05-Portal配置
本章节下载: 05-Portal配置 (1.58 MB)
目 录
1.1.3 使用本地Portal Web服务器的Portal系统
1.11 配置发送给Portal认证服务器的Portal报文的BAS-IP属性
1.31 配置Portal OAuth认证同步用户信息的时间间隔
1.32 开启无线Portal用户SSID切换后的强制下线功能
1.34.5 使用本地Portal Web服务器的直接Portal认证配置举例
1.34.6 Portal基于MAC地址的快速认证配置举例(远程认证方式)
1.34.7 Portal基于MAC地址的快速认证配置举例(本地认证方式)
1.35.1 Portal用户认证时,没有弹出Portal认证页面
1.35.3 RADIUS服务器上无法强制Portal用户下线
1.35.4 接入设备强制用户下线后,Portal认证服务器上还存在该用户
WX1800H系列、WX2500H系列和WX3000H系列不支持slot参数。
Portal在英语中是入口的意思。Portal认证通常也称为Web认证,即通过Web页面接受用户输入的用户名和密码,对用户进行身份认证,以达到对用户访问进行控制的目的。在采用了Portal认证的组网环境中,未认证用户上网时,接入设备强制用户登录到特定站点,用户可以免费访问其中的服务;当用户需要使用互联网中的其它信息时,必须在Portal Web服务器提供的网站上进行Portal认证,只有认证通过后才可以使用这些互联网中的设备或资源。
根据是否为用户主动发起认证,可以将Portal认证分为主动认证和强制认证两种类型:用户可以主动访问已知的Portal Web服务器网站,输入用户名和密码进行认证,这种开始Portal认证的方式称作主动认证;用户访问任意非Portal Web服务器网站时,被强制访问Portal Web服务器网站,继而开始Portal认证的过程称作强制认证。
Portal认证是一种灵活的访问控制技术,可以在接入层以及需要保护的关键数据入口处实施访问控制,具有如下优势:
· 可以不安装客户端软件,直接使用Web页面认证,使用方便。
· 可以为运营商提供方便的管理功能和业务拓展功能,例如运营商可以在认证页面上开展广告、社区服务、信息发布等个性化的业务。
目前,设备支持的Portal版本为Portal 1.0、Portal 2.0和Portal 3.0。
Portal的安全扩展功能是指,在Portal身份认证的基础之上,通过强制接入终端实施补丁和防病毒策略,加强网络终端对病毒攻击的主动防御能力。具体的安全扩展功能如下:
· 安全性检测:在对用户的身份认证的基础上增加了安全认证机制,可以检测接入终端上是否安装了防病毒软件、是否更新了病毒库、是否安装了非法软件、是否更新了操作系统补丁等;
· 访问资源受限:用户通过身份认证后仅仅获得访问指定互联网资源的权限,如病毒服务器、操作系统补丁更新服务器等;当用户通过安全认证后便可以访问更多的互联网资源。
安全性检测功能必须与H3C的iMC安全策略服务器以及iNode客户端配合使用。
Portal的典型组网方式如图1-1所示,它由六个基本要素组成:认证客户端、接入设备、Portal认证服务器、Portal Web服务器、AAA服务器和安全策略服务器。
图1-1 Portal系统组成示意图
用户终端的客户端系统,为运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的主机。对用户终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息交流完成的。
交换机、路由器等宽带接入设备的统称,主要有三方面的作用:
· 在认证之前,将用户的所有HTTP请求都重定向到Portal Web服务器。
· 在认证过程中,与Portal认证服务器、AAA服务器交互,完成身份认证/授权/计费的功能。
· 在认证通过后,允许用户访问被授权的互联网资源。
接收Portal客户端认证请求的服务器端系统,与接入设备交互认证客户端的认证信息。
负责向客户端提供Web认证页面,并将客户端的认证信息(用户名、密码等)提交给Portal认证服务器。Portal Web服务器通常与Portal认证服务器是一体的,也可以是独立的服务器端系统。
与接入设备进行交互,完成对用户的认证、授权和计费。目前RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器可支持对Portal用户进行认证、授权和计费,以及LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)服务器可支持对Portal用户进行认证。
与Portal客户端、接入设备进行交互,完成对用户的安全检测,并对用户进行安全授权操作。
本地Portal Web服务器功能是指,Portal认证系统中不采用外部独立的Portal Web服务器和Portal认证服务器,而由接入设备实现Portal Web服务器和Portal认证服务器功能。这种情况下,Portal认证系统仅包括三个基本要素:认证客户端、接入设备和AAA服务器,如图1-2所示。由于设备支持Portal用户进行本地Portal认证,因此就不需要部署额外的Portal Web服务器和Portal认证服务器,增强了Portal认证的通用性。
图1-2 使用本地Portal Web服务器的Portal系统组成示意图
· 使用本地Portal Web服务器的Portal认证系统不支持Portal扩展功能,因此使用本地Portal Web服务器的网络环境中不需要部署安全策略服务器。
· 内嵌本地Portal Web服务器的接入设备实现了简单的Portal Web服务器和Portal认证服务器功能,仅能给用户提供通过Web方式登录、下线的基本功能,并不能完全替代独立的Portal服务器。
· 不支持使用H3C iNode客户端方式的Portal认证。
认证客户端和内嵌本地Portal Web 服务器的接入设备之间可以采用HTTP和HTTPS协议通信。若客户端和接入设备之间交互HTTP协议,则报文以明文形式传输,安全性无法保证;若客户端和接入设备之间交互HTTPS协议,则报文基于SSL提供的安全机制以密文的形式传输,数据的安全性有保障。
本地Portal Web服务器支持由用户自定义认证页面的内容,即允许用户编辑一套或多套认证页面的HTML文件,并将其压缩之后保存至设备的存储介质的根目录中。每套自定义页面文件中包括六个认证页面:登录页面、登录成功页面、在线页面、下线成功页面、登录失败页面和系统忙碌页面。本地Portal Web服务器根据不同的认证阶段向客户端推出对应的认证页面。
缺省情况下,本地Portal Web 服务器提供了一套缺省认证页面文件。
Portal系统中各基本要素的交互过程如下:
(1) 未认证用户访问网络时,在Web浏览器地址栏中输入一个互联网的地址,那么此HTTP或HTTPS请求在经过接入设备时会被重定向到Portal Web服务器的Web认证主页上。用户也可以主动登录Portal Web服务器的Web认证主页。若需要使用Portal的安全扩展认证功能,则用户必须使用H3C iNode客户端。
(2) 用户在认证主页/认证对话框中输入认证信息后提交,Portal Web服务器会将用户的认证信息传递给Portal认证服务器,由Portal认证服务器处理并转发给接入设备。
(3) 接入设备与AAA服务器交互进行用户的认证、授权和计费。
(4) 认证通过后,如果未对用户采用安全策略,则接入设备会打开用户与互联网的通路,允许用户访问互联网;如果对用户采用了安全策略,则客户端、接入设备与安全策略服务器交互,对用户的安全检测通过之后,安全策略服务器根据用户的安全性授权用户访问非受限资源。目前通过访问Web页面进行的Portal认证不能对用户实施安全策略检查,安全检查功能的实现需要与H3C iNode客户端配合。
无论是Web客户端还是H3C iNode客户端发起的Portal认证,均能支持Portal认证穿越NAT,即Portal客户端位于私网、Portal认证服务器位于公网。
Portal只支持直接认证方式。直接认证方式下,认证客户端和接入设备之间没有三层转发设备。
用户在认证前通过手工配置或DHCP直接获取一个IP地址,只能访问Portal Web服务器,以及设定的免认证地址;认证通过后即可访问网络资源。认证流程相对简单。
在对接入用户身份可靠性要求较高的网络应用中,传统的基于用户名和口令的用户身份验证方式存在一定的安全问题,基于数字证书的用户身份验证方式通常被用来建立更为安全和可靠的网络接入认证机制。
EAP(Extensible Authentication Protocol,可扩展认证协议)可支持多种基于数字证书的认证方式(例如EAP-TLS),它与Portal认证相配合,可共同为用户提供基于数字证书的接入认证服务。
图1-3 Portal支持EAP认证协议交互示意图
如图1-3所示,在Portal支持EAP认证的实现中,客户端与Portal服务器之间交互EAP认证报文,Portal服务器与接入设备之间交互携带EAP-Message属性的Portal协议报文,接入设备与RADIUS服务器之间交互携带EAP-Message属性的RADIUS协议报文,由具备EAP服务器功能的RADIUS服务器处理EAP-Message属性中封装的EAP报文,并给出EAP认证结果。整个EAP认证过程中,接入设备只是对Portal服务器与RADIUS服务器之间的EAP-Message属性进行透传,并不对其进行任何处理,因此接入设备上无需任何额外配置。
· 该功能仅能与H3C iMC的Portal服务器以及H3C iNode Portal客户端配合使用。
· 目前,仅使用远程Portal服务器的Portal认证支持EAP认证。
图1-4 Portal认证流程图
Portal认证流程:
(1) Portal用户通过HTTP协议访问外部网络。HTTP报文经过接入设备时,对于访问Portal Web服务器或设定的免认证地址的HTTP报文,接入设备允许其通过;对于访问其它地址的HTTP报文,接入设备将其重定向到Portal Web服务器。Portal Web服务器提供Web页面供用户输入用户名和密码。
(2) Portal Web服务器将用户输入的信息提交给Portal认证服务器进行认证。
(3) Portal认证服务器与接入设备之间进行CHAP(Challenge Handshake Authentication Protocol,质询握手认证协议)认证交互。若采用PAP(Password Authentication Protocol,密码认证协议)认证则直接进入下一步骤。采用哪种认证交互方式由Portal认证服务器决定。
(4) Portal认证服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备,同时开启定时器等待认证应答报文。
(5) 接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。
(6) 接入设备向Portal认证服务器发送认证应答报文,表示认证成功或者认证失败。
(7) Portal认证服务器向客户端发送认证成功或认证失败报文,通知客户端认证成功(上线)或失败。
(8) 若认证成功,Portal认证服务器还会向接入设备发送认证应答确认。若是iNode客户端,则还需要进行以下安全扩展功能的步骤,否则Portal认证过程结束,用户上线。
(9) 客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测客户端的安全性是否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。
(10) 安全策略服务器根据安全检查结果授权用户访问指定的网络资源,授权信息保存到接入设备中,接入设备将使用该信息控制用户的访问。
步骤(9)、(10)为Portal认证安全扩展功能的交互过程。
接入设备通过一系列的过滤规则对使能Portal认证的接口或无线服务模板上转发的用户报文进行控制,这些规则也称为Portal过滤规则。
设备会根据配置以及Portal用户的认证状态,生成四种不同类型的Portal过滤规则。设备收到用户报文后,将依次按照如下顺序对报文进行匹配,一旦匹配上某条规则便结束匹配过程:
· 第一类规则:设备允许所有去往Portal Web服务器或者符合免认证规则的用户报文通过。
· 第二类规则:如果AAA认证服务器未下发授权ACL,则设备允许认证成功的Portal用户可以访问任意的目的网络资源;如果AAA认证服务器下发了授权ACL,则设备仅允许认证成功的Portal用户访问该授权ACL允许访问的网络资源。设备将根据Portal用户的在线状态动态添加和删除本规则。
· 第三类规则:设备将所有未认证Portal用户的HTTP请求报文重定向到Portal Web服务器。
· 第四类规则:设备将拒绝所有用户报文通过。
此功能的完整实现需要结合iMC服务器来实现。
在用户进行Portal认证过程中,设备将获取到的DHCP Option55内容封装到Portal协议和RADIUS协议中,并分别上传给Portal认证服务器和RADIUS服务器(对iMC服务器来说,都是上传到UAM组件)。
iMC服务器中的UAM组件可以根据获取到的Option55字段的内容来判断终端设备的类型、操作系统、厂商等信息。进而可以根据识别出来的终端设备类型等信息,向不同终端设备类型的Portal用户推出不同的认证页面和下发不同的授权属性信息等。
在Portal认证环境中,对于需要频繁接入网络的合法用户,可以通过基于MAC地址的快速认证功能,使用户无需手工输入认证信息便可以自动完成Portal认证。
基于MAC地址的快速认证又称为MAC-trigger认证,该方式需要在网络中部署MAC绑定服务器。MAC绑定服务器用于记录用户的Portal认证信息(用户名、密码)和用户终端的MAC地址,并将二者进行绑定,以便代替用户完成Portal认证。
基于MAC地址的快速认证分为本地认证和远程认证两种。
本功能的实现过程如下:
(1) 用户在首次接入网络时,将获得一定的免认证流量。在用户收发的流量达到设定的阈值之前,用户无需进行认证。接入设备将用户的MAC地址及接入端口信息保存为MAC-trigger表项。
(2) 当用户收发的流量达到设定的阈值时,接入设备会根据MAC-trigger表项将用户的MAC地址发送至MAC绑定服务器进行查询。
(3) MAC绑定服务器在本地查询是否存在与用户MAC地址绑定的Portal认证信息:
· 如果存在Portal认证信息,则MAC绑定服务器将通知接入设备该用户为“已绑定”状态,并使用用户的认证信息向接入设备发起Portal认证,在用户无感知的情况下完成认证过程。此时,如果Portal认证失败,则设备向用户返回认证失败信息,接入设备上的MAC-trigger表项将自动老化,然后重新进行MAC-trigger认证。
· 如果不存在Portal认证信息,则MAC绑定服务器将通知接入设备该用户为“未绑定”状态。接入设备将对“未绑定”状态的用户发起正常的Portal认证。如果Portal认证失败,则Portal Web服务器向用户返回Portal认证失败页面,流程终止;如果Portal认证成功,在用户完成Portal认证过程后,接入设备会将用户的MAC地址和认证信息发送至MAC绑定服务器,完成信息绑定。当同一用户再次访问网络时,MAC绑定服务器便可以利用保存的认证信息代替用户完成认证。
(4) 用户通过Portal认证后,接入设备将删除MAC-trigger表项。
· 无线客户端数据报文转发位置在AP上,且AC上配置了基于MAC地址的快速认证时,当AP给AC上报流量统计信息的时间间隔(可通过portal client-traffic-report interval命令配置)超时后,AC才会感知到用户收发的流量是否达到设定的阈值。
· 关于MAC绑定服务器的配置请参见服务器软件的用户手册。
AC/Fit AP组网环境下,有两种无线客户端数据报文的转发模式:
· 集中式转发:将客户端数据报文的转发位置配置在AC上之后,客户端的数据流量由AP通过CAPWAP隧道透传到AC,再由AC转发数据报文。
· 本地转发:将客户端数据报文的转发位置配置在AP上之后,客户端的数据流量直接由AP进行转发,不上送到AC上。
在无线环境中,Portal认证功能可以在设备的VLAN接口或无线服务模板上进行配置,有关这两种Portal配置方式的详细介绍如下:
· 在VLAN接口下配置时,设备仅能对本接口接收到的用户报文进行Portal认证。由于在本地转发模式下,客户端的数据直接在AP上进行转发,AC无法接收到用户的报文,因此在VLAN接口下配置Portal认证只适用于集中式转发。
· 在无线服务模板上配置Portal认证且开启无线服务模板后,如果转发模式为本地转发,AC会把Portal过滤规则下发到AP的BSS(Basic Service Set,基本服务集)上;如果转发模式为集中式转发,则AC会把Portal过滤规则下发到自身的BSS上。在这两种转发模式下,AC均可以对绑定该服务模板的所有AP下接入的用户进行Portal认证,因此在无线服务模板上配置Portal认证适用于集中式转发与本地转发。
关于无线转发模式的介绍,请参见“WLAN”下的“WLAN接入”。
表1-1 Portal配置任务简介
配置任务 |
说明 |
详细配置 |
|
配置Portal认证服务器 |
可选 |
||
配置Portal Web服务器 |
必选 |
||
使能Portal认证 |
必选 |
||
引用Portal Web服务器 |
必选 |
||
控制Portal用户的接入 |
配置免认证规则 |
可选 |
|
配置目的认证网段 |
|||
配置Portal最大用户数 |
|||
指定Portal用户使用的认证域 |
|||
配置Portal认证前用户使用的认证域 |
|||
配置Portal认证前用户使用的地址池 |
|||
配置Portal授权信息检查模式 |
|||
配置Portal仅允许DHCP用户上线 |
|||
配置Portal出方向报文过滤 |
|||
配置Portal探测功能 |
配置Portal用户的在线探测功能 |
可选 |
|
配置Portal认证服务器的可达性探测功能 |
|||
配置Portal Web服务器的可达性探测功能 |
|||
配置Portal用户信息同步功能 |
|||
配置Portal用户逃生功能 |
可选 |
||
配置发送给Portal认证服务器的Portal报文的BAS-IP属性 |
可选 |
||
配置接入设备的ID |
可选 |
||
配置Portal用户漫游功能 |
可选 |
||
配置RADIUS NAS-Port-ID属性格式 |
可选 |
||
强制在线Portal用户下线 |
可选 |
||
配置Web重定向功能 |
可选 |
||
配置接口的NAS-ID Profile |
可选 |
||
配置本地Portal Web Server功能 |
可选 |
||
配置无线Portal客户端合法性检查功能 |
可选 |
||
配置无线Portal用户自动下线功能 |
可选 |
||
配置Portal客户端ARP/ND表项固化功能 |
可选 |
||
配置HTTPS重定向功能 |
可选 |
||
配置基于MAC地址的快速认证 |
可选 |
||
配置NAS-Port-Type |
必选 |
||
配置Portal安全重定向功能 |
可选 |
||
配置AP给AC上报流量统计信息的时间间隔 |
可选 |
||
配置Portal协议报文中不携带的属性字段 |
可选 |
||
开启Portal日志功能 |
可选 |
||
配置Portal第三方认证功能 |
可选 |
||
配置Portal认证监控功能 |
可选 |
||
配置Portal OAuth认证同步用户信息的时间间隔 |
可选 |
Portal提供了一个用户身份认证和安全认证的实现方案,但是仅仅依靠Portal不足以实现该方案。接入设备的管理者需选择使用RADIUS认证方法,以配合Portal完成用户的身份认证。Portal认证的配置前提:
· Portal认证服务器、Portal Web服务器、RADIUS服务器已安装并配置成功。
· 用户、接入设备和各服务器之间路由可达。
· 如果通过远端RADIUS服务器进行认证,则需要在RADIUS服务器上配置相应的用户名和密码,然后在接入设备端进行RADIUS客户端的相关设置。RADIUS客户端的具体配置请参见“安全配置指导”中的“AAA”。
· 如果需要支持Portal的安全扩展功能,需要安装并配置CAMS EAD/iMC EAD安全策略组件。同时保证在接入设备上的ACL配置和安全策略服务器上配置的隔离ACL的编号、安全ACL的编号对应。接入设备上与安全策略服务器相关的配置请参见“安全配置指导”中的“AAA”。安全策略服务器的配置请参考“CAMS EAD安全策略组件联机帮助”以及“iMC EAD安全策略组件联机帮助”。
在Portal认证组网环境中需要使用外部Portal认证服务器时,需要配置此特性。
Portal认证服务器视图用于配置Portal认证服务器的相关参数,包括服务器的IP地址,设备和服务器间通信的共享密钥,服务器探测功能等。
设备支持配置多个Portal认证服务器。
建议不要删除正在被用户使用的Portal认证服务器,否则会导致设备上的在线用户无法正常下线。
设备向Portal认证服务器主动发送报文时使用的目的端口号(由port port-number配置)必须与远程Portal认证服务器实际使用的监听端口号保持一致。
配置的Portal认证服务器类型必须与认证所使用的服务器类型保持一致。
表1-2 配置Portal认证服务器
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建Portal认证服务器,并进入Portal认证服务器视图 |
portal server server-name |
缺省情况下,不存在Portal认证服务器 |
|
指定Portal认证服务器的IPv4地址 |
ip ipv4-address [ key { cipher | simple } string ] |
至少选其一 缺省情况下,未指定Portal认证服务器的IP地址 |
|
指定Portal认证服务器的IPv6地址 |
ipv6 ipv6-address [ key { cipher | simple } string ] |
||
(可选)配置接入设备主动向Portal认证服务器发送Portal报文时使用的UDP端口号 |
port port-number |
缺省情况下,接入设备主动发送Portal报文时使用的UDP端口号为50100 |
|
(可选)配置Portal认证服务器的类型 |
server-type { cmcc | imc } |
缺省情况下,Portal认证服务器类型为iMC服务器 |
|
退回系统视图 |
quit |
- |
|
(可选)配置强制用户下线通知报文的重传时间间隔和最大重传次数 |
logout-notify retry retries interval interval |
缺省情况下,未配置强制用户下线通知报文的重传时间间隔和最大重传次数 |
|
(可选)配置设备定期向Portal认证服务器发送注册报文 |
server-register [ interval interval-value ] |
缺省情况下,设备不会定期向Portal认证服务器发送注册报文 |
|
(可选)配置Portal认证时客户端访问AC的接口 |
portal client-gateway interface interface-type interface-number |
缺省情况下,未配置Portal认证时客户端访问AC的接口 |
|
Portal Web服务器是指Portal认证过程中向用户推送认证页面的Web服务器,也是设备强制重定向用户HTTP请求报文时所使用的Web服务器。Portal Web服务器视图用于配置Web服务器的URL地址及设备重定向该URL地址给用户时URL地址所携带的参数。同时该视图还用于配置Portal Web服务器探测等功能。
可以配置多个Portal Web服务器。配置的Portal Web服务器类型必须与认证所使用的服务器类型保持一致。
iOS系统或者部分Android系统的用户接入已开启Portal认证的网络后,设备会主动向这类用户终端推送Portal认证页面。开启Portal被动Web认证功能后,仅在这类用户使用浏览器访问Internet时,设备才会为其推送Portal认证页面。
对于iOS移动终端,Portal被动Web认证优化功能开启后,当iOS移动终端接入网络后会自动弹出Portal认证页面,并显示Wi-Fi已连接。但由于网络或其他原因,iOS移动终端无法在Portal被动Web认证探测的定时器缺省超时时间内发送Portal认证服务器可达性探测报文,导致Wi-Fi无法连接,被动认证优化功能失效。通过配置探测定时器超时时间,可以延长Portal被动认证优化功能的生效时间,使Portal认证页面正常显示并保持Wi-Fi已连接状态。
重定向URL匹配规则用于控制重定向用户的HTTP或HTTPS请求,该匹配规则可匹配用户的Web请求地址或者用户的终端信息。为了让用户能够成功访问重定向后的地址,需要通过portal free-rule命令配置免认证规则,放行去往该地址的HTTP或HTTPS请求报文。与url命令不同的是,重定向匹配规则可以灵活的进行地址的重定向,而url命令一般只用于将用户的HTTP或HTTPS请求重定向到Portal Web服务器进行Portal认证。在二者同时存在时,if-match命令优先进行地址的重定向。设备不会探测重定向URL匹配规则中重定向后的地址的可达性,因而在未配置url命令,且if-match命令用于重定向用户的Web请求到Portal Web服务器时,设备不会触发Portal Web服务器逃生或者主、备Portal Web服务器切换。
表1-3 配置Portal Web服务器
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建Portal Web服务器,并进入Portal Web服务器视图 |
portal web-server server-name |
缺省情况下,不存在Portal Web服务器 |
指定Portal Web服务器的URL |
url url-string |
缺省情况下,未指定Portal Web服务器的URL |
配置设备重定向给用户的Portal Web服务器的URL中携带的参数信息 |
url-parameter param-name { nas-id | nas-port-id | original-url | source-address | ssid | { ap-mac | source-mac } [ encryption { aes | des } key { cipher | simple } string ] | value expression | vlan } |
缺省情况下,未配置设备重定向给用户的Portal Web服务器的URL中携带的参数信息 |
(可选)配置Portal Web服务器的类型 |
server-type { cmcc | imc | oauth } |
缺省情况下,设备默认支持的Portal Web服务器类型为iMC服务器 |
(可选)开启Portal被动Web认证功能 |
captive-bypass [ android | ios [ optimize ] ] enable |
缺省情况下,Portal被动Web认证功能处于关闭状态,即iOS系统和部分Android系统的用户接入已开启Portal认证的网络后会自动弹出Portal认证页面 |
(可选)配置重定向URL的匹配规则 |
if-match { original-url url-string redirect-url url-string [ url-param-encryption { aes | des } key { cipher | simple } string ] | user-agent string redirect-url url-string } |
缺省情况下,不存在重定向URL的匹配规则 |
退出Portal Web服务器视图 |
quit |
- |
(可选)配置Portal被动Web认证探测的定时器超时时间 |
portal captive-bypass optimize delay seconds |
缺省情况下,Portal被动Web认证探测的定时器超时时间为6秒 |
禁止在无线服务模板视图和VLAN接口视图下同时开启Portal认证功能。
只有在VLAN接口或无线服务模板上开启了Portal认证,对接入用户的Portal认证功能才能生效。
开启了Portal认证功能后,设备收到Portal服务器发送的Portal报文时,首先根据报文中Portal认证服务器的地址查找本地配置的Portal认证服务器,若查找到相应的Portal认证服务器配置,则认为报文合法,并向该Portal认证服务器回应认证响应报文;否则,认为报文非法,将其丢弃。用户上线后,将与认证过程中使用的Portal认证服务器进行后续的交互。
允许在VLAN接口上同时使能IPv4 Portal认证和IPv6 Portal认证。
在无线服务模板上开启Portal认证时,需要注意:
采用本地转发模式时需要开启无线Portal客户端合法性检查功能。
表1-4 使能Portal认证(VLAN接口视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN接口视图 |
interface interface-type interface-number |
只能是VLAN接口 |
在接口上使能IPv4 Portal认证,并指定认证方式 |
portal enable method direct |
至少选其一 缺省情况下,接口上的Portal认证功能处于关闭状态 |
在接口上使能IPv6 Portal认证,并指定认证方式 |
portal ipv6 enable method direct |
表1-5 使能Portal认证(无线服务模板视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
使能IPv4 Portal认证,并指定认证方式 |
portal enable method direct |
至少选其一 缺省情况下,无线服务模板上的Portal认证功能处于关闭状态 |
开启IPv6 Portal认证,并指定认证方式 |
portal ipv6 enable method direct |
在VLAN接口或者无线服务模板上引用指定的Portal Web服务器后,设备会将该VLAN接口或者无线服务模板绑定的BSS接口上Portal用户的HTTP或HTTPS请求报文重定向到该Web服务器。
一个VLAN接口上可以同时开启IPv4和IPv6 Portal认证,每种类型的Portal认证开启后,均可以同时引用一个主Portal Web服务器和一个备份Portal Web服务器。
设备优先使用主Portal Web服务器进行Portal认证。当主Portal Web服务器不可达时,如果备份Portal Web服务器可达,设备将切换到备份Portal Web服务器进行Portal认证。当主Portal Web服务器恢复可达时,设备将强制切换回主Portal Web服务器进行Portal认证。
要实现主、备Portal Web服务器的自动切换,需要分别对引用的主、备Portal Web服务器配置Portal Web服务器可达性探测功能。
表1-6 引用Portal Web服务器(VLAN接口视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN接口视图 |
interface interface-type interface-number |
只能是VLAN接口 |
在接口上引用IPv4 Portal Web服务器 |
portal apply web-server server-name [ secondary ] |
至少选其一 缺省情况下,接口上未引用Portal Web服务器 |
在接口上引用IPv6 Portal Web服务器 |
portal ipv6 apply web-server server-name [ secondary ] |
表1-7 引用Portal Web服务器(无线服务模板视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
引用IPv4 Portal Web服务器 |
portal apply web-server server-name [ secondary ] |
至少选其一 缺省情况下,无线服务模板上未引用Portal Web服务器 |
引用IPv6 Portal Web服务器 |
portal ipv6 apply web-server server-name [ secondary ] |
通过配置免认证规则可以让特定的用户不需要通过Portal认证即可访问外网特定资源,这是由免认证规则中配置的源信息以及目的信息决定的。
免认证规则的匹配项包括主机名、IP地址、TCP/UDP端口号、MAC地址、所连接设备的接口和VLAN,只有符合免认证规则的用户报文才不会触发Portal认证,因此这些报文所属的用户才可以直接访问网络资源。
配置免认证规则时,需要注意:
· 如果免认证规则中同时配置了接口和VLAN,则要求接口属于指定的VLAN,否则该规则无效。
· 相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复。
· 无论接口上是否开启Portal认证,只能添加或者删除免认证规则,不能修改。
· 配置基于源AP的免认证规则后,用户不需要进行Portal认证,可直接访问外网;配置基于源AP的免认证规则之前已经在线的Portal用户会继续计费。
表1-8 配置基于IP地址的免认证规则
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置基于IPv4地址的Portal免认证规则 |
portal free-rule rule-number { destination ip { ip-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] | source ip { ip-address { mask-length | mask } | any } [ tcp tcp-port-number | udp udp-port-number ] } * [ interface interface-type interface-number ] |
缺省情况下,不存在基于IPv4地址的Portal免认证规则 |
配置基于IPv6地址的Portal免认证规则 |
portal free-rule rule-number { destination ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] | source ipv6 { ipv6-address prefix-length | any } [ tcp tcp-port-number | udp udp-port-number ] } * [ interface interface-type interface-number ] |
缺省情况下,不存在基于IPv6地址的Portal免认证规则 |
表1-9 配置基于源的免认证规则
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置基于源的Portal免认证规则 |
portal free-rule rule-number source { ap ap-name | { interface interface-type interface-number | mac mac-address | vlan vlan-id } * } |
缺省情况下,不存在基于源的Portal免认证规则 |
表1-10 配置基于目的的免认证规则
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置基于目的Portal免认证规则 |
portal free-rule rule-number destination host-name |
缺省情况下,不存在基于目的的Portal免认证规则 |
通过配置目的认证网段实现仅对要访问指定目的网段(除免认证规则中指定的目的IP地址或网段)的用户进行Portal认证,用户访问非目的认证网段时无需认证,可直接访问。
设备上可以配置多条目的认证网段。若配置了网段地址范围有所覆盖或重叠的目的认证网段,则仅其中地址范围最大(子网掩码或地址前缀最小)的一条目的认证网段配置生效。
portal free-all except destination ipv4-network-address { mask-length | mask } |
表1-12 配置IPv6 Portal目的认证网段
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置IPv6 Portal目的认证网段 |
portal ipv6 free-all except destination ipv6-network-address prefix-length |
缺省情况下,未配置IPv6 Portal目的认证网段,表示对访问任意目的网段的用户都进行Portal认证 |
通过配置可以控制系统中的全局Portal接入用户总数和每个VLAN接口或无线服务模板上的最大Portal用户数(包括IPv4 Portal用户和IPv6 Portal用户)。
配置Portal最大用户数时,需要注意的是:
· 如果配置的全局Portal最大用户数小于当前已经在线的Portal用户数,则配置可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户接入。
· 如果VLAN接口或无线服务模板上配置的Portal最大用户数小于当前接口上已经在线的Portal用户数,则配置可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户从该接口接入。
· 建议将全局最大Portal用户数配置为所有使能Portal的VLAN接口或无线服务模板上的最大IPv4 Portal用户数和最大IPv6 Portal用户数之和,但不超过整机最大Portal用户数,否则会有部分Portal用户因为整机最大用户数已达到而无法上线。
表1-13 配置全局Portal最大用户数
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置全局Portal最大用户数 |
portal max-user max-number |
缺省情况下,不限制Portal最大用户数 |
表1-14 配置接口Portal最大用户数(VLAN接口视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN接口视图 |
interface interface-type interface-number |
- |
每个接口上的最大Portal用户数 |
portal { ipv4-max-user | ipv6-max-user } max-number |
缺省情况下,接口上的最大Portal用户数不受限制 |
表1-15 配置Portal最大用户数(无线服务模板视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
配置最大Portal用户数 |
portal { ipv4-max-user | ipv6-max-user } max-number |
缺省情况下,无线服务模板上最大Portal用户数不受限制 |
每个Portal用户都属于一个认证域,且在其所属的认证域内进行认证/授权/计费,认证域中定义了一套认证/授权/计费的策略。
通过在指定接口或无线服务模板上配置Portal用户使用的认证域,使得所有从该接口或无线服务模板接入的Portal用户被强制使用指定的认证域来进行认证、授权和计费。即使Portal用户输入的用户名中携带的域名相同,接入设备的管理员也可以通过该配置使得不同接口或无线服务模板上接入的Portal用户使用不同的认证域,从而增加管理员部署Portal接入策略的灵活性。
从指定接口或无线服务模板上接入的Portal用户将按照如下先后顺序选择认证域:接口或无线服务模板上指定的Portal用户使用的ISP域-->用户名中携带的ISP域-->系统缺省的ISP域。关于缺省ISP域的相关介绍请参见“安全配置指导”中的“AAA”。
接口或无线服务模板上可以同时指定IPv4 Portal用户和IPv6 Portal用户的认证域。
表1-16 指定IPv4 Portal用户使用的认证域(VLAN接口视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN接口视图 |
interface interface-type interface-number |
- |
指定IPv4 Portal用户使用的认证域 |
portal domain domain-name |
缺省情况下,未指定IPv4 Portal用户使用的认证域 |
表1-17 指定IPv4 Portal用户使用的认证域(无线服务模板视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
指定IPv4 Portal用户使用的认证域 |
portal domain domain-name |
缺省情况下,未指定IPv4 Portal用户使用的认证域 |
表1-18 指定IPv6 Portal用户使用的认证域(VLAN接口视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN接口视图 |
interface interface-type interface-number |
- |
指定IPv6 Portal用户使用的认证域 |
portal ipv6 domain domain-name |
缺省情况下,未指定IPv6 Portal用户使用的认证域 |
表1-19 指定IPv6 Portal用户使用的认证域(无线服务模板视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
指定IPv6 Portal用户使用的认证域 |
portal ipv6 domain domain-name |
缺省情况下,未指定IPv6 Portal用户使用的认证域 |
开启了Portal的VLAN接口上配置了认证前用户使用的认证域(简称为认证前域)时,当该接口上接入的未经过Portal认证的用户在通过DHCP获取到IP地址之后,将被Portal授予认证前域内配置的相关授权属性(目前包括ACL、User Profile),并根据授权信息获得相应的网络访问权限。若该接口上的DHCP用户后续触发了Portal认证,则认证成功之后会被AAA下发新的授权属性。之后,若该用户下线,则又被重新授予认证前域中的授权属性。
配置Portal认证前用户使用的认证域时,需要注意的是:
· 该配置只对采用DHCP或DHCPv6分配IP地址的用户生效。
· 配置Portal认证前域时,请确保被引用的ISP域已创建。如果Portal认证前域引用的ISP域不存在或者引用过程中该ISP域被删除后,又重新创建该域,请删除Portal认证前域(执行undo portal [ ipv6 ] pre-auth domain命令)后重新配置。
表1-20 配置Portal认证前用户使用的认证域
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置Portal认证前用户使用的认证域 |
portal [ ipv6 ] pre-auth domain domain-name |
缺省情况下,接口上未配置Portal认证前用户使用的认证域 |
在Portal用户通过设备的子接口接入网络的组网环境中,当子接口上未配置IP地址,且用户需要通过DHCP获取地址时,就必须在用户进行Portal认证之前为其分配一个IP地址使其可以进行Portal认证。
Portal用户接入到开启了Portal的VLAN接口上后,该接口就会按照下面的规则为其分配IP地址:
· 如果VLAN接口上配置了IP地址,但没有配置认证前使用的地址池,则用户可以使用客户端上静态配置的IP地址或者通过DHCP获取分配的IP地址。
· 如果VLAN接口上配置了认证前使用的地址池,当用户通过DHCP获取IP地址时,接口从指定的认证前的地址池中为其分配IP地址;否则,用户使用客户端上静态配置的IP地址。但是如果VLAN接口上没有配置IP地址,则客户端使用静态IP地址将无法认证成功。
· 若VLAN接口上没有配置IP地址,且没有配置认证前使用的地址池,则用户无法进行认证。
Portal用户使用静态配置或动态获取的IP地址进行Portal认证,并通过认证后,认证服务器会为其下发授权IP地址池,且由DHCP重新为其分配IP地址。如果认证服务器未下发授权IP地址池,则用户继续使用认证之前获得的IP地址。
配置Portal认证前用户使用的地址池时,需要注意的是:
· 当使用VLAN接口上指定的IP地址池为认证前的Portal用户分配IP地址时,该指定的IP地址池必须存在且配置完整,否则无法为Portal用户分配IP地址,并导致用户无法进行Portal认证。
· 若Portal用户不进行认证,或认证失败,已分配的地址不会被收回。
表1-21 配置Portal认证前用户使用的地址池
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN接口视图 |
interface interface-type interface-number |
- |
配置Portal认证前用户使用的地址池 |
portal [ ipv6 ] pre-auth ip-pool pool-name |
缺省情况下,接口上未配置Portal认证前用户使用的地址池 |
VLAN接口或者无线服务模板上开启Portal授权信息的严格检查模式后,当认证服务器下发的授权ACL、User Profile在设备上不存在或者设备下发ACL、User Profile失败时,设备将强制Portal用户下线。严格检查模式用于配合服务器上的用户授权控制策略,它仅允许VLAN接口上成功下发了授权信息的用户在线。
若同时开启了对授权ACL和对授权User Profile的严格检查模式,则只要其中任意一个授权属性未通过严格授权检查,则用户就会下线。
表1-22 配置Portal授权信息严格检查模式(VLAN接口视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN接口视图 |
interface interface-type interface-number |
- |
开启Portal授权信息的严格检查模式 |
portal authorization { acl | user-profile } strict-checking |
缺省情况下,VLAN接口处于Portal授权信息的非严格检查模式。该模式下,当认证服务器下发的授权ACL、User Profile在设备上不存在或者设备下发ACL、User Profile失败时,允许Portal用户在线 |
表1-23 配置Portal授权信息严格检查模式(无线服务模板视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
开启Portal授权信息的严格检查模式 |
portal authorization { acl | user-profile } strict-checking |
缺省情况下,无线服务模板处于Portal授权信息的非严格检查模式。该模式下,当认证服务器下发的授权ACL、User Profile在设备上不存在或者设备下发ACL、User Profile失败时,允许Portal用户在线 |
在IPv6网络中,开启本功能后,无线客户端仍会使用临时IPv6地址进行Portal认证,从而导致认证失败须关闭临时IPv6地址。
为了保证只有合法IP地址的用户能够接入,可以在VLAN接口或无线服务模板上配置仅允许DHCP用户上线功能,配置此功能后,IP地址为静态配置的Portal认证用户将不能上线。
此配置不会影响已经在线的用户。
表1-24 配置Portal仅允许DHCP用户上线功能(接口视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN接口视图 |
interface interface-type interface-number |
- |
配置Portal仅允许DHCP或DHCPv6用户上线 |
portal [ ipv6 ] user-dhcp-only |
缺省情况下,仅允许通过DHCP或DHCPv6方式获取IP地址的客户端上线的功能处于关闭状态,通过DHCP或DHCPv6方式获取IP地址的客户端和配置静态IP地址的客户端都可以上线 |
表1-25 配置Portal仅允许DHCP用户上线功能(无线服务模板视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
配置Portal仅允许DHCP或DHCPv6用户上线功能 |
portal [ ipv6 ] user-dhcp-only |
缺省情况下,仅允许通过DHCP或DHCPv6方式获取IP地址的客户端上线的功能处于关闭状态,通过DHCP或DHCPv6方式获取IP地址的客户端和配置静态IP地址的客户端都可以上线 |
缺省情况下,开启了Portal认证的VLAN接口或无线服务模板,发送的报文不受Portal过滤规则的限制,即允许发送所有报文。当需要对此类VLAN接口或无线服务模板发送的报文进行严格控制时,可以在VLAN接口或无线服务模板上开启Portal出方向报文过滤功能。开启该功能后,在开启了Portal认证的VLAN接口或无线服务模板上,仅当出方向的报文目的IP地址是已通过Portal认证的用户IP地址或满足已配置的免认证规则,才发送该报文,否则丢弃报文。
表1-26 配置Protal出方向报文过滤
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN接口视图 |
interface interface-type interface-number |
- |
开启Portal出方向报文过滤功能 |
portal [ ipv6 ] outbound-filter enable |
缺省情况下,Portal出方向的报文过滤功能处于关闭状态 |
表1-27 配置Portal出方向报文过滤(无线服务模板视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
开启Portal出方向报文过滤功能 |
portal [ ipv6 ] outbound-filter enable |
缺省情况下,Portal出方向的报文过滤功能处于关闭状态 |
IPv4探测类型为ARP或ICMP,IPv6探测类型为ND或ICMPv6。
根据探测类型的不同,设备有以下两种探测机制:
· 当探测类型为ICMP/ICMPv6时,若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户定期(interval interval)发送探测报文。如果在指定探测次数(retry retries)之内,设备收到了该用户的响应报文,则认为用户在线,且停止发送探测报文,重复这个过程,否则,强制其下线。
· 当探测类型为ARP/ND时,若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户发送ARP/ND请求报文。设备定期(interval interval)检测用户ARP/ND表项是否被刷新过,如果在指定探测次数(retry retries)内用户ARP/ND表项被刷新过,则认为用户在线,且停止检测用户ARP/ND表项,重复这个过程,否则,强制其下线。
表1-28 配置IPv4 Portal用户在线探测功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN接口视图 |
interface interface-type interface-number |
- |
开启IPv4 Portal用户在线探测功能 |
portal user-detect type { arp | icmp } [ retry retries ] [ interval interval ] [ idle time ] |
缺省情况下,VLAN接口上的IPv4 Portal用户在线探测功能处于关闭状态 |
表1-29 配置IPv6 Portal用户在线探测功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN接口视图 |
interface interface-type interface-number |
- |
开启IPv6 Portal用户在线探测功能 |
portal ipv6 user-detect type { icmpv6 | nd } [ retry retries ] [ interval interval ] [ idle time ] |
缺省情况下,VLAN接口上的IPv6 Portal用户在线探测功能处于关闭状态 |
在Portal认证的过程中,如果接入设备与Portal认证服务器的通信中断,则会导致新用户无法上线,已经在线的Portal用户无法正常下线的问题。为解决这些问题,需要接入设备能够及时探测到Portal认证服务器可达状态的变化,并能触发执行相应的操作来应对这种变化带来的影响。
开启Portal认证服务器的可达性探测功能后,无论是否有接口上开启了Portal认证,设备会定期检测Portal认证服务器发送的报文(例如,用户上线报文、用户下线报文、心跳报文)来判断服务器的可达状态:若设备在指定的探测超时时间(timeout timeout)内收到Portal报文,且验证其正确,则认为此次探测成功且服务器可达,否则认为此次探测失败,服务器不可达。
当接入设备检测到Portal认证服务器可达或不可达状态改变时,可执行以下一种或多种操作:
· 发送Trap信息:Portal认证服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息。Trap信息中记录了Portal认证服务器名以及该服务器的当前状态。
· 发送日志:Portal认证服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal认证服务器名以及该服务器状态改变前后的状态。
· Portal用户逃生:Portal认证服务器不可达时,暂时取消接口上进行的Portal认证,允许该接口接入的所有Portal用户访问网络资源。之后,若设备收到Portal认证服务器发送的报文,则恢复该端口的Portal认证功能。该功能的详细配置请参见“1.10 配置Portal用户逃生功能”。
配置Portal认证服务器的可达性探测功能时,需要注意:
· 目前,只有iMC的Portal认证服务器支持发送心跳报文,由于心跳报文是周期性发送的,所以iMC的Portal认证服务器可以更好得与设备配合,使其能够及时而准确地探测到它的可达性状态。如果要采用心跳报文探测Portal服务器的可达性,服务器上必须保证逃生心跳功能处于开启状态。
· 设备配置的探测超时时间(timeout timeout)必须大于服务器上配置的逃生心跳间隔时间。
· 如果同时指定了多种操作,则Portal认证服务器可达状态改变时系统可并发执行多种操作。
表1-30 配置Portal认证服务器的可达性探测功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入Portal认证服务器视图 |
portal server server-name |
- |
开启Portal认证服务器的可达性探测功能 |
server-detect [ timeout timeout ] { log | trap } * |
缺省情况下,Portal服务器可达性探测功能处于关闭状态 |
在Portal认证的过程中,如果接入设备与Portal Web服务器的通信中断,将无法完成整个认证过程,因此必须对Portal Web服务器的可达性进行探测。
由于Portal Web服务器用于对用户提供Web服务,不需要和设备交互报文,因此无法通过发送某种协议报文的方式来进行可达性检测。无论是否有VLAN接口上开启了Portal认证,开启了Portal Web服务器的可达性探测功能之后,接入设备采用模拟用户进行Web访问的过程来实施探测:接入设备主动向Portal Web服务器发起TCP连接,如果连接可以建立,则认为此次探测成功且服务器可达,否则认为此次探测失败。
· 探测参数
¡ 探测间隔:进行探测尝试的时间间隔。
¡ 失败探测的最大次数:允许连续探测失败的最大次数。若连续探测失败数目达到此值,则认为服务器不可达。
· 可达状态改变时触发执行的操作(可以选择其中一种或同时使用多种)
¡ 发送Trap信息:Portal Web服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息。Trap信息中记录了Portal Web服务器名以及该服务器的当前状态。
¡ 发送日志:Portal Web服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal Web服务器名以及该服务器状态改变前后的状态。
¡ Portal用户逃生:Portal Web服务器不可达时,暂时取消端口进行的Portal认证,允许该端口接入的所有Portal用户访问网络资源。之后,若Portal Web服务器可达,则恢复该端口的Portal认证功能。该功能的详细配置请参见“1.10 配置Portal用户逃生功能”。
表1-31 配置Portal Web服务器的可达性探测功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入Portal Web服务器视图 |
portal web-server server-name |
- |
开启Portal Web服务器的可达性探测功能 |
server-detect [ interval interval ] [ retry retries ] { log | trap } * |
缺省情况下,Portal Web认证服务器的可达性探测功能处于关闭状态 |
为了解决接入设备与Portal认证服务器通信中断后,两者的Portal用户信息不一致问题,设备提供了一种Portal用户信息同步功能。该功能利用了Portal同步报文的发送及检测机制,具体实现如下:
(1) 由Portal认证服务器周期性地(周期为Portal认证服务器上指定的用户心跳间隔值)将在线用户信息通过用户同步报文发送给接入设备;
(2) 接入设备在用户上线之后,即开启用户同步检测定时器(超时时间为timeout timeout),在收到用户同步报文后,将其中携带的用户列表信息与自己的用户列表信息进行对比,如果发现同步报文中有设备上不存在的用户信息,则将这些自己没有的用户信息反馈给Portal认证服务器,Portal认证服务器将删除这些用户信息;如果发现接入设备上的某用户信息在一个用户同步报文的检测超时时间内,都未在该Portal认证服务器发送过来的用户同步报文中出现过,则认为Portal认证服务器上已不存在该用户,设备将强制该用户下线。
使用Portal用户信息同步功能时,需要注意:
· 只有在支持Portal用户心跳功能(目前仅iMC的Portal认证服务器支持)的Portal认证服务器的配合下,本功能才有效。为了实现该功能,还需要在Portal认证服务器上选择支持用户心跳功能,且服务器上配置的用户心跳间隔要小于等于设备上配置的检测超时时间。
· 在设备上删除Portal认证服务器时将会同时删除该服务器的用户信息同步功能配置。
表1-32 配置Portal用户信息同步功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入Portal认证服务器视图 |
portal server server-name |
- |
开启Portal用户信息同步功能 |
user-sync timeout timeout |
缺省情况下,Portal用户信息同步功能处于关闭状态 |
Portal用户逃生功能可在Portal认证服务器不可达或Portal Web服务器不可达时生效。当接入设备探测到Portal认证服务器或者Portal Web服务器不可达时,将打开VLAN接口或无线服务模板上的网络限制,允许Portal用户不经过认证即可访问网络资源。
如果VLAN接口上同时开启了两种类型的Portal用户逃生功能,则当所有的Portal Web服务器都不可达或者指定的Portal认证服务器不可达时,暂停VLAN接口上的Portal认证功能;当指定的Portal认证服务器与至少一个Portal Web服务器均恢复可达后,VLAN接口上的Portal认证功能将重新启动。在Portal认证功能重新启动之后,服务器不可达之前以及逃生期间未认证的用户需要通过认证之后才能访问网络资源,已通过认证的Portal用户不受影响。
同一个VLAN接口或无线服务模板上,只有当主Portal Web服务器和备份Portal Web服务器都不可达的时候,设备才会认为Portal Web服务器不可达。
表1-33 配置Portal用户逃生功能(接口视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN接口视图 |
interface interface-type interface-number |
- |
开启Portal认证服务器不可达时的Portal用户逃生功能 |
portal [ ipv6 ] fail-permit server server-name |
缺省情况下,Portal认证服务器不可达时的Portal用户逃生功能处于关闭状态 |
开启Portal Web服务器不可达时的Portal用户逃生功能 |
portal [ ipv6 ] fail-permit web-server |
缺省情况下,Portal Web服务器不可达时的Portal用户逃生功能处于关闭状态 |
表1-34 配置Portal用户逃生功能(无线服务模板视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
开启Portal Web服务器不可达时的Portal用户逃生功能 |
portal [ ipv6 ] fail-permit web-server |
缺省情况下,Portal Web服务器不可达时的Portal用户逃生功能处于关闭状态 |
设备上运行Portal 2.0版本时,主动发送给Portal认证服务器的报文(例如强制用户下线报文)中必须携带BAS-IP属性。设备上运行Portal 3.0版本时,主动发送给Portal认证服务器的报文必须携带BAS-IP或者BAS-IPv6属性。
如果VLAN接口或无线服务模板上使能了IPv4 Portal认证,则可以设置BAS-IP属性值;如果VLAN接口上使能了IPv6 Portal认证,则可以设置BAS-IPv6属性值。
配置此功能后,设备主动发送的通知类Portal报文,其源IP地址为配置的BAS-IP或BAS-IPv6属性值,否则为Portal报文出接口的IP地址。
表1-35 配置发送给Portal认证服务器的Portal报文的BAS-IP属性(VLAN接口视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN接口视图 |
interface interface-type interface-number |
- |
配置发送给Portal认证服务器的IPv4 Portal报文的BAS-IP属性 |
portal bas-ip ipv4-address |
缺省情况下,发送给Portal认证服务器的响应类的IPv4 Portal报文中携带的BAS-IP属性为报文的源IPv4地址,通知类IPv4 Portal报文中携带的BAS-IP属性为报文出接口的IPv4地址 |
配置发送给Portal认证服务器的IPv6 Portal报文的BAS-IPv6属性 |
portal bas-ipv6 ipv6-address |
缺省情况下,发送给Portal认证服务器的响应类的IPv6 Portal报文中携带的BAS-IPv6属性为报文的源IPv6地址,通知类IPv6 Portal报文中携带的BAS-IPv6属性为报文出接口的IPv6地址 |
表1-36 配置发送给Portal认证服务器的Portal报文的BAS-IP属性(无线服务模板视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
配置发送给Portal认证服务器的IPv4 Portal报文的BAS-IP属性 |
portal bas-ip ipv4-address |
缺省情况下,发送给Portal认证服务器的响应类的IPv4 Portal报文中携带的BAS-IP属性为报文的源IPv4地址,通知类IPv4 Portal报文中携带的BAS-IP属性为报文出接口的IPv4地址 |
配置发送给Portal认证服务器的IPv6 Portal报文的BAS-IPv6属性 |
portal bas-ipv6 ipv6-address |
缺省情况下,发送给Portal认证服务器的响应类的IPv6 Portal报文中携带的BAS-IPv6属性为报文的源IPv6地址,通知类IPv6 Portal报文中携带的BAS-IPv6属性为报文出接口的IPv6地址 |
通过配置接入设备的ID,使得接入设备向Portal服务器发送的协议报文中携带一个属性,此属性用于向Portal服务器标识发送协议报文的接入设备。
表1-37 配置接入设备的ID
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置接入设备的ID |
portal device-id device-id |
缺省情况下,未配置任何设备的ID |
Portal用户漫游功能允许同属一个VLAN的用户在VLAN内漫游,即只要Portal用户在某VLAN接口通过认证,则可以在该VLAN内的任何二层端口上访问网络资源,且移动接入端口时无须重复认证。若VLAN接口上未开启该功能,则在线用户在同一个VLAN内其它端口接入时,将无法访问外部网络资源,必须首先在原端口正常下线之后,才能在其它端口重新认证上线。
配置Portal用户漫游功能时,需要注意的是:
· 该功能只对通过VLAN接口上线的用户有效,对于通过普通三层接口上线的用户无效。
· 设备上有用户在线或认证前域用户的情况下,不能配置此功能。
表1-38 配置Portal用户漫游功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能Portal用户漫游功能 |
portal roaming enable |
缺省情况下,Portal用户漫游功能处于开启状态 |
不同厂商的RADIUS服务器对RADIUS报文中的NAS-Port-ID属性格式要求不同,可修改设备发送的RADIUS报文中填充的NAS-Port-ID属性的格式。设备支持四种属性格式,分别为format 1和format 2、format 3和format 4,这四种属性格式具体要求请参见“安全命令参考”中的“Portal”。
表1-39 配置RADIUS NAS-Port-ID属性格式
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置NAS-Port-ID属性的格式 |
portal nas-port-id format { 1 | 2 | 3 | 4 } |
缺省情况下,NAS-Port-ID属性的格式为format 2 |
通过配置强制在线用户下线可以终止对用户的Portal认证过程,或者将已经通过认证的Portal用户删除。多机备份环境中,在互为备份的任意一台设备上执行强制在线Portal用户下线命令,互为备份的所有设备上的在线Portal用户都将下线。
当在线用户数目超过2000时,执行命令强制在线用户下线需要几分钟的时间,在此期间,请勿进行双机主备切换、关闭接口上Portal功能、断开VSRP连接、单机主备切换等操作;否则会导致在线用户删除操作不能正常完成。
表1-40 配置强制Portal用户下线
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
强制指定的在线IPv4 Portal用户或所有在线Portal用户下线 |
portal delete-user { ipv4-address | all | interface interface-type interface-number } |
- |
强制指定的在线IPv6 Portal用户或所有在线Portal用户下线 |
portal delete-user { all | interface interface-type interface-number | ipv6 ipv6-address } |
- |
VLAN接口或无线服务模板上配置了Web重定向功能后,当该VLAN接口或无线服务模板上接入的用户初次通过Web页面访问外网时,设备会将用户的初始访问页面重定向到指定的URL页面,之后用户才可以正常访问外网。经过一定时长(interval)后,设备又可以将用户要访问的网页或者正在访问的网页重定向到指定的URL页面。Web重定向功能是一种简化的Portal功能,它不需要用户通过Web访问外部网络之前提供用户名和密码,可通过对用户访问的网页定期重定向的方式为网络服务提供商的业务拓展提供方便,例如可以在重定向的页面上开展广告、信息发布等业务。
配置Web重定向功能时,需要注意的是:
· Web重定向功能仅对使用默认端口号80的HTTP协议报文生效。
· 无线服务模板下可以同时开启Web重定向功能和Portal功能,并且同时生效。
表1-41 配置Web重定向功能(VLAN接口视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN接口视图 |
interface interface-type interface-number |
- |
配置Web重定向功能 |
web-redirect [ ipv6 ] url url-string [ interval interval ] |
缺省情况下,Web重定功能处于关闭状态 |
表1-42 配置Web重定向功能(无线服务模板视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
配置Web重定向功能 |
web-redirect [ ipv6 ] url url-string [ interval interval ] |
缺省情况下,Web重定功能处于关闭状态 |
用户的接入VLAN可标识用户的接入位置,而在某些应用环境中,网络运营商需要使用接入设备发送给RADIUS服务器的NAS-Identifier属性值来标识用户的接入位置,因此接入设备上需要建立用户接入VLAN与指定的NAS-ID之间的绑定关系。当接口上有Portal用户上线时,若该VLAN接口上指定了NAS-ID Profile,则接入设备会根据指定的Profile名字和用户接入的VLAN来获取与此VLAN绑定的NAS-ID,此NAS-ID的值将作为向RADIUS服务器发送的RADIUS请求报文中的NAS-Identifier属性值。
需要注意的是,如果VLAN接口上指定了NAS-ID Profile,则此Profile中定义的绑定关系优先使用;如果未指定NAS-ID Profile或指定的Profile中没有找到匹配的绑定关系,则使用设备名作为NAS-ID。
表1-43 配置接口的NAS-ID Profile
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建NAS-ID Profile,并进入NAS-ID-Profile视图 |
aaa nas-id profile profile-name |
该命令的具体情况请参见“安全命令参考”中的“AAA” |
设置NAS-ID与VLAN的绑定关系 |
nas-id nas-identifier bind vlan vlan-id |
该命令的具体情况请参见“安全命令参考”中的“AAA” |
退回系统视图 |
quit |
- |
进入VLAN接口视图 |
interface interface-type interface-number |
- |
指定引用的NAS-ID Profile |
portal nas-id-profile profile-name |
缺省情况下,未指定引用的NAS-ID Profile |
如果接口上已开启Portal认证功能,同时引用的Portal Web服务器中的URL地址为设备自身的IP地址,那么配置本地Portal Web服务器功能后,用户上线认证过程中,设备会使用本地Portal Web服务器向用户推出认证页面。认证页面的内容和样式可以由用户自定义,也可以使用设备自带的缺省认证页面。
在无线应用环境中,可以给属于不同SSID(Service Set Identifier,服务集标识符)和设备类型(例如苹果、三星设备等)的用户绑定不同的认证页面,系统向用户推出认证页面的选择顺序为:与用户SSID及设备类型绑定的认证页面-->缺省认证页面。
用户自定义的认证页面为HTML文件的形式,压缩后保存在设备的存储介质的根目录中。每套认证页面可包括六个主索引页面(登录页面、登录成功页面、登录失败页面、在线页面、系统忙碌页面、下线成功页面)及其页面元素(认证页面需要应用的各种文件,如Logon.htm页面中的back.jpg),每个主索引页面可以引用若干页面元素。
用户在自定义这些页面时需要遵循一定的规范,否则会影响本地Portal Web服务器功能的正常使用和系统运行的稳定性。
主索引页面文件名不能自定义,必须使用表1-44中所列的固定文件名。
主索引页面 |
文件名 |
登录页面 |
logon.htm |
登录成功页面 |
logonSuccess.htm |
登录失败页面 |
logonFail.htm |
在线页面 用于提示用户已经在线 |
online.htm |
系统忙页面 用于提示系统忙或者该用户正在登录过程中 |
busy.htm |
下线成功页面 |
logoffSuccess.htm |
主索引页面文件之外的其他文件名可由用户自定义,但需注意文件名和文件目录名中不能含有中文且字符不区分大小写。
本地Portal Web服务器只能接受Get请求和Post请求。
· Get请求用于获取认证页面中的静态文件,其内容不能为递归内容。例如,Logon.htm文件中包含了Get ca.htm文件的内容,但ca.htm文件中又包含了对Logon.htm的引用,这种递归引用是不允许的。
· Post请求用于用户提交用户名和密码以及用户执行登录、下线操作。
(1) 认证页面中表单(Form)的编辑必须符合以下原则:
· 认证页面可以含有多个Form,但是必须有且只有一个Form的action=logon.cgi,否则无法将用户信息送到本地Portal服务器。
· 用户名属性固定为”PtUser”,密码属性固定为”PtPwd”。
· 需要有用于标记用户登录还是下线的属性”PtButton”,取值为"Logon"表示登录,取值为"Logoff"表示下线。
· 登录Post请求必须包含”PtUser”,”PtPwd”和"PtButton"三个属性。
· 下线Post请求必须包含”PtButton”这个属性。
(2) 需要包含登录Post请求的页面有logon.htm和logonFail.htm。
logon.htm页面脚本内容的部分示例:
<form action=logon.cgi method = post >
<p>User name:<input type="text" name = "PtUser" style="width:160px;height:22px" maxlength=64>
<p>Password :<input type="password" name = "PtPwd" style="width:160px;height:22px" maxlength=32>
<p><input type=SUBMIT value="Logon" name = "PtButton" style="width:60px;" onclick="form.action=form.action+location.search;>
</form>
(3) 需要包含下线Post请求的页面有logonSuccess.htm和online.htm。
online.htm页面脚本内容的部分示例:
<form action=logon.cgi method = post >
<p><input type=SUBMIT value="Logoff" name="PtButton" style="width:60px;">
</form>
· 完成所有认证页面的编辑之后,必须按照标准Zip格式将其压缩到一个Zip文件中,该Zip文件的文件名只能包含字母、数字和下划线。设备自带的缺省页面文件名为“defaultfile.zip”,存放在设备存储介质的根目录下。用户在上传其他页面文件时,请不要使用与“defaultfile.zip”相同的文件名,也不要将其删除。
· 压缩后的Zip文件中必须直接包含认证页面,不允许存在间接目录。
· 压缩生成的Zip文件可以通过FTP或TFTP的二进制方式上传至设备,并保存在设备的根目录下。
Zip文件保存目录示例:
<Sysname> dir
Directory of flash:
0 -rw- 1405 Feb 28 2008 15:53:31 ssid2.zip
1 -rw- 1405 Feb 28 2008 15:53:20 ssid1.zip
2 -rw- 1405 Feb 28 2008 15:53:39 ssid3.zip
3 -rw- 1405 Feb 28 2008 15:53:44 ssid4.zip
2540 KB total (1319 KB free)
若要支持认证成功后认证页面的自动跳转功能,即认证页面会在用户认证成功后自动跳转到指定的网站页面,则需要在认证页面logon.htm和logonSuccess.htm的脚本文件中做如下改动。
(1) 将logon.htm文件中的Form的target值设置为“_blank”。
修改的脚本内容如下突出显示部分所示:
<form method=post action=logon.cgi target="_blank">
(2) logonSucceess.htm文件添加页面加载的初始化函数“pt_init()”。
增加的脚本内容如下突出显示部分所示:
<html>
<head>
<title>LogonSuccessed</title>
<script type="text/javascript" language="javascript" src="pt_private.js"></script>
</head>
<body onload="pt_init();" onbeforeunload="return pt_unload();">
... ...
</body>
</html>
若指定本地Portal Web服务器支持的协议类型为HTTPS,且HTTPS服务将关联自定义的SSL服务器端策略,则需要首先完成以下配置:
· 配置PKI策略,并成功申请本地证书和CA证书,具体配置请参见“安全配置指导”中的“PKI”。
· 配置SSL服务器端策略,并指定使用已配置的PKI域。具体配置请参见“安全配置指导”中的“SSL”。
表1-45 配置本地Portal Web 服务器
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建并进入本地Portal Web服务器视图 |
portal local-web-server { http | https [ ssl-server-policy policy-name ] [ tcp-port port-number ] } |
缺省情况下,不存在本地Protal Web服务器 |
配置本地Portal Web服务器提供的缺省认证页面文件 |
default-logon-page filename |
缺省情况下,本地Portal Web 服务器提供一套缺省认证页面文件 |
(可选)配置本地Portal Web服务器的HTTP/HTTPS服务侦听的TCP端口号 |
tcp-port port-number |
缺省情况下,HTTP服务侦听的TCP端口号为80,HTTPS服务侦听的TCP端口号为portal local-web-serve命令指定的TCP端口号,不指定默认为443 |
(可选)配置根据SSID、终端设备名称和设备类型,实现Portal用户认证页面的定制功能 |
logon-page bind { device-type { computer | pad | phone } | device-name device-name | ssid ssid-name } * file file-name |
缺省情况下,未配置SSID、终端设备名称或终端设备类型与任何定制页面文件的绑定关系 |
用户在无线服务模板上开启Portal认证时需要开启本功能。
缺省情况下,设备仅根据ARP表项对无线Portal客户端进行合法性检查。在采用本地转发模式的无线组网环境中,AC上没有Portal客户端的ARP表项,为了保证合法用户可以进行Portal认证,需要开启无线Portal客户端合法性检查功能。本功能开启后,当设备收到未认证Portal用户的认证报文后,将使用WLAN Snooping表、DHCP Snooping表和ARP表对其进行合法性检查。如果在这三个表中查询到该Portal客户端信息,则认为其合法并允许进行Portal认证。
表1-46 配置无线Portal客户端合法性检查功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启无线Portal客户端合法性检查功能 |
portal host-check enable |
缺省情况下,设备仅根据ARP表项对Portal客户端进行合法性检查 |
通过配置无线Portal用户自动下线功能,可以在无线客户端断开无线连接时,自动将该客户端上的Portal用户下线。
表1-47 配置无线Portal用户自动下线功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启无线Portal用户自动下线功能 |
portal user-logoff after-client-offline enable |
缺省情况下,无线客户端断开无线连接后,Portal用户不会自动下线 |
短时间内Portal客户端的频繁上下线可能会造成Portal认证失败,此时需要关闭Portal客户端ARP/ND表项固化功能。关闭本功能后,Portal用户下线后,相应的表项将会老化。
在某一时刻开启了本功能,则在此之后认证成功的Portal用户的ARP或ND表项会被固化,在此之前认证成功的Portal用户的ARP或ND表项依然会老化。
在某一时刻关闭了本功能,则在此之后认证成功的Portal用户的ARP或ND表项会老化,在此之前认证成功的Portal用户的ARP或ND表项已被固化不受影响。
表1-48 配置Portal客户端ARP/ND表项固化功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启Portal客户端ARP/ND表项固化功能 |
portal refresh { arp | nd } enable |
缺省情况下,Portal客户端ARP表项、ND表项固化功能均处于关闭状态 |
关闭Portal客户端ARP/ND表项固化功能 |
undo portal refresh { arp | nd } enable |
用户进行Portal认证时,设备可将其HTTPS请求重定向到Portal Web服务器上。在建立SSL连接过程中,用户浏览器可能会出现“使用的证书不安全”的告警。若要避免此告警,需要通过配置自定义SSL服务器端策略在设备上安装用户浏览器信任的证书。该自定义SSL服务器端策略的策略名必须为https_redirect。有关SSL服务器端策略配置的详细介绍,请参见“安全配置指导”中的“SSL”;有关安装证书的详细介绍,请参见“安全配置指导”中的“PKI”。
表1-49 配置HTTPS重定向功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建SSL服务器端策略,并进入SSL服务器端策略视图 |
ssl server-policy policy-name |
缺省情况下,不存在任何SSL服务器端策略 有关本命令的详细介绍,请参见“安全命令参考”中的“SSL” |
基于MAC地址的快速认证配置包括以下两个步骤:
(1) 配置远程或本地MAC绑定服务器
(2) 在VLAN接口或服务模板上应用MAC绑定服务器
设备支持配置多个MAC绑定服务器,每个MAC绑定服务器拥有独立的视图,可以用于配置MAC绑定服务器的相关参数,包括服务器的IP地址、服务器的端口号、服务器所在的VPN实例以及设备和服务器间通信的共享密钥等。
表1-50 配置远程MAC绑定服务器
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建MAC绑定服务器并进入MAC绑定服务器视图 |
portal mac-trigger-server server-name |
缺省情况下,不存在MAC绑定服务器 |
配置MAC绑定服务器的IP地址 |
ip ipv4-address [ key { cipher | simple } string ] |
缺省情况下,未配置MAC绑定服务器的IP地址 |
(可选)配置用户免认证流量的阈值 |
free-traffic threshold value |
缺省情况下,用户免认证流量的阈值为0字节 |
(可选)配置设备发送的RADIUS请求报文中的NAS-Port-Type属性值 |
nas-port-type value |
缺省情况下,设备发送的RADIUS请求报文中的NAS-Port-Type属性值为0 |
(可选)配置MAC绑定服务器监听查询报文的UDP端口号 |
port port-number |
缺省情况下,MAC绑定服务器监听查询报文的UDP端口号是50100 |
(可选)配置设备向MAC绑定服务器发起MAC查询的最大次数和时间间隔 |
binding-retry { retries | interval interval } * |
缺省情况下,设备发起MAC查询的最大次数为3次,发起MAC查询的时间间隔为1秒 |
(可选)配置MAC绑定服务器的服务类型 |
server-type { cmcc | imc } |
缺省情况下,MAC绑定服务器的服务类型为iMC |
(可选)配置Portal协议报文的版本号 |
version version-number |
缺省情况下,Portal协议报文的版本号为1 |
(可选)配置设备收到MAC绑定服务器的查询响应消息后,等待Portal认证完成的超时时间 |
authentication-timeout minutes |
缺省情况下,设备收到MAC绑定服务器查询回复消息后,等待Portal认证完成的超时时间为3分钟 |
(可选)配置MAC-Trigger表项老化时间 |
aging-time seconds |
缺省情况下,MAC-trigger表项老化时间为300秒 |
(可选)配置若用户在基于MAC地址的快速认证过程中AAA认证失败,则设备直接发起Portal认证 |
aaa-fail nobinding enable |
缺省情况下,若用户在基于MAC地址的快速认证过程中AAA认证失败,则用户报文将触发基于MAC地址的快速认证流程 |
当配置本地MAC-trigger认证时,MAC绑定服务器就是接入设备本身且用户必须进行本地Portal认证。设备支持配置多个MAC绑定服务器,每个MAC绑定服务器拥有独立的视图,可以用于配置MAC绑定服务器的相关参数。
表1-51 配置本地MAC绑定服务器
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建MAC绑定服务器并进入MAC绑定服务器视图 |
portal mac-trigger-server server-name |
缺省情况下,不存在MAC绑定服务器 |
开启Portal本地MAC-trigger认证功能 |
local-binding enable |
缺省情况下,Portal本地MAC-trigger认证功能处于关闭状态 |
(可选)配置用户免认证流量的阈值 |
free-traffic threshold value |
缺省情况下,用户免认证流量的阈值为0字节 |
(可选)配置本地MAC-trigger绑定表项的老化时间 |
local-binding aging-time minutes |
缺省情况下,本地MAC-trigger绑定表项的老化时间为720分钟 |
在VLAN接口上应用MAC绑定服务器,可以为通过该VLAN接口接入网络的用户提供基于MAC地址的快速认证服务。
表1-52 在VLAN接口上应用MAC绑定服务器
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN接口视图 |
interface interface-type interface-number |
只能是VLAN接口 |
在VLAN接口上应用MAC绑定服务器 |
portal apply mac-trigger-server server-name |
缺省情况下,未应用MAC绑定服务器 |
在无线服务模板上应用MAC绑定服务器,可以为使用该服务模板接入网络的用户提供基于MAC地址的快速认证服务。
表1-53 在无线服务模板上应用MAC绑定服务器
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
在无线服务模板上应用MAC绑定服务器 |
portal apply mac-trigger-server server-name |
缺省情况下,未应用MAC绑定服务器 |
RADIUS标准属性NAS-Port-Type用于表示用户接入的端口类型。当接口或无线服务模板上有Portal用户上线时候,若该接口或无线服务模板上配置了NAS-Port-Type,则使用本命令配置的值作为向RADIUS服务器发送的RADIUS请求报文的NAS-Port-Type属性值,否则使用接入设备获取到的用户接入的端口类型填充该属性。
若作为Portal认证接入设备的BAS(Broadband Access Server,宽带接入服务器)与Portal客户端之间跨越了多个网络设备,则可能无法正确获取到接入用户的实际端口信息,例如对于Portal认证接入的无线客户端,BAS获取到的接入端口类型有可能是设备上认证该用户的有线接口类型。因此,为保证BAS能够向RADIUS服务器正确传递用户的接入端口信息,需要网络管理员在了解用户的实际接入环境后,通过本命令指定相应的NAS-Port-Type。
表1-21配置NAS-Port-Type(接口视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN接口视图 |
interface interface-type interface-number |
- |
配置NAS-Port-Type |
portal nas-port-type { ethernet | wireless } |
必选 缺省情况下,接入设备向RADIUS服务器发送的RADIUS请求报文中的NAS-Port-Type属性值为接入设备获取到的用户接入的端口类型值 |
表1-54 配置NAS-Port-Type(无线服务模板视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
配置NAS-Port-Type |
portal nas-port-type { ethernet | wireless } |
必选 缺省情况下,接入设备向RADIUS服务器发送的RADIUS请求报文中的NAS-Port-Type属性值为接入设备获取到的用户接入的端口类型值 |
Portal安全重定向功能是根据HTTP报文的请求方法、产生HTTP报文的浏览器类型和访问网络的目的URL这些特征,有针对性的将一些HTTP请求报文丢弃,不再重定向到Portal Web服务器,从而有效的减轻了Portal Web服务器的负担,降低因大量HTTP请求造成的Portal服务器资源耗尽无法响应正常认证请求的风险。
浏览器类型 |
描述 |
Safari |
苹果浏览器 |
Chrome |
谷歌浏览器 |
Firefox |
火狐浏览器 |
UC |
UC浏览器 |
QQBrowser |
QQ浏览器 |
LBBROWSER |
猎豹浏览器 |
TaoBrowser |
淘宝浏览器 |
Maxthon |
傲游浏览器 |
BIDUBrowser |
百度浏览器 |
MSIE 10.0 |
微软IE 10.0浏览器 |
MSIE 9.0 |
微软IE 9.0浏览器 |
MSIE 8.0 |
微软IE 8.0浏览器 |
MSIE 7.0 |
微软IE 7.0浏览器 |
MSIE 6.0 |
微软IE 6.0浏览器 |
MetaSr |
搜狗浏览器 |
表1-56 配置Portal安全重定向功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启Portal安全重定向功能 |
portal safe-redirect enable |
缺省情况下,Portal安全重定向功能处于关闭状态 |
(可选)配置Portal安全重定向允许的HTTP协议的请求方法 |
portal safe-redirect method { get | post } * |
缺省情况下,未配置HTTP协议的请求方法 Portal安全重定向功能开启后,HTTP协议的请求方法缺省为GET |
(可选)匹配Portal安全重定向允许的HTTP User Agent中的浏览器类型 |
portal safe-redirect user-agent user-agent-string |
缺省情况下,未配置匹配Portal安全重定向允许的HTTP User Agent中的浏览器类型 Portal安全重定向功能开启后,默认与表1-55中的所有浏览器类型匹配的HTTP报文都能被Portal重定向 |
(可选)配置Portal安全重定向禁止的URL地址 |
portal safe-redirect forbidden-url user-url-string |
缺省情况下,Portal可以对任意URL地址的HTTP请求报文进行重定向 |
(可选)配置Portal安全重定向禁止URL携带指定扩展名的文件 |
portal safe-redirect forbidden-file filename-extension |
缺省情况下,Portal安全重定向允许URL携带任意扩展名的文件 |
当客户端数据报文转发位置配置在AP上时,AP会定期向AC上报流量统计信息。
表1-57 配置AP给AC上报流量统计信息的时间间隔
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置AP给AC上报流量统计信息时间间隔 |
portal client-traffic-report interval interval |
缺省情况下,AP给AC上报流量统计信息的时间间隔为60秒 |
由于不同的Portal认证服务器对Portal协议报文中的属性字段支持情况不同,如果设备发送给Portal认证服务器的Portal协议报文中携带了服务器不支持的属性字段,会导致设备和Portal认证服务器不能通信。
通过配置本特性,可以指定设备发送的Portal协议报文中不携带Portal认证服务器不支持的属性字段,从而避免因设备和Portal认证服务器不通导致Portal认证失败。
表1-58 配置Portal协议报文中不携带的属性字段(Portal认证服务器视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入Portal认证服务器视图 |
portal server server-name |
- |
配置Portal协议报文中不携带的属性字段 |
exclude-attribute number { ack-auth | ntf-logout | ack-logout } |
缺省情况下,未配置Portal协议报文中不携带的属性字段 |
表1-59 配置Portal协议报文中不携带的属性字段(MAC绑定服务器视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入MAC绑定服务器视图 |
portal mac-trigger-server server-name |
- |
配置Portal协议报文中不携带的属性字段 |
exclude-attribute attribute-number |
缺省情况下,未配置Portal协议报文中不携带的属性字段 |
为了满足网络管理员安全审计的需要,可以开启Portal日志功能,以便对Portal认证信息进行记录。
设备生成的Portal日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
表1-60 开启Portal日志功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启Portal用户上/下线日志功能 |
portal user log enable |
缺省情况下,Portal用户上/下线日志功能处于关闭状态 |
开启Portal协议报文的日志功能 |
portal packet log enable |
缺省情况下,Portal协议报文的日志功能处于关闭状态 |
开启Portal重定向日志功能 |
portal redirect log enable |
缺省情况下,Portal重定向日志功能处于关闭状态 |
通常Portal认证需要用户自己搭建Portal认证服务器和Portal Web服务器,并需要创建专门用于Portal认证的用户名和密码,增加了用户的管理和维护成本。随着第三方账号的普及,设备支持配置QQ或者邮箱服务器作为第三方Portal认证服务器,完成Portal认证的功能。
· 在使用第三方认证时,网络管理员需要在Portal Web页面上增加QQ或邮箱认证按钮,终端用户点击按钮后可直接跳转到第三方认证页面,使用已有的QQ号或邮箱账号来进行Portal认证。
· 在使用QQ认证功能前,网络管理员必须先到QQ互联平台http://connect.qq.com/intro/login进行应用接入申请,申请时需要使用合法的QQ号和QQ认证成功之后终端用户访问的页面地址(通过redirect-url命令配置)。申请验证通过后网络管理员可从QQ互联平台获得app-id和app-key。当终端用户通过QQ认证后,QQ认证服务器会发送授权码给Portal Web服务器,Portal Web服务器会将获得的授权码、app-id以及app-key发送到QQ认证服务器进行再次验证,以获知终端用户是否已通过QQ认证。
· 在进行邮箱认证功能时,直接在认证页面输入邮箱账号和密码,若邮箱服务器验证通过,即可访问相关资源。
表1-61 配置第三方认证服务器
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建第三方认证服务器,并进入第三方认证服务器视图 |
portal extend-auth-server { qq | mail } |
缺省情况下,不存在第三方认证服务器 |
(可选)配置邮箱认证服务支持的协议类型 |
mail-protocol { imap | pop3 } * |
缺省情况下,未配置邮箱认证服务支持的协议类型 仅适用于邮箱认证服务 |
(可选)配置邮箱认证服务支持的邮箱类型 |
mail-domain-name string |
缺省情况下,未配置邮箱认证服务支持的邮箱类型 仅适用于邮箱认证服务 |
(可选)配置QQ认证服务器的地址 |
auth-url url-string |
缺省情况下,QQ认证服务器的地址为https://graph.qq.com 仅适用于QQ认证服务 |
(可选)配置QQ认证成功之后的重定向地址 |
redirect-url url-string |
缺省情况下,QQ认证成功之后的重定向地址为 http://lvzhou.h3c.com/portal/qqlogin.html 仅适用于QQ认证服务 |
(可选)配置QQ认证服务时用户的唯一标识 |
app-id app-id |
缺省情况下,存在一个预定义的唯一标识 仅适用于QQ认证服务 |
(可选)配置app-id对应的密钥 |
app-key app-key |
缺省情况下,存在一个预定义的密钥 仅适用于QQ认证服务 |
在VLAN接口上配置第三方认证用户使用的认证域,所有从该VLAN接口接入的第三方认证用户强制使用该认证域进行Portal认证。
表1-62 配置第三方认证用户使用的认证域(VLAN接口视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN接口视图 |
interface interface-type interface-number |
仅适用于VLAN接口 |
配置第三方认证用户使用的认证域 |
portal extend-auth domain domain-name |
缺省情况下,未配置第三方认证用户使用的认证域 |
在无线服务模板上配置第三方认证用户使用的认证域,所有从该无线服务模板接入的第三方认证用户强制使用该认证域。
表1-63 配置第三方认证用户使用的认证域(无线服务模板视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
配置第三方认证用户使用的认证域 |
portal extend-auth domain domain-name |
缺省情况下,未配置第三方认证用户使用的认证域 |
配置Portal第三方认证功能需要在Portal Web认证页面上添加第三方认证按钮,通过点击第三方认证按钮跳转到第三方认证页面上。第三方认证按钮包括QQ认证按钮和邮箱认证按钮。
· 在编辑QQ认证按钮时,必须调用pt_getQQSubmitUrl()函数获取QQ认证页面地址。
脚本内容的部分示例:
<html>
<head>
<title>Logon</title>
<script type="text/javascript" language="javascript" src="pt_private.js"></script>
<script type="text/javascript">
function setQQUrl(){
document.getElementById("qqurl").href = pt_getQQSubmitUrl();
}
</script>
</head>
<body>
... ...
<a href="javascript:void(null)" id="qqurl" onclick="setQQUrl()">QQ</a>
... ...
</body>
</html>
· 邮箱认证按钮无特殊要求,按正常编辑方法编辑即可。
在Portal Web认证页面上点击第三方认证按钮会跳转到第三方认证页面上,QQ认证登录页面由腾讯提供,邮箱认证登录页面需要用户自己编辑。在编辑邮箱认证登录页面时除需遵守1.18.1 自定义认证页面文件的相关规范外,还有以下要求:
· 邮箱认证登录页面Form的action=maillogin.html,否则无法将用户信息送到本地进行邮箱认证。
· 邮箱认证登录页面的文件名称为emailLogon.htm。
emailLogon.htm页面脚本内容的部分示例:
<form action= maillogin.html method = post >
<p>User name:<input type="text" name = "PtUser" style="width:160px;height:22px" maxlength=64>
<p>Password :<input type="password" name = "PtPwd" style="width:160px;height:22px" maxlength=32>
<p><input type=SUBMIT value="Logon" name = "PtButton" style="width:60px;" onclick="form.action=form.action+location.search;>
</form>
除了使用QQ账号和邮箱账号进行Portal认证外,用户还可以通过手机使用微信账号进行Portal认证。当用户采用微信账号进行Portal认证时,需要通过Internet访问微信服务器,以便与接入设备进行信息交换。
一般情况下,用户未通过Portal认证时不允许访问Internet,配置本功能后,接入设备可以在一定时间内临时放行使用微信账号的用户访问Internet的流量。
表1-64 开启Portal临时放行功能(VLAN接口视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN接口视图 |
interface interface-type interface-number |
- |
开启Portal临时放行功能并设置临时放行时间 |
portal temp-pass [ period period-value ] enable |
缺省情况下,Portal临时放行功能处于关闭状态 |
表1-65 开启Portal临时放行功能(无线服务模板视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
开启Portal临时放行功能并设置临时放行时间 |
portal temp-pass [ period period-value ] enable |
缺省情况下,Portal临时放行功能处于关闭状态 |
Portal认证监控功能主要是对Portal认证过程中的下线、认证失败和异常等信息进行记录,以便在Portal认证出现故障时快速定位。
表1-66 配置Portal认证监控功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启Portal用户下线信息记录功能 |
portal logout-record enable |
缺省情况下,Portal用户下线信息记录功能处于关闭状态 |
配置设备保存Portal用户下线记录的最大条数 |
portal logout-record max number |
缺省情况下,设备保存Portal用户下线记录的最大条数为32000 |
导出Portal用户下线记录 |
portal logout-record export url url-string [ start-time start-date start-time end-time end-date end-time ] |
- |
开启Portal认证失败信息记录功能 |
portal auth-fail-record enable |
缺省情况下,Portal认证失败信息记录功能处于关闭状态 |
配置设备保存Portal认证失败记录的最大条数 |
portal auth-fail-record max number |
缺省情况下,设备保存Portal认证失败记录的最大条数为32000 |
导出Portal认证失败记录 |
portal auth-fail-record export url url-string [ start-time start-date start-time end-time end-date end-time ] |
- |
开启Portal认证异常信息记录功能 |
portal auth-error-record enable |
缺省情况下,Portal认证异常信息记录功能处于关闭状态 |
配置设备保存Portal认证异常记录的最大条数 |
portal auth-error-record max number |
缺省情况下,设备保存Portal认证异常记录的最大条数为32000 |
导出Portal认证异常记录 |
portal auth-error-record export url url-string [ start-time start-date start-time end-time end-date end-time ] |
- |
Portal采用OAuth协议进行认证时,认证服务器需要设备周期上报用户信息。本功能用来配置用户信息由设备向服务器同步的时间间隔。如果时间间隔配置为0,则表示关闭Portal OAuth认证用户同步功能。
表1-67 配置Portal OAuth认证同步用户信息的时间间隔
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置当Portal用户采用OAuth认证时用户信息同步的时间间隔 |
portal oauth user-sync interval interval |
缺省情况下,Portal OAuth认证用户信息同步的时间间隔为60秒 |
配置本功能后,当无线Portal用户从原SSID下线,并切换到新SSID进行Portal认证时,设备会自动删除用户信息。
表1-68 开启无线Portal用户SSID切换后的强制下线功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启无线Portal用户SSID切换后的强制下线功能 |
portal user-logoff ssid-switch enable |
缺省情况下,无线Portal用户SSID切换后保持在线状态 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后Portal的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除Portal统计信息。
表1-69 Portal显示和维护
操作 |
命令 |
显示用户Portal认证异常记录 |
display portal auth-error-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time } |
显示用户Portal认证失败记录 |
display portal auth-fail-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time | username username } |
显示Portal被动Web认证功能的报文统计信息 |
display portal captive-bypass statistics [ slot slot-number ] |
显示基于目的的Portal免认证规则中的主机名对应的IP地址 |
display portal dns free-rule-host [ host-name ] |
显示第三方认证服务器信息 |
display portal extend-auth-server { all | qq | mail } |
显示本地MAC-trigger绑定表项信息 |
display portal local-binding mac-address { mac-address | all } |
显示Portal用户的下线记录 |
display portal logout-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time | username username } |
显示MAC绑定服务器信息 |
display portal mac-trigger-server { all | name server-name } |
显示Portal重定向的统计信息 |
display portal redirect statistics [ slot slot-number ] |
显示接口下发的用于报文匹配的Portal过滤规则信息 |
display portal rule { all | dynamic | static } { ap ap-name [ radio radio-id ] | interface interface-type interface-number [ slot slot-number ] } |
显示Portal过滤规则的统计信息 |
display portal permit-rule statistics |
显示指定接口上的Portal配置信息和Portal运行状态信息 |
display portal { ap ap-name [ radio radio-id ] | interface interface-type interface-number } |
显示Portal认证服务器信息 |
display portal server [ server-name ] |
显示Portal Web服务器信息 |
display portal web-server [ server-name ] |
显示Portal认证服务器的报文统计信息 |
display portal packet statistics [ extend-auth-server { cloud | mail | qq | wechat } | mac-trigger-server server-name | server server-name ] |
显示Portal用户的信息 |
display portal user { all | ap ap-name [ radio radio-id ] | auth-type { cloud | email | local | mac-trigger | normal | qq | wechat } | interface interface-type interface-number | ip ip-address | ipv6 ipv6-address | mac mac-address | pre-auth [ interface interface-type interface-number | ip ip-address | ipv6 ipv6-address ] | username username } [ brief | verbose ] |
显示Portal用户数量 |
display portal user count |
指定接口上的Web重定向过滤规则信息 |
display web-redirect rule interface interface-type interface-number [ slot slot-number ] |
显示Portal安全重定向功能的报文统计信息 |
display portal safe-redirect statistics [ slot slot-number ] |
清除Portal认证异常记录。 |
reset portal auth-error-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time } |
清除Portal认证失败记录 |
reset portal auth-fail-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time | username username } |
清除Portal被动Web认证功能的的报文统计信息 |
reset portal captive-bypass statistics [ slot slot-number ] |
清除用户下线记录 |
reset portal logout-record { all | ipv4 ipv4-address | ipv6 ipv6-address | start-time start-date start-time end-time end-date end-time | username username } |
清除本地MAC-trigger绑定表项信息 |
reset portal local-binding mac-address { mac-address | all } |
清除Portal报文的统计信息 |
reset portal packet statistics [ extend-auth-server { cloud | mail | qq | wechat } | mac-trigger-server server-name|server server-name ] * |
清除Portal重定向的统计信息 |
reset portal redirect statistics [ slot slot-number ] |
清除Portal安全重定向功能的报文统计信息 |
reset portal safe-redirect statistics [ slot slot-number ] |
· 用户主机通过AP与AC相连,采用直接方式的Portal认证。用户通过手工配置或DHCP获取的一个公网IP地址进行认证,在通过Portal认证前,只能访问Portal Web服务器;在通过Portal认证后,可以使用此IP地址访问非受限互联网资源。
· 采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。
· 采用RADIUS服务器作为认证/计费服务器。
图1-5 配置Portal认证组网图
· 按照组网图配置设备各接口的IP地址,保证启动Portal之前各Client、服务器和AC之间的路由可达。
· 完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。
(1) 配置Portal server(iMC PLAT 5.0)
下面以iMC为例(使用iMC版本为:iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)),说明Portal server的基本配置。
# 配置Portal认证服务器。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[Portal认证服务器管理/服务器配置]菜单项,进入服务器配置页面。
根据实际组网情况调整以下参数,本例中使用缺省配置。
图1-6 Portal认证服务器配置页面
# 配置IP地址组。
单击导航树中的[Portal认证服务器管理/IP地址组配置]菜单项,进入Portal IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。
· 填写IP地址组名;
· 输入起始地址和终止地址。用户主机IP地址必须包含在该IP地址组范围内;
· 选择业务分组,本例中使用缺省的“未分组”;
· 选择IP地址组的类型为“普通”。
图1-7 增加IP地址组配置页面
# 增加Portal设备。
单击导航树中的[Portal认证服务器管理/设备配置]菜单项,进入Portal设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。
· 填写设备名;
· 指定IP地址为与接入用户相连的设备接口IP;
· 输入密钥,与接入设备AC上的配置保持一致;
· 选择是否进行二次地址分配,本例中为直接认证,因此为否;
· 选择是否支持逃生心跳功能和用户心跳功能,本例中不支持。
图1-8 增加设备信息配置页面
# Portal设备关联IP地址组
在Portal设备配置页面中的设备信息列表中,点击NAS设备的<端口组信息管理>链接,进入端口组信息配置页面。
图1-9 设备信息列表
在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。
· 填写端口组名;
· 选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组;
· 其它参数采用缺省值。
图1-10 增加端口组信息配置页面
# 最后单击导航树中的[业务参数配置/系统配置手工生效]菜单项,使以上Portal认证服务器配置生效。
(2) 配置AC
· 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
<AC> system-view
[AC] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[AC-radius-rs1] primary authentication 192.168.0.112
[AC-radius-rs1] primary accounting 192.168.0.112
[AC-radius-rs1] key authentication simple radius
[AC-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[AC-radius-rs1] user-name-format without-domain
[AC-radius-rs1] quit
# 使能RADIUS session control功能。
[AC] radius session-control enable
· 配置认证域
# 创建并进入名字为dm1的ISP域。
[AC] domain dm1
# 配置ISP域的AAA方法。
[AC-isp-dm1] authentication portal radius-scheme rs1
[AC-isp-dm1] authorization portal radius-scheme rs1
[AC-isp-dm1] accounting portal radius-scheme rs1
[AC-isp-dm1] quit
# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
[AC] domain default enable dm1
· 配置Portal认证
# 配置Portal认证服务器:名称为newpt,IP地址为192.168.0.111,密钥为明文portal,监听Portal报文的端口为50100。
[AC] portal server newpt
[AC-portal-server-newpt] ip 192.168.0.111 key simple portal
[AC-portal-server-newpt] port 50100
[AC-portal-server-newpt] quit
# 配置Portal Web服务器的URL为http://192.168.0.111:8080/portal。(Portal Web服务器的URL请与实际环境中的Portal Web服务器配置保持一致,此处仅为示例)
[AC] portal web-server newpt
[AC-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[AC-portal-websvr-newpt] quit
# 在接口Vlan-interface100上使能直接方式的Portal认证。
[AC] interface vlan-interface 100
[AC–Vlan-interface100] portal enable method direct
# 在接口Vlan-interface100上引用Portal Web服务器newpt。
[AC–Vlan-interface100] portal apply web-server newpt
# 在接口Vlan-interface100上设置发送给Portal认证服务器的Portal报文中的BAS-IP属性值为2.2.2.1。
[AC–Vlan-interface100] portal bas-ip 2.2.2.1
[AC–Vlan-interface100] quit
以上配置完成后,通过执行以下显示命令可查看Portal配置是否生效。
[AC] display portal interface vlan-interface 100
Portal information of Vlan-interface100
NAS-ID profile: Not configured
VSRP instance : Not configured
VSRP state : N/A
Authorization : Strict checking
ACL : Disabled
User profile : Disabled
IPv4:
Portal status: Enabled
Portal authentication method: Direct
Portal Web server: newpt(active)
Secondary portal Web server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max portal users: Not configured
Bas-ip: 2.2.2.1
User Detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Mask
Destination authenticate subnet:
IP address Mask
IPv6:
Portal status: Disabled
Portal authentication method: Disabled
Portal Web server: Not configured
Secondary portal Web server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max portal users: Not configured
Bas-ipv6: Not configured
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authenticate subnet:
IP address Prefix length
用户既可以使用H3C的iNode客户端,也可以通过网页方式进行Portal认证。用户在通过认证前,只能访问认证页面http://192.168.0.111:8080/portal,且发起的Web访问均被重定向到该认证页面,在通过认证后,可访问非受限的互联网资源。
Portal用户认证通过后,可通过执行以下显示命令查看AC上生成的Portal在线用户信息。
[AC] display portal user interface vlan-interface 100
Total portal users: 1
Username: abc
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-e9a6-7cfe 2.2.2.2 100 Vlan-interface100
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL: N/A
在本地转发模式下,对通过无线接入的用户采用Portal认证。
· 无线客户端通过手工配置或DHCP获取的一个公网IP地址进行认证,在通过Portal认证前,只能访问Portal Web服务器;在通过Portal认证后,可以使用此IP地址访问非受限互联网资源。
· 采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。
· 采用RADIUS服务器作为认证/计费服务器。
图1-11 配置Portal认证组网图
· 按照组网图配置设备各接口的IP地址,保证启动Portal之前各Client、服务器和AC之间的路由可达。
· 完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。
· 完成AP上的配置,保证AP与AC能够互通。
(1) 配置Portal server(iMC PLAT 5.0)
下面以iMC为例(使用iMC版本为:iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)),说明Portal server的基本配置。
# 配置Portal认证服务器。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[Portal认证服务器管理/服务器配置]菜单项,进入服务器配置页面。
· 根据实际组网情况调整以下参数,本例中使用缺省配置。
图1-12 Portal认证服务器配置页面
# 配置IP地址组。
单击导航树中的[Portal认证服务器管理/IP地址组配置]菜单项,进入Portal IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。
· 填写IP地址组名;
· 输入起始地址和终止地址。用户主机IP地址必须包含在该IP地址组范围内;
· 选择业务分组,本例中使用缺省的“未分组”;
· 选择IP地址组的类型为“普通”。
图1-13 增加IP地址组配置页面
# 增加Portal设备。
单击导航树中的[Portal认证服务器管理/设备配置]菜单项,进入Portal设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。
· 填写设备名;
· 指定AC上与iMC交互的IP地址;
· 输入密钥,与AC上的配置保持一致;
· 选择是否进行二次地址分配,本例中为直接认证,因此为否;
· 选择是否支持逃生心跳功能和用户心跳功能,本例中不支持。
图1-14 增加设备信息配置页面
# Portal设备关联IP地址组
在Portal设备配置页面中的设备信息列表中,点击NAS设备的<端口组信息管理>链接,进入端口组信息配置页面。
图1-15 设备信息列表
在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。
· 填写端口组名;
· 选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组;
· 其它参数采用缺省值。
图1-16 增加端口组信息配置页面
# 最后单击导航树中的[业务参数配置/系统配置手工生效]菜单项,使以上Portal认证服务器配置生效。
(2) 配置AC
· 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
<AC> system-view
[AC] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[AC-radius-rs1] primary authentication 192.168.0.112
[AC-radius-rs1] primary accounting 192.168.0.112
[AC-radius-rs1] key authentication simple radius
[AC-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[AC-radius-rs1] user-name-format without-domain
[AC-radius-rs1] quit
# 使能RADIUS session control功能。
[AC] radius session-control enable
· 配置认证域
# 创建并进入名字为dm1的ISP域。
[AC] domain dm1
# 配置ISP域的AAA方法。
[AC-isp-dm1] authentication portal radius-scheme rs1
[AC-isp-dm1] authorization portal radius-scheme rs1
[AC-isp-dm1] accounting portal radius-scheme rs1
[AC-isp-dm1] quit
# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
[AC] domain default enable dm1
· 配置Portal认证
# 配置Portal认证服务器:名称为newpt,IP地址为192.168.0.111,密钥为明文portal,监听Portal报文的端口为50100。
[AC] portal server newpt
[AC-portal-server-newpt] ip 192.168.0.111 key simple portal
[AC-portal-server-newpt] port 50100
[AC-portal-server-newpt] quit
# 配置Portal Web服务器的URL为http://192.168.0.111:8080/portal。(Portal Web服务器的URL请与实际环境中的Portal Web服务器配置保持一致,此处仅为示例)
[AC] portal web-server newpt
[AC-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[AC-portal-websvr-newpt] quit
# 创建手工AP,名称为ap2,选择AP型号并配置序列号。
[AC] wlan ap ap2 model WA4320i-ACN
[AC-wlan-ap-ap2] serial-id 210235A29G007C000020
# 配置无线服务模板,SSID为portal_1。
[AC] wlan service-template newst
[AC–wlan-st-newst] ssid portal_1
# 在无线服务模板newst上使能直接方式的Portal认证。
[AC–wlan-st-newst] portal enable method direct
# 在无线服务模板newst上引用Portal Web服务器newpt。
[AC–wlan-st-newst] portal apply web-server newpt
# 在无线服务模板newst上设置发送给Portal认证服务器的Portal报文中的BAS-IP属性值为192.168.0.110。
[AC–wlan-st-newst] portal bas-ip 192.168.0.110
# 配置客户端数据报文转发位置为AP。
[AC–wlan-st-newst] client forwarding-location ap
# 使能无线服务模板newst
[AC–wlan-st-newst] service-template enable
[AC–wlan-st-newst] quit
# 配置射频,指定工作信道为11。
[AC] wlan ap ap2
[AC-wlan-ap-ap2] radio 2
[AC-wlan-ap-ap2-radio-2] channel 11
# 开启射频功能,将无线服务模板newst绑定到Radio2上,并绑定vlan2。
[AC-wlan-ap-ap2-radio-2] radio enable
[AC-wlan-ap-ap2-radio-2] service-template newst vlan 2
[AC-wlan-ap-ap2-radio-2] quit
[AC-wlan-ap-ap2] quit
以上配置完成后,通过执行以下显示命令可查看Portal配置是否生效。
[AC] display portal ap ap2
Portal information of ap2
Radio ID: 2
SSID: portal_1
Authorization : Strict checking
ACL : Disable
User profile : Disable
IPv4:
Portal status: Enabled
Portal authentication method: Direct
Portal Web server: newpt(active)
Secondary portal Web server: Not configured
Authentication domain: Not configured
User-dhcp-only: Disabled
Max portal users: Not configured
Bas-ip: 192.168.0.110
Action for server detection:
Server type Server name Action
-- -- --
Destination authentication subnet:
IP address Mask
IPv6:
Portal status: Disabled
Portal authentication method: Disabled
Portal Web server: Not configured
Secondary portal Web server: Not configured
Authentication domain: Not configured
User-dhcp-only: Disabled
Max portal users: Not configured
Bas-ipv6: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Destination authentication subnet:
IP address Prefix length
用户既可以使用H3C的iNode客户端,也可以通过网页方式进行Portal认证。用户在通过认证前,只能访问认证页面http://192.168.0.111:8080/portal,且发起的Web访问均被重定向到该认证页面,在通过认证后,可访问非受限的互联网资源。
认证通过后,可通过执行以下显示命令查看AC上生成的Portal在线用户信息。
[AC] display portal user ap ap2
Total portal users: 1
Username: 1
AP name: ap2
Radio ID: 2
SSID: portal_1
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-005e-9398 2.2.2.2 2 WLAN-BSS1/0/1
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
· 用户主机通过AP与AC相连,用户通过手工配置或DHCP获取的一个公网IP地址进行认证,在通过身份认证而没有通过安全认证时可以访问192.168.0.0/24网段;在通过安全认证后,可以使用此IP地址访问非受限互联网资源。
· 采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。
· 采用RADIUS服务器作为认证/计费服务器。
图1-17 配置Portal扩展功能组网图
· 按照组网图配置设备各接口的IP地址,保证启动Portal之前各Client、服务器和AC之间的路由可达。
· 完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。
在AC上进行以下配置。
(1) 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
<AC> system-view
[AC] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[AC-radius-rs1] primary authentication 192.168.0.112
[AC-radius-rs1] primary accounting 192.168.0.112
[AC-radius-rs1] key accounting simple radius
[AC-radius-rs1] key authentication simple radius
[AC-radius-rs1] user-name-format without-domain
[AC-radius-rs1] quit
# 使能RADIUS session control功能。
[AC] radius session-control enable
# 指定一个session control客户端IP地址为192.168.0.113,共享密钥为明文12345。
[AC] radius session-control client ip 192.168.0.113 key simple 12345
(2) 配置认证域
# 创建并进入名字为dm1的ISP域。
[AC] domain dm1
# 配置ISP域的RADIUS方案rs1。
[AC-isp-dm1] authentication portal radius-scheme rs1
[AC-isp-dm1] authorization portal radius-scheme rs1
[AC-isp-dm1] accounting portal radius-scheme rs1
[AC-isp-dm1] quit
# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方式。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案。
[AC] domain default enable dm1
(3) 配置隔离ACL为3000,安全ACL为3001
安全策略服务器上需要将ACL 3000和ACL 3001分别指定为隔离ACL和安全ACL。
[AC] acl advanced 3000
[AC-acl-ipv4-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255
[AC-acl-ipv4-adv-3000] rule deny ip
[AC-acl-ipv4-adv-3000] quit
[AC] acl advanced 3001
[AC-acl-ipv4-adv-3001] rule permit ip
[AC-acl-ipv4-adv-3001] quit
(4) 配置Portal认证
# 配置Portal认证服务器:名称为newpt,IP地址为192.168.0.111,密钥为明文portal,监听Portal报文的端口为50100。
[AC] portal server newpt
[AC-portal-server-newpt] ip 192.168.0.111 key simple portal
[AC-portal-server-newpt] port 50100
[AC-portal-server-newpt] quit
# 配置Portal Web服务器的URL为http://192.168.0.111:8080/portal。(Portal Web服务器的URL请与实际环境中的Portal Web服务器配置保持一致,此处仅为示例)
[AC] portal web-server newpt
[AC-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[AC-portal-websvr-newpt] quit
# 在接口Vlan-interface100上使能直接方式的Portal认证。
[AC] interface vlan-interface 100
[AC–Vlan-interface100] portal enable method direct
# 在接口Vlan-interface100上引用Portal Web服务器newpt。
[AC–Vlan-interface100] portal apply web-server newpt
# 在接口Vlan-interface100上设置发送给Portal报文中的BAS-IP属性值为2.2.2.1。
[AC–Vlan-interface100] portal bas-ip 2.2.2.1
[AC–Vlan-interface100] quit
以上配置完成后,通过执行以下显示命令可查看Portal配置是否生效。
[AC] display portal interface vlan-interface 100
Portal information of Vlan-interface100
NAS-ID profile: Not configured
VSRP instance : Not configured
VSRP state : N/A
Authorization : Strict checking
ACL : Disabled
User profile : Disabled
IPv4:
Portal status: Enabled
Portal authentication method: Direct
Portal Web server: newpt(active)
Secondary portal Web server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max portal users: Not configured
Bas-ip: 2.2.2.1
User Detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Mask
Destination authenticate subnet:
IP address Mask
IPv6:
Portal status: Disabled
Portal authentication method: Disabled
Portal Web server: Not configured
Secondary portal Web server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max portal users: Not configured
Bas-ipv6: Not configured
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authenticate subnet:
IP address Prefix length
使用H3C iNode客户端的用户在通过认证前,只能访问认证页面http://192.168.0.111:8080/portal,且发起的Web访问均被重定向到该认证页面。通过身份认证但未通过安全认证时,只能访问匹配ACL 3000的网络资源;通过身份认证以及安全认证后,可以访问匹配ACL 3001的互联网资源。
Portal用户认证通过后,可通过执行以下显示命令查看AC上生成的Portal在线用户信息。
[AC] display portal user interface vlan-interface 100
Total portal users: 1
Username: abc
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-e9a6-7cfe 2.2.2.2 -- Vlan-interface100
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL: 3001
用户主机通过AP与AC相连,通过Portal认证接入网络,并采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责,采用RADIUS服务器作为认证/计费服务器。
具体要求如下:
· 用户通过手工配置或DHCP获取的一个公网IP地址进行认证,在通过Portal认证前,只能访问Portal认证服务器;在通过Portal认证后,可以使用此IP地址访问非受限的互联网资源。
· AC能够探测到Portal认证服务器是否可达,并输出可达状态变化的日志信息,在服务器不可达时(例如,网络连接中断、网络设备故障或服务器无法正常提供服务等情况),取消Portal认证,使得用户仍然可以正常访问网络。
图1-18 Portal认证服务器探测和用户同步信息功能配置组网图
(1) 配置Portal认证服务器,并启动逃生心跳功能;
(2) 配置RADIUS服务器,实现正常的认证及计费功能;
(3) AC通过接口Vlan-interface100与用户通信,在该接口上配置直接方式的Portal认证;
(4) AC上配置Portal认证服务器探测功能,在与Portal认证服务器的逃生心跳功能的配合下,对Portal认证服务器的可达状态进行探测;
· 按照组网图配置设备各接口的IP地址,保证启动Portal之前Client、服务器和AC之间的路由可达。
· 完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。
(1) 配置Portal认证服务器(iMC PLAT 5.0)
下面以iMC为例(使用iMC版本为:iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)),说明Portal server的基本配置。
# 配置Portal认证服务器。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[Portal认证服务器管理/服务器配置]菜单项,进入服务器配置页面。
· 配置逃生心跳间隔时长及用户心跳间隔时长;
· 其它参数使用缺省配置。
图1-19 Portal认证服务器配置页面
# 配置IP地址组。
单击导航树中的[Portal认证服务器管理/IP地址组配置]菜单项,进入Portal IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。
· 填写IP地址组名;
· 输入起始地址和终止地址。用户主机IP地址必须包含在该IP地址组范围内;
· 选择业务分组,本例中使用缺省的“未分组”;
· 选择IP地址组的类型为“普通”。
图1-20 增加IP地址组配置页面
# 增加Portal设备。
单击导航树中的[Portal认证服务器管理/设备配置]菜单项,进入Portal设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。
· 填写设备名;
· 指定IP地址为与接入用户相连的设备接口IP;
· 输入密钥,与AC上的配置保持一致;
· 选择是否进行二次地址分配,本例中为直接认证,因此为否;
· 选择支持逃生心跳功能和用户心跳功能。
图1-21 增加设备信息配置页面
# Portal设备关联IP地址组
在Portal设备配置页面中的设备信息列表中,点击NAS设备的<端口组信息管理>链接,进入端口组信息配置页面。
图1-22 设备信息列表
在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。
· 填写端口组名;
· 选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组;
· 其它参数采用缺省值。
图1-23 增加端口组信息配置页面
# 最后单击导航树中的[业务参数配置/系统配置手工生效]菜单项,使以上Portal认证服务器配置生效。
(2) 配置AC
· 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
<AC> system-view
[AC] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[AC-radius-rs1] primary authentication 192.168.0.112
[AC-radius-rs1] primary accounting 192.168.0.112
[AC-radius-rs1] key authentication simple radius
[AC-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[AC-radius-rs1] user-name-format without-domain
[AC-radius-rs1] quit
# 使能RADIUS session control功能。
[AC] radius session-control enable
· 配置认证域
# 创建并进入名字为dm1的ISP域。
[AC] domain dm1
# 配置ISP域的AAA方法。
[AC-isp-dm1] authentication portal radius-scheme rs1
[AC-isp-dm1] authorization portal radius-scheme rs1
[AC-isp-dm1] accounting portal radius-scheme rs1
[AC-isp-dm1] quit
# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
[AC] domain default enable dm1
· 配置Portal认证
# 配置Portal认证服务器:名称为newpt,IP地址为192.168.0.111,密钥为明文portal,监听Portal报文的端口为50100。
[AC] portal server newpt
[AC-portal-server-newpt] ip 192.168.0.111 key simple portal
[AC-portal-server-newpt] port 50100
# 配置对Portal认证服务器newpt的探测功能:每次探测间隔时间为40秒,若服务器可达状态改变,则发送日志信息。
[AC-portal-server-newpt] server-detect timeout 40 log
此处timeout取值应该大于等于Portal认证服务器的逃生心跳间隔时长。
# 配置Portal Web服务器的URL为http://192.168.0.111:8080/portal。(Portal Web服务器的URL请与实际环境中的Portal Web服务器配置保持一致,此处仅为示例)
[AC] portal web-server newpt
[AC-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[AC-portal-websvr-newpt] quit
# 在接口Vlan-interface100上使能直接方式的Portal认证。
[AC] interface vlan-interface 100
[AC–Vlan-interface100] portal enable method direct
# 开启Portal认证服务器newpt不可达时的Portal用户逃生功能。
[AC–Vlan-interface100] portal fail-permit server newpt
# 在接口Vlan-interface100上引用Portal Web服务器newpt。
[AC–Vlan-interface100] portal apply web-server newpt
# 在接口Vlan-interface100上设置发送给Portal报文中的BAS-IP属性值为2.2.2.1。
[AC–Vlan-interface100] portal bas-ip 2.2.2.1
[AC–Vlan-interface100] quit
以上配置完成后,可以通过执行以下命令查看到Portal认证服务器的状态为Up,说明当前Portal认证服务器可达。
[AC] display portal server newpt
Portal server: newpt
IP : 192.168.0.111
VPN instance : Not configured
Port : 50100
Server Detection : Timeout 40s Action: log
User synchronization : Not configured
Status : Up
之后,若AC探测到Portal认证服务器不可达了,可通过以上显示命令查看到Portal认证服务器的状态为Down,同时,AC会输出表示服务器不可达的日志信息“Portal server newpt turns down from up.”,并取消对该接口接入的用户的Portal认证,使得用户可以直接访问外部网络。
· 用户主机通过AP与AC相连,采用直接方式的Portal认证。用户通过手工配置或DHCP获取的一个公网IP地址进行认证,在通过Portal认证前,只能访问Portal Web服务器;在通过Portal认证后,可以使用此IP地址访问非受限互联网资源。
· AC同时承担Portal Web服务器和Portal认证服务器的职责。
· 采用RADIUS服务器作为认证/计费服务器。
· 配置本地Portal Web服务器使用HTTP协议,且HTTP服务侦听的TCP端口号为2331。
图1-24 使用本地Portal Web服务器的直接Portal认证组网图
· 按照组网图配置设备各接口的IP地址,保证启动Portal之前各Client、服务器和AC之间的路由可达。
· 完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。
· 按照自定义认证页面文件编辑规范,完成认证页面的编辑。并上传到设备存储介质的根目录下。
· 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
<AC> system-view
[AC] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[AC-radius-rs1] primary authentication 192.168.0.112
[AC-radius-rs1] primary accounting 192.168.0.112
[AC-radius-rs1] key authentication simple radius
[AC-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[AC-radius-rs1] user-name-format without-domain
[AC-radius-rs1] quit
# 使能RADIUS session control功能。
[AC] radius session-control enable
· 配置认证域
# 创建并进入名字为dm1的ISP域。
[AC] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[AC-isp-dm1] authentication portal radius-scheme rs1
[AC-isp-dm1] authorization portal radius-scheme rs1
[AC-isp-dm1] accounting portal radius-scheme rs1
[AC-isp-dm1] quit
# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方式。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案。
[AC] domain default enable dm1
· 配置Portal认证
# 配置Portal Web服务器的URL为http://2.2.2.1:2331/portal(Portal Web服务器的URL可配置为使能Portal认证的接口的IP地址或除127.0.0.1以外的Loopback接口的IP地址)。
[AC] portal web-server newpt
[AC-portal-websvr-newpt] url http://2.2.2.1:2331/portal
[AC-portal-websvr-newpt] quit
# 在接口Vlan-interface100上使能直接方式的Portal认证。
[AC] interface vlan-interface 100
[AC–Vlan-interface100] portal enable method direct
# 在接口Vlan-interface100上引用Portal Web服务器newpt。
[AC–Vlan-interface100] portal apply web-server newpt
[AC–Vlan-interface100] quit
# 创建本地Portal Web 服务器,进入本地Portal Web服务器视图,并指定使用HTTP协议和客户端交互认证信息。
[AC] portal local-web-server http
# 配置本地Portal Web服务器提供的缺省认证页面文件为abc.zip(设备的存储介质的根目录下必须已存在该认证页面文件,否则功能不生效)。
[AC–portal-local-websvr-http] default-logon-page abc.zip
# 配置本地Portal Web服务器的HTTP服务侦听的TCP端口号为2331。
[AC–portal-local-webserver-http] tcp-port 2331
[AC–portal-local-websvr-http] quit
以上配置完成后,通过执行以下显示命令可查看Portal配置是否生效。
[AC] display portal interface vlan-interface 100
Portal information of Vlan-interface 100
VSRP instance: --
VSRP state: N/A
Authorization Strict checking
ACL Disabled
User profile Disabled
IPv4:
Portal status: Enabled
Portal authentication method: Direct
Portal Web server: newpt(active)
Secondary portal Web server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max portal users: Not configured
Bas-ip: Not configured
User Detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Mask
Destination authenticate subnet:
IP address Mask
IPv6:
Portal status: Disabled
Portal authentication method: Disabled
Portal Web server: Not configured
Secondary portal Web server: Not configured
Authentication domain: Not configured
Pre-auth domain: Not configured
User-dhcp-only: Disabled
Pre-auth IP pool: Not configured
Max portal users: Not configured
Bas-ipv6: Not configured
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authenticate subnet:
IP address Prefix length
使用本地Portal Web服务器进行Portal认证的组网环境中,只支持通过网页方式进行Portal认证。用户在通过认证前,只能访问认证页面http://2.2.2.1:2331/portal,且发起的Web访问均被重定向到该认证页面,在通过认证后,可访问非受限的互联网资源。
Portal用户认证通过后,可通过执行以下显示命令查看AC上生成的Portal在线用户信息。
[AC] display portal user interface vlan-interface 100
Total portal users: 1
Username: abc
Portal server: newpt
State: Online
VPN instance: --
MAC IP VLAN Interface
0015-e9a6-7cfe 2.2.2.2 -- Vlan-interface100
Authorization information:
IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL: N/A
· 用户主机通过AP接入无线网络,采用直接方式的Portal认证。用户通过手工配置或DHCP获取的一个公网IP地址进行认证,在通过Portal认证前,只能访问Portal Web服务器;在通过Portal认证后,可以使用此IP地址访问非受限的互联网资源。
· 采用一台服务器同时承担Portal认证服务器、Portal Web服务器以及MAC绑定服务器的职责。
· 采用RADIUS服务器作为认证/计费服务器。
图1-25 配置Portal基于MAC地址的快速认证组网图
· 按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达,且AP和AC之间建立起稳定的连接。
· 完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。
(1) 配置Portal server(iMC PLAT 7.1)
下面以iMC为例(使用iMC版本为:iMC PLAT 7.1(E0303)、iMC EIA 7.1(F0303)、iMC EIP 7.1(F0303))说明Portal server的基本配置。
# 配置Portal认证服务。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/Portal服务管理/服务器配置]菜单项,进入服务器配置页面。
· 根据实际组网情况调整以下参数,本例中使用缺省配置。
图1-26 Portal认证服务器配置页面
# 配置IP地址组。
单击导航树中的[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入Portal IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。
· 填写IP地址组名;
· 输入起始地址和终止地址,输入的地址范围中应包含用户主机的IP地址;
· 选择业务分组,本例中使用缺省的“未分组”;
· 选择IP地址组的类型为“普通”。
图1-27 增加IP地址组配置页面
# 增加Portal设备。
单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项,进入Portal设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。
· 填写设备名;
· 指定IP地址为与接入用户相连的设备接口IP;
· 选择是否支持逃生心跳功能和用户心跳功能,本例中选择否。
· 输入密钥,与AC上的配置保持一致;
· 选择组网方式为直连;
图1-28 增加设备信息配置页面
# Portal设备关联IP地址组。
在Portal设备配置页面中的设备信息列表中,点击NAS设备的<端口组信息管理>链接,进入端口组信息配置页面。
图1-29 设备信息列表
在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。
· 填写端口组名;
· 选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组;
· 无感知认证选择“支持”;
· 其它参数可采用缺省配置。
图1-30 增加端口组信息配置页面
# 最后单击导航树中的[接入策略管理/业务参数配置/系统配置手工生效]菜单项,使以上Portal认证服务器配置生效。
(2) 配置MAC绑定服务器(iMC PLAT 7.1)
# 增加接入服务配置
单击导航树中的[接入策略管理/接入策略管理]菜单项,并点击<增加>按钮,进入“增加接入策略”页面。
· 填写接入策略名;
· 选择业务分组;
· 其它参数可采用缺省配置。
图1-31 增加接入策略配置
# 增加接入服务
单击导航树中的[接入策略管理/接入服务管理]菜单项,并点击<增加>按钮,进入“增加接入服务配置”页面。
· 填写服务名;
· 勾选“Portal无感知认证”;
· 其它参数可采用缺省配置。
图1-32 增加接入服务配置
# 增加接入用户
单击导航树中的[接入用户管理/接入用户]菜单项,并点击<增加>按钮,进入增加接入用户页面。在接入信息部分:
· 选择可接入的用户;
· 设置密码;
· 设置“Portal无感知认证最大绑定数”。
图1-33 增加接入用户
# 配置系统参数
单击导航树中的[接入策略管理/业务参数配置/系统配置]菜单项,并点击[终端管理参数配置]对应的<配置>按钮,进入终端管理参数配置页面。
“非智能终端Portal无感知认证”可根据实际需要启用或禁用,本例中为启用。
图1-34 配置终端管理参数
单击导航树中的[接入策略管理/业务参数配置/系统配置]菜单项,点击[终端老化时长]对应的<配置>按钮后点击<修改>,进入终端老化时长配置页面。
根据实际需要配置终端老化时间,本例中采用默认值。
图1-35 配置终端老化时长
# 最后单击导航树中的[接入策略管理/业务参数配置/系统配置手工生效]菜单项,使以上配置生效。
(3) 配置AC
· 配置RADIUS方案
# 创建名称为rs1的RADIUS方案,并进入该方案视图。
<AC> system-view
[AC] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[AC-radius-rs1] primary authentication 192.168.0.112
[AC-radius-rs1] primary accounting 192.168.0.112
[AC-radius-rs1] key authentication simple radius
[AC-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[AC-radius-rs1] user-name-format without-domain
[AC-radius-rs1] quit
# 使能RADIUS session control功能。
[AC] radius session-control enable
· 配置认证域
# 创建并进入名称为dm1的ISP域。
[AC] domain dm1
# 配置ISP域的AAA方法。
[AC-isp-dm1] authentication portal radius-scheme rs1
[AC-isp-dm1] authorization portal radius-scheme rs1
[AC-isp-dm1] accounting portal radius-scheme rs1
[AC-isp-dm1] quit
# 配置系统缺省的ISP域为dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
[AC] domain default enable dm1
· 配置Portal认证
# 配置Portal认证服务器:名称为newpt,IP地址为192.168.0.111,密钥为明文portal,监听Portal报文的端口为50100。
[AC] portal server newpt
[AC-portal-server-newpt] ip 192.168.0.111 key simple portal
[AC-portal-server-newpt] port 50100
[AC-portal-server-newpt] quit
# 配置Portal Web服务器的URL为http://192.168.0.111:8080/portal。(Portal Web服务器的URL请与实际环境中的Portal Web服务器配置保持一致,此处仅为示例)
[AC] portal web-server newpt
[AC-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[AC-portal-websvr-newpt] quit
# 开启无线Portal客户端合法性检查功能。
[AC] portal host-check enable
# 创建无线服务模板st1,并在该服务模板上配置VLAN 100。
[AC] wlan service-template st1
[AC-wlan-st-st1] ssid st1
[AC-wlan-st-st1] vlan 100
# 在无线服务模板st1上使能直接方式的Portal认证。
[AC-wlan-st-st1] portal enable method direct
# 在无线服务模板st1上引用Portal Web服务器newpt。
[AC-wlan-st-st1] portal apply web-server newpt
[AC-wlan-st-st1] quit
· 配置Portal基于MAC地址的快速认证
# 创建MAC绑定服务器mts。
[AC] portal mac-trigger-server mts
# 配置用户免认证流量的阈值为1024000字节。
[AC-portal-mac-trigger-server-mts] free-traffic threshold 1024000
# 配置MAC绑定服务器的地址为192.168.0.111。
[AC-portal-mac-trigger-server-mts] ip 192.168.0.111
[AC-portal-mac-trigger-server-mts] quit
# 在无线服务模板上应用MAC绑定服务器mts。
[AC] wlan service-template st1
[AC-wlan-st-st1] portal apply mac-trigger-server mts
# 使能无线服务模板。
[AC-wlan-st-st1] service-template enable
[AC-wlan-st-st1] quit
通过执行以下显示命令可查看MAC绑定服务器配置。
[AC] display portal mac-trigger-server name mts
Portal mac-trigger server: mts
Version : 1.0
Server type : IMC
IP : 192.168.0.111
Port : 50100
VPN instance : Not configured
Aging time : 300 seconds
Free-traffic threshold : 1024000 bytes
NAS-Port-Type : Not configured
Binding retry times : 3
Binding retry interval : 1 seconds
Authentication timeout : 3 minutes
用户可以使用H3C的iNode客户端或通过网页方式进行Portal认证。用户在通过认证前,发起的所有Web访问均被重定向到Portal认证页面(http://192.168.0.111:8080/portal),在通过认证后,可访问非受限的互联网资源。
用户在首次进行Portal认证时,需要手工输入用户名和密码。当用户再次上线时,将可以直接访问互联网资源,不会感知到Portal认证过程。
通过执行以下显示命令查看AC上生成的Portal在线用户信息。
[AC] display portal user all
Total portal users: 1
Username: Client1
AP name: ap1
Radio ID: 1
SSID:st1
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-e9a6-7cfe 2.2.2.2 100 WLAN-BSS1/0/1
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL: N/A
· 客户端通过AP设备接入网络,采用直接方式的Portal认证。用户通过手工配置或DHCP获取公网IP地址进行认证,在通过Portal认证前,只能访问Portal Web服务器;在通过Portal认证后,可以使用此IP地址访问非受限的互联网资源。
· AC同时承担Portal认证服务器、Portal Web服务器以及MAC绑定服务器的职责。
· 配置用户免认证流量的阈值为1024000字节。
· 配置本地MAC表项的老化时间为24小时。
图1-36 配置Portal基于MAC地址的本地快速认证组网图
按照组网图配置设备各接口的IP地址,保证启动Portal之前各设备之间的路由可达。
(1) 配置认证域
# 创建名称为dm1的ISP域,并进入ISP域视图。
<AC> system-view
[AC] domain dm1
# 配置ISP域的AAA方法。
[AC-isp-dm1] authentication portal local
[AC-isp-dm1] authorization portal local
[AC-isp-dm1] accounting portal local
[AC-isp-dm1] quit
# 配置系统缺省的ISP域为dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
[AC] domain default enable dm1
(2) 配置Portal认证
# 配置Portal Web服务器的URL为http://192.168.0.111/portal。(Portal Web服务器的URL请与实际环境中的Portal Web服务器配置保持一致,此处设备为Web服务器)
[AC] portal web-server newpt
[AC-portal-websvr-newpt] url http://192.168.0.111/portal
[AC-portal-websvr-newpt] quit
# 开启无线Portal客户端合法性检查功能。
[AC] portal host-check enable
# 创建无线服务模板st1。
[AC] wlan service-template st1
[AC-wlan-st-st1] ssid st1
# 在无线服务模板st1上使能直接方式的Portal认证。
[AC-wlan-st-st1] portal enable method direct
# 在无线服务模板st1上引用Portal Web服务器newpt。
[AC-wlan-st-st1] portal apply web-server newpt
[AC-wlan-st-st1] quit
(3) 配置Portal基于MAC地址的快速认证
# 创建MAC绑定服务器mts,并进入MAC绑定服务器视图。
[AC] portal mac-trigger-server mts
# 开启Portal本地MAC-trigger认证功能。
[AC-portal-mac-trigger-server-mts] local-binding enable
# 配置用户免认证流量的阈值为1024000字节。
[AC-portal-mac-trigger-server-mts] free-traffic threshold 1024000
# 配置本地MAC表项的老化时间为24小时。
[AC-portal-mac-trigger-server-mts] local-binding aging-time 24
[AC-portal-mac-trigger-server-mts] quit
# 在无线服务模板上应用MAC绑定服务器mts。
[AC] wlan service-template st1
[AC-wlan-st-st1] portal apply mac-trigger-server mts
# 开启无线服务模板。
[AC-wlan-st-st1] service-template enable
[AC-wlan-st-st1] quit
# 创建本地Portal Web服务器,进入本地Portal Web服务器视图,并指定使用HTTP协议和客户端交互认证信息。
[AC] portal local-web-server http
# 配置本地Portal Web服务器提供的缺省认证页面文件为default.zip(设备的存储介质的根目录下必须已存在该认证页面文件,否则功能不生效)。
[AC–portal-local-websvr-http] default-logon-page default.zip
[AC–portal-local-websvr-http] quit
(4) 配置本地用户
# 创建本地认证的Portal用户的用户名为client1,密码为password。
[AC] local-user client1 class network
[AC-luser-network-client1] password simple password
[AC-luser-network-client1] quit
通过执行以下显示命令可查看MAC绑定服务器信息。
[AC] display portal mac-trigger-server name mts
Portal mac-trigger server: mts
Version : 1.0
Server type : IMC
IP : 192.168.0.111
Port : 50100
VPN instance : Not configured
Aging time : 300 seconds
Free-traffic threshold : 1024000 bytes
NAS-Port-Type : Not configured
Binding retry times : 3
Binding retry interval : 1 seconds
Authentication timeout : 3 minutes
Local-binding : Enabled
Local-binding aging-time : 24 hours
用户可以使用H3C的iNode客户端或通过网页方式进行Portal认证。用户在通过认证前,发起的所有Web访问均被重定向到Portal认证页面(http://192.168.0.111/portal),在通过认证后,可访问非受限的互联网资源。
用户在首次进行Portal认证时,需要手工输入用户名和密码。当用户再次上线时,将可以直接访问互联网资源,不会感知到Portal认证过程。
用户首次认证成功后通过执行以下显示命令查看AC上生成的Portal本地绑定用户信息
[AC] display portal lcoal-binding mac-address all
Total mac-address number: 1
Mac-address User-name
0800-2700-b43a client1
通过执行以下显示命令查看AC上生成的Portal在线用户信息。
[AC] display portal user interface vlan-interface100
Total portal users: 1
Username: client1
Portal server: N/A
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0800-2700-b43a 192.168.0.56 100 WLAN-BSS1/0/1
Authorization information:
DHCP IP pool: N/A
User profile: N/A
ACL: N/A
AC上开启DHCP服务,为无线客户端分配私网IP地址,用户通过此私网IP地址进行QQ认证,在通过认证前,只能访问QQ服务器;在通过QQ认证后,可以访问非受限的互联网资源。AC通过VLAN 200接口获取公网IP地址。
图1-37 QQ认证组网图
· 按照组网图配置设备各接口的IP地址,保证AC与QQ服务器之间路由可达,且AP和AC之间建立起稳定的连接。
· 按照自定义认证页面文件编辑规范,完成第三方认证页面的编辑,并上传到设备存储介质的根目录下。
(1) 基本网络功能配置
# 创建VLAN 100,并进入VLAN 100视图。Client将使用该VLAN接入无线网络。
<AC> system-view
[AC] vlan 100
[AC-vlan100] quit
# 创建VLAN 200,并进入VLAN 200视图。此VLAN用来配置NAT及通过DHCP获取公网IP地址。
[AC] vlan 200
[AC-vlan200] quit
# 配置各VLAN接口的IP地址(略)。
# 开启DNS proxy功能。
[AC] dns proxy enable
# 配置Portal Web服务器域名lvzhou.h3c.com对应的IP地址为192.168.1.1。
[AC] ip host lvzhou.h3c.com 192.168.1.1
# 开启DHCP服务。
[AC] dhcp enable
# 创建DHCP地址池client,并进入DHCP地址池视图。
[AC] dhcp server ip-pool client
# 配置DHCP地址池为无线客户端动态分配的IP地址网段为192.168.1.0/24。
[AC-dhcp-pool-client] network 192.168.1.0 mask 255.255.255.0
# 配置不参与自动分配的IP地址为192.168.1.1。
[AC-dhcp-pool-client] forbidden-ip 192.168.1.1
# 配置为DHCP客户端分配的网关地址为192.168.1.1。
[AC-dhcp-pool-client] gateway-list 192.168.1.1
# 配置为DHCP客户端分配的DNS服务器地址为192.168.1.1。
[AC-dhcp-pool-client] dns-list 192.168.1.1
[AC-dhcp-pool-client] quit
# 配置接口VLAN 100引用地址池client。
[AC] interface vlan-interface 100
[AC-Vlan-interface100] dhcp server apply ip-pool client
[AC-Vlan-interface100] quit
# 配置ACL 2000,仅允许对192.168.1.0/24网段的用户报文进行地址转换。
[AC] acl basic 2000
[AC-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[AC-acl-ipv4-basic-2000] quit
# 配置接口VLAN 200通过DHCP协议获取公网IP地址。
[AC] interface vlan-interface 200
[AC-Vlan-interface200] ip address dhcp-alloc
# 在接口上配置Easy IP方式的出方向动态地址转换。
[AC-Vlan-interface200] nat outbound 2000
(2) 配置认证域
# 创建一个名称为extend-auth的ISP域,并进入其视图。
[AC] domain extend-auth
# 为Portal用户配置认证、授权、计费方法均为none。
[AC-isp-extend-auth] authentication portal none
[AC-isp-extend-auth] authorization portal none
[AC-isp-extend-auth] accounting portal none
[AC-isp-extend-auth] quit
(3) 配置QQ认证
# 配置Portal Web服务器wbs的URL为http:// 192.168.1.1/portal。
[AC] portal web-server wbs
[AC-portal-websvr-wbs] url http://192.168.1.1/portal
[AC-portal-websvr-wbs] quit
# 创建QQ认证服务器,并进入QQ认证服务器视图。
[AC] portal extend-auth-server qq
[AC-portal-extend-auth-server-qq] quit
# 创建无线服务模板st1,并进入无线服务模板视图。
[AC] wlan service-template st1
# 配置无线服务模板VLAN为VLAN 100,无线客户端通过此VLAN接入无线服务。
[AC-wlan-st-st1] vlan 100
# 配置SSID为service。
[AC-wlan-st-st1] ssid service
# 在无线服务模板st1上开启直接方式的Portal认证。
[AC-wlan-st-st1] portal enable method direct
# 指定从无线服务模板service上接入的QQ认证用户强制使用认证域extend-auth进行QQ认证。
[AC-wlan-st-st1] portal extend-auth domain extend-auth
# 在无线服务模板st1上引用Portal Web服务器wbs。
[AC-wlan-st-st1] portal apply web-server wbs
# 开启无线服务模板。
[AC-wlan-st-st1] service-template enable
[AC-wlan-st-st1] quit
# 创建手工AP,名称为ap1,型号选择WA4320i-ACN,序列号为210235A29G007C000020。
[AC] wlan ap ap1 model WA4320i-ACN
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
# 进入Radio 1视图。
[AC-wlan-ap-ap1] radio 1
# 将无线服务模板st1绑定到Radio 1。
[AC-wlan-ap-ap1-radio-1] service-template st1
# 开启射频功能。
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
# 创建本地Portal Web 服务器,并进入本地Portal Web服务器视图,指定使用HTTP协议和客户端交互认证信息。
[AC] portal local-web-server http
# 配置本地Portal Web 服务器的缺省认证页面(需要先将缺省认证页面文件abc.zip上传到设备)。
[AC-portal-local-websvr-http] default-logon-page abc.zip
[AC-portal-local-websvr-http] quit
# 配置基于IP地址的Portal免认证规则(端口号53表示DNS报文),允许用户不需要经过Portal认证即可访问DNS服务。
[AC] portal free-rule 1 destination ip any udp 53
[AC] portal free-rule 2 destination ip any tcp 53
# 配置基于目的的Portal免认证规则,允许用户不需要经过Portal认证即可访问QQ认证服务器。
[AC] portal free-rule 3 destination *.qq.com
[AC] portal free-rule 4 destination *.gtimg.cn
以上配置完成后,通过执行以下显示命令可查看QQ服务器信息。
[AC] display portal extend-auth-server all
Portal extend-auth-server: qq
Authentication URL : https://graph.qq.com
APP ID : 101235509
APP key : ******
Redirect URL : http://lvzhou.h3c.com/portal/qqlogin.html
用户在通过认证前,只能访问本地认证页面http://192.168.1.1/portal,且发起的Web访问均被重定向到该认证页面,认证页面上用户点击QQ认证按钮,跳转到QQ认证页面,输入QQ号和QQ密码,在通过认证后,可访问非受限的互联网资源。
通过执行以下显示命令查看AC上生成的Portal在线用户信息。
[AC] display portal user all
Total portal users: 1
Username: 00-00-00-00-00-01
AP name: ap1
Radio ID: 1
SSID:service
Portal server: N/A
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-e9a6-7cfe 192.168.1.2 100 WLAN-BSS1/0/1
Authorization information:
DHCP IP pool: N/A
User profile: N/A
ACL: N/A
AC上开启DHCP服务,为无线客户端分配私网IP地址,用户通过此私网IP地址进行邮箱认证,在通过认证前,只能访问本地Web服务器;在通过邮箱认证后,可以访问非受限的互联网资源。AC通过VLAN 200接口获取公网IP地址。
图1-38 邮箱认证组网图
· 按照组网图配置设备各接口的IP地址,保证AC与邮箱服务器之间路由可达,且AP和AC之间建立起稳定的连接。
· 按照自己定义认证页面文件编辑规范,完成第三方认证页面的编辑。并上传到设备存储介质的根目录下。
(1) 基本网络功能配置
# 创建VLAN 100,并进入VLAN 100视图。Client将使用该VLAN接入无线网络。
<AC> system-view
[AC] vlan 100
[AC-vlan100] quit
# 创建VLAN 200,并进入VLAN 200视图。此VLAN用来配置NAT及通过DHCP获取公网IP地址。
[AC] vlan 200
[AC-vlan200] quit
# 配置各VLAN接口的IP地址(略)。
# 开启DNS proxy功能。
[AC] dns proxy enable
# 配置Portal Web服务器域名www.mail.com对应的IP地址为192.168.1.1。
[AC] ip host www.mail.com 192.168.1.1
# 开启DHCP服务。
[AC] dhcp enable
# 创建DHCP地址池client,并进入DHCP地址池视图。
[AC] dhcp server ip-pool client
# 配置DHCP地址池为无线客户端动态分配的IP地址网段为192.168.1.0/24。
[AC-dhcp-pool-client] network 192.168.1.0 mask 255.255.255.0
# 配置不参与自动分配的IP地址为192.168.1.1。
[AC-dhcp-pool-client] forbidden-ip 192.168.1.1
# 配置为DHCP客户端分配的网关地址为192.168.1.1。
[AC-dhcp-pool-client] gateway-list 192.168.1.1
# 配置为DHCP客户端分配的DNS服务器地址为192.168.1.1。
[AC-dhcp-pool-client] dns-list 192.168.1.1
[AC-dhcp-pool-client] quit
# 配置接口VLAN 100引用地址池client。
[AC] interface vlan-interface 100
[AC-Vlan-interface100] dhcp server apply ip-pool client
[AC-Vlan-interface100] quit
# 配置ACL 2000,仅允许对192.168.1.0/24网段的用户报文进行地址转换。
[AC] acl basic 2000
[AC-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[AC-acl-ipv4-basic-2000] quit
# 配置接口VLAN 200通过DHCP协议获取公网IP地址。
[AC] interface vlan-interface 200
[AC-Vlan-interface200] ip address dhcp-alloc
# 在接口上配置Easy IP方式的出方向动态地址转换。
[AC-Vlan-interface200] nat outbound 2000
[AC-Vlan-interface200] quit
(2) 配置认证域
# 创建一个名称为extend-auth的ISP域,并进入其视图。
[AC] domain extend-auth
# 为Portal用户配置认证、授权、计费方法均为none。
[AC-isp-extend-auth] authentication portal none
[AC-isp-extend-auth] authorization portal none
[AC-isp-extend-auth] accounting portal none
[AC-isp-extend-auth] quit
(3) 配置邮箱认证
# 配置Portal Web服务器wbs的URL为https:// 192.168.1.1/portal。
[AC] portal web-server wbs
[AC-portal-websvr-wbs] url https://192.168.1.1/portal
[AC-portal-websvr-wbs] quit
# 创建邮箱认证服务器,并进入邮箱认证服务器视图。
[AC] portal extend-auth-server mail
# 配置邮箱认证服务支持的协议类型为POP3和IMAP。
[AC-portal-extend-auth-server-mail] mail-protocol pop3 imap
[AC-portal-extend-auth-server-mail] quit
# 创建无线服务模版st1,并进入无线服务模板视图。
[AC] wlan service-template st1
# 配置无线服务模板VLAN为VLAN 100,无线客户端通过此VLAN接入无线服务。
[AC-wlan-st-st1] vlan 100
# 配置SSID为service。
[AC-wlan-st-st1] ssid service
# 在无线服务模板st1上开启直接方式的Portal认证。
[AC-wlan-st-st1] portal enable method direct
# 指定从无线服务模板service上接入的邮箱认证用户强制使用认证域extend-auth进行邮箱认证。
[AC-wlan-st-st1] portal extend-auth domain extend-auth
# 在无线服务模板st1上引用Portal Web服务器wbs。
[AC-wlan-st-st1] portal apply web-server wbs
# 开启无线服务模板。
[AC-wlan-st-st1] service-template enable
[AC-wlan-st-st1] quit
# 创建手工AP,名称为ap1,型号选择WA4320i-ACN,序列号为210235A29G007C000020。
[AC] wlan ap ap1 model WA4320i-ACN
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
# 进入Radio 1视图。
[AC-wlan-ap-ap1] radio 1
# 将无线服务模板st1绑定到Radio 1。
[AC-wlan-ap-ap1-radio-1] service-template st1
# 开启射频功能。
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
# 创建本地Portal Web 服务器,并进入本地Portal Web服务器视图,指定使用HTTPS协议和客户端交互认证信息。
[AC] portal local-web-server https
# 配置本地Portal Web 服务器的缺省认证页面(需要先将缺省认证页面文件abc.zip上传到设备)。
[AC-portal-local-websvr-https] default-logon-page abc.zip
[AC-portal-local-websvr-https] quit
# 配置基于IP地址的Portal免认证规则(端口号53表示DNS报文),允许用户不需要经过Portal认证即可访问DNS服务。
[AC] portal free-rule 1 destination ip any udp 53
[AC] portal free-rule 2 destination ip any tcp 53
以上配置完成后,通过执行以下显示命令可查看邮箱服务器信息。
[AC] display portal extend-auth-server mail
Portal extend-auth-server: mail
Mail protocol : POP3 IMAP
用户在通过认证前,只能访问本地认证页面https://192.168.1.1/portal,且发起的Web访问均被重定向到该认证页面,用户点击邮箱认证按钮,跳转到邮箱认证页面,输入邮箱名和密码,在通过认证后,可访问非受限的互联网资源。
通过执行以下显示命令查看AC上生成的Portal在线用户信息。
[AC] display portal user all
Total portal users: 1
Username: user
AP name: ap1
Radio ID: 1
SSID:service
Portal server: N/A
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0015-e9a6-7cfe 192.168.1.2 100 WLAN-BSS1/0/1
Authorization information:
DHCP IP pool: N/A
User profile: N/A
ACL: N/A
用户被强制去访问iMC Portal认证服务器时没有弹出Portal认证页面,也没有错误提示,登录的Portal认证服务器页面为空白。
接入设备上配置的Portal密钥和Portal认证服务器上配置的密钥不一致,导致Portal认证服务器报文验证出错,Portal认证服务器拒绝弹出认证页面。
使用display portal server命令查看接入设备上是否配置了Portal认证服务器密钥,若没有配置密钥,请补充配置;若配置了密钥,请在Portal认证服务器视图中使用ip或ipv6命令修改密钥,或者在Portal认证服务器上查看对应接入设备的密钥并修改密钥,直至两者的密钥设置一致。
用户通过Portal认证后,在接入设备上使用portal delete-user命令强制用户下线失败,但是使用客户端的“断开”属性可以正常下线。
在接入设备上使用portal delete-user命令强制用户下线时,由接入设备主动发送下线通知报文到Portal认证服务器,Portal认证服务器会在指定的端口监听该报文(缺省为50100),但是接入设备发送的下线通知报文的目的端口和Portal认证服务器真正的监听端口不一致,故Portal认证服务器无法收到下线通知报文,Portal认证服务器上的用户无法下线。
当使用客户端的“断开”属性让用户下线时,由Portal认证服务器主动向接入设备发送下线请求,其源端口为50100,接入设备的下线应答报文的目的端口使用请求报文的源端口,避免了其配置上的错误,使得Portal认证服务器可以收到下线应答报文,从而Portal认证服务器上的用户成功下线。
使用display portal server命令查看接入设备对应服务器的端口,并在系统视图中使用portal server命令修改服务器的端口,使其和Portal认证服务器上的监听端口一致。
接入设备使用H3C的iMC服务器作为RADIUS服务器对Portal用户进行身份认证,用户通过Portal认证上线后,管理员无法在RADIUS服务器上强制Portal用户下线。
H3C的iMC服务器使用session control报文向设备发送断开连接请求。接入设备上监听session control报文的UDP端口缺省是关闭的,因此无法接收RADIUS服务器发送的Portal用户下线请求。
查看接入设备上的RADIUS session control功能是否处于开启状态,若未开启,请在系统视图下执行radius session-control enable命令开启。
接入设备上通过命令行强制Portal用户下线后,Portal认证服务器上还存在该用户。
在接入设备上使用portal delete-user命令强制用户下线时,由接入设备主动发送下线通知报文到Portal认证服务器,若接入设备主动发送的Portal报文携带的BAS-IP/BAS-IPv6属性值与Portal认证服务器上指定的设备IP地址不一致,Portal认证服务器会将该下线通知报文丢弃。当接入设备尝试发送该报文超时之后,会将该用户强制下线,但Portal认证服务器上由于并未成功接收这样的通知报文,认为该用户依然在线。
在使能Portal认证的接口上配置BAS-IP/BAS-IPv6属性值,使其与Portal认证服务器上指定的设备IP地址保持一致。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!