V71 iMC EIA Portal无感知认证的典型配置.docx
《V71 iMC EIA Portal无感知认证的典型配置.docx》由会员分享,可在线阅读,更多相关《V71 iMC EIA Portal无感知认证的典型配置.docx(11页珍藏版)》请在冰豆网上搜索。
V71iMCEIAPortal无感知认证的典型配置
V7.1iMCEIAPortal无感知认证的典型配置
一、组网需求:
在企业、学校或其他环境中使用智能终端进行Portal认证上线,并且在使用过程中可能会出现频繁的上线、下线操作。
而Portal无感知认证是一种针对智能终端、无需输入用户名和密码即可上线的认证过程。
用户第一次使用智能终端时,通过浏览器上网产生流量,设备会重定向到Portal认证页面。
用户输入用户名、密码、服务等信息后上线,服务器会将认证信息以及终端的MAC地址保存到数据库中。
当用户再次使用该智能终端访问网络产生流量时,服务器自动使用该认证信息进行认证,免去了用户输入认证信息上线的过程。
本案例主要实现智能终端如何进行Portal无感知认证以及如何让非智能终端也实现Portal无感知认证。
二、组网图:
无。
版本:
iMCEIA7.1E0302
三、配置步骤:
第一部分:
iMC侧配置
1.增加接入设备
用户>接入策略管理>接入设备管理>接入设备配置,输入接入设备IP地址192.168.55.1,该IP地址需要与设备配置中RADIUSscheme的NASIP一致;如果设备未配置NASIP,则默认为接入设备与UAM相连接口所在VLAN的IP地址。
公共参数只需要输入共享密钥\确认共享密钥“admin”,选择设备类型H3C(General),其他保持默认即可,认证端口和计费端口默认为1812、1813,注意密钥、端口与设备配置保持一致。
2.增加接入策略
用户>接入策略管理>接入策略管理,因为不需要任何接入控制,所以输入接入策略名“1130”,其他参数保持默认。
3.增加接入服务
用户>接入策略管理>接入服务管理,输入服务名“1130”、服务后缀“55”,缺省接入策略选择之前配置的“1130”,勾选“Portal无感知认证”,其他参数保持默认即可。
服务后缀、设备的Domain和设备Radiusscheme中的命令这几个要素密切相关,具体的搭配关系请参见下表:
4.增加接入用户
用户>接入用户,增加接入用户“ouyanglu”,选择“Portal无感知认证最大绑定数”,如果选择“不支持绑定”,则该用户不能进行Portal无感知认证。
选择其他数字均表示支持Portal无感知认证,且每个帐号绑定的终端数上限即为该参数的值,最后再绑定启用无感知认证的接入服务“1130”。
5.查看Portal服务器配置
这里有两个需要注意的地方:
设备上配置的PortalserverURL必须和此处的Portal主页URL保持一致;服务类型列表为可选性配置,如果配置服务类型,一定要注意服务类型标识必须与之前增加服务的服务后缀相同,而服务类型是对服务类型标识主观意识上的说明和区分。
6.增加需要无感知认证的终端IP地址组
用户>接入策略管理>Portal服务管理>IP地址组配置,增加IP地址组“55”,对应192.168.55.0用户网段。
7.增加Portal设备
用户>接入策略管理>Portal服务管理>设备配置,增加Portal设备IP地址“192.168.55.1”和密钥\确认密钥“admin”,并选择组网方式直连,其他参数保持默认即可。
三个注意点:
第一,密钥必须与设备上配置的Portal服务器密钥保持一致。
第二,增加的Portal设备IP地址必须和设备上配置的Portalnas-ip保持一致,设备上如果没有手工指定的话则Portalnas-ip默认为启用Portal认证的接口IP地址。
第三,组网方式需要和设备上配置的Portalserverxxmethoddirect对应。
其中认证的客户端IP如果和设备启用Portal认证的接口IP属于同网段则为直连方式,跨网段则为三层方式。
8.增加Portal设备的端口组信息
Portal设备信息列表中,单击操作下的端口组信息管理图标,进入端口组信息配置页面,增加端口组“5004”,绑定之前配置的IP地址组“55”,并注意无感知认证这一项选择“支持”,否则用户在该端口组对应的端口上不能进行Portal无感知认证。
第二部分:
设备关键配置
1.创建portal认证使用的radiusscheme55,认证端口、计费端口、共享密钥要与UAM中增加接入设备时的配置保持一致。
radiusscheme55
server-typeextended
primaryauthentication192.168.1.120
primaryaccounting192.168.1.120
keyauthenticationsimpleadmin
keyaccountingsimpleadmin
nas-ip192.168.55.1
2.创建domain55,并配置使用该domain的认证、授权、计费请求都由上一步新建的RADIUS方案55来处理。
domain55
authenticationportalradius-scheme55
authorizationportalradius-scheme55
accountingportalradius-scheme55
domaindefaultenable55
3.配置Portal服务器及重定向页面http:
//192.168.1.120/portal
Portalserver55ip192.168.1.120keysimpleadminurlhttp:
//192.168.1.120:
8080/portalserver-typeimc
4.配置终端MAC地址上传给EIA服务器(此处为Portal无感知认证需要的命令)
portalmac-triggerserverip192.168.1.120
命令说明:
MAC绑定服务器上记录了Portal用户的MAC地址与Portal用户帐号的绑定关系,当MAC绑定服务器接收到来自接入设备的MAC绑定查询请求后,会查询该MAC地址是否与服务器上的Portal用户帐号绑定。
如果已绑定,则MAC绑定服务器获取该用户的帐号信息,并使用该用户的用户名和密码向接入设备直接发起Portal认证。
5.在用户对应的VLAN虚接口下期启用portal认证
interfaceVlan-interface55
ipaddress192.168.55.1255.255.255.0
portalserver55methoddirect
portalnas-ip192.168.55.1
6.在用户对应的虚接口下启用上传MAC地址的功能(此处为Portal无感知认证需要的命令)
portalmac-triggerenableperiod60threshold1024
命令说明:
periodperiod-value:
用户流量的统计周期,单位为秒,取值范围为60~7200,缺省值为300秒。
thresholdthreshold-value:
触发MAC快速认证的用户流量阈值,单位为字节,取值范围为0~10240000,缺省值为0,表示只要Portal用户有访问网络的流量产生,设备就立即触发MAC快速认证,且不允许用户在通过认证前有除免认证规则所允许的以外的流量通过接入设备。
该值越大,表示允许用户通过认证前可使用的流量越多,请根据网络流量的实际应用情况合理设置。
接入设备实时检测Portal用户的流量,在一个统计周期内,用户的流量达到设定的阈值之前,允许用户访问外部网络资源,一旦用户流量达到设定的阈值,则触发MAC快速认证。
若认证通过,则流量统计清零;若认证未通过,则在本统计周期内不会再次触发MAC快速认证,到本次统计周期结束时,流量统计清零,并重新开始重复以上过程。
第三部分:
验证配置
1.第一次使用智能终端通过浏览器访问网络,网页被重定向到Portal认证页面,然后输入用户名、密码等认证信息,进行认证并上线。
用户-接入用户管理-Portal无感知认证用户,可以查看该无感知认证用户。
2.用户下线后,再使用该智能终端访问网络,此时不需要输入用户名和密码可以直接上线。
3.正常情况下终端老化时长后智能终端将需要再次输入账号名和密码,终端老化时长如下位置进行设置。
终端老化时长:
一旦绑定终端的MAC地址,该终端再次接入网络,无需输入账号名和密码,系统会自动进行Portal认证,为了安全起见,系统会每天凌晨定时将绑定时间超过老化时长的MAC地址删除(解除MAC地址与帐号的绑定关系),这样该智能终端重新接入网络后,需要再次输入账号名和密码重新绑定。
老化时长设置为0天时,MAC地址将永远不老化。
默认设置为7天。
第四部分:
如何让非智能终端比如电脑也进行Portal无感知认证
如上图所示,win7电脑终端认证上线后默认是不会在无感知认证用户列表的。
点击Portal无感知认证用户下的“无感知认证特征管理”按钮,进入无感知认证特征管理页面,系统预置了大量常用HTTP特征,只有符合这些特征的终端才能进行无感知认证。
而电脑对应的终端特征不在此特征库中时,所以无法进行无感知认证。
1.增加电脑终端对应的HTTP特征,终端对应的HTTP特征获取方法可参考配置关键点说明。
2.用户-接入策略管理-业务参数配置-系统配置-终端管理参数下,需要启用“非智能终端Portal无感知认证”,此处稍微留意V7不同版本下此参数名称有可能不一样。
3.win7电脑终端再认证上线后,可以在Portal无感知认证用户列表中查看到。
四、配置关键点:
1.Portal无感知认证的iMC侧配置主要是在普通Portal认证的配置基础上增加如下三处配置:
1)Portal设备的端口组信息中无感知认证这一项必须选择“支持”
2)增加的接入服务中必须勾选“portal无感知认证”
3)增加的接入用户必须选择“Portal无感知认证最大绑定数”
2.Portal无感知认证特性必须保证认证设备支持,命令主要是portalmac-triggerserveripx.x.x.x和portalmac-triggerenable。
另外如果认证设备无法获取终端用户的MAC地址如三层Portal认证,也将无法使用Portal无感知认证功能。
3.HTTPUserAgent的获取方法
1)在已部署EIP组件的情况下,可通过用户-终端管理-识别特征管理过滤查询,如下所示通过操作系统中搜索windows即可查到windows7对应的HTTPUserAgent属性为WindowsNT6.1。
2)抓取客户端打开网页发出HTTP请求报文的抓包,获取HTTP报文中的User-Agent字段
4.用户>Portal无感知认证用户>无感知认证特征管理下增加HTTP特征值为all可以让非智能终端、新系统版本的智能终端即所有终端实现Portal无感知认证。