V7的Portal用户逃生功能可在 Portal认证服务器不可达或 Portal Web服务器不可达时生效。当接入设备探测到 Portal认证服务器或者Portal Web 服务器不可达时,将打开VLAN接口或无线服务模板上的网络限制,允许Portal用户不经过认证即可访问网络资源。当AC探测到服务器恢复时,认证会再次生效。在Portal认证功能重新启动之后,服务器不可达之前以及逃生期间未认证的用户需要通过认证之后才能访问网络资源,已通过认证的 Portal 用户不受影响。
即V7的Portal逃生有两种逃生机制,一种是portal server逃生,另一种是portal web-server逃生。
方法一:当Portal认证配置在无线服务模板时,只能配置Portal Web-server逃生。
配置方法如下:
[H3C]wlan service-template por
[H3C-wlan-st-por]ssid portal
[H3C-wlan-st-por]vlan 41
[H3C-wlan-st-por]portal enable method direct
[H3C-wlan-st-por]portal domain por
[H3C-wlan-st-por]portal bas-ip 192.168.0.100
[H3C-wlan-st-por]portal apply web-server newpor
[H3C-wlan-st-por]portal fail-permit web-server //开启Portal Web-server逃生
[H3C-wlan-st-por]service-template enable
[H3C]portal web-server newpor
[H3C-portal-websvr-newpor]url http://192.168.0.111:8080/portal
[H3C-portal-websvr-newpor]server-detect interval 30 trap //开启Portal Web-server服务器的可达性探测功能
[H3C-portal-websvr-newpor]server-type cmcc
在 Portal 认证的过程中,如果接入设备与 Portal Web 服务器的通信中断,将无法完成整个认证过程,因此必须对 Portal Web 服务器的可达性进行探测。
由于 Portal Web 服务器用于对用户提供 Web 服务,不需要和设备交互报文,因此无法通过发送某种协议报文的方式来进行可达性检测。无论是否有 VLAN 接口上开启了 Portal 认证,开启了 Portal Web 服务器的可达性探测功能之后,接入设备采用模拟用户进行 Web 访问的过程来实施探测:接入设备主动向 Portal Web 服务器发起 TCP 连接,如果连接可以建立,则认为此次探测成功且服务器可达,否则认为此次探测失败。(此探测方法不需要服务器做特殊配置,因为设备会模拟客户端主动发起http报文对Web服务器进行Tcp连接,一般可与第三方服务器对接)
当AC探测不通Web服务器不通时,则Portal Web-server状态变成Down。所有终端放通免认证。
[H3C]display portal web-server
Portal Web server: newpor
Type : CMCC
URL : http://192.168.0.111:8080/portal
URL parameters : ssid=ssid
VPN instance : Not configured
Server detection : Interval: 30 s Attempts: 3 Action: trap
IPv4 status : Down
IPv6 status : N/A
Captive-bypass : Disabled
If-match : Not configured
方法二、当Portal认证配置在Vlan下时,可以配置Portal Server逃生或Portal Web-server逃生。Portal Server逃生需要服务器配合,一般第三方服务器不支持,IMC支持。
在Vlan下配置Portal Server逃生如下:
[H3C]interface Vlan-interface41
[H3C-Vlan-interface41]ip address 192.168.0.100 255.255.255.0
[H3C-Vlan-interface41]portal domain por
[H3C-Vlan-interface41]portal bas-ip 192.168.0.100
[H3C-Vlan-interface41]portal fail-permit server newpor //开启Portal Server逃生
[H3C-Vlan-interface41]portal apply web-server newpor
[H3C]portal server newpor
[H3C-portal-server-newpor]ip 192.168.0.111
[H3C-portal-server-newpor]port 8080
[H3C-portal-server-newpor]server-detect timeout 30 trap //开启Portal Server服务器的可达性探测
[H3C-portal-server-newpor]server-type cmcc
开启 Portal 认证服务器的可达性探测功能后,设备会定期检测Portal 认证服务器发送的报文(例如,用户上线报文、用户下线报文、心跳报文)来判断服务器的可达状态:若设备在指定的探测超时时间 (timeout timeout) 内收到 Portal 报文,且验证其正确,则认为此次探测成功且服务器可达,否则认为此次探测失败,服务器不可达。注意:需要在服务器上也同时开启逃生功能,并且探测周期要小于设备配置的周期。
当AC在指定周期内没有收到服务器发送的心跳报文,则Portal Server的状态变成Down。
[H3C]display portal server
Portal server: newpor
Type : CMCC
IP : 192.168.0.111
VPN instance : Not configured
Port : 8080
Server detection : Timeout 30s Action: trap
User synchronization : Not configured
Status : Down
Exclude-attribute : Not configured
Logout notification : Not configured
在Vlan下配置Portal Web-server逃生如第一种方法类似。
[H3C]interface Vlan-interface41
[H3C-Vlan-interface41]ip address 192.168.0.100 255.255.255.0
[H3C-Vlan-interface41]portal domain por
[H3C-Vlan-interface41]portal bas-ip 192.168.0.100
[H3C-Vlan-interface41]portal fail-permit web-server //开启Portal Web-server逃生
[H3C-Vlan-interface41]portal apply web-server newpor
[H3C]portal web-server newpor
[H3C-portal-websvr-newpor]url http://192.168.0.111:8080/portal
[H3C-portal-websvr-newpor]server-detect interval 30 trap //开启Portal Web-server服务器的可达性探测功能
[H3C-portal-websvr-newpor]server-type cmcc
如果在Vlan下同时开启了Portal Web-server逃生和Portal Server逃生,则当所有的 Portal Web服务器都不可达或者指定的 Portal 认证服务器不可达时,暂停Vlan 接口上的 Portal 认证功能;当指定的Portal认证服务器与至少一个 Portal Web 服务器均恢复可达后,VLAN 接口上的 Portal认证功能将重新启动。在Portal认证功能重新启动之后,服务器不可达之前以及逃生期间未认证的用户需要通过认证之后才能访问网络资源,已通过认证的 Portal 用户不受影响。
设备上配置Portal Server探测时,因为需要服务器配合发送报文,所以探测间隔时间要大于服务器上配置的逃生心跳间隔时间,如果服务器配置为60s,建议设备上配置为180s,三倍的一个关系。如果设备上的探测间隔时间小于服务器上的逃生心跳间隔时间,那么就会造成设备上的Portal Server状态处Up/Down的状态,比如设备上设置的为10s,服务器设置的为20s,当服务器探测时每20s发送一次,设备收到后会up,当设备在10s内没有收到,Portal Server又会Down,在等10s服务器发送报文后,Portal Server又会Up,会一直循环。
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作