Portal 服务器配置详细手册


i 目 录 1 Portal配置.......................................................................................................................................... 1-1 1.1 Portal简介..........................................................................................................................................1-1 1.1.1 Portal概述...............................................................................................................................1-1 1.1.2 Portal扩展功能........................................................................................................................1-1 1.1.3 Portal的系统组成 ....................................................................................................................1-1 1.1.4 使用本地Portal服务器的Portal认证系统 .................................................................................1-3 1.1.5 Portal的认证方式 ....................................................................................................................1-4 1.1.6 Portal支持EAP认证(仅S5500-EI支持) ...............................................................................1-4 1.1.7 二层Portal认证过程 ................................................................................................................1-5 1.1.8 三层Portal认证过程(仅S5500-EI支持) ...............................................................................1-6 1.1.9 Portal支持双机热备(仅S5500-EI支持) ...............................................................................1-9 1.1.10 Portal支持多实例(仅S5500-EI支持)...............................................................................1-11 1.2 Portal配置任务简介 .........................................................................................................................1-11 1.3 配置准备..........................................................................................................................................1-12 1.4 指定Portal服务器.............................................................................................................................1-13 1.4.1 指定二层Portal认证的本地Portal服务器监听IP地址 .............................................................1-13 1.4.2 指定三层Portal认证的Portal服务器.......................................................................................1-14 1.5 配置本地Portal服务器 .....................................................................................................................1-14 1.5.1 自定义认证页面文件 .............................................................................................................1-14 1.5.2 配置本地Portal服务器...........................................................................................................1-17 1.6 使能Portal认证 ................................................................................................................................1-18 1.6.1 使能二层Portal认证...............................................................................................................1-18 1.6.2 使能三层Portal认证...............................................................................................................1-18 1.7 控制Portal用户的接入 .....................................................................................................................1-19 1.7.1 配置免认证规则 ....................................................................................................................1-19 1.7.2 配置认证网段........................................................................................................................1-20 1.7.3 配置Portal最大用户数...........................................................................................................1-20 1.7.4 指定Portal用户使用的认证域................................................................................................1-21 1.7.5 配置允许触发Portal认证的Web代理服务器端口...................................................................1-21 1.7.6 配置Portal用户认证端口的自动迁移功能..............................................................................1-22 1.8 配置Portal认证的Auth-Fail VLAN....................................................................................................1-23 1.9 配置接口发送RADIUS报文的相关属性............................................................................................1-23 1.9.1 配置接口的NAS-Port-Type ...................................................................................................1-24 1.9.2 配置接口的NAS-ID Profile ....................................................................................................1-24 1.10 配置接口发送Portal报文使用的源地址 ..........................................................................................1-25 1.11 配置Portal支持双机热备................................................................................................................1-25 1.12 指定Portal用户认证成功后认证页面的自动跳转目的网站地址......................................................1-27 ii 1.13 配置Portal探测功能 .......................................................................................................................1-27 1.13.1 配置二层Portal用户在线检测功能.......................................................................................1-27 1.13.2 配置三层Portal用户在线探测功能.......................................................................................1-28 1.13.3 配置Portal服务器探测功能..................................................................................................1-28 1.13.4 配置Portal用户信息同步功能..............................................................................................1-29 1.14 强制Portal用户下线 .......................................................................................................................1-30 1.15 Portal显示和维护...........................................................................................................................1-30 1.16 Portal典型配置举例 .......................................................................................................................1-31 1.16.1 Portal直接认证配置举例 .....................................................................................................1-31 1.16.2 Portal二次地址分配认证配置举例.......................................................................................1-35 1.16.3 可跨三层Portal认证配置举例..............................................................................................1-37 1.16.4 Portal直接认证扩展功能配置举例.......................................................................................1-38 1.16.5 Portal二次地址分配认证扩展功能配置举例 ........................................................................1-40 1.16.6 可跨三层Portal认证方式扩展功能配置举例 ........................................................................1-42 1.16.7 Portal支持双机热备配置举例..............................................................................................1-44 1.16.8 Portal服务器探测和用户同步功能配置举例 ........................................................................1-51 1.16.9 二层Portal认证配置举例 .....................................................................................................1-55 1.17 常见配置错误举例 .........................................................................................................................1-59 1.17.1 接入设备和Portal服务器上的密钥不一致............................................................................1-59 1.17.2 接入设备上服务器端口配置错误.........................................................................................1-59 1-1 1 Portal 配置 z 目前,S5500 系列以太网交换机中,S5500-EI系列以太网交换机支持Portal的二层认证方式和 三层认证方式;S5500-SI系列以太网交换机仅支持二层Portal认证方式。关于 Portal认证方式的 具体介绍请参见 1.1.5 Portal的认证方式。 z S5500 系列以太网交换机中,仅 S5500-EI 系列交换机支持 VPN 实例及相关参数配置。 1.1 Portal 简介 1.1.1 Portal 概述 Portal 在英语中是入口的意思。Portal 认证通常也称为 Web 认证,一般将 Portal 认证网站称为门户 网站。 未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中的服务。当用户需要使 用互联网中的其它信息时,必须在门户网站进行认证,只有认证通过后才可以使用互联网资源。 用户可以主动访问已知的 Portal 认证网站,输入用户名和密码进行认证,这种开始 Portal 认证的方 式称作主动认证。反之,如果用户试图通过 HTTP 访问其他外网,将被强制访问 Portal 认证网站, 从而开始 Portal 认证过程,这种方式称作强制认证。 Portal 业务可以为运营商提供方便的管理功能,门户网站可以开展广告、社区服务、个性化的业务 等,使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。 1.1.2 Portal 扩展功能 Portal 的扩展功能主要是指通过强制接入终端实施补丁和防病毒策略,加强网络终端对病毒攻击的 主动防御能力。具体扩展功能如下: z 在 Portal 身份认证的基础上增加了安全认证机制,可以检测接入终端上是否安装了防病毒软 件、是否更新了病毒库、是否安装了非法软件、是否更新了操作系统补丁等; z 用户通过身份认证后仅仅获得访问部分互联网资源(受限资源)的权限,如病毒服务器、操 作系统补丁更新服务器等;当用户通过安全认证后便可以访问更多的互联网资源(非受限资 源)。 1.1.3 Portal 的系统组成 Portal的典型组网方式如 图 1-1所示,它由五个基本要素组成:认证客户端、接入设备、Portal服务 器、认证/计费服务器和安全策略服务器。 由于 Portal 服务器可以是接入设备之外的独立实体(仅 S5500-EI 支持),也可以是存在于接入设 备之内的内嵌实体,本文称之为“本地 Portal 服务器”,因此下文中除对本地支持的 Portal 服务器 做特殊说明之外,其它所有 Portal 服务器均指独立的 Portal 服务器,请勿混淆。 1-2 图1-1 Portal 系统组成示意图 认证客户端 认证客户端 认证客户端 认证/计费服务器 安全策略服务器 接入设备 Portal服务器 1. 认证客户端 安装于用户终端的客户端系统,为运行 HTTP/HTTPS 协议的浏览器或运行 Portal 客户端软件的主 机。对接入终端的安全性检测是通过 Portal 客户端和安全策略服务器之间的信息交流完成的。 2. 接入设备 交换机、路由器等宽带接入设备的统称,主要有三方面的作用: z 在认证之前,将认证网段内用户的所有 HTTP 请求都重定向到 Portal 服务器。 z 在认证过程中,与 Portal 服务器、安全策略服务器、认证/计费服务器交互,完成身份认证/ 安全认证/计费的功能。 z 在认证通过后,允许用户访问被管理员授权的互联网资源。 3. Portal 服务器 接收 Portal 客户端认证请求的服务器端系统,提供免费门户服务和基于 Web 认证的界面,与接入 设备交互认证客户端的认证信息。 4. 认证/计费服务器 与接入设备进行交互,完成对用户的认证和计费。 5. 安全策略服务器 与 Portal 客户端、接入设备进行交互,完成对用户的安全认证,并对用户进行授权操作。 以上五个基本要素的交互过程为: (1) 未认证用户访问网络时,在 Web 浏览器地址栏中输入一个互联网的地址,那么此 HTTP 请求 在经过接入设备时会被重定向到 Portal 服务器的 Web 认证主页上;若需要使用 Portal 的扩展 认证功能,则用户必须使用 Portal 客户端。 (2) 用户在认证主页/认证对话框中输入认证信息后提交,Portal 服务器会将用户的认证信息传递 给接入设备; (3) 然后接入设备再与认证/计费服务器通信进行认证和计费; (4) 认证通过后,如果未对用户采用安全策略,则接入设备会打开用户与互联网的通路,允许用 户访问互联网;如果对用户采用了安全策略,则客户端、接入设备与安全策略服务器交互, 对用户的安全检测通过之后,安全策略服务器根据用户的安全性授权用户访问非受限资源。 1-3 z 无论是 Web 客户端还是 H3C iNode 客户端发起的 Portal 认证,均能支持 Portal 认证穿越 NAT, 即 Portal 客户端位于私网、Portal 服务器位于公网,接入设备上启用 NAT 功能的组网环境下, NAT 地址转换不会对 Portal 认证造成影响。(仅 S5500-EI 支持) z 目前支持 Portal 认证的远端认证/计费服务器为 RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。 z 目前通过访问 Web 页面进行的 Portal 认证不能对用户实施安全策略检查,安全检查功能的实 现需要与 H3C iNode 客户端配合。 1.1.4 使用本地 Portal 服务器的 Portal 认证系统 1. 系统组成 本地Portal服务器功能是指,Portal认证系统中不采用外部独立的Portal服务器,而由接入设备实现 Portal服务器功能。这种情况下,Portal认证系统仅包括三个基本要素:认证客户端、接入设备和认 证/计费服务器,如 图 1-2所示。由于设备支持Web用户直接认证,因此就不需要部署额外的Portal 服务器,增强了Portal认证的通用性。 图1-2 使用本地 Portal 服务器的 Portal 系统组成示意图 z 使用本地 Portal 服务器的 Portal 认证系统不支持 Portal 扩展功能,因此不需要部署安全策略服 务器。 z 内嵌本地 Portal 服务器的接入设备实现了简单的 Portal 服务器功能,仅能给用户提供通过 Web 方式登录、下线的基本功能,并不能完全替代独立的 Portal 服务器。 2. 认证客户端和本地 Portal 服务器之间的交互协议 认证客户端和内嵌本地 Portal 服务器的接入设备之间可以采用 HTTP 和 HTTPS 协议通信。若客户 端和接入设备之间交互 HTTP 协议,则报文以明文形式传输,安全性无法保证;若客户端和接入设 备之间交互 HTTPS 协议,则报文基于 SSL 提供的安全机制以密文的形式传输,数据的安全性有保 障。 3. 本地 Portal 服务器支持用户自定义认证页面 本地 Portal服务器支持由用户自定义认证页面的内容,即允许用户编辑一套认证页面的 HTML文件, 并在压缩之后保存至设备的存储设备中。该套自定义页面中包括六个认证页面:登录页面、登录成 功页面、在线页面、下线成功页面、登录失败页面和系统忙页面。本地 Portal 服务器根据不同的认 证阶段向客户端推出对应的认证页面,若不自定义,则分别推出系统提供的缺省认证页面。 1-4 关于认证页面文件的自定义规范请参见“1.5.1 自定义认证页面文件”。 1.1.5 Portal 的认证方式 不同的组网方式下,可采用的 Portal 认证方式不同。按照网络中实施 Portal 认证的网络层次来分, Portal 的认证方式分为两种:二层认证方式和三层认证方式。 1. 二层认证方式 这种方式支持在接入设备连接用户的二层端口上开启 Portal 认证功能,只允许源 MAC 地址通过认 证的用户才能访问外部网络资源。目前,该认证方式仅支持本地 Portal 认证,即接入设备作为本地 Portal 服务器向用户提供 Web 认证服务。 另外,该方式还支持服务器下发授权 VLAN 和将认证失败用户加入认证失败 VLAN 功能(三层认证 方式不支持)。 2. 三层认证方式(仅 S5500-EI 支持) 这种方式支持在接入设备连接用户的三层接口上开启 Portal 认证功能。三层接口 Portal 认证又可分 为三种不同的认证方式:直接认证方式、二次地址分配认证方式和可跨三层认证方式。直接认证方 式和二次地址分配认证方式下,认证客户端和接入设备之间没有三层转发;可跨三层认证方式下, 认证客户端和接入设备之间可以跨接三层转发设备。 (1) 直接认证方式 用户在认证前通过手工配置或 DHCP 直接获取一个 IP 地址,只能访问 Portal 服务器,以及设定的 免费访问地址;认证通过后即可访问网络资源。认证流程相对二次地址较为简单。 (2) 二次地址分配认证方式 用户在认证前通过 DHCP 获取一个私网 IP 地址,只能访问 Portal 服务器,以及设定的免费访问地 址;认证通过后,用户会申请到一个公网 IP 地址,即可访问网络资源。该认证方式解决了 IP 地址 规划和分配问题,对未认证通过的用户不分配公网 IP 地址。例如运营商对于小区宽带用户只在访问 小区外部资源时才分配公网 IP。 使用本地 Portal 服务器的 Portal 认证不支持二次地址分配认证方式。 (3) 可跨三层认证方式 和直接认证方式基本相同,但是这种认证方式允许认证用户和接入设备之间跨越三层转发设备。 对于以上三种认证方式,IP 地址都是用户的唯一标识。接入设备基于用户的 IP 地址下发 ACL 对接 口上通过认证的用户报文转发进行控制。由于直接认证和二次地址分配认证下的接入设备与用户之 间未跨越三层转发设备,因此接口可以学习到用户的 MAC 地址,接入设备可以利用学习到 MAC 地 址增强对用户报文转发的控制粒度。 1.1.6 Portal 支持 EAP 认证(仅 S5500-EI 支持) 在对接入用户身份可靠性要求较高的网络应用中,传统的基于用户名和口令的用户身份验证方式存 在一定的安全问题,基于数字证书的用户身份验证方式通常被用来建立更为安全和可靠的网络接入 认证机制。 1-5 EAP(Extensible Authentication Protocol,可扩展认证协议)可支持多种基于数字证书的认证方式 (例如 EAP-TLS),它与 Portal 认证相配合,可共同为用户提供基于数字证书的接入认证服务。 图1-3 Portal 支持 EAP 认证协议交互示意图 如 图 1-3所示,在Portal支持EAP认证的实现中,客户端与Portal服务器之间交互EAP认证报文, Portal服务器与接入设备之间交互携带EAP-Message属性的Portal协议报文,接入设备与RADIUS 服务器之间交互携带EAP-Message属性的RADIUS协议报文,由具备EAP服务器功能的RADIUS服 务器处理EAP-Message属性中封装的EAP报文,并给出EAP认证结果。整个EAP认证过程中,接入 设备只是对Portal服务器与RADIUS服务器之间的EAP-Message属性进行透传,并不对其进行任何 处理,因此接入设备上无需任何额外配置。 z 该功能仅能与 H3C iMC 的 Portal 服务器以及 H3C iNode Portal 客户端配合使用。 z 目前,仅使用远程 Portal 服务器的三层 Portal 认证支持 EAP 认证。 1.1.7 二层 Portal 认证过程 1. 二层 Portal 认证流程 目前,二层 Portal 认证只支持本地 Portal 认证,即由接入设备作为本地 Portal 服务器向用户提供 Web 认证服务,具体认证过程如下。 图1-4 二层 Portal 认证流程图 (1) Portal 用户通过 HTTP 或 HTTPS 协议发起认证请求。HTTP 报文经过配置了本地 Portal 服务 器的接入设备的端口时会被重定向到本地 Portal 服务器的监听 IP 地址,本地 Portal 服务器提 供 Web 页面供用户输入用户名和密码来进行认证。该本地 Portal 服务器的监听 IP 地址为接 入设备上一个与用户之间路由可达的三层接口 IP 地址(通常为 Loopback 接口 IP)。 (2) 接入设备与 RADIUS 服务器之间进行 RADIUS 协议报文的交互,对用户身份进行验证。 (3) 如果 RADIUS 认证成功,则接入设备上的本地 Portal 服务器向客户端发送登录成功页面,通 知客户端认证(上线)成功。 2. 支持下发授权 VLAN 二层 Portal 认证支持服务器下发授权 VLAN。当用户通过 Portal 认证后,如果授权服务器上配置了 下发 VLAN 功能,那么服务器会将授权 VLAN 信息下发给接入设备,由接入设备将认证成功的用户 加入对应的授权 VLAN 中,则端口上会生成该用户 MAC 对应的 MAC VLAN 表项,若该 VLAN 不 存在,则接入设备首先创建 VLAN,而后将用户加入授权 VLAN 中。 通过支持下发授权 VLAN,可实现对已认证用户可访问网络资源的控制。 1-6 3. 支持 Auth-Fail VLAN Auth-Fail VLAN 功能允许用户在认证失败的情况下,可以访问某一特定 VLAN 中的资源,比如病毒 补丁服务器,存储客户端软件或杀毒软件的服务器,进行升级客户端或执行其他一些用户升级程序。 这个 VLAN 称之为 Auth-Fail VLAN。 二层 Portal 认证支持基于 MAC 的 Auth-Fail VLAN,如果接入用户的端口上配置了 Auth-Fail VLAN, 则端口上会基于认证失败的 MAC 地址生成相应的 MAC VLAN 表项,认证失败的用户将会被加入 Auth-Fail VLAN 中。加入 Auth-Fail VLAN 中的用户可以访问该 VLAN 中的非 HTTP 资源,但用户 的所有 HTTP 访问请求会被重定向到接入设备上进行认证,若用户仍然没有通过认证,则将继续处 于 Auth-Fail VLAN 内;若认证成功,则回到加入 Auth-Fail VLAN 之前端口所在的 VLAN。处于 Auth-Fail VLAN 中的用户,若在指定时间(默认 90 秒)内无流量通过接入端口,则将离开该 VLAN, 回到端口的初始 VLAN。 用户加入授权 VLAN 或 Auth-Fail VLAN 后,需要自动申请或者手动更新客户端 IP 地址,以保证可 以与授权 VLAN 或 Auth-Fail VLAN 中的资源互通。 4. 支持 ACL 下发 ACL(Access Control List,访问控制列表)提供了控制用户访问网络资源和限制用户访问权限的 功能。当用户上线时,如果服务器上配置了授权 ACL,则设备会根据服务器下发的授权 ACL 对用 户所在端口的数据流进行控制;在服务器上配置授权 ACL 之前,需要在设备上配置相应的规则。管 理员可以通过改变服务器的授权 ACL 设置或设备上对应的 ACL 规则来改变用户的访问权限。 1.1.8 三层 Portal 认证过程(仅 S5500-EI 支持) 直接认证和可跨三层 Portal 认证流程相同。二次地址分配认证流程因为有两次地址分配过程,所以 其认证流程和另外两种认证方式有所不同。 1. 直接认证和可跨三层 Portal 认证的流程( CHAP/PAP 认证方式) 图1-5 直接认证/可跨三层 Portal 认证流程图 认证/计费 服务器 认证客户端 Portal服务器 接入设备 (1)发起连接 (2)CHAP认证交互 (3)认证请求 (5)认证应答 (4)RADIUS协议 的认证交互 (6)通知用户 上线成功 (7)认证应答确认 安全策略 服务器 (9)授权 定时器 (8)安全检测信息交互 直接认证/可跨三层 Portal 认证流程: (1) Portal 用户通过 HTTP 协议发起认证请求。HTTP 报文经过接入设备时,对于访问 Portal 服务 器或设定的免费访问地址的 HTTP 报文,接入设备允许其通过;对于访问其它地址的 HTTP 1-7 报文,接入设备将其重定向到 Portal 服务器。Portal 服务器提供 Web 页面供用户输入用户名 和密码来进行认证。 (2) Portal 服务器与接入设备之间进行 CHAP(Challenge Handshake Authentication Protocol, 质询握手验证协议)认证交互。若采用 PAP(Password Authentication Protocol,密码验证 协议)认证则直接进入下一步骤。 (3) Portal 服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备,同时开启定时器 等待认证应答报文。 (4) 接入设备与 RADIUS 服务器之间进行 RADIUS 协议报文的交互。 (5) 接入设备向 Portal 服务器发送认证应答报文。 (6) Portal 服务器向客户端发送认证通过报文,通知客户端认证(上线)成功。 (7) Portal 服务器向接入设备发送认证应答确认。 (8) 客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全性是 否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作 系统补丁等。 (9) 安全策略服务器根据用户的安全性授权用户访问非受限资源,授权信息保存到接入设备中, 接入设备将使用该信息控制用户的访问。 步骤(8)、(9)为 Portal 认证扩展功能的交互过程。 2. 二次地址分配认证方式的流程(CHAP/PAP 认证方式) 图1-6 二次地址分配认证方式流程图 认证/计费 服务器 认证客户端 Portal服务器 接入设备 (1)发起连接 (2)CHAP认证交互 (3)认证请求 (5)认证应答 (4)RADIUS协 议的认证交互 (6)认证成功 安全策略 服务器 (12)安全检测信息交互 (13)授权 (7)用户已获得新IP (8)发现用户IP变化 (10)通知用户 上线成功 (9)检测到用户IP变化 (11)IP变换确认 定时器 二次地址分配认证流程: (1)~(6)同直接/可跨三层 Portal 认证中步骤(1)~(6)。 (7) 客户端收到认证通过报文后,通过 DHCP 获得新的公网 IP 地址,并通知 Portal 服务器用户已 获得新 IP 地址。 (8) Portal 服务器通知接入设备客户端获得新公网 IP 地址。 (9) 接入设备通过检测 ARP 协议报文发现了用户 IP 变化,并通告 Portal 服务器已检测到用户 IP 变化。 (10) Portal 服务器通知客户端上线成功。 1-8 (11) Portal 服务器向接入设备发送 IP 变化确认报文。 (12) 客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全性是 否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作 系统补丁等。 (13) 安全策略服务器根据用户的安全性授权用户访问非受限资源,授权信息保存到接入设备中, 接入设备将使用该信息控制用户的访问。 步骤(12)、(13)为 Portal 认证扩展功能的交互过程。 3. 使用本地 Portal 服务器的认证流程 图1-7 使用本地 Portal 服务器的认证流程图 直接/可跨三层本地 Portal 认证流程: (2) Portal 用户通过 HTTP 或 HTTPS 协议发起认证请求。HTTP 报文经过配置了本地 Portal 服务 器的接入设备的接口时会被重定向到本地 Portal 服务器,本地 Portal 服务器提供 Web 页面供 用户输入用户名和密码来进行认证。该本地 Portal 服务器的监听 IP 地址为接入设备上一个与 用户之间路由可达的三层接口 IP 地址。 (3) 接入设备与 RADIUS 服务器之间进行 RADIUS 协议报文的交互。 (4) 接入设备中的本地 Portal 服务器向客户端发送登录成功页面,通知客户端认证(上线)成功。 4. Portal 支持 EAP 认证流程 图1-8 Portal 支持 EAP 认证流程图 认证/计费 服务器 认证客户端 Portal服务器 接入设备 (1)发起EAP认证请求 (2)认证请求 (4)证书请求 (3)RADIUS协议 的认证交互 (10)认证应答确认 授权 定时器 安全检测信息交互 (5)EAP认证回应 … (6)继续EAP认证交互 … (7)认证通过 (8)认证应答 (9)通知用户上线成功 安全策略 服务器 支持 EAP 认证的 Portal 认证流程如下(各 Portal 认证方式下 EAP 认证的处理流程相同,此处仅以 直接方式的 Portal 认证为例): 1-9 (1) Portal 客户端发起 EAP 认证请求,向 Portal 服务器发送 Identity 类型的 EAP 请求报文。 (2) Portal 服务器向接入设备发送 Portal 认证请求报文,同时开启定时器等待 Portal 认证应答报 文,该认证请求报文中包含若干个 EAP-Message 属性,这些属性用于封装 Portal 客户端发送 的 EAP 报文,并可携带客户端的证书信息。 (3) 接入设备接收到 Portal 认证请求报文后,构造 RADIUS 认证请求报文与 RADIUS 服务器进行 认证交互,该 RADIUS 认证请求报文的 EAP-Message 属性值由接入设备收到的 Portal 认证 请求报文中的 EAP-Message 属性值填充。 (4) 接入设备根据 RADIUS 服务器的回应信息向 Portal 服务器发送证书请求报文,该报文中同样 会包含若干个 EAP-Message 属性,可用于携带 RADIUS 服务器的证书信息,这些属性值由 RADIUS 认证回应报文中的 EAP-Message 属性值填充。 (5) Portal 服务器接收到证书请求报文后,向 Portal 客户端发送 EAP 认证回应报文,直接将 RADIUS 服务器响应报文中的 EAP-Message 属性值透传给 Portal 客户端。 (6) Portal 客户端继续发起的 EAP 认证请求,与 RADIUS 服务器进行后续的 EAP 认证交互,期 间 Portal 认证请求报文可能会出现多次。后续认证过程与第一个 EAP 认证请求报文的交互过 程类似,仅 EAP 报文类型会根据 EAP 认证阶段发展有所变化,此处不再详述。 (7) EAP 认证通过后,RADIUS 服务器向接入设备发送认证通过响应报文,该报文的 EAP-Message 属性中封装了 EAP 认证成功报文(EAP-Success)。 (8) 接入设备向 Portal 服务器发送认证应答报文,该报文的 EAP-Message 属性中封装了 EAP 认 证成功报文。 (9) Portal 服务器根据认证应答报文中的认证结果通知 Portal 客户端认证成功。 (10) Portal 服务器向接入设备发送认证应答确认。 后续为 Portal 认证扩展功能的交互过程,可参考 CHAP/PAP 认证方式下的认证流程介绍,此处略。 1.1.9 Portal 支持双机热备(仅 S5500-EI 支持) 1. 概述 在当前的组网应用中,用户对网络可靠性的要求越来越高,特别是在一些重点的业务入口或接入点 上需要保证网络业务的不间断性。双机热备技术可以保证这些关键业务节点在单点故障的情况下, 信息流仍然不中断。 所谓双机热备,其实是双机业务备份。在两台设备上分别指定相同的备份 VLAN,专用于传输双机 热备相关的报文。在设备正常工作时,对业务信息进行主备同步;在设备故障后,利用 VRRP 或动 态路由(例如 OSPF)机制实现业务流量切换到备份设备,由备份设备继续处理业务,从而保证了 当前的业务不被中断。关于双机热备的详细介绍请参见“可靠性配置指导”中的“双机热备配置”。 1-10 图1-9 双机热备组网图 Device A Switch A Device B Switch B Backup VLAN Portal enabled Internet Server Host A 如 图 1-9所示,在一个典型的Portal双机热备组网环境中,用户通过Portal认证接入网络,为避免接 入设备单机故障的情况下造成的Portal业务中断,接入设备提供了Portal支持双机热备功能。该功能 是指,接入设备Switch A和Switch B通过备份VLAN互相备份两台设备上的Portal在线用户信息,实 现当其中一台设备发生故障时,另外一台设备可以对新的Portal用户进行接入认证,并能够保证所 有已上线Portal用户的正常数据通信。 备份链路对于双机热备设备不是必须的,只要保证互为备份的设备上存在相同的 VLAN 专用于传输 双机热备相关的报文。若组网中配置了专门的备份链路,则需要将两台设备上连接备份链路的物理 接口加入备份 VLAN 中。 2. 基本概念 (1) 设备的工作状态 z 独立运行状态:设备未与其它设备建立备份连接时所处的一种稳定状态。 z 同步运行状态:设备与对端设备之间成功建立备份连接,可以进行数据备份时所处的一种稳 定状态。 (2) 用户的工作模式 z Stand-alone:表示用户数据只在一台设备上存在。当前设备处于独立运行状态,或者当前设 备处于同步运行状态但用户数据还未同步。 z Primary:表明用户是由本端设备上线,用户数据由本端设备生成。本端设备处于同步运行状 态,可以处理并接收服务器发送的报文。 1-11 z Secondary:表明用户是由对端设备上线,用户数据是由对端设备同步到本端设备上的。本端 设备处于同步运行状态,只接收并处理同步消息,不处理服务器发送的报文。 1.1.10 Portal 支持多实例(仅 S5500-EI 支持) 实际组网应用中,某企业的各分支机构属于不同的 VPN,且各 VPN 之间的业务相互隔离。如果各 分支机构的 Portal 用户要通过位于总部 VPN 中的服务器进行统一认证,则需要 Portal 支持多实例。 通过 Portal 支持多实例,可实现 Portal 认证报文通过 MPLS VPN 进行交互。如下图所示,连接客 户端的 PE 设备作为 NAS,通过 MPLS VPN 将私网客户端的 Portal 认证报文透传给网络另一端的 私网服务器,并在 AAA 支持多实例的配合下,实现对私网 VPN 客户端的 Portal 接入认证,满足了 私网 VPN 业务隔离情况下的客户端集中认证,且各私网的认证报文互不影响。 图1-10 Portal 支持多实例典型组网图 z 在 MCE 设备上进行的 Portal 接入认证也可支持多实例功能。关于 MCE 的相关介绍请见参见“三 层技术-IP 路由配置指导”中的“MCE 配置”。 z 关于 AAA 支持多实例的相关介绍请参见“安全配置指导”中的“AAA 配置”。 z 本特性不支持多 VPN 间的地址重叠。 1.2 Portal 配置任务简介 目前,S5500-SI 系列以太网交换机仅支持二层 Portal 认证相关配置。 表1-1 二层 Portal 配置任务简介 配置任务 说明 详细配置 指定二层 Portal 认证的本地 Portal 服务器 IP 地址 必选 1.4.1 自定义认证页面 可选 1.5.1 配置本地 Portal 服务器 配置本地 Portal 服务器 必选 1.5.2 使能二层 Portal 必选 1.6.1 1-12 配置任务 说明 详细配置 配置免认证规则 1.7.1 配置 Portal 最大用户数 1.7.3 指定 Portal 用户使用的认证域 1.7.4 配置允许触发 Portal 认证的 Web 代 理服务器端口 1.7.5 控制 Portal 用户的接入 配置 Portal 用户认证端口的自动迁 移功能 可选 1.7.6 配置 Portal 认证的 Auth-Fail VLAN 可选 1.8 指定 Portal 用户认证成功后认证页面的自动跳转目的网站地址 可选 1.12 配置二层 Portal 用户的在线检测功能 可选 1.13.1 强制 Portal 用户下线 可选 1.14 表1-2 三层 Portal 配置任务简介 配置任务 说明 详细配置 指定三层 Portal 认证的 Portal 服务器监听 IP 地址 必选 1.4.2 配置本地 Portal 服务器 可选 1.5 使能三层 Portal 必选 1.6.2 配置免认证规则 1.7.1 配置认证网段 1.7.2 配置 Portal 最大用户数 1.7.3 控制 Portal 用户的接入 指定 Portal 用户使用的认证域 1.7.4 配置接口的 NAS-Port-Type 1.9.1 配置接口发送 RADIUS 报文的相关属性 配置接口的 NAS-ID Profile 可选 1.9.2 配置接口发送 Portal 报文使用的源地址 可选 1.10 配置 Portal 支持双机热备 可选 1.11 指定 Portal 用户认证成功后认证页面的自动跳转目的网站地址 可选 1.12 配置三层 Portal 用户的在线探测功能 1.13.2 配置 Portal 服务器探测功能 1.13.3 配置 Portal 探测功能 配置 Portal 用户信息同步功能 可选 1.13.4 强制 Portal 用户下线 可选 1.14 1.3 配置准备 Portal 提供了一个用户身份认证和安全认证的实现方案,但是仅仅依靠 Portal 不足以实现该方案。 接入设备的管理者需选择使用 RADIUS 认证方法,以配合 Portal 完成用户的身份认证。Portal 认证 的配置前提: 1-13 z Portal 服务器、RADIUS 服务器已安装并配置成功。本地 Portal 认证无需单独安装 Portal 服 务器。 z 若采用二次地址分配认证方式,接入设备需启动 DHCP 中继的安全地址匹配检查功能,另外 需要安装并配置好 DHCP 服务器。(仅 S5500-EI 支持) z 用户、接入设备和各服务器之间路由可达。 z 如果通过远端 RADIUS 服务器进行认证,则需要在 RADIUS 服务器上配置相应的用户名和密 码,然后在接入设备端进行 RADIUS 客户端的相关设置。RADIUS 客户端的具体配置请参见 “安全配置指导”中的“AAA 配置”。 z 如果需要支持 Portal 的扩展功能,需要安装并配置 iMC EAD。同时保证在接入设备上的 ACL 配置和安全策略服务器上配置的受限资源 ACL 号、非受限资源 ACL 号对应。接入设备上的安 全策略服务器配置请参见“安全配置指导”中的“AAA 配置”。 z 安全策略服务器的配置请参考 iMC EAD 安全策略组件联机帮助。 z 受限资源 ACL、非受限资源 ACL 分别对应安全策略服务器中的隔离 ACL 与安全 ACL。 z 如果接入设备上的授权 ACL 配置被修改,则修改后的 ACL 不对已经在线的 Portal 用户生效, 只能对新上线的 Portal 用户有效。 1.4 指定 Portal 服务器 1.4.1 指定二层 Portal 认证的本地 Portal 服务器监听 IP 地址 二层 Portal 认证使用本地 Portal 服务器,因此需要将设备上一个与 Portal 客户端路由可达的三层接 口 IP 地址指定为本地 Portal 服务器的监听 IP 地址,并强烈建议使用设备上空闲的 Loopback 接口 的 IP 地址,利用 LoopBack 接口状态稳定的优点,避免因为接口故障导致用户无法打开认证页面的 问题。另外,由于发送到 LoopBack 接口的报文不会被转发到网络中,当请求上线的用户数目较大 时,可减轻对系统性能的影响。 表1-3 指定二层 Portal 认证的本地 Portal 服务器监听 IP 地址 操作 命令 说明 进入系统视图 system-view - 指定二层 Portal 认证的本 地 Portal 服务器监听 IP 地 址 portal local-server ip ip-address 必选 缺省情况下,没有指定本地 Portal 服 务器的监听 IP 地址 已配置的本地 Portal 服务器监听 IP 地址仅在二层 Portal 认证未在任何端口上使能时才可以被删除 或修改。 1-14 1.4.2 指定三层 Portal 认证的 Portal 服务器 本配置用于指定 Portal 服务器的相关参数,主要包括服务器 IP 地址、共享加密密钥、服务器端口 号以及服务器提供的 Web 认证地址。根据不同的组网环境,此处指定的服务器 IP 地址有所不同: z 如果使用远程 Portal 服务器,则指定为外部 Portal 服务器的 IP 地址; z 如果使用本地 Portal 服务器,则指定为设备上与 Portal 客户端路由可达的三层接口 IP 地址。 表1-4 指定三层 Portal 认证的 Portal 服务器 操作 命令 说明 进入系统视图 system-view - 指定三层 Portal 认证的 Portal 服务器 portal server server-name ip ip-address [ key key-string | port port-id | url url-string | vpn-instance vpn-instance-name ] * 必选 缺省情况下,没有指定三层 Portal 认 证的 Portal 服务器 z 目前,接入设备上最多允许指定 4 个 Portal 服务器。 z 已配置的 Portal 服务器参数仅在该 Portal 服务器未被接口引用时才可以被删除或修改。 z 目前,仅 IE 浏览器、Firefox 浏览器和 Safari 浏览器支持关闭登录成功/在线页面后的强制用户 下线功能,而其它浏览器(例如 Chrome 浏览器、Opera 浏览器等)均不支持该功能。 z 使用本地 Portal 服务器时,Portal 服务器参数 key、port 和 url 均不需配置,若配置也无效; 接口上使能 redhcp(二次地址)方式的 Portal 也可配置但不生效。 1.5 配置本地 Portal 服务器 本特性用于配合 Portal 本地认证,且仅在使用本地 Portal 服务器时必配。使用本地 Portal 服务器进 行认证时,本地 Portal 服务器负责向用户推出认证页面。认证页面的内容和样式可自定义,若未配 置自定义认证页面,则向用户推出系统提供的缺省认证页面。 1.5.1 自定义认证页面文件 用户自定义的认证页面为 HTML 文件的形式,压缩后保存在本地设备的存储设备中。每套认证页面 可包括六个主索引页面(登录页面、登录成功页面、登录失败页面、在线页面、系统忙页面、下线 成功页面)及其页面元素(认证页面需要应用的各种文件,如 Logon.htm 页面中的 back.jpg),每 个主索引页面可以引用若干页面元素。若用户只自定义了部分主索引页面,则其余主索引页面使用 系统提供的缺省认证页面。 用户在自定义这些页面时需要遵循一定的规范,否则会影响本地 Portal 服务器功能的正常使用和系 统运行的稳定性。 1. 文件名规范 主索引页面文件名不能自定义,必须使用 表 1-5中所列的固定文件名。 表1-5 认证页面文件名 主索引页面 文件名 登录页面 logon.htm 登录成功页面 logonSuccess.htm 1-15 主索引页面 文件名 登录失败页面 logonFail.htm 在线页面 用于提示用户已经在线 online.htm 系统忙页面 用于提示系统忙或者该用户正在登录过程中 busy.htm 下线成功页面 logoffSuccess.htm 主索引页面文件之外的其他文件名可由用户自定义,但需注意文件名和文件目录名中不能含有中文 且不区分大小写。 2. 页面请求规范 本地 Portal 服务器只能接受 Get 请求和 Post 请求。 z Get 请求用于获取认证页面中的静态文件,其内容不能为递归内容。例如,Logon.htm 文件中 包含了 Get ca.htm 文件的内容,但 ca.htm 文件中又包含了对 Logon.htm 的引用,这种递归 引用是不允许的。 z Post 请求用于用户提交用户名和密码以及用户执行登录、下线操作。 3. Post 请求中的属性规范 (1) 认证页面中表单(Form)的编辑必须符合以下原则: z 认证页面可以含有多个 Form,但是必须有且只有一个 Form 的 action=logon.cgi,否则无法将 用户信息送到本地 Portal 服务器。 z 用户名属性固定为”PtUser”,密码属性固定为”PtPwd”。 z 需要有用于标记用户登录还是下线的属性”PtButton”,取值为"Logon"表示登录,取值为"Logoff" 表示下线。 z 登录 Post 请求必须包含”PtUser”,”PtPwd”和"PtButton"三个属性。 z 下线 Post 请求必须包含”PtButton”这个属性。 (2) 需要包含登录 Post 请求的页面有 logon.htm 和 logonFail.htm。 logon.htm 页面脚本内容的部分示例:

User name:

Password :

(3) 需要包含下线 Post 请求的页面有 logonSuccess.htm 和 online.htm。 online.htm 页面脚本内容的部分示例:

1-16 4. 页面文件压缩及保存规范 z 完成所有认证页面的编辑之后,必须按照标准 Zip 格式将其压缩到一个 Zip 文件中,该 Zip 文 件的文件名只能包含字母、数字和下划线。缺省认证页面文件必须以 defaultfile.zip 为文件名 保存。 z 压缩后的 Zip 文件中必须直接包含认证页面,不允许存在间接目录。 z 压缩生成的 Zip 文件可以通过 FTP 或 TFTP 的方式上传至设备,并保存在设备的指定目录下。 缺省认证页面文件必须保存在设备的根目录下,非缺省认证页面文件可以保存在设备根目录 下或者根目录的 portal 目录下。 Zip 文件保存目录示例: dir Directory of flash:/portal/ 0 -rw- 1405 Feb 28 2008 15:53:31 2.zip 1 -rw- 1405 Feb 28 2008 15:53:20 1.zip 2 -rw- 1405 Feb 28 2008 15:53:39 3.zip 3 -rw- 1405 Feb 28 2008 15:53:44 4.zip 2540 KB total (1319 KB free) 5. 页面文件大小和内容规范 为了方便系统推出自定义的认证页面,认证页面在文件大小和内容上需要有如下限制: z 每套页面(包括主索引页面文件及其页面元素)压缩后的 Zip 文件大小不能超过 500K 字节。 z 每个单独页面(包括单个主索引页面文件及其页面元素)压缩前的文件大小不能超过 50K 字 节。 z 页面元素只能包含 HTML、JS、CSS 和图片之类的静态内容。 6. 关闭登录成功/在线页面后强制用户下线 用户认证成功后,系统会推出登录成功页面(文件名为 logonSuccess.htm),认证通过后再次通过 登录页面进行认证操作,系统会推出在线页面(文件名为 online.htm)。若希望用户关闭这两个页 面的同时,触发设备执行强制当前在线用户下线的操作,就需要按照如下要求在这两个页面文件的 脚本文件中增加如下内容。 (1) 添加对 JS 文件“pt_private.js”的引用; (2) 添加触发页面卸载的函数“pt_unload()”; (3) 添加 Form 的提交事件处理函数“pt_submit()”; (4) 添加页面加载的初始化函数“pt_init()”。 需要在 logonSuccess.htm 和 online.htm 页面脚本中增加的内容如示例中突出显示部分: ... ...
... ... 7. 认证成功后认证页面自动跳转 若要支持认证成功后自定义认证页面的自动跳转功能,即认证页面会在用户认证成功后自动跳转到 设备指定的网站页面,则需要按照如下要求在认证页面 logon.htm 和 logonSuccess.htm 的脚本文 件中做如下改动。 (1) 将 logon.htm 文件中的 Form 的 target 值设置为“_blank”。 1-17 修改的脚本内容如下突出显示部分所示: (2) logonSucceess.htm 文件添加页面加载的初始化函数“pt_init()”。 增加的脚本内容如下突出显示部分所示: LogonSuccessed ... ... z 推荐使用 IE6.0 版本以上的浏览器。 z 需要用户浏览器设置为允许弹出窗口,或者将设备的 IP 地址设置为允许弹出的网站地址。若浏 览器禁止弹出窗口,则关闭登录成功或在线页面时会提示用户无法下线,用户可以点击“取消” 回到原页面。 z Chrome 浏览器不支持关闭登录成功/在线页面后的强制用户下线功能。 z 刷新登录成功/在线页面或者使该页面跳转到别的网站上时都会触发强制用户下线事件。 1.5.2 配置本地 Portal 服务器 在本配置任务中,通过指定 Portal 客户端和本地 Portal 服务器之间采用的通信协议(HTTP 或 HTTPS),接入设备上的本地 Portal 服务器功能才能生效。 1. 配置准备 若指定本地 Portal 服务器支持的协议类型为 HTTPS,则需要首先完成以下配置: z 配置 PKI 策略,并成功申请本地证书和 CA 证书,具体配置请参见“安全配置指导”中的“PKI 配置”。 z 配置 SSL 服务器端策略,并指定使用已配置的 PKI 域。具体配置请参见“安全配置指导”中 的“SSL 配置”。 由于指定本地 Portal 服务器支持的协议类型时,本地 Portal 服务器将同时加载已保存在根目录的缺 省认证页面文件,因此若需要使用自定义的缺省认证页面文件,则需要首先完成对它的编辑和保存 工作,否则使用系统默认的缺省认证页面。 2. 配置本地 Portal 服务器 表1-6 配置本地 Portal 服务器 操作 命令 说明 进入系统视图 system-view - 配置本地 Portal 服务器支 持的协议类型,并同时加载 缺省认证页面文件 portal local-server { http | https server-policy policy-name } 必选 缺省情况下,本地 Portal 服务器不支 持任何协议类型 配置本地 Portal 服务器缺 省认证页面的欢迎信息 portal server banner banner-string 可选 缺省情况下,无 Web 页面欢迎信息 1-18 1.6 使能 Portal 认证 只有在接口上使能了 Portal 认证,对接入用户的 Portal 认证功能才能生效。 1.6.1 使能二层 Portal 认证 在使能二层 Portal 认证之前,需要满足以下要求: z 已经指定了本地 Portal 服务器的监听 IP 地址; z 未在任何接口上使能三层 Portal 认证。 表1-7 使能二层 Portal 认证 操作 命令 说明 进入系统视图 system-view - 进入二层以太网端口视图 interface interface-type interface-number - 在端口上使能二层 Portal 认证 portal local-server enable 必选 缺省情况下,未使能二层 Portal 认证 z 为使二层端口上的 Portal认证功能正常运行,不建议端口上同时使能端口安全、 802.1X的 Guest VLAN 或 802.1X 的 EAD 快速部署功能。 z 若要支持授权 VLAN 下发功能,则需要在端口上使能 MAC VLAN 功能。 1.6.2 使能三层 Portal 认证 在使能三层 Portal 认证之前,需要满足以下要求: z 使能 Portal 的接口已配置或者获取了合法的 IP 地址; z 接口上引用的 Portal 服务器名已经存在; z 未在任何端口上使能二层 Portal 认证。 表1-8 使能三层 Portal 认证 操作 命令 说明 进入系统视图 system-view - 进入接口视图 interface interface-type interface-number - 只能是三层接口 在接口上使能三层 Portal 认证 portal server server-name method { direct | layer3 | redhcp } 必选 缺省情况下,没有使能三层 Portal 认 证 1-19 z 设备向 Portal 服务器主动发送报文时使用的目的端口号必须与远程 Portal 服务器实际使用的端 口号保持一致。 z 为保证设备能够向 MPLS VPN 私网中的 Portal 服务器发送报文,配置 Portal 服务器时需指定 服务器所属的 VPN 且必须和该服务器所在的 VPN 保持一致。 z 已配置的 Portal 服务器及其参数仅在该 Portal 服务器未被接口引用时才可以被删除或修改。 z 对于跨三层设备支持 Portal 认证的应用只能配置可跨三层 Portal 认证方式(portal server server-name method layer3),但可跨三层 Portal 认证方式不要求接入设备和 Portal 用户之 间必需跨越三层设备。 z 在二次地址分配认证方式下,允许用户在未通过 Portal 认证时以公网地址向外发送报文,但相 应的回应报文则受限制。 z 使用本地 Portal 服务器时,Portal 服务器参数 key、port 和 url 均不需配置,若配置也无效; 另外,接口上使能 redhcp(二次地址)方式的 Portal 也可配置但不生效。 1.7 控制 Portal 用户的接入 1.7.1 配置免认证规则 通过配置免认证规则(free-rule)可以让特定的用户不需要通过 Portal 认证即可访问外网特定资源, 这是由免认证规则中配置的源信息以及目的信息决定的。 免认证规则的匹配项包括 IP 地址、MAC 地址、所连接设备的接口和 VLAN,只有符合免认证规则 的用户报文才不会触发 Portal 认证,因此这些报文所属的用户才可以直接访问网络资源。 对于二层 Portal 认证,只能配置从任意源地址(即 source any)到任意或指定目的地址的免认证 规则。配置了到指定目的地址的免认证规则后,用户不需要通过 Portal 认证即可访问指定目的网段 或地址的网络资源,且用户访问这些资源的 HTTP 请求不会被重定向到 Portal 认证页面上。通常, 可以将一些提供特定服务器资源(例如软件升级服务器)的 IP 地址指定为免认证规则的目的 IP, 便于二层 Portal 用户在免认证的情况下获取特定的服务资源。 表1-9 配置免认证规则 操作 命令 说明 进入系统视图 system-view - 配置 Portal 的免认证规则 S5500-EI 系列以太网交换机: portal free-rule rule-number { destination { any | ip { ip-address mask { mask-length | netmask } | any } } | source { any | [ ip { ip-address mask { mask-length | mask } | any } | mac mac-address | vlan vlan-id ] * } } * S5500-SI 系列以太网交换机: portal free-rule rule-number { destination { any | ip { ip-address mask { mask-length | netmask } | any } } } * 必选 1-20 z 相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复。 z 无论接口上是否使能 Portal 认证,只能添加或者删除免认证规则,不能修改。 1.7.2 配置认证网段 本特性仅三层 Portal 认证支持。 通过配置认证网段实现只允许在认证网段范围内的用户报文才能触发 Portal 强制认证。如果用户在 访问外部网络之前未主动进行 Portal 认证,且用户报文既不满足免认证规则又不在认证网段内,则 用户报文将被接入设备丢弃。 表1-10 配置认证网段 操作 命令 说明 进入系统视图 system-view - 进入接口视图 interface interface-type interface-number - 配置认证网段 portal auth-network network-address { mask-length | mask } 可选 缺省情况下,认证网段为 0.0.0.0/0, 表示对任意源 IP 都进行认证 认证网段配置仅对可跨三层 Portal 认证有效。直接认证方式的认证网段为任意源 IP,二次地址分配 方式的认证网段为由接口私网 IP 决定的私网网段。 1.7.3 配置 Portal 最大用户数 通过该配置可以控制系统中的 Portal 接入用户总数。 表1-11 配置 Portal 最大用户数 操作 命令 说明 进入系统视图 system-view - 配置 Portal 最大用户数 portal max-user max-number 必选 缺省情况下,Portal 最大用户数为 3000 1-21 z 交换机实际下发的 Portal 最大的用户数和设备的 ACL 资源有关。 z 如果配置的 Portal 最大用户数小于当前已经在线的 Portal 用户数,则该命令可以执行成功,且 在线 Portal 用户不受影响,但系统将不允许新的 Portal 用户接入。 1.7.4 指定 Portal 用户使用的认证域 通过在指定接口上配置 Portal 用户使用的认证域,使得所有从该接口接入的 Portal 用户被强制使用 指定的认证域来进行认证、授权和计费。即使 Portal 用户输入的用户名中携带的域名相同,接入设 备的管理员也可以通过该配置对不同接口指定不同的认证域,从而增加了管理员部署 Portal 接入策 略的灵活性。 表1-12 指定 Portal 用户使用的认证域 操作 命令 说明 进入系统视图 system-view - 进入接口视图 interface interface-type interface-number - 指定 Portal 用户使用的认 证域 portal domain domain-name 必选 缺省情况下,未指定 Portal 用户使用 的认证域 从指定接口上接入的 Portal 用户将按照如下先后顺序选择认证域:接口上指定的 ISP 域-->用户名中 携带的 ISP 域-->系统缺省的 ISP 域。关于缺省 ISP 域的相关介绍请参见“安全配置指导”中的“AAA 配置”。 1.7.5 配置允许触发 Portal 认证的 Web 代理服务器端口 本特性仅二层 Portal 认证支持。 缺省情况下,只有未认证用户浏览器发起的目的端口号为 80 的 HTTP 请求才会被设备重定向,并 触发 Portal 认证,若未认证用户使用 Web 代理服务器上网,并且代理服务器的端口号不是 80,则 用户的这类 HTTP 请求报文将被丢弃,而不能触发 Portal 认证。这种情况下,网络管理员可以通过 在设备上添加允许触发 Portal 认证的 Web 代理服务器端口号,来允许使用 Web 代理服务器的用户 浏览器向某些非 80 端口发起的 HTTP 请求也可以触发 Portal 认证。 另外,若用户所在的组网环境中有非 80 端口的 Web 服务器,并且用户访问该服务器之前需要经过 Portal 认证,则也可以将这些端口添加为 Web 代理服务器端口,使得用户访问该 Web 服务器之前 也会触发 Portal 认证。 1-22 表1-13 配置允许触发 Portal 认证的 Web 代理服务器端口 配置步骤 命令 说明 进入系统视图 system-view - 添加允许触发 Portal 认证的 Web 代理服务器端口 portal web-proxy port port-number 必选 缺省情况下,不存在允许触发 Portal 认证的非 80 的 Web 代 理服务器端口 z 如果用户浏览器使用的 Web 代理服务器端口号是 80,则不需要该配置。 z 如果用户浏览器采用 WPAD 方式自动配置 Web 代理,则不仅需要网络管理员在设备上添加 Web 代理服务器端口,还需要配置免认证规则,允许目的 IP 为 WPAD 主机 IP 地址的用户报 文免认证。 z 对于二层 Portal 认证,不仅需要网络管理员在设备上添加指定的 Web 代理服务器端口,还需 要用户在浏览器上将设备的本地 Portal服务器监听 IP地址配置为 Web代理服务器的例外地址, 避免 Portal 用户发送给本地 Portal 服务器的 HTTP 报文被发送到 Web 代理服务器上,从而影 响正常的 Portal 认证。 1.7.6 配置 Portal 用户认证端口的自动迁移功能 本特性仅二层 Portal 认证支持。 在用户和设备之间存在 Hub、二层交换机或 AP 的组网环境下,若在线用户在未下线的情况下从同 一设备上的当前认证端口离开并迁移到其它使能了二层 Portal 的认证端口上接入时,由于原端口上 仍然存在该用户的认证信息,因此设备默认不允许用户在新端口上认证上线。 开启本功能后,设备允许在线用户离开当前端口后在新端口上上线,具体分为以下两种情况: z 若原认证端口状态未 down,且用户先后接入的两个端口属于同一个 VLAN,则用户不需要重 新认证就能够继续以在线状态在新的端口上访问网络,并按照新的端口信息继续计费; z 若原认证端口状态变为 down,或者原认证端口状态未 down 但是两个认证端口所属的 VLAN 不同,则设备会将用户在原端口上的认证信息删除掉,并要求用户在新端口上重新进行认证。 表1-14 配置 Portal 用户认证端口的自动迁移功能 配置步骤 命令 说明 进入系统视图 system-view - 开启 Portal 用户认证端口的自动 迁移功能 portal move-mode auto 必选 缺省情况下,Portal 用户认证 端口的自动迁移功能处于关闭 状态 1-23 用户迁移到新端口上之后,若设备发现该用户具有授权属性(例如授权 VLAN),则设备会尝试在 新的端口上添加该用户的授权信息,若授权信息添加失败,设备会删除原端口上的用户信息,要求 用户重新进行认证。 1.8 配置 Portal 认证的 Auth-Fail VLAN 本特性仅二层 Portal 认证支持。 通过该配置可以指定 Portal 用户认证失败后加入的 VLAN。 进行本配置之前,请首先创建需要配置为 Auth-Fail VLAN 的 VLAN。 表1-15 配置 Portal 认证的 Auth-Fail VLAN 配置步骤 命令 说明 进入系统视图 system-view - 进入二层以太网端口视图 interface interface-type interface-number - 配置端口的 Portal 认证的 Auth-Fail VLAN portal auth-fail vlan authfail-vlan-id 必选 缺省情况下,端口没有配置 Portal 认证的 Auth-Fail VLAN z 为使端口的 Portal 认证的 Auth-Fail VLAN 生效,还必须使能端口上的 MAC VLAN 功能。MAC VLAN 功能的具体配置请参考“二层技术-以太网交换配置指导”中的“VLAN 配置”。 z 不同的端口可以配置不同的 Portal 认证的 Auth-Fail VLAN,但一个端口最多只能配置一个 Portal 认证的 Auth-Fail VLAN。 z 端口上 Portal 认证失败产生的 MAC VLAN 表项不会覆盖已存在的其它认证方式产生的 MAC VLAN 表项。 1.9 配置接口发送 RADIUS 报文的相关属性 本特性仅三层 Portal 认证支持。 1-24 1.9.1 配置接口的 NAS-Port-Type RADIUS标准属性 NAS-Port-Type用于表示用户接入的端口类型。当接口上有 Portal用户上线时候, 若该接口上配置了 NAS-Port-Type,则使用本命令配置的值作为向 RADIUS 服务器发送的 RADIUS 请求报文的 NAS-Port-Type 属性值,否则使用接入设备获取到的用户接入的端口类型填充该属性。 若作为 Portal 认证接入设备的 BAS(Broadband Access Server,宽带接入服务器)与 Portal 客户 端之间跨越了多个网络设备,则可能无法正确获取到接入用户的实际端口信息,例如对于 Portal 认 证接入的无线客户端,BAS 获取到的接入端口类型有可能是设备上认证该用户的有线接口类型。因 此,为保证 BAS 能够向 RADIUS 服务器正确传递用户的接入端口信息,需要网络管理员在了解用 户的实际接入环境后,通过本命令指定相应的 NAS-Port-Type。 表1-16 配置接口的 NAS-Port-Type 操作 命令 说明 进入系统视图 system-view - 进入接口视图 interface interface-type interface-number - 配置接口的 NAS-Port-Type portal nas-port-type { ethernet | wireless } 必选 缺省情况下,未指定接口的 NAS-Port-Type 1.9.2 配置接口的 NAS-ID Profile 在某些组网环境下,依靠 VLAN 来确定用户的接入位置,网络运营商需要使用 NAS-Identifier 来标 识用户的接入位置。当接口上有 Portal 用户上线时,若该接口上指定了 NAS-ID Profile,则接入设 备会根据指定的 Profile 名字和用户接入的 VLAN 来获取与此 VLAN 绑定的 NAS-ID,此 NAS-ID 的 值将作为向 RADIUS 服务器发送的 RADIUS 请求报文中的 NAS-Identifier 属性值。 本特性中指定的 Profile 名字用于标识 VLAN 和 NAS-ID 的绑定关系,该绑定关系由 AAA 中的 nas-id id-value bind vlan vlan-id 命令生成,有关该命令的具体情况请参见“安全命令参考”中的“AAA 配置命令”。 在接口上未指定 NAS-ID Profile 或指定的 Profile 中没有找到匹配的绑定关系的情况下,使用设备名 作为接口的 NAS-ID。 表1-17 配置接口的 NAS-ID Profile 操作 命令 说明 进入系统视图 system-view - 创建 NAS-ID Profile,并进 入 NAS-ID-Profile 视图 aaa nas-id profile profile-name 必选 该命令的具体情况请参见“安全命令 参考”中的“AAA 配置命令” 设置 NAS-ID 与 VLAN 的绑 定关系 nas-id nas-identifier bind vlan vlan-id 必选 该命令的具体情况请参见“安全命令 参考”中的“AAA 配置命令” 退出当前视图 quit - 进入接口视图 interface interface-type interface-number - 指定接口的 NAS-ID Profile portal nas-id-profile profile-name 必选 缺省情况下,未指定 NAS-ID Profile 1-25 1.10 配置接口发送 Portal 报文使用的源地址 本特性仅三层 Portal 认证支持。 通过在使能 Portal 的接口上配置发送 Portal 报文使用的源地址,可以保证接入设备以此 IP 地址为 源地址向 Portal 服务器发送报文,且 Portal 服务器向接入设备回应的报文以此 IP 地址为目的地址。 表1-18 配置接口发送 Portal 报文使用的源地址 操作 命令 说明 进入系统视图 system-view - 进入接口视图 interface interface-type interface-number - 配置接口发送 Portal 报文 使用的源地址 portal nas-ip ip-address 可选 缺省情况下,未指定源地址,即以接 入用户的接口地址作为发送 Portal 报 文的源地址 1.11 配置 Portal 支持双机热备 本特性仅三层 Portal 认证支持。 为实现Portal支持双机热备,在保证实现业务流量切换的VRRP或动态路由机制工作正常的前提下, 还需要完成以下配置任务: z 指定备份 Portal 业务所涉及的接口,并在该业务备份接口上使能 Portal。 z 配置业务备份接口所属的 Portal 备份组,两台设备上有备份关系的业务备份接口属于同一个 Portal 备份组。 z 配置双机热备模式下的设备 ID,保证设备上用户的全局唯一性,该设备 ID 必须不同于对端的 设备 ID。 z 配置设备发送 RADIUS 报文的备份源 IP 地址,使得对端设备也能够收到服务器发送的报文。 备份源 IP 地址必须指定为对端设备发送 RADIUS 报文使用的源 IP 地址。(此配置可选) z 指定备份 VLAN,并使能双机热备功能,相关配置请参考“可靠性配置指导”的“双机热备配 置”。 对端设备上也需要完成以上配置,才能保证双机热备环境下的 Portal 业务备份正常进行。 当双机工作状态由独立运行状态转换为同步运行状态,且 Portal 备份组已生效时,两台设备上已经 上线的 Portal 用户数据会开始进行相互的备份。 表1-19 配置 Portal 支持双机热备 操作 命令 说明 进入系统视图 system-view - 1-26 操作 命令 说明 进入接口视图 interface interface-type interface-number - 配置业务备份接口所属的 Portal 备份组 portal backup-group group-id 必选 缺省情况下,业务备份接口不属于任 何 Portal 备份组 相互备份的两台设备上业务备份接口 所属的 Portal 备份组必须相同 退回系统视图 quit - 配置双机热备模式下的设备 ID nas device-id device-id 必选 缺省情况下,设备运行在单机模式下, 无设备 ID 具体配置请参考“安全命令参考”中 的“AAA 配置命令” 在系统视图下 radius nas-backup-ip ip-address radius scheme radius-scheme-name 指定设备发送 RADIUS 报文 使用的备份源 IP 地址 在 RADIUS 方 案视图下 nas-backup-ip ip-address 二者必选其一 缺省情况下,未指定发送 RADIUS 报 文使用的备份源 IP 地址 若将设备发送RADIUS报文使用的源 IP 地址指定为 VRRP 备份组的虚拟 IP 地址,则不需要本配置 具体配置请参考“安全命令参考”中 的“AAA 配置命令” z Portal支持双机热备的VRRP组网环境下,如果Portal服务器上配置的接入设备的IP地址为 VRRP备份组地址,则在使能 Portal的业务备份接口下,需要配置接口发送 Portal报文使用的源 地址为VRRP备份组地址,具体配置请参考 1.10 配置接口发送Portal报文使用的源地址。 z 双机热备模式下,设备不支持业务备份接口使能二次地址方式的 Portal 认证。 z 工作于双机热备模式下的任何一台设备上的用户被强制下线,都会导致另外一台设备上的相同 用户信息同时被删除。设备和 Portal 服务器上均可执行强制用户下线操作,例如,设备上可通 过执行命令 cut connetion、portal delete-user 来强制用户下线。 z 互为备份的两台设备上的 AAA 及 Portal 的相关配置必须保持一致,比如两台设备上都必须配 置相同的 Portal 服务器。 z 由于配置或改变设备的设备 ID 会导致设备上所有在线用户被强制下线,因此需慎重操作,并建 议该配置成功执行后,保存配置并重启设备。 z 在双机热备运行的情况下,不要删除已配置的备份源 IP 地址,否则可能会导致备份设备上的在 线用户无法收到服务器发送的报文。 1-27 1.12 指定 Portal 用户认证成功后认证页面的自动跳转目的网站地址 未认证用户上网时,首先会主动或被强制登录到 Portal 认证页面进行认证,当用户输入正确的认证 信息且认证成功后,若设备上指定了认证页面的自动跳转目的网站地址,则认证成功的用户将在一 定的时间间隔(由 wait-time 参数配置)之后被强制登录到该指定的目的网站页面。 表1-20 指定 Portal 用户认证成功后认证页面的自动跳转目的 URL 配置步骤 命令 说明 进入系统视图 system-view - 指定 Portal 用户认证成功后认证 页面的自动跳转目的网站地址 portal redirect-url url-string [ wait-time period ] 必选 缺省情况下,对于本地 Portal 认证,用户认证成功后认证页 面不会进行跳转,对于远程 Portal 认证,用户认证成功后 认证页面将会跳转到用户初始 访问的网站页面 z 对于三层远程 Portal 认证,该特性需要与支持自动跳转页面功能的 iMC 服务器配合使用。 z wait-time 参数只对本地 Portal 认证有效,对于远程 Portal 认证无效。 1.13 配置 Portal 探测功能 1.13.1 配置二层 Portal 用户在线检测功能 本特性仅二层 Portal 认证支持。 二层以太网端口上有 Portal 用户上线后,设备会启动一个用户在线检测定时器,定期对该端口上的 所有在线用户的 MAC 地址表项进行检测,查看定时器超时前该用户是否有报文发送到设备上(该 用户 MAC 地址表项是否被命中过),来确认该用户是否在线,以便及时发现异常离线用户。若发 现某用户 MAC 地址表项已经被老化或检测间隔内未收到过该用户的报文,则认为一次检测失败, 连续两次检测失败后,设备会强制该用户下线。 表1-21 配置二层 Portal 用户在线检测时间间隔 操作 命令 说明 进入系统视图 system-view - 进入二层以太网端口视图 interface interface-type interface-number - 配置二层 Portal 用户在线 检测时间间隔 portal offline-detect interval offline-detect-interval 必选 缺省情况下,二层 Portal 用户在线检 测时间间隔为 300 秒 1-28 1.13.2 配置三层 Portal 用户在线探测功能 本特性仅三层 Portal 认证支持。 在接口上配置 Portal 用户在线探测功能后,设备会定期向从该接口上线的 Portal 在线用户发送探测 报文(目前支持发送 ARP 请求),来确认该用户是否在线,以便及时发现异常离线用户。 z 若设备在指定的探测次数之内收到了该 Portal 用户的响应报文,则认为此用户在线,并通过 继续发送探测报文,来持续确认该用户的在线状态。 z 若设备在指定的探测次数之后仍然未收到该 Portal 用户的响应报文,则认为此用户已经下线, 则停止发送探测报文,并删除该用户。 表1-22 配置三层 Portal 用户在线探测功能 操作 命令 说明 进入系统视图 system-view - 进入接口视图 interface interface-type interface-number - 配置三层 Portal 用户在线 探测功能 access-user detect type arp retransmit number interval interval 必选 缺省情况下,未配置三层 Portal 用户 在线探测功能 探测报文的发送次数和发送间隔请根据网络的实际情况进行调整。 1.13.3 配置 Portal 服务器探测功能 本特性仅三层 Portal 认证支持。 在 Portal 认证的过程中,如果接入设备与 Portal 服务器的通信中断,则会导致新用户无法上线,已 经在线的 Portal 用户无法正常下线的问题。为解决这些问题,需要接入设备能够及时探测到 Portal 服务器可达状态的变化,并能触发执行相应的操作来应对这种变化带来的影响。例如,当接入设备 发现 Portal 服务器不可达时,可打开网络限制,允许 Portal 用户不需经过认证即可访问网络资源, 也就是通常所说的 Portal 逃生功能,该功能为一种灵活的用户接入方案。 通过配置本特性,设备可以对指定 Portal 服务器的可达状态进行探测,具体配置包括如下几项: (1) 探测方式(可以选择其中一种或同时使用两种) z 探测 HTTP 连接:接入设备定期向 Portal 服务器的 HTTP 服务端口发起 TCP 连接,若连接成 功建立则表示此服务器的 HTTP 服务已开启,就认为一次探测成功且服务器可达。若连接失 败则认为一次探测失败。 z 探测 Portal 心跳报文:支持 Portal 逃生心跳功能的 Portal 服务器(目前仅 iMC 支持)会定期 向接入设备发送 Portal 心跳报文,设备通过检测此报文来判断服务器的可达状态:若设备在 1-29 指定的周期内收到 Portal 心跳报文或者其它认证报文,且验证其正确,则认为此次探测成功 且服务器可达,否则认为此次探测失败。 (2) 探测参数 z 探测间隔:进行探测尝试的时间间隔。 z 失败探测的最大次数:允许连续探测失败的最大次数。若连续探测失败数目达到此值,则认 为服务器不可达。 (3) 可达状态改变时触发执行的操作(可以选择其中一种或同时使用多种) z 发送 Trap:Portal 服务器可达或者不可达的状态改变时,向网管服务器发送 Trap 信息。Trap 信息中记录了 Portal 服务器名以及该服务器的当前状态。 z 发送日志:Portal 服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了 Portal 服务器名以及该服务器状态改变前后的状态。 z 打开网络限制(Portal 逃生):Portal 服务器不可达时,暂时取消端口进行的 Portal 认证,允 许该端口接入的所有 Portal 用户访问网络资源。之后,若设备收到 Portal 服务器的心跳报文, 或者收到其它认证报文(上线报文、下线报文等),则恢复该端口的 Portal 认证功能。 对于以上配置项,可根据实际情况进行组合使用,但需要注意以下几点: z 如果同时指定了两种探测方式,则只要使用任何一种探测方式进行探测的失败次数达到最大 值就认为服务器不可达。在服务器不可达状态下,只有使用两种探测方式的探测都成功才能 认为服务器恢复为可达状态。 z 如果同时指定了多种操作,则 Portal 服务器可达状态改变时系统可并发执行多种操作。 z 对指定 Portal 服务器配置的探测功能,只有接口上使能了 Portal 认证并引用该 Portal 服务器 之后才能生效。 表1-23 配置 Portal 服务器探测功能 操作 命令 说明 进入系统视图 system-view - 配置对 Portal 服务器的探 测功能 portal server server-name server-detect method { http | portal-heartbeat } * action { log | permit-all | trap } * [ interval interval ] [ retry retries ] 必选 缺省情况下,未配置对 Portal 服务器 的探测功能 本命令中指定的 Portal 服务器必须已 经存在 只有对于支持 Portal 逃生心跳功能(目前仅 iMC 的 Portal 服务器支持)的 Portal 服务器, portal-heartbeat 类型的探测方法才有效。为了配合此类型的探测,还需要在 Portal 服务器上选择 支持逃生心跳功能,并建议此处的 interval 与 retry 参数值的乘积大于等于 Portal 服务器上的逃生 心跳间隔时长,其中 interval 取值最好大于 Portal 服务器的逃生间隔时长。 1.13.4 配置 Portal 用户信息同步功能 本特性仅三层 Portal 认证支持。 1-30 为了解决接入设备与 Portal 服务器通信中断后,两者的 Portal 用户信息不一致问题,设备提供了一 种 Portal 用户信息同步功能。该功能利用了 Portal 同步报文的发送及检测机制,具体实现如下: (1) 由 Portal 服务器周期性地(周期为 Portal 服务器上指定的用户心跳间隔值)将在线用户信息 通过用户同步报文发送给接入设备; (2) 接入设备检测到该用户同步报文后,将其中携带的用户信息与自己的用户信息进行对比,如 果发现同步报文中有设备上不存在的用户信息,则将这些自己没有的用户信息反馈给 Portal 服 务器,Portal 服务器将删除这些用户信息;如果发现接入设备上的某用户信息在连续 N(N 为 retry 参数的取值)个周期内,都未在该 Portal 服务器发送过来的用户同步报文中出现过,则 认为 Portal 服务器上已不存在该用户,设备将强制该用户下线。 表1-24 配置 Portal 用户同步功能 操作 命令 说明 进入系统视图 system-view - 配置 Portal 用户同步功能 portal server server-name user-sync [ interval interval ] [ retry retries ] 必选 缺省情况下,未配置 Portal 用户同步 功能 本命令中指定的 Portal 服务器必须已 经存在 只有在指定的 Portal 服务器已经在接 口上使能的情况下,本功能才能生效 z 只有在支持 Portal 用户心跳功能(目前仅 iMC 的 Portal 服务器支持)的 Portal 服务器的配合下, 本功能才有效。为了实现该功能,还需要在 Portal 服务器上选择支持用户心跳功能,并建议此 处的 interval 与 retry 参数值的乘积应该大于等于 Portal 服务器上的用户心跳间隔时长,其中 interval 取值最好大于 Portal 服务器的用户心跳间隔时长。 z 对于设备上多余的用户信息,即在 N 个周期后被判定为 Portal 服务器上已不存在的用户信息, 设备会在第 N+1 个周期内的某时刻将其删除掉。 1.14 强制 Portal 用户下线 通过配置强制用户下线可以终止对指定 IP 地址用户的认证过程,或者将已经通过认证的指定 IP 地 址的用户删除。 表1-25 配置强制用户下线 操作 命令 说明 进入系统视图 system-view - 强制接入设备上的用户下线 portal delete-user { ip-address | all | interface interface-type interface-number } 必选 1.15 Portal 显示和维护 在完成上述配置后,在任意视图下执行 display 命令可以显示配置后 Portal 的运行情况,通过查看 显示信息验证配置的效果。 1-31 在用户视图下执行 reset 命令可以清除 Portal 统计信息。 表1-26 Portal 显示和维护 操作 命令 显示接口上 Portal 的 ACL 信息(仅 S5500-EI 支持) display portal acl { all | dynamic | static } interface interface-type interface-number [ | { begin | exclude | include } regular-expression ] 显示接口上 Portal 的连接统计信息(仅 S5500-EI 支持) display portal connection statistics { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ] 显示 Portal 的免认证规则信息 display portal free-rule [ rule-number ] [ | { begin | exclude | include } regular-expression ] 显示指定接口的 Portal 配置信息 display portal interface interface-type interface-number [ | { begin | exclude | include } regular-expression ] 显示本地 Portal 服务器信息 display portal local-server [ | { begin | exclude | include } regular-expression ] 显示 Portal 服务器信息(仅 S5500-EI 支持) display portal server [ server-name ] [ | { begin | exclude | include } regular-expression ] 显示接口上 Portal 服务器的统计信息(仅 S5500-EI 支持) display portal server statistics { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ] 显示 TCP 仿冒统计信息 display portal tcp-cheat statistics [ | { begin | exclude | include } regular-expression ] 显示 Portal 用户的信息 display portal user { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ] 清除接口上 Portal 的连接统计信息(仅 S5500-EI 支持) reset portal connection statistics {all | interface interface-type interface-number } 清除接口上 Portal 服务器的统计信息(仅 S5500-EI 支持) reset portal server statistics { all | interface interface-type interface-number } 清除 TCP 仿冒统计信息 reset portal tcp-cheat statistics 1.16 Portal 典型配置举例 目前,S5500 系列以太网交换机中,S5500-EI系列以太网交换机支持Portal的二层认证方式和三层 认证方式;S5500-SI系列以太网交换机仅支持二层Portal认证方式。因此本小节中,仅 1.16.9 二层 Portal认证配置举例适用于S5500-SI系列以太网交换机。 1.16.1 Portal 直接认证配置举例 1. 组网需求 z 用户主机与接入设备 Switch 直接相连,采用直接方式的 Portal 认证。用户通过手工配置或 DHCP 获取的一个公网 IP 地址进行认证,在通过 Portal 认证前,只能访问 Portal 服务器;在 通过 Portal 认证后,可以使用此 IP 地址访问非受限互联网资源。 z 采用 RADIUS 服务器作为认证/计费服务器。 1-32 2. 组网图 图1-11 配置 Portal 直接认证组网图 RADIUS server SwitchHost 2.2.2.2/24 Gateway:2.2.2.1/24 Vlan-int100 2.2.2.1/24 Vlan-int2 192.168.0.100/24 Portal server 192.168.0.111/24 192.168.0.112/24 3. 配置步骤 z 按照组网图配置设备各接口的 IP 地址,保证启动 Portal 之前各主机、服务器和设备之间的路由 可达。 z 完成 RADIUS 服务器上的配置,保证用户的认证/计费功能正常运行。 (1) 配置 Portal server 下面以 iMC 为例(使用 iMC 版本为:iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102),说明 Portal server 的基本配置。 # 配置 Portal 服务器。 登录进入 iMC 管理平台,选择“业务”页签,单击导航树中的[Portal 服务器管理/服务器配置]菜单 项,进入服务器配置页面。 z 输入 Portal 认证主页地址,形式为 http://ip:port/portal,其中 ip 和 port 在安装 iMC UAM 的时 候确定,port 一般使用缺省值 8080 即可。 图1-12 Portal 服务器配置页面 # 配置 IP 地址组。 1-33 单击导航树中的[Portal 服务器管理/IP 地址组配置]菜单项,进入 Portal IP 地址组配置页面,在该页 面中单击<增加>按钮,进入增加 IP 地址组配置页面。 z 填写 IP 地址组名、起始地址和终止地址。用户主机 IP 地址必须包含在该 IP 地址组范围内。 图1-13 增加 IP 地址组配置页面 # 增加 Portal 设备。 单击导航树中的[Portal 服务器管理/设备配置]菜单项,进入 Portal 设备配置页面,在该页面中单击< 增加>按钮,进入增加设备信息配置页面。 z 填写设备名; z 输入 IP 地址为与接入用户相连的设备接口 IP; z 输入密钥,与接入设备 Switch 上的配置保持一致; z 选择是否进行二次地址分配,本例中为直接认证,因此为否。 图1-14 增加设备信息配置页面 # Portal 设备关联 IP 地址组 在 Portal 设备配置页面中的设备信息列表中,点击 Switch 设备的<端口组信息管理>链接,进入端 口组信息配置页面。 图1-15 设备信息列表 1-34 在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。 z 填写端口组名; z 选择 IP 地址组,用户接入网络时使用的 IP 地址必须属于所选的 IP 地址组; z 其它参数采用缺省值。 图1-16 增加端口组信息配置页面 # 最后单击导航树中的[业务参数配置/系统配置手工生效]菜单项,使以上 Portal 服务器配置生效。 (2) 配置 Switch z 配置 RADIUS 方案 # 创建名字为 rs1 的 RADIUS 方案并进入该方案视图。 system-view [Switch] radius scheme rs1 # 配置 RADIUS 方案的服务器类型。使用 iMC 服务器时,RADIUS 服务器类型应选择 extended。 [Switch-radius-rs1] server-type extended # 配置 RADIUS 方案的主认证和主计费服务器及其通信密钥。 [Switch-radius-rs1] primary authentication 192.168.0.112 [Switch-radius-rs1] primary accounting 192.168.0.112 [Switch-radius-rs1] key authentication radius [Switch-radius-rs1] key accounting radius # 配置发送给 RADIUS 服务器的用户名不携带 ISP 域名。 [Switch-radius-rs1] user-name-format without-domain [Switch-radius-rs1] quit z 配置认证域 # 创建并进入名字为 dm1 的 ISP 域。 [Switch] domain dm1 # 配置 ISP 域的 AAA 方法。 [Switch-isp-dm1] authentication portal radius-scheme rs1 [Switch-isp-dm1] authorization portal radius-scheme rs1 [Switch-isp-dm1] accounting portal radius-scheme rs1 [Switch-isp-dm1] quit # 配置系统缺省的 ISP 域 dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入 的用户名未携带 ISP 域名,则使用缺省域下的认证方法。 1-35 [Switch] domain default enable dm1 z 配置 Portal 认证 # 配置 Portal 服务器:名称为 newpt,IP 地址为 192.168.0.111,密钥为 portal,端口为 50100, URL 为 http://192.168.0.111:8080/portal。 [Switch] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal # 在与用户 Host 相连的接口上使能 Portal 认证。 [Switch] interface vlan-interface 100 [Switch–Vlan-interface100] portal server newpt method direct [Switch] quit 1.16.2 Portal 二次地址分配认证配置举例 1. 组网需求 z 用户主机与接入设备 Switch 直接相连,采用二次地址分配方式的 Portal 认证。用户通过 DHCP 服务器获取 IP 地址,Portal 认证前使用分配的一个私网地址;通过 Portal 认证后,用户申请 到一个公网地址,才可以访问非受限互联网资源。 z 采用 RADIUS 服务器作为认证/计费服务器。 2. 组网图 图1-17 配置 Portal 二次地址分配认证组网图 192.168.0.111/24 192.168.0.113/24 192.168.0.112/24SwitchHost automatically obtains an IP address Vlan-int100 20.20.20.1/24 10.0.0.1/24 sub Vlan-int2 192.168.0.100/24 Portal Server RADIUS server DHCP server 1-36 3. 配置步骤 z Portal 二次地址分配认证方式应用中,DHCP 服务器上需创建公网地址池(20.20.20.0/24)及 私网地址池(10.0.0.0/24),具体配置略。关于 DHCP 的详细配置请参见“三层技术-IP 业务 配置指导”中的“DHCP 服务器配置”。 z Portal 二次地址分配认证方式应用中,接入设备必须配置为 DHCP 中继(不能配置为 Server), 且启动 Portal 的接口需要配置主 IP 地址(公网 IP)及从 IP 地址(私网 IP)。 z 请保证在 Portal 服务器上添加的 Portal 设备的 IP 地址为与用户相连的接口的公网 IP 地址 (20.20.20.1),且与该 Portal 设备关联的 IP 地址组为用户所在的私网网段(10.0.0.0/24)。 z 按照组网图配置设备各接口的 IP 地址,保证启动 Portal 之前各主机、服务器和设备之间的路由 可达。 z 完成 RADIUS 服务器上的配置,保证用户的认证/计费功能正常运行。 在 Switch 上进行以下配置。 (1) 配置 RADIUS 方案 # 创建名字为 rs1 的 RADIUS 方案并进入该方案视图。 system-view [Switch] radius scheme rs1 # 配置 RADIUS 方案的服务器类型。使用 iMC 服务器时,RADIUS 服务器类型应选择 extended。 [Switch-radius-rs1] server-type extended # 配置 RADIUS 方案的主认证和主计费服务器及其通信密钥。 [Switch-radius-rs1] primary authentication 192.168.0.113 [Switch-radius-rs1] primary accounting 192.168.0.113 [Switch-radius-rs1] key authentication radius [Switch-radius-rs1] key accounting radius # 配置发送给 RADIUS 服务器的用户名不携带 ISP 域名。 [Switch-radius-rs1] user-name-format without-domain [Switch-radius-rs1] quit (2) 配置认证域 # 创建并进入名字为 dm1 的 ISP 域。 [Switch] domain dm1 # 配置 ISP 域的 AAA 方法。 [Switch-isp-dm1] authentication portal radius-scheme rs1 [Switch-isp-dm1] authorization portal radius-scheme rs1 [Switch-isp-dm1] accounting portal radius-scheme rs1 [Switch-isp-dm1] quit # 配置系统缺省的 ISP 域 dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入 的用户名未携带 ISP 域名,则使用缺省域下的认证方法。 [Switch] domain default enable dm1 (3) 配置 Portal 认证 # 配置 Portal 服务器:名称为 newpt,IP 地址为 192.168.0.111,密钥为 portal,端口为 50100, URL 为 http://192.168.0.111:8080/portal(请根据 Portal 服务器的实际情况配置,此处仅为示例)。 [Switch] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal # 配置 DHCP 中继,并启动 DHCP 中继的安全地址匹配检查功能。 1-37 [Switch] dhcp enable [Switch] dhcp relay server-group 0 ip 192.168.0.112 [Switch] interface vlan-interface 100 [Switch–Vlan-interface100] ip address 20.20.20.1 255.255.255.0 [Switch–Vlan-interface100] ip address 10.0.0.1 255.255.255.0 sub [Switch-Vlan-interface100] dhcp select relay [Switch-Vlan-interface100] dhcp relay server-select 0 [Switch-Vlan-interface100] dhcp relay address-check enable # 在与用户 Host 相连的接口上使能 Portal 认证。 [Switch–Vlan-interface100] portal server newpt method redhcp [Switch–Vlan-interface100] quit 1.16.3 可跨三层 Portal 认证配置举例 1. 组网需求 Switch A 支持 Portal 认证功能。用户 Host 通过 Switch B 接入到 Switch A。 z 配置 Switch A 采用可跨三层 Portal 认证。用户在未通过 Portal 认证前,只能访问 Portal 服务 器;用户通过 Portal 认证后,可以访问非受限互联网资源。 z 采用 RADIUS 服务器作为认证/计费服务器。 2. 组网图 图1-18 配置可跨三层 Portal 认证组网图 3. 配置步骤 z 请保证在 Portal 服务器上添加的 Portal 设备的 IP 地址为与用户相连的接口 IP 地址 (20.20.20.1),且与该 Portal 设备关联的 IP 地址组为用户所在网段(8.8.8.0/24)。 z 按照组网图配置设备各接口的 IP 地址,保证启动 Portal 之前各主机、服务器和设备之间的路由 可达。 z 完成 RADIUS 服务器上的配置,保证用户的认证/计费功能正常运行。 在 Switch A 上进行以下配置。 (1) 配置 RADIUS 方案 # 创建名字为 rs1 的 RADIUS 方案并进入该方案视图。 system-view [SwitchA] radius scheme rs1 1-38 # 配置 RADIUS 方案的服务器类型。使用 iMC 服务器时,RADIUS 服务器类型应选择 extended。 [SwitchA-radius-rs1] server-type extended # 配置 RADIUS 方案的主认证和主计费服务器及其通信密钥。 [SwitchA-radius-rs1] primary authentication 192.168.0.112 [SwitchA-radius-rs1] primary accounting 192.168.0.112 [SwitchA-radius-rs1] key authentication radius [SwitchA-radius-rs1] key accounting radius # 配置发送给 RADIUS 服务器的用户名不携带 ISP 域名。 [SwitchA-radius-rs1] user-name-format without-domain [SwitchA-radius-rs1] quit (2) 配置认证域 # 创建并进入名字为 dm1 的 ISP 域。 [SwitchA] domain dm1 # 配置 ISP 域的 AAA 方法。 [SwitchA-isp-dm1] authentication portal radius-scheme rs1 [SwitchA-isp-dm1] authorization portal radius-scheme rs1 [SwitchA-isp-dm1] accounting portal radius-scheme rs1 [SwitchA-isp-dm1] quit # 配置系统缺省的 ISP 域 dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入 的用户名未携带 ISP 域名,则使用缺省域下的认证方法。 [SwitchA] domain default enable dm1 (3) 配置 Portal 认证 # 配置 Portal 服务器:名称为 newpt,IP 地址为 192.168.0.111,密钥为 portal,端口为 50100, URL 为 http://192.168.0.111:8080/portal(请根据 Portal 服务器的实际情况配置,此处仅为示例)。 [SwitchA] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal # 在与 Switch B 相连的接口上使能 Portal 认证。 [SwitchA] interface vlan-interface 4 [SwitchA–Vlan-interface4] portal server newpt method layer3 [SwitchA–Vlan-interface4] quit Switch B 上需要配置到 192.168.0.0/24 网段的缺省路由,下一跳为 20.20.20.1,具体配置略。 1.16.4 Portal 直接认证扩展功能配置举例 1. 组网需求 z 用户主机与接入设备 Switch 直接相连,采用直接方式的 Portal 认证。用户通过手工配置或 DHCP 获取的一个公网 IP 地址进行认证,在通过身份认证而没有通过安全认证时可以访问 192.168.0.0/24 网段;在通过安全认证后,可以访问非受限互联网资源。 z 采用 RADIUS 服务器作为认证/计费服务器。 1-39 2. 组网图 图1-19 配置 Portal 直接认证扩展功能组网图 SwitchHost 2.2.2.2/24 Gateway : 2.2.2.1/24 Vlan-int100 2.2.2.1/24 Vlan-int2 192.168.0.100/24 Portal server 192.168.0.111/24 192.168.0.112/24 Security policy server 192.168.0.113/24 RADIUS server 3. 配置步骤 z 按照组网图配置设备各接口的 IP 地址,保证启动 Portal 之前各主机、服务器和设备之间的路由 可达。 z 完成 RADIUS 服务器上的配置,保证用户的认证/计费功能正常运行。 在 Swtich 上进行以下配置。 (1) 配置 RADIUS 方案 # 创建名字为 rs1 的 RADIUS 方案并进入该方案视图。 system-view [Switch] radius scheme rs1 # 配置 RADIUS 方案的服务器类型。使用 iMC 服务器时,RADIUS 服务器类型应选择 extended。 [Switch-radius-rs1] server-type extended # 配置 RADIUS 方案的主认证和主计费服务器及其通信密钥。 [Switch-radius-rs1] primary authentication 192.168.0.112 [Switch-radius-rs1] primary accounting 192.168.0.112 [Switch-radius-rs1] key accounting radius [Switch-radius-rs1] key authentication radius [Switch-radius-rs1] user-name-format without-domain # 配置 RADIUS 方案的安全策略服务器。 [Switch-radius-rs1] security-policy-server 192.168.0.113 [Switch-radius-rs1] quit (2) 配置认证域 # 创建并进入名字为 dm1 的 ISP 域。 [Switch] domain dm1 # 配置 ISP 域的 AAA 方法。 [Switch-isp-dm1] authentication portal radius-scheme rs1 [Switch-isp-dm1] authorization portal radius-scheme rs1 [Switch-isp-dm1] accounting portal radius-scheme rs1 [Switch-isp-dm1] quit 1-40 # 配置系统缺省的 ISP 域 dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入 的用户名未携带 ISP 域名,则使用缺省域下的认证方法。 [Switch] domain default enable dm1 (3) 配置受限资源对应的 ACL 为 3000,非受限资源对应的 ACL 为 3001 安全策略服务器上需要将 ACL 3000 和 ACL 3001 分别指定为隔离 ACL 和安全 ACL。 [Switch] acl number 3000 [Switch-acl-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255 [Switch-acl-adv-3000] rule deny ip [Switch-acl-adv-3000] quit [Switch] acl number 3001 [Switch-acl-adv-3001] rule permit ip [Switch-acl-adv-3001] quit (4) 配置 Portal 认证 # 配置 Portal 服务器:名称为 newpt,IP 地址为 192.168.0.111,密钥为 portal,端口为 50100, URL 为 http://192.168.0.111:8080/portal(请根据 Portal 服务器的实际情况配置,此处仅为示例)。 [Switch] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal # 在与用户 Host 相连的接口上使能 Portal 认证。 [Switch] interface vlan-interface 100 [Switch–Vlan-interface100] portal server newpt method direct [Switch] quit 1.16.5 Portal 二次地址分配认证扩展功能配置举例 1. 组网需求 z 用户主机与接入设备 Switch 直接相连,采用二次地址分配方式的 Portal 认证。用户通过 DHCP 服务器获取 IP 地址,Portal 认证前使用分配的一个私网地址;通过 Portal 认证后,用户申请 到一个公网地址。 z 用户在通过身份认证而没有通过安全认证时可以访问 192.168.0.0/24 网段;用户通过安全认 证后,可以访问非受限互联网资源。 z 采用 RADIUS 服务器作为认证/计费服务器。 1-41 2. 组网图 图1-20 配置 Portal 二次地址分配认证扩展功能组网图 Host automatically obtains an IP address 192.168.0.111/24 192.168.0.113/24 192.168.0.112/24 Switch Vlan-int100 20.20.20.1/24 10.0.0.1/24 sub Vlan-int2 192.168.0.100/24 Portal server RADIUS server DHCP server 192.168.0.114/24 Security policy server 3. 配置步骤 z Portal 二次地址分配认证方式应用中,DHCP 服务器上需创建公网地址池(20.20.20.0/24)及 私网地址池(10.0.0.0/24),具体配置略。关于 DHCP 的详细配置请参见“三层技术-IP 业务 配置指导”中的“DHCP 服务器配置”。 z Portal 二次地址分配认证方式应用中,接入设备必须配置为 DHCP 中继(不能配置为 Server), 且启动 Portal 的接口需要配置主 IP 地址(公网 IP)及从 IP 地址(私网 IP)。 z 请保证在 Portal 服务器上添加的 Portal 设备的 IP 地址为与用户相连的接口的私网 IP 地址 (10.0.0.1),且与该 Portal 设备关联的 IP 地址组为用户所在的私网网段(10.0.0.0/24)。 z 按照组网图配置设备各接口的 IP 地址,保证启动 Portal 之前各主机、服务器和设备之间的路由 可达。 z 完成 RADIUS 服务器上的配置,保证用户的认证/计费功能正常运行。 在 Switch 上进行以下配置。 (1) 配置 RADIUS 方案 # 创建名字为 rs1 的 RADIUS 方案并进入该方案视图。 system-view [Switch] radius scheme rs1 # 配置 RADIUS 方案的服务器类型。使用 iMC 服务器时,RADIUS 服务器类型应选择 extended。 [Switch-radius-rs1] server-type extended # 配置 RADIUS 方案的主认证和主计费服务器及其通信密钥。 [Switch-radius-rs1] primary authentication 192.168.0.113 [Switch-radius-rs1] primary accounting 192.168.0.113 [Switch-radius-rs1] key accounting radius [Switch-radius-rs1] key authentication radius [Switch-radius-rs1] user-name-format without-domain # 配置 RADIUS 方案的安全策略服务器。 [Switch-radius-rs1] security-policy-server 192.168.0.114 1-42 [Switch-radius-rs1] quit (2) 配置认证域 # 创建并进入名字为 dm1 的 ISP 域。 [Switch] domain dm1 # 配置 ISP 域的 AAA 方法。 [Switch-isp-dm1] authentication portal radius-scheme rs1 [Switch-isp-dm1] authorization portal radius-scheme rs1 [Switch-isp-dm1] accounting portal radius-scheme rs1 [Switch-isp-dm1] quit # 配置系统缺省的 ISP 域 dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入 的用户名未携带 ISP 域名,则使用缺省域下的认证方法。 [Switch] domain default enable dm1 (3) 配置受限资源对应的 ACL 为 3000,非受限资源对应的 ACL 为 3001 安全策略服务器上需要将 ACL 3000 和 ACL 3001 分别指定为隔离 ACL 和安全 ACL。 [Switch] acl number 3000 [Switch-acl-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255 [Switch-acl-adv-3000] rule deny ip [Switch-acl-adv-3000] quit [Switch] acl number 3001 [Switch-acl-adv-3001] rule permit ip [Switch-acl-adv-3001] quit (4) 配置 Portal 认证 # 配置 Portal 服务器:名称为 newpt,IP 地址为 192.168.0.111,密钥为 portal,端口为 50100, URL 为 http://192.168.0.111:8080/portal(请根据 Portal 服务器的实际情况配置,此处仅为示例)。 [Switch] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal # 配置 DHCP 中继,并启动 DHCP 中继的安全地址匹配检查功能。 [Switch] dhcp enable [Switch] dhcp relay server-group 0 ip 192.168.0.112 [Switch] interface vlan-interface 100 [Switch–Vlan-interface100] ip address 20.20.20.1 255.255.255.0 [Switch–Vlan-interface100] ip address 10.0.0.1 255.255.255.0 sub [Switch-Vlan-interface100] dhcp select relay [Switch-Vlan-interface100] dhcp relay server-select 0 [Switch-Vlan-interface100] dhcp relay address-check enable # 在与用户 Host 相连的接口上使能 Portal 认证。 [Switch–Vlan-interface100] portal server newpt method redhcp [Switch–Vlan-interface100] quit 1.16.6 可跨三层 Portal 认证方式扩展功能配置举例 1. 组网需求 Switch A 支持 Portal 认证功能。用户 Host 通过 Switch B 接入到 Switch A。 z 配置 Switch A 采用可跨三层 Portal 认证。用户在通过身份认证而没有通过安全认证时可以访 问 192.168.0.0/24 网段;在通过安全认证后,可以访问非受限互联网资源。 1-43 z 采用 RADIUS 服务器作为认证/计费服务器。 2. 组网图 图1-21 配置可跨三层 Portal 认证扩展功能组网图 3. 配置步骤 z 请保证在 Portal 服务器上添加的 Portal 设备的 IP 地址为与用户相连的接口 IP 地址 (20.20.20.1),且与该 Portal 设备关联的 IP 地址组为用户所在网段(8.8.8.0/24)。 z 按照组网图配置设备各接口的 IP 地址,保证启动 Portal 之前各主机、服务器和设备之间的路由 可达。 z 完成 RADIUS 服务器上的配置,保证用户的认证/计费功能正常运行。 在 Switch A 上进行以下配置。 (1) 配置 RADIUS 方案 # 创建名字为 rs1 的 RADIUS 方案并进入该方案视图。 system-view [SwitchA] radius scheme rs1 # 配置 RADIUS 方案的服务器类型。使用 iMC 服务器时,RADIUS 服务器类型应选择 extended。 [Switch-radius-rs1] server-type extended # 配置 RADIUS 方案的主认证和主计费服务器及其通信密钥。 [SwitchA-radius-rs1] primary authentication 192.168.0.112 [SwitchA-radius-rs1] primary accounting 192.168.0.112 [SwitchA-radius-rs1] key accounting radius [SwitchA-radius-rs1] key authentication radius [SwitchA-radius-rs1] user-name-format without-domain # 配置 RADIUS 方案的安全策略服务器。 [SwitchA-radius-rs1] security-policy-server 192.168.0.113 [SwitchA-radius-rs1] quit (2) 配置认证域 # 创建并进入名字为 dm1 的 ISP 域。 [SwitchA] domain dm1 # 配置 ISP 域的 AAA 方法。 [SwitchA-isp-dm1] authentication portal radius-scheme rs1 [SwitchA-isp-dm1] authorization portal radius-scheme rs1 1-44 [SwitchA-isp-dm1] accounting portal radius-scheme rs1 [SwitchA-isp-dm1] quit # 配置系统缺省的 ISP 域 dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入 的用户名未携带 ISP 域名,则使用缺省域下的认证方法。 [SwitchA] domain default enable dm1 (3) 配置受限资源对应的 ACL 为 3000,非受限资源对应的 ACL 为 3001 安全策略服务器上需要将 ACL 3000 和 ACL 3001 分别指定为隔离 ACL 和安全 ACL。 [SwitchA] acl number 3000 [SwitchA-acl-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255 [SwitchA-acl-adv-3000] rule deny ip [SwitchA-acl-adv-3000] quit [SwitchA] acl number 3001 [SwitchA-acl-adv-3001] rule permit ip [SwitchA-acl-adv-3001] quit (4) 配置 Portal 认证 # 配置 Portal 服务器:名称为 newpt,IP 地址为 192.168.0.111,密钥为 portal,端口为 50100, URL 为 http://192.168.0.111:8080/portal(请根据 Portal 服务器的实际情况配置,此处仅为示例)。 [SwitchA] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal # 在与 Switch B 相连的接口上使能 Portal 认证。 [SwitchA] interface vlan-interface 4 [SwitchA–Vlan-interface4] portal server newpt method layer3 [SwitchA–Vlan-interface4] quit Switch B 上需要配置到 192.168.0.0/24 网段的缺省路由,下一跳为 20.20.20.1,具体配置略。 1.16.7 Portal 支持双机热备配置举例 1. 组网需求 接入设备 Switch A 和 Switch B 之间存在备份链路,使用 VRRP 协议实现双机热备的流量切换,且 两台设备均支持 Portal 认证功能。现要求 Switch A 和 Switch B 支持双机热备运行情况下的 Portal 用户数据备份,具体为: z Switch A 正常工作的情况下,Host 通过 Switch A 进行 Portal 认证接入到外网。Switch A 发生 故障的情况下,Host 通过 Switch B 接入到外网,并且在 VRRP 监视上行链路接口功能的配合 下,保证业务流量切换不被中断。 z 采用 RADIUS 服务器作为认证/计费服务器。(本例中 Portal 服务器和 RADIUS 服务器的功能 均由 Server 实现) z Switch A 和 Switch B 之间通过单独的链路传输双机热备报文,且指定专用于双机热备的 VLAN 为 VLAN 8。 1-45 2. 组网图 图1-22 配置 Portal 支持双机热备组网图 Switch A Backup link Host IP: 9.9.1.2/24 Gateway: 9.9.1.1/24 Switch B Vlan-int10 9.9.1.5/24 Vlan-int10 9.9.1.6/24 Vlan-int20 192.168.0.6/24 Vlan-int20 192.168.0.5/24 VLAN8 Virtual IP address 2: 192.168.0.1/24 Server IP: 192.168.0.111/24 Gateway: 192.168.0.1/24 Master Backup Virtual IP address 1: 9.9.1.1/24Master Backup L2 Switch L2 Switch VLAN8 3. 配置步骤 z 按照组网图配置设备各接口的 IP 地址,保证启动 Portal 之前各主机、服务器和设备之间的路由 可达。 z 保证启动 Portal 之前主机可以分别通过 Switch A 和 Switch B 访问认证服务器。 z 配置 VRRP 备份组 1 和 VRRP 备份组 2 分别实现下行、上行链路的备份。VRRP 配置的相关 介绍请参见“可靠性配置指导”中的“VRRP 配置”。 z RADIUS 认证服务器上指定接入设备的 IP 地址为 VRRP 备份组 2 的虚拟 IP 地址。 z 双机热备配置的相关介绍请参见“可靠性配置指导”中的“双机热备配置”。 (1) 配置 Portal 服务器 下面以 iMC 为例(使用 iMC 版本为:iMC PLAT 3.20-R2606、iMC UAM 3.60-E6301),说明 Portal server 的相关配置。 # 配置 Portal 服务器。 登录进入 iMC 管理平台,选择“业务”页签,单击导航树中的[Portal 服务器管理/服务器配置]菜单 项,进入服务器配置页面。 z 输入 Portal 认证主页地址,形式为 http://ip:port/portal,其中 ip 和 port 在安装 iMC UAM 的时 候确定,port 一般使用缺省值 8080 即可。 1-46 图1-23 Portal 服务器配置页面 # 配置 IP 地址组。 单击导航树中的[Portal 服务器管理/IP 地址组配置]菜单项,进入 Portal IP 地址组配置页面,在该页 面中单击<增加>按钮,进入增加 IP 地址组配置页面。 z 填写 IP 地址组名; z 输入起始地址和终止地址。用户主机 IP 地址必须包含在该 IP 地址组范围内; z 选择是否 NAT,本例中不启用 NAT,因此为否。 图1-24 增加 IP 地址组配置页面 # 增加 Portal 设备。 单击导航树中的[Portal 服务器管理/设备配置]菜单项,进入 Portal 设备配置页面,在该页面中单击< 增加>按钮,进入增加设备信息配置页面。 z 填写设备名; z 指定 IP 地址为 VRRP 备份组 1 的虚拟 IP 地址; z 输入密钥,与接入设备 Switch 上的配置保持一致; z 选择是否进行二次地址分配,本例中为直接认证,因此为否; z 选择是否支持逃生心跳功能和用户心跳功能,本例中不支持。 1-47 图1-25 增加设备信息配置页面 # Portal 设备关联 IP 地址组 在 Portal 设备配置页面中的设备信息列表中,点击 Switch 设备的<端口组信息管理>链接,进入端 口组信息配置页面。 图1-26 设备信息列表 在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。 z 填写端口组名; z 选择 IP 地址组,用户接入网络时使用的 IP 地址必须属于所选的 IP 地址组; z 其它参数采用缺省值。 图1-27 增加端口组信息配置页面 1-48 # 最后单击导航树中的[业务参数配置/系统配置手工生效]菜单项,使以上 Portal 服务器配置生效。 (2) 配置 Switch A z 配置接口使能 Portal # 配置 Portal 服务器:名称为 newpt,IP 地址为 192.168.0.111,密钥为 portal,端口为 50100, URL 为 http://192.168.0.111:8080/portal。 system-view [SwitchA] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal # 在与用户 Host 相连的接口上使能 Portal 认证。 [SwitchA] interface vlan-interface 10 [SwitchA–Vlan-interface10] portal server newpt method layer3 z 配置 VRRP # 创建 VRRP 备份组 1,并配置 VRRP 备份组 1 的虚拟 IP 地址为 9.9.1.1。 [SwitchA–Vlan-interface10] vrrp vrid 1 virtual-ip 9.9.1.1 # 配置 VLAN 接口 10 在 VRRP 备份组 1 中的优先级为 200。 [SwitchA–Vlan-interface10] vrrp vrid 1 priority 200 # 在 VLAN 接口 10 上配置监视 VLAN 接口 20,当 VLAN 接口 20 状态为 Down 或 Removed 时, VLAN 接口 10 上的备份组 1 的优先级降低 150。 [SwitchA–Vlan-interface10] vrrp vrid 1 track interface vlan-interface20 reduced 150 [SwitchA–Vlan-interface10] quit # 创建 VRRP 备份组 2,并配置 VRRP 备份组 2 的虚拟 IP 地址为 192.168.0.1。 [SwitchA] interface vlan-interface 20 [SwitchA–Vlan-interface20] vrrp vrid 2 virtual-ip 192.168.0.1 # 配置 VLAN 接口 20 在 VRRP 备份组 2 中的优先级为 200。 [SwitchA–Vlan-interface20] vrrp vrid 2 priority 200 # 在 VLAN 接口 20 上配置监视 VLAN 接口 10,当 VLAN 接口 10 状态为 Down 或 Removed 时, VLAN 接口 20 上的备份组 2 的优先级降低 150。 [SwitchA–Vlan-interface20] vrrp vrid 2 track interface vlan-interface10 reduced 150 [SwitchA–Vlan-interface20] quit z 配置 RADIUS 方案 # 创建名字为 rs1 的 RADIUS 方案并进入该方案视图。 [SwitchA] radius scheme rs1 # 配置 RADIUS 方案的服务器类型。使用 iMC 服务器时,RADIUS 服务器类型应选择 extended。 [SwitchA-radius-rs1] server-type extended # 配置 RADIUS 方案的主认证和主计费服务器及其通信密钥。 [SwitchA-radius-rs1] primary authentication 192.168.0.111 [SwitchA-radius-rs1] primary accounting 192.168.0.111 [SwitchA-radius-rs1] key authentication expert [SwitchA-radius-rs1] key accounting expert # 配置发送给 RADIUS 服务器的用户名不携带 ISP 域名。(可选,请根据实际应用需求调整) [SwitchA-radius-rs1] user-name-format without-domain [SwitchA-radius-rs1] quit z 配置认证域 # 创建并进入名字为 dm1 的 ISP 域。 [SwitchA] domain dm1 # 配置 ISP 域的 AAA 方法。 [SwitchA-isp-dm1] authentication portal radius-scheme rs1 [SwitchA-isp-dm1] authorization portal radius-scheme rs1 1-49 [SwitchA-isp-dm1] accounting portal radius-scheme rs1 [SwitchA-isp-dm1] quit # 配置系统缺省的 ISP 域 dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入 的用户名未携带 ISP 域名,则使用缺省域下的认证方法。 [SwitchA] domain default enable dm1 z 配置 Portal 支持双机热备 # 配置 VLAN 接口 10 属于 Portal 备份组 1。 [SwitchA] interface vlan-interface 10 [SwitchA–Vlan-interface10] portal backup-group 1 # 配置接口发送 Portal 报文使用的源地址为 VRRP 备份组 1 的虚拟 IP 地址为 9.9.1.1。 [SwitchA–Vlan-interface10] portal nas-ip 9.9.1.1 [SwitchA–Vlan-interface10] quit # 配置免认证规则,允许对端发送的 VRRP 报文在不需要认证的情况下通过本端使能 Portal 的端口。 [SwitchA] portal free-rule 0 source ip 9.9.1.6 mask 255.255.255.255 destination any # 配置双机热备模式下的设备 ID 为 1。 [SwitchA] nas device-id 1 # 配置发送 RADIUS 报文的源 IP 地址为 VRRP 备份组 2 的虚拟 IP 地址为 192.168.0.1。 [SwitchA] radius nas-ip 192.168.0.1 z 配置双机热备 # 配置备份 VLAN 为 VLAN 8。 [SwitchA] dhbk vlan 8 # 使能双机热备功能,且支持对称路径。 [SwitchA] dhbk enable backup-type symmetric-path (3) 配置 Switch B z 配置接口使能 Portal # 配置 Portal 服务器:名称为 newpt,IP 地址为 192.168.0.111,密钥为 portal,端口为 50100, URL 为 http://192.168.0.111:8080/portal。 system-view [SwitchB] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal # 在与用户 Host 相连的接口上使能 Portal 认证。 [SwitchB] interface vlan-interface 10 [SwitchB–Vlan-interface10] portal server newpt method layer3 z 配置 VRRP # 创建 VRRP 备份组 1,并配置 VRRP 备份组 1 的虚拟 IP 地址为 9.9.1.1。 [SwitchB–Vlan-interface10] vrrp vrid 1 virtual-ip 9.9.1.1 # 配置 VLAN 接口 10 在 VRRP 备份组 1 中的优先级为 150。 [SwitchB–Vlan-interface10] vrrp vrid 1 priority 150 [SwitchB–Vlan-interface10] quit # 创建 VRRP 备份组 2,并配置 VRRP 备份组 2 的虚拟 IP 地址为 192.168.0.1。 [SwitchB] interface vlan-interface 20 [SwitchB–Vlan-interface20] vrrp vrid 2 virtual-ip 192.168.0.1 # 配置 VLAN 接口 20 在 VRRP 备份组 2 中的优先级为 150。 [SwitchB–Vlan-interface20] vrrp vrid 2 priority 150 [SwitchB–Vlan-interface20] quit z 配置 RADIUS 方案 # 创建名字为 rs1 的 RADIUS 方案并进入该方案视图。 [SwitchA] radius scheme rs1 1-50 # 配置 RADIUS 方案的服务器类型。使用 iMC 服务器时,RADIUS 服务器类型应选择 extended。 [SwitchB-radius-rs1] server-type extended # 配置 RADIUS 方案的主认证和主计费服务器及其通信密钥。 [SwitchB-radius-rs1] primary authentication 192.168.0.111 [SwitchB-radius-rs1] primary accounting 192.168.0.111 [SwitchB-radius-rs1] key authentication expert [SwitchB-radius-rs1] key accounting expert # 配置发送给 RADIUS 服务器的用户名不携带 ISP 域名。(可选,请根据实际应用需求调整) [SwitchB-radius-rs1] user-name-format without-domain [SwitchB-radius-rs1] quit z 配置认证域 # 创建并进入名字为 dm1 的 ISP 域。 [SwitchB] domain dm1 # 配置 ISP 域的 AAA 方法。 [SwitchB-isp-dm1] authentication portal radius-scheme rs1 [SwitchB-isp-dm1] authorization portal radius-scheme rs1 [SwitchB-isp-dm1] accounting portal radius-scheme rs1 [SwitchB-isp-dm1] quit # 配置系统缺省的 ISP 域 dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入 的用户名未携带 ISP 域名,则使用缺省域下的认证方法。 [SwitchB] domain default enable dm1 z 配置 Portal 支持双机热备 # 配置 VLAN 接口 10 属于 Portal 备份组 1。 [SwitchB] interface vlan-interface 10 [SwitchB–Vlan-interface10] portal backup-group 1 # 配置接口发送 Portal 报文使用的源地址为 VRRP 备份组 1 的虚拟 IP 地址为 9.9.1.1。 [SwitchA–Vlan-interface10] portal nas-ip 9.9.1.1 [SwitchB–Vlan-interface10] quit # 配置免认证规则,允许对端发送的 VRRP 报文在不需要认证的情况下通过本端使能 Portal 的端口。 [SwitchB] portal free-rule 0 source ip 9.9.1.5 mask 255.255.255.255 destination any # 配置双机热备模式下的设备 ID 为 2。 [SwitchB] nas device-id 2 # 配置发送 RADIUS 报文的源 IP 地址为 VRRP 备份组 2 的虚拟 IP 地址为 192.168.0.1。 [SwitchB] radius nas-ip 192.168.0.1 z 配置双机热备 # 配置备份 VLAN 为 VLAN 8。 [SwitchB] dhbk vlan 8 # 使能双机热备功能。 [SwitchB] dhbk enable backup-type symmetric-path 4. 验证配置结果 # 用户Host从Switch A成功上线后,在Switch A和Switch B上均可以通过命令display portal user 查看该用户的认证情况。 [SwitchA] display portal user all Index:3 State:ONLINE SubState:INVALID ACL:NONE Work-mode: primary MAC IP Vlan Interface 1-51 --------------------------------------------------------------------- 000d-88f8-0eac 9.9.1.2 10 Vlan-interface10 Total 1 user(s) matched, 1 listed. [SwitchB] display portal user all Index:2 State:ONLINE SubState:INVALID ACL:NONE Work-mode: secondary MAC IP Vlan Interface --------------------------------------------------------------------- 000d-88f8-0eac 9.9.1.2 10 Vlan-interface10 Total 1 user(s) matched, 1 listed. 通过以上显示信息可以看到,Switch A 和 Switch B 上均有 Portal 用户 Host 的信息,且 Switch A 上的用户模式为 primary,Switch B 上的用户模式为 secondary,表示该用户是由 Switch A 上线并 被同步到 Switch B 上的。 1.16.8 Portal 服务器探测和用户同步功能配置举例 1. 组网需求 用户主机与接入设备 Switch 直接相连,通过 Portal 认证接入网络,并采用 RADIUS 服务器作为认 证/计费服务器。 具体要求如下: z 用户通过手工配置或 DHCP 获取的一个公网 IP 地址进行认证,在通过 Portal 认证前,只能访 问 Portal 服务器;在通过 Portal 认证后,可以使用此 IP 地址访问非受限的互联网资源。 z 接入设备能够探测到 Portal 服务器是否可达,并输出可达状态变化的 Trap 信息,在服务器不 可达时(例如,网络连接中断、网络设备故障或服务器无法正常提供服务等情况),取消 Portal 认证,使得用户仍然可以正常访问网络。 z 接入设备能够与服务器定期进行用户信息的同步。 2. 组网图 图1-28 Portal 服务器探测和用户同步功能配置组网图 3. 配置思路 (1) 配置 Portal 服务器,并启动逃生心跳功能和用户心跳功能; (2) 配置 RADIUS 服务器,实现正常的认证及计费功能; (3) 接入设备通过接口 Vlan-int100 与用户主机直接相连,在该接口上配置直接方式的 Portal 认证; (4) 接入设备上配置Portal服务器探测功能,在与Portal服务器的逃生心跳功能的配合下,对Portal 服务器的可达状态进行探测; 1-52 (5) 接入设备上配置 Portal 用户同步功能,在与 Portal 服务器的用户心跳功能的配合下,与 Portal 服务器上的用户信息进行同步。 4. 配置步骤 z 按照组网图配置设备各接口的 IP 地址,保证启动 Portal 之前各主机、服务器和设备之间的路由 可达。 z 完成 RADIUS 服务器上的配置,保证用户的认证/计费功能正常运行。 (1) 配置 Portal server(iMC) 下面以 iMC 为例(使用 iMC 版本为:iMC PLAT 3.20-R2606、iMC UAM 3.60-E6206),说明 Portal server 的相关配置。 # 配置 Portal 服务器。 登录进入 iMC 管理平台,选择“业务”页签,单击导航树中的[Portal 服务器管理/服务器配置]菜单 项,进入服务器配置页面。 z 配置逃生心跳间隔时长及用户心跳间隔时长; z 输入 Portal 认证主页地址,形式为 http://ip:port/portal,其中 ip 和 port 在安装 iMC UAM 的时 候确定,port 一般使用缺省值 8080 即可。 图1-29 Portal 服务器配置页面 # 配置 IP 地址组。 单击导航树中的[Portal 服务器管理/IP 地址组配置]菜单项,进入 Portal IP 地址组配置页面,在该页 面中单击<增加>按钮,进入增加 IP 地址组配置页面。 z 填写 IP 地址组名; z 输入起始地址和终止地址。用户主机 IP 地址必须包含在该 IP 地址组范围内; z 选择是否 NAT,本例中不启用 NAT,因此为否。 1-53 图1-30 增加 IP 地址组配置页面 # 增加 Portal 设备。 单击导航树中的[Portal 服务器管理/设备配置]菜单项,进入 Portal 设备配置页面,在该页面中单击< 增加>按钮,进入增加设备信息配置页面。 z 填写设备名; z 输入 IP 地址为与接入用户相连的设备接口 IP; z 输入密钥,与接入设备 Switch 上的配置保持一致; z 选择是否进行二次地址分配,本例中为直接认证,因此为否; z 选择支持逃生心跳功能和用户心跳功能。 图1-31 增加设备信息配置页面 # Portal 设备关联 IP 地址组 在 Portal 设备配置页面中的设备信息列表中,点击 Switch 设备的<端口组信息管理>链接,进入端 口组信息配置页面。 图1-32 设备信息列表 在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。 1-54 z 填写端口组名; z 选择 IP 地址组,用户接入网络时使用的 IP 地址必须属于所选的 IP 地址组; z 其它参数采用缺省值。 图1-33 增加端口组信息配置页面 # 最后单击导航树中的[业务参数配置/系统配置手工生效]菜单项,使以上 Portal 服务器配置生效。 (2) 配置 Switch z 配置 RADIUS 方案 # 创建名字为 rs1 的 RADIUS 方案并进入该方案视图。 system-view [Switch] radius scheme rs1 # 配置 RADIUS 方案的服务器类型。使用 iMC 服务器时,RADIUS 服务器类型应选择 extended。 [Switch-radius-rs1] server-type extended # 配置 RADIUS 方案的主认证和主计费服务器及其通信密钥。 [Switch-radius-rs1] primary authentication 192.168.0.112 [Switch-radius-rs1] primary accounting 192.168.0.112 [Switch-radius-rs1] key authentication radius [Switch-radius-rs1] key accounting radius # 配置发送给 RADIUS 服务器的用户名不携带 ISP 域名。 [Switch-radius-rs1] user-name-format without-domain [Switch-radius-rs1] quit z 配置认证域 # 创建并进入名字为 dm1 的 ISP 域。 [Switch] domain dm1 # 配置 ISP 域的 AAA 方法。 [Switch-isp-dm1] authentication portal radius-scheme rs1 [Switch-isp-dm1] authorization portal radius-scheme rs1 [Switch-isp-dm1] accounting portal radius-scheme rs1 [Switch-isp-dm1] quit # 配置系统缺省的 ISP 域 dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入 的用户名未携带 ISP 域名,则使用缺省域下的认证方法。 [Switch] domain default enable dm1 z 使能 Portal 认证 1-55 # 配置 Portal 服务器:名称为 newpt,IP 地址为 192.168.0.111,密钥为 portal,端口为 50100, URL 为 http://192.168.0.111:8080/portal。 [Switch] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal # 在与用户 Host 相连的接口上使能 Portal 认证。 [Switch] interface vlan-interface 100 [Switch–Vlan-interface100] portal server newpt method direct [Switch–Vlan-interface100] quit z 配置 Portal 服务器探测功能 # 配置对 Portal 服务器 pts 的探测功能:探测方式为探测 Portal 心跳报文,每次探测间隔时间为 40 秒,若连续二次探测均失败,则发送服务器不可达的 Trap 信息,并打开网络限制,允许未认证用 户访问网络。 [Switch] portal server newpt server-detect method portal-heartbeat action trap permit-all interval 40 retry 2 此处 interval 与 retry 的乘积应该大于等于 Portal 服务器的逃生心跳间隔时长,且推荐 interval 取值 大于 Portal 服务器的逃生心跳间隔时长。 z 配置 Portal 用户信息同步功能 # 配置对 Portal 服务器 pts 的 Portal 用户同步功能,检测用户同步报文的时间间隔为 600 秒,如果 设备中的某用户信息在连续两个探测周期内都未在该 Portal 服务器发送的同步报文中出现,设备将 强制该用户下线。 [Switch] portal server newpt user-sync interval 600 retry 2 此处 interval 与 retry 的乘积应该大于等于 Portal 服务器上的用户心跳间隔时长,且推荐 interval 取 值大于 Portal 服务器的用户心跳间隔时长。 5. 验证配置结果 以上配置完成后,可以通过执行以下命令查看 Portal 服务器的状态。 display portal server newpt Portal server: 1)newpt: IP : 192.168.0.111 Key : portal Port : 50100 URL : http://192.168.0.111:8080/portal Status : Up 1.16.9 二层 Portal 认证配置举例 1. 组网需求 用户主机与接入设备 Switch 直接相连,接入设备在端口 GigabitEthernet1/0/1 上对用户进行二层 Portal 认证。具体要求如下: z 使用远程 RADIUS 服务器进行认证、授权和计费; z 使用远程 DHCP 服务器为用户分配 IP 地址; 1-56 z 本地 Portal 认证服务器的监听 IP 地址为 4.4.4.4,设备向 Portal 用户推出自定义的认证页面, 并使用 HTTPS 传输认证数据; z 认证成功的用户可被授权加入 VLAN 3; z 认证失败的用户将被加入 VLAN 2,允许访问其中的 Update 服务器资源; z Host 通过 DHCP 动态获取 IP 地址,认证前使用 192.168.1.0/24 网段的 IP 地址,认证成功后 使用 3.3.3.0/24 网段的 IP 地址,认证失败后使用 2.2.2.0/24 网段的 IP 地址。 2. 组网图 图1-34 配置二层 Portal 认证组网图 3. 配置步骤 z 保证启动 Portal 之前各主机、服务器和设备之间的路由可达。 z 完成 RADIUS 服务器的配置,保证用户的认证/授权/计费功能正常运行。本例中,RADIUS 服 务器上需要配置一个 Portal 用户(帐户名为 userpt),并配置授权 VLAN。 z 完成 DHCP 服务器的配置,主要包括: 指定为 Portal 客户端分配的 IP地址范围(192.168.1.0/24、 3.3.3.0/24、2.2.2.0/24);指定客户端的默认网关地址( 192.168.1.1、3.3.3.1、2.2.2.1),并 将 Update server 地址( 2.2.2.2)排除在可分配的 IP 地址范围外;确定分配给客户端的 IP 地 址的租约期限(建议尽量取较小的值,以缩短认证状态变化后 IP 地址更新的时间);保证 DHCP server 上具有到达客户端主机的路由。 z 由于 DHCP 服务器与 DHCP 客户端不在同一个网段,因此需要在客户端所在的网段设置 DHCP 中继。关于 DHCP 中继的详细介绍请参见“三层技术-IP 业务配置指导”中的“DHCP 中继配 置”。 (1) 配置 Portal 认证 # 配置各以太网端口加入 VLAN 及对应 VLAN 接口的 IP 地址(略)。 # 完成 PKI 域 pkidm 的配置,并成功申请本地证书和 CA 证书,具体配置请参见“安全配置指导” 中的“PKI 配置”。 # 完成自定义缺省认证页面文件的编辑,并将其以 defaultfile 为名称压缩为一个 Zip 文件之后保存 在设备根目录下。 1-57 # 配置 SSL 服务器端策略 sslsvr,指定使用的 PKI 域为 pkidm。 system-view [Switch] ssl server-policy sslsvr [Switch-ssl-server-policy-sslsvr] pki pkidm [Switch-ssl-server-policy-sslsvr] quit # 配置本地 Portal 服务器支持 HTTPS 协议,并引用 SSL 服务器端策略 sslsvr。 [Switch] portal local-server https server-policy sslsvr # 配置 Loopback 接口 12 的 IP 地址为 4.4.4.4。 [Switch] interface loopback 12 [Switch-LoopBack12] ip address 4.4.4.4 32 [Switch-LoopBack12] quit # 指定二层 Portal 认证的本地 Portal 服务器监听 IP 地址为 4.4.4.4。 [Switch] portal local-server ip 4.4.4.4 # 在端口 GigabitEthernet1/0/1 上使能 Portal 认证,并配置认证失败的 VLAN 为 VLAN 2。 [Switch] interface gigabitethernet 1/0/1 [Switch–GigabitEthernet1/0/1] port link-type hybrid [Switch–GigabitEthernet1/0/1] mac-vlan enable [Switch–GigabitEthernet1/0/1] portal local-server enable [Switch–GigabitEthernet1/0/1] portal auth-fail vlan 2 [Switch–GigabitEthernet1/0/1] quit (2) 配置 RADIUS 方案 # 创建名字为 rs1 的 RADIUS 方案并进入该方案视图。 [Switch] radius scheme rs1 # 配置 RADIUS 方案的服务器类型。使用 iMC 服务器时,RADIUS 服务器类型应选择 extended。 [Switch-radius-rs1] server-type extended # 配置 RADIUS 方案的主认证和主计费服务器及其通信密钥。 [Switch-radius-rs1] primary authentication 1.1.1.2 [Switch-radius-rs1] primary accounting 1.1.1.2 [Switch-radius-rs1] key accounting radius [Switch-radius-rs1] key authentication radius [Switch-radius-rs1] quit (3) 配置认证域 # 创建并进入名字为 triple 的 ISP 域。 [Switch] domain triple # 配置 ISP 域的 AAA 方法。 [Switch-isp-triple] authentication portal radius-scheme rs1 [Switch-isp-triple] authorization portal radius-scheme rs1 [Switch-isp-triple] accounting portal radius-scheme rs1 [Switch-isp-triple] quit # 配置系统缺省的 ISP 域 triple,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入 的用户名未携带 ISP 域名,则使用缺省域下的认证方法。 [Switch] domain default enable triple (4) 配置 DHCP 中继 # 使能 DHCP 服务。 [Switch] dhcp enable # 配置 DHCP 服务器的地址。 [Switch] dhcp relay server-group 1 ip 1.1.1.3 # 配置 VLAN 接口 8 工作在 DHCP 中继模式。 [Switch] interface vlan-interface 8 1-58 [Switch-Vlan-interface8] dhcp select relay # 配置 VLAN 接口 8 对应 DHCP 服务器组 1。 [Switch-Vlan-interface8] dhcp relay server-select 1 [Switch-Vlan-interface8] quit # 配置 VLAN 接口 2 工作在 DHCP 中继模式。 [Switch] interface vlan-interface 2 [Switch-Vlan-interface2] dhcp select relay # 配置 VLAN 接口 2 对应 DHCP 服务器组 1。 [Switch-Vlan-interface2] dhcp relay server-select 1 [Switch-Vlan-interface2] quit # 配置 VLAN 接口 3 工作在 DHCP 中继模式。 [Switch] interface vlan-interface 3 [Switch-Vlan-interface3] dhcp select relay # 配置 VLAN 接口 3 对应 DHCP 服务器组 1。 [Switch-Vlan-interface3] dhcp relay server-select 1 [Switch-Vlan-interface3] quit 4. 验证配置结果 用户 userpt 未进行 Web 访问之前,位于初始 VLAN(VLAN 8)中,并被分配 192.168.1.0/24 网段 中的 IP 地址。当用户通过 Web 浏览器访问外部网络时,其 Web 请求均被重定向到认证页面 https://4.4.4.4/portal/logon.htm。用户根据网页提示输入正确的用户名和密码后,能够成功通过 Portal 认证。通过认证的用户将会离开初始 VLAN(VLAN 8),并加入授权 VLAN(VLAN 3)。 可通过 display connection ucibindex 命令查看已在线用户的详细信息。 display connection ucibindex 30 Slot: 1 Index=30 , Username=userpt@triple MAC=0015-e9a6-7cfe IP=192.168.1.2 IPv6=N/A Access=PORTAL ,AuthMethod=PAP Port Type=Ethernet,Port Name= GigabitEthernet1/0/1 Initial VLAN=8, Authorization VLAN=3 ACL Group=Disable User Profile=N/A CAR=Disable Priority=Disable Start=2009-11-26 17:40:02 ,Current=2009-11-26 17:48:21 ,Online=00h08m19s Total 1 connection matched. 可以通过 display mac-vlan all 命令查看到认证成功用户的 MAC VLAN 表项,该表项中记录了加 入授权 VLAN 的 MAC 地址与端口上生成的基于 MAC 的 VLAN 之间的对应关系。 [Switch] display mac-vlan all The following MAC VLAN addresses exist: S:Static D:Dynamic MAC ADDR MASK VLAN ID PRIO STATE -------------------------------------------------------- 0015-e9a6-7cfe ffff-ffff-ffff 3 0 D Total MAC VLAN address count:1 若用户认证失败,将被加入 VLAN 2 中,端口上生成的 MAC VLAN 表项及 IP 地址分配情况的查看 方式同上,此处略。 1-59 1.17 常见配置错误举例 1.17.1 接入设备和 Portal 服务器上的密钥不一致 1. 故障现象 用户被强制去访问 Portal 服务器时没有弹出 Portal 认证页面,也没有错误提示,登录的 Portal 认证 服务器 Web 页面为空白。 2. 故障分析 接入设备上配置的 Portal 密钥和 Portal 服务器上配置的密钥不一致,导致 Portal 服务器报文验证出 错,Portal 服务器拒绝弹出认证页面。 3. 处理过程 使用 display portal server 命令查看接入设备上配置的 Portal 服务器密钥,并在系统视图中使用 portal server 命令修改密钥,或者在 Portal 服务器上查看对应接入设备的密钥并修改密钥,直至两 者的密钥设置一致。 1.17.2 接入设备上服务器端口配置错误 1. 故障现象 用户通过 Portal 认证后,在接入设备上使用 portal delete-user 命令强制用户下线失败,但是使用 客户端的“断开”属性可以正常下线。 2. 故障分析 在 Portal 上使用 portal delete-user 命令强制用户下线时,由接入设备主动发送下线请求报文到 Portal 服务器,Portal 服务器默认的报文监听端口为 50100,但是因为接入设备上配置的服务器监 听端口错误(不是 50100),即其发送的下线请求报文的目的端口和 Portal 服务器真正的监听端口 不一致,故 Portal 服务器无法收到下线请求报文,Portal 服务器上的用户无法下线。 当使用客户端的“断开”属性让用户下线时,由 Portal 服务器主动向接入设备发送下线请求,其源 端口为 50100,接入设备的下线应答报文的目的端口使用请求报文的源端口,避免了其配置上的错 误,使得 Portal 服务器可以收到下线应答报文,从而 Portal 服务器上的用户成功下线。 3. 处理过程 使用 display portal server 命令查看接入设备对应服务器的端口,并在系统视图中使用 portal server 命令修改服务器的端口,使其和 Portal 服务器上的监听端口一致。
还剩60页未读

继续阅读

下载pdf到电脑,查找使用更方便

pdf的实际排版效果,会与网站的显示效果略有不同!!

需要 10 金币 [ 分享pdf获得金币 ] 1 人已下载

下载pdf

pdf贡献者

justabit

贡献于2012-07-15

下载需要 10 金币 [金币充值 ]
亲,您也可以通过 分享原创pdf 来获得金币奖励!
下载pdf