适用产品和版本
适用于V600R008C10及以后版本的NE40E/ME60系列产品。
组网需求
如图1-11所示,Web+PPPoE+静态混合接入组网需求为:
Web用户正确上线,PC可以访问网络,在设备上能看到上线用户的详细信息,并且在RADIUS服务器上有用户的计费信息。
PPPoE用户正确上线,PC可以访问网络,在设备上能看到上线用户的详细信息,并且在RADIUS服务器上有用户的计费信息。
静态用户正确上线,PC可以访问网络,在设备上能看到上线用户的详细信息,并且在RADIUS服务器上有用户的计费信息。
图1-11 Web+PPPoE+静态混合接入配置举例组网图
表1-23 网络规划数据
设备 | 项目 | 数据 |
Device | RADIUS认证服务器IP地址 | 172.16.45.220 |
网关地址 | 10.0.0.1 | |
Web认证服务器IP地址 | 192.168.10.2 | |
Portal服务器的IP地址 | 192.168.10.2 |
配置思路
配置Web认证
配置PPPoE用户
配置静态用户
操作步骤
配置Web认证。
#
//配置RADIUS服务器相关信息。
radius-server groupradius
radius-server authentication 172.16.45.2201812 weight 0
radius-server accounting 172.16.45.220 1813weight 0
radius-server shared-keyHuawei
#
//配置地址池。
ip pool pool1 bas local
gateway 10.0.0.1 255.255.255.0
section 0 10.0.0.2 10.0.0.200
#
//配置web服务器信息。
web-auth-server192.168.10.2 port 50100 key simple huawei
//配置认证前域相关信息。
user-group preweb
#
aaa
http-redirect enable
authentication-scheme none
authentication-mode none
#
accounting-scheme none
accounting-mode none
#
domain preweb
authentication-scheme none
accounting-scheme none
ip-pool pool1
user-group preweb
web-server 192.168.10.2
web-server url http://192.168.10.2
#
#
//配置限制,限制认证前域用户的资源
acl number 6000
rule 5 permit ip source user-group prewebdestination ip-address 127.0.0.1 0
rule 15 permit ip source ip-address 127.0.0.10 destination user-group preweb
rule 20 permit ip source user-group prewebdestination ip-address 192.168.10.2 0
rule 25 permit ip source ip-address192.168.10.2 0 destination user-group preweb
#
acl number 6001
rule 5 permit tcp source user-group prewebdestination-port eq www
rule 10 permit tcp source user-group prewebdestination-port eq 8080
#
acl number 6002
rule 5 permit ip source ip-address anydestination user-group preweb
rule 10 permit ip source user-group prewebdestination ip-address any
#
traffic classifierweb-deny operator or
if-match acl 6002
traffic classifierweb-permit operator or
if-match acl 6000
traffic classifierpreweb operator or
if-match acl 6001
#
traffic behaviorweb-deny
deny
traffic behaviorweb-permit
traffic behavior preweb
http-redirect
#
traffic policy preweb
share-mode
//允许访问web服务器
classifier web-permit behavior web-permit
//http触发重定向到web认证页面
classifier preweb behavior preweb
//其余流量被deny
classifier web-deny behavior web-deny
#
traffic-policy prewebinbound
//配置认证域。
aaa
domain jyc
authentication-scheme radius
accounting-scheme radius
radius-server group radius
portal-server 192.168.10.2
portal-server urlhttp://192.168.10.2/portal/admin
//配置认证接口。
interfaceGigabitEthernet0/1/1
bas
#
access-type layer2-subscriber default-domainpre-authentication preweb authentication jyc
//若需要用户手动输入认证域,则不需要配配置认证域,即配置为access-typelayer2-subscriber default-domain pre-authentication preweb
authentication-method web ppp
#
#
//配置用户限速。
qos-profile 1M
car cir 1000 cbs 1000 green pass red discard
#
aaa
domain jyc
qos-profile 1M inbound
qos-profile 1M outbound
配置PPPoE用户
//修改地址池,规避静态用户的IP。
ip pool pool1 bas local
gateway 10.0.0.1 255.255.255.0
section 0 10.0.0.2 10.0.0.200
excluded-ip-address 10.0.0.101
//增加PPPoE认证内容,增加arp触发内容
interfaceGigabitEthernet0/1/1
bas
authentication-method ppp web
arp-trigger
配置静态用户
//增加aaa下默认用户名和密码获取方式。
aaa
default-user-name include ip-address //静态用户默认用户名带点的IP地址
default-password cipher Root@123
//增加静态用户。
static-user 10.0.0.10110.0.0.101 gateway 10.0.0.1 interface GigabitEthernet0/1/1 mac-address2c27-d724-1649 domain-name jyc
验证配置结果
执行命令display access-user domain preweb查看用户所属的域名显示信息。