1 Portal树立 1.1  Portal简介 1.1.1  Portal综合

Portal在英语中是进口的酷爱。Portal认证时时也称为Web认证浆果儿全集，一般将Portal认证网站称为流派网站。

未认证用户上网时，成立强制用户登录到特定站点，用户不错免费造访其中的奇迹。当用户需要使用互联网中的其它信息时，必须在流派网站进行认证，只须认证通事后才不错使用互联网资源。

用户不错主动造访已知的Portal认证网站，输入用户名和密码进行认证，这种入手Portal认证的方式称作东动认证。反之，如果用户试图通过HTTP造访其他外网，将被强制造访Portal认证网站，从而入手Portal认证过程，这种方式称作强制认证。

Portal业务不错为运营商提供便捷的责罚功能，流派网站不错开展告白、社区奇迹、个性化的业务等，使宽带运营商、成立提供商和内容奇迹提供商酿成一个产业生态系统。

1.1.2  Portal扩张功能

Portal的扩张功能主若是指通过强制接入末端实施补丁和防病毒政策，加强集聚末端对病毒报复的主动阻止才略。具体扩张功能如下：

l              在Portal身份认证的基础上加多了安全认证机制，不错检测接入末端上是否装置了防病毒软件、是否更新了病毒库、是否装置了造孽软件、是否更新了操作系统补丁等；

l              用户通过身份认证后只是赢得造访部分互联网资源（受限资源）的权限，如病毒奇迹器、操作系统补丁更新奇迹器等；当用户通过安全认证后便不错造访更多的互联网资源（非受限资源）。

1.1.3  Portal的系统构成

Portal的典型组网方式如图1-1所示，它由五个基自己分构成：认证客户端、接入成立、Portal奇迹器、认证/计费奇迹器和安全政策奇迹器。

图1-1 Portal系统构成暗意图

 

1. 认证客户端

装置于用户末端的客户端系统，为运行HTTP/HTTPS条约的浏览器或运行Portal客户端软件的主机。对接入末端的安全性检测是通过Portal客户端和安全政策奇迹器之间的信拒却流完成的。

2. 接入成立

交换机、路由器等宽带接入成立的统称，主要有三方面的作用：

l              在认证之前，将认证网段内用户的所有HTTP请求齐重定向到Portal奇迹器。

l              在认证过程中，与Portal奇迹器、安全政策奇迹器、认证/计费奇迹器交互，完成身份认证/安全认证/计费的功能。

l              在认证通事后，允许用户造访被责罚员授权的互联网资源。

3. Portal奇迹器

吸收Portal客户端认证请求的奇迹器端系统，提供免费流派奇迹和基于Web认证的界面，与接入成立交互认证客户端的认证信息。

4. 认证/计费奇迹器

与接入成立进行交互，完成对用户的认证和计费。

5. 安全政策奇迹器

与Portal客户端、接入成立进行交互，完成对用户的安全认证，并对用户进行授权操作。

以上五个基自己分的交互过程为：

(1)        未认证用户造访集聚时，在Web浏览器地址栏中输入一个互联网的地址，那么此HTTP请求在经过接入成随即会被重定向到Portal奇迹器的Web认证主页上；若需要使用Portal的扩张认证功能，则用户必须使用Portal客户端。

(2)        用户在认证主页/认证对话框中输入认证信息后提交，Portal奇迹器会将用户的认证信息传递给接入成立；

(3)        然后接入成立再与认证/计费奇迹器通讯进行认证和计费；

(4)        认证通事后，如果未对用户收受安全政策，则接入成立会翻开用户与互联网的通路，允许用户造访互联网；如果对用户收受了安全政策，则客户端、接入成立与安全政策奇迹器交互，对用户的安全检测通过之后，安全政策奇迹器把柄用户的安全性授权用户造访非受限资源。

 

1.1.4  使用土产货Portal奇迹器的Portal认证系统 1. 系统构成

土产货Portal奇迹器功能是指，Portal认证系统中不收受外部孤苦的Portal奇迹器，而由接入成立完毕Portal奇迹器功能。这种情况下，Portal认证系统仅包括三个基自己分：认证客户端、接入成立和认证/计费奇迹器，如图1-2所示。由于成立提拔Web用户径直认证，因此就不需要部署稀奇的Portal奇迹器，增强了Portal认证的通用性。

图1-2 使用土产货Portal奇迹器的Portal系统构成暗意图

 

 

2. 认证客户端和土产货Portal奇迹器之间的交互条约

认证客户端和内嵌土产货Portal奇迹器的接入成立之间不错收受HTTP和HTTPS条约通讯。若客户端和接入成立之间交互HTTP条约，则报文以明文款式传输，安全性无法保证；若客户端和接入成立之间交互HTTPS条约，则报文基于SSL提供的安全机制以密文的款式传输，数据的安全性有保险。

3. 土产货Portal奇迹器提拔用户自界说认证页面

土产货Portal奇迹器提拔由用户自界说认证页面的内容，即允许用户剪辑一套认证页面的HTML文献，并在压缩之后保存至成立的存储成立中。该套自界说页面中包括六个认证页面：登录页面、登录告捷页面、在线页面、下线告捷页面、登录失败页面和系统忙页面。土产货Portal奇迹器把柄不同的认证阶段向客户端推出对应的认证页面，若不自界说，则折柳推出系统提供的缺省认证页面。

 

1.1.5  Portal的认证方式

不同的组网方式下，可收受的Portal认证方式不同。按照采聚合实施Portal认证的集聚档次来分，Portal的认证方式分为两种：二层认证方式和三层认证方式。S5120-EI系列以太网交换机当今仅提拔二层Portal认证方式。

这种方式提拔在接入成立一语气用户的二层端口上开启Portal认证功能，只允许源MAC地址通过认证的用户身手造访外部集聚资源。当今，该认证方式仅提拔土产货Portal认证，即接入成立看成土产货Portal奇迹器向用户提供Web认证奇迹。

另外，该方式还提拔奇迹器下发授权VLAN和将认证失败用户加入认证失败VLAN功能。

1.1.6  二层Portal认证过程 1. 二层Portal认证历程

当今，二层Portal认证只提拔土产货Portal认证，即由接入成立看成土产货Portal奇迹器向用户提供Web认证奇迹，具体认证过程如下。

图1-3 二层Portal认证历程图

 

(1)        Portal用户通过HTTP或HTTPS条约发起认证请求。HTTP报文经过树立了土产货Portal奇迹器的接入成立的端口时会被重定向到土产货Portal奇迹器的监听IP地址，土产货Portal奇迹器提供Web页面供用户输入用户名和密码来进行认证。该土产货Portal奇迹器的监听IP地址为接入成立上一个与用户之间路由可达的三层接口IP地址（时时为Loopback接口IP）。

(2)        接入成立与RADIUS奇迹器之间进行RADIUS条约报文的交互，对用户身份进行考据。

(3)        如果RADIUS认证告捷，则接入成立上的土产货Portal奇迹器向客户端发送登录告捷页面，奉告客户端认证（上线）告捷。

2. 提拔下发授权VLAN

二层Portal认证提拔奇迹器下发授权VLAN。当用户通过Portal认证后，如果授权奇迹器上树立了下发VLAN功能，那么奇迹器会将授权VLAN信息下发给接入成立，由接入成立将认证告捷的用户加入对应的授权VLAN中，则端口上会生成该用户MAC对应的MAC VLAN表项，若该VLAN不存在，则接入成立最初创建VLAN，尔后将用户加入授权VLAN中。

通过提拔下发授权VLAN，可完毕对已认证用户可造访集聚资源的规模。

3. 提拔Auth-Fail VLAN

Auth-Fail VLAN功能允许用户在认证失败的情况下，不错造访某一特定VLAN中的资源，比如病毒补丁奇迹器，存储客户端软件或杀毒软件的奇迹器，进行升级客户端或推行其他一些用户升级措施。这个VLAN称之为Auth-Fail VLAN。

二层Portal认证提拔基于MAC的Auth-Fail VLAN，如果接入用户的端口上树立了Auth-Fail VLAN，则端口上会基于认证失败的MAC地址生成相应的MAC VLAN表项，认证失败的用户将会被加入Auth-Fail VLAN中。加入Auth-Fail VLAN中的用户不错造访该VLAN中的非HTTP资源，但用户的所有HTTP造访请求会被重定向到接入成立上进行认证，若用户仍然莫得通过认证，则将无间处于Auth-Fail VLAN内；若认证告捷，则回到加入Auth-Fail VLAN之前端口场合的VLAN。处于Auth-Fail VLAN中的用户，若在指定技巧（默许90秒）内无流量通过接入端口，则将离开该VLAN，回到端口的启动VLAN。

 

4. 提拔ACL下发

ACL（Access Control List，造访规模列表）提供了规模用户造访集聚资源和落幕用户造访权限的功能。当用户上线时，如果奇迹器上树立了授权ACL，则成立会把柄奇迹器下发的授权ACL对用户场合端口的数据流进行规模；在奇迹器上树立授权ACL之前，需要在成立上树立相应的划定。责罚员不错通过改变奇迹器的授权ACL诞生或成立上对应的ACL划定来改变用户的造访权限。

1.2  二层Portal树立任务简介

表1-1 二层Portal树立任务简介

树立任务

证明

扫视树立

指定二层Portal认证的土产货Portal奇迹器监听IP地址

必选

1.4 

树立土产货Portal奇迹器

自界说认证页面

可选

1.5.1 

树立土产货Portal奇迹器

必选

1.5.2 

使能二层Portal

必选

1.6 

规模Portal用户的接入

树立免认证划定

可选

1.7.1 

树立Portal最大用户数

1.7.2 

指定Portal用户使用的认证域

1.7.3 

树立允许触发Portal认证的Web代理奇迹器端口

1.7.4 

树立Portal用户认证端口的自动迁徙功能

1.7.5 

树立Portal认证的Auth-Fail VLAN

可选

1.8 

指定Portal用户认证告捷后认证页面的自动跳转缱绻网站地址

可选

1.9 

树立二层Portal用户的在线检测功能

可选

1.10 

强制Portal用户下线

可选

1.11 

 

1.3  树立准备

Portal提供了一个用户身份认证和安全认证的完毕决议，然则只是依靠Portal不及以完毕该决议。接入成立的责罚者需遴荐使用RADIUS认证方法，以结合Portal完成用户的身份认证。Portal认证的树立前提：

l              Portal奇迹器、RADIUS奇迹器已装置并树立告捷。土产货Portal认证无需单独装置Portal奇迹器。

l              用户、接入成立和各奇迹器之间路由可达。

l              如果通过远端RADIUS奇迹器进行认证，则需要在RADIUS奇迹器上树立相应的用户名和密码，然后在接入成立端进行RADIUS客户端的干系诞生。RADIUS客户端的具体树立请参见“安全树立指点”中的“AAA树立”。

l              如果需要提拔Portal的扩张功能，需要装置并树立iMC EAD。同期保证在接入成立上的ACL树立和安全政策奇迹器上树立的受限资源ACL号、非受限资源ACL号对应。接入成立上的安全政策奇迹器树立请参见“安全树立指点”中的“AAA树立”。

 

1.4  指定二层Portal认证的土产货Portal奇迹器监听IP地址

二层Portal认证使用土产货Portal奇迹器，因此需要将成立上一个与Portal客户端路由可达的三层接口IP地址指定为土产货Portal奇迹器的监听IP地址，并热烈提倡使用成立上闲散的Loopback接口的IP地址，诈骗LoopBack接口景况褂讪的优点，幸免因为接口故障导致用户无法翻开认证页面的问题。另外，由于发送到LoopBack接口的报文不会被转发到采聚合，当请求上线的用户数量较大时，可收缩对系统性能的影响。

表1-2 指定二层Portal认证的土产货Portal奇迹器监听IP地址

操作

敕令

证明

插足系统视图

system-view

-

指定二层Portal认证的土产货Portal奇迹器监听IP地址

portal local-server ip ip-address

必选

缺省情况下，莫得指定土产货Portal奇迹器的监听IP地址

 

 

1.5  树立土产货Portal奇迹器

本特色用于结合Portal土产货认证，且仅在使用土产货Portal奇迹器时必配。使用土产货Portal奇迹器进行认证时，土产货Portal奇迹器矜重向用户推出认证页面。认证页面的内容和面目可自界说，若未树立自界说认证页面，则向用户推出系统提供的缺省认证页面。

1.5.1  自界说认证页面文献

用户自界说的认证页面为HTML文献的款式，压缩后保存在土产货成立的存储成立中。每套认证页面可包括六个主索引页面（登录页面、登录告捷页面、登录失败页面、在线页面、系统忙页面、下线告捷页面）过火页面元素（认证页面需要应用的多样文献，如Logon.htm页面中的back.jpg），每个主索引页面不错援用些许页面元素。若用户只自界说了部分主索引页面，则其余主索引页面使用系统提供的缺省认证页面。

用户在自界说这些页面时需要罢黜一定的表率，不然会影响土产货Portal奇迹器功能的时时使用和系统运行的褂讪性。

1. 文献名表率

主索引页面文献名不成自界说，必须使用表1-3中所列的固定文献名。

表1-3 认证页面文献名

主索引页面

文献名

登录页面

logon.htm

登录告捷页面

logonSuccess.htm

登录失败页面

logonFail.htm

在线页面

国内偷拍摄视频在线观看

用于领导用户一经在线

online.htm

系统忙页面

用于领导系统忙或者该用户正在登录过程中

busy.htm

下线告捷页面

logoffSuccess.htm

 

 

2. 页面请求表率

土产货Portal奇迹器只可接受Get请乞降Post请求。

l              Get请求用于获取认证页面中的静态文献，其内容不成为递归内容。例如，Logon.htm文献中包含了Get ca.htm文献的内容，但ca.htm文献中又包含了对Logon.htm的援用，这种递归援用是不允许的。

l              Post请求用于用户提交用户名和密码以及用户推行登录、下线操作。

3. Post请求中的属性表率

(1)        认证页面中表单（Form）的剪辑必须合乎以下原则：

l              认证页面不错含有多个Form，然则必须有且只须一个Form的action=logon.cgi，不然无法将用户信息送到土产货Portal奇迹器。

l              用户名属性固定为”PtUser”，密码属性固定为”PtPwd”。

l              需要灵验于象征用户登录照旧下线的属性”PtButton”，取值为"Logon"涌现登录，取值为"Logoff"涌现下线。

l              登录Post请求必须包含”PtUser”，”PtPwd”和"PtButton"三个属性。

l              下线Post请求必须包含”PtButton”这个属性。

(2)        需要包含登录Post请求的页面有logon.htm和logonFail.htm。

logon.htm页面剧本内容的部分示例：

<form action=logon.cgi method = post >

<p>User name:<input type="text" name = "PtUser" style="width:160px;height:22px" maxlength=64>

<p>Password :<input type="password" name = "PtPwd" style="width:160px;height:22px" maxlength=32>

<p><input type=SUBMIT value="Logon" name = "PtButton" style="width:60px;">

</form>

(3)        需要包含下线Post请求的页面有logonSuccess.htm和online.htm。

online.htm页面剧本内容的部分示例：

<form action=logon.cgi method = post >

<p><input type=SUBMIT value="Logoff" name="PtButton" style="width:60px;">

</form>

4. 页面文献压缩及保存表率

l              完成所有认证页面的剪辑之后，必须按照范例Zip款式将其压缩到一个Zip文献中，该Zip文献的文献名只可包含字母、数字和下划线。缺省认证页面文献必须以defaultfile.zip为文献名保存。

l              压缩后的Zip文献中必须径直包含认证页面，不允许存在转折目次。

l              压缩生成的Zip文献不错通过FTP或TFTP的方式上传至成立，并保存在成立的指定目次下。缺省认证页面文献必须保存在成立的根目次下，非缺省认证页面文献不错保存在成立根目次下或者根目次的portal目次下。

Zip文献保存目次示例：

<Sysname> dir

Directory of flash:/portal/

   0     -rw-      1405  Feb 28 2008 15:53:31   ssid2.zip

   1     -rw-      1405  Feb 28 2008 15:53:20   ssid1.zip

   2     -rw-      1405  Feb 28 2008 15:53:39   ssid3.zip

   3     -rw-      1405  Feb 28 2008 15:53:44   ssid4.zip

2540 KB total (1319 KB free)

5. 页面文献大小和内容表率

为了便捷系统推出自界说的认证页面，认证页面在文献大小和内容上需要有如下落幕：

l              每套页面（包括主索引页面文献过火页面元素）压缩后的Zip文献大小不成跳跃500K字节。

l              每个单独页面（包括单个主索引页面文献过火页面元素）压缩前的文献大小不成跳跃50K字节。

l              页面元素只可包含HTML、JS、CSS和图片之类的静态内容浆果儿全集。

6. 关闭登录告捷/在线页面后强制用户下线

用户认证告捷后，系统会推出登录告捷页面（文献名为logonSuccess.htm），认证通事后再次通过登录页面进行认证操作，系统会推出在线页面（文献名为online.htm）。若但愿用户关闭这两个页面的同期，触发成立推行强制面前在线用户下线的操作，就需要按照如下条目在这两个页面文献的剧本文献中加多如下内容。

(1)        添加对JS文献“pt_private.js”的援用；

(2)        添加触发页面卸载的函数“pt_unload()”；

(3)        添加Form的提交事件处理函数“pt_submit()”；

(4)        添加页面加载的启动化函数“pt_init()”。

需要在logonSuccess.htm和online.htm页面剧本中加多的内容如示例中超过披露部分：

    <html>

    <head>

    <script type="text/javascript" language="javascript" src="pt_private.js"></script>

    </head>

    <body onload="pt_init();" onbeforeunload="return pt_unload();">

    ... ...

<form action=logon.cgi method = post onsubmit="pt_submit()">

    ... ...

    </body>

    </html>

7. 认证告捷后认证页面自动跳转

若要提拔认证告捷后自界说认证页面的自动跳转功能，即认证页面会在用户认证告捷后自动跳转到成立指定的网站页面，则需要按照如下条目在认证页面logon.htm和logonSuccess.htm的剧本文献中作念如下改造。

(1)        将logon.htm文献中的Form的target值诞生为“blank”。

修改的剧本内容如下超过披露部分所示：

    <form method=post action=logon.cgi target="blank">

(2)        logonSucceess.htm文献添加页面加载的启动化函数“pt_init()”。

加多的剧本内容如下超过披露部分所示：

    <html>

    <head>

    <title>LogonSuccessed</title>

    <script type="text/javascript" language="javascript" src="pt_private.js"></script>

    </head>

    <body onload="pt_init();" onbeforeunload="return pt_unload();">

    ... ...

    </body>

    </html>

 

1.5.2  树立土产货Portal奇迹器

在本树立任务中，通过指定Portal客户端和土产货Portal奇迹器之转折纳的通讯条约（HTTP或HTTPS），接入成立上的土产货Portal奇迹器功能身手收效。

1. 树立准备

若指定土产货Portal奇迹器提拔的条约类型为HTTPS，则需要最初完成以下树立：

l              树立PKI政策，并告捷恳求土产货文凭和CA文凭，具体树立请参见“安全树立指点”中的“PKI树立”。

l              树立SSL奇迹器端政策，并指定使用已树立的PKI域。具体树立请参见“安全树立指点”中的“SSL树立”。

由于指定土产货Portal奇迹器提拔的条约类型时，土产货Portal奇迹器将同期加载已保存在根目次的缺省认证页面文献，因此若需要使用自界说的缺省认证页面文献，则需要最初完成对它的剪辑和保存使命，不然使用系统默许的缺省认证页面。

2. 树立土产货Portal奇迹器

表1-4 树立土产货Portal奇迹器

操作

敕令

证明

插足系统视图

system-view

-

树立土产货Portal奇迹器提拔的条约类型，并同期加载缺省认证页面文献

portal local-server { http | https server-policy policy-name }

必选

缺省情况下，土产货Portal奇迹器不提拔任何条约类型

树立土产货Portal奇迹器缺省认证页面的宽待信息

portal server banner banner-string

可选

缺省情况下，无Web页面宽待信息

 

1.6  使能二层Portal认证

只须在端口上使能了Portal认证，对接入用户的Portal认证功能身手收效。

在使能二层Portal认证之前，需要先指定土产货Portal奇迹器的监听IP地址。

表1-5 使能二层Portal认证

操作

敕令

证明

插足系统视图

system-view

-

插足二层以太网端口视图

interface interface-type interface-number

-

在端口上使能二层Portal认证

portal local-server enable

必选

缺省情况下，未使能二层Portal认证

 

 

1.7  规模Portal用户的接入 1.7.1  树立免认证划定

通过树立免认证划定（free-rule）不错让特定的用户不需要通过Portal认证即可造访外网特定资源，这是由免认证划定中树立的源信息以及缱绻信息决定的。

关于二层Portal认证，只可树立从落拓源地址（即source any）到落拓或指定缱绻肠址的免认证划定。树立了到指定缱绻肠址的免认证划定后，用户不需要通过Portal认证即可造访指定缱绻网段或地址的集聚资源，且用户造访这些资源的HTTP请求不会被重定向到Portal认证页面上。时时，不错将一些提供特定奇迹器资源（例如软件升级奇迹器）的IP地址指定为免认证划定的缱绻IP，便于二层Portal用户在免认证的情况下获取特定的奇迹资源。

表1-6 树立免认证划定

操作

敕令

证明

插足系统视图

system-view

-

树立Portal的免认证划定

portal free-rule rule-number { destination { any | ip { ip-address mask { mask-length | netmask } | any } } } *

必选

 

 

1.7.2  树立Portal最大用户数

通过该树立不错规模系统中的Portal接入用户总额。

表1-7 树立Portal最大用户数

操作

敕令

证明

插足系统视图

system-view

-

树立Portal最大用户数

portal max-user max-number

必选

缺省情况下，Portal最大用户数为3000或1500，具体取值请以家具实质情况为准

 

 

1.7.3  指定Portal用户使用的认证域

通过在指定端口上树立Portal用户使用的认证域，使得所有从该端口接入的Portal用户被强制使用指定的认证域来进行认证、授权和计费。即使Portal用户输入的用户名中佩带的域名疏通，接入成立的责罚员也不错通过该树立对不同端口指定不同的认证域，从而加多了责罚员部署Portal接入政策的天真性。

表1-8 指定Portal用户使用的认证域

操作

敕令

证明

插足系统视图

system-view

-

插足端口视图

interface interface-type interface-number

-

指定Portal用户使用的认证域

portal domain domain-name

必选

缺省情况下，未指定Portal用户使用的认证域

 

 

1.7.4  树立允许触发Portal认证的Web代理奇迹器端口

缺省情况下，只须未认证用户浏览器发起的缱绻端标语为80的HTTP请求才会被成立重定向，并触发Portal认证，若未认证用户使用Web代理奇迹器上网，况兼代理奇迹器的端标语不是80，则用户的这类HTTP请求报文将被丢弃，而不成触发Portal认证。这种情况下，集聚责罚员不错通过在成立上添加允许触发Portal认证的Web代理奇迹器端标语，来允许使用Web代理奇迹器的用户浏览器向某些非80端口发起的HTTP请求也不错触发Portal认证。

另外，若用户场合的组网环境中有非80端口的Web奇迹器，况兼用户造访该奇迹器之前需要经过Portal认证，则也不错将这些端口添加为Web代理奇迹器端口，使得用户造访该Web奇迹器之前也会触发Portal认证。

表1-9 树立允许触发Portal认证的Web代理奇迹器端口

树立要领

敕令

证明

插足系统视图

system-view

-

添加允许触发Portal认证的Web代理奇迹器端口

portal web-proxy port port-number

必选

缺省情况下，不存在允许触发Portal认证的非80的Web代理奇迹器端口

 

 

1.7.5  树立Portal用户认证端口的自动迁徙功能

在用户和成立之间存在Hub、二层交换机或AP的组网环境下，若在线用户在未下线的情况下从合并成立上确面前认证端口离开并迁徙到其它使能了二层Portal的认证端口上接入时，由于原端口上仍然存在该用户的认证信息，因此成立默许不允许用户在新端口上认证上线。

开启本功能后，成立允许在线用户离开面前端口后在新端口上上线，具体分为以下两种情况：

l              若原认证端口景况未down，且用户先后接入的两个端口属于合并个VLAN，则用户不需要从头认证就八成无间以在线景况在新的端口上造访集聚，并按照新的端口信息无间计费；

l              若原认证端口景况变为down，或者原认证端口景况未down然则两个认证端口所属的VLAN不同，则成立会将用户在原端口上的认证信息删惊怖，并条目用户在新端口上从头进行认证。

表1-10 树立Portal用户认证端口的自动迁徙功能

树立要领

敕令

证明

插足系统视图

system-view

-

开启Portal用户认证端口的自动迁徙功能

portal move-mode auto

必选

缺省情况下，Portal用户认证端口的自动迁徙功能处于关闭景况

 

 

1.8  树立Portal认证的Auth-Fail VLAN

通过该树立不错指定Portal用户认证失败后加入的VLAN。

进行本树立之前，请最初创建需要树立为Auth-Fail VLAN的VLAN。

表1-11 树立Portal认证的Auth-Fail VLAN

树立要领

敕令

证明

插足系统视图

system-view

-

插足二层以太网端口视图

interface interface-type interface-number

-

树立端口的Portal认证的Auth-Fail VLAN

portal auth-fail vlan authfail-vlan-id

必选

缺省情况下，端口莫得树立Portal认证的Auth-Fail VLAN

 

 

1.9  指定Portal用户认证告捷后认证页面的自动跳转缱绻网站地址

未认证用户上网时，最初会主动或被强制登录到Portal认证页面进行认证，当用户输入正确的认证信息且认证告捷后，若成立上指定了认证页面的自动跳转缱绻网站地址，则认证告捷的用户将在一定的技巧间隔（由wait-time参数树立）之后被强制登录到该指定的缱绻网站页面。

表1-12 指定Portal用户认证告捷后认证页面的自动跳转缱绻URL

树立要领

敕令

证明

插足系统视图

system-view

-

指定Portal用户认证告捷后认证页面的自动跳转缱绻网站地址

portal redirect-url url-string [ wait-time period ]

必选

缺省情况下，关于土产货Portal认证，用户认证告捷后认证页面不会进行跳转，关于良友Portal认证，用户认证告捷后认证页面将会跳转到用户启动造访的网站页面

 

 

1.10  树立二层Portal用户在线检测功能

二层以太网端口上有Portal用户上线后，成立会启动一个用户在线检测定时器，如期对该端口上的所有在线用户的MAC地址表项进行检测，稽查定时器超时前该用户是否有报文发送到成立上（该用户MAC地址表项是否被射中过），来证明该用户是否在线，以便实时发现相等离线用户。若发现某用户MAC地址表项一经被老化或检测间隔内未收到过该用户的报文，则觉得一次检测失败，一语气两次检测失败后，成立会强制该用户下线。

表1-13 树立二层Portal用户在线检测技巧间隔

操作

敕令

证明

插足系统视图

system-view

-

插足二层以太网端口视图

interface interface-type interface-number

-

树立二层Portal用户在线检测技巧间隔

portal offline-detect interval offline-detect-interval

必选

缺省情况下，二层Portal用户在线检测技巧间隔为300秒

 

1.11  强制Portal用户下线

通过树立强制用户下线不错圮绝对指定IP地址用户的认证过程，或者将一经通过认证的指定IP地址的用户删除。

表1-14 树立强制用户下线

操作

敕令

证明

插足系统视图

system-view

-

强制接入成立上的用户下线

portal delete-user { ip-address | all | interface interface-type interface-number }

必选

 

1.12  Portal披露和保养

在完成上述树立后，在职意视图下推行display敕令不错披露树立后Portal的运行情况，通过稽查披露信息考据树立的后果。

在用户视图下推行reset敕令不错吊销Portal统计信息。

表1-15 Portal披露和保养

操作

敕令

披露Portal的免认证划定信息

display portal free-rule [ rule-number ] [ | { begin | exclude | include } regular-expression ]

披露指定端口的Portal树立信息

display portal interface interface-type interface-number [ | { begin | exclude | include } regular-expression ]

披露土产货Portal奇迹器信息

display portal local-server [ | { begin | exclude | include } regular-expression ]

披露TCP仿冒统计信息

display portal tcp-cheat statistics [ | { begin | exclude | include } regular-expression ]

披露Portal用户的信息

display portal user { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ]

吊销TCP仿冒统计信息

reset portal tcp-cheat statistics

 

1.13  二层Portal典型树立例如 1.13.1  组网需求

用户主机与接入成立Switch径直承接，接入成立在端口GigabitEthernet1/0/1上对用户进行二层Portal认证。具体条目如下：

l              使用良友RADIUS奇迹器进行认证、授权和计费；

l              使用良友DHCP奇迹器为用户分拨IP地址；

l              土产货Portal认证奇迹器的监听IP地址为4.4.4.4，成立向Portal用户推出自界说的认证页面，并使用HTTPS传输认证数据；

l              认证告捷的用户可被授权加入VLAN 3；

l              认证失败的用户将被加入VLAN 2，允许造访其中的Update奇迹器资源；

l              Host通过DHCP动态获取IP地址，认证前使用192.168.1.0/24网段的IP地址，认证告捷后使用3.3.3.0/24网段的IP地址，认证失败后使用2.2.2.0/24网段的IP地址。

1.13.2  组网图

图1-4 树立二层Portal认证组网图

 

1.13.3  树立要领

 

(1)        树立Portal认证

# 树立各以太网端口加入VLAN及对应VLAN接口的IP地址（略）。

# 完成PKI域pkidm的树立，并告捷恳求土产货文凭和CA文凭，具体树立请参见“安全树立指点”中的“PKI树立”。

# 完成自界说缺省认证页面文献的剪辑，并将其以defaultfile为称号压缩为一个Zip文献之后保存在成立根目次下。

# 树立SSL奇迹器端政策sslsvr，指定使用的PKI域为pkidm。

<Switch> system-view

[Switch] ssl server-policy sslsvr

[Switch-ssl-server-policy-sslsvr] pki pkidm

[Switch-ssl-server-policy-sslsvr] quit

# 树立土产货Portal奇迹器提拔HTTPS条约，并援用SSL奇迹器端政策sslsvr。

[Switch] portal local-server https server-policy sslsvr

# 树立Loopback接口12的IP地址为4.4.4.4。

[Switch] interface loopback 12

[Switch-LoopBack12] ip address 4.4.4.4 32

[Switch-LoopBack12] quit

# 指定二层Portal认证的土产货Portal奇迹器监听IP地址为4.4.4.4。

[Switch] portal local-server ip 4.4.4.4

# 在端口GigabitEthernet1/0/1上使能Portal认证，并树立认证失败的VLAN为VLAN 2。

[Switch] interface gigabitethernet 1/0/1

[Switch–GigabitEthernet1/0/1] port link-type hybrid

[Switch–GigabitEthernet1/0/1] mac-vlan enable

[Switch–GigabitEthernet1/0/1] portal local-server enable

[Switch–GigabitEthernet1/0/1] portal auth-fail vlan 2

[Switch–GigabitEthernet1/0/1] quit

(2)        树立RADIUS决议

# 创建名字为rs1的RADIUS决议并插足该决议视图。

[Switch] radius scheme rs1

# 树立RADIUS决议的奇迹器类型。使用iMC奇迹器时，RADIUS奇迹器类型应遴荐extended。

[Switch-radius-rs1] server-type extended

# 树立RADIUS决议的主认证和主计费奇迹器过火通讯密钥。

[Switch-radius-rs1] primary authentication 1.1.1.2

[Switch-radius-rs1] primary accounting 1.1.1.2

[Switch-radius-rs1] key accounting radius

[Switch-radius-rs1] key authentication radius

[Switch-radius-rs1] quit

(3)        树立认证域

# 创建并插足名字为triple的ISP域。

[Switch] domain triple

# 树立ISP域的AAA方法。

[Switch-isp-triple] authentication portal radius-scheme rs1

[Switch-isp-triple] authorization portal radius-scheme rs1

[Switch-isp-triple] accounting portal radius-scheme rs1

[Switch-isp-triple] quit

# 树立系统缺省的ISP域triple，所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未佩带ISP域名，则使用缺省域下的认证方法。

[Switch] domain default enable triple

(4)        树立DHCP中继

# 使能DHCP奇迹。

[Switch] dhcp enable

# 树立DHCP奇迹器的地址。

[Switch] dhcp relay server-group 1 ip 1.1.1.3

# 树立VLAN接口8使命在DHCP中继模式。

[Switch] interface vlan-interface 8

[Switch-Vlan-interface8] dhcp select relay

# 树立VLAN接口8对应DHCP奇迹器组1。

[Switch-Vlan-interface8] dhcp relay server-select 1

[Switch-Vlan-interface8] quit

# 树立VLAN接口2使命在DHCP中继模式。

[Switch] interface vlan-interface 2

[Switch-Vlan-interface2] dhcp select relay

# 树立VLAN接口2对应DHCP奇迹器组1。

[Switch-Vlan-interface2] dhcp relay server-select 1

[Switch-Vlan-interface2] quit

# 树立VLAN接口3使命在DHCP中继模式。

[Switch] interface vlan-interface 3

[Switch-Vlan-interface3] dhcp select relay

# 树立VLAN接口3对应DHCP奇迹器组1。

[Switch-Vlan-interface3] dhcp relay server-select 1

[Switch-Vlan-interface3] quit

1.13.4  考据树立落幕

用户userpt未进行Web造访之前，位于启动VLAN（VLAN 8）中，并被分拨192.168.1.0/24网段中的IP地址。当用户通过Web浏览器造访外部集聚时，其Web请求均被重定向到认证页面https://4.4.4.4/portal/logon.htm。用户把柄网页领导输入正确的用户名和密码后，八成告捷通过Portal认证。通过认证的用户将会离开启动VLAN（VLAN 8），并加入授权VLAN（VLAN 3）。可通过display connection ucibindex敕令稽查已在线用户的扫视信息。

<Switch> display connection ucibindex 30

Slot:  1

Index=30  , Username=userpt@triple

MAC=0015-e9a6-7cfe

IP=192.168.1.2

IPv6=N/A

Access=PORTAL  ,AuthMethod=PAP

Port Type=Ethernet,Port Name= GigabitEthernet1/0/1

Initial VLAN=8, Authorization VLAN=3

ACL Group=Disable

User Profile=N/A

CAR=Disable

Priority=Disable

Start=2009-11-26 17:40:02 ,Current=2009-11-26 17:48:21 ,Online=00h08m19s

 Total 1 connection matched.

不错通过display mac-vlan all敕令稽查到认证告捷用户的MAC VLAN表项，该表项中纪录了加入授权VLAN的MAC地址与端口上生成的基于MAC的VLAN之间的对应关系。

[Switch] display mac-vlan all

  The following MAC VLAN addresses exist:

  S:Static  D:Dynamic

  MAC ADDR         MASK             VLAN ID   PRIO   STATE

  --------------------------------------------------------

  0015-e9a6-7cfe   ffff-ffff-ffff   3         0      D

  Total MAC VLAN address count:1

若用户认证失败，将被加入VLAN 2中，端口上生成的MAC VLAN表项及IP地址分拨情况的稽查方式同上，此处略。

1.14  常见树立无理例如 1.14.1  接入成立和Portal奇迹器上的密钥不一致 1. 故障风物

用户被强制去造访Portal奇迹器时莫得弹出Portal认证页面，也莫得无理领导，登录的Portal认证奇迹器Web页面为空缺。

2. 故障分析

接入成立上树立的Portal密钥和Portal奇迹器上树立的密钥不一致，导致Portal奇迹器报文考据出错，Portal奇迹器推辞弹出认证页面。

3. 处理过程

使用display portal server敕令稽查接入成立上树立的Portal奇迹器密钥，并在系统视图中使用portal server敕令修改密钥，或者在Portal奇迹器上稽查对应接入成立的密钥并修改密钥，直至两者的密钥诞生一致。

1.14.2  接入成立上奇迹器端口树立无理 1. 故障风物

用户通过Portal认证后，在接入成立上使用portal delete-user敕令强制用户下线失败，然则使用客户端的“断开”属性不错时时下线。

2. 故障分析

在Portal上使用portal delete-user敕令强制用户下线时，由接入成立主动发送下线请求报文到Portal奇迹器，Portal奇迹器默许的报文监听端口为50100，然则因为接入成立上树立的奇迹器监听端口无理（不是50100），即其发送的下线请求报文的缱绻端口和Portal奇迹器着实的监听端口不一致，故Portal奇迹器无法收到下线请求报文，Portal奇迹器上的用户无法下线。

当使用客户端的“断开”属性让用户下线时，由Portal奇迹器主动向接入成立发送下线请求，其源端口为50100，接入成立的下线支吾报文的缱绻端口使用请求报文的源端口，幸免了其树立上的无理，使得Portal奇迹器不错收到下线支吾报文，从而Portal奇迹器上的用户告捷下线。

3. 处理过程

使用display portal server敕令稽查接入成立对应奇迹器的端口浆果儿全集，并在系统视图中使用portal server敕令修改奇迹器的端口，使其和Portal奇迹器上的监听端口一致。