17Portal操作.docx
《17Portal操作.docx》由会员分享,可在线阅读,更多相关《17Portal操作.docx(23页珍藏版)》请在冰豆网上搜索。
17Portal操作
目录
第1章Portal配置1-1
1.1Portal简介1-1
1.1.1Portal概述1-1
1.1.2Portal认证方式对EAD的支持1-1
1.1.3Portal的系统组成1-1
1.1.4Portal的认证方式1-3
1.1.5Portal认证过程1-4
1.2Portal配置任务简介1-7
1.3Portal的基本配置1-7
1.3.1配置准备1-7
1.3.2配置Portal1-8
1.4配置免认证规则1-8
1.5配置认证网段1-9
1.6配置强制用户下线1-9
1.7Portal显示和维护1-10
1.8Portal典型配置举例1-10
1.8.1Portal直接认证方式配置举例1-10
1.8.2Portal二次地址分配认证方式配置举例1-12
1.8.3三层Portal认证方式配置举例1-14
1.8.4Portal直接认证方式(支持EAD)配置举例1-15
1.9常见配置错误举例1-18
1.9.1接入设备和Portal服务器上的密钥不一致1-18
1.9.2接入设备上服务器端口配置错误1-18
第1章Portal配置
1.1Portal简介
1.1.1Portal概述
Portal在英语中是入口的意思。
Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。
未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中的服务。
当用户需要使用互联网中的其它信息时,必须在门户网站进行认证,只有认证通过后才可以使用互联网资源。
用户可以主动访问已知的Portal认证网站,输入用户名和密码进行认证,这种开始Portal认证的方式称作主动认证。
反之,如果用户试图通过HTTP访问其他外网,将被强制访问Portal认证网站,从而开始Portal认证过程,这种方式称作强制认证。
Portal业务可以为运营商提供方便的管理功能,门户网站可以开展广告、社区服务、个性化的业务等,使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。
1.1.2Portal认证方式对EAD的支持
Portal认证方式也支持EAD,通过强制接入终端实施补丁和防病毒策略,加强网络终端对病毒攻击的主动防御能力:
●在Portal身份认证的基础上增加了安全认证机制,可以检测接入终端上是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等;
●用户通过身份认证后仅仅获得访问部分互联网资源(受限资源)的权限,如病毒服务器、操作系统补丁更新服务器等;当用户通过安全认证后便可以访问更多的互联网资源(非受限资源)。
1.1.3Portal的系统组成
Portal的典型组网方式如图1-1所示,它由五个基本要素组成:
认证客户端、接入设备、Portal服务器、认证/计费服务器和安全策略服务器。
图1-1Portal系统组成示意图
2.认证客户端
安装于用户终端的客户端系统。
为运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的Host。
如果需要支持EAD认证,那么必须使用Portal客户端软件才可以,并且该客户端软件也必须支持EAD。
3.接入设备
交换机、路由器等宽带接入设备的统称,主要有三方面的作用:
●在认证之前,如果不采用Portal客户端,用户直接使用IE上网浏览,那么设备将用户的HTTP请求重定向到Portal服务器;如果采用Portal客户端,那么在用户创建连接的时候,设备将会返回给客户端Portal服务器的IP地址、服务端口等信息。
●与Portal服务器、认证/计费服务器、安全策略服务器交互,完成身份认证、安全认证、计费等功能。
●在认证通过后,允许用户访问被管理员授权的部分互联网资源。
4.Portal服务器
接受Portal客户端认证请求的服务器端系统,提供免费门户服务和基于Web认证的界面,与接入设备交互认证客户端的认证信息。
5.认证/计费服务器
与接入设备进行交互,完成对用户的认证和计费。
6.安全策略服务器
与Portal客户端、接入设备进行交互,完成对用户的安全认证,并对用户进行授权操作。
以上五个基本要素的交互过程为:
(1)对于一个未认证用户访问网络的情况
●对于不使用Portal客户端的方式:
用户在IE地址栏中输入一个互联网的地址,那么此HTTP请求在经过接入设备时会被重定向到Portal服务器的Web认证主页上;
●对于使用Portal客户端的方式:
接入设备检测到来自用户的TCP/UDP请求报文时,向Portal客户端发送强制认证报文。
客户端弹出认证对话框等待用户输入。
(2)用户在认证主页/认证对话框中输入认证信息后提交,Portal服务器会将用户的认证信息传递给接入设备;
(3)然后接入设备再与认证/计费服务器通信进行认证和计费;
(4)认证通过后
●对于不使用Portal客户端的方式:
接入设备会打开用户与互联网的通路,允许用户访问互联网;
●对于使用Portal客户端的方式:
Portal客户端、接入设备与安全策略服务器交互,对用户的安全检测通过之后,安全策略服务器根据用户的安全性授权用户访问非受限资源。
注意:
●由于Portal客户端以IP地址为身份标识,因此使用Portal业务时,在认证客户端、接入设备、Portal服务器、认证/计费服务器之间不能有配置NAT(NetworkAddressTranslation,网络地址转换)特性的设备,避免地址转换导致认证失败。
●目前支持Portal认证的认证/计费服务器为RADIUS(RemoteAuthenticationDial-InUserService,远程认证拨号用户服务)服务器。
1.1.4Portal的认证方式
Portal的认证方式分为两种:
非三层认证方式和三层认证方式。
1.非三层认证方式
非三层认证方式分为两种:
直接认证方式和二次地址分配认证方式。
●直接认证方式
用户在认证前通过手工配置或DHCP直接获取一个公网IP地址,只能访问Portal服务器,以及设定的免费访问地址;认证通过后即可访问Internet。
认证流程相对二次地址较为简单。
●二次地址分配认证方式
用户在认证前通过DHCP获取一个私网IP地址,只能访问Portal服务器,以及设定的免费访问地址;认证通过后,用户会申请到一个公网IP地址,即可访问Internet。
该认证方式解决了IP地址规划和分配问题,对未认证通过的用户不分配公网IP地址。
例如运营商对于小区宽带用户只在访问小区外部资源时才分配公网IP。
2.三层认证方式
和直接认证方式基本相同,但是这种认证方式允许认证客户端和接入设备之间跨越三层转发设备。
3.两者的区别
●组网方式不同
三层认证方式的认证客户端和接入设备之间可以跨接三层转发设备;非三层认证方式则要求认证客户端和接入设备之间没有三层转发。
●用户标识不同
由于三层认证可以跨接三层设备,而接入设备不会学习认证客户端的MAC地址信息,所以是以IP地址唯一标识用户;而非三层认证方式中的接入设备则可以学习到认证客户端的MAC地址,所以是以IP和MAC地址的组合来唯一标识用户。
以上不同的组网方式和用户标识特点使得认证客户端的MAC地址不变、IP地址改变时,在三层认证方式下会激发新的Portal认证,而在非三层认证方式下不会激发新的Portal认证。
只有认证客户端的MAC地址和IP地址同时改变时,非三层认证方式下才会激发新的Portal认证。
1.1.5Portal认证过程
直接认证和三层Portal认证流程相同。
二次地址分配认证流程因为有两次地址分配过程,所以其认证流程和另外两种认证方式有所不同。
1.直接认证和三层Portal认证的流程
图1-1直接认证/三层Portal认证流程图
直接认证/三层Portal认证流程步骤:
如果做EAD安全认证,那么增加了步骤(8)、(9)。
(2)Portal用户通过HTTP协议发起认证请求。
HTTP报文经过接入设备时,对于访问Portal服务器或设定的免费访问地址的HTTP报文,接入设备允许其通过;对于访问其它地址的HTTP报文,接入设备将其重定向到Portal服务器。
Portal服务器提供Web页面供用户输入用户名和密码来进行认证。
(3)Portal服务器与接入设备之间进行CHAP(ChallengeHandshakeAuthenticationProtocol,质询握手验证协议)认证交互。
若采用PAP(PasswordAuthenticationProtocol,密码验证协议)认证则直接进入下一步骤。
(4)Portal服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备,同时开启定时器等待认证应答报文。
(5)接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。
(6)接入设备向Portal服务器发送认证应答报文。
(7)Portal服务器向客户端发送认证通过报文,通知客户端认证(上线)成功。
(8)Portal服务器向接入设备发送认证应答确认。
(9)客户端和安全策略服务器之间进行安全信息交互。
安全策略服务器检测接入终端的安全性是否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。
(10)安全策略服务器根据用户的安全性授权用户访问非受限资源,授权信息保存到接入设备中,接入设备将使用该信息控制用户的访问。
2.二次地址分配认证方式的流程
图1-1二次地址分配认证方式流程图
二次地址分配认证流程步骤:
如果做EAD安全认证,那么增加了步骤(12)、(13)。
(1)~(6)同直接/三层Portal认证中步骤
(1)~(6)。
(2)客户端收到认证通过报文后,通过DHCP请求获得新的公网IP地址,并通知Portal服务器用户已获得新IP地址。
(3)Portal服务器通知接入设备客户端获得新公网IP地址。
(4)接入设备通过检测ARP协议报文发现了用户IP变化,并通告Portal服务器已检测到用户IP变化。
(5)Portal服务器通知客户端上线成功。
(6)Portal服务器向接入设备发送IP变化确认报文。
(7)客户端和安全策略服务器之间进行安全信息交互。
安全策略服务器检测接入终端的安全性是否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。
(8)安全策略服务器根据用户的安全性授权用户访问非受限资源,授权信息保存到接入设备中,接入设备将使用该信息控制用户的访问。
1.2Portal配置任务简介
表1-1Portal配置任务简介
配置任务
说明
详细配置
Portal的基本配置
必选
1.3
配置免认证规则
可选
1.4
配置认证网段
可选
1.5
配置强制用户下线
可选
1.6
1.3Portal的基本配置
1.3.1配置准备
Portal提供了一个用户身份认证和安全认证的实现方案,但是仅仅依靠Portal不足以实现该方案。
接入设备的管理者需选择使用RADIUS认证方法,以配合Portal完成用户的身份认证。
Portal认证的配置前提:
●使能Portal的接口已配置或者获取了合法的IP地址。
●Portal服务器、RADIUS服务器已安装并配置成功。
●若采用二次地址分配认证方式,接入设备需启动DHCP中继的安全地址匹配检查功能,另外需要安装并配置好DHCP服务器。
●如果通过远端RADIUS服务器进行认证,则需要在RADIUS服务器上配置相应的用户名和密码,然后在接入设备端进行RADIUS客户端的相关设置。
RADIUS客户端的具体配置请参见本手册“AAA-RADIUS-HWTACACS”模块的介绍。
●如果做EAD安全认证,需要安装并配置安全策略服务器。
同时保证在接入设备上的ACL配置和安全策略服务器上配置的受限资源ACL号、非受限资源ACL号对应。
说明:
●安全策略服务器的相关配置请参考《CAMS综合访问管理服务器EAD安全策略组件用户手册》。
●受限资源ACL、非受限资源ACL分别代表安全策略服务器中的隔离ACL与安全ACL。
1.3.2配置Portal
表1-1配置Portal
操作
命令
说明
进入系统视图
system-view
-
配置Portal服务器
portalserverserver-nameipip-address[keykey-string|portport-id|urlurl-string]*
必选
缺省情况下,没有配置Portal服务器
进入接口视图
interfaceinterface-typeinterface-number
-
在接口上使能Portal
portalserverserver-namemethod{direct|layer3|redhcp}
必选
缺省情况下,没有使能Portal
注意:
●设备向Portal服务器主动发送报文时使用的目的端口号必须与远程Portal服务器实际使用的端口号保持一致。
●用户可以对已配置的Portal服务器参数进行修改。
如果已经在接口上引用了Portal服务器,则不能删除或修改Portal服务器的参数。
●使能Portal的接口上所引用的Portal服务器必须已经存在。
●对于跨三层设备支持Portal认证的应用只能配置layer3方式,但三层Portal认证方式不要求接入设备和Portal用户之间必需跨越三层设备。
●在二次地址分配认证方式下,允许用户在未通过Portal认证时以公网地址向外发送报文,但相应的回应报文则受限制。
1.4配置免认证规则
通过配置免认证规则(free-rule)可以让特定的用户访问外网特定资源,这是由免认证规则中配置的源信息以及目的信息决定的。
符合免认证规则的报文不会触发Portal认证,而是直接访问网络资源。
表1-1配置免认证规则
操作
命令
说明
进入系统视图
system-view
-
配置Portal的免认证规则
portalfree-rulerule-number{destination{any|ip{ip-addressmask{mask-length|netmask}|any}}|source{any|[interfaceinterface-typeinterface-number|ip{ip-addressmask{mask-length|mask}|any}|macmac-address|vlanvlan-id]*}}*
必选
说明:
●如果免认证规则中同时配置了vlan和interface项,则要求interface属于该VLAN,否则该规则无效。
●相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复。
1.5配置认证网段
通过配置认证网段只允许在认证网段范围内的用户IP才会触发Portal强制认证。
如果非主动认证的用户IP既不满足免认证规则又不在认证网段内,则丢弃该报文。
表1-1配置认证网段
操作
命令
说明
进入系统视图
system-view
-
进入接口视图
interfaceinterface-typeinterface-number
-
配置认证网段
portalauth-networknetwork-address{mask-length|mask}
可选
缺省情况下,认证网段为0.0.0.0/0,表示对任意源IP都进行认证
说明:
认证网段配置仅对三层Portal认证有效。
直接认证方式的认证网段为任意源IP,二次地址分配方式的认证网段为由接口私网IP决定的私网网段。
1.6配置强制用户下线
通过配置强制用户下线可以终止对指定IP地址用户的认证过程,或者将已经通过认证的指定IP地址的用户删除。
表1-1配置强制用户下线
操作
命令
说明
进入系统视图
system-view
-
强制接入设备上的用户下线
portaldelete-user{ip-address|all|interfaceinterface-typeinterface-number}
必选
1.7Portal显示和维护
在完成上述配置后,在任意视图下执行display命令可以显示配置后Portal的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除Portal统计信息。
表1-1Portal显示和维护
操作
命令
显示接口上Portal的ACL信息
displayportalacl{all|dynamic|static}interfaceinterface-typeinterface-number
显示接口上Portal的连接统计信息
displayportalconnectionstatistics{all|interfaceinterface-typeinterface-number}
显示Portal的免认证规则信息
displayportalfree-rule[rule-number]
显示指定接口的Portal配置信息
displayportalinterfaceinterface-typeinterface-number
显示Portal服务器信息
displayportalserver[server-name]
显示接口上Portal服务器的统计信息
displayportalserverstatistics{all|interfaceinterface-typeinterface-number}
显示TCP仿冒统计信息
displayportaltcp-cheatstatistics
显示Portal用户的信息
displayportaluser{all|interfaceinterface-typeinterface-number}
清除接口上Portal的连接统计信息
resetportalconnectionstatistics{all|interfaceinterface-typeinterface-number}
清除接口上Portal服务器的统计信息
resetportalserverstatistics{all|interfaceinterface-typeinterface-number}
清除TCP仿冒统计信息
resetportaltcp-cheatstatistics
1.8Portal典型配置举例
1.8.1Portal直接认证方式配置举例
1.组网需求
●配置交换机采用直接方式的Portal认证。
用户在未通过Portal认证前,只能访问Portal服务器;用户通过Portal认证后,可以访问外部网络。
●采用RADIUS服务器作为认证/计费服务器。
2.组网图
图1-1配置Portal直接认证组网图
3.配置步骤
说明:
按照组网图配置设备各接口的IP地址,保证在不启动Portal的前提下各设备之间的路由可达。
在接入设备上进行以下配置。
(1)配置RADIUS方案
#创建名字为rs1的RADIUS方案并进入该方案视图。
system-view
[Switch]radiusschemers1
#配置RADIUS方案的服务器类型为extended。
[Switch-radius-rs1]server-typeextended
#配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Switch-radius-rs1]primaryauthentication192.168.0.112
[Switch-radius-rs1]primaryaccounting192.168.0.112
[Switch-radius-rs1]keyauthenticationradius
[Switch-radius-rs1]keyaccountingradius
#配置发送给RADIUS服务器的用户名不携带ISP域名。
[Switch-radius-rs1]user-name-formatwithout-domain
[Switch-radius-rs1]quit
(2)配置认证域
#创建并进入名字为dm1的ISP域。
[Switch]domaindm1
#配置ISP域的RADIUS方案rs1。
[Switch-isp-dm1]authenticationportalradius-schemers1
[Switch-isp-dm1]authorizationportalradius-schemers1
[Switch-isp-dm1]accountingportalradius-schemers1
[Switch-isp-dm1]quit
#配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方式。
[Switch]domaindefaultenabledm1
(3)配置Portal认证
#配置Portal服务器:
名称为newpt,IP地址为192.168.0.111,密钥为portal,端口为50100,URL为http:
//192.168.0.111/portal。
[Switch]portalservernewptip192.168.0.111keyportalport50100urlhttp:
//192.168.0.111/portal
#在与用户Host相连的接口上使能Portal认证。
[Switch]interfacevlan-interface100
[Switch–Vlan-interface100]ipaddress2.2.2.1255.255.255.0
[Switch–Vlan-interface100]portalservernewptmethoddirect
[Switch]quit
#配置与服务器通信的接口IP地址。
[Switch]interfacevlan-interface2
[Switch–Vlan-interface2]ipaddress192.168.0.100255.255.255.0
[Sysname–Vlan-interface2]quit
1.8.2Portal二次地址分配认证方式配置举例
1.组网需求
●配置交换机采用二次地址分配方式的Portal认证。
用户通过DHCP服务器获取IP地址,Portal认证前分配一个私网地址;通过Portal认证后,用户申请到一个公网地址,