所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-用户接入与认证

本文档介绍了用户接入与认证的配置,具体包括AAA配置、NAC配置和策略联动配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置Portal接入模板(针对内置Portal服务器)

配置Portal接入模板(针对内置Portal服务器)

设备支持的Portal服务器可分为外置Portal服务器与内置Portal服务器。外置Portal服务器具有独立的硬件设施,内置Portal服务器为存在于接入设备之内的内嵌实体(即由接入设备实现Portal服务器功能)。

完成Portal服务器的配置之后,必须在Portal接入模板中应用以上配置的Portal服务器。之后使用该Portal接入模板的用户在访问非免费网络资源时,将被强制重定向到Portal服务器的认证页面,即可进行Portal认证。

本节介绍使用内置Portal服务器时,服务器和Portal接入模板的相关配置。

配置内置Portal服务器功能

背景信息

内置Portal服务器相比外置Portal服务器而言,具有组网方便、成本低廉、易于维护等优点。配置内置Portal服务器功能,主要包括指定内置Portal服务器的IP地址以及全局使能内置Portal服务器功能。

说明:

当客户端上的时间与内置Portal服务器上的时间不一致时,会导致客户端无法认证成功或认证成功后无法下线的情况,因此在配置内置Portal认证功能时,需保证设备上的时区和时间正确。

VPN中的用户不支持内置Portal认证功能。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令portal local-server ip ip-address,配置内置Portal服务器的IP地址。

    缺省情况下,未配置指向内置Portal服务器的IP地址。

    说明:

    内置Portal服务器的IP地址为设备上与用户路由可达的三层接口的IP地址。

  3. 执行命令portal local-server https ssl-policy policy-name [ port port-num ],全局使能内置Portal服务器功能。

    缺省情况下,全局未使能内置Portal服务器功能。

    说明:

    请确保SSL策略已存在,且已成功加载数字证书。

  4. (可选)执行命令portal local-server authentication-method { chap | pap },配置内置Portal服务器对Portal认证用户的认证方式。

    缺省情况下,内置Portal服务器对Portal认证用户采用CHAP方式进行认证。

  5. (可选)像Google、Baidu等许多知名网站使用的是HTTPS协议。用户访问这些使用HTTPS协议的网站时,要求能够触发用户重定向到Portal认证页面,使用户能够进行Portal认证,进而正常上网。使能Portal认证HTTPS重定向功能后,未认证的Portal用户访问HTTPS协议的网站时,设备能够将其重定向到Portal认证页面。

    执行命令portal https-redirect enable,使能Portal认证HTTPS重定向功能。

    缺省情况下,无线Portal认证HTTPS重定向功能处于使能状态,有线Portal认证HTTPS重定向功能处于去使能状态。

    说明:
    • 用户访问HTTPS协议的网站触发Portal认证时,浏览器会弹出安全提示,需要用户点击继续才能完成Portal认证。
    • 执行HSTS的浏览器或网站不能进行重定向。
    • 如果用户发送的HTTPS请求报文的目的端口号是非知名端口(443),则不能进行重定向。
    • 如果您希望使能有线Portal认证HTTPS重定向功能,请先执行命令portal https-redirect enable,再执行命令portal https-redirect wired enable

    • 该功能仅对新接入的Portal认证用户生效。

  6. (可选)执行命令portal redirect js enable,开启Portal重定向过程插入JavaScript脚本功能。

    缺省情况下,Portal重定向过程插入JavaScript脚本功能处于关闭状态。

(可选)定制内置Portal服务器页面

背景信息

当用户使用内置Portal服务器进行认证时,作为内置Portal服务器的设备会向用户强制推送登录页面,随后用户在登录页面上输入用户名密码即可进行认证。

设备支持对登录页面进行自定义设计,以满足用户的个性化需求,譬如用户可在登录页面上加载Logo图片、更改登录页面的背景图片或背景颜色、推送广告页面等等。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 定制内置Portal服务器登录页面。

    • 执行命令portal local-server logo load logo-file,加载内置Portal服务器登录页面的Logo图片文件。

      缺省情况下,没有加载内置Portal服务器登录页面的Logo图片文件。

    • 执行命令portal local-server ad-image load ad-image-file,加载内置Portal服务器登录页面的广告页面文件。

      缺省情况下,没有加载内置Portal服务器登录页面的广告页面文件。

    • 执行命令portal local-server page-text load string加载内置Portal服务器的使用说明页面文件

      缺省情况下,没有加载内置Portal服务器的使用说明页面文件。

    • 执行命令portal local-server policy-text load string,加载内置Portal服务器的免责声明页面文件。

      缺省情况下,没有加载内置Portal服务器的免责声明页面文件。

    • 执行命令portal local-server background-image load { background-image-file | default-image1 },加载内置Portal服务器登录页面的背景图片。

      缺省情况下,设备上存在名为“default-image0”和“default-image1”两张背景图片。内置Portal服务器默认使用default-image0背景图片。

    • 执行命令portal local-server background-color background-color-value,配置内置Portal服务器登录页面的背景颜色。

      缺省情况下,没有配置内置Portal服务器登录页面的背景颜色。

(可选)配置内置Portal服务器心跳探测功能

背景信息

当用户关闭浏览器或者发生异常时,设备可以通过检测用户在线状态来控制用户下线。管理员可以配置内置Portal服务器的心跳探测功能。如果在指定的时间间隔内设备没有收到客户端发送的心跳报文,则指定用户下线。内置Portal服务器的心跳探测模式分为强制探测模式和自动探测模式。
  • 强制探测模式:对于所有用户,如果在指定的时间内,设备没有收到过用户的心跳报文,设备指定用户下线。
  • 自动探测模式:设备会检测用户客户端网页浏览器是否支持心跳程序,如果支持则采用强制探测模式对该用户进行探测,如果不支持则不对该用户进行探测。建议配置该模式,避免浏览器不支持心跳程序导致用户下线。
    说明:

    目前Windows7系统下浏览器IE8、firefox3.5.2、chrome28.0.1500.72、opera12.00支持心跳程序。操作系统需安装并配置Java程序。

    使用Java1.7及以上版本的浏览器不支持心跳程序。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令portal local-server keep-alive interval interval-value [ auto ],配置内置Portal服务器心跳探测功能。

    缺省情况下,没有配置内置Portal服务器心跳探测功能。

(可选)配置内置Portal认证用户的会话超时时间

背景信息

当用户采用内置Portal认证时,设备作为内置Portal服务器可以配置用户的会话超时时间。到达指定的会话超时时间后,用户会下线。用户如果希望再次上线访问网络,需要重新进行认证。

内置Portal认证用户的会话超时时间是基于设备时间计算的,例如:用户会话超时时间配置为6小时,用户上线时设备时间是2014年9月1日2时0分0秒,则用户下线时设备时间应该是2014年9月1日8时0分0秒。因此,配置了用户会话超时时间后,请确保设备时区和时间正确,否则可能导致用户无法正常上下线。设备时区和时间可以通过命令display clock查看。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令portal local-server timer session-timeout interval,配置内置Portal认证用户的会话超时时间。

    缺省情况下,内置Portal认证用户的会话超时时间为8小时。

(可选)配置内置Portal认证用户的日志抑制功能

背景信息

内置Portal认证用户上下线失败时,设备会记录日志。由于用户上下线失败后,会不断尝试重新上下线,致使设备在短时间内产生大量日志,导致统计中失败率过高,同时对系统性能有较多冲击。此时,可以使能内置Portal认证用户的日志抑制功能。之后,在抑制周期内,相同用户的上下线失败日志,设备仅记录一次。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令portal local-server syslog-limit enable,使能内置Portal认证用户的日志抑制功能。

    缺省情况下,内置Portal认证用户的日志抑制功能处于使能状态。

  3. (可选)执行命令portal local-server syslog-limit period value,配置内置Portal认证用户的日志抑制周期。

    缺省情况下,内置Portal认证用户的日志抑制周期为300秒。

创建Portal接入模板

背景信息

设备通过Portal接入模板统一管理Portal认证用户接入相关的所有配置。配置Portal认证之前,首先需要创建Portal接入模板。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令portal-access-profile name access-profile-name,创建Portal接入模板并进入Portal接入模板视图。

    缺省情况下,设备自带1个名称为portal_access_profile的Portal接入模板。

    说明:
    • 升级兼容转换的模板不占用配置规格。自带的1个Portal接入模板(portal_access_profile)可以修改和应用,但不能删除。
    • 删除某个Portal接入模板时,需要保证该Portal接入模板没有被任何认证模板绑定。

配置Portal接入模板使用内置Portal服务器

背景信息

用户进行Portal认证时,需要设备提供指向Portal服务器的参数。设备支持的Portal服务器包括外置Portal服务器和内置Portal服务器。当用户希望使用内置Portal服务器进行认证时,首先需要在全局下配置内置Portal服务器功能,然后在Portal接入模板下使能内置Portal服务器功能,之后使用该Portal接入模板的用户在访问非免费网络资源时,将被强制重定向到Portal服务器的认证页面,即可进行Portal认证。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令portal-access-profile name access-profile-name,进入Portal接入模板视图。
  3. 执行命令portal local-server enable,在Portal接入模板下,使能内置Portal服务器功能。

    缺省情况下,Portal接入模板没有使能内置Portal服务器功能。

  4. (可选)执行命令portal local-server anonymous [ redirect-url url ],使能内置Portal认证用户的匿名登录功能。

    缺省情况下,未使能内置Portal认证用户匿名登录功能。

    在机场、酒店、咖啡厅、市民休闲广场等场所,为了向用户提供便捷的网络服务,可通过匿名登录功能使得用户无需输入用户名和密码即可接入网络。

    如果指定了redirect-url url参数,用户匿名登录首次进行WEB访问时,会自动跳转到该参数指定的URL,可用于广告推送,且匿名登录过程用户无感知,增强用户体验。

    在需要部署匿名登录功能的场景中,建议管理员将AAA认证方式配置为“不认证”。

检查内置Portal服务器和Portal接入模板的配置结果

背景信息

完成内置Portal服务器和Portal接入模板的配置后,执行以下命令查看配置信息。

操作步骤

  • 执行命令display portal-access-profile configuration [ name access-profile-name ],查看Portal接入模板的配置信息。
  • 执行命令display portal local-server,查看内置Portal服务器的配置信息。
  • 执行命令display portal local-server page-information,查看内置Portal服务器加载到内存的页面文件信息。
翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038441

浏览量:30325

下载量:1231

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页