitchA-isp-dm1] accounting portal radius-scheme rs1
[SwitchA-isp-dm1] quit
# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
[SwitchA] domain default enable dm1
· 配置接口使能Portal
# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为明文portal,端口为50100,URL为http://192.168.0.111:8080/portal。(Portal服务器的URL请与实际环境中的Portal服务器配置保持一致,此处仅为示例)
[SwitchA] portal server newpt ip 192.168.0.111 key simple portal port 50100 url http://192.168.0.111:8080/portal
# 在与用户Host相连的接口上使能Portal认证。
[SwitchA] interface vlan-interface 10
[SwitchA–Vlan-interface10] portal server newpt method layer3
# 指定发送Portal报文的源IP地址为VRRP组1的虚拟IP地址9.9.1.1。
[SwitchA–Vlan-interface10] portal nas-ip 9.9.1.1
· 配置Portal支持双机热备
# 配置VLAN接口10属于Portal备份组1。
[SwitchA–Vlan-interface10] portal backup-group 1
[SwitchA–Vlan-interface10] quit
# 配置双机热备模式下的设备ID为1。
[SwitchA] nas device-id 1
# 配置发送RADIUS报文的源IP地址为VRRP组2的虚拟IP地址192.168.0.1。
[SwitchA] radius nas-ip 192.168.0.1
请保证RADIUS服务器上成功添加了IP地址为192.168.0.1的接入设备。
· 配置双机热备
# 配置备份VLAN为VLAN 8。
[SwitchA] dhbk vlan 8
# 使能双机热备功能,且支持对称路径。
[SwitchA] dhbk enable backup-type symmetric-path
(3) 配置Switch B
· 配置VRRP
# 创建VRRP备份组1,并配置VRRP备份组1的虚拟IP地址为9.9.1.1。
<SwitchB> system-view
[SwitchB] interface vlan-interface 10
[SwitchB–Vlan-interface10] vrrp vrid 1 virtual-ip 9.9.1.1
# 配置VLAN接口10在VRRP备份组1中的优先级为150。
[SwitchB–Vlan-interface10] vrrp vrid 1 priority 150
[SwitchB–Vlan-interface10] quit
# 创建VRRP备份组2,并配置VRRP备份组2的虚拟IP地址为192.168.0.1。
[SwitchB] interface vlan-interface 20
[SwitchB–Vlan-interface20] vrrp vrid 2 virtual-ip 192.168.0.1
# 配置VLAN接口20在VRRP备份组2中的优先级为150。
[SwitchB–Vlan-interface20] vrrp vrid 2 priority 150
[SwitchB–Vlan-interface20] quit
· 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
[SwitchA] radius scheme rs1
# 配置RADIUS方案的服务器类型。使用iMC服务器时,RADIUS服务器类型应选择extended。
[SwitchB-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[SwitchB-radius-rs1] primary authentication 192.168.0.111
[SwitchB-radius-rs1] primary accounting 192.168.0.111
[SwitchB-radius-rs1] key authentication simple expert
[SwitchB-radius-rs1] key accounting simple expert
# 配置发送给RADIUS服务器的用户名不携带ISP域名。(可选,请根据实际应用需求调整)
[SwitchB-radius-rs1] user-name-format without-domain
[SwitchB-radius-rs1] quit
· 配置认证域
# 创建并进入名字为dm1的ISP域。
[SwitchB] domain dm1
# 配置ISP域的AAA方法。
[SwitchB-isp-dm1] authentication portal radius-scheme rs1
[SwitchB-isp-dm1] authorization portal radius-scheme rs1
[SwitchB-isp-dm1] accounting portal radius-scheme rs1
[SwitchB-isp-dm1] quit
# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
[SwitchB] domain default enable dm1
· 配置接口使能Portal
# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为明文portal,端口为50100,URL为http://192.168.0.111:8080/portal。(Portal服务器的URL请与实际环境中的Portal服务器配置保持一致,此处仅为示例)
[SwitchB] portal server newpt ip 192.168.0.111 key simple portal port 50100 url http://192.168.0.111:8080/portal
# 在与用户Host相连的接口上使能Portal认证。
[SwitchB] interface vlan-interface 10
[SwitchB–Vlan-interface10] portal server newpt method layer3
# 指定发送Portal报文的源IP地址为VRRP组1的虚拟IP地址9.9.1.1。
[SwitchA–Vlan-interface10] portal nas-ip 9.9.1.1
· 配置Portal支持双机热备
# 配置VLAN接口10属于Portal备份组1。
[SwitchB–Vlan-interface10] portal backup-group 1
[SwitchB–Vlan-interface10] quit
# 配置双机热备模式下的设备ID为2。
[SwitchB] nas device-id 2
# 配置发送RADIUS报文的源IP地址为VRRP组2的虚拟IP地址192.168.0.1。
[SwitchB] radius nas-ip 192.168.0.1
请保证RADIUS服务器上成功添加了IP地址为192.168.0.1的接入设备。
· 配置双机热备
# 配置备份VLAN为VLAN 8。
[SwitchB] dhbk vlan 8
# 使能双机热备功能。
[SwitchB] dhbk enable backup-type symmetric-path
# 用户Host从Switch A成功上线后,在Switch A和Switch B上均可以通过命令display portal user查看该用户的认证情况。
[SwitchA] display portal user all
Index:3
State:ONLINE
SubState:NONE
ACL:NONE
Work-mode: primary
VPN instance:NONE
MAC IP Vlan Interface
---------------------------------------------------------------------
000d-88f8-0eac 9.9.1.2 10 Vlan-interface10
Total 1 user(s) matched, 1 listed.
[SwitchB] display portal user all
Index:2
State:ONLINE
SubState:NONE
ACL:NONE
Work-mode: secondary
VPN instance:NONE
MAC IP Vlan Interface
---------------------------------------------------------------------
000d-88f8-0eac 9.9.1.2 10 Vlan-interface10
Total 1 user(s) matched, 1 listed.
通过以上显示信息可以看到,Switch A和Switch B上均有Portal用户Host的信息,且Switch A上的用户模式为primary,Switch B上的用户模式为secondary,表示该用户是由Switch A上线并被同步到Switch B上的。
用户主机与接入设备Switch直接相连,通过Portal认证接入网络,并采用RADIUS服务器作为认证/计费服务器。
具体要求如下:
· 用户通过手工配置或DHCP获取的一个公网IP地址进行认证,在通过Portal认证前,只能访问Portal服务器;在通过Portal认证后,可以使用此IP地址访问非受限的互联网资源。
· 接入设备能够探测到Portal服务器是否可达,并输出可达状态变化的Trap信息,在服务器不可达时(例如,网络连接中断、网络设备故障或服务器无法正常提供服务等情况),取消Portal认证,使得用户仍然可以正常访问网络。
· 接入设备能够与服务器定期进行用户信息的同步。
图1-27 Portal服务器探测和用户同步功能配置组网图
(1) 配置Portal服务器,并启动逃生心跳功能和用户心跳功能;
(2) 配置RADIUS服务器,实现正常的认证及计费功能;
(3) 接入设备通过接口Vlan-int100与用户主机直接相连,在该接口上配置直接方式的Portal认证;
(4) 接入设备上配置Portal服务器探测功能,在与Portal服务器的逃生心跳功能的配合下,对Portal服务器的可达状态进行探测;
(5) 接入设备上配置Portal用户同步功能,在与Portal服务器的用户心跳功能的配合下,与Portal服务器上的用户信息进行同步。
· 按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。
· 完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。
(1) 配置Portal服务器(iMC PLAT 5.0)
下面以iMC为例(使用iMC版本为:iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)),说明Portal server的基本配置。
# 配置Portal服务器。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[Portal服务器管理/服务器配置]菜单项,进入服务器配置页面。
· 配置逃生心跳间隔时长及用户心跳间隔时长;
· 其它参数使用缺省配置。
图1-28 Portal服务器配置页面
# 配置IP地址组。
单击导航树中的[Portal服务器管理/IP地址组配置]菜单项,进入Portal IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。
· 填写IP地址组名;
· 输入起始地址和终止地址。用户主机IP地址必须包含在该IP地址组范围内;
· 选择业务分组,本例中使用缺省的“未分组”;
· 选择IP地址组的类型为“普通”。
图1-29 增加IP地址组配置页面
# 增加Portal设备。
单击导航树中的[Portal服务器管理/设备配置]菜单项,进入Portal设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。
· 填写设备名;
· 指定IP地址为与接入用户相连的设备接口IP;
· 输入密钥,与接入设备Switch上的配置保持一致;
· 选择是否进行二次地址分配,本例中为直接认证,因此为否;
· 选择支持逃生心跳功能和用户心跳功能。
图1-30 增加设备信息配置页面
# Portal设备关联IP地址组
在Portal设备配置页面中的设备信息列表中,点击NAS设备的<端口组信息管理>链接,进入端口组信息配置页面。
图1-31 设备信息列表
在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。
· 填写端口组名;
· 选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组;
· 其它参数采用缺省值。
图1-32 增加端口组信息配置页面
# 最后单击导航树中的[业务参数配置/系统配置手工生效]菜单项,使以上Portal服务器配置生效。
(2) 配置Switch
· 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
<Switch> system-view
[Switch] radius scheme rs1
# 配置RADIUS方案的服务器类型。使用iMC服务器时,RADIUS服务器类型应选择extended。
[Switch-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Switch-radius-rs1] primary authentication 192.168.0.112
[Switch-radius-rs1] primary accounting 192.168.0.112
[Switch-radius-rs1] key authentication simple radius
[Switch-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Switch-radius-rs1] user-name-format without-domain
[Switch-radius-rs1] quit
· 配置认证域
# 创建并进入名字为dm1的ISP域。
[Switch] domain dm1
# 配置ISP域的AAA方法。
[Switch-isp-dm1] authentication portal radius-scheme rs1
[Switch-isp-dm1] authorization portal radius-scheme rs1
[Switch-isp-dm1] accounting portal radius-scheme rs1
[Switch-isp-dm1] quit
# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
[Switch] domain default enable dm1
· 使能Portal认证
# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,密钥为明文portal,端口为50100,URL为http://192.168.0.111:8080/portal。(Portal服务器的URL请与实际环境中的Portal服务器配置保持一致,此处仅为示例)
[Switch] portal server newpt ip 192.168.0.111 key simple portal port 50100 url http://192.168.0.111:8080/portal
# 在与用户Host相连的接口上使能Portal认证。
[Switch] interface vlan-interface 100
[Switch–Vlan-interface100] portal server newpt method direct
[Switch–Vlan-interface100] quit
· 配置Portal服务器探测功能
# 配置对Portal服务器newpt的探测功能:探测方式为探测Portal心跳报文,每次探测间隔时间为40秒,若连续二次探测均失败,则发送服务器不可达的Trap信息,并打开网络限制,允许未认证用户访问网络。
[Switch] portal server newpt server-detect method portal-heartbeat action trap permit-all interval 40 retry 2
此处interval与retry的乘积应该大于等于Portal服务器的逃生心跳间隔时长,且推荐interval取值大于Portal服务器的逃生心跳间隔时长。
· 配置Portal用户信息同步功能
# 配置对Portal服务器newpt的Portal用户同步功能,检测用户同步报文的时间间隔为600秒,如果设备中的某用户信息在连续两个探测周期内都未在该Portal服务器发送的同步报文中出现,设备将强制该用户下线。
[Switch] portal server newpt user-sync interval 600 retry 2
此处interval与retry的乘积应该大于等于Portal服务器上的用户心跳间隔时长,且推荐interval取值大于Portal服务器的用户心跳间隔时长。
以上配置完成后,可以通过执行以下命令查看到Portal服务器的状态为Up,说明当前Portal服务器可达。
<Switch> display portal server newpt
Portal server:
1)newpt:
IP : 192.168.0.111
Key : ******
Port : 50100
URL : http://192.168.0.111:8080/portal
Status : Up
之后,若接入设备探测到Portal服务器不可达了,可通过以上显示命令查看到Portal服务器的状态为Down,同时,设备会输出表示服务器不可达的Trap信息“portal server newpt lost”,并取消对该接口接入的用户的Portal认证,使得用户可以直接访问外部网络。
连接客户端的PE设备Switch A对私网VPN 1中的用户Host进行Portal接入认证,RADIUS服务器和Portal服务器位于私网VPN 3中。
· 配置Switch A采用可跨三层Portal认证。用户在通过身份认证后,可以访问非受限网络资源。
· RADIUS服务器和Portal服务器由同一台服务器承担。
图1-33 配置三层Portal认证支持多实例组网图
· 启动Portal之前,需要首先配置MPLS L3VPN功能,通过为VPN 1和VPN 3指定匹配的VPN Target,确保VPN 1和VPN 3可以互通。本例仅介绍客户端PE上接入认证的相关配置,其它配置请参考“MPLS配置指导”中的“MPLS L3VPN”。
· 完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。
在Switch A上进行以下配置。
(1) 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
<SwitchA> system-view
[SwitchA] radius scheme rs1
# 配置RADIUS方案所属的VPN实例为vpn3。
[SwitchA-radius-rs1] vpn-instance vpn3
# 配置RADIUS方案的服务器类型。使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended。
[Switch-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[SwitchA-radius-rs1] primary authentication 192.168.0.111
[SwitchA-radius-rs1] primary accounting 192.168.0.111
[SwitchA-radius-rs1] key accounting simple radius
[SwitchA-radius-rs1] key authentication simple radius
# 配置向RADIUS服务器发送的用户名不携带域名。
[SwitchA-radius-rs1] user-name-format without-domain
# 配置发送RADIUS报文使用的源地址为3.3.0.3。
[SwitchA-radius-rs1] nas-ip 3.3.0.3
[SwitchA-radius-rs1] quit
建议通过命令nas-ip指定设备发送RADIUS报文的源地址,并与服务器上指定的接入设备IP保持一致,避免未指定源地址的情况下,设备选择的源地址与服务器上指定的接入设备IP不一致,而造成认证失败。
(2) 配置认证域
# 创建并进入名字为dm1的ISP域。
[SwitchA] domain dm1
# 配置ISP域的AAA方法。
[SwitchA-isp-dm1] authentication portal radius-scheme rs1
[SwitchA-isp-dm1] authorization portal radius-scheme rs1
[SwitchA-isp-dm1] accounting portal radius-scheme rs1
[SwitchA-isp-dm1] quit
# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
[SwitchA] domain default enable dm1
(3) 配置Portal认证
# 配置Portal服务器:名称为newpt,IP地址为192.168.0.111,所属的VPN为vpn3,密钥为明文portal,端口为50100,URL为http://192.168.0.111:8080/portal。
[SwitchA] portal server newpt ip 192.168.0.111 vpn-instance vpn3 key simple portal port 50100 url http://192.168.0.111:8080/portal
# 在与客户端相连的接口上使能Portal认证。
[SwitchA] interface vlan-interface 3
[SwitchA–Vlan-interface3] portal server newpt method layer3
[SwitchA–Vlan-interface3] quit
以上配置完成后,通过执行命令display portal interface可查看Portal配置是否生效。用户认证通过后,通过执行命令display portal user查看Switch A上生成的Portal在线用户信息。
[SwitchA] display portal user all
Index:2
State:ONLINE
SubState:NONE
ACL:NONE
Work-mode:stand-alone
VPN instance:vpn1
MAC IP Vlan Interface
----------------------------------------------------------------------------
000d-88f7-c268 3.3.0.1 3 Vlan-interface3
Total 1 user(s) matched, 1 listed.
用户主机与接入设备Switch直接相连,接入设备在端口GigabitEthernet1/0/1上对用户进行二层Portal认证。具体要求如下:
· 使用远程RADIUS服务器进行认证、授权和计费;
· 使用远程DHCP服务器为用户分配IP地址;
· 本地Portal认证服务器的监听IP地址为4.4.4.4,设备向Portal用户推出自定义的认证页面,并使用HTTPS传输认证数据;
· 认证成功的用户可被授权加入VLAN 3;
· 认证失败的用户将被加入VLAN 2,允许访问其中的Update服务器资源;
· Host通过DHCP动态获取IP地址,认证前使用192.168.1.0/24网段的IP地址,认证成功后使用3.3.3.0/24网段的IP地址,认证失败后使用2.2.2.0/24网段的IP地址。
图1-34 配置二层Portal认证组网图
· 保证启动Portal之前各主机、服务器和设备之间的路由可达。
· 完成RADIUS服务器的配置,保证用户的认证/授权/计费功能正常运行。本例中,RADIUS服务器上需要配置一个Portal用户(帐户名为userpt),并配置授权VLAN。
· 完成DHCP服务器的配置,主要包括:指定为Portal客户端分配的IP地址范围(192.168.1.0/24、3.3.3.0/24、2.2.2.0/24);指定客户端的默认网关地址(192.168.1.1、3.3.3.1、2.2.2.1),并将Update server地址(2.2.2.2)排除在可分配的IP地址范围外;确定分配给客户端的IP地址的租约期限(建议尽量取较小的值,以缩短认证状态变化后IP地址更新的时间);保证DHCP server上具有到达客户端主机的路由。
· 由于DHCP服务器与DHCP客户端不在同一个网段,因此需要在客户端所在的网段设置DHCP中继。关于DHCP中继的详细介绍请参见“三层技术-IP业务配置指导”中的“DHCP中继”。
(1) 配置Portal认证
# 配置各以太网端口加入VLAN及对应VLAN接口的IP地址(略)。
# 完成PKI域pkidm的配置,并成功申请本地证书和CA证书,具体配置请参见“安全配置指导”中的“PKI”。
# 完成自定义缺省认证页面文件的编辑,并将其以defaultfile为名称压缩为一个Zip文件之后保存在设备根目录下。
# 配置SSL服务器端策略sslsvr,指定使用的PKI域为pkidm。
<Switch> system-view
[Switch] ssl server-policy sslsvr
[Switch-ssl-server-policy-sslsvr] pki pkidm
[Switch-ssl-server-policy-sslsvr] quit
# 配置本地Portal服务器支持HTTPS协议,并引用SSL服务器端策略sslsvr。
[Switch] portal local-server https server-policy sslsvr
# 配置Loopback接口12的IP地址为4.4.4.4。
[Switch] interface loopback 12
[Switch-LoopBack12] ip address 4.4.4.4 32
[Switch-LoopBack12] quit
# 指定二层Portal认证的本地Portal服务器监听IP地址为4.4.4.4。
[Switch] portal local-server ip 4.4.4.4
# 在端口GigabitEthernet1/0/1上使能Portal认证,并配置认证失败的VLAN为VLAN 2。
[Switch] interface gigabitethernet 1/0/1
[Switch–GigabitEthernet1/0/1] port link-type hybrid
[Switch–GigabitEthernet1/0/1] mac-vlan enable
[Switch–GigabitEthernet1/0/1] portal local-server enable
[Switch–GigabitEthernet1/0/1] portal auth-fail vlan 2
[Switch–GigabitEthernet1/0/1] quit
(2) 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
[Switch] radius scheme rs1
# 配置RADIUS方案的服务器类型。使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended。
[Switch-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Switch-radius-rs1] primary authentication 1.1.1.2
[Switch-radius-rs1] primary accounting 1.1.1.2
[Switch-radius-rs1] key accounting simple radius
[Switch-radius-rs1] key authentication simple radius
[Switch-radius-rs1] quit
(3) 配置认证域
# 创建并进入名字为triple的ISP域。
[Switch] domain triple
# 配置ISP域的AAA方法。
[Switch-isp-triple] authentication portal radius-scheme rs1
[Switch-isp-triple] authorization portal radius-scheme rs1
[Switch-isp-triple] accounting portal radius-scheme rs1
[Switch-isp-triple] quit
# 配置系统缺省的ISP域triple,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
[Switch] domain default enable triple
(4) 配置DHCP中继
# 使能DHCP服务。
[Switch] dhcp enable
# 配置DHCP服务器的地址。
[Switch] dhcp relay server-group 1 ip 1.1.1.3
# 配置VLAN接口8工作在DHCP中继模式。
[Switch] interface vlan-interface 8
[Switch-Vlan-interface8] dhcp select relay
# 配置VLAN接口8对应DHCP服务器组1。
[Switch-Vlan-interface8] dhcp relay server-select 1
[Switch-Vlan-interface8] quit
# 配置VLAN接口2工作在DHCP中继模式。
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] dhcp select relay
# 配置VLAN接口2对应DHCP服务器组1。
[Switch-Vlan-interface2] dhcp relay server-select 1
[Switch-Vlan-interface2] quit
# 配置VLAN接口3工作在DHCP中继模式。
[Switch] interface vlan-interface 3
[Switch-Vlan-interface3] dhcp select relay
# 配置VLAN接口3对应DHCP服务器组1。
[Switch-Vlan-interface3] dhcp relay server-select 1
[Switch-Vlan-interface3] quit
用户userpt未进行Web访问之前,位于初始VLAN(VLAN 8)中,并被分配192.168.1.0/24网段中的IP地址。当用户通过Web浏览器访问外部网络时,其Web请求均被重定向到认证页面https://4.4.4.4/portal/logon.htm。用户根据网页提示输入正确的用户名和密码后,能够成功通过Portal认证。通过认证的用户将会离开初始VLAN(VLAN 8),并加入授权VLAN(VLAN 3)。可通过display connection ucibindex命令查看已在线用户的详细信息。
<Switch> display connection ucibindex 30
Slot: 1
Index=30 , Username=userpt@triple
MAC=0015-e9a6-7cfe
IP=192.168.1.2
IPv6=N/A
Access=PORTAL ,AuthMethod=PAP
Port Type=Ethernet,Port Name= GigabitEthernet1/0/1
Initial VLAN=8, Authorization VLAN=3
ACL Group=Disable
User Profile=N/A
CAR=Disable
Priority=Disable
Start=2009-11-26 17:40:02 ,Current=2009-11-26 17:48:21 ,Online=00h08m19s
Total 1 connection matched.
可以通过display mac-vlan all命令查看到认证成功用户的MAC VLAN表项,该表项中记录了加入授权VLAN的MAC地址与端口上生成的基于MAC的VLAN之间的对应关系。
[Switch] display mac-vlan all
The following MAC VLAN addresses exist:
S:Static D:Dynamic
MAC ADDR MASK VLAN ID PRIO STATE
--------------------------------------------------------
0015-e9a6-7cfe ffff-ffff-ffff 3 0 D
Total MAC VLAN address count:1
若用户认证失败,将被加入VLAN 2中,端口上生成的MAC VLAN表项及IP地址分配情况的查看方式同上,此处略。
用户被强制去访问Portal服务器时没有弹出Portal认证页面,也没有错误提示,登录的Portal认证服务器Web页面为空白。
接入设备上配置的Portal密钥和Portal服务器上配置的密钥不一致,导致Portal服务器报文验证出错,Portal服务器拒绝弹出认证页面。
使用display portal server命令查看接入设备上配置的Portal服务器密钥,并在系统视图中使用portal server命令修改密钥,或者在Portal服务器上查看对应接入设备的密钥并修改密钥,直至两者的密钥设置一致。
用户通过Portal认证后,在接入设备上使用portal delete-user命令强制用户下线失败,但是使用客户端的“断开”属性可以正常下线。
在Portal上使用portal delete-user命令强制用户下线时,由接入设备主动发送下线请求报文到Portal服务器,Portal服务器默认的报文监听端口为50100,但是因为接入设备上配置的服务器监听端口错误(不是50100),即其发送的下线请求报文的目的端口和Portal服务器真正的监听端口不一致,故Portal服务器无法收到下线请求报文,Portal服务器上的用户无法下线。
当使用客户端的“断开”属性让用户下线时,由Portal服务器主动向接入设备发送下线请求,其源端口为50100,接入设备的下线应答报文的目的端口使用请求报文的源端口,避免了其配置上的错误,使得Portal服务器可以收到下线应答报文,从而Portal服务器上的用户成功下线。
使用display portal server命令查看接入设备对应服务器的端口,并在系统视图中使用portal server命令修改服务器的端口,使其和Portal服务器上的监听端口一致。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!