HCNP-Security-CTSS V3 0培训教材HCSCP1306 Portal认证技术

1、HCSCP1306,AC-Campus,V5R1,V3.0,史晓健/wx296245,2017.09.11,王锐/wx163689,新开发,Portal认证技术,Portal认证不仅可以免客户端软件，满足像宾馆、酒店等公共场所访问网络的需求。还可以基于门户网站开展广告、社区服务、个性化的业务，使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。 本章主要介绍Portal认证的使用场景，配置部署以及故障处理。,学完本课程后，您将能够： 了解Portal认证技术原理及应用场景 掌握Portal认证技术的配置部署 掌握Portal认证技术的故障处理,Portal认证技术原理 Portal认

2、证技术配置部署 Portal认证技术故障处理,Portal认证简介,Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。用户上网时，必须在门户网站进行认证，只有认证通过后才可以使用网络资源。,Portal认证场景,Portal认证应用场景 Portal认证无需客户端支持，部署简单，广泛应用于园区网中。 用户部署安全管理组件，需要客户端支持，此时可采用具有客户端的Portal认证方式。,Portal认证方式,二层认证,三层认证,Portal认证上线流程,Portal认证上线流程,客户端主动注销Portal认证下线流程,Portal认证技术原理 Portal认证技术配置部

3、署 有线Portal认证技术配置部署 无线Portal认证技术配置部署 Portal认证技术故障处理,Portal认证使用场景,Web页面认证，方便管理，减少客户端维护工作量,便于业务运营和拓展，例如广告推送，企业宣传等,技术成熟，应用广泛，如运营商，连锁快餐，学校等,Portal认证：用户可以通过Web认证页面，输入用户帐号密码信息，进行身份认证。,有线Portal认证,某企业由于业务需要，需要部署一套身份认证系统，对公司员工接入网络进行准入控制，确保只有合法用户才能接入网络。员工的帐号全部在AD服务器上维护。,配置流程,网络互通基础数据配置,配置网络互通基础数据： 配置接入交换机VLAN和

4、IP地址。 配置汇聚交换机。 配置VLAN和IP地址。 配置网关IP地址，并启用DHCP。 配置到认证服务器网段的静态路由。 配置核心交换机。 配置VLAN和IP地址。 配置到终端网段的静态路由。,网络互通基础数据配置,配置网络互通基础数据： 配置接入交换机VLAN和IP地址。 配置汇聚交换机。 配置VLAN和IP地址。 配置网关IP地址，并启用DHCP。 配置到认证服务器网段的静态路由。 配置核心交换机。 配置VLAN和IP地址。 配置到终端网段的静态路由。,汇聚交换机RADIUS参数配置,配置RADIUS服务器模板和认证计费方案。,S5700 radius-server template

5、radius_template S5700-radius-radius_template radius-server authentication 0 1812 source ip-address 00 S5700-radius-radius_template radius-server accounting 0 1813 source ip-address 00 S5700-radius-radius_template radius-server shared-key cipher Admin

6、123 S5700 radius-server authorization 0 shared-key cipher Admin123 S5700 aaa S5700-aaa authentication-scheme auth_scheme /认证方案 S5700-aaa-authen-auth_scheme authentication-mode radius S5700-aaa accounting-scheme acco_scheme /计费方案 S5700-aaa-accounting-acco_scheme accounting-mode radius S57

7、00-aaa-accounting-acco_scheme accounting realtime 15 S5700-aaa domain default S5700-aaa-domain-default authentication-scheme auth_scheme S5700-aaa-domain-default accounting-scheme acco_scheme S5700-aaa-domain-default radius-server radius_template,汇聚交换机Portal服务器对接参数配置,配置与Portal服务器的对接参数。,S5700 web-aut

8、h-server portal_huawei S5700-web-auth-server-portal_huawei server-ip 0 S5700-web-auth-server-portal_huawei source-ip 00 S5700-web-auth-server-portal_huawei port 50200 S5700-web-auth-server-portal_huawei shared-key cipher Admin123 S5700-web-auth-server-portal_huawei url :8080

9、/portal S5700-web-auth-server-portal_huawei server-detect interval 100 max-times 5 critical-num 1 action log S5700-web-auth-server-portal_huawei user-sync interval 100 max-times 5 S5700 portal quiet-period S5700 portal quiet-times 5 S5700 portal timer quiet-period 240 S5700 web-auth-server listening

10、-port 2000 S5700 interface vlanif 101 S5700-Vlanif101 authentication portal S5700-Vlanif101 web-auth-server portal_huawei direct,汇聚交换机Portal服务器对接参数配置,配置与Portal服务器的对接参数。,S5700 web-auth-server portal_huawei S5700-web-auth-server-portal_huawei server-ip 0 S5700-web-auth-server-portal_huawei

11、 source-ip 00 S5700-web-auth-server-portal_huawei port 50200 S5700-web-auth-server-portal_huawei shared-key cipher Admin123 S5700-web-auth-server-portal_huawei url :8080/portal S5700-web-auth-server-portal_huawei server-detect interval 100 max-times 5 critical-num 1 action log S5700-web

12、-auth-server-portal_huawei user-sync interval 100 max-times 5 S5700 portal quiet-period S5700 portal quiet-times 5 S5700 portal timer quiet-period 240 S5700 web-auth-server listening-port 2000 S5700 interface vlanif 101 S5700-Vlanif101 authentication portal S5700-Vlanif101 web-auth-server portal_hua

13、wei direct,AC-Campus配置 添加设备,选择“资源 设备 设备管理”，单击“增加”，设置交换机设备的参数。,AC-Campus配置 认证授权,选择“策略 准入控制 认证授权 认证规则”，修改缺省认证规则或新建认证规则。 选择“策略 准入控制 认证授权 授权结果”，添加授权ACL。,AC-Campus配置 关联授权结果,选择“策略 准入控制 认证授权 授权规则”，关联授权结果，指定用户认证通过后允许访问的资源。,结果验证,终端用户在没有认证的情况下只能访问AC-Campus服务器、DNS服务器和AD服务器。 终端用户访问Internet，被重定向至Portal认证页面，输入用户名

14、密码认证通过后，自动跳转到访问的页面。 终端用户认证通过后可以访问Internet。 认证通过后，在交换机上执行命令display access-user，可以看到终端的在线信息。 在业务管理器选择“资源 用户 在线用户管理”，可以看到终端用户的在线信息。 在业务管理器选择“资源 用户 RADIUS日志”，可查到终端用户的RADIUS认证日志。,Portal认证技术原理 Portal认证技术配置部署 有线Portal认证技术配置部署 无线Portal认证技术配置部署 Portal认证技术故障处理,无线Portal认证,某企业（约1000人规模）由于业务需要，需要部署一套身份认证系统，对所有通过

15、无线接入企业网络的人员进行准入控制，确保只有合法用户才能接入网络。,配置流程,网络互通基础数据配置,配置网络互通基础数据： 配置接入交换机VLAN和IP地址。 配置汇聚交换机VLAN和IP地址。 配置AC。 配置VLAN和IP地址。 配置AC通过接口地址池为AP分配IP地址。 配置AC和服务器通信的缺省路由，报文默认转发到核心路由器。,网络互通基础数据配置,配置网络互通基础数据： 配置接入交换机VLAN和IP地址。 配置汇聚交换机VLAN和IP地址。 配置AC。 配置VLAN和IP地址。 配置AC通过接口地址池为AP分配IP地址。 配置AC和服务器通信的缺省路由，报文默认转发到核心路由器。,A

16、C设备RADIUS参数配置,配置RADIUS服务器模板和认证计费方案。,AC radius-server template radius_template AC-radius-radius_template radius-server authentication 0 1812 source ip-address 54 AC-radius-radius_template radius-server accounting 0 1813 source ip-address 54 AC-radius-radius

17、_template radius-server shared-key cipher Admin123 AC-radius-radius_template radius-server user-name original /设备向RADIUS服务器发送的用户名为用户原始输入的用户名 AC radius-server authorization 0 shared-key cipher Admin123 AC aaa AC-aaa authentication-scheme auth_scheme /认证方案 AC-aaa-authen-auth_scheme authent

18、ication-mode radius/认证方案必须为RADIUS AC-aaa accounting-scheme acco_scheme /计费方案 AC-aaa-accounting-acco_scheme accounting-mode radius /计费方案为RADIUS AC-aaa-accounting-acco_scheme accounting realtime 15,AC设备Portal服务器配置 (1/6),配置Portal认证页面URL地址，当用户未认证访问网络时，AC将用户的访问地址重定向到Portal服务器。,AC url-template name huawei

19、 AC-url-template-huawei url :8080/portal /为Portal服务器的主机名。,AC-url-template-huawei url-parameter ssid ssid redirect-url url,配置URL中携带的参数字段名称，和认证服务器保持一致,配置设备上处理Portal协议报文的端口号，默认为2000，如果修改此端口的值，在AC-Campus上添加AC设备时，也需要配置成修改后的端口号。,AC web-auth-server listening-port 2000,AC设备Portal服务器配置 (2/6),配置Portal服务器模板，包括

20、：Portal服务器IP地址、Portal服务器端口等。,AC web-auth-server portal_huawei AC-web-auth-server-portal_huawei server-ip 0 /配置Portal服务器的IP地址 AC-web-auth-server-portal_huawei source-ip 54 /配置设备和Portal服务器通信的IP地址 AC-web-auth-server-portal_huawei port 50200 /配置向Portal服务器主动发送报文时使用的目的端口号为50200,配置与Po

21、rtal服务器通信的共享密钥，和Portal服务器保持一致。,AC-web-auth-server-portal_huawei shared-key cipher Admin123 /配置与Portal服务器通信的共享密钥 AC-web-auth-server-portal_huawei url-template huawei /Portal服务器模板绑定URL模板 AC-web-auth-server-portal_huawei server-detect interval 100 max-times 5 critical-num 1 action log /使能Portal服务器探测功能

22、AC-web-auth-server-portal_huawei user-sync interval 100 max-times 5 /使能设备的用户信息同步功能,AC设备Portal服务器配置 (3/6),创建Portal接入模板，并在模板下绑定Portal服务器模板。,AC portal-access-profile name acc_portal_employee /创建员工的Portal接入模板 AC-portal-access-profile-acc_portal_employee web-auth-server portal_huawei direct /用户终端和AC之间为二层

23、组网，配置为direct方式，如果为三层组网，则为layer3 AC portal-access-profile name acc_portal_guest /创建访客的Portal接入模板 AC-portal-access-profile-acc_portal_guest web-auth-server portal_huawei direct,创建MAC接入模板，员工需要进行MAC优先的Portal认证。,AC mac-access-profile name acc_mac,AC设备Portal服务器配置 (4/6),配置用户认证前和认证后的访问规则。,AC free-rule-templ

24、ate name default_free_rule AC-free-rule-default_free_rule free-rule 1 destination ip mask 55 /配置portal认证的免认证规则，确保终端用户认证前能访问DNS服务器 AC-free-rule-default_free_rule free-rule 2 destination ip 00 mask 55 /配置portal认证的免认证规则，确保终端用户认证前能访问AD服务器 AC-free-rule-d

25、efault_free_rule free-rule 3 destination ip mask 55 /配置portal认证的免认证规则，确保终端用户认证前能访问DHCP服务器 AC acl 3001 /配置员工认证后域，可访问内网及Internet AC-acl-adv-3001 rule 5 permit ip AC acl 3002 /配置访客认证后域，可访问Internet AC-acl-adv-3002 rule 5 deny ip destination 00 55 /192.1

26、68.11.200为业务系统，不允许访客访问 AC-acl-adv-3002 rule 10 permit ip,AC设备Portal服务器配置 (5/6),配置Portal逃生。Portal服务器Down时，为用户授权用户组，实现用户能够访问认证后域。Portal服务器Up后，对用户进行重认证。,AC user-group group1 AC-user-group-group1 acl 3001 /group1对应员工认证后域 AC portal-access-profile name acc_portal_employee AC-portal-access-profile-acc_port

27、al_employee authentication event portal-server-down action authorize user-group group1 /配置员工在Portal服务器Down时的网络访问权限 AC-portal-access-profile-acc_portal_employee authentication event portal-server-up action re-authen /使能当Portal服务器状态由Down转变为Up时，设备对用户进行重认证 AC user-group group2 AC-user-group-group2 acl 3

28、002 /group1对应访客认证后域 AC portal-access-profile name acc_portal_guest AC-portal-access-profile-acc_portal_guest authentication event portal-server-down action authorize user-group group2 /配置访客在Portal服务器Down时的网络访问权限 AC-portal-access-profile-acc_portal_guest authentication event portal-server-up action r

29、e-authen,AC设备Portal服务器配置 (6/6),配置认证模板。员工需要启用MAC优先的Portal认证，所以需要与访客使用不同的认证模板。,AC authentication-profile name auth_portal_employee AC-authentication-profile-auth_portal_employee mac-access-profile acc_mac /员工启用MAC优先的Portal认证 AC-authentication-profile-auth_portal_employee portal-access-profile acc_port

30、al_employee AC-authentication-profile-auth_portal_employee authentication-scheme auth_scheme AC-authentication-profile-auth_portal_employee accounting-scheme acco_scheme AC-authentication-profile-auth_portal_employee radius-server radius_template AC-authentication-profile-auth_portal_employee free-r

31、ule-template default_free_rule AC authentication-profile name auth_portal_guest AC-authentication-profile-auth_portal_guest portal-access-profile acc_portal_guest AC-authentication-profile-auth_portal_guest authentication-scheme auth_scheme AC-authentication-profile-auth_portal_guest accounting-sche

32、me acco_scheme AC-authentication-profile-auth_portal_guest radius-server radius_template AC-authentication-profile-auth_portal_guest free-rule-template default_free_rule AC dhcp snooping enable AC device-sensor dhcp option 12 55 60 /配置终端类型感知功能，将DHCP报文中包含终端类型信息的Option字段，发送给认证服务器，认证服务器可以根据终端类型，推送合适的Po

33、rtal认证页面,AP上线配置 (1/2),创建AP组，用于将相同配置的AP都加入同一AP组中。,AC wlan AC-wlan-view ap-group name employee /员工AP组 AC-wlan-view ap-group name guest /访客AP组,创建域管理模板，在域管理模板下配置AC的国家码并在AP组下引用域管理模板。,AC-wlan-view regulatory-domain-profile name domain1 AC-wlan-regulatory-domain-prof-domain1 country-code cn AC-wlan-view ap

34、-group name employee AC-wlan-ap-group-employee regulatory-domain-profile domain1 Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continue?Y/N:y AC-wlan-view ap-group name guest AC-wlan-ap-group-guest regulatory-domain-profi

35、le domain1 Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continue?Y/N:y,AP上线配置 (2/2),配置AC的源接口。,AC capwap source interface vlanif 10,在AC上离线导入AP，并将AP加入AP组中。,AC wlan AC-wlan-view ap auth-mode mac-auth AC-wlan-view ap-id 0 ap

36、-mac 60de-4476-e360 AC-wlan-ap-0 ap-name ap_0 AC-wlan-ap-0 ap-group employee Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configurations of the radio, Whether to continue? Y/N:y AC-wlan-view ap-id 1 ap-mac 60de-4476-e380 AC-wl

37、an-ap-1 ap-name ap_1 AC-wlan-ap-1 ap-group guest Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configurations of the radio, Whether to continue? Y/N:y,AC设备业务参数配置 (1/3),创建的安全模板，并配置安全策略。,AC wlan AC-wlan-view security-profile name

38、 security_portal,创建SSID模板。,AC-wlan-view ssid-profile name wlan-ssid-employee AC-wlan-ssid-prof-wlan-ssid-employee ssid employee Warning: This action may cause service interruption. Continue?Y/Ny AC-wlan-view ssid-profile name wlan-ssid-guest AC-wlan-ssid-prof-wlan-ssid-guest ssid guest Warning: This

39、 action may cause service interruption. Continue?Y/Ny,AC设备业务参数配置 (2/3),建名VAP模板，配置业务数据转发模式、业务VLAN，并且引用安全模板、SSID模板和认证模板。,AC-wlan-view vap-profile name wlan-vap-employee AC-wlan-vap-prof-wlan-vap-employee forward-mode tunnel Warning: This action may cause service interruption. Continue?Y/Ny AC-wlan-vap

40、-prof-wlan-vap-employee service-vlan vlan-id 100 AC-wlan-vap-prof-wlan-vap-employee security-profile security_portal AC-wlan-vap-prof-wlan-vap-employee ssid-profile wlan-ssid-employee AC-wlan-vap-prof-wlan-vap-employee authentication-profile auth_portal_employee /绑定员工的认证模板 AC-wlan-view vap-profile n

41、ame wlan-vap-guest AC-wlan-vap-prof-wlan-vap-guest forward-mode tunnel Warning: This action may cause service interruption. Continue?Y/Ny AC-wlan-vap-prof-wlan-vap-guest service-vlan vlan-id 101 AC-wlan-vap-prof-wlan-vap-guest security-profile security_portal AC-wlan-vap-prof-wlan-vap-guest ssid-pro

42、file wlan-ssid-guest AC-wlan-vap-prof-wlan-vap-guest authentication-profile auth_portal_guest /绑定访客的认证模板,AC设备业务参数配置 (3/3),配置AP组引用VAP模板，AP上射频0和射频1都使用VAP模板的配置。,AC-wlan-view ap-group name employee AC-wlan-ap-group-employee vap-profile wlan-vap-employee wlan 1 radio 0 AC-wlan-ap-group-employee vap-profi

43、le wlan-vap-employee wlan 1 radio 1 AC-wlan-view ap-group name guest AC-wlan-ap-group-guest vap-profile wlan-vap-guest wlan 1 radio 0 AC-wlan-ap-group-guest vap-profile wlan-vap-guest wlan 1 radio 1,AC-Campus配置 添加设备,选择“资源 设备 设备管理”，单击“增加”，设置AC设备的参数。,AC-Campus配置 添加SSID,选择“策略 准入控制 策略元素 SSID”，单击“增加”，分别添

44、加员工和访客SSID。,AC-Campus配置 认证规则,选择“策略 准入控制 认证授权 认证规则”，修改缺省认证规则或新建认证规则。,AC-Campus配置 授权结果,选择“策略 准入控制 认证授权 授权结果”，分别添加员工和访客授权ACL。,AC-Campus配置 授权规则,选择“策略 准入控制 认证授权 授权规则”，关联授权结果，指定员工和访客认证通过后允许访问的资源。,AC-Campus配置 定制Portal推送页面,选择“策略 准入控制 页面定制 页面定制”。 设置页面基本信息。,启用MAC优先的Portal认证,选择“系统 终端参数配置 全局参数”，在“MAC优先的Portal认证

45、”页签下，启用“MAC优先的Portal认证”。,结果验证,Portal认证技术原理 Portal认证技术配置部署 Portal认证技术故障处理,Portal接入故障,Portal接入故障，请根据下面的流程图进行排查：,终端浏览器能否访问Portal认证的URL,在终端开启Wi-Fi。 运行操作系统自带的浏览器，尝试访问“http:/SC-IP:8080/portal”。 如果终端不能够正常访问“http:/SC-IP:8080/portal”，请检查业务控制器与终端之间是否能够正常通信。 如果终端能够正常访问“http:/SC-IP:8080/portal”，请依次检查： 检查交换机/AC的

46、Portal认证端口与AC-Campus认证端口是否一致。 检查终端与业务控制器之间的通信是否被防火墙拦截。 检查浏览器的代理服务器是否处于未启动状态。,SC与终端之间是否能够正常通信,获取终端的IP地址。 在业务控制器测试两者网络连接是否正常。 使用ping命令测试业务控制器与终端之间的网络连接是否正常。如果业务控制器与终端之间网络连接出现故障，则： 排查网络连接问题，例如检查网关、路由是否正确。 如果业务控制器与接入控制设备之间存在防火墙，则需要在防火墙上对两者交互使用的端口进行放行处理。 在业务控制器关闭Windows自带的防火墙。,检查SC本机能否访问Portal认证的URL,登录业务控制器所在的操作系统。 运行Internet Explorer，尝试访问“http:/SC-IP:8080/portal”。 如果Internet Explorer不能够访问“http:/SC-IP:8080/portal”，请检查业务控制器是否已启动。 如果