所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE40E V800R010C00 配置指南 - 用户接入 01

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置普通IPoE接入VPN(web认证)示例

配置普通IPoE接入VPN(web认证)示例

介绍一个IPoE接入VPN(web认证)业务的配置示例,结合配置组网图来理解业务的配置过程。配置示例包括组网需求、思路准备、操作步骤和配置文件。

组网需求

图6-5所示,普通IPoE接入组网需求为:

  • 用户归属于isp2域,从路由器的GE1/0/2接口下以普通IPoE方式接入。

  • 用户采用Web认证,并采用RADIUS认证模式和RADIUS计费模式。

  • RADIUS服务器地址为192.168.8.249,认证和计费端口分别是1812和1813,采用标准RADIUS协议,密钥为it-is-my-secret1。

  • 用户为VPN用户,所属VPN实例为vpn1。

  • DNS服务器地址为192.168.8.252。

  • Web认证服务器地址为192.168.8.251,密钥为webvlan。

  • 网络侧接口为GE1/0/1

图6-5  普通IPoE配置举例组网图
说明:

本例中interface1,interface2分别代表GE 1/0/1,GE 1/0/2



配置思路

普通IPoE接入VPN的配置思路如下:

  1. 配置VPN实例

  2. 配置认证方案和计费方案

  3. 配置RADIUS服务器组

  4. 配置地址池

  5. 配置Web认证的认证前域和认证域

  6. 配置Web认证服务器

  7. 配置ACL规则和流量管理策略

  8. 配置BAS接口和上行接口

数据准备

完成此配置举例,需要准备以下数据:

  • VPN实例名称、RD及VPN-Target

  • 认证模板的名称和认证方式

  • 计费模板的名称和计费方式

  • RADIUS服务器组名称,RADIUS认证服务器和RADIUS计费服务器的IP地址、端口号

  • 地址池名称、网关地址、DNS服务器地址

  • 域的名称

  • Web认证服务器地址

  • ACL规则

  • 流量管理策略

  • BAS接口参数

操作步骤

  1. 配置VPN实例

    <HUAWEI> system-view
    [~HUAWEI] ip vpn-instance vpn1
    [*HUAWEI-vpn-instance-vpn1] ipv4-family
    [*HUAWEI-vpn-instance-vpn1-af-ipv4] route-distinguisher 100:1
    [*HUAWEI-vpn-instance-vpn1-af-ipv4] vpn-target 100:1 both
    [*HUAWEI-vpn-instance-vpn1-af-ipv4] commit
    [~HUAWEI-vpn-instance-vpn1-af-ipv4] quit
    [~HUAWEI-vpn-instance-vpn1] quit

  2. 配置AAA方案

    # 配置认证方案。

    <HUAWEI> system-view
    [~HUAWEI] aaa
    [*HUAWEI-aaa] authentication-scheme auth2
    [*HUAWEI-aaa-authen-auth2] authentication-mode radius
    [*HUAWEI-aaa-authen-auth2] commit
    [~HUAWEI-aaa-authen-auth2] quit

    # 配置计费方案

    [*HUAWEI-aaa] accounting-scheme acct2
    [*HUAWEI-aaa-accounting-acct2] accounting-mode radius
    [*HUAWEI-aaa-accounting-acct2] commit
    [~HUAWEI-aaa-accounting-acct2] quit
    [~HUAWEI-aaa] quit

  3. 配置RADIUS服务器组

    [~HUAWEI] radius-server group rd2
    [*HUAWEI-radius-rd2] radius-server authentication 192.168.8.249 1812
    [*HUAWEI-radius-rd2] radius-server accounting 192.168.8.249 1813
    [*HUAWEI-radius-rd2] radius-server type standard
    [*HUAWEI-radius-rd2] radius-server shared-key-cipher it-is-my-secret1
    [*HUAWEI-radius-rd2] commit
    [~HUAWEI-radius-rd2] quit

  4. 配置地址池

    [~HUAWEI] ip pool pool2 bas local
    [*HUAWEI-ip-pool-pool2] gateway 10.82.1.1 255.255.255.0
    [*HUAWEI-ip-pool-pool2] section 0 10.82.1.2 10.82.1.200
    [*HUAWEI-ip-pool-pool2] dns-server 192.168.8.252
    [*HUAWEI-ip-pool-pool2] vpn-instance vpn1
    [*HUAWEI-ip-pool-pool2] commit
    [~HUAWEI-ip-pool-pool2] quit

  5. 配置域

    # 配置default0域,作为Web认证的认证前域。

    [~HUAWEI] user-group web-before
    [*HUAWEI] aaa
    [*HUAWEI-aaa] http-redirect enable
    [*HUAWEI-aaa] domain default0
    [*HUAWEI-aaa-domain-default0] ip-pool pool2
    [*HUAWEI-aaa-domain-default0] user-group web-before
    [*HUAWEI-aaa-domain-default0] web-server 192.168.8.251
    [*HUAWEI-aaa-domain-default0] web-server url http://192.168.8.251
    [*HUAWEI-aaa-domain-default0] vpn-instance vpn1
    [*HUAWEI-aaa-domain-default0] http-hostcar enable
    [*HUAWEI-aaa-domain-default0] commit
    [~HUAWEI-aaa-domain-default0] quit

    # 配置isp2域,作为Web认证的认证域。

    [*HUAWEI-aaa] domain isp2
    [*HUAWEI-aaa-domain-isp2] authentication-scheme auth2
    [*HUAWEI-aaa-domain-isp2] accounting-scheme acct2
    [*HUAWEI-aaa-domain-isp2] radius-server group rd2
    [*HUAWEI-aaa-domain-isp2] vpn-instance vpn1
    [*HUAWEI-aaa-domain-isp2] commit
    [~HUAWEI-aaa-domain-isp2] quit
    [~HUAWEI-aaa] quit
    说明:

    如果web认证域isp2配置了reallocate-ip-address命令使能了二次地址分配,isp2域应绑定地址池。此功能为可选功能,一般是没进行认证时前域分配一个私网地址,认证后后域再分配一个公网地址,可以较为有效的解决公网地址不足的问题,提高公网地址的利用率。

    但二次地址分配功能需要Web服务器遵循华为公司二次地址分配的私有协议,且客户端需要通过web服务载插件才能实现。

  6. 配置Web认证服务器

    [~HUAWEI] web-auth-server 192.168.8.251 key webvlan

  7. 配置ACL

    # 配置ACL规则。

    [~HUAWEI] acl number 6000
    [*HUAWEI-acl-ucl-6000] rule 20 permit tcp source user-group web-before destination-port eq www
    [*HUAWEI-acl-ucl-6000] acl number 6001
    [*HUAWEI-acl-ucl-6001] rule 5 permit ip source user-group web-before destination ip-address 192.168.8.251 0
    [*HUAWEI-acl-ucl-6001] rule 10 permit ip source user-group web-before destination ip-address 192.168.8.252 0
    [*HUAWEI-acl-ucl-6001] rule 15 permit ip source user-group web-before destination ip-address 127.0.0.1 0
    [*HUAWEI-acl-ucl-6001] commit
    [~HUAWEI-acl-ucl-6001] quit
    [~HUAWEI] acl number 6002
    [*HUAWEI-acl-ucl-6002] rule 30 permit ip source user-group web-before destination ip-address any 
    [*HUAWEI-acl-ucl-6002] rule 35 permit ip source ip-address any destination user-group web-before 
    [*HUAWEI-acl-ucl-6002] rule 35 permit ip source ip-address any destination user-group web-before 
    [~HUAWEI-acl-ucl-6002] quit

    # 配置流量管理策略。

    [~HUAWEI] traffic classifier c1
    [*HUAWEI-classifier-c1] if-match acl 6000
    [*HUAWEI-classifier-c2] commit
    [~HUAWEI-classifier-c2] quit
    [~HUAWEI] traffic classifier c2
    [*HUAWEI-classifier-c2] if-match acl 6001
    [*HUAWEI-classifier-c2] commit
    [~HUAWEI-classifier-c2] quit
    [~HUAWEI] traffic classifier c3
    [*HUAWEI-classifier-c3] if-match acl 6002
    [*HUAWEI-classifier-c3] commit
    [~HUAWEI-classifier-c3] quit
    [~HUAWEI] traffic behavior deny1
    [*HUAWEI-behavior-deny1] http-redirect plus
    [*HUAWEI-behavior-deny1] traffic behavior perm1
    [*HUAWEI-behavior-perm1] permit
    [*HUAWEI-behavior-perm1] commit
    [~HUAWEI-behavior-perm1] quit
    [~HUAWEI] traffic behavior deny2
    [*HUAWEI-behavior-deny2] deny
    [*HUAWEI-behavior-deny2] commit
    [~HUAWEI-behavior-deny2] quit
    [~HUAWEI] traffic policy action1
    [*HUAWEI-policy-action1] share-mode
    [*HUAWEI-policy-action1] classifier c2 behavior perm1
    [*HUAWEI-policy-action1] classifier c1 behavior deny1
    [*HUAWEI-policy-action1] classifier c3 behavior deny2
    [*HUAWEI-policy-action1] commit
    [~HUAWEI-policy-action1] quit

    # 在全局下应用策略。

    [~HUAWEI] traffic-policy action1 inbound
    [~HUAWEI] traffic-policy action1 outbound

  8. 配置接口

    # 配置BAS接口。

    [~HUAWEI] interface gigabitethernet1/0/2
    [*HUAWEI-GigabitEthernet1/0/2] bas
    [*HUAWEI-GigabitEthernet1/0/2-bas] access-type layer2-subscriber
    [*HUAWEI-GigabitEthernet1/0/2-bas] authentication-method web
    [*HUAWEI-GigabitEthernet1/0/2-bas] default-domain authentication isp2
    [*HUAWEI-GigabitEthernet1/0/2-bas] commit
    [*HUAWEI-GigabitEthernet1/0/2-bas] quit
    [*HUAWEI-GigabitEthernet1/0/2] quit

    # 配置上行接口。

    说明:

    上行接口连接MPLS网络,详细配置请参见《NE40E 配置指南-VPN》中BGP/MPLS IP VPN配置章节,此处略。

    [~HUAWEI] interface GigabitEthernet 1/0/1
    [*HUAWEI-GigabitEthernet1/0/1] ip address 192.168.8.1 255.255.255.0

配置文件

#
 sysname HUAWEI
#
 user-group web-before
#
ip vpn-instance vpn1
 ipv4-family
 route-distinguisher 100:1
 vpn-target 100:1 export-extcommunity
 vpn-target 100:1 import-extcommunity
#
 radius-server group rd2
 radius-server authentication 192.168.8.249 1812 weight 0
 radius-server accounting 192.168.8.249 1813 weight 0
 radius-server shared-key-cipher %^%#vS%796FO7%C~pB%CR=q;j}gSCqR-X6+P!.DYI@)%^%
#
acl number 6000
 rule 20 permit tcp source user-group web-before destination-port eq www
#
acl number 6001
 rule 5 permit ip source user-group web-before destination ip-address 192.168.8.251 0
 rule 10 permit ip source user-group web-before destination ip-address 192.168.8.252 0
 rule 15 permit ip source user-group web-before destination ip-address 127.0.0.1 0
#
acl number 6002
 rule 30 permit ip source user-group web-before destination ip-address any 
 rule 35 permit ip source ip-address any destination user-group web-before
#
traffic classifier c2 operator and
 if-match acl 6001
traffic classifier c1 operator and
 if-match acl 6000
traffic classifier c3 operator and
 if-match acl 6002
#
traffic behavior perm1
traffic behavior deny1
 http-redirect plus
traffic behavior deny2
 deny
#
traffic policy action1
 classifier c2 behavior perm1
 classifier c1 behavior deny1
 classifier c3 behavior deny2
traffic-policy action1 inbound
traffic-policy action1 outbound
#
interface GigabitEthernet1/0/2
 bas
  access-type layer2-subscriber  default-domain  authentication isp2
  authentication-method  web
#
interface GigabitEthernet1/0/1
 ip address 192.168.8.1 255.255.255.0
#
ip pool pool2 bas local
 vpn-instance vpn1
 gateway 10.82.1.1 255.255.255.0
 section 0 10.82.1.2 10.82.1.200
 dns-server  192.168.8.252
#
aaa
 http-redirect enable
 authentication-scheme  auth2
 accounting-scheme  acct2
 domain  default0
  web-server  192.168.8.251
  web-server url  http://192.168.8.251
  user-group   web-before
  vpn-instance  vpn1
  ip-pool   pool2
  http-hostcar enable 
 domain  isp2
  authentication-scheme   auth2
  accounting-scheme   acct2
  vpn-instance vpn1
  radius-server group  rd2
#
return
下载文档
更新时间:2018-07-12

文档编号:EDOC1100028564

浏览量:16350

下载量:207

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页