华为Eudumon1000配置PORTAL认证
这几天在华为Eudumon1000E-G上配置PORTAL服务,开始照着文档上的示例来配,但根本不成功,经过一番研究终于搞定,下面把配置步骤总结一下:
组网结构:
VLAN1000从G0/0/1(二层接口)上来,DHCP分配IP地址用于接入WIFI认证的终端
GigabitEthernet0/0/0.100 三层接入子接口,信任区域,接入的是PORTAL服务器、WEB服务器和RADIUS服务器。这些服务器的地址是:10.103.129.34
GigabitEthernet0/0/0.101 三层接入子接口,非信任区域,接入互联网
采用第三方RADIUS和第三方PORTAL服务,有FW参与的PORTAL认证
1、配置各接口,并加入各自的安全区域
#注意这里我新建了一个区域wifi,专门用于接入WIFI认证的用户
interface GigabitEthernet0/0/0.100
vlan-type dot1q 100
description manage_interface
ip address 172.16.0.2 255.255.255.252
service-manage ping permit
service-manage ssh permit
#
interface GigabitEthernet0/0/0.101
vlan-type dot1q 101
description public_interface
ip address 10.254.1.2 255.255.255.252
#
vlan batch 1000
interface Vlanif1000
ip address 172.16.4.1 255.255.255.0
service-manage ping permit
dhcp select interface
dhcp server lease day 0 hour 4 minute 0
dhcp server dns-list 202.103.224.68
interface GigabitEthernet0/0/1
portswitch
description dT:wifi_user
undo shutdown
port link-type access
port default vlan 1000
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0.100
add interface MEth0/0/0
firewall zone name wifi id 4
set priority 10
add interface Vlanif1000
firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/0.101
2、配置路由,保证各区域三层互通
请按自己的网络自行配置
3、配置认证、记帐和授权方案,都采用RADIUS处理
authentication-scheme radius
authentication-mode radius
authorization-scheme radius
authorization-mode radius
accounting-scheme radius
accounting-mode radius
4、配置RADIUS服务器模板
radius-server template portal_radius
radius-server shared-key cipher abcd1234
radius-server authentication 10.103.129.34 1912 source ip-address 172.16.0.2 weight 80
radius-server accounting 10.103.129.34 1913 source ip-address 172.16.0.2 weight 80
radius-server user-name domain-included
radius-server group-filter class
radius-server authorization 10.103.129.34 shared-key cipher abcd1234
5、配置认证域,一个用于WIFI认证,一个用于MAC认证
#两个域配置是一样的,分别配置是为了域名不一样,程序处理的时候方便一点
aaa
domain macauth
authentication-scheme radius
accounting-scheme radius
authorization-scheme radius
radius-server portal_radius
service-type internetaccess
internet-access mode password
reference user current-domain
domain wifi
authentication-scheme radius
accounting-scheme radius
authorization-scheme radius
radius-server portal_radius
service-type internetaccess
internet-access mode password
reference user current-domain
6、配置PORTAL服务器
web-auth-server default
server-ip 10.103.129.34
port 50100
shared-key cipher abcd1234
source-ip 172.16.0.2
7、配置PORTAL模板
#注意不要配置服务器检测,因为我的PORTAL服务器是自己用PYTHON写的,不支持心跳检测。否则由于逃生机制,FW会略过认证机制,直接放通网络。
user-manage portal-template portal 0
portal-index 0
portal-url http://10.103.129.34:8081
portal-url parameter receive-interface nasid
redirect-mode 302
还要配置一个PORTAL认证模板
authentication-profile name portal_authen_default
portal-access-profile default
access-domain wifi #指定认证域
还得在LOOPBACK0绑定
interface LoopBack0
authentication-profile portal_authen_default
8、配置认证策略
auth-policy
#配置一个白名单,主要是放行DNS服务器,或者其它你想要免认证访问的服务器
#要注意认证策略的默认行为是不认证
rule name wifi_whitelist
source-zone wifi
destination-zone untrust
destination-address 202.103.224.68 mask 255.255.255.255
destination-address 202.103.225.68 mask 255.255.255.255
action none
#访问互联网,需要进行认证,并引用之前定义的PORTAL模板
rule name wifi_internet
source-zone wifi
destination-zone untrust
action auth portal-template portal
9、配置安全策略
#先配置一个服务,我们的PORTAL WEB服务器端口是8081,这里面需要事先定义
#请注意安全策略的默认行为是拒绝访问
ip service-set myportal type object 1024
service 0 protocol tcp destination-port 8081 description myportal_web
这里面只列出了跟PORTAL认证相关的策略
security-policy
允许wifi用户访问PORTAL服务
rule name wifi_to_portal
source-zone wifi
destination-zone trust
destination-address 10.103.129.34 mask 255.255.255.255
service myportal
action permit
防火墙本身要跟RADIUS和PORTAL服务交互的,这里面需要放通
rule name local_to_portal
source-zone local
destination-zone trust
destination-address 10.103.129.34 mask 255.255.255.255
action permit
#PORTAL服务器需要访问防火墙的2000端口,这里也要放通
rule name portal_to_local
source-zone trust
destination-zone local
source-address 10.103.129.34 mask 255.255.255.255
action permit
#需要放通WIFI区域访问互联网
#防火墙的处理策略是,先认证策略再安全策略,最后才是nat策略,一定要搞清楚每种策略的默认行为,这样配置起来才不会搞
rule name wifi_to_internet
source-zone wifi
destination-zone untrust
action permit
10、配置NAT
nat-policy
rule name wifi_to_internet
source-zone wifi
destination-zone untrust
action source-nat easy-ip
这里就基本把PORTAL认证配置好了
下面配置mac认证
11、配置mac认证模板,绑定之前建立的macauth域
authentication-profile name portal_authen_mac
mac-access-profile mac_access_profile
access-domain macauth
12、在二层接口绑定mac认证模板
interface GigabitEthernet0/0/1
authentication-profile portal_authen_mac
13、启用MAC地址认证
user-manage online-user mac-address check enable
user-manage mac-access enable
其它注意事项
1、不要开启服务器检测,原因前面已经说过了
2、RADIUS下发的属性一定要注意,如果属性有误会导致PORTAL认证失败,我之前下发了华为的限速属性,可能限速过高,导致了PORTAL认证失败,建议只下发Filter-Id和Reply-Message这两个属性,其中Filter-Id是对应防火墙上的安全组。用user-manage security group wifi 建立安全组
华为Eudumon1000配置PORTAL认证相关推荐
- 华为 H3C 配置 Portal认证 mac-trigger快速认证 Mac无感知认证 Radius认证计费 对接 外部Portal认证计费系统 案例
华为 H3C 配置 Portal认证 mac-trigger快速认证 Mac无感知认证 Radius认证计费 对接 外部Portal认证计费系统 案例 介绍: OpenPortal网络准入认证计费系统 ...
- ASE无线认证服务器,华为ac配置portal认证服务器
华为ac配置portal认证服务器 内容精选 换一换 配置云AP的SSID时支持的认证方式多达13种,但是常用且推荐使用的认证方式有:密码认证(PSK):设置无线终端接入无线网络时需要输入的密码.Po ...
- 华为AC外置Portal认证方案配置步骤指南
华为AC上配置外置Portal认证 1.配置流程 配置步骤 ** 首先进行与RADIUS服务器和Portal服务器对接参数配置 ** 1.配置RADIUS服务器模板和RADIUS认证方案 a.配置RA ...
- 华为汇聚交换机上配置Portal认证实现用户访问网络
华为汇聚交换机上配置Portal认证实现用户访问网络 前提条件:已完成基础网络连通性配置,交换机到Radius服务器,DNS服务器,URL域名对应IP都要可达. 本实例是汇聚交换机作为认证点,若用核心 ...
- portal无线认证服务器,无线AC配置portal认证功能portal 认证服务器问题
看了下官方portal认证的介绍,关于portal认证服务器和portal web服务器的配置如下: 配置Portal认证 # 配置Portal认证服务器,名称为newpt,IP地址为192.168. ...
- AR路由器如何配置Portal认证(二层网络)
规格 适用于所有版本.所有形态的AR路由器. 说明: 4GE-2S.4ES2G-S.4ES2GP-S和9ES2单板不支持NAC功能. 组网需求 如图所示,某公司接待室需要部署一套身份认证系统,对接入网 ...
- 华为ac配置radius认证服务器_AC6005内置portal+外置radius认证失败
AC配置 # portal local-server ip 10.66.99.2 portal local-server https ssl-policy default_policy port 84 ...
- 华为ac配置radius认证服务器_华为aaa配置 华为AAA认证典型配置举例 - 网络设备 - 服务器之家...
华为aaa配置 华为AAA认证典型配置举例 发布时间:2017-03-06 来源:服务器之家 2.5 AAA典型配置举例 2.5.1 Telnet/SSH用户通过RADIUS服务器认证的应用配置 SS ...
- 华为ac配置radius认证服务器_华为思科设备RADIUS配置教程
1. RADIUS 配置 RADIUS 客户端配置: 思科设备例子: 交换机和路由器的配置: aaa new-model aaa authentication login auth group rad ...
- 华为ac配置radius认证服务器_华为ac配置radius认证服务器_华为思科设备RADIUS配置教程...
1. RADIUS 配置 RADIUS 客户端配置: 思科设备例子: 交换机和路由器的配置: aaa new-model aaa authentication login auth group rad ...
最新文章
- HarmonyOS UI开发 TableLayout(表格布局) 的使用
- Java外卖点餐系统
- 分布式系统的事务处理(推荐)
- iScroll.js 用法参考 (share)
- java ssm常用注解_SSM框架中常用的注解
- Struts学习笔记_i18n
- 【转】学习apicloud和IOS之间的模块化使用
- 主人公的出场—一个程序员的成长史(1)
- dalvik.system.PathClassLoader[DexPathList[[zip file /data/app/comda.xfdsafda.activdity-1/base.apk]
- mysql 更新并查询结果_数据库_基础知识_MySQL_UpdateSelect(根据查询出来的结果批量更新)...
- chainmaker VerifyingBlock height is not equal to proposed block
- C#开源大全--汇总
- 中国西北地区专题地图合集(高清)
- Android 深色模式适配
- 错误的SQL脚本,错误消息 4104
- php评论表情包怎么引入,WordPress中添加自定义评论表情包的方法
- 腾讯优图开源项目TNN总结与实践
- 纳滤膜分离技术用于制药提纯精制处理 稳定可靠
- python爬取网易云音乐飙升榜音乐_python爬取网易云音乐热歌榜单(获取iframe中数据,src为空)...
- 一切都好,只是很想念
热门文章
- could not resolve property: qid of: org.lxh.myzngt.vo.Answer [SELECT COUNT(q.qid) FROM org.lxh.myzn
- 钽电容的命名,贴片电解电容耐压,封装
- 基于PDF和JSPDF实现调整pdf文件大小功能
- OrthoMCL Pipeline 安装
- 高清视频录播服务器网站,高清录播服务器——DDA RSS3000
- 深圳云计算培训:专科生学习云计算就业前景如何?
- mmc驱动中的mmc_host结构体中rescan_disable变量的作用及使用
- 软件工程专业知识体系
- 小学计算机教师面试试题及答案,2019上半年小学信息技术教师资格证面试试题及答案(精选)第一批...
- python isupper_Python中用于检查英文字母大写的isupper()方法