• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

防火墙+IMC实施Portal认证后,如何ACG发送用户认证信息

9小时前提问
  • 0关注
  • 0收藏,45浏览
粉丝:0人 关注:0人

问题描述:

网络结构如图,出口防火墙为主备模式,ACG为主备模式,交换机做了IRF,IMC平台接入在7506XGA交换机上。现在F5000M防火墙上启用认证,Portal服务器指向IMC平台,现需要在ACG上根据IMC下发的用户组信息实施流量控制,请问如何实现?

3 个回答
粉丝:132人 关注:11人

用户在imc上的话,acg是看不到相应用户的

可以根据IP做相应的限制


暂无评论

粉丝:11人 关注:9人

1. 配置IMC与ACG联动:
在IMC的“用户接入策略管理”中,开启“与ACG联动”功能,配置ACG设备的IP、SNMP参数(确保ACG已配置允许IMC的SNMP访问)。
在用户组策略中,绑定对应的ACG流量控制策略(如带宽限制、应用过滤等)。
2. ACG配置接收IMC下发信息:
启用ACG的“IMC联动”功能:
acg server imc ip port key
配置SNMP:
snmp-agent community read
snmp-agent community write
snmp-agent sys-info version all
3. 验证联动:
在IMC上查看ACG设备状态是否在线;
用户认证成功后,在ACG上执行 display acg user online 确认用户组信息是否同步;
测试流量控制策略是否生效(如限速、应用阻断)。
关键:确保IMC与ACG之间网络可达,SNMP参数匹配,且用户组策略正确绑定ACG规则。

暂无评论

粉丝:18人 关注:2人

你的组网:F5000 主备防火墙做 Portal 认证(对接 iMC EIA)→ 串接 ACG 主备做流量管控,需求是 ACG 识别防火墙 Portal 登录的账号、用户组,基于用户组做流控 / 上网策略。
两种成熟实现方案(按推荐优先级排序)
方案一:iMC 第三方用户同步接口(最优,适配你当前组网,无需改动防火墙 Portal 逻辑)
原理
iMC EIA 完成用户认证后,主动把用户名、IP、所属用户组推送给 ACG(主备两台 ACG 都配置同步接口),ACG 本地生成在线用户表,策略直接引用 iMC 下发的用户组做流量控制。
完整分步配置
1. iMC EIA 平台配置(核心推送侧)
1)进入【用户→接入策略管理→Portal 服务→服务器】,确认 Portal 服务器已绑定 F5000 防火墙,密钥、RADIUS 端口正常,用户分组已规划完成。
2)打开【用户→认证管理→高级选项→第三方用户同步→第三方用户同步接口】


iMC第三方同步配置页
服务器类型:Web 用户同步
服务器 1:填写 ACG-M 主设备管理 IP、自定义同步密钥(ACG 侧要完全一致)
服务器 2:填写 ACG-S 备设备管理 IP、相同密钥
勾选启用、提交保存;开启用户下线同步推送。
3)将两台 ACG 设备添加到 iMC 接入设备管理,放通 iMC 到 ACG 的 TCP 80/8080 同步端口。
2. ACG 主备设备配置(接收用户信息)
Web 界面配置
1)用户管理→认证管理→认证方式→iMC 联动 Portal 认证,新建联动服务器:
服务器 IP:iMC 服务器地址
同步密钥:和 iMC 第三方同步接口填写的密钥完全相同
录入有效期:永久录入(用户下线自动删除)
2)认证策略配置:
源地址:内网用户网段(S7506XG IRF 下所有业务 VLAN)
认证方式:iMC 联动 Portal
用户组:选择全局根组织(自动接收 iMC 推送的所有用户分组)
勾选「仅接收 iMC 推送,不本地弹出 Portal 页面」(关键点,Portal 弹窗由防火墙 F5000 承担)
3)主备 ACG 同步配置:两台 ACG HA 主备,同步在线用户表,切换后无需重新同步用户。
命令行简配参考
plaintext
# 配置iMC同步服务器
imc portal sync server 192.168.IMCIP key simple 同步密钥
# 全局开启iMC用户同步功能
imc portal sync enable
# 用户策略匹配内网网段,接收iMC推送用户
user-policy any any 内网网段 any always imc-portal-auth enable
3. 防火墙 F5000 配套放行策略
F5000 安全域策略放行:
iMC ↔ ACG:TCP 80、UDP RADIUS 1812/1813
ACG 主备之间 HA 同步、在线用户表同步报文
内网终端访问 iMC Portal 页面、RADIUS 认证报文
4. ACG 流量控制策略调用用户组
策略配置→应用控制 / 流量管理:
源对象:选择【认证用户组】,直接下拉 iMC 同步过来的部门 / 用户组
匹配对应带宽、上网时长、应用阻断、QoS 限速规则
方案优势
不改动现有防火墙 Portal 认证流程,终端弹窗、认证全由 F5000 承载,ACG 只做被动接收用户信息;
iMC 统一管理用户分组,账号下线、IP 变更实时同步至 ACG;
完美适配防火墙 + ACG 串接主备组网,主备 ACG 都能同步完整在线用户;
支持按部门、角色精细化流控,用户组权限在 iMC 统一维护。
方案二:ACG 透传 RADIUS 记账报文(备选,适合无法开启第三方同步接口场景)
原理
防火墙 Portal 认证完成后,向 iMC 发送 RADIUS 记账报文(上线 / 下线报文),ACG 开启RADIUS 记账监听,抓取经过防火墙的记账报文,解析 IP、用户名、用户组,生成本地在线用户。
配置要点
F5000 防火墙 Portal 开启 RADIUS 记账,记账服务器指向 iMC;
ACG 透明串在防火墙与核心交换机之间,全局开启radius accounting listen enable;
ACG 配置 RADIUS 服务器为 iMC,共享密钥和防火墙一致;
ACG 策略引用 RADIUS 解析出的用户组做流控。
缺点
依赖记账报文推送,用户下线存在 1~3 分钟延迟;
主备切换时在线用户表容易丢失;
组网流量大时 ACG 解析 RADIUS 报文占用 CPU,优先选方案一。
方案三:业务随行(iMC 下发用户组标签至交换机,ACG 按标签识别,大型园区推荐)
原理
iMC 认证后给终端下发安全组标签(SGT),S7506XG IRF 交换机给内网流量打标签,ACG 识别二层 / 三层 SGT 标签,直接基于标签匹配用户组策略,无需同步在线用户表。
适用场景
内网终端数量多、频繁上下线,需要跨设备统一身份;改造量较大,需交换机、防火墙、ACG 全套支持业务随行。
主备设备特殊注意事项(对应你的组网)
F5000M/S 主备:两台防火墙都配置 Portal、RADIUS 对接 iMC,主备切换后认证不中断,iMC 持续推送用户至两台 ACG;
ACG1000M/S 主备:两台 ACG 全部配置 iMC 第三方同步接口,HA 同步在线用户会话,切换后原有用户身份不丢失,流控策略持续生效;
S7506XG IRF:核心交换机仅做二层转发,无需参与认证,放通 iMC、ACG、防火墙三层互通;
避坑关键点:
ACG不要开启本地 Portal 弹窗,否则终端会弹出两次认证页面;
iMC 第三方同步密钥,ACG 主备两台必须完全一致;
防火墙域间策略禁止拦截 iMC 和 ACG 之间的同步报文。
最终推荐实施步骤
优先实施方案一 iMC 第三方 Web 用户同步,改动最小、稳定性最高;
iMC 侧添加两台 ACG 为同步接收端;
ACG 主备配置 iMC 联动 Portal、关闭本地 Portal;
防火墙放行 iMC 与 ACG 互通端口;
ACG 新建流量管控策略,引用 iMC 同步的用户组测试限速、应用控制;
测试用户登录、下线、防火墙 / ACG 主备切换场景,验证用户身份同步正常。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明