所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-用户接入与认证

本文档介绍了用户接入与认证的配置,具体包括AAA配置、NAC配置和策略联动配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置Portal接入模板(针对外置Portal服务器-HTTP/HTTPS协议)

配置Portal接入模板针对外置Portal服务器-HTTP/HTTPS协议)

设备支持的Portal服务器可分为外置Portal服务器与内置Portal服务器。外置Portal服务器具有独立的硬件设施,内置Portal服务器为存在于接入设备之内的内嵌实体(即由接入设备实现Portal服务器功能)。

完成Portal服务器的配置之后,必须在Portal接入模板中应用以上配置的Portal服务器。之后使用该Portal接入模板的用户在访问非免费网络资源时,将被强制重定向到Portal服务器的认证页面,即可进行Portal认证。

本节介绍使用外置Portal服务器时,Portal服务器和Portal接入模板的相关配置。

说明:

对于S2750EI、S5700-10P-LI-AC以及S5700-10P-PWR-LI-AC,仅在IPv4报文三层硬件转发功能开启时,才能支持外置Portal认证。配置IPv4报文三层硬件转发功能请参见S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-IP业务》 IP性能优化配置 中的“配置IPv4报文三层硬件转发功能”。

配置外置Portal服务器功能

背景信息

在使用外置Portal服务器认证的过程中,为保证设备与Portal服务器之间能够进行通信,需要在Portal服务器模板下配置相关的参数,例如采用的认证协议。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令portal web-authen-server { http | https ssl-policy policy-name } [ port port-number ],开启HTTP/HTTPS协议的Portal对接功能。

    缺省情况下,HTTP/HTTPS协议的Portal对接功能处于关闭状态。

  3. 执行命令web-auth-server server-name,创建Portal服务器模板,并进入Portal服务器模板视图。

    缺省情况下,未创建Portal服务器模板。

  4. 执行命令protocol http [ password-encrypt { none | uam } ],配置Portal认证时所使用的协议为HTTP/HTTPS协议。

    缺省情况下,Portal认证时所使用的协议为Portal协议。

  5. (可选)执行命令http get-method enable,配置进行Portal认证时允许用户使用GET方式向设备提交用户名和密码等信息。

    缺省情况下,进行Portal认证时不允许用户使用GET方式向设备提交用户名和密码等信息。

  6. 执行命令http-method post { cmd-key cmd-key [ login login-key | logout logout-key ] * | init-url-key init-url-key | login-fail response { err-msg { authenserve-reply-message | msg msg } | redirect-login-url | redirect-url redirect-url [ append-reply-message msgkey ] } | login-success response { msg msg | redirect-init-url | redirect-url redirect-url } | logout-fail response { msg msg | redirect-url redirect-url } | logout-success response { msg msg | redirect-url redirect-url } | password-key password-key | user-mac-key user-mac-key | userip-key userip-key | username-key username-key } *,配置解析和回应HTTP/HTTPS协议的POST/GET请求报文的参数。

    缺省情况下,系统已配置解析和回应HTTP/HTTPS协议的POST/GET请求报文的参数,详情请参见http-method post命令中的参数说明。

  7. 配置指向Portal服务器的URL。

    分为绑定URL方式和绑定URL模板方式,相对于绑定URL方式,通过绑定URL模板方式不仅能够配置指向Portal服务器的重定向URL,还能够在URL中携带用户或接入设备的相关参数。这样Portal服务器能够根据URL中的参数获取到用户终端的信息,满足为不同用户提供不同的Portal认证界面的需求。管理员可根据实际需求选择绑定URL方式或绑定URL模板方式。

    • 绑定URL方式

      执行命令url url-string,配置指向Portal服务器的URL。

      缺省情况下,未配置指向Portal服务器的URL。

    • 绑定URL模板方式

      1. 创建并配置URL模板。

        1. 执行命令quit,返回到系统视图。
        2. 执行命令url-template name template-name,创建URL模板并进入URL模板视图。

          缺省情况下,设备上未创建URL模板。

        3. 执行命令url [ redirect-only ] url-string [ ssid ssid ],配置指向Portal服务器的重定向URL。

          缺省情况下,未配置指向Portal服务器的重定向URL。

        4. 执行命令url-parameter { ac-ip ac-ip-value | ac-mac ac-mac-value | ap-ip ap-ip-value | ap-mac ap-mac-value | ssid ssid-value | login-url url-key url | redirect-url redirect-url-value | sysname sysname-value | user-ipaddress user-ipaddress-value | user-mac user-mac-value } *,配置URL中携带的参数。

          缺省情况下,URL中未携带参数。

        5. 执行命令url-parameter mac-address format delimiter delimiter { normal | compact },配置URL参数中MAC地址的格式。

          缺省情况下,URL参数中MAC地址的格式为XXXXXXXXXXXX。

        6. 执行命令parameter { start-mark parameter-value | assignment-mark parameter-value | isolate-mark parameter-value } *,配置URL中的符号。

          缺省情况下,URL中指定URL参数开始的符号为“?”,赋值符号为“=”,不同参数之间的分隔符为“&”。

        7. 执行命令quit,返回到系统视图。
      2. 执行命令web-auth-server server-name,进入Portal服务器模板视图。
      3. 执行命令url-template url-template,配置在Portal服务器模板下绑定URL模板。

        缺省情况下,Portal服务器模板下未绑定URL模板。

      4. 执行命令quit,返回到系统视图。

  8. (可选)执行命令portal redirect js enable,开启Portal重定向过程插入JavaScript脚本功能。

    缺省情况下,Portal重定向过程插入JavaScript脚本功能处于关闭状态。

  9. (可选)执行命令portal https-redirect blacklist ip start-ip-address [ end-ip-address ],将指定IPv4地址加入HTTPS重定向的黑名单,用户访问黑名单中的IPv4地址时无法触发HTTPS重定向。

    缺省情况下,HTTPS重定向的黑名单为空。

  10. (可选)执行命令portal https-redirect whitelist ip start-ip-address [ end-ip-address ],将指定IPv4地址加入HTTPS重定向的白名单。

    缺省情况下,HTTPS重定向的白名单为空。

  11. (可选)执行命令portal https-redirect blacklist aging-time aging-time,配置HTTPS重定向的黑名单的老化时间。

    缺省情况下,HTTPS重定向的黑名单的老化时间为259200秒(72小时)。

  12. (可选)执行命令portal https-redirect blacklist packet-rate packet-rate,配置一个用户访问某一IPv4地址的速率上限。当用户的访问速率达到上限时,交换机会将该IPv4地址加入HTTPS重定向的黑名单。

    缺省情况下,一个用户访问某一IPv4地址的速率上限为40次/分钟。

  13. (可选)执行命令portal https-redirect blacklist retry-times retry-times interval interval,配置次数上限和检测时间。在检测时间内,如果某一IPv4地址被加入HTTPS重定向的缓存黑名单的次数达到上限,该IPv4地址将被加入HTTPS重定向的黑名单。

    缺省情况下,次数上限为10,检测时间为3分钟。

创建Portal接入模板

背景信息

设备通过Portal接入模板统一管理Portal认证用户接入相关的所有配置。配置Portal认证之前,首先需要创建Portal接入模板。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令portal-access-profile name access-profile-name,创建Portal接入模板并进入Portal接入模板视图。

    缺省情况下,设备自带1个名称为portal_access_profile的Portal接入模板。

    说明:
    • 升级兼容转换的模板不占用配置规格。自带的1个Portal接入模板(portal_access_profile)可以修改和应用,但不能删除。
    • 删除某个Portal接入模板时,需要保证该Portal接入模板没有被任何认证模板绑定。

配置Portal接入模板使用的外置Portal服务器

背景信息

对用户进行Portal认证时,需要设备提供指向Portal服务器的参数。设备支持的Portal服务器包括外置Portal服务器和内置Portal服务器。当用户希望使用外置Portal服务器进行认证时,首先需要配置外置Portal服务器功能,然后配置Portal接入模板使用外置Portal服务器。之后使用该Portal接入模板的用户在访问非免费网络资源时,将被强制重定向到Portal服务器的认证页面,即可进行Portal认证。

Portal服务器的参数通过Portal服务器模板来管理,所以配置Portal接入模板使用的外置Portal服务器,即配置Portal接入模板使用的Portal服务器模板。

为提高Portal认证的可靠性,可以在Portal接入模板下同时绑定备用Portal服务器模板,当主用Portal服务器中断时,用户被重定向到备用Portal服务器进行认证。该功能要求设备已通过server-detect命令使能Portal服务器探测功能,并且在Portal服务器上开启心跳探测。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令portal-access-profile name access-profile-name,创建Portal接入模板并进入Portal接入模板视图。
  3. 执行命令web-auth-server server-name [ bak-server-name ] { direct | layer3 },配置Portal接入模板使用的Portal服务器模板。

    缺省情况下,Portal接入模板没有使用任何Portal服务器模板。

    Portal认证可分为direct方式和layer3方式:
    • direct方式:当用户与设备之间没有三层转发设备时,设备能够学习到用户的MAC地址。此时可利用IP和MAC地址来识别用户,配置二层认证方式即可。
    • layer3方式:当用户与设备之间存在三层转发设备时,设备不能够获取到用户的MAC地址,所以IP地址将唯一标识用户,此时需要配置为三层认证方式。

  4. (可选)执行命令portal auth-network network-address { mask-length | mask-address },配置Portal认证的源认证网段。

    缺省情况下,Portal认证的源认证网段为0.0.0.0/0,表示对所有网段的用户都进行Portal认证。

    该命令仅对三层Portal认证有效,二层Portal认证时对所有网段的用户都进行认证。

(可选)配置用户下线探测周期

背景信息

在Portal认证中,如果由于断电、网络异常断开等缘故造成用户下线,此时设备与认证服务器上可能仍保留该用户信息,这会造成计费不准确等问题。另一方面,由于设备允许接入的用户数是有限的,若用户异常下线而设备上仍保留用户信息,则可能导致其他用户不能接入网络。

配置Portal认证用户下线探测周期后,如果用户在探测周期内没有回应,则设备认为该用户已下线。之后设备与认证服务器将会及时清除其上保留的该用户信息,以保证用户资源的有效利用。

说明:

本功能仅适用于二层Portal认证方式。

对于采用三层Portal认证的PC用户,可以通过认证服务器的心跳探测功能保证其在线状态正常。认证服务器探测到用户下线后,通知设备将用户下线。

为防止下线探测报文(ARP报文)过多,超过默认CAR值,导致探测失败,进而将用户下线(通过命令display cpu-defend statistics查看ARP请求和回应报文是否存在丢包)。建议用户采用以下方法处理:
  • 根据用户数量,适当放大探测周期。建议当用户数小于8K时,探测周期采用缺省值;当用户数大于8K时,配置探测周期不小于600秒。
  • 在接入设备上部署端口防攻击功能,对上送CPU的报文进行限速处理。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令portal-access-profile name access-profile-name,进入Portal接入模板视图。
  3. 执行命令portal timer offline-detect time-length,配置Portal认证用户下线探测周期。

    缺省情况下,下线探测周期为300秒。配置为0时,表示不进行用户下线探测。

检查Portal服务器模板和Portal接入模板的配置结果

背景信息

完成Portal服务器模板和Portal接入模板的配置后,执行以下命令查看配置信息。

说明:

S1720GF、S1720GFR-P、S1720GW-E、S1720GWR-E、S1720X-E、S2720EI、S5720LI、S5720S-LI、S5720SI、S5720S-SI、S5720I-SI、S5730SI、S5730S-EI、S5720EI、S5720HI、S5730HI、S6720HI、S6720LI、S6720S-LI、S6720SI、S6720S-SI、S6720EI和S6720S-EI支持vpn-instance vpn-instance-name

操作步骤

  • 执行命令display portal-access-profile configuration [ name access-profile-name ],查看Portal接入模板的配置信息。
  • 执行命令display portal [ interface interface-type interface-number ],查看Portal认证相关信息。
  • 执行命令display portal user-logout [ ip-address ip-address [ vpn-instance vpn-instance-name ] ],查看Portal认证用户的下线临时表项信息。
  • 执行命令display web-auth-server configuration,查看Portal服务器模板的配置信息。
  • 执行命令display url-template { all | name template-name },查看URL模板的配置信息。
  • 执行命令display server-detect state [ web-auth-server server-name ],查看Portal服务器状态信息。
  • 执行命令display portal https-redirect blacklist查看HTTPS重定向的黑名单中的IPv4地址列表。
  • 执行命令display portal https-redirect whitelist查看HTTPS重定向的白名单中的IPv4地址列表。
翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038441

浏览量:30488

下载量:1231

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页