1.18.1Portal直接認證配置舉例1.組網需求用戶主機與接入設備Router直接相連，采用直接方式的Portal認證。用戶通過手工配置或DHCP獲取的一個公網IP地址進行認證，在通過Portal認證前，只能訪問Portal Web服務器；在通過Portal認證后，可以使用此IP地址訪問非受限的互聯網資源。采用一臺Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。采用RADIUS服務器作為認證/計費服務器。2.組網圖圖1-4配置Portal直接認證組網圖配置Router配置RADIUS方案#創建名字為rs1的RADIUS方案并進入該方案視圖。 system-viewRouter radius scheme rs1#配置RADIUS方案的主認證和主計費服務器及其通信密鑰。Router-radius-rs1 primary authentication 12Router-radius-rs1 primary accounting 12Router-radius-rs1 key authentication simple radiusRouter-radius-rs1 key accounting simple radius#配置發送給RADIUS服務器的用戶名不攜帶ISP域名。Router-radius-rs1 user-name-format without-domainRouter-radius-rs1 quit#使能RADIUS session control功能。Router radius session-control enable配置認證域#創建并進入名字為dm1的ISP域。Router domain dm1#配置ISP域使用的RADIUS方案rs1。Router-isp-dm1 authentication portal radius-scheme rs1Router-isp-dm1 authorization portal radius-scheme rs1Router-isp-dm1 accounting portal radius-scheme rs1Router-isp-dm1 quit#配置系統缺省的ISP域dm1，所有接入用戶共用此缺省域的認證和計費方式。若用戶登錄時輸入的用戶名未攜帶ISP域名，則使用缺省域下的認證方案。Router domain default enable dm1配置Portal認證#配置Portal認證服務器：名稱為newpt，IP地址為11，密鑰為明文portal，監聽Portal報文的端口為50100。Router portal server newptRouter-portal-server-newpt ip 11 key simple portalRouter-portal-server-newpt port 50100Router-portal-server-newpt quit#配置Portal Web服務器的URL為11:8080/portal。（Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致，此處僅為示例）Router portal web-server newptRouter-portal-websvr-newpt url 11:8080/portalRouter-portal-websvr-newpt quit#在接口GigabitEthernet2/0/2上使能直接方式的Portal認證。Router interface gigabitethernet 2/0/2RouterGigabitEthernet2/0/2 portal enable method direct#在接口GigabitEthernet2/0/2上引用Portal Web服務器newpt。RouterGigabitEthernet2/0/2 portal apply web-server newpt#在接口GigabitEthernet2/0/2上設置發送給Portal認證服務器的Portal報文中的BAS-IP屬性值為。RouterGigabitEthernet2/0/2 portal bas-ip RouterGigabitEthernet2/0/2 quit4.驗證配置以上配置完成后，通過執行以下顯示命令可查看Portal配置是否生效。Router display portal interface gigabitethernet 2/0/21.18.2Portal二次地址分配認證配置舉例1.組網需求用戶主機與接入設備Router直接相連，采用二次地址分配方式的Portal認證。用戶通過DHCP服務器獲取IP地址，Portal認證前使用分配的一個私網地址；通過Portal認證后，用戶申請到一個公網地址，才可以訪問非受限互聯網資源。采用一臺Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。采用RADIUS服務器作為認證/計費服務器。2.組網圖圖1-15配置Portal二次地址分配認證組網圖在Router上進行以下配置。(1)配置RADIUS方案#創建名字為rs1的RADIUS方案并進入該方案視圖。 system-viewRouter radius scheme rs1#配置RADIUS方案的主認證和主計費服務器及其通信密鑰。Router-radius-rs1 primary authentication 13Router-radius-rs1 primary accounting 13Router-radius-rs1 key authentication simple radiusRouter-radius-rs1 key accounting simple radius#配置發送給RADIUS服務器的用戶名不攜帶ISP域名。Router-radius-rs1 user-name-format without-domainRouter-radius-rs1 quit#使能RADIUS session control功能。Router radius session-control enable(2)配置認證域#創建并進入名字為dm1的ISP域。Router domain dm1#配置ISP域的RADIUS方案rs1。Router-isp-dm1 authentication portal radius-scheme rs1Router-isp-dm1 authorization portal radius-scheme rs1Router-isp-dm1 accounting portal radius-scheme rs1Router-isp-dm1 quit#配置系統缺省的ISP域dm1，所有接入用戶共用此缺省域的認證和計費方式。若用戶登錄時輸入的用戶名未攜帶ISP域名，則使用缺省域下的認證方案。Router domain default enable dm1(3)配置DHCP中繼和授權ARP#配置DHCP中繼。Router dhcp enableRouter dhcp relay client-information recordRouter interface gigabitethernet 2/0/2RouterGigabitEthernet2/0/2 ip address RouterGigabitEthernet2/0/2 ip address subRouter-GigabitEthernet2/0/2 dhcp select relayRouter-GigabitEthernet2/0/2 dhcp relay server-address 12#使能授權ARP功能。Router-GigabitEthernet2/0/2 arp authorized enableRouter-GigabitEthernet2/0/2 quit(4)配置Portal認證#配置Portal認證服務器：名稱為newpt，IP地址為11，密鑰為明文portal，監聽Portal報文的端口為50100。Router portal server newptRouter-portal-server-newpt ip 11 key simple portalRouter-portal-server-newpt port 50100Router-portal-server-newpt quit#配置Portal Web服務器的URL為11:8080/portal。（Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致，此處僅為示例）Router portal web-server newptRouter-portal-websvr-newpt url 11:8080/portalRouter-portal-websvr-newpt quit#在接口GigabitEthernet2/0/2上使能二次地址方式的Portal認證。Router interface gigabitethernet 2/0/2Router-GigabitEthernet2/0/2 portal enable method redhcp#在接口GigabitEthernet2/0/2上引用Portal Web服務器newpt。RouterGigabitEthernet2/0/2 portal apply web-server newpt#在接口GigabitEthernet2/0/2上設置發送給Portal報文中的BAS-IP屬性值為。RouterGigabitEthernet2/0/2 portal bas-ip RouterGigabitEthernet2/0/2 quit4.驗證配置以上配置完成后，通過執行以下顯示命令可查看Portal配置是否生效。Router display portal interface gigabitethernet 2/0/21.18.3可跨三層Portal認證配置舉例1.組網需求Router A支持Portal認證功能。用戶Host通過Router B接入到Router A。配置Router A采用可跨三層Portal認證。用戶在未通過Portal認證前，只能訪問Portal Web認證服務器；用戶通過Portal認證后，可以訪問非受限互聯網資源。采用一臺Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。采用RADIUS服務器作為認證/計費服務器。2.組網圖圖1-16配置可跨三層Portal認證組網圖在Router A上進行以下配置。(1)配置RADIUS方案#創建名字為rs1的RADIUS方案并進入該方案視圖。 system-viewRouterA radius scheme rs1#配置RADIUS方案的主認證和主計費服務器及其通信密鑰。RouterA-radius-rs1 primary authentication 12RouterA-radius-rs1 primary accounting 12RouterA-radius-rs1 key authentication simple radiusRouterA-radius-rs1 key accounting simple radius#配置發送給RADIUS服務器的用戶名不攜帶ISP域名。RouterA-radius-rs1 user-name-format without-domainRouterA-radius-rs1 quit#使能RADIUS session control功能。Router radius session-control enable(2)配置認證域#創建并進入名字為dm1的ISP域。RouterA domain dm1#配置ISP域的RADIUS方案rs1。RouterA-isp-dm1 authentication portal radius-scheme rs1RouterA-isp-dm1 authorization portal radius-scheme rs1RouterA-isp-dm1 accounting portal radius-scheme rs1RouterA-isp-dm1 quit#配置系統缺省的ISP域dm1，所有接入用戶共用此缺省域的認證和計費方式。若用戶登錄時輸入的用戶名未攜帶ISP域名，則使用缺省域下的認證方案。Router domain default enable dm1(3)配置Portal認證#配置Portal認證服務器：名稱為newpt，IP地址為11，密鑰為明文portal，監聽Portal報文的端口為50100。RouterA portal server newptRouterA-portal-server-newpt ip 11 key simple portalRouterA-portal-server-newpt port 50100RouterA-portal-server-newpt quit#配置Portal Web服務器的URL為11:8080/portal。（Portal Web服務器的URL請與實際環境中的Portal Web服務器配置保持一致，此處僅為示例）Router portal web-server newptRouterA-portal-web