一. Portal认证流程
华三的Portal认证整个过程共有六个设备参与,客户端,接入设备,portal-web服务器,portal认证服务器,AAA(radius)服务器,安全策略服务器。一般情况下,porta-web服务器和portal认证服务器是同一台设备,称之为portal服务器(portal-server)。本次示例中,portal服务器和AAA服务器均由IMC服务器集成到一台服务器中,称之为EIA服务器或者IMC。Portal认证成功后,客户端和安全策略服务器交互,本例中不涉及此步骤,所以不考虑安全策略服务器。接入设备又称为portal设备。如果开启了基于MAC地址的快速认证,IMC服务器又充当MAC地址服务器的角色。
如图所示,portal认证的整体流程简单的分为三步:
a) 客户端和portal server通过HTTP/HTTPS交互,将用户名密码发给portal server。
b) Portal server和接入设备通过portal协议交互,将用户名密码等信息发给接入设备。
c) 接入设备通过radius协议,和radius服务器认证,授权,计费。
二. 配置portal认证流程简介
配置流程如图所示
2.1终端配置
用户可以直接打开Endpoint上的浏览器进行认证;也可以安装完iNode客户端后,根据向导创建Portal认证连接并进行认证,注意,哑终端管理员无法控制,不能主动发起web流量触发portal认证,所有哑终端不适用portal认证,可在接入设备上配置portal free-rule规则放行哑终端流量。
2.2交换机配置
接入设备常用的配置命令:
portal free-rule 配置portal免认证规则
portal free-all except destination 配置目的认证网段
portal authorization { acl | user-profile } strict-checking开启Portal授权信息的严格检查模式
portal user-detect type { arp | icmp } 开启Portal用户在线探测功能
server-detect [ timeout timeout ] { log | trap } 开启Portal认证服务器的可达性探测功能
user-sync timeout timeout 开启Portal用户信息同步功能
portal fail-permit server server-name 开启Portal认证服务器不可达时的Portal用户逃生功能
portal fail-permit web-server 开启Portal Web服务器不可达时的Portal用户逃生功能
portal bas-ip ipv4-address 配置发送给Portal认证服务器的IPv4 Portal报文的BAS-IP属性
portal delete-user 强制指定的在线Portal用户或所有在线Portal用户下线
portal host-check enable 开启无线Portal客户端合法性检查功能
portal user-logoff after-client-offline enable 开启无线Portal用户自动下线功能
2.3 IMC的详细配置
IMC的配置可分为两部分,radius认证功能和portal认证功能
配置流程如下图所示
2.3.1.radius认证功能
Radius中模块名称解释:
l 接入设备:portal认证过程中的接入设备,radius协议(C/S架构)认证流程中,接入设备充当client角色。将接入设备添加到EIA中,确保接入设备与EIA进行正常的RADIUS报文交互。
l 私有属性下发策略:当接入设备为第三方厂商的设备时,EIA支持将设备厂商扩展的radius私有属性添加到EIA中。私有属性下发策略用于配置私有属性下发的时机和下发的具体值。
l 接入条件:接入条件是指终端用户连接网络时所处的环境,包括时间、地点、所使用的终端、连接的网络类型等。EIA通过接入条件对用户进行区分,分组管理。和接入策略,接入服务等模块不同,接入条件不是一个具体的模块,而是由许多子模块构成。
l 接入策略:接入策略是针对终端用户的各种控制方法的统称,一般指授权。EIA可以对从不同场景接入的用户应用不同的接入策略。
l 接入场景:定义了终端用户各种接入条件下使用的接入策略,将接入条件和接入策略绑定,然后接入服务调用接入场景。
l 接入服务:接入服务是接入策略的集合,即针对各个接入条件配置具体的接入策略。
l 接入用户:接入用户主要包含接入网络的帐号/密码和服务。接入用户认证和在线时,都受到服务中各种策略的限制。
l 安全检查和内网外联控制:这两个是IMC EAD功能,请参见iMC EAD管理员指导书,本例不做详细说明。
各个模块的调用关系,如下图
说明:
Ø 配置接入设备时,共享秘钥,认证/计费端口与接入设备的配置保持一致,接入设备的IP地址与接入设备上nas-ip命令配置的地址一致
Ø 接入用户需要和平台用户相关联
Ø 接入条件的各个子项之间为“与”关系,即只有终端用户接入时与所有子项匹配,才表示终端用户属于当前接入场景。
Ø 接入场景的优先级从上到下依次降低。终端用户的接入场景有可能符合列表中的多个接入场景,此时优先级最高接入场景中的接入策略对用户进行控制。单帐号最大绑定终端数,单帐号在线数量限制这两个常用选项在此配置
Ø 配置接入服务时,服务后缀选项不是必选,但十分重要,终端用户进行认证时,服务后缀用于区分不同的服务。如图
2.3.2portal认证功能
Portal中各模块功能解释
l Portal服务器:在EIA中配置Portal服务器,即把EIA配置成对外提供Portal认证服务的服务器,使得EIA可以接收和处理终端用户的Portal认证报文
l Portal IP地址组:在Portal认证中,通过IP地址组和Portal设备的端口组共同确定终端用户可以接入网络的范围
l Portal设备:是与Portal服务器配合完成终端用户Portal认证的设备,和上文2.3.1radius认证功能中的接入设备为同一设备
l Portal设备端口组:在Portal认证中,通过IP地址组和Portal设备的端口组共同确定终端用户是否可以接入网络
各模块调用关系,如下图
说明:
Ø Portal IP地址组和portal设备端口组绑定,共同决定了客户端接入网络的IP地址范围,即用户通过设备A接入网络,则用户必须使用A关联的IP地址组内的IP才能通过认证。
Ø 配置portal服务器时,服务类型选项和用户的后缀,接入服务的后缀相关,如图所示
客户端web认证页面
用户在输入用户名时,需要输入用户名和服务后缀(格式为X@Y,Y即服务后缀),为了方便用户的操作,用户在web页面中输入用户名并选择服务类型,portal服务器会自动将服务类型对应的服务类型标识和用户名组合成X@Y格式,发送给接入设备。
Ø 配置portal设备时,IP地址和秘钥需要与接入设备上bas-ip命令和portal服务器秘钥保持一致。
Ø 配置portal设备时,默认组网方式是三层,要与实际组网方式保持一致。
Ø 配置端口组时,认证方式默认是PAP,要与实际组网一致,通常为CHAP
2.3.3工作流程说明
a) 客户端发起web流量触发portal认证
b) 用户在web认证页面输入用户名密码,并选择服务类型,如图
c) Portal服务器检查用户的IP地址位于哪个IP地址组范围,并通过IP地址组的端口组的绑定关系决定用户属于哪个接入设备
d) Portal服务器收到用户提交的信息后,自动把服务类型对应的服务类型标识和用户名组合成X@Y格式,连同其他信息发送给接入设备,Y可以为空
e) 接入设备根据X@Y的Y值,查找认证域,通过认证域中配置的radius服务器认证,Y为空则用默认认证域,根据自身的配置决定是否发送Y值
f) Radius服务器(EIA)收到接入设备发送来的X@Y,根据Y值找到对应的接入服务(EIA上配置用户时,需要绑定接入服务,接入服务的后缀名决定了用户的后缀名),根据接入场景的优先级,依次匹配用户是否符合接入条件,如符合则通过绑定的接入策略控制用户,都不符合则用接入服务定义的默认接入策略控制,Y为空则用接入后缀为空的接入服务。搭配关系详见下表:
2.3.4 EIA的授权配置
授权信息在接入策略中配置,如下图:
l 上行、下行速率:根据设定的上下行速率来限制用户使用该规则上网时的上传、下载速率。
l 单次最大在线时长(分钟):使用该策略的接入帐号认证成功后可在线的最长时间,单位为分钟。该参数默认值为空,表示不限制;最小值为1,最大值为1440。如果帐号在线时间超过该参数值,EIA则强制该用户下线。
l 下发VLAN:用户认证通过后将只能访问该VLAN的内部资源。
l 下发User Profile:将用户配置文件名称下发给设备,实现基于用户的QoS功能。只有下发设备上已经配置完成了User Profile,User Profile才生效。
l 下发ACL:设置向用户下发的访问控制列表,方式有多钟,见图:
实际应用中常用手工输入和接入ACL列表方式
l 离线检查时长:哑终端用户认证通过后向设备下发该参数,设备以该参数作为时间间隔周期性检测哑终端,如果在周期内未收到哑终端的报文,则断开该哑终端的连接并通知RADIUS服务器该哑终端用户已下线。该参数为空时,表示不检测;时长必须为整数,范围为[0,596523]。该参数只适用于哑终端。
其它参数实际应用中使用不多,详细信息可参考相关文档
2.3.5根据用户分组控制用户
接入条件中选项,都是IMC预先定义好的用户分组条件,为了更加灵活的对用户管理,管理员可手动配置为用户组绑定接入策略。
Ø 系统参数“按用户分组申请服务”配置成“启用”
Ø 接入场景配置中,为服务指定用户分组区域,选中需要申请该服务的用户分组
注意:
1) 分组的用户将在第二天凌晨自动申请该服务
2) 为服务指定用户分组区域只有系统参数“按用户分组申请服务”配置成“启用”时才会出现
2.3.6接入用户详解
iMC EIA提供了统一管理接入用户的平台,并将用户分为:普通接入用户、哑终端用户、LDAP用户和访客。各类用户对不同功能的支持情况不同,哑终端用户不支持portal接入认证。管理员选择用户类型时,推荐按照以下流程选择,如图
用户类型不同,认证时的优先级也不同
Ø 普通接入用户的状态分为正常(正式用户)和预开户两种,预开户用户无法进行认证,不占用license;正式用户可以进行认证,占用license。批量导入预开户用户的典型应用场景如下:某学校计划招收一批新生,操作员先将新生导入为预开户用户。新生报到时,只需将预开户用户转正即可,简化了新生报到当场的开户流程。而未报到的新生,直接将对应的预开户用户删除即可。
Ø 普通接入用户可设为预注销状态,此类用户无法进行认证,但仍然占用license,有些用户暂时不再使用网络,但是无法确定一段时间后是否还要继续使用网络。如果直接将此类用户删除,则再次在EIA中增加用户时需要花费一定的工作量。而恢复预注销操作可能直接将预注销用户还原为正常用户。
三. 配置Portal基于MAC地址的快速认证
3.1 快速认证简介
Portal无感知认证主要用于简化终端用户使用智能终端(如智能手机等)进行纯网页Portal认证的过程。终端用户使用某个终端第一次进行纯网页Portal认证时,Portal网关将强制推出认证页面,终端用户输入正确的用户名和密码后认证成功。第一次认证成功后,如果终端满足以下所有条件,Portal服务器将该终端MAC地址与认证时使用的用户及服务进行绑定,并记录在Portal无感知认证用户列表中。
终端需要满足的条件:
l 终端用户设置为可以绑定用于Portal无感知认证的终端,且已绑定的终端数量未达上限。
l 终端用户使用的服务启用了Portal无感知认证功能。
l 终端用户Portal认证时使用的端口组启用了无感知认证功能。
l 终端的特征符合无感知认证特征。
基于MAC的快速认证是一种特殊的portal认证,首先要完成配置portal认证,然后在EIA,接入设备,终端分别完成相关配置。
3.2 EIA中的配置
1) 接入服务中启用portal无感知认证,系统默认启用如图:
2) 配置portal设备组网方式为直连,由于portal设备需要获取用户的MAC地址,所有组网方式只能选择直连,如下图:
3) 配置portal设备端口组,支持无感知认证,默认不支持,如下图:
4) 配置终端管理参数
5) 配置终端老化策略
3.3 接入设备配置
接入设备上启用启用mac trigger功能,增加下面两条命令
1) portal mac-trigger-server server-name
ip ipv4-address [ key { cipher | simple } string ]
IP地址为EIA地址
2) 启用了Portal认证的端口视图下:
portal apply mac-trigger-server server-name
3.4 终端配置
用户在Endpoint第一次认证时,必须使用纯Web网页认证
四. Portal访客认证
基于portal的访客认证,工作流程为:
1. 访客用户在web页面选择注册访客,填写个人信息,然后等待访客管理员审批
2. 访客管理员登录访客自助服务平台,对预注册访客完成正式注册
3. 访客管理员将预注册访客正式注册后,访客即可在Portal认证页面输入帐号名密码进行认证接入
由以上流程可知IMC的访客管理有以下特点:
u 访客需要自己注册,然后由管理员审批,可以配置成来访人员预注册访客后自动转正,即访客简易注册功能。
u 访客在注册信息时,需要选择访客管理员,由该管理员审批
u 访客功能只需要在EIA中配置即可,接入设备不做修改
EIA的具体配置可参考相关配置文档