Portal典型配置案例
1 概述
1.1 Portal简介
未认证用户上网时,设备强制用户登陆到门户网站主页,用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时,必须在门户网站进行认证,只有认证通过后用户才可以使用互联网资源。
Portal业务可以为运营商提供方便的治理功能,比如希望所有的用户都到公司的门户网站去认证,门户网站可以开展广告、社区服务、个性化的业务等,使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。
1.2 Portal优势
目前互联网上存在着多种认证方式,如802.1x认证,PPPOE认证,Portal认证等等。比较这些认证方式,Portal认证具有以下优势:
1. 不需要安装认证客户端,减少客户端的维护工作量:
PORTAL认证通过网页即可实现认证,其它认证方式均需安装客户端。
2. 便于运营:
Portal可以定制“VLAN+端口+ip地址池”粒度级别的个性化认证页面,同时可以在Portal页面上开展广告业务、服务选择和信息发布等内容,进行业务拓展,实现IP网络的运营。
3. 技术成熟:
关注对用户的治理、基于VLAN ID/IP/MAC捆绑识别用户数据包的全程认证、定期发送握手报文的断网检测方式。
4. 更灵活的业务实现方式
通过与设备的结合,可以为不同的业务选择不同的认证和计费方案。
2 典型组网方案
2.1 Portal标准组网方案
1. 组网图
图1 Portal标准组网方案图
2. 组网说明
这是一种标准的Portal组网方案。图中左下角只画了一个交换机和一个BAS设备(宽带接入服务器,是支持Portal认证的设备。如:MA5200, S3528等),在实际组网过程中,假如用户数较多,用户可以挂接在多个交换机下,多个交换机再接入到多个BAS上。所有的BAS通过一个核心路由器(也可以是高端交换机,如:S8505等)连接到互联网上,服务器(CAMS服务器,Portal服务器等)放在机房中,通过一台交换机连到核心路由器上。
对于一个未认证用户,假如在IE地址栏中输入了一个互联网的地址,那么此HTTP请求在经过BAS设备时会被重定向到Portal的认证主页上,用户在认证主页中输入认证信息后提交,Portal服务器会将用户的认证信息传递给BAS设备,然后BAS再与CAMS服务器通信进行认证和计费,假如认证通过,BAS会打开用户与互联网的通路,用户可以访问互联网。进入讨论组讨论。
2.2 802.1X和Portal同时使用组网方案
1. 组网图
图2 802.1X和Portal同时使用的组网方案图
2. 组网说明
这个案例融合了802.1X和Portal两种认证方式,用户访问内部局域网需要在S8505上进行802.1X认证,访问Internet需要在MA5200F上进行Portal认证,这样最大的保护了内网和外网的资源。
2.3 MA5200侧挂组网方案
1. 组网图
图3 Portal认证改造方案图
2. 组网说明
这是在已有网络上增加认证计费需求的一种改造方案。
如上图所示,在用的网络中没有MA5200F设备,蓝色实线标明了数据的流向,所有用户通过S8505访问Internet。
现在增加了认证计费的需求,那么有以下两种网络的改造方案:
I. 直接将S8505替换为MA5200F,需要对现有网络进行改造,并且无法保证是否不会对现有网络造成一定的影响;
II. 在S8505上侧挂一个MA5200F:这种方式对已建网络的改造最小,只需在挂接设备上(S8505)增加接入控制列表和修改默认路由,无需修改其他网络设备的硬件和软件配置,最大限度的保护了现有的网络资源。
如上图,采用侧挂方案,红色实线标明了改造后数据的流向。S8505作为交换机接入用户业务,接入的VLAN不配置三层功能只实现二层功能,在S8505与MA5200之间链路上配置三层接口,使S8505和MA5200F在该链路上同时实现三层和二层通路。实际运行时,S8505将所有用户的数据通过二层转发给MA5200,MA5200F对用户数据认证通过之后,以路由转发的方式交给S8505,S8505再进行三层转发。对于从外部到达用户的数据,其传递路径与上相反,S8505查找路由表,将报文通过三层转发给MA5200F,MA5200F在S8505的二层交换域内发给S8505,最终通过S8505透传给用户。
这种侧挂方案同样适用于新建网络,它可以减少主干网络的挂接点,保证主干拓扑的简捷、清楚,方便网络治理员对网络的监控和维护,同时,侧挂式的cams计费系统也利于以后的网络扩容和改造。进入讨论组讨论。
2.4 多个服务域组网方案
1. 组网图
图4 多服务域的组网方案图
2. 组网说明
该组网使用了多个服务域,和Portal的二次地址分配。
这种组网方案比较适用于校园网,社区网,公司网,以及类似的地理位置分布较广,并且不同的地方需要采用不同的认证计费方式的局域网。
什么是服务域?CAMS服务器与设备进行配合,可以实现不同区域的用户使用不同的认证计费方式。举例来说,在CAMS服务器上可以配置多种服务,比如说cams1和cams2,cams1和cams2采用不同的认证和计费方式,在设备上配置A区的用户使用cams1服务,B区的用户使用cams2服务,那么A区的用户在认证时需要输入用户名username@cams1,B区的用户需要输入用户名username@cams2,设备会根据不同的后缀名称cams1或者cams2来选择相应的认证计费方式,从而与CAMS实现认证计费的交互。
什么是二次地址分配?为了减少公网IP地址资源的浪费,PORTAL通过与设备的配合,使用户在认证前使用的是私网IP地址,认证成功后再分配一个公网IP地址,
3 设备和CAMS服务器配置步骤
表1 MA5200和交换机配置项说明
检查项
检查项说明
配置地址池或DHCP服务器
假如内部提供DHCP功能,可以在内部配置地址池;否则也可以使用外部的DHCP服务器。
配置Radius方案
可以配置多组Radius方案。包括认证和计费服务器的IP地址,认证和计费的KEY,计费更新包的时长和重试次数,服务类型(huawei和标准),用户名是否使用服务后缀,统计流量的单位,计费结束包的发送次数等。
MA5200需要额外的配置认证和计费策略。
配置Portal服务器和Web服务器
包括Portal服务器的IP地址,端口和key等,认证主页的位置,以及免费IP,是否使用二次地址分配等。
配置认证前和认证时的域
认证前域需要配置用户所属的UCL,认证时域需要配置采用的RADIUS方案。
配置ACL策略
一般,认证前的用户只能访问Web服务器,认证后可以使用所有的资源。
配置用户接入VLAN
配置IP地址,启用Portal
上行口IP
此端口与CAMS通信,配置此端口VLAN的IP地址
表2 交换机和MA5200配置的不同之处
不同点
交换机
MA5200
配置DHCP服务器
可配置多个DHCP服务器,在接入用户的VLAN下配置不同的DHCP服务器名称
可配置多个DHCP服务器,在认证域名下配置不同的DHCP地址池名称
配置Portal服务器
可配置多个Portal服务器,在接入用户的VLAN下配置不同的Portal服务器(根据名称区分)
可配置多个Portal服务器,在认证域名下配置不同的Portal服务器(根据IP地址区分)
配置Radius方案
需要额外的配置计费和认证策略,在认证域名的配置中选择不同的计费和认证策略
配置Web服务器
在全局下与Portal服务器一同配置Web主页的位置
需要在default0域下配置Web服务器认证主页的位置
配置认证域
只需指定Radius方案即可
除了指定Radius方案,还要指定认证和计费策略
配置认证缺省域
在全局配置一个缺省域,所有接入用户共用此缺省域的认证和计费方式。假如用户名没有带上后缀,或者没有对应后缀的Radius方案,那么采用缺省域的Radius方案。
交换机第一次启动时有个缺省域system,表示本地认证本地计费
在每个用户接入的portvlan下配置缺省认证前域和认证时域,也就是说不同portvlan下的用户可以采用不同方式的Radius方案。并且可以配置强制认证域,也就是说不管用户选择什么样的后缀,MA5200都会强制使用某一认证域进入讨论组讨论。
3.1 交换机(如:S3552/S3528)配置步骤:
组网图:
e0/48 e0/44
CAMS-------------------- 中间设备------------- 3552-----------------------PC
178.56.30.31
dhcp server
178.56.30.32
『配置环境参数』:
1、计算机采用动态获取IP的方式
2、CAMS服务器,Portal服务器和WEB服务器安装在一台机器上
Setp 1. 配置 dhcp server
[DUT]dhcp-server 1 ip 178.56.30.32
【说明】:在DHCP SERVER 中分配地址池 10.10.10.1------10.10.10.255
Step 2. 配置radius方案
[DUT]radius scheme radiusname
New Radius server
[DUT-radius-radiusname]server-type portal
[DUT-radius-radiusname]PRimary authentication 178.56.30.31 1812
【说明】:主认证服务器的IP地址和端口
[DUT-radius-radiusname]primary accounting 178.56.30.31 1813
【说明】:主计费服务器的IP地址和端口
[DUT-radius-radiusname]key authentication huawei
[DUT-radius-radiusname]key accounting huawei
【说明】:认证和计费的key值要与CAMS保持一致
[DUT-radius-radiusname]timer realtime-accounting 3
[DUT-radius-radiusname]retry realtime-accounting 1
【说明】:计费更新报文的超时和重试次数
[DUT-radius-radiusname]user-name-format without-domain
【说明】:是否带上域名后缀
[DUT-radius-radiusname]retry stop-accounting 10
[DUT-radius-radiusname]data-flow-format data byte packet one-packet
【说明】:统计流量的单位byte
Step 3. 配置Portal服务器和Web服务器
[DUT]portal server pt1 ip 178.56.30.31 key hello port 50100 url http://178.56.30.31/portal
【说明】:配置名字为pt1的portal服务器的IP地址,端口,key和认证主页的位置。
[DUT]portal method direct
【说明】:redhcp:二次地址分配;direct:非二次地址分配
[DUT]portal free-ip 178.56.30.32
【说明】:免费IP是无需认证即可被用户访问的设备
Step 4. 配置域
[DUT]domain acd
New Domain added.
[DUT-isp-acd]radius-scheme radiusname
[DUT-isp-acd]state active
Step 5. 配置PC 所在虚接口地址
[DUT]vlan 10
[DUT-vlan10]port e0/44
[DUT-vlan10]int vlan 10
[DUT-Vlan-interface10]ip add 10.10.10.1 255.255.255.0
[DUT-Vlan-interface10]dhcp-server 1
[DUT-Vlan-interface10]portal pt1
【说明】:vlan10的接入用户使用名为”1”的DHCP服务器,使用名为“pt1”的portal服务器
Step 6. 配置和CAMS 相连的虚接口地址
[DUT]vlan 2
[DUT-vlan2]port e0/48
[DUT-vlan2]int vlan 2
[DUT-Vlan-interface2]ip add 178.56.30.31 255.255.0.0进入讨论组讨论。
3.2 MA5200配置步骤:
组网图:
『配置环境参数』:
1、计算机设置为自动获取IP地址的方式
2、MA5200F的上行口地址:200.100.0.1
3、MA5200F对端路由器地址:200.100.0.2
4、RADIUS SERVER的IP地址:202.10.1.2
5、WEB SERVER的IP地址:202.11.1.2
『WEB认证用户的接入流程』:
a) 在最开始,我们需要明确,做WEB认证的用户必须首先获取IP地址,在5200上面只有一个合法的用户才能获取到IP地址,因此,在用户进行WEB认证之前我们需要先让这个用户“合法化”,使之获取一个IP地址。这样我们首先给用户指定一个“认证前”的域,在这个域里面指定用户所使用的地址池,以及认证策略,同时利用UCL将这个域里面的用户的权限进行限制,使域里面的用户只能访问WEB服务器等资源。然后用户就会到这个指定的WEB服务器上进行认证,认证通过之后的用户将属于另外一个域,我们只需要在这个域里面将用户全部的上网权限打开就可以了。
b) 首先一个用户的报文在经过二层交换机的时候就带上了相应的VLAN ID;
c) 用户的报文从5200的某一个端口进入的时候5200就会根据事先配置好的portvlan的数据来确定这样的一个用户在认证前和认证后分别是属于那个域的,在portvlan下面还配置了用户的认证方式是采用WEB认证;
d) 该用户在找到自己所属的域之后就会根据域下面配置的地址池分配一个ip地址,随后用户需要登陆一个指定的WEB页面上去用自己的用户名和密码进行认证,然后根据域下面设置好的认证和计费策略来进行认证和计费(radius还是本地),认证通过之后该用户就能正常的上网了。
e) 在了解了用户报文的基本接入流程之后我们就开始来配置数据,从上面的接入流程我们可以看出来,比较要害和重要的几个数据是:地址池、域、认证计费策略、PORTVLAN的数据以及RADIUS数据。
Step 1. 配置地址池
对于WEB认证的用户是首先要获取IP地址的(这个地址可以是动态获取的,也可以是静态的地址,这里我们利用动态获取地址的方法),这个地址是存在一个事先设定好的地址池中的,这个地址池可以存在一个远端的DHCP服务器上面,也可以存在5200本机上面,假如地址池是在5200上面的话那么首先就要配置这个地址池的相关参数。
[MA5200F]ip pool huawei local
【说明】:创建一个名为huawei的地址池
[MA5200F-ip-pool-huawei]gateway 61.10.1.1 255.255.255.0
【说明】:配置地址池的网关以及掩码
[MA5200F-ip-pool-huawei]section 0 61.10.1.2 61.10.1.10
【说明】:配置地址池的地址段
【注】:地址池中间还需要根据具体的情况配置相应的DNS服务器。
★ 假如采用的是外置地址池的话就按照下面的内容进行配置:
注重:
MA5200R007版本在采用外置地址池的情况下也需要在本地配置此地址池,所不同的在建立地址池的时候需要将地址池的属性设置为remote,而且地址池中只需要指定gateway(这里的主要作用就是生成一条用户网关的路由),而不需要配置地址段section。同时还需要建立一个DHCP SERVER组,在这个组里面指定外置DHCP SERVER的地址(注重,这里的DHCP SERVER的ip地址并不是地址池中的gateway)
[MA5200F]dhcp-server group remotedhcp
【说明】:建立外置一个名为remotedhcp的DHCP SERVER组
[MA5200F-dhcp-server-group-remotedhcp]dhcp-server 192.168.1.10
【说明】:指定此DHCP SERVER组所指向的DHCP SERVER的IP地址
[MA5200F]ip pool huaweiremote remote
【说明】:创建一个远端地址池
[MA5200F-ip-pool-huaweiremote]gateway 61.10.1.1 255.255.255.0
[MA5200F-ip-pool-huaweiremote]dhcp-server group remotedhcp
【说明】:指定地址池的gateway以及绑定DHCP SERVER组
OK,现在我们已经给用户配置了一个地址池,接下来我们要为用户设置相应的认证和计费方案。
Step 2. 配置radius服务器
[MA5200F]radius-server group radius1
【说明】:“radius1”是5200上面radius配置项的名字,长度不能超过32个字符。
[MA5200F-radius-radius1]radius-server authentication 202.10.1.2 1812
【说明】:配置主用radius认证服务器地址和端口号
[MA5200F-radius-radius1]radius-server accounting 202.10.1.2 1813
【说明】:配置主用radius计费服务器地址和端口号
[MA5200F-radius-radius1]radius-server key Huawei
【说明】:共享密钥是5200和radius之间进行报文加密交互的重要参数,两端一定要设置的一致,因此在设置共享密钥之前需要和radius方面进行协商,这里我们假定共享密钥是huawei。
[MA5200F-radius-radius1]radius-server type portal
【说明】:使用portal认证方式。
[MA5200F-radius-radius1]undo radius-server user-name domain-included
【说明】:传给radius服务器的用户名不带域名后缀。
[MA5200F-radius-radius1]radius-server traffic-unit byte
【说明】:统计流量单位是byte。
Step 3. 配置Portal认证服务器和WEB服务器
Portal认证服务器用来与设备交互传递认证下线等信息,WEB服务器用来提供用户认证页面等功能。这两个服务可以安装在同一台机器上,也可以在不同的机器上。
[MA5200F] web-auth-server version v2
【说明】:portal认证使用2.0版本。
[MA5200F] web-auth-server 202.11.1.2 key huawei
【说明】:配置Portal认证服务器IP地址和key,key要与Portal认证服务器(CAMS治理台)配置的一致。
【注重】:不论是portal v1还是portal v2版本这里都需要配置web-auth-server,对于portal v1的版本这里只需要配置一个地址就可以了。
[MA5200F-aaa-domain-default0]web-server 202.11.1.2
[MA5200F-aaa-domain-default0]web-server url http://202.11.1.2/portal
【说明】:在指定的认证域中配置Portal认证服务器的IP地址,和Portal认证主页的位置。
Step 4. 配置认证和计费方案
由于在进行WEB认证的时候需要配置两个域(认证前域和认证域),所以这里需要分别设置这两个域里面的认证和计费策略。但是由于第一个域(认证前域)仅仅是用来使用户能够获取IP地址,所以在这个域里面所指定的认证和计费方法可以尽量的简单,可以采用不认证不计费的方式,仅仅让用户能够正常的上线获取IP地址,然后通过ACL来限制用户的上网权限。用户在获取了IP地址之后就会到相应的WEB服务器上去进行认证,认证的时候用户将会属于另外一个域(认证域)(通过用户名里面所带的域名或者5200上设置的默认域名来确定用户认证的时候属于哪个域),这样在认证域里面可以采用合适的认证方法(本地或者radius)来对用户进行认证。
[MA5200F]aaa
【说明】:进入AAA视图
[MA5200F-aaa]authentication-scheme Auth1
【说明】:添加一个新的认证方案Auth1
[MA5200F-aaa-authen-auth1]authentication-mode radius
【说明】:在远端的radius服务器进行认证
这里我们只配置了一个认证方案,这是一个radius的认证方案,为什么不配置一个认证方案给用户在WEB认证之前进行地址获取的时候使用呢?因为在5200F上面两个默认的域default0和default1,这两个域对应的认证和计费策略分别是:不认证、不计费和radius认证、radius计费。因此我们只需要将WEB认证前的用户放到default0这个域里面就能够使得用户不用认证便能获取IP地址,进而进行进一步的WEB认证。
这里我们将Auth1这一个认证方案定义为了radius(远端)认证,也就是说采用这样的一个认证方案的用户帐号是在远端的radius服务器上进行认证的,当然在实际的开局中我们也可以根据实际的情况将认证方案设置为其它的类型,如local,这样的话这个用户的帐号将在5200本地生成并进行认证。
[MA5200F]aaa
【说明】:进入AAA视图
[MA5200F-aaa]accounting-scheme Acct1
【说明】:添加一个新的计费方案Acct1
[MA5200F-aaa-accounting-acct1]accounting-mode radius
【说明】:在远端的radius服务器进行计费
同样,我们这里也是只配置了一个计费方案,而对于WEB认证之前用户获取地址的时候使用的也是default0里面的计费策略——不计费。
这里我们将Acct1这一个计费方案定义为了radius(远端)计费,也就是说采用这样的一个计费方案的用户是在远端计费服务器上进行计费的,当然在实际的开局中我们也可以根据实际的情况将计费方案设置为其它的类型,如local,这样的话这个用户将会在5200本地进行计费。
Step 5. 配置认证前的域
这里是给WEB认证前的域(default0)添加地址池。
[MA5200F-aaa-domain-default0]ip-pool first Huawei
【说明】:配置域里面的地址池,对于该域的认证和计费策略这里不用配置,采用默认的设置(不认证不计费)就可以了。
[MA5200F-aaa-domain-default0]ucl-group 1
【说明】:配置域下面用户所属的UCL组
Step 6. 配置认证时的域
这里配置的是进行WEB认证的时候所使用的域,用户在获取IP地址的时候使用的是default0的默认域。
在5200上面每一个用户都是属于一个指定的(或者是默认的)域的,因此,在进行用户的配置之前我们首先要配置用户所属的域的一些参数。
[MA5200F]aaa
【说明】:进入AAA视图
[MA5200F-aaa]domain isp
【说明】:新建一个名为isp的域
[MA5200F-aaa-domain-isp]authentication-scheme Auth1
[MA5200F-aaa-domain-isp]accounting-scheme Acct1
【说明】:指定该域的认证方案和计费方案
[MA5200F-aaa-domain-isp]radius-server group radius1
【说明】:指定该域所使用的raidus服务器
这里我们就将先前配置的radius服务器radius1指定为了此isp域所使用的radius服务器。这样属于isp域的用户都将到这样的一个radius服务器上进行认证。
进入讨论组讨论。
Step 7. 配置系统的ACL策略
这里所配置的ACL策略主要是针对认证前和认证后的用户来说的,上面我们在认证前和认证时的域里面指定了用户分别在认证前后属于不同的UCL组,现在我们就要针对这些不同的UCL组来进行ACL的控制,使得进行WEB认证前的用户只能访问WEB服务器,而WEB认证后的用户能够访问所有的资源。
[MA5200F]acl number 101 match-order auto
【说明】:进入增强型ACL配置视图,采用默认匹配模式。100到199是增强型ACL组,采用五元组进行控制。1到99是普通型的ACL组,采用三元组进行控制。
[MA5200F-acl-adv-101]rule user-net permit ip source 1 destination 202.11.1.2 0
[MA5200F-acl-adv-101]rule net-user permit ip source 202.11.1.2 0 destination 1
[MA5200F-acl-adv-101]rule user-net permit ip source 1 destination 192.168.8.188 0
[MA5200F-acl-adv-101]rule net-user permit ip source 192.168.8.188 0 destination 1
【说明】:配置对于WEB认证前的用户只能访问WEB服务器和DNS服务器,以上的配置指定了UCL group 1的用户能够访问WEB服务器。
[MA5200F-acl-adv-101]rule user-net deny ip source 1
【说明】:禁止UCL group 1的用户访问其它的地址。
[MA5200F]access-group 101
【说明】:将101的ACL引用到全局
这样,用户在仅仅获取了IP地址的情况下就只能访问WEB服务器了。
Step 8. 配置用户接入的VLAN端口
配置VLAN端口的目的是指定某个端口的某些指定的VLAN用户认证前后所使用的域,所采用的认证方法。
[MA5200F]portvlan ethernet 2 vlan 1 1
【说明】:进入2号以太网端口的从1开始总共1个VLAN ID的配置视图。
[MA5200F-ethernet-2-vlan1-1]access-type layer2-subscriber
【说明】:设置该端口VLAN为二层普通用户接入类型。也可以设置为三层用户接入,要看实际的组网情况,假如MA5200是旁挂在S8505上,那么就是三层用户接入。
[MA5200F-ethernet-2-vlan1-1]default-domain authentication isp
【说明】:配置用户所使用的域。这里只配置了认证时的域为isp,对于认证前的域系统在默认的情况下使用default0这个域,所以可以不用配置。
[MA5200F-ethernet-2-vlan1-1]authentication-method web
【说明】:配置端口的认证方法。这样从2号以太网端口上来的VLAN ID为1的用户就是采用WEB认证的方式。
Step 9. 配置上行接口以及路由
配置上行接口的目的是为了和上层的路由器或者交换机相连接,在配置上行接口的时候我们首先要将需要配置的接口指定为“非治理类型”。
[MA5200F]portvlan ethernet 24 0 1
【说明】:进入端口VLAN的配置视图
[MA5200F-ethernet-24-vlan0-0]access-type interface
【说明】:设置端口VLAN的接入类型为非治理类型。在access-type后面有多个选项,其中的interface是指的非治理类型的端口,用于连接上层交换机。
[MA5200F]interface Ethernet 24.0
【说明】:创建VLAN子接口。
这里需要说明一下,创建上行接口的步骤是先将一个端口上的某一个VLAN指定为“非治理类型”,然后再在这个端口上创建此VLAN的子接口。这里多了一个概念就是“VLAN子接口”。
这样,一个物理端口上就可以创建多个逻辑的VLAN子接口,每个子接口可以配置不同的ip地址。这样报文在上行的时候就可以根据需要走不同的ip上行,并且带上相应的VLAN ID,三层交换机(或者二层交换机)就可以根据这样的VLAN ID对用户的报文进行不同路径的转发了。增强了转发的灵活性。假如这里的VLAN子接口设置为0的话就是不带 VLAN ID上去。
[MA5200F-Ethernet24.0]ip address 200.100.0.1 255.255.255.252
【说明】:在 VLAN子接口下配置ip地址
[MA5200F]ip route-static 0.0.0.0 0.0.0.0 200.100.0.2
【说明】:配置默认路由。对于一般条件的接入业务,5200上面只需要配置一条指向上行路由器端口的默认路由就可以了。
『测试验证』
计算机应该能够获取到61.10.1.0/24网段的IP地址,此时应该只可以ping通用户的网关地址61.10.1.1;之后用户利用在IE的地址栏里面输入实际的WEB服务器的IP地址登陆到WEB SERVER上进行WEB认证,认证通过之后应该能够ping通对端路由器的地址202.100.0.2(对端路由器需要做到MA5200F下面用户网段的回程路由)。
同时可用display access-user来查看用户是否上线。进入讨论组讨论。
3.3 CAMS治理台配置步骤:
Step 1. 设置PORTAL 服务器维护信息
点击菜单【组件治理】/【PORTAL组件】/【服务器信息】
图5 Portal服务器信息维护界面
注1:“PORTAL主页”和“CAMS用户自助主页”要与主页的实际位置一致,并且无需指定具体的主页名称,只需输入到存放主页的目录名称即可。
注2:“服务类型列表”的编辑要参考CAMS的服务以及设备对不同服务的配置。
注3:其它选项可以使用缺省值。
Step 2. 配置IP 地址组
点击菜单【组件治理】/【PORTAL组件】/【IP地址组】
进入“IP地址组治理”页面后,点击“增加”按钮来增加一组IP地址。
图6 增加IP地址组界面
【注1】:一个IP地址组只能分配给一个设备,假如实际开局过程中包括多个Portal设备,那么需要为每个设备配置一个IP地址组,不同的IP地址组之间不能有交叉;
【注2】:在Portal1.0中,不同端口组配置的IP地址组不能相同;在Portal2.0中,不同端口组配置的IP地址组可以相同。
【注3】:假如使用二次地址分配,那么IP地址组应该是二次地址分配前的IP地址。进入讨论组讨论。
Step 3. 配置设备信息
点击菜单【组件治理】/【PORTAL组件】/【设备信息】
进入“设备信息治理”页面后,点击“增加”按钮来增加一个设备信息。
图7 增加设备信息界面
【注1】:“IP地址”是设备与Portal服务器连接端口的IP地址,“密钥”和“二次地址分配”与设备配置的一致,其它可使用缺省值。
Step 4: 配置端口信息治理
在“设备信息治理”页面中,选择某一个设备,点击右侧的 “端口信息治理”链接 ,在“设备端口信息治理”页面中,点击“增加”按钮来增加一组端口。
图8 增加设备端口组界面
【注1】:选择正确的“IP地址组”,“是否NAT”要根据实际的组网情况,其它一般使用缺省值。
【注2】:假如用户自行定制了的Portal认证主页,那么在“认证主页”中输入主页名称即可,不同的端口组(也就是用户)可以使用不同的Portal认证主页。
Step 5. 配置生效
假如上述配置没有问题,则点击菜单【组件治理】/【PORTAL组件】/【配置生效】,令当前配置生效。
Step 6. 配置计费策略
点击菜单【资费治理】/【计费策略】,进入“计费策略治理”界面,点击“增加”按钮增加一个计费策略。
Step 7. 配置服务
点击菜单【服务治理】/【服务配置】,进入“服务配置”界面,点击“增加”按钮增加一个服务,在服务中选择适当的计费策略。
【注1】“服务后缀”的配置要与设备一致。
Step 7. 增加用户帐号
增加一个帐号用户:点击菜单【用户治理】/【帐号用户】
增加一个卡号用户:点击菜单【用户治理】/【卡号用户】
选择适当的“服务”
验证用户进行Portal认证:
打开IE,输入任意IP地址,进入PORTAL认证界面
使用任意一种Portal认证方式,输入正确的用户名和密码,用户认证成功。
此时用户PC处于在线状态。进入讨论组讨论。
4 案例配置FAQ
Q:在CAMS治理台配置Portal组件时,假如分配给一个端口组的所有用户并没有拥有一段连续的IP地址,如何配置?
A:首先配置多个IP地址组,每个IP地址组必须是一段连续的IP地址;然后配置端口组,每增加一个端口组只能为其配置一个IP地址组,所以说一个端口组有多少个IP地址组,就需要配置多少次此端口组的信息。在端口组表中,只要起始端口,终止端口和IP地址组三个元素与其它表项不冲突就可以创建。
Q:假如端口组配置了0~z之间,那么一个认证设备名为zhuhaibo的用户(一切配置均正确)为何无法通过Portal认证?
A:由于在比较端口名称时zhuhaibo > z,所以超出了范围,无法认证,此时需要将端口组0~z修改为0~zz即可,假如有叫zzhuhaibo的,那么端口组配置的方法依此类推。
附件(本网站支持断点续传下载,建议使用FlashGet、NetAnts等支持断点续传的工具下载,登录用户请查看帮助)
