23-Portal典型配置举例
本章节下载: 23-Portal典型配置举例 (608.79 KB)
Copyright © 2018 新华三技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
目 录
本文档介绍了可跨三层Portal认证和直接Portal认证的典型配置举例。
· 当接入设备与用户之间跨越三层转发设备时,可采用可跨三层Portal认证方式。接入设备基于用户的IP地址下发ACL对接口上通过认证的用户报文转发进行控制。
· 当接入设备与用户之间未跨越三层转发设备时,可采用直接Portal认证方式。接口可以学习到用户的MAC地址,接入设备除了可以基于用户的IP地址下发ACL对接口上通过认证的用户报文转发进行控制,还可以利用学习到MAC地址增强对用户报文转发的控制力度。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文假设您已了解Portal特性。
如图1所示,Device B支持Portal认证功能,Host A、Host B和Host C通过Device A接入到Device B,要求:
· 采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。
· 配置Device B采用可跨三层Portal认证。
· 用户在通过Portal认证前,只能访问Portal Web服务器。用户通过认证后,可以访问非受限互联网资源。
· 采用RADIUS服务器对Portal用户接入进行认证/授权和计费。
· 配置发送给Portal认证服务器的Portal报文的BAS-IP属性。
· 使能RADIUS session control功能来监听并接收RADIUS服务器发送的session control报文。
图1 可跨三层Portal认证配置组网图
· 为了对Department A的网络访问进行Portal认证,需要在Device B上配置Portal服务器并且使能Portal认证。
· 为了实现通过RADIUS来对Portal用户进行认证/授权和计费,需要在Device B上配置RADIUS方案并指定相应的认证/授权服务器和计费服务器,并将其应用于Portal用户所属的认证域。
· 配置系统缺省的ISP域,所有接入用户共用此缺省域的认证/授权和计费方法,若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
本举例是在S5130EI_E-CMW710-R3106版本上进行配置和验证的。
目前仅支持使用RADIUS服务器对Portal用户进行认证/授权和计费,同时服务器需要配置路由,可以访问认证端口及用户IP地址所在网段。
下面以iMC为例(使用iMC版本为:iMC PLAT 7.0 (E0202)、iMC EIA 7.0 (E0202)),说明RADIUS server和Portal server的基本配置。
# 增加接入设备
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击<增加>按钮,进入增加接入设备页面。
· 设置与Device B交互报文时的认证共享密钥为“expert”;
· 设置认证及计费的端口号分别为“1812”和“1813”;
· 选择业务类型为“LAN接入业务”;
· 选择接入设备类型为“H3C(General)”;
· 选择或手工增加接入设备,添加IP地址为10.0.10.1的接入设备;
· 其它参数采用缺省值,并单击<确定>按钮完成操作。
图2 增加接入设备
# 增加接入策略
选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,单击<增加>按钮,进入“增加接入策略”页面。
· 接入策略名填写portal(该名称可以自定义)。
· 其他配置采用页面默认配置即可。
· 单击<确定>按钮完成操作。
图3 增加接入策略
# 增加服务配置
选择“用户”页签,单击导航树中的[接入策略管理/接入服务管理]菜单项,进入服务器配置管理页面,在该页面中单击<增加>按钮,进入增加服务配置页面。
· 输入服务名为“Portal-auth”(该名称可以自定义)。
· 缺省接入策略选择“portal”,即上一步配置的接入策略名。
· 其他配置采用页面默认配置即可。
· 单击<确定>按钮完成操作。
图4 增加服务配置
# 增加接入用户
选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户列表页面,在该页面中单击<增加>按钮,进入增加接入用户页面。
· 单击<增加用户>按钮,手工增加用户姓名为“hello”(可自定义),证件号码为111111(可自定义);
· 其它参数采用缺省值,并单击<确定>按钮完成操作;
图5 接入用户配置
· 输入帐号名“portal”和密码;
· 选择该用户所关联的接入服务为“Portal-auth”;
· 其它参数采用缺省值,并单击<确定>按钮完成操作。
图6 增加接入用户
# 配置Portal主页
选择“用户”页签,单击导航树中的[接入策略管理/Portal服务管理/服务器配置]菜单项,进入服务器配置页面,配置Portal主页,采用默认配置即可,并单击<确定>按钮完成操作。
图7 Portal服务器配置页面
# 配置Portal认证的地址组范围
单击导航树中的[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入“IP地址组配置”页面,在该页面中单击<增加>按钮,进入“增加IP地址组配置”页面。
· 输入IP地址组名为“Portal_user”;
· 输入起始地址为“192.168.0.0”、终止地址为“192.168.0.255”。用户主机IP地址必须包含在该IP地址组范围内;
· 其他采用默认配置;
· 单击<确定>按钮完成操作。
图8 增加IP地址组配置页面
# 增加接入设备信息
单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项,进入“设备配置”页面,在该页面中单击<增加>按钮,进入“增加设备信息”页面。
· 输入设备名为“NAS”;
· 输入IP地址为“10.0.11.1”,该地址为与接入用户相连的设备接口IP地址;
· 输入密钥为“portal”,该密钥与接入设备Device B上的配置保持一致;
· 选择组网方式为“三层”;
· 其它参数采用缺省值,并单击<确定>按钮完成操作。
图9 增加设备信息配置页面
# 配置端口组信息
返回[接入策略管理/Portal服务管理/设备配置]菜单项,单击<端口组信息管理>按钮,进入“端口组信息配置”页面。
图10 设备信息列表
在“端口组信息配置”页面中单击<增加>按钮,进入“增加端口组信息”页面。
· 输入端口组名为“group”;
· 选择IP地址组为“Portal_user”,用户接入网络时使用的IP地址必须属于所选的IP地址组;
· 其它参数采用缺省值,并单击<确定>按钮完成操作。
图11 增加端口组信息配置页面
# 创建VLAN 2和VLAN 11,并配置VLAN接口IP地址。
<DeviceA> system-view
[DeviceA] vlan 2
[DeviceA-vlan2] quit
[DeviceA] vlan 11
[DeviceA-vlan11] quit
[DeviceA] interface vlan-interface 2
[DeviceA-Vlan-interface2] ip address 192.168.0.1 24
[DeviceA-Vlan-interface2] quit
[DeviceA] interface vlan-interface 11
[DeviceA-Vlan-interface11] ip address 10.0.11.2 24
[DeviceA-Vlan-interface11] quit
# 配置到10.0.10.0/24网段的静态路由,下一跳为10.0.11.1。
[DeviceA] ip route-static 10.0.10.0 255.255.255.0 10.0.11.1
# 请根据实际组网情况将交换机物理接口加入相应VLAN,本举例略。
# 创建VLAN 10和VLAN 11,配置各VLAN接口IP地址。
<DeviceB> system-view
[DeviceB] vlan 10
[DeviceB-vlan10] quit
[DeviceB] vlan 11
[DeviceB-vlan11] quit
[DeviceB] interface vlan-interface 11
[DeviceB-Vlan-interface11] ip address 10.0.11.1 24
[DeviceB-Vlan-interface11] quit
[DeviceB] interface vlan-interface 10
[DeviceB-Vlan-interface10] ip address 10.0.10.1 24
[DeviceB-Vlan-interface10] quit
# 配置Portal认证服务器:名称为newpt,IP地址为10.0.10.2,密钥为明文portal,监听Portal报文的端口为50100(设备缺省端口号)。
[DeviceB] portal server newpt
[DeviceB-portal-server-newpt] ip 10.0.10.2 key simple portal
[DeviceB-portal-server-newpt] port 50100
[DeviceB-portal-server-newpt] quit
# 配置Portal Web服务器的URL为http://10.0.10.2:8080/portal。(Portal Web服务器的URL请与实际环境中的Portal Web服务器配置保持一致,此处仅为示例)
[DeviceB] portal web-server newpt
[DeviceB-portal-websvr-newpt] url http://10.0.10.2:8080/portal
[DeviceB-portal-websvr-newpt] quit
# 在与Device A相连的接口上使能可跨三层方式的Portal认证。
[DeviceB] interface Vlan-interface 11
[DeviceB-Vlan-interface11] portal enable method layer3
# 在与Device A相连的接口上设置发送给Portal报文中的BAS-IP属性值为10.0.11.1。
[DeviceB-Vlan-interface11] portal bas-ip 10.0.11.1
# 在与Device A相连的接口上引用Portal Web服务器newpt。
[DeviceB-Vlan-interface11] portal apply web-server newpt
[DeviceB-Vlan-interface11] quit
# 创建名字为imc的RADIUS方案并进入该方案视图。
[DeviceB] radius scheme imc
# 配置RADIUS方案主认证/计费服务器及其通信密钥。
[DeviceB-radius-imc] primary authentication 10.0.10.2
[DeviceB-radius-imc] primary accounting 10.0.10.2
[DeviceB-radius-imc] key authentication simple expert
[DeviceB-radius-imc] key accounting simple expert
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[DeviceB-radius-imc] user-name-format without-domain
[DeviceB-radius-imc] quit
# 配置名为portal.com的认证域。
[DeviceB] domain portal.com
# 配置ISP域的AAA方法。
[DeviceB-isp-portal.com] authentication portal radius-scheme imc
[DeviceB-isp-portal.com] authorization portal radius-scheme imc
[DeviceB-isp-portal.com] accounting portal radius-scheme imc
[DeviceB-isp-portal.com] quit
# 配置系统缺省的ISP域portal.com,所有接入用户共用此缺省域的认证/授权和计费方法,若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
[DeviceB] domain default enable portal.com
# 配置到Department A的静态路由。
[DeviceB] ip route-static 192.168.0.0 255.255.255.0 10.0.11.2
# 用户既可以使用H3C的iNode客户端,也可以通过网页方式进行Portal认证。本例用网页方式进行Portal认证。用户在通过认证前,任何Web访问请求都会被重定向到认证页面http://10.0.10.2:8080/portal,且发起的Web访问请求均被重定向到该认证页面,如图12。当用户通过认证后,跳转到图13界面。
图12 Portal认证页面
图13 Portal用户认证成功页面
# 认证通过后,可通过执行以下显示命令查看Device B上生成的Portal在线用户信息。
[DeviceB] display portal user interface vlan-interface 11
Total portal users: 1
Username: portal
Portal server: newpt
State: Online
VPN instance: --
Authorization ACL: None
VPN instance: --
MAC IP Vlan Interface
---------------------------------------------------------------------
0000-0000-0000 192.168.0.2 11 Vlan-interface11
· Device A:
#
vlan 2
#
vlan 11
#
interface Vlan-interface2
ip address 192.168.0.1 255.255.255.0
#
interface Vlan-interface11
ip address 10.0.11.2 255.255.255.0
#
ip route-static 10.0.10.0 24 10.0.11.1
#
· Device B:
#
vlan 10 to 11
#
interface Vlan-interface10
ip address 10.0.10.1 255.255.255.0
#
interface Vlan-interface11
ip address 10.0.11.1 255.255.255.0
portal enable method layer3
portal bas-ip 10.0.11.1
portal apply web-server newpt
#
ip route-static 192.168.0.0 24 10.0.11.2
#
radius session-control enable
#
radius scheme imc
primary authentication 10.0.10.2
primary accounting 10.0.10.2
key authentication cipher $c$3$M30nGDQxiOCAxe2AJ9yEZdk8kjoWag==
key accounting cipher $c$3$M23dGDQxiOCAxe2BJ9yEZdk8kjoWag==
user-name-format without-domain
#
domain portal.com
authentication portal radius-scheme imc
authorization portal radius-scheme imc
accounting portal radius-scheme imc
#
domain default enable portal.com
#
portal web-server newpt
url http://10.0.10.2:8080/portal
#
portal server newpt
ip 10.0.10.2 key cipher $c$3$r0VxoIiBrpzju9h2akP4TxyknX8VTuYKfA==
#
如图14所示,Device B支持Portal认证功能,Host A、Host B和Host C通过Device A接入到Device B,要求:
· 采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。
· 配置Device B采用可跨三层Portal认证。
· 用户在通过Portal认证前,只能访问Portal Web服务器。
· 用户通过认证,但没有安装指定版本的防病毒软件,则对用户进行隔离,只允许访问病毒和补丁服务器。
· 用户通过认证,且安装了指定版本的防病毒软件,则通过安全策略检查,可正常访问网络。
· 采用RADIUS服务器对用户接入进行认证和授权,并采用安全策略服务器对登录成功的用户进行安全检查。
· 配置发送给Portal认证服务器的Portal报文的BAS-IP属性。
· 使能RADIUS session control功能来监听并接收RADIUS服务器发送的session control报文。
图14 Portal三层认证扩展功能配置组网图
· 为了对Department A的网络访问进行Portal认证,需要在Device B上配置Portal服务器并且使能Portal认证,认证通过前,所有客户端只能访问Portal Web服务器,用户访问任何网页都被重定向到Portal Web服务器主页面。
· 为了实现通过RADIUS来进行认证和授权,需要在Device B上配置RADIUS方案并指定相应的认证和授权服务器,并将其应用于Portal用户所属的认证域。
· 为了对登录成功的用户进行安全检查,需要创建ACL并制定规则,不符合检查要求的用户,只能访问病毒和补丁服务器,升级病毒库版本满足安全策略要求后,该用户才可访问所有网络资源。
· 配置系统缺省的ISP域,所有接入用户共用此缺省域的认证、授权方法,若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
本举例是在S5130EI_E-CMW710-R3106版本上进行配置和验证的。
目前仅支持使用RADIUS服务器对Portal用户进行认证和授权,同时服务器需要配置路由,可以访问认证端口及用户IP地址所在网段。
· 请保证在RADIUS服务器、Portal服务器上完成相应的配置,具体配置步骤请参见3.5.1 RADIUS/Portal server的配置。
· 安全策略服务器上需要将ACL 3000和ACL 3001分别指定为隔离ACL和安全ACL。
# 创建VLAN 2和VLAN 11,并配置VLAN接口IP地址。
<DeviceA> system-view
[DeviceA] vlan 2
[DeviceA-vlan2] quit
[DeviceA] vlan 11
[DeviceA-vlan11] quit
[DeviceA] interface vlan-interface 2
[DeviceA-Vlan-interface2] ip address 192.168.0.1 24
[DeviceA-Vlan-interface2] quit
[DeviceA] interface vlan-interface 11
[DeviceA-Vlan-interface11] ip address 10.0.11.2 24
[DeviceA-Vlan-interface11] quit
# 配置到10.0.10.0/24网段的静态路由,下一跳为10.0.11.1。
[DeviceA] ip route-static 10.0.10.0 255.255.255.0 10.0.11.1
# 配置到10.0.12.0/24网段的静态路由,下一跳为10.0.11.1。
[DeviceA] ip route-static 10.0.12.0 255.255.255.0 10.0.11.1
# 请根据实际组网情况将交换机物理接口加入相应VLAN,本举例略。
# 创建VLAN 10、VLAN 11和VLAN 12,配置各VLAN接口IP地址。
<DeviceB> system-view
[DeviceB] vlan 10
[DeviceB-vlan10] quit
[DeviceB] vlan 11
[DeviceB-vlan11] quit
[DeviceB] vlan 12
[DeviceB-vlan12] quit
[DeviceB] interface vlan-interface 11
[DeviceB-Vlan-interface11] ip address 10.0.11.1 24
[DeviceB-Vlan-interface11] quit
[DeviceB] interface vlan-interface 10
[DeviceB-Vlan-interface10] ip address 10.0.10.1 24
[DeviceB-Vlan-interface10] quit
[DeviceB] interface vlan-interface 12
[DeviceB-Vlan-interface12] ip address 10.0.12.1 24
[DeviceB-Vlan-interface12] quit
# 配置Portal认证服务器:名称为newpt,IP地址为10.0.10.2,密钥为明文portal,监听Portal报文的端口为50100(设备缺省端口号)。
[DeviceB] portal server newpt
[DeviceB-portal-server-newpt] ip 10.0.10.2 key simple portal
[DeviceB-portal-server-newpt] port 50100
[DeviceB-portal-server-newpt] quit
# 配置Portal Web服务器的URL为http://10.0.10.2:8080/portal。(Portal Web服务器的URL请与实际环境中的Portal Web服务器配置保持一致,此处仅为示例)
[DeviceB] portal web-server newpt
[DeviceB-portal-websvr-newpt] url http://10.0.10.2:8080/portal
[DeviceB-portal-websvr-newpt] quit
# 在与Device A相连的接口上使能可跨三层方式的Portal认证。
[DeviceB] interface Vlan-interface 11
[DeviceB-Vlan-interface11] portal enable method layer3
# 在与Device A相连的接口上设置发送给Portal报文中的BAS-IP属性值为10.0.11.1。
[DeviceB–Vlan-interface11] portal bas-ip 10.0.11.1
# 在与Device A相连的接口上引用Portal Web服务器newpt。
[DeviceB–Vlan-interface11] portal apply web-server newpt
[DeviceB-Vlan-interface11] quit
# 配置到Department A的静态路由。
[DeviceB] ip route-static 192.168.0.0 255.255.255.0 10.0.11.2
# 创建名字为imc的RADIUS方案并进入该方案视图。
[DeviceB] radius scheme imc
# 配置RADIUS方案相关参数,包括RADIUS服务器地址,认证密钥等。
[DeviceB-radius-imc] primary authentication 10.0.10.2
[DeviceB-radius-imc] primary accounting 10.0.10.2
[DeviceB-radius-imc] key authentication simple expert
[DeviceB-radius-imc] key accounting simple expert
# 配置RADIUS方案的安全策略服务器。
[DeviceB-radius-imc] security-policy-server 10.0.10.2
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[DeviceB-radius-imc] user-name-format without-domain
[DeviceB-radius-imc] quit
# 使能RADIUS session control功能。
[DeviceB] radius session-control enable
# 配置名为portal.com的认证域。
[DeviceB] domain portal.com
# 配置ISP域的AAA方法。
[DeviceB-isp-portal.com] authentication portal radius-scheme imc
[DeviceB-isp-portal.com] authorization portal radius-scheme imc
[DeviceB-isp-portal.com] accounting portal radius-scheme imc
[DeviceB-isp-portal.com] quit
# 配置系统缺省的ISP域portal.com,所有接入用户共用此缺省域的认证/授权和计费方法,若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
[DeviceB] domain default enable portal.com
# 配置ACL 3000,只允许访问补丁和病毒服务器。
[DeviceB] acl number 3000
[DeviceB-acl-adv-3000] rule permit ip destination 10.0.12.2 0
[DeviceB-acl-adv-3000] rule deny ip
[DeviceB-acl-adv-3000] quit
# 配置ACL 3001,允许所有IP地址通过。
[DeviceB] acl number 3001
[DeviceB-acl-adv-3001] rule permit ip
[DeviceB-acl-adv-3001] quit
# 用户只能使用H3C的iNode客户端,进行Portal扩展功能认证。用户通过iNode客户端,新建Portal连接,输入正确的用户名和密码,登录成功。
然后,开始安全检查,安全检查不合格,进入隔离模式,查看设备上Portal用户,可看到下发了隔离ACL 3000。
[DeviceB]display portal user all
Total portal users: 1
Username: cc16
Portal server: newpt
State: Online
Authorization ACL: 3000
VPN instance: --
MAC IP VLAN Interface
0000-0000-0000 192.168.0.2 -- Vlan-interface11
# 升级病毒库,版本满足安全策略要求。客户端断开后,重新登录,认证成功后,进行安全检查,客户端提示安全检查合格,设备上查看通过认证的Portal用户信息,可见下发了安全ACL 3001。
[DeviceB]dispal portal user all
Total portal users: 1
Username: portal
Portal server: newpt
State: Online
Authorization ACL: 3001
VPN instance: --
MAC IP VLAN Interface
0000-0000-0000 192.168.0.2 -- Vlan-interface11
· Device A:
#
vlan 2
#
vlan 11
#
interface Vlan-interface2
ip address 192.168.0.1 255.255.255.0
#
interface Vlan-interface11
ip address 10.0.11.2 255.255.255.0
#
ip route-static 10.0.10.0 24 10.0.11.1
ip route-static 10.0.12.0 24 10.0.11.1
#
· Device B:
#
vlan 10 to 12
#
interface Vlan-interface10
ip address 10.0.10.1 255.255.255.0
#
interface Vlan-interface11
ip address 10.0.11.1 255.255.255.0
portal enable method layer3
portal bas-ip 10.0.11.1
portal apply web-server newpt
#
interface Vlan-interface12
ip address 10.0.12.1 255.255.255.0
#
ip route-static 192.168.0.0 24 10.0.11.2
#
acl number 3000
rule 0 permit ip destination 10.0.12.2 0
rule 5 deny ip
#
acl number 3001
rule 0 permit ip
#
radius session-control enable
#
radius scheme imc
primary authentication 10.0.10.2
primary accounting 10.0.10.2
security-policy-server 10.0.10.2
key authentication cipher $c$3$M30nGDQxiOCAxe2AJ9yEZdk8kjoWag==
key accounting cipher $c$3$M23dGDQxiOCAxe2BJ9yEZdk8kjoWag==
user-name-format without-domain
#
domain portal.com
authentication portal radius-scheme imc
authorization portal radius-scheme imc
accounting portal radius-scheme imc
#
domain default enable portal.com
#
portal web-server newpt
url http://10.0.10.2:8080/portal
#
portal server newpt
ip 10.0.10.2 key cipher $c$3$r0VxoIiBrpzju9h2akP4TxyknX8VTuYKfA==
#
如图15所示,Department A客户端与接入设备直接相连,采用直接方式的Portal认证。
· 采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。
· Department A下面的用户在通过Portal认证前,只能访问Portal Web服务器,无法访问内部其它网络或Internet。用户通过认证后,可以正常访问网络。
· 采用RADIUS服务器对Portal用户接入进行认证/授权和计费。
· 配置发送给Portal认证服务器的Portal报文的BAS-IP属性。
· 使能RADIUS session control功能来监听并接收RADIUS服务器发送的session control报文。
图15 Portal特性直接认证配置组网图
· 为了对Department A的网络访问进行Portal认证,需要在Device上配置Portal服务器并且使能Portal认证。
· 为了实现通过RADIUS来对Portal用户进行认证/授权和计费,需要在Device上配置RADIUS方案并指定相应的认证/授权服务器和计费服务器,并将其应用于Portal用户所属的认证域。
· 配置系统缺省的ISP域,所有接入用户共用此缺省域的认证/授权和计费方法,若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
本举例是在S5130EI_E-CMW710-R3106版本上进行配置和验证的。
目前仅支持使用RADIUS服务器对Portal用户进行认证/授权和计费,同时服务器需要配置路由,可以访问认证端口及用户IP地址所在网段。
请保证在RADIUS服务器、Portal服务器上完成相应的配置,具体配置步骤请参见3.5.1 RADIUS/Portal server的配置。其中“增加Portal设备”步骤中的选择组网方式改为“直连”,并将IP地址改为192.168.0.1即可。
# 创建VLAN 10和VLAN 11,配置各VLAN接口IP地址。
<Device> system-view
[Device] vlan 10
[Device-vlan10] quit
[Device] vlan 11
[Device-vlan11] quit
[Device] interface vlan-interface 11
[Device-Vlan-interface11] ip address 192.168.0.1 24
[Device-Vlan-interface11] quit
[Device] interface vlan-interface 10
[Device-Vlan-interface10] ip address 10.0.10.1 24
[Device-Vlan-interface10] quit
# 配置Portal认证服务器:名称为newpt,IP地址为10.0.10.2,密钥为明文portal,监听Portal报文的端口为50100(设备缺省端口号)。
[Device] portal server newpt
[Device-portal-server-newpt] ip 10.0.10.2 key simple portal
[Device-portal-server-newpt] port 50100
[Device-portal-server-newpt] quit
# 配置Portal Web服务器的URL为http://10.0.10.2:8080/portal。(Portal Web服务器的URL请与实际环境中的Portal Web服务器配置保持一致,此处仅为示例)
[Device] portal web-server newpt
[Device-portal-websvr-newpt] url http://10.0.10.2:8080/portal
[Device-portal-websvr-newpt] quit
# 在与客户端相连的接口上使能直接方式的Portal认证。
[Device] interface Vlan-interface 11
[Device-Vlan-interface11] portal enable method direct
# 在与客户端相连的接口上设置发送给Portal报文中的BAS-IP属性值为192.168.0.1。
[Device-Vlan-interface11] portal bas-ip 192.168.0.1
# 在与客户端相连的接口上引用Portal Web服务器newpt。
[Device-Vlan-interface11] portal apply web-server newpt
[Device-Vlan-interface11] quit
# 创建名字为imc的RADIUS方案并进入该方案视图。
[Device] radius scheme imc
# 配置RADIUS方案主认证服务器及其通信密钥。
[Device-radius-imc] primary authentication 10.0.10.2
[Device-radius-imc] primary accounting 10.0.10.2
[Device-radius-imc] key authentication simple expert
[Device-radius-imc] key accounting simple expert
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-imc] user-name-format without-domain
[Device-radius-imc] quit
# 使能RADIUS session control功能。
[Device] radius session-control enable
# 配置名为portal.com的认证域。
[Device] domain portal.com
# 配置ISP域的AAA方法。
[Device-isp-portal.com] authentication portal radius-scheme imc
[Device-isp-portal.com] authorization portal radius-scheme imc
[Device-isp-portal.com] accounting portal radius-scheme imc
[Device-isp-portal.com] quit
# 配置系统缺省的ISP域portal.com,所有接入用户共用此缺省域的认证、授权方法,若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
[Device] domain default enable portal.com
# 用户既可以使用H3C的iNode客户端,也可以通过网页方式进行Portal认证。本例用网页方式进行Portal认证。用户在通过认证前,只能访问认证页面http://10.0.10.2:8080/portal,且发起的Web访问请求均被重定向到该认证页面,如图16。当用户通过认证后,跳转到图17界面。
图16 Portal认证页面
# 认证通过后,可通过执行以下显示命令查看Device上生成的Portal在线用户信息。
[Device] display portal user interface vlan-interface 11
Total portal users: 1
Username: portal
Portal server: newpt
State: Online
VPN instance: --
Authorization ACL: None
VPN instance: --
MAC IP Vlan Interface
---------------------------------------------------------------------
0015-e9a6-7cfe 192.168.0.2 11 Vlan-interface11
#
vlan 10 to 11
#
interface Vlan-interface10
ip address 10.0.10.1 255.255.255.0
#
interface Vlan-interface11
ip address 192.168.0.1 255.255.255.0
portal enable method direct
portal bas-ip 192.168.0.1
portal apply web-server newpt
#
radius session-control enable
#
radius scheme imc
primary authentication 10.0.10.2
primary accounting 10.0.10.2
key authentication cipher $c$3$M30nGDQxiOCAxe2AJ9yEZdk8kjoWag==
key accounting cipher $c$3$M23dGDQxiOCAxe2BJ9yEZdk8kjoWag==
user-name-format without-domain
#
domain portal.com
authentication portal radius-scheme imc
authorization portal radius-scheme imc
accounting portal radius-scheme imc
#
domain default enable portal.com
#
portal web-server newpt
url http://10.0.10.2:8080/portal
#
portal server newpt
ip 10.0.10.2 key cipher $c$3$r0VxoIiBrpzju9h2akP4TxyknX8VTuYKfA==
#
· H3C S5130-EI系列以太网交换机 安全配置指导-Release 3106
· H3C S5130-EI系列以太网交换机 安全命令参考-Release 3106
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!