第11章 三层认证的配置
第11章 三层 认证 的 配置 11.1 三层 认证 的 配置 11.1.1 组网图 500)this.width=500;" border=0> 『 配置 环境参数』 计算机 IP 地址为: 60.10.1.2/24 MA5200F 的上行口地址: 200.100.0.1 MA5200F 对端路由器地址: 200.100.0.2 MA5200F 上接下端路由器
第11章 三层认证的配置
11.1 三层认证的配置
11.1.1 组网图
『配置环境参数』
计算机IP地址为:60.10.1.2/24
MA5200F的上行口地址:200.100.0.1
MA5200F对端路由器地址:200.100.0.2
MA5200F上接下端路由器的端口的地址为:60.11.1.2/30
MA5200F下连路由器的地址为:60.11.1.1/30
采用M5200F内置portal页面进行认证,请首先加载内置WEB页面,方法请参见《升级指导书》
11.1.2 数据配置步骤
【配置认证方案】
由于在进行强制WEB认证的时候需要配置两个域,所以这里需要分别设置这两个域里面的认证和计费策略。但是由于第一个域仅仅是用来使用户能够获取IP地址,所以在这个域里面所指定的认证和计费方法可以尽量的简单,可以采用不认证不计费的方式,仅仅让用户能够正常的上线获取IP地址,然后在这个域中通过UCL来限制用户的上网权限。用户在获取了IP地址之后就会到相应的WEB服务器上去进行认证,认证的时候用户将会属于另外一个域(通过用户名里面所带的域名或者5200上设置的默认域名来确定用户认证的时候属于哪个域),这样在第二个域里面可以采用合适的认证方法(本地或者radius)来对用户进行认证。
1. 进入AAA视图:
[MA5200F]aaa
2. 添加一个新的认证方案Auth1:
[MA5200F-aaa]authentication-scheme Auth1
这样接下来就进入了相应的认证方案视图。
3. 设置认证方案:
我们已经创建了一个新的认证方案Auth1,接下来我们将定义这个认证方案的具体内容。
[MA5200F-aaa-authen-auth1]authentication-mode local
【配置计费方案】
1. 进入AAA视图:
[MA5200F]aaa
2. 添加一个新的计费方案Acct1:
[MA5200F-aaa]accounting-scheme Acct1
3. 设置计费方案:
[MA5200F-aaa-accounting-acct1]accounting-mode local
【内置WEB服务器的配置】
在配置内置WEB服务器之前首先要夹在内置WEB的页面文件,详细请参见《升级指导书》
1. 进入WEB SEVER的配置视图
[MA5200F]web-server
2. 指定WEB文件的路径
[MA5200F-web-server]directory flash:/webfile
3. 指定默认页面
[MA5200F-web-server]default-page /index.html
【配置认证前的域】
对于该域的认证和计费策略这里不用配置,采用默认的设置(不认证不计费)就可以了。
1. 配置域下面用户所属的UCL组:
[MA5200F-aaa-domain-default0]ucl-group 1
2. 配置强制WEB认证的WEB服务器地址:
[MA5200F-aaa-domain-default0]web-authentication-server 127.0.0.1
【配置认证时的域】
这里配置的是进行WEB认证的时候所使用的域,用户在获取IP地址的时候使用的是default0的默认域。
在5200上面每一个用户都是属于一个指定的(或者是默认的)域的,因此,在进行用户的配置之前我们首先要配置用户所属的域的一些参数。
1. 进入AAA视图:
[MA5200F]aaa
2. 新建一个名为isp的域:
[MA5200F-aaa]domain isp
接下来便进入了相应的域的配置视图。
3. 指定该域的认证方案和计费方案:
[MA5200F-aaa-domain-isp]authentication-scheme Auth1
[MA5200F-aaa-domain-isp]accounting-scheme Acct1
这里我们将该域的认证方案和计费方案设置为了先前定义好的两个方案Auth1和Acct1,分别是LOCAL认证和LOCAL计费。
【添加本地用户帐号】
[MA5200F-local-aaa-server]user test@isp password test
【配置系统的ACL策略】
这里所配置的ACL策略主要是针对认证前和认证后的用户来说的,上面我们以及在认证前和认证时的域里面指定了用户分别在认证前后属于不同的UCL组,现在我们就要针对这些不同的UCL组来进行ACL的控制,使得进行WEB认证前的用户不能访问其它资源,而WEB认证后的用户能够访问所有的资源。
1. 进入增强型ACL配置视图,采用默认匹配模式:
[MA5200F]acl number 101 match-order auto
提示:
100到199是增强型ACL组,采用五元组进行控制。1到99是普通型的ACL组,采用三元组进行控制。
2. 配置对于WEB认证前的用户只能访问WEB服务器和DNS服务器:
[MA5200F-acl-adv-101] rule 0 user-net deny ip source 1
以上的配置限制了UCL group 1的用户不能访问其它资源。
3. 将101的ACL引用到全局:
[MA5200F]access-group 101
【配置与下挂路由器相连的接口地址】
[MA5200F]interface Ethernet 2.1
[MA5200F-Ethernet2.1]ip address 60.11.1.2 255.255.255.252
这里需要说明一下,如果MA5200F下挂的路由器或者交换机是带了vlan上来的话,那么这里就要配置相应的VLAN子接口,否则这里的子接口设置为0(也就是没有vlan)即可。
【配置到用户网段的路由】
三层认证由于是下挂的路由器,一次需要配置到用户网段的静态路由,下一跳是下挂路由器的接口地址。同时,通过配置到用户网段的静态路由来限制专线用户的接入网段。
[MA5200F]ip route-static 61.10.1.2 255.255.255.0 60.11.1.1
【配置三层认证用户所对应的网段和预连接的域】
[MA5200F]layer3-subscriber 61.10.1.2 61.10.1.10 domain-name default0
【配置VLAN端口】
配置VLAN端口的目的是指定某个端口的某些指定的VLAN用户认证前后所使用的域,所采用的认证方法。
1. 进入端口VLAN的配置视图:
[MA5200F]portvlan ethernet 2 1 1
2. 设置该端口VLAN为三层认证用户接入类型:
[MA5200F-ethernet-2-vlan1-1]access-type layer3-subscriber
【配置上行接口以及路由】
配置上行接口的目的是为了和上层的路由器或者交换机相连接,在配置上行接口的时候我们首先要将需要配置的接口指定为“非管理类型”。
1. 进入端口VLAN的配置视图:
[MA5200F]portvlan ethernet 24 0 1
2. 设置端口VLAN的接入类型为非管理类型:
[MA5200F-ethernet-24-vlan0-0]access-type interface
在access-type后面有多个选项,其中的interface是指的非管理类型的端口,用于连接上层交换机。
3. 创建VLAN子接口:
[MA5200F]interface Ethernet 24.0
这里需要说明一下,创建上行接口的步骤是先将一个端口上的某一个VLAN指定为“非管理类型”,然后再在这个端口上创建此VLAN的子接口。这里多了一个概念就是“VLAN子接口”。
这样,一个物理端口上就可以创建多个逻辑的VLAN子接口,每个子接口可以配置不同的ip地址。这样报文在上行的时候就可以根据需要走不同的ip上行,并且带上相应的VLAN ID,三层交换机(或者二层交换机)就可以根据这样的VLAN ID对用户的报文进行不同路径的转发了。增强了转发的灵活性。如果这里的VLAN子接口设置为0的话就是不带 VLAN ID上去。
4. 在 VLAN子接口下配置ip地址:
[MA5200F-Ethernet24.0]ip address 200.100.0.1 255.255.255.252
5. 配置默认路由:
对于一般条件的接入业务,5200上面只需要配置一条指向上行路由器端口的默认路由就可以了:
[MA5200F]ip route-static 0.0.0.0 0.0.0.0 200.100.0.2
11.1.3 测试验证
用户在IE的地址栏里面输入任意的IP地址,然后就会强制登陆到WEB SERVER上区进行WEB认证,认证通过之后应该能够ping通对端路由器的地址202.100.0.2(对端路由器需要做到MA5200F下面用户网段的回程路由)。
上一篇: php实现读取内存顺序号_php实例