配置Portal接入模板(针对内置Portal服务器)
设备支持的Portal服务器可分为外置Portal服务器与内置Portal服务器。外置Portal服务器具有独立的硬件设施,内置Portal服务器为存在于接入设备之内的内嵌实体(即由接入设备实现Portal服务器功能)。收到客户端的Portal认证请求后,Portal服务器通过Portal协议向接入设备发起Portal认证请求(携带用户名和密码)。
完成Portal服务器的配置之后,必须在Portal接入模板中应用以上配置的Portal服务器。之后使用该Portal接入模板的用户在访问非免费网络资源时,将被强制重定向到Portal服务器的认证页面,即可进行Portal认证。
本节介绍使用内置Portal服务器时,服务器和Portal接入模板的相关配置。
配置内置Portal服务器功能
背景信息
内置Portal服务器相比外置Portal服务器而言,具有组网方便、成本低廉、易于维护等优点。配置内置Portal服务器功能,主要包括指定内置Portal服务器的IP地址以及全局使能内置Portal服务器功能。
当客户端上的时间与内置Portal服务器上的时间不一致时,会导致客户端无法认证成功或认证成功后无法下线的情况,因此在配置内置Portal认证功能时,需保证设备上的时区和时间正确。
VPN中的用户不支持内置Portal认证功能。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令portal local-server ip ip-address,配置内置Portal服务器的IP地址。
缺省情况下,未配置指向内置Portal服务器的IP地址。
内置Portal服务器的IP地址为设备上与用户路由可达的三层接口的IP地址。
- 执行命令portal local-server https ssl-policy policy-name [ port port-num ] ,全局使能内置Portal服务器功能。
缺省情况下,全局未使能内置Portal服务器功能。
请确保SSL策略已存在,且已成功加载数字证书。
- (可选)执行命令portal local-server authentication-method { chap | pap },配置内置Portal服务器对Portal认证用户的认证方式。
缺省情况下,内置Portal服务器对Portal认证用户采用CHAP方式进行认证。
- (可选)像Google、Baidu等许多知名网站使用的是HTTPS协议。用户访问这些使用HTTPS协议的网站时,要求能够触发用户重定向到Portal认证页面,使用户能够进行Portal认证,进而正常上网。使能Portal认证HTTPS重定向功能后,未认证的Portal用户访问HTTPS协议的网站时,设备能够将其重定向到Portal认证页面。
执行命令authentication https-redirect enable,使能Portal认证或802.1X认证HTTPS重定向功能。
缺省情况下,无线Portal认证或802.1X认证HTTPS重定向功能处于使能状态,有线Portal认证或802.1X认证HTTPS重定向功能处于去使能状态。
- 用户访问HTTPS协议的网站触发Portal认证时,浏览器会弹出安全提示,需要用户点击继续才能完成Portal认证。
- 执行HSTS的浏览器或网站不能进行重定向。
- 如果用户发送的HTTPS请求报文的目的端口号是非知名端口(443),则不能进行重定向。
- 如果您希望使能有线Portal认证HTTPS重定向功能,请先执行命令authentication https-redirect enable,再执行命令portal https-redirect wired enable。
- 该功能仅对新接入的Portal或802.1X认证用户生效。
- (可选)执行命令portal redirect js enable,开启Portal重定向过程插入JavaScript脚本功能。
缺省情况下,Portal重定向过程插入JavaScript脚本功能处于关闭状态。
(可选)定制内置Portal服务器页面
背景信息
当用户使用内置Portal服务器进行认证时,作为内置Portal服务器的设备会向用户强制推送登录页面,随后用户在登录页面上输入用户名密码即可进行认证。
设备支持对登录页面进行自定义设计,以满足用户的个性化需求,譬如用户可在登录页面上加载Logo图片、更改登录页面的背景图片或背景颜色、推送广告页面等等。
操作步骤
- 执行命令system-view,进入系统视图。
- 定制内置Portal服务器登录页面。
执行命令portal local-server logo load logo-file,加载内置Portal服务器登录页面的Logo图片文件。
缺省情况下,没有加载内置Portal服务器登录页面的Logo图片文件。
执行命令portal local-server ad-image load ad-image-file,加载内置Portal服务器登录页面的广告页面文件。
缺省情况下,没有加载内置Portal服务器登录页面的广告页面文件。
执行命令portal local-server page-text load string,加载内置Portal服务器的使用说明页面文件。
缺省情况下,没有加载内置Portal服务器的使用说明页面文件。
执行命令portal local-server policy-text load string,加载内置Portal服务器的免责声明页面文件。
缺省情况下,没有加载内置Portal服务器的免责声明页面文件。
执行命令portal local-server background-image load { background-image-file | default-image1 },加载内置Portal服务器登录页面的背景图片。
缺省情况下,设备上存在名为“default-image0”和“default-image1”两张背景图片。内置Portal服务器默认使用default-image0背景图片。
执行命令portal local-server background-color background-color-value,配置内置Portal服务器登录页面的背景颜色。
缺省情况下,没有配置内置Portal服务器登录页面的背景颜色。
(可选)配置内置Portal服务器心跳探测功能
背景信息
- 强制探测模式:对于所有用户,如果在指定的时间内,设备没有收到过用户的心跳报文,设备指定用户下线。
- 自动探测模式:设备会检测用户客户端网页浏览器是否支持心跳程序,如果支持则采用强制探测模式对该用户进行探测,如果不支持则不对该用户进行探测。建议配置该模式,避免浏览器不支持心跳程序导致用户下线。
目前Windows7系统下浏览器IE8、firefox3.5.2、chrome28.0.1500.72、opera12.00支持心跳程序。操作系统需安装并配置Java程序。
使用Java1.7及以上版本的浏览器不支持心跳程序。
(可选)配置内置Portal认证用户的会话超时时间
(可选)配置内置Portal认证用户的日志抑制功能
配置Portal接入模板使用内置Portal服务器
背景信息
用户进行Portal认证时,需要设备提供指向Portal服务器的参数。设备支持的Portal服务器包括外置Portal服务器和内置Portal服务器。当用户希望使用内置Portal服务器进行认证时,首先需要在全局下配置内置Portal服务器功能,然后在Portal接入模板下使能内置Portal服务器功能,之后使用该Portal接入模板的用户在访问非免费网络资源时,将被强制重定向到Portal服务器的认证页面,即可进行Portal认证。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令portal-access-profile name access-profile-name,进入Portal接入模板视图。
- 执行命令portal local-server enable,在Portal接入模板下,使能内置Portal服务器功能。
缺省情况下,Portal接入模板没有使能内置Portal服务器功能。
- (可选)执行命令portal local-server anonymous [ redirect-url url ],使能内置Portal认证用户的匿名登录功能。
缺省情况下,未使能内置Portal认证用户匿名登录功能。
在机场、酒店、咖啡厅、市民休闲广场等场所,为了向用户提供便捷的网络服务,可通过匿名登录功能使得用户无需输入用户名和密码即可接入网络。
如果指定了redirect-url url参数,用户匿名登录首次进行WEB访问时,会自动跳转到该参数指定的URL,可用于广告推送,且匿名登录过程用户无感知,增强用户体验。
在需要部署匿名登录功能的场景中,管理员需要将AAA认证方式配置为“不认证”。
