BGATE1030W(WAPI_AC)业务配置(外置Portal)Ver 1.0精品课件.ppt

Page * Portal相关配置 第一步：指定外置Portal server的ip地址 BGATE1030W(config)# portalserver A.B.C.D external 第二步：配置AC-NAME BGATE1030W(config)# ex-portal ac-name ac-name 说明： 1、AC-NAME格式为HST.CTY.PRO.OPE.NAT 2、AC-NAME由Portal server分配，即此名称必须要在Portal server注册。 Page * 认证策略配置 对于DHCP以及固定ip-pool来说，是否需要认证，是由用户的认证策略来判断的。 基本权限：DHCP用户或固定IP用户，由所在的IP地址池中的权限授权时，其所拥有的权限称为基本权限。基本权限是由ip-pool中定义的策略决定。基本权限引入认证流程。 认证后权限：与此对应，DHCP用户或固定IP用户，在认证后由RADIUS或域中的权限授权时，其所拥有的权限称为认证后权限。认证后权限由RADIUS或域domain中定义的策略决定。 Page * 典型策略举例 一般来说，过滤策略方面包括允许访问Portal server，AC，DNS等，同时，最好加一个带宽策略，防止用户攻击AC。 典型配置： 1、定义ACL（必须） rule portal permit ip 38 55 rule ac permit ip 8 55 rule dns permit udp 0 53 2、定义过滤策略（可选） filter-policy unauth filter-rule portal 允许用户访问portal； filter-rule dns可以进行DNS解析； filter-rule ac允许访问ac； Page * 3、定义带宽策略 rate-policy unauth downstream 131072 131072 upstream 16384 32768 说明：下行可以不做限制，因为用户没有认证，不会造成下行流量大；上行最好做控制，如上例中上行平均为________bit/s。 4、定义服务策略 service-policy unautch rate-policy unauth filter-policy unauth 16384*8/1024=128K Page * DHCP server配置 BGATE1030W(config)# ip dhcp server x.x.x.x 说明： 1、该地址必须要是AC上的某个接口ip； 2、上述描述的AC内置的DHCP server功能；如果是外置DHCP server的话，将另论，在此不讲述，请参见操作手册。 Page * DHCP ip-pool配置 1步、配置ip-pool BGATE1030W(config)# ip-pool pool-nam BGATE1030W(ip-pool)# ipaddress ip-net ip-mask BGATE1030W(ip-pool)# alloc-mode localdhcp BGATE1030W(ip-pool)# default-router 地址池网关地址 BGATE1030W(ip-pool)# dns-server prime-dns second-dns BGATE1030W(ip-pool)# max-lease 时间 BGATE1030W(ip-pool)# service-policy servicename 相当重要 2步、ip-pool与接口的绑定 BGATE1030W(config)# ip pool pool-name available-interface { port | port-port} 说明：DHCP接入方式，必须配置这一对应关系，否则用户不能获得地址。 Page * 第一章 公共部分配置 第二章 DHCP+WEB认证业务配置 第三章 DHCP+MAC认证业务配置 第四章 对AP管理业务配置 第五章 热备份业务配置 Page * MAC认证流程 Page * MAC认证下线流程（正常下线） 由于MAC认证对于用户端来说，是没有任何提示界面的，所以，这里所说的正常下线就是dhcp地址释放。 Page * MAC认证下线流程（检测下线） Page * MAC认证配置 第一步：打开全局下的在线用户检测功能 BGATE1030W(config)# online-user-detect enable 第二步：配置DHCP ip-pool 说明：因为MAC认证也是针对D