所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE40E V800R010C00 配置指南 - 用户接入 01

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置IPoX接入认证方式

配置IPoX接入认证方式

认证技术指用户终端与设备之间进行认证交互、提交用户名和密码的方法,NE40E提供了多种认证技术。

应用环境

Web认证是指用户通过访问Web认证服务器的认证页面,交互输入用户名和密码进行身份认证的一种认证方法。

Web认证还有一种简化的方法,称为快速认证,是指用户访问Web页面,但是无需输入用户名和密码,直接提交认证,由NE40E根据用户接入的BAS(Broadband Access Server)接口信息自动生成用户名和密码进行认证。

绑定认证是指NE40E根据用户接入的位置信息自动生成用户名和密码进行认证。

配置Web认证方式或快速认证方式

Web认证是指用户通过访问Web认证服务器的认证页面,交互输入用户名和密码进行身份认证的一种认证方式。快速认证是指用户访问Web页面,但是无需输入用户名和密码,直接提交认证。

背景信息

配置Web认证方式或快速认证方式包括以下参数:

  • 服务器的IP地址以及所属的VPN实例

  • 服务器的端口号

  • 服务器的共享密钥

  • NE40E是否向服务器上报自己的IP地址

  • 配置Portal协议时的Portal版本号、侦听端口号、发送报文的源接口

  • 强制重定向的页面

请在NE40E上进行以下配置。

说明:
  • 密码需要符合密码复杂度规则:大写、小写、数字、特殊字符中至少有2种,并且长度不能小于8。
  • 为避免高安全风险,配置时请尽量选择密文模式。为保证设备安全,请定期修改密码。

操作步骤

  1. 配置Web认证服务器
    1. 执行命令system-view,进入系统视图。
    2. 执行命令web-auth-server ip-address [ vpn-instance instance-name ] [ port port-number ] [ key { simple simple-key | cipher cipher-key } ] [ nas-ip-address ] [ user-query exclude pre-domain ],配置Web认证服务器。
  2. (可选)配置Portal协议
    1. 执行命令system-view,进入系统视图。
    2. (可选)执行命令web-auth-server version { v2 [ v1 ] | v3 },设置Portal版本号。
    3. (可选)执行命令web-auth-server listening-port port,配置NE40E的侦听端口号。
    4. (可选)执行命令web-auth-server source interface interface-type interface-number,配置NE40E发送报文的源接口。
    5. (可选)执行命令web-auth-server reply-message,配置透传RADIUS消息。
    6. 执行命令web response-error-id enable,使能主机给Portal服务器发送的认证拒绝报文中包含错误代码功能。
  3. (可选)配置强制Web认证

    强制Web认证指用户在未认证前访问其无权访问的地址时,NE40E将其访问请求强制重定向到指定的Web服务器,方便用户进行认证的功能。

    1. 执行命令aaa,进入AAA视图。
    2. (可选)执行命令http-redirect enable,使能http报文重定向功能。
    3. 执行命令domain domain-name,进入域视图(认证前缺省域)。
    4. (可选)执行命令web-server url url,配置域下强制Web认证的重定向URL。

      • 执行命令web-server url-parameter,配置将Web认证支持的协议设置为运营商扩展PORTAL协议。
      • 执行命令web-server ip-address [ ipv6–address ] [ slave ],配置Web服务器的IP地址。

        web双栈用户必须指定Web服务器IPv6地址

      • 执行命令web-server mode { get | post },配置web服务器的HTTP模式。

      • 执行命令web-server redirect-key { mscg-ip mscg-ip-key | mscg-name mscg-name-key | user-ip-address user-ip-key | user-location user-location-key | nas-logic-sysname nas-logic-sysname-key | user-mac-address { user-mac-key [ simple ] [ type1 ] | cipher aes128 } }web-server redirect-key ap-mac-address ap-mac-key [ simple [ type1 ] | cipher aes128 ],web-server redirect-key ssid ssid-keyweb-server redirect-key agent-remote-id agent-remote-id-key ,配置个性化Portal属性的关键字。

      • (可选)执行命令web-server url-parameter { shared-key shared-key | shared-key-cipher shared-key-cipher },配置user-mac-address或者ap-mac-address加密显示的生成关键字。此步骤只在web-server redirect-key命令中设置了cipher aes128 参数后需要配置,此关键字用于生成加密后显示的user-mac-address或者ap-mac-address。
      • 执行命令web-server user-first-url-key { key-name | default-name },配置用户IP地址的关键字。

      说明:

      web双栈用户,前域下必须配置重定向URL,否则可能强制Web认证功能不成功。

    5. (可选)执行命令web-server { ip-address | url url } bind web-auth-server ip-address [ vpn-instance vpn-instance ] ,配置强制Web服务器绑定的Web认证服务器。
    6. (可选)执行命令web-server { ip-address | url url } bind web-auth-server ip-address [ vpn-instance vpn-instance ] slave,配置备用强制Web服务器绑定的Web认证服务器。
    7. (可选)执行命令mac-authentication enable ,配置MAC认证功能使能。

      说明:

      MAC认证功能主要用于简化WEB认证过程。若使能了MAC认证功能,在WEB认证过程中,WEB认证用户只需在第一次认证时输入用户名和密码,同时RADIUS服务器会记录下用户的MAC地址,当用户再需要WEB认证时,RADIUS服务器便可以根据其MAC信息进行认证,而不需要用户再次输入用户名和密码。

      在现网应用中,此命令常与认证失败重定向命令authening authen-fail online authen-domain domain-name配合使用,即用户MAC认证失败后,会进入认证失败重定向域,用户可以从该域通过用户名、密码进行WEB认证进入认证域并正常访问网络资源。

    8. (可选)执行命令http-hostcar enable,配置使能对强制web用户的http报文进行hostcar功能。
    9. 执行命令quit,退回到AAA视图。
    10. 执行命令quit,退回到系统视图。
  4. (可选)配置web性能优化
    1. 执行命令system-view,进入系统视图。
    2. 执行命令http-url deny urlstring,配置web强制或portal强推流程时的url黑名单。
    3. 执行命令http-url count enable slot [ interval interval-value ] [ aging aging-value ],配置使能根据host地址进行计数。
    4. 执行命令slot slotid,进入槽位视图。
    5. 执行命令http-hostcar cir cir-value [ pir pir-value ] [ cbs cbs-value pbs pbs-value ],配置用户web快回报文的带宽限制。
    6. 执行命令quit,退回到系统视图。
    7. 执行命令aaa,进入AAA视图。
    8. 执行命令domain domain-name,进入域视图。
    9. 执行命令http-hostcar enable [ no-fast-reply ] enable,配置使能对强制web用户的http报文进行hostcar和快回功能。
    10. 执行命令quit,退回到AAA视图。
    11. 执行命令quit,退回到系统视图。
  5. (可选)配置二次地址分配功能。
    1. 执行命令domain domain-name,进入域视图(认证后域)。
    2. 执行命令reallocate-ip-address,配置使能二次地址分配功能。

      由于目前有许多用户计算机在大部分时间内都不进行认证上网的现状,如果在用户开机后全部为用户分配公网IP地址,会对IP地址资源的浪费。二次地址分配即用户没进行认证时分配一个私网地址,认证后再分配一个公网地址,这样可以较为有效的解决公网地址不足的问题,提高公网地址的利用率。

      此命令只对WEB用户生效。

    3. 执行命令quit,进入AAA视图。
    4. 执行命令quit,进入系统视图。
  6. 配置BAS接口下的认证域和认证方式

    由于Web认证用户在未认证前属于非法用户,无法获取IP地址,也没有权限访问Web认证服务器,因而也无法进行Web认证。

    为了解决这个矛盾,所有未认证的Web认证用户都被归到某个缺省域(基于接口配置),称为认证前缺省域。未认证用户可以从认证前缺省域中获取IP地址,并通过认证前缺省域赋予的权限访问Web服务器,完成Web认证。

    1. 执行命令interface interface-type interface-number,进入接口视图。
    2. 执行命令bas,进入BAS接口视图。
    3. 执行命令access-type layer2-subscriber,配置接入类型为二层用户。
    4. 执行命令default-domain pre-authentication domain-name,指定认证前缺省域。
    5. 执行命令default-domain authentication [ force | replace ] domain-name,指定认证时缺省域。
    6. 执行命令authentication-method { web | fast }authentication-method-ipv6 { web | fast },配置Web认证方式或快速认证方式。
  7. 执行命令commit,提交配置。

配置绑定认证方式

用户认证不通过web页面,通过用户物理信息绑定认证等方式进行认证。

背景信息

请在NE40E上进行以下配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令interface interface-type interface-number,进入接口视图。
  3. 执行命令bas,进入BAS接口视图。
  4. 执行命令access-type layer2-subscriber,设置用户接入类型为二层用户。
  5. 执行命令default-domain pre-authentication domain-name,指定认证前缺省域。
  6. 执行命令default-domain authentication [ force | replace ] domain-name,指定认证时缺省域。
  7. 执行命令authentication-method bind,配置绑定认证方式。

    只有接入用户类型为二层用户的BAS接口可以设置其认证方法。各种认证方法可以组合使用,但有以下的约束关系:

    • Web认证和快速认证互斥;
    • 绑定认证和其他认证方式都互斥。

  8. 执行命令commit,提交配置。

检查配置结果

完成认证方式的配置后,您可以通过查看域配置信息获知认证方式。

操作步骤

  • 使用display web-auth-server configuration命令,查看Web服务器的配置信息。
  • 使用display domain [ domain-name ]命令,查看域的配置信息。
  • 使用display aaa default-user-name [ template template-name | global ]命令,查看IPoE纯用户名生成方式。
  • 使用display aaa default-password [ template template-name | global ]命令,查看IPoE用户密码或密码生成方式。

任务示例

配置完成后,执行命令display web-auth-server configuration命令可以查看Web服务器的配置信息,例如:

<HUAWEI> display web-auth-server configuration
  Source interface      : -
  Listening port        : 2000
  Portal                : version 1, version 2, version 3
  Display reply message : enabled
  ------------------------------------------------------------------------
           Server  Share-Password     Port  NAS-IP  Vpn-instance
  ------------------------------------------------------------------------
    192.168.3.140  ******            50100   NO
  ------------------------------------------------------------------------
  1 Web authentication server(s) in total

配置完成后,执行命令display domain [ domain-name ]可以查看域的配置信息。例如:

<HUAWEI> display domain
  ------------------------------------------------------------------------------
  Domain name           State        CAR Access-limit   Online  BODNum RptVSMNum
  ------------------------------------------------------------------------------
  default0              Active         0       279552        0       0         0
  default1              Active         0       279552        0       0         0
  default_admin         Active         0       279552        0       0         0
  default               Active         0       279552        0       0         0
  isp1                  Active         0       279552        0       0         0
  ------------------------------------------------------------------------------
  Total 5,5 printed

配置完成后,执行命令display aaa default-user-name可以查看IPoE用户名生成方式。例如:

<HUAWEI> display aaa default-user-name global
Global user name format:enable
Sysname:yes, separator :“-”
Gateway-address:-, separator :no
IP address:-, separator :no
MAC address:-, separator :no
Access-line-id: -, separator :no
Access-line-id circuit-id:-, separator :no, offset: -, parse-mode:%s
Access-line-id remote-id:-, separator :no,offset: -, parse-mode:%s
Vendor-class: -, separator: no,cn-format:-, sub-option:-, offset:-, length:-
Client-id:-, separator :no
DHCPv4 option12:-,separator :no
PE VLAN: -, separator :no
CE VLAN:-, separator :no
Port:-, separator :no
Slot:-, separator :no
Subslot:-, separator :no

配置完成后,执行命令display aaa default-password可以查看IPoE用户密码或密码生成方式。例如:

<HUAWEI> display aaa default-password global
Global password:the default is ******
下载文档
更新时间:2018-07-12

文档编号:EDOC1100028564

浏览量:19308

下载量:224

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页