如题,内网已经配置好portal认证,且可以正常重定向登录网址。
但发现外部网络无法正常访问内网地址,可以ping通内网域名,但端口无法telnet。关闭portal认证恢复正常访问
(0)
最佳答案
根据提供的资料,F1000-AK108防火墙配置Portal认证后外网无法访问内网地址的问题,可能由以下原因导致: 关键原因分析
1. 安全策略未放行认证用户流量
Portal认证成功后的用户流量需通过基于用户/用户组的安全策略放行。若策略中配置了user-group或user参数,但未开启用户身份识别功能(user-identity enable),流量会被策略丢弃。
验证方法:检查是否存在类似如下配置的安全策略,并确认是否已开启用户身份识别:
security-policy ip rule 13 name a-group
action pass
source-zone Trust destination-zone Untrust
user-group portal-it # 需开启user-identity enable才能生效
2. Portal免认证规则缺失关键地址
Portal的free-rule需放行DNS服务器地址、防火墙接口IP、无需认证的网段。若外网访问路径涉及这些地址未放行,流量会被强制拦截。
关键配置示例:
portal free-rule 0 destination ip 114.114.114.114 32 # 放行DNS
portal free-rule 1 destination ip 10.88.142.214 32 # 放行防火墙接口地址
portal free-rule 2 source ip 10.0.0.0 8 # 放行内网非认证网段
portal free-rule 3 source interface GigabitEthernet1/0/2 # 放行上联路由器接口
3. NAT映射或端口配置错误
若外网访问依赖NAT,需检查NAT内部服务器的外网端口是否与实际服务端口一致(如HTTP 80端口映射错误会导致Web无法访问)。
验证命令:
display nat server # 检查Global IP/Port与Local IP/Port映射关系
4. 跨三层部署的VLAN标签问题
透明部署时,若接口PVID与流量VLAN不匹配(如流量携带VLAN 10但接口PVID为1),会导致ARP探测失败。
解决方法:调整接口PVID与业务VLAN一致,或通过portal free-rule放行接口。--解决步骤
1. 开启用户身份识别功能
system-view
user-identity enable # 必须开启才能联动安全策略
2. 补充Portal免认证规则
portal free-rule 0 destination ip 202.38.1.4 32 # 外网DNS服务器
portal free-rule 1 destination ip 192.168.10.10 32 # 防火墙VLAN接口
portal free-rule 2 source interface GigabitEthernet1/0/2 # 上联路由器接口
3. 检查安全策略放行逻辑
确认存在放行Untrust到Trust的安全策略,且未依赖未生效的用户组:
security-policy ip rule name untrust-trust
action pass
source-zone Untrust destination-zone Trust
destination-ip-host 10.110.10.1 # 内网服务器地址
4. 验证NAT端口映射
登录Web界面,进入 策略 > NAT > NAT内部服务器,确认外网端口(如80/443)与内网服务端口一致。5. 抓包及日志分析
启用debugging确认流量是否命中策略:
debugging security-policy packet ip
debugging portal all
--最终效果
完成上述配置后:
1. 外网用户访问内网服务时,流量通过免认证规则或已认证用户的策略放行。
2. NAT端口映射正确,Telnet/HTTP等端口可正常通信。
3. 安全策略日志显示流量匹配pass动作,会话表(display session table)显示ESTABLISHED状态。
(0)
你好,我配置了mac地址免认证方式,但不生效。 命令portal free-rule 1 source mac 1234-5678-90AB。请指点
内网设备是不是没做认证呢
(0)
portal free-rule 1 source mac 1234-5678-90AB 我使用mac地址免认证方式,将该内网主机添加为免认证,但不生效,依旧需要认证才能访问外网,请问是不支持mac免认证吗?
内网是台不需要访问网络的服务器,也需要认证一下吗?
可以把他免认证下 因为没有认证的话可能会直接丢弃
portal free-rule 1 source mac 1234-5678-90AB 我使用mac地址免认证方式,将该内网主机添加为免认证,但不生效,依旧需要认证才能访问外网,请问是不支持mac免认证吗?
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
你好,我配置了mac地址免认证方式,但不生效。 命令portal free-rule 1 source mac 1234-5678-90AB。请指点