所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R010C00 配置指南-用户接入与认证

本文档介绍了用户接入与认证的相关特性,主要包括AAA、DAA、NAC、PPPoE、策略联动、IP Session。分别从特性原理、配置过程和配置举例等方面进行介绍。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置设备作为PPPoE Server,使校园网PPPoE用户安全接入Internet示例

配置设备作为PPPoE Server,使校园网PPPoE用户安全接入Internet示例

组网需求

图7-8所示,某校园网内大量用户希望通过Switch(作为接入设备)接入Internet网络。为确保网络的安全性,管理员需对用户终端的网络访问权限进行集中管理、集中控制,保障用户间互相独立,互不干扰。

管理员可以配置设备作为PPPoE Server,对用户终端的网络访问权限进行控制,用户通过PPPoE认证后,Switch才允许其访问Internet中的资源。

图7-8  配置设备作为PPPoE Server,使校园网PPPoE用户安全接入Internet组网图

配置思路

为实现对用户网络访问权限进行限制的需求,管理员可在Switch上配置PPPoE认证功能。

具体配置思路如下:

  1. 创建VLAN并配置接口允许通过的VLAN,保证网络通畅。
  2. 创建本地IP地址池,然后使用本地地址池给PPPoE用户分配IP地址
  3. Switch上创建并配置RADIUS服务器模板、AAA方案以及认证域等,保证RADIUS服务器能够对用户进行认证。
  4. Switch上配置PPPoE认证。
    1. 创建虚拟接口模板,在虚拟模板下配置PPP协商参数,包括协商认证模式、握手报文重传次数、协商超时时间间隔以及最大接收单元值。
    2. 在接口下绑定创建的虚拟接口模板,启用PPPoE Server。

操作步骤

  1. 创建VLAN并配置接口允许通过的VLAN,保证网络通畅。

    # 创建VLAN10和VLAN20。

    <HUAWEI> system-view
    [HUAWEI] vlan batch 10 20
    

    # 配置Switch与用户连接的接口GE1/0/1为hybrid类型接口,并将GE1/0/1加入VLAN10。

    [HUAWEI] interface gigabitethernet 1/0/1
    [HUAWEI-GigabitEthernet1/0/1] port link-type hybrid
    [HUAWEI-GigabitEthernet1/0/1] port hybrid tagged vlan 10
    [HUAWEI-GigabitEthernet1/0/1] quit
    说明:

    设备与用户连接的接口类型与接口加入的VLAN应以用户实际所属VLAN为准,此处假设所有的用户都被划分到VLAN10。

    # 配置Switch连接RADIUS服务器的接口GE1/0/2为Access类型接口,并将GE1/0/2加入VLAN20。

    [HUAWEI] interface gigabitethernet 1/0/2
    [HUAWEI-GigabitEthernet1/0/2] port link-type access
    [HUAWEI-GigabitEthernet1/0/2] port default vlan 20
    [HUAWEI-GigabitEthernet1/0/2] quit

    # 创建VLANIF10和VLANIF20,并配置VLANIF20的IP地址,以使用户终端、Switch、校园网资源之间能够建立起路由。此处假设VLANIF20的IP地址为192.168.2.29/24。

    [HUAWEI] interface vlanif 10
    [HUAWEI-Vlanif10] quit
    [HUAWEI] interface vlanif 20
    [HUAWEI-Vlanif20] ip address 192.168.2.29 24
    [HUAWEI-Vlanif20] quit
    

  2. 创建本地IP地址池。

    [HUAWEI] ip pool ippool1
    [HUAWEI-ip-pool-ippool1] network 192.168.1.0 mask 24
    [HUAWEI-ip-pool-ippool1] gateway-list 192.168.1.20
    [HUAWEI-ip-pool-ippool1] quit

  3. 创建并配置RADIUS服务器模板、AAA认证方案以及认证域。

    # 创建并配置RADIUS服务器模板“rd1”。

    [HUAWEI] radius-server template rd1
    [HUAWEI-radius-rd1] radius-server authentication 192.168.2.30 1812
    [HUAWEI-radius-rd1] radius-server shared-key cipher Huawei@123
    [HUAWEI-radius-rd1] radius-server retransmit 2
    [HUAWEI-radius-rd1] quit

    # 创建AAA方案“abc”并配置认证方式为RADIUS。

    [HUAWEI] aaa
    [HUAWEI-aaa] authentication-scheme abc
    [HUAWEI-aaa-authen-abc] authentication-mode radius
    [HUAWEI-aaa-authen-abc] quit

    # 创建业务方案“pppoe”。

    [HUAWEI-aaa] service-scheme pppoe
    [HUAWEI-aaa-service-pppoe] ip-pool ippool1
    [HUAWEI-aaa-service-pppoe] quit

    # 创建认证域“isp1”,并在其上绑定AAA认证方案“abc”、RADIUS服务器模板“rd1”以及业务方案“pppoe”。

    [HUAWEI-aaa] domain isp1
    [HUAWEI-aaa-domain-isp1] authentication-scheme abc
    [HUAWEI-aaa-domain-isp1] radius-server rd1
    [HUAWEI-aaa-domain-isp1] service-scheme pppoe
    [HUAWEI-aaa-domain-isp1] quit

    # 配置全局默认域为“isp1”。用户进行接入认证时,以格式“user@isp1”输入用户名即可在isp1域下进行aaa认证。如果用户名中不携带域名或携带的域名不存在,用户将会在默认域中进行认证。

    [HUAWEI-aaa] quit
    [HUAWEI] domain isp1

  4. Switch配置PPPoE认证。

    # 配置虚拟接口模板。

    [HUAWEI] interface virtual-template 1
    [HUAWEI-Virtual-Template1] ip address 192.168.1.20 24
    [HUAWEI-Virtual-Template1] ppp authentication-mode chap
    [HUAWEI-Virtual-Template1] ppp keepalive retransmit 4
    [HUAWEI-Virtual-Template1] ppp mru 1400
    [HUAWEI-Virtual-Template1] ppp timer negotiate 5
    [HUAWEI-Virtual-Template1] quit

    # 在接口上启用PPPoE Server。

    [HUAWEI] interface vlanif 10
    [HUAWEI-Vlanif10] pppoe-server bind virtual-template 1
    [HUAWEI-Vlanif10] quit

  5. 查看PPPoE的配置信息。

    [HUAWEI] interface virtual-template 1
    [HUAWEI-Virtual-Template1] display this
    #                                                                               
    interface Virtual-Template1                                                     
     ppp keepalive retransmit 4                                                     
     ppp mru 1400                                                                   
     ppp timer negotiate 5                                                          
     ip address 192.168.1.20 255.255.255.0                                              
    #                                                                               
    return                                        

配置文件

# Switch的配置文件

#                                     
vlan batch 10 20
#                                    
domain isp1
#
radius-server template rd1
 radius-server shared-key cipher %^%#Q75cNQ6IF(e#L4WMxP~%^7'u17,]D87GO{"[o]`D%^%#
 radius-server authentication 192.168.2.30 1812 weight 80
 radius-server retransmit 2
#
ip pool ippool1                          
 gateway-list 192.168.1.20              
 network 192.168.1.0 mask 255.255.255.0      
#
aaa
 authentication-scheme abc
  authentication-mode radius
 service-scheme pppoe        
  ip-pool ippool1           
 domain isp1
  authentication-scheme abc
  service-scheme pppoe
  radius-server rd1
#                         
interface Vlanif10                            
 pppoe-server bind virtual-template 1             
#                                                                
interface Vlanif20                                        
 ip address 192.168.2.29 255.255.255.0 
#                                                                               
interface Virtual-Template1                                                     
 ppp keepalive retransmit 4                                                     
 ppp mru 1400                                                                   
 ppp timer negotiate 5                                                          
 ip address 192.168.1.20 255.255.255.0                                              
#
interface GigabitEthernet1/0/1
 port link-type hybrid         
 port hybrid tagged vlan 10                                             
#                                                                              
interface GigabitEthernet1/0/2            
 port link-type access                                                          
 port default vlan 20
#                                                         
return
翻译
下载文档
更新时间:2019-12-28

文档编号:EDOC1000141386

浏览量:19990

下载量:353

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页