portal服務(wù)器配置詳細(xì)手冊(cè)

i目錄1Portal配置..........................................................................................................................................1-11.1Portal簡(jiǎn)介..........................................................................................................................................1-11.1.1Portal概述...............................................................................................................................1-11.1.2Portal擴(kuò)展功能........................................................................................................................1-11.1.3Portal的系統(tǒng)組成....................................................................................................................1-1使用本地Portal效勞器的Portal認(rèn)證系統(tǒng).................................................................................1-31.1.5Portal的認(rèn)證方式....................................................................................................................1-41.1.6Portal支持EAP認(rèn)證〔僅S5500-EI支持〕...............................................................................1-4二層Portal認(rèn)證過(guò)程................................................................................................................1-5三層Portal認(rèn)證過(guò)程〔僅S5500-EI支持〕...............................................................................1-61.1.9Portal支持雙機(jī)熱備〔僅S5500-EI支持〕...............................................................................1-91.1.10Portal支持多實(shí)例〔僅S5500-EI支持〕...............................................................................1-111.2Portal配置任務(wù)簡(jiǎn)介.........................................................................................................................1-111.3配置準(zhǔn)備..........................................................................................................................................1-121.4指定Portal效勞器.............................................................................................................................1-13指定二層Portal認(rèn)證的本地Portal效勞器監(jiān)聽(tīng)I(yíng)P地址.............................................................1-13指定三層Portal認(rèn)證的Portal效勞器.......................................................................................1-141.5配置本地Portal效勞器.....................................................................................................................1-14自定義認(rèn)證頁(yè)面文件.............................................................................................................1-14配置本地Portal效勞器...........................................................................................................1-171.6使能Portal認(rèn)證................................................................................................................................1-18使能二層Portal認(rèn)證...............................................................................................................1-18使能三層Portal認(rèn)證...............................................................................................................1-181.7控制Portal用戶(hù)的接入.....................................................................................................................1-19配置免認(rèn)證規(guī)那么....................................................................................................................1-19配置認(rèn)證網(wǎng)段........................................................................................................................1-20配置Portal最大用戶(hù)數(shù)...........................................................................................................1-20指定Portal用戶(hù)使用的認(rèn)證域................................................................................................1-21配置允許觸發(fā)Portal認(rèn)證的Web代理效勞器端口...................................................................1-21配置Portal用戶(hù)認(rèn)證端口的自動(dòng)遷移功能..............................................................................1-221.8配置Portal認(rèn)證的Auth-FailVLAN....................................................................................................1-231.9配置接口發(fā)送RADIUS報(bào)文的相關(guān)屬性............................................................................................1-23配置接口的NAS-Port-Type...................................................................................................1-24配置接口的NAS-IDProfile....................................................................................................1-241.10配置接口發(fā)送Portal報(bào)文使用的源地址..........................................................................................1-251.11配置Portal支持雙機(jī)熱備................................................................................................................1-251.12指定Portal用戶(hù)認(rèn)證成功后認(rèn)證頁(yè)面的自動(dòng)跳轉(zhuǎn)目的網(wǎng)站地址......................................................1-27ii1.13配置Portal探測(cè)功能.......................................................................................................................1-27配置二層Portal用戶(hù)在線檢測(cè)功能.......................................................................................1-27配置三層Portal用戶(hù)在線探測(cè)功能.......................................................................................1-28配置Portal效勞器探測(cè)功能..................................................................................................1-28配置Portal用戶(hù)信息同步功能..............................................................................................1-291.14強(qiáng)制Portal用戶(hù)下線.......................................................................................................................1-301.15Portal顯示和維護(hù)...........................................................................................................................1-301.16Portal典型配置舉例.......................................................................................................................1-311.16.1Portal直接認(rèn)證配置舉例.....................................................................................................1-311.16.2Portal二次地址分配認(rèn)證配置舉例.......................................................................................1-35可跨三層Portal認(rèn)證配置舉例..............................................................................................1-371.16.4Portal直接認(rèn)證擴(kuò)展功能配置舉例.......................................................................................1-381.16.5Portal二次地址分配認(rèn)證擴(kuò)展功能配置舉例........................................................................1-40可跨三層Portal認(rèn)證方式擴(kuò)展功能配置舉例........................................................................1-421.16.7Portal支持雙機(jī)熱備配置舉例..............................................................................................1-441.16.8Portal效勞器探測(cè)和用戶(hù)同步功能配置舉例........................................................................1-51二層Portal認(rèn)證配置舉例.....................................................................................................1-551.17常見(jiàn)配置錯(cuò)誤舉例.........................................................................................................................1-59接入設(shè)備和Portal效勞器上的密鑰不一致............................................................................1-59接入設(shè)備上效勞器端口配置錯(cuò)誤.........................................................................................1-591-11Portal配置目前，S5500系列以太網(wǎng)交換機(jī)中，S5500-EI系列以太網(wǎng)交換機(jī)支持Portal的二層認(rèn)證方式和三層認(rèn)證方式；S5500-SI系列以太網(wǎng)交換機(jī)僅支持二層Portal認(rèn)證方式。關(guān)于Portal認(rèn)證方式的具體介紹請(qǐng)參見(jiàn)1.1.5Portal的認(rèn)證方式。S5500系列以太網(wǎng)交換機(jī)中，僅S5500-EI系列交換機(jī)支持VPN實(shí)例及相關(guān)參數(shù)配置。1.1Portal簡(jiǎn)介1.1.1Portal概述Portal在英語(yǔ)中是入口的意思。Portal認(rèn)證通常也稱(chēng)為Web認(rèn)證，一般將Portal認(rèn)證網(wǎng)站稱(chēng)為門(mén)戶(hù)網(wǎng)站。未認(rèn)證用戶(hù)上網(wǎng)時(shí)，設(shè)備強(qiáng)制用戶(hù)登錄到特定站點(diǎn)，用戶(hù)可以免費(fèi)訪問(wèn)其中的效勞。當(dāng)用戶(hù)需要使用互聯(lián)網(wǎng)中的其它信息時(shí)，必須在門(mén)戶(hù)網(wǎng)站進(jìn)行認(rèn)證，只有認(rèn)證通過(guò)后才可以使用互聯(lián)網(wǎng)資源。用戶(hù)可以主動(dòng)訪問(wèn)的Portal認(rèn)證網(wǎng)站，輸入用戶(hù)名和密碼進(jìn)行認(rèn)證，這種開(kāi)始Portal認(rèn)證的方式稱(chēng)作主動(dòng)認(rèn)證。反之，如果用戶(hù)試圖通過(guò)訪問(wèn)其他外網(wǎng)，將被強(qiáng)制訪問(wèn)Portal認(rèn)證網(wǎng)站，從而開(kāi)始Portal認(rèn)證過(guò)程，這種方式稱(chēng)作強(qiáng)制認(rèn)證。Portal業(yè)務(wù)可以為運(yùn)營(yíng)商提供方便的管理功能，門(mén)戶(hù)網(wǎng)站可以開(kāi)展廣告、社區(qū)效勞、個(gè)性化的業(yè)務(wù)等，使寬帶運(yùn)營(yíng)商、設(shè)備提供商和內(nèi)容效勞提供商形成一個(gè)產(chǎn)業(yè)生態(tài)系統(tǒng)。1.1.2Portal擴(kuò)展功能Portal的擴(kuò)展功能主要是指通過(guò)強(qiáng)制接入終端實(shí)施補(bǔ)丁和防病毒策略，加強(qiáng)網(wǎng)絡(luò)終端對(duì)病毒攻擊的主動(dòng)防御能力。具體擴(kuò)展功能如下：在Portal身份認(rèn)證的根底上增加了平安認(rèn)證機(jī)制，可以檢測(cè)接入終端上是否安裝了防病毒軟件、是否更新了病毒庫(kù)、是否安裝了非法軟件、是否更新了操作系統(tǒng)補(bǔ)丁等；用戶(hù)通過(guò)身份認(rèn)證后僅僅獲得訪問(wèn)局部互聯(lián)網(wǎng)資源〔受限資源〕的權(quán)限，如病毒效勞器、操作系統(tǒng)補(bǔ)丁更新效勞器等；當(dāng)用戶(hù)通過(guò)平安認(rèn)證后便可以訪問(wèn)更多的互聯(lián)網(wǎng)資源〔非受限資源〕。1.1.3Portal的系統(tǒng)組成Portal的典型組網(wǎng)方式如圖1-1所示，它由五個(gè)根本要素組成：認(rèn)證客戶(hù)端、接入設(shè)備、Portal效勞器、認(rèn)證/計(jì)費(fèi)效勞器和平安策略效勞器。由于Portal效勞器可以是接入設(shè)備之外的獨(dú)立實(shí)體〔僅S5500-EI支持〕，也可以是存在于接入設(shè)備之內(nèi)的內(nèi)嵌實(shí)體，本文稱(chēng)之為“本地Portal效勞器〞，因此下文中除對(duì)本地支持的Portal效勞器做特殊說(shuō)明之外，其它所有Portal效勞器均指獨(dú)立的Portal效勞器，請(qǐng)勿混淆。1-2圖1-1Portal系統(tǒng)組成示意圖認(rèn)證客戶(hù)端認(rèn)證客戶(hù)端認(rèn)證客戶(hù)端認(rèn)證/計(jì)費(fèi)效勞器平安策略效勞器接入設(shè)備Portal效勞器1.認(rèn)證客戶(hù)端安裝于用戶(hù)終端的客戶(hù)端系統(tǒng)，為運(yùn)行/S協(xié)議的瀏覽器或運(yùn)行Portal客戶(hù)端軟件的主機(jī)。對(duì)接入終端的平安性檢測(cè)是通過(guò)Portal客戶(hù)端和平安策略效勞器之間的信息交流完成的。2.接入設(shè)備交換機(jī)、路由器等寬帶接入設(shè)備的統(tǒng)稱(chēng)，主要有三方面的作用：在認(rèn)證之前，將認(rèn)證網(wǎng)段內(nèi)用戶(hù)的所有請(qǐng)求都重定向到Portal效勞器。在認(rèn)證過(guò)程中，與Portal效勞器、平安策略效勞器、認(rèn)證/計(jì)費(fèi)效勞器交互，完成身份認(rèn)證/平安認(rèn)證/計(jì)費(fèi)的功能。在認(rèn)證通過(guò)后，允許用戶(hù)訪問(wèn)被管理員授權(quán)的互聯(lián)網(wǎng)資源。3.Portal效勞器接收Portal客戶(hù)端認(rèn)證請(qǐng)求的效勞器端系統(tǒng)，提供免費(fèi)門(mén)戶(hù)效勞和基于Web認(rèn)證的界面，與接入設(shè)備交互認(rèn)證客戶(hù)端的認(rèn)證信息。4.認(rèn)證/計(jì)費(fèi)效勞器與接入設(shè)備進(jìn)行交互，完成對(duì)用戶(hù)的認(rèn)證和計(jì)費(fèi)。5.平安策略效勞器與Portal客戶(hù)端、接入設(shè)備進(jìn)行交互，完成對(duì)用戶(hù)的平安認(rèn)證，并對(duì)用戶(hù)進(jìn)行授權(quán)操作。以上五個(gè)根本要素的交互過(guò)程為：(1)未認(rèn)證用戶(hù)訪問(wèn)網(wǎng)絡(luò)時(shí)，在Web瀏覽器地址欄中輸入一個(gè)互聯(lián)網(wǎng)的地址，那么此請(qǐng)求在經(jīng)過(guò)接入設(shè)備時(shí)會(huì)被重定向到Portal效勞器的Web認(rèn)證主頁(yè)上；假設(shè)需要使用Portal的擴(kuò)展認(rèn)證功能，那么用戶(hù)必須使用Portal客戶(hù)端。(2)用戶(hù)在認(rèn)證主頁(yè)/認(rèn)證對(duì)話框中輸入認(rèn)證信息后提交，Portal效勞器會(huì)將用戶(hù)的認(rèn)證信息傳遞給接入設(shè)備；(3)然后接入設(shè)備再與認(rèn)證/計(jì)費(fèi)效勞器通信進(jìn)行認(rèn)證和計(jì)費(fèi)；(4)認(rèn)證通過(guò)后，如果未對(duì)用戶(hù)采用平安策略，那么接入設(shè)備會(huì)翻開(kāi)用戶(hù)與互聯(lián)網(wǎng)的通路，允許用戶(hù)訪問(wèn)互聯(lián)網(wǎng)；如果對(duì)用戶(hù)采用了平安策略，那么客戶(hù)端、接入設(shè)備與平安策略效勞器交互，對(duì)用戶(hù)的平安檢測(cè)通過(guò)之后，平安策略效勞器根據(jù)用戶(hù)的平安性授權(quán)用戶(hù)訪問(wèn)非受限資源。1-3無(wú)論是Web客戶(hù)端還是H3CiNode客戶(hù)端發(fā)起的Portal認(rèn)證，均能支持Portal認(rèn)證穿越NAT，即Portal客戶(hù)端位于私網(wǎng)、Portal效勞器位于公網(wǎng)，接入設(shè)備上啟用NAT功能的組網(wǎng)環(huán)境下，NAT地址轉(zhuǎn)換不會(huì)對(duì)Portal認(rèn)證造成影響?！矁HS5500-EI支持〕目前支持Portal認(rèn)證的遠(yuǎn)端認(rèn)證/計(jì)費(fèi)效勞器為RADIUS〔RemoteAuthenticationDial-InUserService，遠(yuǎn)程認(rèn)證撥號(hào)用戶(hù)效勞〕效勞器。目前通過(guò)訪問(wèn)Web頁(yè)面進(jìn)行的Portal認(rèn)證不能對(duì)用戶(hù)實(shí)施平安策略檢查，平安檢查功能的實(shí)現(xiàn)需要與H3CiNode客戶(hù)端配合。使用本地Portal效勞器的Portal認(rèn)證系統(tǒng)1.系統(tǒng)組成本地Portal效勞器功能是指，Portal認(rèn)證系統(tǒng)中不采用外部獨(dú)立的Portal效勞器，而由接入設(shè)備實(shí)現(xiàn)Portal效勞器功能。這種情況下，Portal認(rèn)證系統(tǒng)僅包括三個(gè)根本要素：認(rèn)證客戶(hù)端、接入設(shè)備和認(rèn)證/計(jì)費(fèi)效勞器，如圖1-2所示。由于設(shè)備支持Web用戶(hù)直接認(rèn)證，因此就不需要部署額外的Portal效勞器，增強(qiáng)了Portal認(rèn)證的通用性。圖1-2使用本地Portal效勞器的Portal系統(tǒng)組成示意圖使用本地Portal效勞器的Portal認(rèn)證系統(tǒng)不支持Portal擴(kuò)展功能，因此不需要部署平安策略服務(wù)器。內(nèi)嵌本地Portal效勞器的接入設(shè)備實(shí)現(xiàn)了簡(jiǎn)單的Portal效勞器功能，僅能給用戶(hù)提供通過(guò)Web方式登錄、下線的根本功能，并不能完全替代獨(dú)立的Portal效勞器。2.認(rèn)證客戶(hù)端和本地Portal效勞器之間的交互協(xié)議認(rèn)證客戶(hù)端和內(nèi)嵌本地Portal效勞器的接入設(shè)備之間可以采用和S協(xié)議通信。假設(shè)客戶(hù)端和接入設(shè)備之間交互協(xié)議，那么報(bào)文以明文形式傳輸，平安性無(wú)法保證；假設(shè)客戶(hù)端和接入設(shè)備之間交互S協(xié)議，那么報(bào)文基于SSL提供的平安機(jī)制以密文的形式傳輸，數(shù)據(jù)的平安性有保障。3.本地Portal效勞器支持用戶(hù)自定義認(rèn)證頁(yè)面本地Portal效勞器支持由用戶(hù)自定義認(rèn)證頁(yè)面的內(nèi)容，即允許用戶(hù)編輯一套認(rèn)證頁(yè)面的HTML文件，并在壓縮之后保存至設(shè)備的存儲(chǔ)設(shè)備中。該套自定義頁(yè)面中包括六個(gè)認(rèn)證頁(yè)面：登錄頁(yè)面、登錄成功頁(yè)面、在線頁(yè)面、下線成功頁(yè)面、登錄失敗頁(yè)面和系統(tǒng)忙頁(yè)面。本地Portal效勞器根據(jù)不同的認(rèn)證階段向客戶(hù)端推出對(duì)應(yīng)的認(rèn)證頁(yè)面，假設(shè)不自定義，那么分別推出系統(tǒng)提供的缺省認(rèn)證頁(yè)面。1-4關(guān)于認(rèn)證頁(yè)面文件的自定義標(biāo)準(zhǔn)請(qǐng)參見(jiàn)“自定義認(rèn)證頁(yè)面文件〞。1.1.5Portal的認(rèn)證方式不同的組網(wǎng)方式下，可采用的Portal認(rèn)證方式不同。按照網(wǎng)絡(luò)中實(shí)施Portal認(rèn)證的網(wǎng)絡(luò)層次來(lái)分，Portal的認(rèn)證方式分為兩種：二層認(rèn)證方式和三層認(rèn)證方式。1.二層認(rèn)證方式這種方式支持在接入設(shè)備連接用戶(hù)的二層端口上開(kāi)啟Portal認(rèn)證功能，只允許源MAC地址通過(guò)認(rèn)證的用戶(hù)才能訪問(wèn)外部網(wǎng)絡(luò)資源。目前，該認(rèn)證方式僅支持本地Portal認(rèn)證，即接入設(shè)備作為本地Portal效勞器向用戶(hù)提供Web認(rèn)證效勞。另外，該方式還支持效勞器下發(fā)授權(quán)VLAN和將認(rèn)證失敗用戶(hù)參加認(rèn)證失敗VLAN功能〔三層認(rèn)證方式不支持〕。2.三層認(rèn)證方式〔僅S5500-EI支持〕這種方式支持在接入設(shè)備連接用戶(hù)的三層接口上開(kāi)啟Portal認(rèn)證功能。三層接口Portal認(rèn)證又可分為三種不同的認(rèn)證方式：直接認(rèn)證方式、二次地址分配認(rèn)證方式和可跨三層認(rèn)證方式。直接認(rèn)證方式和二次地址分配認(rèn)證方式下，認(rèn)證客戶(hù)端和接入設(shè)備之間沒(méi)有三層轉(zhuǎn)發(fā)；可跨三層認(rèn)證方式下，認(rèn)證客戶(hù)端和接入設(shè)備之間可以跨接三層轉(zhuǎn)發(fā)設(shè)備。(1)直接認(rèn)證方式用戶(hù)在認(rèn)證前通過(guò)手工配置或DHCP直接獲取一個(gè)IP地址，只能訪問(wèn)Portal效勞器，以及設(shè)定的免費(fèi)訪問(wèn)地址；認(rèn)證通過(guò)后即可訪問(wèn)網(wǎng)絡(luò)資源。認(rèn)證流程相對(duì)二次地址較為簡(jiǎn)單。(2)二次地址分配認(rèn)證方式用戶(hù)在認(rèn)證前通過(guò)DHCP獲取一個(gè)私網(wǎng)IP地址，只能訪問(wèn)Portal效勞器，以及設(shè)定的免費(fèi)訪問(wèn)地址；認(rèn)證通過(guò)后，用戶(hù)會(huì)申請(qǐng)到一個(gè)公網(wǎng)IP地址，即可訪問(wèn)網(wǎng)絡(luò)資源。該認(rèn)證方式解決了IP地址規(guī)劃和分配問(wèn)題，對(duì)未認(rèn)證通過(guò)的用戶(hù)不分配公網(wǎng)IP地址。例如運(yùn)營(yíng)商對(duì)于小區(qū)寬帶用戶(hù)只在訪問(wèn)小區(qū)外部資源時(shí)才分配公網(wǎng)IP。使用本地Portal效勞器的Portal認(rèn)證不支持二次地址分配認(rèn)證方式。(3)可跨三層認(rèn)證方式和直接認(rèn)證方式根本相同，但是這種認(rèn)證方式允許認(rèn)證用戶(hù)和接入設(shè)備之間跨越三層轉(zhuǎn)發(fā)設(shè)備。對(duì)于以上三種認(rèn)證方式，IP地址都是用戶(hù)的唯一標(biāo)識(shí)。接入設(shè)備基于用戶(hù)的IP地址下發(fā)ACL對(duì)接口上通過(guò)認(rèn)證的用戶(hù)報(bào)文轉(zhuǎn)發(fā)進(jìn)行控制。由于直接認(rèn)證和二次地址分配認(rèn)證下的接入設(shè)備與用戶(hù)之間未跨越三層轉(zhuǎn)發(fā)設(shè)備，因此接口可以學(xué)習(xí)到用戶(hù)的MAC地址，接入設(shè)備可以利用學(xué)習(xí)到MAC地址增強(qiáng)對(duì)用戶(hù)報(bào)文轉(zhuǎn)發(fā)的控制粒度。1.1.6Portal支持EAP認(rèn)證〔僅S5500-EI支持〕在對(duì)接入用戶(hù)身份可靠性要求較高的網(wǎng)絡(luò)應(yīng)用中，傳統(tǒng)的基于用戶(hù)名和口令的用戶(hù)身份驗(yàn)證方式存在一定的平安問(wèn)題，基于數(shù)字證書(shū)的用戶(hù)身份驗(yàn)證方式通常被用來(lái)建立更為平安和可靠的網(wǎng)絡(luò)接入認(rèn)證機(jī)制。1-5EAP〔ExtensibleAuthenticationProtocol，可擴(kuò)展認(rèn)證協(xié)議〕可支持多種基于數(shù)字證書(shū)的認(rèn)證方式〔例如EAP-TLS〕，它與Portal認(rèn)證相配合，可共同為用戶(hù)提供基于數(shù)字證書(shū)的接入認(rèn)證效勞。圖1-3Portal支持EAP認(rèn)證協(xié)議交互示意圖如圖1-3所示，在Portal支持EAP認(rèn)證的實(shí)現(xiàn)中，客戶(hù)端與Portal效勞器之間交互EAP認(rèn)證報(bào)文，Portal效勞器與接入設(shè)備之間交互攜帶EAP-Message屬性的Portal協(xié)議報(bào)文，接入設(shè)備與RADIUS效勞器之間交互攜帶EAP-Message屬性的RADIUS協(xié)議報(bào)文，由具備EAP效勞器功能的RADIUS服務(wù)器處理EAP-Message屬性中封裝的EAP報(bào)文，并給出EAP認(rèn)證結(jié)果。整個(gè)EAP認(rèn)證過(guò)程中，接入設(shè)備只是對(duì)Portal效勞器與RADIUS效勞器之間的EAP-Message屬性進(jìn)行透?jìng)鳎⒉粚?duì)其進(jìn)行任何處理，因此接入設(shè)備上無(wú)需任何額外配置。該功能僅能與H3CiMC的Portal效勞器以及H3CiNodePortal客戶(hù)端配合使用。目前，僅使用遠(yuǎn)程Portal效勞器的三層Portal認(rèn)證支持EAP認(rèn)證。二層Portal認(rèn)證過(guò)程1.二層Portal認(rèn)證流程目前，二層Portal認(rèn)證只支持本地Portal認(rèn)證，即由接入設(shè)備作為本地Portal效勞器向用戶(hù)提供Web認(rèn)證效勞，具體認(rèn)證過(guò)程如下。圖1-4二層Portal認(rèn)證流程圖(1)Portal用戶(hù)通過(guò)或S協(xié)議發(fā)起認(rèn)證請(qǐng)求。報(bào)文經(jīng)過(guò)配置了本地Portal效勞器的接入設(shè)備的端口時(shí)會(huì)被重定向到本地Portal效勞器的監(jiān)聽(tīng)I(yíng)P地址，本地Portal效勞器提供Web頁(yè)面供用戶(hù)輸入用戶(hù)名和密碼來(lái)進(jìn)行認(rèn)證。該本地Portal效勞器的監(jiān)聽(tīng)I(yíng)P地址為接入設(shè)備上一個(gè)與用戶(hù)之間路由可達(dá)的三層接口IP地址〔通常為L(zhǎng)oopback接口IP〕。(2)接入設(shè)備與RADIUS效勞器之間進(jìn)行RADIUS協(xié)議報(bào)文的交互，對(duì)用戶(hù)身份進(jìn)行驗(yàn)證。(3)如果RADIUS認(rèn)證成功，那么接入設(shè)備上的本地Portal效勞器向客戶(hù)端發(fā)送登錄成功頁(yè)面，通知客戶(hù)端認(rèn)證〔上線〕成功。2.支持下發(fā)授權(quán)VLAN二層Portal認(rèn)證支持效勞器下發(fā)授權(quán)VLAN。當(dāng)用戶(hù)通過(guò)Portal認(rèn)證后，如果授權(quán)效勞器上配置了下發(fā)VLAN功能，那么效勞器會(huì)將授權(quán)VLAN信息下發(fā)給接入設(shè)備，由接入設(shè)備將認(rèn)證成功的用戶(hù)參加對(duì)應(yīng)的授權(quán)VLAN中，那么端口上會(huì)生成該用戶(hù)MAC對(duì)應(yīng)的MACVLAN表項(xiàng)，假設(shè)該VLAN不存在，那么接入設(shè)備首先創(chuàng)立VLAN，而后將用戶(hù)參加授權(quán)VLAN中。通過(guò)支持下發(fā)授權(quán)VLAN，可實(shí)現(xiàn)對(duì)已認(rèn)證用戶(hù)可訪問(wèn)網(wǎng)絡(luò)資源的控制。1-63.支持Auth-FailVLANAuth-FailVLAN功能允許用戶(hù)在認(rèn)證失敗的情況下，可以訪問(wèn)某一特定VLAN中的資源，比方病毒補(bǔ)丁效勞器，存儲(chǔ)客戶(hù)端軟件或殺毒軟件的效勞器，進(jìn)行升級(jí)客戶(hù)端或執(zhí)行其他一些用戶(hù)升級(jí)程序。這個(gè)VLAN稱(chēng)之為Auth-FailVLAN。二層Portal認(rèn)證支持基于MAC的Auth-FailVLAN，如果接入用戶(hù)的端口上配置了Auth-FailVLAN，那么端口上會(huì)基于認(rèn)證失敗的MAC地址生成相應(yīng)的MACVLAN表項(xiàng)，認(rèn)證失敗的用戶(hù)將會(huì)被參加Auth-FailVLAN中。參加Auth-FailVLAN中的用戶(hù)可以訪問(wèn)該VLAN中的非資源，但用戶(hù)的所有訪問(wèn)請(qǐng)求會(huì)被重定向到接入設(shè)備上進(jìn)行認(rèn)證，假設(shè)用戶(hù)仍然沒(méi)有通過(guò)認(rèn)證，那么將繼續(xù)處于Auth-FailVLAN內(nèi)；假設(shè)認(rèn)證成功，那么回到參加Auth-FailVLAN之前端口所在的VLAN。處于Auth-FailVLAN中的用戶(hù)，假設(shè)在指定時(shí)間〔默認(rèn)90秒〕內(nèi)無(wú)流量通過(guò)接入端口，那么將離開(kāi)該VLAN，回到端口的初始VLAN。用戶(hù)參加授權(quán)VLAN或Auth-FailVLAN后，需要自動(dòng)申請(qǐng)或者手動(dòng)更新客戶(hù)端IP地址，以保證可以與授權(quán)VLAN或Auth-FailVLAN中的資源互通。4.支持ACL下發(fā)ACL〔AccessControlList，訪問(wèn)控制列表〕提供了控制用戶(hù)訪問(wèn)網(wǎng)絡(luò)資源和限制用戶(hù)訪問(wèn)權(quán)限的功能。當(dāng)用戶(hù)上線時(shí)，如果效勞器上配置了授權(quán)ACL，那么設(shè)備會(huì)根據(jù)效勞器下發(fā)的授權(quán)ACL對(duì)用戶(hù)所在端口的數(shù)據(jù)流進(jìn)行控制；在效勞器上配置授權(quán)ACL之前，需要在設(shè)備上配置相應(yīng)的規(guī)那么。管理員可以通過(guò)改變效勞器的授權(quán)ACL設(shè)置或設(shè)備上對(duì)應(yīng)的ACL規(guī)那么來(lái)改變用戶(hù)的訪問(wèn)權(quán)限。三層Portal認(rèn)證過(guò)程〔僅S5500-EI支持〕直接認(rèn)證和可跨三層Portal認(rèn)證流程相同。二次地址分配認(rèn)證流程因?yàn)橛袃纱蔚刂贩峙溥^(guò)程，所以其認(rèn)證流程和另外兩種認(rèn)證方式有所不同。1.直接認(rèn)證和可跨三層Portal認(rèn)證的流程〔CHAP/PAP認(rèn)證方式〕圖1-5直接認(rèn)證/可跨三層Portal認(rèn)證流程圖認(rèn)證/計(jì)費(fèi)效勞器認(rèn)證客戶(hù)端Portal效勞器接入設(shè)備〔1〕發(fā)起連接〔2〕CHAP認(rèn)證交互〔3〕認(rèn)證請(qǐng)求〔5〕認(rèn)證應(yīng)答〔4〕RADIUS協(xié)議的認(rèn)證交互〔6〕通知用戶(hù)上線成功〔7〕認(rèn)證應(yīng)答確認(rèn)平安策略效勞器〔9〕授權(quán)定時(shí)器〔8〕平安檢測(cè)信息交互直接認(rèn)證/可跨三層Portal認(rèn)證流程：(1)Portal用戶(hù)通過(guò)協(xié)議發(fā)起認(rèn)證請(qǐng)求。報(bào)文經(jīng)過(guò)接入設(shè)備時(shí)，對(duì)于訪問(wèn)Portal效勞器或設(shè)定的免費(fèi)訪問(wèn)地址的報(bào)文，接入設(shè)備允許其通過(guò)；對(duì)于訪問(wèn)其它地址的1-7報(bào)文，接入設(shè)備將其重定向到Portal效勞器。Portal效勞器提供Web頁(yè)面供用戶(hù)輸入用戶(hù)名和密碼來(lái)進(jìn)行認(rèn)證。(2)Portal效勞器與接入設(shè)備之間進(jìn)行CHAP〔ChallengeHandshakeAuthenticationProtocol，質(zhì)詢(xún)握手驗(yàn)證協(xié)議〕認(rèn)證交互。假設(shè)采用PAP〔PasswordAuthenticationProtocol，密碼驗(yàn)證協(xié)議〕認(rèn)證那么直接進(jìn)入下一步驟。(3)Portal效勞器將用戶(hù)輸入的用戶(hù)名和密碼組裝成認(rèn)證請(qǐng)求報(bào)文發(fā)往接入設(shè)備，同時(shí)開(kāi)啟定時(shí)器等待認(rèn)證應(yīng)答報(bào)文。(4)接入設(shè)備與RADIUS效勞器之間進(jìn)行RADIUS協(xié)議報(bào)文的交互。(5)接入設(shè)備向Portal效勞器發(fā)送認(rèn)證應(yīng)答報(bào)文。(6)Portal效勞器向客戶(hù)端發(fā)送認(rèn)證通過(guò)報(bào)文，通知客戶(hù)端認(rèn)證〔上線〕成功。(7)Portal效勞器向接入設(shè)備發(fā)送認(rèn)證應(yīng)答確認(rèn)。(8)客戶(hù)端和平安策略效勞器之間進(jìn)行平安信息交互。平安策略效勞器檢測(cè)接入終端的平安性是否合格，包括是否安裝防病毒軟件、是否更新病毒庫(kù)、是否安裝了非法軟件、是否更新操作系統(tǒng)補(bǔ)丁等。(9)平安策略效勞器根據(jù)用戶(hù)的平安性授權(quán)用戶(hù)訪問(wèn)非受限資源，授權(quán)信息保存到接入設(shè)備中，接入設(shè)備將使用該信息控制用戶(hù)的訪問(wèn)。步驟(8)、(9)為Portal認(rèn)證擴(kuò)展功能的交互過(guò)程。2.二次地址分配認(rèn)證方式的流程〔CHAP/PAP認(rèn)證方式〕圖1-6二次地址分配認(rèn)證方式流程圖認(rèn)證/計(jì)費(fèi)效勞器認(rèn)證客戶(hù)端Portal效勞器接入設(shè)備〔1〕發(fā)起連接〔2〕CHAP認(rèn)證交互〔3〕認(rèn)證請(qǐng)求〔5〕認(rèn)證應(yīng)答〔4〕RADIUS協(xié)議的認(rèn)證交互〔6〕認(rèn)證成功平安策略效勞器〔12〕平安檢測(cè)信息交互〔13〕授權(quán)〔7〕用戶(hù)已獲得新IP〔8〕發(fā)現(xiàn)用戶(hù)IP變化〔10〕通知用戶(hù)上線成功〔9〕檢測(cè)到用戶(hù)IP變化〔11〕IP變換確認(rèn)定時(shí)器二次地址分配認(rèn)證流程：(1)～(6)同直接/可跨三層Portal認(rèn)證中步驟〔1〕～〔6〕。(7)客戶(hù)端收到認(rèn)證通過(guò)報(bào)文后，通過(guò)DHCP獲得新的公網(wǎng)IP地址，并通知Portal效勞器用戶(hù)已獲得新IP地址。(8)Portal效勞器通知接入設(shè)備客戶(hù)端獲得新公網(wǎng)IP地址。(9)接入設(shè)備通過(guò)檢測(cè)ARP協(xié)議報(bào)文發(fā)現(xiàn)了用戶(hù)IP變化，并通告Portal效勞器已檢測(cè)到用戶(hù)IP變化。(10)Portal效勞器通知客戶(hù)端上線成功。1-8(11)Portal效勞器向接入設(shè)備發(fā)送IP變化確認(rèn)報(bào)文。(12)客戶(hù)端和平安策略效勞器之間進(jìn)行平安信息交互。平安策略效勞器檢測(cè)接入終端的平安性是否合格，包括是否安裝防病毒軟件、是否更新病毒庫(kù)、是否安裝了非法軟件、是否更新操作系統(tǒng)補(bǔ)丁等。(13)平安策略效勞器根據(jù)用戶(hù)的平安性授權(quán)用戶(hù)訪問(wèn)非受限資源，授權(quán)信息保存到接入設(shè)備中，接入設(shè)備將使用該信息控制用戶(hù)的訪問(wèn)。步驟(12)、(13)為Portal認(rèn)證擴(kuò)展功能的交互過(guò)程。3.使用本地Portal效勞器的認(rèn)證流程圖1-7使用本地Portal效勞器的認(rèn)證流程圖直接/可跨三層本地Portal認(rèn)證流程：(2)Portal用戶(hù)通過(guò)或S協(xié)議發(fā)起認(rèn)證請(qǐng)求。報(bào)文經(jīng)過(guò)配置了本地Portal效勞器的接入設(shè)備的接口時(shí)會(huì)被重定向到本地Portal效勞器，本地Portal效勞器提供Web頁(yè)面供用戶(hù)輸入用戶(hù)名和密碼來(lái)進(jìn)行認(rèn)證。該本地Portal效勞器的監(jiān)聽(tīng)I(yíng)P地址為接入設(shè)備上一個(gè)與用戶(hù)之間路由可達(dá)的三層接口IP地址。(3)接入設(shè)備與RADIUS效勞器之間進(jìn)行RADIUS協(xié)議報(bào)文的交互。(4)接入設(shè)備中的本地Portal效勞器向客戶(hù)端發(fā)送登錄成功頁(yè)面，通知客戶(hù)端認(rèn)證〔上線〕成功。4.Portal支持EAP認(rèn)證流程圖1-8Portal支持EAP認(rèn)證流程圖認(rèn)證/計(jì)費(fèi)效勞器認(rèn)證客戶(hù)端Portal效勞器接入設(shè)備〔1〕發(fā)起EAP認(rèn)證請(qǐng)求〔2〕認(rèn)證請(qǐng)求〔4〕證書(shū)請(qǐng)求〔3〕RADIUS協(xié)議的認(rèn)證交互〔10〕認(rèn)證應(yīng)答確認(rèn)授權(quán)定時(shí)器平安檢測(cè)信息交互〔5〕EAP認(rèn)證回應(yīng)…〔6〕繼續(xù)EAP認(rèn)證交互…〔7〕認(rèn)證通過(guò)〔8〕認(rèn)證應(yīng)答〔9〕通知用戶(hù)上線成功平安策略效勞器支持EAP認(rèn)證的Portal認(rèn)證流程如下〔各Portal認(rèn)證方式下EAP認(rèn)證的處理流程相同，此處僅以直接方式的Portal認(rèn)證為例〕：1-9(1)Portal客戶(hù)端發(fā)起EAP認(rèn)證請(qǐng)求，向Portal效勞器發(fā)送Identity類(lèi)型的EAP請(qǐng)求報(bào)文。(2)Portal效勞器向接入設(shè)備發(fā)送Portal認(rèn)證請(qǐng)求報(bào)文，同時(shí)開(kāi)啟定時(shí)器等待Portal認(rèn)證應(yīng)答報(bào)文，該認(rèn)證請(qǐng)求報(bào)文中包含假設(shè)干個(gè)EAP-Message屬性，這些屬性用于封裝Portal客戶(hù)端發(fā)送的EAP報(bào)文，并可攜帶客戶(hù)端的證書(shū)信息。(3)接入設(shè)備接收到Portal認(rèn)證請(qǐng)求報(bào)文后，構(gòu)造RADIUS認(rèn)證請(qǐng)求報(bào)文與RADIUS效勞器進(jìn)行認(rèn)證交互，該RADIUS認(rèn)證請(qǐng)求報(bào)文的EAP-Message屬性值由接入設(shè)備收到的Portal認(rèn)證請(qǐng)求報(bào)文中的EAP-Message屬性值填充。(4)接入設(shè)備根據(jù)RADIUS效勞器的回應(yīng)信息向Portal效勞器發(fā)送證書(shū)請(qǐng)求報(bào)文，該報(bào)文中同樣會(huì)包含假設(shè)干個(gè)EAP-Message屬性，可用于攜帶RADIUS效勞器的證書(shū)信息，這些屬性值由RADIUS認(rèn)證回應(yīng)報(bào)文中的EAP-Message屬性值填充。(5)Portal效勞器接收到證書(shū)請(qǐng)求報(bào)文后，向Portal客戶(hù)端發(fā)送EAP認(rèn)證回應(yīng)報(bào)文，直接將RADIUS效勞器響應(yīng)報(bào)文中的EAP-Message屬性值透?jìng)鹘oPortal客戶(hù)端。(6)Portal客戶(hù)端繼續(xù)發(fā)起的EAP認(rèn)證請(qǐng)求，與RADIUS效勞器進(jìn)行后續(xù)的EAP認(rèn)證交互，期間Portal認(rèn)證請(qǐng)求報(bào)文可能會(huì)出現(xiàn)屢次。后續(xù)認(rèn)證過(guò)程與第一個(gè)EAP認(rèn)證請(qǐng)求報(bào)文的交互過(guò)程類(lèi)似，僅EAP報(bào)文類(lèi)型會(huì)根據(jù)EAP認(rèn)證階段開(kāi)展有所變化，此處不再詳述。(7)EAP認(rèn)證通過(guò)后，RADIUS效勞器向接入設(shè)備發(fā)送認(rèn)證通過(guò)響應(yīng)報(bào)文，該報(bào)文的EAP-Message屬性中封裝了EAP認(rèn)證成功報(bào)文〔EAP-Success〕。(8)接入設(shè)備向Portal效勞器發(fā)送認(rèn)證應(yīng)答報(bào)文，該報(bào)文的EAP-Message屬性中封裝了EAP認(rèn)證成功報(bào)文。(9)Portal效勞器根據(jù)認(rèn)證應(yīng)答報(bào)文中的認(rèn)證結(jié)果通知Portal客戶(hù)端認(rèn)證成功。(10)Portal效勞器向接入設(shè)備發(fā)送認(rèn)證應(yīng)答確認(rèn)。后續(xù)為Portal認(rèn)證擴(kuò)展功能的交互過(guò)程，可參考CHAP/PAP認(rèn)證方式下的認(rèn)證流程介紹，此處略。1.1.9Portal支持雙機(jī)熱備〔僅S5500-EI支持〕1.概述在當(dāng)前的組網(wǎng)應(yīng)用中，用戶(hù)對(duì)網(wǎng)絡(luò)可靠性的要求越來(lái)越高，特別是在一些重點(diǎn)的業(yè)務(wù)入口或接入點(diǎn)上需要保證網(wǎng)絡(luò)業(yè)務(wù)的不間斷性。雙機(jī)熱備技術(shù)可以保證這些關(guān)鍵業(yè)務(wù)節(jié)點(diǎn)在單點(diǎn)故障的情況下，信息流仍然不中斷。所謂雙機(jī)熱備，其實(shí)是雙機(jī)業(yè)務(wù)備份。在兩臺(tái)設(shè)備上分別指定相同的備份VLAN，專(zhuān)用于傳輸雙機(jī)熱備相關(guān)的報(bào)文。在設(shè)備正常工作時(shí)，對(duì)業(yè)務(wù)信息進(jìn)行主備同步；在設(shè)備故障后，利用VRRP或動(dòng)態(tài)路由〔例如OSPF〕機(jī)制實(shí)現(xiàn)業(yè)務(wù)流量切換到備份設(shè)備，由備份設(shè)備繼續(xù)處理業(yè)務(wù)，從而保證了當(dāng)前的業(yè)務(wù)不被中斷。關(guān)于雙機(jī)熱備的詳細(xì)介紹請(qǐng)參見(jiàn)“可靠性配置指導(dǎo)〞中的“雙機(jī)熱備配置〞。1-10圖1-9雙機(jī)熱備組網(wǎng)圖DeviceASwitchADeviceBSwitchBBackupVLANPortalenabledInternetServerHostA如圖1-9所示，在一個(gè)典型的Portal雙機(jī)熱備組網(wǎng)環(huán)境中，用戶(hù)通過(guò)Portal認(rèn)證接入網(wǎng)絡(luò)，為防止接入設(shè)備單機(jī)故障的情況下造成的Portal業(yè)務(wù)中斷，接入設(shè)備提供了Portal支持雙機(jī)熱備功能。該功能是指，接入設(shè)備SwitchA和SwitchB通過(guò)備份VLAN互相備份兩臺(tái)設(shè)備上的Portal在線用戶(hù)信息，實(shí)現(xiàn)當(dāng)其中一臺(tái)設(shè)備發(fā)生故障時(shí)，另外一臺(tái)設(shè)備可以對(duì)新的Portal用戶(hù)進(jìn)行接入認(rèn)證，并能夠保證所有已上線Portal用戶(hù)的正常數(shù)據(jù)通信。備份鏈路對(duì)于雙機(jī)熱備設(shè)備不是必須的，只要保證互為備份的設(shè)備上存在相同的VLAN專(zhuān)用于傳輸雙機(jī)熱備相關(guān)的報(bào)文。假設(shè)組網(wǎng)中配置了專(zhuān)門(mén)的備份鏈路，那么需要將兩臺(tái)設(shè)備上連接備份鏈路的物理接口參加備份VLAN中。2.根本概念(1)設(shè)備的工作狀態(tài)獨(dú)立運(yùn)行狀態(tài)：設(shè)備未與其它設(shè)備建立備份連接時(shí)所處的一種穩(wěn)定狀態(tài)。同步運(yùn)行狀態(tài)：設(shè)備與對(duì)端設(shè)備之間成功建立備份連接，可以進(jìn)行數(shù)據(jù)備份時(shí)所處的一種穩(wěn)定狀態(tài)。(2)用戶(hù)的工作模式Stand-alone：表示用戶(hù)數(shù)據(jù)只在一臺(tái)設(shè)備上存在。當(dāng)前設(shè)備處于獨(dú)立運(yùn)行狀態(tài)，或者當(dāng)前設(shè)備處于同步運(yùn)行狀態(tài)但用戶(hù)數(shù)據(jù)還未同步。Primary：說(shuō)明用戶(hù)是由本端設(shè)備上線，用戶(hù)數(shù)據(jù)由本端設(shè)備生成。本端設(shè)備處于同步運(yùn)行狀態(tài)，可以處理并接收效勞器發(fā)送的報(bào)文。1-11Secondary：說(shuō)明用戶(hù)是由對(duì)端設(shè)備上線，用戶(hù)數(shù)據(jù)是由對(duì)端設(shè)備同步到本端設(shè)備上的。本端設(shè)備處于同步運(yùn)行狀態(tài)，只接收并處理同步消息，不處理效勞器發(fā)送的報(bào)文。1.1.10Portal支持多實(shí)例〔僅S5500-EI支持〕實(shí)際組網(wǎng)應(yīng)用中，某企業(yè)的各分支機(jī)構(gòu)屬于不同的VPN，且各VPN之間的業(yè)務(wù)相互隔離。如果各分支機(jī)構(gòu)的Portal用戶(hù)要通過(guò)位于總部VPN中的效勞器進(jìn)行統(tǒng)一認(rèn)證，那么需要Portal支持多實(shí)例。通過(guò)Portal支持多實(shí)例，可實(shí)現(xiàn)Portal認(rèn)證報(bào)文通過(guò)MPLSVPN進(jìn)行交互。如下列圖所示，連接客戶(hù)端的PE設(shè)備作為NAS，通過(guò)MPLSVPN將私網(wǎng)客戶(hù)端的Portal認(rèn)證報(bào)文透?jìng)鹘o網(wǎng)絡(luò)另一端的私網(wǎng)效勞器，并在AAA支持多實(shí)例的配合下，實(shí)現(xiàn)對(duì)私網(wǎng)VPN客戶(hù)端的Portal接入認(rèn)證，滿足了私網(wǎng)VPN業(yè)務(wù)隔離情況下的客戶(hù)端集中認(rèn)證，且各私網(wǎng)的認(rèn)證報(bào)文互不影響。圖1-10Portal支持多實(shí)例典型組網(wǎng)圖在MCE設(shè)備上進(jìn)行的Portal接入認(rèn)證也可支持多實(shí)例功能。關(guān)于MCE的相關(guān)介紹請(qǐng)見(jiàn)參見(jiàn)“三層技術(shù)-IP路由配置指導(dǎo)〞中的“MCE配置〞。關(guān)于AAA支持多實(shí)例的相關(guān)介紹請(qǐng)參見(jiàn)“平安配置指導(dǎo)〞中的“AAA配置〞。本特性不支持多VPN間的地址重疊。1.2Portal配置任務(wù)簡(jiǎn)介目前，S5500-SI系列以太網(wǎng)交換機(jī)僅支持二層Portal認(rèn)證相關(guān)配置。表1-1二層Portal配置任務(wù)簡(jiǎn)介配置任務(wù)說(shuō)明詳細(xì)配置指定二層Portal認(rèn)證的本地Portal效勞器IP地址必選自定義認(rèn)證頁(yè)面可選配置本地Portal效勞器配置本地Portal效勞器必選使能二層Portal必選1-12配置任務(wù)說(shuō)明詳細(xì)配置配置免認(rèn)證規(guī)那么配置Portal最大用戶(hù)數(shù)指定Portal用戶(hù)使用的認(rèn)證域配置允許觸發(fā)Portal認(rèn)證的Web代理效勞器端口控制Portal用戶(hù)的接入配置Portal用戶(hù)認(rèn)證端口的自動(dòng)遷移功能可選配置Portal認(rèn)證的Auth-FailVLAN可選指定Portal用戶(hù)認(rèn)證成功后認(rèn)證頁(yè)面的自動(dòng)跳轉(zhuǎn)目的網(wǎng)站地址可選配置二層Portal用戶(hù)的在線檢測(cè)功能可選強(qiáng)制Portal用戶(hù)下線可選表1-2三層Portal配置任務(wù)簡(jiǎn)介配置任務(wù)說(shuō)明詳細(xì)配置指定三層Portal認(rèn)證的Portal效勞器監(jiān)聽(tīng)I(yíng)P地址必選配置本地Portal效勞器可選使能三層Portal必選配置免認(rèn)證規(guī)那么配置認(rèn)證網(wǎng)段配置Portal最大用戶(hù)數(shù)控制Portal用戶(hù)的接入指定Portal用戶(hù)使用的認(rèn)證域配置接口發(fā)送RADIUS配置接口的NAS-Port-Type報(bào)文的相關(guān)屬性配置接口的NAS-IDProfile可選配置接口發(fā)送Portal報(bào)文使用的源地址可選配置Portal支持雙機(jī)熱備可選指定Portal用戶(hù)認(rèn)證成功后認(rèn)證頁(yè)面的自動(dòng)跳轉(zhuǎn)目的網(wǎng)站地址可選配置三層Portal用戶(hù)的在線探測(cè)功能配置Portal探測(cè)功能配置Portal效勞器探測(cè)功能配置Portal用戶(hù)信息同步功能可選強(qiáng)制Portal用戶(hù)下線可選1.3配置準(zhǔn)備Portal提供了一個(gè)用戶(hù)身份認(rèn)證和平安認(rèn)證的實(shí)現(xiàn)方案，但是僅僅依靠Portal缺乏以實(shí)現(xiàn)該方案。接入設(shè)備的管理者需選擇使用RADIUS認(rèn)證方法，以配合Portal完成用戶(hù)的身份認(rèn)證。Portal認(rèn)證的配置前提：1-13Portal效勞器、RADIUS效勞器已安裝并配置成功。本地Portal認(rèn)證無(wú)需單獨(dú)安裝Portal服務(wù)器。假設(shè)采用二次地址分配認(rèn)證方式，接入設(shè)備需啟動(dòng)DHCP中繼的平安地址匹配檢查功能，另外需要安裝并配置好DHCP效勞器?！矁HS5500-EI支持〕用戶(hù)、接入設(shè)備和各效勞器之間路由可達(dá)。如果通過(guò)遠(yuǎn)端RADIUS效勞器進(jìn)行認(rèn)證，那么需要在RADIUS效勞器上配置相應(yīng)的用戶(hù)名和密碼，然后在接入設(shè)備端進(jìn)行RADIUS客戶(hù)端的相關(guān)設(shè)置。RADIUS客戶(hù)端的具體配置請(qǐng)參見(jiàn)“平安配置指導(dǎo)〞中的“AAA配置〞。如果需要支持Portal的擴(kuò)展功能，需要安裝并配置iMCEAD。同時(shí)保證在接入設(shè)備上的ACL配置和平安策略效勞器上配置的受限資源ACL號(hào)、非受限資源ACL號(hào)對(duì)應(yīng)。接入設(shè)備上的安全策略效勞器配置請(qǐng)參見(jiàn)“平安配置指導(dǎo)〞中的“AAA配置〞。平安策略效勞器的配置請(qǐng)參考iMCEAD平安策略組件聯(lián)機(jī)幫助。受限資源ACL、非受限資源ACL分別對(duì)應(yīng)平安策略效勞器中的隔離ACL與平安ACL。如果接入設(shè)備上的授權(quán)ACL配置被修改，那么修改后的ACL不對(duì)已經(jīng)在線的Portal用戶(hù)生效，只能對(duì)新上線的Portal用戶(hù)有效。1.4指定Portal效勞器指定二層Portal認(rèn)證的本地Portal效勞器監(jiān)聽(tīng)I(yíng)P地址二層Portal認(rèn)證使用本地Portal效勞器，因此需要將設(shè)備上一個(gè)與Portal客戶(hù)端路由可達(dá)的三層接口IP地址指定為本地Portal效勞器的監(jiān)聽(tīng)I(yíng)P地址，并強(qiáng)烈建議使用設(shè)備上空閑的Loopback接口的IP地址，利用LoopBack接口狀態(tài)穩(wěn)定的優(yōu)點(diǎn)，防止因?yàn)榻涌诠收蠈?dǎo)致用戶(hù)無(wú)法翻開(kāi)認(rèn)證頁(yè)面的問(wèn)題。另外，由于發(fā)送到LoopBack接口的報(bào)文不會(huì)被轉(zhuǎn)發(fā)到網(wǎng)絡(luò)中，當(dāng)請(qǐng)求上線的用戶(hù)數(shù)目較大時(shí)，可減輕對(duì)系統(tǒng)性能的影響。表1-3指定二層Portal認(rèn)證的本地Portal效勞器監(jiān)聽(tīng)I(yíng)P地址操作命令說(shuō)明進(jìn)入系統(tǒng)視圖system-view-指定二層Portal認(rèn)證的本地Portal效勞器監(jiān)聽(tīng)I(yíng)P地址portallocal-serveripip-address必選缺省情況下，沒(méi)有指定本地Portal服務(wù)器的監(jiān)聽(tīng)I(yíng)P地址已配置的本地Portal效勞器監(jiān)聽(tīng)I(yíng)P地址僅在二層Portal認(rèn)證未在任何端口上使能時(shí)才可以被刪除或修改。1-14指定三層Portal認(rèn)證的Portal效勞器本配置用于指定Portal效勞器的相關(guān)參數(shù)，主要包括效勞器IP地址、共享加密密鑰、效勞器端口號(hào)以及效勞器提供的Web認(rèn)證地址。根據(jù)不同的組網(wǎng)環(huán)境，此處指定的效勞器IP地址有所不同：如果使用遠(yuǎn)程Portal效勞器，那么指定為外部Portal效勞器的IP地址；如果使用本地Portal效勞器，那么指定為設(shè)備上與Portal客戶(hù)端路由可達(dá)的三層接口IP地址。表1-4指定三層Portal認(rèn)證的Portal效勞器操作命令說(shuō)明進(jìn)入系統(tǒng)視圖system-view-指定三層Portal認(rèn)證的Portal效勞器portalserverserver-nameipip-address[keykey-string|portport-id|urlurl-string|vpn-instancevpn-instance-name]*必選缺省情況下，沒(méi)有指定三層Portal認(rèn)證的Portal效勞器目前，接入設(shè)備上最多允許指定4個(gè)Portal效勞器。已配置的Portal效勞器參數(shù)僅在該P(yáng)ortal效勞器未被接口引用時(shí)才可以被刪除或修改。目前，僅IE瀏覽器、Firefox瀏覽器和Safari瀏覽器支持關(guān)閉登錄成功/在線頁(yè)面后的強(qiáng)制用戶(hù)下線功能，而其它瀏覽器〔例如Chrome瀏覽器、Opera瀏覽器等〕均不支持該功能。使用本地Portal效勞器時(shí)，Portal效勞器參數(shù)key、port和url均不需配置，假設(shè)配置也無(wú)效；接口上使能redhcp〔二次地址〕方式的Portal也可配置但不生效。1.5配置本地Portal效勞器本特性用于配合Portal本地認(rèn)證，且僅在使用本地Portal效勞器時(shí)必配。使用本地Portal效勞器進(jìn)行認(rèn)證時(shí)，本地Portal效勞器負(fù)責(zé)向用戶(hù)推出認(rèn)證頁(yè)面。認(rèn)證頁(yè)面的內(nèi)容和樣式可自定義，假設(shè)未配置自定義認(rèn)證頁(yè)面，那么向用戶(hù)推出系統(tǒng)提供的缺省認(rèn)證頁(yè)面。自定義認(rèn)證頁(yè)面文件用戶(hù)自定義的認(rèn)證頁(yè)面為HTML文件的形式，壓縮后保存在本地設(shè)備的存儲(chǔ)設(shè)備中。每套認(rèn)證頁(yè)面可包括六個(gè)主索引頁(yè)面〔登錄頁(yè)面、登錄成功頁(yè)面、登錄失敗頁(yè)面、在線頁(yè)面、系統(tǒng)忙頁(yè)面、下線成功頁(yè)面〕及其頁(yè)面元素〔認(rèn)證頁(yè)面需要應(yīng)用的各種文件，如Logon.htm頁(yè)面中的〕，每個(gè)主索引頁(yè)面可以引用假設(shè)干頁(yè)面元素。假設(shè)用戶(hù)只自定義了局部主索引頁(yè)面，那么其余主索引頁(yè)面使用系統(tǒng)提供的缺省認(rèn)證頁(yè)面。用戶(hù)在自定義這些頁(yè)面時(shí)需要遵循一定的標(biāo)準(zhǔn)，否那么會(huì)影響本地Portal效勞器功能的正常使用和系統(tǒng)運(yùn)行的穩(wěn)定性。1.文件名標(biāo)準(zhǔn)主索引頁(yè)面文件名不能自定義，必須使用表1-5中所列的固定文件名。表1-5認(rèn)證頁(yè)面文件名主索引頁(yè)面文件名登錄頁(yè)面登錄成功頁(yè)面logonSu1-15主索引頁(yè)面文件名登錄失敗頁(yè)面在線頁(yè)面用于提示用戶(hù)已經(jīng)在線系統(tǒng)忙頁(yè)面用于提示系統(tǒng)忙或者該用戶(hù)正在登錄過(guò)程中下線成功頁(yè)面主索引頁(yè)面文件之外的其他文件名可由用戶(hù)自定義，但需注意文件名和文件目錄名中不能含有中文且不區(qū)分大小寫(xiě)。2.頁(yè)面請(qǐng)求標(biāo)準(zhǔn)本地Portal效勞器只能接受Get請(qǐng)求和Post請(qǐng)求。Get請(qǐng)求用于獲取認(rèn)證頁(yè)面中的靜態(tài)文件，其內(nèi)容不能為遞歸內(nèi)容。例如，Logon.htm文件中包含了Getca.htm文件的內(nèi)容，但ca.htm文件中又包含了對(duì)Logon.htm的引用，這種遞歸引用是不允許的。Post請(qǐng)求用于用戶(hù)提交用戶(hù)名和密碼以及用戶(hù)執(zhí)行登錄、下線操作。3.Post請(qǐng)求中的屬性標(biāo)準(zhǔn)(1)認(rèn)證頁(yè)面中表單〔Form〕的編輯必須符合以下原那么：認(rèn)證頁(yè)面可以含有多個(gè)Form，但是必須有且只有一個(gè)Form的，否那么無(wú)法將用戶(hù)信息送到本地Portal效勞器。用戶(hù)名屬性固定為〞PtUser〞，密碼屬性固定為〞PtPwd〞。需要有用于標(biāo)記用戶(hù)登錄還是下線的屬性〞PtButton〞，取值為"Logon"表示登錄，取值為"Logoff"表示下線。登錄Post請(qǐng)求必須包含〞PtUser〞，〞PtPwd〞和"PtButton"三個(gè)屬性。下線Post請(qǐng)求必須包含〞PtButton〞這個(gè)屬性。(2)需要包含登錄Post請(qǐng)求的頁(yè)面有l(wèi)ogon.htm和。logon.htm頁(yè)面腳本內(nèi)容的局部例如：<formaction=logon.cgimethod=post><p>Username:<inputtype="text"name="PtUser"style="width:160px;height:22px"maxlength=64><p>Password:<inputtype="password"name="PtPwd"style="width:160px;height:22px"maxlength=32><p><inputtype=SUBMITvalue="Logon"name="PtButton"style="width:60px;"></form>(3)需要包含下線Post請(qǐng)求的頁(yè)面有l(wèi)ogonSuccess.htm和。online.htm頁(yè)面腳本內(nèi)容的局部例如：<formaction=logon.cgimethod=post><p><inputtype=SUBMITvalue="Logoff"name="PtButton"style="width:60px;"></form>1-164.頁(yè)面文件壓縮及保存標(biāo)準(zhǔn)完成所有認(rèn)證頁(yè)面的編輯之后，必須按照標(biāo)準(zhǔn)Zip格式將其壓縮到一個(gè)Zip文件中，該Zip文件的文件名只能包含字母、數(shù)字和下劃線。缺省認(rèn)證頁(yè)面文件必須以defaultfile.zip為文件名保存。壓縮后的Zip文件中必須直接包含認(rèn)證頁(yè)面，不允許存在間接目錄。壓縮生成的Zip文件可以通過(guò)FTP或TFTP的方式上傳至設(shè)備，并保存在設(shè)備的指定目錄下。缺省認(rèn)證頁(yè)面文件必須保存在設(shè)備的根目錄下，非缺省認(rèn)證頁(yè)面文件可以保存在設(shè)備根目錄下或者根目錄的portal目錄下。Zip文件保存目錄例如：<Sysname>dirDirectoryofflash:/portal/2540KBtotal(1319KBfree)5.頁(yè)面文件大小和內(nèi)容標(biāo)準(zhǔn)為了方便系統(tǒng)推出自定義的認(rèn)證頁(yè)面，認(rèn)證頁(yè)面在文件大小和內(nèi)容上需要有如下限制：每套頁(yè)面〔包括主索引頁(yè)面文件及其頁(yè)面元素〕壓縮后的Zip文件大小不能超過(guò)500K字節(jié)。每個(gè)單獨(dú)頁(yè)面〔包括單個(gè)主索引頁(yè)面文件及其頁(yè)面元素〕壓縮前的文件大小不能超過(guò)50K字節(jié)。頁(yè)面元素只能包含HTML、JS、CSS和圖片之類(lèi)的靜態(tài)內(nèi)容。6.關(guān)閉登錄成功/在線頁(yè)面后強(qiáng)制用戶(hù)下線用戶(hù)認(rèn)證成功后，系統(tǒng)會(huì)推出登錄成功頁(yè)面〔文件名為〕，認(rèn)證通過(guò)后再次通過(guò)登錄頁(yè)面進(jìn)行認(rèn)證操作，系統(tǒng)會(huì)推出在線頁(yè)面〔文件名為〕。假設(shè)希望用戶(hù)關(guān)閉這兩個(gè)頁(yè)面的同時(shí)，觸發(fā)設(shè)備執(zhí)行強(qiáng)制當(dāng)前在線用戶(hù)下線的操作，就需要按照如下要求在這兩個(gè)頁(yè)面文件的腳本文件中增加如下內(nèi)容。(1)添加對(duì)JS文件“〞的引用；(2)添加觸發(fā)頁(yè)面卸載的函數(shù)“pt_unload()〞；(3)添加Form的提交事件處理函數(shù)“pt_submit()〞；(4)添加頁(yè)面加載的初始化函數(shù)“pt_init()〞。需要在logonSuccess.htm和online.htm頁(yè)面腳本中增加的內(nèi)容如例如中突出顯示局部：<html><head><scripttype="text/javascript"language="javascript"src="pt_private.js"></script></head><bodyonload="pt_init();"onbeforeunload="returnpt_unload();">......<formaction=logon.cgimethod=postonsubmit="pt_submit()">......</body></html>7.認(rèn)證成功后認(rèn)證頁(yè)面自動(dòng)跳轉(zhuǎn)假設(shè)要支持認(rèn)證成功后自定義認(rèn)證頁(yè)面的自動(dòng)跳轉(zhuǎn)功能，即認(rèn)證頁(yè)面會(huì)在用戶(hù)認(rèn)證成功后自動(dòng)跳轉(zhuǎn)到設(shè)備指定的網(wǎng)站頁(yè)面，那么需要按照如下要求在認(rèn)證頁(yè)面logon.htm和logonSuccess.htm的腳本文件中做如下改動(dòng)。(1)將logon.htm文件中的Form的target值設(shè)置為“_blank〞。1-17修改的腳本內(nèi)容如下突出顯示局部所示：<formmethod=postaction=logon.cgitarget="blank">(2)logonSucceess.htm文件添加頁(yè)面加載的初始化函數(shù)“pt_init()〞。增加的腳本內(nèi)容如下突出顯示局部所示：<html><head><title>LogonSuccessed</title><scripttype="text/javascript"language="javascript"src="pt_private.js"></script></head><bodyonload="pt_init();"onbeforeunload="returnpt_unload();">......</body></html>推薦使用IE6.0版本以上的瀏覽器。需要用戶(hù)瀏覽器設(shè)置為允許彈出窗口，或者將設(shè)備的IP地址設(shè)置為允許彈出的網(wǎng)站地址。假設(shè)瀏覽器禁止彈出窗口，那么關(guān)閉登錄成功或在線頁(yè)面時(shí)會(huì)提示用戶(hù)無(wú)法下線，用戶(hù)可以點(diǎn)擊“取消〞回到原頁(yè)面。Chrome瀏覽器不支持關(guān)閉登錄成功/在線頁(yè)面后的強(qiáng)制用戶(hù)下線功能。刷新登錄成功/在線頁(yè)面或者使該頁(yè)面跳轉(zhuǎn)到別的網(wǎng)站上時(shí)都會(huì)觸發(fā)強(qiáng)制用戶(hù)下線事件。配置本地Portal效勞器在本配置任務(wù)中，通過(guò)指定Portal客戶(hù)端和本地Portal效勞器之間采用的通信協(xié)議〔或S〕，接入設(shè)備上的本地Portal效勞器功能才能生效。1.配置準(zhǔn)備假設(shè)指定本地Portal效勞器支持的協(xié)議類(lèi)型為S，那么需要首先完成以下配置：配置PKI策略，并成功申請(qǐng)本地證書(shū)和CA證書(shū)，具體配置請(qǐng)參見(jiàn)“平安配置指導(dǎo)〞中的“PKI配置〞。配置SSL效勞器端策略，并指定使用已配置的PKI域。具體配置請(qǐng)參見(jiàn)“平安配置指導(dǎo)〞中的“SSL配置〞。由于指定本地Portal效勞器支持的協(xié)議類(lèi)型時(shí)，本地Portal效勞器將同時(shí)加載已保存在根目錄的缺省認(rèn)證頁(yè)面文件，因此假設(shè)需要使用自定義的缺省認(rèn)證頁(yè)面文件，那么需要首先完成對(duì)它的編輯和保存工作，否那么使用系統(tǒng)默認(rèn)的缺省認(rèn)證頁(yè)面。2.配置本地Portal效勞器表1-6配置本地Portal效勞器操作命令說(shuō)明進(jìn)入系統(tǒng)視圖system-view-配置本地Portal效勞器支持的協(xié)議類(lèi)型，并同時(shí)加載缺省認(rèn)證頁(yè)面文件portallocal-server{|sserver-policypolicy-name}必選缺省情況下，本地Portal效勞器不支持任何協(xié)議類(lèi)型配置本地Portal效勞器缺省認(rèn)證頁(yè)面的歡送信息portalserverbannerbanner-string可選缺省情況下，無(wú)Web頁(yè)面歡送信息1-181.6使能Portal認(rèn)證只有在接口上使能了Portal認(rèn)證，對(duì)接入用戶(hù)的Portal認(rèn)證功能才能生效。使能二層Portal認(rèn)證在使能二層Portal認(rèn)證之前，需要滿足以下要求：已經(jīng)指定了本地Portal效勞器的監(jiān)聽(tīng)I(yíng)P地址；未在任何接口上使能三層Portal認(rèn)證。表1-7使能二層Portal認(rèn)證操作命令說(shuō)明進(jìn)入系統(tǒng)視圖system-view-進(jìn)入二層以太網(wǎng)端口視圖interfaceinterface-typeinterface-number-在端口上使能二層Portal認(rèn)證portallocal-serverenable必選缺省情況下，未使能二層Portal認(rèn)證為使二層端口上的Portal認(rèn)證功能正常運(yùn)行，不建議端口上同時(shí)使能端口平安、802.1X的GuestVLAN或802.1X的EAD快速部署功能。假設(shè)要支持授權(quán)VLAN下發(fā)功能，那么需要在端口上使能MACVLAN功能。使能三層Portal認(rèn)證在使能三層Portal認(rèn)證之前，需要滿足以下要求：使能Portal的接口已配置或者獲取了合法的IP地址；接口上引用的Portal效勞器名已經(jīng)存在；未在任何端口上使能二層Portal認(rèn)證。表1-8使能三層Portal認(rèn)證操作命令說(shuō)明進(jìn)入系統(tǒng)視圖system-view-進(jìn)入接口視圖interfaceinterface-typeinterface-number-只能是三層接口在接口上使能三層Portal認(rèn)證portalserverserver-namemethod{direct|layer3|redhcp}必選缺省情況下，沒(méi)有使能三層Portal認(rèn)證1-19設(shè)備向Portal效勞器主動(dòng)發(fā)送報(bào)文時(shí)使用的目的端口號(hào)必須與遠(yuǎn)程Portal效勞器實(shí)際使用的端口號(hào)保持一致。為保證設(shè)備能夠向MPLSVPN私網(wǎng)中的Portal效勞器發(fā)送報(bào)文，配置Portal效勞器時(shí)需指定效勞器所屬的VPN且必須和該效勞器所在的VPN保持一致。已配置的Portal效勞器及其參數(shù)僅在該P(yáng)ortal效勞器未被接口引用時(shí)才可以被刪除或修改。對(duì)于跨三層設(shè)備支持Portal認(rèn)證的應(yīng)用只能配置可跨三層Portal認(rèn)證方式〔portalserverserver-namemethodlayer3〕，但可跨三層Portal認(rèn)證方式不要求接入設(shè)備和Portal用戶(hù)之間必需跨越三層設(shè)備。在二次地址分配認(rèn)證方式下，允許用戶(hù)在未通過(guò)Portal認(rèn)證時(shí)以公網(wǎng)地址向外發(fā)送報(bào)文，但相應(yīng)的回應(yīng)報(bào)文那么受限制。使用本地Portal效勞器時(shí)，Portal效勞器參數(shù)key、port和url均不需配置，假設(shè)配置也無(wú)效；另外，接口上使能redhcp〔二次地址〕方式的Portal也可配置但不生效。1.7控制Portal用戶(hù)的接入配置免認(rèn)證規(guī)那么通過(guò)配置免認(rèn)證規(guī)那么〔free-rule〕可以讓特定的用戶(hù)不需要通過(guò)Portal認(rèn)證即可訪問(wèn)外網(wǎng)特定資源，這是由免認(rèn)證規(guī)那么中配置的源信息以及目的信息決定的。免認(rèn)證規(guī)那么的匹配項(xiàng)包括IP地址、MAC地址、所連接設(shè)備的接口和VLAN，只有符合免認(rèn)證規(guī)那么的用戶(hù)報(bào)文才不會(huì)觸發(fā)Portal認(rèn)證，因此這些報(bào)文所屬的用戶(hù)才可以直接訪問(wèn)網(wǎng)絡(luò)資源。對(duì)于二層Portal認(rèn)證，只能配置從任意源地址〔即sourceany〕到任意或指定目的地址的免認(rèn)證規(guī)那么。配置了到指定目的地址的免認(rèn)證規(guī)那么后，用戶(hù)不需要通過(guò)Portal認(rèn)證即可訪問(wèn)指定目的網(wǎng)段或地址的網(wǎng)絡(luò)資源，且用戶(hù)訪問(wèn)這些資源的請(qǐng)求不會(huì)被重定向到Portal認(rèn)證頁(yè)面上。通常，可以將一些提供特定效勞器資源〔例如軟件升級(jí)效勞器〕的IP地址指定為免認(rèn)證規(guī)那么的目的IP，便于二層Portal用戶(hù)在免認(rèn)證的情況下獲取特定的效勞資源。表1-9配置免認(rèn)證規(guī)那么操作命令說(shuō)明進(jìn)入系統(tǒng)視圖system-view-配置Portal的免認(rèn)證規(guī)那么S5500-EI系列以太網(wǎng)交換機(jī)：portalfree-rulerule-number{destination{any|ip{ip-addressmask{mask-length|netmask}|any}}|source{any|[ip{ip-addressmask{mask-length|mask}|any}|macmac-address|vlanvlan-id]*}}*S5500-SI系列以太網(wǎng)交換機(jī)：portalfree-rulerule-number{destination{any|ip{ip-addressmask{mask-length|netmask}|any}}}*必選1-20相同內(nèi)容的免認(rèn)證規(guī)那么不能重復(fù)配置，否那么提示免認(rèn)證規(guī)那么已存在或重復(fù)。無(wú)論接口上是否使能Portal認(rèn)證，只能添加或者刪除免認(rèn)證規(guī)那么，不能修改。配置認(rèn)證網(wǎng)段本特性?xún)H三層Portal認(rèn)證支持。通過(guò)配置認(rèn)證網(wǎng)段實(shí)現(xiàn)只允許在認(rèn)證網(wǎng)段范圍內(nèi)的用戶(hù)報(bào)文才能觸發(fā)Portal強(qiáng)制認(rèn)證。如果用戶(hù)在訪問(wèn)外部網(wǎng)絡(luò)之前未主動(dòng)進(jìn)行Portal認(rèn)證，且用戶(hù)報(bào)文既不滿足免認(rèn)證規(guī)那么又不在認(rèn)證網(wǎng)段內(nèi)，那么用戶(hù)報(bào)文將被接入設(shè)備丟棄。表1-10配置認(rèn)證網(wǎng)段操作命令說(shuō)明進(jìn)入系統(tǒng)視圖system-view