学校路由器场景配置案例:Web认证(输入HTTPS网址)+限速示例
配置Web认证(输入HTTPS网址)+限速示例
介绍配置Web认证(输入HTTPS网址)+限速的配置示例。
适用产品和版本
适用于V600R008C10及以后版本的NE40E/ME60系列产品。
组网需求
如图1-13所示,Web认证(输入HTTPS网址)+限速的组网需求为:
- 在设备上配置user-group,IP地址池,认证前域和后域,BAS接口
- 配置认证计费方案、RADIUS服务器,前域不认证不计费,后域配置为RADIUS认证计费
- 配置ACL,实现如图1-12所示的引流功能:
- 配置ACL,使得用户Web认证前只能访问Web服务器和DNS服务器,访问其他网页被重定向
- 配置ACL,匹配前域用户的DNS报文,配置dns-redirect
- 图1-12 DNS重定向流程图
配置Web认证(输入HTTPS网址)+限速示例
介绍配置Web认证(输入HTTPS网址)+限速的配置示例。
适用产品和版本
适用于V600R008C10及以后版本的NE40E/ME60系列产品。
组网需求
如图1-13所示,Web认证(输入HTTPS网址)+限速的组网需求为:
- 在设备上配置user-group,IP地址池,认证前域和后域,BAS接口
- 配置认证计费方案、RADIUS服务器,前域不认证不计费,后域配置为RADIUS认证计费
- 配置ACL,实现如图1-12所示的引流功能:
- 配置ACL,使得用户Web认证前只能访问Web服务器和DNS服务器,访问其他网页被重定向
- 配置ACL,匹配前域用户的DNS报文,配置dns-redirect
- 图1-12 DNS重定向流程图
- 配置Web认证(输入HTTPS网址)+限速示例
- 介绍配置Web认证(输入HTTPS网址)+限速的配置示例。
- 适用产品和版本
- 适用于V600R008C10及以后版本的NE40E/ME60系列产品。
- 组网需求
- 如图1-13所示,Web认证(输入HTTPS网址)+限速的组网需求为:
- 在设备上配置user-group,IP地址池,认证前域和后域,BAS接口
- 配置认证计费方案、RADIUS服务器,前域不认证不计费,后域配置为RADIUS认证计费
- 配置ACL,实现如图1-12所示的引流功能:
- 配置ACL,使得用户Web认证前只能访问Web服务器和DNS服务器,访问其他网页被重定向
- 配置ACL,匹配前域用户的DNS报文,配置dns-redirect
- 图1-12 DNS重定向流程图
配置Web认证(输入HTTPS网址)+限速示例
介绍配置Web认证(输入HTTPS网址)+限速的配置示例。
适用产品和版本
适用于V600R008C10及以后版本的NE40E/ME60系列产品。
组网需求
如图1-13所示,Web认证(输入HTTPS网址)+限速的组网需求为:
- 在设备上配置user-group,IP地址池,认证前域和后域,BAS接口
- 配置认证计费方案、RADIUS服务器,前域不认证不计费,后域配置为RADIUS认证计费
- 配置ACL,实现如图1-12所示的引流功能:
- 配置ACL,使得用户Web认证前只能访问Web服务器和DNS服务器,访问其他网页被重定向
- 配置ACL,匹配前域用户的DNS报文,配置dns-redirect
- 图1-12 DNS重定向流程图
- 在设备上配置qos-profile限速10M,并在认证后域里应用该qos-profile
图1-13 Web认证(输入HTTPS网址)+限速配置举例组网图
表1-24 网络规划数据
配置思路
- 配置AAA方案
- 配置RADIUS服务器组
- 配置域
- 配置ACL
- 配置流分类、流量管理策略
- 配置qos-profile限速
操作步骤
- 在设备上配置:
//配置AAA认证方案 # aaa authentication-scheme none authentication-mode none # aaa authentication-scheme radius authentication-mode radius # //配置AAA计费方案 # aaa accounting-scheme none accounting-mode none # aaa accounting-scheme radius accounting-mode radius //配置RADIUS服务器组 # radius-server group 13 radius-server authentication 10.9.7.13 1812 radius-server accounting 10.9.7.13 1813 //配置地址池 # ip pool pool1 bas local gateway 172.20.0.1 255.255.255.0 section 0 172.20.0.2 172.20.0.10 //配置用户组 # user-group web-before //定义ACL规则 # //定义ACL规则6000,匹配web-before用户组到Web认证服务器和DNS服务器之间的访问流量,以便允许此类流量通过 acl number 6000 rule 5 permit ip source user-group web-before destination ip-address 10.1.1.2 0 rule 10 permit ip source user-group web-before destination ip-address 172.16.0.2 0 # //定义ACL规则6001,匹配源地址为web-before用户组的流量,以便阻止此类流量的访问 acl number 6001 rule 5 permit ip source user-group web-before # //定义ACL规则6002,匹配DNS报文,以便实现DNS重定向 acl number 6002 rule 5 permit udp source-port eq dns destination user-group web-before # //定义流分类 # traffic classifier c1 if-match acl 6000 traffic classifier c2 if-match acl 6001 traffic classifier c3 if-match acl 6002 //定义流行为 # traffic behavior b1 permit traffic behavior b2 deny traffic behavior b3 dns-redirect //定义流量策略 # traffic policy p1 classifier c1 behavior b1 //允许web-before用户组到Web服务器和DNS服务器的流量通过 classifier c2 behavior b2 //阻止web-before用户组的其余流量 traffic policy dns share-mode classifier c3 behavior b3 precedence 1 //DNS重定向 //应用流量策略 # traffic-policy p1 inbound traffic-policy dns outbound //配置qos-profile # qos-profile 10M car cir 10000 inbound car cir 10000 outbound # //配置domain1 # aaa domain domain1 authentication-scheme none accounting-scheme none ip-pool pool1 user-group web-before dns-redirect web-server 10.1.1.2 web-server url http://10.1.1.2:85/portal max-ipuser-reauthtime 0 //配置isp1域 # aaa domain isp1 authentication-scheme radius accounting-scheme radius radius-server group 13 qos-profile 10M inbound qos-profile 10M outbound //配置BAS接口 # interface GigabitEthernet 0/1/2.1 vlan-type dot1q 1 ip address 192.168.1.1 255.255.255.0 bas # access-type layer3-subscriber default-domain pre-authentication domain1 //配置上行接口 # interface GigabitEthernet 0/1/1 ip address 172.16.0.1 255.255.255.0 #
2.验证配置结果
- 执行命令display access-user domain isp1查看用户所属的上线用户信息。