输入HTTPS网址学校路由器场景配置案例：Web认证+限速示例 _路由器

配置Web认证（输入HTTPS网址）+限速示例
介绍配置Web认证（输入HTTPS网址）+限速的配置示例。
适用产品和版本
适用于V600R008C10及以后版本的NE40E/ME60系列产品。
组网需求
如图1-13所示，Web认证（输入HTTPS网址）+限速的组网需求为：

在设备上配置user-group，IP地址池，认证前域和后域，BAS接口
配置认证计费方案、RADIUS服务器，前域不认证不计费，后域配置为RADIUS认证计费
配置ACL，实现如图1-12所示的引流功能：
配置ACL，使得用户Web认证前只能访问Web服务器和DNS服务器，访问其他网页被重定向
配置ACL，匹配前域用户的DNS报文，配置dns-redirect
图1-12 DNS重定向流程图

在设备上配置user-group，IP地址池，认证前域和后域，BAS接口
配置认证计费方案、RADIUS服务器，前域不认证不计费，后域配置为RADIUS认证计费
配置ACL，实现如图1-12所示的引流功能：
配置ACL，使得用户Web认证前只能访问Web服务器和DNS服务器，访问其他网页被重定向
配置ACL，匹配前域用户的DNS报文，配置dns-redirect
图1-12 DNS重定向流程图
配置Web认证（输入HTTPS网址）+限速示例
介绍配置Web认证（输入HTTPS网址）+限速的配置示例。
适用产品和版本
适用于V600R008C10及以后版本的NE40E/ME60系列产品。
组网需求
如图1-13所示，Web认证（输入HTTPS网址）+限速的组网需求为：
在设备上配置user-group，IP地址池，认证前域和后域，BAS接口
配置认证计费方案、RADIUS服务器，前域不认证不计费，后域配置为RADIUS认证计费
配置ACL，实现如图1-12所示的引流功能：
配置ACL，使得用户Web认证前只能访问Web服务器和DNS服务器，访问其他网页被重定向
配置ACL，匹配前域用户的DNS报文，配置dns-redirect
图1-12 DNS重定向流程图

在设备上配置user-group，IP地址池，认证前域和后域，BAS接口
配置认证计费方案、RADIUS服务器，前域不认证不计费，后域配置为RADIUS认证计费
配置ACL，实现如图1-12所示的引流功能：
配置ACL，使得用户Web认证前只能访问Web服务器和DNS服务器，访问其他网页被重定向
配置ACL，匹配前域用户的DNS报文，配置dns-redirect
图1-12 DNS重定向流程图

文章插图

在设备上配置qos-profile限速10M，并在认证后域里应用该qos-profile

图1-13 Web认证（输入HTTPS网址）+限速配置举例组网图

文章插图

表1-24 网络规划数据

文章插图

配置思路

配置AAA方案
配置RADIUS服务器组
配置域
配置ACL
配置流分类、流量管理策略
配置qos-profile限速

操作步骤

在设备上配置：

//配置AAA认证方案#aaa authentication-scheme none authentication-mode none#aaa authentication-scheme radius authentication-mode radius#//配置AAA计费方案#aaa accounting-scheme none accounting-mode none#aaa accounting-scheme radius accounting-mode radius//配置RADIUS服务器组#radius-server group 13 radius-server authentication 10.9.7.13 1812 radius-server accounting 10.9.7.13 1813//配置地址池#ip pool pool1 bas local gateway 172.20.0.1 255.255.255.0 section 0 172.20.0.2 172.20.0.10 //配置用户组#user-group web-before//定义ACL规则#//定义ACL规则6000，匹配web-before用户组到Web认证服务器和DNS服务器之间的访问流量，以便允许此类流量通过acl number 6000 rule 5 permit ip source user-group web-before destination ip-address 10.1.1.2 0 rule 10 permit ip source user-group web-before destination ip-address 172.16.0.2 0#//定义ACL规则6001，匹配源地址为web-before用户组的流量，以便阻止此类流量的访问acl number 6001 rule 5 permit ip source user-group web-before#//定义ACL规则6002，匹配DNS报文，以便实现DNS重定向acl number 6002rule 5 permit udp source-port eq dns destination user-group web-before#//定义流分类#traffic classifier c1 if-match acl 6000traffic classifier c2 if-match acl 6001traffic classifier c3 if-match acl 6002//定义流行为#traffic behavior b1 permittraffic behavior b2 denytraffic behavior b3 dns-redirect//定义流量策略#traffic policy p1 classifier c1 behavior b1 //允许web-before用户组到Web服务器和DNS服务器的流量通过 classifier c2 behavior b2 //阻止web-before用户组的其余流量traffic policy dns share-mode classifier c3 behavior b3 precedence 1 //DNS重定向//应用流量策略#traffic-policy p1 inboundtraffic-policy dns outbound//配置qos-profile#qos-profile 10M car cir 10000 inbound car cir 10000 outbound#//配置domain1#aaadomain domain1authentication-scheme noneaccounting-scheme noneip-pool pool1user-group web-beforedns-redirect web-server 10.1.1.2web-server url http://10.1.1.2:85/portalmax-ipuser-reauthtime 0 //配置isp1域#aaa domain isp1authentication-scheme radiusaccounting-scheme radiusradius-server group 13qos-profile 10M inboundqos-profile 10M outbound//配置BAS接口#interface GigabitEthernet 0/1/2.1 vlan-type dot1q 1 ip address 192.168.1.1 255.255.255.0 bas # access-type layer3-subscriber default-domain pre-authentication domain1//配置上行接口#interface GigabitEthernet 0/1/1 ip address 172.16.0.1 255.255.255.0#