V7.1-iMC-EIA-Portal无感知认证的典型配置

1、精品文档V7.1 iMC EIA Portal无感知认证的典型配置一、 组网需求：在企业、学校或其他环境中使用智能终端进行 Portal 认证上线，并且在使用过程中可能会出现频繁的上线、下线操作。而 Portal 无感知认证是一种针对智能终端、无需输入用户名和密码即可上线的认证过程。 用户第一次使用智能终端时，通过浏览器上网产生流量， 设备会重定向到 Portal 认证页面。用户输入用户名、密码、服务等信息后上线， 服务器会将认证信息以及终端的 MAC地址保存到数据库中。当用户再次使用该智能终端访问网络产生流量时， 服务器自动使用该认证信息进行认证， 免去了用户输入认证信息上线的过程。 本案例

2、主要实现智能终端如何进行 Portal 无感知认证以及如何让非智能终端也实现 Portal 无感知认证。二、 组网图：无。版本： iMC EIA 7.1 E0302三、 配置步骤：第一部分： iMC 侧配置1. 增加接入设备用户 >接入策略管理 >接入设备管理 >接入设备配置，输入接入设备IP 地址，该 IP 地址需要与设备配置中 RADIUS scheme的NAS IP一致；如果设备未配置 NAS IP，则默认为接入设备与 UAM相连接口所在 VLAN的 IP 地址。1欢迎下载精品文档公共参数只需要输入共享密钥确认共享密钥“ admin”，选择设备类型 H3C（ Gener

3、al ），其他保持默认即可，认证端口和计费端口默认为 1812、1813，注意密钥、端口与设备配置保持一致。2. 增加接入策略用户 >接入策略管理 >接入策略管理， 因为不需要任何接入控制， 所以输入接入策略名“ 1130”，其他参数保持默认。3. 增加接入服务用户 >接入策略管理 >接入服务管理，输入服务名“ 1130”、服务后缀“ 55”，缺省接入策略选择之前配置的“ 1130”，勾选“ Portal 无感知认证”，其他参数保持默认即可。服务后缀、设备的 Domain和设备 Radius scheme中的命令这几个要素密切相关，具体的搭配关系请参见下表：。2欢迎下载

4、精品文档4. 增加接入用户用户 >接入用户，增加接入用户“ ouyanglu ”，选择“ Portal无感知认证最大绑定数”，如果选择“不支持绑定”，则该用户不能进行 Portal 无感知认证。选择其他数字均表示支持 Portal 无感知认证，且每个帐号绑定的终端数上限即为该参数的值，最后再绑定启用无感知认证的接入服务“ 1130”。5. 查看 Portal服务器配置。3欢迎下载精品文档这里有两个需要注意的地方：设备上配置的Portal server URL必须和此处的Portal 主页 URL保持一致；服务类型列表为可选性配置，如果配置服务类型，一定要注意服务类型标识必须与之前增加服务

5、的服务后缀相同， 而服务类型是对服务类型标识主观意识上的说明和区分。6. 增加需要无感知认证的终端 IP 地址组用户 >接入策略管理 >Portal 服务管理 >IP 地址组配置，增加 IP 地址组“ 55”, 对应用户网段。7. 增加 Portal设备用户 >接入策略管理 >Portal服务管理 >设备配置，增加Portal设备 IP 地址“”和密钥 确认密钥“ admin”，并选择组网方式直连，其他参数保持默认即可。三个注意点：第一，密钥必须与设备上配置的Portal 服务器密钥保持一致。第二，增加的 Portal 设备 IP 地址必须和设备上配置的Po

6、rtal nas-ip保持一致，设备上如果没有手工指定的话则Portal nas-ip默认为启用 Portal 认证的接口 IP地址。4欢迎下载精品文档第三，组网方式需要和设备上配置的Portal server xx method direct对应。其中认证的客户端 IP 如果和设备启用 Portal 认证的接口 IP 属于同网段则为直连方式，跨网段则为三层方式。8. 增加 Portal 设备的端口组信息Portal设备信息列表中，单击操作下的端口组信息管理图标，进入端口组信息配置页面，增加端口组“5004”，绑定之前配置的IP 地址组“ 55”，并注意无感知认证这一项选择“支持”，否则用户在

7、该端口组对应的端口上不能进行Portal无感知认证。第二部分：设备关键配置1. 创建 portal 认证使用的 radius scheme 55 ，认证端口、计费端口、共享密钥要与 UAM中增加接入设备时的配置保持一致。radius scheme 55server-type extendedkey authentication simple adminkey accounting simple admin2. 创建 domain 55 ，并配置使用该 domain 的认证、授权、计费请求都由上一步新建的 RADIUS方案 55 来处理。domain 55authentication porta

8、l radius-scheme 55authorization portal radius-scheme 55accounting portal radius-scheme 55domain default enable 55。5欢迎下载精品文档3. 配置 Portal服务器及重定向页面4. 配置终端 MAC地址上传给 EIA 服务器（此处为 Portal 无感知认证需要的命令）命令说明： MAC绑定服务器上记录了 Portal 用户的 MAC地址与 Portal 用户帐号的绑定关系，当 MAC绑定服务器接收到来自接入设备的 MAC绑定查询请求后， 会查询该 MAC地址是否与服务器上的 Por

9、tal 用户帐号绑定。如果已绑定，则 MAC 绑定服务器获取该用户的帐号信息， 并使用该用户的用户名和密码向接入设备直接发起 Portal 认证。5. 在用户对应的 VLAN虚接口下期启用 portal 认证interface Vlan-interface55portal server 55 method direct6. 在用户对应的虚接口下启用上传 MAC地址的功能（此处为 Portal 无感知认证需要的命令）portal mac-trigger enable period 60 threshold 1024命令说明： periodperiod-value：用户流量的统计周期，单位为秒，取

10、值范围为 60 7200，缺省值为 300 秒。 thresholdthreshold-value：触发快速认MAC证的用户流量阈值，单位为字节，取值范围为010240000，缺省值为0，表示只要 Portal 用户有访问网络的流量产生，设备就立即触发MAC快速认证，且不允许用户在通过认证前有除免认证规则所允许的以外的流量通过接入设备。该值越大，表示允许用户通过认证前可使用的流量越多， 请根据网络流量的实际应用情况合理设置。接入设备实时检测 Portal 用户的流量，在一个统计周期内，用户的流量达到设定的阈值之前， 允许用户访问外部网络资源， 一旦用户流量达到设定的阈值，则触发 MAC快速认证

11、。若认证通过，则流量统计清零；若认证未通过，则在本统计周期内不会再次触发 MAC快速认证，到本次统计周期结束时， 流量统计清零，并重新开始重复以上过程。第三部分：验证配置1. 第一次使用智能终端通过浏览器访问网络，网页被重定向到 Portal认证页面，。6欢迎下载精品文档然后输入用户名、密码等认证信息，进行认证并上线。用户 - 接入用户管理 -Portal无感知认证用户，可以查看该无感知认证用户。2. 用户下线后，再使用该智能终端访问网络， 此时不需要输入用户名和密码可以直接上线。3. 正常情况下终端老化时长后智能终端将需要再次输入账号名和密码，终端老化时长如下位置进行设置。终端老化时长： 一

12、旦绑定终端的MAC地址，该终端再次接入网络， 无需输入账号名和密码，系统会自动进行Portal认证，为了安全起见，系统会每天凌晨定时。7欢迎下载精品文档将绑定时间超过老化时长的MAC地址删除（解除 MAC地址与帐号的绑定关系），这样该智能终端重新接入网络后，需要再次输入账号名和密码重新绑定。老化时长设置为 0 天时， MAC地址将永远不老化。默认设置为7 天。第四部分：如何让非智能终端比如电脑也进行Portal无感知认证如上图所示， win7 电脑终端认证上线后默认是不会在无感知认证用户列表的。点击 Portal 无感知认证用户下的“无感知认证特征管理”按钮，进入无感知认证特征管理页面，系统预

13、置了大量常用 HTTP特征，只有符合这些特征的终端才能进行无感知认证。 而电脑对应的终端特征不在此特征库中时， 所以无法进行无感知认证。1. 增加电脑终端对应的 HTTP特征，终端对应的 HTTP特征获取方法可参考配置关键点说明。2. 用户 - 接入策略管理 - 业务参数配置 - 系统配置 - 终端管理参数下 ，需要启用“非智能终端 Portal 无感知认证” ，此处稍微留意 V7 不同版本下此参数名称有可能。8欢迎下载精品文档不一样。3.win7 电脑终端再认证上线后，可以在Portal无感知认证用户列表中查看到。四、 配置关键点：1.Portal无感知认证的 iMC侧配置主要是在普通Por

14、tal认证的配置基础上增加如下三处配置：1)Portal设备的端口组信息中无感知认证这一项必须选择“支持”2) 增加的接入服务中必须勾选“ portal 无感知认证”3) 增加的接入用户必须选择“ Portal 无感知认证最大绑定数”2.Portal无 感知认证 特性 必须 保证 认证设备 支持 ， 命令主要 是 portal和 portal mac-trigger enable 。另外如果认证设备无法获取终端用户的 MAC地址如三层 Portal 认证，也将无法使用 Portal 无感知认证功能。9欢迎下载精品文档3.HTTP User Agent 的获取方法1) 在已部署 EIP 组件的情况下，可通过用户 - 终端管理 - 识别特征管理过滤查询，如下所示通过操作系统中搜索 windows 即可查到 windows7 对应的 HTTP User Agent 属性为 Windows NT 6.1