Portal典型配置举例.doc

1.18.1Portal直接认证配置举例1.组网需求用户主机与接入设备Router直接相连，采用直接方式的Portal认证。用户通过手工配置或DHCP获取的一个公网IP地址进行认证，在通过Portal认证前，只能访问Portal Web服务器；在通过Portal认证后，可以使用此IP地址访问非受限的互联网资源。采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。采用RADIUS服务器作为认证/计费服务器。2.组网图图1-4配置Portal直接认证组网图配置Router配置RADIUS方案#创建名字为rs1的RADIUS方案并进入该方案视图。 system-viewRouter radius scheme rs1#配置RADIUS方案的主认证和主计费服务器及其通信密钥。Router-radius-rs1 primary authentication 12Router-radius-rs1 primary accounting 12Router-radius-rs1 key authentication simple radiusRouter-radius-rs1 key accounting simple radius#配置发送给RADIUS服务器的用户名不携带ISP域名。Router-radius-rs1 user-name-format without-domainRouter-radius-rs1 quit#使能RADIUS session control功能。Router radius session-control enable配置认证域#创建并进入名字为dm1的ISP域。Router domain dm1#配置ISP域使用的RADIUS方案rs1。Router-isp-dm1 authentication portal radius-scheme rs1Router-isp-dm1 authorization portal radius-scheme rs1Router-isp-dm1 accounting portal radius-scheme rs1Router-isp-dm1 quit#配置系统缺省的ISP域dm1，所有接入用户共用此缺省域的认证和计费方式。若用户登录时输入的用户名未携带ISP域名，则使用缺省域下的认证方案。Router domain default enable dm1配置Portal认证#配置Portal认证服务器：名称为newpt，IP地址为11，密钥为明文portal，监听Portal报文的端口为50100。Router portal server newptRouter-portal-server-newpt ip 11 key simple portalRouter-portal-server-newpt port 50100Router-portal-server-newpt quit#配置Portal Web服务器的URL为11:8080/portal。（Portal Web服务器的URL请与实际环境中的Portal Web服务器配置保持一致，此处仅为示例）Router portal web-server newptRouter-portal-websvr-newpt url 11:8080/portalRouter-portal-websvr-newpt quit#在接口GigabitEthernet2/0/2上使能直接方式的Portal认证。Router interface gigabitethernet 2/0/2RouterGigabitEthernet2/0/2 portal enable method direct#在接口GigabitEthernet2/0/2上引用Portal Web服务器newpt。RouterGigabitEthernet2/0/2 portal apply web-server newpt#在接口GigabitEthernet2/0/2上设置发送给Portal认证服务器的Portal报文中的BAS-IP属性值为。RouterGigabitEthernet2/0/2 portal bas-ip RouterGigabitEthernet2/0/2 quit4.验证配置以上配置完成后，通过执行以下显示命令可查看Portal配置是否生效。Router display portal interface gigabitethernet 2/0/21.18.2Portal二次地址分配认证配置举例1.组网需求用户主机与接入设备Router直接相连，采用二次地址分配方式的Portal认证。用户通过DHCP服务器获取IP地址，Portal认证前使用分配的一个私网地址；通过Portal认证后，用户申请到一个公网地址，才可以访问非受限互联网资源。采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。采用RADIUS服务器作为认证/计费服务器。2.组网图图1-15配置Portal二次地址分配认证组网图在Router上进行以下配置。(1)配置RADIUS方案#创建名字为rs1的RADIUS方案并进入该方案视图。 system-viewRouter radius scheme rs1#配置RADIUS方案的主认证和主计费服务器及其通信密钥。Router-radius-rs1 primary authentication 13Router-radius-rs1 primary accounting 13Router-radius-rs1 key authentication simple radiusRouter-radius-rs1 key accounting simple radius#配置发送给RADIUS服务器的用户名不携带ISP域名。Router-radius-rs1 user-name-format without-domainRouter-radius-rs1 quit#使能RADIUS session control功能。Router radius session-control enable(2)配置认证域#创建并进入名字为dm1的ISP域。Router domain dm1#配置ISP域的RADIUS方案rs1。Router-isp-dm1 authentication portal radius-scheme rs1Router-isp-dm1 authorization portal radius-scheme rs1Router-isp-dm1 accounting portal radius-scheme rs1Router-isp-dm1 quit#配置系统缺省的ISP域dm1，所有接入用户共用此缺省域的认证和计费方式。若用户登录时输入的用户名未携带ISP域名，则使用缺省域下的认证方案。Router domain default enable dm1(3)配置DHCP中继和授权ARP#配置DHCP中继。Router dhcp enableRouter dhcp relay client-information recordRouter interface gigabitethernet 2/0/2RouterGigabitEthernet2/0/2 ip address RouterGigabitEthernet2/0/2 ip address subRouter-GigabitEthernet2/0/2 dhcp select relayRouter-GigabitEthernet2/0/2 dhcp relay server-address 12#使能授权ARP功能。Router-GigabitEthernet2/0/2 arp authorized enableRouter-GigabitEthernet2/0/2 quit(4)配置Portal认证#配置Portal认证服务器：名称为newpt，IP地址为11，密钥为明文portal，监听Portal报文的端口为50100。Router portal server newptRouter-portal-server-newpt ip 11 key simple portalRouter-portal-server-newpt port 50100Router-portal-server-newpt quit#配置Portal Web服务器的URL为11:8080/portal。（Portal Web服务器的URL请与实际环境中的Portal Web服务器配置保持一致，此处仅为示例）Router portal web-server newptRouter-portal-websvr-newpt url 11:8080/portalRouter-portal-websvr-newpt quit#在接口GigabitEthernet2/0/2上使能二次地址方式的Portal认证。Router interface gigabitethernet 2/0/2Router-GigabitEthernet2/0/2 portal enable method redhcp#在接口GigabitEthernet2/0/2上引用Portal Web服务器newpt。RouterGigabitEthernet2/0/2 portal apply web-server newpt#在接口GigabitEthernet2/0/2上设置发送给Portal报文中的BAS-IP属性值为。RouterGigabitEthernet2/0/2 portal bas-ip RouterGigabitEthernet2/0/2 quit4.验证配置以上配置完成后，通过执行以下显示命令可查看Portal配置是否生效。Router display portal interface gigabitethernet 2/0/21.18.3可跨三层Portal认证配置举例1.组网需求Router A支持Portal认证功能。用户Host通过Router B接入到Router A。配置Router A采用可跨三层Portal认证。用户在未通过Portal认证前，只能访问Portal Web认证服务器；用户通过Portal认证后，可以访问非受限互联网资源。采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。采用RADIUS服务器作为认证/计费服务器。2.组网图图1-16配置可跨三层Portal认证组网图在Router A上进行以下配置。(1)配置RADIUS方案#创建名字为rs1的RADIUS方案并进入该方案视图。 system-viewRouterA radius scheme rs1#配置RADIUS方案的主认证和主计费服务器及其通信密钥。RouterA-radius-rs1 primary authentication 12RouterA-radius-rs1 primary accounting 12RouterA-radius-rs1 key authentication simple radiusRouterA-radius-rs1 key accounting simple radius#配置发送给RADIUS服务器的用户名不携带ISP域名。RouterA-radius-rs1 user-name-format without-domainRouterA-radius-rs1 quit#使能RADIUS session control功能。Router radius session-control enable(2)配置认证域#创建并进入名字为dm1的ISP域。RouterA domain dm1#配置ISP域的RADIUS方案rs1。RouterA-isp-dm1 authentication portal radius-scheme rs1RouterA-isp-dm1 authorization portal radius-scheme rs1RouterA-isp-dm1 accounting portal radius-scheme rs1RouterA-isp-dm1 quit#配置系统缺省的ISP域dm1，所有接入用户共用此缺省域的认证和计费方式。若用户登录时输入的用户名未携带ISP域名，则使用缺省域下的认证方案。Router domain default enable dm1(3)配置Portal认证#配置Portal认证服务器：名称为newpt，IP地址为11，密钥为明文portal，监听Portal报文的端口为50100。RouterA portal server newptRouterA-portal-server-newpt ip 11 key simple portalRouterA-portal-server-newpt port 50100RouterA-portal-server-newpt quit#配置Portal Web服务器的URL为11:8080/portal。（Portal Web服务器的URL请与实际环境中的Portal Web服务器配置保持一致，此处仅为示例）Router portal web-server newptRouterA-portal-web