暂无评论
你的组网:F5000 主备防火墙做 Portal 认证(对接 iMC EIA)→ 串接 ACG 主备做流量管控,需求是 ACG 识别防火墙 Portal 登录的账号、用户组,基于用户组做流控 / 上网策略。
两种成熟实现方案(按推荐优先级排序)
方案一:iMC 第三方用户同步接口(最优,适配你当前组网,无需改动防火墙 Portal 逻辑)
原理
iMC EIA 完成用户认证后,主动把用户名、IP、所属用户组推送给 ACG(主备两台 ACG 都配置同步接口),ACG 本地生成在线用户表,策略直接引用 iMC 下发的用户组做流量控制。
完整分步配置
1. iMC EIA 平台配置(核心推送侧)
1)进入【用户→接入策略管理→Portal 服务→服务器】,确认 Portal 服务器已绑定 F5000 防火墙,密钥、RADIUS 端口正常,用户分组已规划完成。
2)打开【用户→认证管理→高级选项→第三方用户同步→第三方用户同步接口】
iMC第三方同步配置页
服务器类型:Web 用户同步
服务器 1:填写 ACG-M 主设备管理 IP、自定义同步密钥(ACG 侧要完全一致)
服务器 2:填写 ACG-S 备设备管理 IP、相同密钥
勾选启用、提交保存;开启用户下线同步推送。
3)将两台 ACG 设备添加到 iMC 接入设备管理,放通 iMC 到 ACG 的 TCP 80/8080 同步端口。
2. ACG 主备设备配置(接收用户信息)
Web 界面配置
1)用户管理→认证管理→认证方式→iMC 联动 Portal 认证,新建联动服务器:
服务器 IP:iMC 服务器地址
同步密钥:和 iMC 第三方同步接口填写的密钥完全相同
录入有效期:永久录入(用户下线自动删除)
2)认证策略配置:
源地址:内网用户网段(S7506XG IRF 下所有业务 VLAN)
认证方式:iMC 联动 Portal
用户组:选择全局根组织(自动接收 iMC 推送的所有用户分组)
勾选「仅接收 iMC 推送,不本地弹出 Portal 页面」(关键点,Portal 弹窗由防火墙 F5000 承担)
3)主备 ACG 同步配置:两台 ACG HA 主备,同步在线用户表,切换后无需重新同步用户。
命令行简配参考
plaintext
# 配置iMC同步服务器
imc portal sync server 192.168.IMCIP key simple 同步密钥
# 全局开启iMC用户同步功能
imc portal sync enable
# 用户策略匹配内网网段,接收iMC推送用户
user-policy any any 内网网段 any always imc-portal-auth enable
3. 防火墙 F5000 配套放行策略
F5000 安全域策略放行:
iMC ↔ ACG:TCP 80、UDP RADIUS 1812/1813
ACG 主备之间 HA 同步、在线用户表同步报文
内网终端访问 iMC Portal 页面、RADIUS 认证报文
4. ACG 流量控制策略调用用户组
策略配置→应用控制 / 流量管理:
源对象:选择【认证用户组】,直接下拉 iMC 同步过来的部门 / 用户组
匹配对应带宽、上网时长、应用阻断、QoS 限速规则
方案优势
不改动现有防火墙 Portal 认证流程,终端弹窗、认证全由 F5000 承载,ACG 只做被动接收用户信息;
iMC 统一管理用户分组,账号下线、IP 变更实时同步至 ACG;
完美适配防火墙 + ACG 串接主备组网,主备 ACG 都能同步完整在线用户;
支持按部门、角色精细化流控,用户组权限在 iMC 统一维护。
方案二:ACG 透传 RADIUS 记账报文(备选,适合无法开启第三方同步接口场景)
原理
防火墙 Portal 认证完成后,向 iMC 发送 RADIUS 记账报文(上线 / 下线报文),ACG 开启RADIUS 记账监听,抓取经过防火墙的记账报文,解析 IP、用户名、用户组,生成本地在线用户。
配置要点
F5000 防火墙 Portal 开启 RADIUS 记账,记账服务器指向 iMC;
ACG 透明串在防火墙与核心交换机之间,全局开启radius accounting listen enable;
ACG 配置 RADIUS 服务器为 iMC,共享密钥和防火墙一致;
ACG 策略引用 RADIUS 解析出的用户组做流控。
缺点
依赖记账报文推送,用户下线存在 1~3 分钟延迟;
主备切换时在线用户表容易丢失;
组网流量大时 ACG 解析 RADIUS 报文占用 CPU,优先选方案一。
方案三:业务随行(iMC 下发用户组标签至交换机,ACG 按标签识别,大型园区推荐)
原理
iMC 认证后给终端下发安全组标签(SGT),S7506XG IRF 交换机给内网流量打标签,ACG 识别二层 / 三层 SGT 标签,直接基于标签匹配用户组策略,无需同步在线用户表。
适用场景
内网终端数量多、频繁上下线,需要跨设备统一身份;改造量较大,需交换机、防火墙、ACG 全套支持业务随行。
主备设备特殊注意事项(对应你的组网)
F5000M/S 主备:两台防火墙都配置 Portal、RADIUS 对接 iMC,主备切换后认证不中断,iMC 持续推送用户至两台 ACG;
ACG1000M/S 主备:两台 ACG 全部配置 iMC 第三方同步接口,HA 同步在线用户会话,切换后原有用户身份不丢失,流控策略持续生效;
S7506XG IRF:核心交换机仅做二层转发,无需参与认证,放通 iMC、ACG、防火墙三层互通;
避坑关键点:
ACG不要开启本地 Portal 弹窗,否则终端会弹出两次认证页面;
iMC 第三方同步密钥,ACG 主备两台必须完全一致;
防火墙域间策略禁止拦截 iMC 和 ACG 之间的同步报文。
最终推荐实施步骤
优先实施方案一 iMC 第三方 Web 用户同步,改动最小、稳定性最高;
iMC 侧添加两台 ACG 为同步接收端;
ACG 主备配置 iMC 联动 Portal、关闭本地 Portal;
防火墙放行 iMC 与 ACG 互通端口;
ACG 新建流量管控策略,引用 iMC 同步的用户组测试限速、应用控制;
测试用户登录、下线、防火墙 / ACG 主备切换场景,验证用户身份同步正常。
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论