基于radius协议的portal无感知认证怎么配置
- 0关注
- 0收藏,41浏览
要在H3C vBRAS1000上配置基于RADIUS协议的Portal无感知认证,核心是让系统能将终端的MAC地址作为首次认证成功的凭证,实现后续自动登录。
你可以将整个配置拆解为MAC地址触发、RADIUS认证、Portal服务和网络权限这四个模块。
⚙️ 配置步骤与命令参考
以下是各模块的核心配置,所有命令皆在系统视图下进行。
1. 配置MAC地址触发服务器 (MAC-Trigger Server)
这是实现“无感知”的关键。它会捕捉终端的MAC地址,并以此作为后续自动认证的凭据。
# 指定RADIUS服务器IP(通常与Portal服务器相同),用于查询MAC地址对应的账号
[vBRAS-portal-mac-trigger-server-my_mac] ip 192.168.100.2
# 设置与RADIUS服务器通信的共享密钥
[vBRAS-portal-mac-trigger-server-my_mac] key simple your_key
# 配置无感知有效期为30天,可根据需要调整
[vBRAS-portal-mac-trigger-server-my_mac] timer online 30d
# 退出此视图 [vBRAS-portal-mac-trigger-server-my_mac] quit
注:此配置参考了H3C官方手册中关于
mac-trigger-server的说明。2. 配置RADIUS认证方案
vBRAS作为RADIUS客户端,需要与认证服务器(如iMC)建立通信,这里会定义一个用于Portal的认证方案。
# 指定主认证和计费服务器的IP及端口
[vBRAS-radius-portal_radius] primary authentication 192.168.100.2 1812
[vBRAS-radius-portal_radius] primary accounting 192.168.100.2 1813
# 设置认证和计费的共享密钥
[vBRAS-radius-portal_radius] key authentication simple your_auth_key
[vBRAS-radius-portal_radius] key accounting simple your_acct_key
# 配置向RADIUS服务器发送的用户名不携带域名,使格式为"user",而非"user@domain"
[vBRAS-radius-portal_radius] user-name-format without-domain
# 退出
[vBRAS-radius-portal_radius] quit
注:此配置参考了H3C vBRAS手册中关于RADIUS方案的说明。
3. 配置Portal认证的AAA域
创建一个ISP域,并将上述RADIUS方案应用到Portal认证、授权和计费中。
# 为Portal用户配置认证、授权、计费均使用RADIUS方案"portal_radius"
[vBRAS-isp-portal_domain] authentication portal radius-scheme portal_radius
[vBRAS-isp-portal_domain] authorization portal radius-scheme portal_radius
[vBRAS-isp-portal_domain] accounting portal radius-scheme portal_radius
# 退出
[vBRAS-isp-portal_domain] quit
注:此配置参考了H3C官方文档中关于AAA域和Portal认证的配置说明。
4. 配置Portal认证服务器
定义Portal服务器的地址、版本和通信密钥。
[vBRAS-portal-server-my_portal] ip 192.168.100.2 key simple your_portal_key
# 指定Portal协议版本为V2 [vBRAS-portal-server-my_portal] version 2
# 退出
[vBRAS-portal-server-my_portal] quit
注:此配置参考了H3C官方手册中关于Portal服务器和
bas-ip属性的说明。5. 在业务VLAN接口上启用Portal
这是最后一步,将上述所有配置应用到面向用户的业务接口上。
# 配置接口的IP地址,作为用户的网关
[vBRAS-Vlan-interface100] ip address 192.168.1.1 24
# 启用Portal认证,指定认证方式为直接认证
[vBRAS-Vlan-interface100] portal enable method direct
# 将Portal认证服务器"my_portal"应用到该接口
[vBRAS-Vlan-interface100] portal apply portal-server my_portal
# 将MAC-Trigger服务器"my_mac"应用到该接口
[vBRAS-Vlan-interface100] portal apply mac-trigger-server my_mac
# 指定该接口下用户的认证域为"portal_domain"
[vBRAS-Vlan-interface100] portal domain portal_domain
# 指定该接口发送Portal报文的BAS-IP为192.168.1.1,此IP需与RADIUS和Portal服务器上配置的接入设备IP保持一致
[vBRAS-Vlan-interface100] portal bas-ip 192.168.1.1
注:此配置参考了H3C官方文档中在接口上启用Portal并应用各种服务器的说明。
🛠️ 关键验证与排障命令
配置完成后,可以使用以下命令检查配置效果和排查问题。
1. 检查MAC-Trigger信息
使用display portal mac-trigher命令,确认设备是否能从终端获取MAC地址,并查看该MAC地址的状态。
使用display portal user all命令,查看当前通过Portal认证的用户信息,确认用户名与MAC地址的绑定关系。
预期结果:用户首次通过账号密码认证成功后,再次连接时,应能看到该用户以MAC地址形式(如
aa:bb:cc:dd:ee:ff)自动上线。
3. 排查RADIUS认证问题
使用debugging radius packet命令(通常在测试或排障时开启),实时查看设备与RADIUS服务器之间的交互报文,定位认证失败的原因。
预期结果:用户尝试接入时,能观察到
Access-Request和Access-Accept等RADIUS报文。
4. 检查接口Portal配置
使用display portal interface命令,检查业务VLAN接口上的Portal配置是否正确并已生效。
预期结果:确认接口上已应用正确的Portal服务器、MAC-Trigger服务器和认证域。
💡 原理与关键考量
无感知认证的本质是MAC地址认证。终端首次通过账号密码认证后,vBRAS会将其MAC地址和账号的对应关系上报给RADIUS服务器。当该终端再次接入时,vBRAS会捕获其MAC地址,并直接向RADIUS服务器发起MAC地址认证,从而跳过手动输入账号密码的步骤。
iMC侧需要启用MAC地址自动绑定。若使用iMC作为RADIUS/Portal服务器,必须在其“业务”>“接入业务”>“Portal服务”中,为服务策略勾选“MAC地址自动绑定”功能,否则无感知认证将无法生效
IPoE与Portal无感知认证的区别:Portal无感知认证依赖于Web重定向和RADIUS的MAC地址绑定;而IPoE(IP over Ethernet)则是另一种在BRAS设备上直接发起认证的方式,与Portal认证流程不同。
vBRAS需与RADIUS服务器时钟同步:RADIUS认证对时间敏感,时间差过大可能导致认证失败。建议配置NTP服务确保vBRAS与RADIUS服务器时间一致。
检查防火墙是否放行必要端口:确保vBRAS与RADIUS服务器之间UDP 1812(认证)、1813(计费)端口,与Portal服务器之间TCP 2000端口通信无阻。
使用测试账号验证流程完整性:建议先用测试账号完成首次Web认证,确认能够正常上网后断开连接,再次连接时观察是否无需输入密码即可上网,从而验证无感知认证是否生效。
一、原理(一句话)
- 用户首次:HTTP → 重定向 Portal 页面 → 账号密码认证 → RADIUS 记录 MAC - 用户绑定
- 二次 / 后续:vBRAS 主动拿 MAC 发 RADIUS 认证 → 服务器匹配 → 自动通过(无感知)
二、vBRAS1000 关键配置(全步骤)
1. 基础配置(接口 / IP / 路由)
# 假设:用户侧 Vsi-interface 1,上行 GigabitEthernet 0/1/0
sysname vBRAS
interface Vsi-interface 1
ip address 192.168.1.1 255.255.255.0 # 用户网关
# 上行接口
interface GigabitEthernet 0/1/0
ip address 202.1.1.1 255.255.255.252
# 路由
ip route-static 0.0.0.0 0 202.1.1.2
2. 配置 RADIUS 方案(对接 iMC/RADIUS)
radius scheme portal_radius
primary authentication 172.16.29.11 1812 key simple radius@123 # 认证服务器
primary accounting 172.16.29.11 1813 key simple radius@123 # 计费服务器
user-name-format without-domain # 不带域发往RADIUS(与iMC一致)
nas-ip 172.16.29.1 # vBRAS与RADIUS通信源IP
3. 配置 AAA 域(Portal + 无感知共用)
domain portal_mac_domain
authentication portal radius-scheme portal_radius # Portal认证
authorization portal radius-scheme portal_radius
accounting portal radius-scheme portal_radius
authentication ipoe radius-scheme portal_radius # MAC无感知(IPoE)
authorization ipoe radius-scheme portal_radius
accounting ipoe radius-scheme portal_radius
# 可选:授权属性
authorization-attribute idle-cut 30 1024
authorization-attribute user-profile portal_user
4. 开启 Portal + 无感知(MAC-auth)核心
# 全局开启Portal
portal global enable
# 配置Portal服务器(远程/本地)
portal web-server imc_portal
url http://172.16.29.11:8080/portal
server-type imc
key simple portal@123 # 与iMC Portal密钥一致
# 用户接口启用 IPoE + Web + MAC-auth(无感知)
interface Vsi-interface 1
ip subscriber l2-connected enable # 二层IPoE
ip subscriber authentication-method web mac-auth # 优先Web,失败走MAC无感知
ip subscriber domain portal_mac_domain # 绑定域
portal enable # 接口启Portal
portal web-server imc_portal # 绑定Portal服务器
portal free-rule 1 destination ip any udp 53 # 放行DNS
portal free-rule 2 destination ip any tcp 53
portal mac-trigger enable # 【关键】MAC触发无感知
portal mac-trigger server 172.16.29.11 # RADIUS/iMC地址
5. 全局默认域(必配)
domain default enable portal_mac_domain
三、iMC RADIUS/Portal 侧配置(要点)
- 接入设备
- 类型:H3C vBRAS
- IP:vBRAS NAS-IP
- 共享密钥:
radius@123(与 RADIUS 一致) - Portal 密钥:
portal@123
- 接入策略
- 认证方式:PAP
- 启用 MAC 无感知 / MAC-trigger
- 允许 MAC 自动绑定用户
- 用户
- 首次 Portal 认证后,iMC 自动 MAC - 用户绑定
- 二次上线直接 MAC 认证通过
四、验证命令
display portal interface Vsi-interface 1 # 看Portal状态
display portal mac-trigger # 看MAC无感知表项
display ip subscriber interface Vsi-interface 1 # 看在线用户
display radius scheme portal_radius # RADIUS状态
五、常见问题
- 不触发无感知
- 确认:
portal mac-trigger enable+portal mac-trigger server - 确认 iMC 已 学习到 MAC - 用户绑定
- 确认:
- RADIUS 拒绝
- 密钥、NAS-IP、用户名格式(不带域)与 iMC 一致
- 首次 Portal 正常,二次不自动
- 检查
ip subscriber authentication-method web mac-auth顺序
- 检查
六、总结(最简记忆)
radius方案 → AAA域 → 接口启 ip subscriber web mac-auth → portal mac-trigger enable暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论