Portal典型配置举例.doc
6页
1.18.1 Portal直接认证配置举例1. 组网需求«用户主机与接入设备 Router直接相连,采用直接方式的 Portal认证用户通过手工配置或 DHCP获取的一个公网IP地址进行认证,在通过 Portal认证前,只能访问Portal Web服务器;在通过 Portal认证后,可以使用此 IP地址访问非受限的互联网资源« 采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责・采用RADIUS服务器作为认证/计费服务器2. 组网图图1-4配置Portal直接认证组网图2.Z2.1/24Router0.10(^24Portal server192.16&0 111/24RADIUS server1^2. IfiB.O 112/24配置Router• 配置RADIUS方案#创建名字为rs1的RADIUS方案并进入该方案视图
[Router-radius-rs1] user-name-format without-domain[Router-radius-rs1] quit• 使能 RADIUS session control 功能[Router] radius session-control enable• 配置认证域#创建并进入名字为 dm1的ISP域[Router] domain dm1#配置ISP域使用的RADIUS方案rs1[Router-isp-dm1] authentication portal radius-scheme rs1[Router-isp-dm1] authorization portal radius-scheme rs1[Router-isp-dm1] accounting portal radius-scheme rs1[Router-isp-dm1] quit#配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方式若 用户登录时输入的用户名未携带 ISP域名,则使用缺省域下的认证方案[Router] domain default enable dm1# 配置Portal认证#配置Portal认证服务器:名称为newpt , IP地址为192.168.0.111 ,密钥为明文portal, 监听Portal报文的端口为50100。
[Router] portal server newpt[Router-portal-server-newpt] ip 192.168.0.111 key simple portal[Router-portal-server-newpt] port 50100[Router-portal-server-newpt] quit# 配置 Portal Web 服务器的 URL 为 http://192.168.0.111:8080/portal Portal Web服务器的URL请与实际环境中的 Portal Web服务器配置保持一致,此处仅为示例)[Router] portal web-server newpt[Router-portal-websvr-newpt] url http://192.168.0.111:8080/portal[Router-portal-websvr-newpt] quit#在接口 GigabitEthernet2/0/2 上使能直接方式的 Portal认证[Router] interface gigabitethernet 2/0/2[Router -GigabitEthernet2/0/2] portal enable method direct# 在接口 GigabitEthernet2/0/2 上引用 Portal Web 服务器 newpt。
[Router -GigabitEthernet2/0/2] portal apply web-server newpt#在接口 GigabitEthernet2/0/2 上设置发送给 Portal认证服务器的 Portal报文中的 BAS-IP 属性值为 2.2.2.1[Router -GigabitEthernet2/0/2] portal bas-ip 2.2.2.1[Router -GigabitEthernet2/0/2] quit4.验证配置以上配置完成后,通过执行以下显示命令可查看 Portal配置是否生效[Router] display portal interface gigabitethernet 2/0/21.18.2 Portal二次地址分配认证配置举例1. 组网需求• 用户主机与接入设备 Router直接相连,采用二次地址分配方式的 Portal认证用户通过DHCP服务器获取IP地址,Portal认证前使用分配的一个私网地址; 通过Portal认证后,用户申请到一个公网地址, 才可以访问非受限互联网资源• 采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。
• 采用RADIUS服务器作为认证/计费服务器最新可编辑word文档2. 组网图图1-15配置Portal二次地址分配认证组网图Portal server1S2.166.D.111^24GE2如HostJO 2D.20.1.^J10.0 Q 1 燉4 subRouterGE2?0M1192.166 0 100^24AutomaticaNy ob^amsar IP addressDHCP server1S2.168.D.112C4在Router上进行以下配置1) 配置RADIUS方案#创建名字为rs1的RADIUS方案并进入该方案视图
[Router-radius-rs1] user-name-format without-domain[Router-radius-rs1] quit# 使能 RADIUS session control 功能[Router] radius session-control enable(2) 配置认证域#创建并进入名字为 dm1的ISP域[Router] domain dm1#配置ISP域的RADIUS 方案rs1[Router-isp-dm1] authentication portal radius-scheme rs1[Router-isp-dm1] authorization portal radius-scheme rs1[Router-isp-dm1] accounting portal radius-scheme rs1[Router-isp-dm1] quit#配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方式若 用户登录时输入的用户名未携带 ISP域名,则使用缺省域下的认证方案[Router] domain default enable dm1(3) 配置DHCP中继和授权ARP#配置DHCP中继。
[Router] dhcp enable[Router] dhcp relay client-information record[Router] interface gigabitethernet 2/0/2[Router -GigabitEthernet2/0/2] ip address 20.20.20.1 255.255.255.0[Router -GigabitEthernet2/0/2] ip address 10.0.0.1 255.255.255.0 sub[Router-GigabitEthernet2/0/2] dhcp select relay[Router-GigabitEthernet2/0/2] dhcp relay server-address 192.168.0.112#使能授权ARP功能[Router-GigabitEthernet2/0/2] arp authorized enable[Router-GigabitEthernet2/0/2] quit⑷ 配置Portal认证#配置Portal认证服务器:名称为newpt , IP地址为192.168.0.111 ,密钥为明文portal , 监听Portal报文的端口为50100。
[Router] portal server newpt[Router-portal-server-newpt] ip 192.168.0.111 key simple portal[Router-portal-server-newpt] port 50100[Router-portal-server-newpt] quit# 配置 Portal Web 服务器的 URL 为 http://192.168.0.111:8080/portal Portal Web服务器的URL请与实际环境中的 Portal Web服务器配置保持一致,此处仅为示例)[Router] portal web-server newpt[Router-portal-websvr-newpt] url http://192.168.0.111:8080/portal[Router-portal-websvr-newpt] quit#在接口 GigabitEthernet2/0/2 上使能二次地址方式的 Portal认证[Router] interface gigabitethernet 2/0/2[Router-GigabitEthernet2/0/2] portal enable method redhcp# 在接口 GigabitEthernet2/0/2 上引用 Portal Web 服务器 newpt。
[Router -Gigabit。
