1、1.18.1  Portal直接認證配置舉例1. 組網需求·     用戶主機與接入設備Router直接相連，采用直接方式的Portal認證。用戶通過手工配置或DHCP獲取的一個公網IP地址進行認證，在通過Portal認證前，只能訪問Portal Web服務器；在通過Portal認證后，可以使用此IP地址訪問非受限的互聯網資源。·     采用一臺Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。·

2、0;    采用RADIUS服務器作為認證/計費服務器。2. 組網圖圖1-4 配置Portal直接認證組網圖配置Router·     配置RADIUS方案# 創建名字為rs1的RADIUS方案并進入該方案視圖。<Router> system-viewRouter radius scheme rs1# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。Router-radius-rs1 primary authentication 192

3、.168.0.112Router-radius-rs1 primary accounting 12Router-radius-rs1 key authentication simple radiusRouter-radius-rs1 key accounting simple radius# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。Router-radius-rs1 user-name-format without-domainRouter-radius-rs1 quit# 使能RADIUS session control功能。Route

4、r radius session-control enable·     配置認證域# 創建并進入名字為dm1的ISP域。Router domain dm1# 配置ISP域使用的RADIUS方案rs1。Router-isp-dm1 authentication portal radius-scheme rs1Router-isp-dm1 authorization portal radius-scheme rs1Router-isp-dm1 accounting portal radius-scheme rs1Ro

5、uter-isp-dm1 quit# 配置系統缺省的ISP域dm1，所有接入用戶共用此缺省域的認證和計費方式。若用戶登錄時輸入的用戶名未攜帶ISP域名，則使用缺省域下的認證方案。Router domain default enable dm1·     配置Portal認證# 配置Portal認證服務器：名稱為newpt，IP地址為11，密鑰為明文portal，監聽Portal報文的端口為50100。Router portal server newptRouter-portal-server-

6、newpt ip 11 key simple portalRouter-portal-server-newpt port 50100Router-portal-server-newpt quit# 配置Portal Web服務器的URL為11:8080/portal。（Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致，此處僅為示例）Router portal web-server newptRouter-portal-websvr-newpt url 11

7、:8080/portalRouter-portal-websvr-newpt quit# 在接口GigabitEthernet2/0/2上使能直接方式的Portal認證。Router interface gigabitethernet 2/0/2RouterGigabitEthernet2/0/2 portal enable method direct# 在接口GigabitEthernet2/0/2上引用Portal Web服務器newpt。RouterGigabitEthernet2/0/2 portal apply web-server newpt# 在接口

8、GigabitEthernet2/0/2上設置發送給Portal認證服務器的Portal報文中的BAS-IP屬性值為。RouterGigabitEthernet2/0/2 portal bas-ip RouterGigabitEthernet2/0/2 quit4. 驗證配置以上配置完成后，通過執行以下顯示命令可查看Portal配置是否生效。Router display portal interface gigabitethernet 2/0/21.18.2  Portal二次地址分配認證配置舉例1. 組網需求·&#

9、160;    用戶主機與接入設備Router直接相連，采用二次地址分配方式的Portal認證。用戶通過DHCP服務器獲取IP地址，Portal認證前使用分配的一個私網地址；通過Portal認證后，用戶申請到一個公網地址，才可以訪問非受限互聯網資源。·     采用一臺Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。·     采用RADIUS服務器作為認證/計費服務器。2. 組網圖圖1-15&

10、#160;配置Portal二次地址分配認證組網圖在Router上進行以下配置。(1)     配置RADIUS方案# 創建名字為rs1的RADIUS方案并進入該方案視圖。<Router> system-viewRouter radius scheme rs1# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。Router-radius-rs1 primary authentication 13Router-radius-rs1 primary accounting 192.168.0

11、.113Router-radius-rs1 key authentication simple radiusRouter-radius-rs1 key accounting simple radius# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。Router-radius-rs1 user-name-format without-domainRouter-radius-rs1 quit# 使能RADIUS session control功能。Router radius session-control enable(2)   

12、0; 配置認證域# 創建并進入名字為dm1的ISP域。Router domain dm1# 配置ISP域的RADIUS方案rs1。Router-isp-dm1 authentication portal radius-scheme rs1Router-isp-dm1 authorization portal radius-scheme rs1Router-isp-dm1 accounting portal radius-scheme rs1Router-isp-dm1 quit# 配置系統缺省的ISP域dm1，所有接入用戶共用此缺省域的認證和計費方式。若

13、用戶登錄時輸入的用戶名未攜帶ISP域名，則使用缺省域下的認證方案。Router domain default enable dm1(3)     配置DHCP中繼和授權ARP# 配置DHCP中繼。Router dhcp enableRouter dhcp relay client-information recordRouter interface gigabitethernet 2/0/2RouterGigabitEthernet2/0/2 ip address RouterGigab

14、itEthernet2/0/2 ip address subRouter-GigabitEthernet2/0/2 dhcp select relayRouter-GigabitEthernet2/0/2 dhcp relay server-address 12# 使能授權ARP功能。Router-GigabitEthernet2/0/2 arp authorized enableRouter-GigabitEthernet2/0/2 quit(4)     配置Po

15、rtal認證# 配置Portal認證服務器：名稱為newpt，IP地址為11，密鑰為明文portal，監聽Portal報文的端口為50100。Router portal server newptRouter-portal-server-newpt ip 11 key simple portalRouter-portal-server-newpt port 50100Router-portal-server-newpt quit# 配置Portal Web服務器的URL為11:8080/portal

16、。（Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致，此處僅為示例）Router portal web-server newptRouter-portal-websvr-newpt url 11:8080/portalRouter-portal-websvr-newpt quit# 在接口GigabitEthernet2/0/2上使能二次地址方式的Portal認證。Router interface gigabitethernet 2/0/2Router-GigabitEthernet2/0/2 portal e

17、nable method redhcp# 在接口GigabitEthernet2/0/2上引用Portal Web服務器newpt。RouterGigabitEthernet2/0/2 portal apply web-server newpt# 在接口GigabitEthernet2/0/2上設置發送給Portal報文中的BAS-IP屬性值為。RouterGigabitEthernet2/0/2 portal bas-ip RouterGigabitEthernet2/0/2 quit4. 驗證配置以上配置完成后，通過執行

18、以下顯示命令可查看Portal配置是否生效。Router display portal interface gigabitethernet 2/0/21.18.3  可跨三層Portal認證配置舉例1. 組網需求Router A支持Portal認證功能。用戶Host通過Router B接入到Router A。·     配置Router A采用可跨三層Portal認證。用戶在未通過Portal認證前，只能訪問Portal Web認證服務器；用戶通過Portal認證后，可以訪問非受限互聯網資源。·

19、     采用一臺Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。·     采用RADIUS服務器作為認證/計費服務器。2. 組網圖圖1-16 配置可跨三層Portal認證組網圖在Router A上進行以下配置。(1)     配置RADIUS方案# 創建名字為rs1的RADIUS方案并進入該方案視圖。<RouterA> system-viewRouterA r

20、adius scheme rs1# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。RouterA-radius-rs1 primary authentication 12RouterA-radius-rs1 primary accounting 12RouterA-radius-rs1 key authentication simple radiusRouterA-radius-rs1 key accounting simple radius# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。RouterA-rad

21、ius-rs1 user-name-format without-domainRouterA-radius-rs1 quit# 使能RADIUS session control功能。Router radius session-control enable(2)     配置認證域# 創建并進入名字為dm1的ISP域。RouterA domain dm1# 配置ISP域的RADIUS方案rs1。RouterA-isp-dm1 authentication portal radius-scheme rs1RouterA

22、-isp-dm1 authorization portal radius-scheme rs1RouterA-isp-dm1 accounting portal radius-scheme rs1RouterA-isp-dm1 quit# 配置系統缺省的ISP域dm1，所有接入用戶共用此缺省域的認證和計費方式。若用戶登錄時輸入的用戶名未攜帶ISP域名，則使用缺省域下的認證方案。Router domain default enable dm1(3)     配置Portal認證# 配置Portal認證服務器：名稱為newpt，IP地址為11，密鑰為明文portal，監聽Portal報文的端口為50100。RouterA portal server newptRouterA-portal-server-newpt ip 11 key simple portalRouterA-portal-server-newpt port 50100RouterA-portal-server-newpt quit# 配置Portal Web服務器的URL為http:/192