所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
S12700 V200R010C00 配置指南-用户接入与认证

本文档介绍了用户接入与认证的相关特性,主要包括AAA、DAA、NAC、PPPoE、策略联动、IP Session。分别从特性原理、配置过程和配置举例等方面进行介绍。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置Portal接入模板(针对外置Portal服务器-Portal协议)

配置Portal接入模板(针对外置Portal服务器-Portal协议

设备支持的Portal服务器可分为外置Portal服务器与内置Portal服务器。外置Portal服务器具有独立的硬件设施,内置Portal服务器为存在于接入设备之内的内嵌实体(即由接入设备实现Portal服务器功能)。收到客户端的Portal认证请求后,Portal服务器通过Portal协议向接入设备发起Portal认证请求(携带用户名和密码)。

完成Portal服务器的配置之后,必须在Portal接入模板中应用以上配置的Portal服务器。之后使用该Portal接入模板的用户在访问非免费网络资源时,将被强制重定向到Portal服务器的认证页面,即可进行Portal认证。

本节介绍使用外置Portal服务器时,Portal服务器和Portal接入模板的相关配置。

说明:

华为S系列框式交换机仅支持外置Portal认证,不支持内置Portal认证。如无特殊说明,本文档所指的Portal认证/Portal服务器均为外置Portal认证/外置Portal服务器。

配置Portal服务器功能

背景信息

为保证设备与Portal服务器之间能够进行通信,需要配置以下信息:
  • Portal服务器模板:用来管理指向Portal服务器的参数,比如Portal服务器的IP地址等。
  • 与Portal服务器的交互参数:设备与Portal服务器对接时,为保证通信和安全性,需要统一的配置信息,比如Portal协议版本等。

操作步骤

  • 配置Portal服务器模板。

    1. 执行命令system-view,进入系统视图。
    2. 执行命令web-auth-server server-name,创建Portal服务器模板,并进入Portal服务器模板视图。

      缺省情况下,未创建Portal服务器模板。

    3. 执行命令protocol portal,配置Portal认证时所使用的协议为Portal协议。

      缺省情况下,Portal认证时所使用的协议为Portal协议。

    4. 执行命令server-ip server-ip-address &<1-10>,配置指向Portal服务器的IP地址。

      缺省情况下,未配置指向Portal服务器的IP地址。

    5. (可选)执行命令source-ip ip-address,配置设备与Portal服务器通信的源IP地址。

      缺省情况下,未配置设备与Portal服务器通信的源IP地址。

    6. (可选)执行命令port port-number [ all ],配置设备向Portal服务器发送报文时使用的目的端口号。

      缺省情况下,设备向Portal服务器发送报文时使用的目的端口号为50100。

    7. 执行命令shared-key cipher key-string,配置设备与Portal服务器信息交互的共享密钥。

      缺省情况下,未配置设备与Portal服务器信息交互的共享密钥。

    8. 执行命令vpn-instance vpn-instance-name,配置设备与Portal服务器通信使用的VPN实例。

      缺省情况下,未配置设备与Portal服务器通信使用的VPN实例。

    9. (可选)执行命令web-redirection disable,关闭Portal认证重定向功能。

      缺省情况下,Portal认证重定向功能处于开启状态。

      未认证用户通过WEB浏览器访问外部网络时,其HTTP请求都会被设备重定向到Portal认证页面进行认证。但在某些特殊情况下,譬如用户需要手动输入认证页面,可执行本命令,之后未认证用户的HTTP请求将不会被设备强制重定向到Portal认证页面。

    10. 配置指向Portal服务器的URL。

      分为绑定URL方式和绑定URL模板方式,相对于绑定URL方式,通过绑定URL模板方式不仅能够配置指向Portal服务器的重定向URL,还能够在URL中携带用户或接入设备的相关参数。这样Portal服务器能够根据URL中的参数获取到用户终端的信息,满足为不同用户提供不同的Portal认证界面的需求。管理员可根据实际需求选择绑定URL方式或绑定URL模板方式。

      • 绑定URL方式

        执行命令url url-string,配置指向Portal服务器的URL。

        缺省情况下,未配置指向Portal服务器的URL。

      • 绑定URL模板方式

        1. 创建并配置URL模板。

          1. 执行命令quit,返回到系统视图。
          2. 执行命令url-template name template-name,创建URL模板并进入URL模板视图。

            缺省情况下,设备上未创建URL模板。

          3. 执行命令url [ redirect-only ] url-string [ ssid ssid ],配置指向Portal服务器的重定向URL。

            缺省情况下,未配置指向Portal服务器的重定向URL。

          4. 执行命令url-parameter { ac-ip ac-ip-value | ac-mac ac-mac-value | ap-ip ap-ip-value | ap-mac ap-mac-value | login-url url-key url | redirect-url redirect-url-value | ssid ssid-value | sysname sysname-value | user-ipaddress user-ipaddress-value | user-mac user-mac-value } *,配置URL中携带的参数。

            缺省情况下,URL中未携带参数。

          5. 执行命令url-parameter mac-address format delimiter delimiter { normal | compact },配置URL参数中MAC地址的格式。

            缺省情况下,URL参数中MAC地址的格式为XXXXXXXXXXXX。

          6. 执行命令parameter { start-mark parameter-value | assignment-mark parameter-value | isolate-mark parameter-value } *,配置URL中的符号。

            缺省情况下,URL中指定URL参数开始的符号为“?”,赋值符号为“=”,不同参数之间的分隔符为“&”。

          7. 执行命令quit,返回到系统视图。
        2. 执行命令web-auth-server server-name,进入Portal服务器模板视图。
        3. 执行命令url-template url-template [ ciphered-parameter-name ciphered-parameter-name iv-parameter-name iv-parameter-name key cipher key-string ],配置在Portal服务器模板下绑定URL模板。

          缺省情况下,Portal服务器模板下未绑定URL模板。

          说明:

          仅当与华为公司的Agile Controller-Campus设备对接时,支持对URL模板中的参数信息进行加密。

  • 配置与Portal服务器的交互参数。

    • 执行命令system-view,进入系统视图。
    • 执行命令web-auth-server version v2 [ v1 ],配置设备支持的Portal协议版本。

      缺省情况下,设备同时支持v2与v1版本。

      说明:

      为了保证通信正常,建议采用设备的缺省配置,即两个版本都支持。

    • 执行命令web-auth-server listening-port port-number,配置设备侦听Portal协议报文的端口号。

      缺省情况下,设备侦听Portal协议报文的端口号为2000。

    • 执行命令web-auth-server reply-message,使能将认证服务器回应的用户认证信息透传给Portal服务器的功能。

      缺省情况下,设备已使能将认证服务器回应的用户认证信息透传给Portal服务器的功能。

    • 执行命令portal https-redirect enable,使能Portal认证HTTPS重定向功能。

      缺省情况下,Portal认证HTTPS重定向功能处于去使能状态。

      说明:
      • 用户访问HTTPS协议的网站触发Portal认证时,浏览器会弹出安全提示,需要用户点击继续才能完成Portal认证。
      • 执行HSTS的浏览器或网站不能进行重定向。
      • 如果用户发送的HTTPS请求报文的目的端口号是非知名端口(443),则不能进行重定向。
      • 该功能仅对新接入的Portal认证用户生效。
    • 执行命令portal logout resend times timeout period,配置Portal认证用户下线报文的重传次数和重传周期。

      缺省情况下,Portal认证用户下线报文的重传次数是3次、重传周期是5秒。

    • 执行命令portal logout different-server enable,使能设备处理非用户上线的Portal服务器发送的用户下线请求消息。

      缺省情况下,设备不处理非用户上线的Portal服务器发送的用户下线请求消息。

(可选)配置Portal认证探测功能

背景信息

Portal认证实际组网应用中,若设备与Portal服务器之间出现网络故障导致通信中断或者Portal服务器本身出现故障,则会造成新的Portal认证用户无法上线,已经在线的Portal认证用户也无法正常下线。

Portal认证探测功能可使设备在网络故障或Portal服务器无法正常工作的情况下,通过日志和告警的方式报告故障。

在主备Portal服务器场景或配置Portal逃生功能时,设备需要开启Portal认证探测功能。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令web-auth-server server-name,进入Portal服务器模板视图。
  3. 执行命令server-detect [ interval interval-period | max-times times | critical-num critical-num | action { log | trap } * ] *,使能Portal服务器探测功能。

    缺省情况下,未使能Portal服务器探测功能。

(可选)配置Portal认证用户信息同步功能

背景信息

Portal实际组网应用中,若设备与Portal服务器之间出现网络故障导致通信中断或Portal服务器本身出现故障,将使得已经在线的Portal认证用户无法正常下线,进而导致设备与Portal服务器用户信息不一致以及计费不准确问题。

设备通过配置Portal认证用户信息同步功能,可保证Portal服务器与设备上用户信息的一致性,以避免可能出现的计费不准确问题。
说明:

对于三层Portal认证,目前设备支持与华为的Agile Controller-Campus服务器同步用户信息。与其他的Portal服务器对接时,如果不能同步用户信息导致用户不能及时下线,管理员可通过执行命令cut access-user强制用户下线,或者通过网管、RADIUS DM等形式强制用户下线。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令web-auth-server server-name,进入Portal服务器模板视图。
  3. 执行命令user-sync [ interval interval-period | max-times times ] *,使能用户信息同步功能。

    缺省情况下,未使能用户信息同步功能。

创建Portal接入模板

背景信息

设备通过Portal接入模板统一管理Portal认证用户接入相关的所有配置。配置Portal认证之前,首先需要创建Portal接入模板。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令portal-access-profile name access-profile-name,创建Portal接入模板并进入Portal接入模板视图。

    缺省情况下,设备自带1个名称为portal_access_profile的Portal接入模板。

    说明:
    • 升级兼容转换的模板不占用配置规格。自带的1个Portal接入模板(portal_access_profile)可以修改和应用,但不能删除。
    • 删除某个Portal接入模板时,需要保证该Portal接入模板没有被任何认证模板绑定。

配置Portal接入模板使用的Portal服务器

背景信息

用户进行Portal认证时,首先需要配置Portal服务器功能,然后配置Portal接入模板使用的Portal服务器。之后使用该Portal接入模板的用户在访问非免费网络资源时,将被强制重定向到Portal服务器的认证页面,即可进行Portal认证。

Portal服务器的参数通过Portal服务器模板来管理,所以配置Portal接入模板使用的Portal服务器,即配置Portal接入模板使用的Portal服务器模板。

为提高Portal认证的可靠性,可以在Portal接入模板下同时绑定备用Portal服务器模板,当主用Portal服务器中断时,用户被重定向到备用Portal服务器进行认证。该功能要求设备已通过server-detect命令使能Portal服务器探测功能,并且在Portal服务器上开启心跳探测。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令portal-access-profile name access-profile-name,创建Portal接入模板并进入Portal接入模板视图。
  3. 执行命令web-auth-server server-name [ bak-server-name ] { direct | layer3 },配置Portal接入模板使用的Portal服务器模板。

    缺省情况下,Portal接入模板没有使用任何Portal服务器模板。

    Portal认证可分为direct方式和layer3方式:
    • direct方式:当用户与设备之间没有三层转发设备时,设备能够学习到用户的MAC地址。此时可利用IP和MAC地址来识别用户,配置二层认证方式即可。
    • layer3方式:当用户与设备之间存在三层转发设备时,设备不能够获取到用户的MAC地址,所以IP地址将唯一标识用户,此时需要配置为三层认证方式。

  4. (可选)执行命令portal auth-network network-address { mask-length | mask-address },配置Portal认证的源认证网段。

    缺省情况下,Portal认证的源认证网段为0.0.0.0/0,表示对所有网段的用户都进行Portal认证。

    该命令仅对三层Portal认证有效,二层Portal认证时对所有网段的用户都进行认证。

(可选)配置用户下线探测周期

背景信息

在Portal认证中,如果由于断电、网络异常断开等缘故造成用户下线,此时设备与认证服务器上可能仍保留该用户信息,这会造成计费不准确等问题。另一方面,由于设备允许接入的用户数是有限的,若用户异常下线而设备上仍保留用户信息,则可能导致其他用户不能接入网络。

配置Portal认证用户下线探测周期后,如果用户在探测周期内没有回应,则设备认为该用户已下线。之后设备与认证服务器将会及时清除其上保留的该用户信息,以保证用户资源的有效利用。

说明:

本功能仅适用于二层Portal认证方式。

对于采用三层Portal认证的PC用户,可以通过认证服务器的心跳探测功能保证其在线状态正常。认证服务器探测到用户下线后,通知设备将用户下线。

为防止下线探测报文(ARP报文)过多,超过默认CAR值,导致探测失败,进而将用户下线(通过命令display cpu-defend statistics查看ARP请求和回应报文是否存在丢包)。建议用户采用以下方法处理:
  • 根据用户数量,适当放大探测周期。建议当用户数小于8K时,探测周期采用缺省值;当用户数大于8K时,配置探测周期不小于600秒。
  • 在接入设备上部署端口防攻击功能,对上送CPU的报文进行限速处理。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令portal-access-profile name access-profile-name,进入Portal接入模板视图。
  3. 执行命令portal timer offline-detect time-length,配置Portal认证用户下线探测周期。

    缺省情况下,下线探测周期为300秒。配置为0时,表示不进行用户下线探测。

(可选)配置Portal逃生功能

背景信息

Portal服务器Down会造成用户无法通过认证,导致用户无任何网络访问权限。Portal逃生即在接入设备探测到Portal服务器Down时,授予用户特定的网络访问权限,满足用户基本的网络访问需求。

说明:

设备做AC设备时,无线用户的Portal逃生功能必须配套V200R007C00及其之后版本的FIT AP设备才能生效。

仅HTTP报文触发的Portal认证用户支持该功能,HTTPS报文触发的Portal认证用户不支持。

不支持为在线Portal用户授权VLAN。

有线用户进行三层Portal认证时,不支持配置Portal逃生功能。

前置任务
使用该功能时,必须满足以下条件:
  1. Portal服务器支持心跳探测功能。
  2. 接入设备开启Portal服务器探测功能,具体配置请参见(可选)配置Portal认证探测功能

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 配置授权参数

    • UCL组

      1. 执行命令ucl-group group-index [ name group-name ],创建UCL组。

        缺省情况下,未创建UCL组。

      2. (可选)执行命令ucl-group ip ip-address { mask-length | ip-mask } { group-index | name group-name },配置静态UCL组。

        缺省情况下,未配置静态UCL组。

      3. 配置用户ACL,根据UCL组对报文进行过滤。详细配置请参见S12700 V200R010C00 配置指南-安全》 ACL配置 中的“配置用户ACL”。
      4. 可采用以下方式对报文进行处理:

        • 执行命令traffic-filter inbound acl { acl-number | name acl-name },配置基于ACL对报文进行过滤。

          缺省情况下,未配置基于ACL对报文进行过滤。

        • 执行命令traffic-redirect inbound acl { acl-number | name acl-name } [ vpn-instance vpn-instance-name ] ip-nexthop nexthop-address,配置基于ACL对报文进行重定向。

          缺省情况下,未配置基于ACL对报文进行重定向。

    • 业务方案

      1. 执行命令aaa,进入AAA视图。
      2. 执行命令service-scheme service-scheme-name,创建一个业务方案,并进入业务方案视图。

        缺省情况下,设备上没有创建业务方案。

      3. 执行命令ucl-group { group-index | name group-name },在业务方案下绑定UCL组。

        缺省情况下,业务方案下未绑定UCL组。

        执行该命令之前,需确保已创建并配置了标记用户类别的UCL组。

        说明:

        对于无线用户,当采用直接转发模式时,不支持UCL组授权。

      4. 执行命令user-vlan vlan-id,在业务方案中配置用户VLAN。

        缺省情况下,在业务方案中未配置用户VLAN。

        执行该命令之前,需确保已使用命令vlan创建了VLAN。

      5. 执行命令voice-vlan在业务方案中使能Voice VLAN功能。

        缺省情况下,在业务方案中未使能Voice VLAN功能。

        为使本命令功能生效,需已使用命令voice-vlan enable配置指定VLAN为Voice VLAN,同时使能接口的Voice VLAN功能。

      6. 执行命令qos-profile profile-name,在业务方案中绑定QoS模板。

        缺省情况下,在业务方案中未绑定QoS模板。

        说明:

        X1E系列单板支持user-queue命令。

        执行该命令之前,需确保已配置了QoS模板。配置QoS模板操作步骤如下:
        1. 在系统视图下执行命令qos-profile name profile-name,创建QoS模板并进入QoS模板视图。
        2. 在QoS模板视图下配置流量监管、报文处理优先级与用户队列。(业务方案下绑定QoS模板后,QoS模板中仅以下命令生效。)
          • 执行命令car cir cir-value [ pir pir-value ] [ cbs cbs-value pbs pbs-value ] { inbound | outbound },在QoS模板中配置流量监管。

            缺省情况下,QoS模板中没有配置流量监管。

          • 执行命令remark dscp dscp-value,在QoS模板中配置重标记IP报文的DSCP优先级。

            缺省情况下,QoS模板中没有配置重标记IP报文的DSCP优先级。

          • 执行命令remark 8021p 8021p-value,在QoS模板中配置重标记VLAN报文802.1p优先级。

            缺省情况下,QoS模板中没有配置重标记VLAN报文802.1p优先级。

      7. 执行命令quit,返回到AAA视图。
      8. 执行命令quit,返回到系统视图。

  3. 执行命令portal-access-profile name access-profile-name,进入Portal接入模板视图。
  4. 执行命令authentication event portal-server-down action authorize { service-scheme service-scheme-name | ucl-group ucl-group-name },配置用户在Portal服务器Down时的网络访问权限。

    缺省情况下,未配置用户在Portal服务器Down时的网络访问权限。

  5. (可选)执行命令authentication event portal-server-up action re-authen,使能当Portal服务器状态由Down转变为Up时,设备对用户进行重认证。

    缺省情况下,当Portal服务器状态由Down转变为Up时,设备不会对用户进行重新认证。

    执行该步骤后,当接入设备探测到Portal服务器的状态由Down转变为Up时,会对用户进行重认证。接入设备将处于web-server-down状态的用户置为预连接状态,之后用户访问任意网页即可启动重认证流程,如果认证成功,接入设备会开放用户正常的网络访问权限。

检查配置结果
  • 执行命令display portal-access-profile configuration [ name access-profile-name ],查看Portal逃生时的授权信息。

检查Portal服务器模板和Portal接入模板的配置结果

背景信息

完成Portal服务器模板和Portal接入模板的配置后,执行以下命令查看配置信息。

操作步骤

  • 执行命令display portal-access-profile configuration [ name access-profile-name ],查看Portal接入模板的配置信息。
  • 执行命令display portal [ interface interface-type interface-number ],查看Portal认证相关信息。
  • 执行命令display portal user-logout [ ip-address ip-address [ vpn-instance vpn-instance-name ] ],查看Portal认证用户的下线临时表项信息。
  • 执行命令display web-auth-server configuration,查看Portal服务器模板的配置信息。
  • 执行命令display url-template { all | name template-name },查看URL模板的配置信息。
  • 执行命令display server-detect state [ web-auth-server server-name ],查看Portal服务器状态信息。
翻译
下载文档
更新时间:2019-12-28

文档编号:EDOC1000141386

浏览量:21699

下载量:357

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页