1、V7 iMC portal认证典型配置案例 一、组网需求: 某公司计划启用Portal认证,用户接入网络时需要进行身份验证,具体的组网如图所示。EIA服务器IP地址为192.168.1.120,接入 设备用户侧IP地址为192.168.2.1。PC IP地址为192.168.2.15,安装了Windows操作系统,并安装iNode 客户端。 注:本案例中各部分使用的版本如下: EIA版本为iMC EIA 7.1 (E0302) 接入设备为H3C MSR3020 version 5.20, Release 2509, Standard iNode版本为 iNode PC 7.1(E0302P02
2、) 说明:通用Portal认证不包含任何接入控制和安全检查。用户身份验证成功后便可接入网络。 二、组网图: 三、配置步骤: 1、配置接入设备 接入设备用于控制用户的接入。通过认证的用户可以接入网络,未通过认证的用户无法接入网络。具体的命令及其说明如下: 配置RADIUS策略“portalpermit”。认证、计费服务器均指向EIA口、计费端口、共享密钥要与EIA接入设备时的配置保持一致。 routerradius scheme portalpermit New Radius scheme router-radius-portalpermitprimary authentication 192.
3、168.1.120 1812 router-radius-portalpermitprimary accounting 192.168.1.120 1813 router-radius-portalpermitkey authentication admin router-radius-portalpermitkey accounting admin router-radius-portalpermituser-name-format with-domain router-radius-portalpermitnas-ip 192.168.2.1 router-radius-portalper
4、mitqui routerdomain portal router-isp-portalauthentication portal radius-scheme portalpermit router-isp-portalauthorization portal radius-scheme portalpermit router-isp-portalaccounting portal radius-scheme portalpermit router-isp-portalqui router portal free-rule 0 source ip any destination 221.10.
5、1.1 mask 255.255.255.255 /放通访问dns,例如dns 的地址为221.10.1.1。 注意:配置domain域“portal ”,引用配置好的“portalpermit”策略。domain的名称必须与EIA的后缀保持一致。 routerportal server myportal ip 192.168.1.120 key admin url http:/192.168.1.120:8080/portal 在接口下直接启用Portal认证,Portal服务器配置为“myportal”。 routerinterface GigabitEthernet 0/1 router
6、-GigabitEthernet0/1portal server myportal method direct 2、配置EIA 配置EIA时,需要配置以下功能: 接入设备、接入策略、接入服务、接入用户和Portal服务 2.1、增加接入设备 1)选择“用户”页签。单击导航树中的“接入策略管理 接入设备管理 接入设备配置”菜单项,进入接入设备配置页面。 2)单击按钮,进入增加接入设备页面。 3)公共参数只需要输入共享密钥确认共享密钥“admin”,选择设备类型H3C(General),其他保持默认即可,认证端口和计 费端口默认为1812、1813,且与设备配置保持一致。 4)单击按钮,增加接入设
7、备完毕,进入结果显示页面。点击“返回接入设备列表”链接,返回接入设备配置页面,在列 表中查看新增的接入设备。 2.2、增加接入策略 1)选择“用户”页签。单击导航树中的“接入策略管理 接入策略管理”菜单项,进入接入策略管理页面。 2)单击按钮,进入增加接入策略页面。 3)因为不需要任何接入控制,所以输入接入策略名“my permit”,其他参数保持默认即可。 4)单击按钮,返回接入策略管理页面,新增的接入策略显示在列表中。 2.3、增加接入服务 1)选择“用户”页签。单击导航树中的“接入策略管理 接入服务管理”菜单项,进入接入服务管理页面。 2)单击按钮,进入增加接入服务页面。服务名设置为my
8、 portal,服务后缀需要和设备侧配置的domain域portal一样。 3)单击按钮,完成增加接入服务。返回接入服务管理页面,在列表中查看新增的接入服务。 2.4、增加接入用户 1)选择“用户”页签。单击导航树中的“接入用户管理 接入用户”菜单项,进入接入用户页面。 2)单击按钮,进入增加接入用户页面。 3)单击按钮,弹出用户选择窗口。单击按钮,可以增加平台用户,单击按钮。 5)单击按钮,完成增加接入用户,返回接入用户页面。在列表中查看新增的接入用户。 3、配置Portal服务 3.1、服务器配置 1)选择“用户”页签。单击导航树中的“接入策略管理 Portal服务管理 服务器配置”菜单项
9、,进入服务器配置页面。 2)在服务类型列表中,单击按钮,弹出增加服务类型窗口。服务类型标识需要和设备侧配置的domain域名portal一致。 3)单击按钮,完成Portal服务器配置。 3.2、 IP地址组配置 1)选择“用户”页签。单击导航树中的“接入策略管理 Portal服务管理 IP地址组配置”菜单项,进入IP地址组配置页面。 2)输入IP地址组名“portal_test”,起始地址192.168.2.10和终止地址192.168.2.100。IP地址属于该地址段的终端都要进行 认证。 3)单击按钮,完成增加IP地址组,返回IP地址组配置页面。在列表中查看新增的IP地址组。 3.3、
10、设备配置 1)选择“用户”页签。单击导航树中的“接入策略管理 Portal服务管理 设备配置”菜单项,进入设备配置页面。 2)输入设备名“msr3020”,IP地址“192.168.2.1”和密钥确认密钥“admin”,并选择组网方式和版本,其他参数保持默认 即可。密钥要与设备上配置的Portal服务器密钥保持一致。 3)单击按钮,完成增加设备信息。返回设备配置页面,在列表中查看新增的设备信息。 4)在设备信息列表中,单击操作下的端口组信息管理图标,进入端口组信息配置页面。 5) 单击按钮,进入增加端口组信息页面。 6)输入端口组名“port_portal”,选择之前配置的“portal_test”,其他参数保持默认即可。 7)单击按钮,完成增加端口组信息。返回端口组信息配置页面,在列表中查看新增的端口组信息。 4、实验验证结果: Web界面认证: 输入用户名和密码后,提示如下界面:
