第11章 三层 认证 的 配置 11.1 三层 认证 的 配置 11.1.1 组网图 500)this.width=500;" border=0> 『 配置 环境参数』 计算机 IP 地址为: 60.10.1.2/24 MA5200F 的上行口地址: 200.100.0.1 MA5200F 对端路由器地址: 200.100.0.2 MA5200F 上接下端路由器
第11章 三层 认证 的 配置
11.1 三层 认证 的 配置
11.1.1 组网图
500)this.width=500;" border=0>
『 配置 环境参数』
计算机 IP 地址为: 60.10.1.2/24
MA5200F 的上行口地址: 200.100.0.1
MA5200F 对端路由器地址: 200.100.0.2
MA5200F 上接下端路由器的端口的地址为: 60.11.1.2/30
MA5200F 下连路由器的地址为: 60.11.1.1/30
采用 M5200F 内置 portal 页面进行 认证 ,请首先加载内置 WEB 页面,方法请参见《升级指导书》
11.1.2 数据 配置 步骤
【 配置 认证 方案】
由于在进行强制 WEB 认证 的时候需要 配置 两个域,所以这里需要分别设置这两个域里面的 认证 和计费策略。但是由于第一个域仅仅是用来使用户能够获取 IP 地址,所以在这个域里面所指定的 认证 和计费方法可以尽量的简单,可以采用不 认证 不计费的方式,仅仅让用户能够正常的上线获取 IP 地址,然后在这个域中通过 UCL 来限制用户的上网权限。用户在获取了 IP 地址之后就会到相应的 WEB 服务器上去进行 认证 , 认证 的时候用户将会属于另外一个域(通过用户名里面所带的域名或者 5200 上设置的默认域名来确定用户 认证 的时候属于哪个域),这样在第二个域里面可以采用合适的 认证 方法(本地或者 radius )来对用户进行 认证 。
1. 进入 AAA 视图:
[MA5200F]aaa
2. 添加一个新的 认证 方案 Auth1 :
[MA5200F-aaa]authentication-scheme Auth1
这样接下来就进入了相应的 认证 方案视图。
3. 设置 认证 方案:
我们已经创建了一个新的 认证 方案 Auth1 ,接下来我们将定义这个 认证 方案的具体内容。
[MA5200F-aaa-authen-auth1]authentication-mode local
【 配置 计费方案】
1. 进入 AAA 视图:
[MA5200F]aaa
2. 添加一个新的计费方案 Acct1 :
[MA5200F-aaa]accounting-scheme Acct1
3. 设置计费方案:
[MA5200F-aaa-accounting-acct1]accounting-mode local
【内置 WEB 服务器的 配置 】
在 配置 内置 WEB 服务器之前首先要夹在内置 WEB 的页面文件,详细请参见《升级指导书》
1. 进入 WEB SEVER 的 配置 视图
[MA5200F]web-server
2. 指定 WEB 文件的路径
[MA5200F-web-server]directory flash:/webfile
3. 指定默认页面
[MA5200F-web-server]default-page /index.html
【 配置 认证 前的域】
对于该域的 认证 和计费策略这里不用 配置 ,采用默认的设置(不 认证 不计费)就可以了。
1. 配置 域下面用户所属的 UCL 组:
[MA5200F-aaa-domain-default0]ucl-group 1
2. 配置 强制 WEB 认证 的 WEB 服务器地址:
[MA5200F-aaa-domain-default0]web-authentication-server 127.0.0.1
【 配置 认证 时的域】
这里 配置 的是进行 WEB 认证 的时候所使用的域,用户在获取 IP 地址的时候使用的是 default0 的默认域。
在 5200 上面每一个用户都是属于一个指定的(或者是默认的)域的,因此,在进行用户的 配置 之前我们首先要 配置 用户所属的域的一些参数。
1. 进入 AAA 视图:
[MA5200F]aaa
2. 新建一个名为 isp 的域:
[MA5200F-aaa]domain isp
接下来便进入了相应的域的 配置 视图。
3. 指定该域的 认证 方案和计费方案:
[MA5200F-aaa-domain-isp]authentication-scheme Auth1
[MA5200F-aaa-domain-isp]accounting-scheme Acct1
这里我们将该域的 认证 方案和计费方案设置为了先前定义好的两个方案 Auth1 和 Acct1 ,分别是 LOCAL 认证 和 LOCAL 计费。
【添加本地用户帐号】
[MA5200F-local-aaa-server]user test@isp password test
【 配置 系统的 ACL 策略】
这里所 配置 的 ACL 策略主要是针对 认证 前和 认证 后的用户来说的,上面我们以及在 认证 前和 认证 时的域里面指定了用户分别在 认证 前后属于不同的 UCL 组,现在我们就要针对这些不同的 UCL 组来进行 ACL 的控制,使得进行 WEB 认证 前的用户不能访问其它资源,而 WEB 认证 后的用户能够访问所有的资源。
1. 进入增强型 ACL 配置 视图,采用默认匹配模式:
[MA5200F]acl number 101 match-order auto
提示:
100 到 199 是增强型 ACL 组,采用五元组进行控制。 1 到 99 是普通型的 ACL 组,采用三元组进行控制。
2. 配置 对于 WEB 认证 前的用户只能访问 WEB 服务器和 DNS 服务器:
[MA5200F-acl-adv-101] rule 0 user-net deny ip source 1
以上的 配置 限制了 UCL group 1 的用户不能访问其它资源。
3. 将 101 的 ACL 引用到全局:
[MA5200F]access-group 101
【 配置 与下挂路由器相连的接口地址】
[MA5200F]interface Ethernet 2.1
[MA5200F-Ethernet2.1]ip address 60.11.1.2 255.255.255.252
这里需要说明一下,如果 MA5200F 下挂的路由器或者交换机是带了 vlan 上来的话,那么这里就要 配置 相应的 VLAN 子接口,否则这里的子接口设置为 0 (也就是没有 vlan )即可。
【 配置 到用户网段的路由】
三层 认证 由于是下挂的路由器,一次需要 配置 到用户网段的静态路由,下一跳是下挂路由器的接口地址。同时,通过 配置 到用户网段的静态路由来限制专线用户的接入网段。
[MA5200F]ip route-static 61.10.1.2 255.255.255.0 60.11.1.1
【 配置 三层 认证 用户所对应的网段和预连接的域】
[MA5200F]layer3-subscriber 61.10.1.2 61.10.1.10 domain-name default0
【 配置 VLAN 端口】
配置 VLAN 端口的目的是指定某个端口的某些指定的 VLAN 用户 认证 前后所使用的域,所采用的 认证 方法。
1. 进入端口 VLAN 的 配置 视图:
[MA5200F]portvlan ethernet 2 1 1
2. 设置该端口 VLAN 为三层 认证 用户接入类型:
[MA5200F-ethernet-2-vlan1-1]access-type layer3-subscriber
【 配置 上行接口以及路由】
配置 上行接口的目的是为了和上层的路由器或者交换机相连接,在 配置 上行接口的时候我们首先要将需要 配置 的接口指定为“非管理类型”。
1. 进入端口 VLAN 的 配置 视图:
[MA5200F]portvlan ethernet 24 0 1
2. 设置端口 VLAN 的接入类型为非管理类型:
[MA5200F-ethernet-24-vlan 0 - 0 ]access-type interface
在 access-type 后面有多个选项,其中的 interface 是指的非管理类型的端口,用于连接上层交换机。
3. 创建 VLAN 子接口:
[MA5200F]interface Ethernet 24. 0
这里需要说明一下,创建上行接口的步骤是先将一个端口上的某一个 VLAN 指定为“非管理类型”,然后再在这个端口上创建此 VLAN 的子接口。这里多了一个概念就是“ VLAN 子接口”。
这样,一个物理端口上就可以创建多个逻辑的 VLAN 子接口,每个子接口可以 配置 不同的 ip 地址。这样报文在上行的时候就可以根据需要走不同的 ip 上行,并且带上相应的 VLAN ID ,三层交换机(或者二层交换机)就可以根据这样的 VLAN ID 对用户的报文进行不同路径的转发了。增强了转发的灵活性。如果这里的 VLAN 子接口设置为 0 的话就是不带 VLAN ID 上去。
4. 在 VLAN 子接口下 配置 ip 地址:
[MA5200F-Ethernet24. 0 ]ip address 200.100.0.1 255.255.255.252
5. 配置 默认路由:
对于一般条件的接入业务, 5200 上面只需要 配置 一条指向上行路由器端口的默认路由就可以了:
[MA5200F]ip route-static 0.0.0.0 0.0.0.0 200.100.0. 2
11.1.3 测试验证
用户在 IE 的地址栏里面输入任意的 IP 地址,然后就会强制登陆到 WEB SERVER 上区进行 WEB 认证 , 认证 通过之后应该能够 ping 通对端路由器的地址 202.100.0.2 (对端路由器需要做到 MA5200F 下面用户网段的回程路由)。