功能需求

部署在内网的接入用户需要穿越运营商(ISP)的NAT设备到公网中的认证服务器(iMC EIA)进行Portal认证。本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。本文档假设您已了解AAAPortal认证。

组网信息及描述

IP规划:

认证终端PC192.168.3.2/24,网关192.168.3.1

认证设备WX3540HVLAN2:192.168.100.1/24VLAN3192.168.3.1/24

NAT设备MSR3620:公网地址192.168.127.234/24,内网地址192.168.100.2/24

iMC服务器:192.168.127.97/24,网关192.168.127.1

认证服务器(iMC EIA)部署在公网中,内网用户穿越运营商(ISP)的NAT设备进行Portal认证。本例中由192.168.127.0网段模拟公网。

配置步骤

1Portal设备配置本案例以WX3540H为例:

[H3C]radius scheme nat

[H3C-radius-nat]primary authentication 192.168.127.97

[H3C-radius-nat]primary accounting 192.168.127.97

[H3C-radius-nat]accounting-on enable

[H3C-radius-nat]accounting-on extended

[H3C-radius-nat]key authentication simple admin

[H3C-radius-nat]key accounting simple admin

[H3C-radius-nat]nas-ip 192.168.3.1

[H3C-radius-nat]user-name-format with-domain

[H3C-radius-nat]quit

[H3C]domain nat

[H3C-isp-nat]authorization-attribute idle-cut 10 10240000

[H3C-isp-nat]authentication portal radius-scheme nat

[H3C-isp-nat]authorization portal radius-scheme nat

[H3C-isp-nat]accounting portal radius-scheme nat

[H3C]portal free-rule 0 destination ip 8.8.8.8  //放通目的地址为DNS,用于用户访问域名的时候进行DNS解析

[H3C]portal web-server nat

[H3C-portal-websvr-nat]url http://192.168.127.97:8080/portal

[H3C-portal-websvr-nat]url-parameter userip source-address

[H3C-portal-websvr-nat]url-parameter userurl original-url

[H3C-portal-websvr-nat]quit

[H3C]portal server nat

[H3C-portal-server-nat]ip 192.168.127.97 key simple admin  //配置portal服务器的地址为192.168.127.97,以及认证的密钥key,此处的keyadmin,此处的配置要和iMCportal服务管理里面的设备配置的key一致。

[H3C-portal-server-nat]quit

[H3C]interface Vlan-interface 3

[H3C-Vlan-interface3]ip address 192.168.3.1 255.255.255.0

[H3C-Vlan-interface3]portal bas-ip 192.168.3.1

[H3C-Vlan-interface3]portal enable method direct  //接口下发portal服务

[H3C-Vlan-interface3]portal domain nat  //指定接口下portal认证的domain域为nat

[H3C-Vlan-interface3]portal apply web-server nat  //接口应用portal服务,服务的名字为imc

2NAT设备MSR3620路由器配置如下:具体的NAT方式请以实际组网环境为准。

NAT设备基础配置:

[H3C]interface GigabitEthernet 0/1

[H3C-GigabitEthernet0/1]ip add 192.168.100.2 24

[H3C]interface GigabitEthernet 0/0

[H3C-GigabitEthernet0/0]ip add 192.168.127.234 24

[H3C-GigabitEthernet0/0]quit

[H3C]ip route-static 0.0.0.0 0 192.168.127.1

[H3C]ip route-static 192.168.3.0 24 192.168.100.1

NAT设备的NAT配置:例如如下两种方式映射:一对一静态地址转换和动态地址转换:

配置内网IP地址192.168.3.1到公网地址192.168.127.234的一对一静态地址转换映射。

[H3C]nat static outbound 192.168.3.1 192.168.127.234

[H3C]nat static inbound 192.168.3.1 192.168.127.234

[H3C]interface GigabitEthernet 0/0

[H3C-GigabitEthernet0/0]nat static enable

[H3C-GigabitEthernet0/0]nat outbound

配置动态地址转换:PAT方式适用于大量内网用户通过少量NAT地址访问外网。

[H3C]acl advanced 3010

[H3C-acl-ipv4-adv-3010]rule 0 permit ip source 192.168.3.0 0.0.0.255

[H3C-acl-ipv4-adv-3010]rule 1 deny ip

[H3C-acl-ipv4-adv-3010]quit

[H3C]nat address-group 0

[H3C-address-group-0]address 192.168.127.210 192.168.127.220

[H3C-address-group-0]quit

[H3C]interface GigabitEthernet 0/0

[H3C-GigabitEthernet0/0]nat outbound 3010 address-group 0

[H3C-GigabitEthernet0/0]nat server protocol udp global 192.168.127.234 any inside 192.168.3.1

3iMC服务器上配置EIA时,需要配置以下功能:

接入设备、Portal服务器、接入策略、接入服务和接入用户。

1)添加接入设备,选择“用户”页签。单击导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项,进入接入设备配置页面。

公共参数只需要输入共享密钥\确认共享密钥“admin”,选择设备类型H3CGeneral),其他保持默认即可,认证端口和计费端口默认为18121813,且与设备配置保持一致。

2)选择“用户”页签。单击导航树中的“接入策略管理 > Portal服务管理 > 服务器配置”菜单项,进入服务器配置页面。

3)选择“用户”页签。单击导航树中的“接入策略管理 > Portal服务管理 > 设备配置>增加设备信息”菜单项,进入增加设备信息页面,此处的IP地址为Portal设备映射后的IP地址。

4)选择“用户”页签。单击导航树中的“接入策略管理 > Portal服务管理 > IP地址组配置”菜单项,进入IP地址组配置页面。起始地址和终止地址为认证终端的IP地址段,类型选择为NAT,转换后起始地址和转换后终止地址为NAT后的地址。如果NAT设备上配置的是动态地址转换的PAT方式那么此处转换后起始地址和结束地址为192.168.127.210192.168.127.220

5)增加端口组配置:选择“用户”页签。单击导航树中的“接入策略管理 > Portal服务管理 > 设备配置>端口组信息配置”菜单项,进入端口组信息配置页面。是否NAT选择是,IP地址组选择经过NAT转换的IP地址组。

6)增加接入策略,选择“用户”页签。单击导航树中的“接入策略管理 > 接入策略管理”菜单项,进入接入策略管理页面。

7)增加接入服务,选择“用户”页签。单击导航树中的“接入策略管理 > 接入服务管理”菜单项,进入接入服务管理页面。单击<增加>按钮,进入增加接入服务页面。服务名设置为nat,服务后缀需要和设备侧配置的domainnat一样。

8)增加接入用户,选择“用户”页签。单击导航树中的“接入用户管理 > 接入用户”菜单项,进入接入用户页面。选择接入服务为nat

4、测试结果:

在浏览器或客户端输入用户名@后缀和密码,点击连接按钮。浏览器使用地址“http://1.1.1.1/”进行重定向认证,网页上线成功的页面如下图所示:

iNode客户端上线成功界面如下:

 

配置关键点及注意事项

对于穿越NATPortal组网,需要配置参数url-parameter userip source-addresuserip属于自定义字符,但是配置中不能修改成其他字符,否则iMC无法获取用户的私网地址。url-parameter userurl original-url这个参数的作用是当终端认证成功后自动跳转到原来访问的页面,如果不配置这个参数那么不会跳转。

对于普通组网这两个参数可以不配置,不对跳转和认证产生影响。

Comware V7设备配置Portal的时候分为Portal Web-serverPortal Server两部分,Web-server提供的是重定向的页面,Portal Server配置验证key。如果漏配Portal Server的配置或配置错误也会出现“向设备发送请求超时”的报错。

案例信息

案例类型:典型配置
案例号:201703200010
创建时间:2017年3月20日
更新时间:2017年3月31日
发布时间:2017/3/31 17:49:22
文章密级:游客可见
有效期:长期有效
发布者:姜娜 [jFW1015]
点击次数:2073
评论平均得分:0
关键词:iMC V7设备 穿越NAT Portal认证
产品线:ESM
产品系列:iMC-EIA终端智能接入组件
产品版本:
技术分类:

附件
常用操作
收藏