Portal認證方式

初級安全 WPA-PSK + 接入點隱藏

中級安全 IEEE802.1X認證 + TKIP加密
專業級安全 用戶隔離技術 + iEEE802.11i + radiu認證和計費


Portal技術稱爲Web認證技術,一般Portal認證網站稱爲門戶網站
Portal認證時一種三層網絡接入認證,認證之前可以獲取地址,這點與802.1X不同


擴展功能
1、在portal身份認證的基礎上增加了安全認證機制,可以檢測接入終端上是否安裝了防病毒軟件,是否更新了病毒庫,是否安裝了非法軟件,是否更新了操作系統補丁等
2、用戶通過身份認證後僅僅獲得訪問部分互聯網資源(受限資源)的權限,當用戶通過安全認證後便可以訪問更多的互聯網資源


優點 用戶無需安裝客戶端軟件、新業務支持能力強大、快速認證方式
portal的基本原理是:未認證用戶只能訪問特定的站點服務,任何其他訪問都被無條件地重定向到portal服務器;只有在認證通過後,用戶才能訪問internet

portal基本四要素:認證客戶端、接入設備、portal服務器、認證計費服務器、安全策略服務器
注:四要素之間不能使用NAT

認證前:將用戶的所有http請求都重定向到portal服務器上

認證過程中:用戶在認證過程中,與認證計費服務器、安全策略服務器交互,完成身份認證/安全檢查功能
認證通過後:允許用戶訪問網絡資源
認證/計費服務器:完成對用戶的認證和計費

portal認證方式:非三層認證方式、三層認證方式

三層認證方式:客戶端與接入設備間有三層設備(直接獲取IP地址)

非三層認證方式:客戶端與接入設備間沒有三層設備


非三層認證方式分爲直連認證方式、二次地址分配認證方式

直接認證方式:用戶在認證前通過手工設置或DHCP獲取IP地址,只能訪問portal服務器,認證後即可訪問網絡資源

二次地址分配認證方式:認證前通過DHCP獲取一個私網地址,只能訪問portal服務器,認證後,會申請到一個公網地址,即可訪問網絡資源


目前只能是radius認證計費服務器,TACACS暫時不支持portal服務

p1.jpg

配置Portal服務器

portal server china ip 192.168.16.254 key cipher 123 port 8080 url http://192.168.16.254/portal

定義portal服務器名稱爲china、地址,與portal服務器通信共享密鑰,http報文重定向地址

portal free-rule 0 source ip 192.168.16.254 mask 255.255.255.255 destination ip any

portal free-rule 1 source ip any destination ip 192.168.16.253 mask 255.255.255.255 配置iNode
portal free-rule 2 source ip 192.168.16.252 mask 255.255.255.255 destination ip any 病毒服務器

portal free-rule 3 source ip 192.168.16.1 mask 255.255.255.255 destination ip any 

interface Vlan-interface1
 ip address 192.168.16.1 255.255.255.0
 ospf bfd enable
 portal server china method layer3 啓用Portal認證方式


H3C設備AAA配置信息

radius scheme AAA #創建radius認證名稱
 primary authentication 192.168.16.253 1812#主認證服務器IP地址
 primary accounting 192.168.16.253 1813 #主審計服務器IP地址
 key authentication cipher 123456 #與認證服務器交互報文時的共享密鑰爲123456
 key accounting cipher 123456 #與審計服務器交互報文時的共享密鑰爲123456
 user-name-format without-domain #向radius服務器發送的用戶名不攜帶域名
 nas-ip 192.168.16.1 本設備地址(Radius客戶端地址)
 server-type extended #服務類型爲擴展

security-policy-server 192.168.16.252 部署安全策略服務器


domain CHINA
authentication portal radius-scheme AAA

authorization portal radius-scheme AAA

accounting portal radius-scheme AAA

domain default enable CHINA


display history-command 顯示當前用戶輸入的歷史命令
reset factory-configuration恢復出廠設置
management-plane isolate enable 開啓管理口隔離,業務口無法訪問管理口










本文轉自 周小玉 51CTO博客,原文鏈接:http://blog.51cto.com/maguangjie/1796007,如需轉載請自行聯繫原作者
相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。