V7.1iMCEIAPortal無(wú)感知認(rèn)證的典型配置全解

1、V7.1 iMC EIA Portal無(wú)感知認(rèn)證的典型配置一、組網(wǎng)需求：在企業(yè)、學(xué)?；蚱渌h(huán)境中使用智能終端進(jìn)行 Portal認(rèn)證上線，并且在使用過(guò) 程中可能會(huì)出現(xiàn)頻繁的上線、下線操作。而 Portal無(wú)感知認(rèn)證是一種針對(duì)智能 終端、無(wú)需輸入用戶名和密碼即可上線的認(rèn)證過(guò)程。用戶第一次使用智能終端時(shí)， 通過(guò)瀏覽器上網(wǎng)產(chǎn)生流量，設(shè)備會(huì)重定向到Portal認(rèn)證頁(yè)面。用戶輸入用戶名、 密碼、服務(wù)等信息后上線，服務(wù)器會(huì)將認(rèn)證信息以及終端的 MAC地址保存到數(shù)據(jù) 庫(kù)中。當(dāng)用戶再次使用該智能終端訪問(wèn)網(wǎng)絡(luò)產(chǎn)生流量時(shí)， 服務(wù)器自動(dòng)使用該認(rèn)證 信息進(jìn)行認(rèn)證，免去了用戶輸入認(rèn)證信息上線的過(guò)程。本案例主要實(shí)現(xiàn)智能終端

2、 如何進(jìn)行Portal無(wú)感知認(rèn)證以及如何讓非智能終端也實(shí)現(xiàn) Portal無(wú)感知認(rèn)證。二、組網(wǎng)圖:無(wú)。版本：iMC EIA 7.1 E0303三、配置步驟: 第一部分：iMC側(cè)配置1. 增加需要無(wú)感知認(rèn)證的終端IP地址組a55耐止垃*回甘電*1 2. 增加portal設(shè)備3倩連百-5OT*“洽陽(yáng)-枕&.監(jiān)主Portal 2J0*1xm認(rèn)證：加-d下刼洱:囲。I生皿丁3*即電戶UK *蘭*?=-SIU.ZS -|1占齊梃I亞幻輸入設(shè)備名“ 5004”、IP地址“ ”和密鑰 確認(rèn)密鑰“ admin”，并選擇組網(wǎng)方式直連，其他參數(shù)保持默認(rèn)即可。幾個(gè)注意點(diǎn)：1）密鑰必須與設(shè)備上

3、配置的Portal服務(wù)器密鑰保持一致。2） 增加的Portal設(shè)備IP地址必須和設(shè)備上配置的Portal nas-ip保持一致，設(shè) 備上如果沒(méi)有手工指定的話則Portal nas-ip 默認(rèn)為啟用Portal認(rèn)證的接口 IP地址。3）組網(wǎng)方式需要和設(shè)備上配置的 Portal server xx method direct 對(duì)應(yīng)。其中 認(rèn)證的客戶端IP如果和設(shè)備啟用Portal認(rèn)證的接口 IP屬于同網(wǎng)段則為直連方 式，跨網(wǎng)段則為三層方式。3. 增加Portal設(shè)備的端口組信息，注意無(wú)感知認(rèn)證這一項(xiàng)選擇 “支持”，否則用 戶在該端口組對(duì)應(yīng)的端口上不能進(jìn)行 Portal無(wú)感知認(rèn)證。孚冃產(chǎn) A SHA

4、FHE音理 AA LJ腳E豈A EltoHOKaflfm t之血匚如5004-frteaia 匚aHTTP丁ftffiU.uE-ASFnat S-ft*.斗 BI*噸K -OHAPiJkl*r)CSWK5：州 *10承*盧ifttt砂* 2不訂-1Kt I鈿4. 查看Portal服務(wù)器配置憐用戶 風(fēng)4、細(xì)空倨A Px*厲豆臬- W目去埸:宜衛(wèi)試二Portal Server麻津旅越1町韻牡1Aas生叮刖日更旳輸紗.|7wMi斕何巒1卯1| 5Ptortal Wdb1 IS左互愈祠蠱蛙轉(zhuǎn)傳戶乞滇ie竟aT斜TTP心統(tǒng)弄區(qū)茄右式*HTM3克超曲云方m*1PortajS她ran4Ul4IMi41411

5、3ClEftWiA，廚姑二電戶帚出密訊匚巨黑用戶胡曲雨略2 一環(huán)幵F同R依連i.證用產(chǎn)1. AP注冊(cè)、DHCP、無(wú)線等相關(guān)配置略。2. 創(chuàng)建 portal 認(rèn)證使用的 radius scheme 55radius scheme 55server-type exte ndedprimary authe nticatio n 20primary accou nting 20 key authe nticati on simple adm in key acco unting simple adm in nas-ip 3. 創(chuàng)建do

6、main 55，并配置使用該domain的認(rèn)證、授權(quán)、計(jì)費(fèi)請(qǐng)求都由上一步 新建的RADIUS方案55來(lái)處理。doma in 55authe nticati on portal radius-scheme 55authorizati on portal radius-scheme 55 acco un ti ng portal radius-scheme 55 doma in default en able 554. 配置 Portal 服務(wù)器及重定向頁(yè)面 http:/ 20/portalportal server 55 ip 20 key simpl

7、eadmi n url20:8080/portal server-type imc5. 配置終端MAC地址上傳給EIA服務(wù)器（此處為Portal無(wú)感知認(rèn)證需要的命令）portal mac-trigger server ip 20命令說(shuō)明：MAC綁定服務(wù)器上記錄了 Portal用戶的MAC地址與Portal用戶帳號(hào) 的綁定關(guān)系，當(dāng)MAC綁定服務(wù)器接收到來(lái)自接入設(shè)備的 MA（綁定查詢請(qǐng)求后，會(huì) 查詢?cè)揗AC地址是否與服務(wù)器上的Portal用戶帳號(hào)綁定。如果已綁定，則 MAC 綁定服務(wù)器獲取該用戶的帳號(hào)信息，并使用該用戶的用戶名和密碼向接入設(shè)備

8、直 接發(fā)起Portal認(rèn)證。6. 在用戶對(duì)應(yīng)的VLAN虛接口下期啟用portal認(rèn)證in terface Vla n-i nterface55ip address portal server 55 method directportal nas-ip 7. 在用戶對(duì)應(yīng)的虛接口下啟用上傳 MACM址的功能（此處為Portal無(wú)感知認(rèn)證需要的命令）portal mac-trigger en able period 60 threshold 1024命令說(shuō)明：period period-value :用戶流量的統(tǒng)計(jì)周期，單

9、位為秒，取值范圍 為 607200,缺省值為 300 秒。threshold threshold-value :觸發(fā) MAC快速認(rèn) 證的用戶流量閾值，單位為字節(jié)，取值范圍為010240000,缺省值為0,表示只要Portal用戶有訪問(wèn)網(wǎng)絡(luò)的流量產(chǎn)生，設(shè)備就立即觸發(fā)MAC快速認(rèn)證，且不允許用戶在通過(guò)認(rèn)證前有除免認(rèn)證規(guī)則所允許的以外的流量通過(guò)接入設(shè)備。該值越大，表示允許用戶通過(guò)認(rèn)證前可使用的流量越多，請(qǐng)根據(jù)網(wǎng)絡(luò)流量的實(shí)際應(yīng)用情況合理設(shè)置。接入設(shè)備實(shí)時(shí)檢測(cè) Portal用戶的流量，在一個(gè)統(tǒng)計(jì)周期內(nèi)，用 戶的流量達(dá)到設(shè)定的閾值之前，允許用戶訪問(wèn)外部網(wǎng)絡(luò)資源，一旦用戶流量達(dá)到 設(shè)定的閾值，則觸發(fā)MAC快

10、速認(rèn)證。若認(rèn)證通過(guò)，則流量統(tǒng)計(jì)清零；若認(rèn)證未通過(guò)，則在本統(tǒng)計(jì)周期內(nèi)不會(huì)再次觸發(fā) MAC快速認(rèn)證，到本次統(tǒng)計(jì)周期結(jié)束時(shí)，流量統(tǒng)計(jì)清零，并重新開始重復(fù)以上過(guò)程。第三部分：驗(yàn)證配置1. 第一次使用智能終端通過(guò)瀏覽器訪問(wèn)網(wǎng)絡(luò)，網(wǎng)頁(yè)被重定向到 面，然后輸入用戶名、密碼等認(rèn)證信息，進(jìn)行認(rèn)證并上線。 曲月1用戶性=.es a w如上圖所示，win7電腦終端認(rèn)證上線后默認(rèn)是不會(huì)在無(wú)感知認(rèn)證用戶列表的。點(diǎn)擊Portal無(wú)感知認(rèn)證用戶下的“無(wú)感知認(rèn)證特征管理”按鈕，進(jìn)入無(wú)感知認(rèn) 證特征管理頁(yè)面，系統(tǒng)預(yù)置了大量常用HTTP特征，只有符合這些特征的終端才能進(jìn)行無(wú)感知認(rèn)證。而電腦對(duì)應(yīng)的終端特征不在此特征庫(kù)中時(shí)， 所以無(wú)

11、法進(jìn)行無(wú) 感知認(rèn)證。1. 增加電腦終端對(duì)應(yīng)的HTTP特征，終端對(duì)應(yīng)的HTTP特征獲取方法可參考配置關(guān) 鍵點(diǎn)說(shuō)明。號(hào)曲嚴(yán)a帖n匡叔訃逵冃色s 狂和込旺HTTP啞音揑證HTTPffiilmcEU.iEHTTPffliJmttpws Wincfoi NT .112. 用戶-接入策略管理-業(yè)務(wù)參數(shù)配置-系統(tǒng)配置-終端管理參數(shù)下，需要啟用“非 智能終端Portal無(wú)感知認(rèn)證”，此處稍微留意V7不同版本下此參數(shù)名稱有可能 不一樣。IB內(nèi)甲葺M壬河認(rèn)超Sffi單餐二*註缶W(wǎng)zr熬0 fflMTS-SSWfJTFji3. win7電腦終端再認(rèn)證上線后，可以在 Portal無(wú)感知認(rèn)證用戶列表中查看到埔=伽vss

12、ia*rFii4HR 忤掄二卑It號(hào)售Be囂a牌哪宮b畛宮fit xm ab2ai-4113ll2D14113D0S5angiu11301XI1-4-11-B0 141H7 k2DU11WJ0141130455-ouyangiu11201-11-3013-5*39 1. SM1 - 2 P H yi Iff,四、配置關(guān)鍵點(diǎn)：1. Portal無(wú)感知認(rèn)證的iMC側(cè)配置主要是在普通 Portal認(rèn)證的配置基礎(chǔ)上增加如下三處配置：1) Portal設(shè)備的端口組信息中無(wú)感知認(rèn)證這一項(xiàng)必須選擇“支持”2）增加的接入服務(wù)中必須勾選“ portal無(wú)感知認(rèn)證”3）增加的接入用戶必須選擇“ Portal無(wú)感知

13、認(rèn)證最大綁定數(shù)”2. Portal 無(wú)感知認(rèn)證特性必須保證認(rèn)證設(shè)備支持，命令主要是portalmac-trigger server ip x.x.x.x和 portal mac-trigger enable。另外如果認(rèn)證設(shè)備無(wú)法獲取終端用戶的 MAC地址如三層Portal認(rèn)證，也將無(wú)法使用Portal 無(wú)感知認(rèn)證功能。3. HTTP User Age nt的獲取方法1）在已部署EIP組件的情況下，可通過(guò)用戶-終端管理-識(shí)別特征管理過(guò)濾查詢， 如下所示通過(guò)操作系統(tǒng)中搜索 windows即可查到windows7對(duì)應(yīng)的HTTP User Age nt 屬性為 Win dows NT 6.1。Wind

14、ows INT 6.0I Wirdows N6.1Window NTWindows司 Windows VistaH 徐tfKta忙霖誨1個(gè)人電肱目Windows?悔啊豁司恤如緒磁首Window舷沖二缶DWindows S旨2）抓取客戶端打開網(wǎng)頁(yè)發(fā)出 HTTP請(qǐng)求報(bào)文的抓包，獲取 HTTP報(bào)文中的user-age nt 字段Nm rMTMOeslincHi107U 0.4 5&GHLLa.8.14.135ID. 61.253.LQ2O-Jiij -EB9JId.Bl. Z5 3.1Q210.00.14-115ioj10.Hi.li.iJS104他上氐2S1.1HlQt弧鮎

15、113 1.G90S34IO. St. 14.13510. G3.233.ia2111 1bMJ5B1 10.4J. SlJ-.lOdID.BM.L4.1J5151仍ELL盟lldfli, 14,13510.6353,102IM 3-522T7Dla.tJ. 2S1. m210. flB.L4.15UVWi3-N-ItM If t17-9 札 i357103. 251,1021O.B6.U,1J51W 5-J-t?3i&10. B. 141.13510. 63.253.102IM 5.4&-9T5710.61. Z51.1Q210. EIB.L4.il155 5.HiMETWHV/1.1 Li

16、ppi 1 ca-ilorx/K-MM-fwh-uf 1 nnfodad)HTTP/1.1 gPrtriocd lr*oM-5E4RCH HTW/i,!post /cusT-aiwr pmt hqj/e http/1. 3(appH i：ai IdrK/u-fti-rDrH-ijr I sncodad)HTTP/1-1 MO MGET 1.,AtCcuiit ,Ger.gk.t /sDrrlcd/sofcHArd oowHlaad/nri ichidd X htttf/1.1田 Fraiw 1?( (6JB bytes an wire-,. 62鼻 bytes- t-vtured)-tthwn

17、ai 1IB fire ; aD:-IB:lC!a:6d:cE:aB:6dica；i, esr! 74i2 5:BaE:d8:7d(74:2S:Sa:36:dH:.7d田 iniernei PrOTOCOl sre： lA. 194.1.1)5 aos88u.l35) s DSC： UDr251.102 (W,-63,253,102)-Tranwisiiisn Corrtiro-l Protocol., Src Pert: 5-Mia J (55045)B Ost Port: http (BO) r 5 eq: ZJTBj Ackr 1Z7S, Len: 5 74 tfypffftaxi: T

18、ransfer raEKalget yi4e5Sige/&erL4Ti&scHe!5s*oe?_-niiS&iii 1311* imrpyi,irMK-fieqvted-Witti: XMLktt pRcquest r,i.nAecopi: appl 1 cjxi izn./jsan. ixic/javas-crfpr. */*; q-D. Ol-.rVfiHeTep; He t|y；/cc. ti3c. wcii5ToaeryWLn?ci *escwh|WViAccept - Languaxe: ah-iClirnng: g?1pr daflt:aXirn1111/-*.0 (ceftpdTWlt； M51E 7.0?ITl-denT/e.Ot S