第4章 WEB 认证 用户 的 配置

4.1 组网图

『 配置 环境参数』

计算机设置为自动获取 IP 地址的方式

MA5200F 的上行口地址： 200.100.0.1

MA5200F 对端路由器地址： 200.100.0.2

RADIUS SERVER 的 IP 地址： 202.10.1.2

WEB SERVER 的 IP 地址： 202.11.1.2

4.2 数据 配置 步骤

『 WEB 认证 用户 的接入流程是：』

l 在最开始，我们需要明确，做 WEB 认证 的 用户 必须首先获取 IP 地址，在 5200 上面只有一个合法的 用户 才能获取到 IP 地址，因此，在 用户 进行 WEB 认证 之前我们需要先让这个 用户 “合法化”，使之获取一个 IP 地址。这样我们首先给 用户 指定一个“ 认证 前”的域，在这个域里面指定 用户 所使用的地址池，以及 认证 策略，同时利用 UCL 将这个域里面的 用户 的权限进行限制，使域里面的 用户 只能访问 WEB 服务器等资源。然后 用户 就会到这个指定的 WEB 服务器上进行 认证 ， 认证 通过之后的 用户 将属于另外一个域，我们只需要在这个域里面将 用户 全部的上网权限打开就可以了。

l 首先一个 用户 的报文在经过二层交换机的时候就带上了相应的 VLAN ID ；

l 用户 的报文从 5200 的某一个端口进入的时候 5200 就会根据事先 配置 好的 portvlan 的数据来确定这样的一个 用户 在 认证 前和 认证 后分别是属于那个域的，在 portvlan 下面还 配置 了 用户 的 认证 方式是采用 WEB 认证 ；

l 该 用户 在找到自己所属的域之后就会根据域下面 配置 的地址池分配一个 ip 地址，随后 用户 需要登陆一个指定的 WEB 页面上去用自己的 用户 名和密码进行 认证 ，然后根据域下面设置好的 认证 和计费策略来进行 认证 和计费（ radius 还是本地）， 认证 通过之后该 用户 就能正常的上网了。

在了解了 用户 报文的基本接入流程之后我们就开始来 配置 数据，从上面的接入流程我们可以看出来，比较关键和重要的几个数据是：地址池、域、 认证 计费策略、 PORTVLAN 的数据以及 RADIUS 数据。

【 配置 地址池】

对于 WEB 认证 的 用户 是首先要获取 IP 地址的（这个地址可以是动态获取的，也可以是静态的地址，这里我们利用动态获取地址的方法），这个地址是存在一个事先设定好的地址池中的，这个地址池可以存在一个远端的 DHCP 服务器上面，也可以存在 5200 本机上面，如果地址池是在 5200 上面的话那么首先就要 配置 这个地址池的相关参数。

1. 创建一个名为 huawei 的地址池：

[MA5200F]ip pool huawei local

2. 配置 地址池的网关以及掩码：

[MA5200F-ip-pool-huawei]gateway 61.10.1.1 255.255.255.0

3. 配置 地址池的地址段：

[MA5200F-ip-pool-huawei]section 0 61.10.1. 2 61.10.1.1 0

★ 如果采用的是外置的地址池的话就按照下面的内容进行 配置 ：

1. 建立外置一个名为 remotedhcp 的 DHCP SERVER 组：

[MA5200F]dhcp-server group remotedhcp

2. 设置此 DHCP SERVER 组：

这里主要是指定此 DHCP SERVER 组所指向的 DHCP SERVER 的 IP 地址。

[MA5200F-dhcp-server-group-remotedhcp]dhcp-server 192.168.1.10

3. 创建一个远端地址池：

[MA5200F]ip pool huaweiremote remote

4. 指定地址池的 gateway 以及绑定 DHCP SERVER 组：

[MA5200F-ip-pool-huaweiremote]gateway 61.10.1.1 255.255.255.0

[MA5200F-ip-pool-huaweiremote]dhcp-server group remotedhcp

好了，现在我们已经给 用户 配置 了一个地址池，接下来我们要为 用户 设置相应的 认证 和计费方案。

【 配置 认证 方案】

由于在进行 WEB 认证 的时候需要 配置 两个域（ 认证 前域和 认证 域），所以这里需要分别设置这两个域里面的 认证 和计费策略。但是由于第一个域（ 认证 前域）仅仅是用来使 用户 能够获取 IP 地址，所以在这个域里面所指定的 认证 和计费方法可以尽量的简单，可以采用不 认证 不计费的方式，仅仅让 用户 能够正常的上线获取 IP 地址，然后通过 ACL 来限制 用户 的上网权限。 用户 在获取了 IP 地址之后就会到相应的 WEB 服务器上去进行 认证 ， 认证 的时候 用户 将会属于另外一个域（ 认证 域）（通过 用户 名里面所带的域名或者 5200 上设置的默认域名来确定 用户 认证 的时候属于哪个域），这样在 认证 域里面可以采用合适的 认证 方法（本地或者 radius ）来对 用户 进行 认证 。

1. 进入 AAA 视图：

[MA5200F]aaa

2. 添加一个新的 认证 方案 Auth1 ：

[MA5200F-aaa]authentication-scheme Auth1

这样接下来就进入了相应的 认证 方案视图。

3. 设置 认证 方案：

我们已经创建了一个新的 认证 方案 Auth1 ，接下来我们将定义这个 认证 方案的具体内容。

[MA5200F-aaa-authen-auth1]authentication-mode radius

这里我们只 配置 了一个 认证 方案，这是一个 radius 的 认证 方案，为什么不 配置 一个 认证 方案给 用户 在 WEB 认证 之前进行地址获取的时候使用呢？因为在 5200F 上面两个默认的域 default0 和 default1 ，这两个域对应的 认证 和计费策略分别是：不 认证 、不计费和 radius 认证 、 radius 计费。因此我们只需要将 WEB 认证 前的 用户 放到 default0 这个域里面就能够使得 用户 不用 认证 便能获取 IP 地址，进而进行进一步的 WEB 认证 。

这里我们将 Auth1 这一个 认证 方案定义为了 radius （远端） 认证 ，也就是说采用这样的一个 认证 方案的 用户 的帐号是在远端的 radius 服务器上进行 认证 的，当然在实际的开局中我们也可以根据实际的情况将 认证 方案设置为其它的类型，如 local ，这样的话这个 用户 的帐号将在 5200 本地生成并进行 认证 。

【 配置 计费方案】

1. 进入 AAA 视图：

[MA5200F]aaa

2. 添加一个新的计费方案 Acct1 ：

[MA5200F-aaa]accounting-scheme Acct1

3. 设置计费方案：

[MA5200F-aaa-accounting-acct1]accounting-mode radius

同样，我们这里也是只 配置 了一个计费方案，而对于 WEB 认证 之前 用户 获取地址的时候使用的也是 default0 里面的计费策略――不计费。

这里我们将 Acct1 这一个计费方案定义为了 radius （远端）计费，也就是说采用这样的一个计费方案的 用户 是在远端计费服务器上进行计费的，当然在实际的开局中我们也可以根据实际的情况将计费方案设置为其它的类型，如 local ，这样的话这个 用户 将会在 5200 本地进行计费。

【 配置 radius 服务器】

我们既然采用了 radius 的 认证 和计费方式，那么我们就需要在 5200 上面 配置 有关 radius 服务器的参数，这些参数包括了：服务器的地址、计费和 认证 端口、密钥等等。

1. 进入 radius 服务器 配置 视图：

[MA5200F]radius-server group radius1

其中的“ radius1 ”是 5200 上面 radius 配置 项的名字，长度不能超过 32 个字符。

2. 配置 主备用 radius 服务地址和端口号：

配置 主用 radius 服务器地址和端口号

[MA5200F-radius-radius1]radius-server authentication 202.10.1.2 1812

配置 备用 radius 服务器地址和端口号（如果没有备用服务器这一步可以不配）

[MA5200F-radius-radius1]radius-server authentication 218.18.1.18 1812 secondary

3. 配置 主备用计费服务地址和端口号：

配置 主用计费服务器地址和端口号

[MA5200F-radius-radius1]radius-server accounting 202.10.1.2 1813

配置 备用计费服务器地址和端口号（如果没有备用服务器这一步可以不配）

[MA5200F-radius-radius1]radius-server accounting 218.18.1.18 1813 secondary

4. 配置 共享密钥：

共享密钥是 5200 和 radius 之间进行报文加密交互的重要参数，两端一定要设置的一致，因此在设置共享密钥之前需要和 radius 方面进行协商，这里我们假定共享密钥是 huawei 。

[MA5200F-radius-radius1]radius-server key Huawei

【 配置 WEB 认证 服务器】

WEB 认证 服务器就是平常说的 portal 服务器，是用来提供 用户 认证 页面等功能的。它和 radius 可以是同一个服务器，也可以是不同的服务器。

配置 WEB 认证 服务器主要是 配置 服务器的 IP 地址和密钥

1. 配置 WEB 认证 服务器以及相关参数：

[MA5200F] web-auth-server 202.11.1.2 key huawei

【 配置 认证 前的域】

这里是给 WEB 认证 前的域（ default0 ）添加地址池。

1. 配置 域里面的地址池：

[MA5200F-aaa-domain-default0]ip-pool first Huawei

对于该域的 认证 和计费策略这里不用 配置 ，采用默认的设置（不 认证 不计费）就可以了。

2. 配置 域下面 用户 所属的 UCL 组：

[MA5200F-aaa-domain-default0]ucl-group 1

【 配置 认证 时的域】

这里 配置 的是进行 WEB 认证 的时候所使用的域， 用户 在获取 IP 地址的时候使用的是 default0 的默认域。

在 5200 上面每一个 用户 都是属于一个指定的（或者是默认的）域的，因此，在进行 用户 的 配置 之前我们首先要 配置 用户 所属的域的一些参数。

1. 进入 AAA 视图：

[MA5200F]aaa

2. 新建一个名为 isp 的域：

[MA5200F-aaa]domain isp

接下来便进入了相应的域的 配置 视图。

3. 指定该域的 认证 方案和计费方案：

[MA5200F-aaa-domain-isp]authentication-scheme Auth1

[MA5200F-aaa-domain-isp]accounting-scheme Acct1

这里我们将该域的 认证 方案和计费方案设置为了先前定义好的两个方案 Auth1 和 Acct1 ，分别是 radius 认证 和 radius 计费。

4. 指定该域所使用的 raidus 服务器

[MA5200F-aaa-domain-isp]radius-server group radius1

这里我们就将先前 配置 的 radius 服务器 radius1 指定为了此 isp 域所使用的 radius 服务器。这样属于 isp 域的 用户 都将到这样的一个 radius 服务器上进行 认证 。

【 配置 系统的 ACL 策略】

这里所 配置 的 ACL 策略主要是针对 认证 前和 认证 后的 用户 来说的，上面我们以及在 认证 前和 认证 时的域里面指定了 用户 分别在 认证 前后属于不同的 UCL 组，现在我们就要针对这些不同的 UCL 组来进行 ACL 的控制，使得进行 WEB 认证 前的 用户 只能访问 WEB 服务器，而 WEB 认证 后的 用户 能够访问所有的资源。

1. 进入增强型 ACL 配置 视图，采用默认匹配模式：

[MA5200F]acl number 101 match-order auto

2. 配置 对于 WEB 认证 前的 用户 只能访问 WEB 服务器和 DNS 服务器：

[MA5200F-acl-adv-101]rule user- net permit ip source 1 destination 202.11.1.2 0

[MA5200F-acl-adv-101]rule net-user permit ip source 202.11.1.2 0 destination 1

[MA5200F-acl-adv-101]rule user- net permit ip source 1 destination 192.168. 8 . 188 0

[MA5200F-acl-adv-101]rule net-user permit ip source 192.168. 8 . 188 0 destination 1

以上的 配置 指定了 UCL group 1 的 用户 能够访问 WEB 服务器，下面我们需要禁止 UCL group 1 的 用户 访问其它的地址。

[MA5200F-acl-adv-101]rule user- net deny ip source 1

3. 将 101 的 ACL 引用到全局：

[MA5200F]access-group 101

这样， 用户 在仅仅获取了 IP 地址的情况下就只能访问 WEB 服务器了。

【 配置 VLAN 端口】

配置 VLAN 端口的目的是指定某个端口的某些指定的 VLAN 用户 认证 前后所使用的域，所采用的 认证 方法。

1. 进入端口 VLAN 的 配置 视图：

[MA5200F]portvlan ethernet 2 vlan 1 1

这里的含义是进入了 2 号以太网端口的从 1 开始总共 1 个 VLAN ID 的 配置 视图。

2. 设置该端口 VLAN 为二层普通 用户 接入类型：

[MA5200F-ethernet-2-vlan1-1]access-type layer2-subscriber

在 access-type 后面有多个选项，其中的 layer-subscriber 是指的普通的二层 认证 类型的端口，一般用于接入 VLAN 用户 。

3. 配置 用户 所使用的域：

[MA5200F-ethernet-2-vlan1-1]default-domain authentication isp

这里只 配置 了 认证 时的域为 isp ，对于 认证 前的域系统在默认的情况下使用 default0 这个域，所以可以不用 配置 。

4. 配置 端口的 认证 方法：

[MA5200F-ethernet-2-vlan1-1]authentication-method web

【 配置 上行接口以及路由】

配置 上行接口的目的是为了和上层的路由器或者交换机相连接，在 配置 上行接口的时候我们首先要将需要 配置 的接口指定为“非管理类型”。

1. 进入端口 VLAN 的 配置 视图：

[MA5200F]portvlan ethernet 24 0 1

2. 设置端口 VLAN 的接入类型为非管理类型：

[MA5200F-ethernet-24-vlan 0 - 0 ]access-type interface

在 access-type 后面有多个选项，其中的 interface 是指的非管理类型的端口，用于连接上层交换机。

3. 创建 VLAN 子接口：

[MA5200F]interface Ethernet 24. 0

这里需要说明一下，创建上行接口的步骤是先将一个端口上的某一个 VLAN 指定为“非管理类型”，然后再在这个端口上创建此 VLAN 的子接口。这里多了一个概念就是“ VLAN 子接口”。

这样，一个物理端口上就可以创建多个逻辑的 VLAN 子接口，每个子接口可以 配置 不同的 ip 地址。这样报文在上行的时候就可以根据需要走不同的 ip 上行，并且带上相应的 VLAN ID ，三层交换机（或者二层交换机）就可以根据这样的 VLAN ID 对 用户 的报文进行不同路径的转发了。增强了转发的灵活性。如果这里的 VLAN 子接口设置为 0 的话就是不带 VLAN ID 上去。

4. 在 VLAN 子接口下 配置 ip 地址：

[MA5200F-Ethernet24. 0 ]ip address 200.100.0.1 255.255.255.252

5. 配置 默认路由：

对于一般条件的接入业务， 5200 上面只需要 配置 一条指向上行路由器端口的默认路由就可以了：

[MA5200F]ip route-static 0.0.0.0 0.0.0.0 200.100.0. 2

4.3 测试验证

计算机应该能够获取到 61.10.1.0/24 网段的 IP 地址，此时应该只可以 ping 通 用户 的网关地址 61.10.1.1 ；之后 用户 利用在 IE 的地址栏里面输入实际的 WEB 服务器的 IP 地址登陆到 WEB SERVER 上区进行 WEB 认证 ， 认证 通过之后应该能够 ping 通对端路由器的地址 202.100.0.2 （对端路由器需要做到 MA5200F 下面 用户 网段的回程路由）。

同时可用 display access-user 来查看 用户 是否上线。

}}-->