V5版本交換機Portal無感知對接案例

您好，請知：

以下是配置案例，請參考：

1.23  Portal典型配置舉例

1.23.1  Portal直接認證配置舉例

1. 組網需求

·     用戶主機與接入設備Switch直接相連，采用直接方式的Portal認證。用戶通過手工配置或DHCP獲取的一個公網IP地址進行認證，在通過Portal認證前，隻能訪問Portal Web服務器；在通過Portal認證後，可以使用此IP地址訪問非受限互聯網資源。

·     采用一台Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。

·     采用RADIUS服務器作為認證/計費服務器。

2. 組網圖

圖1-6 配置Portal直接認證組網圖

3. 配置步驟

(1)     配置Portal server（iMC PLAT 3.20）

# 配置Portal認證服務器。

登錄進入iMC管理平台，選擇“業務”頁簽，單擊導航樹中的[Portal認證服務器管理/服務器配置]菜單項，進入服務器配置頁麵。

·     根據實際組網情況調整以下參數，本例中使用缺省配置。

圖1-7 Portal認證服務器配置頁麵

# 配置IP地址組。

單擊導航樹中的[Portal認證服務器管理/IP地址組配置]菜單項，進入Portal IP地址組配置頁麵，在該頁麵中單擊<增加>按鈕，進入增加IP地址組配置頁麵。

·     填寫IP地址組名；

·     輸入起始地址和終止地址。用戶主機IP地址必須包含在該IP地址組範圍內；

·     選擇業務分組，本例中使用缺省的“未分組”；

·     選擇IP地址組的類型為“普通”。

圖1-8 增加IP地址組配置頁麵

# 增加Portal設備。

單擊導航樹中的[Portal認證服務器管理/設備配置]菜單項，進入Portal設備配置頁麵，在該頁麵中單擊<增加>按鈕，進入增加設備信息配置頁麵。

·     填寫設備名；

·     指定IP地址為與接入用戶相連的設備接口IP；

·     輸入密鑰，與接入設備Switch上的配置保持一致；

·     選擇是否進行二次地址分配，本例中為直接認證，因此為否；

·     選擇是否支持逃生心跳功能和用戶心跳功能，本例中不支持。

圖1-9 增加設備信息配置頁麵

# Portal設備關聯IP地址組

在Portal設備配置頁麵中的設備信息列表中，點擊NAS設備的<端口組信息管理>鏈接，進入端口組信息配置頁麵。

圖1-10 設備信息列表

在端口組信息配置頁麵中點擊<增加>按鈕，進入增加端口組信息配置頁麵。

·     填寫端口組名；

·     選擇IP地址組，用戶接入網絡時使用的IP地址必須屬於所選的IP地址組；

·     其它參數采用缺省值。

圖1-11 增加端口組信息配置頁麵

# 最後單擊導航樹中的[業務參數配置/係統配置手工生效]菜單項，使以上Portal認證服務器配置生效。

(2)     配置Portal server（iMC PLAT 5.0）

# 配置Portal認證服務器。

登錄進入iMC管理平台，選擇“業務”頁簽，單擊導航樹中的[Portal認證服務器管理/服務器配置]菜單項，進入服務器配置頁麵。

·     根據實際組網情況調整以下參數，本例中使用缺省配置。

圖1-12 Portal認證服務器配置頁麵

# 配置IP地址組。

單擊導航樹中的[Portal認證服務器管理/IP地址組配置]菜單項，進入Portal IP地址組配置頁麵，在該頁麵中單擊<增加>按鈕，進入增加IP地址組配置頁麵。

·     填寫IP地址組名；

·     輸入起始地址和終止地址。用戶主機IP地址必須包含在該IP地址組範圍內；

·     選擇業務分組，本例中使用缺省的“未分組”；

·     選擇IP地址組的類型為“普通”。

圖1-13 增加IP地址組配置頁麵

# 增加Portal設備。

單擊導航樹中的[Portal認證服務器管理/設備配置]菜單項，進入Portal設備配置頁麵，在該頁麵中單擊<增加>按鈕，進入增加設備信息配置頁麵。

·     填寫設備名；

·     指定IP地址為與接入用戶相連的設備接口IP；

·     輸入密鑰，與接入設備Switch上的配置保持一致；

·     選擇是否進行二次地址分配，本例中為直接認證，因此為否；

·     選擇是否支持逃生心跳功能和用戶心跳功能，本例中不支持。

圖1-14 增加設備信息配置頁麵

# Portal設備關聯IP地址組

在Portal設備配置頁麵中的設備信息列表中，點擊NAS設備的<端口組信息管理>鏈接，進入端口組信息配置頁麵。

圖1-15 設備信息列表

在端口組信息配置頁麵中點擊<增加>按鈕，進入增加端口組信息配置頁麵。

·     填寫端口組名；

·     選擇IP地址組，用戶接入網絡時使用的IP地址必須屬於所選的IP地址組；

·     其它參數采用缺省值。

圖1-16 增加端口組信息配置頁麵

# 最後單擊導航樹中的[業務參數配置/係統配置手工生效]菜單項，使以上Portal認證服務器配置生效。

(3)     配置Switch

·     配置RADIUS方案

# 創建名稱為rs1的RADIUS方案並進入該方案視圖。

<Switch> system-view

[Switch] radius scheme rs1

# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。

[Switch-radius-rs1] primary authentication 192.168.0.112

[Switch-radius-rs1] primary accounting 192.168.0.112

[Switch-radius-rs1] key authentication simple radius

[Switch-radius-rs1] key accounting simple radius

# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。

[Switch-radius-rs1] user-name-format without-domain

[Switch-radius-rs1] quit

# 開啟RADIUS session control功能。

[Switch] radius session-control enable

·     配置認證域

# 創建並進入名稱為dm1的ISP域。

[Switch] domain dm1

# 配置ISP域的AAA方法。

[Switch-isp-dm1] authentication portal radius-scheme rs1

[Switch-isp-dm1] authorization portal radius-scheme rs1

[Switch-isp-dm1] accounting portal radius-scheme rs1

[Switch-isp-dm1] quit

# 配置係統缺省的ISP域dm1，所有接入用戶共用此缺省域的認證和計費方法。若用戶登錄時輸入的用戶名未攜帶ISP域名，則使用缺省域下的認證方法。

[Switch] domain default enable dm1

·     配置Portal認證

# 配置Portal認證服務器：名稱為newpt，IP地址為192.168.0.111，密鑰為明文portal，監聽Portal報文的端口為50100。

[Switch] portal server newpt

[Switch-portal-server-newpt] ip 192.168.0.111 key simple portal

[Switch-portal-server-newpt] port 50100

[Switch-portal-server-newpt] quit

# 配置Portal Web服務器的URL為http://192.168.0.111:8080/portal。（Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致，此處僅為示例）

[Switch] portal web-server newpt

[Switch-portal-websvr-newpt] url http://192.168.0.111:8080/portal

[Switch-portal-websvr-newpt] quit

# 在接口Vlan-interface100上開啟直接方式的Portal認證。

[Switch] interface vlan-interface 100

[Switch–Vlan-interface100] portal enable method direct

# 在接口Vlan-interface100上引用Portal Web服務器newpt。

[Switch–Vlan-interface100] portal apply web-server newpt

# 在接口Vlan-interface100上設置發送給Portal認證服務器的Portal報文中的BAS-IP屬性值為2.2.2.1。

[Switch–Vlan-interface100] portal bas-ip 2.2.2.1

[Switch–Vlan-interface100] quit