V7.1 iMC EIA Portal无感知认证的典型配置.doc

V7.1 iMC EIA Portal无感知认证的典型配置 组网需求： 在企业、学校或其他环境中使用智能终端进行Portal认证上线，并且在使用过程中可能会出现频繁的上线、下线操作。而Portal无感知认证是一种针对智能终端、无需输入用户名和密码即可上线的认证过程。用户第一次使用智能终端时，通过浏览器上网产生流量，设备会重定向到Portal认证页面。用户输入用户名、密码、服务等信息后上线，服务器会将认证信息以及终端的MAC地址保存到数据库中。当用户再次使用该智能终端访问网络产生流量时，服务器自动使用该认证信息进行认证，免去了用户输入认证信息上线的过程。本案例主要实现智能终端如何进行Portal无感知认证以及如何让非智能终端也实现Portal无感知认证。 组网图： 无。 版本：iMC EIA 7.1 E0302 配置步骤： 第一部分：iMC侧配置 1.增加接入设备用户接入策略管理接入设备管理接入设备配置，输入接入设备IP地址，该IP地址需要与设备配置中RADIUS scheme的NAS IP一致；如果设备未配置NAS IP，则默认为接入设备与UAM相连接口所在VLAN的IP地址。 公共参数只需要输入共享密钥\确认共享密钥“admin”，选择设备类型H3C（General），其他保持默认即可，认证端口和计费端口默认为1812、1813，注意密钥、端口与设备配置保持一致。 2.增加接入策略 用户接入策略管理接入策略管理，因为不需要任何接入控制，所以输入接入策略名“1130”，其他参数保持默认。 3.增加接入服务 用户接入策略管理接入服务管理，输入服务名“1130”、服务后缀“55”，缺省接入策略选择之前配置的“1130”，勾选“Portal无感知认证”，其他参数保持默认即可。 服务后缀、设备的Domain和设备Radius scheme中的命令这几个要素密切相关，具体的搭配关系请参见下表： 4.增加接入用户 用户接入用户，增加接入用户“ouyanglu”，选择“Portal无感知认证最大绑定数”，如果选择“不支持绑定”，则该用户不能进行Portal无感知认证。选择其他数字均表示支持Portal无感知认证，且每个帐号绑定的终端数上限即为该参数的值，最后再绑定启用无感知认证的接入服务“1130”。 5.查看Portal服务器配置 这里有两个需要注意的地方：设备上配置的Portal server URL必须和此处的Portal主页URL保持一致；服务类型列表为可选性配置，如果配置服务类型，一定要注意服务类型标识必须与之前增加服务的服务后缀相同，而服务类型是对服务类型标识主观意识上的说明和区分。 6.增加需要无感知认证的终端IP地址组 用户接入策略管理Portal服务管理IP地址组配置，增加IP地址组“55”,对应用户网段。 7.增加Portal设备 用户接入策略管理Portal服务管理设备配置，增加Portal设备IP地址“”和密钥\确认密钥“admin”，并选择组网方式直连，其他参数保持默认即可。 三个注意点： 第一，密钥必须与设备上配置的Portal服务器密钥保持一致。 第二，增加的Portal设备IP地址必须和设备上配置的Portal nas-ip保持一致，设备上如果没有手工指定的话则Portal nas-ip默认为启用Portal认证的接口IP地址。 第三，组网方式需要和设备上配置的Portal server xx method direct对应。其中认证的客户端IP如果和设备启用Portal认证的接口IP属于同网段则为直连方式，跨网段则为三层方式。 8.增加Portal设备的端口组信息 Portal设备信息列表中，单击操作下的端口组信息管理图标，进入端口组信息配置页面，增加端口组“5004”，绑定之前配置的IP地址组“55”，并注意无感知认证这一项选择“支持”，否则用户在该端口组对应的端口上不能进行Portal无感知认证。 第二部分：设备关键配置 1.创建portal认证使用的radius scheme 55，认证端口、计费端口、共享密钥要与UAM中增加接入设备时的配置保持一致。 radius scheme 55 server-type extended primary authentication 20 primary accounting 20 key authentication simple admin key accounting simple admin nas-ip 2.创建domain 55，并配置使用该domain的认证、授权、计费请求都由上一步新建的RADIUS方案55来处理。 domain 55 authentication portal radius-scheme 55 authori