Обзор аутентификации Portal
Как один из режимов аутентификации NAC, аутентификация Portal также называется веб-аутентификацией. Как правило, сайты аутентификации Portal также называются веб-сайтами Portal. Когда пользователи входят в сеть, они должны быть аутентифицированы на сайтах Portal. Пользователи могут использовать сетевые ресурсы только после прохождения аутентификации.
Аутентификация Portal не может обеспечить высокую безопасность, но не требует установки клиентского программного обеспечения и обеспечивает гибкое
развертывание. Еще два метода аутентификации NAC имеют свои преимущества и недостатки: Аутентификация 802.1X обеспечивает высокую безопасность, но для этого требуется, чтобы клиентское программное обеспечение 802.1X устанавливалось на пользовательских терминалах, что приводит к негибкому развертыванию сети.
Аутентификация MAC-адреса не требует установки клиентского программного обеспечения, но MAC-адреса должны быть зарегистрированы на сервере
аутентификации, что приводит к сложному управлению.
Аутентификация Portal применяется к сценариям, где часто перемещается большое количество разбросанных пользователей, таких как посетители компании.
Требования к сети
Как показано на схеме, терминалы в зоне посетителей компании подключаются к внутренней сети компании через Switch. Несанкционированный доступ во внутреннюю сеть может повредить сервисную систему компании и вызвать утечку ключевой информации. Поэтому администратор требует, чтобы коммутатор контролировал права доступа к сети для обеспечения безопасности внутренней сети.
Поскольку посетители часто перемещаются, аутентификация Portal настраивается и RADIUS-сервер используется для аутентификации пользователей.
Схема настройки
Схема настройки выглядит следующим образом:
1. Настройте сетевые соединения.
2. Настройте AAA на Switch, чтобы выполнять аутентификацию для пользователей доступа через RADIUS-сервер. Конфигурация включает в себя настройку шаблона RADIUS-сервера, схемы AAA, домена аутентификации, также привязки шаблона RADIUS-сервера и схемы AAA к домену аутентификации.
3. Настройте аутентификацию Portal, чтобы контролировать права доступа к сети для посетителей в зоне посетителей. Конфигурация включает в себя:
a. Настройте шаблон сервера Portal
b. Настройте профиль доступа к порталу.
c. Настройте профиль аутентификации.
d. Включите аутентификацию Portal на интерфейсе
Процедура
Шаг 1 Создайте VLAN и настройте VLAN, разрешенные интерфейсами, чтобы пересылать пакеты.
# Создать VLAN 10 и VLAN 20. <HUAWEI> system-view [HUAWEI] sysname Switch [Switch] vlan batch 10 20 # Настроить GE1/0/1, подключающий Switch к пользователям в качестве интерфейса доступа и добавьте интерфейс к VLAN 10. [Switch] interface gigabitethernet1/0/1 [Switch-GigabitEthernet1/0/1] port link-type access [Switch-GigabitEthernet1/0/1] port default vlan 10 [Switch-GigabitEthernet1/0/1] quit [Switch] interface vlanif 10 [Switch-Vlanif10] ip address 192.168.1.10 24 [Switch-Vlanif10] quit # Настроить GE1/0/2, подключающий Switch к RADIUS-серверу в качестве интерфейса доступа и добавьте интерфейс к VLAN 20. [Switch] interface gigabitethernet1/0/2 [Switch-GigabitEthernet1/0/2] port link-type access [Switch-GigabitEthernet1/0/2] port default vlan 20 [Switch-GigabitEthernet1/0/2] quit [Switch] interface vlanif 20 [Switch-Vlanif20] ip address 192.168.2.10 24 [Switch-Vlanif20] quit
Шаг 2 Настройте AAA.
# Создать и настроить шаблон RADIUS-сервера rd1. [Switch] radius-server template rd1 [Switch-radius-rd1] radius-server authentication 192.168.2.30 1812 [Switch-radius-rd1] radius-server shared-key cipher Huawei@2012 [Switch-radius-rd1] quit # Создать схему аутентификации AAA abc и установить режим аутентификации на RADIUS. [Switch] aaa [Switch-aaa] authentication-scheme abc [Switch-aaa-authen-abc] authentication-mode radius [Switch-aaa-authen-abc] quit # Создать домен аутентификации huawei.com, привязать схему аутентификации AAA abc и шаблон RADIUS-сервера rd1 к домену. [Switch-aaa] domain huawei.com [Switch-aaa-domain-huawei.com] authentication-scheme abc [Switch-aaa-domain-huawei.com] radius-server rd1 [Switch-aaa-domain-huawei.com] quit [Switch-aaa] quit # Проверить прохождения пользователем аутентификации RADIUS. На RADIUS-сервере были настроены тестовый пользователь test и пароль Huawei2012. [Switch] test-aaa test Huawei2012 radius-template rd1 Info: Account test succeed.
Шаг 3 Настройте аутентификацию Portal.
# Установить режим NAC на унифицированный.
[Switch] authentication unified-mode
ПРИМЕЧАНИЕ
- По умолчанию используется унифицированный режим.
- После изменения режима NAC из общего в унифицированный сохраните конфигурацию и перезагрузите устройство, чтобы настройка вступила в силу.
# Настроить шаблон сервера Portal abc. [Switch] web-auth-server abc [Switch-web-auth-server-abc] server-ip 192.168.2.30 [Switch-web-auth-server-abc] port 50200 [Switch-web-auth-server-abc] url http://192.168.2.30:8080/portal [Switch-web-auth-server-abc] shared-key cipher Huawei@123 [Switch-web-auth-server-abc] quit
ПРИМЕЧАНИЕ
Убедитесь, что номер порта, настроенный на устройстве, совпадает с номером порта, используемым сервером Portal.
# Настроить профиль доступа Portal web1. [Switch] portal-access-profile name web1 [Switch-portal-acces-profile-web1] web-auth-server abc direct [Switch-portal-acces-profile-web1] quit # Настроить профиль аутентификации p1, привяжите профиль доступа Portal web1 к профилю аутентификации, в профиле аутентификации укажите домен huawei.com в качестве домена принудительной аутентификации, установите режим доступа пользователя на multi-authen и установите максимальное количество пользователей доступа на 100. [Switch] authentication-profile name p1 [Switch-authen-profile-p1] portal-access-profile web1 [Switch-authen-profile-p1] access-domain huawei.com force [Switch-authen-profile-p1] authentication mode multi-authen max-user 100 [Switch-authen-profile-p1] quit
ПРИМЕЧАНИЕ
В этом примере пользователям назначаются статические IP-адреса. Если пользователи получают IP-адреса через DHCP и DHCP-сервер находится в восходящей сети NAS-устройства, используйте команду free-rule для создания правил без аутентификации и убедитесь, что DHCP-сервер включен в
правила без аутентификации.
В версии более ранней, чем V200R012C00, если URL-адрес сервера Portal должен быть проанализирован с помощью DNS и DNS-сервер находится в восходящей сети NAS-устройства, также необходимо создать правила без аутентификации и убедиться, что DNS-сервер включен в правила без
аутентификации. В версиях V200R012C00 и более поздних версиях устройство NAS автоматически разрешает передачу DNS-пакетов, а в аутентификации Portal не требуется правило без аутентификации.
# Привязать профиль аутентификации p1 к GE1/0/1 и включить аутентификацию Portal на интерфейсе. [Switch] interface gigabitethernet1/0/1 [Switch-GigabitEthernet1/0/1] authentication-profile p1 [Switch-GigabitEthernet1/0/1] quit # (Рекомендуется) Настроить исходные IP-адрес и MAC-адрес для автономных пакетов обнаружения в указанной VLAN. Рекомендуется указать IP-адрес шлюза пользователя и соответствующий ему MAC-адрес в качестве исходных IP-адреса и MAC-адреса автономных пакетов обнаружения. Эта функция не действует для пользователей, использующих аутентификацию Portal уровня 3. [Switch] access-user arp-detect vlan 10 ip-address 192.168.1.10 mac-address 2222-1111-1234
Шаг 4 Проверьте конфигурацию.
1. После того как пользователь открывает браузер и вводит любой адрес веб-сайта, пользователь перенаправляется на страницу аутентификации Portal. Затем
пользователь может ввести имя пользователя и пароль для аутентификации.
2. Если имя пользователя и пароль верны, на странице аутентификации Portal отображается сообщение об успешном завершении проверки подлинности.
Пользователь может получить доступ к сети.
3. После того, как пользователи входят в сеть, можно запустить команду display access-user access-type portal на устройстве для просмотра информации о пользователях онлайн-аутентификации Portal.