Step 5. 配置认证前的域
这里是给WEB认证前的域(default0)添加地址池。
[MA5200F-aaa-domain-default0]ip-pool first Huawei
【说明】:配置域里面的地址池,对于该域的认证和计费策略这里不用配置,采用默认的设置(不认证不计费)就可以了。
[MA5200F-aaa-domain-default0]ucl-group 1
【说明】:配置域下面用户所属的UCL组
这里所配置的ACL策略主要是针对认证前和认证后的用户来说的,上面我们在认证前和认证时的域里面指定了用户分别在认证前后属于不同的UCL组,现在我们就要针对这些不同的UCL组来进行ACL的控制,使得进行WEB认证前的用户只能访问WEB服务器,而WEB认证后的用户能够访问所有的资源。
[MA5200F]acl number 101 match-order auto
【说明】:进入增强型ACL配置视图,采用默认匹配模式。100到199是增强型ACL组,采用五元组进行控制。1到99是普通型的ACL组,采用三元组进行控制。
[MA5200F-acl-adv-101]rule user-net permit ip source 1 destination 202.11.1.2 0
[MA5200F-acl-adv-101]rule net-user permit ip source 202.11.1.2 0 destination 1
[MA5200F-acl-adv-101]rule user-net permit ip source 1 destination 192.168.8.188 0
[MA5200F-acl-adv-101]rule net-user permit ip source 192.168.8.188 0 destination 1
【说明】:配置对于WEB认证前的用户只能访问WEB服务器和DNS服务器,以上的配置指定了UCL group 1的用户能够访问WEB服务器。
[MA5200F-acl-adv-101]rule user-net deny ip source 1
【说明】:禁止UCL group 1的用户访问其它的地址。
[MA5200F]access-group 101
【说明】:将101的ACL引用到全局
这样,用户在仅仅获取了IP地址的情况下就只能访问WEB服务器了
//先在DOMAIN内指定使用的UCL组是什么 ,再在ACL内使用既可,最后用于全局,
Step 8. 配置用户接入的VLAN端口
配置VLAN端口的目的是指定某个端口的某些指定的VLAN用户认证前后所使用的域,所采用的认证方法。
[MA5200F]portvlan ethernet 2 vlan 1 1
【说明】:进入2号以太网端口的从1开始总共1个VLAN ID的配置视图。
[MA5200F-ethernet-2-vlan1-1]access-type layer2-subscriber
【说明】:设置该端口VLAN为二层普通用户接入类型。也可以设置为三层用户接入,要看实际的组网情况,如果MA5200是旁挂在S8505上,那么就是三层用户接入。
[MA5200F-ethernet-2-vlan1-1]default-domain authentication isp
【说明】:配置用户所使用的域。这里只配置了认证时的域为isp,对于认证前的域系统在默认的情况下使用default0这个域,所以可以不用配置。
[MA5200F-ethernet-2-vlan1-1]authentication-method web
【说明】:配置端口的认证方法。这样从2号以太网端口上来的VLAN ID为1的用户就是采用WEB认证的方式。
Step 9. 配置上行接口以及路由
配置上行接口的目的是为了和上层的路由器或者交换机相连接,在配置上行接口的时候我们首先要将需要配置的接口指定为“非管理类型”。
[MA5200F]portvlan ethernet 24 0 1
【说明】:进入端口VLAN的配置视图
[MA5200F-ethernet-24-vlan0-0]access-type interface
【说明】:设置端口VLAN的接入类型为非管理类型。在access-type后面有多个选项,其中的interface是指的非管理类型的端口,用于连接上层交换机。
[MA5200F]interface Ethernet 24.0
【说明】:创建VLAN子接口。
这里需要说明一下,创建上行接口的步骤是先将一个端口上的某一个VLAN指定为“非管理类型”,然后再在这个端口上创建此VLAN的子接口。这里多了一个概念就是“VLAN子接口”。
这样,一个物理端口上就可以创建多个逻辑的VLAN子接口,每个子接口可以配置不同的ip地址。这样报文在上行的时候就可以根据需要走不同的ip上行,并且带上相应的VLAN ID,三层交换机(或者二层交换机)就可以根据这样的VLAN ID对用户的报文进行不同路径的转发了。增强了转发的灵活性。如果这里的VLAN子接口设置为0的话就是不带 VLAN ID上去。
[MA5200F-Ethernet24.0]ip address 200.100.0.1 255.255.255.252
【说明】:在 VLAN子接口下配置ip地址
[MA5200F]ip route-static 0.0.0.0 0.0.0.0 200.100.0.2
【说明】:配置默认路由。对于一般条件的接入业务,5200上面只需要配置一条指向上行路由器端口的默认路由就可以了。
|