H3C E126[E126A]以太网交换机 操作手册-Release 22XX系列(V1.00) - H3C E126[E126A]以太网交换机 操作手册-Release 22XX系列(V1.00)_Web认证操作- 新华三集团-H3C
配置操作手册
H3C E126[E126A]以太网交换机 操作手册-Release 22XX系列(V1.00)
20-Web认证操作
docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/E/E126/Configure/Operation_Manual/H3C_E126[E126A]_OM-Release_22XX(V1.00)/627_30005_0.htm
20-Web认证操作
目前，仅E126A以太网交换机支持Web认证功能。
Web认证是一种基于端口对用户访问网络的权限进行控制的认证方法，它不需要用户安装专用的客户端认证软件。
开启Web认证功能后，认证通过前客户端不能访问网络，只能打开认证页面，或者访问免认证IP指定的地址，认证通过后可以访问所有可达网络。
配置ISP域及其使用的AAA方案，选择使用RADIUS认证方案，以配合完成用户的身份认证。
lWeb认证使用的AAA认证方案只能为RADIUS认证方案，不支持本地认证。
lAAA认证方案下配置的接入用户数目限制对Web认证不生效。Web认证不支持计费，所以AAA方案配置中请配置计费为可选。
进入系统视图
system-view
设置Web认证服务器的IP地址和端口号
web-authentication web-server ip ip-address [ port port-number ]
缺省情况下，端口号为80，未配置Web认证服务器IP地址
开启全局Web认证特性
web-authentication enable
缺省情况下，全局Web认证特性处于关闭状态
在端口上开启Web认证
interface-type interface-number
缺省情况下，端口未开启Web认证
web-authentication select method { shared | designated | extended }
设置Web认证的免认证IP地址
web-authentication free-ip ip-address { mask-length | mask
缺省情况下，未配置Web认证的免认证IP地址
配置强制切断Web认证用户
web-authentication cut connection { all | mac mac-address | user-name user-name
| interface interface-type interface-number }
配置Web认证闲置用户检测定时器的时长
web-authentication timer idle-cut timer
缺省情况下，闲置用户检测定时器的时长为900秒
限制Web认证用户最长在线时间
web-authentication timer max-online timer
缺省情况下，限制Web认证用户最长在线时间为1800秒
配置一个端口上能通过Web认证的用户最大个数
web-authentication max-connection number
缺省情况下，端口上能通过Web认证的用户最大个数为128
l开启全局Web认证功能前，首先必须配置Web认证服务器的IP地址。
l如果开启了Web认证，则不能配置端口汇聚特性，反之，如果配置了端口汇聚等特性，则禁止开启Web认证。
l各端口的Web认证参数在全局开启之前可以配置，但不会生效；在全局Web认证开启后，已使能Web认证的端口将立即开始进行认证操作。
lWeb认证客户端与开启了Web认证功能的交换机之间必须路由可达，以完成Web认证页面的推出。
lWeb认证不可以与IP过滤、ARP入侵检测、QoS、端口绑定等使用ACL的功能同时使用。
l对于共享接入方式（shared）上线的用户，如果配置的免认证用户的IP地址和MAC地址和在线用户的IP地址和MAC地址都相同时，对应的用户被强制下线。
l利用web-authentication select method extended可以在Hybrid口上开启Web认证功能。
认证的Auth-Fail VLAN配置
在某些情况下，对于Web认证失败的客户端，要求其仍然可以访问网络中的部分受限资源，例如病毒库升级服务器等，这时可以使用Web认证的Auth-Fail VLAN功能来实现。
根据VLAN下发方式的不同，可以将Web认证的Auth-Fail VLAN划分为两种：基于端口的Auth-Fail VLAN（简称为PAFV）和基于MAC的Auth-Fail VLAN（简称为MAFV）。
l基于端口的Auth-Fail VLAN：若有用户Web认证失败，则该端口将被加入Auth-Fail VLAN，所有在该端口接入的用户将被授权访问Auth-Fail VLAN里的资源。
l基于MAC的Auth-Fail VLAN：该端口下必须同时开启MAC VLAN功能，Web认证失败的用户，其MAC地址和VLAN将被绑定，只能被授权访问Auth-Fail VLAN里的资源。
l开启Web认证特性。
l已经创建需要配置为Auth-Fail VLAN的VLAN。
l配置当前端口为hybrid端口。
l指定当前端口的Web认证采用扩展接入方式。
Web认证的Auth-Fail VLAN
表1-1 配置Web认证的Auth-Fail VLAN
进入系统视图
system-view
interface interface-type interface-number
配置Web认证的Auth-Fail VLAN
web-authentication auth-fail vlan authfail-vlan-id
缺省情况下，端口没有配置Web认证的Auth-Fail VLAN
l不同的端口可以配置不同的Auth-Fail VLAN，但一个端口最多只能配置一个Auth-Fail VLAN。
l若端口上同时配置了Web认证的MAFV与MAC地址认证的MGV，则相同用户的MAFV表项下发会覆盖其MGV表项，反之不成立。
认证的MAFV，则其Web认证的MAFV不能生效。
1.4& 配置Web认证的免认证用户
表1-2 配置Web认证的免认证用户
进入系统视图
system-view
设置Web认证的免认证用户
web-authentication free-user ip ip-address mac mac-address [
interface interface-list ]
二者必选其一
缺省情况下，没有配置Web认证的免认证用户
以太网端口视图
interface interface-type interface-number
web-authentication free-user ip ip-address mac mac-address
认证支持HTTPS访问方式的配置
认证客户端和设备间可支持HTTP、HTTPS协议的交互：
l若客户端和接入设备之间交互HTTP协议，则报文以明文形式传输，安全性无法保证。
l若客户端和接入设备之间交互HTTPS协议，则报文基于SSL提供的安全机制以密文的形式传输，数据的安全性有保障。
通过此配置，交换机支持客户端使用HTTPS方式打开认证页面，保证认证信息传输的安全性。
如果需要配置接入协议为HTTPS，则需要先配置PKI域和SSL服务器策略，并将证书导入到PKI域内。
SSL及PKI相关配置的说明，请参见本手册的“SSL”及“PKI”模块。
1.5.1& 配置接入协议
表1-3 配置接入协议
进入系统视图
system-view
配置接入协议
web-authentication protocol { http | https server-policy policy-name }
缺省情况下， 使用HTTP接入协议
l此配置需要在Web认证开启前完成，Web认证开启后不能改变接入协议。
lSSL服务器的策略必须存在，并在完成此配置后不要删除SSL服务器的策略。
Web认证的定制页面
Web认证的缺省认证页面是一个框架，可以由用户配置其4部分，这四部分只能配置为字符串的形式，一定程度上满足用户定制的要求。
表1-4 配置定制页面内容
进入系统视图
system-view
设置Web认证定制页面
web-authentication customize { corp-name corporation-text | email email-string
| phone-num phonenum-string | platform-name platform-text
缺省情况下，认证页面不体现定制信息
以上配置是在默认页面框架下对局部信息进行定制的命令，不能改变认证页面的整体风格，适用于认证页面简单，性能高的场景。
Web认证页面也可以完全由第三方开发，加载到设备上，进行显示。只要开发的页面文件符合定制规范，页面内容可以随意发挥，页面内容更丰富，更自由。
表1-5 配置定制页面文件
进入系统视图
system-view
配置或修改定制页面文件
web-authentication customize file web-file
缺省情况下为空。
l配置定制页面文件后，设备将提取用户加载的文件进行显示，所述的配置在此失去意义。
l文件名fileName必须包含系统根目录和相对路径。如：unit1&flash:/test.zip
使用web认证进行认证时，设备向用户推出认证页面，认证页面的内容可由用户定制。用户定制的认证页面以HTML文件的形式被压缩后发送至本地设备的存储设备中。每套定制页面包括登录页面、登录成功页面、登录失败页面、在线页面、系统忙页面、免认证页面、下线成功页面，共7个主索引页面文件。
用户在定制这些页面时需要遵循一定的定制规范，否则会影响Web认证功能的正常使用和系统运行的稳定性。
1. 定制文件名规范
用户定制的主索引文件名，必须使用中的固定文件名：
登录成功页面
loginSuccess.htm
登录失败页面
loginFail.htm
用于提示用户已经在线
online.htm
系统忙页面
用于提示系统忙或者该用户正在登录过程中
下线成功页面
logoutSuccess.htm
免认证页面
freeUser.htm
主索引页面文件之外的其他文件名可由用户自定义，但需注意文件名和文件目录名中不能含有中文且不区分大小写。
2. 页面请求规范
WEB认证模块只能接受Get请求和Post请求。
lPost请求用于用户提交用户名和密码以及用户执行登录、下线操作。
lGet请求的内容不可为递归内容。例如，Login.htm文件中包含了Get ca.htm文件的内容，但ca.htm文件中又包含了对Login.htm的引用，这种递归引用就不允许。
3. Post请求中的属性规范
(1)认证页面中表单（Form）的编辑必须符合以下原则：
l用户定制的页面可以含有多个Form，但是必须有且只有一个Form的action为空，否则无法将用户信息送到设备。
l用户名属性固定为”WaUser”，密码属性固定为”WaPwd”。
l需要有用于标记用户登录还是下线的属性”WaButton”，取值为&Login&表示登录，取值为&Logout&表示下线。
l登录Post请求必须包含”WaUser”，”WaPwd”和&WaButton&三个属性。
l下线Post请求必须包含”WaButton”这个属性。
(2)需要包含登录Post请求的页面有login.htm和loginFail.htm。
login.htm页面脚本内容的部分示例：
&form action=login.cgi method = post &
&p&User name:&input type=&text& name = &WaUser& style=&width:160height:22px& maxlength=64&
&p&Password :&input type=&password& name = &WaPwd& style=&width:160height:22px& maxlength=32&
&p&&input type=SUBMIT value=&Login& name = &WaButton& style=&width:60&&
(3)需要包含下线Post请求的页面有loginSuccess.htm和online.htm。
online.htm页面脚本内容的部分示例：
&form action=login.cgi method = post &
&p&&input type=SUBMIT value=&Logout& name=&WaButton& style=&width:60&&
4. 页面文件压缩及保存规范
l完成所有认证页面的编辑之后，必须按照标准Zip格式将其压缩到一个Zip文件中，该Zip文件的文件名只能包含字母、数字和下划线。
l压缩生成的Zip文件可以通过FTP或TFTP的方式上传至设备保存。
5. 页面文件大小和内容规范
为了方便系统推出定制的认证页面，认证页面在文件大小和内容上需要有如下限制：
l每套页面（包括主索引页面文件及其页面元素）压缩后的Zip文件大小不能超过500K字节。
l每个单独页面（包括单个主索引页面文件及其页面元素）压缩前的文件大小不能超过50K字节。
l页面元素只能包含HTML、JS、CSS和图片之类的静态内容。
认证用户迁移模式
无线用户通过无线接入设备与交换机相连，当用户与接入交换机连接的端口信息发生变化时（例如用户选择了不同的AP进行接入），则认为用户发生了迁移。当用户采用Web认证方式接入时，由于迁移用户不是直接与交换机相连，交换机将无法感知到用户接入端口的移动，无法重新触发Web认证，迁移用户将无法正常访问网络。为解决这个问题，保证用户迁移之后仍然能够访问网络，交换机支持配置Web认证用户迁移模式，具体分为如下两种。
lauto：Web认证用户采用自动迁移模式。开启该模式后，当已通过Web认证的用户在接入设备的相同VLAN，不同端口间发生迁移时，交换机将自动进行用户认证信息的迁移处理，保持用户的认证状态，不需要用户重新进行Web认证。
lsecure：Web认证用户采用安全迁移模式。开启该模式后，当已通过Web认证的用户在接入设备的不同端口间发生迁移时，用户必须重新发起Web认证请求。Web认证成功，则在新端口建立用户连接，将原来的端口连接信息删除；如果用户认证失败，则不能在新端口建立连接，但原端口上的用户仍保持在线状态。
表1-7 配置Web认证用户迁移模式
进入系统视图
system-view
配置Web认证用户迁移模式
web-authentication move-mode {auto | secure }
缺省情况下，Web认证用户迁移模式为安全模式
自动迁移模式（auto）只支持Web认证用户在相同VLAN内的迁移。如果接入设备配置了Web认证自动迁移模式，那么在不同VLAN间发生迁移的Web认证用户，将不能在新端口建立连接，但原端口上的用户仍保持在线状态。
认证的端口号
当需要对使用代理服务器登录网络的用户进行Web认证时，需要在接入设备上配置通过代理服务器进行Web认证的端口号，此端口号不能与通过web-authentication web-server ip ip-address
port port-number命令配置的端口号相同，否则将出现错误提示，配置不成功。
表1-8 配置通过代理服务器进行Web认证的端口号
进入系统视图
system-view
配置通过代理服务器进行Web认证的端口号
web-authentication web-proxy port port-number
没有配置通过代理服务器进行Web认证的端口号
当用户的代理服务器不是手工配置，而是使用WPAD (Web Proxy Auto Discovery)方式自动检测时。除了配置代理服务器进行Web认证的端口号，还需要根据客户端的组网环境进行如下配置：
l当组网环境中架设了DNS、WINS服务器时，客户端会通过DNS、WINS服务器获取代理服务器信息、进行DNS解析、计算机名解析等服务，因此请配置DNS、WINS服务器地址为Web认证的free-ip。
l当组网环境中没有DHCP、DNS和WINS服务器时，客户端可能会通过广播搜索功能获取代理服务器信息，因此请配置客户端IP对应的网段广播地址为Web认证的Free-ip，如web-authentication free-ip 192.168.255.255。
认证配置显示和维护
完成上述配置后，在任意视图下执行display命令，可以显示配置Web认证后的运行情况。通过查看显示信息，用户可以验证配置的效果。
认证显示和维护
显示Web认证的全局或端口信息
display web-authentication configuration
display命令可以在任意视图下执行
显示Web认证用户连接情况
display web-authentication connection{ all | interface interface-type interface-number
| user-name user-name }
认证配置举例
1. 组网需求
如所示，用户与以太网交换机的端口Ethernet1/0/1相连接。
l交换机的管理者在端口Ethernet1/0/1上对用户接入进行Web认证，以控制用户对Internet的访问。
l用户在通过Web认证前可以访问免费资源，通过认证后可以访问所有可达网络。
l接入用户通过DHCP服务器自动获取IP地址。
认证对接入用户进行认证
3. 配置步骤
# 用户端配置为自动获得IP地址方式，并在DHCP服务器上完成DHCP相关配置。
# 配置Web认证服务器IP地址、端口号。
&Sysname& system-view
[Sysname] web-authentication web-server ip 10.10.10.10 port 8080
# 配置Web认证免认证IP地址段，用户在通过认证前可以访问免费资源。
[Sysname] web-authentication free-ip 10.20.20.1 24
# 开启指定端口Ethernet 1/0/1的Web认证特性，并指定端口接入方式为指定接入方式。
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] web-authentication select method designated
# 创建RADIUS方案radius1并进入其视图。
[Sysname] radius scheme radius1
# 设置主认证RADIUS服务器的IP地址。
[Sysname-radius-radius1] primary authentication 10.10.10.164
# 设置此方案不计费。
[Sysname-radius-radius1] accounting optional
# 设置系统与RADIUS认证服务器交互报文时的加密密码。
[Sysname -radius-radius1] key authentication expert
# 指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。
[Sysname-radius-radius1] user-name-format without-domain
[Sysname-radius-radius1] quit
# 创建Web认证用户所使用的域aabbcc.net并进入其视图。
[Sysname] domain aabbcc.net
# 配置域aabbcc.net为缺省用户域。
[Sysname] domain default enable aabbcc.net
# 指定radius1为该域用户的RADIUS方案。
[Sysname-isp-aabbcc.net] scheme radius-scheme radius1
# 开启全局Web认证特性（接入控制相关特性一般将全局配置开启放在最后，否则相关参数未配置完成，会造成合法用户无法访问网络）。
[Sysname] web-authentication enable
此时，Web认证生效，在用户通过Web认证前，不能访问外部网络，只能访问免费资源。
用户打开IE，地址栏内输入：http://10.10.10.10:8080，输入相应的“User name”和“Password”。点击Login，出现认证成功页面：“Authentication passed!”。此时用户可以访问成功外部网络。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!H3C S9500系列路由交换机 操作手册(Release)_安全分册_Portal配置-新华三集团-H3C
配置操作手册
07-安全分册
07-Portal配置
docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S/Configure/Operation_Manual/S9500_OM(Release_)/07-OM/537_30005_0.htm
07-Portal配置
下表列出了本章所包含的内容。
了解Portal的基本原理和概念
Portal基本配置
Portal免认证用户及免费IP配置
删除Portal用户
配置举例1：
配置举例2：
配置举例3：
配置过程 4：
配置过程5：
配置过程6：
配置举例7：
1.1& Portal简介
Portal又称为门户网站，Portal认证通常也称为Web认证。其优点主要有：
l用户无需安装客户端软件；
l新业务支撑能力强大：利用Portal认证的门户功能，运营商可以将信息查询、网上购物等业务放到Portal上。
Portal的基本原理是：未认证用户只能访问特定的站点服务器，其它任何访问都被无条件地重定向到Portal服务器；只有在认证通过后，用户才能访问Internet。
Portal的扩展功能主要是指通过强制接入终端实施补丁和防病毒策略，加强网络终端对病毒攻击的主动防御能力。具体扩展功能如下：
l在Portal身份认证的基础上增加了安全认证机制，可以检测接入终端上是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等；
l用户通过身份认证后仅仅获得访问部分互联网资源（受限资源）的权限，如病毒服务器、操作系统补丁更新服务器等；当用户通过安全认证后便可以访问更多的互联网资源（非受限资源）
的系统组成
Portal的基本组网方式如所示，它由四个基本要素组成：认证客户机、接入设备、Portal服务器和认证/计费服务器。
系统组成示意图
l认证客户机：认证客户机为运行HTTP/HTTPS协议的浏览器（Internet Web Browser）。用户在没有通过认证前，所有HTTP请求都被提交到Portal服务器。
l接入设备：用户在没有通过认证前，接入设备将认证客户机的HTTP请求无条件强制到Portal服务器。接入设备与认证/计费服务器交互，完成认证、计费的功能。在本文中，接入设备即H3C S9500系列交换机。
lPortal服务器：Portal服务器是一个Web服务器，用户可以用标准的WWW浏览器来访问，Portal服务器提供免费门户服务和基于Web认证的界面，接入设备与Portal服务器之间交互认证客户机的认证信息。网络内容运营商ICP（Internet Content Provider）可通过该站点向用户提供各自站点的相关信息。
l认证/计费服务器：完成对用户的认证和计费，接入设备和认证/计费服务器之间通过RADIUS协议进行交互。
l安全策略服务器：与Portal客户端、接入设备进行交互，完成对用户的安全认证，并对用户进行授权操作。
l使用Portal业务时，在认证客户机、接入设备、Portal服务器、认证/计费服务器之间不能有NAT（网络地址转换）设备。
l用户上线后不能改变用户所在端口的链路类型。
l建议不要随意更换portal用户连接S9500交换机的端口，否则原端口下的在线用户在一定时间内（默认为5分钟）不能在新端口下使用。
认证的过程
在H3C系列交换机上，Portal认证的过程是：
l当交换机首次接收到登录用户的HTTP报文时，首先判断该登录用户是否Portal用户。对Portal用户，交换机只允许用户访问特定站点服务器（Portal服务器和设定的免费访问地址）的内容；
l对于Portal用户访问其他站点的HTTP报文，交换机通过TCP仿冒将其重定向到Portal服务器；
lPortal服务器提供Web页面供用户输入用户名和密码，用户输入的用户名和密码通过Portal服务器转发到交换机；
l交换机将用户名和密码发到认证服务器进行认证，只有在认证通过后，交换机才允许用户访问Internet，之后不再对该用户的HTTP报文进行重定向。
l认证通过后，如果用户未采用安全策略，则接入设备会打开用户与互联网的通路，允许用户访问互联网；如果用户采用了安全策略，则客户端、接入设备与安全策略服务器交互，对用户的安全检测通过之后，才让用户访问非受限资源，若用户未通过安全检测，则只能访问受限资源。
Portal和802.1x不能在同一台交换机上同时启动。
的运行方式
在H3C系列交换机中，Portal有三种实现方法，也称运行方式：直接认证方式、二次地址分配方式和三层Portal认证方式。
l直接认证方式：用户直接获取一个公网IP地址后，在认证前只能访问Portal服务器，以及设定的免费访问地址；认证通过后即可访问Internet。
l二次地址分配认证方式：用户在认证前通过DHCP获取一个私网IP地址，只能访问Portal服务器，以及设定的免费访问地址；用户认证通过后，用户会申请到一个公网IP地址，即可访问Internet。
l三层Portal认证方式：三层Portal认证方式对直接认证方式进行了扩展，使得用户可以跨网段接入开启Portal的交换机。
l出于安全性考虑，直接认证方式和二次地址分配方式都要求检查用户的MAC地址，因此只能在用户接入的第一个三层接口上启用Portal，即在用户和接入设备之间不能跨越启用三层协议的网络设备。
l三层Portal认证方式不检查用户的MAC地址，安全性有所降低。在安全性要求较高的场合，不建议使用三层Portal认证方式。
免认证用户与免费IP
1. 免认证用户
免认证用户即不需要进行Portal认证即可访问Internet的用户。在实际组网中，可以配置交换机下挂的网络设备，以及一些服务器为免认证用户，使其不需要认证即可访问Internet。
免认证用户的信息包括IP地址、MAC地址、所连接的交换机端口和VLAN，只有全部匹配的用户才可以不需要通过认证即可以访问Internet。
免费IP即用户可以不受限制访问的IP地址。免费IP可以设置为DNS服务器的IP地址，或者ISP提供的免费访问网站的IP地址，所有用户都可以不受限制地访问这些免费IP。
免认证用户与认证用户优先级相同，遵循先下发先生效的原则，在配置时避免与认证用户冲突。
的ARP报文握手
当采用直接认证或者二次地址分配方式进行认证时，用户通过认证后，交换机通过ARP报文与用户PC进行握手，交换机发现握手异常可以主动切断用户并通知Portal服务器。
l当Portal用户在线时，不能使能DHCP安全特性。
l如果要使能DHCP安全特性，请在配置Portal的时候就启用。
1.2& Portal基本配置
l启动Portal的VLAN接口对应的VLAN已经创建，VLAN接口已配置了合法的IP地址；
l交换机没有启动802.1x；
lPortal服务器已安装并配置完成，其安装和配置方法请参见《CAMS综合访问管理服务器Portal业务组件 用户手册》；
l&如果使用Portal的扩展功能，则安全策略服务器需要安装并配置完成，其安装和配置方法请参见《CAMS综合访问管理服务器Portal业务组件 用户手册》；
l有关DHCP的配置请参见“IP业务手册”中的“DHCP配置”部分；
l有关AAA及RADIUS的配置请参见“安全分册”中的“AAA RADIUS HWTACACS配置”模块。
基本配置过程
Portal的基本配置过程如下：
基本配置过程
进入系统视图
system-view
配置Portal服务器
portal server server-name { ip ip-address | key key-string
| port port | url url-string } *
缺省情况下，无Portal服务器；当配置一个Portal服务器时，key-string缺省为Not Configured；port缺省为50100；url-string缺省为ip-address的字符串方式
配置Portal的运行方式
portal method { direct | layer3 | redhcp }
缺省情况下，Portal运行方式为直接认证方式（direct）
配置认证网段
portal auth-network network-address net-mask vlan vlan-id
当配置Portal运行方式为三层认证方式（layer3）时，必须配置此命令。其他方式略过此步骤
配置与用户PC进行ARP握手的时间间隔和允许握手失败的最大次数
portal arp-handshake { interval interval | retry-times retry-times
此任务仅对直接认证方式和二次地址分配方式有效；缺省情况下，ARP握手的时间间隔（interval）为60秒；允许握手失败的最大次数（retry-times）为5次
进入VLAN接口视图
interface vlan-interface vlan-id
以下VLAN接口视图的显示与输入的vlan-id对应
在VLAN接口上使能Portal认证
portal server-name
显示与认证、连接、管理相关的状态机统计信息
display portal { acm | server | tcp-cheat } statistics
显示Portal认证网段相关信息
display portal [ auth-network [ auth-vlan-id ] | free-ip | free-user
| server [ server-name ] | vlan [ vlan-id ] ]
显示Portal用户信息
display portal user [ ip ipaddress | interface interface-type interface-number | vlan vlan-id ]
清除Portal的相关统计信息
reset portal { acm | server | tcp-cheat } statistics
l当初次配置Portal服务器时，必须配置其IP地址。
l如果已经在VLAN接口上使能了Portal服务器，则必须在VLAN接口上取消该Portal服务器后，才能修改Portal服务器的参数。
lPortal不支持VPN，不能在绑定VPN的VLAN上启动Portal功能。
l启动Portal认证时，802.1x协议需要全局关闭。
l指定的Portal服务器名称必须已经存在。
l当采用三层Portal认证方式时，需要在Portal用户至开启Portal的交换机之间的三层设备上配置一条缺省路由，该路由的下一跳指向开启Portal的交换机。
l当采用二次地址分配认证方式时，开启Portal的交换机只能配置为DHCP Relay（不能配置为DHCP Server）。
l在VLAN接口上启动portal功能后，禁止再往该VLAN接口上（以及相应端口上）配置与该网段相关的ACL规则，否则可能导致portal功能异常。
1.2.3& Portal直接认证方式配置举例
1. 组网需求
l配置交换机使能Portal认证，设置Portal运行方式为直接认证方式；
l交换机使用RADIUS服务器完成认证和计费；
l用户在未通过Portal认证前，只能访问Portal服务器；
l用户通过Portal认证后，可以访问外部网络。
直接认证方式组网图
3. 配置步骤
以下仅列出与交换机相关的配置，对Portal服务器及RADIUS认证、计费服务器上的配置不做说明。
(1)配置RADIUS方案
# 创建名字为portal的RADIUS方案。
[H3C] radius scheme portal
# 配置RADIUS方案的服务器类型为Standard。
[H3C-radius-portal] server-type standard
# 配置RADIUS方案的主认证和主计费服务器，及其通信密钥。
[H3C-radius-portal] primary authentication 192.168.1.100
[H3C-radius-portal] primary accounting 192.168.1.100
[H3C-radius-portal] key accounting hello
[H3C-radius-portal] key authentication hello
[H3C-radius-portal] user-name-format without-domain
[H3C-radius-portal] quit
(2)配置ISP域
# 创建名字为Portal的ISP域。
[H3C] domain portal
# 创建ISP域引用RADIUS方案Portal。
[H3C-isp-portal] radius-scheme portal
[H3C-isp-portal] quit
# 配置系统缺省的ISP域为Portal（可选）。
[H3C] domain default enable portal
(3)配置Portal认证
# 配置Portal服务器：名称为newp；IP地址为192.168.1.200；密钥为test；端口为50100；URL为http://192.168.1.200:81/portal。
[H3C] portal server newp ip 192.168.1.200 key test port 50100 url http://192.168.1.200/portal
# 配置Portal运行方式为直接认证方式。
[H3C] portal method direct
(4)在与用户PC相连的VLAN接口上使能Portal认证
# 配置VLAN 2。
[H3C] vlan 2
[H3C-vlan2] port ethernet 2/1/1 ethernet 2/1/2
[H3C] interface vlan-interface 2
[H3C-Vlan-interface2] ip address 192.168.1.160 255.255.0.0
[H3C-Vlan-interface2] quit
# 配置VLAN 3。
[H3C] vlan 3
[H3C-vlan3] port ethernet 2/1/3
[H3C-vlan3] quit
[H3C] interface vlan-interface 3
[H3C-Vlan-interface3] ip address 172.21.1.1 255.255.0.0
# 在VLAN接口3上使能Portal认证。
[H3C-Vlan-interface3] portal newp
1.2.4& Portal二次地址分配方式配置举例
1. 组网需求
l在交换机Switch上配置Portal认证，Portal的运行方式为二次地址分配方式；
l在DHCP Server上配置地址池：172.21.0.0/16（公网）、18.21.0.0/16（私网）；
l用户通过Portal认证前分配一个私网地址，通过Portal认证后，用户申请到一个公网地址，才可以访问外部网络。
图1-3 Portal二次地址分配方式组网图
3. 配置步骤
l以下仅列出与Portal二次地址分配方式有关的配置，有关RADIUS方案、ISP域和Portal服务器的配置请参见“”。
lPortal二次地址分配认证方式应用中，交换机必须配置为DHCP Relay（不能配置为DHCP Server），且使能Portal的VLAN接口需要配置主IP地址（公网IP）及从IP地址（私网IP）。
# 配置Portal运行方式为二次地址分配认证方式。
[Switch1] portal method redhcp
# 配置DHCP Server。
[Switch2] dhcp server ip-pool dhcp_ip
[Switch2-dhcp-dhcp_ip] network 172.21.0.0 mask 255.255.0.0
[Switch2-dhcp-dhcp_ip] gateway-list 172.21.1.1
[Switch2-dhcp-dhcp_ip] quit
[Switch2] dhcp server ip-pool dhcp_ip2
[Switch2-dhcp-dhcp_ip2] network 18.21.0.0 mask 255.255.0.0
[Switch2-dhcp-dhcp_ip2] gateway-list 18.21.1.1
[Switch2-dhcp-dhcp_ip2] quit
# 配置VLAN 3。
[Switch1] vlan 3
[Switch1-vlan3] port ethernet 2/1/3
[Switch1] interface vlan-interface 3
[Switch1-Vlan-interface3] ip address 172.21.1.1 255.255.0.0
[Switch1-Vlan-interface3] ip address 18.21.1.1 255.255.0.0 sub
# 配置DHCP Relay地址检查（ip relay address需指定为一个up的VLAN接口）。
[Switch1-Vlan-interface3] ip relay address 9.0.0.1
[Switch1-Vlan-interface3] dhcp select relay
[Switch1-Vlan-interface3] dhcp relay security address-check enable
# 在VLAN接口3上使能Portal认证（Portal服务器的名称为newp，其相关配置请参见节）。
[Switch1-Vlan-interface3] portal newp
1.2.5& 三层Portal认证方式配置举例
1. 组网需求
用户PC2通过路由器接入Switch，在交换机上配置三层Portal认证方式，用户PC2通过Portal认证后可以访问外部网络。
认证方式组网图
3. 配置步骤
以下仅列出与三层Portal认证方式有关的配置，有关RADIUS方案、ISP域和Portal服务器的配置请参见“”节。
# 配置认证网段。
[H3C] portal auth-network 162.31.0.0 255.255.0.0 vlan 100
# 配置Portal运行方式为三层Portal认证方式。
[H3C] portal method layer3
# 配置VLAN 100。
[H3C] vlan 100
[H3C-vlan100] port ethernet 2/1/6
[H3C-vlan100] quit
[H3C] interface vlan-interface 100
[H3C-Vlan-interface100] ip address 162.21.1.1 255.255.0.0
# 在VLAN接口100上使能Portal认证（Portal服务器的名称为newp，其相关配置请参见节）。
[H3C-Vlan-interface100] portal newp
直接认证扩展功能配置举例
1. 组网需求
l用户主机与接入设备Switch直接相连，采用直接方式的Portal认证。用户通过手工配置或DHCP获取的一个公网IP地址进行认证，在通过身份认证而没有通过安全认证时可以访问192.168.0.0/24网段；在通过安全认证后，可以访问非受限互联网资源。
l采用RADIUS服务器作为认证/计费服务器。
图1-5 配置Portal直接认证扩展功能组网图
3. 配置步骤
按照组网图配置设备各接口的IP地址，保证在不启动Portal的前提下各设备之间的路由可达。
在Swtich上进行以下配置。
(1)配置RADIUS方案
&# 创建名字为portal的RADIUS方案。
[H3C] radius scheme portal
# 配置RADIUS方案的服务器类型为extended。
[H3C-radius-portal] server-type extended
# 配置RADIUS方案的主认证和主计费服务器，及其通信密钥。
[H3C-radius-portal] primary authentication 192.168.0.112
[H3C-radius-portal] primary accounting 192.168.0.112
[H3C-radius-portal] key accounting hello
[H3C-radius-portal] key authentication hello
[H3C-radius-portal] user-name-format without-domain
# 配置RADIUS方案的安全策略服务器。
[H3C-radius-portal] security-policy-server 192.168.0.113
[H3C-radius-portal] quit
(2)配置ISP域
# 创建名字为Portal的ISP域。
[H3C] domain portal
# 创建ISP域引用RADIUS方案Portal。
[H3C-isp-portal] radius-scheme portal
[H3C-isp-portal] quit
# 配置系统缺省的ISP域为Portal（可选）。
[H3C] domain default enable portal
(3)配置受限资源对应的ACL为3000，非受限资源对应的ACL为3001
安全策略服务器上需要将ACL 3000和ACL 3001分别指定为隔离ACL和安全ACL。
[H3C] acl number 3000
[H3C-acl-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255
[H3C-acl-adv-3000] quit
[H3C] acl number 3001
[H3C-acl-adv-3001] rule permit ip
[H3C-acl-adv-3001] quit
(4)配置Portal认证
# 配置Portal服务器：名称为newp；IP地址为192.168.0.111；密钥为test；端口为50100；URL为http:// 192.168.0.111/portal。
[H3C] portal server newp ip 192.168.0.111 key test port 50100 url http:// 192.168.0.111/portal
# 配置Portal运行方式为直接认证方式。
[H3C] portal method direct
(5)在与用户PC相连的VLAN接口上使能Portal认证
# 在VLAN接口配置IP地址和使能portal认证
[H3C] interface vlan-interface 100
[H3C–Vlan-interface100] ip address 2.2.2.1 255.255.255.0
[H3C–Vlan-interface100] portal newp
[H3C] quit
# 配置与服务器通信的接口IP地址。
[H3C] interface vlan-interface 2
[H3C–Vlan-interface2] ip address 192.168.0.100 255.255.255.0
二次地址分配认证扩展功能配置举例
1. 组网需求
l用户主机与接入设备Switch直接相连，采用二次地址分配方式的Portal认证。用户通过DHCP服务器获取IP地址，Portal认证前使用分配的一个私网地址；通过Portal认证后，用户申请到一个公网地址。
l用户在通过身份认证而没有通过安全认证时可以访问192.168.0.0/24网段；用户通过安全认证后，可以访问非受限互联网资源。
l采用RADIUS服务器作为认证/计费服务器。
图1-6 配置Portal二次地址分配认证扩展功能组网图
3. 配置步骤
l以下仅列出与Portal二次地址分配方式有关的配置，有关RADIUS方案、ISP域和Portal服务器的配置请参见“”。
lDHCP Server上的配置请参见“” 。
l按照组网图配置设备各接口的IP地址，保证在不启动Portal的前提下各设备之间的路由可达。
在Switch上进行以下配置。
# 配置Portal运行方式为二次地址分配认证方式。
[H3C] portal method redhcp
# 配置VLAN接口IP地址
[H3C] interface vlan-interface 100
[H3C–Vlan-interface100] ip address 20.20.20.1 255.255.255.0
[H3C–Vlan-interface100] ip address 10.0.0.1 255.255.255.0 sub
# 配置DHCP Relay地址检查（ip relay address需指定为一个up的VLAN接口）。
[H3C-Vlan-interface100] dhcp select relay
[H3C-Vlan-interface100] ip relay address 192.168.0.112
[H3C1-Vlan- interface100] dhcp relay security address-check enable
# 在与用户Host相连的接口上使能Portal认证。
[H3C–Vlan-interface100] portal newpt
[H3C–Vlan-interface100] quit
# 配置与服务器通信的接口IP地址。
[H3C] interface vlan-interface 2
[H3C–Vlan-interface2] ip address 192.168.0.100 255.255.255.0
[H3C–Vlan-interface2] quit
认证方式扩展功能配置举例
1. 组网需求
Switch A支持Portal认证功能。用户Host通过Switch B接入到Switch A。
l配置Switch A采用三层Portal认证。用户在通过身份认证而没有通过安全认证时可以访问192.168.0.0/24网段；在通过安全认证后，可以访问非受限互联网资源。
l采用RADIUS服务器作为认证/计费服务器。
图1-7 配置三层Portal认证扩展功能组网图
3. 配置步骤
l按照组网图配置设备各接口的IP地址，保证在不启动Portal的前提下各设备之间的路由可达。
l以下仅列出跨三层设备支持Portal认证的主要配置，RADIUS方案、ISP域、ACL的配置请参见“”。
在Switch A上进行以下配置。
# 配置Portal运行方式为三层Portal认证方式。
[SwitchA] portal method layer3
# 在与Switch B相连的接口上使能Portal认证。
[SwitchA] interface vlan-interface 4
[SwitchA–Vlan-interface4] ip address 20.20.20.1 255.255.255.0
[SwitchA–Vlan-interface4] portal newp
[SwitchA–Vlan-interface4] quit
# 配置与服务器通信的接口IP地址。
[SwitchA] interface vlan-interface 2
[SwitchA–Vlan-interface2] ip address 192.168.0.100 255.255.255.0
[SwitchA–Vlan-interface2] quit
Switch B上需要配置到192.168.0.0/24网段的缺省路由，下一跳为20.20.20.1，具体配置略。
免认证用户及免费IP配置
Portal免认证用户配置的前提是：Portal基本配置已经完成。
免认证用户及免费IP配置过程
Portal免认证用户及免费IP的配置是可选的，其配置过程如下：
免认证用户及免费IP配置过程
进入系统视图
system-view
配置免费IP
portal free-ip ip-address [ mask | mask-length
最多可以配置8个免费IP。Portal服务器自动占用一个免费IP，此免费IP既不能被删除也不能被覆盖
配置免认证用户
系统视图下
portal free-user mac mac-address ip ip-address vlan
vlan-id interface interface-type interface-number
最多可以配置32个免认证用户；
在端口下配置该命令使用当前端口，不用指定interface
端口视图下
portal free-user mac mac-address ip ip-address
vlan vlan-id
显示Portal免认证用户和免费IP的配置信息
display portal [ free-ip | free-user ]
l二次地址认证方式要求免认证用户的IP地址与接口的主IP属于同一网段；直接认证方式要求免认证用户的IP地址与VLAN接口的IP属于同一网段。
l免认证用户所在的VLAN必须已经使能了Portal，此配置才能生效。
l三层Portal认证方式不支持免认证用户的配置。
1.3.3& 免认证用户及免费IP配置举例
1. 组网需求
l在交换机上配置Portal认证，Portal的运行方式为直接认证方式；
l用户没有通过Portal认证前可以访问内部服务器Server1；
l服务器Server2可以不通过认证即可访问Internet。
配置组网图
3. 配置步骤
以下的配置建立在节的基础上，相同的配置不再列出。
(1)配置免认证用户
# 配置VLAN 4，并在VLAN接口4上使能Portal。
[H3C] vlan 4
[H3C-vlan4] port ethernet 2/1/4
[H3C-vlan4] quit
[H3C] interface vlan-interface 4
[H3C-Vlan-interface4] ip address 192.166.1.1 255.255.0.0
[H3C-Vlan-interface4] portal newp
[H3C-Vlan-interface4] quit
# 配置Server2为免认证用户。
[H3C] portal free-user mac 00E0-FC01-0101 ip 192.166.1.200 vlan 4 interface ethernet 2/1/4
(2)配置免费IP
# 在节配置的VLAN 2中添加Ethernet 2/1/5。
[H3C] vlan 2
[H3C-vlan2] port ethernet 2/1/5
[H3C-vlan2] quit
# 配置Server1为免费IP。
[H3C] portal free-ip 192.168.1.150
1.4& 删除Portal用户
用户配置过程
用户配置过程
进入系统视图
system-view
删除指定IP地址的Portal用户
portal delete-user ip-address
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!