华为portal认证.docx
- 文档编号:3667771
- 上传时间:2022-11-24
- 格式:DOCX
- 页数:11
- 大小:43.48KB
华为portal认证.docx
《华为portal认证.docx》由会员分享,可在线阅读,更多相关《华为portal认证.docx(11页珍藏版)》请在冰豆网上搜索。
华为portal认证
一、配置通过内置Portal认证控制企业内部用户访问网络示例
组网需求
如图1所示,某公司内部大量用户终端通过Switch(作为接入设备)的接口GE0/0/1接入网络。
在该网络运行一段时间后,发现存在用户对网络进行攻击。
为确保网络的安全性,管理员需对用户终端的网络访问权限进行控制。
只有用户终端通过认证后,Switch才允许其访问Internet中的资源。
图1 配置内置Portal认证组网图
配置思路
为实现对用户网络访问权限进行限制的需求,在将IP地址为192.168.2.30的服务器用作RADIUS服务器后,管理员可在Switch上配置Portal认证功能。
由于设备资源紧张,管理员采用内置Portal服务器方式并将Switch中某一LoopBack接口的IP地址“192.168.1.30”配置为内置Portal服务器的IP地址。
具体配置思路如下(均在Switch上进行配置):
1. 创建并配置RADIUS服务器模板、AAA方案以及认证域,并在ISP域下绑定RADIUS服务器模板与AAA方案。
保证了Switch与RADIUS服务器之间的信息交互。
2. 配置内置Portal认证,使用户终端能够通过Portal认证方式接入网络。
说明:
配置本举例之前,需确保网络中各设备之间已能互通。
操作步骤
1. 创建VLAN并配置接口允许通过的VLAN,保证网络通畅。
# 创建VLAN10和VLAN20。
[HUAWEI]sysnameSwitch
[Switch]vlanbatch1020
# 配置Switch与用户连接的接口GE0/0/1为Access类型接口,并将GE0/0/1加入VLAN10。
[Switch]interfacegigabitethernet0/0/1
[Switch-GigabitEthernet0/0/1]portlink-typeaccess
[Switch-GigabitEthernet0/0/1]portdefaultvlan10
[Switch-GigabitEthernet0/0/1]quit
说明:
设备与用户连接的接口类型与接口加入的VLAN应以用户实际所属VLAN为准,此处假设所有的用户都被划分到VLAN10。
# 配置Switch连接RADIUS服务器的接口GE0/0/2为Access类型接口,并将GE0/0/2加入VLAN20。
[Switch]interfacegigabitethernet0/0/2
[Switch-GigabitEthernet0/0/2]portlink-typeaccess
[Switch-GigabitEthernet0/0/2]portdefaultvlan20
[Switch-GigabitEthernet0/0/2]quit
2. 配置VLAN10和VLAN20对应的VLANIF接口的IP地址。
3. [HUAWEI]interfacevlanif10
4. [HUAWEI-Vlanif10]ipaddress192.168.3.124
[HUAWEI-Vlanif10]quit
[HUAWEI]interfacevlanif20
[HUAWEI-Vlanif20]ipaddress192.168.2.124
[HUAWEI-Vlanif20]quit
5. 创建并配置RADIUS服务器模板、AAA认证方案以及认证域。
# 创建并配置RADIUS服务器模板“rd1”。
[Switch]radius-servertemplaterd1
[Switch-radius-rd1]radius-serverauthentication192.168.2.301812
[Switch-radius-rd1]radius-servershared-keycipherHuawei@2012
[Switch-radius-rd1]quit
# 创建AAA方案“abc”并配置认证方式为RADIUS。
[Switch]aaa
[Switch-aaa]authentication-schemeabc
[Switch-aaa-authen-abc]authentication-moderadius
[Switch-aaa-authen-abc]quit
# 创建认证域“isp1”,并在其上绑定AAA认证方案“abc”与RADIUS服务器模板“rd1”。
[Switch-aaa]domainisp1
[Switch-aaa-domain-isp1]authentication-schemeabc
[Switch-aaa-domain-isp1]radius-serverrd1
[Switch-aaa-domain-isp1]quit
[Switch-aaa]quit
# 配置全局默认域为“isp1”。
用户进行接入认证时,以格式“user@isp1”输入用户名即可在isp1域下进行aaa认证。
如果用户名中不携带域名或携带的域名不存在,用户将会在默认域中进行认证。
[Switch]domainisp1
# 测试用户是否能够通过RADIUS模板的认证。
(已在RADIUS服务器上配置了测试用户test@,用户密码Huawei2012)
[Switch]test-aaatest@Huawei2012radius-templaterd1
Info:
Accounttestsucceed.
6. 配置Portal认证。
# 将NAC配置模式切换成传统模式。
[Switch]undoauthenticationunified-mode
[Switch]quit
说明:
∙ 缺省情况下,NAC配置模式为统一模式。
∙ 统一模式切换到传统模式后,管理员必须保存配置并重启设备,新配置模式的各项功能才能生效。
# 创建一个Loopback接口,并配置该Loopback接口的IP地址。
[HUAWEI]interfaceloopback6
[HUAWEI-LoopBack6]ipaddress192.168.1.3032
[HUAWEI-LoopBack6]quit
# 配置内置Portal服务器的IP地址。
[HUAWEI]portallocal-serverip192.168.1.30
# 配置打开内置Portal认证网页时所需的SSL策略。
[HUAWEI]sslpolicyhuawei
[HUAWEI-ssl-policy-huawei]certificateloadasn1-certservercert.derkey-pairdsakey-fileserverkey.der
[HUAWEI-ssl-policy-huawei]quit
说明:
为SSL策略加载证书时,需确保设备上已存在所需的证书文件和密钥对文件,否则加载不成功。
另外,证书文件和密钥对文件必须保存在系统根目录下名为security的子目录下,如果没有security目录,则需要创建此目录。
# 使能内置Portal认证功能。
[HUAWEI]portallocal-serverhttpsssl-policyhuawei
[HUAWEI]interfacevlanif10
[HUAWEI-Vlanif10]portallocal-serverenable
[HUAWEI-Vlanif10]quit
7. 验证配置结果。
a. 执行命令displayportallocal-server查看内置Portal认证的各项配置信息。
b. 用户打开浏览器输入任意的网络地址后,将会被重定向到Portal认证页面。
之后,用户可输入用户名和密码进行认证。
c. 如果用户输入的用户名和密码验证正确,Portal认证页面会显示认证成功信息。
用户即可访问网络。
d. 用户上线后,管理员可在设备上执行命令displayaccess-user查看在线Portal认证用户信息。
配置文件
Switch的配置文件
#
sysnameSwitch
#
vlanbatch1020
#
undoauthenticationunified-mode
#
domainisp1
#
portallocal-serverip192.168.1.30
portallocal-serverhttpsssl-policyhuawei
#
radius-servertemplaterd1
radius-servershared-keycipher%@%@BS'$!
w:
u7H.lu:
/&W9A5=pUt%@%@
radius-serverauthentication192.168.2.301812weight80
#
aaa
authentication-schemeabc
authentication-moderadius
domainisp1
authentication-schemeabc
radius-serverrd1
#
interfaceVlanif10
ipaddress192.168.3.1255.255.255.0
portallocal-serverenable
interfaceVlanif20
ipaddress192.168.2.1255.255.255.0
#
interfaceGigabitEthernet0/0/1
portlink-typeaccess
portdefaultvlan10
#
interfaceGigabitEthernet0/0/2
portlink-typeaccess
portdefaultvlan20
#
interfaceLoopBack6
ipaddress192.168.1.30255.255.255.255
#
sslpolicyhuawei
certificateloadasn1-certservercert.derkey-pairdsakey-fileserverkey.der
#
return
二、配置通过外置Portal认证控制企业内部用户访问网络示例
组网需求
如图1所示,某公司内部大量用户终端通过Switch(作为接入设备)的接口GE0/0/1接入网络。
在该网络运行一段时间后,发现存在用户对网络进行攻击。
为确保网络的安全性,管理员需对用户终端的网络访问权限进行控制。
只有用户终端通过认证后,Switch才允许其访问Internet中的资源。
图1 配置Portal认证组网图
配置思路
为实现对用户网络访问权限进行限制的需求,在将IP地址为192.168.2.30的服务器用作RADIUS服务器后,管理员可在Switch上配置Portal认证功能,并且选取的Portal服务器的IP地址为192.168.2.20。
具体配置思路如下(均在Switch上进行配置):
1. 创建并配置RADIUS服务器模板、AAA方案以及ISP域,并在ISP域下绑定RADIUS服务器模板与AAA方案。
保证了Switch与RADIUS服务器之间的信息交互。
2. 配置Portal认证。
a. 创建并配置Portal服务器模板,保证设备与Portal服务器的正常信息交互。
b. 使能Portal认证功能,对接入用户进行Portal认证。
c. 配置设备与Portal服务器信息交互的共享密钥,增强设备与Portal服务器信息交互安全性。
说明:
配置本举例之前,需确保网络中各设备之间已能互通。
操作步骤
1. 创建VLAN并配置接口允许通过的VLAN,保证网络通畅。
# 创建VLAN10和VLAN20。
[HUAWEI]sysnameSwitch
[Switch]vlanbatch1020
# 配置Switch与用户连接的接口GE0/0/1为Access类型接口,并将GE0/0/1加入VLAN10。
[Switch]interfacegigabitethernet0/0/1
[Switch-GigabitEthernet0/0/1]portlink-typeaccess
[Switch-GigabitEthernet0/0/1]portdefaultvlan10
[Switch-GigabitEthernet0/0/1]quit
说明:
设备与用户连接的接口类型与接口加入的VLAN应以用户实际所属VLAN为准,此处假设所有的用户都被划分到VLAN10。
# 配置Switch连接RADIUS服务器的接口GE0/0/2为Access类型接口,并将GE0/0/2加入VLAN20。
[Switch]interfacegigabitethernet0/0/2
[Switch-GigabitEthernet0/0/2]portlink-typeaccess
[Switch-GigabitEthernet0/0/2]portdefaultvlan20
[Switch-GigabitEthernet0/0/2]quit
2. 创建并配置RADIUS服务器模板、AAA认证方案以及认证域。
# 创建并配置RADIUS服务器模板“rd1”。
[Switch]radius-servertemplaterd1
[Switch-radius-rd1]radius-serverauthentication192.168.2.301812
[Switch-radius-rd1]radius-servershared-keycipherHuawei@2012
[Switch-radius-rd1]quit
# 创建AAA方案“abc”并配置认证方式为RADIUS。
[Switch]aaa
[Switch-aaa]authentication-schemeabc
[Switch-aaa-authen-abc]authentication-moderadius
[Switch-aaa-authen-abc]quit
# 创建认证域“isp1”,并在其上绑定AAA认证方案“abc”与RADIUS服务器模板“rd1”。
[Switch-aaa]domainisp1
[Switch-aaa-domain-isp1]authentication-schemeabc
[Switch-aaa-domain-isp1]radius-serverrd1
[Switch-aaa-domain-isp1]quit
[Switch-aaa]quit
# 配置全局默认域为“isp1”。
用户进行接入认证时,以格式“user@isp1”输入用户名即可在isp1域下进行aaa认证。
如果用户名中不携带域名或携带的域名不存在,用户将会在默认域中进行认证。
[Switch]domainisp1
# 测试用户是否能够通过RADIUS模板的认证。
(已在RADIUS服务器上配置了测试用户test@,用户密码Huawei2012)
[Switch]test-aaatest@Huawei2012radius-templaterd1
Info:
Accounttestsucceed.
3. 配置Portal认证。
# 将NAC配置模式切换成传统模式。
[Switch]undoauthenticationunified-mode
[Switch]quit
说明:
∙ 缺省情况下,NAC配置模式为统一模式。
∙ 统一模式切换到传统模式后,管理员必须保存配置并重启设备,新配置模式的各项功能才能生效。
# 创建并配置名称为“abc”的Portal服务器模板。
[Switch]web-auth-serverabc
[Switch-web-auth-server-abc]server-ip192.168.2.20
[Switch-web-auth-server-abc]port50200
[Switch-web-auth-server-abc]urlhttp:
//192.168.2.20:
8080/webagent
[Switch-web-auth-server-abc]quit
说明:
请确保设备配置的端口号与Portal服务器使用的端口号保持一致。
# 使能Portal认证功能。
[Switch]interfacevlanif10
[Switch-Vlanif10]web-auth-serverabcdirect
[Switch-Vlanif10]quit
# 配置设备与Portal服务器信息交互的共享密钥为Huawei@123,并以密文形式显示。
[Switch]web-auth-serverabc
[Switch-web-auth-server-abc]shared-keycipherHuawei@123
[Switch-web-auth-server-abc]quit
说明:
本举例中以用户采用静态分配IP地址方式为例。
如果用户采用DHCP方式获取IP地址,并且DHCP服务器处于Switch的上行网络,则需使用命令portalfree-rule创建免认证规则并且保证DHCP服务器处于免认证规则内。
另一方面,如果指向Portal服务器的URL需要DNS服务器解析,并且DNS服务器处于Switch的上行网络,则同样需创建免认证规则并且保证DNS服务器处于免认证规则内。
4. 验证配置结果。
a. 执行命令displayportal和displayweb-auth-serverconfiguration查看外置Portal认证的配置信息。
从显示信息中能够看到接口vlanif10下已绑定Portal服务器模板。
(web-auth-serverlayer2(direct))。
b. 用户打开浏览器输入任意的网络地址后,将会被重定向到Portal认证页面。
之后,用户可输入用户名和密码进行认证。
c. 如果用户输入的用户名和密码验证正确,Portal认证页面会显示认证成功信息。
用户即可访问网络。
d. 用户上线后,管理员可在设备上执行命令displayaccess-user查看在线Portal认证用户信息。
配置文件
Switch的配置文件
#
sysnameSwitch
#
vlanbatch1020
#
undoauthenticationunified-mode
#
domainisp1
#
radius-servertemplaterd1
radius-servershared-keycipher%@%@BS'$!
w:
u7H.lu:
/&W9A5=pUt%@%@
radius-serverauthentication192.168.2.301812weight80
#
web-auth-serverabc
server-ip192.168.2.20
port50200
shared-keycipher%@%@TsYu#cg-R~+u'])=,3Z!
R5Pv%@%@
urlhttp:
//192.168.2.20:
8080/webagent
#
aa
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 华为 portal 认证
![提示](https://static.bdocx.com/images/bang_tan.gif)