Portal典型配置举例

1.18.1 Portal直接认证配置举例

1. 组网需求

用户主机与接入设备Router直接相连，采用直接方式的Portal认证。用户通过

手工配置或DHCP获取的一个公网IP地址进行认证，在通过Portal认证前，只能访问

Portal Web服务器；在通过Portal认证后，可以使用此IP地址访问非受限的互联网资源。

采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。

采用RADIUS服务器作为认证/计费服务器。

2. 组网图

图1-4 配置Portal直接认证组网图

配置Router

配置RADIUS方案

# 创建名字为rs1的RADIUS方案并进入该方案视图。

system-view

[Router] radius scheme rs1

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[Router-radius-rs1] primary authentication 192.168.0.112

[Router-radius-rs1] primary accounting 192.168.0.112

[Router-radius-rs1] key authentication simple radius

[Router-radius-rs1] key accounting simple radius

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[Router-radius-rs1] user-name-format without-domain

[Router-radius-rs1] quit

# 使能RADIUS session control功能。

[Router] radius session-control enable

配置认证域

# 创建并进入名字为dm1的ISP域。

[Router] domain dm1

# 配置ISP域使用的RADIUS方案rs1。

[Router-isp-dm1] authentication portal radius-scheme rs1

[Router-isp-dm1] authorization portal radius-scheme rs1

[Router-isp-dm1] accounting portal radius-scheme rs1

[Router-isp-dm1] quit

# 配置系统缺省的ISP域dm1，所有接入用户共用此缺省域的认证和计费方式。若用

户登录时输入的用户名未携带ISP域名，则使用缺省域下的认证方案。

[Router] domain default enable dm1

配置Portal认证

# 配置Portal认证服务器：名称为newpt，IP地址为192.168.0.111，密钥为明文

portal，监听Portal报文的端口为50100。

[Router] portal server newpt

[Router-portal-server-newpt] ip 192.168.0.111 key simple portal

[Router-portal-server-newpt] port 50100

[Router-portal-server-newpt] quit

# 配置Portal Web服务器的URL为192.168.0.111:8080/portal。（Portal

Web服务器的URL请与实际环境中的Portal Web服务器配置保持一致，此处仅为示例）

[Router] portal web-server newpt

[Router-portal-websvr-newpt] url 192.168.0.111:8080/portal

[Router-portal-websvr-newpt] quit

# 在接口GigabitEthernet2/0/2上使能直接方式的Portal认证。

[Router] interface gigabitethernet 2/0/2

[Router–GigabitEthernet2/0/2] portal enable method direct

# 在接口GigabitEthernet2/0/2上引用Portal Web服务器newpt。

[Router–GigabitEthernet2/0/2] portal apply web-server newpt

# 在接口GigabitEthernet2/0/2上设置发送给Portal认证服务器的Portal报文中的

BAS-IP属性值为2.2.2.1。

[Router–GigabitEthernet2/0/2] portal bas-ip 2.2.2.1

[Router–GigabitEthernet2/0/2] quit

4. 验证配置

以上配置完成后，通过执行以下显示命令可查看Portal配置是否生效。

[Router] display portal interface gigabitethernet 2/0/2

1.18.2 Portal二次地址分配认证配置举例

1. 组网需求

用户主机与接入设备Router直接相连，采用二次地址分配方式的Portal认证。

用户通过DHCP服务器获取IP地址，Portal认证前使用分配的一个私网地址；通过Portal

认证后，用户申请到一个公网地址，才可以访问非受限互联网资源。

采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。

采用RADIUS服务器作为认证/计费服务器。

2. 组网图

图1-15 配置Portal二次地址分配认证组网图

在Router上进行以下配置。

(1) 配置RADIUS方案

# 创建名字为rs1的RADIUS方案并进入该方案视图。

system-view

[Router] radius scheme rs1

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[Router-radius-rs1] primary authentication 192.168.0.113

[Router-radius-rs1] primary accounting 192.168.0.113

[Router-radius-rs1] key authentication simple radius

[Router-radius-rs1] key accounting simple radius

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[Router-radius-rs1] user-name-format without-domain

[Router-radius-rs1] quit

# 使能RADIUS session control功能。

[Router] radius session-control enable

(2) 配置认证域

# 创建并进入名字为dm1的ISP域。

[Router] domain dm1

# 配置ISP域的RADIUS方案rs1。

[Router-isp-dm1] authentication portal radius-scheme rs1

[Router-isp-dm1] authorization portal radius-scheme rs1

[Router-isp-dm1] accounting portal radius-scheme rs1

[Router-isp-dm1] quit

# 配置系统缺省的ISP域dm1，所有接入用户共用此缺省域的认证和计费方式。若用

户登录时输入的用户名未携带ISP域名，则使用缺省域下的认证方案。

[Router] domain default enable dm1

(3) 配置DHCP中继和授权ARP

# 配置DHCP中继。

[Router] dhcp enable

[Router] dhcp relay client-information record

[Router] interface gigabitethernet 2/0/2

[Router–GigabitEthernet2/0/2] ip address 20.20.20.1 255.255.255.0

[Router–GigabitEthernet2/0/2] ip address 10.0.0.1 255.255.255.0 sub

[Router-GigabitEthernet2/0/2] dhcp select relay

[Router-GigabitEthernet2/0/2] dhcp relay server-address 192.168.0.112

# 使能授权ARP功能。

[Router-GigabitEthernet2/0/2] arp authorized enable

[Router-GigabitEthernet2/0/2] quit

(4) 配置Portal认证

# 配置Portal认证服务器：名称为newpt，IP地址为192.168.0.111，密钥为明文

portal，监听Portal报文的端口为50100。

[Router] portal server newpt

[Router-portal-server-newpt] ip 192.168.0.111 key simple portal

[Router-portal-server-newpt] port 50100

[Router-portal-server-newpt] quit

# 配置Portal Web服务器的URL为192.168.0.111:8080/portal。（Portal

Web服务器的URL请与实际环境中的Portal Web服务器配置保持一致，此处仅为示例）

[Router] portal web-server newpt

[Router-portal-websvr-newpt] url 192.168.0.111:8080/portal

[Router-portal-websvr-newpt] quit

# 在接口GigabitEthernet2/0/2上使能二次地址方式的Portal认证。

[Router] interface gigabitethernet 2/0/2

[Router-GigabitEthernet2/0/2] portal enable method redhcp

# 在接口GigabitEthernet2/0/2上引用Portal Web服务器newpt。

[Router–GigabitEthernet2/0/2] portal apply web-server newpt

# 在接口GigabitEthernet2/0/2上设置发送给Portal报文中的BAS-IP属性值为

20.20.20.1。

[Router–GigabitEthernet2/0/2] portal bas-ip 20.20.20.1

[Router–GigabitEthernet2/0/2] quit

4. 验证配置

以上配置完成后，通过执行以下显示命令可查看Portal配置是否生效。

[Router] display portal interface gigabitethernet 2/0/2

1.18.3 可跨三层Portal认证配置举例

1. 组网需求

Router A支持Portal认证功能。用户Host通过Router B接入到Router A。

配置Router A采用可跨三层Portal认证。用户在未通过Portal认证前，只能

访问Portal Web认证服务器；用户通过Portal认证后，可以访问非受限互联网资源。

采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。

采用RADIUS服务器作为认证/计费服务器。

2. 组网图

图1-16 配置可跨三层Portal认证组网图

在Router A上进行以下配置。

(1) 配置RADIUS方案

# 创建名字为rs1的RADIUS方案并进入该方案视图。

system-view

[RouterA] radius scheme rs1

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[RouterA-radius-rs1] primary authentication 192.168.0.112

[RouterA-radius-rs1] primary accounting 192.168.0.112

[RouterA-radius-rs1] key authentication simple radius

[RouterA-radius-rs1] key accounting simple radius

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[RouterA-radius-rs1] user-name-format without-domain

[RouterA-radius-rs1] quit

# 使能RADIUS session control功能。

[Router] radius session-control enable

(2) 配置认证域

# 创建并进入名字为dm1的ISP域。

[RouterA] domain dm1

# 配置ISP域的RADIUS方案rs1。

[RouterA-isp-dm1] authentication portal radius-scheme rs1

[RouterA-isp-dm1] authorization portal radius-scheme rs1

[RouterA-isp-dm1] accounting portal radius-scheme rs1

[RouterA-isp-dm1] quit

# 配置系统缺省的ISP域dm1，所有接入用户共用此缺省域的认证和计费方式。若用

户登录时输入的用户名未携带ISP域名，则使用缺省域下的认证方案。

[Router] domain default enable dm1

(3) 配置Portal认证

# 配置Portal认证服务器：名称为newpt，IP地址为192.168.0.111，密钥为明文

portal，监听Portal报文的端口为50100。

[RouterA] portal server newpt

[RouterA-portal-server-newpt] ip 192.168.0.111 key simple portal

[RouterA-portal-server-newpt] port 50100

[RouterA-portal-server-newpt] quit

# 配置Portal Web服务器的URL为192.168.0.111:8080/portal。（Portal

Web服务器的URL请与实际环境中的Portal Web服务器配置保持一致，此处仅为示例）

[Router] portal web-server newpt

[RouterA-portal-websvr-newpt] url 192.168.0.111:8080/portal

[RouterA-portal-websvr-newpt] quit

# 在接口GigabitEthernet2/0/2上使能可跨三层方式的Portal认证。

[RouterA] interface gigabitethernet 2/0/2

[RouterA–GigabitEthernet2/0/2] portal enable method layer3

# 在接口GigabitEthernet2/0/2上引用Portal Web服务器newpt。

[RouterA–GigabitEthernet2/0/2] portal apply web-server newpt

# 在接口GigabitEthernet2/0/2上设置发送给Portal报文中的BAS-IP属性值为

20.20.20.1。

[RouterA–GigabitEthernet2/0/2] portal bas-ip 20.20.20.1

[RouterA–GigabitEthernet2/0/2] quit

Router B上需要配置到192.168.0.0/24网段的缺省路由，下一跳为20.20.20.1，具

体配置略。

4. 验证配置

以上配置完成后，通过执行以下显示命令可查看Portal配置是否生效。

[Router] display portal interface gigabitethernet 2/0/2