1、i目录1 Portal配置. 1-11.1 Portal介绍. 1-11.1.1 Portal概述. 1-11.1.2 Portal扩展功效. 1-11.1.3 Portal系统组成. 1-11.1.4 使用当地Portal服务器Portal认证系统. 1-31.1.5 Portal认证方法. 1-41.1.6 Portal支持EAP认证(仅S5500-EI支持) . 1-41.1.7 二层Portal认证过程. 1-51.1.8 三层Portal认证过程(仅S5500-EI支持) . 1-61.1.9 Portal支持双机热备(仅S5500-EI支持) . 1-91.1.10 Portal支
2、持多实例(仅S5500-EI支持). 1-111.2 Portal配置任务介绍. 1-111.3 配置准备. 1-121.4 指定Portal服务器. 1-131.4.1 指定二层Portal认证当地Portal服务器监听IP地址. 1-131.4.2 指定三层Portal认证Portal服务器. 1-141.5 配置当地Portal服务器. 1-141.5.1 自定义认证页面文件. 1-141.5.2 配置当地Portal服务器. 1-171.6 使能Portal认证. 1-181.6.1 使能二层Portal认证. 1-181.6.2 使能三层Portal认证. 1-181.7 控制Por
3、tal用户接入. 1-191.7.1 配置免认证规则. 1-191.7.2 配置认证网段. 1-201.7.3 配置Portal最大用户数. 1-201.7.4 指定Portal用户使用认证域. 1-211.7.5 配置许可触发Portal认证Web代理服务器端口. 1-211.7.6 配置Portal用户认证端口自动迁移功效. 1-221.8 配置Portal认证Auth-Fail VLAN. 1-231.9 配置接口发送RADIUS报文相关属性. 1-231.9.1 配置接口NAS-Port-Type . 1-241.9.2 配置接口NAS-ID Profile . 1-241.10 配置
4、接口发送Portal报文使用源地址. 1-251.11 配置Portal支持双机热备. 1-251.12 指定Portal用户认证成功后认证页面自动跳转目标网站地址. 1-27ii1.13 配置Portal探测功效. 1-271.13.1 配置二层Portal用户在线检测功效. 1-271.13.2 配置三层Portal用户在线探测功效. 1-281.13.3 配置Portal服务器探测功效. 1-281.13.4 配置Portal用户信息同时功效. 1-291.14 强制Portal用户下线. 1-301.15 Portal显示和维护. 1-301.16 Portal经典配置举例. 1-31
5、1.16.1 Portal直接认证配置举例. 1-311.16.2 Portal二次地址分配认证配置举例. 1-351.16.3 可跨三层Portal认证配置举例. 1-371.16.4 Portal直接认证扩展功效配置举例. 1-381.16.5 Portal二次地址分配认证扩展功效配置举例. 1-401.16.6 可跨三层Portal认证方法扩展功效配置举例. 1-421.16.7 Portal支持双机热备配置举例. 1-441.16.8 Portal服务器探测和用户同时功效配置举例. 1-511.16.9 二层Portal认证配置举例. 1-551.17 常见配置错误举例. 1-591.
6、17.1 接入设备和Portal服务器上密钥不一致. 1-591.17.2 接入设备上服务器端口配置错误. 1-591-11 Portal 配置 现在,S5500 系列以太网交换机中,S5500-EI系列以太网交换机支持Portal二层认证方法和三层认证方法;S5500-SI系列以太网交换机仅支持二层Portal认证方法。相关Portal认证方法具体介绍请参见1.1.5 Portal认证方法。 S5500 系列以太网交换机中,仅S5500-EI 系列交换机支持VPN 实例及相关参数配置。1.1 Portal 介绍1.1.1 Portal 概述Portal
7、 在英语中是入口意思。Portal 认证通常也称为Web 认证,通常将Portal 认证网站称为门户网站。未认证用户上网时,设备强制用户登录到特定站点,用户能够无偿访问其中服务。当用户需要使用互联网中其它信息时,必需在门户网站进行认证,只有认证经过后才能够使用互联网资源。用户能够主动访问已知 Portal 认证网站,输入用户名和密码进行认证,这种开始Portal 认证方式称作主动认证。反之,假如用户试图经过HTTP 访问其它外网,将被强制访问Portal 认证网站,从而开始Portal 认证过程,这种方法称作强制认证。Portal 业务能够为运行商提供方便管理功效,门户网站能够开展广告、小区服
8、务、个性化业务等,使宽带运行商、设备提供商和内容服务提供商形成一个产业生态系统。1.1.2 Portal 扩展功效Portal 扩展功效关键是指经过强制接入终端实施补丁和防病毒策略,加强网络终端对病毒攻击主动防御能力。具体扩展功效以下: 在 Portal 身份认证基础上增加了安全认证机制,能够检测接入终端上是否安装了防病毒软件、是否更新了病毒库、是否安装了非法软件、是否更新了操作系统补丁等; 用户经过身份认证后仅仅取得访问部分互联网资源(受限资源)权限,如病毒服务器、操作系统补丁更新服务器等;当用户经过安全认证后便能够访问更多互联网资源(非受限资源)。1
9、.1.3 Portal 系统组成Portal经典组网方法图1-1所表示,它由五个基础要素组成:认证用户端、接入设备、Portal服务器、认证/计费服务器和安全策略服务器。因为 Portal 服务器能够是接入设备之外独立实体(仅S5500-EI 支持),也能够是存在于接入设备之内内嵌实体,本文称之为“当地Portal 服务器”,所以下文中除对当地支持Portal 服务器做特殊说明之外,其它全部Portal 服务器均指独立Portal 服务器,请勿混淆。1-2图1-1 Portal 系统组成示意图认证用户端认证用户端认证用户端认证/计费服务器安全策略服务器接入设备Portal服务器1. 认证用户端
10、安装于用户终端用户端系统,为运行 HTTP/HTTPS 协议浏览器或运行Portal 用户端软件主机。对接入终端安全性检测是经过Portal 用户端和安全策略服务器之间信息交流完成。2. 接入设备交换机、路由器等宽带接入设备统称,关键有三方面作用: 在认证之前,将认证网段内用户全部 HTTP 请求全部重定向到Portal 服务器。 在认证过程中,和Portal 服务器、安全策略服务器、认证/计费服务器交互,完成身份认证/安全认证/计费功效。 在认证经过后,许可用户访问被管理员授权互联网资源。3. Portal 服务器接收 Portal
11、 用户端认证请求服务器端系统,提供无偿门户服务和基于Web 认证界面,和接入设备交互认证用户端认证信息。4. 认证/计费服务器和接入设备进行交互,完成对用户认证和计费。5. 安全策略服务器和 Portal 用户端、接入设备进行交互,完成对用户安全认证,并对用户进行授权操作。以上五个基础要素交互过程为:(1) 未认证用户访问网络时,在Web 浏览器地址栏中输入一个互联网地址,那么此HTTP 请求在经过接入设备时会被重定向到Portal 服务器Web 认证主页上;若需要使用Portal 扩展认证功效,则用户必需使用Portal 用户端。(2) 用户在认证主页/认证对话框中输入认证信息后提交,Por
12、tal 服务器会将用户认证信息传输给接入设备;(3) 然后接入设备再和认证/计费服务器通信进行认证和计费;(4) 认证经过后,假如未对用户采取安全策略,则接入设备会打开用户和互联网通路,许可用户访问互联网;假如对用户采取了安全策略,则用户端、接入设备和安全策略服务器交互,对用户安全检测经过以后,安全策略服务器依据用户安全性授权用户访问非受限资源。1-3 不管是 Web 用户端还是H3C iNode 用户端提议Portal 认证,均能支持Portal 认证穿越NAT,即Portal 用户端在私网、Portal 服务器在公网,接入设备上启用NAT 功效组网环境下,NAT 地址转
13、换不会对Portal 认证造成影响。(仅S5500-EI 支持) 现在支持 Portal 认证远端认证/计费服务器为RADIUS(Remote Authentication Dial-In UserService,远程认证拨号用户服务)服务器。 现在经过访问 Web 页面进行Portal 认证不能对用户实施安全策略检验,安全检验功效实现需要和H3C iNode 用户端配合。1.1.4 使用当地Portal 服务器Portal 认证系统1. 系统组成当地Portal服务器功效是指,Portal认证系统中不采取外部独立Portal服务器,而由接入设备实现Po
14、rtal服务器功效。这种情况下,Portal认证系统仅包含三个基础要素:认证用户端、接入设备和认证/计费服务器,图1-2所表示。因为设备支持Web用户直接认证,所以就不需要布署额外Portal服务器,增强了Portal认证通用性。图1-2 使用当地Portal 服务器Portal 系统组成示意图 使用当地 Portal 服务器Portal 认证系统不支持Portal 扩展功效,所以不需要布署安全策略服务器。 内嵌当地 Portal 服务器接入设备实现了简单Portal 服务器功效,仅能给用户提供经过Web方法登录、下线基础功效,并不能完全替换独立Port
15、al 服务器。2. 认证用户端和当地Portal 服务器之间交互协议认证用户端和内嵌当地 Portal 服务器接入设备之间能够采取HTTP 和HTTPS 协议通信。若用户端和接入设备之间交互HTTP 协议,则报文以明文形式传输,安全性无法确保;若用户端和接入设备之间交互HTTPS 协议,则报文基于SSL 提供安全机制以密文形式传输,数据安全性有保障。3. 当地Portal 服务器支持用户自定义认证页面当地 Portal 服务器支持由用户自定义认证页面内容,即许可用户编辑一套认证页面HTML文件,并在压缩以后保留至设备存放设备中。该套自定义页面中包含六个认证页面:登录页面、登录成功页面、在线页面
16、、下线成功页面、登录失败页面和系统忙页面。当地Portal 服务器依据不一样认证阶段向用户端推出对应认证页面,若不自定义,则分别推出系统提供缺省认证页面。1-4相关认证页面文件自定义规范请参见“1.5.1 自定义认证页面文件”。1.1.5 Portal 认证方法不一样组网方法下,可采取 Portal 认证方法不一样。根据网络中实施Portal 认证网络层次来分,Portal 认证方法分为两种:二层认证方法和三层认证方法。1. 二层认证方法这种方法支持在接入设备连接用户二层端口上开启 Portal 认证功效,只许可源MAC 地址经过认证用户才能访问外部网络资源。现在,该认证方法仅支持当地Port
17、al 认证,即接入设备作为当地Portal 服务器向用户提供Web 认证服务。另外,该方法还支持服务器下发授权VLAN 和将认证失败用户加入认证失败VLAN 功效(三层认证方法不支持)。2. 三层认证方法(仅S5500-EI 支持)这种方法支持在接入设备连接用户三层接口上开启 Portal 认证功效。三层接口Portal 认证又可分为三种不一样认证方法:直接认证方法、二次地址分配认证方法和可跨三层认证方法。直接认证方式和二次地址分配认证方法下,认证用户端和接入设备之间没有三层转发;可跨三层认证方法下,认证用户端和接入设备之间能够跨接三层转发设备。(1) 直接认证方法用户在认证前经过手工配置或
18、DHCP 直接获取一个IP 地址,只能访问Portal 服务器,和设定无偿访问地址;认证经过后即可访问网络资源。认证步骤相对二次地址较为简单。(2) 二次地址分配认证方法用户在认证前经过 DHCP 获取一个私网IP 地址,只能访问Portal 服务器,和设定无偿访问地址;认证经过后,用户会申请到一个公网IP 地址,即可访问网络资源。该认证方法处理了IP 地址计划和分配问题,对未认证经过用户不分配公网IP 地址。比如运行商对于小区宽带用户只在访问小区外部资源时才分配公网IP。使用当地 Portal 服务器Portal 认证不支持二次地址分配认证方法。(3) 可跨三层认证方法和直接认证方法基础相同
19、,不过这种认证方法许可认证用户和接入设备之间跨越三层转发设备。对于以上三种认证方法,IP 地址全部是用户唯一标识。接入设备基于用户IP 地址下发ACL 对接口上经过认证用户报文转发进行控制。因为直接认证和二次地址分配认证下接入设备和用户之间未跨越三层转发设备,所以接口能够学习到用户MAC 地址,接入设备能够利用学习到MAC 地址增强对用户报文转发控制粒度。1.1.6 Portal 支持EAP 认证(仅S5500-EI 支持)在对接入用户身份可靠性要求较高网络应用中,传统基于用户名和口令用户身份验证方法存在一定安全问题,基于数字证书用户身份验证方法通常被用来建立更为安全和可靠网络接入认证机制。1
20、-5EAP(Extensible Authentication Protocol,可扩展认证协议)可支持多个基于数字证书认证方法(比如EAP-TLS),它和Portal 认证相配合,可共同为用户提供基于数字证书接入认证服务。图1-3 Portal 支持EAP 认证协议交互示意图如 图1-3所表示,在Portal支持EAP认证实现中,用户端和Portal服务器之间交互EAP认证报文,Portal服务器和接入设备之间交互携带EAP-Message属性Portal协议报文,接入设备和RADIUS服务器之间交互携带EAP-Message属性RADIUS协议报文,由含有EAP服务器功效RADIUS服务器
21、处理EAP-Message属性中封装EAP报文,并给出EAP认证结果。整个EAP认证过程中,接入设备只是对Portal服务器和RADIUS服务器之间EAP-Message属性进行透传,并不对其进行任何处理,所以接入设备上无需任何额外配置。 该功效仅能和 H3C iMC Portal 服务器和H3C iNode Portal 用户端配合使用。 现在,仅使用远程 Portal 服务器三层Portal 认证支持EAP 认证。1.1.7 二层Portal 认证过程1. 二层Portal 认证步骤现在,二层 Portal 认证只支持当地Portal 认证,即由接入
22、设备作为当地Portal 服务器向用户提供Web 认证服务,具体认证过程以下。图1-4 二层Portal 认证步骤图(1) Portal 用户经过HTTP 或HTTPS 协议提议认证请求。HTTP 报文经过配置了当地Portal 服务器接入设备端口时会被重定向到当地Portal 服务器监听IP 地址,当地Portal 服务器提供Web 页面供用户输入用户名和密码来进行认证。该当地Portal 服务器监听IP 地址为接入设备上一个和用户之间路由可达三层接口IP 地址(通常为Loopback 接口IP)。(2) 接入设备和RADIUS 服务器之间进行RADIUS 协议报文交互,对用户身份进行验证。
23、(3) 假如RADIUS 认证成功,则接入设备受骗地Portal 服务器向用户端发送登录成功页面,通知用户端认证(上线)成功。2. 支持下发授权VLAN二层Portal 认证支持服务器下发授权VLAN。当用户经过Portal 认证后,假如授权服务器上配置了下发VLAN 功效,那么服务器会将授权VLAN 信息下发给接入设备,由接入设备将认证成功用户加入对应授权VLAN 中,则端口上会生成该用户MAC 对应MAC VLAN 表项,若该VLAN 不存在,则接入设备首先创建VLAN,以后将用户加入授权VLAN 中。经过支持下发授权 VLAN,可实现对已认证用户可访问网络资源控制。1-63. 支持Aut
24、h-Fail VLANAuth-Fail VLAN 功效许可用户在认证失败情况下,能够访问某一特定VLAN 中资源,比如病毒补丁服务器,存放用户端软件或杀毒软件服务器,进行升级用户端或实施其它部分用户升级程序。这个VLAN 称之为Auth-Fail VLAN。二层 Portal 认证支持基于MAC Auth-Fail VLAN,假如接入用户端口上配置了Auth-Fail VLAN,则端口上会基于认证失败MAC 地址生成对应MAC VLAN 表项,认证失败用户将会被加入Auth-Fail VLAN 中。加入Auth-Fail VLAN 中用户能够访问该VLAN 中非HTTP 资源,但用户全部HT
25、TP 访问请求会被重定向到接入设备上进行认证,若用户仍然没有经过认证,则将继续处于Auth-Fail VLAN 内;若认证成功,则回到加入Auth-Fail VLAN 之前端口所在VLAN。处于Auth-Fail VLAN 中用户,若在指定时间(默认90 秒)内无流量经过接入端口,则将离开该VLAN,回到端口初始VLAN。用户加入授权 VLAN 或Auth-Fail VLAN 后,需要自动申请或手动更新用户端IP 地址,以确保可以和授权VLAN 或Auth-Fail VLAN 中资源互通。4. 支持ACL 下发ACL(Access Control List,访问控制列表)提供了控制用户访问网络
26、资源和限制用户访问权限功效。当用户上线时,假如服务器上配置了授权ACL,则设备会依据服务器下发授权ACL 对用户所在端口数据流进行控制;在服务器上配置授权ACL 之前,需要在设备上配置对应规则。管理员能够经过改变服务器授权ACL 设置或设备上对应ACL 规则来改变用户访问权限。1.1.8 三层Portal 认证过程(仅S5500-EI 支持)直接认证和可跨三层 Portal 认证步骤相同。二次地址分配认证步骤因为有两次地址分配过程,所以其认证步骤和另外两种认证方法有所不一样。1. 直接认证和可跨三层Portal 认证步骤(CHAP/PAP 认证方法)图1-5 直接认证/可跨三层Portal 认
27、证步骤图认证/计费服务器认证用户端Portal服务器接入设备(1)提议连接(2)CHAP认证交互(3)认证请求(5)认证应答(4)RADIUS协议认证交互(6)通知用户上线成功(7)认证应答确定安全策略服务器(9)授权定时器(8)安全检测信息交互直接认证/可跨三层Portal 认证步骤:(1) Portal 用户经过HTTP 协议提议认证请求。HTTP 报文经过接入设备时,对于访问Portal 服务器或设定无偿访问地址HTTP 报文,接入设备许可其经过;对于访问其它地址HTTP1-7报文,接入设备将其重定向到Portal 服务器。Portal 服务器提供Web 页面供用户输入用户名和密码来进行
28、认证。(2) Portal 服务器和接入设备之间进行CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)认证交互。若采取PAP(Password Authentication Protocol,密码验证协议)认证则直接进入下一步骤。(3) Portal 服务器将用户输入用户名和密码组装成认证请求报文发往接入设备,同时开启定时器等候认证应答报文。(4) 接入设备和RADIUS 服务器之间进行RADIUS 协议报文交互。(5) 接入设备向Portal 服务器发送认证应答报文。(6) Portal 服务器向用户端发送认证经过报文,通知用
29、户端认证(上线)成功。(7) Portal 服务器向接入设备发送认证应答确定。(8) 用户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端安全性是否合格,包含是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。(9) 安全策略服务器依据用户安全性授权用户访问非受限资源,授权信息保留到接入设备中,接入设备将使用该信息控制用户访问。步骤(8)、(9)为Portal 认证扩展功效交互过程。2. 二次地址分配认证方法步骤(CHAP/PAP 认证方法)图1-6 二次地址分配认证方法步骤图认证/计费服务器认证用户端Portal服务器接入设备(1)提议连接(2)CHAP认证交互(3)认证请求(5)认证应答(4)RADIUS协议认证交互(6)认证成功安全策略服务器(12)安全检测信息交互(13)授权(7)用户已取得新IP(8)发觉用户IP改变(10)通知用户上线成功(9)检测到用户IP改变(11)IP变换确定