云服务器内容精选

华为云首页用户手册

云平台中继认证（RADIUS方式）

华为乾坤-配置云平台中继认证（云AP，第三方服务器对接，Radius中继）:认证流程

认证流程终端用户在访问互联网时，连接Wi-Fi的SSID，登录由第三方Portal服务器的Portal页面进行认证。第三方RADIUS服务器与iMaster NCE-Campus通过标准RADIUS协议对接，实现Portal认证和计费等功能。图1 RADIUS中继方式认证流程对于MAC优先的RADIUS中继认证，前提需要第三方RADIUS服务器支持MAC认证，MAC优先的RADIUS中继认证流程如下图所示。图2 MAC优先的RADIUS中继方式认证流程

华为乾坤云平台中继认证（RADIUS方式）
华为乾坤-配置云平台中继认证（云AP，第三方服务器对接，Radius中继）:数据规划

数据规划表1 用户接入数据规划数据类型取值说明 SSID wlan-guest - WLAN安全策略开放网络Open+Portal认证 - 对接方式 RADIUS中继 - 推送协议 HTTP - 第三方Portal页面认证参数 "用户名"参数名称：username 设置第三方Portal页面认证所需的用户名参数名。 "密码"参数名称：password 设置第三方Portal页面认证所需的密码参数名。跳转URL匹配规则：重定向URL参数根据请求中携带的URL地址的参数名和参数值进行重定向URL地址的获取，当匹配上参数名，获取对应的参数值作为重定向URL地址进行跳转。 "认证成功跳转URL"参数名称：successUrl 设置第三方Portal页面认证成功的跳转URL参数名。 RADIUS中继服务器 Radius-Relay-Server 绑定中继服务器模板。 Portal免认证 ON 首次认证成功后，再次连接WIFI无需认证。实时计费 ON，计费上报周期：15分钟 - 默认放行规则名称：ACL ACL编号：6000 规则列表：域名 *.third_portal.com IP 10.10.10.1/32 放通DNS服务器IP地址和第三方Portal服务器域名。表2 Portal页面推送策略规划数据类型取值说明名称 DemoPush - 接入方式无线 - SSID匹配 ON 匹配SSID进行推送策略 SSID wlan-guest 认证方式云平台中继认证 - 对接方式 RADIUS中继 - URL模板 URL-Radius-Relay 绑定URL模板第三方认证URL http://third_portal.com 填写第三方Portal服务器的认证URL。

华为乾坤云平台中继认证（RADIUS方式）
华为乾坤-URL模板:参数说明

参数说明表1 “策略模板”（URL模板）参数名称说明名称用于唯一标识URL模板。模板类型 “云平台中继认证”和“第三方认证”可供选择。模板参数赋值方式范围：替换控制器已有值：选择iMaster NCE-Campus已有参数。用户自定义：用户自定义参数值。约束和限制：赋值方式仅“云平台中继认证”类型有效。参数内容指定在URL中携带的模板参数信息。模板类型不同，支持定义的模板参数也不同。各参数详细说明以及填写要求请参见表2。参数名称第三方portal服务器认证所需参数名称。 MAC地址格式设置（仅“模板类型”选择为“云平台中继认证”可配置）默认不开启，开启后可设置“模板参数”中的“参数内容”为ap-mac、device-mac、user-mac参数的MAC地址格式。开关开启时支持的设置的格式包含： MAC地址大小写：“大写”，“小写”。 MAC地址连接符：“横杠（-）”，“点（.）”，“冒号（：）”，“无连接符”。 MAC地址格式：“XXXX-XXXX-XXXX”，“XX-XX-XX-XX-XX-XX”。 URL参数加密（仅“模板类型”选择为“云平台中继认证”可配置） URL参数名称为了传输数据的安全，希望Portal服务器和控制器之间传递的URL参数能够经过加密处理时，可通过使能此开关实现。开启后URL参数会整体加密，仅支持AES-CBC算法。密钥三方认证系统和iMaster NCE-Campus对接时，该系统使用的对接密钥和密钥向量。密钥IV向量表2 模板参数模板类型参数参数说明取值云平台中继认证 device-mac 指定在URL中携带认证设备的MAC地址。取值为1~64位字母、短线、数字或下划线，不能以数字开头。 redirect-url 指定在URL中携带用户重定向前访问的原始URL。 ssid 指定在URL中携带用户关联的SSID名称。 user-ip 指定在URL中携带接入用户的IP地址。 user-mac 指定在URL中携带接入用户的MAC地址。 loginurl 指定在URL中携带iMaster NCE-Campus提供的用户认证的URL。 ap-location 指定在URL中携带AP的位置信息。 fitap-mac 指定在URL中携带WAC+FitAP认证场景下，FitAP的MAC地址信息。 sync-login-url 指定在URL中携带三方Portal服务器回调的认证同步接口信息。 sync-login-http-url 指定在URL中携带三方Portal服务器回调的认证同步HTTP接口信息。 site-code 指定在URL中携带站点认证码信息。 device-type 指定在URL中携带认证设备的设备类型信息。 site-name 指定在URL中携带站点名称信息。第三方认证 ap-ip AP的IP地址。取值为1~16位的半角字符，不能包含空格。 device-ip 认证设备的IP地址，对于普通云AP，需要使用ap-ip参数。 ap-mac AP的MAC地址。 redirect-url 用户重定向前访问的原始URL。 ssid 用户关联的SSID名称。 sysname 认证设备的系统名称。 user-ip 用户的IP地址。 user-mac 用户的MAC地址。 device-mac 认证设备的MAC地址，对于普通云AP，需要使用ap-mac参数。 interface 用户接入的设备接口。 esn 认证设备的ESN。 ap-location AP的位置信息。 login-url 认证设备的登录URL。其中： url-key：重定向时携带给Portal服务器登录URL的识别关键字。 url：接入设备上指定的URL。说明：中心AP不支持此参数。 “login-url”有两个值需要填充，url-key和url之间需要用空格隔开。例如：XX Y。 url-key：重定向时携带给Portal服务器登录URL的识别关键字。字符串形式，不支持空格、问号、和号和等于号，区分大小写，长度范围是1～16。 url：接入设备上指定的URL。字符串形式，不支持空格，区分大小写，长度范围是1～247。

华为乾坤云平台中继认证（RADIUS方式）
华为乾坤-支持的RADIUS消息

支持的RADIUS消息 iMaster NCE-CampusiMaster NCE-WAN作为中继角色，可以将RADIUS消息发送给第三方的RADIUS服务器，实现认证、授权和计费功能。支持的RADIUS消息字段如下所示：表1 认证消息列表消息列表说明 User-Name(1) 用户名，设置时候可以带域名(如user0001@isp)，也可以不带域名(如user0001)。内容可以是用户MAC或配置的用户名。 User-Password(2) 用户密码，PAP认证时，用户密码由NAS加密后传递给服务器。系统支持的用户PAP认证密码长度为0～128。内容可以是MAC地址或配置的密码。 Called-Station-ID(30) 用来携带NAS设备的号码信息，一般为设备MAC地址（有线用户）或SSID（WLAN无线用户）。 Calling-Station-ID(31) 用来携带客户端的号码信息，一般为MAC地址。 Acct-Session-ID(44) 计费ID。格式：7位主机名＋2位槽号＋1位子卡号＋2位端口号＋ 4位外层VLAN＋5位内层VLAN＋6位CPU Tick＋6位用户连接ID。 Framed-IP-Address(8) 用户的IP地址。 NAS-Port-ID(87) 用户接入的槽位号、子槽位号、端口号及vlanid。格式有两种：老格式：2位槽号＋2位子卡号＋3位端口号＋9位VLAN。新格式：slot=槽号；subslot=子卡号；port=端口；vlanid=VLAN或者 slot=槽号；subslot=子卡号；port=端口；vlanid=外层VLAN ；vlanid2=内层VLAN。 NAS-Port-Type(61) 设置NAS的端口类型，用户在交换机接口下可以配置。默认类型是Ethernet（15），无线用户为IEEE_802.11（19）。 Service-Type(6) 提供的服务类型。 2（Framed）：PPP、802.1x用户等其他用户。 5（Outbound）：IPSession接入用户。 6（Administrative）：管理用户。 10（Call Check）：MAX认证用户。表2 授权消息列表消息列表说明 Session-Timeout(27) 在Access-Accept报文中，表示用户剩余的时间，以秒为单位。在CHALLENGE报文中作为EAP用户的重认证时长。下发数值必须大于0。可利用该属性下发用户在线时长。 Idle-Timeout(28) 用户的闲置切断时间，以秒为单位。 HW-Input-Committed-Information-Rate(26-2) 上行承诺速率，单位bps（上行CIR）。 HW-Output-Committed-Information-Rate(26-5) 下行承诺速率，单位bps（下行CIR）。 Reply-Message(18) 此属性可用于认证接受报文中，表示成功消息，也可用于认证拒绝报文中，表示拒绝消息。目前只对WEB认证用户，会把此信息传给用户。对于WEB认证，必须WEB服务器的版本支持。 Filter-ID(11) 通常该属性携带用户ACL号或用户组名或ucl-group名。RADIUS报文中只能携带ACL号或用户组名，不能同时携带两者。表3 计费消息列表消息列表说明 Acct-Delay-Time(41) 用于上报发送该计费包花费的时间，以秒为单位（不包括网络传输时间）。计费服务器收到该计费请求包后，可以从该计费请求包到达计费服务器的时间减去Acct-Delay-Time表示的时间得到NAS生成该计费请求包的时间（报文创建的时间）。在交换机中，Acct-Delay-Time表示的时间由两部分构成，一部分是RADIUS模块到AAA来取数据的时间和最近一次刷新的时间差，另外一部分是RADIUS模块发送该计费请求包耽误的时间（比如重传花费的时间）。 Acct-Session-ID(44) 计费ID。格式：7位主机名＋2位槽号＋1位子卡号＋2位端口号＋ 4位外层VLAN＋5位内层VLAN＋6位CPU Tick＋6位用户连接ID。 Acct-Status-Type(40) 计费请求报文的类型。Accounting-Request中支持的计费请求报文类型如下： Start (Value=1) Stop (Value=2) Interium-Update (Value=3) Calling-Station-ID(31) 用来携带客户端的号码信息，一般为MAC地址。 Event-Timestamp(55) 生成计费请求报文的时间（以秒为单位，表示从1970年1月1日零点零分零秒以来的绝对秒数）。 Framed-IP-Address(8) 用户的IP地址。 NAS-Identifier(32) NAS设备名称，即sysname，主机名。 NAS-IP-Address(4) 标识设备地址：可以配置绑定具体的接口，取接口地址作为NAS-IP。如果没有配置，取报文发送的出接口地址为NAS-IP。 NAS-Port(5) 用户接入的物理端口信息，格式有两种： 12位槽号＋8位端口号＋12位VLAN，位数不足用0补齐。 8位槽号＋4位子卡号＋8位端口号＋12位VLAN，位数不足用0补齐。可通过命令行radius-server format-attribute nas-port format-sting配置自定义属性携带的内容，参数format-string定义内容可以为槽号、子槽号、端口、外层VLAN、内层VLAN内容的任意组合，内容之间可以用1或0填充。 format-sting参数详细说明如下：使用关键字s、t、p、o、i分别表示slot，subslot，port，out-vlan（qinqvlan）/vpi，vlan（user-vlan）/vci。增加两个关键字n、z以便填充用。n表示填1，z表示填0。 s、t、p、o、i、z、n关键字后面必须是数值，并且数值范围为1～32。且s、t、p、o、i中的每个关键字只能出现一次。 s、t、p、o、i、z、n后面若是紧跟数字则第一个数字只能是1～9不能是0。 n、z可以出现在任何位置并且可出现多次，n、z后面跟数字，n12表示该位置填12位1，z12表示该位置填充12位0。字符串配置的位数加起来必须为32位。必须以s、t、p、o、i、z、n开头，以数字结尾。 VLAN不存在时填0还是填1可以在o或i关键字前添加n、z说明，也就是说n、z后面可以跟数字或o/i。 Acct-Session-Time(46) 用户的在线时长，以秒为单位。 Acct-Input-Packets(47) 上行流量，单位报文个数。 Acct-Output-Packets(48) 下行流量，单位报文个数。 Acct-Input-Octets(42) 上行流量，单位字节数。 Acct-Output-Octets(43) 下行流量，单位字节数。 Acct-Input-Gigawords(52) 上行流量，单位1G字节数。父主题：云平台中继认证（RADIUS方式）

华为乾坤云平台中继认证（RADIUS方式）
华为乾坤-认证流程

认证流程终端用户在访问互联网时，连接Wi-Fi的SSID，登录由第三方系统推送的Portal页面进行认证。第三方系统与华为iMaster NCE-CampusiMaster NCE-WAN云管理平台通过标准RADIUS协议对接，实现Portal认证和计费等功能。图1 iMaster NCE-CampusiMaster NCE-WAN与第三方系统交互流程父主题：云平台中继认证（RADIUS方式）

华为乾坤云平台中继认证（RADIUS方式）