学校路由器场景配置案例：Web认证（输入HTTPS网址）+限速示例

配置Web认证（输入HTTPS网址）+限速示例

介绍配置Web认证（输入HTTPS网址）+限速的配置示例。

适用产品和版本

适用于V600R008C10及以后版本的NE40E/ME60系列产品。

组网需求

如图1-13所示，Web认证（输入HTTPS网址）+限速的组网需求为：

• 在设备上配置user-group，IP地址池，认证前域和后域，BAS接口
• 配置认证计费方案、RADIUS服务器，前域不认证不计费，后域配置为RADIUS认证计费
• 配置ACL，实现如图1-12所示的引流功能：
• 配置ACL，使得用户Web认证前只能访问Web服务器和DNS服务器，访问其他网页被重定向
• 配置ACL，匹配前域用户的DNS报文，配置dns-redirect
• 图1-12 DNS重定向流程图

配置Web认证（输入HTTPS网址）+限速示例

介绍配置Web认证（输入HTTPS网址）+限速的配置示例。

适用产品和版本

适用于V600R008C10及以后版本的NE40E/ME60系列产品。

组网需求

如图1-13所示，Web认证（输入HTTPS网址）+限速的组网需求为：

• 在设备上配置user-group，IP地址池，认证前域和后域，BAS接口
• 配置认证计费方案、RADIUS服务器，前域不认证不计费，后域配置为RADIUS认证计费
• 配置ACL，实现如图1-12所示的引流功能：
• 配置ACL，使得用户Web认证前只能访问Web服务器和DNS服务器，访问其他网页被重定向
• 配置ACL，匹配前域用户的DNS报文，配置dns-redirect
• 图1-12 DNS重定向流程图
• 配置Web认证（输入HTTPS网址）+限速示例
• 介绍配置Web认证（输入HTTPS网址）+限速的配置示例。
• 适用产品和版本
• 适用于V600R008C10及以后版本的NE40E/ME60系列产品。
• 组网需求
• 如图1-13所示，Web认证（输入HTTPS网址）+限速的组网需求为：
• 在设备上配置user-group，IP地址池，认证前域和后域，BAS接口
• 配置认证计费方案、RADIUS服务器，前域不认证不计费，后域配置为RADIUS认证计费
• 配置ACL，实现如图1-12所示的引流功能：
• 配置ACL，使得用户Web认证前只能访问Web服务器和DNS服务器，访问其他网页被重定向
• 配置ACL，匹配前域用户的DNS报文，配置dns-redirect
• 图1-12 DNS重定向流程图

配置Web认证（输入HTTPS网址）+限速示例

介绍配置Web认证（输入HTTPS网址）+限速的配置示例。

适用产品和版本

适用于V600R008C10及以后版本的NE40E/ME60系列产品。

组网需求

如图1-13所示，Web认证（输入HTTPS网址）+限速的组网需求为：

• 在设备上配置user-group，IP地址池，认证前域和后域，BAS接口
• 配置认证计费方案、RADIUS服务器，前域不认证不计费，后域配置为RADIUS认证计费
• 配置ACL，实现如图1-12所示的引流功能：
• 配置ACL，使得用户Web认证前只能访问Web服务器和DNS服务器，访问其他网页被重定向
• 配置ACL，匹配前域用户的DNS报文，配置dns-redirect
• 图1-12 DNS重定向流程图

• 在设备上配置qos-profile限速10M，并在认证后域里应用该qos-profile

图1-13 Web认证（输入HTTPS网址）+限速配置举例组网图

表1-24 网络规划数据

配置思路

1. 配置AAA方案
2. 配置RADIUS服务器组
3. 配置域
4. 配置ACL
5. 配置流分类、流量管理策略
6. 配置qos-profile限速

操作步骤

1. 在设备上配置：

//配置AAA认证方案
#
aaa
 authentication-scheme none
 authentication-mode none
#
aaa
 authentication-scheme radius
 authentication-mode radius
#
//配置AAA计费方案
#
aaa
 accounting-scheme none
 accounting-mode none
#
aaa
 accounting-scheme radius
 accounting-mode radius
//配置RADIUS服务器组
#
radius-server group 13
 radius-server authentication 10.9.7.13 1812
 radius-server accounting 10.9.7.13 1813
//配置地址池
#
ip pool pool1 bas local
 gateway 172.20.0.1 255.255.255.0
 section 0 172.20.0.2 172.20.0.10 
//配置用户组
#
user-group web-before
//定义ACL规则
#
//定义ACL规则6000，匹配web-before用户组到Web认证服务器和DNS服务器之间的访问流量，以便允许此类流量通过
acl number 6000
 rule 5 permit ip source user-group web-before destination ip-address 10.1.1.2 0
 rule 10 permit ip source user-group web-before destination ip-address 172.16.0.2 0
#
//定义ACL规则6001，匹配源地址为web-before用户组的流量，以便阻止此类流量的访问
acl number 6001
 rule 5 permit ip source user-group web-before
#
//定义ACL规则6002，匹配DNS报文，以便实现DNS重定向
acl number 6002 
 rule 5 permit udp source-port eq dns destination user-group web-before
#
//定义流分类
#
traffic classifier c1
 if-match acl 6000
traffic classifier c2
 if-match acl 6001
traffic classifier c3
 if-match acl 6002
//定义流行为
#
traffic behavior b1
 permit
traffic behavior b2
 deny
traffic behavior b3
 dns-redirect
//定义流量策略
#
traffic policy p1
 classifier c1 behavior b1 //允许web-before用户组到Web服务器和DNS服务器的流量通过
 classifier c2 behavior b2 //阻止web-before用户组的其余流量
traffic policy dns
 share-mode
 classifier c3 behavior b3 precedence 1 //DNS重定向
//应用流量策略
#
traffic-policy p1 inbound
traffic-policy dns outbound
//配置qos-profile
#
qos-profile 10M
 car cir 10000 inbound
 car cir 10000 outbound
#
//配置domain1
#
aaa 
 domain domain1 
 authentication-scheme none 
 accounting-scheme none 
 ip-pool pool1 
 user-group web-before 
 dns-redirect web-server 10.1.1.2 
 web-server url http://10.1.1.2:85/portal 
 max-ipuser-reauthtime 0 
//配置isp1域
#
aaa
 domain isp1 
 authentication-scheme radius 
 accounting-scheme radius 
 radius-server group 13 
 qos-profile 10M inbound 
 qos-profile 10M outbound
//配置BAS接口
#
interface GigabitEthernet 0/1/2.1
 vlan-type dot1q 1
 ip address 192.168.1.1 255.255.255.0
 bas
 #
 access-type layer3-subscriber default-domain pre-authentication domain1
//配置上行接口
#
interface GigabitEthernet 0/1/1
 ip address 172.16.0.1 255.255.255.0
#

2.验证配置结果

• 执行命令display access-user domain isp1查看用户所属的上线用户信息。