一、组网需求

网络拓扑

 

需求：

用户上网是需要进行web认证，需要实现NBR、eportal和sam的联动，NBR推送eportal的页面，由sam完成用户的认证操作。

地址为：

SAM地址为192.168.100.1

ePortal地址为192.168.100.2

EG地址为10.1.1.254

 

二、配置要点

 版本说明

SAM 版本为3.95，ePortal版本为1.42，EG版本为4b10  164555

SAM 3.95（当前最新版本）和EG 4b10以上版本才支持联动。

 

基本原理

PC发起访问外网的http请求（一般是80作为认证端口），认证端口内的报文会被拦截到重定向页面输入用户名和密码，eportal获取用户名和密码信息到sam服务器去做校验，sam服务器校验完成后，会将ip的上下线信息告诉eportal。eportal会告诉EG端IP地址的上下线信息（不含实名）。同时EGlink-sam后，sam服务会把ip及账号对应的实名信息的上下线通告EG设备端。

 

三、配置步骤

NBR配置及说明

sam+eportal不同于smp+eportal，sam和EG的实名信息同步，EG端不需要填写sam端的ip地址，开启link-sam后，eg作为服务端接受sam的连接请求并且同步信息即可。

 

SNMP配置一定要配置正确，否可能出现epotral上用户无法下线的故障，SNMP配置最好在WEB界面配置，以免命令行少配置命令造成异常，如果一定要从命令行配置按如下模板配置，正确为命令行配置如下：

snmp-server location NBR   #标识NBR只是一个名字没有实际意义可以配置为任意名字

snmp-server host  192.168.100.2 traps ruijie      #配置traps信息目前主机

snmp-server host  192.168.100.2 informs version 2c ruijie web-auth   #配置informs信息目前主机

snmp-server enable traps  #开启traps

snmp-server community ruijie rw   #配置EG的snmp团体现为rijie，充许SNMP服务器对EG进行读写动作

 

 

说明：

服务器ip： eportal的ip地址，将该ip地址加入免认证外网ip地址中

重定向页面：eportal的重定向页面地址，是转的输入用户名和密码的认证页面

通讯密码：eportal添加EG作为web认证接入设备时填写的key，两边要保持一致，该key用于eportal通告EG端ip地址信息传输过程中的数据的加密以及解密使用。

 

设备标识：一般填写设备的型号（可随意填写）

snmp口令和trap口令： 和eportal系统配置中设置通信设置中的Informs Community保持一致。trap是snmp协议的一种，trap口令用于于EG设备端主动通告eportal某IP地址上下线信息时使用。

 

snmp目的主机和trap主机：这里填写eportal的ip地址,，NRB设备会向该ip地址发送设备端在线的ip地址的下线信息（一般是流量监测下线时通告eportal该ip下线）。

 

 

 

说明：

最大http会话数：设置每个ip地址的最大http连接数，超过请求将被丢弃，默认255

重定向时间：见web说明，默认3

重定向http端口：一般浏览器的http请求端口是80，该处设置认证端口，只有处于认证端口内的报文才会被拦截，才能弹出来重定向页面，默认配置80端口。（像手机端qq浏览器是8080，https请求端口是443，如果需要做认证的话可以将这两个端口也加入认证端口）。

在线信息更新时间：见web说明，一般按默认60即可。

下线检测模式：开启后默认配置15分钟内0流量会将该在线ip地址剔除下线。

ip+mac绑定模式：默认不开启，开启后上线后会将该ip+mac绑定，若是其他mac使用已经认证通过的ip上网将不能弹出认证页面也不能上网，防止蹭网。另外一般二层环境下开启改功能才能生效，三层环境下会改变源MAC地址，设置端接收到所有ip地址的mac都一样，无法判断。

免认证网络资源：免认证的设备外网ip地址

免认证本地ip：免认证的设备内网ip地址

 

说明：

开启sam联动： 勾选开启sam联动

TCP端口：默认2012，此处和sam端添加EG为出口设备时配置的端口需要保持一致

用户信息老化：配置设备端当检测到sam在线或者sam不在线时，设备端保留的sam的在线信息的老化时间，超过该时间间隔，在线信息将被删除，默认都是20分钟。sam每隔5分钟会同步一次在线信息到设备，设备以超过三次未检测到IP节点的在线通告作为老化依据。

已链接的sam：此处不用填写，sam联动成功后会显示sam服务端的ip地址。

 

eportal配置及说明

说明：

radius服务器地址：sam服务器ip地址

RADIUS key：sam服务器之间通告ip地址上下线加解密使用，和sam端添加eportal设备时配置的设备key保持一致。

 

Informs Community：和EG端配置的trap口令保持一致。用于校验EG端发起的下线信息是否需要处理。

 

     SNMP Community：和SAM服务器添加eportal设备是配置的读写Community保持一致。用于校验sam服务器通告的上下线信息是否需要处理。

 

     sam配置及说明

 

说明：

1.        EG为出口联动设备，并且配置联动端口，要和EG端配置的端口保持一致，默认2012。此处不需要配置key和community。

2.        添加eportal设备，配置设备key和eportal上配置的radius key保持一致，配置读写community和eportal上配置的snmp community保持一致。

 

3. sam端配置账号时，一定要配置接入控制名和出口联动策略的名称，此处的CNII是作为组名称同步到EG端若不配置，sam端将不会同步实名信息到EG端，切记。

 

4.配置完成之后，认证上线后，EG端可以通过show auth-subs brief和show auth-subs all观看sam_root下是否有实名信息的同步。

 

四、配置验证

1、PC打开浏览器访问百度、新浪等网站，被重定向到eportal的认证页面，未认证通过前QQ等软件无法登陆，PC可以正常访问eportal服务器；

2、输入SAM端配置的用户名和密码，点击登陆提示认证成功；

3、认证成功之后，PC可以正常访问外部网络。

 

五、注意问题

1、EG与SAM联动认证必须要有独立的epotral,EG内置potral的情况下不支持与SAM联动（EG内置potral只支持与ESS和SMP联动）；

2、在没有epotral的情况下，EG可以与SAM同步实名信息进行实名流控，认证是在交换机或无线等其它设备上开启；

3、SNMP配置一定要配置正确，否可能出现epotral上用户无法下线的故障，SNMP配置最好在WEB界面配置，以免命令行少配置命令造成异常，如果一定要从命令行配置按如下模板配置，正确为命令行配置如下：

snmp-server location EG    #标识EG只是一个名字没有实际意义可以配置为任意名字

snmp-server host  192.168.100.2 traps ruijie      #配置traps信息目前主机

snmp-server host  192.168.100.2 informs version 2c ruijie web-auth   #配置informs信息目前主机

snmp-server enable traps  #开启traps

snmp-server community ruijie rw   #配置EG的snmp团体现为rijie，充许SNMP服务器对EG进行读写动作