Portal 认证简介
Portal认证通常也称为Web认证,用户接入网络时,必须在门户网站进行认证,如果未认证成功,仅可以访问特定的网络资源,认证成功后,才可以访问其他网络资源。
Portal认证具有如下优点:
一般情况下,客户端不需要安装额外的软件,直接在Web页面上认证,简单方便。
便于运营,可以在Portal页面上进行业务拓展,如广告推送、责任公告、企业宣传等。
技术成熟,被广泛应用于运营商、连锁快餐、酒店、学校等网络。
部署位置灵活,可以在接入层或关键数据的入口作访问控制。
用户管理灵活,可基于用户名与VLAN/IP地址/MAC地址的组合对用户进行认证。公司访客流动性大,因此一般选择Portal认证。
网络需求
某企业由于业务需要,需要部署一套身份认证系统,对公司访客接入网络进行准入控制,确保只有合法用户才能接入网络。
主要有如下需求:
- 希望操作简单,只做准入授权,尽量减少在终端上安装其他的软件。
- 对尝试接入园区网的所有终端进行统一的身份认证,拒绝身份不合法的终端接入园区网。
本例中汇聚交换机以华为S7700为例,接入交换机以华为S5720HI为例。
实验配置逻辑
- 华为交换机配置逻辑
- 思科ISE配置逻辑
| 配置项 | 说明 |
|---|---|
| 添加群组及访客账号 | - |
| 添加交换机 | 指定允许与ISE对接的交换机。 |
| (可选)创建认证协议模板 | 指定访客进行Portal认证可以使用的认证协议。如果未创建新的认证协议模板,则使用ISE默认的“DefaultNetwork Access”模板。 |
| 创建认证策略 | 指定访客通过Portal认证需要满足的条件。 |
| (可选)创建授权策略 | 指定访客通过Portal认证后允许访问的资源。如果未创建授权策略,则允许访客访问所有其路由可达的资源。 |
IP地址及接口规划
- 交换机数据规划
| 项目 | 接口 | 所属VLAN | IP地址 |
|---|---|---|---|
| SWITCH A | GE0/0/1,GE0/0/2 | 10 | VLANIF10:192.168.10.2/24 |
| SWITCH B | GE0/0/1,GE0/0/2 | 20 | VLANIF20: 192.168.20.2/24 |
| SWITCH C | GE1/0/1 | 10 | VLANIF10:192.168.10.1/24 |
| SWITCH C | GE1/0/2 | 20 | VLANIF20:192.168.20/1/24 |
| SWITCH C | GE1/0/3 | 30 | VLANIF100:192.168.100.254/24 |
- 认证数据规划
| 项目 | 数据 |
|---|---|
| ISE | IP地址:192.168.100.1/24 |
| RADIUS共享密钥和Portal共享密钥 | Huawei@2014 |
| 接入认证设备 | SwitchA:192.168.10.2/24 |
| 接入认证设备 | SwitchB:192.168.20.2/24 |
| 访客 | 研发部:账号(A-123/Huawei@123,市场部:账号(B-123/Huawei@B-123) |
实验配置
- 配置汇聚交换机,保证网络互通。
<HUAWEI> system-view
[HUAWEI] sysname SwitchC
[SwitchC] vlan batch 10 20 100
[SwitchC] interface gigabitethernet 1/0/1
[SwitchC-GigabitEthernet1/0/1] port link-type trunk
[SwitchC-GigabitEthernet1/0/1] port trunk allow-pass vlan 10
[SwitchC-GigabitEthernet1/0/1] quit
[SwitchC] interface gigabitethernet 1/0/2
[SwitchC-GigabitEthernet1/0/2] port link-type trunk
[SwitchC-GigabitEthernet1/0/2] port trunk allow-pass vlan 20
[SwitchC-GigabitEthernet1/0/2] quit
[SwitchC] interface gigabitethernet 1/0/3
[SwitchC-GigabitEthernet1/0/2] port link-type access
[SwitchC-GigabitEthernet1/0/2] port default vlan 100
[SwitchC-GigabitEthernet1/0/2] quit
[SwitchC] interface Vlanif 10
[SwitchC-Vlanif10] ip address 192.168.10.1 24
[SwitchC-Vlanif10] quit
[SwitchC] interface Vlanif 20
[SwitchC-Vlanif20] ip address 192.168.20.1 24
[SwitchC-Vlanif20] quit
[SwitchC] interface Vlanif 100
[SwitchC-Vlanif100] ip address 192.168.100.254 24
[SwitchC-Vlanif100] quit
- 配置接入交换机。以配置连接研发部的接入交换机Switch A为例,连接市场部的接入交换机Switch B配置类似,这里不再赘述。
- 创建VLAN并配置接口允许通过的VLAN,保证网络互通
<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] vlan batch 10
[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] port link-type access
[SwitchA-GigabitEthernet0/0/1] port default vlan 10
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchA] interface gigabitethernet 0/0/2
[SwitchA-GigabitEthernet0/0/2] port link-type trunk
[SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 10
[SwitchA-GigabitEthernet0/0/2] quit
[SwitchA] interface vlanif 10
[SwitchA-Vlanif10] ip address 192.168.10.2 24
[SwitchA-Vlanif10] quit
[SwitchA] ip route-static 192.168.100.0 24 192.168.10.1
- 配置与RADIUS服务器的对接参数。
创建RADIUS服务器模板“policy”
[SwitchA] radius-server template policy
[SwitchA-radius-policy] radius-server authentication 192.168.100.1 1812 source ip-address 192.168.10.2 //配置RADIUS认证服务器
[SwitchA-radius-policy] radius-server accounting 192.168.100.1 1813 source ip-address 192.168.10.2
[SwitchA-radius-policy] radius-server shared-key cipher Huawei@2014 //配置RADIUS共享密钥Huawei@2014
[SwitchA-radius-policy] calling-station-id mac-format hyphen-split mode2 //配置RADIUS报文中calling-station-id属性字段中MAC地址的封装格式为xx-xx-xx-xx-xx-xx
[SwitchA-radius-policy] quit
创建AAA认证方案“auth”
[SwitchA] aaa
[SwitchA-aaa] authentication-scheme auth
[SwitchA-aaa-authen-auth] authentication-mode radius //配置认证方式为RADIUS
[SwitchA-aaa-authen-auth] quit
配置AAA计费方案“acco”。为了方便RADIUS服务器维护帐号的状态信息,例如上下线信息,强制帐号下线,计费模式必须配置为radius。
[SwitchA-aaa] accounting-scheme acco
[SwitchA-aaa-accounting-acco] accounting-mode radius //配置计费方式为RADIUS
[SwitchA-aaa-accounting-acco] accounting realtime 15 //配置实时计费周期为15分钟
[SwitchA-aaa-accounting-acco] quit
创建认证域“portal”
[SwitchA-aaa] domain portal
[SwitchA-aaa-domain-portal] authentication-scheme auth //认证域下绑定认证方案auth
[SwitchA-aaa-domain-portal] accounting-scheme acco //认证域下绑定计费方案acco
[SwitchA-aaa-domain-portal] radius-server policy //认证域下绑定RADIUS服务器模板policy
[SwitchA-aaa-domain-portal] quit
[SwitchA-aaa] quit
配置认证域“portal”为全局默认认证域。
[SwitchA] domain portal
- 配置Portal认证。
- 将NAC配置模式切换成统一模式。
[SwitchA] authentication unified-mode
- 配置SSL策略。
[SwitchA] ssl policy portal
[SwitchA-ssl-policy-portal] certificate load pem-cert cert_rsa_cert.pem key-pair rsa keyfilecert_rsa_key.pem auth-code cipher huawei //该密钥必须与制作证书时设置的密钥一致
[SwitchA-ssl-policy-portal] ssl minimum version tls1.0
[SwitchA-ssl-policy-portal] quit
- 开启HTTPS协议的Portal对接功能。
[SwitchA] portal web-authen-server https ssl-policy portal
- 配置URL模板“u1”。
[SwitchA] url-template name u1
[SwitchA-url-template-u1] url https://192.168.100.1:8443/portal/
PortalSetup.action#portal=0ce17ad0-6d90-11e5-978e-005056bf2f0a //获取该URL,请参见获取
- Portal认证界面的URL
[SwitchA-url-template-u1] parameter start-mark # //将URL中参数的开始符号“#”替换成“?”
[SwitchA-url-template-u1] url-parameter login-url switch_url https://192.168.10.2:8443
[SwitchA-url-template-u1] quit
- 配置Portal服务器模板“w1”。
[SwitchA] web-auth-server w1
[SwitchA-web-auth-server-w1] server-ip 192.168.100.1 //指定Portal认证界面所在的ISE的地址
[SwitchA-web-auth-server-w1] shared-key cipher Huawei@2014
[SwitchA-web-auth-server-w1] url-template u1 //绑定URL模板u1
[SwitchA-web-auth-server-w1] quit
- 配置Portal接入模板“p1”。
[SwitchA] portal-access-profile name p1
[SwitchA-portal-acces-profile-p1] web-auth-server w1 direct //绑定Portal服务器模板w1
[SwitchA-portal-acces-profile-p1] quit
- 配置免认证规则模板“default_free_rule”。
[SwitchA] free-rule-template name default_free_rule
[SwitchA-free-rule-default_free_rule] free-rule 1 destination ip 192.168.10.2 mask 255.255.255.255
[SwitchA-free-rule-default_free_rule] quit
- 配置认证模板“a1”。
[SwitchA] authentication-profile name a1
[SwitchA-authen-profile-a1] portal-access-profile p1 //绑定Portal接入模板p1
[SwitchA-authen-profile-a1] quit
- 在接口上使能Portal认证。
[SwitchA] interface GigabitEthernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] authentication-profile a1
[SwitchA-GigabitEthernet0/0/1] quit
- 思科ISE配置
- 登录ISE。
a. 打开Internet Explorer浏览器,在地址栏输入ISE的访问地址,单击“Enter”。
b. 输入ISE管理员账号和密码登录ISE。
- 创建组和账号
a. 选择“Administration > Identity Management > Groups”,在左侧导航区域选择“User Identity Groups”,在右侧操作区域内单击“Add”,创建群组“R&D”,设置完成单击左下角“Submit”提交。
b. 选择“Administration > Identity Management > Identities”,在左侧导航区域选择“Users”,在右侧操作区域单击“Add”,创建用户A,用户名为“A-123”,密码为“Huawei@123”,绑定到群组“R&D”,设置完成之后单击下方“Submit”提交。用户B与之类似,此处不再赘述。
- 在ISE中添加交换机设备,以便ISE能与交换机正常通信。
a. 在上方导航区域选择“Administration > Network Resources > Network Device Profiles”,单击下方“Add”,创建接入认证设备模板“HUAWEI”,“Vendor”选择“Other”,勾选“RADIUS”,“RADIUS Dictionaries”选择“HW”,按照图示配置“Change of Authorization (CoA)”,完成后单击下方“Submit”提交。
b. 选择“Administration > Network Resources > Network Devices”,在右侧操作区域单击“Add”,添加接入认证设备SwitchA,在“New Network Device”页面根据下表设置SwitchA参数,设置完成之后单击下方“Submit”提交。
| 参数 | 取值 | 说明 |
|---|---|---|
| 接入设备名称 | Switch A | - |
| IP地址 | 192.168.10.2/24 | - |
| RADIUS共享密钥 | Huawei@2014 | 必须与交换机上配置的RADIUS共享密钥相同。 |
- 在ISE中增加认证策略,对接入用户进行身份认证。
a. 在上方导航区域选择“Policy > Policy Elements > Conditions”,在左侧导航区域择“Authentication > Compound Conditions”,在右侧操作区域单击“Add”。
b. 创建认证条件模板“Portal”,设置认证条件,“RADIUS:Service-Type”选择“Outbound”,“RADIUS:NAS-IP-Address”选择“192.168.10.2”,设置完成之后单击下方“Submit”提交。
c. 在上方导航区域选择“Policy > Policy Elements > Results”,在左侧导航区域选择“Authentication > Allowed Protocols”,在右侧操作区域单击“Add”。
d. 创建允许用户进行认证的协议模板“Portal”,勾选“Allow PAP/ASCII”和“Allow CHAP”,设置完成之后单击下方“Submit”提交。
e. 在上方导航区域选择“Policy > Authentication”,选择“Rule-Based”。单击第一条认证策略最右侧的三角形,选择“Insert new row above”。创建认证策略“Portal”,添加认证条件模板“Portal”及允许用户进行认证的协议模板“Portal”,单击右侧“Done”完成配置,单击下方“Save”保存。
- 获取Portal认证界面的URL。
a. 选择“Guest Access > Configure > Guest Portals”,单击下方操作区域“Self-Registered Guest Portal (default)”。
b.单击“Portal test URL”,弹出的页面即为用户进行Portal认证的界面,该页面URL即为交换机URL模板上配置的URL。
- 检查配置结果。
a.员工在没有认证的情况下只能访问ISE服务器。
b.认证通过后,在交换机上执行命令display access-user,可以看到员工的在线信息。
