V7.1-iMC-EIA-Portal无感知认证的典型配置

1、V7.1iMCEIAPortal无感知认证的典型配置一、组网需求：在企业、学校或其他环境中使用智能终端进行Portal认证上线，并且在使用过程中可能会出现频繁的上线、下线操作。而Portal无感知认证是一种针对智能终端、无需输入用户名和密码即可上线的认证过程。用户第一次使用智能终端时，通过浏览器上网产生流量，设备会重定向到Portal认证页面。用户输入用户名、密码、服务等信息后上线，服务器会将认证信息以及终端的MAO址保存到数据库中。当用户再次使用该智能终端访问网络产生流量时，服务器自动使用该认证信息进行认证，免去了用户输入认证信息上线的过程。本案例主要实现智能终端如何进行Portal无感知认

2、证以及如何让非智能终端也实现Portal无感知认证。二、组网图：无。版本：iMCEIA7.1E0302三、配置步骤：第一部分：iMC侧配置1 .增加接入设备手工*用户,接入策略管理接入设备管理接入设备配置，输入接入设备IP地址,该IP地址需要与设备配置中RADIUSschem的NASIP一致；如果设备未配置NASIP,则默认为接入设备与UAMi连接口所在VLANIP地址。甲星广*推声爷is西洋,4/近Kambes毗五人直播工.U认证口"I3IJtUIIIQ"1813晒不不足用福六珅，九目角血闺口灯mm叫下立毋妙.七制8，开333a.格区区建无滋名林r

3、iSBTFBHiI1S.TW公共参数只需要输入共享密钥确认共享密钥“admin”，选择设备类型H3c(General),其他保持默认即可，认证端口和计费端口默认为1812、1813,注意密钥、端口与设备配置保持一致。2 .增加接入策略用户接入策略管理接入策略管理，因为不需要任何接入控制，所以输入接入策略名“1130”，其他参数保持默认。/月产>现SRAAqrtSIARniiad得其的国下在SffiiKbpsJ上市WlKbpsJ酩&认11认珏甘书奥盟TWVLANTMVswPtcflk-下第KL3 .增加接入服务用户,接入策略管理接入服务管理，输入服务名“1130”、服务后缀“55”

4、，缺省接入策略选择之前配置的“1130”，勾选“Portal无感知认证”，其他参数保持默认即可。停用尸,殖«-唱界«ittf事人用存加耐电康房I雨肃服务后缀、设备的Domain和设备Radiusscheme中的命令这几个要素密切相关,具体的搭配关系请参见下表：jDefautt»er-name-fonri3t witMomainghuit Domainuserm 颦xiorm 流 witn-domain4.增加接入用户用户 接入用户，增加接入用户“ ouyanglu "，选择“ Portal无感知认证最大绑定数”，如果选择“不支持绑定”，则该用户不能进行P

5、ortal无感知认证。选择其他数字均表示支持Portal无感知认证，且每个帐号绑定的终端数上限即为该参数的值，最后再绑定启用无感知认证的接入服务“1130”好配¥的址Pcrtai Web7 甬 I 4二"射击风 dsef-nomfonnai wimout-domain5.查看Portal服务器配置除网户慢人量切 Pon:百生里里.鞋哥无 ¥如匕 11Mh5TJ&0I雁iSET长拓j 'Lg埠地Pnrtal=CT201411知师尸同尸宅*.画5t洋耳A事也事调S司直h国时性E分同缶E眼。不粳同可岳不梗冏不静用可中青幅的用E5不整交HB3E界mg际方式

6、庚虐w证用产三互展立标便目的？M昌彻址IAd周尸主祖才照户关m司归用，：”】¥11/1闻中鼻鼻1非尚力帆?前加卜物力.国21瓯1120:曲眦po谀告用于认通的口omatn设备Radmwheme中的命令«MC中加番党后量里到护这里有两个需要注意的地方：设备上配置的PortalserverURL必须和此处的Portal主页URL保持一致；服务类型列表为可选性配置，如果配置服务类型，一定要注意服务类型标识必须与之前增加服务的服务后缀相同，而服务类型是对服务类型标识主观意识上的说明和区分。6 .增加需要无感知认证的终端IP地址组用户,接入策略管理Portal服务管理IP地址组配置，

7、增加IP地址组“55”，对应用户网段。修.用户A用入的通3*WdPSMhfi看跣堡tmasbaIPiSttiaMI55始mg,1阳斑5工1曙止：揖让饵|电听四儿给时!S号外相7 .增力口Portal设备用户,接入策略管理Portal服务管理,设备配置，增加Portal设备IP地址“”和密钥确认密钥“admin”，并选择组网方式直连，其他参数保持默认即可。7.针*H/JEE笈配*锁0出奇凿moaM"设即名8一左-ParUl油IP*，192.16S,55.11认证注:工玄f下曲室工玄,1e京柠星户3t*STS-.廖祓言.士喇三个注意点：第一

8、，密钥必须与设备上配置的Portal服务器密钥保持一致。第二，增加的Portal设备IP地址必须和设备上配置的Portalnas-ip保持一致，设备上如果没有手工指定的话则Portalnas-ip默认为启用Portal认证的接口IP地址。第三，组网方式需要和设备上配置的Portalserverxxmethoddirect对应。其中认证的客户端IP如果和设备启用Portal认证的接口IP属于同网段则为直连方式，跨网段则为三层方式。8 .增加Portal设备的端口组信息Portal设备信息列表中，单击操作下的端口组信息管理图标，进入端口组信息配置页面，增加端口组“5004”，绑定之前配置的IP地址

9、组“55”，并注意无感知认证这一项选择“支持”，否则用户在该端口组对应的端口上不能进行Portal无感知认证。=田匚垢一事5DMfrtertin，0陆电aHnnn>ASrNAT -舌3右式，OHAPUkiZ心制收.IQ国mII元朝1认证1军门A >> %E廛究mA MUSfieia » tUMklNafff"工煦MGgWEI配Ai第二部分：设备关键配置1 .创建portal认证使用的radiusscheme55,认证端口、计费端口、共享密钥要与UAMfr增加接入设备时的配置保持一致。radiusscheme55server-typeextendedprim

10、aryauthentication20primaryaccounting20keyauthenticationsimpleadminkeyaccountingsimpleadminnas-ip2 .创建domain55,并配置使用该domain的认证、授权、计费请求都由上一步新建的RADIUS案55来处理。domain55authenticationportalradius-scheme55authorizationportalradius-scheme55accountingportalradius-scheme55doma

11、indefaultenable553 .配置Portal服务器及重定向页面http:/192.168.L120/portalPortalserver55ip20keysimpleadminurl20:8080/portalserver-typeimc4 .配置终端MAO址上传给EIA服务器（此处为Portal无感知认证需要的命令）portalmac-triggerserverip20命令说明：MAC?定服务器上记录了Portal用户的MAO址与Portal用户帐号的绑定关系，当MA®定服务器接收到来自接入设

12、备的MACS定查询请求后，会查询该MAO址是否与服务器上的Portal用户帐号绑定。如果已绑定，则MAC绑定服务器获取该用户的帐号信息，并使用该用户的用户名和密码向接入设备直接发起Portal认证。5 .在用户对应的VLAN虚接口下期启用portal认证interfaceVlan-interface55ipaddressportalserver55methoddirectportalnas-ip6 .在用户对应的虚接口下启用上传MAO址的功能（此处为Portal无感知认证需要的命令）portalmac-triggeren

13、ableperiod60threshold1024命令说明：periodperiod-value:用户流量的统计周期，单位为秒，取值范围为607200,缺省值为300秒。thresholdthreshold-value:触发MACft速认证的用户流量阈值，单位为字节，取值范围为010240000,缺省值为0,表示只要Portal用户有访问网络的流量产生，设备就立即触发MAO速认证，且不允许用户在通过认证前有除免认证规则所允许的以外的流量通过接入设备。该值越大，表示允许用户通过认证前可使用的流量越多，请根据网络流量的实际应用情况合理设置。接入设备实时检测Portal用户的流量，在一个统计周期内，

14、用户的流量达到设定的阈值之前，允许用户访问外部网络资源，一旦用户流量达到设定的阈值，则触发MAO速认证。若认证通过，则流量统计清零；若认证未通过，则在本统计周期内不会再次触发MACfe速认证，到本次统计周期结束时，流量统计清零，并重新开始重复以上过程。第三部分：验证配置1.第一次使用智能终端通过浏览器访问网络，网页被重定向到Portal认证页面,然后输入用户名、密码等认证信息，进行认证并上线曦母名?把最昌i再户胜W不意鸟畛的H :MAHKi 圈柞黑HUM懿” 11 轴555unglu11«201441-W IKTsSlg-H条已息., X VI 此< J Q = »

15、W *用户-接入用户管理-Portal无感知认证用户，可以查看该无感知认证用户幄»、布鼻由2.用户下线后，再使用该智能终端访问网络,此时不需要输入用户名和密码可以直接上线。二、E修堂S在住用户W .察户*本城用户 聿府忤住用户I3.正常情况下终端老化时长后智能终端将需要再次输入账号名和密码，终端老化时长如下位置进行设置。终端老化时长：一旦绑定终端的MAO址，该终端再次接入网络，无需输入账号名和密码，系统会自动进行Portal认证，为了安全起见，系统会每天凌晨定时将绑定时间超过老化时长的MAC4址删除（解除MAC4址与帐号的绑定关系），这样该智能终端重新接入网络后，需要再次输入账号名和

16、密码重新绑定。老化时长设置为0天时，MAO址将永远不老化。默认设置为7天。第四部分：如何让非智能终端比如电脑也进行Portal无感知认证11同U -胡E股二*虹入CJE累地在KE用口如上图所示，win7电脑终端认证上线后默认是不会在无感知认证用户列表的。点击Portal无感知认证用户下的“无感知认证特征管理”按钮，进入无感知认证特征管理页面，系统预置了大量常用HTTP#征，只有符合这些特征的终端才能进行无感知认证。而电脑对应的终端特征不在此特征库中时，所以无法进行无感知认证。1 .增加电脑终端对应的HTTF#征，终端对应的HTTF#征获取方法可参考配置关键点说明。2.用户-接入策略管理-业务参

17、数配置-系统配置-终端管理参数下，需要启用“非智能终端Portal无感知认证”，此处稍微留意V7不同版本下此参数名称有可能不一样。由星能*M克里如以证fiffi日用3.win7电脑终端再认证上线后，可以在 Portal无感知认证用户列表中查看到9Q 星广 » ESffin*岫在埋阳门4IB在向用户前S用尸法崎的a¥K aIf AffjM a2D1-4-11-3D H：ft27Mla-11-30 13-5*3? 12H-WK.201-4113U1130翻"11抑2电电SO4Hctuyonglu11HIflRria t国圣运晨.二的鹫1 - 2 P H yi JT,四

18、、配置关键点：I.Portal无感知认证的iMC侧配置主要是在普通Portal认证的配置基础上增加如下三处配置：1）Portal设备的端口组信息中无感知认证这一项必须选择“支持”2）增加的接入服务中必须勾选“portal无感知认证”3）增加的接入用户必须选择“Portal无感知认证最大绑定数”2 .Portal无感知认证特性必须保证认证设备支持，命令主要是portalmac-triggerserveripx.x.x.x和portalmac-triggerenable。另外如果认证设备无法获取终端用户的MACM址如三层Portal认证，也将无法使用Portal无感知认证功能。3 .HTTPUse

19、rAgent的获取方法1）在已部署EIP组件的情况下，可通过用户-终端管理-识别特征管理过滤查询，如下所示通过操作系统中搜索windows即可查到windows7对应的HTTPUserAgent属性为WindowsNT6.1。WindowsNT6.0吒WindowsVkta使用礴公司蚓nckwVhtaS作毛融扑入电脑国1Wirxfcwh|T6.1PCWindows7史品句Window门SfEJS坪忖人电的Winw¥NTGWindpmB国j._._._._F=b2）抓取客户端打开网页发出HTTP请求报文的抓包，获取HTTP报文中的User-Agent字段Na. P Tm2 Q.1U1M

20、1 7-0 O.4 51&G81 4Z G.47.BB9J 103 TM"T0 1aL,以7相 113 1.G90534 1LH l.fli-Ml? 154 3-522T7OSiHMioeLO.a.14.135 10.61. Z？l. 1D2 10. M. 11,135 10-61,10. U. 14.135ICLUi加1Id 疏1%1D5 10.GJ. 1C2Oe3n44M234.255r2$»,254ID.63.253.102 10.BB.L4-113 1&.6J,2SJ.102 lDritl4-ll5 10.GJ.253.102IQ. Aft.14.U

21、5 16后工箝工：W2 10.HB.14-11Sn*aM-5E4HJCH . HTlF.'l.iPD§T /u；T4Mir/p(3drHA-AT HTiF/l. L (appl 1 ca.T"lgrVK-HM-forii-ur 1 Bncodfld)HTTP/1.1 200 MGET .,Aetcu>it/Ger.<lw=ueCrt?5.edLiMumbEr- J1914_-lflL54i29ift http "1, 1HTTP/1-1 ?如 ns (TfiMT/hral JQLT .hB55 *gc. Geeljt c=tHc=s aqe?,

22、-1415B4413D121 HITr'. L.lHT7P/lu1 20U (H Cteat/htHl)T /ACCOUnr-rCKHfiJKCHinr ?ieiT Miiitwr - H31911 HTTP 1. 1_ 1 200 ftKHTTP HTTP220 5.KIZM57MTTPEE 霹霖罂MEM4"瓯 192，菰 194 9/妙开了 195 M蜘17 IM 5.517C21 201 S.2时 5.71M5510.41. 253 . IM10.35.14.X3S10.419 % 九 1旧10.瞌 IL 13510-61. 231.1Q210.B4.14.13510.

23、»i. 25J.1DQ l£I.Bdi. 14.135, IE，*， hl 10,加，1，1药 10. G3.253.ld2 10a HR,14.1O.63.?53.1O2 10.BB.14-1J5 10.B3.2S3.ldZ 10.B8.14.115 Id. 61.16.77HTTP/lrl Iflfl # 口电"/帆1M.5T /CusTow/PDsr HdiT ttfTTP/1.1 (appTl ca-TltirVK-RM-f om-ur 1 nncodaid)HTTP/l.1 JOO M0E.I /ACCOunU ,Get'Qu<&u

24、«&U!M?5.eaiTNuiJM!r» J1914_-U15fll41339M MTTP/1. 1MTTP/1. J. 200 MC tTaMT/hCH l>POET /Cailllnfo GeTPhomlnfo HTTP, 1.1HT7P/1. 1 MO M Cte?T/IH.Pil> get /"m r vied/serf CH>rd> nMnlaad/MriicIws httf/1.1FRfrarre(62Bbytesan什心.屋&tbytes-c-ipturcd)>tthvniKIT.Jfire:aD:4B!.lC!a±z>Ed:cSfidley),6fr