交换机Portal认证配置
1功能需求及组网说明
交换机Portal认证配置
『配置环境参数』
1. PC1和PC2分别属于VLAN10和VLAN20,分别连接到交换机SwitchA的端口E0/1和E0/2;CAMS属于VLAN100,连接到SwitchA的端口G1/1
2. PC1的IP地址分别10.1.1.2/24,网关为SwitchA的VLAN接口10的地址10.1.1.1/24;PC2的IP地址和20.1.1.2/24,网关为SwitchA的VLAN接口20的地址20.1.1.1/24
3. CAMS服务器的地址为100.1.1.2/24
『组网需求』
1. CAMS作为Portal认证服务器
2. 在SwitchA上启动Portal认证,对PC1和PC2进行Portal认证
2数据配置步骤
『交换机Portal认证配置流程』
Quidway系列交换机提供强制Portal业务。强制Portal业务即要求初次登录的Portal用户必须访问Portal服务器,并实现对Portal用户的访问权限的控制。其原理是:当Quidway系列交换机首次接收到登录用户的HTTP报文时,将首先判断该登录用户是否Portal用户,对Portal用户,Quidway系列交换机把报文转发给Portal服务器,Portal服务器提供WEB页面供用户输入用户名和密码,用户输入的用户名和密码通过Portal服务器转发到交换机上进行认证,只有在认证通过后交换机才允许用户访问Internet,不再对该用户的HTTP报文进行重定向。
【SwitchA相关配置】
1.
创建(进入)VLAN10
[SwitchA]vlan 10
2.
将E0/1加入到VLAN10
[SwitchA-vlan10]port Ethernet 0/1
3.
创建(进入)VLAN20
[SwitchA]vlan 20
4.
将E0/2加入到VLAN20
[SwitchA-vlan20]port Ethernet 0/2
5.
创建(进入)VLAN100
[SwitchA]vlan 100
6.
将G1/1加入到VLAN100
[SwitchA-vlan100]port GigabitEthernet 1/1
7.
创建(进入)VLAN接口10,并配置IP地址
[SwitchA]interface Vlan-interface 10
[SwitchA-Vlan-interface10]ip address 10.1.1.1 255.255.255.0
8.
创建(进入)VLAN接口20,并配置IP地址
[SwitchA]interface Vlan-interface 20
[SwitchA-Vlan-interface20]ip address 20.1.1.1 255.255.255.0
9.
创建(进入)VLAN接口100,并配置IP地址
[SwitchA]interface Vlan-interface 100
[SwitchA-Vlan-interface100]ip addr 100.1.1.1 255.255.255.0
10.
创建一个名为”cams”的RADIUS方案,并进入其视图
[SwitchA]radius scheme cams
11.
配置方案”cams”的服务器类型,主认证、计费服务器地址和端口号
[SwitchA-radius-cams]server-type portal
[SwitchA-radius-cams]primary authentication 100.1.1.2 1812
[SwitchA-radius-cams]primary accounting 100.1.1.2 1813
12.
配置交换机与Portal服务器交互报文时的密码
[SwitchA-radius-cams]key authentication cams
[SwitchA-radius-cams l]key accounting cams
13.
配置交换机将用户名中的用户域名去除掉后送给RADIUS服务器
[SwitchA-radius-cams]user-name-format without-domain
14.
创建用户域”huawei”,并进入其视图
[SwitchA]domain huawei
15.
指定”cams”为该用户域的RADIUS方案
[SwitchA-isp-huawei]radius-scheme cams
16.
指定交换机缺省的用户域为”huawei”
[SwitchA]domain default enable huawei
17.
创建名为”portal”的Portal服务器,地址为100.1.1.2
[SwitchA]portal server ip 100.1.1.2 port 2000 key cams url http://100.1.1.2/portal
18.
分别使能VLAN接口10和20的Portal认证功能
[SwitchA-VLAN-interface10]portal portal
[SwitchA-VLAN-interface20]portal portal
【补充说明】
在配置Portal Server的时候,一定要注意所配置的向服务器发送报文的端口号,要与Portal服务器所配置的监听端口号相同。两端的共享密钥也要一致。
如果Portal服务器不是与SwitchA直连,那么需要在SwitchA上增加路由的配置,来确保SwitchA与Portal服务器之间的认证报文通讯正常。