认证搜狗浏览器2.2

i目录1Portal1-11.
1Portal简介1-11.
1.
1Portal概述1-11.
1.
1Portal安全扩展功能1-21.
1.
2Portal的系统组成1-21.
1.
3使用本地PortalWeb服务器的Portal系统·1-31.
1.
4Portal的基本交互过程1-41.
1.
5Portal的认证方式1-41.
1.
6Portal支持EAP认证1-51.
1.
7Portal认证流程1-61.
1.
8Portal过滤规则1-81.
1.
9Portal支持BYOD功能·1-81.
1.
10Portal支持基于MAC地址的快速认证·1-91.
2Portal配置任务简介1-101.
3配置准备·1-111.
4配置Portal认证服务器1-121.
5配置PortalWeb服务器1-131.
6开启Portal认证1-141.
7引用PortalWeb服务器1-151.
8控制Portal用户的接入1-161.
8.
1配置免认证规则·1-161.
8.
2配置源认证网段·1-171.
8.
3配置目的认证网段·1-181.
8.
4配置Portal最大用户数·1-181.
8.
5指定Portal用户使用的认证域·1-191.
8.
6配置Portal认证前用户使用的认证域·1-201.
8.
7配置Portal认证前用户使用的地址池·1-211.
8.
8配置Portal授权信息严格检查模式·1-211.
8.
9配置Portal仅允许DHCP用户上线·1-221.
8.
10配置Portal出方向报文过滤1-231.
8.
11配置Portal支持双协议栈1-231.
9配置Portal探测功能1-251.
9.
1配置Portal用户在线探测功能·1-25ii1.
9.
2配置Portal认证服务器的可达性探测功能·1-251.
9.
3配置PortalWeb服务器的可达性探测功能·1-261.
9.
4配置Portal用户信息同步功能·1-271.
10配置Portal用户逃生功能·1-281.
11配置发送给Portal认证服务器的Portal报文的BAS-IP属性·1-281.
12配置RADIUSNAS-Port-ID属性格式·1-291.
13配置接入设备的ID1-301.
14配置Portal用户漫游功能·1-301.
15强制在线Portal用户下线·1-301.
16关闭Portal用户流量计费功能·1-311.
17配置Web重定向功能1-311.
18配置接口的NAS-IDProfile·1-321.
19配置本地PortalWeb服务器功能·1-331.
19.
1自定义认证页面文件1-331.
19.
2配置本地PortalWeb服务器1-351.
20配置无线Portal客户端合法性检查功能·1-361.
21配置无线Portal用户自动下线功能·1-371.
22配置Portal客户端ARP/ND表项固化功能1-371.
23配置HTTPS重定向功能·1-381.
24配置基于MAC地址的快速认证1-381.
24.
1配置远程MAC绑定服务器1-381.
24.
2配置本地MAC绑定服务器1-391.
24.
3配置云端MAC-trigger认证·1-401.
24.
4在接口上应用MAC绑定服务器1-411.
24.
5在无线服务模板上应用MAC绑定服务器1-411.
25配置NAS-Port-Type·1-411.
26配置Portal安全重定向功能·1-431.
27开启Portal被动Web认证功能1-441.
28配置AP给AC上报流量统计信息的时间间隔(仅AC)1-451.
29配置Portal协议报文中不携带的属性字段·1-451.
30开启Portal日志功能·1-461.
31配置Portal第三方认证功能·1-461.
31.
1配置第三方认证服务器1-461.
31.
2第三方认证按钮和认证登录页面编辑规范1-471.
31.
3配置第三方认证用户使用的认证域1-481.
31.
4配置Portal第三方认证时客户端访问AC的接口·1-48iii1.
31.
5开启Portal临时放行功能1-491.
32配置Portal认证监控功能·1-501.
33Portal显示和维护1-511.
34Portal典型配置举例(有线应用)1-531.
34.
1Portal直接认证配置举例·1-531.
34.
2Portal二次地址分配认证配置举例·1-641.
34.
3可跨三层Portal认证配置举例1-671.
34.
4Portal直接认证扩展功能配置举例·1-711.
34.
5Portal二次地址分配认证扩展功能配置举例1-741.
34.
6可跨三层Portal认证扩展功能配置举例1-781.
34.
7Portal认证服务器探测和用户信息同步功能配置举例1-821.
34.
8可跨三层Portal认证支持多实例配置举例1-921.
34.
9Portal直接认证支持认证前域配置举例·1-951.
34.
10Portal二次地址分配认证支持认证前域配置举例1-971.
34.
11使用本地PortalWeb服务器的直接Portal认证配置举例1-1001.
34.
12Portal基于MAC地址的快速认证配置举例1-1031.
35Portal典型配置举例(无线应用)1-1121.
35.
1Portal直接认证配置举例·1-1121.
35.
2Portal基于MAC地址的快速认证配置举例(远程认证方式)1-1231.
35.
3Portal基于MAC地址的快速认证配置举例(云端认证方式)1-1321.
35.
4Portal支持QQ认证配置举例·1-1361.
35.
5Portal支持邮箱认证配置举例·1-1391.
36常见配置错误举例·1-1431.
36.
1Portal用户认证时,没有弹出Portal认证页面·1-1431.
36.
2接入设备上无法强制Portal用户下线1-1431.
36.
3RADIUS服务器上无法强制Portal用户下线1-1441.
36.
4接入设备强制用户下线后,Portal认证服务器上还存在该用户1-1441.
36.
5二次地址分配认证用户无法成功上线1-1441-11PortalMSR810/810-W/810-W-DB/810-LM/810-W-LM/810-10-PoE/810-LM-HK/810-W-LM-HK/810-LMS/810-LUS/2600-10-X1/2630/3610/3610-X1/3610-X1-DP/3610-X1-DC/3610-X1-DP-DC/3620/3620-DP/3640/3660/3600-28/3600-51/3600-28-SI/3600-51-SI路由器使用集中式命令行,MSR5620/5660/5680路由器使用分布式命令行.
文中的AP/AC指的是支持WLAN功能的路由器.
仅MSR810-LMS/810-LUS/3610-X1/3610-X1-DP/3610-X1-DC/3610-X1-DP-DC/5620/5660/5680/3600-28-SI/3600-51-SI路由器不支持WLAN功能.
MSR810/810-W/810-W-DB/810-LM/810-W-LM/810-10-PoE/810-LM-HK/810-W-LM-HK/810-LMS/810-LUS/3600-28-SI/3600-51-SI路由器不支持IPv6相关参数.
1.
1Portal简介1.
1.
1Portal概述Portal在英语中是入口的意思.
Portal认证通常也称为Web认证,即通过Web页面接受用户输入的用户名和密码,对用户进行身份认证,以达到对用户访问进行控制的目的.
在采用了Portal认证的组网环境中,未认证用户上网时,接入设备强制用户登录到特定站点,用户可以免费访问其中的服务;当用户需要使用互联网中的其它信息时,必须在PortalWeb服务器提供的网站上进行Portal认证,只有认证通过后才可以使用这些互联网中的设备或资源.
根据是否为用户主动发起认证,可以将Portal认证分为主动认证和强制认证两种类型:用户可以主动访问已知的PortalWeb服务器网站,输入用户名和密码进行认证,这种开始Portal认证的方式称作主动认证;用户访问任意非PortalWeb服务器网站时,被强制访问PortalWeb服务器网站,继而开始Portal认证的过程称作强制认证.
Portal认证是一种灵活的访问控制技术,可以在接入层以及需要保护的关键数据入口处实施访问控制,具有如下优势:可以不安装客户端软件,直接使用Web页面认证,使用方便.
可以为运营商提供方便的管理功能和业务拓展功能,例如运营商可以在认证页面上开展广告、社区服务、信息发布等个性化的业务.
支持多种组网型态,例如二次地址分配认证方式可以实现灵活的地址分配策略且能节省公网IP地址,可跨三层认证方式可以跨网段对用户作认证.
目前,设备支持的Portal版本为Portal1.
0、Portal2.
0和Portal3.
0.
1-21.
1.
1Portal安全扩展功能Portal的安全扩展功能是指,在Portal身份认证的基础之上,通过强制接入终端实施补丁和防病毒策略,加强网络终端对病毒攻击的主动防御能力.
具体的安全扩展功能如下:安全性检测:在对用户的身份认证的基础上增加了安全认证机制,可以检测接入终端上是否安装了防病毒软件、是否更新了病毒库、是否安装了非法软件、是否更新了操作系统补丁等;访问资源受限:用户通过身份认证后仅仅获得访问指定互联网资源的权限,如病毒服务器、操作系统补丁更新服务器等;当用户通过安全认证后便可以访问更多的互联网资源.
安全性检测功能必须与H3C的iMC安全策略服务器以及iNode客户端配合使用.
1.
1.
2Portal的系统组成Portal的典型组网方式如图1-1所示,它由六个基本要素组成:认证客户端、接入设备、Portal认证服务器、PortalWeb服务器、AAA服务器和安全策略服务器.
图1-1Portal系统组成示意图1.
认证客户端用户终端的客户端系统,为运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的主机.
对用户终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息交流完成的.
2.
接入设备交换机、路由器等宽带接入设备的统称,主要有三方面的作用:在认证之前,将用户的所有HTTP请求都重定向到PortalWeb服务器.
在认证过程中,与Portal认证服务器、AAA服务器交互,完成身份认证/授权/计费的功能.
在认证通过后,允许用户访问被授权的互联网资源.
3.
Portal认证服务器接收Portal客户端认证请求的服务器端系统,与接入设备交互认证客户端的认证信息.
认证客户端认证客户端认证客户端安全策略服务器Portal认证服务器接入设备PortalWeb服务器AAA服务器1-34.
PortalWeb服务器负责向客户端提供Web认证页面,并将客户端的认证信息(用户名、密码等)提交给Portal认证服务器.
PortalWeb服务器通常与Portal认证服务器是一体的,也可以是独立的服务器端系统.
5.
AAA服务器与接入设备进行交互,完成对用户的认证、授权和计费.
目前RADIUS(RemoteAuthenticationDial-InUserService,远程认证拨号用户服务)服务器可支持对Portal用户进行认证、授权和计费,以及LDAP(LightweightDirectoryAccessProtocol,轻量级目录访问协议)服务器可支持对Portal用户进行认证.
6.
安全策略服务器与Portal客户端、接入设备进行交互,完成对用户的安全检测,并对用户进行安全授权操作.
1.
1.
3使用本地PortalWeb服务器的Portal系统1.
系统组成本地PortalWeb服务器功能是指,Portal认证系统中不采用外部独立的PortalWeb服务器和Portal认证服务器,而由接入设备实现PortalWeb服务器和Portal认证服务器功能.
这种情况下,Portal认证系统仅包括三个基本要素:认证客户端、接入设备和AAA服务器,如图1-2所示.
由于设备支持Portal用户进行本地Portal认证,因此就不需要部署额外的PortalWeb服务器和Portal认证服务器,增强了Portal认证的通用性.
图1-2使用本地PortalWeb服务器的Portal系统组成示意图使用本地PortalWeb服务器的Portal认证系统不支持Portal扩展功能,因此使用本地PortalWeb服务器的网络环境中不需要部署安全策略服务器.
内嵌本地PortalWeb服务器的接入设备实现了简单的PortalWeb服务器和Portal认证服务器功能,仅能给用户提供通过Web方式登录、下线的基本功能,并不能完全替代独立的Portal服务器.
不支持使用H3CiNode客户端方式的Portal认证.
2.
认证客户端和本地PortalWeb服务器之间的交互协议认证客户端和内嵌本地PortalWeb服务器的接入设备之间可以采用HTTP和HTTPS协议通信.
若客户端和接入设备之间交互HTTP协议,则报文以明文形式传输,安全性无法保证;若客户端和接入设备之间交互HTTPS协议,则报文基于SSL提供的安全机制以密文的形式传输,数据的安全性有保障.
认证客户端认证/计费服务器内嵌Portal服务器的接入设备1-43.
本地PortalWeb服务器支持用户自定义认证页面本地PortalWeb服务器支持由用户自定义认证页面的内容,即允许用户编辑一套或多套认证页面的HTML文件,并将其压缩之后保存至设备的存储介质的根目录中.
每套自定义页面文件中包括六个认证页面:登录页面、登录成功页面、在线页面、下线成功页面、登录失败页面和系统忙碌页面.
本地PortalWeb服务器根据不同的认证阶段向客户端推出对应的认证页面.
缺省情况下,本地PortalWeb服务器未提供缺省认证页面文件,若未提供缺省认证页面文件,必须使用default-logon-page命令将用户自定义的一套认证页面文件设置为系统提供的缺省认证页面文件.
有关default-logon-page命令的详细介绍请参见"安全命令参考"中的"Portal".
关于认证页面文件的自定义规范请参见"1.
19.
1自定义认证页面文件".
1.
1.
4Portal的基本交互过程Portal系统中各基本要素的交互过程如下:(1)未认证用户访问网络时,在Web浏览器地址栏中输入一个互联网的地址,那么此HTTP或HTTPS请求在经过接入设备时会被重定向到PortalWeb服务器的Web认证主页上.
用户也可以主动登录PortalWeb服务器的Web认证主页.
若需要使用Portal的安全扩展认证功能,则用户必须使用H3CiNode客户端.
(2)用户在认证主页/认证对话框中输入认证信息后提交,PortalWeb服务器会将用户的认证信息传递给Portal认证服务器,由Portal认证服务器处理并转发给接入设备.
(3)接入设备与AAA服务器交互进行用户的认证、授权和计费.
(4)认证通过后,如果未对用户采用安全策略,则接入设备会打开用户与互联网的通路,允许用户访问互联网;如果对用户采用了安全策略,则客户端、接入设备与安全策略服务器交互,对用户的安全检测通过之后,安全策略服务器根据用户的安全性授权用户访问非受限资源.
如果认证未通过,则Portal认证流程结束,向用户返回认证失败页面或提示信息.
目前通过访问Web页面进行的Portal认证不能对用户实施安全策略检查,安全检查功能的实现需要与H3CiNode客户端配合.
无论是Web客户端还是H3CiNode客户端发起的Portal认证,均能支持Portal认证穿越NAT,即Portal客户端位于私网、Portal认证服务器位于公网.
1.
1.
5Portal的认证方式Portal支持三种认证方式:直接认证方式、二次地址分配认证方式和可跨三层认证方式.
直接认证方式和二次地址分配认证方式下,认证客户端和接入设备之间没有三层转发设备;可跨三层认证方式下,认证客户端和接入设备之间可以(但不必须)跨接三层转发设备.
1-51.
直接认证方式用户在认证前通过手工配置或DHCP直接获取一个IP地址,只能访问PortalWeb服务器,以及设定的免认证地址;认证通过后即可访问网络资源.
认证流程相对简单.
2.
二次地址分配认证方式用户在认证前通过DHCP获取一个私网IP地址,只能访问PortalWeb服务器,以及设定的免认证地址;认证通过后,用户会申请到一个公网IP地址,即可访问网络资源.
该认证方式解决了IP地址规划和分配问题,对未认证通过的用户不分配公网IP地址.
例如运营商对于小区宽带用户只在访问小区外部资源时才分配公网IP.
目前,仅H3CiNode客户端支持该认证方式.
需要注意的是,IPv6Portal认证不支持二次地址分配方式.
3.
可跨三层认证方式和直接认证方式基本相同,但是这种认证方式允许认证用户和接入设备之间跨越三层转发设备.
对于以上三种认证方式,IP地址都是用户的唯一标识.
接入设备基于用户的IP地址下发ACL对接口上通过认证的用户报文转发进行控制.
由于直接认证和二次地址分配认证下的接入设备与用户之间未跨越三层转发设备,因此接口可以学习到用户的MAC地址,接入设备可以利用学习到MAC地址增强对用户报文转发的控制力度.
1.
1.
6Portal支持EAP认证在对接入用户身份可靠性要求较高的网络应用中,传统的基于用户名和口令的用户身份验证方式存在一定的安全问题,基于数字证书的用户身份验证方式通常被用来建立更为安全和可靠的网络接入认证机制.
EAP(ExtensibleAuthenticationProtocol,可扩展认证协议)可支持多种基于数字证书的认证方式(例如EAP-TLS),它与Portal认证相配合,可共同为用户提供基于数字证书的接入认证服务.
图1-3Portal支持EAP认证协议交互示意图如图1-3所示,在Portal支持EAP认证的实现中,客户端与Portal服务器之间交互EAP认证报文,Portal服务器与接入设备之间交互携带EAP-Message属性的Portal协议报文,接入设备与RADIUS服务器之间交互携带EAP-Message属性的RADIUS协议报文,由具备EAP服务器功能的RADIUS服务器处理EAP-Message属性中封装的EAP报文,并给出EAP认证结果.
整个EAP认证过程中,接入设备只是对Portal服务器与RADIUS服务器之间的EAP-Message属性进行透传,并不对其进行任何处理,因此接入设备上无需任何额外配置.
该功能仅能与H3CiMC的Portal服务器以及H3CiNodePortal客户端配合使用.
目前,仅使用远程Portal服务器的Portal认证支持EAP认证.
RADIUS服务器(EAP服务器)认证客户端Portal服务器接入设备EAPPortal(EAP-Message)RADIUS(EAP-Message)1-61.
1.
7Portal认证流程直接认证和可跨三层Portal认证流程相同.
二次地址分配认证流程因为有两次地址分配过程,所以其认证流程和另外两种认证方式有所不同.
1.
直接认证和可跨三层Portal认证的流程(CHAP/PAP认证方式)图1-4直接认证/可跨三层Portal认证流程图直接认证/可跨三层Portal认证流程:(1)Portal用户通过HTTP协议访问外部网络.
HTTP报文经过接入设备时,对于访问PortalWeb服务器或设定的免认证地址的HTTP报文,接入设备允许其通过;对于访问其它地址的HTTP报文,接入设备将其重定向到PortalWeb服务器.
PortalWeb服务器提供Web页面供用户输入用户名和密码.
(2)PortalWeb服务器将用户输入的信息提交给Portal认证服务器进行认证.
(3)Portal认证服务器与接入设备之间进行CHAP(ChallengeHandshakeAuthenticationProtocol,质询握手认证协议)认证交互.
若采用PAP(PasswordAuthenticationProtocol,密码认证协议)认证则直接进入下一步骤.
采用哪种认证交互方式由Portal认证服务器决定.
(4)Portal认证服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备,同时开启定时器等待认证应答报文.
(5)接入设备与RADIUS服务器之间进行RADIUS协议报文的交互.
(6)接入设备向Portal认证服务器发送认证应答报文,表示认证成功或者认证失败.
(7)Portal认证服务器向客户端发送认证成功或认证失败报文,通知客户端认证成功(上线)或失败.
(8)若认证成功,Portal认证服务器还会向接入设备发送认证应答确认.
若是iNode客户端,则还需要进行以下安全扩展功能的步骤,否则Portal认证过程结束,用户上线.
(9)客户端和安全策略服务器之间进行安全信息交互.
安全策略服务器检测客户端的安全性是否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等.
认证/计费服务器认证客户端Portal认证服务器接入设备(1)发起连接(3)CHAP认证交互(4)认证请求(6)认证应答(5)RADIUS协议的认证交互(7)通知用户上线成功(8)认证应答确认安全策略服务器(10)授权定时器(9)安全检测信息交互PortalWeb服务器(2)用户信息1-7(10)安全策略服务器根据安全检查结果授权用户访问指定的网络资源,授权信息保存到接入设备中,接入设备将使用该信息控制用户的访问.
步骤(9)、(10)为Portal认证安全扩展功能的交互过程.
2.
二次地址分配认证方式的流程(CHAP/PAP认证方式)图1-5二次地址分配认证方式流程图二次地址分配认证流程:(1)~(7)同直接/可跨三层Portal认证中步骤(1)~(7).
(8)客户端收到认证通过报文后,通过DHCP获得新的公网IP地址,并通知Portal认证服务器用户已获得新IP地址.
(9)Portal认证服务器通知接入设备客户端获得新公网IP地址.
(10)接入设备通过DHCP模块得知用户IP地址变化后,通告Portal认证服务器已检测到用户IP变化.
(11)当Portal认证服务器接收到客户端以及接入设备发送的关于用户IP变化的通告后,通知客户端上线成功.
(12)Portal认证服务器向接入设备发送IP变化确认报文.
(13)客户端和安全策略服务器之间进行安全信息交互.
安全策略服务器检测客户端的安全性是否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等.
(14)安全策略服务器根据用户的安全性授权用户访问指定的网络资源,授权信息保存到接入设备中,接入设备将使用该信息控制用户的访问.
步骤(13)、(14)为Portal认证扩展功能的交互过程.
认证/计费服务器认证客户端Portal认证服务器接入设备(1)发起连接(3)CHAP认证交互(4)认证请求(6)认证应答(5)RADIUS协议的认证交互(7)认证成功安全策略服务器(13)安全检测信息交互(14)授权(8)用户已获得新IP(9)通知发现了用户IP变化(11)通知用户上线成功(10)检测到用户IP变化(12)IP变换确认定时器PortalWeb服务器(2)用户信息1-81.
1.
8Portal过滤规则接入设备通过一系列的过滤规则对开启Portal认证的接口或无线服务模板上转发的用户报文进行控制,这些规则也称为Portal过滤规则.
设备会根据配置以及Portal用户的认证状态,生成四种不同类型的Portal过滤规则.
设备收到用户报文后,将依次按照如下顺序对报文进行匹配,一旦匹配上某条规则便结束匹配过程:第一类规则:设备允许所有去往PortalWeb服务器或者符合免认证规则的用户报文通过.
第二类规则:如果AAA认证服务器未下发授权ACL,则设备允许认证成功的Portal用户可以访问任意的目的网络资源;如果AAA认证服务器下发了授权ACL,则设备仅允许认证成功的Portal用户访问该授权ACL允许访问的网络资源.
设备将根据Portal用户的在线状态动态添加和删除本规则.
第三类规则:设备将所有未认证Portal用户的HTTP请求报文重定向到PortalWeb服务器.
第四类规则:对于直接认证方式和可跨三层认证方式,设备将拒绝所有用户报文通过;对于二次地址分配认证方式,设备将拒绝所有源地址为私网地址的用户报文通过.
1.
1.
9Portal支持BYOD功能设备各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:型号特性描述MSR810/810-W/810-W-DB/810-LM/810-W-LM/810-10-PoE/810-LM-HK/810-W-LM-HK/810-LMS/810-LUSPortal支持BYOD功能MSR810-W/810-W-DB/810-W-LM/810-W-LM-HK:支持MSR810/810-LM/810-10-PoE/810-LM-HK/810-LMS/810-LUS:不支持MSR2600-10-X1不支持MSR2630不支持MSR3600-28/3600-51不支持MSR3600-28-SI/3600-51-SI不支持MSR3610-X1/3610-X1-DP/3610-X1-DC/3610-X1-DP-DC不支持MSR3610/3620/3620-DP/3640/3660不支持MSR5620/5660/5680不支持此功能的完整实现需要结合iMC服务器来实现.
在用户进行Portal认证过程中,设备将获取到的DHCPOption55内容封装到Portal协议和RADIUS协议中,并分别上传给Portal认证服务器和RADIUS服务器(对iMC服务器来说,都是上传到UAM组件).
1-9iMC服务器中的UAM组件可以根据获取到的Option55字段的内容来判断终端设备的类型、操作系统、厂商等信息.
进而可以根据识别出来的终端设备类型等信息,向不同终端设备类型的Portal用户推出不同的认证页面和下发不同的授权属性信息等.
1.
1.
10Portal支持基于MAC地址的快速认证在Portal认证环境中,对于需要频繁接入网络的合法用户,可以通过基于MAC地址的快速认证功能,使用户无需手工输入认证信息便可以自动完成Portal认证.
基于MAC地址的快速认证又称为MAC-trigger认证,该方式需要在网络中部署MAC绑定服务器.
MAC绑定服务器用于记录用户的Portal认证信息(用户名、密码)和用户终端的MAC地址,并将二者进行绑定,以便代替用户完成Portal认证.
基于MAC地址的快速认证仅支持IPv4的直接认证方式.
基于MAC地址的快速认证分为本地认证和远程认证两种.
本功能的实现过程如下:(1)用户在首次接入网络时,将获得一定的免认证流量.
在用户收发的流量达到设定的阈值之前,用户无需进行认证.
接入设备将用户的MAC地址及接入端口信息保存为MAC-trigger表项.
(2)当用户收发的流量达到设定的阈值时,接入设备会根据MAC-trigger表项将用户的MAC地址发送至MAC绑定服务器进行查询.
(3)MAC绑定服务器在本地查询是否存在与用户MAC地址绑定的Portal认证信息:如果存在Portal认证信息,则MAC绑定服务器将通知接入设备该用户为"已绑定"状态,并使用用户的认证信息向接入设备发起Portal认证,在用户无感知的情况下完成认证过程.
此时,如果Portal认证失败,则设备向用户返回认证失败信息,接入设备上的MAC-trigger表项将自动老化.
如果不存在Portal认证信息,则MAC绑定服务器将通知接入设备该用户为"未绑定"状态.
接入设备将对"未绑定"状态的用户发起正常的Portal认证.
如果Portal认证失败,则PortalWeb服务器向用户返回Portal认证失败页面,流程终止;如果Portal认证成功,在用户完成Portal认证过程后,接入设备会将用户的MAC地址和认证信息发送至MAC绑定服务器,完成信息绑定.
当同一用户再次访问网络时,MAC绑定服务器便可以利用保存的认证信息代替用户完成认证.
(4)用户通过Portal认证后,接入设备将删除MAC-Trigger表项.
无线客户端数据报文转发位置在AP上,且AC上配置了基于MAC地址的快速认证时,当AP给AC上报流量统计信息的时间间隔(可通过portalclient-traffic-reportinterval命令配置)超时后,AC才会感知到用户收发的流量是否达到设定的阈值.
关于MAC绑定服务器的配置请参见服务器软件的用户手册.
1-101.
2Portal配置任务简介表1-1Portal配置任务简介配置任务说明详细配置配置Portal认证服务器可选1.
4配置PortalWeb服务器必选1.
5开启Portal认证必选1.
6引用PortalWeb服务器必选1.
7控制Portal用户的接入配置免认证规则可选1.
8.
1配置源认证网段1.
8.
2配置目的认证网段1.
8.
3配置Portal最大用户数1.
8.
4指定Portal用户使用的认证域1.
8.
5配置Portal认证前用户使用的认证域1.
8.
6配置Portal认证前用户使用的地址池1.
8.
7配置Portal授权信息检查模式1.
8.
8配置Portal仅允许DHCP用户上线1.
8.
9配置Portal出方向报文过滤1.
8.
10配置Portal支持双协议栈1.
8.
11配置Portal探测功能配置Portal用户的在线探测功能可选1.
9.
1配置Portal认证服务器的可达性探测功能1.
9.
2配置PortalWeb服务器的可达性探测功能1.
9.
3配置Portal用户信息同步功能1.
9.
4配置Portal用户逃生功能可选1.
10配置发送给Portal认证服务器的Portal报文的BAS-IP属性可选1.
11配置RADIUSNAS-Port-ID属性格式可选1.
12配置接入设备的ID可选1.
13配置Portal用户漫游功能可选1.
14强制在线Portal用户下线可选1.
15关闭Portal用户流量计费功能可选1.
161-11配置任务说明详细配置配置Web重定向功能可选如果设备支持以太网通道接口(Eth-channel),则可以同时开启Web重定向功能和Portal功能,否则当设备上同时开启Web重定向功能和Portal功能时,Web重定向功能失效1.
17配置接口的NAS-IDProfile可选1.
18配置本地PortalWeb服务器功能可选1.
19配置无线Portal客户端合法性检查功能可选1.
20配置无线Portal用户自动下线功能可选1.
21配置Portal客户端ARP/ND表项固化功能可选1.
22配置HTTPS重定向功能可选1.
23配置基于MAC地址的快速认证可选1.
24配置NAS-Port-Type必选1.
25配置Portal安全重定向功能可选1.
26开启Portal被动Web认证功能可选1.
27配置AP给AC上报流量统计信息的时间间隔可选1.
28配置Portal协议报文中不携带的属性字段可选1.
29开启Portal日志功能可选1.
30配置Portal第三方认证功能可选1.
31配置Portal认证监控功能可选1.
321.
3配置准备Portal提供了一个用户身份认证和安全认证的实现方案,但是仅仅依靠Portal不足以实现该方案.
接入设备的管理者需选择使用RADIUS认证方法,以配合Portal完成用户的身份认证.
Portal认证的配置前提:Portal认证服务器、PortalWeb服务器、RADIUS服务器已安装并配置成功.
若采用二次地址分配认证方式,接入设备需启动DHCP中继功能,另外需要安装并配置好DHCP服务器.
用户、接入设备和各服务器之间路由可达.
如果通过远端RADIUS服务器进行认证,则需要在RADIUS服务器上配置相应的用户名和密码,然后在接入设备端进行RADIUS客户端的相关设置.
RADIUS客户端的具体配置请参见"安全配置指导"中的"AAA".
1-12如果需要支持Portal的安全扩展功能,需要安装并配置CAMSEAD/iMCEAD安全策略组件.
同时保证在接入设备上的ACL配置和安全策略服务器上配置的隔离ACL的编号、安全ACL的编号对应.
接入设备上与安全策略服务器相关的配置请参见"安全配置指导"中的"AAA".
安全策略服务器的配置请参考"CAMSEAD安全策略组件联机帮助"以及"iMCEAD安全策略组件联机帮助".
1.
4配置Portal认证服务器在Portal认证组网环境中需要使用外部Portal认证服务器时,需要配置此特性.
Portal认证服务器视图用于配置Portal认证服务器的相关参数,包括服务器的IP地址,服务器所在的VPN实例,设备和服务器间通信的共享密钥,服务器探测功能等.
设备支持配置多个Portal认证服务器.
建议不要删除正在被用户使用的Portal认证服务器,否则会导致设备上的在线用户无法正常下线.
设备向Portal认证服务器主动发送报文时使用的目的端口号(由portport-number配置)必须与远程Portal认证服务器实际使用的监听端口号保持一致.
配置的Portal认证服务器类型必须与认证所使用的服务器类型保持一致.
表1-2配置Portal认证服务器操作命令说明进入系统视图system-view-创建Portal认证服务器,并进入Portal认证服务器视图portalserverserver-name缺省情况下,不存在Portal认证服务器指定Portal认证服务器的IPv4地址ipipv4-address[vpn-instancevpn-instance-name][key{cipher|simple}string]至少选其一缺省情况下,未指定Portal认证服务器的IP地址指定Portal认证服务器的IPv6地址ipv6ipv6-address[vpn-instancevpn-instance-name][key{cipher|simple}string](可选)配置接入设备主动向Portal认证服务器发送Portal报文时使用的UDP端口号portport-number缺省情况下,接入设备主动发送Portal报文时使用的UDP端口号为50100(可选)配置Portal认证服务器的类型server-type{cmcc|imc}缺省情况下,Portal认证服务器类型为iMC服务器退回系统视图quit-(可选)配置强制用户下线通知报文的重传时间间隔和最大重传次数logout-notifyretryretriesintervalinterval缺省情况下,未配置强制用户下线通知报文的重传时间间隔和最大重传次数,设备各款型对于本命令的支持情况有所不同,详细差异信息请参见命令手册(可选)配置设备定期向Portal认证服务器发送注册报文server-register[intervalinterval-value]缺省情况下,设备不会定期向Portal认证服务器发送注册报文1-131.
5配置PortalWeb服务器PortalWeb服务器是指Portal认证过程中向用户推送认证页面的Web服务器,也是设备强制重定向用户HTTP请求报文时所使用的Web服务器.
PortalWeb服务器视图用于配置Web服务器的URL地址及设备重定向该URL地址给用户时URL地址所携带的参数.
同时该视图还用于配置PortalWeb服务器探测等功能.
可以配置多个PortalWeb服务器.
配置的PortalWeb服务器类型必须与认证所使用的服务器类型保持一致.
重定向URL匹配规则用于控制重定向用户的HTTP或HTTPS请求,该匹配规则可匹配用户的Web请求地址或者用户的终端信息.
为了让用户能够成功访问重定向后的地址,需要通过portalfree-rule命令配置免认证规则,放行去往该地址的HTTP或HTTPS请求报文.
与url命令不同的是,重定向匹配规则可以灵活的进行地址的重定向,而url命令一般只用于将用户的HTTP或HTTPS请求重定向到PortalWeb服务器进行Portal认证.
在二者同时存在时,if-match命令优先进行地址的重定向.
设备不会探测重定向URL匹配规则中重定向后的地址的可达性,因而在未配置url命令,且if-match命令用于重定向用户的Web请求到PortalWeb服务器时,设备不会触发PortalWeb服务器逃生或者主、备PortalWeb服务器切换.
表1-3配置PortalWeb服务器操作命令说明进入系统视图system-view-创建PortalWeb服务器,并进入PortalWeb服务器视图portalweb-serverserver-name缺省情况下,不存在PortalWeb服务器指定PortalWeb服务器所属的VPNvpn-instancevpn-instance-name缺省情况下,PortalWeb服务器位于公网中指定PortalWeb服务器的URLurlurl-string缺省情况下,未指定PortalWeb服务器的URL配置设备重定向给用户的PortalWeb服务器的URL中携带的参数信息url-parameterparam-name{nas-id|nas-port-id|original-url|source-address|ssid|{ap-mac|source-mac}[formatsection{1|3|6}{lowercase|uppercase}][encryption{aes|des}key{cipher|simple}string]|valueexpression|vlan}缺省情况下,未配置设备重定向给用户的PortalWeb服务器的URL中携带的参数信息,设备各款型对于formatsection的支持情况有所不同,详细差异信息请参见命令手册(可选)配置PortalWeb服务器的类型server-type{cmcc|imc|oauth}缺省情况下,设备默认支持的PortalWeb服务器类型为iMC服务器(可选)配置重定向URL的匹配规则if-match{original-urlurl-stringredirect-urlurl-string[url-param-encryption{aes|des}key{cipher|simple}string]|user-agentstringredirect-urlurl-string}缺省情况下,不存在重定向URL的匹配规则(可选)在Portal的Web认证页面上开启Portal本地用户密码修改功能user-passwordmodifyenable缺省情况下,Portal本地用户密码修改功能处于关闭状态1-141.
6开启Portal认证禁止在无线服务模板视图和接口视图下同时开启Portal认证功能.
只有在接口或无线服务模板上开启了Portal认证,对接入用户的Portal认证功能才能生效.
开启了Portal认证功能后,设备收到Portal报文时,首先根据报文的源IP地址和VPN信息查找本地配置的Portal认证服务器,若查找到相应的Portal认证服务器配置,则认为报文合法,并向该Portal认证服务器回应认证响应报文;否则,认为报文非法,将其丢弃.
用户上线后,将与认证过程中使用的Portal认证服务器进行后续的交互.
在接口上开启Portal认证时,需要注意:在开启二次地址分配方式的Portal认证之前,需要保证开启Portal的接口已配置或者获取了合法的IP地址.
为保证以太网接口上的Portal功能生效,请不要将开启Portal功能的以太网接口加入聚合组.
当接入设备和Portal用户之间跨越三层设备时,只能配置可跨三层Portal认证方式(layer3),但可跨三层Portal认证方式不要求接入设备和Portal用户之间必需跨越三层设备.
在二次地址分配认证方式下,接口上配置的授权ARP后,系统会禁止该接口动态学习ARP表项,只有通过DHCP合法分配到公网IP地址的用户的ARP报文才能够被学习.
因此,为保证只有合法用户才能接入网络,建议使用二次地址分配认证方式的Portal认证时,接口上同时配置了授权ARP功能.
接口上开启了二次地址分配认证方式的Portal认证时,如果Portal认证服务器上指定的设备IP不是Portal报文出接口IP地址,则必须通过命令portal{bas-ip|bas-ipv6}指定相应的BAS-IP或BAS-IPv6属性,使其值与Portal认证服务器上指定的设备IP一致,否则Portal用户无法认证成功.
IPv6Portal服务器不支持二次地址分配方式的Portal认证.
允许在接口上同时开启IPv4Portal认证和IPv6Portal认证.
在无线服务模板上开启Portal认证时,需要注意:无线服务模板上的Portal认证只支持直接认证方式.
采用本地转发模式时需要开启无线Portal客户端合法性检查功能.
表1-4开启Portal认证(接口视图)操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number只能是三层接口开启IPv4Portal认证,并指定认证方式portalenablemethod{direct|layer3|redhcp}至少选其一缺省情况下,接口上的Portal认证功能处于关闭状态开启IPv6Portal认证,并指定认证方式portalipv6enablemethod{direct|layer3}1-15表1-5开启Portal认证(无线服务模板视图)操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templateservice-template-name-开启IPv4Portal认证,并指定认证方式portalenablemethoddirect至少选其一缺省情况下,无线服务模板上的Portal认证功能处于关闭状态开启IPv6Portal认证,并指定认证方式portalipv6enablemethoddirect1.
7引用PortalWeb服务器在接口或者无线服务模板上引用指定的PortalWeb服务器后,设备会将该接口或者无线服务模板绑定的BSS接口上Portal用户的HTTP或HTTPS请求报文重定向到该Web服务器.
一个接口上可以同时开启IPv4和IPv6Portal认证,每种类型的Portal认证开启后,均可以同时引用一个主PortalWeb服务器和一个备份PortalWeb服务器.
设备优先使用主PortalWeb服务器进行Portal认证.
当主PortalWeb服务器不可达时,如果备份PortalWeb服务器可达,设备将切换到备份PortalWeb服务器进行Portal认证.
当主PortalWeb服务器恢复可达时,设备将强制切换回主PortalWeb服务器进行Portal认证.
要实现主、备PortalWeb服务器的自动切换,需要分别对引用的主、备PortalWeb服务器配置PortalWeb服务器可达性探测功能.
一个接口或无线服务模板上可以同时引用IPv4PortalWeb服务器和IPv6PortalWeb认证服务器.
表1-6引用PortalWeb服务器(接口视图)操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number只能是三层接口引用IPv4PortalWeb服务器portalapplyweb-serverserver-name[secondary]至少选其一缺省情况下,接口上未引用PortalWeb服务器引用IPv6PortalWeb服务器portalipv6applyweb-serverserver-name[secondary]表1-7引用PortalWeb服务器(无线服务模板视图)操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templateservice-template-name-引用IPv4PortalWeb服务器portalapplyweb-serverserver-name[secondary]至少选其一缺省情况下,无线服务模板上未引用1-16操作命令说明引用IPv6PortalWeb服务器portalipv6applyweb-serverserver-name[secondary]PortalWeb服务器1.
8控制Portal用户的接入1.
8.
1配置免认证规则通过配置免认证规则可以让特定的用户不需要通过Portal认证即可访问外网特定资源,这是由免认证规则中配置的源信息以及目的信息决定的.
免认证规则的匹配项包括主机名、IP地址、TCP/UDP端口号、MAC地址、所连接设备的接口和VLAN,只有符合免认证规则的用户报文才不会触发Portal认证,因此这些报文所属的用户才可以直接访问网络资源.
配置免认证规则时,需要注意:如果免认证规则中同时配置了接口和VLAN,则要求接口属于指定的VLAN,否则该规则无效.
相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复.
无论接口上是否开启Portal认证,只能添加或者删除免认证规则,不能修改.
表1-8配置基于IP地址的免认证规则操作命令说明进入系统视图system-view-配置基于IPv4地址的Portal免认证规则portalfree-rulerule-number{destinationip{ip-address{mask-length|mask}|any}[tcptcp-port-number|udpudp-port-number]|sourceip{ip-address{mask-length|mask}|any}[tcptcp-port-number|udpudp-port-number]}*[interfaceinterface-typeinterface-number]缺省情况下,不存在基于IPv4地址的Portal免认证规则配置基于IPv6地址的Portal免认证规则portalfree-rulerule-number{destinationipv6{ipv6-addressprefix-length|any}[tcptcp-port-number|udpudp-port-number]|sourceipv6{ipv6-addressprefix-length|any}[tcptcp-port-number|udpudp-port-number]}*[interfaceinterface-typeinterface-number]缺省情况下,不存在基于IPv6地址的Portal免认证规则表1-9配置基于源的免认证规则操作命令说明进入系统视图system-view-1-17操作命令说明配置基于源的Portal免认证规则portalfree-rulerule-numbersource{apap-name|{interfaceinterface-typeinterface-number|macmac-address|object-groupobject-group-name|vlanvlan-id}*}缺省情况下,不存在基于源的Portal免认证规则表1-10配置基于目的的免认证规则操作命令说明进入系统视图system-view-配置基于目的Portal免认证规则portalfree-rulerule-numberdestinationhost-name缺省情况下,不存在基于目的的Portal免认证规则表1-11配置免认证规则的描述信息操作命令说明进入系统视图system-view-配置Portal免认证规则的描述信息portalfree-rulerule-numberdescriptiontext缺省情况下,Portal免认证规则不存在描述信息1.
8.
2配置源认证网段通过配置源认证网段实现只允许在源认证网段范围内的用户HTTP报文才能触发Portal认证.
如果未认证用户的HTTP报文既不满足免认证规则又不在源认证网段内,则将被接入设备丢弃.
配置源认证网段时,需要注意:源认证网段配置仅对可跨三层Portal认证有效.
直接认证方式和二次地址分配认证方式下,用户与接入设备上开启Portal的接口在同一个网段,因此配置源认证网络没有实际意义,若配置了非用户接入的网段为源认证网段,则用户认证会失败.
对于直接认证方式,接入设备认为接口上的源认证网段为任意源IP;对于二次地址分配认证方式,接入设备认为接口上的源认证网段为接口私网IP决定的私网网段.
如果接口上同时配置了源认证网段和目的认证网段,则源认证网段的配置不会生效.
设备上可以配置多条源认证网段.
若配置了网段地址范围有所覆盖或重叠的源认证网段,则仅其中地址范围最大(子网掩码或地址前缀最小)的一条源认证网段配置生效.
表1-12配置IPv4Portal源认证网段操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置IPv4Portal源认证网段portallayer3sourceipv4-network-address{mask-length|mask}缺省情况下,未配置IPv4Portal源认证网段,表示对任意IPv4用户都进行Portal认证1-18表1-13配置IPv6Portal源认证网段操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置IPv6Portal源认证网段portalipv6layer3sourceipv6-network-addressprefix-length缺省情况下,未配置IPv6Portal源认证网段,表示对任意IPv6用户都进行Portal认证1.
8.
3配置目的认证网段通过配置目的认证网段实现仅对要访问指定目的网段(除免认证规则中指定的目的IP地址或网段)的用户进行Portal认证,用户访问非目的认证网段时无需认证,可直接访问.
配置目的认证网段时,需要注意:如果接口下同时配置了源认证网段和目的认证网段,则源认证网段的配置无效.
设备上可以配置多条目的认证网段.
若配置了网段地址范围有所覆盖或重叠的目的认证网段,则仅其中地址范围最大(子网掩码或地址前缀最小)的一条目的认证网段配置生效.
表1-14配置IPv4Portal目的认证网段操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置IPv4Portal目的认证网段portalfree-allexceptdestinationipv4-network-address{mask-length|mask}缺省情况下,未配置IPv4Portal目的认证网段,表示对访问任意目的网段的用户都进行Portal认证表1-15配置IPv6Portal目的认证网段操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置IPv6Portal目的认证网段portalipv6free-allexceptdestinationipv6-network-addressprefix-length缺省情况下,未配置IPv6Portal目的认证网段,表示对访问任意目的网段的用户都进行Portal认证1.
8.
4配置Portal最大用户数通过配置可以控制系统中的全局Portal接入用户总数和每个接口或无线服务模板上的最大Portal用户数(包括IPv4Portal用户和IPv6Portal用户).
1-19配置portal最大用户数时,需要注意的是:如果配置的全局Portal最大用户数小于当前已经在线的Portal用户数,则配置可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户接入.
如果接口或无线服务模板上配置的Portal最大用户数小于当前接口上已经在线的Portal用户数,则配置可以执行成功,且在线Portal用户不受影响,但系统将不允许新的Portal用户从该接口接入.
建议将全局最大Portal用户数配置为所有开启Portal的接口或无线服务模板上的最大IPv4Portal用户数和最大IPv6Portal用户数之和,但不超过整机最大Portal用户数,否则会有部分Portal用户因为整机最大用户数已达到而无法上线.
表1-16配置全局Portal最大用户数操作命令说明进入系统视图system-view-配置全局Portal最大用户数portalmax-usermax-number缺省情况下,不限制Portal最大用户数表1-17配置Portal最大用户数(接口视图)操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置Portal最大用户数portal{ipv4-max-user|ipv6-max-user}max-number缺省情况下,接口上的Portal最大用户数不受限制表1-18配置Portal最大用户数(无线服务模板视图)操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templateservice-template-name-配置Portal最大用户数portal{ipv4-max-user|ipv6-max-user}max-number缺省情况下,无线服务模板上的Portal最大用户数不受限制1.
8.
5指定Portal用户使用的认证域每个Portal用户都属于一个认证域,且在其所属的认证域内进行认证/授权/计费,认证域中定义了一套认证/授权/计费的策略.
通过在指定接口或无线服务模板上配置Portal用户使用的认证域,使得所有从该接口或无线服务模板接入的Portal用户被强制使用指定的认证域来进行认证、授权和计费.
即使Portal用户输入的用户名中携带的域名相同,接入设备的管理员也可以通过该配置使得不同接口或无线服务模板上接入的Portal用户使用不同的认证域,从而增加管理员部署Portal接入策略的灵活性.
1-20从指定接口或无线服务模板上接入的Portal用户将按照如下先后顺序选择认证域:接口或无线服务模板上指定的Portal用户使用的ISP域-->用户名中携带的ISP域-->系统缺省的ISP域.
关于缺省ISP域的相关介绍请参见"安全配置指导"中的"AAA".
接口或无线服务模板上可以同时指定IPv4Portal用户和IPv6Portal用户的认证域.
表1-19指定Portal用户使用的认证域(接口视图)操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-指定Portal用户使用的认证域portal[ipv6]domaindomain-name缺省情况下,未指定Portal用户使用的认证域表1-20指定Portal用户使用的认证域(无线服务模板视图)操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templateservice-template-name-指定IPv4Portal用户使用的认证域portal[ipv6]domaindomain-name缺省情况下,未指定Portal用户使用的认证域1.
8.
6配置Portal认证前用户使用的认证域开启了Portal的接口上配置了认证前用户使用的认证域(简称为认证前域)时,当该接口上接入的未经过Portal认证的用户在通过DHCP获取到IP地址之后,将被Portal授予认证前域内配置的相关授权属性(目前包括ACL、UserProfile和CAR),并根据授权信息获得相应的网络访问权限.
若该接口上的DHCP用户后续触发了Portal认证,则认证成功之后会被AAA下发新的授权属性.
之后,若该用户下线,则又被重新授予认证前域中的授权属性.
配置Portal认证前用户使用的认证域时,需要注意的是:该配置只对采用DHCP或DHCPv6分配IP地址的用户生效.
该配置在可跨三层认证方式的接口上不生效.
配置Portal认证前域时,请确保被引用的ISP域已创建.
如果Portal认证前域引用的ISP域不存在或者引用过程中该ISP域被删除后,又重新创建该域,请删除Portal认证前域(执行undoportal[ipv6]pre-authdomain命令)后重新配置.
表1-21配置Portal认证前用户使用的认证域操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-1-21操作命令说明配置Portal认证前用户使用的认证域portal[ipv6]pre-authdomaindomain-name缺省情况下,接口上未配置Portal认证前用户使用的认证域1.
8.
7配置Portal认证前用户使用的地址池在Portal用户通过设备的子接口接入网络的组网环境中,当子接口上未配置IP地址,且用户需要通过DHCP获取地址时,就必须在用户进行Portal认证之前为其分配一个IP地址使其可以进行Portal认证.
Portal用户接入到开启了Portal的接口上后,该接口就会按照下面的规则为其分配IP地址:如果接口上配置了IP地址,但没有配置认证前使用的地址池,则用户可以使用客户端上静态配置的IP地址或者通过DHCP获取分配的IP地址.
如果接口上配置了认证前使用的地址池,当用户通过DHCP获取IP地址时,接口从指定的认证前的地址池中为其分配IP地址;否则,用户使用客户端上静态配置的IP地址.
但是如果接口上没有配置IP地址,则客户端使用静态IP地址将无法认证成功.
若接口上没有配置IP地址,且没有配置认证前使用的地址池,则用户无法进行认证.
Portal用户使用静态配置或动态获取的IP地址进行Portal认证,并通过认证后,认证服务器会为其下发授权IP地址池,且由DHCP重新为其分配IP地址.
如果认证服务器未下发授权IP地址池,则用户继续使用认证之前获得的IP地址.
配置Portal认证前用户使用的地址池时,需要注意的是:仅当接口使用直接认证方式情况下,本配置才能生效.
当使用接口上指定的IP地址池为认证前的Portal用户分配IP地址时,该指定的IP地址池必须存在且配置完整,否则无法为Portal用户分配IP地址,并导致用户无法进行Portal认证.
若Portal用户不进行认证,或认证失败,已分配的地址不会被收回.
表1-22配置Portal认证前用户使用的地址池操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置Portal认证前用户使用的地址池portal[ipv6]pre-authip-poolpool-name缺省情况下,接口上未配置Portal认证前用户使用的地址池1.
8.
8配置Portal授权信息严格检查模式接口或者无线服务模板上开启Portal授权信息的严格检查模式后,当认证服务器下发的授权ACL、UserProfile在设备上不存在或者设备下发ACL、UserProfile失败时,设备将强制Portal用户下线.
严格检查模式用于配合服务器上的用户授权控制策略,它仅允许接口上成功下发了授权信息的用户在线.
1-22若同时开启了对授权ACL和对授权UserProfile的严格检查模式,则只要其中任意一个授权属性未通过严格授权检查,则用户就会下线.
表1-23配置Portal授权信息严格检查模式(接口视图)操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-开启Portal授权信息的严格检查模式portalauthorization{acl|user-profile}strict-checking缺省情况下,接口处于Portal授权信息的非严格检查模式.
该模式下,当认证服务器下发的授权ACL、UserProfile在设备上不存在或者设备下发ACL、UserProfile失败时,允许Portal用户在线表1-24配置Portal授权信息严格检查模式(无线服务模板视图)操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templateservice-template-name-开启Portal授权信息的严格检查模式portalauthorization{acl|user-profile}strict-checking缺省情况下,无线服务模板处于Portal授权信息的非严格检查模式.
该模式下,当认证服务器下发的授权ACL、UserProfile在设备上不存在或者设备下发ACL、UserProfile失败时,允许Portal用户在线1.
8.
9配置Portal仅允许DHCP用户上线在IPv6网络中,开启本功能后,无线客户端仍会使用临时IPv6地址进行Portal认证,从而导致认证失败,所以必须关闭临时IPv6地址.
为了保证只有合法IP地址的用户能够接入,可以在接口或无线服务模板上配置仅允许DHCP用户上线功能,配置此功能后,IP地址为静态配置的Portal认证用户将不能上线.
此配置不会影响已经在线的用户.
表1-25配置Portal仅允许DHCP用户上线功能(接口视图)操作命令说明进入系统视图system-view-1-23操作命令说明进入接口视图interfaceinterface-typeinterface-number-配置Portal仅允许DHCP用户上线portal[ipv6]user-dhcp-only缺省情况下,仅允许通过DHCP方式获取IP地址的客户端上线的功能处于关闭状态,通过DHCP方式获取IP地址的客户端和配置静态IP地址的客户端都可以上线表1-26配置Portal仅允许DHCP用户上线功能(无线服务模板视图)操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templateservice-template-name-配置Portal仅允许DHCP用户上线功能portaluser-dhcp-only缺省情况下,仅允许通过DHCP方式获取IP地址的客户端上线的功能处于关闭状态,通过DHCP方式获取IP地址的客户端和配置静态IP地址的客户端都可以上线1.
8.
10配置Portal出方向报文过滤缺省情况下,开启了Portal认证的接口,发送的报文不受Portal过滤规则的限制,即允许发送所有报文.
当需要对此类接口发送的报文进行严格控制时,可以在接口上开启Portal出方向报文过滤功能.
开启该功能后,在开启了Portal认证的接口上,仅当出方向的报文目的IP地址是已通过Portal认证的用户IP地址或满足已配置的免认证规则,才发送该报文,否则丢弃报文.
表1-27配置Protal出方向报文过滤操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-开启Portal出方向报文过滤功能portal[ipv6]outbound-filterenable缺省情况下,Portal出方向的报文过滤功能处于关闭状态1.
8.
11配置Portal支持双协议栈设备各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:型号命令描述MSR810/810-W/810-W-DB/810-LM/810-W-LM/810-10-PoE/810-LM-HK/810-W-LM-HK/810-LMS/810-LUS配置Portal支持双协议不支持1-24型号命令描述MSR2600-10-X1栈支持MSR2630支持MSR3600-28/3600-51支持MSR3600-28-SI/3600-51-SI支持MSR3610-X1/3610-X1-DP/3610-X1-DC/3610-X1-DP-DC支持MSR3610/3620/3620-DP/3640/3660支持MSR5620/5660/5680支持正常情况下,IPv4用户通过Portal认证后只能访问IPv4网络,IPv6用户通过Portal认证后只能访问IPv6网络,而配置Portal支持双协议栈功能后,用户可以通过一次Portal认证实现既能访问IPv4网络也能访问IPv6网络.
表1-28配置Portal支持双协议栈功能(接口视图)操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-开启Portal支持双协议栈功能portaldual-stackenable缺省情况下,Portal支持双协议栈功能处于关闭状态开启Portal双协议栈流量计费分离功能portaldual-stacktraffic-separateenable缺省情况下,Portal双协议栈流量计费分离功能处于关闭状态,即Portal用户的IPv4和IPv6流量合并计费表1-29配置Portal支持双协议栈功能(无线服务模板视图)操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templateservice-template-name-开启Portal支持双协议栈功能portaldual-stackenable缺省情况下,Portal支持双协议栈功能处于关闭状态开启Portal双协议栈流量计费分离功能portaldual-stacktraffic-separateenable缺省情况下,Portal双协议栈流量计费分离功能处于关闭状态,即Portal用户的IPv4和IPv6流量合并计费1-251.
9配置Portal探测功能1.
9.
1配置Portal用户在线探测功能IPv4探测类型为ARP或ICMP,IPv6探测类型为ND或ICMPv6.
根据探测类型的不同,设备有以下两种探测机制:当探测类型为ICMP/ICMPv6时,若设备发现一定时间(idletime)内接口上未收到某Portal用户的报文,则会向该用户定期(intervalinterval)发送探测报文.
如果在指定探测次数(retryretries)之内,设备收到了该用户的响应报文,则认为用户在线,且停止发送探测报文,重复这个过程,否则,强制其下线.
当探测类型为ARP/ND时,若设备发现一定时间(idletime)内接口上未收到某Portal用户的报文,则会向该用户发送ARP/ND请求报文.
设备定期(intervalinterval)检测用户ARP/ND表项是否被刷新过,如果在指定探测次数(retryretries)内用户ARP/ND表项被刷新过,则认为用户在线,且停止检测用户ARP/ND表项,重复这个过程,否则,强制其下线.
ARP和ND方式的探测只适用于直接方式和二次地址分配方式的Portal认证.
ICMP方式的探测适用于所有认证方式.
表1-30配置IPv4Portal用户在线探测功能操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-开启IPv4Portal用户在线探测功能portaluser-detecttype{arp|icmp}[retryretries][intervalinterval][idletime]缺省情况下,接口上的IPv4Portal用户在线探测功能处于关闭状态表1-31配置IPv6Portal用户在线探测功能操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-开启IPv6Portal用户在线探测功能portalipv6user-detecttype{icmpv6|nd}[retryretries][intervalinterval][idletime]缺省情况下,接口上的IPv6Portal用户在线探测功能处于关闭状态1.
9.
2配置Portal认证服务器的可达性探测功能在Portal认证的过程中,如果接入设备与Portal认证服务器的通信中断,则会导致新用户无法上线,已经在线的Portal用户无法正常下线的问题.
为解决这些问题,需要接入设备能够及时探测到Portal认证服务器可达状态的变化,并能触发执行相应的操作来应对这种变化带来的影响.
开启Portal认证服务器的可达性探测功能后,设备会定期检测Portal认证服务器发送的报文(例如,用户上线报文、用户下线报文、心跳报文)来判断服务器的可达状态:若设备在指定的探测超时时1-26间(timeouttimeout)内收到Portal报文,且验证其正确,则认为此次探测成功且服务器可达,否则认为此次探测失败,服务器不可达.
当接入设备检测到Portal认证服务器可达或不可达状态改变时,可执行以下一种或多种操作:发送日志:Portal认证服务器可达或者不可达的状态改变时,发送日志信息.
日志信息中记录了Portal认证服务器名以及该服务器状态改变前后的状态.
Portal用户逃生:Portal认证服务器不可达时,暂时取消接口上进行的Portal认证,允许该接口接入的所有Portal用户访问网络资源.
之后,若设备收到Portal认证服务器发送的报文,则恢复该端口的Portal认证功能.
该功能的详细配置请参见"1.
10配置Portal用户逃生功能".
配置Portal认证服务器的可达性探测功能时,需要注意:只有当设备上存在开启Portal认证的接口时,Portal认证服务器的可达性探测功能才生效.
目前,只有iMC的Portal认证服务器支持发送心跳报文,由于心跳报文是周期性发送的,所以iMC的Portal认证服务器可以更好得与设备配合,使其能够及时而准确地探测到它的可达性状态.
如果要采用心跳报文探测Portal服务器的可达性,服务器上必须保证逃生心跳功能处于开启状态.
如果同时指定了多种操作,则Portal认证服务器可达状态改变时系统可并发执行多种操作.
设备配置的探测超时时间(timeouttimeout)必须大于服务器上配置的逃生心跳间隔时间.
表1-32配置Portal认证服务器的可达性探测功能操作命令说明进入系统视图system-view-进入Portal认证服务器视图portalserverserver-name-开启Portal认证服务器的可达性探测功能server-detect[timeouttimeout]log缺省情况下,Portal服务器可达性探测功能处于关闭状态1.
9.
3配置PortalWeb服务器的可达性探测功能在Portal认证的过程中,如果接入设备与PortalWeb服务器的通信中断,将无法完成整个认证过程,因此必须对PortalWeb服务器的可达性进行探测.
由于PortalWeb服务器用于对用户提供Web服务,不需要和设备交互报文,因此无法通过发送某种协议报文的方式来进行可达性检测.
无论是否有接口上开启了Portal认证,开启了PortalWeb服务器的可达性探测功能之后,接入设备采用模拟用户进行Web访问的过程来实施探测:接入设备主动向PortalWeb服务器发起TCP连接,如果连接可以建立,则认为此次探测成功且服务器可达,否则认为此次探测失败.
配置PortalWeb服务器的可达性探测功能时需要注意的是,只有当配置了PortalWeb服务器的URL地址,且设备上存在开启Portal认证接口时,该PortalWeb服务器的可达性探测功能才生效.
探测参数探测间隔:进行探测尝试的时间间隔.
失败探测的最大次数:允许连续探测失败的最大次数.
若连续探测失败数目达到此值,则认为服务器不可达.
可达状态改变时触发执行的操作(可以选择其中一种或同时使用多种)1-27发送日志:PortalWeb服务器可达或者不可达的状态改变时,发送日志信息.
日志信息中记录了PortalWeb服务器名以及该服务器状态改变前后的状态.
Portal用户逃生:PortalWeb服务器不可达时,暂时取消端口进行的Portal认证,允许该端口接入的所有Portal用户访问网络资源.
之后,若PortalWeb服务器可达,则恢复该端口的Portal认证功能.
该功能的详细配置请参见"1.
10配置Portal用户逃生功能".
表1-33配置PortalWeb服务器的可达性探测功能操作命令说明进入系统视图system-view-进入PortalWeb服务器视图portalweb-serverserver-name-开启PortalWeb服务器的可达性探测功能server-detect[intervalinterval][retryretries]log缺省情况下,PortalWeb认证服务器的可达性探测功能处于关闭状态1.
9.
4配置Portal用户信息同步功能为了解决接入设备与Portal认证服务器通信中断后,两者的Portal用户信息不一致问题,设备提供了一种Portal用户信息同步功能.
该功能利用了Portal同步报文的发送及检测机制,具体实现如下:(1)由Portal认证服务器周期性地(周期为Portal认证服务器上指定的用户心跳间隔值)将在线用户信息通过用户同步报文发送给接入设备;(2)接入设备在用户上线之后,即开启用户同步检测定时器(超时时间为timeouttimeout),在收到用户同步报文后,将其中携带的用户列表信息与自己的用户列表信息进行对比,如果发现同步报文中有设备上不存在的用户信息,则将这些自己没有的用户信息反馈给Portal认证服务器,Portal认证服务器将删除这些用户信息;如果发现接入设备上的某用户信息在一个用户同步报文的检测超时时间内,都未在该Portal认证服务器发送过来的用户同步报文中出现过,则认为Portal认证服务器上已不存在该用户,设备将强制该用户下线.
使用Portal用户信息同步功能时,需要注意:只有在支持Portal用户心跳功能(目前仅iMC的Portal认证服务器支持)的Portal认证服务器的配合下,本功能才有效.
为了实现该功能,还需要在Portal认证服务器上选择支持用户心跳功能,且服务器上配置的用户心跳间隔要小于等于设备上配置的检测超时时间.
在设备上删除Portal认证服务器时将会同时删除该服务器的用户信息同步功能配置.
表1-34配置Portal用户信息同步功能操作命令说明进入系统视图system-view-进入Portal认证服务器视图portalserverserver-name-开启Portal用户信息同步功能user-synctimeouttimeout缺省情况下,Portal用户信息同步功能处于关闭状态1-281.
10配置Portal用户逃生功能Portal用户逃生功能可在Portal认证服务器不可达或PortalWeb服务器不可达时生效.
当接入设备探测到Portal认证服务器或者PortalWeb服务器不可达时,将打开接口上的网络限制,允许Portal用户不经过认证即可访问网络资源,也就是通常所说的Portal逃生功能.
如果接口上同时开启了两种类型的Portal用户逃生功能,则当所有的PortalWeb服务器都不可达或者指定的Portal认证服务器不可达时,暂停接口上的Portal认证功能;当指定的Portal认证服务器与至少一个PortalWeb服务器均恢复可达后,接口上的Portal认证功能将重新启动.
在Portal认证功能重新启动之后,服务器不可达之前以及逃生期间未认证的用户需要通过认证之后才能访问网络资源,已通过认证的Portal用户不受影响.
同一个接口或无线服务模板上,只有当主PortalWeb服务器和备份PortalWeb服务器都不可达的时候,设备才会认为PortalWeb服务器不可达.
表1-35配置Portal用户逃生功能(接口视图)操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-开启Portal认证服务器不可达时的Portal用户逃生功能portal[ipv6]fail-permitserverserver-name缺省情况下,设备探测到Portal认证服务器不可达时,不允许Portal用户逃生开启PortalWeb服务器不可达时的Portal用户逃生功能portal[ipv6]fail-permitweb-server缺省情况下,设备探测到PortalWeb服务器不可达时,不允许Portal用户逃生表1-36配置Portal用户逃生功能(无线服务模板视图)操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templateservice-template-name-开启PortalWeb服务器不可达时的Portal用户逃生功能portal[ipv6]fail-permitweb-server缺省情况下,PortalWeb服务器不可达时的Portal用户逃生功能处于关闭状态1.
11配置发送给Portal认证服务器的Portal报文的BAS-IP属性设备上运行Portal2.
0版本时,主动发送给Portal认证服务器的报文(例如强制用户下线报文)中必须携带BAS-IP属性.
设备上运行Portal3.
0版本时,主动发送给Portal认证服务器的报文必须携带BAS-IP或者BAS-IPv6属性.
如果接口或无线服务模板上开启了IPv4Portal认证,则可以设置BAS-IP属性值;如果接口上开启了IPv6Portal认证,则可以设置BAS-IPv6属性值.
1-29配置此功能后,设备主动发送的通知类Portal报文,其源IP地址为配置的BAS-IP或BAS-IPv6属性值,否则为Portal报文出接口的IP地址.
由于在设备进行二次地址分配认证和强制Portal用户下线过程中,均需要设备主动向Portal认证服务器发送相应的通知类Portal报文,因此,为了保证二次地址分配认证方式下Portal用户可以成功上线,以及设备可以成功通知Portal认证服务器用户下线,需要保证该属性值与Portal认证服务器上指定的设备IP一致.
表1-37配置发送给Portal认证服务器的Portal报文的BAS-IP/BAS-IPv6属性(接口视图)操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置发送给Portal认证服务器的IPv4Portal报文的BAS-IP属性portalbas-ipipv4-address缺省情况下,发送给Portal认证服务器的响应类的IPv4Portal报文中携带的BAS-IP属性为报文的源IPv4地址,通知类IPv4Portal报文中携带的BAS-IP属性为报文出接口的IPv4地址配置发送给Portal认证服务器的IPv6Portal报文的BAS-IPv6属性portalbas-ipv6ipv6-address缺省情况下,发送给Portal认证服务器的响应类的IPv6Portal报文中携带的BAS-IPv6属性为报文的源IPv6地址,通知类IPv6Portal报文中携带的BAS-IPv6属性为报文出接口的IPv6地址表1-38配置发送给Portal认证服务器的Portal报文的BAS-IP/BAS-IPv6属性(无线服务模板视图)操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templateservice-template-name-配置发送给Portal认证服务器的IPv4Portal报文的BAS-IP属性portalbas-ipipv4-address缺省情况下,发送给Portal认证服务器的响应类的IPv4Portal报文中携带的BAS-IP属性为报文的源IPv4地址,通知类IPv4Portal报文中携带的BAS-IP属性为报文出接口的IPv4地址配置发送给Portal认证服务器的IPv6Portal报文的BAS-IPv6属性portalbas-ipv6ipv6-address缺省情况下,发送给Portal认证服务器的响应类的IPv6Portal报文中携带的BAS-IPv6属性为报文的源IPv6地址,通知类IPv6Portal报文中携带的BAS-IPv6属性为报文出接口的IPv6地址1.
12配置RADIUSNAS-Port-ID属性格式不同厂商的RADIUS服务器对RADIUS报文中的NAS-Port-ID属性格式要求不同,可修改设备发送的RADIUS报文中填充的NAS-Port-ID属性的格式.
设备支持四种属性格式,分别为format1和format2、format3和format4,这四种属性格式具体要求请参见"安全命令参考"中的"Portal".
1-30表1-39配置RADIUSNAS-Port-ID属性格式操作命令说明进入系统视图system-view-配置NAS-Port-ID属性的格式portalnas-port-idformat{1|2|3|4}缺省情况下,NAS-Port-ID属性的格式为format21.
13配置接入设备的ID通过配置接入设备的ID,使得接入设备向Portal服务器发送的协议报文中携带一个属性,此属性用于向Portal服务器标识发送协议报文的接入设备.
不同设备的设备ID不能相同.
表1-40配置接入设备的ID操作命令说明进入系统视图system-view-配置接入设备的IDportaldevice-iddevice-id缺省情况下,未配置设备的ID1.
14配置Portal用户漫游功能Portal用户漫游功能允许同属一个VLAN的用户在VLAN内漫游,即只要Portal用户在某VLAN接口通过认证,则可以在该VLAN内的任何二层端口上访问网络资源,且移动接入端口时无须重复认证.
若VLAN接口上未开启该功能,则在线用户在同一个VLAN内其它端口接入时,将无法访问外部网络资源,必须首先在原端口正常下线之后,才能在其它端口重新认证上线.
配置Portal用户漫游功能时,需要注意的是:该功能只对通过VLAN接口上线的用户有效,对于通过普通三层接口上线的用户无效.
设备上有用户在线或认证前域用户的情况下,不能配置此功能.
表1-41配置Portal用户漫游功能操作命令说明进入系统视图system-view-开启Portal用户漫游功能portalroamingenable缺省情况下,Portal用户漫游功能处于关闭状态1.
15强制在线Portal用户下线通过配置强制在线用户下线可以终止对用户的Portal认证过程,或者将已经通过认证的Portal用户删除.
多机备份环境中,在互为备份的任意一台设备上执行强制在线Portal用户下线命令,互为备份的所有设备上的在线Portal用户都将下线.
1-31当在线用户数目超过2000时,执行命令强制在线用户下线需要几分钟的时间,在此期间,请勿进行双机主备切换、关闭接口上Portal功能、断开VSRP连接、单机主备切换等操作;否则会导致在线用户删除操作不能正常完成.
表1-42配置强制Portal用户下线操作命令说明进入系统视图system-view-强制指定的在线IPv4Portal用户或所有在线Portal用户下线portaldelete-user{ipv4-address|all|auth-type{cloud|email|local|normal|qq|wechat}|interfaceinterface-typeinterface-number|macmac-address|usernameusername}-强制指定的在线IPv6Portal用户或所有在线Portal用户下线portaldelete-user{all|auth-type{cloud|email|local|normal|qq|wechat}|interfaceinterface-typeinterface-number|ipv6ipv6-address|macmac-address|usernameusername}-1.
16关闭Portal用户流量计费功能在计费服务器上,可根据不同的应用场景对用户采用不同的计费方式,包括时长计费、流量计费或者不计费.
当计费服务器采用时长计费或不计费时,需要关闭设备上的流量计费功能,此时设备对用户流量不做精确统计.
当计费服务器采用流量计费的方式时,需要设备上开启流量计费功能,从而精确统计用户实际使用的流量.
表1-43关闭Portal用户流量计费功能操作命令说明进入系统视图system-view-关闭Portal用户流量计费功能portaltraffic-accountingdisable缺省情况下,Portal用户流量计费功能处于开启状态1.
17配置Web重定向功能接口或无线服务模板上配置了Web重定向功能后,当该接口或无线服务模板上接入的用户初次通过Web页面访问外网时,设备会将用户的初始访问页面重定向到指定的URL页面,之后用户才可以正常访问外网.
经过一定时长(interval)后,设备又可以将用户要访问的网页或者正在访问的网页重定向到指定的URL页面.
Web重定向功能是一种简化的Portal功能,它不需要用户通过Web访问外部网络之前提供用户名和密码,可通过对用户访问的网页定期重定向的方式为网络服务提供商的业务拓展提供方便,例如可以在重定向的页面上开展广告、信息发布等业务.
配置Web重定向功能时,需要注意的是:Web重定向功能仅对使用默认端口号80的HTTP协议报文生效.
无线服务模板下可以同时开启Web重定向功能和Portal功能,并且同时生效.
如果设备支持以太网通道接口(Eth-channel),则接口下可以同时开启Web重定向功能和Portal功能,否则当接口下同时开启Web重定向功能和Portal功能时,Web重定向功能失效.
1-32表1-44配置Web重定向功能(接口视图)操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置Web重定向功能web-redirect[ipv6]urlurl-string[intervalinterval]缺省情况下,Web重定功能处于关闭状态(可选)配置Web重定向Track功能web-redirecttrackinterfaceinterface-typeinterface-number缺省情况下,Web重定向Track功能处于关闭状态表1-45配置Web重定向功能(无线模板视图)操作命令说明进入系统视图system-view-进入无线模板视图wlanservice-templateservice-template-name-配置Web重定向功能web-redirect[ipv6]urlurl-string[intervalinterval]缺省情况下,Web重定功能处于关闭状态1.
18配置接口的NAS-IDProfile用户的接入VLAN可标识用户的接入位置,而在某些应用环境中,网络运营商需要使用接入设备发送给RADIUS服务器的NAS-Identifier属性值来标识用户的接入位置,因此接入设备上需要建立用户接入VLAN与指定的NAS-ID之间的绑定关系.
当接口上有Portal用户上线时,若该接口上指定了NAS-IDProfile,则接入设备会根据指定的Profile名称和用户接入的VLAN来获取与此VLAN绑定的NAS-ID,此NAS-ID的值将作为向RADIUS服务器发送的RADIUS请求报文中的NAS-Identifier属性值.
需要注意的是,如果接口上指定了NAS-IDProfile,则此Profile中定义的绑定关系优先使用;如果未指定NAS-IDProfile或指定的Profile中没有找到匹配的绑定关系,则使用设备名作为NAS-ID.
表1-46配置接口的NAS-IDProfile操作命令说明进入系统视图system-view-创建NAS-IDProfile,并进入NAS-ID-Profile视图aaanas-idprofileprofile-name该命令的具体情况请参见"安全命令参考"中的"AAA"设置NAS-ID与VLAN的绑定关系nas-idnas-identifierbindvlanvlan-id该命令的具体情况请参见"安全命令参考"中的"AAA"对于QinQ报文,接入设备只能匹配内层VLAN有关QinQ的详细介绍,请参见"二层技术-以太网交换配置指导"中的"QinQ"1-33操作命令说明退回系统视图quit-进入接口视图interfaceinterface-typeinterface-number-指定引用的NAS-IDProfileportalnas-id-profileprofile-name缺省情况下,未指定引用的NAS-IDProfile1.
19配置本地PortalWeb服务器功能如果接口上已开启Portal认证功能,同时引用的PortalWeb服务器中的URL地址为设备自身的IP地址,那么配置本地PortalWeb服务器功能后,用户上线认证过程中,设备会使用本地PortalWeb服务器向用户推出认证页面.
但是,认证页面的内容和样式需要用户自定义.
在无线应用环境中,可以给属于不同SSID(ServiceSetIdentifier,服务集标识符)和设备类型(例如苹果、三星设备等)的用户绑定不同的认证页面,系统向用户推出认证页面的选择顺序为:与用户SSID及设备类型绑定的认证页面-->缺省认证页面.
1.
19.
1自定义认证页面文件用户自定义的认证页面为HTML文件的形式,压缩后保存在设备的存储介质的根目录中.
每套认证页面可包括六个主索引页面(登录页面、登录成功页面、登录失败页面、在线页面、系统忙碌页面、下线成功页面)及其页面元素(认证页面需要应用的各种文件,如Logon.
htm页面中的back.
jpg),每个主索引页面可以引用若干页面元素.
用户在自定义这些页面时需要遵循一定的规范,否则会影响本地PortalWeb服务器功能的正常使用和系统运行的稳定性.
1.
文件名规范主索引页面文件名不能自定义,必须使用表1-47中所列的固定文件名.
表1-47主索引页面文件名主索引页面文件名登录页面logon.
htm登录成功页面logonSuccess.
htm登录失败页面logonFail.
htm在线页面用于提示用户已经在线online.
htm系统忙页面用于提示系统忙或者该用户正在登录过程中busy.
htm下线成功页面logoffSuccess.
htm1-34主索引页面文件之外的其他文件名可由用户自定义,但需注意文件名和文件目录名中不能含有中文且字符不区分大小写.
2.
页面请求规范本地PortalWeb服务器只能接受Get请求和Post请求.
Get请求用于获取认证页面中的静态文件,其内容不能为递归内容.
例如,Logon.
htm文件中包含了Getca.
htm文件的内容,但ca.
htm文件中又包含了对Logon.
htm的引用,这种递归引用是不允许的.
Post请求用于用户提交用户名和密码以及用户执行登录、下线操作.
3.
Post请求中的属性规范(1)认证页面中表单(Form)的编辑必须符合以下原则:认证页面可以含有多个Form,但是必须有且只有一个Form的action=logon.
cgi,否则无法将用户信息送到本地Portal服务器.
用户名属性固定为"PtUser",密码属性固定为"PtPwd".
需要有用于标记用户登录还是下线的属性"PtButton",取值为"Logon"表示登录,取值为"Logoff"表示下线.
登录Post请求必须包含"PtUser","PtPwd"和"PtButton"三个属性.
下线Post请求必须包含"PtButton"这个属性.
(2)需要包含登录Post请求的页面有logon.
htm和logonFail.
htm.
logon.
htm页面脚本内容的部分示例:Username:Password:(3)需要包含下线Post请求的页面有logonSuccess.
htm和online.
htm.
online.
htm页面脚本内容的部分示例:4.
页面文件压缩及保存规范完成所有认证页面的编辑之后,必须按照标准Zip格式将其压缩到一个Zip文件中,该Zip文件的文件名只能包含字母、数字和下划线.
压缩后的Zip文件中必须直接包含认证页面,不允许存在间接目录.
压缩生成的Zip文件可以通过FTP或TFTP的二进制方式上传至设备,并保存在设备的根目录下.
1-35Zip文件保存目录示例:dirDirectoryofflash:1-rw-1405Feb28200815:53:20ssid1.
zip0-rw-1405Feb28200815:53:20ssid1.
zip1-rw-1405Feb28200815:53:31ssid2.
zip2-rw-1405Feb28200815:53:39ssid3.
zip3-rw-1405Feb28200815:53:44ssid4.
zip2540KBtotal(1319KBfree)5.
认证成功后认证页面自动跳转若要支持认证成功后认证页面的自动跳转功能,即认证页面会在用户认证成功后自动跳转到指定的网站页面,则需要在认证页面logon.
htm和logonSuccess.
htm的脚本文件中做如下改动.
(1)将logon.
htm文件中的Form的target值设置为"_blank".
修改的脚本内容如下突出显示部分所示:(2)logonSucceess.
htm文件添加页面加载的初始化函数"pt_init()".
增加的脚本内容如下突出显示部分所示:LogonSuccessed.
.
.
.
.
.
1.
19.
2配置本地PortalWeb服务器1.
配置准备若指定本地PortalWeb服务器支持的协议类型为HTTPS,且HTTPS服务将关联自定义的SSL服务器端策略,则需要首先完成以下配置:配置PKI策略,并成功申请本地证书和CA证书,具体配置请参见"安全配置指导"中的"PKI".
配置SSL服务器端策略,并指定使用已配置的PKI域.
具体配置请参见"安全配置指导"中的"SSL".
2.
配置本地PortalWeb服务器表1-48配置本地PortalWeb服务器操作命令说明进入系统视图system-view-创建本地PortalWeb服务器,并进入本地PortalWeb服务器视图portallocal-web-server{http|https[ssl-server-policypolicy-name]}缺省情况下,不存在本地ProtalWeb服务器1-36操作命令说明配置本地PortalWeb服务器提供的缺省认证页面文件default-logon-pagefilename缺省情况下,本地PortalWeb服务器未提供缺省认证页面文件(可选)配置本地PortalWeb服务器的HTTP/HTTPS服务侦听的TCP端口号tcp-portport-number缺省情况下,HTTP服务侦听的TCP端口号为80,HTTPS服务侦听的TCP端口号为443(可选)配置根据SSID、设备终端名称和设备类型,实现Portal用户认证页面的定制功能logon-pagebind{device-type{computer|pad|phone}|device-namedevice-name|ssidssid-name}*filefile-name缺省情况下,未配置SSID、设备终端名称或终端设备类型与任何定制页面文件的绑定关系1.
20配置无线Portal客户端合法性检查功能设备各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:型号特性描述MSR810/810-W/810-W-DB/810-LM/810-W-LM/810-10-PoE/810-LM-HK/810-W-LM-HK/810-LMS/810-LUS配置无线Portal客户端合法性检查功能MSR810/810-W/810-W-DB/810-LM/810-W-LM/810-10-PoE/810-LM-HK/810-W-LM-HK:支持MSR810-LMS/810-LUS:不支持MSR2600-10-X1支持MSR2630支持MSR3600-28/3600-51支持MSR3600-28-SI/3600-51-SI不支持MSR3610-X1/3610-X1-DP/3610-X1-DC/3610-X1-DP-DC不支持MSR3610/3620/3620-DP/3640/3660支持MSR5620/5660/5680不支持用户在无线服务模板上开启Portal认证时需要开启本功能.
缺省情况下,设备仅根据ARP表项对无线Portal客户端进行合法性检查.
在采用本地转发模式的无线组网环境中,AC上没有Portal客户端的ARP表项,为了保证合法用户可以进行Portal认证,需要开启无线Portal客户端合法性检查功能.
本功能开启后,当设备收到未认证Portal用户的认证报文后,将使用WLANSnooping表、DHCPSnooping表和ARP表对其进行合法性检查.
如果在这三个表中查询到该Portal客户端信息,则认为其合法并允许进行Portal认证.
1-37表1-49配置无线Portal客户端合法性检查功能操作命令说明进入系统视图system-view-开启无线Portal客户端合法性检查功能portalhost-checkenable缺省情况下,无线Portal客户端合法性检查功能处于关闭状态,设备仅根据ARP表项对Portal客户端进行合法性检查1.
21配置无线Portal用户自动下线功能设备各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:型号特性描述MSR810/810-W/810-W-DB/810-LM/810-W-LM/810-10-PoE/810-LM-HK/810-W-LM-HK/810-LMS/810-LUS配置无线Portal用户自动下线功能MSR810/810-W/810-W-DB/810-LM/810-W-LM/810-10-PoE/810-LM-HK/810-W-LM-HK:支持MSR810-LMS/810-LUS:不支持2600-10-X1支持MSR2630支持MSR3600-28/3600-51支持MSR3600-28-SI/3600-51-SI不支持3610-X1/3610-X1-DP/3610-X1-DC/3610-X1-DP-DC不支持MSR3610/3620/3620-DP/3640/3660支持MSR5620/5660/5680不支持通过配置无线Portal用户自动下线功能,可以在无线客户端断开无线连接时,自动将该客户端上的Portal用户下线.
表1-50配置无线Portal用户自动下线功能操作命令说明进入系统视图system-view-开启无线Portal用户自动下线功能portaluser-logoffafter-client-offlineenable缺省情况下,无线客户端断开无线连接后,Portal用户不会自动下线1.
22配置Portal客户端ARP/ND表项固化功能短时间内Portal客户端的频繁上下线可能会造成Portal认证失败,此时需要关闭Portal客户端ARP/ND表项固化功能.
关闭本功能后,Portal用户下线后,相应的表项将会老化.
1-38在某一时刻开启了本功能,则在此之后认证成功的Portal用户的ARP或ND表项会被固化,在此之前认证成功的Portal用户的ARP或ND表项依然会老化.
在某一时刻关闭了本功能,则在此之后认证成功的Portal用户的ARP或ND表项会老化,在此之前认证成功的Portal用户的ARP或ND表项已被固化不受影响.
表1-51配置Portal客户端ARP/ND表项固化功能操作命令说明进入系统视图system-view-开启Portal客户端ARP/ND表项固化功能portalrefresh{arp|nd}enable缺省情况下,Portal客户端ARP表项、ND表项固化功能均处于开启状态关闭Portal客户端ARP/ND表项固化功能undoportalrefresh{arp|nd}enable1.
23配置HTTPS重定向功能用户进行Portal认证时,设备可将其HTTPS请求重定向到PortalWeb服务器上.
在建立SSL连接过程中,用户浏览器可能会出现"使用的证书不安全"的告警.
若要避免此告警,需要通过配置自定义SSL服务器端策略在设备上安装用户浏览器信任的证书.
该自定义SSL服务器端策略的策略名必须为https_redirect.
有关SSL服务器端策略配置的详细介绍,请参见"安全配置指导"中的"SSL";有关安装证书的详细介绍,请参见"安全配置指导"中的"PKI".
表1-52配置HTTPS重定向功能操作命令说明进入系统视图system-view-创建SSL服务器端策略,并进入SSL服务器端策略视图sslserver-policypolicy-name缺省情况下,不存在任何SSL服务器端策略有关本命令的详细介绍,请参见"安全命令参考"中的"SSL"1.
24配置基于MAC地址的快速认证基于MAC地址的快速认证仅支持IPv4的直接认证方式.
基于MAC地址的快速认证配置包括以下两个步骤:配置远程或本地MAC绑定服务器在接口或服务模板上应用MAC绑定服务器1.
24.
1配置远程MAC绑定服务器设备支持配置多个MAC绑定服务器,每个MAC绑定服务器拥有独立的视图,可以用于配置MAC绑定服务器的相关参数,包括服务器的IP地址、服务器的端口号、服务器所在的VPN实例以及设备和服务器间通信的共享密钥等.
1-39表1-53配置远程MAC绑定服务器操作命令说明进入系统视图system-view-创建MAC绑定服务器并进入MAC绑定服务器视图portalmac-trigger-serverserver-name缺省情况下,不存在MAC绑定服务器配置MAC绑定服务器的IP地址ipipv4-address[vpn-instanceipv4-vpn-instance-name][key{cipher|simple}string]缺省情况下,未配置MAC绑定服务器的IP地址(可选)配置用户免认证流量的阈值free-trafficthresholdvalue缺省情况下,用户免认证流量的阈值为0字节(可选)配置设备发送的RADIUS请求报文中的NAS-Port-Type属性值nas-port-typevalue缺省情况下,设备发送的RADIUS请求报文中的NAS-Port-Type属性值为0(可选)配置MAC绑定服务器监听查询报文的UDP端口号portport-number缺省情况下,MAC绑定服务器监听查询报文的UDP端口号是50100(可选)配置设备向MAC绑定服务器发起MAC查询的最大次数和时间间隔binding-retry{retries|intervalinterval}*缺省情况下,设备发起MAC查询的最大次数为3次,发起MAC查询的时间间隔为1秒(可选)配置MAC绑定服务器的服务类型server-type{cmcc|imc}缺省情况下,MAC绑定服务器的服务类型为iMC(可选)配置Portal协议报文的版本号versionversion-number缺省情况下,Portal协议报文的版本号为1(可选)配置设备收到MAC绑定服务器的查询响应消息后,等待Portal认证完成的超时时间authentication-timeoutminutes缺省情况下,设备收到MAC绑定服务器查询回复消息后,等待Portal认证完成的超时时间为3分钟(可选)配置MAC-trigger表项老化时间aging-timeseconds缺省情况下,MAC-trigger表项老化时间为300秒(可选)配置若用户在基于MAC地址的快速认证过程中AAA认证失败,则设备直接发起Portal认证aaa-failnobindingenable缺省情况下,若用户在基于MAC地址的快速认证过程中AAA认证失败,则用户报文将触发基于MAC地址的快速认证流程1.
24.
2配置本地MAC绑定服务器当配置本地MAC-trigger认证时,MAC绑定服务器就是接入设备本身且用户必须进行本地Portal认证.
设备支持配置多个MAC绑定服务器,每个MAC绑定服务器拥有独立的视图,可以用于配置MAC绑定服务器的相关参数.
表1-54配置本地MAC绑定服务器操作命令说明进入系统视图system-view-1-40操作命令说明创建MAC绑定服务器并进入MAC绑定服务器视图portalmac-trigger-serverserver-name缺省情况下,不存在MAC绑定服务器开启Portal本地MAC-trigger认证功能local-bindingenable缺省情况下,Portal本地MAC-trigger认证功能处于关闭状态(可选)配置用户免认证流量的阈值free-trafficthresholdvalue缺省情况下,用户免认证流量的阈值为0字节(可选)配置本地MAC-trigger绑定表项的老化时间local-bindingaging-timehours缺省情况下,本地MAC-trigger绑定表项的老化时间为12小时(可选)配置MAC-Trigger表项老化时间aging-timeseconds缺省情况下,MAC-Trigger表项老化时间为300秒(可选)配置用户开启基于MAC地址的快速认证且AAA认证失败后,设备直接发起正常的Portal认证aaa-failnobindingenable缺省情况下,用户开启基于MAC地址的快速认证且AAA认证失败后,用户报文将触发正常的基于MAC地址的快速认证流程(可选)配置MAC-trigger表项老化时间aging-timeseconds缺省情况下,MAC-trigger表项老化时间为300秒(可选)配置用户开启基于MAC地址的快速认证且AAA认证失败后,设备直接发起正常的Portal认证aaa-failnobindingenable缺省情况下,用户开启基于MAC地址的快速认证且AAA认证失败后,用户报文将触发正常的基于MAC地址的快速认证流程1.
24.
3配置云端MAC-trigger认证设备各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:型号命令描述MSR810/810-W/810-W-DB/810-LM/810-W-LM/810-10-PoE/810-LM-HK/810-W-LM-HK/810-LMS/810-LUS配置云端MAC-trigger认证不支持MSR2600-10-X1支持MSR2630支持MSR3600-28/3600-51支持MSR3600-28-SI/3600-51-SI支持MSR3610-X1/3610-X1-DP/3610-X1-DC/3610-X1-DP-DC支持MSR3610/3620/3620-DP/3640/3660支持MSR5620/5660/5680支持当进行云端MAC-trigger认证时,需要开启Portal云端MAC-trigger认证功能.
1-41表1-55配置云端MAC-trigger认证操作命令说明进入系统视图system-view-创建MAC绑定服务器并进入MAC绑定服务器视图portalmac-trigger-serverserver-name缺省情况下,不存在MAC绑定服务器开启Portal云端MAC-trigger认证功能cloud-bindingenable缺省情况下,Portal云端MAC-trigger认证功能处于关闭状态(可选)指定云端Portal认证服务器URLcloud-serverurlurl-string缺省情况下,未指定云端Portal认证服务器URL1.
24.
4在接口上应用MAC绑定服务器在接口上应用MAC绑定服务器,可以为通过该接口接入网络的用户提供基于MAC地址的快速认证服务.
表1-56在接口上应用MAC绑定服务器操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number只能是三层接口在接口上应用MAC绑定服务器portalapplymac-trigger-serverserver-name缺省情况下,未应用MAC绑定服务器1.
24.
5在无线服务模板上应用MAC绑定服务器在无线服务模板上应用MAC绑定服务器,可以为使用该服务模板接入网络的用户提供基于MAC地址的快速认证服务.
表1-57在无线服务模板上应用MAC绑定服务器操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templateservice-template-name-在无线服务模板上应用MAC绑定服务器portalapplymac-trigger-serverserver-name缺省情况下,未应用MAC绑定服务器1.
25配置NAS-Port-Type设备各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:1-42型号特性描述MSR810/810-W/810-W-DB/810-LM/810-W-LM/810-10-PoE/810-LM-HK/810-W-LM-HK/810-LMS/810-LUS配置NAS-Port-Type(接口视图)MSR810/810-W/810-W-DB/810-LM/810-W-LM/810-10-PoE/810-LM-HK/810-W-LM-HK:支持MSR810-LMS/810-LUS:不支持MSR2600-10-X1支持MSR2630不支持MSR3600-28/3600-51支持MSR3600-28-SI/3600-51-SI不支持MSR3610-X1/3610-X1-DP/3610-X1-DC/3610-X1-DP-DC不支持MSR3610/3620/3620-DP/3640/3660支持MSR5620/5660/5680不支持RADIUS标准属性NAS-Port-Type用于表示用户接入的端口类型.
当接口或无线服务模板上有Portal用户上线时候,若该接口或无线服务模板上配置了NAS-Port-Type,则使用本命令配置的值作为向RADIUS服务器发送的RADIUS请求报文的NAS-Port-Type属性值,否则使用接入设备获取到的用户接入的端口类型填充该属性.
若作为Portal认证接入设备的BAS(BroadbandAccessServer,宽带接入服务器)与Portal客户端之间跨越了多个网络设备,则可能无法正确获取到接入用户的实际端口信息,例如对于Portal认证接入的无线客户端,BAS获取到的接入端口类型有可能是设备上认证该用户的有线接口类型.
因此,为保证BAS能够向RADIUS服务器正确传递用户的接入端口信息,需要网络管理员在了解用户的实际接入环境后,通过本命令指定相应的NAS-Port-Type.
表1-21配置NAS-Port-Type(接口视图)操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置NAS-Port-Typeportalnas-port-type{ethernet|wireless}缺省情况下,接入设备向RADIUS服务器发送的RADIUS请求报文中的NAS-Port-Type属性值为接入设备获取到的用户接入的端口类型值表1-58配置NAS-Port-Type(无线服务模板视图)操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templateservice-template-name-1-43操作命令说明配置NAS-Port-Typeportalnas-port-type{ethernet|wireless}缺省情况下,接入设备向RADIUS服务器发送的RADIUS请求报文中的NAS-Port-Type属性值为接入设备获取到的用户接入的端口类型值1.
26配置Portal安全重定向功能Portal安全重定向功能是根据HTTP报文的请求方法、产生HTTP报文的浏览器类型、访问网络的目的URL等这些特征,有针对性的将一些HTTP请求报文丢弃,不再重定向到PortalWeb服务器,从而有效的减轻了PortalWeb服务器的负担,降低因大量HTTP请求造成的Portal服务器资源耗尽无法响应正常认证请求的风险.
表1-59常见浏览器类型及描述浏览器类型描述Safari苹果浏览器Chrome谷歌浏览器Firefox火狐浏览器UCUC浏览器QQBrowserQQ浏览器LBBROWSER猎豹浏览器TaoBrowser淘宝浏览器Maxthon傲游浏览器BIDUBrowser百度浏览器MSIE10.
0微软IE10.
0浏览器MSIE9.
0微软IE9.
0浏览器MSIE8.
0微软IE8.
0浏览器MSIE7.
0微软IE7.
0浏览器MSIE6.
0微软IE6.
0浏览器MetaSr搜狗浏览器表1-60配置Portal安全重定向功能操作命令说明进入系统视图system-view-开启Portal安全重定向功能portalsafe-redirectenable缺省情况下,Portal安全重定向功能处于关闭状态1-44操作命令说明(可选)配置Portal安全重定向允许的HTTP协议的请求方法portalsafe-redirectmethod{get|post}*缺省情况下,未配置HTTP协议的请求方法Portal安全重定向功能开启后,HTTP协议的请求方法缺省为GET(可选)匹配Portal安全重定向允许的HTTPUserAgent中的浏览器类型portalsafe-redirectuser-agentuser-agent-string缺省情况下,未配置匹配Portal安全重定向允许的HTTPUserAgent中的浏览器类型Portal安全重定向功能开启后,默认与表1-59中的所有浏览器类型匹配的HTTP报文都能被Portal重定向(可选)配置Portal安全重定向禁止的URL地址portalsafe-redirectforbidden-urluser-url-string缺省情况下,Portal可以对任意URL地址的HTTP请求报文进行重定向(可选)配置Portal安全重定向禁止URL携带指定扩展名的文件portalsafe-redirectforbidden-filefilename-extension缺省情况下,Portal安全重定向允许URL携带任意扩展名的文件1.
27开启Portal被动Web认证功能iOS系统或者部分Android系统的用户接入已开启Portal认证的网络后,设备会主动向这类用户终端推送Portal认证页面.
开启Portal被动Web认证功能后,仅在这类用户使用浏览器访问Internet时,设备才会为其推送Portal认证页面.
当用户暂时不需要进行Portal认证,按Home键返回桌面时,Wi-Fi连接会断开,开启Portal被动认证优化功能后,可以使Wi-Fi在一段时间内继续保持连接.
Portal被动认证优化功能开启后,iOS移动终端接入网络时会自动弹出Portal认证页面,并自动发送服务器可达性探测报文探测苹果服务器是否可达,如果可达,则显示Wi-Fi已连接,如果不可达,则断开网络连接.
由于网络或其他原因,iOS移动终端无法在缺省超时时间内发送服务器可达性探测报文,导致Wi-Fi无法连接,被动认证优化功能失效.
通过配置探测定时器超时时间,可以延长Portal被动认证优化功能的生效时间,且设备会模拟苹果服务器返回探测响应报文,使Portal认证页面正常显示并保持Wi-Fi已连接状态.
图1-6开启Portal被动Web认证功能操作命令说明进入系统视图system-view-创建PortalWeb服务器,并进入PortalWeb服务器视图portalweb-serverserver-name缺省情况下,不存在PortalWeb服务器开启Portal被动Web认证功能captive-bypass[android|ios[optimize]]enable缺省情况下,Portal被动Web认证功能处于关闭状态,即iOS系统和部分Android系统的用户接入已开启Portal认证的网络后会自动弹出Portal认证页面退回系统视图quit-1-45操作命令说明(可选)配置Portal被动Web认证探测的定时器超时时间portalcaptive-bypassoptimizedelayseconds缺省情况下,Portal被动Web认证探测的定时器超时时间为6秒1.
28配置AP给AC上报流量统计信息的时间间隔(仅AC)当客户端数据报文转发位置配置在AP上时,AP会定期向AC上报流量统计信息.
表1-61配置AP给AC上报流量统计信息的时间间隔操作命令说明进入系统视图system-view-配置AP给AC上报流量统计信息时间间隔portalclient-traffic-reportintervalinterval缺省情况下,AP给AC上报流量统计信息的时间间隔为60秒1.
29配置Portal协议报文中不携带的属性字段由于不同的Portal认证服务器对Portal协议报文中的属性字段支持情况不同,如果设备发送给Portal认证服务器的Portal协议报文中携带了服务器不支持的属性字段,会导致设备和Portal认证服务器互通存在问题.
通过配置本特性,可以指定设备发送的Portal协议报文中不携带Portal认证服务器不支持的属性字段,从而避免因设备和Portal认证服务器不通导致Portal认证失败.
表1-62配置Portal协议报文中不携带的属性字段操作命令说明进入系统视图system-view-进入Portal认证服务器视图portalserverserver-name-配置Portal协议报文中不携带的属性字段exclude-attributenumber{ack-auth|ntf-logout|ack-logout}缺省情况下,未配置Portal协议报文中不携带的属性字段表1-63配置Portal协议报文中不携带的属性字段(MAC绑定服务器视图)操作命令说明进入系统视图system-view-进入MAC绑定服务器视图portalmac-trigger-serverserver-name-配置Portal协议报文中不携带的属性字段exclude-attributeattribute-number缺省情况下,未配置Portal协议报文中不携带的属性字段1-461.
30开启Portal日志功能为了满足网络管理员安全审计的需要,可以开启Portal日志功能,以便对Portal认证信息进行记录.
设备生成的Portal日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向.
关于信息中心的详细描述请参见"网络管理和监控配置指导"中的"信息中心".
表1-64开启Portal日志功能操作命令说明进入系统视图system-view-开启Portal用户上/下线日志功能portaluserlogenable缺省情况下,Portal用户上/下线日志功能处于关闭状态开启Portal协议报文的日志功能portalpacketlogenable缺省情况下,Portal协议报文的日志功能处于关闭状态开启Portal重定向日志功能portalredirectlogenable缺省情况下,Portal重定向日志功能处于关闭状态1.
31配置Portal第三方认证功能1.
31.
1配置第三方认证服务器通常Portal认证需要用户自己搭建Portal认证服务器和PortalWeb服务器,并需要创建专门用于Portal认证的用户名和密码,增加了用户的管理和维护成本.
随着第三方账号的普及,设备支持配置QQ或者邮箱服务器作为第三方Portal认证服务器,完成Portal认证的功能.
在使用第三方认证时,网络管理员需要在PortalWeb页面上增加QQ或邮箱认证按钮,终端用户点击按钮后可直接跳转到第三方认证页面,使用已有的QQ号或邮箱账号来进行Portal认证.
在使用QQ认证功能前,网络管理员必须先到QQ互联平台http://connect.
qq.
com/intro/login进行网站接入申请,申请时需要使用合法的QQ号和QQ认证成功之后终端用户访问的页面地址(通过redirect-url命令配置).
申请验证通过后网络管理员可从QQ互联平台获得app-id和app-key.
当终端用户通过QQ认证后,QQ认证服务器会发送授权码给PortalWeb服务器,PortalWeb服务器会将获得的授权码、app-id以及app-key发送到QQ认证服务器进行再次验证,以获知终端用户是否已通过QQ认证.
在进行邮箱认证功能时,终端用户直接在认证页面输入邮箱账号和密码,若邮箱服务器验证通过,即可访问相关资源.
表1-65配置第三方认证服务器操作命令说明进入系统视图system-view-创建第三方认证服务器,并进入第三方认证服务器视图portalextend-auth-server{qq|mail}缺省情况下,不存在第三方认证服务器1-47操作命令说明配置邮箱认证服务支持的协议类型mail-protocol{imap|pop3}*缺省情况下,未配置邮箱认证服务支持的协议类型仅适用于邮箱认证服务配置邮箱认证服务支持的邮箱类型mail-domain-namestring缺省情况下,未配置邮箱认证服务支持的邮箱类型仅适用于邮箱认证服务(可选)配置QQ认证服务器的地址auth-urlurl-string缺省情况下,QQ认证服务器的地址为https://graph.
qq.
com仅适用于QQ认证服务(可选)配置QQ认证成功之后的重定向地址redirect-urlurl-string缺省情况下,QQ认证成功之后的重定向地址为http://lvzhou.
h3c.
com/portal/qqlogin.
html仅适用于QQ认证服务(可选)配置QQ认证服务时用户的唯一标识app-idapp-id缺省情况下,存在一个预定义的唯一标识仅适用于QQ认证服务(可选)配置app-id对应的密钥app-keyapp-key缺省情况下,存在一个预定义的密钥仅适用于QQ认证服务1.
31.
2第三方认证按钮和认证登录页面编辑规范1.
第三方认证按钮编辑规范配置Portal第三方认证功能需要在PortalWeb认证页面上添加第三方认证按钮,通过点击第三方认证按钮跳转到第三方认证页面上.
第三方认证按钮包括QQ认证按钮和邮箱认证按钮.
在编辑QQ认证按钮时,必须调用pt_getQQSubmitUrl()函数获取QQ认证页面地址.
脚本内容的部分示例:LogonfunctionsetQQUrl(){document.
getElementById("qqurl").
href=pt_getQQSubmitUrl();}.
.
.
.
.
.
QQ.
.
.
.
.
.
1-48邮箱认证按钮无特殊要求,按正常编辑方法编辑即可.
2.
第三方认证登录页面编辑规范在PortalWeb认证页面上点击第三方认证按钮会跳转到第三方认证页面上,QQ认证登录页面由腾讯提供,邮箱认证登录页面需要用户自己编辑.
在编辑邮箱认证登录页面时除需遵守1.
19.
1自定义认证页面文件的相关规范外,还有以下要求:邮箱认证登录页面Form的action=maillogin.
html,否则无法将用户信息送到本地进行邮箱认证.
邮箱认证登录页面的文件名称为emailLogon.
htm.
emailLogon.
htm页面脚本内容的部分示例:Username:Password:1.
31.
3配置第三方认证用户使用的认证域在接口或无线服务模板上配置第三方认证用户使用的认证域,所有从该接口或无线服务模板接入的第三方认证用户强制使用该认证域进行Portal认证.
表1-66配置第三方认证用户使用的认证域(接口视图)操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number仅适用于三层接口配置第三方认证用户使用的认证域portalextend-authdomaindomain-name缺省情况下,未配置第三方认证用户使用的认证域表1-67配置第三方认证用户使用的认证域(无线服务模板视图)操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templateservice-template-name-配置第三方认证用户使用的认证域portalextend-authdomaindomain-name缺省情况下,未配置第三方认证用户使用的认证域1.
31.
4配置Portal第三方认证时客户端访问AC的接口当无线客户端的数据报文转发位置在AP上,且用户进行Portal第三方认证时,无线客户端和AP通过公网直接与第三方认证服务器进行报文交互,不会经过AC,但是第三方认证服务器在应答报1-49文时会要求无线客户端访问AC.
由于无线客户端不知道AC的IP地址,因此需要通过配置AC的接口来让客户端获得AC的IP地址,以便客户端访问AC.
表1-68配置Portal第三方认证时客户端访问AC的接口操作命令说明进入系统视图system-view-配置Portal第三方认证时客户端访问AC的接口portalclient-gatewayinterfaceinterface-typeinterface-number缺省情况下,未配置Portal认证时客户端访问AC的接口1.
31.
5开启Portal临时放行功能除了使用QQ账号和邮箱账号进行Portal认证外,用户还可以通过手机使用微信账号进行Portal认证.
当用户采用微信账号进行Portal认证时,需要通过Internet访问微信服务器,以便与接入设备进行信息交换.
一般情况下,用户未通过Portal认证时不允许访问Internet.
配置本功能后,接入设备可以在一定时间内临时放行使用微信账号的用户访问Internet的流量.
表1-69开启Portal临时放行功能(接口视图)操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-开启Portal临时放行功能并设置临时放行时间portaltemp-pass[periodperiod-value]enable缺省情况下,Portal临时放行功能处于关闭状态退回系统视图quit-进入PortalWeb服务器视图portalweb-serverserver-name-配置Portal临时放行功能的匹配规则if-match{original-urlurl-string|user-agentuser-agent}*temp-pass[redirect-urlurl-string|original]缺省情况下,未配置Portal临时放行功能的匹配规则表1-70开启Portal临时放行功能(无线服务模板视图)操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templateservice-template-name-开启Portal临时放行功能并设置临时放行时间portaltemp-pass[periodperiod-value]enable缺省情况下,Portal临时放行功能处于关闭状态退回系统视图quit-进入PortalWeb服务器视图portalweb-serverserver-name缺省情况下,未配置Portal临时放行功能的匹配规则1-50操作命令说明配置Portal临时放行功能的匹配规则if-match{original-urlurl-string|user-agentuser-agent}*temp-pass[redirect-urlurl-string|original]缺省情况下,未配置Portal临时放行功能的匹配规则1.
32配置Portal认证监控功能设备各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:型号命令描述MSR810/810-W/810-W-DB/810-LM/810-W-LM/810-10-PoE/810-LM-HK/810-W-LM-HK/810-LMS/810-LUS配置Portal认证监控功能不支持MSR2600-10-X1支持MSR2630支持MSR3600-28/3600-51支持MSR3600-28-SI/3600-51-SI支持MSR3610-X1/3610-X1-DP/3610-X1-DC/3610-X1-DP-DC支持MSR3610/3620/3620-DP/3640/3660支持MSR5620/5660/5680支持Portal认证监控功能主要是对Portal认证过程中的下线、认证失败和异常等信息进行记录,以便在Portal认证出现故障时快速定位.
表1-71配置Portal认证监控功能操作命令说明进入系统视图system-view-开启Portal用户下线信息记录功能portallogout-recordenable缺省情况下,Portal用户下线信息记录功能处于关闭状态配置设备保存Portal用户下线记录的最大条数portallogout-recordmaxnumber缺省情况下,设备保存Portal用户下线记录的最大条数为32000导出Portal用户下线记录portallogout-recordexporturlurl-string[start-timestart-datestart-timeend-timeend-dateend-time]-开启Portal认证失败信息记录功能portalauth-fail-recordenable缺省情况下,Portal认证失败信息记录功能处于关闭状态配置设备保存Portal认证失败记录的最大条数portalauth-fail-recordmaxnumber缺省情况下,设备保存Portal认证失败记录的最大条数为32000导出Portal认证失败记录portalauth-fail-recordexporturlurl-string[start-timestart-datestart-timeend-timeend-dateend-time]-1-51操作命令说明开启Portal认证异常信息记录功能portalauth-error-recordenable缺省情况下,Portal认证异常信息记录功能处于关闭状态配置设备保存Portal认证异常记录的最大条数portalauth-error-recordmaxnumber缺省情况下,设备保存Portal认证异常记录的最大条数为32000导出Portal认证异常记录portalauth-error-recordexporturlurl-string[start-timestart-datestart-timeend-timeend-dateend-time]-1.
33Portal显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后Portal的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除Portal统计信息.
表1-72Portal显示和维护操作命令显示用户Portal认证异常记录displayportalauth-error-record{all|ipv4ipv4-address|ipv6ipv6-address|start-timestart-datestart-timeend-timeend-dateend-time}显示用户Portal认证失败记录displayportalauth-fail-record{all|ipv4ipv4-address|ipv6ipv6-address|start-timestart-datestart-timeend-timeend-dateend-time|usernameusername}显示Portal被动Web认证功能的报文统计信息(集中式设备-独立运行模式)displayportalcaptive-bypassstatistics显示Portal被动Web认证功能的报文统计信息(分布式设备—独立运行模式/集中式IRF设备)displayportalcaptive-bypassstatistics[slotslot-number[cpucpu-number]]显示Portal被动Web认证功能的报文统计信息(分布式设备—IRF模式)displayportalcaptive-bypassstatistics[chassischassis-numberslotslot-number[cpucpu-number]]显示第三方认证服务器信息displayportalextend-auth-server{all|qq|mail}显示本地MAC-trigger绑定表项信息displayportallocal-bindingmac-address{all|mac-address}显示Portal用户的下线记录displayportallogout-record{all|ipv4ipv4-address|ipv6ipv6-address|start-timestart-datestart-timeend-timeend-dateend-time|usernameusername}显示MAC绑定服务器信息displayportalmac-trigger-server{all|nameserver-name}显示Portal的配置信息和Portal的运行状态信息displayportal{apap-name[radioradio-id]|interfaceinterface-typeinterface-number}显示Portal认证服务器的报文统计信息displayportalpacketstatistics[mac-trigger-serverserver-name|serverserver-name]显示Portal重定向报文统计信息(集中式设备-独立运行模式)displayportalredirectstatistics1-52操作命令显示Portal重定向报文统计信息(分布式设备—独立运行模式/集中式IRF设备)displayportalredirectstatistics[slotslot-number[cpucpu-number]]显示Portal重定向报文统计信息(分布式设备—IRF模式)displayportalredirectstatistics[chassischassis-numberslotslot-number[cpucpu-number]]显示用于报文匹配的Portal过滤规则信息(集中式设备-独立运行模式)displayportalrule{all|dynamic|static}{apap-name[radioradio-id]|interfaceinterface-typeinterface-number}显示用于报文匹配的Portal过滤规则信息(分布式设备-独立运行模式)displayportalrule{all|dynamic|static}{apap-name[radioradio-id]|interfaceinterface-typeinterface-number[slotslot-number]}显示用于报文匹配的Portal过滤规则信息(分布式设备-IRF模式)displayportalrule{all|dynamic|static}{apap-name[radioradio-id]|interfaceinterface-typeinterface-number[chassischassis-numberslotslot-number]}显示Portal安全重定向功能的报文统计信息(集中式设备-独立运行模式)displayportalsafe-redirectstatistics显示Portal安全重定向功能的报文统计信息(分布式设备—独立运行模式/集中式设备—IRF模式)displayportalsafe-redirectstatistics[slotslot-number]显示Portal安全重定向功能的报文统计信息(分布式设备—IRF模式)displayportalsafe-redirectstatistics[chassischassis-numberslotslot-number]显示Portal认证服务器信息displayportalserver[server-name]显示Portal用户的信息displayportaluser{all|apap-name[radioradio-id]|auth-type{cloud|email|local|normal|qq|wechat}|interfaceinterface-typeinterface-number|ipip-address|ipv6ipv6-address|macmac-address|pre-auth[interfaceinterface-typeinterface-number|ipip-address|ipv6ipv6-address]|usernameusername}[brief|verbose]显示Portal用户数量displayportalusercount显示PortalWeb服务器信息displayportalweb-server[server-name]Web重定向过滤规则信息(集中式设备-独立运行模式)displayweb-redirectrule{apap-name[radioradio-id]|interfaceinterface-typeinterface-number}Web重定向过滤规则信息(分布式设备—独立运行模式/集中式设备-IRF模式)displayweb-redirectrule{apap-name[radioradio-id]|interfaceinterface-typeinterface-number[slotslot-number]}Web重定向过滤规则信息(分布式设备—IRF模式)displayweb-redirectrule{apap-name[radioradio-id]|interfaceinterface-typeinterface-number[chassischassis-numberslotslot-number]}清除Portal认证异常记录.
resetportalauth-error-record{all|ipv4ipv4-address|ipv6ipv6-address|start-timestart-datestart-timeend-timeend-dateend-time}清除Portal认证失败记录resetportalauth-fail-record{all|ipv4ipv4-address|ipv6ipv6-address|start-timestart-datestart-timeend-timeend-dateend-time|usernameusername}清除用户下线记录resetportallogout-record{all|ipv4ipv4-address|ipv6ipv6-address|start-timestart-datestart-timeend-timeend-dateend-time|usernameusername}1-53操作命令清除Portal被动Web认证功能的的报文统计信息(集中式设备-独立运行模式)resetportalcaptive-bypassstatistics清除Portal被动Web认证功能的的报文统计信息(分布式设备—独立运行模式/集中式设备-IRF模式)resetportalcaptive-bypassstatistics[slotslot-number]清除Portal被动Web认证功能的的报文统计信息(分布式设备—IRF模式)resetportalcaptive-bypassstatistics[chassischassis-numberslotslot-number]清除Portal认证服务器的报文统计信息resetportalpacketstatistics[extend-auth-server{cloud|mail|qq|wechat}|mac-trigger-serverserver-name|serverserver-name]清除Portal重定向报文统计信息(集中式设备-独立运行模式)resetportalredirectstatistics清除Portal重定向报文统计信息(分布式设备—独立运行模式/集中式IRF设备)resetportalredirectstatistics[slotslot-number[cpucpu-number]]清除Portal重定向报文统计信息(分布式设备—IRF模式)resetportalredirectstatistics[chassischassis-numberslotslot-number[cpucpu-number]]清除Portal安全重定向功能的报文统计信息(集中式设备-独立运行模式)resetportalsafe-redirectstatistics清除Portal安全重定向功能的报文统计信息(分布式设备—独立运行模式/集中式设备—IRF模式)resetportalsafe-redirectstatistics[slotslot-number]清除Portal安全重定向功能的报文统计信息(分布式设备—IRF模式)resetportalsafe-redirectstatistics[chassischassis-numberslotslot-number]1.
34Portal典型配置举例(有线应用)1.
34.
1Portal直接认证配置举例1.
组网需求用户主机与接入设备Router直接相连,采用直接方式的Portal认证.
用户通过手工配置或DHCP获取的一个公网IP地址进行认证,在通过Portal认证前,只能访问PortalWeb服务器;在通过Portal认证后,可以使用此IP地址访问非受限的互联网资源.
采用一台Portal服务器承担Portal认证服务器和PortalWeb服务器的职责.
采用RADIUS服务器作为认证/计费服务器.
1-542.
组网图图1-7配置Portal直接认证组网图3.
配置步骤按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达.
完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行.
(1)配置Portalserver(iMCPLAT5.
0)下面以iMC为例(使用iMC版本为:iMCPLAT5.
0(E0101)、iMCUAM5.
0(E0101)),说明Portalserver的基本配置.
#配置Portal认证服务器.
登录进入iMC管理平台,选择"业务"页签,单击导航树中的[Portal认证服务器管理/服务器配置]菜单项,进入服务器配置页面.
根据实际组网情况调整以下参数,本例中使用缺省配置.
RouterHost2.
2.
2.
2/24Gateway:2.
2.
2.
1/24GE1/0/22.
2.
2.
1/24GE1/0/1192.
168.
0.
100/24Portalserver192.
168.
0.
111/24RADIUSserver192.
168.
0.
112/241-55图1-8Portal认证服务器配置页面#配置IP地址组.
单击导航树中的[Portal认证服务器管理/IP地址组配置]菜单项,进入PortalIP地址组配置页面,在该页面中单击按钮,进入增加IP地址组配置页面.
填写IP地址组名;输入起始地址和终止地址.
用户主机IP地址必须包含在该IP地址组范围内;选择业务分组,本例中使用缺省的"未分组";选择IP地址组的类型为"普通".
图1-9增加IP地址组配置页面#增加Portal设备.
单击导航树中的[Portal认证服务器管理/设备配置]菜单项,进入Portal设备配置页面,在该页面中单击按钮,进入增加设备信息配置页面.
填写设备名;1-56指定IP地址为与接入用户相连的设备接口IP;输入密钥,与接入设备Router上的配置保持一致;选择是否进行二次地址分配,本例中为直接认证,因此为否;选择是否支持逃生心跳功能和用户心跳功能,本例中不支持.
图1-10增加设备信息配置页面#Portal设备关联IP地址组在Portal设备配置页面中的设备信息列表中,点击NAS设备的链接,进入端口组信息配置页面.
图1-11设备信息列表在端口组信息配置页面中点击按钮,进入增加端口组信息配置页面.
填写端口组名;选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组;其它参数采用缺省值.
1-57图1-12增加端口组信息配置页面(2)配置Portalserver(iMCPLAT7.
1)下面以iMC为例(使用iMC版本为:iMCPLAT7.
1(E0303)、iMCEIA7.
1(F0303)),说明Portalserver的基本配置.
#配置Portal认证服务器.
登录进入iMC管理平台,选择"用户"页签,单击导航树中的[接入策略管理/Portal服务器管理/服务器配置]菜单项,进入服务器配置页面.
根据实际组网情况调整以下参数,本例中使用缺省配置.
1-58图1-13Portal服务器配置页面#配置IP地址组.
单击导航树中的[接入策略管理/Portal服务器管理/IP地址组配置]菜单项,进入PortalIP地址组配置页面,在该页面中单击按钮,进入增加IP地址组配置页面.
填写IP地址组名;输入起始地址和终止地址.
用户主机IP地址必须包含在该IP地址组范围内;选择业务分组,本例中使用缺省的"未分组";选择IP地址组的类型为"普通".
1-59图1-14增加IP地址组配置页面#增加Portal设备.
单击导航树中的[接入策略管理/Portal服务器管理/设备配置]菜单项,进入Portal设备配置页面,在该页面中单击按钮,进入增加设备信息配置页面.
填写设备名;指定IP地址为与接入用户相连的设备接口IP;输入密钥,与接入设备Router上的配置保持一致;组网方式选择,本例中为直接认证,因此选择直连;选择是否支持逃生心跳功能和用户心跳功能,本例中不支持.
1-60图1-15增加设备信息配置页面#Portal设备关联IP地址组在Portal设备配置页面中的设备信息列表中,点击NAS设备的操作项中的链接,进入端口组信息配置页面.
图1-16设备信息列表1-61在端口组信息配置页面中点击按钮,进入增加端口组信息配置页面.
填写端口组名;选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组;其它参数采用缺省值.
图1-17增加端口组信息配置页面(3)配置Router配置RADIUS方案#创建名称为rs1的RADIUS方案并进入该方案视图.
system-view[Router]radiusschemers1#配置RADIUS方案的主认证和主计费服务器及其通信密钥.
[Router-radius-rs1]primaryauthentication192.
168.
0.
112[Router-radius-rs1]primaryaccounting192.
168.
0.
112[Router-radius-rs1]keyauthenticationsimpleradius[Router-radius-rs1]keyaccountingsimpleradius#配置发送给RADIUS服务器的用户名不携带ISP域名.
[Router-radius-rs1]user-name-formatwithout-domain[Router-radius-rs1]quit#开启RADIUSsessioncontrol功能.
[Router]radiussession-controlenable配置认证域#创建并进入名称为dm1的ISP域.
[Router]domaindm1#配置ISP域使用的RADIUS方案rs1.
[Router-isp-dm1]authenticationportalradius-schemers11-62[Router-isp-dm1]authorizationportalradius-schemers1[Router-isp-dm1]accountingportalradius-schemers1[Router-isp-dm1]quit#配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方式.
若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案.
[Router]domaindefaultenabledm1配置Portal认证#配置Portal认证服务器:名称为newpt,IP地址为192.
168.
0.
111,密钥为明文portal,监听Portal报文的端口为50100.
[Router]portalservernewpt[Router-portal-server-newpt]ip192.
168.
0.
111keysimpleportal[Router-portal-server-newpt]port50100[Router-portal-server-newpt]quit#配置PortalWeb服务器的URL为http://192.
168.
0.
111:8080/portal.
(PortalWeb服务器的URL请与实际环境中的PortalWeb服务器配置保持一致,此处仅为示例)[Router]portalweb-servernewpt[Router-portal-websvr-newpt]urlhttp://192.
168.
0.
111:8080/portal[Router-portal-websvr-newpt]quit#在接口GigabitEthernet1/0/2上开启直接方式的Portal认证.
[Router]interfacegigabitethernet1/0/2[Router–GigabitEthernet1/0/2]portalenablemethoddirect#在接口GigabitEthernet1/0/2上引用PortalWeb服务器newpt.
[Router–GigabitEthernet1/0/2]portalapplyweb-servernewpt#在接口GigabitEthernet1/0/2上设置发送给Portal认证服务器的Portal报文中的BAS-IP属性值为2.
2.
2.
1.
[Router–GigabitEthernet1/0/2]portalbas-ip2.
2.
2.
1[Router–GigabitEthernet1/0/2]quit4.
验证配置以上配置完成后,通过执行以下显示命令可查看Portal配置是否生效.
[Router]displayportalinterfacegigabitethernet1/0/2PortalinformationofGigabitEthernet1/0/2NAS-IDprofile:NotconfiguredVSRPinstance:NotconfiguredVSRPstate:N/AAuthorization:StrictcheckingACL:DisabledUserprofile:DisabledIPv4:Portalstatus:EnabledAuthenticationtype:DirectPortalWebserver:newpt(active)SecondaryportalWebserver:NotconfiguredAuthenticationdomain:NotconfiguredPre-authdomain:NotconfiguredUser-dhcp-only:Disabled1-63Pre-authIPpool:NotconfiguredMaxportalusers:NotconfiguredBas-ip:2.
2.
2.
1Userdetection:NotconfiguredActionforserverdetection:ServertypeServernameAction------Layer3sourcenetwork:IPaddressMaskDestinationauthenticatesubnet:IPaddressMaskIPv6:Portalstatus:DisabledAuthenticationtype:DisabledPortalWebserver:NotconfiguredSecondaryportalWebserver:NotconfiguredAuthenticationdomain:NotconfiguredPre-authdomain:NotconfiguredUser-dhcp-only:DisabledPre-authIPpool:NotconfiguredMaxportalusers:NotconfiguredBas-ipv6:NotconfiguredUserdetection:NotconfiguredActionforserverdetection:ServertypeServernameAction------Layer3sourcenetwork:IPaddressPrefixlengthDestinationauthenticatesubnet:IPaddressPrefixlength用户既可以使用H3C的iNode客户端,也可以通过网页方式进行Portal认证.
用户在通过认证前,只能访问认证页面http://192.
168.
0.
111:8080/portal,且发起的Web访问均被重定向到该认证页面,在通过认证后,可访问非受限的互联网资源.
Portal用户认证通过后,可通过执行以下显示命令查看Router上生成的Portal在线用户信息.
[Router]displayportaluserinterfacegigabitethernet1/0/2Totalportalusers:1Username:abcPortalserver:newptState:OnlineVPNinstance:N/AMACIPVLANInterface0015-e9a6-7cfe2.
2.
2.
2--GigabitEthernet1/0/2Authorizationinformation:DHCPIPpool:N/AUserprofile:N/ASessiongroupprofile:N/A1-64ACL:N/ACAR:N/A1.
34.
2Portal二次地址分配认证配置举例1.
组网需求用户主机与接入设备Router直接相连,采用二次地址分配方式的Portal认证.
用户通过DHCP服务器获取IP地址,Portal认证前使用分配的一个私网地址;通过Portal认证后,用户申请到一个公网地址,才可以访问非受限互联网资源.
采用一台Portal服务器承担Portal认证服务器和PortalWeb服务器的职责.
采用RADIUS服务器作为认证/计费服务器.
2.
组网图图1-18配置Portal二次地址分配认证组网图3.
配置步骤Portal二次地址分配认证方式应用中,DHCP服务器上需创建公网地址池(20.
20.
20.
0/24)及私网地址池(10.
0.
0.
0/24),具体配置略.
Portal二次地址分配认证方式应用中,接入设备上需要配置DHCP中继来配合Portal认证,且启动Portal的接口需要配置主IP地址(公网IP)及从IP地址(私网IP).
关于DHCP中继的详细配置请参见"三层技术-IP业务配置指导"中的"DHCP中继".
请保证在Portal认证服务器上添加的Portal设备的IP地址为与用户相连的接口的公网IP地址(20.
20.
20.
1),且与该Portal设备关联的IP地址组中的转换前地址为用户所在的私网网段(10.
0.
0.
0/24)、转换后地址为公网网段(20.
20.
20.
0/24).
按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达.
完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行.
192.
168.
0.
111/24192.
168.
0.
113/24192.
168.
0.
112/24RouterHostAutomaticallyobtainsanIPaddressGE1/0/220.
20.
20.
1/2410.
0.
0.
1/24subGE1/0/1192.
168.
0.
100/24PortalserverRADIUSserverDHCPserver1-65在Router上进行以下配置.
(1)配置RADIUS方案#创建名称为rs1的RADIUS方案并进入该方案视图.
system-view[Router]radiusschemers1#配置RADIUS方案的主认证和主计费服务器及其通信密钥.
[Router-radius-rs1]primaryauthentication192.
168.
0.
113[Router-radius-rs1]primaryaccounting192.
168.
0.
113[Router-radius-rs1]keyauthenticationsimpleradius[Router-radius-rs1]keyaccountingsimpleradius#配置发送给RADIUS服务器的用户名不携带ISP域名.
[Router-radius-rs1]user-name-formatwithout-domain[Router-radius-rs1]quit#开启RADIUSsessioncontrol功能.
[Router]radiussession-controlenable(2)配置认证域#创建并进入名称为dm1的ISP域.
[Router]domaindm1#配置ISP域的RADIUS方案rs1.
[Router-isp-dm1]authenticationportalradius-schemers1[Router-isp-dm1]authorizationportalradius-schemers1[Router-isp-dm1]accountingportalradius-schemers1[Router-isp-dm1]quit#配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方式.
若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案.
[Router]domaindefaultenabledm1(3)配置DHCP中继和授权ARP#配置DHCP中继.
[Router]dhcpenable[Router]dhcprelayclient-informationrecord[Router]interfacegigabitethernet1/0/2[Router–GigabitEthernet1/0/2]ipaddress20.
20.
20.
1255.
255.
255.
0[Router–GigabitEthernet1/0/2]ipaddress10.
0.
0.
1255.
255.
255.
0sub[Router-GigabitEthernet1/0/2]dhcpselectrelay[Router-GigabitEthernet1/0/2]dhcprelayserver-address192.
168.
0.
112#开启授权ARP功能.
[Router-GigabitEthernet1/0/2]arpauthorizedenable[Router-GigabitEthernet1/0/2]quit(4)配置Portal认证#配置Portal认证服务器:名称为newpt,IP地址为192.
168.
0.
111,密钥为明文portal,监听Portal报文的端口为50100.
[Router]portalservernewpt[Router-portal-server-newpt]ip192.
168.
0.
111keysimpleportal[Router-portal-server-newpt]port501001-66[Router-portal-server-newpt]quit#配置PortalWeb服务器的URL为http://192.
168.
0.
111:8080/portal.
(PortalWeb服务器的URL请与实际环境中的PortalWeb服务器配置保持一致,此处仅为示例)[Router]portalweb-servernewpt[Router-portal-websvr-newpt]urlhttp://192.
168.
0.
111:8080/portal[Router-portal-websvr-newpt]quit#在接口GigabitEthernet1/0/2上开启二次地址方式的Portal认证.
[Router]interfacegigabitethernet1/0/2[Router-GigabitEthernet1/0/2]portalenablemethodredhcp#在接口GigabitEthernet1/0/2上引用PortalWeb服务器newpt.
[Router–GigabitEthernet1/0/2]portalapplyweb-servernewpt#在接口GigabitEthernet1/0/2上设置发送给Portal报文中的BAS-IP属性值为20.
20.
20.
1.
[Router–GigabitEthernet1/0/2]portalbas-ip20.
20.
20.
1[Router–GigabitEthernet1/0/2]quit4.
验证配置以上配置完成后,通过执行以下显示命令可查看Portal配置是否生效.
[Router]displayportalinterfacegigabitethernet1/0/2PortalinformationofGigabitEthernet1/0/2NAS-IDprofile:NotconfiguredVSRPinstance:NotconfiguredVSRPstate:N/AAuthorization:StrictcheckingACL:DisabledUserprofile:DisabledIPv4:Portalstatus:EnabledAuthenticationtype:RedhcpPortalWebserver:newpt(active)SecondaryportalWebserver:NotconfiguredAuthenticationdomain:NotconfiguredPre-authdomain:NotconfiguredUser-dhcp-only:DisabledPre-authIPpool:NotconfiguredMaxportalusers:NotconfiguredBas-ip:20.
20.
20.
1Userdetection:NotconfiguredActionforserverdetection:ServertypeServernameAction------Layer3sourcenetwork:IPaddressMaskDestinationauthenticatesubnet:IPaddressMaskIPv6:Portalstatus:Disabled1-67Authenticationtype:DisabledPortalWebserver:NotconfiguredSecondaryportalWebserver:NotconfiguredAuthenticationdomain:NotconfiguredPre-authdomain:NotconfiguredUser-dhcp-only:DisabledPre-authIPpool:NotconfiguredMaxportalusers:NotconfiguredBas-ipv6:NotconfiguredUserdetection:NotconfiguredActionforserverdetection:ServertypeServernameAction------Layer3sourcenetwork:IPaddressPrefixlengthDestinationauthenticatesubnet:IPaddressPrefixlength在采用二次地址分配方式时,请使用H3C的iNode客户端进行Portal认证.
通过认证后,可访问非受限的互联网资源.
Portal用户认证通过后,可通过执行以下显示命令查看Router上生成的Portal在线用户信息.
[Router]displayportaluserinterfacegigabitethernet1/0/2Totalportalusers:1Username:abcPortalserver:newptState:OnlineVPNinstance:N/AMACIPVLANInterface0015-e9a6-7cfe20.
20.
20.
2--GigabitEthernet1/0/2Authorizationinformation:DHCPIPpool:N/AUserprofile:N/ASessiongroupprofile:N/AACL:N/ACAR:N/A1.
34.
3可跨三层Portal认证配置举例1.
组网需求RouterA支持Portal认证功能.
用户Host通过RouterB接入到RouterA.
配置RouterA采用可跨三层Portal认证.
用户在未通过Portal认证前,只能访问PortalWeb认证服务器;用户通过Portal认证后,可以访问非受限互联网资源.
采用一台Portal服务器承担Portal认证服务器和PortalWeb服务器的职责.
采用RADIUS服务器作为认证/计费服务器.
1-682.
组网图图1-19配置可跨三层Portal认证组网图3.
配置步骤请保证在Portal认证服务器上添加的Portal设备的IP地址为与用户相连的接口IP地址(20.
20.
20.
1),且与该Portal设备关联的IP地址组为用户所在网段(8.
8.
8.
0/24).
按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达.
完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行.
在RouterA上进行以下配置.
(1)配置RADIUS方案#创建名称为rs1的RADIUS方案并进入该方案视图.
system-view[RouterA]radiusschemers1#配置RADIUS方案的主认证和主计费服务器及其通信密钥.
[RouterA-radius-rs1]primaryauthentication192.
168.
0.
112[RouterA-radius-rs1]primaryaccounting192.
168.
0.
112[RouterA-radius-rs1]keyauthenticationsimpleradius[RouterA-radius-rs1]keyaccountingsimpleradius#配置发送给RADIUS服务器的用户名不携带ISP域名.
[RouterA-radius-rs1]user-name-formatwithout-domain[RouterA-radius-rs1]quit#开启RADIUSsessioncontrol功能.
[Router]radiussession-controlenable(2)配置认证域#创建并进入名称为dm1的ISP域.
[RouterA]domaindm1#配置ISP域的RADIUS方案rs1.
RouterAHost8.
8.
8.
2/24GE1/0/220.
20.
20.
1/24Portalserver192.
168.
0.
111/24RADIUSserver192.
168.
0.
112/24GE1/0/1192.
168.
0.
100/24RouterBGE1/0/28.
8.
8.
1/24GE1/0/120.
20.
20.
2/241-69[RouterA-isp-dm1]authenticationportalradius-schemers1[RouterA-isp-dm1]authorizationportalradius-schemers1[RouterA-isp-dm1]accountingportalradius-schemers1[RouterA-isp-dm1]quit#配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方式.
若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案.
[Router]domaindefaultenabledm1(3)配置Portal认证#配置Portal认证服务器:名称为newpt,IP地址为192.
168.
0.
111,密钥为明文portal,监听Portal报文的端口为50100.
[RouterA]portalservernewpt[RouterA-portal-server-newpt]ip192.
168.
0.
111keysimpleportal[RouterA-portal-server-newpt]port50100[RouterA-portal-server-newpt]quit#配置PortalWeb服务器的URL为http://192.
168.
0.
111:8080/portal.
(PortalWeb服务器的URL请与实际环境中的PortalWeb服务器配置保持一致,此处仅为示例)[Router]portalweb-servernewpt[RouterA-portal-websvr-newpt]urlhttp://192.
168.
0.
111:8080/portal[RouterA-portal-websvr-newpt]quit#在接口GigabitEthernet1/0/2上开启可跨三层方式的Portal认证.
[RouterA]interfacegigabitethernet1/0/2[RouterA–GigabitEthernet1/0/2]portalenablemethodlayer3#在接口GigabitEthernet1/0/2上引用PortalWeb服务器newpt.
[RouterA–GigabitEthernet1/0/2]portalapplyweb-servernewpt#在接口GigabitEthernet1/0/2上设置发送给Portal报文中的BAS-IP属性值为20.
20.
20.
1.
[RouterA–GigabitEthernet1/0/2]portalbas-ip20.
20.
20.
1[RouterA–GigabitEthernet1/0/2]quitRouterB上需要配置到192.
168.
0.
0/24网段的缺省路由,下一跳为20.
20.
20.
1,具体配置略.
4.
验证配置以上配置完成后,通过执行以下显示命令可查看Portal配置是否生效.
[RouterA]displayportalinterfacegigabitethernet1/0/2PortalinformationofGigabitEthernet1/0/2NAS-IDprofile:NotconfiguredVSRPinstance:NotconfiguredVSRPstate:N/AAuthorization:StrictcheckingACL:DisabledUserprofile:DisabledIPv4:Portalstatus:EnabledAuthenticationtype:Layer3PortalWebserver:newpt(active)SecondaryportalWebserver:NotconfiguredAuthenticationdomain:NotconfiguredPre-authdomain:Notconfigured1-70User-dhcp-only:DisabledPre-authIPpool:NotconfiguredMaxportalusers:NotconfiguredBas-ip:20.
20.
20.
1Userdetection:NotconfiguredActionforserverdetection:ServertypeServernameAction------Layer3sourcenetwork:IPaddressMaskDestinationauthenticatesubnet:IPaddressMaskIPv6:Portalstatus:DisabledAuthenticationtype:DisabledPortalWebserver:NotconfiguredSecondaryportalWebserver:NotconfiguredAuthenticationdomain:NotconfiguredPre-authdomain:NotconfiguredUser-dhcp-only:DisabledPre-authIPpool:NotconfiguredMaxportalusers:NotconfiguredBas-ipv6:NotconfiguredUserdetection:NotconfiguredActionforserverdetection:ServertypeServernameAction------Layer3sourcenetwork:IPaddressPrefixlengthDestinationauthenticatesubnet:IPaddressPrefixlength用户既可以使用H3C的iNode客户端,也可以通过网页方式进行Portal认证.
用户在通过认证前,只能访问认证页面http://192.
168.
0.
111:8080/portal,且发起的Web访问均被重定向到该认证页面,在通过认证后,可访问非受限的互联网资源.
Portal用户认证通过后,可通过执行以下显示命令查看Router上生成的Portal在线用户信息.
[Router]displayportaluserinterfacegigabitethernet1/0/2Totalportalusers:1Username:abcPortalserver:newptState:OnlineVPNinstance:N/AMACIPVLANInterface0015-e9a6-7cfe8.
8.
8.
2--GigabitEthernet1/0/2Authorizationinformation:DHCPIPpool:N/AUserprofile:N/A1-71Sessiongroupprofile:N/AACL:N/ACAR:N/A1.
34.
4Portal直接认证扩展功能配置举例1.
组网需求用户主机与接入设备Router直接相连,采用直接方式的Portal认证.
用户通过手工配置或DHCP获取的一个公网IP地址进行认证,在通过身份认证而没有通过安全认证时可以访问192.
168.
0.
0/24网段;在通过安全认证后,可以使用此IP地址访问非受限互联网资源.
采用一台Portal服务器承担Portal认证服务器和PortalWeb服务器的职责.
采用RADIUS服务器作为认证/计费服务器.
2.
组网图图1-20配置Portal直接认证扩展功能组网图3.
配置步骤按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达.
完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行.
在Router上进行以下配置.
(1)配置RADIUS方案#创建名称为rs1的RADIUS方案并进入该方案视图.
system-view[Router]radiusschemers1#配置RADIUS方案的主认证和主计费服务器及其通信密钥.
[Router-radius-rs1]primaryauthentication192.
168.
0.
112[Router-radius-rs1]primaryaccounting192.
168.
0.
112RouterHost2.
2.
2.
2/24Gateway:2.
2.
2.
1/24GE1/0/22.
2.
2.
1/24GE1/0/1192.
168.
0.
100/24Portalserver192.
168.
0.
111/24RADIUSserver192.
168.
0.
112/24192.
168.
0.
113/24Securitypolicyserver1-72[Router-radius-rs1]keyaccountingsimpleradius[Router-radius-rs1]keyauthenticationsimpleradius[Router-radius-rs1]user-name-formatwithout-domain#开启RADIUSsessioncontrol功能.
[Router]radiussession-controlenable#指定一个sessioncontrol客户端IP地址为192.
168.
0.
113,共享密钥为明文12345.
[Router]radiussession-controlclientip192.
168.
0.
113keysimple12345(2)配置认证域#创建并进入名称为dm1的ISP域.
[Router]domaindm1#配置ISP域的RADIUS方案rs1.
[Router-isp-dm1]authenticationportalradius-schemers1[Router-isp-dm1]authorizationportalradius-schemers1[Router-isp-dm1]accountingportalradius-schemers1[Router-isp-dm1]quit#配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方式.
若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案.
[Router]domaindefaultenabledm1(3)配置隔离ACL为3000,安全ACL为3001安全策略服务器上需要将ACL3000和ACL3001分别指定为隔离ACL和安全ACL.
[Router]acladvanced3000[Router-acl-ipv4-adv-3000]rulepermitipdestination192.
168.
0.
00.
0.
0.
255[Router-acl-ipv4-adv-3000]ruledenyip[Router-acl-ipv4-adv-3000]quit[Router]acladvanced3001[Router-acl-ipv4-adv-3001]rulepermitip[Router-acl-ipv4-adv-3001]quit(4)配置Portal认证#配置Portal认证服务器:名称为newpt,IP地址为192.
168.
0.
111,密钥为明文portal,监听Portal报文的端口为50100.
[Router]portalservernewpt[Router-portal-server-newpt]ip192.
168.
0.
111keysimpleportal[Router-portal-server-newpt]port50100[Router-portal-server-newpt]quit#配置PortalWeb服务器的URL为http://192.
168.
0.
111:8080/portal.
(PortalWeb服务器的URL请与实际环境中的PortalWeb服务器配置保持一致,此处仅为示例)[Router]portalweb-servernewpt[Router-portal-websvr-newpt]urlhttp://192.
168.
0.
111:8080/portal[Router-portal-websvr-newpt]quit#在接口GigabitEthernet1/0/2上开启直接方式的Portal认证.
[Router]interfacegigabitethernet1/0/21-73[Router–GigabitEthernet1/0/2]portalenablemethoddirect#在接口GigabitEthernet1/0/2上引用PortalWeb服务器newpt.
[Router–GigabitEthernet1/0/2]portalapplyweb-servernewpt#在接口GigabitEthernet1/0/2上设置发送给Portal报文中的BAS-IP属性值为2.
2.
2.
1.
[Router–GigabitEthernet1/0/2]portalbas-ip2.
2.
2.
1[Router–GigabitEthernet1/0/2]quit4.
验证配置以上配置完成后,通过执行以下显示命令可查看Portal配置是否生效.
[Router]displayportalinterfacegigabitethernet1/0/2PortalinformationofGigabitEthernet1/0/2NAS-IDprofile:NotconfiguredVSRPinstance:NotconfiguredVSRPstate:N/AAuthorization:StrictcheckingACL:DisabledUserprofile:DisabledIPv4:Portalstatus:EnabledAuthenticationtype:DirectPortalWebserver:newpt(active)SecondaryportalWebserver:NotconfiguredAuthenticationdomain:NotconfiguredPre-authdomain:NotconfiguredUser-dhcp-only:DisabledPre-authIPpool:NotconfiguredMaxportalusers:NotconfiguredBas-ip:2.
2.
2.
1Userdetection:NotconfiguredActionforserverdetection:ServertypeServernameAction------Layer3sourcenetwork:IPaddressMaskDestinationauthenticatesubnet:IPaddressMaskIPv6:Portalstatus:DisabledAuthenticationtype:DisabledPortalWebserver:NotconfiguredSecondaryportalWebserver:NotconfiguredAuthenticationdomain:NotconfiguredPre-authdomain:NotconfiguredUser-dhcp-only:DisabledPre-authIPpool:NotconfiguredMaxportalusers:NotconfiguredBas-ipv6:Notconfigured1-74Userdetection:NotconfiguredActionforserverdetection:ServertypeServernameAction------Layer3sourcenetwork:IPaddressPrefixlengthDestinationauthenticatesubnet:IPaddressPrefixlength使用H3CiNode客户端的用户在通过认证前,只能访问认证页面http://192.
168.
0.
111:8080/portal,且发起的Web访问均被重定向到该认证页面.
通过身份认证但未通过安全认证时,只能访问匹配ACL3000的网络资源;通过身份认证以及安全认证后,可以访问匹配ACL3001的互联网资源.
Portal用户认证通过后,可通过执行以下显示命令查看Router上生成的Portal在线用户信息.
[Router]displayportaluserinterfacegigabitethernet1/0/2Totalportalusers:1Username:abcPortalserver:newptState:OnlineVPNinstance:N/AMACIPVLANInterface0015-e9a6-7cfe2.
2.
2.
2--GigabitEthernet1/0/2Authorizationinformation:DHCPIPpool:N/AUserprofile:N/ASessiongroupprofile:N/AACL:3001CAR:N/A1.
34.
5Portal二次地址分配认证扩展功能配置举例1.
组网需求用户主机与接入设备Router直接相连,采用二次地址分配方式的Portal认证.
用户通过DHCP服务器获取IP地址,Portal认证前使用分配的一个私网地址;通过Portal认证后,用户申请到一个公网地址.
用户在通过身份认证而没有通过安全认证时可以访问192.
168.
0.
0/24网段;在通过安全认证后,可以访问非受限互联网资源.
采用一台Portal服务器承担Portal认证服务器和PortalWeb服务器的职责.
采用RADIUS服务器作为认证/计费服务器.
1-752.
组网图图1-21配置Portal二次地址分配认证扩展功能组网图3.
配置步骤Portal二次地址分配认证方式应用中,DHCP服务器上需创建公网地址池(20.
20.
20.
0/24)及私网地址池(10.
0.
0.
0/24),具体配置略.
Portal二次地址分配认证方式应用中,接入设备需要配置DHCP中继来配合Portal认证,且启动Portal的接口需要配置主IP地址(公网IP)及从IP地址(私网IP).
关于DHCP中继的详细配置请参见"三层技术-IP业务配置指导"中的"DHCP中继".
请保证在Portal认证服务器上添加的Portal设备的IP地址为与用户相连的接口的公网IP地址(20.
20.
20.
1),且与该Portal设备关联的IP地址组中的转换前地址为用户所在的私网网段(10.
0.
0.
0/24)、转换后地址为公网网段(20.
20.
20.
0/24).
按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达.
完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行.
在Router上进行以下配置.
(1)配置RADIUS方案#创建名称为rs1的RADIUS方案并进入该方案视图.
system-view[Router]radiusschemers1#配置RADIUS方案的主认证和主计费服务器及其通信密钥.
[Router-radius-rs1]primaryauthentication192.
168.
0.
113[Router-radius-rs1]primaryaccounting192.
168.
0.
113[Router-radius-rs1]keyauthenticationsimpleradius[Router-radius-rs1]keyaccountingsimpleradius[Router-radius-rs1]user-name-formatwithout-domain192.
168.
0.
111/24192.
168.
0.
114/24192.
168.
0.
112/24RouterHostautomaticallyobtainsanIPaddressGE1/0/220.
20.
20.
1/2410.
0.
0.
1/24subGE1/0/1192.
168.
0.
100/24PortalserverSecuritypolicyserverDHCPserver192.
168.
0.
113/24RADIUSserver1-76#开启RADIUSsessioncontrol功能.
[Router]radiussession-controlenable#指定一个sessioncontrol客户端IP地址为192.
168.
0.
114,共享密钥为明文12345.
[Router]radiussession-controlclientip192.
168.
0.
114keysimple12345(2)配置认证域#创建并进入名称为dm1的ISP域.
[Router]domaindm1#配置ISP域的RADIUS方案rs1.
[Router-isp-dm1]authenticationportalradius-schemers1[Router-isp-dm1]authorizationportalradius-schemers1[Router-isp-dm1]accountingportalradius-schemers1[Router-isp-dm1]quit#配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方式.
若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案.
[Router]domaindefaultenabledm1(3)配置隔离ACL为3000,安全ACL为3001安全策略服务器上需要将ACL3000和ACL3001分别指定为隔离ACL和安全ACL.
[Router]acladvanced3000[Router-acl-ipv4-adv-3000]rulepermitipdestination192.
168.
0.
00.
0.
0.
255[Router-acl-ipv4-adv-3000]ruledenyip[Router-acl-ipv4-adv-3000]quit[Router]acladvanced3001[Router-acl-ipv4-adv-3001]rulepermitip[Router-acl-ipv4-adv-3001]quit(4)配置DHCP中继和授权ARP#配置DHCP中继.
[Router]dhcpenable[Router]dhcprelayclient-informationrecord[Router]interfacegigabitethernet1/0/2[Router–GigabitEthernet1/0/2]ipaddress20.
20.
20.
1255.
255.
255.
0[Router–GigabitEthernet1/0/2]ipaddress10.
0.
0.
1255.
255.
255.
0sub[Router-GigabitEthernet1/0/2]dhcpselectrelay[Router-GigabitEthernet1/0/2]dhcprelayserver-address192.
168.
0.
112#开启授权ARP功能.
[Router-GigabitEthernet1/0/2]arpauthorizedenable[Router-GigabitEthernet1/0/2]quit(5)配置Portal认证#配置Portal认证服务器:名称为newpt,IP地址为192.
168.
0.
111,密钥为明文portal,监听Portal报文的端口为50100.
[Router]portalservernewpt[Router-portal-server-newpt]ip192.
168.
0.
111keysimpleportal1-77[Router-portal-server-newpt]port50100[Router-portal-server-newpt]quit#配置PortalWeb服务器的URL为http://192.
168.
0.
111:8080/portal.
(PortalWeb服务器的URL请与实际环境中的PortalWeb服务器配置保持一致,此处仅为示例)[Router]portalweb-servernewpt[Router-portal-websvr-newpt]urlhttp://192.
168.
0.
111:8080/portal[Router-portal-websvr-newpt]quit#在接口GigabitEthernet1/0/2上开启二次地址方式的Portal认证.
[Router]interfacegigabitethernet1/0/2[Router-GigabitEthernet1/0/2]portalenablemethodredhcp#在接口GigabitEthernet1/0/2上引用PortalWeb服务器newpt.
[Router–GigabitEthernet1/0/2]portalapplyweb-servernewpt#在接口GigabitEthernet1/0/2上设置发送给Portal报文中的BAS-IP属性值为20.
20.
20.
1.
[Router–GigabitEthernet1/0/2]portalbas-ip20.
20.
20.
1[Router–GigabitEthernet1/0/2]quit4.
验证配置以上配置完成后,通过执行以下显示命令可查看Portal配置是否生效.
[Router]displayportalinterfacegigabitethernet1/0/2PortalinformationofGigabitEthernet1/0/2NAS-IDprofile:NotconfiguredVSRPinstance:NotconfiguredVSRPstate:N/AAuthorization:StrictcheckingACL:DisabledUserprofile:DisabledIPv4:Portalstatus:EnabledAuthenticationtype:RedhcpPortalWebserver:newpt(active)SecondaryportalWebserver:NotconfiguredAuthenticationdomain:NotconfiguredPre-authdomain:NotconfiguredUser-dhcp-only:DisabledPre-authIPpool:NotconfiguredMaxportalusers:NotconfiguredBas-ip:20.
20.
20.
1Userdetection:NotconfiguredActionforserverdetection:ServertypeServernameAction------Layer3sourcenetwork:IPaddressMaskDestinationauthenticatesubnet:IPaddressMaskIPv6:1-78Portalstatus:DisabledAuthenticationtype:DisabledPortalWebserver:NotconfiguredSecondaryportalWebserver:NotconfiguredAuthenticationdomain:NotconfiguredPre-authdomain:NotconfiguredUser-dhcp-only:DisabledPre-authIPpool:NotconfiguredMaxportalusers:NotconfiguredBas-ipv6:NotconfiguredUserdetection:NotconfiguredActionforserverdetection:ServertypeServernameAction------Layer3sourcenetwork:IPaddressPrefixlengthDestinationauthenticatesubnet:IPaddressPrefixlength使用H3CiNode客户端的用户在通过认证前,只能访问认证页面http://192.
168.
0.
111:8080/portal,且发起的Web访问均被重定向到该认证页面.
通过身份认证但未通过安全认证时,只能访问匹配ACL3000的网络资源;通过身份认证以及安全认证后,可以访问匹配ACL3001的互联网资源.
Portal用户认证通过后,可通过执行以下显示命令查看Router上生成的Portal在线用户信息.
[Router]displayportaluserinterfacegigabitethernet1/0/2Totalportalusers:1Username:abcPortalserver:newptState:OnlineVPNinstance:N/AMACIPVLANInterface0015-e9a6-7cfe20.
20.
20.
2--GigabitEthernet1/0/2Authorizationinformation:DHCPIPpool:N/AUserprofile:N/ASessiongroupprofile:N/AACL:3001CAR:N/A1.
34.
6可跨三层Portal认证扩展功能配置举例1.
组网需求RouterA支持Portal认证功能.
用户Host通过RouterB接入到RouterA.
配置RouterA采用可跨三层Portal认证.
用户在通过身份认证而没有通过安全认证时可以访问192.
168.
0.
0/24网段;在通过安全认证后,可以访问非受限互联网资源.
采用一台Portal服务器承担Portal认证服务器和PortalWeb服务器的职责.
采用RADIUS服务器作为认证/计费服务器.
1-792.
组网图图1-22配置可跨三层Portal认证扩展功能组网图3.
配置步骤请保证在Portal认证服务器上添加的Portal设备的IP地址为与用户相连的接口IP地址(20.
20.
20.
1),且与该Portal设备关联的IP地址组为用户所在网段(8.
8.
8.
0/24).
按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达.
完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行.
在RouterA上进行以下配置.
(1)配置RADIUS方案#创建名称为rs1的RADIUS方案并进入该方案视图.
system-view[RouterA]radiusschemers1#配置RADIUS方案的主认证和主计费服务器及其通信密钥.
[RouterA-radius-rs1]primaryauthentication192.
168.
0.
112[RouterA-radius-rs1]primaryaccounting192.
168.
0.
112[RouterA-radius-rs1]keyauthenticationsimpleradius[RouterA-radius-rs1]keyaccountingsimpleradius[RouterA-radius-rs1]user-name-formatwithout-domain#开启RADIUSsessioncontrol功能.
[RouterA]radiussession-controlenable#指定一个sessioncontrol客户端IP地址为192.
168.
0.
113,共享密钥为明文12345.
[RouterA]radiussession-controlclientip192.
168.
0.
113keysimple12345(2)配置认证域#创建并进入名称为dm1的ISP域.
[RouterA]domaindm1RouterAHost8.
8.
8.
2/24GE1/0/220.
20.
20.
1/24Portalserver192.
168.
0.
111/24RADIUSserver192.
168.
0.
112/24GE1/0/1192.
168.
0.
100/24RouterBGE1/0/28.
8.
8.
1/24GE1/0/120.
20.
20.
2/24Securitypolicyserver192.
168.
0.
113/241-80#配置ISP域的RADIUS方案rs1.
[RouterA-isp-dm1]authenticationportalradius-schemers1[RouterA-isp-dm1]authorizationportalradius-schemers1[RouterA-isp-dm1]accountingportalradius-schemers1[RouterA-isp-dm1]quit#配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方式.
若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案.
[RouterA]domaindefaultenabledm1(3)配置隔离ACL为3000,安全ACL为3001安全策略服务器上需要将ACL3000和ACL3001分别指定为隔离ACL和安全ACL.
[RouterA]acladvanced3000[RouterA-acl-ipv4-adv-3000]rulepermitipdestination192.
168.
0.
00.
0.
0.
255[RouterA-acl-ipv4-adv-3000]ruledenyip[RouterA-acl-ipv4-adv-3000]quit[RouterA]acladvanced3001[RouterA-acl-ipv4-adv-3001]rulepermitip[RouterA-acl-ipv4-adv-3001]quit(4)配置Portal认证#配置Portal认证服务器:名称为newpt,IP地址为192.
168.
0.
111,密钥为明文portal,监听Portal报文的端口为50100.
[RouterA]portalservernewpt[RouterA-portal-server-newpt]ip192.
168.
0.
111keysimpleportal[RouterA-portal-server-newpt]port50100[RouterA-portal-server-newpt]quit#配置PortalWeb服务器的URL为http://192.
168.
0.
111:8080/portal.
(PortalWeb服务器的URL请与实际环境中的PortalWeb服务器配置保持一致,此处仅为示例)[Router]portalweb-servernewpt[RouterA-portal-websvr-newpt]urlhttp://192.
168.
0.
111:8080/portal[RouterA-portal-websvr-newpt]quit#在接口GigabitEthernet1/0/2上开启可跨三层方式的Portal认证.
[RouterA]interfacegigabitethernet1/0/2[RouterA–GigabitEthernet1/0/2]portalenablemethodlayer3#在接口GigabitEthernet1/0/2上引用PortalWeb服务器newpt.
[RouterA–GigabitEthernet1/0/2]portalapplyweb-servernewpt#在接口GigabitEthernet1/0/2上设置发送给Portal报文中的BAS-IP属性值为20.
20.
20.
1.
[RouterA–GigabitEthernet1/0/2]portalbas-ip20.
20.
20.
1[RouterA–GigabitEthernet1/0/2]quitRouterB上需要配置到192.
168.
0.
0/24网段的缺省路由,下一跳为20.
20.
20.
1,具体配置略.
4.
验证配置以上配置完成后,通过执行以下显示命令可查看Portal配置是否生效.
1-81[RouterA]displayportalinterfacegigabitethernet1/0/2PortalinformationofGigabitEthernet1/0/2NAS-IDprofile:NotconfiguredVSRPinstance:NotconfiguredVSRPstate:N/AAuthorization:StrictcheckingACL:DisabledUserprofile:DisabledIPv4:Portalstatus:EnabledAuthenticationtype:Layer3PortalWebserver:newpt(active)SecondaryportalWebserver:NotconfiguredAuthenticationdomain:NotconfiguredPre-authdomain:NotconfiguredUser-dhcp-only:DisabledPre-authIPpool:NotconfiguredMaxportalusers:NotconfiguredBas-ip:20.
20.
20.
1Userdetection:NotconfiguredActionforserverdetection:ServertypeServernameAction------Layer3sourcenetwork:IPaddressMaskDestinationauthenticatesubnet:IPaddressMaskIPv6:Portalstatus:DisabledAuthenticationtype:DisabledPortalWebserver:NotconfiguredSecondaryportalWebserver:NotconfiguredAuthenticationdomain:NotconfiguredPre-authdomain:NotconfiguredUser-dhcp-only:DisabledPre-authIPpool:NotconfiguredMaxportalusers:NotconfiguredBas-ipv6:NotconfiguredUserdetection:NotconfiguredActionforserverdetection:ServertypeServernameAction------Layer3sourcenetwork:IPaddressPrefixlengthDestinationauthenticatesubnet:IPaddressPrefixlength1-82使用H3CiNode客户端的用户在通过认证前,只能访问认证页面http://192.
168.
0.
111:8080/portal,且发起的Web访问均被重定向到该认证页面.
通过身份认证但未通过安全认证时,只能访问匹配ACL3000的网络资源;通过身份认证以及安全认证后,可以访问匹配ACL3001的互联网资源.
Portal用户认证通过后,可通过执行以下显示命令查看Router上生成的Portal在线用户信息.
[Router]displayportaluserinterfacegigabitethernet1/0/2Totalportalusers:1Username:abcPortalserver:newptState:OnlineVPNinstance:N/AMACIPVLANInterface0015-e9a6-7cfe8.
8.
8.
2--GigabitEthernet1/0/2Authorizationinformation:DHCPIPpool:N/AUserprofile:N/ASessiongroupprofile:N/AACL:3001CAR:N/A1.
34.
7Portal认证服务器探测和用户信息同步功能配置举例1.
组网需求用户主机与接入设备Router直接相连,通过Portal认证接入网络,并采用一台Portal服务器承担Portal认证服务器和PortalWeb服务器的职责,采用RADIUS服务器作为认证/计费服务器.
具体要求如下:用户通过手工配置或DHCP获取的一个公网IP地址进行认证,在通过Portal认证前,只能访问Portal认证服务器;在通过Portal认证后,可以使用此IP地址访问非受限的互联网资源.
接入设备能够探测到Portal认证服务器是否可达,并输出可达状态变化的日志信息,在服务器不可达时(例如,网络连接中断、网络设备故障或服务器无法正常提供服务等情况),取消Portal认证,使得用户仍然可以正常访问网络.
接入设备能够与服务器定期进行用户信息的同步.
2.
组网图图1-23Portal认证服务器探测和用户同步信息功能配置组网图RouterHost2.
2.
2.
2/24Gateway:2.
2.
2.
1/24GE1/0/22.
2.
2.
1/24GE1/0/1192.
168.
0.
100/24Portalserver192.
168.
0.
111/24RADIUSserver192.
168.
0.
112/241-833.
配置思路(1)配置Portal认证服务器,并启动逃生心跳功能和用户心跳功能;(2)配置RADIUS服务器,实现正常的认证及计费功能;(3)接入设备通过接口GigabitEthernet1/0/2与用户主机直接相连,在该接口上配置直接方式的Portal认证;(4)接入设备上配置Portal认证服务器探测功能,在与Portal认证服务器的逃生心跳功能的配合下,对Portal认证服务器的可达状态进行探测;(5)接入设备上配置Portal用户信息同步功能,在与Portal认证服务器的用户心跳功能的配合下,与Portal认证服务器上的用户信息进行同步.
4.
配置步骤按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达.
完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行.
(1)配置Portal认证服务器(iMCPLAT5.
0)下面以iMC为例(使用iMC版本为:iMCPLAT5.
0(E0101)、iMCUAM5.
0(E0101)),说明Portalserver的基本配置.
#配置Portal认证服务器.
登录进入iMC管理平台,选择"业务"页签,单击导航树中的[Portal认证服务器管理/服务器配置]菜单项,进入服务器配置页面.
配置逃生心跳间隔时长及用户心跳间隔时长;其它参数使用缺省配置.
1-84图1-24Portal认证服务器配置页面#配置IP地址组.
单击导航树中的[Portal认证服务器管理/IP地址组配置]菜单项,进入PortalIP地址组配置页面,在该页面中单击按钮,进入增加IP地址组配置页面.
填写IP地址组名;输入起始地址和终止地址.
用户主机IP地址必须包含在该IP地址组范围内;选择业务分组,本例中使用缺省的"未分组";选择IP地址组的类型为"普通".
图1-25增加IP地址组配置页面#增加Portal设备.
单击导航树中的[Portal认证服务器管理/设备配置]菜单项,进入Portal设备配置页面,在该页面中单击按钮,进入增加设备信息配置页面.
填写设备名;1-85指定IP地址为与接入用户相连的设备接口IP;输入密钥,与接入设备Router上的配置保持一致;选择是否进行二次地址分配,本例中为直接认证,因此为否;选择支持逃生心跳功能和用户心跳功能.
图1-26增加设备信息配置页面#Portal设备关联IP地址组在Portal设备配置页面中的设备信息列表中,点击NAS设备的链接,进入端口组信息配置页面.
图1-27设备信息列表在端口组信息配置页面中点击按钮,进入增加端口组信息配置页面.
填写端口组名;选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组;其它参数采用缺省值.
1-86图1-28增加端口组信息配置页面(2)配置Portalserver(iMCPLAT7.
1)下面以iMC为例(使用iMC版本为:iMCPLAT7.
1(E0303)、iMCEIA7.
1(F0303)),说明Portalserver的基本配置.
#配置Portal认证服务器.
登录进入iMC管理平台,选择"用户"页签,单击导航树中的[接入策略管理/Portal服务器管理/服务器配置]菜单项,进入服务器配置页面.
根据实际组网情况调整以下参数,本例中使用缺省配置.
1-87图1-29Portal服务器配置页面#配置IP地址组.
单击导航树中的[接入策略管理/Portal服务器管理/IP地址组配置]菜单项,进入PortalIP地址组配置页面,在该页面中单击按钮,进入增加IP地址组配置页面.
填写IP地址组名;输入起始地址和终止地址.
用户主机IP地址必须包含在该IP地址组范围内;选择业务分组,本例中使用缺省的"未分组";选择IP地址组的类型为"普通".
1-88图1-30增加IP地址组配置页面#增加Portal设备.
单击导航树中的[接入策略管理/Portal服务器管理/设备配置]菜单项,进入Portal设备配置页面,在该页面中单击按钮,进入增加设备信息配置页面.
填写设备名;指定IP地址为与接入用户相连的设备接口IP;输入密钥,与接入设备Router上的配置保持一致;组网方式选择,本例中为直接认证,因此选择直连;选择是否支持逃生心跳功能和用户心跳功能,本例中不支持.
1-89图1-31增加设备信息配置页面#Portal设备关联IP地址组在Portal设备配置页面中的设备信息列表中,点击NAS设备的操作项中的链接,进入端口组信息配置页面.
图1-32设备信息列表1-90在端口组信息配置页面中点击按钮,进入增加端口组信息配置页面.
填写端口组名;选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组;其它参数采用缺省值.
图1-33增加端口组信息配置页面(3)配置Router配置RADIUS方案#创建名称为rs1的RADIUS方案并进入该方案视图.
system-view[Router]radiusschemers1#配置RADIUS方案的主认证和主计费服务器及其通信密钥.
[Router-radius-rs1]primaryauthentication192.
168.
0.
112[Router-radius-rs1]primaryaccounting192.
168.
0.
112[Router-radius-rs1]keyauthenticationsimpleradius[Router-radius-rs1]keyaccountingsimpleradius#配置发送给RADIUS服务器的用户名不携带ISP域名.
[Router-radius-rs1]user-name-formatwithout-domain[Router-radius-rs1]quit#开启RADIUSsessioncontrol功能.
[Router]radiussession-controlenable配置认证域#创建并进入名称为dm1的ISP域.
[Router]domaindm1#配置ISP域的RADIUS方案rs1.
[Router-isp-dm1]authenticationportalradius-schemers11-91[Router-isp-dm1]authorizationportalradius-schemers1[Router-isp-dm1]accountingportalradius-schemers1[Router-isp-dm1]quit#配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方式.
若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案.
[Router]domaindefaultenabledm1配置Portal认证#配置Portal认证服务器:名称为newpt,IP地址为192.
168.
0.
111,密钥为明文portal,监听Portal报文的端口为50100.
[Router]portalservernewpt[Router-portal-server-newpt]ip192.
168.
0.
111keysimpleportal[Router-portal-server-newpt]port50100#配置对Portal认证服务器newpt的探测功能:每次探测间隔时间为40秒,若服务器可达状态改变,则发送日志信息.
[Router-portal-server-newpt]server-detecttimeout40log此处timeout取值应该大于等于Portal认证服务器的逃生心跳间隔时长.
#配置对Portal认证服务器newpt的Portal用户信息同步功能,检测用户同步报文的时间间隔为600秒,如果设备中的某用户信息在600秒内未在该Portal认证服务器发送的同步报文中出现,设备将强制该用户下线.
[Router-portal-server-newpt]user-synctimeout600[Router-portal-server-newpt]quit此处timeout取值应该大于等于Portal认证服务器上的用户心跳间隔时长.
#配置PortalWeb服务器的URL为http://192.
168.
0.
111:8080/portal.
(PortalWeb服务器的URL请与实际环境中的PortalWeb服务器配置保持一致,此处仅为示例)[Router]portalweb-servernewpt[Router-portal-websvr-newpt]urlhttp://192.
168.
0.
111:8080/portal[Router-portal-websvr-newpt]quit#在接口GigabitEthernet1/0/2上开启直接方式的Portal认证.
[Router]interfacegigabitethernet1/0/2[Router–GigabitEthernet1/0/2]portalenablemethoddirect#开启Portal认证服务器newpt不可达时的Portal用户逃生功能.
[Router–GigabitEthernet1/0/2]portalfail-permitservernewpt#在接口GigabitEthernet1/0/2上引用PortalWeb服务器newpt.
[Router–GigabitEthernet1/0/2]portalapplyweb-servernewpt#在接口GigabitEthernet1/0/2上设置发送给Portal报文中的BAS-IP属性值为2.
2.
2.
1.
[Router–GigabitEthernet1/0/2]portalbas-ip2.
2.
2.
11-92[Router–GigabitEthernet1/0/2]quit5.
验证配置以上配置完成后,可以通过执行以下命令查看到Portal认证服务器的状态为Up,说明当前Portal认证服务器可达.
[Router]displayportalservernewptPortalserver:newptType:IMCIP:192.
168.
0.
111VPNinstance:NotconfiguredPort:50100ServerDetection:Timeout40sAction:logUsersynchronization:Timeout600sStatus:Up之后,若接入设备探测到Portal认证服务器不可达了,可通过以上显示命令查看到Portal认证服务器的状态为Down,同时,设备会输出表示服务器不可达的日志信息"Portalservernewptturnsdownfromup.
",并取消对该接口接入的用户的Portal认证,使得用户可以直接访问外部网络.
1.
34.
8可跨三层Portal认证支持多实例配置举例1.
组网需求连接客户端的PE设备RouterA对私网VPN1中的用户Host进行Portal接入认证,RADIUS服务器和Portal服务器位于私网VPN3中.
配置RouterA采用可跨三层Portal认证.
用户在通过身份认证后,可以访问非受限网络资源.
采用一台Portal服务器承担Portal认证服务器、PortalWeb服务器和RADIUS服务器的职责.
2.
组网图图1-34配置可跨三层Portal认证支持多实例组网图PMPLSbackbonePEPECEVPN1VPN3(Portalserver/RADIUSserver)192.
168.
0.
111/24CEGE1/0/13.
3.
0.
3/24HostRouterARouterB1-933.
配置步骤启动Portal之前,需要首先配置MPLSL3VPN功能,通过为VPN1和VPN3指定匹配的VPNTarget,确保VPN1和VPN3可以互通.
本例仅介绍连接客户端的PE上接入认证的相关配置,其它配置请参考"MPLS配置指导"中的"MPLSL3VPN".
完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行.
在RouterA上进行以下配置.
(1)配置RADIUS方案#创建名称为rs1的RADIUS方案并进入该方案视图.
system-view[RouterA]radiusschemers1#配置RADIUS方案所属的VPN实例为vpn3.
该VPN实例为连接服务器的接口上绑定的VPN实例,具体请以RouterA上的MPLSL3VPN配置为准.
[RouterA-radius-rs1]vpn-instancevpn3#配置RADIUS方案的主认证和主计费服务器及其通信密钥.
[RouterA-radius-rs1]primaryauthentication192.
168.
0.
111[RouterA-radius-rs1]primaryaccounting192.
168.
0.
111[RouterA-radius-rs1]keyaccountingsimpleradius[RouterA-radius-rs1]keyauthenticationsimpleradius#配置向RADIUS服务器发送的用户名不携带域名.
[RouterA-radius-rs1]user-name-formatwithout-domain#配置发送RADIUS报文使用的源地址为3.
3.
0.
3.
[RouterA-radius-rs1]nas-ip3.
3.
0.
3[RouterA-radius-rs1]quit#开启RADIUSsessioncontrol功能.
[RouterA]radiussession-controlenable建议通过命令nas-ip指定设备发送RADIUS报文的源地址,并与服务器上指定的接入设备IP保持一致,避免未指定源地址的情况下,设备选择的源地址与服务器上指定的接入设备IP不一致,而造成认证失败.
(2)配置认证域#创建并进入名称为dm1的ISP域.
[RouterA]domaindm1#配置ISP域的RADIUS方案rs1.
[RouterA-isp-dm1]authenticationportalradius-schemers1[RouterA-isp-dm1]authorizationportalradius-schemers1[RouterA-isp-dm1]accountingportalradius-schemers1[RouterA-isp-dm1]quit1-94#配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方式.
若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案.
[RouterA]domaindefaultenabledm1(3)配置Portal认证#配置Portal认证服务器:名称为newpt,IP地址为192.
168.
0.
111,密钥为明文portal,所属VPN实例名称为vpn3,监听Portal报文的端口为50100.
[RouterA]portalservernewpt[RouterA-portal-server-newpt]ip192.
168.
0.
111vpn-instancevpn3keysimpleportal[RouterA-portal-server-newpt]port50100[RouterA-portal-server-newpt]quit#配置PortalWeb服务器的URL为http://192.
168.
0.
111:8080/portal,所属VPN实例名称为vpn3.
(PortalWeb服务器的URL请与实际环境中的PortalWeb服务器配置保持一致,此处仅为示例)[RouterA]portalweb-servernewpt[RouterA-portal-websvr-newpt]urlhttp://192.
168.
0.
111:8080/portal[RouterA-portal-websvr-newpt]vpn-instancevpn3[RouterA-portal-websvr-newpt]quit#在接口GigabitEthernet1/0/1上开启可跨三层方式的Portal认证.
[RouterA]interfacegigabitethernet1/0/1[RouterA–GigabitEthernet1/0/1]portalenablemethodlayer3#在接口GigabitEthernet1/0/1上引用PortalWeb服务器newpt.
[RouterA–GigabitEthernet1/0/1]portalapplyweb-servernewpt#在接口GigabitEthernet1/0/1上设置发送给Portal报文中的BAS-IP属性值为3.
3.
0.
3.
[RouterA–GigabitEthernet1/0/1]portalbas-ip3.
3.
0.
3[RouterA–GigabitEthernet1/0/1]quit4.
验证配置结果以上配置完成后,通过执行命令displayportalinterface可查看Portal配置是否生效.
用户认证通过后,通过执行命令displayportaluser查看RouterA上生成的Portal在线用户信息.
[RouterA]displayportaluserallTotalportalusers:1Username:abcPortalserver:newptState:OnlineVPNinstance:vpn3MACIPVLANInterface000d-88f7-c2683.
3.
0.
1--GigabitEthernet1/0/1Authorizationinformation:DHCPIPpool:N/AUserprofile:N/ASessiongroupprofile:N/AACL:N/ACAR:N/A1-951.
34.
9Portal直接认证支持认证前域配置举例1.
组网需求用户主机与接入设备Router直接相连,采用直接方式的Portal认证.
由Router作为DHCP服务器为用户分配IP地址.
用户通过DHCP获取的一个公网IP地址进行认证,在没有通过身份认证时仅可以访问192.
168.
0.
0/24网段;在通过认证后,可以使用此IP地址访问非受限互联网资源.
采用一台Portal服务器承担Portal认证服务器和PortalWeb服务器的职责.
采用RADIUS服务器作为认证/计费服务器.
2.
组网图图1-35配置Portal直接认证支持认证前域组网图3.
配置步骤按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达.
完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行.
(1)配置为认证前用户分配IP地址的地址池#创建并进入名称为pre的地址池.
system-view[Router]dhcpserverip-poolpre[Router-dhcp-pool-pre]gateway-list2.
2.
2.
1[Router-dhcp-pool-pre]network2.
2.
2.
024[Router-dhcp-pool-pre]quit#配置接口GigabitEthernet1/0/2工作在DHCP服务器模式.
[Router]interfacegigabitethernet1/0/2[Router–GigabitEthernet1/0/2]dhcpselectserver[Router–GigabitEthernet1/0/2]quit(2)配置Portal用户认证前使用的认证域#创建并进入名称为abc的ISP域.
RouterHost2.
2.
2.
2/24Gateway:2.
2.
2.
1/24GE1/0/22.
2.
2.
1/24GE1/0/1192.
168.
0.
100/24Portalserver192.
168.
0.
111/24RADIUSserver192.
168.
0.
112/241-96[Router]domainabc#配置ISP域中的授权ACL属性.
[Router-isp-abc]authorization-attributeacl3010[Router-isp-abc]quit#配置ACL3010,允许192.
168.
0.
0/24网段的报文通过.
[Router]acladvanced3010[Router-acl-ipv4-adv-3010]rule1permitipdestination192.
168.
0.
00.
0.
0.
255[Router-acl-ipv4-adv-3010]quit#在接口GigabitEthernet1/0/2上配置Portal用户认证前使用的认证域为abc.
[Router]interfacegigabitethernet1/0/2[Router–GigabitEthernet1/0/2]portalpre-authdomainabc[Router–GigabitEthernet1/0/2]quit(3)配置Portal认证#配置Portal认证服务器:名称为newpt,IP地址为192.
168.
0.
111,密钥为明文portal,监听Portal报文的端口为50100.
[Router]portalservernewpt[Router-portal-server-newpt]ip192.
168.
0.
111keysimpleportal[Router-portal-server-newpt]port50100[Router-portal-server-newpt]quit#配置PortalWeb服务器的URL为http://192.
168.
0.
111:8080/portal.
(PortalWeb服务器的URL请与实际环境中的PortalWeb服务器配置保持一致,此处仅为示例)[Router]portalweb-servernewpt[Router-portal-websvr-newpt]urlhttp://192.
168.
0.
111:8080/portal[Router-portal-websvr-newpt]quit#在接口GigabitEthernet1/0/2上开启直接方式的Portal认证.
[Router]interfacegigabitethernet1/0/2[Router–GigabitEthernet1/0/2]portalenablemethoddirect#在接口GigabitEthernet1/0/2上引用PortalWeb服务器newpt.
[Router–GigabitEthernet1/0/2]portalapplyweb-servernewpt#在接口GigabitEthernet1/0/2上设置发送给Portal报文中的BAS-IP属性值为2.
2.
2.
1.
[Router–GigabitEthernet1/0/2]portalbas-ip2.
2.
2.
1[Router–GigabitEthernet1/0/2]quit4.
验证配置以上配置完成后,通过执行命令displayportalinterface可查看Portal配置是否生效.
Portal用户在通过Portal认证前,受认证前域中配置的授权信息限制,只能访问192.
168.
0.
0/24网段,对其余网段的Web访问均被重定向到Portal认证页面.
通过Portal认证后,则可访问未受限的互联网资源.
Portal用户下线后,Router上会重新生成认证前用户.
可通过执行以下显示命令查看Router上生成的Portal认证前用户信息.
[Router]displayportaluserpre-authinterfacegigabitethernet1/0/2MACIPVLANInterface0015-e9a6-7cfe2.
2.
2.
4--GigabitEthernet1/0/2State:OnlineVPNinstance:--Authorizationinformation:1-97DHCPIPpool:N/AUserprofile:N/ASessiongroupprofile:N/AACLnumber:3010InboundCAR:N/AOutboundCAR:N/A1.
34.
10Portal二次地址分配认证支持认证前域配置举例1.
组网需求用户主机与接入设备Router直接相连,采用二次地址分配方式的Portal认证.
用户通过DHCP服务器获取IP地址,Portal认证前使用分配的一个私网地址;通过Portal认证后,用户申请到一个公网地址.
用户在没有通过身份认证时仅可以访问192.
168.
0.
0/24网段;在通过认证后,可以使用分配的公网地址访问非受限互联网资源.
采用一台Portal服务器承担Portal认证服务器和PortalWeb服务器的职责.
采用RADIUS服务器作为认证/计费服务器.
2.
组网图图1-36配置Portal二次地址分配认证支持认证前域组网图192.
168.
0.
111/24192.
168.
0.
113/24192.
168.
0.
112/24RouterHostAutomaticallyobtainsanIPaddressGE1/0/220.
20.
20.
1/2410.
0.
0.
1/24subGE1/0/1192.
168.
0.
100/24PortalserverRADIUSserverDHCPserver1-983.
配置步骤Portal二次地址分配认证方式应用中,DHCP服务器上需创建公网地址池(20.
20.
20.
0/24)及私网地址池(10.
0.
0.
0/24),具体配置略.
Portal二次地址分配认证方式应用中,接入设备需要配置DHCP中继来配合Portal认证,且启动Portal的接口需要配置主IP地址(公网IP)及从IP地址(私网IP).
关于DHCP中继的详细配置请参见"三层技术-IP业务配置指导"中的"DHCP中继".
请保证在Portal认证服务器上添加的Portal设备的IP地址为与用户相连的接口的公网IP地址(20.
20.
20.
1),且与该Portal设备关联的IP地址组中的转换前地址为用户所在的私网网段(10.
0.
0.
0/24)、转换后地址为公网网段(20.
20.
20.
0/24).
按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达.
完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行.
如果开启Portal的接口上配置了认证前用户使用的IP地址池,为保证DHCP服务器可以为用户分配到私网网段地址,需要在接入设备上配置同名的中继地址池,该地址池下必须指定私网用户所在的网段地址,以及该地址池对应的DHCP服务器地址.
其中,指定私网用户所在的网段地址时,必须指定export-route参数.
(1)配置Portal用户认证前使用的认证域#创建并进入名称为abc的ISP域.
system-view[Router]domainabc#配置ISP域中的授权ACL属性.
[Router-isp-abc]authorization-attributeacl3010[Router-isp-abc]quit#配置ACL3010,允许192.
168.
0.
0/24网段的报文通过.
[Router]acladvanced3010[Router-acl-ipv4-adv-3010]rule1permitipdestination192.
168.
0.
00.
0.
0.
255[Router-acl-ipv4-adv-3010]quit#在接口GigabitEthernet1/0/2上配置Portal用户认证前使用的认证域为abc.
[Router]interfacegigabitethernet1/0/2[Router–GigabitEthernet1/0/2]portalpre-authdomainabc[Router–GigabitEthernet1/0/2]quit(2)配置DHCP中继和授权ARP#配置DHCP中继.
[Router]dhcpenable[Router]dhcprelayclient-informationrecord[Router]interfacegigabitethernet1/0/2[Router–GigabitEthernet1/0/2]ipaddress20.
20.
20.
1255.
255.
255.
0[Router–GigabitEthernet1/0/2]ipaddress10.
0.
0.
1255.
255.
255.
0sub[Router-GigabitEthernet1/0/2]dhcpselectrelay1-99[Router-GigabitEthernet1/0/2]dhcprelayserver-address192.
168.
0.
112#开启授权ARP功能.
[Router-GigabitEthernet1/0/2]arpauthorizedenable[Router-GigabitEthernet1/0/2]quit(3)配置Portal认证#配置Portal认证服务器:名称为newpt,IP地址为192.
168.
0.
111,密钥为明文portal,监听Portal报文的端口为50100.
[Router]portalservernewpt[Router-portal-server-newpt]ip192.
168.
0.
111keysimpleportal[Router-portal-server-newpt]port50100[Router-portal-server-newpt]quit#配置PortalWeb服务器的URL为http://192.
168.
0.
111:8080/portal.
(PortalWeb服务器的URL请与实际环境中的PortalWeb服务器配置保持一致,此处仅为示例)[Router]portalweb-servernewpt[Router-portal-websvr-newpt]urlhttp://192.
168.
0.
111:8080/portal[Router-portal-websvr-newpt]quit#在接口GigabitEthernet1/0/2上开启二次地址方式的Portal认证.
[Router]interfacegigabitethernet1/0/2[Router-GigabitEthernet1/0/2]portalenablemethodredhcp#在接口GigabitEthernet1/0/2上引用PortalWeb服务器newpt.
[Router–GigabitEthernet1/0/2]portalapplyweb-servernewpt#在接口GigabitEthernet1/0/2上设置发送给Portal报文中的BAS-IP属性值为20.
20.
20.
1.
[Router–GigabitEthernet1/0/2]portalbas-ip20.
20.
20.
1[Router–GigabitEthernet1/0/2]quit4.
验证配置以上配置完成后,通过执行命令displayportalinterface可查看Portal配置是否生效.
Portal认证前用户在通过Portal认证前,受认证前域中配置的授权信息限制,只能访问192.
168.
0.
0/24网段,对其余网段的Web访问均被重定向到Portal认证页面.
通过Portal认证后,则可访问未受限的互联网资源.
Portal用户下线后,Router上会重新生成认证前用户.
可通过执行以下显示命令查看Router上生成的Portal认证前用户信息.
[Router]displayportaluserpre-authinterfacegigabitethernet1/0/2MACIPVLANInterface0015-e9a6-7cfe10.
10.
10.
4--GigabitEthernet1/0/2State:OnlineVPNinstance:--DHCPIPpool:N/AUserprofile:N/ASessiongroupprofile:N/AACLnumber:3010InboundCAR:N/AOutboundCAR:N/A1-1001.
34.
11使用本地PortalWeb服务器的直接Portal认证配置举例1.
组网需求用户主机与接入设备Router直接相连,采用直接方式的Portal认证.
用户通过手工配置或DHCP获取的一个公网IP地址进行认证,在通过Portal认证前,只能访问PortalWeb服务器;在通过Portal认证后,可以使用此IP地址访问非受限的互联网资源.
Router同时承担PortalWeb服务器和Portal认证服务器的职责.
采用RADIUS服务器作为认证/计费服务器.
配置本地PortalWeb服务器使用HTTP协议,且HTTP服务侦听的TCP端口号为2331.
2.
组网图图1-37使用本地PortalWeb服务器的直接Portal认证组网图3.
配置步骤按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达.
完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行.
按照自定义认证页面文件编辑规范,完成认证页面的编辑.
并上传到设备存储介质的根目录下.
配置RADIUS方案#创建名称为rs1的RADIUS方案并进入该方案视图.
system-view[Router]radiusschemers1#配置RADIUS方案的主认证和主计费服务器及其通信密钥.
[Router-radius-rs1]primaryauthentication192.
168.
0.
112[Router-radius-rs1]primaryaccounting192.
168.
0.
112[Router-radius-rs1]keyauthenticationsimpleradius[Router-radius-rs1]keyaccountingsimpleradius#配置发送给RADIUS服务器的用户名不携带ISP域名.
[Router-radius-rs1]user-name-formatwithout-domain[Router-radius-rs1]quit#开启RADIUSsessioncontrol功能.
[Router]radiussession-controlenable配置认证域192.
168.
0.
112/24RouterHostGE1/0/22.
2.
2.
1/24GE1/0/1192.
168.
0.
100/24RADIUSserver2.
2.
2.
2/24Gateway:2.
2.
2.
11-101#创建并进入名称为dm1的ISP域.
[Router]domaindm1#配置ISP域使用的RADIUS方案rs1.
[Router-isp-dm1]authenticationportalradius-schemers1[Router-isp-dm1]authorizationportalradius-schemers1[Router-isp-dm1]accountingportalradius-schemers1[Router-isp-dm1]quit#配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方式.
若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案.
[Router]domaindefaultenabledm1配置Portal认证#配置PortalWeb服务器的URL为http://2.
2.
2.
1:2331/portal(PortalWeb服务器的URL可配置为开启Portal认证的接口的IP地址或除127.
0.
0.
1以外的Loopback接口的IP地址).
[Router]portalweb-servernewpt[Router-portal-websvr-newpt]urlhttp://2.
2.
2.
1:2331/portal[Router-portal-websvr-newpt]quit#在接口GigabitEthernet1/0/2上开启直接方式的Portal认证.
[Router]interfacegigabitethernet1/0/2[Router–GigabitEthernet1/0/2]portalenablemethoddirect#在接口GigabitEthernet1/0/2上引用PortalWeb服务器newpt.
[Router–GigabitEthernet1/0/2]portalapplyweb-servernewpt[Router–GigabitEthernet1/0/2]quit#创建本地PortalWeb服务器,进入本地PortalWeb服务器视图,并指定使用HTTP协议和客户端交互认证信息.
[Router]portallocal-web-serverhttp#配置本地PortalWeb服务器提供的缺省认证页面文件为abc.
zip(设备的存储介质的根目录下必须已存在该认证页面文件,否则功能不生效).
[Router–portal-local-websvr-http]default-logon-pageabc.
zip#配置本地PortalWeb服务器的HTTP服务侦听的TCP端口号为2331.
[Router–portal-local-webserver-http]tcp-port2331[Router–portal-local-webserver-http]quit4.
验证配置以上配置完成后,通过执行以下显示命令可查看Portal配置是否生效.
[Router]displayportalinterfacegigabitethernet1/0/2PortalinformationofGigabitEthernet1/0/2VSRPinstance:--VSRPstate:N/AAuthorizationStrictcheckingACLDisabledUserprofileDisabledIPv4:Portalstatus:EnabledAuthenticationtype:DirectPortalWebserver:newpt(active)1-102SecondaryportalWebserver:NotconfiguredAuthenticationdomain:NotconfiguredPre-authdomain:NotconfiguredUser-dhcp-only:DisabledPre-authIPpool:NotconfiguredMaxportalusers:NotconfiguredBas-ip:NotconfiguredUserdetection:NotconfiguredActionforserverdetection:ServertypeServernameAction------Layer3sourcenetwork:IPaddressMaskDestinationauthenticatesubnet:IPaddressMaskIPv6:Portalstatus:DisabledAuthenticationtype:DisabledPortalWebserver:NotconfiguredSecondaryportalWebserver:NotconfiguredAuthenticationdomain:NotconfiguredPre-authdomain:NotconfiguredUser-dhcp-only:DisabledPre-authIPpool:NotconfiguredMaxportalusers:NotconfiguredBas-ipv6:NotconfiguredUserdetection:NotconfiguredActionforserverdetection:ServertypeServernameAction------Layer3sourcenetwork:IPaddressPrefixlengthDestinationauthenticatesubnet:IPaddressPrefixlength使用本地PortalWeb服务器进行Portal认证的组网环境中,只支持通过网页方式进行Portal认证.
用户在通过认证前,只能访问认证页面http://2.
2.
2.
1:2331/portal,且发起的Web访问均被重定向到该认证页面,在通过认证后,可访问非受限的互联网资源.
Portal用户认证通过后,可通过执行以下显示命令查看Router上生成的Portal在线用户信息.
[Router]displayportaluserinterfacegigabitethernet1/0/2Totalportalusers:1Username:abcPortalserver:newptState:OnlineVPNinstance:--MACIPVLANInterface0015-e9a6-7cfe2.
2.
2.
2--GigabitEthernet1/0/21-103Authorizationinformation:IPpool:N/AUserprofile:N/ASessiongroupprofile:N/AACL:N/ACAR:N/A1.
34.
12Portal基于MAC地址的快速认证配置举例1.
组网需求用户主机通过接入设备Router接入网络,采用直接方式的Portal认证.
用户通过手工配置或DHCP获取的一个公网IP地址进行认证,在通过Portal认证前,只能访问PortalWeb服务器;在通过Portal认证后,可以使用此IP地址访问非受限的互联网资源.
采用一台服务器同时承担Portal认证服务器、PortalWeb服务器以及MAC绑定服务器的职责.
采用RADIUS服务器作为认证/计费服务器.
2.
组网图图1-38配置Portal基于MAC地址的快速认证组网图3.
配置步骤按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达.
完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行.
(1)配置Portalserver(iMCPLAT7.
1)Host2.
2.
2.
2/24Gateway:2.
2.
2.
1/24Portalserver192.
168.
0.
111/24RADIUSserver192.
168.
0.
112/24GE1/0/22.
2.
2.
1/24GE1/0/1192.
168.
0.
100/24Router1-104下面以iMC为例(使用iMC版本为:iMCPLAT7.
1(E0303)、iMCEIA7.
1(F0303)、iMCEIP7.
1(F0303))说明Portalserver的基本配置.
#配置Portal认证服务.
登录进入iMC管理平台,选择"用户"页签,单击导航树中的[接入策略管理/Portal服务管理/服务器配置]菜单项,进入服务器配置页面.
根据实际组网情况调整以下参数,本例中使用缺省配置.
图1-39Portal认证服务器配置页面#配置IP地址组.
单击导航树中的[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入PortalIP地址组配置页面,在该页面中单击按钮,进入增加IP地址组配置页面.
填写IP地址组名;输入起始地址和终止地址,输入的地址范围中应包含用户主机的IP地址;选择业务分组,本例中使用缺省的"未分组";选择IP地址组的类型为"普通".
1-105图1-40增加IP地址组配置页面#增加Portal设备.
单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项,进入Portal设备配置页面,在该页面中单击按钮,进入增加设备信息配置页面.
填写设备名;指定IP地址为与接入用户相连的设备接口IP;选择是否支持逃生心跳功能和用户心跳功能,本例中选择否.
输入密钥,与接入设备Router上的配置保持一致;选择组网方式为直连;1-106图1-41增加设备信息配置页面#Portal设备关联IP地址组.
在Portal设备配置页面中的设备信息列表中,点击NAS设备的链接,进入端口组信息配置页面.
图1-42设备信息列表在端口组信息配置页面中点击按钮,进入增加端口组信息配置页面.
填写端口组名;选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组;无感知认证选择"支持";其它参数可采用缺省配置.
1-107图1-43增加端口组信息配置页面#最后单击导航树中的[接入策略管理/业务参数配置/系统配置手工生效]菜单项,使以上Portal认证服务器配置生效.
(2)配置MAC绑定服务器(iMCPLAT7.
1)#增加接入策略单击导航树中的[接入策略管理/接入策略管理]菜单项,并点击按钮,进入"增加接入策略"页面.
填写接入策略名;选择业务分组;其它参数可采用缺省配置.
1-108图1-44增加接入策略配置#增加接入服务单击导航树中的[接入策略管理/接入服务管理]菜单项,并点击按钮,进入"增加接入服务配置"页面.
填写服务名;勾选"Portal无感知认证";其它参数可采用缺省配置.
图1-45增加接入服务配置#增加接入用户单击导航树中的[接入用户管理/接入用户]菜单项,并点击按钮,进入增加接入用户页面.
在接入信息部分:选择可接入的用户;设置密码;1-109设置"Portal无感知认证最大绑定数".
图1-46增加接入用户#配置系统参数单击导航树中的[接入策略管理/业务参数配置/系统配置]菜单项,并点击[终端管理参数配置]对应的按钮,进入终端管理参数配置页面.
"非智能终端Portal无感知认证"可根据实际需要启用或禁用,本例中为启用.
图1-47配置终端管理参数单击导航树中的[接入策略管理/业务参数配置/系统配置]菜单项,点击[终端老化时长]对应的按钮后点击,进入终端老化时长配置页面.
根据实际需要配置终端老化时间,本例中采用缺省值.
1-110图1-48配置终端老化时长#最后单击导航树中的[接入策略管理/业务参数配置/系统配置手工生效]菜单项,使以上配置生效.
(3)配置Router配置RADIUS方案#创建名称为rs1的RADIUS方案,并进入该方案视图.
system-view[Router]radiusschemers1#配置RADIUS方案的主认证和主计费服务器及其通信密钥.
[Router-radius-rs1]primaryauthentication192.
168.
0.
112[Router-radius-rs1]primaryaccounting192.
168.
0.
112[Router-radius-rs1]keyauthenticationsimpleradius[Router-radius-rs1]keyaccountingsimpleradius#配置发送给RADIUS服务器的用户名不携带ISP域名.
[Router-radius-rs1]user-name-formatwithout-domain[Router-radius-rs1]quit#开启RADIUSsessioncontrol功能.
[Router]radiussession-controlenable配置认证域#创建并进入名称为dm1的ISP域.
[Router]domaindm1#配置ISP域的AAA方法.
[Router-isp-dm1]authenticationportalradius-schemers1[Router-isp-dm1]authorizationportalradius-schemers1[Router-isp-dm1]accountingportalradius-schemers1[Router-isp-dm1]quit#配置系统缺省的ISP域为dm1,所有接入用户共用此缺省域的认证和计费方法.
若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法.
[Router]domaindefaultenabledm1配置Portal认证#配置Portal认证服务器:名称为newpt,IP地址为192.
168.
0.
111,密钥为明文portal,监听Portal报文的端口为50100.
[Router]portalservernewpt[Router-portal-server-newpt]ip192.
168.
0.
111keysimpleportal1-111[Router-portal-server-newpt]port50100[Router-portal-server-newpt]quit#配置PortalWeb服务器的URL为http://192.
168.
0.
111:8080/portal.
(PortalWeb服务器的URL请与实际环境中的PortalWeb服务器配置保持一致,此处仅为示例)[Router]portalweb-servernewpt[Router-portal-websvr-newpt]urlhttp://192.
168.
0.
111:8080/portal[Router-portal-websvr-newpt]quit#在接口GigabitEthernet1/0/2上开启直接方式的Portal认证.
[Router]interfacegigabitethernet1/0/2[Router-GigabitEthernet1/0/2]portalenablemethoddirect#在接口GigabitEthernet1/0/2上引用PortalWeb服务器newpt.
[Router-GigabitEthernet1/0/2]portalapplyweb-servernewpt#在接口GigabitEthernet1/0/2上设置发送给Portal认证服务器的Portal报文中的BAS-IP属性值为2.
2.
2.
1.
[Router-GigabitEthernet1/0/2]portalbas-ip2.
2.
2.
1[Router-GigabitEthernet1/0/2]quit配置Portal基于MAC地址的快速认证#创建MAC绑定服务器mts.
[Router]portalmac-trigger-servermts#配置用户免认证流量的阈值为1024000字节.
[Router-portal-mac-trigger-server-mts]free-trafficthreshold1024000#配置MAC绑定服务器的地址为192.
168.
0.
111.
[Router-portal-mac-trigger-server-mts]ip192.
168.
0.
111[Router-portal-mac-trigger-server-mts]quit#在接口GigabitEthernet1/0/2上应用MAC绑定服务器mts.
[Router]interfacegigabitethernet1/0/2[Router-GigabitEthernet1/0/2]portalapplymac-trigger-servermts[Router-GigabitEthernet1/0/2]quit4.
验证配置通过执行以下显示命令可查看MAC绑定服务器配置.
[Router]displayportalmac-trigger-servernamemtsPortalmac-triggerserver:mtsVersion:1.
0Servertype:IMCIP:192.
168.
0.
111Port:50100VPNinstance:NotconfiguredAgingtime:300secondsFree-trafficthreshold:1024000bytesNAS-Port-Type:NotconfiguredBindingretrytimes:3Bindingretryinterval:1secondsAuthenticationtimeout:3minutes1-112用户可以使用H3C的iNode客户端或通过网页方式进行Portal认证.
用户在通过认证前,发起的所有Web访问均被重定向到Portal认证页面(http://192.
168.
0.
111:8080/portal),在通过认证后,可访问非受限的互联网资源.
用户在首次进行Portal认证时,需要手工输入用户名和密码.
当用户再次上线时,将可以直接访问互联网资源,不会感知到Portal认证过程.
通过执行以下显示命令查看Router上生成的Portal在线用户信息.
[Router]displayportaluserinterfacegigabitethernet1/0/2Totalportalusers:1Username:Client1Portalserver:newptState:OnlineVPNinstance:N/AMACIPVLANInterface0015-e9a6-7cfe2.
2.
2.
2--GigabitEthernet1/0/2Authorizationinformation:DHCPIPpool:N/AUserprofile:N/ASessiongroupprofile:N/AACL:N/ACAR:N/A1.
35Portal典型配置举例(无线应用)文中的AP指的是支持WLAN功能的路由器.
仅MSR3610-X1/3610-X1-DP/3610-X1-DC/3610-X1-DP-DC/5620/5660/5680/3600-28-SI/3600-51-SI路由器不支持WLAN功能.
1.
35.
1Portal直接认证配置举例1.
组网需求在本地转发模式下,对通过无线接入的用户采用直接认证方式.
无线客户端通过手工配置或DHCP获取的一个公网IP地址进行认证,在通过Portal认证前,只能访问PortalWeb服务器;在通过Portal认证后,可以使用此IP地址访问非受限互联网资源.
采用一台Portal服务器承担Portal认证服务器和PortalWeb服务器的职责.
采用RADIUS服务器作为认证/计费服务器.
1-1132.
组网图图1-49配置Portal直接认证组网图3.
配置步骤按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达.
完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行.
(1)配置Portalserver(iMCPLAT5.
0)下面以iMC为例(使用iMC版本为:iMCPLAT5.
0(E0101)、iMCUAM5.
0(E0101)),说明Portalserver的基本配置.
#配置Portal认证服务器.
登录进入iMC管理平台,选择"业务"页签,单击导航树中的[Portal认证服务器管理/服务器配置]菜单项,进入服务器配置页面.
根据实际组网情况调整以下参数,本例中使用缺省配置.
Client2.
2.
2.
2/24Gateway:2.
2.
2.
1/24Vlan-int2192.
168.
0.
100/24Portalserver192.
168.
0.
111/24RADIUSserver192.
168.
0.
112/24SwitchAPVlan-int1002.
2.
2.
1/241-114图1-50Portal认证服务器配置页面#配置IP地址组.
单击导航树中的[Portal认证服务器管理/IP地址组配置]菜单项,进入PortalIP地址组配置页面,在该页面中单击按钮,进入增加IP地址组配置页面.
填写IP地址组名;输入起始地址和终止地址.
用户主机IP地址必须包含在该IP地址组范围内;选择业务分组,本例中使用缺省的"未分组";选择IP地址组的类型为"普通".
图1-51增加IP地址组配置页面#增加Portal设备.
单击导航树中的[Portal认证服务器管理/设备配置]菜单项,进入Portal设备配置页面,在该页面中单击按钮,进入增加设备信息配置页面.
填写设备名;1-115指定IP地址为与接入用户相连的设备接口IP;输入密钥,与接入设备Router上的配置保持一致;选择是否进行二次地址分配,本例中为直接认证,因此为否;选择是否支持逃生心跳功能和用户心跳功能,本例中不支持.
图1-52增加设备信息配置页面#Portal设备关联IP地址组在Portal设备配置页面中的设备信息列表中,点击NAS设备的链接,进入端口组信息配置页面.
图1-53设备信息列表在端口组信息配置页面中点击按钮,进入增加端口组信息配置页面.
填写端口组名;选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组;其它参数采用缺省值.
1-116图1-54增加端口组信息配置页面(2)配置Portalserver(iMCPLAT7.
1)下面以iMC为例(使用iMC版本为:iMCPLAT7.
1(E0303)、iMCEIA7.
1(F0303)),说明Portalserver的基本配置.
#配置Portal认证服务器.
登录进入iMC管理平台,选择"用户"页签,单击导航树中的[接入策略管理/Portal服务器管理/服务器配置]菜单项,进入服务器配置页面.
根据实际组网情况调整以下参数,本例中使用缺省配置.
1-117图1-55Portal服务器配置页面#配置IP地址组.
单击导航树中的[接入策略管理/Portal服务器管理/IP地址组配置]菜单项,进入PortalIP地址组配置页面,在该页面中单击按钮,进入增加IP地址组配置页面.
填写IP地址组名;输入起始地址和终止地址.
用户主机IP地址必须包含在该IP地址组范围内;选择业务分组,本例中使用缺省的"未分组";选择IP地址组的类型为"普通".
1-118图1-56增加IP地址组配置页面#增加Portal设备.
单击导航树中的[接入策略管理/Portal服务器管理/设备配置]菜单项,进入Portal设备配置页面,在该页面中单击按钮,进入增加设备信息配置页面.
填写设备名;指定IP地址为与接入用户相连的设备接口IP;输入密钥,与接入设备Router上的配置保持一致;组网方式选择,本例中为直接认证,因此选择直连;选择是否支持逃生心跳功能和用户心跳功能,本例中不支持.
1-119图1-57增加设备信息配置页面#Portal设备关联IP地址组在Portal设备配置页面中的设备信息列表中,点击NAS设备的操作项中的链接,进入端口组信息配置页面.
图1-58设备信息列表1-120在端口组信息配置页面中点击按钮,进入增加端口组信息配置页面.
填写端口组名;选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组;其它参数采用缺省值.
图1-59增加端口组信息配置页面(3)配置AP配置RADIUS方案#创建名称为rs1的RADIUS方案并进入该方案视图.
system-view[AP]radiusschemers1#配置RADIUS方案的主认证和主计费服务器及其通信密钥.
[AP-radius-rs1]primaryauthentication192.
168.
0.
112[AP-radius-rs1]primaryaccounting192.
168.
0.
112[AP-radius-rs1]keyauthenticationsimpleradius[AP-radius-rs1]keyaccountingsimpleradius#配置发送给RADIUS服务器的用户名不携带ISP域名.
[AP-radius-rs1]user-name-formatwithout-domain[AP-radius-rs1]quit#开启RADIUSsessioncontrol功能.
[AP]radiussession-controlenable配置认证域#创建并进入名称为dm1的ISP域.
[AP]domaindm1#配置ISP域的AAA方法.
[AP-isp-dm1]authenticationportalradius-schemers11-121[AP-isp-dm1]authorizationportalradius-schemers1[AP-isp-dm1]accountingportalradius-schemers1[AP-isp-dm1]quit#配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方法.
若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法.
[AP]domaindefaultenabledm1配置Portal认证#配置Portal认证服务器:名称为newpt,IP地址为192.
168.
0.
111,密钥为明文portal,监听Portal报文的端口为50100.
[AP]portalservernewpt[AP-portal-server-newpt]ip192.
168.
0.
111keysimpleportal[AP-portal-server-newpt]port50100[AP-portal-server-newpt]quit#配置PortalWeb服务器的URL为http://192.
168.
0.
111:8080/portal.
(PortalWeb服务器的URL请与实际环境中的PortalWeb服务器配置保持一致,此处仅为示例)[AP]portalweb-servernewpt[AP-portal-websvr-newpt]urlhttp://192.
168.
0.
111:8080/portal[AP-portal-websvr-newpt]quit#配置无线服务模板,SSID为portal_1.
[AP]wlanservice-templatenewst[AP–wlan-st-newst]ssidportal_1#在无线服务模板newst上开启直接方式的Portal认证.
[AP–wlan-st-newst]portalenablemethoddirect#在无线服务模板newst上引用PortalWeb服务器newpt.
[AP–wlan-st-newst]portalapplyweb-servernewpt#在无线服务模板newst上设置发送给Portal认证服务器的Portal报文中的BAS-IP属性值为2.
2.
2.
1.
[AP–wlan-st-newst]portalbas-ip2.
2.
2.
1#开启无线服务模板newst[AP–wlan-st-newst]service-templateenable[AP–wlan-st-newst]quit#配置射频,指定工作信道为11.
[AP]wlanapap2[AP-wlan-ap-ap2]radio2[AP-wlan-ap-ap2-radio-2]channel11#开启射频功能,将无线服务模板newst绑定到Radio2上,并绑定vlan2.
[AP-wlan-ap-ap2-radio-2]radioenable[AP-wlan-ap-ap2-radio-2]service-templatenewstvlan2[AP-wlan-ap-ap2-radio-2]quit[AP-wlan-ap-ap2]quit4.
验证配置以上配置完成后,通过执行以下显示命令可查看Portal配置是否生效.
[AP]displayportalapap2Portalinformationofap21-122RadioID:2SSID:portal_1Authorization:StrictcheckingACL:DisableUserprofile:DisableIPv4:Portalstatus:EnabledAuthenticationtype:DirectPortalWebserver:newpt(active)SecondaryportalWebserver:NotconfiguredAuthenticationdomain:NotconfiguredUser-dhcp-only:DisabledMaxportalusers:NotconfiguredBas-ip:192.
168.
0.
110Actionforserverdetection:ServertypeServernameAction------Destinationauthenticationsubnet:IPaddressMaskIPv6:Portalstatus:DisabledAuthenticationtype:DisabledPortalWebserver:Notconfigured(active)SecondaryportalWebserver:NotconfiguredAuthenticationdomain:NotconfiguredUser-dhcp-only:DisabledMaxportalusers:NotconfiguredBas-ipv6:NotconfiguredActionforserverdetection:ServertypeServernameAction------Destinationauthenticationsubnet:IPaddressPrefixlength用户既可以使用H3C的iNode客户端,也可以通过网页方式进行Portal认证.
用户在通过认证前,只能访问认证页面http://192.
168.
0.
111:8080/portal,且发起的Web访问均被重定向到该认证页面,在通过认证后,可访问非受限的互联网资源.
认证通过后,可通过执行以下显示命令查看AP上生成的Portal在线用户信息.
[AP]displayportaluserapap2Totalportalusers:1Username:1APname:ap2RadioID:2SSID:portal_1Portalserver:newptState:OnlineVPNinstance:N/AMACIPVLANInterface0015-005e-93982.
2.
2.
22WLAN-BSS1/0/11-123Authorizationinformation:DHCPIPpool:N/AUserprofile:N/ASessiongroupprofile:N/AACLnumber:N/AInboundCAR:N/AOutboundCAR:N/A1.
35.
2Portal基于MAC地址的快速认证配置举例(远程认证方式)1.
组网需求用户主机通过路由器接入无线网络,采用直接方式的Portal认证.
用户通过手工配置或DHCP获取的一个公网IP地址进行认证,在通过Portal认证前,只能访问PortalWeb服务器;在通过Portal认证后,可以使用此IP地址访问非受限的互联网资源.
采用一台服务器同时承担Portal认证服务器、PortalWeb服务器以及MAC绑定服务器的职责.
采用RADIUS服务器作为认证/计费服务器.
2.
组网图图1-60配置Portal基于MAC地址的快速认证组网图3.
配置步骤按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达.
完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行.
(1)配置Portalserver(iMCPLAT7.
1)Client2.
2.
2.
2/24Gateway:2.
2.
2.
1/24Vlan-int2192.
168.
0.
100/24Portalserver192.
168.
0.
111/24RADIUSserver192.
168.
0.
112/24SwitchAPVlan-int1002.
2.
2.
1/241-124下面以iMC为例(使用iMC版本为:iMCPLAT7.
1(E0303)、iMCEIA7.
1(F0303)、iMCEIP7.
1(F0303))说明Portalserver的基本配置.
#配置Portal认证服务.
登录进入iMC管理平台,选择"用户"页签,单击导航树中的[接入策略管理/Portal服务管理/服务器配置]菜单项,进入服务器配置页面.
根据实际组网情况调整以下参数,本例中使用缺省配置.
图1-61Portal认证服务器配置页面#配置IP地址组.
单击导航树中的[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入PortalIP地址组配置页面,在该页面中单击按钮,进入增加IP地址组配置页面.
填写IP地址组名;输入起始地址和终止地址,输入的地址范围中应包含用户主机的IP地址;选择业务分组,本例中使用缺省的"未分组";选择IP地址组的类型为"普通".
1-125图1-62增加IP地址组配置页面#增加Portal设备.
单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项,进入Portal设备配置页面,在该页面中单击按钮,进入增加设备信息配置页面.
填写设备名;指定IP地址为与接入用户相连的设备接口IP;选择是否支持逃生心跳功能和用户心跳功能,本例中选择否.
输入密钥,与路由器上的配置保持一致;选择组网方式为直连;1-126图1-63增加设备信息配置页面#Portal设备关联IP地址组.
在Portal设备配置页面中的设备信息列表中,点击NAS设备的链接,进入端口组信息配置页面.
图1-64设备信息列表在端口组信息配置页面中点击按钮,进入增加端口组信息配置页面.
填写端口组名;选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组;无感知认证选择"支持";其它参数可采用缺省配置.
1-127图1-65增加端口组信息配置页面#最后单击导航树中的[接入策略管理/业务参数配置/系统配置手工生效]菜单项,使以上Portal认证服务器配置生效.
(2)配置MAC绑定服务器(iMCPLAT7.
1)#增加接入服务配置单击导航树中的[接入策略管理/接入策略管理]菜单项,并点击按钮,进入"增加接入策略"页面.
填写接入策略名;选择业务分组;其它参数可采用缺省配置.
1-128图1-66增加接入策略配置#增加接入服务单击导航树中的[接入策略管理/接入服务管理]菜单项,并点击按钮,进入"增加接入服务配置"页面.
填写服务名;勾选"Portal无感知认证";其它参数可采用缺省配置.
图1-67增加接入服务配置#增加接入用户单击导航树中的[接入用户管理/接入用户]菜单项,并点击按钮,进入增加接入用户页面.
在接入信息部分:选择可接入的用户;设置密码;1-129设置"Portal无感知认证最大绑定数".
图1-68增加接入用户#配置系统参数单击导航树中的[接入策略管理/业务参数配置/系统配置]菜单项,并点击[终端管理参数配置]对应的按钮,进入终端管理参数配置页面.
"非智能终端Portal无感知认证"可根据实际需要启用或禁用,本例中为启用.
图1-69配置终端管理参数单击导航树中的[接入策略管理/业务参数配置/系统配置]菜单项,点击[终端老化时长]对应的按钮后点击,进入终端老化时长配置页面.
根据实际需要配置终端老化时间,本例中采用默认值.
1-130图1-70配置终端老化时长(3)配置AP配置RADIUS方案#创建名称为rs1的RADIUS方案,并进入该方案视图.
system-view[AP]radiusschemers1#配置RADIUS方案的主认证和主计费服务器及其通信密钥.
[AP-radius-rs1]primaryauthentication192.
168.
0.
112[AP-radius-rs1]primaryaccounting192.
168.
0.
112[AP-radius-rs1]keyauthenticationsimpleradius[AP-radius-rs1]keyaccountingsimpleradius#配置发送给RADIUS服务器的用户名不携带ISP域名.
[AP-radius-rs1]user-name-formatwithout-domain[AP-radius-rs1]quit#使能RADIUSsessioncontrol功能.
[AP]radiussession-controlenable配置认证域#创建并进入名称为dm1的ISP域.
[AP]domaindm1#配置ISP域的AAA方法.
[AP-isp-dm1]authenticationportalradius-schemers1[AP-isp-dm1]authorizationportalradius-schemers1[AP-isp-dm1]accountingportalradius-schemers1[AP-isp-dm1]quit#配置系统缺省的ISP域为dm1,所有接入用户共用此缺省域的认证和计费方法.
若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法.
[AP]domaindefaultenabledm1配置Portal认证#配置Portal认证服务器:名称为newpt,IP地址为192.
168.
0.
111,密钥为明文portal,监听Portal报文的端口为50100.
[AP]portalservernewpt[AP-portal-server-newpt]ip192.
168.
0.
111keysimpleportal[AP-portal-server-newpt]port501001-131[AP-portal-server-newpt]quit#配置PortalWeb服务器的URL为http://192.
168.
0.
111:8080/portal.
(PortalWeb服务器的URL请与实际环境中的PortalWeb服务器配置保持一致,此处仅为示例)[AP]portalweb-servernewpt[AP-portal-websvr-newpt]urlhttp://192.
168.
0.
111:8080/portal[AP-portal-websvr-newpt]quit#开启无线Portal客户端合法性检查功能.
[AP]portalhost-checkenable#创建无线服务模板st1,并在该服务模板上配置VLAN100.
[AP]wlanservice-templatest1[AP-wlan-st-st1]ssidst1[AP-wlan-st-st1]vlan100#在无线服务模板st1上使能直接方式的Portal认证.
[AP-wlan-st-st1]portalenablemethoddirect#在无线服务模板st1上引用PortalWeb服务器newpt.
[AP-wlan-st-st1]portalapplyweb-servernewpt#在无线服务模板st1上设置发送给Portal认证服务器的Portal报文中的BAS-IP属性值为2.
2.
2.
1.
[AP–wlan-st-st1]portalbas-ip2.
2.
2.
1[AP-wlan-st-st1]quit配置Portal基于MAC址的快速认证#创建MAC绑定服务器mts.
[AP]portalmac-trigger-servermts#配置用户免认证流量的阈值为1024000字节.
[AP-portal-mac-trigger-server-mts]free-trafficthreshold1024000#配置MAC绑定服务器的地址为192.
168.
0.
111.
[AP-portal-mac-trigger-server-mts]ip192.
168.
0.
111[AP-portal-mac-trigger-server-mts]quit#在无线服务模板上应用MAC绑定服务器mts.
[AP]wlanservice-templatest1[AP-wlan-st-st1]portalapplymac-trigger-servermts#使能无线服务模板.
[AP-wlan-st-st1]service-templateenable[AP-wlan-st-st1]quit4.
验证配置通过执行以下显示命令可查看MAC绑定服务器配置.
[AP]displayportalmac-trigger-servernamemtsPortalmac-triggerserver:mtsVersion:1.
0Servertype:IMCIP:192.
168.
0.
111Port:50100VPNinstance:NotconfiguredAgingtime:300secondsFree-trafficthreshold:1024000bytes1-132NAS-Port-Type:NotconfiguredBindingretrytimes:3Bindingretryinterval:1secondsAuthenticationtimeout:3minutes用户可以使用H3C的iNode客户端或通过网页方式进行Portal认证.
用户在通过认证前,发起的所有Web访问均被重定向到Portal认证页面(http://192.
168.
0.
111:8080/portal),在通过认证后,可访问非受限的互联网资源.
用户在首次进行Portal认证时,需要手工输入用户名和密码.
当用户再次上线时,将可以直接访问互联网资源,不会感知到Portal认证过程.
通过执行以下显示命令查看AP上生成的Portal在线用户信息.
[AP]displayportaluserallTotalportalusers:1Username:Client1APname:ap1RadioID:1SSID:st1Portalserver:newptState:OnlineVPNinstance:N/AMACIPVLANInterface0015-e9a6-7cfe2.
2.
2.
2100WLAN-BSS1/0/1Authorizationinformation:DHCPIPpool:N/AUserprofile:N/ASessiongroupprofile:N/AACL:N/ACAR:N/A1.
35.
3Portal基于MAC地址的快速认证配置举例(云端认证方式)1.
组网需求客户端通过AP设备接入网络,AC上开启DHCP服务,为无线客户端分配私网IP地址,用户通过此私网IP地址进行云端MAC-trigger认证.
在通过云端认证前,只能访问PortalWeb服务器,在通过云端认证后,可以访问非受限的互联网资源.
AC通过VLAN100接口获取公网IP地址.
采用云端服务器同时承担Portal认证服务器、PortalWeb服务器以及MAC绑定服务器的职责.
2.
组网图图1-71配置Portal基于MAC地址的云端快速认证组网图ClientCloudserverACAPVlan-int100192.
168.
100.
1/241-1333.
配置步骤按照组网图配置设备各接口的IP地址,保证启动Portal之前各设备之间的路由可达.
配置Cloudserver#在云平台上找到与设备对应的认证模板,开启再次连接免认证功能.
图1-72云端认证模板配置页面配置AC(2)基本网络功能配置#创建VLAN100,并进入VLAN100视图.
Client将使用该VLAN接入无线网络.
system-view[AC]vlan100[AC-vlan100]quit#配置各VLAN接口的IP地址(略).
#开启DNSproxy功能.
[AC]dnsproxyenable#开启DHCP服务.
[AC]dhcpenable#创建DHCP地址池client,并进入DHCP地址池视图.
[AC]dhcpserverip-poolclient#配置DHCP地址池为无线客户端动态分配的IP地址网段为192.
168.
100.
0/24.
[AC-dhcp-pool-client]network192.
168.
100.
0mask255.
255.
255.
0#配置不参与自动分配的IP地址为192.
168.
100.
1.
1-134[AC-dhcp-pool-client]forbidden-ip192.
168.
100.
1#配置为DHCP客户端分配的网关地址为192.
168.
100.
1.
[AC-dhcp-pool-client]gateway-list192.
168.
100.
1#配置为DHCP客户端分配的DNS服务器地址为192.
168.
100.
1.
[AC-dhcp-pool-client]dns-list192.
168.
100.
1[AC-dhcp-pool-client]quit#配置接口VLAN100引用地址池client.
[AC]interfacevlan-interface100[AC-Vlan-interface100]dhcpserverapplyip-poolclient[AC-Vlan-interface100]quit(3)配置认证域#创建一个名称为cloud的ISP域,并进入其视图.
[AC]domaincloud#为Portal用户配置认证、授权、计费方法均为none.
[AC-isp-cloud]authenticationportalnone[AC-isp-cloud]authorizationportalnone[AC-isp-cloud]accountingportalnone[AC-isp-cloud]quit(4)配置云端MAC-trigger认证功能#配置PortalWeb服务器wbs的URL为http://lvzhoutest.
h3c.
com/portal/protocol,类型为oauth,开启Portal被动Web认证功能.
[AC]portalweb-serverwbs[AC-portal-websvr-wbs]urlhttp://lvzhoutest.
h3c.
com/portal/protocol[AC-portal-websvr-wbs]server-typeoauth[AC-portal-websvr-wbs]captive-bypassenable[AC-portal-websvr-wbs]quit#开启Portal云端MAC-trigger认证功能.
[AC]portalmac-trigger-serverabc[AC-portal-extend-auth-server-abc]cloud-bindingenable#指定云端Portal认证服务器URL.
[AC-portal-extend-auth-server-abc]cloud-serverurlhttp://lvzhoutest.
h3c.
com[AC-portal-extend-auth-server-abc]quit#创建无线服务模板st1,并进入无线服务模板视图.
[AC]wlanservice-templatest1#配置无线客户端从指定无线服务模板上线后所属的VLAN为100.
[AC-wlan-st-st1]vlan100#配置SSID为cloud.
[AC-wlan-st-st1]ssidcloud#开启Portal认证.
[AC-wlan-st-st1]portalenablemethoddirect#引用认证域、PortalWeb服务器和MAC绑定服务器.
[AC-wlan-st-st1]portaldomaincloud[AC-wlan-st-st1]portalapplyweb-serverwbs[AC-wlan-st-st1]portalapplymac-trigger-serverabc1-135#配置Portal临时放行规则.
[AC-wlan-st-st1]portaltemp-passperiod60enable#开启无线服务模板.
[AC-wlan-st-st1]service-templateenable[AC-wlan-st-st1]quit#创建手工AP,名称为lvzhou-ap,型号选择WA2620i-AGN,序列号为219801A0CNC123001072.
[AC]wlanaplvzhou-apmodelWA2620i-AGN[AC-wlan-ap-lvzhou-ap]serial-id219801A0CNC123001072#进入Radio1视图.
[AC-wlan-ap-lvzhou-ap]radio1#将无线服务模板st1绑定到Radio1.
[AC-wlan-ap-lvzhou-ap-radio-1]service-templatest1#开启射频功能.
[AC-wlan-ap-lvzhou-ap-radio-1]radioenable[AC-wlan-ap-lvzhou-ap-radio-1]quit[AC-wlan-ap-lvzhou-ap]quit#配置基于IP地址的Portal免认证规则(端口号53表示DNS报文),允许用户不需要经过Portal认证即可访问DNS服务.
[AC]portalfree-rule1destinationipanyudp53[AC]portalfree-rule2destinationipanytcp53#配置Portal临时放行功能的匹配规则,对访问http://lvzhoutest.
h3c.
com的用户报文临时放行.
[AC]temp-passif-matchoriginal-urlhttp://lvzhoutest.
h3c.
com4.
验证配置通过执行以下显示命令可查看设备和云端交互的报文统计.
[AC]displayportalpacketstatisticsextend-auth-servercloudExtend-authserver:cloudPkt-TypeSuccessErrorTimeoutConn-failureREQ_ACCESSTOKEN1000REQ_USERINFO1000RESP_ACCESSTOKEN1000RESP_USERINFO1000POST_ONLINEDATA10000RESP_ONLINEDATA10000POST_OFFLINEUSER1000REPORT_ONLINEUSER2000REQ_CLOUDBIND2000ESP_CLOUDBIND2000REQ_BINDUSERINFO1000RESP_BINDUSERINFO1000AUTHENTICATION2000用户在通过认证前,发起的所有Web访问均被重定向到Portal认证页面(http://lvzhoutest.
h3c.
com/portal/protocol),在通过认证后,可访问非受限的互联网资源.
用户在首次进行Portal认证时,需要手工输入用户名和密码.
当用户再次上线时,将可以直接访问互联网资源,不会感知到Portal认证过程.
1-136通过执行以下显示命令查看AC上生成的Portal在线用户信息.
[AC]displayportaluserallTotalportalusers:1Username:client1APname:lvzhou-apRadioID:2SSID:WXauthPortalserver:N/AState:OnlineVPNinstance:N/AMACIPVLANInterface582a-f776-8050192.
168.
100.
3100WLAN-BSS2/0/5Authorizationinformation:DHCPIPpool:N/AUserprofile:N/ASessiongroupprofile:N/AACL:N/AInboundCAR:N/AOutboundCAR:N/A1.
35.
4Portal支持QQ认证配置举例1.
组网需求AC上开启DHCP服务,为无线客户端分配私网IP地址,用户通过此私网IP地址进行QQ认证,在通过认证前,只能访问QQ服务器;在通过QQ认证后,可以访问非受限的互联网资源.
AC通过VLAN200接口获取公网IP地址.
2.
组网图图1-73QQ认证组网图3.
配置步骤按照组网图配置设备各接口的IP地址,保证AC与QQ服务器之间路由可达,且AP和AC之间建立起稳定的连接.
按照自定义认证页面文件编辑规范,完成第三方认证页面的编辑,并上传到设备存储介质的根目录下.
(1)基本网络功能配置#创建VLAN100,并进入VLAN100视图.
Client将使用该VLAN接入无线网络.
Vlan-int100192.
168.
1.
1/24Vlan-int200ClientAPACQQserver1-137system-view[AC]vlan100[AC-vlan100]quit#创建VLAN200,并进入VLAN200视图.
此VLAN用来配置NAT及通过DHCP获取公网IP地址.
[AC]vlan200[AC-vlan200]quit#配置各VLAN接口的IP地址(略).
#开启DNSproxy功能.
[AC]dnsproxyenable#配置PortalWeb服务器域名lvzhou.
h3c.
com对应的IP地址为192.
168.
1.
1.
[AC]iphostlvzhou.
h3c.
com192.
168.
1.
1#开启DHCP服务.
[AC]dhcpenable#创建DHCP地址池client,并进入DHCP地址池视图.
[AC]dhcpserverip-poolclient#配置DHCP地址池为无线客户端动态分配的IP地址网段为192.
168.
1.
0/24.
[AC-dhcp-pool-client]network192.
168.
1.
0mask255.
255.
255.
0#配置不参与自动分配的IP地址为192.
168.
1.
1.
[AC-dhcp-pool-client]forbidden-ip192.
168.
1.
1#配置为DHCP客户端分配的网关地址为192.
168.
1.
1.
[AC-dhcp-pool-client]gateway-list192.
168.
1.
1#配置为DHCP客户端分配的DNS服务器地址为192.
168.
1.
1.
[AC-dhcp-pool-client]dns-list192.
168.
1.
1[AC-dhcp-pool-client]quit#配置接口VLAN100引用地址池client.
[AC]interfacevlan-interface100[AC-Vlan-interface100]dhcpserverapplyip-poolclient[AC-Vlan-interface100]quit#配置ACL2000,仅允许对192.
168.
1.
0/24网段的用户报文进行地址转换.
[AC]aclbasic2000[AC-acl-ipv4-basic-2000]rulepermitsource192.
168.
1.
00.
0.
0.
255[AC-acl-ipv4-basic-2000]quit#配置接口VLAN200通过DHCP协议获取公网IP地址.
[AC]interfacevlan-interface200[AC-Vlan-interface200]ipaddressdhcp-alloc#在接口上配置EasyIP方式的出方向动态地址转换.
[AC-Vlan-interface200]natoutbound2000(2)配置认证域#创建一个名称为extend-auth的ISP域,并进入其视图.
[AC]domainextend-auth#为Portal用户配置认证、授权、计费方法均为none.
[AC-isp-extend-auth]authenticationportalnone[AC-isp-extend-auth]authorizationportalnone1-138[AC-isp-extend-auth]accountingportalnone[AC-isp-extend-auth]quit(3)配置QQ认证#配置PortalWeb服务器wbs的URL为http://192.
168.
1.
1/portal.
[AC]portalweb-serverwbs[AC-portal-websvr-wbs]urlhttp://192.
168.
1.
1/portal[AC-portal-websvr-wbs]quit#创建QQ认证服务器,并进入QQ认证服务器视图.
[AC]portalextend-auth-serverqq[AC-portal-extend-auth-server-qq]quit#创建无线服务模板st1,并进入无线服务模板视图.
[AC]wlanservice-templatest1#配置无线服务模板VLAN为VLAN100,无线客户端通过此VLAN接入无线服务.
[AC-wlan-st-st1]vlan100#配置SSID为service.
[AC-wlan-st-st1]ssidservice#在无线服务模板st1上开启直接方式的Portal认证.
[AC-wlan-st-st1]portalenablemethoddirect#指定从无线服务模板service上接入的QQ认证用户强制使用认证域extend-auth进行QQ认证.
[AC-wlan-st-st1]portalextend-authdomainextend-auth#在无线服务模板st1上引用PortalWeb服务器wbs.
[AC-wlan-st-st1]portalapplyweb-serverwbs#使能无线服务模板.
[AC-wlan-st-st1]service-templateenable[AC-wlan-st-st1]quit#创建手工AP,名称为ap1,型号选择WA4320i-ACN,序列号为210235A29G007C000020.
[AC]wlanapap1modelWA4320i-ACN[AC-wlan-ap-ap1]serial-id210235A29G007C000020#进入Radio1视图.
[AC-wlan-ap-ap1]radio1#将无线服务模板st1绑定到Radio1.
[AC-wlan-ap-ap1-radio-1]service-templatest1#开启射频功能.
[AC-wlan-ap-ap1-radio-1]radioenable[AC-wlan-ap-ap1-radio-1]quit[AC-wlan-ap-ap1]quit#创建本地PortalWeb服务器,并进入本地PortalWeb服务器视图,指定使用HTTP协议和客户端交互认证信息.
[AC]portallocal-web-serverhttp#配置本地PortalWeb服务器的缺省认证页面(需要先将缺省认证页面文件abc.
zip上传到设备).
[AC-portal-local-websvr-http]default-logon-pageabc.
zip[AC-portal-local-websvr-http]quit#配置基于IP地址的Portal免认证规则(端口号53表示DNS报文),允许用户不需要经过Portal认证即可访问DNS服务.
1-139[AC]portalfree-rule1destinationipanyudp53[AC]portalfree-rule2destinationipanytcp53#配置基于目的的Portal免认证规则,允许用户不需要经过Portal认证即可访问QQ认证服务器.
[AC]portalfree-rule3destination*.
qq.
com[AC]portalfree-rule4destination*.
gtimg.
cn4.
验证配置以上配置完成后,通过执行以下显示命令可查看QQ服务器信息.
[AC]displayportalextend-auth-serverallPortalextend-auth-server:qqAuthenticationURL:https://graph.
qq.
comAPPID:101235509APPkey:******RedirectURL:http://lvzhou.
h3c.
com/portal/qqlogin.
html用户在通过认证前,只能访问本地认证页面http://192.
168.
1.
1/portal,且发起的Web访问均被重定向到该认证页面,认证页面上用户点击QQ认证按钮,跳转到QQ认证页面,输入QQ号和QQ密码,在通过认证后,可访问非受限的互联网资源.
通过执行以下显示命令查看AC上生成的Portal在线用户信息.
[AC]displayportaluserallTotalportalusers:1Username:00-00-00-00-00-01APname:ap1RadioID:1SSID:servicePortalserver:N/AState:OnlineVPNinstance:N/AMACIPVLANInterface0015-e9a6-7cfe192.
168.
1.
2100WLAN-BSS1/0/1Authorizationinformation:DHCPIPpool:N/AUserprofile:N/ASessiongroupprofile:N/AACL:N/ACAR:N/A1.
35.
5Portal支持邮箱认证配置举例1.
组网需求AC上开启DHCP服务,为无线客户端分配私网IP地址,用户通过此私网IP地址进行邮箱认证,在通过认证前,只能访问本地Web服务器;在通过邮箱认证后,可以访问非受限的互联网资源.
AC通过VLAN200接口获取公网IP地址.
1-1402.
组网图图1-74邮箱认证组网图3.
配置步骤按照组网图配置设备各接口的IP地址,保证AC与邮箱服务器之间路由可达,且AP和AC之间建立起稳定的连接.
按照自己定义认证页面文件编辑规范,完成第三方认证页面的编辑.
并上传到设备存储介质的根目录下.
(1)基本网络功能配置#创建VLAN100,并进入VLAN100视图.
Client将使用该VLAN接入无线网络.
system-view[AC]vlan100[AC-vlan100]quit#创建VLAN200,并进入VLAN200视图.
此VLAN用来配置NAT及通过DHCP获取公网IP地址.
[AC]vlan200[AC-vlan200]quit#配置各VLAN接口的IP地址(略).
#开启DNSproxy功能.
[AC]dnsproxyenable#配置PortalWeb服务器域名www.
mail.
com对应的IP地址为192.
168.
1.
1.
[AC]iphostwww.
mail.
com192.
168.
1.
1#开启DHCP服务.
[AC]dhcpenable#创建DHCP地址池client,并进入DHCP地址池视图.
[AC]dhcpserverip-poolclient#配置DHCP地址池为无线客户端动态分配的IP地址网段为192.
168.
1.
0/24.
[AC-dhcp-pool-client]network192.
168.
1.
0mask255.
255.
255.
0#配置不参与自动分配的IP地址为192.
168.
1.
1.
[AC-dhcp-pool-client]forbidden-ip192.
168.
1.
1#配置为DHCP客户端分配的网关地址为192.
168.
1.
1.
[AC-dhcp-pool-client]gateway-list192.
168.
1.
1#配置为DHCP客户端分配的DNS服务器地址为192.
168.
1.
1.
[AC-dhcp-pool-client]dns-list192.
168.
1.
1Vlan-int100192.
168.
1.
1/24Vlan-int200ClientAPACMailserver1-141[AC-dhcp-pool-client]quit#配置接口VLAN100引用地址池client.
[AC]interfacevlan-interface100[AC-Vlan-interface100]dhcpserverapplyip-poolclient[AC-Vlan-interface100]quit#配置ACL2000,仅允许对192.
168.
1.
0/24网段的用户报文进行地址转换.
[AC]aclbasic2000[AC-acl-ipv4-basic-2000]rulepermitsource192.
168.
1.
00.
0.
0.
255[AC-acl-ipv4-basic-2000]quit#配置接口VLAN200通过DHCP协议获取公网IP地址.
[AC]interfacevlan-interface200[AC-Vlan-interface200]ipaddressdhcp-alloc#在接口上配置EasyIP方式的出方向动态地址转换.
[AC-Vlan-interface200]natoutbound2000[AC-Vlan-interface200]quit(2)配置认证域#创建一个名称为extend-auth的ISP域,并进入其视图.
[AC]domainextend-auth#为Portal用户配置认证、授权、计费方法均为none.
[AC-isp-extend-auth]authenticationportalnone[AC-isp-extend-auth]authorizationportalnone[AC-isp-extend-auth]accountingportalnone[AC-isp-extend-auth]quit(3)配置邮箱认证#配置PortalWeb服务器wbs的URL为https://192.
168.
1.
1/portal.
[AC]portalweb-serverwbs[AC-portal-websvr-wbs]urlhttps://192.
168.
1.
1/portal[AC-portal-websvr-wbs]quit#创建邮箱认证服务器,并进入邮箱认证服务器视图.
[AC]portalextend-auth-servermail#配置邮箱认证服务支持的协议类型为POP3和IMAP.
[AC-portal-extend-auth-server-mail]mail-protocolpop3imap[AC-portal-extend-auth-server-mail]quit#创建无线服务模版st1,并进入无线服务模板视图.
[AC]wlanservice-templatest1#配置无线服务模板VLAN为VLAN100,无线客户端通过此VLAN接入无线服务.
[AC-wlan-st-st1]vlan100#配置SSID为service.
[AC-wlan-st-st1]ssidservice#在无线服务模板st1上开启直接方式的Portal认证.
[AC-wlan-st-st1]portalenablemethoddirect#指定从无线服务模板service上接入的邮箱认证用户强制使用认证域extend-auth进行邮箱认证.
[AC-wlan-st-st1]portalextend-authdomainextend-auth#在无线服务模板st1上引用PortalWeb服务器wbs.
1-142[AC-wlan-st-st1]portalapplyweb-serverwbs#开启无线服务模板.
[AC-wlan-st-st1]service-templateenable[AC-wlan-st-st1]quit#创建手工AP,名称为ap1,型号选择WA4320i-ACN,序列号为210235A29G007C000020.
[AC]wlanapap1modelWA4320i-ACN[AC-wlan-ap-ap1]serial-id210235A29G007C000020#进入Radio1视图.
[AC-wlan-ap-ap1]radio1#将无线服务模板st1绑定到Radio1.
[AC-wlan-ap-ap1-radio-1]service-templatest1#开启射频功能.
[AC-wlan-ap-ap1-radio-1]radioenable[AC-wlan-ap-ap1-radio-1]quit[AC-wlan-ap-ap1]quit#创建本地PortalWeb服务器,并进入本地PortalWeb服务器视图,指定使用HTTPS协议和客户端交互认证信息.
[AC]portallocal-web-serverhttps#配置本地PortalWeb服务器的缺省认证页面(需要先将缺省认证页面文件abc.
zip上传到设备).
[AC-portal-local-websvr-https]default-logon-pageabc.
zip[AC-portal-local-websvr-https]quit#配置基于IP地址的Portal免认证规则(端口号53表示DNS报文),允许用户不需要经过Portal认证即可访问DNS服务.
[AC]portalfree-rule1destinationipanyudp53[AC]portalfree-rule2destinationipanytcp534.
验证配置以上配置完成后,通过执行以下显示命令可查看邮箱服务器信息.
[AC]displayportalextend-auth-servermailPortalextend-auth-server:mailMailprotocol:POP3IMAP用户在通过认证前,只能访问本地认证页面https://192.
168.
1.
1/portal,且发起的Web访问均被重定向到该认证页面,用户点击邮箱认证按钮,跳转到邮箱认证页面,输入邮箱名和密码,在通过认证后,可访问非受限的互联网资源.
通过执行以下显示命令查看AC上生成的Portal在线用户信息.
[AC]displayportaluserallTotalportalusers:1Username:userAPname:ap1RadioID:1SSID:servicePortalserver:N/AState:OnlineVPNinstance:N/AMACIPVLANInterface1-1430015-e9a6-7cfe192.
168.
1.
2100WLAN-BSS1/0/1Authorizationinformation:DHCPIPpool:N/AUserprofile:N/ASessiongroupprofile:N/AACL:N/ACAR:N/A1.
36常见配置错误举例1.
36.
1Portal用户认证时,没有弹出Portal认证页面1.
故障现象用户被强制去访问iMCPortal认证服务器时没有弹出Portal认证页面,也没有错误提示,登录的Portal认证服务器页面为空白.
2.
故障分析接入设备上配置的Portal密钥和Portal认证服务器上配置的密钥不一致,导致Portal认证服务器报文验证出错,Portal认证服务器拒绝弹出认证页面.
3.
处理过程使用displayportalserver命令查看接入设备上是否配置了Portal认证服务器密钥,若没有配置密钥,请补充配置;若配置了密钥,请在Portal认证服务器视图中使用ip或ipv6命令修改密钥,或者在Portal认证服务器上查看对应接入设备的密钥并修改密钥,直至两者的密钥设置一致.
1.
36.
2接入设备上无法强制Portal用户下线1.
故障现象用户通过Portal认证后,在接入设备上使用portaldelete-user命令强制用户下线失败,但是使用客户端的"断开"属性可以正常下线.
2.
故障分析在接入设备上使用portaldelete-user命令强制用户下线时,由接入设备主动发送下线通知报文到Portal认证服务器,Portal认证服务器会在指定的端口监听该报文(缺省为50100),但是接入设备发送的下线通知报文的目的端口和Portal认证服务器真正的监听端口不一致,故Portal认证服务器无法收到下线通知报文,Portal认证服务器上的用户无法下线.
当使用客户端的"断开"属性让用户下线时,由Portal认证服务器主动向接入设备发送下线请求,其源端口为50100,接入设备的下线应答报文的目的端口使用请求报文的源端口,避免了其配置上的错误,使得Portal认证服务器可以收到下线应答报文,从而Portal认证服务器上的用户成功下线.
3.
处理过程使用displayportalserver命令查看接入设备对应服务器的端口,并在系统视图中使用portalserver命令修改服务器的端口,使其和Portal认证服务器上的监听端口一致.
1-1441.
36.
3RADIUS服务器上无法强制Portal用户下线1.
故障现象接入设备使用H3C的iMC服务器作为RADIUS服务器对Portal用户进行身份认证,用户通过Portal认证上线后,管理员无法在RADIUS服务器上强制Portal用户下线.
2.
故障分析H3C的iMC服务器使用sessioncontrol报文向设备发送断开连接请求.
接入设备上监听sessioncontrol报文的UDP端口缺省是关闭的,因此无法接收RADIUS服务器发送的Portal用户下线请求.
3.
处理过程查看接入设备上的RADIUSsessioncontrol功能是否处于开启状态,若未开启,请在系统视图下执行radiussession-controlenable命令开启.
1.
36.
4接入设备强制用户下线后,Portal认证服务器上还存在该用户1.
故障现象接入设备上通过命令行强制Portal用户下线后,Portal认证服务器上还存在该用户.
2.
故障分析在接入设备上使用portaldelete-user命令强制用户下线时,由接入设备主动发送下线通知报文到Portal认证服务器,若接入设备主动发送的Portal报文携带的BAS-IP/BAS-IPv6属性值与Portal认证服务器上指定的设备IP地址不一致,Portal认证服务器会将该下线通知报文丢弃.
当接入设备尝试发送该报文超时之后,会将该用户强制下线,但Portal认证服务器上由于并未成功接收这样的通知报文,认为该用户依然在线.
3.
处理过程在开启Portal认证的接口上配置BAS-IP/BAS-IPv6属性值,使其与Portal认证服务器上指定的设备IP地址保持一致.
1.
36.
5二次地址分配认证用户无法成功上线1.
故障现象设备对用户采用二次地址分配认证方式的Portal认证,用户输入正确的用户名和密码,且客户端先后成功获取到了私网IP地址和公网的IP地址,但认证结果为失败.
2.
故障分析在接入设备对用户进行二次地址分配认证过程中,当接入设备感知到客户端的IP地址更新之后,需要主动发送Portal通知报文告知Portal认证服务器已检测到用户IP变化,当Portal认证服务器接收到客户端以及接入设备发送的关于用户IP变化的通告后,才会通知客户端上线成功.
若接入设备主动发送的Portal报文携带的BAS-IP/BAS-IPv6属性值与Portal认证服务器上指定的设备IP地址不一致时,Portal认证服务器会将该Portal通知报文丢弃,因此会由于未及时收到用户IP变化的通告认为用户认证失败.
1-1453.
处理过程在开启Portal认证的接口上配置BAS-IP/BAS-IPv6属性值,使其与Portal认证服务器上指定的设备IP地址保持一致.