Portal典型配置指导.doc-道客多多

资源描述

1、目录第1章 Portal 典型配置指导. 1.1 Portal 简介 1.2 Portal 直接认证方式典型配置指导 1.2.1 组网图 1.2.2 应用要求 1.2.3 适用产品、版本 1.2.4 配置过程和解释 1.2.5 完整配置 1.2.6 配置注意事项 1.3 Portal 二次地址分配认证方式典型配置指导 1.3.1 组网图 1.3.2 应用要求 1.3.3 适用产品、版本 1.3.4 配置过程和解释 1.3.5 完整配置 1.3.6 配置注意事项 1.4 三层 Portal 认证方式典型配置指导 1.4.1 组网图 1.4.2 应用要求 1.4.3 适用产品、版本 1.4.4 配

2、置过程和解释 1.4.5 完整配置 1.4.6 配置注意事项 1.5 Portal 直接认证方式（支持 EAD）典型配置指导 1.5.1 组网图 1.5.2 应用要求 1.5.3 适用产品、版本 1.5.4 配置过程和解释 1.5.5 完整配置 1.5.6 配置注意事项第1章 Portal 典型配置指导1.1 Portal 简介Portal 在英语中是入口的意思。Portal 认证通常也称为 Web 认证，一般将 Portal认证网站称为门户网站。未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过

3、后才可以使用互联网资源。用户可以主动访问已知的 Portal 认证网站，输入用户名和密码进行认证，这种开始Portal 认证的方式称作主动认证。反之，如果用户试图通过 HTTP 访问其他外网，将被强制访问 Portal 认证网站，从而开始 Portal 认证过程，这种方式称作强制认证。Portal 业务可以为运营商提供方便的管理功能，门户网站可以开展广告、社区服务、个性化的业务等，使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。1.2 Portal 直接认证方式典型配置指导1.2.1 组网图R A D I U S s e r v e rS w i t c hH o s t2 .

4、2 . 2 . 2 / 2 4G a t e w a y ： 2 . 2 . 2 . 1 / 2 4V l a n - i n t 1 0 02 . 2 . 2 . 1 / 2 4V l a n - i n t 21 9 2 . 1 6 8 . 0 . 1 0 0 / 2 4P o r t a l s e r v e r1 9 2 . 1 6 8 . 0 . 1 1 1 / 2 41 9 2 . 1 6 8 . 0 . 1 1 2 / 2 4图 1-1 配置 Portal 直接认证组网图1.2.2 应用要求配置交换机采用直接方式的 Portal 认证。用户在未通过 Portal 认证前，只能访

5、问Portal 服务器；用户通过 Portal 认证后，可以访问外部网络。采用 RADIUS 服务器作为认证/计费服务器。1.2.3 适用产品、版本表1-1 配置适用的产品与软硬件版本关系产品软件版本硬件版本S7500E 系列以太网交换机 Release 6100软件版本全系列硬件版本1.2.4 配置过程和解释说明：按照组网图配置设备各接口的 IP 地址，保证在不启动 Portal 的前提下各设备之间的路由可达。在接入设备上进行以下配置。(1)配置 RADIUS 方案# 创建名字为 rs1的 RADIUS 方案并进入该方案视图。system-viewSwitch radius sche

6、me rs1# 配置 RADIUS 方案的服务器类型为 extended。Switch-radius-rs1 server-type extended# 配置 RADIUS 方案的主认证和主计费服务器及其通信密钥。Switch-radius-rs1 primary authentication 192.168.0.112Switch-radius-rs1 primary accounting 192.168.0.112Switch-radius-rs1 key authentication radiusSwitch-radius-rs1 key accounting radius# 配置发送给

7、 RADIUS 服务器的用户名不携带 ISP 域名。Switch-radius-rs1 user-name-format without-domainSwitch-radius-rs1 quit(2)配置认证域# 创建并进入名字为 dm1的 ISP 域。Switch domain dm1# 配置 ISP 域的 RADIUS 方案 rs1。Switch-isp-dm1 authentication portal radius-scheme rs1Switch-isp-dm1 authorization portal radius-scheme rs1Switch-isp-dm1 accounti

8、ng portal radius-scheme rs1Switch-isp-dm1 quit# 配置系统缺省的 ISP 域 dm1，所有接入用户共用此缺省域的认证和计费方式。Switch domain default enable dm1(3)配置 Portal 认证# 配置 Portal 服务器：名称为 newpt，IP 地址为192.168.0.111，密钥为 portal，端口为50100 ，URL 为 http:/192.168.0.111/portal。Switch portal server newpt ip 192.168.0.111 key portal port 50100

9、url http:/192.168.0.111/portal# 在与用户 Host 相连的接口上使能 Portal 认证。Switch interface vlan-interface 100SwitchVlan-interface100 ip address 2.2.2.1 255.255.255.0SwitchVlan-interface100 portal server newpt method directSwitch quit# 配置与服务器通信的接口 IP 地址。Switch interface vlan-interface 2SwitchVlan-interface2 ip ad

10、dress 192.168.0.100 255.255.255.0SwitchVlan-interface2 quit1.2.5 完整配置#domain default enable dm1#portal server newpt ip 192.168.0.111 key portal url http:/192.168.0.111/portal#radius scheme rs1server-type extendedprimary authentication 192.168.0.112primary accounting 192.168.0.112key authentication r

11、adiuskey accounting radiususer-name-format without-domain#domain dm1authentication portal radius-scheme rs1authorization portal radius-scheme rs1accounting portal radius-scheme rs1#interface Vlan-interface2ip address 192.168.0.100 255.255.255.0#interface Vlan-interface100ip address 2.2.2.1 255.255.2

12、55.0portal server newpt method direct#1.2.6 配置注意事项设备向 Portal 服务器主动发送报文时使用的目的端口号必须与远程 Portal 服务器实际使用的端口号保持一致。已配置的 Portal 服务器及其参数仅在该 Portal 服务器未被接口引用时才可以被删除或修改。使能 Portal 的接口上所引用的 Portal 服务器必须已经存在。1.3 Portal 二次地址分配认证方式典型配置指导1.3.1 组网图1 9 2 . 1 6 8 . 0 . 1 1 1 / 2 41 9 2 . 1 6 8 . 0 . 1 1 3 / 2 41 9 2 .

13、1 6 8 . 0 . 1 1 2 / 2 4S w i t c hH o s ta u t o m a t i c a l l y o b t a i n s a n I P a d d r e s sV l a n - i n t 1 0 02 0 . 2 0 . 2 0 . 1 / 2 41 0 . 0 . 0 . 1 / 2 4 s u bV l a n - i n t 21 9 2 . 1 6 8 . 0 . 1 0 0 / 2 4P o r t a l S e r v e rR A D I U S s e r v e rD H C P s e r v e r图1-2 配置 Port

14、al 二次地址分配认证组网图1.3.2 应用要求配置交换机采用二次地址分配方式的 Portal 认证。用户通过 DHCP 服务器获取 IP地址，Portal 认证前分配一个私网地址；通过 Portal 认证后，用户申请到一个公网地址，才可以访问外部网络。采用 RADIUS 服务器作为认证/计费服务器。1.3.3 适用产品、版本表1-2 配置适用的产品与软硬件版本关系产品软件版本硬件版本S7500E 系列以太网交换机 Release 6100软件版本全系列硬件版本1.3.4 配置过程和解释说明：Portal 二次地址分配认证方式应用中，DHCP 服务器上需创建公网地址池（20.20.20

15、.0/24）及私网地址池（10.0.0.0/24 ），具体配置略。关于 DHCP 的详细配置请参见本手册“DHCP ”模块的介绍。Portal 二次地址分配认证方式应用中，接入设备必须配置为 DHCP 中继（不能配置为 Server），且启动 Portal 的接口需要配置主 IP 地址（公网 IP）及从 IP 地址（私网 IP）。按照组网图配置设备各接口的 IP 地址，保证在不启动 Portal 的前提下各设备之间的路由可达。以下仅列出与 Portal 二次地址分配认证方式有关的配置，RADIUS 方案、ISP 域的配置请参见1.2 Portal 直接认证方式典型配置指导。在接入设备上进

16、行以下配置。# 配置 Portal 服务器：名称为 newpt，IP 地址为192.168.0.111，密钥为 portal，端口为50100 ，URL 为 http:/192.168.0.111/portal。system-viewSwitch portal server newpt ip 192.168.0.111 key portal port 50100 url http:/192.168.0.111/portal# 配置 DHCP 中继，并启动 DHCP 中继的安全地址匹配检查功能。Switch dhcp enableSwitch dhcp relay server-group 0

17、ip 192.168.0.112Switch interface vlan-interface 100SwitchVlan-interface100 ip address 20.20.20.1 255.255.255.0SwitchVlan-interface100 ip address 10.0.0.1 255.255.255.0 subSwitch-Vlan-interface100 dhcp select relaySwitch-Vlan-interface100 dhcp relay server-select 0Switch-Vlan-interface100 dhcp relay

18、address-check enable# 在与用户 Host 相连的接口上使能 Portal 认证。SwitchVlan-interface100 portal server newpt method redhcpSwitchVlan-interface100 quit# 配置与服务器通信的接口 IP 地址。Switch interface vlan-interface 2SwitchVlan-interface2 ip address 192.168.0.100 255.255.255.0SwitchVlan-interface2 quit1.3.5 完整配置#domain default

19、 enable dm1#portal server newpt ip 192.168.0.111 key portal url http:/192.168.0.111/portal#radius scheme rs1server-type extendedprimary authentication 192.168.0.112primary accounting 192.168.0.112key authentication radiuskey accounting radiususer-name-format without-domain#domain dm1authentication p

20、ortal radius-scheme rs1authorization portal radius-scheme rs1accounting portal radius-scheme rs1#interface Vlan-interface2ip address 192.168.0.100 255.255.255.0#interface Vlan-interface100ip address 20.20.20.1 255.255.255.0ip address 10.0.0.1 255.255.255.0 subdhcp select relaydhcp relay server-selec

21、t 0dhcp relay address-check enableportal server newpt method redhcp#1.3.6 配置注意事项在二次地址分配认证方式下，允许用户在未通过 Portal 认证时以公网地址向外发送报文，但相应的回应报文则受限制。1.4 三层 Portal 认证方式典型配置指导三层认证方式和非三层认证方式的不同：1. 组网方式不同三层认证方式的认证客户端和接入设备之间可以跨接三层转发设备；非三层认证方式则要求认证客户端和接入设备之间没有三层转发。2. 用户标识不同由于三层认证可以跨接三层设备，而接入设备不会学习认证客户端的 MAC 地址信息，所以是以

22、 IP 地址唯一标识用户；而非三层认证方式中的接入设备则可以学习到认证客户端的 MAC 地址，所以是以 IP 和 MAC 地址的组合来唯一标识用户。以上不同的组网方式和用户标识特点使得：认证客户端的 MAC 地址不变、IP 地址改变时，在三层认证方式下会激发新的Portal 认证；而在非三层认证方式下不会激发新的 Portal 认证。只有认证客户端的 MAC 地址和 IP 地址同时改变时，非三层认证方式下才会激发新的 Portal 认证。1.4.1 组网图S w i t c h AH o s tV l a n - i n t 42 0 . 2 0 . 2 0 . 1 / 2 4P o r t

23、a l s e r v e r1 9 2 . 1 6 8 . 0 . 1 1 1 / 2 4R A D I U S s e r v e r1 9 2 . 1 6 8 . 0 . 1 1 2 / 2 4V l a n - i n t 21 9 2 . 1 6 8 . 0 . 1 0 0 / 2 4S w i t c h BV l a n - i n t 42 0 . 2 0 . 2 0 . 2 / 2 4V l a n - i n t 28 . 8 . 8 . 1 / 2 48 . 8 . 8 . 2 / 2 4图 1-3 配置三层 Portal 认证组网图1.4.2 应用要求Switch A

24、支持 Portal 认证功能。用户 Host 通过 Switch B 接入到 Switch A。配置 Switch A 采用三层 Portal 认证。用户在未通过 Portal 认证前，只能访问Portal 服务器；用户通过 Portal 认证后，可以访问外部网络。采用 RADIUS 服务器作为认证/计费服务器。1.4.3 适用产品、版本表1-3 配置适用的产品与软硬件版本关系产品软件版本硬件版本S7500E 系列以太网交换机 Release 6100软件版本全系列硬件版本1.4.4 配置过程和解释说明：按照组网图配置设备各接口的 IP 地址，保证在不启动 Portal 的前提下各设备

25、之间的路由可达。以下仅列出跨三层设备支持 Portal 认证的主要配置，RADIUS 方案、ISP 域的配置请参见1.2 Portal 直接认证方式典型配置指导。在 Switch A 上进行以下配置。# 配置 Portal 服务器：名称为 newpt，IP 地址为192.168.0.111，密钥为 portal，端口为50100 ，URL 为 http:/192.168.0.111/portal。system-viewSwitchA portal server newpt ip 192.168.0.111 key portal port 50100 url http:/192.168.0.11

26、1/portal# 在与 Switch B 相连的接口上使能 Portal 认证。SwitchA interface vlan-interface 4SwitchAVlan-interface4 ip address 20.20.20.1 255.255.255.0SwitchAVlan-interface4 portal server newpt method layer3SwitchAVlan-interface4 quit# 配置与服务器通信的接口 IP 地址。SwitchA interface vlan-interface 2SwitchAVlan-interface2 ip addr

27、ess 192.168.0.100 255.255.255.0SwitchVlan-interface2 quitSwitch B 上需要配置到192.168.0.0/24 网段的缺省路由，下一跳为20.20.20.1，具体配置略。1.4.5 完整配置#domain default enable dm1#portal server newpt ip 192.168.0.111 key portal url http:/192.168.0.111/portal#radius scheme rs1server-type extendedprimary authentication 192.168.

28、0.112primary accounting 192.168.0.112key authentication radiuskey accounting radiususer-name-format without-domainsecurity-policy-server 192.168.0.113#domain dm1authentication portal radius-scheme rs1authorization portal radius-scheme rs1accounting portal radius-scheme rs1#interface Vlan-interface2i

29、p address 192.168.0.100 255.255.255.0#interface Vlan-interface4ip address 20.20.20.1 255.255.255.0portal server newpt method layer3#1.4.6 配置注意事项对于跨三层设备支持 Portal 认证的应用只能配置 layer3方式，但三层 Portal 认证方式不要求接入设备和 Portal 用户之间必需跨越三层设备。1.5 Portal 直接认证方式（支持 EAD）典型配置指导1.5.1 组网图S w i t c hH o s t2 . 2 . 2 . 2 / 2

30、4G a t e w a y : 2 . 2 . 2 . 1 / 2 4V l a n - i n t 1 0 02 . 2 . 2 . 1 / 2 4V l a n - i n t 21 9 2 . 1 6 8 . 0 . 1 0 0 / 2 4P o r t a l s e r v e r1 9 2 . 1 6 8 . 0 . 1 1 1 / 2 41 9 2 . 1 6 8 . 0 . 1 1 2 / 2 4S e c u r i t y p o l i c y s e r v e r1 9 2 . 1 6 8 . 0 . 1 1 3 / 2 4R A D I U S s e r v e

31、 r图1-4 配置 Portal 直接认证方式（支持 EAD）认证组网图1.5.2 应用要求配置交换机采用直接方式的 Portal 认证，开启 EAD 认证。用户在通过身份认证而没有通过安全认证时可以访问192.168.0.0/24网段；用户通过安全认证后，可以随意访问外部网络。采用 RADIUS 服务器作为认证/计费服务器。需要配置安全策略服务器。1.5.3 适用产品、版本表1-4 配置适用的产品与软硬件版本关系产品软件版本硬件版本S7500E 系列以太网交换机 Release 6100软件版本全系列硬件版本1.5.4 配置过程和解释说明：按照组网图配置设备各接口的 IP 地址，保证

32、在不启动 Portal 的前提下各设备之间的路由可达。在接入设备上进行以下配置。(1)配置 RADIUS 方案# 创建名字为 rs1的 RADIUS 方案并进入该方案视图。system-viewSwitch radius scheme rs1# 配置 RADIUS 方案的服务器类型为 extended。Switch-radius-rs1 server-type extended# 配置 RADIUS 方案的主认证和主计费服务器及其通信密钥。Switch-radius-rs1 primary authentication 192.168.0.112Switch-radius-rs1 primar

33、y accounting 192.168.0.112Switch-radius-rs1 key accounting radiusSwitch-radius-rs1 key authentication radiusSwitch-radius-rs1 user-name-format without-domain# 配置 RADIUS 方案的安全策略服务器。Switch-radius-rs1 security-policy-server 192.168.0.113Switch-radius-rs1 quit(2)配置认证域# 创建并进入名字为 dm1的 ISP 域。Switch domain

34、dm1# 配置 ISP 域的 RADIUS 方案 rs1。Switch-isp-dm1 authentication portal radius-scheme rs1Switch-isp-dm1 authorization portal radius-scheme rs1Switch-isp-dm1 accounting portal radius-scheme rs1Switch-isp-dm1 quit# 配置系统缺省的 ISP 域 dm1，所有接入用户共用此缺省域的认证和计费方式。Switch domain default enable dm1(3)配置受限资源对应的 ACL 为3000

35、，非受限资源对应的 ACL 为3001Switch acl number 3000Switch-acl-adv-3000 rule permit ip destination 192.168.0.0 0.0.0.255Switch-acl-adv-3000 quitSwitch acl number 3001Switch-acl-adv-3001 rule permit ipSwitch-acl-adv-3001 quit说明：安全策略服务器上需要将 ACL 3000和 ACL 3001分别指定为隔离 ACL 和安全 ACL。(4)配置 Portal 认证# 配置 Portal 服务器：名称

36、为 newpt，IP 地址为192.168.0.111，密钥为 portal，端口为50100 ，URL 为 http:/192.168.0.111/portal。Switch portal server newpt ip 192.168.0.111 key portal port 50100 url http:/192.168.0.111/portal# 在与用户 Host 相连的接口上使能 Portal 认证。Switch interface vlan-interface 100SwitchVlan-interface100 ip address 2.2.2.1 255.255.255.0

37、SwitchVlan-interface100 portal server newpt method directSwitch quit# 配置与服务器通信的接口 IP 地址。Switch interface vlan-interface 2SwitchVlan-interface2 ip address 192.168.0.100 255.255.255.01.5.5 完整配置#domain default enable dm1#portal server newpt ip 192.168.0.111 key portal url http:/192.168.0.111/portal#rad

38、ius scheme rs1server-type extendedprimary authentication 192.168.0.112primary accounting 192.168.0.112key authentication radiuskey accounting radiususer-name-format without-domainsecurity-policy-server 192.168.0.113#domain dm1authentication portal radius-scheme rs1authorization portal radius-scheme

39、rs1accounting portal radius-scheme rs1#acl number 3000rule permit ip destination 192.168.0.0 0.0.0.255#acl number 3001rule permit ip#interface Vlan-interface2ip address 192.168.0.100 255.255.255.0#interface Vlan-interface100ip address 2.2.2.1 255.255.255.0portal server newpt method direct#1.5.6 配置注意事项安全策略服务器的相关配置请参考CAMS 综合访问管理服务器 EAD 安全策略组件用户手册。

展开阅读全文