规格

适用于所有版本、所有形态的AR路由器。

说明:

4GE-2S、4ES2G-S、4ES2GP-S和9ES2单板不支持NAC功能。

组网需求

如图所示,某公司接待室需要部署一套身份认证系统,对接入网络的访客终端进行准入控制,确保只有合法用户终端才能接入网络。由于公司接待室的安全控制要求相对适中,为了便于维护,认证点不需要部署太多,所以要求将认证控制点部署在汇聚设备上。

由于Portal认证部署灵活,适用于流动用户;并且,汇聚设备Router与访客终端之间属于二层网络。因此,可在汇聚设备Router上部署二层Portal认证并结合RADIUS服务器(RADIUS服务器与Portal服务器集成在一起),对接入网络的访客终端进行准入控制。

配置二层Portal认证组网图

操作步骤

1. Router的配置

#

sysname Router

#

vlan batch 10 20

#

domain isp1   //配置全局默认认证域

#

portal free-rule 1 destination ip 192.168.3.30 mask 255.255.255.0   //配置免认证规则,放行到DNS服务器的报文

#

dhcp enable   //使能DHCP服务

#

radius-server template rd1   //配置RADIUS服务器模板

radius-server shared-key cipher %@%@@ny/&X<2DAnv8-265cj$rD9E%@%@   //配置RADIUS认证和计费密钥

radius-server authentication 192.168.3.20 1812 weight 80   //配置认证服务器的IP地址

radius-server accounting 192.168.3.20 1813 weight 80   //配置计费服务器的IP地址

#

web-auth-server s1   //配置Portal服务器模板

server-ip 192.168.3.20   //配置Portal服务器的IP地址

port 50200   //配置向Portal服务器主动发送报文时使用的目的端口号

shared-key cipher %@%@,xFqU#9nf,!pRu4A'g#'(;%Z%@%@   //配置与Portal服务器通信的共享密钥

url http://192.168.3.20:8080/webagent   //配置Portal认证页面URL

#

aaa

authentication-scheme auth   //配置认证方案

authentication-mode radius

accounting-scheme acc   //配置计费方案

accounting-mode radius

accounting realtime 15

domain isp1   //配置域,并在域下绑定认证方案、计费方案、RADIUS服务器模板

authentication-scheme auth

accounting-scheme acc

radius-server rd1

#

interface Vlanif10

ip address 192.168.1.1 255.255.255.0

web-auth-server s1 direct   //使能二层Portal认证

dhcp select interface   //配置DHCP服务器,为访客分配IP地址

dhcp server dns-list 192.168.3.30   //把DNS服务器的地址通知给访客

#

interface Vlanif20

ip address 192.168.2.1 255.255.255.0   //服务器区的网关地址

#

interface Ethernet2/0/0

port link-type trunk

port trunk allow-pass vlan 10

#

interface Ethernet2/0/1

port link-type trunk

port trunk allow-pass vlan 10

#

interface Ethernet2/0/2

port link-type trunk

port trunk allow-pass vlan 20

#

ip route-static 192.168.3.0 255.255.255.0 192.168.2.2   //配置到服务器区的路由

#

return

2. 检查配置结果

· 访客访问网络时,被重定向至Portal认证页面,输入正确的用户名和密码,认证通过后自动跳转到访问的页面。

· 认证通过后,执行命令display access-user,可以看到在线用户信息。

配置注意事项

配置之前需确保网络中各设备之间已能互通。

配置过程中的共享密钥(RADIUS认证和计费密钥、Portal密钥)、计费周期等参数,路由器侧与服务器侧必须要配置一致。

AR路由器如何配置Portal认证(二层网络)的更多相关文章

  1. 在思科路由器上配置AAA认证

    1.实验拓扑 网络情况 PC-A PING PC-B PC-A PING PC-C PC-B PING PC-C 2.R1的配置 a.console线 R1(config)#username admi ...

  2. 华为AR路由器AR207-S配置pppoe拨号上网图解实例

  3. 渗透测试思路 | Linux下自动化搭建FakeAP,劫持用户在Portal认证下的所有流量

    如何在linux下搭建一个fakeap,使得portal认证下的用户无法发现连接你的假AP,并且能够正常上网.先说一下portal认证.无线WIFI认证方式主要有wpa2 和 open两种,而port ...

  4. CCNA网络工程师学习进程(6)vlan相关协议的配置与路由器简单配置介绍

        前面已经介绍了大部分与vlan技术相关的交换机的协议的配置,更深层次的还有STP协议和以太网端口聚合技术,接着还会简单介绍一下路由器的基本应用.     (1)STP(Spanning-tre ...

  5. 8021x 获取IP信息失败,请检查锐捷认证客户端当前配置是否符合所在网络的要求,检查完毕后尝试重新认证

    早上一起床,登陆锐捷客户端上网,谁知道错问题了.不能联网了,锐捷登陆成功,但是一会儿就提示失败,获取IP信息失败了.下面我描述一下问题原因: 锐捷登陆后有认证提示,和往常正常情况一样的,不过有个小感叹 ...

  6. RSA原理、ssl认证、Tomcat中配置数字证书以及网络传输数据中的密码学知识

      情形一:接口的加.解密与加.验签 rsa不是只有加密解密,除此外还有加签和验签.之前一直误以为加密就是加签,解密就是验签.这是错误的! 正确的理解是: 数据传输的机密性:公钥加密私钥解密是密送,保 ...

  7. 自学Aruba7.2-Aruba安全认证-Portal认证(web页面配置)

    点击返回:自学Aruba之路 自学Aruba7.2-Aruba安全认证-Portal认证(web页面配置) 步骤1 建立AP Group,命名为testportal-group 步骤2  将AP加入到 ...

  8. 网络工程实训_2路由器基本配置及IOS介绍

    实验2:路由器基本配置及IOS介绍.包括:CLI的使用与IOS基本命令:配置文件的备份和IOS的备份:CDP协议. 一.实验目的 1.熟悉路由器CLI的各种模式: 2.熟悉路由器CLI的各种编辑命令: ...

  9. OpenWRT下实现Portal认证(WEB认证)

    首先简单介绍一下什么是Portal认证,Portal认证,通常也会叫Web认证,未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中的服务.当用户需要使用互联网中的其它信息时,必须在门户 ...

  10. 怎样用路由器共享需要网页认证的wifi

    设置步骤:第一步:登录管理界面 1.连接电脑使用单机能上网的电脑,通过网线连接到路由器的LAN口.2.登录管理界面打开电脑的浏览器,清空地址栏后,输入路由器的管理地址(以路由器底部标贴标识的管理地址为 ...

随机推荐

  1. ABC266.

    D 设 \(f_{t,p}\) 代表在 \(t\) 时间点时人在 \(p\) 点的最大收益,在这一步他可以 \(p\) 增加,不动,\(p\) 减少.于是得出状态转移方程:\(f_{t,p} = \m ...

  2. mac_VMWare安装总结

    MacOS 安装VmWare 总结 如果之前安装过virtualBox,virtualBox的内核扩展会影响到VmWare的使用 *比如会导致VMWare虽然可以安装,却无法创建虚拟机 这是需要执行以 ...

  3. frp内网穿透实战

    什么是frp frp是一个使用非常简单的开源内网穿透软件,代码地址:https://github.com/fatedier/frp ,使用条前提你需要有一台公网服务器,大致原理是:公网服务器监听某个端 ...

  4. Elasticsearch 索引生命周期管理 ILM 实战指南

    文章转载自:https://mp.weixin.qq.com/s/7VQd5sKt_PH56PFnCrUOHQ 1.什么是索引生命周期 在基于日志.指标.实时时间序列的大型系统中,集群的索引也具备类似 ...

  5. ElastAlert监控日志告警Web攻击行为---tomcat和nginx日志json格式

    一.ELK安装 1.2 elk配置 logstash自定义配置文件,取名为filebeat_log.conf : input { beats { port => 5044 client_inac ...

  6. SVM公式详尽推导,没有思维跳跃。

    假定数据集\(T=\{(x_1,y_1),(x_2,y_2),...,(x_n,y_n)\},x_n \in R_k, y_n \in \{1,-1\}\)线性可分,SVM的优化目标是: 优化一个超平 ...

  7. Xorg+LXDE迁移到Xwayland(同时支持Waydroid和Wine)记录

    系统环境: Debian bullseye Display Manager:无 桌面环境:LXDE Xorg 为什么使用Xwayland Wayland+Xwayland可以很好的支持Wayland ...

  8. C#-6 运算符和语句

    一 运算符重载 可以重定义或重载 C# 中内置的运算符. 重载运算符是具有特殊名称的函数,是通过关键字 operator 后跟运算符的符号来定义的. public static Box operato ...

  9. day05多表查询01

    多表查询 前面讲过的基本查询都是对一张表进行查询,但在实际的开发中远远不够. 下面使用表emp,dept,salgrade进行多表查询 emp: dept: salgrade: 1.前置-mysql表 ...

  10. ULID规范解读与实现原理

    前提 最近发现各个频道推荐了很多ULID相关文章,这里对ULID的规范文件进行解读,并且基于Java语言自行实现ULID,通过此实现过程展示ULID的底层原理. ULID出现的背景 ULID全称是Un ...