Portal典型配置案例(9)

　　[MA5200F-acl-adv-101]rule user-net permit ip source 1 destination 192.168.8.188 0

　　[MA5200F-acl-adv-101]rule net-user permit ip source 192.168.8.188 0 destination 1

　　【说明】：配置对于WEB认证前的用户只能访问WEB服务器和DNS服务器，以上的配置指定了UCL group 1的用户能够访问WEB服务器。

　　[MA5200F-acl-adv-101]rule user-net deny ip source 1

　　【说明】：禁止UCL group 1的用户访问其它的地址。

　　[MA5200F]access-group 101

　　【说明】：将101的ACL引用到全局

　　这样，用户在仅仅获取了IP地址的情况下就只能访问WEB服务器了。

　　Step 8.配置用户接入的VLAN端口

　　配置VLAN端口的目的是指定某个端口的某些指定的VLAN用户认证前后所使用的域，所采用的认证方法。

　　[MA5200F]portvlan ethernet 2 vlan 1 1

　　【说明】：进入2号以太网端口的从1开始总共1个VLAN ID的配置视图。

　　[MA5200F-ethernet-2-vlan1-1]access-type layer2-subscriber

　　【说明】：设置该端口VLAN为二层普通用户接入类型。也可以设置为三层用户接入，要看实际的组网情况，如果MA5200是旁挂在S8505上，那么就是三层用户接入。

　　[MA5200F-ethernet-2-vlan1-1]default-domain authentication isp

　　【说明】：配置用户所使用的域。这里只配置了认证时的域为isp，对于认证前的域系统在默认的情况下使用default0这个域，所以可以不用配置。

　　[MA5200F-ethernet-2-vlan1-1]authentication-method web

　　【说明】：配置端口的认证方法。这样从2号以太网端口上来的VLAN ID为1的用户就是采用WEB认证的方式。

　　Step 9.配置上行接口以及路由

　　配置上行接口的目的是为了和上层的路由器或者交换机相连接，在配置上行接口的时候我们首先要将需要配置的接口指定为“非管理类型”。

　　[MA5200F]portvlan ethernet 24 0 1

　　【说明】：进入端口VLAN的配置视图

　　[MA5200F-ethernet-24-vlan0-0]access-type interface

　　【说明】：设置端口VLAN的接入类型为非管理类型。在access-type后面有多个选项，其中的interface是指的非管理类型的端口，用于连接上层交换机。

　　[MA5200F]interface Ethernet 24.0

　　【说明】：创建VLAN子接口。

　　这里需要说明一下，创建上行接口的步骤是先将一个端口上的某一个VLAN指定为“非管理类型”，然后再在这个端口上创建此VLAN的子接口。这里多了一个概念就是“VLAN子接口”。

　　这样，一个物理端口上就可以创建多个逻辑的VLAN子接口，每个子接口可以配置不同的ip地址。这样报文在上行的时候就可以根据需要走不同的ip上行，并且带上相应的VLAN ID，三层交换机（或者二层交换机）就可以根据这样的VLAN ID对用户的报文进行不同路径的转发了。增强了转发的灵活性。如果这里的VLAN子接口设置为0的话就是不带 VLAN ID上去。