AR路由器如何配置Portal认证（二层网络）

规格

适用于所有版本、所有形态的AR路由器。

 说明：

4GE-2S、4ES2G-S、4ES2GP-S和9ES2单板不支持NAC功能。

组网需求

如图所示，某公司接待室需要部署一套身份认证系统，对接入网络的访客终端进行准入控制，确保只有合法用户终端才能接入网络。由于公司接待室的安全控制要求相对适中，为了便于维护，认证点不需要部署太多，所以要求将认证控制点部署在汇聚设备上。

由于Portal认证部署灵活，适用于流动用户；并且，汇聚设备Router与访客终端之间属于二层网络。因此，可在汇聚设备Router上部署二层Portal认证并结合RADIUS服务器（RADIUS服务器与Portal服务器集成在一起），对接入网络的访客终端进行准入控制。

配置二层Portal认证组网图

操作步骤

1. Router的配置

#

 sysname Router

#

vlan batch 10 20

#

domain isp1   //配置全局默认认证域

#

portal free-rule 1 destination ip 192.168.3.30 mask 255.255.255.0   //配置免认证规则，放行到DNS服务器的报文

#

dhcp enable   //使能DHCP服务

#

radius-server template rd1   //配置RADIUS服务器模板

 radius-server shared-key cipher %@%@@ny/&X<2DAnv8-265cj$rD9E%@%@   //配置RADIUS认证和计费密钥

 radius-server authentication 192.168.3.20 1812 weight 80   //配置认证服务器的IP地址

 radius-server accounting 192.168.3.20 1813 weight 80   //配置计费服务器的IP地址

#

web-auth-server s1   //配置Portal服务器模板

 server-ip 192.168.3.20   //配置Portal服务器的IP地址

 port 50200   //配置向Portal服务器主动发送报文时使用的目的端口号

 shared-key cipher %@%@,xFqU#9nf,!pRu4A'g#'(;%Z%@%@   //配置与Portal服务器通信的共享密钥

 url http://192.168.3.20:8080/webagent   //配置Portal认证页面URL

#

aaa

 authentication-scheme auth   //配置认证方案

  authentication-mode radius

 accounting-scheme acc   //配置计费方案

  accounting-mode radius

  accounting realtime 15

 domain isp1   //配置域，并在域下绑定认证方案、计费方案、RADIUS服务器模板

  authentication-scheme auth

  accounting-scheme acc

  radius-server rd1

#

interface Vlanif10

 ip address 192.168.1.1 255.255.255.0

 web-auth-server s1 direct   //使能二层Portal认证

 dhcp select interface   //配置DHCP服务器，为访客分配IP地址

 dhcp server dns-list 192.168.3.30   //把DNS服务器的地址通知给访客

#

interface Vlanif20

 ip address 192.168.2.1 255.255.255.0   //服务器区的网关地址

#

interface Ethernet2/0/0

 port link-type trunk

 port trunk allow-pass vlan 10

#

interface Ethernet2/0/1

 port link-type trunk

 port trunk allow-pass vlan 10

#

interface Ethernet2/0/2

 port link-type trunk

 port trunk allow-pass vlan 20

#

ip route-static 192.168.3.0 255.255.255.0 192.168.2.2   //配置到服务器区的路由

#

return

2. 检查配置结果

· 访客访问网络时，被重定向至Portal认证页面，输入正确的用户名和密码，认证通过后自动跳转到访问的页面。

· 认证通过后，执行命令display access-user，可以看到在线用户信息。

配置注意事项

配置之前需确保网络中各设备之间已能互通。

配置过程中的共享密钥（RADIUS认证和计费密钥、Portal密钥）、计费周期等参数，路由器侧与服务器侧必须要配置一致。