Portal基础教程(h3c)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Portal协议概述 协议概述
Portal协议的起源 协议的起源
Portal在英语中是入口的意思。Portal认证通常也称为 Web认证,一般将Portal认证网站称为门户网站。 基本思想:未认证用户上网时,设备强制用户登录到特 定站点,用户可以免费访问其中的服务。当用户需要使 用互联网中的其它信息时,必须在门户网站进行认证, 只有认证通过后才可以使用互联网资源。Portal业务可 以为运营商提供方便的管理功能,门户网站可以开展广 告、社区服务等个性化业务。
26
可溶解客户端工作原理
可溶解客户端无需安装,由网页认证时自动调用 可溶解客户端无需安装,由网页认证时自动调用ActiveX控 控 件完成DC的下载和启动 的下载和启动。 件完成 的下载和启动。 可溶解客户端本身的实现完全基于目前的iNode客户端的平 可溶解客户端本身的实现完全基于目前的 客户端的平 台代码和协议代码,是现有iNode功能的一个子集。仅支持 功能的一个子集。 台代码和协议代码,是现有 功能的一个子集 Portal EAD。 。 安全认证支持下载微软补丁联动客户端以及.NET框架。 框架。 安全认证支持下载微软补丁联动客户端以及 框架
19
目录
Portal概述 概述 Portal典型组网 典型组网 Portal协议原理 协议原理 Portal典型配置 典型配置 FAQ
20
Portal设备配置 设备配置
略
配置Radius认证方案以及 认证方案以及Radius认证域 配置 认证方案以及 认证域 进入系统视图,在全局模式下配置 进入系统视图,在全局模式下配置Portal服务器 服务器
10
Portal认证与 认证与802.1x认证的比较 认证与 认证的比较
Portal认证相对于 认证相对于802.1x认证的优势 认证相对于 认证的优势 Portal认证的不足之处 认证的不足之处
支持网页方式认证,免客户端安装 部署方式灵活、快捷,适合旧网改造 没有802.1x认证对客户端的控制严格
18
Portal逃生方案(五) 逃生方案( 逃生方案
设备为例, 以S75E设备为例,在设备全局模式下使能 设备为例 在设备全局模式下使能Portal 逃生功能: 逃生功能:
portal server imc server-detect method portalheartbeat action permit-all //使能逃生心跳 portal server imc user-sync //使能用户心跳
14
Portal逃生பைடு நூலகம்案(一) 逃生方案( 逃生方案
Portal逃生方案解决了两个问题: 逃生方案解决了两个问题: 逃生方案解决了两个问题
增加BAS与Portal Kernel之间的心跳机制,防止服务器宕 机引起的故障。 增加BAS与Portal Kernel之间比较Portal在线用户表的机制, 主要针对Portal服务器重启时间过长导致Portal心跳超时或 服务器重启期间有终端手动下线而引发的用户永久挂死的 问题。
22
Portal服务器配置(一) 服务器配置( 服务器配置
保持缺省即可,一般情况下无需修改。 保持缺省即可,一般情况下无需修改。
23
Portal服务器配置(二) 服务器配置( 服务器配置
配置Portal设备信息,其中IP地址为使能 设备信息,其中 地址为使能 地址为使能Portal的接口 配置 设备信息 的接口 IP地址。 地址。 地址
进入接口视图,在接口上使能 进入接口视图,在接口上使能Portal
portal server server-name method { direct | layer3 | redhcp } 配置举例: portal server iMC method layer3
21
Portal设备可选配置 设备可选配置
portal server server-name ip ip-address [ key key-string | port port-id | url url-string ] * 配置举例: portal server iMC ip 192.168.0.1 key sharekey port 50100 url http://192.168.0.1:8080/portal
27
可溶解客户端功能特性
可溶解客户端安全检查是普通iNode安全检查的一个子集, 安全检查的一个子集, 可溶解客户端安全检查是普通 安全检查的一个子集 支持大部分功能。 支持大部分功能。
补丁检查 病毒库检查 注册监控 黑白软件检查 弱密码检查 安全会话心跳机制 安全检查通过后的在线监控 EAD在线重认证 在线用户DMA检查 防多网卡 信息通知
11
目录
Portal概述 概述 Portal典型组网 典型组网 Portal协议原理 协议原理 Portal典型配置 典型配置 FAQ
12
Portal协议框架 协议框架
HTTP
IE
Portal Web
UDP
UDP
Portal Kernel
UDP
UDP
BAS
28
可溶解客户端安装部署
当前版本iNode-DC-3.60-E6101 当前版本
29
目录
Portal概述 概述 Portal典型组网 典型组网 Portal协议原理 协议原理 Portal典型配置 典型配置 FAQ
30
FAQ
Q:关于Portal认证的问题需要收集哪些信息? :关于 认证的问题需要收集哪些信息? 认证的问题需要收集哪些信息 A:视问题现象的不同,可能需要收集的信息如下: :视问题现象的不同,可能需要收集的信息如下: 1. 组网描述 2. 软件版本 3. iMC配置截图 配置截图 4. Portal设备版本及配置 设备版本及配置 5. RADIUS调试级别日志 调试级别日志 6. Portal调试级别日志 调试级别日志 7. Portal设备上的 设备上的debug Portal信息 设备上的 信息
Portal协议版本:2.0 协议版本: 协议版本
Portal Server:使用本地的 50100 端口监听 BAS 设备 发送的非响应类报文,使用目的端口2000 向 BAS 设备 发送所有报文。 BAS:使用本地的 2000 端口监听 Portal Server 发送的 所有报文。使用目的端口 50100 向Portal Server 发送非 响应类报文。
4
目录
Portal概述 概述 Portal典型组网 典型组网 Portal协议原理 协议原理 Portal典型配置 典型配置 FAQ
典型组网( 典型组网(一)
iMC Server
Portal BAS
Gateway
L2 Switch
6
典型组网( 典型组网(二)
进入系统视图,在全局模式下配置 进入系统视图,在全局模式下配置Portal免认证规则 免认证规则
portal free-rule rule-number { destination { any | ip { ip-address mask { mask-length | netmask } | any } } | source { any | [ interface interfacetype interface-number | ip { ip-address mask { mask-length | mask } | any } | mac mac-address | vlan vlan-id ] * } } * 配置举例: portal free-rule 0 source ip 192.168.0.1 mask 255.255.255.0 destination any
AAA Server
iNode
Portal Transfer
UDP
Portal Server Portal私有协议 Portal协议 Radius协议
13
Portal协议框架 协议框架
协议主体: 设备。 协议主体:Portal Server 和 Portal设备。 设备 承载协议:基于UDP。 承载协议:基于 。 端口定义: 端口定义:
Portal基础教程 基础教程
课程目标
学习完本课程,您应该能够: 学习完本课程,您应该能够:
了解Portal典型组网 典型组网 了解 理解Portal协议原理 协议原理 理解 熟悉Portal基本配置 基本配置 熟悉 简单的Portal故障排除 故障排除 简单的
目录
Portal概述 概述 Portal典型组网 典型组网 Portal协议原理 协议原理 Portal典型配置 典型配置 FAQ
iMC Server
Portal BAS
L3 Switch
Gateway
7
三层Portal与二层 与二层Portal的比较 三层 与二层 的比较
三层Portal认证与二层 认证与二层Portal认证的比较 三层 认证与二层 认证的比较
组网方式上,三层认证方式的认证客户端和接入设备之间 可以跨接三层转发设备;非三层认证方式则要求认证客户 端和接入设备之间没有三层转发。 三层Portal认证仅以IP地址唯一标识用户;而二层Portal认 证以IP和MAC地址的组合来唯一标识用户。
24
Portal服务器配置(三) 服务器配置( 服务器配置
增加IP地址组,地址段需包含所有认证终端 地址 地址。 增加 地址组,地址段需包含所有认证终端IP地址。 地址组
25
Portal服务器配置(四) 服务器配置( 服务器配置
增加设备端口组,引用之前创建的 地址组 地址组。 增加设备端口组,引用之前创建的IP地址组。
8
典型组网( 典型组网(三)
iMC Server
Portal BAS
Gateway
L2 Switch
9
典型组网( 典型组网(四)
AC Portal BAS iMC Server
VLAN 2 Trunk VLAN 10
VLAN 1
Gateway
AP
15
Portal逃生方案(二) 逃生方案( 逃生方案
Portal逃生特性设计了两种心跳:逃生心跳和用户心跳。 逃生心跳仅依赖Portal Kernel进程正常运行。
一旦BAS设备连续几次没有收到Portal Kernel的心跳,则立即启 用逃生自动取消认证。 当再次收到收到Portal Kernel的心跳时自动开启认证。 逃生心跳 由设备单向检测服务器是否定时发送,只作逃生用。 Portal服务器和设备上均需配置。
17
Portal逃生方案(四) 逃生方案( 逃生方案
服务器配置中配置“ 在Portal服务器配置中配置“逃生心跳间隔时长”以及 服务器配置中配置 逃生心跳间隔时长” 用户心跳间隔时长” “用户心跳间隔时长”。 设备配置中使能逃生功能。 在Portal设备配置中使能逃生功能。 设备配置中使能逃生功能
16
Portal逃生方案(三) 逃生方案( 逃生方案
用户心跳的作用是在心跳间隔时间段内,服务器会将在线 用户列表中的所有用户分多个报文发送给设备。设备与内 存中的用户进行比较,比较的结果分以下两种:
设备发现自己记录的在线用户比服务器的少,则设备立即用Portal 报文通知服务器,服务器用Portal报文通知客户端下线,避免造成 客户端还在线的假象。但RADIUS在线表仍然要等待老化清除。 设备发现自己记录的在线用户在一段时间内(该时间由设备决定, 至少应该长于Portal心跳)都比服务器多(比如服务器重启的情况, 如果这段时间服务器收到用户的Portal心跳则会重构在线表),则 设备发送计费结束通知AAA模块下线。