配置通过内置Portal认证控制企业内部用户访问网络示例.docVIP

配置通过内置Portal认证控制企业内部用户访问网络示例 目录 .3 配置通过内置Portal认证控制企业内部用户访问网络示例 .3 配置通过内置Portal认证控制企业内部用户访问网络示例 组网需求 如图1所示，某公司内部大量用户终端通过Router（作为接入设备）的接口Eth2/0/0接入网络。在该网络运行一段时间后，发现存在用户对网络进行攻击。为确保网络的安全性，管理员需对用户终端的网络访问权限进行控制。只有用户终端通过认证后，Router才允许其访问Internet中的资源。 图1 配置内置Portal认证组网图  配置思路 为实现对用户网络访问权限进行限制的需求，在将IP地址为0的服务器用作RADIUS服务器后，管理员可在Router上配置Portal认证功能。由于设备资源紧张，管理员采用内置Portal服务器方式并将Router中某一LoopBack接口的IP地址“0”配置为内置Portal服务器的IP地址。 具体配置思路如下（均在Router上进行配置）： 1. 创建并配置RADIUS服务器模板、AAA方案以及认证域，并在ISP域下绑定RADIUS服务器模板与AAA方案。保证了Router与RADIUS服务器之间的信息交互。 2. 配置内置Portal认证，使用户终端能够通过Portal认证方式接入网络。 说明： 配置本举例之前，需确保网络中各设备之间已能互通。 操作步骤 1. 创建VLAN并配置接口允许通过的VLAN，保证网络通畅。 # 创建VLAN10和VLAN20。 Huawei system-view [Huawei] sysname Router [Router] vlan batch 10 20 # 配置Router与用户连接的接口Eth2/0/0为Access类型接口，并将Eth2/0/0加入VLAN10。 [Router] interface ethernet 2/0/0 [Router-Ethernet2/0/0] port link-type access [Router-Ethernet2/0/0] port default vlan 10 [Router-Ethernet2/0/0] quit 说明： 设备与用户连接的接口类型与接口加入的VLAN应以用户实际所属VLAN为准，此处假设所有的用户都被划分到VLAN10。 # 配置Router连接RADIUS服务器的接口Eth2/0/1为Access类型接口，并将Eth2/0/1加入VLAN20。 [Router] interface ethernet 2/0/1 [Router-Ethernet2/0/1] port link-type access [Router-Ethernet2/0/1] port default vlan 20 [Router-Ethernet2/0/1] quit 2. 创建并配置RADIUS服务器模板、AAA认证方案以及认证域。 # 创建并配置RADIUS服务器模板“rd1”。 [Router] radius-server template rd1 [Router-radius-rd1] radius-server authentication 0 1812 [Router-radius-rd1] radius-server shared-key cipher Huawei@2012 [Router-radius-rd1] quit # 创建AAA方案“abc”并配置认证方式为RADIUS。 [Router] aaa [Router-aaa] authentication-scheme abc [Router-aaa-authen-abc] authentication-mode radius [Router-aaa-authen-abc] quit # 创建认证域“isp1”，并在其上绑定AAA认证方案“abc”与RADIUS服务器模板“rd1”。 [Router-aaa] domain isp1 [Router-aaa-domain-isp1] authentication-scheme abc [Router-aaa-domain-isp1] radius-server rd1 [Router-aaa-domain-isp1] quit [Router-aaa] quit # 配置全局默认域为“isp1”。用户进行接入认证时，以格式“user@isp1”输入用户名即可在isp1域下进行aaa认证。如果用户名中不携带域名或携带的域名不存在，用户将会在默认域中进行认证。 [Router] domain isp1 # 测试用户是否能够通过RADIUS模板的认证。（已在RADIUS服务器上配置了测试用