ME60常见认证方式配置介绍.ppt

2020/5/17,2010.09,ME60常见认证方式配置介绍,Page2,目录,常用宽带用户接入认证方式介绍PPPOE认证方式WEB认证方式ME60常见业务配置介绍PPPOE接入认证配置WEB接入认证配置,Page3,ME60支持的业务接入类型,接入用户的协议栈分为以下几类IPoX（IPoE、IPoEoVLAN、IPoEoQ、IPoEoA）PPPoX（PPPoE、PPPoEoVLAN、PPPoEoQ、PPPoA、PPPoEoA）802.1X,Page4,接入方式PPPOE认证方式,PPPOE方式是一种常用的基于帐号、密码的认证方式。,3、ME60与RADIUS服务器配合完成PPPoE的帐号、密码的验证处理，给用户分配一个合法的IP地址,ME60,RadiusServer,Lanswitch,Core,5、RADIUS服务器完成对用户的计费,2、ME60终结PPPoX,1.1、用户发起PPPoE,4、用户获得合法的IP地址，并可以访问Internet,Modem,1.2、用户发起PPPoE,dslam,Page5,ME60的PPPoE接入过程,用户客户端通过PPPoE拨号器拨号发起上线请求。,ME60和客户端进行PPPoE协商，创建PPPoE控制块，为用户建立会话并分配SessionID，完成PPPoE链路的建立。,ME60和客户端进行PPP协商，协商完成后客户端和ME60间以CHAP、PAP或MSCHAP方式完成验证。,ME60根据用户所在域的认证方案进行远端认证，并返回认证成功消息。,认证成功后，ME60从用户所在域配置的地址池中为用户分配IP地址，或者通过DHCPProxy从远端的DHCP服务器为用户分配IP地址。,用户可以正常上网并开始计费。,ME60在用户上网过程中，将周期性的对用户进行握手探测，以确保用户连接信息的实时准确性，如果连续在配置的最大探测次数内没有收到用户的响应，并且用户无流量，ME60认为用户已经异常下线，断开用户连接并删除相关信息，停止计费。,用户在线过程中，若通过PPPoE拨号软件主动断开和ME60连接，此时ME60立即删除用户的连接信息，停止计费。,Page6,ME60的PPPoE接入过程图,Page7,ME60与Radius交互流程,Page8,接入方式WEB认证方式,Web认证是指用户通过访问Web认证服务器的认证页面，交互输入用户名和密码进行身份认证的一种认证方式。,Core,RadiusServer,WEBServer,LANSwitch,ME60,2、ME60的ACL控制用户在未经过认证前只能访问一个或几个特定WWW服务器（WEB认证服务器）,4、用户通过认证后可以正常实现Internet访问,5、ME60作为认证客户端，与RadiusServer配合完成用户的认证过程,4、用户通过认证后可以正常实现Internet访问,1、用户通过DHCP获得IP地址,3、用户发起认证,Page9,图2Web接入认证流程,ME60的WEB认证接入过程图,Page10,ME60的WEB认证接入过程,进行Web认证前，用户要先通过DHCP或者静态配置获取IP地址。用户访问Web认证服务器，并在Web认证服务器提供的认证页面上输入用户名和密码。Web认证服务器提取用户的用户名和密码，并发送给ME60。ME60将用户名和密码发送给AAA服务器对用户进行认证。AAA服务器将认证结果通知ME60。ME60将认证结果通知Web认证服务器。Web认证服务器将认证结果通过Web页面通知用户。如果认证成功，用户可以访问Internet。,Page11,目录,常用宽带用户接入认证方式介绍PPPOE认证方式WEB认证方式ME60常见业务配置介绍PPPOE接入认证配置WEB接入认证配置,Page12,PPPoEoVLAN业务配置,下行口配置：interfaceGigabitEthernet3/0/0.10pppoe-serverbindVirtual-Template1descriptionto_TongZhou_ShiJiXingCheng_GPONuser-vlan10QinQ10basaccess-typelayer2-subscriberdefault-authentication-methodppp虚模板配置：interfaceVirtual-Template1pppauthentication-modepappppkeepaliveinterval50retransmit3域配置：authentication-schemeradius_authaccounting-schemeradius_acctradius-servergroupbjydip-poolpool1,地址池配置：ippoolpool1localgatewaysection054excluded-ip-address10excluded-ip-address54dns-server0dns-server2secondaryRadius配置：radius-servergroupbjydradius-serverauthentication311812weight100radius-serverauthentication401812weight0radius-serveraccounting311813weight100radius-serveraccounting401813weight0radius-servershared-keyXXXXradius-serverretransmit5timeout8radius-serverclass-as-car认证模板配置：authentication-schemeradius_authauthentication-moderadius-noneaccounting-schemeradius_acctaccountinginteriminterval30,Page13,强制WEB业务配置,下行口配置：interfaceGigabitEthernet3/0/0.10pppoe-serverbindVirtual-Template1descriptionto_TongZhou_ShiJiXingCheng_GPONuser-vlan10QinQ10basaccess-typelayer2-subscriberdefault-domainpre-authentication-methodweb虚模板配置：interfaceVirtual-Template1pppauthentication-modepappppkeepaliveinterval50retransmit3认证域配置：authentication-schemeradius_authaccounting-schemeradius_acctradius-servergroupbjydip-poolpool1,地址池配置：ippoolpool1localgatewaysection054excluded-ip-address10excluded-ip-address54dns-server0dns-server2secondaryRadius配置：radius-servergroupbjydradius-serverauthentication311812weight100radius-serverauthentication401812weight0radius-serveraccounting311813weight100radius-serveraccounting401813weight0radius-servershared-keyXXXXradius-serverretransmit5timeout8radius-serverclass-as-car认证模板配置：authentication-schemeradius_authauthentication-moderadius-noneaccounting-schemeradius_acctaccountinginteriminterval30,Page14,强制WEB业务配置,认证前域配置：ME60-aaadomaindefault0（2）配置域内地址池ME60-aaa-domain-default0ip-poolhuawei（3）配置用户所属的user-groupME60-aaa-domain-default0user-group1（4）配置强制WEB的地址ME60-aaa-domain-default0web-server配置用户组：ME60user-group1ACL规则配置：ME60aclnumber10000match-orderautoME60-acl-simple-10000ruleipsourceuser-group1destinationip-address0ME60-acl-simple-10000ruleipsourceuser-group1destinationip-address0ME60-acl-simple-10000ruleipsourceip-address0destinationuser-group1ME60-acl-simple-10000ruleipsourceip-address0destinationuser-group1,ME60aclnumber10001match-orderautoME60-acl-simple-10001ruleipsourceuser-group1destinationanyME60aclnumber10001match-orderautoME60-acl-simple-10001ruleipsourceuser-group1destinationany这里就建立了两条acl规则，acl10000表示了user-group1里面的用户和WEB服务器DNS服务器之间的关系，acl10001表示了user-group1里面的用户和所有目的地址之间的关系。两条acl的匹配顺序全部设置为auto，意为深度匹配。ME60trafficclassifier1ME60-classifier-1if-matchacl10000ME60trafficclassifier2ME60-classifier-2if-matchacl10001ME60trafficbehavioraME60-behavior-apermitME60trafficbehaviorbME60-behavior-bdenyME60trafficpolicywebautoME60-trafficpolicy-webclassifier1behaviorinboundaME60-trafficpolicy-webclassifier2behaviorinboundb全局下发策略ME60traffic-policyweb,Page15,远程登录管理配置,登录接口配置：user-interfacecon0authentication-modepassworduserprivilegelevel1setauthenticationpasswordcipherI6-O!73Q=QMAF41!idle-timeout50user-interfaceaux0user-interfacevty04authentication-modeaaaidle-timeout50user-in