S7502E侧挂方式下与CAMS配合实现Portal认证的配置
一、 组网需求:
7502E侧挂在汇聚层交换机上,对下联交换机上的终端用户启用Portal认证。此组网方式适用于某些旧网改造的场景,最大程度上减少对已有网络设备的调整,并且与802.1x认证不同,此方式下对接入层交换机型号没有限制,从而大大降低了用户的部署成本。
二、 组网图:
CAMS版本:2.10-R0208P02
S7502E版本:Version 5.20, Ess 6101L01
iNode版本:2.40-C0328
三、 配置步骤:
适用设备和版本:CAMS所有版本、S7502E Version 5.20, Ess 6101L01及以后所有版本。
1. 配置S7502E-1
1) 配置重定向,将所有经过S7502E-1的流量重定向到S7502E-2
acl number 3000
rule 0 permit ip
#
traffic classifier test operator and
if-match acl 3000
#
traffic behavior test
redirect next-hop 10.1.33.10
#
qos policy test
classifier test behavior test
#
interface GigabitEthernet2/0/4
port access vlan 4000
description Test
qos apply policy test inbound
2) 配置缺省路由
ip route-static 0.0.0.0 0.0.0.0 10.1.11.254
3) 增加一条静态ARP配置,防止ARP老化导致流量重定向失败
arp static 10.1.33.10 000f-e260-0062 4003 GigabitEthernet2/0/3
2. 配置S7502E-2
1) 全局模式下配置Portal服务器相关信息
portal server cams ip 10.0.11.61 key cams url http://10.0.11.61/portal
2) 全局模式下将Portal Server的IP地址配置为Portal免认证用户
portal free-rule 0 source ip 10.0.11.61 mask 255.255.255.255 vlan 4003 destination any
3) 在连接用户的VLAN虚接口下使能Portal三层认证
interface Vlan-interface4003
description To_S7502E-1_OUT
ip address 10.1.33.10 255.255.255.252
portal server cams method layer3
4) 配置Radius认证方案
radius scheme cams
primary authentication 10.0.11.61
primary accounting 10.0.11.61
key authentication cams
key accounting cams
user-name-format without-domain
5) 配置认证域
domain cams
authentication portal radius-scheme cams
authorization portal radius-scheme cams
accounting portal radius-scheme cams
access-limit disable
state active
idle-cut disable
self-service-url disable
6) 指定缺省认证域
domain default enable cams
7) 配置缺省路由
ip route-static 0.0.0.0 0.0.0.0 10.1.33.5
8) 配置用户网段的明细路由
ip route-static 200.200.200.0 255.255.255.0 10.1.33.9
3. 配置S8505
1) 配置静态路由
ip route-static 10.1.33.4 255.255.255.252 10.1.11.253 preference 60
ip route-static 10.1.33.8 255.255.255.252 10.1.11.253 preference 60
ip route-static 200.200.200.0 255.255.255.0 10.1.11.253 preference 60
4. 配置CAMS服务器
1) 配置接入设备
2) 配置IP地址组
3) 配置Portal设备信息,密钥务必与设备侧配置保持一致
4) 配置设备端口组
CAMS服务器上配置服务和开户的步骤这里不再详述。
四、 配置关键点:
1) S7502E-1上配置一条静态ARP,指定重定向下一跳地址的ARP信息,防止ARP老化导致流量重定向失败。
2) 在本案例的组网模式下,需要在Portal设备上全局模式下将Portal Server的IP地址配置为Portal免认证用户。
3) 虽然入数据流不经过S7502E-2,但S7502E-2上仍必须配置用户网段的路由,与CAMS服务器上指定用户认证的IP地址范围的概念类似。
4) CAMS服务器上增加Portal设备时,IP地址必须指定为使能Portal认证的VLAN虚接口的接口IP地址,这点与添加接入设备时配置IP地址为设备上行口(与Radius服务器最近的接口)地址不同。
5) 在本案例的组网模式下,S8505上必须配置两台S7502E互连的两个地址段的路由。因为在设备V5版本中,用于Portal协议通讯的设备侧地址不再是上行VLAN虚接口的地址,而是使能Portal认证的VLAN虚接口的地址。用于Radius协议通讯的设备侧地址还是上行VLAN虚接口的地址。以典型配置为例,10.1.33.8网段的路由用于Portal协议通讯,10.1.33.4网段的路由用于Radius协议的通讯。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作