正文共:2048 字 31 图,预估阅读时间:3 分钟
我们之前以MSR810-W为例,介绍了如何配置无线Portal认证(MSR810配置无线Portal认证)和有线Portal认证(MSR810配置有线Portal认证)。正常在使用时,如果设备本身既要负责业务转发,还要进行用户认证,性能可能会稍有不足;尤其是当认证需求量比较大或出现突发流量时,设备性能势必会大打折扣。比如我之前的MSR810-W就出现了因为认证终端软件机制问题频繁请求认证,导致MSR设备CPU占用率100%的问题。
所以,在一些规模稍大一些的使用场景中,我们就需要使用专业的认证服务器来解决这个问题,比如我们前面部署的iMC EIA组件(H3C iMC智能管理中心平台PLAT部署EIA/UAM/TAM组件)。如果大家也想尝试部署,iMC平台PLAT在Windows系统的安装可以参考(H3C iMC智能管理中心平台PLAT(7.2_E0403)部署实验),在Linux系统的安装可以参考(H3Linux部署iMC智能管理中心平台PLAT-7.3_E0706实验)。
Portal服务器通过实现Portal协议来控制Portal客户端与设备之间的交互来进行用户认证,用户只有认证通过后才能访问网络资源。我们首先增加接入设备,点击“资源”下的“增加设备”,将用于无线认证的MSR810-W添加进来。
在增加设备时,主要需要设备的IP地址、SNMP参数和远程登陆(Telnet或SSH)参数。
对应的,我们需要在设备上配置好相关参数,参考如下:
#snmp-agent snmp-agent community read simple public snmp-agent sys-info version all#local-user imc class manage password simple iMC@h3c service-type telnet authorization-attribute user-role network-admin添加设备之后,我们可以查看设备详细信息。
设备详细信息展示如下:
然后就可以把这台设备作为Portal认证的接入设备添加进来。
注意,从此处开始,剩余相关iMC的页面配置都是在“用户”页签下面进行。
点击导航树中的“接入策略管理”下面的“接入设备管理”页面,点击“接入设备配置”,进入接入设备配置页面。
点击“增加”按钮。
点击设备列表处的“选择”按钮,我们选择刚才添加的、处于系统管理的MSR810-W设备作为接入设备,点击“确定”按钮完成选择。
回到“增加接入设备”页面,输入共享密钥、认证端口等参数,点击“确定”按钮完成添加。
iMC的默认接入策略是拒绝,我们要新建一个允许的接入策略。配置入口在“接入策略管理”下面的“接入策略管理”,点击“增加”按钮。
给接入策略命名为msrportal,其他配置保持默认,点击“确定”。
然后进入到“接入策略管理”下面的“接入服务管理”,点击“增加”按钮,新增一个接入服务来调用刚才新建的接入策略。
配置服务名,缺省接入策略选择到刚刚新建的msrportal,其它参数保持默认,点击“确定”完成添加。
然后,我们就可以配置用于Portal认证的账号了。进入“接入用户管理”下面的“接入用户”,点击“增加”按钮。
配置账户的用户姓名、证件号码、账号名、密码等信息。
特别提醒记得勾选上我们刚刚创建的接入服务,点击“确定”完成增加。
准备工作做好了,我们点击导航树中的“接入策略管理”下面的“Portal服务管理”,选择“服务器配置”,进入服务器配置页面,为保证Portal服务器能够正常运行而设置系统参数。
可以根据实际组网情况调整页面参数,如果没有特殊要求,直接使用缺省配置即可。
还是在“接入策略管理”下面的“Portal服务管理”,选择“IP地址组配置”菜单项,进入IP地址组配置页面。用IP地址对用户进行分组,Portal服务器通过用户所在的IP地址组来定位接入用户所在的设备和端口。
点击“增加”按钮,进入增加IP地址组页面。
输入IP地址组名、起始地址和终止地址(用户主机IP地址必须包含在该IP地址组范围内),选择业务分组和IP地址组,点击“确定”按钮完成操作。
在Portal服务器中配置的用户上网接入设备信息,Portal服务器通过这些信息与设备交互。选择“Portal服务管理”下的“设备配置”菜单项,进入设备配置页面。
点击“增加”按钮,进入增加设备信息页面。输入设备名,IP地址为接入设备与iMC通信的接口IP,密钥需要与接入设备上的配置保持一致(iMC123);高级配置中,组网方式选择“直连”;其它参数采用缺省值。点击“确定”按钮完成操作。
设备添加完成之后,在设备配置页面中的设备信息列表中,点击NAS设备操作列中的“端口组信息管理”按钮,进入端口组信息配置页面。
点击“增加”按钮,进入增加端口组信息页面。
输入端口组名,确认IP地址组选择正确,用户接入网络时使用的IP地址必须属于所选的IP地址组;其它参数采用缺省值。点击“确定”按钮完成操作。
至此,iMC侧的配置就完成了。我们接下来配置接入设备MSR810-W,首先检查接入设备和iMC之间的可达性。
创建名称为imc152的RADIUS方案,配置RADIUS方案的主认证服务器及其通信密钥,因为不涉及计费,所以主计费服务器可以不配置;配置发送给RADIUS服务器的用户名不携带ISP域名,指定nas-ip。
#radius scheme imc152 primary authentication 192.168.1.152 key authentication simple iMC123 user-name-format without-domain nas-ip 192.168.1.81H3C的iMC RADIUS服务器使用session control报文向设备发送授权信息的动态修改请求以及断开连接请求。所以建议配置开启RADIUS session control功能,此时设备会打开知名UDP端口1812来监听并接收RADIUS服务器发送的session control报文。该功能仅能和H3C iMC的RADIUS服务器配合使用。
#radius session-control enable创建名为protal的ISP域,配置使用RADIUS方案imc152,同样不配置计费。
#domain protal authentication portal radius-scheme imc152 authorization portal radius-scheme imc152配置系统缺省的ISP域为protal,若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案。
#domain default enable protal配置Portal认证服务器名称为imc152,IP地址为192.168.1.152,密钥为明文iMC152。监听Portal报文的端口默认为50100,无需配置,如果做了调整,需要使用port命令进行指定。
#portal server imc152 ip 192.168.1.152 key simple iMC152配置Portal Web服务器的URL为http://192.168.1.152:8080/portal/。
#portal web-server imc152 url http://192.168.1.152:8080/portal/我们之前提过,在内网网关上配置启用Portal认证,可以实现有线无线同时认证。所以,我们在接口Vlan-interface1上开启直接方式的Portal认证,并引用Portal Web服务器imc152。
#interface Vlan-interface1 portal enable method direct portal apply web-server imc152配置结束,验证一下。连接无线网络之后,系统自动弹出浏览器验证窗口,Windows和Android手机均正常。输入配置好的接入用户账户,点击“上线”就可以登录成功。
登录成功页面。
我们看一下iMC页面,已经显示有用户在线了。不过这么多年过去了,零点几个用户的这个情况还是存在不应该啊。
查看在线用户详情。
同样,在设备上也可以查看在线的Portal认证用户信息。
最后,就让我们畅快地上网冲浪吧!
长按二维码
关注我们吧
H3C iMC智能管理中心平台PLAT(7.2_E0403)部署实验
H3Linux部署iMC智能管理中心平台PLAT-7.3_E0706实验
H3C iMC智能管理中心平台PLAT部署EIA/UAM/TAM组件
HPE服务器通过显卡直通安装Tesla M4,这算亮机成功了吗?
切换到WDDM模式,Tesla M4可以用于本地显示输出了!
华为交换机S3700/S5700/CE6800配置SSH远程登录
豁出去了,真机带业务演示一把ESXi 6.7升级7.0 U3
扫一扫
1264
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
