• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

09-安全配置举例

目录

03-H3C_Portal典型配置举例

本章节下载 03-H3C_Portal典型配置举例  (632.64 KB)

03-H3C_Portal典型配置举例

H3C Portal典型配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

资料版本:6W100-20201031

产品版本:Release 7595

 

Copyright © 2020 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。

 



1  简介

本文档介绍了可跨三层Portal认证和直接Portal认证的典型配置举例。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解Portal特性。

3  可跨三层Portal认证配置举例

3.1  组网需求

图1所示,Device B支持Portal认证功能,Host A、Host B和Host C通过Device A接入到Device B,要求:

·     采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。

·     配置Device B采用可跨三层Portal认证。

·     用户在通过Portal认证前,只能访问Portal Web服务器。用户通过认证后,可以访问非受限互联网资源。

·     采用RADIUS服务器对Portal用户接入进行认证/授权和计费。

·     配置发送给Portal认证服务器的Portal报文的BAS-IP属性。

·     开启RADIUS session control功能来监听并接收RADIUS服务器发送的session control报文。

图1 可跨三层Portal认证配置组网图

 

 

3.2  配置思路

·     为了对Department A的网络访问进行Portal认证,需要在Device B上配置Portal服务器并且开启Portal认证。

·     为了实现通过RADIUS来对Portal用户进行认证/授权和计费,需要在Device B上配置RADIUS方案并指定相应的认证/授权服务器和计费服务器,并将其应用于Portal用户所属的认证域。

·     配置系统缺省的ISP域,所有接入用户共用此缺省域的认证/授权和计费方法,若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。

3.3  配置注意事项

目前仅支持使用RADIUS服务器对Portal用户进行认证/授权和计费,同时服务器需要配置路由,可以访问认证端口及用户IP地址所在网段。

3.4  配置步骤

3.4.1  RADIUS/Portal server的配置

说明

下面以iMC为例(使用iMC版本为:iMC PLAT 7.0 (E0202)、iMC EIA 7.0 (E0202)),说明RADIUS server和Portal server的基本配置。

 

# 增加接入设备

登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击<增加>按钮,进入增加接入设备页面。

·     设置与Device B交互报文时的认证共享密钥为“expert”;

·     设置认证及计费的端口号分别为“1812”和“1813”;

·     选择业务类型为“LAN接入业务”;

·     选择接入设备类型为“H3C(General)”;

·     选择或手工增加接入设备,添加IP地址为10.0.10.1的接入设备;

·     其它参数采用缺省值,并单击<确定>按钮完成操作。

图2 增加接入设备

 

# 增加接入策略

选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,单击<增加>按钮,进入“增加接入策略”页面。

·     接入策略名填写portal(该名称可以自定义)。

·     其他配置采用页面默认配置即可。

·     单击<确定>按钮完成操作。

图3 增加接入策略

 

# 增加服务配置

选择“用户”页签,单击导航树中的[接入策略管理/接入服务管理]菜单项,进入服务器配置管理页面,在该页面中单击<增加>按钮,进入增加服务配置页面。

·     输入服务名为“Portal-auth”(该名称可以自定义)。

·     缺省接入策略选择“portal”,即上一步配置的接入策略名。

·     其他配置采用页面默认配置即可。

·     单击<确定>按钮完成操作。

图4 增加服务配置

 

 

# 增加接入用户

选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户列表页面,在该页面中单击<增加>按钮,进入增加接入用户页面。

·     单击<增加用户>按钮,手工增加用户姓名为“hello”(可自定义),证件号码为111111(可自定义);

·     其它参数采用缺省值,并单击<确定>按钮完成操作;

图5 接入用户配置

 

·     输入帐号名“portal”和密码;

·     选择该用户所关联的接入服务为“Portal-auth”;

·     其它参数采用缺省值,并单击<确定>按钮完成操作。

图6 增加接入用户

 

 

# 配置Portal主页

选择“用户”页签,单击导航树中的[接入策略管理/Portal服务管理/服务器配置]菜单项,进入服务器配置页面,配置Portal主页,采用默认配置即可,并单击<确定>按钮完成操作。

图7 Portal服务器配置页面

 

 

# 配置Portal认证的地址组范围

单击导航树中的[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入“IP地址组配置”页面,在该页面中单击<增加>按钮,进入“增加IP地址组配置”页面。

·     输入IP地址组名为“Portal_user”;

·     输入起始地址为“192.168.0.0”、终止地址为“192.168.0.255”。用户主机IP地址必须包含在该IP地址组范围内;

·     其他采用默认配置;

·     单击<确定>按钮完成操作。

图8 增加IP地址组配置页面

 

# 增加Portal接入设备信息

单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项,进入“设备配置”页面,在该页面中单击<增加>按钮,进入“增加设备信息”页面。

·     输入设备名为“NAS”;

·     输入IP地址为“10.0.11.1”,该地址为与接入用户相连的设备接口IP地址;

·     输入密钥为“portal”,该密钥与接入设备Device B上的配置保持一致;

·     选择组网方式为“三层”;

·     其它参数采用缺省值,并单击<确定>按钮完成操作。

图9 增加设备信息配置页面

 

# 配置端口组信息

返回[接入策略管理/Portal服务管理/设备配置]菜单项,单击<端口组信息管理>按钮,进入“端口组信息配置”页面。

图10 设备信息列表

 

在“端口组信息配置”页面中单击<增加>按钮,进入“增加端口组信息”页面。

·     输入端口组名为“group”;

·     选择IP地址组为“Portal_user”,用户接入网络时使用的IP地址必须属于所选的IP地址组;

·     其它参数采用缺省值,并单击<确定>按钮完成操作。

图11 增加端口组信息配置页面

 

3.4.2  Device A的配置

# 创建VLAN 2和VLAN 11,并配置VLAN接口IP地址。

<DeviceA> system-view

[DeviceA] vlan 2

[DeviceA-vlan2] quit

[DeviceA] vlan 11

[DeviceA-vlan11] quit

[DeviceA] interface vlan-interface 2

[DeviceA-Vlan-interface2] ip address 192.168.0.1 24

[DeviceA-Vlan-interface2] quit

[DeviceA] interface vlan-interface 11

[DeviceA-Vlan-interface11] ip address 10.0.11.2 24

[DeviceA-Vlan-interface11] quit

# 配置到10.0.10.0/24网段的静态路由,下一跳为10.0.11.1。

[DeviceA] ip route-static 10.0.10.0 255.255.255.0 10.0.11.1

# 请根据实际组网情况将交换机物理接口加入相应VLAN,本举例略。

3.4.3  Device B的配置

# 创建VLAN 10和VLAN 11,配置各VLAN接口IP地址。

<DeviceB> system-view

[DeviceB] vlan 10

[DeviceB-vlan10] quit

[DeviceB] vlan 11

[DeviceB-vlan11] quit

[DeviceB] interface vlan-interface 11

[DeviceB-Vlan-interface11] ip address 10.0.11.1 24

[DeviceB-Vlan-interface11] quit

[DeviceB] interface vlan-interface 10

[DeviceB-Vlan-interface10] ip address 10.0.10.1 24

[DeviceB-Vlan-interface10] quit

# 配置Portal认证服务器:名称为newpt,IP地址为10.0.10.2,密钥为明文portal,监听Portal报文的端口为50100(设备缺省端口号)。

[DeviceB] portal server newpt

[DeviceB-portal-server-newpt] ip 10.0.10.2 key simple portal

[DeviceB-portal-server-newpt] port 50100

[DeviceB-portal-server-newpt] quit

# 配置Portal Web服务器的URL为http://10.0.10.2:8080/portal。(Portal Web服务器的URL请与实际环境中的Portal Web服务器配置保持一致,此处仅为示例)

[DeviceB] portal web-server newpt

[DeviceB-portal-websvr-newpt] url http://10.0.10.2:8080/portal

[DeviceB-portal-websvr-newpt] quit

# 在与Device A相连的接口上开启可跨三层方式的Portal认证。

[DeviceB] interface Vlan-interface 11

[DeviceB-Vlan-interface11] portal enable method layer3

# 在与Device A相连的接口上设置发送给Portal报文中的BAS-IP属性值为10.0.11.1。

[DeviceB-Vlan-interface11] portal bas-ip 10.0.11.1

# 在与Device A相连的接口上引用Portal Web服务器newpt。

[DeviceB-Vlan-interface11] portal apply web-server newpt

[DeviceB-Vlan-interface11] quit

# 创建名字为imc的RADIUS方案并进入该方案视图。

[DeviceB] radius scheme imc

# 配置RADIUS方案主认证/计费服务器及其通信密钥。

[DeviceB-radius-imc] primary authentication 10.0.10.2

[DeviceB-radius-imc] primary accounting 10.0.10.2

[DeviceB-radius-imc] key authentication simple expert

[DeviceB-radius-imc] key accounting simple expert

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[DeviceB-radius-imc] user-name-format without-domain

[DeviceB-radius-imc] quit

# 开启RADIUS session control功能。

[DeviceB] radius session-control enable

# 配置名为portal.com的认证域。

[DeviceB] domain portal.com

# 配置ISP域的AAA方法。

[DeviceB-isp-portal.com] authentication portal radius-scheme imc

[DeviceB-isp-portal.com] authorization portal radius-scheme imc

[DeviceB-isp-portal.com] accounting portal radius-scheme imc

[DeviceB-isp-portal.com] quit

# 配置系统缺省的ISP域portal.com,所有接入用户共用此缺省域的认证/授权和计费方法,若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。

[DeviceB] domain default enable portal.com

# 配置到Department A的静态路由。

[DeviceB] ip route-static 192.168.0.0 255.255.255.0 10.0.11.2

3.5  验证配置

# 用户既可以使用H3C的iNode客户端,也可以通过网页方式进行Portal认证。本例用网页方式进行Portal认证。用户在通过认证前,任何Web访问请求都会被重定向到认证页面http://10.0.10.2:8080/portal,且发起的Web访问请求均被重定向到该认证页面,如图12。当用户通过认证后,跳转到图13界面。

图12 Portal认证页面

 

图13 Portal用户认证成功页面

 

# 认证通过后,可通过执行以下显示命令查看Device B上生成的Portal在线用户信息。

[DeviceB] display portal user interface vlan-interface 11

Total portal users: 1

Username: portal

  Portal server: newpt

  State: Online

  VPN instance: N/A

  Authorization ACL: None

  VPN instance: --

  MAC              IP                Vlan   Interface

  0015-e9a6-7cfe   192.168.0.2       11     Vlan-interface11

  Authorization information:

    DHCP IP pool: N/A

    User profile: N/A

    Session group profile: N/A

    ACL number: N/A

    Inbound CAR: N/A

    Outbound CAR: N/A

3.6  配置文件

·     Device A:

#

vlan 2

#

vlan 11

#

interface Vlan-interface2

 ip address 192.168.0.1 255.255.255.0

#

interface Vlan-interface11

 ip address 10.0.11.2 255.255.255.0

#

ip route-static 10.0.10.0 24 10.0.11.1

#

·     Device B:

#

vlan 10 to 11

#

interface Vlan-interface10

 ip address 10.0.10.1 255.255.255.0

#

interface Vlan-interface11

 ip address 10.0.11.1 255.255.255.0

 portal enable method layer3

 portal bas-ip 10.0.11.1

 portal apply web-server newpt

#

ip route-static 192.168.0.0 24 10.0.11.2

#

radius session-control enable 

#

radius scheme imc

primary authentication 10.0.10.2

primary accounting 10.0.10.2

key authentication cipher $c$3$M30nGDQxiOCAxe2AJ9yEZdk8kjoWag==

key accounting cipher $c$3$M23dGDQxiOCAxe2BJ9yEZdk8kjoWag==

user-name-format without-domain

#

domain portal.com

 authentication portal radius-scheme imc

 authorization portal radius-scheme imc

accounting portal radius-scheme imc

#

domain default enable portal.com

#

portal web-server newpt

 url http://10.0.10.2:8080/portal

#

portal server newpt

 ip 10.0.10.2 key cipher $c$3$r0VxoIiBrpzju9h2akP4TxyknX8VTuYKfA==

#

4  可跨三层Portal认证方式扩展功能配置举例

4.1  组网需求

图14所示,Device B支持Portal认证功能,Host A、Host B和Host C通过Device A接入到Device B,要求:

·     采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。

·     配置Device B采用可跨三层Portal认证。

·     用户在通过Portal认证前,只能访问Portal Web服务器。

·     用户通过认证,但没有安装指定版本的防病毒软件,则对用户进行隔离,只允许访问病毒和补丁服务器。

·     用户通过认证,且安装了指定版本的防病毒软件,则通过安全策略检查,可正常访问网络。

·     采用RADIUS服务器对用户接入进行认证和授权,并采用安全策略服务器对登录成功的用户进行安全检查。

·     配置发送给Portal认证服务器的Portal报文的BAS-IP属性。

·     开启RADIUS session control功能来监听并接收RADIUS服务器发送的session control报文。

图14 Portal三层认证扩展功能配置组网图

 

 

4.2  配置思路

·     为了对Department A的网络访问进行Portal认证,需要在Device B上配置Portal服务器并且开启Portal认证。认证通过前,所有客户端只能访问Portal Web服务器,用户访问任何网页都被重定向到Portal Web服务器主页面。

·     为了实现通过RADIUS来进行认证和授权,需要在Device B上配置RADIUS方案并指定相应的认证和授权服务器,并将其应用于Portal用户所属的认证域。

·     为了对登录成功的用户进行安全检查,需要创建ACL并制定规则,不符合检查要求的用户,只能访问病毒和补丁服务器,升级病毒库版本满足安全策略要求后,该用户才可访问所有网络资源。

·     配置系统缺省的ISP域,所有接入用户共用此缺省域的认证、授权方法,若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。

4.3  配置注意事项

目前仅支持使用RADIUS服务器对Portal用户进行认证和授权,同时服务器需要配置路由,可以访问认证端口及用户IP地址所在网段。

4.4  配置步骤

说明

·     请保证在RADIUS服务器、Portal服务器上完成相应的配置,具体配置步骤请参见3.4.1  RADIUS/Portal server的配置

·     安全策略服务器上需要将ACL 3000和ACL 3001分别指定为隔离ACL和安全ACL。

 

4.4.1  Device A的配置

# 创建VLAN 2和VLAN 11,并配置VLAN接口IP地址。

<DeviceA> system-view

[DeviceA] vlan 2

[DeviceA-vlan2] quit

[DeviceA] vlan 11

[DeviceA-vlan11] quit

[DeviceA] interface vlan-interface 2

[DeviceA-Vlan-interface2] ip address 192.168.0.1 24

[DeviceA-Vlan-interface2] quit

[DeviceA] interface vlan-interface 11

[DeviceA-Vlan-interface11] ip address 10.0.11.2 24

[DeviceA-Vlan-interface11] quit

# 配置到10.0.10.0/24网段的静态路由,下一跳为10.0.11.1。

[DeviceA] ip route-static 10.0.10.0 255.255.255.0 10.0.11.1

# 配置到10.0.12.0/24网段的静态路由,下一跳为10.0.11.1。

[DeviceA] ip route-static 10.0.12.0 255.255.255.0 10.0.11.1

# 请根据实际组网情况将交换机物理接口加入相应VLAN,本举例略。

4.4.2  Device B的配置

# 创建VLAN 10、VLAN 11和VLAN 12,配置各VLAN接口IP地址。

<DeviceB> system-view

[DeviceB] vlan 10

[DeviceB-vlan10] quit

[DeviceB] vlan 11

[DeviceB-vlan11] quit

[DeviceB] vlan 12

[DeviceB-vlan12] quit

[DeviceB] interface vlan-interface 11

[DeviceB-Vlan-interface11] ip address 10.0.11.1 24

[DeviceB-Vlan-interface11] quit

[DeviceB] interface vlan-interface 10

[DeviceB-Vlan-interface10] ip address 10.0.10.1 24

[DeviceB-Vlan-interface10] quit

[DeviceB] interface vlan-interface 12

[DeviceB-Vlan-interface12] ip address 10.0.12.1 24

[DeviceB-Vlan-interface12] quit

# 配置Portal认证服务器:名称为newpt,IP地址为10.0.10.2,密钥为明文portal,监听Portal报文的端口为50100(设备缺省端口号)。

[DeviceB] portal server newpt

[DeviceB-portal-server-newpt] ip 10.0.10.2 key simple portal

[DeviceB-portal-server-newpt] port 50100

[DeviceB-portal-server-newpt] quit

# 配置Portal Web服务器的URL为http://10.0.10.2:8080/portal。(Portal Web服务器的URL请与实际环境中的Portal Web服务器配置保持一致,此处仅为示例)

[DeviceB] portal web-server newpt

[DeviceB-portal-websvr-newpt] url http://10.0.10.2:8080/portal

[DeviceB-portal-websvr-newpt] quit

# 在与Device A相连的接口上开启可跨三层方式的Portal认证。

[DeviceB] interface Vlan-interface 11

[DeviceB-Vlan-interface11] portal enable method layer3

# 在与Device A相连的接口上设置发送给Portal报文中的BAS-IP属性值为10.0.11.1。

[DeviceB–Vlan-interface11] portal bas-ip 10.0.11.1

# 在与Device A相连的接口上引用Portal Web服务器newpt。

[DeviceB–Vlan-interface11] portal apply web-server newpt

[DeviceB-Vlan-interface11] quit

# 配置到Department A的静态路由。

[DeviceB] ip route-static 192.168.0.0 255.255.255.0 10.0.11.2

# 创建名字为imcRADIUS方案并进入该方案视图。

[DeviceB] radius scheme imc

# 配置RADIUS方案相关参数,包括RADIUS服务器地址,认证密钥等。

[DeviceB-radius-imc] primary authentication 10.0.10.2

[DeviceB-radius-imc] primary accounting 10.0.10.2

[DeviceB-radius-imc] key authentication simple expert

[DeviceB-radius-imc] key accounting simple expert

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[DeviceB-radius-imc] user-name-format without-domain

[DeviceB-radius-imc] quit

# 开启RADIUS session control功能。

[DeviceB] radius session-control enable

# 指定一个session control客户端IP地址为192.168.0.113,共享密钥为明文12345。

[RouterB] radius session-control client ip 192.168.0.113 key simple 12345

# 配置名为portal.com的认证域。

[DeviceB] domain portal.com

# 配置ISP域的AAA方法。

[DeviceB-isp-portal.com] authentication portal radius-scheme imc

[DeviceB-isp-portal.com] authorization portal radius-scheme imc

[DeviceB-isp-portal.com] accounting portal radius-scheme imc

[DeviceB-isp-portal.com] quit

# 配置系统缺省的ISP域portal.com,所有接入用户共用此缺省域的认证/授权和计费方法,若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。

[DeviceB] domain default enable portal.com

# 配置ACL 3000,只允许访问补丁和病毒服务器。

[DeviceB] acl advanced 3000

[DeviceB-acl-ipv4-adv-3000] rule permit ip destination 10.0.12.2 0

[DeviceB-acl-ipv4-adv-3000] rule deny ip destination any

[DeviceB-acl-ipv4-adv-3000] quit

# 配置ACL 3001,允许所有IP地址通过。

[DeviceB] acl advanced 3001

[DeviceB-acl-ipv4-adv-3001] rule permit ip destination any

[DeviceB-acl-ipv4-adv-3001] quit

4.5  验证配置

# 用户只能使用H3C的iNode客户端,进行Portal扩展功能认证。用户通过iNode客户端,新建Portal连接,输入正确的用户名和密码,登录成功。

 

然后,开始安全检查,安全检查不合格,进入隔离模式。查看设备上Portal用户,可看到下发了隔离ACL 3000。

[DeviceB]display portal user all

Total portal users: 1

Username: portal

  Portal server: newpt

  State: Online

  Authorization ACL: 3000

  VPN instance: N/A

  MAC             IP                    VLAN    Interface

  0015-e9a6-7cfe  192.168.0.2            11      Vlan-interface11

  Authorization information:

    DHCP IP pool: N/A

    User profile: N/A

    Session group profile: N/A

    ACL: 3000

    CAR: N/A

# 升级病毒库,版本满足安全策略要求。客户端断开后,重新登录,认证成功后,进行安全检查,客户端提示安全检查合格,设备上查看通过认证的Portal用户信息,可见下发了安全ACL 3001。

[DeviceB]display portal user all

Total portal users: 1

Username: portal

  Portal server: newpt

  State: Online

  Authorization ACL: 3001

  VPN instance: N/A

  MAC             IP                    VLAN    Interface

  0015-e9a6-7cfe  192.168.0.2           11      Vlan-interface11

  Authorization information:

    DHCP IP pool: N/A

    User profile: N/A

    Session group profile: N/A

    ACL number: 3001

    Inbound CAR: N/A

    Outbound CAR: N/A

4.6  配置文件

·     Device A:

#

vlan 2

#

vlan 11

#

interface Vlan-interface2

 ip address 192.168.0.1 255.255.255.0

#

interface Vlan-interface11

 ip address 10.0.11.2 255.255.255.0

#

ip route-static 10.0.10.0 24 10.0.11.1

ip route-static 10.0.12.0 24 10.0.11.1

#

·     Device B:

#

vlan 10 to 12

#

interface Vlan-interface10

 ip address 10.0.10.1 255.255.255.0

#

interface Vlan-interface11

 ip address 10.0.11.1 255.255.255.0

portal enable method layer3

portal bas-ip 10.0.11.1

 portal apply web-server newpt

#

interface Vlan-interface12

 ip address 10.0.12.1 255.255.255.0

#

ip route-static 192.168.0.0 24 10.0.11.2

#

acl advanced 3000

 rule 0 permit ip destination 10.0.12.2 0

 rule 5 deny ip

#

acl advanced 3001

 rule 0 permit ip

#

 radius session-control enable

#

radius scheme imc

 primary authentication 10.0.10.2

primary accounting 10.0.10.2

key authentication cipher $c$3$M30nGDQxiOCAxe2AJ9yEZdk8kjoWag==

key accounting cipher $c$3$M23dGDQxiOCAxe2BJ9yEZdk8kjoWag==

 user-name-format without-domain

#

domain portal.com

 authentication portal radius-scheme imc

 authorization portal radius-scheme imc

accounting portal radius-scheme imc

#

 domain default enable portal.com

#

portal web-server newpt

 url http://10.0.10.2:8080/portal

#

portal server newpt

 ip 10.0.10.2 key cipher $c$3$r0VxoIiBrpzju9h2akP4TxyknX8VTuYKfA==

#

5  直接Portal认证配置举例

5.1  组网需求

图15所示,Department A客户端与接入设备直接相连,采用直接方式的Portal认证。

·     采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。

·     Department A下面的用户在通过Portal认证前,只能访问Portal Web服务器,无法访问内部其它网络或Internet。用户通过认证后,可以正常访问网络。

·     采用RADIUS服务器对Portal用户接入进行认证/授权和计费。

·     配置发送给Portal认证服务器的Portal报文的BAS-IP属性。

·     开启RADIUS session control功能来监听并接收RADIUS服务器发送的session control报文。

图15 Portal特性直接认证配置组网图

 

5.2  配置思路

·     为了对Department A的网络访问进行Portal认证,需要在Device上配置Portal服务器并且开启Portal认证。

·     为了实现通过RADIUS来对Portal用户进行认证/授权和计费,需要在Device上配置RADIUS方案并指定相应的认证/授权服务器和计费服务器,并将其应用于Portal用户所属的认证域。

·     配置系统缺省的ISP域,所有接入用户共用此缺省域的认证/授权和计费方法,若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。

5.3  配置注意事项

目前仅支持使用RADIUS服务器对Portal用户进行认证/授权和计费,同时服务器需要配置路由,可以访问认证端口及用户IP地址所在网段。

5.4  配置步骤

说明

请保证在RADIUS服务器、Portal服务器上完成相应的配置,具体配置步骤请参见3.4.1  RADIUS/Portal server的配置。其中“增加Portal设备”步骤中的选择组网方式改为“直连”,并将IP地址改为192.168.0.1即可。

 

5.4.1  Device的配置

# 创建VLAN 10和VLAN 11,配置各VLAN接口IP地址。

<Device> system-view

[Device] vlan 10

[Device-vlan10] quit

[Device] vlan 11

[Device-vlan11] quit

[Device] interface vlan-interface 11

[Device-Vlan-interface11] ip address 192.168.0.1 24

[Device-Vlan-interface11] quit

[Device] interface vlan-interface 10

[Device-Vlan-interface10] ip address 10.0.10.1 24

[Device-Vlan-interface10] quit

# 配置Portal认证服务器:名称为newpt,IP地址为10.0.10.2,密钥为明文portal,监听Portal报文的端口为50100(设备缺省端口号)。

[Device] portal server newpt

[Device-portal-server-newpt] ip 10.0.10.2 key simple portal

[Device-portal-server-newpt] port 50100

[Device-portal-server-newpt] quit

# 配置Portal Web服务器的URL为http://10.0.10.2:8080/portal。(Portal Web服务器的URL请与实际环境中的Portal Web服务器配置保持一致,此处仅为示例)

[Device] portal web-server newpt

[Device-portal-websvr-newpt] url http://10.0.10.2:8080/portal

[Device-portal-websvr-newpt] quit

# 在与客户端相连的接口上开启直接方式的Portal认证。

[Device] interface Vlan-interface 11

[Device-Vlan-interface11] portal enable method direct

# 在与客户端相连的接口上设置发送给Portal报文中的BAS-IP属性值为192.168.0.1。

[Device-Vlan-interface11] portal bas-ip 192.168.0.1

# 在与客户端相连的接口上引用Portal Web服务器newpt。

[Device-Vlan-interface11] portal apply web-server newpt

[Device-Vlan-interface11] quit

# 创建名字为imc的RADIUS方案并进入该方案视图。

[Device] radius scheme imc

# 配置RADIUS方案主认证服务器及其通信密钥。

[Device-radius-imc] primary authentication 10.0.10.2

[Device-radius-imc] primary accounting 10.0.10.2

[Device-radius-imc] key authentication simple expert

[Device-radius-imc] key accounting simple expert

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[Device-radius-imc] user-name-format without-domain

[Device-radius-imc] quit

# 开启RADIUS session control功能。

[Device] radius session-control enable

# 配置名为portal.com的认证域。

[Device] domain portal.com

# 配置ISP域的AAA方法。

[Device-isp-portal.com] authentication portal radius-scheme imc

[Device-isp-portal.com] authorization portal radius-scheme imc

[Device-isp-portal.com] accounting portal radius-scheme imc

[Device-isp-portal.com] quit

# 配置系统缺省的ISP域portal.com,所有接入用户共用此缺省域的认证、授权方法,若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。

[Device] domain default enable portal.com

5.4.2   验证配置

# 用户既可以使用H3C的iNode客户端,也可以通过网页方式进行Portal认证。本例用网页方式进行Portal认证。用户在通过认证前,只能访问认证页面http://10.0.10.2:8080/portal,且发起的Web访问请求均被重定向到该认证页面,如图16。当用户通过认证后,跳转到图17界面。

图16 Portal认证页面

 

图17 认证成功页面

 

# 认证通过后,可通过执行以下显示命令查看Device上生成的Portal在线用户信息。

[Device] display portal user interface vlan-interface 11

Total portal users: 1

Username: portal

  Portal server: newpt

  State: Online

  VPN instance: N/A

  MAC              IP                Vlan   Interface

  0015-e9a6-7cfe   192.168.0.2       11     Vlan-interface11

  Authorization information:

    DHCP IP pool: N/A

    User profile: N/A

    Session group profile: N/A

    ACL number: N/A

    Inbound CAR: N/A

    Outbound CAR: N/A

5.5  配置文件

#

vlan 10 to 11

#

interface Vlan-interface10

 ip address 10.0.10.1 255.255.255.0

#

interface Vlan-interface11

 ip address 192.168.0.1 255.255.255.0

 portal enable method direct

 portal bas-ip 192.168.0.1

 portal apply web-server newpt

#

radius session-control enable 

#

radius scheme imc

primary authentication 10.0.10.2

primary accounting 10.0.10.2

key authentication cipher $c$3$M30nGDQxiOCAxe2AJ9yEZdk8kjoWag==

key accounting cipher $c$3$M23dGDQxiOCAxe2BJ9yEZdk8kjoWag==

user-name-format without-domain

#

domain portal.com

 authentication portal radius-scheme imc

 authorization portal radius-scheme imc

accounting portal radius-scheme imc

#

domain default enable portal.com

#

portal web-server newpt

 url http://10.0.10.2:8080/portal

#

portal server newpt

 ip 10.0.10.2 key cipher $c$3$r0VxoIiBrpzju9h2akP4TxyknX8VTuYKfA==

#

6  相关资料

·     H3C S10500X系列交换机 安全配置指导-R759X

·     H3C S10500X系列交换机 安全命令参考-R759X

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们