H3C Portal认证配置举例-整本手册.pdf

H3CSecBladeIAG插卡Portal认证典型配置举例 关键词：PortalAAAIAG认证 摘要：本文主要介绍H3CSecBaldeIAG插卡Portal接入认证的典型配置.

缩略语： Abbreviations 继略语 Fu speing英文全名 Chinese explanation 中文解释 AAA Authentication Authorization Accounting 认证，授权，计费 AC Access Controller 访问控制器 AP Access Point 访问点 BAS Broad Access Server 宽带接入服务器 CHAP Challenge Handshake Authentication Protocol 挑战握手认证协议 WBAS Wireless Broad Access Server 无线宽带接入服务器 BAS-IP 通常是接入客户端接口IP DHCP Dynamic Host Configuration Protocol 动态主机配置协议 IAG Inteligent Application Gateway 智能应用网关 NAI Network Access Identifier 网络访问识别 NAS Network Access Server 网络访问服务器 NAS-IP 通常是接 portal server 的接口 IP RADIUS Remote Authentication Dial In User Serice 运程用户搜入服务 WLAN Wireless Local Area Network 无线本地网
目录 1 Portal简介 1.1Portal系统组成 L 1.2Portal认证方式 2 1.2.1二层认证方式.. 2 1.2.2三层认证方式. 2 1.直接认证方式.. 2 2.二次地址分配认证方式 2 3.跨网段Portal认证.. 2 2应用场合， 2 3配置举例. 3 3.1典型组网图 3 3.2使用版本. 4 3.3配置准备.. .5 3.4典型配置 5 3.4.1直接Portal认证（Radius服务器认证） .5 1.需求分析 .5 2.组网图. 5 3.配置步骤... .5 4.验证结果... 12 5.注意事项.. 13 3.4.2直接Portal认证（本地认证） ...13 1.需求分析 13 2.组网图 13 3.配置步骤.. 13 4.验证结果. 18 5.注意事项... 19 3.4.3直接Portal认证（IAG作为NAT网关） .19 1.需求分析.. 2.组网图 .19 3.典型配置步骤.. 19 4.验证结果 26 5.注意事项... 3.4.4直接Portal认证（模VLAN终结） ...27 1.需求分析 27 2.组网图 28
3.配置步骤. 28 4.验证结果.. 29 5.注意事项. 30 3.4.5直接Portal认证（同时配置802.1X混合认证） 31 1.需求分析， 31 2.组网图 .31 3.配置步骤. . 31 4.验证结果.. 33 5.注意事项. 37 3.4.6直接Portal认证（双机热备） 37 1.需求分析. 37 2.组网图 37 3.配置步骤 37 4.验证结果.. 41 5.注意事项. 42 3.4.7跨网段Portal认证 43 1.需求分析.. 43 2.组网图 43 3.配置步骤. 43 4.验证结果. 44 5.注意事项. 45
1Portal简介 Portal在英语中是入口的意思.

Portal认证通常也称为Web认证，一般将Portal认证网站称为门户 网站.

未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务.

当用户 需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资 源.

用户可以主动访间已知的Portal认证网站，输入用户名和密码进行认证，这种开始Portal认证 的方式称作主动认证.

反之，如果用户试图通过HTTP访问其他外网，将被强制访问Portal认证网 站，从而开始Portal认证过程，这种方式称作强制认证.

1.1Portal系统组成 Portal系统组成示意图 认证客户端 安全紫略服务器 认证客户端 楼入设备 Portal服务器 认证客户族 认证计费服务器 1.认证客户端 安装于用户终端的客户端系统，为运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的主 机.

对接入终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息交流完成的.

2.接入设备 交换机、路由器等宽带接入设备的统称，主要有三方面的作用： 在认证之前，将用户的HTTP请求都重定向到Portal服务器.

在认证过程中，与Portal服务器、安全策略服务器、认证/计费服务器交互，完成身份认证/ 安全认证计费的功能.

在认证通过后，允许用户访问被管理员授权的互联网资源.

3.Portal服务器 接收Portal客户端认证请求的服务器端系统，提供免费门户服务和基于Web认证的界面，与接入 设备交互认证客户端的认证信息.

4.认证/计费服务器 与接入设备进行交互，完成对用户的认证和计费.

5.安全策略服务器 与Portal客户端、接入设备进行交互，完成对用户的安全认证，并对用户进行授权操作.

以上五个基本要素的交互过程为：
（1）未认证用户访问网络时，在Web浏览器地址栏中输入一个互联网的地址，那么此HTTP请求在 经过接入设备时会被重定向到Portal服务器的 Web认证主页上：若需要使用Portal的扩展认证功 能，则用户必须使用Portal客户端.

(2)用户在认证主页/认证对话框中输入认证信息后提交，Portal服务器会将用户的认证信息传递给 接入设备： (3)然后接入设备再与认证/计费服务器通信进行认证和计费： (4）认证通过后，如果未对用户采用安全策略，则接入设备会打开用户与互联网的通路，允许用户 访问互联网：如果对用户采用了安全策略，则客户端、接入设备与安全策略服务器交互，对用户的 安全检测通过之后，安全策略服务器根据用户的安全性授权用户访问非受限资源.

1.2Portal认证方式 不同的组网方式下，可采用的Portal认证方式不同.

按照网络中实施Portal认证的网络层次来分， Portal的认证方式分为两种：二层认证方式和三层认证方式.

1.2.1二层认证方式 这种方式支持在接入设备连接用户的二层端口上开启Portal认证功能，只允许源MAC地址通过认 证的用户才能访问外部网络资源.

目前，该认证方式仅支持本地Portal认证，即接入设备作为本地 Portal服务器向用户提供Web认证服务.

1.2.2三层认证方式 这种方式支持在接入设备连接用户的三层接口上开启Portal认证功能.

三层接口Portal认证又可分 为三种不同的认证方式：直接认证方式、二次地址分配认证方式和可跨三层认证方式.

直接认证方 式和二次地址分配认证方式下，认证客户端和接入设备之间没有三层转发：可跨三层认证方式下， 认证客户端和接入设备之间可以跨接三层转发设备.

1.直接认证方式 用户在认证前通过手工配置或DHCP直接获取一个IP地址，只能访问Portal服务器，以及设定的 免费访问地址：认证通过后即可访问网络资源.

认证流程相对二次地址较为简单.

2.二次地址分配认证方式 用户在认证前通过DHCP获取一个私网IP地址，只能访问Portal服务器，以及设定的免费访间地 址：认证通过后，用户会申请到一个公网IP地址，即可访问网络资源，该认证方式解决了IP地址 规划和分配问题，对未认证通过的用户不分配公网IP地址.

例如运营商对于小区宽带用户只在访 问小区外部资源时才分配公网IP.

3.跨网段Portal认证 用户PC与IAG设备之间存在三层路由设备，用户进行Portal认证需要跨网段进行.

2应用场合 Portal业务可以为运营商提供方便的管理功能，门户网站可以开展广告、社区服务、个性化的业务 等，使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统.

2