一、组网需求
PC与EG设备之间不能有NAT环境,且PC和ePortal之间不能用NAT;
二、组网拓扑
ePortal
|
PC--SW--EG--出口
|
SAM
三、功能原理
1、PC发起http请求,被重定向到ePortal的认证页面;用户输入用户名和密码后,到SAM数据库中校验;校验通过后,SAM通告EG端web认证模块IP地址的上线消息,同时通告EG端用户管理模块IP地址、实名账号、组信息。同时EG端流量监测主动下线,会通告SAM服务器该IP地址下线。
2、SAM联动模式由SAM添加网关设备时选择的设备类型决定的,EG两种模式默认都是开启的:
网关认证计费模式:同时支持认证和计费、用户路由、实名流控,SAM添加网关设备时请选择“Web网关认证设备”,默认端口号2009;开启ipfix流量计费必须选择本模式。
网关认证模式:仅支持认证、用户路由、实名流控,不支持计费,SAM添加网关设备时请选择“出口联动设备”,默认端口2012。 (针对不支持流量的计费的网关版本(旧版本),是属于网关认证模式,SAM上选择“出口联动设备”)
四、配置要点
1、 web认证开启时,dns协议和dhcp协议默认放行通过。为了防止TCP攻击,限制用户在认证前的最大连接数以防止TCP攻击,缺省值是255。但用户PC可能发起多个HTTP连接,但不一定是浏览器发出的,有可能是其他软件,例如聊天、下载或视屏软件,甚至可能是木马病毒。这种情况下,可能会因其他软件占用了连接,导致浏览器无法建立连接,因此无法完成认证。这种限制的解决,需要在部署时注意,使用Web认证的用户,若上网前开启的自动连接软件过多,要先关掉。
2、 web认证开启时,也要保证PC能够ping通SAM和ePortal服务器。
3、在网关认证模式下,EG配置SAM联动时,EG上的TCP端口号默认为2012,不能配置2009,因为端口2009是网关认证计费模式的默认端口号;11.1(1)B1P1及以后版本EG不支持web上配置SAM联动的TCP端口号。
4、SAM服务器配置“出口联动策略”时,注意不能与用户名相同,反之也是;”出口联动策略“必须配置,如果SAM端配置的账号管理的接入控制策略中不配置出口联动策略的名称,SAM的用户信息无法同步到EG设备。
5、一台EG设备有多个IP地址,SAM上对同一台EG设备最多只能添加一次,即EG设备的一个IP地址,且不能使用MGMT口和SAM联动
6、网关认证模式下,跟SAM、ePortal联动时,EG必须配置SNMP服务器,服务器地址为ePortal,相关key也跟ePortal上配置有关
在网关认证计费模式下,ePortal服务器添加EG设备选择的是“web认证网关设备”而不是“web认证接入设备”
总结:
eportal的“web认证网关设备”跟sam的“web网关认证设备”对应;
eportal的“web认证接入设备”跟sam的“出口联动设备”对应。
8、SAM服务器配置用户模板时,注意在添加或者修改规则时,服务名必须和ePortal添加服务配置时填写的服务名一致
从网关认证计费模式切换到网关认证模式(不包含从EG支持计费的版本降级到旧版本)
注:这里说的“降级到不支持的旧版本”是指旧的版本,只支持2012端口的网关认证模式的版本,所有有关网关认证计费模式的配置(ipfix相关的),在降级后,均不再生效。
注意点:
(1)SAM中添加EG设备,设备类型应将“Web网关认证设备”修改为“出口联动设备”,具体型号选择“EG系列”,端口号为默认的2012,如1.1.1节所示
(2)SAM的用户模板关联的接入控制中,切换到网关认证模式必须填写“出口联动策略”,才能实现实名同步,如1.2.1节所示
(3)ePortal中添加EG设备时,选择的设备类型由网关认证计费模式的“web认证网关设备”修改为“web认证接入设备”,填写相关key信息
(4)EG配置的SAM监听端口号要和(1)中保持一致,比如默认2012,可通过cli下“show link-sam statistic”命令查看,网关认证模式当前监听端口号
(5)如要需要实现流量保活(即无流量下线检测),网关认证模式,使用“web认证--高级配置--开启用户下线检测”;网关认证计费模式,使用“IPFIX流量计费--开启IPFIX计费--开启IPFIX无流量检测”。注意:这两个功能不能同时开启,否则会出现异常下线的问题,且对应模式下开启对应的无流量下线检测功能
(6)开启web认证之后,需要在cli下为web认证模板“web-auth template eportalv1”删除“fmt ace“,如3.3节图3-4所示
五、配置步骤
以下从SAM服务器、ePortal服务器、EG设备,3个方面进行介绍配置步骤,如:
SAM地址为202.0.0.6
ePortal地址为202.0.0.5
EG地址为202.0.0.2
1、SAM服务器配置
SAM服务器版本:RG-SAM+ ENTERPRISE_4.0_Build20151130
SAM服务器配置有两个步骤:1、添加设备(EG和ePortal设备登记);2、添加用户(包括用户模板、套餐、接入控制、用户开户等操作)
1.1 添加设备
要实现EG/SAM/ePortal三者之间的联动,必须将EG和ePortal都登记到SAM的设备中,以下先进行EG和ePortal在SAM服务器中的登记操作。
1.1.1 添加EG设备
添加位置:在SAM的web管理系统,系统管理—设备管理—添加,跳转到添加设备界面。
(1)设备IP地址
输入EG的IP地址,一般为EG的某个网口IP地址,保证SAM访问EG和EG访问SAM的路由收发接口一致,不支持MGMT口。
(2)IP类型
默认选择IPv4。
(3)设备类型
选择“出口联动设备”
(4)联动端口
这是SAM和EG联动时使用的端口号,两者必须保持一致。比如,此处默认端口号为2012。
.files/image001.png)
图1-1 添加EG设备设置-1
(5)具体型号
选择“EG设备系列”
(6)设备组
选择上面新建的default,可自定义其他设备组。
.files/image002.png)
图1-2 添加EG设备配置-2
具体操作信息,参考图1-1和1-2所示,添加红色字体填写对应信息,其他未涉及项目默认,保存即可。
注:SAM上添加同一台EG设备,最多只能添加一次(即同一台EG设备的多个IP最多只能添加一个),且不能为MGMT口IP
1.1.2 添加ePortal
添加位置:同上
(1)设备IP地址
输入ePortal服务器的IP地址。
(2)IP类型
默认选择IPv4。
(3)设备类型
添加的是ePortal设备,选择“RG-ePortal”。
(4)设备key
此设备key必须和后面ePortal设置SAM服务器信息中的RADIUS key保持一致,用于SAM和ePortal之间通讯验证。比如,此处填写“ruijie”,后面ePortal中 配置SAM服务器信息同样也必须配置“ruijie”。
.files/image003.png)
图1-3 添加ePortal设备配置-1
(5)读写community
配置和设备key一致即可。
(6)设备组
同上选择一个组,可自定义其他设备组,便于管理而已。
.files/image004.png)
图1-4 添加ePortal设备配置-2
其他选项默认,如图1-3和1-4所示,保存即可。
1.2 添加用户
每个用户必须关联一个用户模板,用户关联一个模板之后,还要选择关联用户模板内的某个套餐。每个用户模板可以包含多个套餐,每个套餐可以添加多个规则,规则选择对应的接入控制即可。以下按照相反的顺序进行添加。
1.2.1 添加/修改接入控制
添加位置:SAM服务器web管理系统,接入控制管理—接入控制管理—添加
填写接入控制名,这项供后面添加套餐规则的时候使用。
填写出口联动策略,这个必须填写,否则SAM服务器无法将在线用户信息同步给EG。
注:必须填写“出口联动策略”【此名称作为同步到EG上的实名信息的组名】,否则会出现无法同步在线用户信息。此外,用户名不能与“出口联动策略”相 同,否则无法同步。
.files/image006.jpg)
图1-5 添加/修改接入控制
1.2.2 添加/修改用户模板
(1) 添加用户模板
添加位置:SAM服务器web管理系统,用户管理—用户模板管理—添加用户模板
.files/image007.png)
图1-6 添加用户模板
(2)用户模板添加套餐
添加位置:SAM服务器web管理系统,用户管理—用户模板管理,在用户模板列表中找到要添加套餐的用户模板,点击对应行最后一列的修改按钮。
进入模板界面后,在套餐列表的左边,点击添加套餐按钮
.files/image008.png)
图1-7 用户模板添加套餐1
在套餐添加界面,输入套餐名,修改套餐相关信息。
.files/image009.png)
图1-8 用户模板添加套餐2
(3)添加套餐规则
在套餐列表对应套餐的最后一列,点击该按钮可以添加/修改规则
.files/image010.png)
图1-9 添加套餐规则-1
填写服务名,服务名有限制必须跟后面ePortal启用“网关认证模式”的外网服务名称相一致。如2.1节中(5)所示。
注:此处必须和ePortal配置保持一致,否则使用该模板的用户认证登录时,容易出现例如“用户不允许使用本服务”的错误提示。
.files/image011.png)
图1-10 添加套餐规则-2
到此,用户模板相关的配置结束,套餐内的规则的接入控制方式,为前面自己添加或者修改过的方式。
.files/image013.jpg)
图1-11 添加套餐规则结果
1.2.3 添加用户
同添加设备一样,添加用户之前,添加一个新的用户组。添加位置SAM服务器系统web界面,用户管理—用户组管理。比如,添加一个‘usr_group’用户组。
添加用户位置:SAM服务器web管理系统,用户管理—用户管理—开户
用户名、密码,即web认证时登录用的用户名和密码。
用户组,指定用户所在用户组。
用户模板,选择之前创建或者修改的用户模板,并选择对应的套餐。注意此处的套餐,是前面确认过已经有选择了接入控制方式、出口联动策略的套餐
.files/image015.jpg)
1-12 添加用户
到此,SAM服务器上的配置结束。
2、ePortal服务器配置
ePortal服务器版本:RG-SAM+ Portal ENTERPRISE_1.00_Build20151022
2.1 设置SAM服务器信息
配置位置:ePortal服务器web管理系统,系统配置界面,此界面的配置用于ePortal与SAM相连。
(1)Radius服务器地址
填入SAM服务器的IP地址
(2)RADIUS Key
填入1.1.2节(4)的设备key,即SAM服务器中添加ePortal设备时填写的设备key,RADIUS Key填写的内容必须和设备key保持一致。比如上面填入的 “ruijie”。另外,Informs Community和SNMP Community默认public即可。
.files/image017.jpg)
图2-1 设置SAM服务器信息
(3)认证服务器IPv4地址
填写ePortal服务器的IP地址
(4)管理端访问IPv4地址
填写ePortal服务器的IP地址
.files/image019.jpg)
图2-2 ePortal服务器默认信息-1
(5)添加服务选项
该服务选项用于用户认证时选择比如内网认证、外网认证的选择项,其服务名和1.2.2节中(3)添加规则时的服务名字保持一致。
另外,2.2节中(3)选择的类型必须是web认证网关设备。
注:此项不开启,容易出现例如“web认证接入设备不存在,请联系管理员”等类似错误提示。
.files/image021.jpg)
图2-3 ePortal服务器默认信息-2
2.2 添加EG设备
配置位置:ePortal服务器web管理系统,设备管理—添加设备页面
(1)设备IP
填入EG设备的IP地址,默认配置和SAM添加EG时的IP地址一样
(2)SNMP版本
选择SNMPv2c
(3)设备类型
选择”Web认证接入设备“
(4)NAT代理模式
关闭NAT代理模式
(5)填写community key
跟EG上配置SNMP服务器时保持一致
(6)填写web-auth portal key
跟EG上配置通讯key保持一致
.files/image022.png)
图2-4 添加EG设备
其余可不填,如图2-4所示,保存即可。
eportal的“web认证网关设备”跟sam的“web网关认证设备”对应;
eportal的“web认证接入设备”跟sam的“出口联动设备”对应。
3、EG设备配置
3.1 SAM联动配置
配置位置:高级->系统设置->SAM联动配置
(1)开启SAM联动
(2)配置SAM服务器信息:填写SAM服务器的IP地址,只支持一个SAM,SAM和EG的关系必须是一对一
(3)已链接的SAM:显示已链接上的SAM服务器IP地址和SAM联动模式
.files/image024.jpg)
图3-1 SAM联动配置
3.2 IPFIX配置
配置位置:用户->IPFIX流量计费
注意点:
(1)网关认证模式不支持IPFIX计费,因此请关闭IPFIX功能,以免浪费设备性能
(2)网关认证模式下,需要开启无流量下线检测(流量保活),请到”web认证->高级配置->用户下线检测“下开启
3.3 上网实名策略
配置位置:用户管理->上网实名策略
(1)认证选项:选择外置认证服务器
(2)服务器IP:填写ePortal服务器的IP地址,此配置的是主ePortal服务器
(3)重定向主页:填入ePortal服务器的重定向页面的url,一般格式为http://x.x.x.x:x/eportal/index.jsp
(4)指定接入用户:可指定某些网段的用户,只能使用主ePortal服务器,而其他未指定网段可使用备用ePortal服务器
(5)通讯密码:网关认证模式下,通讯密码是web上可配置,与ePortal保持一致即可
(6)用户逃生功能:可开启ePortal逃生,即在ePortal服务器无法访问的情景下,未认证用户可逃生无需认证,保证网络正常
(7)服务器检测:配置检测ePortal服务器状态的时间间隔,默认10
(8)SNMP服务器:填写ePortal的服务器地址,以及相关的口令、标识
注:外置认证服务器只有两种场景下需要配置SNMP服务器
a)使用的认证服务器为SMP服务器
b)与SAM/ePortal联动,SAM联动模式为网关认证模式,即网关认证模式下需要配置SNMP,网关认证计费模式下不需要配置,配置也不影响
网关认证模式下,部分消息需要通过SNMP与ePortal通信,不配置会出现上下线异常。
c)网关认证模式下,SNMP服务器配置和ePortal服务器保持一致
.files/image026.jpg)
图3-2 外置认证服务器配置
(9)高级配置
下线检测模式:开启用户识别模块的无流量下线检测功能,在一定周期内无流量,通告SAM下线该用户(需要流量保活时开启)
注:在网关认证模式下,开启本功能,请关闭3.2节的IPFIX计费和IPFIX无流量检测功能
.files/image027.png)
图3-3 外置认证服务器高级配置
(10)特别注意点:web外置认证模版的配置
SAM联动模式为网关认证模式时,必须为认证模板eportalv1删除一条”fmt ace“,如下图所示。当前仅支持cli下操作
模板fmt是给支持2009端口(也就是网关认证计费模式)用的,;如果不删除fmt模板。旧的就不能用;因为旧的,默认使用的端口是2012(网关认证模式)
删除fmt模板的命令:
.files/image028.png)
图3-4 网关认证计费模式删除fmt ace命令
六、配置验证
1、PC打开浏览器访问百度、新浪等网站,被重定向到ePortal的认证页面,未认证通过前QQ等软件无法登陆;
2、输入SAM服务器配置的用户名和密码,点击登陆提示认证成功;
3、认证成功之后,PC可以正常访问外部网络。
七、注意问题
1、版本配套性说明【推荐】
EG:如EG2000高端推荐11.1(1)B1P3,EG3000高端推荐11.1(6)B5P1
sam+:RG-SAM+ ENTERPRISE_4.20(p2)_Build20160901或者3.98
2、SAM联动模式由SAM添加网关设备时选择的设备类型决定的,EG两种模式默认都是开启的:
网关认证计费模式:同时支持认证和计费、用户路由、实名流控,SAM添加网关设备时请选择“Web网关认证设备”,默认端口号2009;开启ipfix流量计费必须选择本模式。
网关认证模式:仅支持认证、用户路由、实名流控,不支持计费,SAM添加网关设备时请选择“出口联动设备”,默认端口2012。 (针对不支持流量的计费的网关版本,是属于网关认证模式,SAM上选择“出口联动设备”)
3、SAM与网关联动的通讯协议有V1和V2两个版本,设备类型为“NPE50及之后”的版本采用V2协议,其余的采用V1协议。切换协议时需要手动重启SAM之后才能生效。更换与SAM联动的设备类型时,如果新旧设备采用的协议不一致,需要重启SAM才能使新协议生效
4、 设备2009或2012端口监听SAM的连接请求(依据具体的配置模式采用不同的端口),用于传递在线用户信息等消息。在有攻击设备2009或者2012端口的情况下,要配置相关的ACL应用到端口的in方向,只允许源IP是SAM的IP访问设备2009或2012端口,防止SAM连接断开影响用户上网