Portal典型配置案例(8)

　　【说明】：添加一个新的计费方案Acct1

　　[MA5200F-aaa-accounting-acct1]accounting-mode radius

　　【说明】：在远端的radius服务器进行计费

　　同样，我们这里也是只配置了一个计费方案，而对于WEB认证之前用户获取地址的时候使用的也是default0里面的计费策略——不计费。

　　这里我们将Acct1这一个计费方案定义为了radius（远端）计费，也就是说采用这样的一个计费方案的用户是在远端计费服务器上进行计费的，当然在实际的开局中我们也可以根据实际的情况将计费方案设置为其它的类型，如local，这样的话这个用户将会在5200本地进行计费。

　　Step 5. 配置认证前的域

　　这里是给WEB认证前的域（default0）添加地址池。

　　[MA5200F-aaa-domain-default0]ip-pool first Huawei

　　【说明】：配置域里面的地址池，对于该域的认证和计费策略这里不用配置，采用默认的设置（不认证不计费）就可以了。

　　[MA5200F-aaa-domain-default0]ucl-group 1

　　【说明】：配置域下面用户所属的UCL组

　　Step 6. 配置认证时的域

　　这里配置的是进行WEB认证的时候所使用的域，用户在获取IP地址的时候使用的是default0的默认域。

　　在5200上面每一个用户都是属于一个指定的（或者是默认的）域的，因此，在进行用户的配置之前我们首先要配置用户所属的域的一些参数。

　　[MA5200F]aaa

　　【说明】：进入AAA视图

　　[MA5200F-aaa]domain isp

　　【说明】：新建一个名为isp的域

　　[MA5200F-aaa-domain-isp]authentication-scheme Auth1

　　[MA5200F-aaa-domain-isp]accounting-scheme Acct1

　　【说明】：指定该域的认证方案和计费方案

　　[MA5200F-aaa-domain-isp]radius-server group radius1

　　【说明】：指定该域所使用的raidus服务器

　　这里我们就将先前配置的radius服务器radius1指定为了此isp域所使用的radius服务器。这样属于isp域的用户都将到这样的一个radius服务器上进行认证。

　　Step 7.配置系统的ACL策略

　　这里所配置的ACL策略主要是针对认证前和认证后的用户来说的，上面我们在认证前和认证时的域里面指定了用户分别在认证前后属于不同的UCL组，现在我们就要针对这些不同的UCL组来进行ACL的控制，使得进行WEB认证前的用户只能访问WEB服务器，而WEB认证后的用户能够访问所有的资源。

　　[MA5200F]acl number 101 match-order auto

　　【说明】：进入增强型ACL配置视图，采用默认匹配模式。100到199是增强型ACL组，采用五元组进行控制。1到99是普通型的ACL组，采用三元组进行控制。

　　[MA5200F-acl-adv-101]rule user-net permit ip source 1 destination 202.11.1.2 0

　　[MA5200F-acl-adv-101]rule net-user permit ip source 202.11.1.2 0 destination 1