01 有线NAS接入设备配置

一、功能需求

配置有线NAS接入设备，使之能与SAM、ePortal服务器正常通讯

二、配置要点

NAS设备参数需要与ePortal上一致，且密码符合安全要求。

三、配置步骤（以锐捷S26交换机为例）

11.X版本

二代web配置

1：配置aaa功能

Ruijie(config)#aaa new-model

Ruijie(config)#aaa accounting update

Ruijie(config)#aaa authentication web-auth default group radius

Ruijie(config)#aaa accounting network default start-stop group radius

Ruijie(config)#radius-server host 17.17.1.5 key ruijie

Ruijie(config)#snmp-server community ruijie rw

2：配置web跳转页面、web认证跳转服务器（eportal服务器）

Ruijie(config)#web-auth template eportalv2

Ruijie(config.tmplt.eportalv2)#ip 17.17.1.6

Ruijie(config.tmplt.eportalv2)#url http://17.17.1.6/eportal/index.jsp

Ruijie(config.tmplt.eportalv2)#exit

Ruijie(config)#web-auth portal key ruijie ------>配置认证设备与认证服务器的通信密钥

Ruijie(config)# interface range GigabitEthernet 1/1

Ruijie(config-if-range)# web-auth enable eportalv2 ------>在接口上启用web认证

Ruijie(config-if-range)# exit

3：放行到网关arp选项

Ruijie(config)#http redirect direct-site 18.1.1.1 arp ------>将网关IP地址设置为免认证的网络资源范围，并开启arp选项，以保证在认证前，PC能完成DNS及ARP请求。

Ruijie(config)#http redirect direct-site 19.1.1.1 arp ------>交换机上存在多个网段的，需要将多个网段的网关都放通，才能保证PC完成ARP请求，进行DNS通讯。

4：设置免认证用户（srcIP)

Ruijie(config)#web-auth direct-host 20.1.1.2 arp ----->注意：下联网管交换机需要进行管理，需要设置为免认证用户,需要携带arp选项。

5：设置免认证用户(srcMAC)（可选）

Ruijie(config)#mac access-list extended mianrenzhen

Ruijie(config)#permit host 5124.3526.0023 any etype-any ----->基于ACL的免认证放行机制，如业务大厅的2台公用PC的MAC地址

Ruijie(config)#security global access-group mianrenzhen

6、配置认证用户无感知迁移（可选）

Ruijie (config) web-auth station-move auto

7：防ARP欺骗(强烈建议部署）

Ruijie(config)#interface GigabitEthernet 1/1

Ruijie(config-if)web-auth enable eportalv2

Ruijie(config-if)arp-check

8：支持基于用户流量的检测（可选，根据客户需求选配）

offline-detect interval 6 threshold 0----->该功能主要是用来检测用户是否在线，此配置检查标准是：基于流量，如果在6分钟内（默认是480分钟，），用户流量为0（检查认证端口双向的流量），则认为用户下线。

9：自定义TCP连接会话数

http redirect session-limit 30

备注说明：

a、未认证的用户在访问网络资源时，用户PC会发出HTTP会话连接请求，HTTP报文会被接入设备拦截，并要求用户进行Web认证。为了防止未认证用户发起HTTP攻击，而导致接入设备的TCP连接耗尽，需要在接入设备上限制未认证用户的最大HTTP会话数

b、缺省情况下，全局每个未认证用户的最大HTTP会话数为255

c、每秒钟允许发往交换机的tcp连接请求越多，CPU利用率就越高，所以并不是值越大越好。

每个用户正常发送的http连接数（PC起机，杀毒软件迅雷下载等应用）最高峰时，一般不会超过30个，通过限制每个用户的tcp连接数，避免用户发起tcp连接请求耗尽攻击，占用连接请求总数，造成其他用户无法建立tcp 连接，无法完成认证。

鉴于上述几点可以修改TCP连接会话数为：http redirect session-limit 30

10.X版本

二代web配置

1、WEB认证全局配置

Ruijie(config)# portal-server eportalv2 ip 192.168.3.1 url http://192.168.3.1/eportal/index.jsp

Ruijie(config)# web-auth portal eportalv2 ------>配置使用锐捷二代web认证功能

Ruijie(config)# web-auth portal key ruijie ------>配置web认证key

Ruijie(config)# aaa new-model

Ruijie(config)# aaa accounting update

Ruijie(config)# aaa authentication web-auth default group radius------>创建web认证方法认证列表，名称为ruijie

Ruijie(config)# aaa accounting network default start-stop group radius ------>创建web记账方法认证列表，名称为ruijie

Ruijie(config)# radius-server host 192.168.3.1 key ruijie ------> 配置与radius通信key

Ruijie(config)# web-auth accounting default ------>调用记账列表

Ruijie(config)# snmp-server community ruijie rw

Ruijie(config)# snmp-server enable traps web-auth

Ruijie(config)# snmp-server host 192.168.3.1 inform version 2c ruijie web-auth ------>接入设备与portal服务器之间的SNMP网管参数

Ruijie(config)# http redirect direct-site 192.168.5.1------>在接入设备上设置免认证的网络资源范围，将公共服务器设置为直通的网站

Ruijie(config)# http redirect direct-site 192.168.4.1 arp------>将网关IP地址设置为免认证的网络资源范围，并开启arp选项，以保证在认证前，PC能完成DNS及ARP请求。交换机上存在多个网段的，需要将多个网段的网关都放通，才能保证PC完成ARP请求，进行DNS通讯。

Ruijie(config)# web-auth direct-host 192.168.4.12arp ------>在接入设备上设置无需认证用户IP地址，将192.168.4.12配置为免认证用户。若接口上开启arp check后，需要开启arp选项。

Ruijie(config)# web-auth offline-detect flow interval 10 flow 100000(可选，基于客户需求选择） ------>(配置基于流检测，10分钟没有超过100Kb的流量认为用户已经下线

2、WEB认证接口配置

Ruijie(config)# interface range fa0/1-2

Ruijie(config-if-range)# web-auth port-control ------>配置端口为web认证受控口

Ruijie(config-if-range)# arp-check------>开启arp-check实现下联用户的防arp欺骗，web认证后交换机将会自动绑定用户的IP+MAC，为arp-check提供合法安全表项

3、WEB认证优化配置

Ruijie(config)#http redirect session-limit 20 port 400----->单位（个）

备注说明：

未认证的用户在访问网络资源时，用户PC会发出HTTP会话连接请求，HTTP报文会被接入设备拦截，并要求用户进行Web认证。为了防止未认证用户发起HTTP攻击，而导致接入设备的TCP连接耗尽，需要在接入设备上限制未认证用户的最大HTTP会话数，和端口下的总HTTP回话数（不包括已经认证成功用户的HTTP回话）

鉴于上述原因可以修改TCP连接会话数为：http redirect session-limit 20 port 400

四、配置验证

1、在NAS设备上使用ping命令可以正常ping通SAM、ePortal服务器。

2、确认需要接入认证的端口均已配置认证功能。