Nessuna risorsa pertinente trovata nella lingua selezionata.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Reminder

To have a better experience, please upgrade your IE browser.

upgrade

Raccolta di casi di configurazione dello scenario tipico del router aziendale NE-ME60 2.0

Rate and give feedback:
Huawei utilizza la traduzione automatica insieme alla revisione umana per tradurre questo documento in diverse lingue, per facilitare la comprensione del contenuto di questo documento. Nota: la traduzione automatica, anche la più avanzata, non può corrispondere alla qualità dei trasduttori professionisti. Huawei non accetta alcuna responsabilità per l'accuratezza della traduzione e raccomanda di fare riferimento al documento inglese (per il quale è stato fornito un collegamento).
Esempio per configurazione dell'accesso IPoE di Layer 2 (autenticazione Web)

Esempio per configurazione dell'accesso IPoE di Layer 2 (autenticazione Web)

Questa sezione fornisce un esempio per la configurazione dell'accesso IPoE di Layer 2 (autenticazione Web).

Prodotti e versioni applicabili

Questo esempio di configurazione si applica ai prodotti della serie ME60 che eseguono V800R010C00 o versioni successive.

Requisiti di rete

Nella modalità di autenticazione Web, gli utenti devono immettere i nomi utente e le password su una pagina del portale prima di accedere a Internet.

Figura 1-16  Rete per configurare l'accesso IPoE di Layer 2 (autenticazione Web)

Roadmap di configurazione

La roadmap di configurazione è seguente:

  1. Creare un dominio di pre-autenticazione denominato pre-web un dominio di autenticazione denominato after-auth.

  2. Configurare gli schemi AAA.

  3. Creare un gruppo di server RADIUS.

  4. Configurare il reindirizzamento forzato a un server Web specificato nel dominio di pre-autenticazione pre-web e associare un gruppo di utenti che può accedere solo a risorse limitate, schema di autenticazione (non autenticazione) e schema di contabilità (non-contabilità) al dominio.

  5. Associare uno schema di autenticazione (autenticazione RADIUS) e uno schema di contabilità (contabilità RADIUS) al dominio di autenticazione after-auth.

  6. Configurare un dominio di autenticazione e dominio di autenticazione pre-autenticazione su un'interfaccia BAS.

Procedura

  1. Creare un dominio di preautenticazione e un dominio di autenticazione.

    # Creare un dominio di pre-autenticazione denominato pre-web e un dominio di autenticazione denominato after-auth.

    <HUAWEI> system-view
    [~HUAWEI] aaa
    [*HUAWEI-aaa] domain pre-web
    [*HUAWEI-aaa-domain-pre-web] commit
    [~HUAWEI-aaa-domain-pre-web] quit
    [*HUAWEI-aaa] domain after-auth
    [*HUAWEI-aaa-domain-after-auth] commit
    [~HUAWEI-aaa-domain-after-auth] quit
    [~HUAWEI] quit

  2. Configurare gli schemi AAA e un gruppo di server RADIUS.

    # Configurare un gruppo di server RADIUS denominato rd2.

    [~HUAWEI] radius-server group rd2
    [*HUAWEI-radius-rd2] radius-server authentication 192.168.8.249 1812
    [*HUAWEI-radius-rd2] radius-server accounting 192.168.8.249 1813
    [*HUAWEI-radius-rd2] radius-server type standard
    [*HUAWEI-radius-rd2] radius-server shared-key-cipher Root@1234
    [*HUAWEI-radius-rd2] commit
    [~HUAWEI-radius-rd2] quit

    # Configurare uno schema di autenticazione denominato auth2, con l'autenticazione RADIUS specificata.

    [~HUAWEI] aaa
    [*HUAWEI-aaa] authentication-scheme auth2
    [*HUAWEI-aaa-authen-auth2] authentication-mode radius
    [*HUAWEI-aaa-authen-auth2] commit
    [~HUAWEI-aaa-authen-auth2] quit

    # Configurare uno schema di contabilità denominato acct2, con contabilità RADIUS specificata.

    [*HUAWEI-aaa] accounting-scheme acct2
    [*HUAWEI-aaa-accounting-acct2] accounting-mode radius
    [*HUAWEI-aaa-accounting-acct2] commit
    [~HUAWEI-aaa-accounting-acct2] quit
    [~HUAWEI-aaa] quit

    # Configurare uno schema di autenticazione denominato auth3, con non autenticazione specificata.

    [~HUAWEI] aaa
    [*HUAWEI-aaa] authentication-scheme auth3
    [*HUAWEI-aaa-authen-auth3] authentication-mode none
    [*HUAWEI-aaa-authen-auth3] commit
    [~HUAWEI-aaa-authen-auth3] quit

    # Configurare uno schema di contabilità denominato acct3, senza specificare la contabilità.

    [*HUAWEI-aaa] accounting-scheme acct3
    [*HUAWEI-aaa-accounting-acct3] accounting-mode none
    [*HUAWEI-aaa-accounting-acct3] commit
    [~HUAWEI-aaa-accounting-acct3] quit
    [~HUAWEI-aaa] quit

  3. Configurare un pool di indirizzi.

    [~HUAWEI] ip pool pool2 bas local
    [*HUAWEI-ip-pool-pool2] gateway 172.16.1.1 255.255.255.0
    [*HUAWEI-ip-pool-pool2] section 0 172.16.1.2 172.16.1.200
    [*HUAWEI-ip-pool-pool2] dns-server 192.168.8.252
    [*HUAWEI-ip-pool-pool2] commit
    [~HUAWEI-ip-pool-pool2] quit

  4. Configurare il reindirizzamento forzato a un server Web specificato nel dominio di pre-autenticazione pre-web e associare un gruppo di utenti che può accedere solo a risorse limitate, schema di autenticazione (non autenticazione) e schema di contabilità (non-contabilità) al dominio.

    [~HUAWEI] user-group web-before
    [*HUAWEI] aaa
    [*HUAWEI-aaa] http-redirect enable
    [*HUAWEI-aaa] domain pre-web
    [*HUAWEI-aaa-domain-pre-web] authentication-scheme auth3
    [*HUAWEI-aaa-domain-pre-web] accounting-scheme acct3
    [*HUAWEI-aaa-domain-pre-web] ip-pool pool2
    [*HUAWEI-aaa-domain-pre-web] user-group web-before
    [*HUAWEI-aaa-domain-pre-web] web-server 192.168.8.251
    [*HUAWEI-aaa-domain-pre-web] web-server url http://192.168.8.251

    # Configurare un server di autenticazione Web.

    [*HUAWEI] web-auth-server 192.168.8.251 key webvlan

    # Configurare la risposta rapida del web.

    [*HUAWEI] slot 1
    [*HUAWEI-slot-1] http-reply enable
    [*HUAWEI-slot-1] commit
    [~HUAWEI-slot-1] quit

    # Configurare le regole ACL.

    [~HUAWEI] acl number 6004
    [*HUAWEI-acl-ucl-6004] rule 3 permit ip source user-group web-before destination user-group web-before
    [*HUAWEI-acl-ucl-6004] rule 5 permit ip source user-group web-before destination ip-address any
    [~HUAWEI-acl-ucl-6004] quit
    [~HUAWEI] acl number 6005
    [*HUAWEI-acl-ucl-6005] rule 5 permit ip source user-group web-before destination ip-address 192.168.8.251 0
    [*HUAWEI-acl-ucl-6005] rule 10 permit ip source ip-address 192.168.8.251 0 destination user-group web-before
    [*HUAWEI-acl-ucl-6005] rule 15 permit ip source user-group web-before destination ip-address 192.168.8.252 0
    [*HUAWEI-acl-ucl-6005] rule 20 permit ip source ip-address 192.168.8.252 0 0 destination user-group web-before
    [*HUAWEI-acl-ucl-6005] rule 25 permit ip source user-group web-before destination ip-address 127.0.0.1 0
    [*HUAWEI-acl-ucl-6005] rule 30 permit ip source ip-address 127.0.0.1 0 destination user-group web-before
    [~HUAWEI-acl-ucl-6005] quit
    [~HUAWEI] acl number 6006
    [*HUAWEI-acl-ucl-6006] rule 5 permit ip destination user-group web-before
    [~HUAWEI-acl-ucl-6006] quit
    [~HUAWEI] acl number 6008
    [*HUAWEI-acl-ucl-6008] rule 5 permit tcp source user-group web-before destination-port eq www
    [*HUAWEI-acl-ucl-6008] rule 10 permit tcp source user-group web-before destination-port eq 8080
    [~HUAWEI-acl-ucl-6008] quit
    [~HUAWEI] acl number 6010
    [*HUAWEI-acl-ucl-6010] commit
    [~HUAWEI-acl-ucl-6010] quit

    # Configurare una politica del traffico.

    [~HUAWEI] traffic classifier web-out
    [*HUAWEI-classifier-web-out] if-match acl 6006
    [*HUAWEI-classifier-web-out] commit
    [~HUAWEI-classifier-web-out] quit
    [~HUAWEI] traffic classifier web-be-permit
    [*HUAWEI-classifier-web-be-permit] if-match acl 6005
    [*HUAWEI-classifier-web-be-permit] commit
    [~HUAWEI-classifier-web-be-permit] quit
    [~HUAWEI] traffic classifier http-before
    [*HUAWEI-classifier-http-before] if-match acl 6010
    [*HUAWEI-classifier-http-before] commit
    [~HUAWEI-classifier-http-before] quit
    [*HUAWEI] traffic classifier web-be-deny
    [*HUAWEI-classifier-web-be-deny] if-match acl 6004
    [*HUAWEI-classifier-web-be-deny] commit
    [~HUAWEI-classifier-web-be-deny] quit
    [~HUAWEI] traffic classifier redirect
    [*HUAWEI-classifier-redirect] if-match acl 6008
    [*HUAWEI-classifier-redirect] commit
    [~HUAWEI-classifier-redirect] quit
    [~HUAWEI] traffic behavior http-discard
    [HUAWEI-behavior-http-discard] car cir 0 cbs 0 green pass red discard
    [*HUAWEI-behavior-http-discard] commit
    [~HUAWEI-behavior-http-discard] quit
    [~HUAWEI] traffic behavior web-out
    [*HUAWEI-behavior-web-out] deny
    [*HUAWEI-behavior-web-out] commit
    [~HUAWEI-behavior-web-out] quit
    [~HUAWEI] traffic behavior perm1
    [*HUAWEI-behavior-perm1] permit
    [*HUAWEI-behavior-perm1] commit
    [~HUAWEI-behavior-perm1] quit
    [~HUAWEI] traffic behavior deny1
    [*HUAWEI-behavior-deny1] deny
    [~HUAWEI-behavior-deny1] quit
    [~HUAWEI] traffic behavior redirect
    [*HUAWEI-behavior-redirect] http-redirect plus
    [*HUAWEI-behavior-redirect] commit
    [~HUAWEI-behavior-redirect] quit
    [~HUAWEI] traffic policy web-out
    [*HUAWEI-policy-web-out] share-mode
    [*HUAWEI-policy-web-out] classifier web-be-permit behavior perm1
    [*HUAWEI-policy-web-out] classifier web-out behavior web-out
    [*HUAWEI-policy-web-out] commit
    [~HUAWEI-policy-web-out] quit
    [~HUAWEI] traffic policy web
    [*HUAWEI-policy-web] share-mode
    [*HUAWEI-policy-web] classifier web-be-permit behavior perm1
    [*HUAWEI-policy-web] classifier http-before behavior http-discard
    [*HUAWEI-policy-web] classifier redirect behavior redirect
    [*HUAWEI-policy-web] classifier web-be-deny behavior deny1
    [*HUAWEI-policy-web] commit
    [~HUAWEI-policy-web] quit

    # Applicare la politica del traffico a livello globale.

    [*HUAWEI] traffic-policy web inbound
    [*HUAWEI] traffic-policy web-out outbound

  5. Configurare il dominio di autenticazione after-auth.

    [*HUAWEI-aaa] domain after-auth
    [*HUAWEI-aaa-domain-after-auth] authentication-scheme auth2
    [*HUAWEI-aaa-domain-after-auth] accounting-scheme acct2
    [*HUAWEI-aaa-domain-after-auth] radius-server group rd2
    [*HUAWEI-aaa-domain-after-auth] commit
    [~HUAWEI-aaa-domain-after-auth] quit
    [HUAWEI-aaa] quit

  6. Configurare un dominio di pre-autenticazione, un dominio di autenticazione e un metodo di autenticazione su un'interfaccia BAS.

    [~HUAWEI] license
    [*HUAWEI-license]active bas slot 1
    [*HUAWEI-license] commit
    [~HUAWEI-license]quit
    [~HUAWEI] interface GigabitEthernet0/1/0
    [*HUAWEI-GigabitEthernet0/1/0] bas
    [*HUAWEI-GigabitEthernet0/1/0-bas] access-type layer2-subscriber default-domain pre-authentication pre-web authentication after-auth
    [*HUAWEI-GigabitEthernet0/1/0-bas] authentication-method web

File di configurazione

#
 sysname HUAWEI
#
license
 active bas slot 1
#
user-group web-before
#
radius-server group rd2
 radius-server authentication 192.168.8.249 1812 weight 0
 radius-server accounting 192.168.8.249 1813 weight 0 
 radius-server shared-key-cipher Root@1234
#
acl number 6004
 rule 3 permit ip source user-group web-before destination user-group web-before
 rule 5 permit ip source user-group web-before destination ip-address any
#
acl number 6005
 rule 5 permit ip source user-group web-before destination ip-address 192.168.8.251 0
 rule 10 permit ip source ip-address 192.168.8.251 0 destination user-group web-before
 rule 15 permit ip source user-group web-before destination ip-address 192.168.8.252 0
 rule 20 permit ip source ip-address 192.168.8.252 0 0 destination user-group web-before
 rule 25 permit ip source user-group web-before destination ip-address 127.0.0.1 0
 rule 30 permit ip source ip-address 127.0.0.1 0 destination user-group web-before
#
acl number 6006
 rule 5 permit ip destination user-group web-before
#
acl number 6008
 rule 5 permit tcp source user-group web-before destination-port eq www
 rule 10 permit tcp source user-group web-before destination-port eq 8080
#
traffic classifier web-out operator or
 if-match acl 6006
traffic classifier web-be-permit operator or
 if-match acl 6005
traffic classifier web-be-deny operator or
 if-match acl 6004
traffic classifier redirect operator or
 if-match acl 6008
#
traffic behavior web-out
 deny
traffic behavior perm1
traffic behavior deny1
 deny
traffic behavior redirect
 http-redirect
#
traffic policy web-out
 share-mode
 classifier web-be-permit behavior perm1
 classifier web-out behavior web-out
traffic policy web
 share-mode
 classifier web-be-permit behavior perm1
 classifier redirect behavior redirect    
 classifier web-be-deny behavior deny1
#
ip pool pool2 bas local
 gateway 172.16.1.1 255.255.255.0
 section 0 172.16.1.2 172.16.1.200
 dns-server  192.168.8.252
#
aaa
 http-redirect enable
 authentication-scheme auth2
 authentication-scheme auth3
  authentication-mode none
 #
 accounting-scheme acct2
 accounting-scheme acct3
  accounting-mode none
 #
  domain pre-web
  authentication-scheme auth3
  accounting-scheme acct3
  ip-pool pool2
  user-group web-before
  web-server 192.168.8.251
  web-server url http://192.168.8.251
  web-server url-parameter
  
 domain after-auth
  authentication-scheme auth2
  accounting-scheme acct2
  radius-server group rd2
#
interface GigabitEthernet0/1/0
 bas
 #
  access-type layer2-subscriber default-domain pre-authentication pre-web authentication after-auth
  authentication-method web
#
 traffic-policy web inbound
 traffic-policy web-out outbound
Download
Updated: 2019-05-16

N. documento: EDOC1100082601

Visualizzazioni:792

Download: 2

Average rating:
This Document Applies to these Products
Documenti correlati
Related Version
Share
Precedente Avanti