配置h3c路由器配置命令

H3CMSR系列路由器Portal配置举例(V7)Copyright2018新华三技术有限公司版权所有,保留一切权利.
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播.
本文档中的信息可能变动,恕不另行通知.
i目录1简介·12配置前提·13可跨三层Portal认证配置举例·13.
1组网需求·13.
2配置思路·23.
3使用版本·23.
4配置注意事项·23.
5配置步骤·33.
5.
1RADIUS/Portalserver的配置·33.
5.
2DeviceA的配置·83.
5.
3DeviceB的配置·83.
6验证配置·93.
7配置文件·114可跨三层Portal认证方式扩展功能配置举例·124.
1组网需求·124.
2配置思路·134.
3使用版本·134.
4配置注意事项·134.
5配置步骤·144.
5.
1DeviceA的配置·144.
5.
2DeviceB的配置·144.
6验证配置·164.
7配置文件·175直接Portal认证配置举例·185.
1组网需求·185.
2配置思路·195.
3使用版本·195.
4配置注意事项·195.
5配置步骤·205.
5.
1Device的配置·205.
5.
2验证配置·215.
6配置文件·22ii6相关资料·2311简介本文档介绍了可跨三层Portal认证和直接Portal认证的典型配置举例.
当接入设备与用户之间跨越三层转发设备时,可采用可跨三层Portal认证方式.
接入设备基于用户的IP地址下发ACL对接口上通过认证的用户报文转发进行控制.
当接入设备与用户之间未跨越三层转发设备时,可采用直接Portal认证方式.
接口可以学习到用户的MAC地址,接入设备除了可以基于用户的IP地址下发ACL对接口上通过认证的用户报文转发进行控制,还可以利用学习到MAC地址增强对用户报文转发的控制力度.
2配置前提本文档适用于使用ComwareV7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准.
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置.
如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突.
本文假设您已了解Portal特性.
3可跨三层Portal认证配置举例3.
1组网需求如图1所示,DeviceB支持Portal认证功能,HostA、HostB和HostC通过DeviceA接入到DeviceB,要求:采用一台Portal服务器承担Portal认证服务器和PortalWeb服务器的职责.
配置DeviceB采用可跨三层Portal认证.
用户在通过Portal认证前,只能访问PortalWeb服务器.
用户通过认证后,可以访问非受限互联网资源.
采用RADIUS服务器对Portal用户接入进行认证/授权和计费.
配置发送给Portal认证服务器的Portal报文的BAS-IP属性.
使能RADIUSsessioncontrol功能来监听并接收RADIUS服务器发送的sessioncontrol报文.
2图1可跨三层Portal认证配置组网图3.
2配置思路为了对DepartmentA的网络访问进行Portal认证,需要在DeviceB上配置Portal服务器并且使能Portal认证.
为了实现通过RADIUS来对Portal用户进行认证/授权和计费,需要在DeviceB上配置RADIUS方案并指定相应的认证/授权服务器和计费服务器,并将其应用于Portal用户所属的认证域.
配置系统缺省的ISP域,所有接入用户共用此缺省域的认证/授权和计费方法,若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法.
3.
3使用版本本举例是在R0106版本上进行配置和验证的.
3.
4配置注意事项目前仅支持使用RADIUS服务器对Portal用户进行认证/授权和计费,同时服务器需要配置路由,可以访问认证端口及用户IP地址所在网段.
33.
5配置步骤3.
5.
1RADIUS/Portalserver的配置下面以iMC为例(使用iMC版本为:iMCPLAT7.
0(E0202)、iMCEIA7.
0(E0202)),说明RADIUSserver和Portalserver的基本配置.
#增加接入设备登录进入iMC管理平台,选择"用户"页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击按钮,进入增加接入设备页面.
设置与DeviceB交互报文时的认证共享密钥为"expert";设置认证及计费的端口号分别为"1812"和"1813";选择业务类型为"LAN接入业务";选择接入设备类型为"H3C(General)";选择或手工增加接入设备,添加IP地址为10.
0.
10.
1的接入设备;其它参数采用缺省值,并单击按钮完成操作.
图2增加接入设备#增加接入策略选择"用户"页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,单击按钮,进入"增加接入策略"页面.
接入策略名填写portal(该名称可以自定义).
其他配置采用页面默认配置即可.
单击按钮完成操作.
4图3增加接入策略#增加服务配置选择"用户"页签,单击导航树中的[接入策略管理/接入服务管理]菜单项,进入服务器配置管理页面,在该页面中单击按钮,进入增加服务配置页面.
输入服务名为"Portal-auth"(该名称可以自定义).
缺省接入策略选择"portal",即上一步配置的接入策略名.
其他配置采用页面默认配置即可.
单击按钮完成操作.
图4增加服务配置#增加接入用户选择"用户"页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户列表页面,在该页面中单击按钮,进入增加接入用户页面.
单击按钮,手工增加用户姓名为"hello"(可自定义),证件号码为111111(可自定义);其它参数采用缺省值,并单击按钮完成操作;5图5接入用户配置输入帐号名"portal"和密码;选择该用户所关联的接入服务为"Portal-auth";其它参数采用缺省值,并单击按钮完成操作.
图6增加接入用户#配置Portal主页选择"用户"页签,单击导航树中的[接入策略管理/Portal服务管理/服务器配置]菜单项,进入服务器配置页面,配置Portal主页,采用默认配置即可,并单击按钮完成操作.
6图7Portal服务器配置页面#配置Portal认证的地址组范围单击导航树中的[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入"IP地址组配置"页面,在该页面中单击按钮,进入"增加IP地址组配置"页面.
输入IP地址组名为"Portal_user";输入起始地址为"192.
168.
0.
0"、终止地址为"192.
168.
0.
255".
用户主机IP地址必须包含在该IP地址组范围内;其他采用默认配置;单击按钮完成操作.
图8增加IP地址组配置页面#增加接入设备信息单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项,进入"设备配置"页面,在该页面中单击按钮,进入"增加设备信息"页面.
7输入设备名为"NAS";输入IP地址为"10.
0.
11.
1",该地址为与接入用户相连的设备接口IP地址;输入密钥为"portal",该密钥与接入设备DeviceB上的配置保持一致;选择组网方式为"三层";其它参数采用缺省值,并单击按钮完成操作.
图9增加设备信息配置页面#配置端口组信息返回[接入策略管理/Portal服务管理/设备配置]菜单项,单击按钮,进入"端口组信息配置"页面.
图10设备信息列表在"端口组信息配置"页面中单击按钮,进入"增加端口组信息"页面.
输入端口组名为"group";选择IP地址组为"Portal_user",用户接入网络时使用的IP地址必须属于所选的IP地址组;8其它参数采用缺省值,并单击按钮完成操作.
图11增加端口组信息配置页面3.
5.
2DeviceA的配置#配置接口GigabitEthernet2/0/1和GigabitEthernet2/0/2的IP地址.
system-view[DeviceA]interfacegigabitethernet2/0/1[DeviceA-GigabitEthernet2/0/1]ipaddress192.
168.
0.
124[DeviceA-GigabitEthernet2/0/1]quit[DeviceA]interfacegigabitethernet2/0/2[DeviceA-GigabitEthernet2/0/2]ipaddress10.
0.
11.
224[DeviceA-GigabitEthernet2/0/2]quit#配置到10.
0.
10.
0/24网段的静态路由,下一跳为10.
0.
11.
1.
[DeviceA]iproute-static10.
0.
10.
0255.
255.
255.
010.
0.
11.
13.
5.
3DeviceB的配置#配置接口GigabitEthernet2/0/1和GigabitEthernet2/0/2的IP地址.
system-view[DeviceB]interfacegigabitethernet2/0/1[DeviceB-GigabitEthernet2/0/1]ipaddress10.
0.
11.
124[DeviceB-GigabitEthernet2/0/1]quit[DeviceB]interfacegigabitethernet2/0/2[DeviceB-GigabitEthernet2/0/2]ipaddress10.
0.
10.
124[DeviceB-GigabitEthernet2/0/2]quit#配置Portal认证服务器:名称为newpt,IP地址为10.
0.
10.
2,密钥为明文portal,监听Portal报文的端口为50100(设备缺省端口号).
[DeviceB]portalservernewpt[DeviceB-portal-server-newpt]ip10.
0.
10.
2keysimpleportal[DeviceB-portal-server-newpt]port50100[DeviceB-portal-server-newpt]quit9#配置PortalWeb服务器的URL为http://10.
0.
10.
2:8080/portal.
(PortalWeb服务器的URL请与实际环境中的PortalWeb服务器配置保持一致,此处仅为示例)[DeviceB]portalweb-servernewpt[DeviceB-portal-websvr-newpt]urlhttp://10.
0.
10.
2:8080/portal[DeviceB-portal-websvr-newpt]quit#在与DeviceA相连的接口上使能可跨三层方式的Portal认证.
[DeviceB]interfacegigabitethernet2/0/1[DeviceB-GigabitEthernet2/0/1]portalenablemethodlayer3#在与DeviceA相连的接口上设置发送给Portal报文中的BAS-IP属性值为10.
0.
11.
1.
[DeviceB-GigabitEthernet2/0/1]portalbas-ip10.
0.
11.
1#在与DeviceA相连的接口上引用PortalWeb服务器newpt.
[DeviceB-GigabitEthernet2/0/1]portalapplyweb-servernewpt[DeviceB-GigabitEthernet2/0/1]quit#创建名字为imc的RADIUS方案并进入该方案视图.
[DeviceB]radiusschemeimc#配置RADIUS方案主认证/计费服务器及其通信密钥.
[DeviceB-radius-imc]primaryauthentication10.
0.
10.
2[DeviceB-radius-imc]primaryaccounting10.
0.
10.
2[DeviceB-radius-imc]keyauthenticationsimpleexpert[DeviceB-radius-imc]keyaccountingsimpleexpert#配置发送给RADIUS服务器的用户名不携带ISP域名.
[DeviceB-radius-imc]user-name-formatwithout-domain[DeviceB-radius-imc]quit#配置名为portal.
com的认证域.
[DeviceB]domainportal.
com#配置ISP域的AAA方法.
[DeviceB-isp-portal.
com]authenticationportalradius-schemeimc[DeviceB-isp-portal.
com]authorizationportalradius-schemeimc[DeviceB-isp-portal.
com]accountingportalradius-schemeimc[DeviceB-isp-portal.
com]quit#配置系统缺省的ISP域portal.
com,所有接入用户共用此缺省域的认证/授权和计费方法,若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法.
[DeviceB]domaindefaultenableportal.
com#配置到DepartmentA的静态路由.
[DeviceB]iproute-static192.
168.
0.
0255.
255.
255.
010.
0.
11.
23.
6验证配置#用户既可以使用H3C的iNode客户端,也可以通过网页方式进行Portal认证.
本例用网页方式进行Portal认证.
用户在通过认证前,任何Web访问请求都会被重定向到认证页面http://10.
0.
10.
2:8080/portal,且发起的Web访问请求均被重定向到该认证页面,如图12.
当用户通过认证后,跳转到图13界面.
10图12Portal认证页面图13Portal用户认证成功页面#认证通过后,可通过执行以下显示命令查看DeviceB上生成的Portal在线用户信息.
[DeviceB]displayportaluserinterfacegigabitethernet2/0/1Totalportalusers:1Username:portalPortalserver:newptState:OnlineAuthorizationACL:NoneVPNinstance:--MACIPVLANInterface0000-0000-0000192.
168.
0.
2--GigabitEthernet2/0/1113.
7配置文件DeviceA:#interfaceGigabitEthernet2/0/1portlink-moderouteipaddress192.
168.
0.
1255.
255.
255.
0#interfaceGigabitEthernet2/0/2portlink-moderouteipaddress10.
0.
11.
2255.
255.
255.
0#iproute-static10.
0.
10.
02410.
0.
11.
1#DeviceB:#interfaceGigabitEthernet2/0/2portlink-moderouteipaddress10.
0.
10.
1255.
255.
255.
0#interfaceGigabitEthernet2/0/1portlink-moderouteipaddress10.
0.
11.
1255.
255.
255.
0portalenablemethodlayer3portalbas-ip10.
0.
11.
1portalapplyweb-servernewpt#iproute-static192.
168.
0.
02410.
0.
11.
2#radiussession-controlenable#radiusschemeimcprimaryauthentication10.
0.
10.
2primaryaccounting10.
0.
10.
2keyauthenticationcipher$c$3$M30nGDQxiOCAxe2AJ9yEZdk8kjoWag==keyaccountingcipher$c$3$M23dGDQxiOCAxe2BJ9yEZdk8kjoWag==user-name-formatwithout-domain#domainportal.
comauthenticationportalradius-schemeimcauthorizationportalradius-schemeimcaccountingportalradius-schemeimc#domaindefaultenableportal.
com#portalweb-servernewpturlhttp://10.
0.
10.
2:8080/portal12#portalservernewptip10.
0.
10.
2keycipher$c$3$r0VxoIiBrpzju9h2akP4TxyknX8VTuYKfA==#4可跨三层Portal认证方式扩展功能配置举例4.
1组网需求如图14所示,DeviceB支持Portal认证功能,HostA、HostB和HostC通过DeviceA接入到DeviceB,要求:采用一台Portal服务器承担Portal认证服务器和PortalWeb服务器的职责.
配置DeviceB采用可跨三层Portal认证.
用户在通过Portal认证前,只能访问PortalWeb服务器.
用户通过认证,但没有安装指定版本的防病毒软件,则对用户进行隔离,只允许访问病毒和补丁服务器.
用户通过认证,且安装了指定版本的防病毒软件,则通过安全策略检查,可正常访问网络.
采用RADIUS服务器对用户接入进行认证和授权,并采用安全策略服务器对登录成功的用户进行安全检查.
配置发送给Portal认证服务器的Portal报文的BAS-IP属性.
使能RADIUSsessioncontrol功能来监听并接收RADIUS服务器发送的sessioncontrol报文.
13图14Portal三层认证扩展功能配置组网图4.
2配置思路为了对DepartmentA的网络访问进行Portal认证,需要在DeviceB上配置Portal服务器并且使能Portal认证,认证通过前,所有客户端只能访问PortalWeb服务器,用户访问任何网页都被重定向到PortalWeb服务器主页面.
为了实现通过RADIUS来进行认证和授权,需要在DeviceB上配置RADIUS方案并指定相应的认证和授权服务器,并将其应用于Portal用户所属的认证域.
为了对登录成功的用户进行安全检查,需要创建ACL并制定规则,不符合检查要求的用户,只能访问病毒和补丁服务器,升级病毒库版本满足安全策略要求后,该用户才可访问所有网络资源.
配置系统缺省的ISP域,所有接入用户共用此缺省域的认证、授权方法,若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法.
4.
3使用版本本举例是在R0106版本上进行配置和验证的.
4.
4配置注意事项目前仅支持使用RADIUS服务器对Portal用户进行认证和授权,同时服务器需要配置路由,可以访问认证端口及用户IP地址所在网段.
144.
5配置步骤请保证在RADIUS服务器、Portal服务器上完成相应的配置,具体配置步骤请参见3.
5.
1RADIUS/Portalserver的配置.
安全策略服务器上需要将ACL3000和ACL3001分别指定为隔离ACL和安全ACL.
4.
5.
1DeviceA的配置#配置接口GigabitEthernet2/0/1和GigabitEthernet2/0/2的IP地址.
system-view[DeviceA]interfacegigabitethernet2/0/1[DeviceA-GigabitEthernet2/0/1]ipaddress192.
168.
0.
124[DeviceA-GigabitEthernet2/0/1]quit[DeviceA]interfacegigabitethernet2/0/2[DeviceA-GigabitEthernet2/0/2]ipaddress10.
0.
11.
224[DeviceA-GigabitEthernet2/0/2]quit#配置到10.
0.
10.
0/24网段的静态路由,下一跳为10.
0.
11.
1.
[DeviceA]iproute-static10.
0.
10.
0255.
255.
255.
010.
0.
11.
1#配置到10.
0.
12.
0/24网段的静态路由,下一跳为10.
0.
11.
1.
[DeviceA]iproute-static10.
0.
12.
0255.
255.
255.
010.
0.
11.
14.
5.
2DeviceB的配置#配置接口GigabitEthernet2/0/1、GigabitEthernet2/0/2和GigabitEthernet2/0/3的IP地址.
system-view[DeviceB]interfacegigabitethernet2/0/1[DeviceB-GigabitEthernet2/0/1]ipaddress10.
0.
11.
124[DeviceB-GigabitEthernet2/0/1]quit[DeviceB]interfacegigabitethernet2/0/2[DeviceB-GigabitEthernet2/0/2]ipaddress10.
0.
10.
124[DeviceB-GigabitEthernet2/0/2]quit[DeviceB]interfacegigabitethernet2/0/3[DeviceB-GigabitEthernet2/0/3]ipaddress10.
0.
12.
124[DeviceB-GigabitEthernet2/0/3]quit#配置Portal认证服务器:名称为newpt,IP地址为10.
0.
10.
2,密钥为明文portal,监听Portal报文的端口为50100(设备缺省端口号).
[DeviceB]portalservernewpt[DeviceB-portal-server-newpt]ip10.
0.
10.
2keysimpleportal[DeviceB-portal-server-newpt]port50100[DeviceB-portal-server-newpt]quit15#配置PortalWeb服务器的URL为http://10.
0.
10.
2:8080/portal.
(PortalWeb服务器的URL请与实际环境中的PortalWeb服务器配置保持一致,此处仅为示例)[DeviceB]portalweb-servernewpt[DeviceB-portal-websvr-newpt]urlhttp://10.
0.
10.
2:8080/portal[DeviceB-portal-websvr-newpt]quit#在与DeviceA相连的接口上使能可跨三层方式的Portal认证.
[DeviceB]interfacegigabitethernet2/0/1[DeviceB-GigabitEthernet2/0/1]portalenablemethodlayer3#在与DeviceA相连的接口上设置发送给Portal报文中的BAS-IP属性值为10.
0.
11.
1.
[DeviceB–GigabitEthernet2/0/1]portalbas-ip10.
0.
11.
1#在与DeviceA相连的接口上引用PortalWeb服务器newpt.
[DeviceB–GigabitEthernet2/0/1]portalapplyweb-servernewpt[DeviceB-GigabitEthernet2/0/1]quit#配置到DepartmentA的静态路由.
[DeviceB]iproute-static192.
168.
0.
0255.
255.
255.
010.
0.
11.
2#创建名字为imc的RADIUS方案并进入该方案视图.
[DeviceB]radiusschemeimc#配置RADIUS方案相关参数,包括RADIUS服务器地址,认证密钥等.
[DeviceB-radius-imc]primaryauthentication10.
0.
10.
2[DeviceB-radius-imc]primaryaccounting10.
0.
10.
2[DeviceB-radius-imc]keyauthenticationsimpleexpert[DeviceB-radius-imc]keyaccountingsimpleexpert#配置RADIUS方案的安全策略服务器.
[DeviceB-radius-imc]security-policy-server10.
0.
10.
2#配置发送给RADIUS服务器的用户名不携带ISP域名.
[DeviceB-radius-imc]user-name-formatwithout-domain[DeviceB-radius-imc]quit#使能RADIUSsessioncontrol功能.
[DeviceB]radiussession-controlenable#配置名为portal.
com的认证域.
[DeviceB]domainportal.
com#配置ISP域的AAA方法.
[DeviceB-isp-portal.
com]authenticationportalradius-schemeimc[DeviceB-isp-portal.
com]authorizationportalradius-schemeimc[DeviceB-isp-portal.
com]accountingportalradius-schemeimc[DeviceB-isp-portal.
com]quit#配置系统缺省的ISP域portal.
com,所有接入用户共用此缺省域的认证/授权和计费方法,若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法.
[DeviceB]domaindefaultenableportal.
com#配置ACL3000,只允许访问补丁和病毒服务器.
[DeviceB]aclnumber3000[DeviceB-acl-adv-3000]rulepermitipdestination10.
0.
12.
20[DeviceB-acl-adv-3000]ruledenyip16[DeviceB-acl-adv-3000]quit#配置ACL3001,允许所有IP地址通过.
[DeviceB]aclnumber3001[DeviceB-acl-adv-3001]rulepermitip[DeviceB-acl-adv-3001]quit4.
6验证配置#用户只能使用H3C的iNode客户端,进行Portal扩展功能认证.
用户通过iNode客户端,新建Portal连接,输入正确的用户名和密码,登录成功.
然后,开始安全检查,安全检查不合格,进入隔离模式,查看设备上Portal用户,可看到下发了隔离ACL3000.
[DeviceB]displayportaluserallTotalportalusers:1Username:cc16Portalserver:newptState:OnlineAuthorizationACL:3000VPNinstance:--MACIPVLANInterface170000-0000-0000192.
168.
0.
2--GigabitEthernet2/0/1#升级病毒库,版本满足安全策略要求.
客户端断开后,重新登录,认证成功后,进行安全检查,客户端提示安全检查合格,设备上查看通过认证的Portal用户信息,可见下发了安全ACL3001.
[DeviceB]displayportaluserallTotalportalusers:1Username:cc16Portalserver:newptState:OnlineAuthorizationACL:3001VPNinstance:--MACIPVLANInterface0000-0000-0000192.
168.
0.
2--GigabitEthernet2/0/14.
7配置文件DeviceA:#interfaceGigabitEthernet2/0/1portlink-moderouteipaddress192.
168.
0.
1255.
255.
255.
0#interfaceGigabitEthernet2/0/2portlink-moderouteipaddress10.
0.
11.
2255.
255.
255.
0#iproute-static10.
0.
10.
02410.
0.
11.
1iproute-static10.
0.
12.
02410.
0.
11.
1#DeviceB:#interfaceGigabitEthernet2/0/1portlink-moderouteipaddress10.
0.
11.
1255.
255.
255.
0portalenablemethodlayer3portalbas-ip10.
0.
11.
1portalapplyweb-servernewpt#interfaceGigabitEthernet2/0/2portlink-moderouteipaddress10.
0.
10.
1255.
255.
255.
0#interfaceGigabitEthernet2/0/3portlink-moderouteipaddress10.
0.
12.
1255.
255.
255.
0#iproute-static192.
168.
0.
02410.
0.
11.
2#18aclnumber3000rule0permitipdestination10.
0.
12.
20rule5denyip#aclnumber3001rule0permitip#radiussession-controlenable#radiusschemeimcprimaryauthentication10.
0.
10.
2primaryaccounting10.
0.
10.
2security-policy-server10.
0.
10.
2keyauthenticationcipher$c$3$M30nGDQxiOCAxe2AJ9yEZdk8kjoWag==keyaccountingcipher$c$3$M23dGDQxiOCAxe2BJ9yEZdk8kjoWag==user-name-formatwithout-domain#domainportal.
comauthenticationportalradius-schemeimcauthorizationportalradius-schemeimcaccountingportalradius-schemeimc#domaindefaultenableportal.
com#portalweb-servernewpturlhttp://10.
0.
10.
2:8080/portal#portalservernewptip10.
0.
10.
2keycipher$c$3$r0VxoIiBrpzju9h2akP4TxyknX8VTuYKfA==#5直接Portal认证配置举例5.
1组网需求如图15所示,DepartmentA客户端与接入设备直接相连,采用直接方式的Portal认证.
采用一台Portal服务器承担Portal认证服务器和PortalWeb服务器的职责.
DepartmentA下面的用户在通过Portal认证前,只能访问PortalWeb服务器,无法访问内部其它网络或Internet.
用户通过认证后,可以正常访问网络.
采用RADIUS服务器对Portal用户接入进行认证/授权和计费.
配置发送给Portal认证服务器的Portal报文的BAS-IP属性.
使能RADIUSsessioncontrol功能来监听并接收RADIUS服务器发送的sessioncontrol报文.
19图15Portal特性直接认证配置组网图5.
2配置思路为了对DepartmentA的网络访问进行Portal认证,需要在Device上配置Portal服务器并且使能Portal认证.
为了实现通过RADIUS来对Portal用户进行认证/授权和计费,需要在Device上配置RADIUS方案并指定相应的认证/授权服务器和计费服务器,并将其应用于Portal用户所属的认证域.
配置系统缺省的ISP域,所有接入用户共用此缺省域的认证/授权和计费方法,若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法.
5.
3使用版本本举例是在R0106版本上进行配置和验证的.
5.
4配置注意事项目前仅支持使用RADIUS服务器对Portal用户进行认证/授权和计费,同时服务器需要配置路由,可以访问认证端口及用户IP地址所在网段.
205.
5配置步骤请保证在RADIUS服务器、Portal服务器上完成相应的配置,具体配置步骤请参见3.
5.
1RADIUS/Portalserver的配置.
其中"增加Portal设备"步骤中的选择组网方式改为"直连",并将IP地址改为192.
168.
0.
1即可.
5.
5.
1Device的配置#配置接口GigabitEthernet2/0/1和GigabitEthernet2/0/2的IP地址.
system-view[Device]interfacegigabitethernet2/0/1[Device-GigabitEthernet2/0/1]ipaddress192.
168.
0.
124[Device-GigabitEthernet2/0/1]quit[Device]interfacegigabitethernet2/0/2[Device-GigabitEthernet2/0/2]ipaddress10.
0.
10.
124[Device-GigabitEthernet2/0/2]quit#配置Portal认证服务器:名称为newpt,IP地址为10.
0.
10.
2,密钥为明文portal,监听Portal报文的端口为50100(设备缺省端口号).
[Device]portalservernewpt[Device-portal-server-newpt]ip10.
0.
10.
2keysimpleportal[Device-portal-server-newpt]port50100[Device-portal-server-newpt]quit#配置PortalWeb服务器的URL为http://10.
0.
10.
2:8080/portal.
(PortalWeb服务器的URL请与实际环境中的PortalWeb服务器配置保持一致,此处仅为示例)[Device]portalweb-servernewpt[Device-portal-websvr-newpt]urlhttp://10.
0.
10.
2:8080/portal[Device-portal-websvr-newpt]quit#在与客户端相连的接口上使能直接方式的Portal认证.
[Device]interfacegigabitethernet2/0/1[Device-GigabitEthernet2/0/1]portalenablemethoddirect#在与客户端相连的接口上设置发送给Portal报文中的BAS-IP属性值为192.
168.
0.
1.
[Device-GigabitEthernet2/0/1]portalbas-ip192.
168.
0.
1#在与客户端相连的接口上引用PortalWeb服务器newpt.
[Device-GigabitEthernet2/0/1]portalapplyweb-servernewpt[Device-GigabitEthernet2/0/1]quit#创建名字为imc的RADIUS方案并进入该方案视图.
[Device]radiusschemeimc#配置RADIUS方案主认证服务器及其通信密钥.
[Device-radius-imc]primaryauthentication10.
0.
10.
2[Device-radius-imc]primaryaccounting10.
0.
10.
2[Device-radius-imc]keyauthenticationsimpleexpert21[Device-radius-imc]keyaccountingsimpleexpert#配置发送给RADIUS服务器的用户名不携带ISP域名.
[Device-radius-imc]user-name-formatwithout-domain[Device-radius-imc]quit#使能RADIUSsessioncontrol功能.
[Device]radiussession-controlenable#配置名为portal.
com的认证域.
[Device]domainportal.
com#配置ISP域的AAA方法.
[Device-isp-portal.
com]authenticationportalradius-schemeimc[Device-isp-portal.
com]authorizationportalradius-schemeimc[Device-isp-portal.
com]accountingportalradius-schemeimc[Device-isp-portal.
com]quit#配置系统缺省的ISP域portal.
com,所有接入用户共用此缺省域的认证、授权方法,若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法.
[Device]domaindefaultenableportal.
com5.
5.
2验证配置#用户既可以使用H3C的iNode客户端,也可以通过网页方式进行Portal认证.
本例用网页方式进行Portal认证.
用户在通过认证前,只能访问认证页面http://10.
0.
10.
2:8080/portal,且发起的Web访问请求均被重定向到该认证页面,如图16.
当用户通过认证后,跳转到图17界面.
图16Portal认证页面22图17认证成功页面#认证通过后,可通过执行以下显示命令查看Device上生成的Portal在线用户信息.
[DeviceB]displayportaluserinterfacegigabitethernet2/0/1Totalportalusers:1Username:portalPortalserver:newptState:OnlineAuthorizationACL:NoneVPNinstance:--MACIPVLANInterface0015-e9a6-7cfe192.
168.
0.
2--GigabitEthernet2/0/15.
6配置文件#interfaceGigabitEthernet2/0/2portlink-moderouteipaddress10.
0.
10.
1255.
255.
255.
0#interfaceGigabitEthernet2/0/1portlink-moderouteipaddress192.
168.
0.
1255.
255.
255.
0portalenablemethoddirectportalbas-ip192.
168.
0.
1portalapplyweb-servernewpt#radiussession-controlenable#radiusschemeimcprimaryauthentication10.
0.
10.
2primaryaccounting10.
0.
10.
2keyauthenticationcipher$c$3$M30nGDQxiOCAxe2AJ9yEZdk8kjoWag==keyaccountingcipher$c$3$M23dGDQxiOCAxe2BJ9yEZdk8kjoWag==user-name-formatwithout-domain#domainportal.
comauthenticationportalradius-schemeimc23authorizationportalradius-schemeimcaccountingportalradius-schemeimc#domaindefaultenableportal.
com#portalweb-servernewpturlhttp://10.
0.
10.
2:8080/portal#portalservernewptip10.
0.
10.
2keycipher$c$3$r0VxoIiBrpzju9h2akP4TxyknX8VTuYKfA==#6相关资料《H3CMSR系列路由器配置指导(V7)》中的"安全配置指导"《H3CMSR系列路由器命令参考(V7)》中的"安全命令参考"