交換機做portal認證案例 給無線做認證

 Portal直接認證配置舉例

1. 組網需求

·     用戶主機與接入設備Switch直接相連，采用直接方式的Portal認證。用戶通過手工配置或DHCP獲取的一個公網IP地址進行認證，在通過Portal認證前，隻能訪問Portal Web服務器；在通過Portal認證後，可以使用此IP地址訪問非受限互聯網資源。

·     采用一台iMC服務器同時承擔Portal認證服務器和Portal Web服務器的職責。iMC版本為：iMC PLAT 7.1(E0303)、iMC EIA 7.1(E0304)。

·     采用RADIUS服務器作為認證/計費服務器。

2. 組網圖

圖1-7 配置Portal直接認證組網圖

3. 配置步驟

(1)     配置Portal server

# 配置Portal認證服務器。

登錄進入iMC管理平台，選擇“用戶”頁簽，單擊導航樹中的“接入策略管理> Portal服務管理 > 服務器配置”菜單項，進入服務器配置頁麵。

¡     根據實際組網情況調整以下參數，本例中使用缺省配置。

圖1-8 Portal認證服務器配置頁麵

# 配置IP地址組。

選擇“用戶”頁簽，單擊導航樹中的“接入策略管理> Portal服務管理 > IP地址組配置”菜單項，進入IP地址組配置頁麵。在該頁麵中單擊<增加>按鈕，進入增加IP地址組頁麵。

a.     輸入IP地址組名；

b.     輸入起始地址和終止地址。用戶主機IP地址必須包含在該IP地址組範圍內；

c.     選擇業務分組，本例中使用缺省的“未分組”；

d.     選擇IP地址組的類型為“普通”。

e.     單擊<確定>按鈕完成操作。

圖1-9 增加IP地址組頁麵

# 增加Portal設備。

選擇“用戶”頁簽，單擊導航樹中的“接入策略管理> Portal服務管理 > 設備配置”菜單項，進入設備配置頁麵，在該頁麵中單擊<增加>按鈕，進入增加設備信息頁麵。

f.     輸入設備名；

g.     指定IP地址為與接入用戶相連的設備接口IP；

h.     選擇支持逃生心跳為“否”。

i.     選擇支持用戶心跳為“否”。

j.     輸入密鑰，與接入設備Switch上的配置保持一致；

k.     選擇組網方式為“直連”；

l.     其它參數采用缺省值；

m.     單擊<確定>按鈕完成操作。

圖1-10 增加設備信息頁麵

# 設備關聯IP地址組。

在設備配置頁麵中的設備信息列表中，點擊NAS設備的<端口組信息管理>鏈接，進入端口組信息配置頁麵。

圖1-11 設備信息列表

在端口組信息配置頁麵中點擊<增加>按鈕，進入增加端口組信息頁麵。

n.     輸入端口組名；

o.     選擇IP地址組，用戶接入網絡時使用的IP地址必須屬於所選的IP地址組；

p.     其它參數采用缺省值；

q.     單擊<確定>按鈕完成操作。

圖1-12 增加端口組信息頁麵

(2)     配置Switch

¡     配置RADIUS方案

# 創建名稱為rs1的RADIUS方案並進入該方案視圖。

<Switch> system-view

[Switch] radius scheme rs1

# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。

[Switch-radius-rs1] primary authentication 192.168.0.112

[Switch-radius-rs1] primary accounting 192.168.0.112

[Switch-radius-rs1] key authentication simple radius

[Switch-radius-rs1] key accounting simple radius

# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。

[Switch-radius-rs1] user-name-format without-domain

[Switch-radius-rs1] quit

# 開啟RADIUS session control功能。

[Switch] radius session-control enable

¡     配置認證域

# 創建並進入名稱為dm1的ISP域。

[Switch] domain dm1

# 配置ISP域的AAA方法。

[Switch-isp-dm1] authentication portal radius-scheme rs1

[Switch-isp-dm1] authorization portal radius-scheme rs1

[Switch-isp-dm1] accounting portal radius-scheme rs1

[Switch-isp-dm1] quit

# 配置係統缺省的ISP域dm1，所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名，則使用缺省域下的認證方法。

[Switch] domain default enable dm1

¡     配置Portal認證

# 配置Portal認證服務器：名稱為newpt，IP地址為192.168.0.111，密鑰為明文portal，監聽Portal報文的端口為50100。

[Switch] portal server newpt

[Switch-portal-server-newpt] ip 192.168.0.111 key simple portal

[Switch-portal-server-newpt] port 50100

[Switch-portal-server-newpt] quit

# 配置Portal Web服務器的URL為http://192.168.0.111:8080/portal。（Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致，此處僅為示例）

[Switch] portal web-server newpt

[Switch-portal-websvr-newpt] url http://192.168.0.111:8080/portal

[Switch-portal-websvr-newpt] quit

# 在接口Vlan-interface100上開啟直接方式的Portal認證。

[Switch] interface vlan-interface 100

[Switch–Vlan-interface100] portal enable method direct

# 在接口Vlan-interface100上引用Portal Web服務器newpt。

[Switch–Vlan-interface100] portal apply web-server newpt

# 在接口Vlan-interface100上設置發送給Portal認證服務器的Portal報文中的BAS-IP屬性值為2.2.2.1。

[Switch–Vlan-interface100] portal bas-ip 2.2.2.1

[Switch–Vlan-interface100] quit

//www.yolosolive.com/cn/d_202201/1524268_30005_0.htm