华为portal认证Word格式.docx
- 文档编号:16572614
- 上传时间:2022-11-24
- 格式:DOCX
- 页数:11
- 大小:43.48KB
华为portal认证Word格式.docx
《华为portal认证Word格式.docx》由会员分享,可在线阅读,更多相关《华为portal认证Word格式.docx(11页珍藏版)》请在冰豆网上搜索。
说明:
配置本举例之前,需确保网络中各设备之间已能互通。
操作步骤
创建VLAN并配置接口允许通过的VLAN,保证网络通畅。
#
创建VLAN10和VLAN20。
<
HUAWEI>
system-view
[HUAWEI]sysnameSwitch
[Switch]vlanbatch1020
配置Switch与用户连接的接口GE0/0/1为Access类型接口,并将GE0/0/1加入VLAN10。
[Switch]interfacegigabitethernet0/0/1
[Switch-GigabitEthernet0/0/1]portlink-typeaccess
[Switch-GigabitEthernet0/0/1]portdefaultvlan10
[Switch-GigabitEthernet0/0/1]quit
设备与用户连接的接口类型与接口加入的VLAN应以用户实际所属VLAN为准,此处假设所有的用户都被划分到VLAN10。
配置Switch连接RADIUS服务器的接口GE0/0/2为Access类型接口,并将GE0/0/2加入VLAN20。
[Switch]interfacegigabitethernet0/0/2
[Switch-GigabitEthernet0/0/2]portlink-typeaccess
[Switch-GigabitEthernet0/0/2]portdefaultvlan20
[Switch-GigabitEthernet0/0/2]quit
配置VLAN10和VLAN20对应的VLANIF接口的IP地址。
3.
[HUAWEI]interfacevlanif10
4.
[HUAWEI-Vlanif10]ipaddress192.168.3.124
[HUAWEI-Vlanif10]quit
[HUAWEI]interfacevlanif20
[HUAWEI-Vlanif20]ipaddress192.168.2.124
[HUAWEI-Vlanif20]quit
5.
创建并配置RADIUS服务器模板、AAA认证方案以及认证域。
创建并配置RADIUS服务器模板“rd1”。
[Switch]radius-servertemplaterd1
[Switch-radius-rd1]radius-serverauthentication192.168.2.301812
[Switch-radius-rd1]radius-servershared-keycipherHuawei@2012
[Switch-radius-rd1]quit
创建AAA方案“abc”并配置认证方式为RADIUS。
[Switch]aaa
[Switch-aaa]authentication-schemeabc
[Switch-aaa-authen-abc]authentication-moderadius
[Switch-aaa-authen-abc]quit
创建认证域“isp1”,并在其上绑定AAA认证方案“abc”与RADIUS服务器模板“rd1”。
[Switch-aaa]domainisp1
[Switch-aaa-domain-isp1]authentication-schemeabc
[Switch-aaa-domain-isp1]radius-serverrd1
[Switch-aaa-domain-isp1]quit
[Switch-aaa]quit
配置全局默认域为“isp1”。
用户进行接入认证时,以格式“user@isp1”输入用户名即可在isp1域下进行aaa认证。
如果用户名中不携带域名或携带的域名不存在,用户将会在默认域中进行认证。
[Switch]domainisp1
测试用户是否能够通过RADIUS模板的认证。
(已在RADIUS服务器上配置了测试用户test@,用户密码Huawei2012)
[Switch]test-aaatest@Huawei2012radius-templaterd1
Info:
Accounttestsucceed.
6.
配置Portal认证。
将NAC配置模式切换成传统模式。
[Switch]undoauthenticationunified-mode
[Switch]quit
Switch>
reboot
∙
缺省情况下,NAC配置模式为统一模式。
统一模式切换到传统模式后,管理员必须保存配置并重启设备,新配置模式的各项功能才能生效。
创建一个Loopback接口,并配置该Loopback接口的IP地址。
[HUAWEI]interfaceloopback6
[HUAWEI-LoopBack6]ipaddress192.168.1.3032
[HUAWEI-LoopBack6]quit
配置内置Portal服务器的IP地址。
[HUAWEI]portallocal-serverip192.168.1.30
配置打开内置Portal认证网页时所需的SSL策略。
[HUAWEI]sslpolicyhuawei
[HUAWEI-ssl-policy-huawei]certificateloadasn1-certservercert.derkey-pairdsakey-fileserverkey.der
[HUAWEI-ssl-policy-huawei]quit
为SSL策略加载证书时,需确保设备上已存在所需的证书文件和密钥对文件,否则加载不成功。
另外,证书文件和密钥对文件必须保存在系统根目录下名为security的子目录下,如果没有security目录,则需要创建此目录。
使能内置Portal认证功能。
[HUAWEI]portallocal-serverhttpsssl-policyhuawei
[HUAWEI]interfacevlanif10
[HUAWEI-Vlanif10]portallocal-serverenable
7.
验证配置结果。
a.
执行命令displayportallocal-server查看内置Portal认证的各项配置信息。
b.
用户打开浏览器输入任意的网络地址后,将会被重定向到Portal认证页面。
之后,用户可输入用户名和密码进行认证。
c.
如果用户输入的用户名和密码验证正确,Portal认证页面会显示认证成功信息。
用户即可访问网络。
d.
用户上线后,管理员可在设备上执行命令displayaccess-user查看在线Portal认证用户信息。
配置文件
Switch的配置文件
#
sysnameSwitch
vlanbatch1020
undoauthenticationunified-mode
domainisp1
portallocal-serverip192.168.1.30
portallocal-serverhttpsssl-policyhuawei
radius-servertemplaterd1
radius-servershared-keycipher%@%@BS'
$!
w:
u7H.lu:
/&
W9A5=pUt%@%@
radius-serverauthentication192.168.2.301812weight80
aaa
authentication-schemeabc
authentication-moderadius
domainisp1
radius-serverrd1
interfaceVlanif10
ipaddress192.168.3.1255.255.255.0
portallocal-serverenable
interfaceVlanif20
ipaddress192.168.2.1255.255.255.0
interfaceGigabitEthernet0/0/1
portlink-typeaccess
portdefaultvlan10
interfaceGigabitEthernet0/0/2
portlink-typeaccess
portdefaultvlan20
interfaceLoopBack6
ipaddress192.168.1.30255.255.255.255
sslpolicyhuawei
certificateloadasn1-certservercert.derkey-pairdsakey-fileserverkey.der
#
return
二、配置通过外置Portal认证控制企业内部用户访问网络示例
配置Portal认证组网图
为实现对用户网络访问权限进行限制的需求,在将IP地址为192.168.2.30的服务器用作RADIUS服务器后,管理员可在Switch上配置Portal认证功能,并且选取的Portal服务器的IP地址为192.168.2.20。
创建并配置RADIUS服务器模板、AAA方案以及ISP域,并在ISP域下绑定RADIUS服务器模板与AAA方案。
创建并配置Portal服务器模板,保证设备与Portal服务器的正常信息交互。
使能Portal认证功能,对接入用户进行Portal认证。
配置设备与Portal服务器信息交互的共享密钥,增强设备与Portal服务器信息交互安全性。
创建并配置名称为“abc”的Portal服务器模板。
[Switch]web-auth-serverabc
[Switch-web-auth-server-abc]server-ip192.168.2.20
[Switch-web-auth-server-abc]port50200
[Switch-web-auth-server-abc]urlhttp:
//192.168.2.20:
8080/webagent
[Switch-web-auth-server-abc]quit
请确保设备配置的端口号与Portal服务器使用的端口号保持一致。
使能Portal认证功能。
[Switch]interfacevlanif10
[Switch-Vlanif10]web-auth-serverabcdirect
[Switch-Vlanif10]quit
配置设备与Portal服务器信息交互的共享密钥为Huawei@123,并以密文形式显示。
[Switch-web-auth-server-abc]shared-keycipherHuawei@123
本举例中以用户采用静态分配IP地址方式为例。
如果用户采用DHCP方式获取IP地址,并且DHCP服务器处于Switch的上行网络,则需使用命令portalfree-rule创建免认证规则并且保证DHCP服务器处于免认证规则内。
另一方面,如果指向Portal服务器的URL需要DNS服务器解析,并且DNS服务器处于Switch的上行网络,则同样需创建免认证规则并且保证DNS服务器处于免认证规则内。
执行命令displayportal和displayweb-auth-serverconfiguration查看外置Portal认证的配置信息。
从显示信息中能够看到接口vlanif10下已绑定Portal服务器模板。
(web-auth-serverlayer2(direct))。
sysnameSwitch
vlanbatch1020
web-auth-serverabc
server-ip192.168.2.20
port50200
shared-keycipher%@%@TsYu#cg-R~+u'
])=,3Z!
R5Pv%@%@
urlhttp:
8080/webagent
aa
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 华为 portal 认证