portal服务器配置详细手册.docx

i目录1 Portal配置. 1-11.1 Portal简介. 1-11.1.1 Portal概述. 1-11.1.2 Portal扩展功能. 1-11.1.3 Portal的系统组成. 1-11.1.4 使用本地Portal服务器的Portal认证系统. 1-31.1.5 Portal的认证方式. 1-41.1.6 Portal支持EAP认证（仅S5500-EI支持） . 1-41.1.7 二层Portal认证过程. 1-51.1.8 三层Portal认证过程（仅S5500-EI支持） . 1-61.1.9 Portal支持双机热备（仅S5500-EI支持） . 1-91.1.10 Portal支持多实例（仅S5500-EI支持）. 1-111.2 Portal配置任务简介. 1-111.3 配置准备. 1-121.4 指定Portal服务器. 1-131.4.1 指定二层Portal认证的本地Portal服务器监听IP地址. 1-131.4.2 指定三层Portal认证的Portal服务器. 1-141.5 配置本地Portal服务器. 1-141.5.1 自定义认证页面文件. 1-141.5.2 配置本地Portal服务器. 1-171.6 使能Portal认证. 1-181.6.1 使能二层Portal认证. 1-181.6.2 使能三层Portal认证. 1-181.7 控制Portal用户的接入. 1-191.7.1 配置免认证规则. 1-191.7.2 配置认证网段. 1-201.7.3 配置Portal最大用户数. 1-201.7.4 指定Portal用户使用的认证域. 1-211.7.5 配置允许触发Portal认证的Web代理服务器端口. 1-211.7.6 配置Portal用户认证端口的自动迁移功能. 1-221.8 配置Portal认证的Auth-Fail VLAN. 1-231.9 配置接口发送RADIUS报文的相关属性. 1-231.9.1 配置接口的NAS-Port-Type . 1-241.9.2 配置接口的NAS-ID Profile . 1-241.10 配置接口发送Portal报文使用的源地址. 1-251.11 配置Portal支持双机热备. 1-251.12 指定Portal用户认证成功后认证页面的自动跳转目的网站地址. 1-27ii1.13 配置Portal探测功能. 1-271.13.1 配置二层Portal用户在线检测功能. 1-271.13.2 配置三层Portal用户在线探测功能. 1-281.13.3 配置Portal服务器探测功能. 1-281.13.4 配置Portal用户信息同步功能. 1-291.14 强制Portal用户下线. 1-301.15 Portal显示和维护. 1-301.16 Portal典型配置举例. 1-311.16.1 Portal直接认证配置举例. 1-311.16.2 Portal二次地址分配认证配置举例. 1-351.16.3 可跨三层Portal认证配置举例. 1-371.16.4 Portal直接认证扩展功能配置举例. 1-381.16.5 Portal二次地址分配认证扩展功能配置举例. 1-401.16.6 可跨三层Portal认证方式扩展功能配置举例. 1-421.16.7 Portal支持双机热备配置举例. 1-441.16.8 Portal服务器探测和用户同步功能配置举例. 1-511.16.9 二层Portal认证配置举例. 1-551.17 常见配置错误举例. 1-591.17.1 接入设备和Portal服务器上的密钥不一致. 1-591.17.2 接入设备上服务器端口配置错误. 1-591-11 Portal 配置􀁺 目前，S5500 系列以太网交换机中，S5500-EI系列以太网交换机支持Portal的二层认证方式和三层认证方式；S5500-SI系列以太网交换机仅支持二层Portal认证方式。关于Portal认证方式的具体介绍请参见1.1.5 Portal的认证方式。􀁺 S5500 系列以太网交换机中，仅S5500-EI 系列交换机支持VPN 实例及相关参数配置。1.1 Portal 简介1.1.1 Portal 概述Portal 在英语中是入口的意思。Portal 认证通常也称为Web 认证，一般将Portal 认证网站称为门户网站。未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。用户可以主动访问已知的 Portal 认证网站，输入用户名和密码进行认证，这种开始Portal 认证的方式称作主动认证。反之，如果用户试图通过HTTP 访问其他外网，将被强制访问Portal 认证网站，从而开始Portal 认证过程，这种方式称作强制认证。Portal 业务可以为运营商提供方便的管理功能，门户网站可以开展广告、社区服务、个性化的业务等，使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。1.1.2 Portal 扩展功能Portal 的扩展功能主要是指通过强制接入终端实施补丁和防病毒策略，加强网络终端对病毒攻击的主动防御能力。具体扩展功能如下：􀁺 在 Portal 身份认证的基础上增加了安全认证机制，可以检测接入终端上是否安装了防病毒软件、是否更新了病毒库、是否安装了非法软件、是否更新了操作系统补丁等；􀁺 用户通过身份认证后仅仅获得访问部分互联网资源（受限资源）的权限，如病毒服务器、操作系统补丁更新服务器等；当用户通过安全认证后便可以访问更多的互联网资源（非受限资源）。1.1.3 Portal 的系统组成Portal的典型组网方式如图1-1所示，它由五个基本要素组成：认证客户端、接入设备、Portal服务器、认证/计费服务器和安全策略服务器。由于 Portal 服务器可以是接入设备之外的独立实体（仅S5500-EI 支持），也可以是存在于接入设备之内的内嵌实体，本文称之为“本地Portal 服务器”，因此下文中除对本地支持的Portal 服务器做特殊说明之外，其它所有Portal 服务器均指独立的Portal 服务器，请勿混淆。1-2图1-1 Portal 系统组成示意图认证客户端认证客户端认证客户端认证/计费服务器安全策略服务器接入设备Portal服务器1. 认证客户端安装于用户终端的客户端系统，为运行 HTTP/HTTPS 协议的浏览器或运行Portal 客户端软件的主机。对接入终端的安全性检测是通过Portal 客户端和安全策略服务器之间的信息交流完成的。2. 接入设备交换机、路由器等宽带接入设备的统称，主要有三方面的作用：􀁺 在认证之前，将认证网段内用户的所有 HTTP 请求都重定向到Portal 服务器。􀁺 在认证过程中，与Portal 服务器、安全策略服务器、认证/计费服务器交互，完成身份认证/安全认证/计费的功能。􀁺 在认证通过后，允许用户访问被管理员授权的互联网资源。3. Portal 服务器接收 Portal 客户端认证请求的服务器端系统，提供免费门户服务和基于Web 认证的界面，与接入设备交互认证客户端的认证信息。4. 认证/计费服务器与接入设备进行交互，完成对用户的认证和计费。5. 安全策略服务器与 Portal 客户端、接入设备进行交互，完成对用户的安全认证，并对用户进行授权操作。以上五个基本要素的交互过程为：(1) 未认证用户访问网络时，在Web 浏览器地址栏中输入一个互联网的地址，那么此HTTP 请求在经过接入设备时会被重定向到Portal 服务器的Web 认证主页上；若需要使用Portal 的扩展认证功能，则用户必须使用Portal 客户端。(2) 用户在认证主页/认证对话框中输入认证信息后提交，Portal 服务器会将用户的认证信息传递给接入设备；(3) 然后接入设备再与认证/计费服务器通信进行认证和计费；(4) 认证通过后，如果未对用户采用安全策略，则接入设备会打开用户与互联网的通路，允许用户访问互联网；如果对用户采用了安全策略，则客户端、接入设备与安全策略服务器交互，对用户的安全检测通过之后，安全策略服务器根据用户的安全性授权用户访问非受限资源。1-3􀁺 无论是 Web 客户端还是H3C iNode 客户端发起的Portal 认证，均能支持Portal 认证穿越NAT，即Portal 客户端位于私网、Portal 服务器位于公网，接入设备上启用NAT 功能的组网环境下，NAT 地址转换不会对Portal 认证造成影响。（仅S5500-EI 支持）􀁺 目前支持 Portal 认证的远端认证/计费服务器为RADIUS（Remote Authentication Dial-In UserService，远程认证拨号用户服务）服务器。􀁺 目前通过访问 Web 页面进行的Portal 认证不能对用户实施安全策略检查，安全检查功能的实现需要与H3C iNode 客户端配合。1.1.4 使用本地Portal 服务器的Portal 认证系统1. 系统组成本地Portal服务器功能是指，Portal认证系统中不采用外部独立的Portal服务器，而由接入设备实现Portal服务器功能。这种情况下，Portal认证系统仅包括三个基本要素：认证客户端、接入设备和认证/计费服务器，如图1-2所示。由于设备支持Web用户直接认证，因此就不需要部署额外的Portal服务器，增强了Portal认证的通用性。图1-2 使用本地Portal 服务器的Portal 系统组成示意图􀁺 使用本地 Portal 服务器的Portal 认证系统不支持Portal 扩展功能，因此不需要部署安全策略服务器。􀁺 内嵌本地 Portal 服务器的接入设备实现了简单的Portal 服务器功能，仅能给用户提供通过Web方式登录、下线的基本功能，并不能完全替代独立的Portal 服务器。2. 认证客户端和本地Portal 服务器之间的交互协议认证客户端和内嵌本地 Portal 服务器的接入设备之间可以采用HTTP 和HTTPS 协议通信。若客户端和接入设备之间交互HTTP 协议，则报文以明文形式传输，安全性无法保证；若客户端和接入设备之间交互HTTPS 协议，则报文基于SSL 提供的安全机制以密文的形式传输，数据的安全性有保障。3. 本地Portal 服务器支持用户自定义认证页面本地 Portal 服务器支持由用户自定义认证页面的内容，即允许用户编辑一套认证页面的HTML文件，并在压缩之后保存至设备的存储设备中。该套自定义页面中包括六个认证页面：登录页面、登录成功页面、在线页面、下线成功页面、登录失败页面和系统忙页面。本地Portal 服务器根据不同的认证阶段向客户端推出对应的认证页面，若不自定义，则分别推出系统提供的缺省认证页面。1-4关于认证页面文件的自定义规范请参见“1.5.1 自定义认证页面文件”。1.1.5 Portal 的认证方式不同的组网方式下，可采用的 Portal 认证方式不同。按照网络中实施Portal 认证的网络层次来分，Portal 的认证方式分为两种：二层认证方式和三层认证方式。1. 二层认证方式这种方式支持在接入设备连接用户的二层端口上开启 Portal 认证功能，只允许源MAC 地址通过认证的用户才能访问外部网络资源。目前，该认证方式仅支持本地Portal 认证，即接入设备作为本地Portal 服务器向用户提供Web 认证服务。另外，该方式还支持服务器下发授权VLAN 和将认证失败用户加入认证失败VLAN 功能（三层认证方式不支持）。2. 三层认证方式（仅S5500-EI 支持）这种方式支持在接入设备连接用户的三层接口上开启 Portal 认证功能。三层接口Portal 认证又可分为三种不同的认证方式：直接认证方式、二次地址分配认证方式和可跨三层认证方式。直接认证方式和二次地址分配认证方式下，认证客户端和接入设备之间没有三层转发；可跨三层认证方式下，认证客户端和接入设备之间可以跨接三层转发设备。(1) 直接认证方式用户在认证前通过手工配置或 DHCP 直接获取一个IP 地址，只能访问Portal 服务器，以及设定的免费访问地址；认证通过后即可访问网络资源。认证流程相对二次地址较为简单。(2) 二次地址分配认证方式用户在认证前通过 DHCP 获取一个私网IP 地址，只能访问Portal 服务器，以及设定的免费访问地址；认证通过后，用户会申请到一个公网IP 地址，即可访问网络资源。该认证方式解决了IP 地址规划和分配问题，对未认证通过的用户不分配公网IP 地址。例如运营商对于小区宽带用户只在访问小区外部资源时才分配公网IP。使用本地 Portal 服务器的Portal 认证不支持二次地址分配认证方式。(3) 可跨三层认证方式和直接认证方式基本相同，但是这种认证方式允许认证用户和接入设备之间跨越三层转发设备。对于以上三种认证方式，IP 地址都是用户的唯一标识。接入设备基于用户的IP 地址下发ACL 对接口上通过认证的用户报文转发进行控制。由于直接认证和二次地址分配认证下的接入设备与用户之间未跨越三层转发设备，因此接口可以学习到用户的MAC 地址，接入设备可以利用学习到MAC 地址增强对用户报文转发的控制粒度。1.1.6 Portal 支持EAP 认证（仅S5500-EI 支持）在对接入用户身份可靠性要求较高的网络应用中，传统的基于用户名和口令的用户身份验证方式存在一定的安全问题，基于数字证书的用户身份验证方式通常被用来建立更为安全和可靠的网络接入认证机制。1-5EAP（Extensible Authentication Protocol，可扩展认证协议）可支持多种基于数字证书的认证方式（例如EAP-TLS），它与Portal 认证相配合，可共同为用户提供基于数字证书的接入认证服务。图1-3 Portal 支持EAP 认证协议交互示意图如 图1-3所示，在Portal支持EAP认证的实现中，客户端与Portal服务器之间交互EAP认证报文，Portal服务器与接入设备之间交互携带EAP-Message属性的Portal协议报文，接入设备与RADIUS服务器之间交互携带EAP-Message属性的RADIUS协议报文，由具备EAP服务器功能的RADIUS服务器处理EAP-Message属性中封装的EAP报文，并给出EAP认证结果。整个EAP认证过程中，接入设备只是对Portal服务器与RADIUS服务器之间的EAP-Message属性进行透传，并不对其进行任何处理，因此接入设备上无需任何额外配置。􀁺 该功能仅能与 H3C iMC 的Portal 服务器以及H3C iNode Portal 客户端配合使用。􀁺 目前，仅使用远程 Portal 服务器的三层Portal 认证支持EAP 认证。1.1.7 二层Portal 认证过程1. 二层Portal 认证流程目前，二层 Portal 认证只支持本地Portal 认证，即由接入设备作为本地Portal 服务器向用户提供Web 认证服务，具体认证过程如下。图1-4 二层Portal 认证流程图(1) Portal 用户通过HTTP 或HTTPS 协议发起认证请求。HTTP 报文经过配置了本地Portal 服务器的接入设备的端口时会被重定向到本地Portal 服务器的监听IP 地址，本地Portal 服务器提供Web 页面供用户输入用户名和密码来进行认证。该本地Portal 服务器的监听IP 地址为接入设备上一个与用户之间路由可达的三层接口IP 地址（通常为Loopback 接口IP）。(2) 接入设备与RADIUS 服务器之间进行RADIUS 协议报文的交互，对用户身份进行验证。(3) 如果RADIUS 认证成功，则接入设备上的本地Portal 服务器向客户端发送登录成功页面，通知客户端认证（上线）成功。2. 支持下发授权VLAN二层Portal 认证支持服务器下发授权VLAN。当用户通过Portal 认证后，如果授权服务器上配置了下发VLAN 功能，那么服务器会将授权VLAN 信息下发给接入设备，由接入设备将认证成功的用户加入对应的授权VLAN 中，则端口上会生成该用户MAC 对应的MAC VLAN 表项，若该VLAN 不存在，则接入设备首先创建VLAN，而后将用户加入授权VLAN 中。通过支持下发授权 VLAN，可实现对已认证用户可访问网络资源的控制。1-63. 支持Auth-Fail VLANAuth-Fail VLAN 功能允许用户在认证失败的情况下，可以访问某一特定VLAN 中的资源，比如病毒补丁服务器，存储客户端软件或杀毒软件的服务器，进行升级客户端或执行其他一些用户升级程序。这个VLAN 称之为Auth-Fail VLAN。二层 Portal 认证支持基于MAC 的Auth-Fail VLAN，如果接入用户的端口上配置了Auth-Fail VLAN，则端口上会基于认证失败的MAC 地址生成相应的MAC VLAN 表项，认证失败的用户将会被加入Auth-Fail VLAN 中。加入Auth-Fail VLAN 中的用户可以访问该VLAN 中的非HTTP 资源，但用户的所有HTTP 访问请求会被重定向到接入设备上进行认证，若用户仍然没有通过认证，则将继续处于Auth-Fail VLAN 内；若认证成功，则回到加入Auth-Fail VLAN 之前端口所在的VLAN。处于Auth-Fail VLAN 中的用户，若在指定时间（默认90 秒）内无流量通过接入端口，则将离开该VLAN，回到端口的初始VLAN。用户加入授权 VLAN 或Auth-Fail VLAN 后，需要自动申请或者手动更新客户端IP 地址，以保证可以与授权VLAN 或Auth-Fail VLAN 中的资源互通。4. 支持ACL 下发ACL（Access Control List，访问控制列表）提供了控制用户访问网络资源和限制用户访问权限的功能。当用户上线时，如果服务器上配置了授权ACL，则设备会根据服务器下发的授权ACL 对用户所在端口的数据流进行控制；在服务器上配置授权ACL 之前，需要在设备上配置相应的规则。管理员可以通过改变服务器的授权ACL 设置或设备上对应的ACL 规则来改变用户的访问权限。1.1.8 三层Portal 认证过程（仅S5500-EI 支持）直接认证和可跨三层 Portal 认证流程相同。二次地址分配认证流程因为有两次地址分配过程，所以其认证流程和另外两种认证方式有所不同。1. 直接认证和可跨三层Portal 认证的流程（CHAP/PAP 认证方式）图1-5 直接认证/可跨三层Portal 认证流程图认证/计费服务器认证客户端Portal服务器接入设备（1）发起连接（2）CHAP认证交互（3）认证请求（5）认证应答（4）RADIUS协议的认证交互（6）通知用户上线成功（7）认证应答确认安全策略服务器（9）授权定时器（8）安全检测信息交互直接认证/可跨三层Portal 认证流程：(1) Portal 用户通过HTTP 协议发起认证请求。HTTP 报文经过接入设备时，对于访问Portal 服务器或设定的免费访问地址的HTTP 报文，接入设备允许其通过；对于访问其它地址的HTTP1-7报文，接入设备将其重定向到Portal 服务器。Portal 服务器提供Web 页面供用户输入用户名和密码来进行认证。(2) Portal 服务器与接入设备之间进行CHAP（Challenge Handshake Authentication Protocol，质询握手验证协议）认证交互。若采用PAP（Password Authentication Protocol，密码验证协议）认证则直接进入下一步骤。(3) Portal 服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备，同时开启定时器等待认证应答报文。(4) 接入设备与RADIUS 服务器之间进行RADIUS 协议报文的交互。(5) 接入设备向Portal 服务器发送认证应答报文。(6) Portal 服务器向客户端发送认证通过报文，通知客户端认证（上线）成功。(7) Portal 服务器向接入设备发送认证应答确认。(8) 客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全性是否合格，包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。(9) 安全策略服务器根据用户的安全性授权用户访问非受限资源，授权信息保存到接入设备中，接入设备将使用该信息控制用户的访问。步骤(8)、(9)为Portal 认证扩展功能的交互过程。2. 二次地址分配认证方式的流程（CHAP/PAP 认证方式）图1-6 二次地址分配认证方式流程图认证/计费服务器认证客户端Portal服务器接入设备（1