初级安全 WPA-PSK + 接入点隐藏

中级安全 IEEE802.1X认证 + TKIP加密
专业级安全 用户隔离技术 + iEEE802.11i + radiu认证和计费


Portal技术称为Web认证技术,一般Portal认证网站称为门户网站
Portal认证时一种三层网络接入认证,认证之前可以获取地址,这点与802.1X不同


扩展功能
1、在portal身份认证的基础上增加了安全认证机制,可以检测接入终端上是否安装了防病毒软件,是否更新了病毒库,是否安装了非法软件,是否更新了操作系统补丁等
2、用户通过身份认证后仅仅获得访问部分互联网资源(受限资源)的权限,当用户通过安全认证后便可以访问更多的互联网资源


优点 用户无需安装客户端软件、新业务支持能力强大、快速认证方式
portal的基本原理是:未认证用户只能访问特定的站点服务,任何其他访问都被无条件地重定向到portal服务器;只有在认证通过后,用户才能访问internet

portal基本四要素:认证客户端、接入设备、portal服务器、认证计费服务器、安全策略服务器
注:四要素之间不能使用NAT

认证前:将用户的所有http请求都重定向到portal服务器上

认证过程中:用户在认证过程中,与认证计费服务器、安全策略服务器交互,完成身份认证/安全检查功能
认证通过后:允许用户访问网络资源
认证/计费服务器:完成对用户的认证和计费

portal认证方式:非三层认证方式、三层认证方式

三层认证方式:客户端与接入设备间有三层设备(直接获取IP地址)

非三层认证方式:客户端与接入设备间没有三层设备


非三层认证方式分为直连认证方式、二次地址分配认证方式

直接认证方式:用户在认证前通过手工设置或DHCP获取IP地址,只能访问portal服务器,认证后即可访问网络资源

二次地址分配认证方式:认证前通过DHCP获取一个私网地址,只能访问portal服务器,认证后,会申请到一个公网地址,即可访问网络资源


目前只能是radius认证计费服务器,TACACS暂时不支持portal服务

配置Portal服务器

portal server china ip 192.168.16.254 key cipher 123 port 8080 url http://192.168.16.254/portal

定义portal服务器名称为china、地址,与portal服务器通信共享密钥,http报文重定向地址

portal free-rule 0 source ip 192.168.16.254 mask 255.255.255.255 destination ip any

portal free-rule 1 source ip any destination ip 192.168.16.253 mask 255.255.255.255 配置iNode
portal free-rule 2 source ip 192.168.16.252 mask 255.255.255.255 destination ip any 病毒服务器

portal free-rule 3 source ip 192.168.16.1 mask 255.255.255.255 destination ip any

interface Vlan-interface1
 ip address 192.168.16.1 255.255.255.0
 ospf bfd enable
 portal server china method layer3 启用Portal认证方式


H3C设备AAA配置信息

radius scheme AAA #创建radius认证名称
 primary authentication 192.168.16.253 1812#主认证服务器IP地址
 primary accounting 192.168.16.253 1813 #主审计服务器IP地址
 key authentication cipher 123456 #与认证服务器交互报文时的共享密钥为123456
 key accounting cipher 123456 #与审计服务器交互报文时的共享密钥为123456
 user-name-format without-domain #向radius服务器发送的用户名不携带域名
 nas-ip 192.168.16.1 本设备地址(Radius客户端地址)
 server-type extended #服务类型为扩展

security-policy-server 192.168.16.252 部署安全策略服务器


domain CHINA
authentication portal radius-scheme AAA

authorization portal radius-scheme AAA

accounting portal radius-scheme AAA

domain default enable CHINA


display history-command 显示当前用户输入的历史命令
reset factory-configuration恢复出厂设置
management-plane isolate enable 开启管理口隔离,业务口无法访问管理口