SecPath ACG+CAMS实现认证计费的典型配置
一、 组网需求:
客户端用户(Client)通过启动客户端软件发起802.1x认证, 认证通过后用户接入网络成功,如果用户进一步访问某收费网站,则需要通过 ACG+CAMS进行二次认证成功后,开始计费才可以访问某收费网站。同时可配合ACG可以对各种流量进行阻断、限速等操作。
二、 组网图:
SecPath ACG2000-M:版本为IMW110-E6101;
Cams版本: CamsPlatformF0211-win.zip(平台)
CamsLanF0211-win.zip(认证)
CamsBillF0211-win.zip(计费)
CAMS2.10-F0211P13.zip(补丁)
三、 配置步骤
1.基本参数配置:
1.1 CAMS服务器管理IP:192.168.100.138/24(与交换机1/0/19口相连)
1.2 ACG管理口m0/0 IP:192.168.100.173/24(与交换机1/0/8口相连)
业务口e0/2(与交换机1/0/7口相连)
业务口e0/3(与HTTP服务器相连)
1.3 HTTP服务器IP:192.168.100.141/24
1.4 PC Client:安装802.1x协议的认证客户端(与交换机1/0/20口相连)
2. 交换机配置:
2.1 vlan划分
[5500-SI]vlan 30
[5500-SI-vlan30]port Ethernet 1/0/7
[5500-SI-vlan30]port Ethernet 1/0/8
[5500-SI-vlan30]port Ethernet 1/0/19
[5500-SI-vlan30]port Ethernet 1/0/20
[5500-SI-vlan30]q
[5500-SI]interface Vlan-interface 30
[5500-SI-Vlan-interface30]ip address 192.168.100.153 255.255.255.0
2.2 Radius参数配置
[5500-SI]radius scheme lxb_scheme
[5500-SI-radius-lxb_scheme]server-type standard
[5500-SI-radius-lxb_scheme]primary authentication 192.168.100.138 1812
[5500-SI-radius-lxb_scheme]primary accounting 192.168.100.138 1813
[5500-SI-radius-lxb_scheme]key authentication test
[5500-SI-radius-lxb_scheme]key accounting test
[5500-SI-radius-lxb_scheme]user-name-format without-domain
2.3 Domain配置
[5500-SI]domain lxb_domain
[5500-SI-isp-lxb_domain]scheme radius-scheme lxb_scheme
[5500-SI-isp-lxb_domain]authentication radius-scheme lxb_scheme
[5500-SI-isp-lxb_domain]accounting radius-scheme lxb_scheme
2.4 Dot1X配置
[5500-SI]dot1x
[5500-SI]interface Ethernet 1/0/20
[5500-SI-Ethernet 1/0/20]dot1x
3.ACG web配置:
3.1在“对象管理>动作管理>阻断动作列表”里面设置阻断动作。
3.2 在“对象管理>动作管理>动作集”里面将刚才配置的阻断动作添加到动作集里。
3.3 配置一条“unauth”的策略;将默认规则的动作集设置为block,然后创建一条新规则,引用redir动作集。服务选择“Internet”。
3.4 配置一条“auth”策略;应用默认规则即可。
3.5 将这两条策略引用在“段策略管理”上。
3.6在“准入控制>用户计费策略列表”中“添加用户计费策略”,选择“auth”策略,上下行方向,激活后生效。
3.7(可选)配置内部某特定IP或网段无需计费,Dot1X认证成功后直接访问外网。
3.7.1 配置一条“in”策略;应用默认规则即可。
3.7.2 在“段策略管理”在引用该策略,激活后生效。
3.8(可选)配置外部某特定免费资源对应的IP,Dot1X认证成功后直接访问该IP地址。
3.8.1 配置一条“out”策略;应用默认规则即可。
3.8.2 在“段策略管理”在引用该策略,激活后生效。
4.ACG命令行配置:
配置radius服务器。
[H3C]radius-server auth 192.168.100.138 1812 key test
[H3C]radius-server acc 192.168.100.138 1813 key test
启用AAA功能。
[H3C]aaa web-auth authentication radius auth
[H3C]aaa web-auth accounting radius acc
5.CAMS配置:
5.1 登录CAMS服务器网页,在“系统管理 > 系统配置 > 接入设备配置”里添加ACG设备的IP和密钥(key),和交换机vlan的IP和密钥(key),即前面所配置的test,保存后需立即生效。
5.2 添加完保存后,点击<立即生效>,即生效。
5.3 在“资费管理 >计费策略”里配置一个计费策略。
5.4 在“服务管理 >服务配置”里添加两个服务,:一个为dot1x服务(不计费),一个为认证计费服务(套用上述计费策略,并且创建该时“服务后缀”必须填写ACG中配置的radius服务器名称:auth )。
5.5 最后在“用户管理 >账号用户”添加一个用户,套用上述两个服务。
四、 测试结果:
1. PC Client想要访问HTTP资源,首先必须通过802.1X认证。
输入正确的用户名和密码,认证成功,此时用户可以访问免费网站(如上述3.8配置的60.1.1.1)。
2. 当用户访问HTTP服务器(192.168.100.141)时,会触发ACG的“unauth”策略,将HTTP请求重定向到特定的网页:192.168.100.173:9876.
输入正确的用户名和密码后,会弹出下列提示框(注:千万不要关闭此提示框,可以将其最小化),用户便可访问外网,此时CAMS也开始计费。
另外特别注意:在ACG的准入控制页面里有关于计费服务器的配置,这里是我们大家最容易弄错的地方。如图:
我们一直以为必须在这里加上计费服务器的地址,才能正常计费。实际上这个计费服务器与流量计费功能并没有关系。这个功能是和下面的在线用户管理一起构成另一个功能,即通过ACG查看当前在线用户的信息,有点类似于现在ACG Manager做的用户名反查功能。如果配了这个计费服务器,ACG就会从经过它的radius报文中获取与该服务器相关的用户信息,从而显示在web上。
并且这个功能和流量计费一起使用的话会有问题,如果ACG将radius报文中的用户名读出显示在web上的话,ACG就会把这个用户当成已认证用户,我们的二次认证页面就不会弹出。之前在搭建插卡的流量计费环境时,我们将PC和cams的报文排除,就是为了避免这个问题。实际上,如果我们不在这里配计费服务器的话,即使radius报文通过ACG也不会有问题。这是之前的一个误解!
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作