V7.1iMCEIAPortal无感知认证的典型配置

1、V7.1 iMC EIA Portal无感知认证的典型配置一、 组网需求：在企业、学校或其他环境中使用智能终端进行Portal认证上线，并且在使用过程中可能会出现频繁的上线、下线操作。而Portal无感知认证是一种针对智能终端、无需输入用户名和密码即可上线的认证过程。用户第一次使用智能终端时，通过浏览器上网产生流量，设备会重定向到Portal认证页面。用户输入用户名、密码、服务等信息后上线，服务器会将认证信息以及终端的MAC地址保存到数据库中。当用户再次使用该智能终端访问网络产生流量时，服务器自动使用该认证信息进行认证，免去了用户输入认证信息上线的过程。本案例主要实现智能终端如何进行Porta

2、l无感知认证以及如何让非智能终端也实现Portal无感知认证。二、 组网图：无。版本：iMC EIA 7.1 E0303三、 配置步骤：第一部分：iMC侧配置1.增加需要无感知认证的终端IP地址组2.增加portal设备输入设备名“5004”、IP地址“”和密钥确认密钥“admin”，并选择组网方式直连，其他参数保持默认即可。几个注意点：1） 密钥必须与设备上配置的Portal服务器密钥保持一致。2） 增加的Portal设备IP地址必须和设备上配置的Portal nas-ip保持一致，设备上如果没有手工指定的话则Portal nas-ip默认为启用Portal认证的接口

3、IP地址。3） 组网方式需要和设备上配置的Portal server xx method direct对应。其中认证的客户端IP如果和设备启用Portal认证的接口IP属于同网段则为直连方式，跨网段则为三层方式。3.增加Portal设备的端口组信息，注意无感知认证这一项选择“支持”，否则用户在该端口组对应的端口上不能进行Portal无感知认证。4.查看Portal服务器配置这里有两个需要注意的地方：1） 设备上配置的Portal server URL必须和此处的Portal主页URL保持一致。2） 服务类型列表为可选配置，如果一定要配置的注意服务类型标识必须与之前增加服务的服务后缀相同。5.增

4、加接入设备输入接入设备IP地址，该IP地址需要与设备配置中RADIUS scheme的NAS IP一致；如果设备未配置NAS IP，则默认为接入设备与UAM相连接口所在VLAN的IP地址。本案例设备配置的NAS IP为。公共参数只需要输入共享密钥确认共享密钥“admin”，选择设备类型H3C（General），其他保持默认即可，认证端口和计费端口默认为1812、1813，注意密钥、端口与设备配置保持一致。6.增加接入策略，因为不需要任何接入控制，所以输入接入策略名“1130”，其他参数保持默认即可7.增加接入服务，此处必须勾选“portal无感知

5、认证”输入服务名“1130”、服务后缀“55”，缺省接入策略选择之前配置的“1130”，其他参数保持默认即可。服务后缀、设备的Domain和设备Radius scheme中的命令这几个要素密切相关，具体的搭配关系请参见下表：8.增加接入用户，选择“Portal无感知认证最大绑定数” ，如果选择“不支持绑定”，则该用户不能进行Portal无感知认证。选择其他数字均表示支持Portal无感知认证，且每个帐号绑定的终端数上限即为该参数的值，最后再绑定启用无感知认证服务。第二部分：设备关键配置1.AP注册、DHCP 、无线等相关配置略。2.创建portal认证使用的radius scheme 55ra

6、dius scheme 55 server-type extended primary authentication 20 primary accounting 20 key authentication simple admin key accounting simple admin nas-ip 3.创建domain 55，并配置使用该domain的认证、授权、计费请求都由上一步新建的RADIUS方案55来处理。domain 55 authentication portal radius-scheme 55 authori

7、zation portal radius-scheme 55 accounting portal radius-scheme 55domain default enable 554.配置Portal服务器及重定向页面http:/ 20/portalportal server 55 ip 20 key simple admin url 20:8080/portal server-type imc5.配置终端MAC地址上传给EIA服务器（此处为Portal无感知认证需要的命令）portal mac-trigger ser

8、ver ip 20命令说明：MAC绑定服务器上记录了Portal用户的MAC地址与Portal用户帐号的绑定关系，当MAC绑定服务器接收到来自接入设备的MAC绑定查询请求后，会查询该MAC地址是否与服务器上的Portal用户帐号绑定。如果已绑定，则MAC绑定服务器获取该用户的帐号信息，并使用该用户的用户名和密码向接入设备直接发起Portal认证。6.在用户对应的VLAN虚接口下期启用portal认证interface Vlan-interface55 ip address portal server 55 method

9、 direct portal nas-ip 7.在用户对应的虚接口下启用上传MAC地址的功能（此处为Portal无感知认证需要的命令） portal mac-trigger enable period 60 threshold 1024命令说明：period period-value：用户流量的统计周期，单位为秒，取值范围为607200，缺省值为300秒。threshold threshold-value：触发MAC快速认证的用户流量阈值，单位为字节，取值范围为010240000，缺省值为0，表示只要Portal用户有访问网络的流量产生，设备就立即触发MAC快速认证，且

10、不允许用户在通过认证前有除免认证规则所允许的以外的流量通过接入设备。该值越大，表示允许用户通过认证前可使用的流量越多，请根据网络流量的实际应用情况合理设置。接入设备实时检测Portal用户的流量，在一个统计周期内，用户的流量达到设定的阈值之前，允许用户访问外部网络资源，一旦用户流量达到设定的阈值，则触发MAC快速认证。若认证通过，则流量统计清零；若认证未通过，则在本统计周期内不会再次触发MAC快速认证，到本次统计周期结束时，流量统计清零，并重新开始重复以上过程。第三部分：验证配置 1. 第一次使用智能终端通过浏览器访问网络，网页被重定向到Portal认证页面，然后输入用户名、密码等认证信息，进

11、行认证并上线。 用户-接入用户管理-Portal无感知认证用户，可以查看该无感知认证用户。2.用户下线后，再使用该智能终端访问网络，此时不需要输入用户名和密码可以直接上线。3.正常情况下终端老化时长后智能终端将需要再次输入账号名和密码，终端老化时长如下位置进行设置。终端老化时长：一旦绑定终端的MAC地址，该终端再次接入网络，无需输入账号名和密码，系统会自动进行Portal认证，为了安全起见，系统会每天凌晨定时将绑定时间超过老化时长的MAC地址删除（解除MAC地址与帐号的绑定关系），这样该智能终端重新接入网络后，需要再次输入账号名和密码重新绑定。老化时长设置为0天时，MAC地址将永远不老化。默认

12、设置为7天。第四部分：如何让非智能终端比如电脑也进行Portal无感知认证如上图所示，win7电脑终端认证上线后默认是不会在无感知认证用户列表的。点击Portal无感知认证用户下的“无感知认证特征管理”按钮，进入无感知认证特征管理页面，系统预置了大量常用HTTP特征，只有符合这些特征的终端才能进行无感知认证。而电脑对应的终端特征不在此特征库中时，所以无法进行无感知认证。1.增加电脑终端对应的HTTP特征，终端对应的HTTP特征获取方法可参考配置关键点说明。2.用户-接入策略管理-业务参数配置-系统配置-终端管理参数下，需要启用“非智能终端Portal无感知认证”，此处稍微留意V7不同版本下此参

13、数名称有可能不一样。3.win7电脑终端再认证上线后，可以在Portal无感知认证用户列表中查看到。四、 配置关键点：1. Portal无感知认证的iMC侧配置主要是在普通Portal认证的配置基础上增加如下三处配置：1） Portal设备的端口组信息中无感知认证这一项必须选择“支持”2） 增加的接入服务中必须勾选“portal无感知认证”3） 增加的接入用户必须选择“Portal无感知认证最大绑定数”2.Portal无感知认证特性必须保证认证设备支持，命令主要是portal mac-trigger server ip x.x.x.x和portal mac-trigger enable。另外如果认证设备无法获取终端用户的MAC地址如三层Portal认证，也将无法使用Portal无感知认证功能。3.HTTP User Agent的获取方法1） 在已部署EIP组件的情况下，可通过用户-终端管理-识别特