在MA5200F上通过配置多个认证前域实现不同网段的PORTAL认证的案例
问题描述
在之前我们的MA5200F的配置实例中,都是采用系统的一个默认认证前域default0,在这个认证前域当中,系统缺省引用了不认证和不计费的方案。但是在MA5200F的实现上,目前只能配置一个ip-pool,这样就有一个问题,所有的用户网段全是一个大的网段。
如果用户想给下面的用户分配不同的网段,或者在网络改造过程中,原网络有多个网段需要进行web认证,这在使用一个default0域的情况下无法满足用户的需求。
采取措施
1、例如我们配置了多个ip pool
ip pool pool1 local
gateway 1.1.1.1 255.255.255.0
section 0 1.1.1.2 1.1.1.10
ip pool pool2 local
gateway 2.2.2.1 255.255.255.0
section 0 2.2.2.2 2.2.2.10
2、可以配置一个不认证的方案
[MA5200F-aaa]authentication-scheme Auth1
[MA5200F-aaa-authen-auth1]authentication-mode none
3、我们再配置一个不计费的方案
[MA5200F-aaa]accounting-scheme Acct1
[MA5200F-aaa-accounting-acct1]accounting-mode none
4、我们可以配置多个认证前域引用地址池,认证和计费方案
domain free1
authentication-scheme auth1
accounting-scheme acct1
ucl-group 1
ip-pool pool1
domain free2
authentication-scheme auth1
accounting-scheme acct1
ucl-group 1
ip-pool pool2
5、可以注意到在上面配置中把这些认证的前域ucl-group都设置为1,这样在设置acl控制认证前域的权限时一条就可以对所有的认证前域生效。
6、在配置vlan端口时,可以让不同的vlan端口引用不同的认证权限
[MA5200F-ethernet1-1-vlan1-1]default-domain pre-authentication free1 authentication isp
[MA5200F-ethernet2-1-vlan1-1]default-domain pre-authentication free2 authentication isp
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作