Portal典型配置案例(2)

2.2        802.1X和Portal同时使用组网方案

1.         组网图

　　图2 802.1X和Portal同时使用的组网方案图

　　2. 组网说明

　　这个案例融合了802.1X和Portal两种认证方式，用户访问内部局域网需要在S8505上进行802.1X认证，访问Internet需要在MA5200F上进行Portal认证，这样最大的保护了内网和外网的资源。

　　2.3 MA5200侧挂组网方案

　　1. 组网图

　　图3 Portal认证改造方案图

　　2. 组网说明

　　这是在已有网络上增加认证计费需求的一种改造方案。

　　如上图所示，在用的网络中没有MA5200F设备，蓝色实线标明了数据的流向，所有用户通过S8505访问Internet。

　　现在增加了认证计费的需求，那么有以下两种网络的改造方案：

　　I. 直接将S8505替换为MA5200F，需要对现有网络进行改造，并且无法保证是否不会对现有网络造成一定的影响；

　　II. 在S8505上侧挂一个MA5200F：这种方式对已建网络的改造最小，只需在挂接设备上（S8505）增加接入控制列表和修改默认路由，无需修改其他网络设备的硬件和软件配置，最大限度的保护了现有的网络资源。

　　如上图，采用侧挂方案，红色实线标明了改造后数据的流向。S8505作为交换机接入用户业务，接入的VLAN不配置三层功能只实现二层功能，在S8505与MA5200之间链路上配置三层接口，使S8505和MA5200F在该链路上同时实现三层和二层通路。实际运行时，S8505将所有用户的数据通过二层转发给MA5200，MA5200F对用户数据认证通过之后，以路由转发的方式交给S8505，S8505再进行三层转发。对于从外部到达用户的数据，其传递路径与上相反，S8505查找路由表，将报文通过三层转发给MA5200F，MA5200F在S8505的二层交换域内发给S8505，最终通过S8505透传给用户。

　　这种侧挂方案同样适用于新建网络，它可以减少主干网络的挂接点，保证主干拓扑的简捷、清晰，方便网络管理员对网络的监控和维护，同时，侧挂式的cams计费系统也利于以后的网络扩容和改造。

2.4        多个服务域组网方案

1.         组网图

　　图4 多服务域的组网方案图

　　2. 组网说明

　　该组网使用了多个服务域，和Portal的二次地址分配。

　　这种组网方案比较适用于校园网，社区网，公司网，以及类似的地理位置分布较广，并且不同的地方需要采用不同的认证计费方式的局域网。