Пример настройки аутентификации Portal для управления доступом пользователей

Последний ответ янв 27, 2020 17:44:21 23 1 0 0

Обзор аутентификации Portal

Как один из режимов аутентификации NAC, аутентификация Portal также называется веб-аутентификацией. Как правило, сайты аутентификации Portal также называются веб-сайтами Portal. Когда пользователи входят в сеть, они должны быть  аутентифицированы на сайтах Portal. Пользователи могут использовать сетевые ресурсы только после прохождения аутентификации.

Аутентификация Portal не может обеспечить высокую безопасность, но не требует установки клиентского программного обеспечения и обеспечивает гибкое

развертывание. Еще два метода аутентификации NAC имеют свои преимущества и  недостатки: Аутентификация 802.1X обеспечивает высокую безопасность, но для этого требуется, чтобы клиентское программное обеспечение 802.1X устанавливалось на пользовательских терминалах, что приводит к негибкому развертыванию сети.

Аутентификация MAC-адреса не требует установки клиентского программного обеспечения, но MAC-адреса должны быть зарегистрированы на сервере

аутентификации, что приводит к сложному управлению.

Аутентификация Portal применяется к сценариям, где часто перемещается большое количество разбросанных пользователей, таких как посетители компании.

 

Требования к сети

Как показано на схеме, терминалы в зоне посетителей компании подключаются к внутренней сети компании через Switch. Несанкционированный доступ во внутреннюю сеть может повредить сервисную систему компании и вызвать утечку ключевой информации. Поэтому администратор требует, чтобы коммутатор контролировал права доступа к сети для обеспечения безопасности внутренней сети.

Поскольку посетители часто перемещаются, аутентификация Portal настраивается и RADIUS-сервер используется для аутентификации пользователей.

1

Схема настройки

Схема настройки выглядит следующим образом:

1.     Настройте сетевые соединения.

2. Настройте AAA на Switch, чтобы выполнять аутентификацию для пользователей  доступа через RADIUS-сервер. Конфигурация включает в себя настройку шаблона RADIUS-сервера, схемы AAA, домена аутентификации, также привязки шаблона RADIUS-сервера и схемы AAA к домену аутентификации.

3. Настройте аутентификацию Portal, чтобы контролировать права доступа к сети для посетителей в зоне посетителей. Конфигурация включает в себя:

a. Настройте шаблон сервера Portal

b. Настройте профиль доступа к порталу.

c. Настройте профиль аутентификации.

d. Включите аутентификацию Portal на интерфейсе

 

Процедура

Шаг 1 Создайте VLAN и настройте VLAN, разрешенные интерфейсами, чтобы пересылать пакеты.

# Создать VLAN 10 и VLAN 20.
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 10 20
# Настроить GE1/0/1, подключающий Switch к пользователям в качестве интерфейса доступа и добавьте интерфейс к VLAN 10.
[Switch] interface gigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access
[Switch-GigabitEthernet1/0/1] port default vlan 10
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 192.168.1.10 24
[Switch-Vlanif10] quit
# Настроить GE1/0/2, подключающий Switch к RADIUS-серверу в качестве интерфейса доступа и добавьте интерфейс к VLAN 20.
[Switch] interface gigabitethernet1/0/2
[Switch-GigabitEthernet1/0/2] port link-type access
[Switch-GigabitEthernet1/0/2] port default vlan 20
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 192.168.2.10 24
[Switch-Vlanif20] quit

 

Шаг 2 Настройте AAA.

# Создать и настроить шаблон RADIUS-сервера rd1.
[Switch] radius-server template rd1
[Switch-radius-rd1] radius-server authentication 192.168.2.30 1812
[Switch-radius-rd1] radius-server shared-key cipher Huawei@2012
[Switch-radius-rd1] quit
# Создать схему аутентификации AAA abc и установить режим аутентификации на
RADIUS.
[Switch] aaa
[Switch-aaa] authentication-scheme abc
[Switch-aaa-authen-abc] authentication-mode radius
[Switch-aaa-authen-abc] quit
# Создать домен аутентификации huawei.com, привязать схему аутентификации AAA abc и шаблон RADIUS-сервера rd1 к домену.
[Switch-aaa] domain huawei.com
[Switch-aaa-domain-huawei.com] authentication-scheme abc
[Switch-aaa-domain-huawei.com] radius-server rd1
[Switch-aaa-domain-huawei.com] quit
[Switch-aaa] quit
# Проверить прохождения пользователем аутентификации RADIUS. На RADIUS-сервере были настроены тестовый пользователь test и пароль Huawei2012.
[Switch] test-aaa test Huawei2012 radius-template rd1
Info: Account test succeed.

 

Шаг 3 Настройте аутентификацию Portal.

# Установить режим NAC на унифицированный.

[Switch] authentication unified-mode

ПРИМЕЧАНИЕ

- По умолчанию используется унифицированный режим.

- После изменения режима NAC из общего в унифицированный сохраните конфигурацию и перезагрузите устройство, чтобы настройка вступила в силу.

# Настроить шаблон сервера Portal abc.
[Switch] web-auth-server abc
[Switch-web-auth-server-abc] server-ip 192.168.2.30
[Switch-web-auth-server-abc] port 50200
[Switch-web-auth-server-abc] url http://192.168.2.30:8080/portal
[Switch-web-auth-server-abc] shared-key cipher Huawei@123
[Switch-web-auth-server-abc] quit

ПРИМЕЧАНИЕ

Убедитесь, что номер порта, настроенный на устройстве, совпадает с номером порта, используемым сервером Portal.

# Настроить профиль доступа Portal web1.
[Switch] portal-access-profile name web1
[Switch-portal-acces-profile-web1] web-auth-server abc direct
[Switch-portal-acces-profile-web1] quit
# Настроить профиль аутентификации p1, привяжите профиль доступа Portal web1 к профилю аутентификации, в профиле аутентификации укажите домен huawei.com в качестве домена принудительной аутентификации, установите режим доступа пользователя на multi-authen и установите максимальное количество пользователей доступа на 100.
[Switch] authentication-profile name p1
[Switch-authen-profile-p1] portal-access-profile web1
[Switch-authen-profile-p1] access-domain huawei.com force
[Switch-authen-profile-p1] authentication mode multi-authen max-user 100
[Switch-authen-profile-p1] quit

ПРИМЕЧАНИЕ

В этом примере пользователям назначаются статические IP-адреса. Если пользователи получают IP-адреса через DHCP и DHCP-сервер находится в восходящей сети NAS-устройства, используйте команду free-rule для создания правил без аутентификации и убедитесь, что DHCP-сервер включен в

правила без аутентификации.

В версии более ранней, чем V200R012C00, если URL-адрес сервера Portal должен быть проанализирован с помощью DNS и DNS-сервер находится в восходящей сети NAS-устройства, также необходимо создать правила без аутентификации и убедиться, что DNS-сервер включен в правила без

аутентификации. В версиях V200R012C00 и более поздних версиях устройство NAS автоматически разрешает передачу DNS-пакетов, а в аутентификации Portal не требуется правило без аутентификации.

# Привязать профиль аутентификации p1 к GE1/0/1 и включить аутентификацию Portal на интерфейсе.
[Switch] interface gigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1] authentication-profile p1
[Switch-GigabitEthernet1/0/1] quit
# (Рекомендуется) Настроить исходные IP-адрес и MAC-адрес для автономных пакетов обнаружения в указанной VLAN. Рекомендуется указать IP-адрес шлюза пользователя и соответствующий ему MAC-адрес в качестве исходных IP-адреса и MAC-адреса автономных пакетов обнаружения. Эта функция не действует для пользователей, использующих аутентификацию Portal уровня 3.
[Switch] access-user arp-detect vlan 10 ip-address 192.168.1.10 mac-address 2222-1111-1234

 

Шаг 4 Проверьте конфигурацию.

1. После того как пользователь открывает браузер и вводит любой адрес веб-сайта, пользователь перенаправляется на страницу аутентификации Portal. Затем

пользователь может ввести имя пользователя и пароль для аутентификации.

2. Если имя пользователя и пароль верны, на странице аутентификации Portal отображается сообщение об успешном завершении проверки подлинности.

Пользователь может получить доступ к сети.

3. После того, как пользователи входят в сеть, можно запустить команду display access-user access-type portal на устройстве для просмотра информации о пользователях онлайн-аутентификации Portal.


  • x

user_2909167
Модератор Опубликовано 2020-1-27 17:44:21 Полезно(0) Полезно(0)

Файл конфигурации коммутатора

#
sysname Switch
#
vlan batch 10 20
#
authentication-profile name p1
portal-access-profile web1
authentication mode multi-authen max-user 100
access-domain huawei.com force
#
access-user arp-detect vlan 10 ip-address 192.168.1.10 mac-address 2222-1111-1234
#
radius-server template rd1
radius-server shared-key cipher %#%#4*SO-2u,Q.\1C~%[eiB77N/^2wME;6t%6U@qAJ9:%#%#
radius-server authentication 192.168.2.30 1812 weight 80
#
web-auth-server
abc
server-ip
192.168.2.30
port
50200
shared-key cipher %#%#CR@WPM9Q30%]A}9]g4hUqe1u~4Fz}PlU)QPL;73#%#
%#
url http://192.168.2.30:8080/
portal
#
portal-access-profile name
web1
web-auth-server abc
direct
#
aaa
authentication-scheme abc
authentication-mode radius
domain huawei.com
authentication-scheme abc
radius-server rd1
#
interface Vlanif10
ip address 192.168.1.10 255.255.255.0
#
interface Vlanif20
ip address 192.168.2.10 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
authentication-profile p1
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 20
#
return



  • x

Комментарий

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.
Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход