Portal典型配置举例

1、1.18.1  Portal直接认证配置举例1. 组网需求·     用户主机与接入设备Router直接相连，采用直接方式的Portal认证。用户通过手工配置或DHCP获取的一个公网IP地址进行认证，在通过Portal认证前，只能访问Portal Web服务器；在通过Portal认证后，可以使用此IP地址访问非受限的互联网资源。·     采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。·

2、0;    采用RADIUS服务器作为认证/计费服务器。2. 组网图图1-4 配置Portal直接认证组网图配置Router·     配置RADIUS方案# 创建名字为rs1的RADIUS方案并进入该方案视图。<Router> system-viewRouter radius scheme rs1# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。Router-radius-rs1 primary authentication 192

3、.168.0.112Router-radius-rs1 primary accounting 12Router-radius-rs1 key authentication simple radiusRouter-radius-rs1 key accounting simple radius# 配置发送给RADIUS服务器的用户名不携带ISP域名。Router-radius-rs1 user-name-format without-domainRouter-radius-rs1 quit# 使能RADIUS session control功能。Route

4、r radius session-control enable·     配置认证域# 创建并进入名字为dm1的ISP域。Router domain dm1# 配置ISP域使用的RADIUS方案rs1。Router-isp-dm1 authentication portal radius-scheme rs1Router-isp-dm1 authorization portal radius-scheme rs1Router-isp-dm1 accounting portal radius-scheme rs1Ro

5、uter-isp-dm1 quit# 配置系统缺省的ISP域dm1，所有接入用户共用此缺省域的认证和计费方式。若用户登录时输入的用户名未携带ISP域名，则使用缺省域下的认证方案。Router domain default enable dm1·     配置Portal认证# 配置Portal认证服务器：名称为newpt，IP地址为11，密钥为明文portal，监听Portal报文的端口为50100。Router portal server newptRouter-portal-server-

6、newpt ip 11 key simple portalRouter-portal-server-newpt port 50100Router-portal-server-newpt quit# 配置Portal Web服务器的URL为11:8080/portal。（Portal Web服务器的URL请与实际环境中的Portal Web服务器配置保持一致，此处仅为示例）Router portal web-server newptRouter-portal-websvr-newpt url 11

7、:8080/portalRouter-portal-websvr-newpt quit# 在接口GigabitEthernet2/0/2上使能直接方式的Portal认证。Router interface gigabitethernet 2/0/2RouterGigabitEthernet2/0/2 portal enable method direct# 在接口GigabitEthernet2/0/2上引用Portal Web服务器newpt。RouterGigabitEthernet2/0/2 portal apply web-server newpt# 在接口

8、GigabitEthernet2/0/2上设置发送给Portal认证服务器的Portal报文中的BAS-IP属性值为。RouterGigabitEthernet2/0/2 portal bas-ip RouterGigabitEthernet2/0/2 quit4. 验证配置以上配置完成后，通过执行以下显示命令可查看Portal配置是否生效。Router display portal interface gigabitethernet 2/0/21.18.2  Portal二次地址分配认证配置举例1. 组网需求·&#

9、160;    用户主机与接入设备Router直接相连，采用二次地址分配方式的Portal认证。用户通过DHCP服务器获取IP地址，Portal认证前使用分配的一个私网地址；通过Portal认证后，用户申请到一个公网地址，才可以访问非受限互联网资源。·     采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。·     采用RADIUS服务器作为认证/计费服务器。2. 组网图图1-15&

10、#160;配置Portal二次地址分配认证组网图在Router上进行以下配置。(1)     配置RADIUS方案# 创建名字为rs1的RADIUS方案并进入该方案视图。<Router> system-viewRouter radius scheme rs1# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。Router-radius-rs1 primary authentication 13Router-radius-rs1 primary accounting 192.168.0

11、.113Router-radius-rs1 key authentication simple radiusRouter-radius-rs1 key accounting simple radius# 配置发送给RADIUS服务器的用户名不携带ISP域名。Router-radius-rs1 user-name-format without-domainRouter-radius-rs1 quit# 使能RADIUS session control功能。Router radius session-control enable(2)   

12、0; 配置认证域# 创建并进入名字为dm1的ISP域。Router domain dm1# 配置ISP域的RADIUS方案rs1。Router-isp-dm1 authentication portal radius-scheme rs1Router-isp-dm1 authorization portal radius-scheme rs1Router-isp-dm1 accounting portal radius-scheme rs1Router-isp-dm1 quit# 配置系统缺省的ISP域dm1，所有接入用户共用此缺省域的认证和计费方式。若

13、用户登录时输入的用户名未携带ISP域名，则使用缺省域下的认证方案。Router domain default enable dm1(3)     配置DHCP中继和授权ARP# 配置DHCP中继。Router dhcp enableRouter dhcp relay client-information recordRouter interface gigabitethernet 2/0/2RouterGigabitEthernet2/0/2 ip address RouterGigab

14、itEthernet2/0/2 ip address subRouter-GigabitEthernet2/0/2 dhcp select relayRouter-GigabitEthernet2/0/2 dhcp relay server-address 12# 使能授权ARP功能。Router-GigabitEthernet2/0/2 arp authorized enableRouter-GigabitEthernet2/0/2 quit(4)     配置Po

15、rtal认证# 配置Portal认证服务器：名称为newpt，IP地址为11，密钥为明文portal，监听Portal报文的端口为50100。Router portal server newptRouter-portal-server-newpt ip 11 key simple portalRouter-portal-server-newpt port 50100Router-portal-server-newpt quit# 配置Portal Web服务器的URL为11:8080/portal

16、。（Portal Web服务器的URL请与实际环境中的Portal Web服务器配置保持一致，此处仅为示例）Router portal web-server newptRouter-portal-websvr-newpt url 11:8080/portalRouter-portal-websvr-newpt quit# 在接口GigabitEthernet2/0/2上使能二次地址方式的Portal认证。Router interface gigabitethernet 2/0/2Router-GigabitEthernet2/0/2 portal e

17、nable method redhcp# 在接口GigabitEthernet2/0/2上引用Portal Web服务器newpt。RouterGigabitEthernet2/0/2 portal apply web-server newpt# 在接口GigabitEthernet2/0/2上设置发送给Portal报文中的BAS-IP属性值为。RouterGigabitEthernet2/0/2 portal bas-ip RouterGigabitEthernet2/0/2 quit4. 验证配置以上配置完成后，通过执行

18、以下显示命令可查看Portal配置是否生效。Router display portal interface gigabitethernet 2/0/21.18.3  可跨三层Portal认证配置举例1. 组网需求Router A支持Portal认证功能。用户Host通过Router B接入到Router A。·     配置Router A采用可跨三层Portal认证。用户在未通过Portal认证前，只能访问Portal Web认证服务器；用户通过Portal认证后，可以访问非受限互联网资源。·

19、     采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。·     采用RADIUS服务器作为认证/计费服务器。2. 组网图图1-16 配置可跨三层Portal认证组网图在Router A上进行以下配置。(1)     配置RADIUS方案# 创建名字为rs1的RADIUS方案并进入该方案视图。<RouterA> system-viewRouterA r

20、adius scheme rs1# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。RouterA-radius-rs1 primary authentication 12RouterA-radius-rs1 primary accounting 12RouterA-radius-rs1 key authentication simple radiusRouterA-radius-rs1 key accounting simple radius# 配置发送给RADIUS服务器的用户名不携带ISP域名。RouterA-rad

21、ius-rs1 user-name-format without-domainRouterA-radius-rs1 quit# 使能RADIUS session control功能。Router radius session-control enable(2)     配置认证域# 创建并进入名字为dm1的ISP域。RouterA domain dm1# 配置ISP域的RADIUS方案rs1。RouterA-isp-dm1 authentication portal radius-scheme rs1RouterA

22、-isp-dm1 authorization portal radius-scheme rs1RouterA-isp-dm1 accounting portal radius-scheme rs1RouterA-isp-dm1 quit# 配置系统缺省的ISP域dm1，所有接入用户共用此缺省域的认证和计费方式。若用户登录时输入的用户名未携带ISP域名，则使用缺省域下的认证方案。Router domain default enable dm1(3)     配置Portal认证# 配置Portal认证服务器：名称为newpt，IP地址为11，密钥为明文portal，监听Portal报文的端口为50100。RouterA portal server newptRouterA-portal-server-newpt ip 11 key simple portalRouterA-portal-server-newpt port 50100RouterA-portal-server-newpt quit# 配置Portal Web服务器的URL为http:/192