配置Portal认证的扩展功能与可选参数
配置与Portal服务器信息交互参数
背景信息
在Portal认证网络的部署中,若Portal服务器为外置Portal服务器,可通过配置设备与Portal服务器信息交互参数,以达到设备与外置Portal服务器之间正常通信同时提高信息交互安全性的目的。
本节内容仅适用于外置Portal服务器场景。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令web-auth-server version v2 [ v1 ],配置设备支持的Portal协议版本。
缺省情况下,设备同时支持v2与v1版本。
为了保证通信正常,建议采用设备的缺省配置,即两个版本都支持。
- 执行命令web-auth-server
listening-port port-number,配置设备侦听Portal协议报文的端口号。
缺省情况下,设备侦听Portal协议报文的端口号为2000。
- 执行命令web-auth-server
reply-message,使能将认证服务器回应的用户认证信息透传给Portal服务器的功能。
缺省情况下,设备已使能将认证服务器回应的用户认证信息透传给Portal服务器的功能。
- 执行命令web-auth-server server-name,进入Portal服务器模板视图。
- 执行命令source-ip ip-address,配置设备与Portal服务器通信的源IP地址。
缺省情况下,未配置设备与Portal服务器通信的源IP地址。
- 执行命令port port-number [ all ],配置设备向Portal服务器发送报文时使用的目的端口号。
缺省情况下,设备向Portal服务器发送报文时使用的目的端口号为50100。
- 执行命令vpn-instance vpn-instance-name,配置设备与Portal服务器通信使用的VPN实例。
缺省情况下,未配置设备与Portal服务器通信使用的VPN实例。
仅S5700EI、S5710EI、S5700HI、S5710HI、S6700支持该步骤。
配置内置Portal认证自定义登录页面
背景信息
当用户进行内置Portal认证时,作为内置Portal服务器的设备会向用户强制推送登录页面,随后用户在登录页面上输入用户名密码即可进行认证。
设备支持对登录页面进行自定义以满足用户的个性化需求,譬如用户可在登录页面上加载Logo图片、更改登录页面的背景图片或背景颜色、推送广告页面等等。
操作步骤
- 执行命令system-view,进入系统视图。
- 定制内置Portal服务器登录页面。
执行命令portal local-server logo load logo-file,加载内置Portal服务器登录页面的Logo图片文件。
缺省情况下,没有加载内置Portal服务器登录页面的Logo图片文件。
执行命令portal local-server ad-image load ad-image-file,加载内置Portal服务器登录页面的广告页面文件。
缺省情况下,没有加载内置Portal服务器登录页面的广告页面文件。
执行命令portal local-server page-text load string,加载内置Portal服务器登录页面的文本文件或超文本文件。
缺省情况下,没有加载内置Portal服务器登录页面的文本文件或超文本文件。
执行命令portal local-server policy-text load string,加载内置Portal服务器的免责声明页面文件。
缺省情况下,没有加载内置Portal服务器的免责声明页面文件。
执行命令portal local-server background-image load { background-image-file | default-image1 },加载内置Portal服务器登录页面的背景图片。
缺省情况下,设备上存在名为“default-image0”和“default-image1”两张背景图片。内置Portal服务器默认使用default-image0背景图片。
执行命令portal local-server background-color background-color-value,配置内置Portal服务器登录页面的背景颜色。
缺省情况下,没有配置内置Portal服务器登录页面的背景颜色。
配置Portal服务器探测功能
背景信息
Portal实际组网应用中,若设备与Portal服务器之间出现网络故障导致通信中断或Portal服务器本身出现故障,将会导致新的Portal认证用户无法上线。这将给用户带来很大的不便。
在Portal服务器模板下使能Portal服务器探测功能,设备会对该Portal服务器模板下配置的所有Portal服务器进行探测,如果对某一Portal服务器探测失败次数超过最大次数,会将该Portal服务器的状态由Up改变为Down。如果状态为Up的Portal服务器数目小于或等于设置的最小值(critical-num),设备会发送日志或告警信息,这样管理员就能够实时掌握网络中Portal服务器的状态,以便及时排除故障。
本节内容仅适用于外置Portal服务器场景。
配置允许用户进行认证的源IP网段
背景信息
在配置Portal认证之后,为了实现对接入用户更加精确的控制,可配置Portal认证的源认证网段,这样只有在源认证网段范围内的用户才能触发Portal认证。对于源认证网段之外的用户,无法进行Portal认证也无法接入网络。
本节内容仅适用于外置Portal服务器场景。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令interface interface-type interface-number,进入接口视图。
- (可选)对于以太网接口,执行命令undo portswitch,配置接口切换到三层模式。
缺省情况下,以太网接口处于二层模式。
- 执行命令portal auth-network network-address { mask-length | mask-address },配置Portal认证的源认证网段。
缺省情况下,源认证网段为0.0.0.0/0,表示对所有网段的用户都进行认证。
该命令仅对三层Portal认证方式有效,二层Portal认证方式将对所有网段的用户都进行认证。
配置对连续认证失败的用户进行静默
配置用户信息同步功能
背景信息
在Portal认证中,若设备与Portal服务器之间出现网络故障导致通信中断或Portal服务器本身出现故障,将使得已经在线的Portal用户无法正常下线。这可能会导致设备与Portal服务器上的用户信息不一致以及计费不准确问题。
设备通过用户信息同步机制,可保证Portal服务器与设备上用户信息的一致性,以避免可能出现的计费不准确问题。
本节内容仅适用于外置Portal服务器场景。
对于三层Portal认证,目前设备支持与华为的Agile Controller-Campus服务器同步用户信息。与其他的Portal服务器对接时,如果不能同步用户信息导致用户不能及时下线,管理员可通过执行命令cut access-user强制用户下线,或者通过网管、RADIUS DM等形式强制用户下线。
配置用户下线探测周期
背景信息
在Portal认证中,如果由于断电、网络异常断开等缘故造成用户下线,此时设备与认证服务器上可能仍保存有该用户信息,这将会造成计费不准确等问题。另一方面,由于设备允许接入的用户数是有限的,若用户异常下线而设备上仍保存有用户信息,则可能导致其他用户不能接入网络。
配置Portal认证用户下线探测周期后,如果用户在探测周期内没有回应,则设备认为该用户已下线。之后设备与认证服务器将会及时清除其上保存的该用户信息,以保证用户资源的有效利用。
本功能仅适用于二层Portal认证方式,同时仅对外置Portal服务器场景生效。
对于采用三层Portal认证的PC用户,可以通过认证服务器的心跳探测功能保证其在线状态正常。认证服务器探测到用户下线后,通知设备将用户下线。
- 根据用户数量,适当放大探测周期。建议当用户数小于8K时,探测周期采用缺省值;当用户数大于8K时,配置探测周期不小于600秒。
- 在接入设备上部署端口防攻击功能,对上送CPU的报文进行限速处理。
