扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
[MA5200F-acl-adv-101]rule user-net permit ip source 1 destination 192.168.8.188 0
[MA5200F-acl-adv-101]rule net-user permit ip source 192.168.8.188 0 destination 1
【说明】:配置对于WEB认证前的用户只能访问WEB服务器和DNS服务器,以上的配置指定了UCL group 1的用户能够访问WEB服务器。
[MA5200F-acl-adv-101]rule user-net deny ip source 1
【说明】:禁止UCL group 1的用户访问其它的地址。
[MA5200F]access-group 101
【说明】:将101的ACL引用到全局
这样,用户在仅仅获取了IP地址的情况下就只能访问WEB服务器了。
Step 8.配置用户接入的VLAN端口
配置VLAN端口的目的是指定某个端口的某些指定的VLAN用户认证前后所使用的域,所采用的认证方法。
[MA5200F]portvlan ethernet 2 vlan 1 1
【说明】:进入2号以太网端口的从1开始总共1个VLAN ID的配置视图。
[MA5200F-ethernet-2-vlan1-1]access-type layer2-subscriber
【说明】:设置该端口VLAN为二层普通用户接入类型。也可以设置为三层用户接入,要看实际的组网情况,如果MA5200是旁挂在S8505上,那么就是三层用户接入。
[MA5200F-ethernet-2-vlan1-1]default-domain authentication isp
【说明】:配置用户所使用的域。这里只配置了认证时的域为isp,对于认证前的域系统在默认的情况下使用default0这个域,所以可以不用配置。
[MA5200F-ethernet-2-vlan1-1]authentication-method web
【说明】:配置端口的认证方法。这样从2号以太网端口上来的VLAN ID为1的用户就是采用WEB认证的方式。
Step 9.配置上行接口以及路由
配置上行接口的目的是为了和上层的路由器或者交换机相连接,在配置上行接口的时候我们首先要将需要配置的接口指定为“非管理类型”。
[MA5200F]portvlan ethernet 24 0 1
【说明】:进入端口VLAN的配置视图
[MA5200F-ethernet-24-vlan0-0]access-type interface
【说明】:设置端口VLAN的接入类型为非管理类型。在access-type后面有多个选项,其中的interface是指的非管理类型的端口,用于连接上层交换机。
[MA5200F]interface Ethernet 24.0
【说明】:创建VLAN子接口。
这里需要说明一下,创建上行接口的步骤是先将一个端口上的某一个VLAN指定为“非管理类型”,然后再在这个端口上创建此VLAN的子接口。这里多了一个概念就是“VLAN子接口”。
这样,一个物理端口上就可以创建多个逻辑的VLAN子接口,每个子接口可以配置不同的ip地址。这样报文在上行的时候就可以根据需要走不同的ip上行,并且带上相应的VLAN ID,三层交换机(或者二层交换机)就可以根据这样的VLAN ID对用户的报文进行不同路径的转发了。增强了转发的灵活性。如果这里的VLAN子接口设置为0的话就是不带 VLAN ID上去。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。