Portal服务器搭建.docxVIP

前言 Portal认证主要针对用户上网流量（即所有穿过防火墙的流量）进行认证。其中ARP报文、ICMP 报文和DNS报文可以直接通过不需要进行认证。配置Portal认证，需要Portal服 务器。 Portal的典型组网由三个基本要素组成：认证客户端、接入设备、Portal认证/计费服务 器。 1）认证客户端 安装于用户终端的客户端系统，为运行HTTP /HTTPS协议的浏览器。 2）接入设备 交换机、路由器、防火墙等宽带接入设备的统称，主要有三方面的作用： ? 在认证之前，将用户的所有HTTP请求都重定向到Portal服务器。 ? 在认证过程中，与Portal认证/计费服务器交互，完成身份认证/安全认证/计费的功能。 ? 在认证通过后，允许用户访问被管理员授权的互联网资源。 3）Portal认证/计费服务器 接收Portal客户端认证请求的服务器端系统，提供免费门户服务和基于Web认证的界面，与接入设备交互认证客户端的认证信息。 常用拓扑 配置步骤 1. 开启本地安全aaa服务。 Web页面配置?系统?系统安全 2. 配置portal服务器参数。 Web页面配置?用户认证?远程认证?Portal认证?Portal服务器 配置完服务器相关参数，点击 按钮。Portal认证的端口默认使用8283端口进 行通信，重定向的URL指的是Portal服务器提供的用户认证跳转到的认证页面地址， 默认的访问端口为80端口。 3. 若要添加用户认证的规则，点击 按钮进行添加。 4. 添加用户角色定义 添加用户角色在：web配置页面?用户认证?远程认证?Portal认证?用户角色配置。 用户角色的定义，表示一个具有相同权限用户组的集合，通过用户角色的定义，能够 区分不同的用户流量，把其加之在acl策略上就能灵活的控制，区分不同流量的权限。 其中，“用户流量检测” 功能是对该用户的流量进行统计，根据配置的时间间隔，如 图中则是每三秒钟，统计一次，如果开启了日志记录功能，则每三秒钟统计该用户的 流量，并记录在日志中。 “用户保活检测”功能是通过检测用户流量信息，设置最低的保活流量，如果用户流量没有达到最低流量，设备会自动剔除该用户，以节省资源，保证安全。 5. 查看portal在线用户信息 在web配置?用户认证?远程认证?portal认证?portal在线用户 命令行配置 命令行下，portal配置有以下一个命令: Portal enable 使能Portal认证 Portal http-port port 设置Portal认证的端口，默认是80，一般不用配置。 Portal role rolename Portal 角色配置,会创建角色并进入角色配置模式 Portal rule Portal规则配置， 如：portal rule rolename destination any source any Portal server Portal服务器设置，比如: portal server ip 5 port 8283 keep-alive interval 20 timeout 10 配置服务器IP，端口和保活时间 portal server redirect-url 5/auth 配置重定向的URL地址 一个完整的例子： Portal认证原理 防火墙支持Portal认证。下面介绍Portal认证的报文交互过程。 1. 用户访问web，比如，首先发起DNS请求，获取对应域名的ip 地址，然后向该地址发起http请求 2. 请求通过防火墙时，防火墙检查其匹配设定的portal认证条件，拦截该请求，并重定向 到设定好的认证地址（portal服务器地址）。 3. 用户在弹出的页面中输入用户名密码 4. Portal服务器获取用户输入的用户名密码，并传送到设定好的radius服务器上进行认证 5. Radius服务器返回认证结果给Portal服务器 6. Portal服务器发送消息给防火墙，通知防火墙认证后的用户名等信息，并且重定向web到用户之前访问的页面。此时Portal服务器和用户之间会建立保活连接，检测用户是否存在以及是否活动。 7. 防火墙收到Portal发送的消息，放行用户的流量。防火墙和Portal服务器之间会存在保 活连接（这个连接一直存在），交换用户信息并确定Portal服务器的状态。 8. 用户可以正常上网了，直到用户退出。 9. 用户退出可以是用户自己的行为。Portal认证后会有一个