分享程序员开发的那些事...
更新时间:2022-09-21 21:00:02
初级安全 WPA-PSK + 接入点隐藏
中级安全 IEEE802.1X认证 + TKIP加密
专业级安全 用户隔离技术 + iEEE802.11i + radiu认证和计费
Portal技术称为Web认证技术,一般Portal认证网站称为门户网站
Portal认证时一种三层网络接入认证,认证之前可以获取地址,这点与802.1X不同
扩展功能
1、在portal身份认证的基础上增加了安全认证机制,可以检测接入终端上是否安装了防病毒软件,是否更新了病毒库,是否安装了非法软件,是否更新了操作系统补丁等
2、用户通过身份认证后仅仅获得访问部分互联网资源(受限资源)的权限,当用户通过安全认证后便可以访问更多的互联网资源
优点 用户无需安装客户端软件、新业务支持能力强大、快速认证方式
portal的基本原理是:未认证用户只能访问特定的站点服务,任何其他访问都被无条件地重定向到portal服务器;只有在认证通过后,用户才能访问internet
portal基本四要素:认证客户端、接入设备、portal服务器、认证计费服务器、安全策略服务器
注:四要素之间不能使用NAT
认证前:将用户的所有http请求都重定向到portal服务器上
认证过程中:用户在认证过程中,与认证计费服务器、安全策略服务器交互,完成身份认证/安全检查功能
认证通过后:允许用户访问网络资源
认证/计费服务器:完成对用户的认证和计费
portal认证方式:非三层认证方式、三层认证方式
三层认证方式:客户端与接入设备间有三层设备(直接获取IP地址)
非三层认证方式:客户端与接入设备间没有三层设备
非三层认证方式分为直连认证方式、二次地址分配认证方式
直接认证方式:用户在认证前通过手工设置或DHCP获取IP地址,只能访问portal服务器,认证后即可访问网络资源
二次地址分配认证方式:认证前通过DHCP获取一个私网地址,只能访问portal服务器,认证后,会申请到一个公网地址,即可访问网络资源
目前只能是radius认证计费服务器,TACACS暂时不支持portal服务
配置Portal服务器
portal server china ip 192.168.16.254 key cipher 123 port 8080 url http://192.168.16.254/portal
定义portal服务器名称为china、地址,与portal服务器通信共享密钥,http报文重定向地址
portal free-rule 0 source ip 192.168.16.254 mask 255.255.255.255 destination ip any
portal free-rule 1 source ip any destination ip 192.168.16.253 mask 255.255.255.255 配置iNode
portal free-rule 2 source ip 192.168.16.252 mask 255.255.255.255 destination ip any 病毒服务器
portal free-rule 3 source ip 192.168.16.1 mask 255.255.255.255 destination ip any
interface Vlan-interface1
ip address 192.168.16.1 255.255.255.0
ospf bfd enable
portal server china method layer3 启用Portal认证方式
H3C设备AAA配置信息
radius scheme AAA #创建radius认证名称
primary authentication 192.168.16.253 1812#主认证服务器IP地址
primary accounting 192.168.16.253 1813 #主审计服务器IP地址
key authentication cipher 123456 #与认证服务器交互报文时的共享密钥为123456
key accounting cipher 123456 #与审计服务器交互报文时的共享密钥为123456
user-name-format without-domain #向radius服务器发送的用户名不携带域名
nas-ip 192.168.16.1 本设备地址(Radius客户端地址)
server-type extended #服务类型为扩展
security-policy-server 192.168.16.252 部署安全策略服务器
domain CHINA
authentication portal radius-scheme AAA
authorization portal radius-scheme AAA
accounting portal radius-scheme AAA
domain default enable CHINA
display history-command 显示当前用户输入的历史命令
reset factory-configuration恢复出厂设置
management-plane isolate enable 开启管理口隔离,业务口无法访问管理口