最佳答案
4 IMC联动认证配置举例
4.1 组网需求
如图1所示,某公司对内网用户实行iMC联动Portal认证上网,认证网段是172.16.4.0/24。内网iMC服务器的IP地址为172.16.0.30/24。使用ACG 设备的ge0和ge1接口透明桥模式部署在网络中,ACG 设备的bvi1接口地址配置为172.16.5.100。在ACG 设备设备上配置iMC联动Portal认证功能。具体要求如下:
· ACG 设备参与Portal认证和Radius认证,并把所有iMC联动Portal认证用户加入到用户组“2”中。
· 172.16.4.0/24网段中的认证用户在认证之前,只允许访问192.168.3.1的所有服务和iMC服务器,其他访问全部被禁止。
· 172.16.4.0/24网段中的认证用户在认证之后可以正常访问内网和互联网。
图1 ACG参与认证功能配置组网图
4.2 配置思路
· 在ACG 设备上配置iMC对应的Radius服务器。
· 在ACG 设备上配置iMC对应的Portal服务器。
· 在ACG 设备上配置地址对象,注意在认证目的地址中排除iMC服务器地址和192.168.3.1。
· 在ACG 设备上配置用户策略。
· 在ACG 设备上配置用户组。
· 配置iMC服务器。
4.3 使用版本
本举例是在ACG1000 R6608、iMC PLAT 7.1 (E0303)、iMC EIA 7.1(E0302P13)和iMC EIP 7.1 (E0302P13)版本上进行配置和验证的。
4.4 配置注意事项
· 当ACG设备参与Portal和Radius认证时,iMC会自动同步用户组信息到ACG上,此时iMC上无需进行额外配置,ACG上需要配置用户组,并确保上述用户组的名称与iMC上接入策略中下发用户组的名称保持一致。
· 如果需要实现访问某些资源时免Portal认证,需要在对应用户策略的目的地址对象中配置排除地址,将需要免认证访问的IP地址排除,其中iMC服务器和Portal服务器的地址必须排除。目前仅支持排除IP地址,不支持排除域名。
4.5 配置步骤
4.5.1 配置ACG 产品
1. 登录Web网管
如图2所示,使用http或https的方式登录ACG1000设备的Web网管,默认的用户名和密码是admin/admin,输入验证码,并点击<登录>按钮。
2. 配置iMC对应的Radius服务器
如图3所示,进入“用户管理 > 认证服务器 > Radius”,点击<新建>,配置“服务器地址”为172.16.0.30,“服务器密码”和“端口”需要和iMC服务器的配置保持一致,点击<提交>。
图3 配置iMC对应的Radius服务器
如图4所示,添加完成的iMC服务器配置如下。
图4 iMC对应的Radius服务器配置完成
3. 配置iMC对应的Portal服务器
如图5所示,进入“用户管理 > 认证设置 > Portal Server”,“认证服务器”配置为IMC,“Portal服务器”配置为172.16.0.30,“超时时间”保持默认,“认证URL”将示例中的serverip替换为实际地址为:
http://172.16.0.30:8080/portal?userip=<USERIP>&usermac=<USERMAC>&origurl=<ORIGURL>&nasip=172.16.5.100,点击<提交>。
图5 配置iMC对应的Portal服务器
4. 配置地址对象
如图6所示,进入“对象管理 > 地址”,点击<新建>,命名为“认证用户网段”,“地址项目”选为子网地址,配置地址为172.16.4.0/24,点击<提交>。
如图7所示,进入“对象管理 > 地址”,点击<新建>,命名为“认证目的地址”,“地址项目”选为子网地址,配置地址为0.0.0.0/0,“排除地址”配置为172.16.0.30和192.168.3.1,点击<提交>。
如图8所示,添加完成的地址对象配置如下。
5. 配置用户策略
如图9所示,进入“用户管理 > 认证策略”,点击<新建>,源地址配置为“认证用户网段”,目的地址配置为“认证目的地址”,相关行为配置为“Portal Server认证”,其他选项保持默认,点击<提交>。
如图10所示,添加完成的用户策略配置如下。
6. 配置用户组
如图11所示,进入“用户管理 > 用户 > 用户组”,点击<新建>,命名为2,点击<提交>。
如图12所示,添加完成的用户组配置如下。
4.5.2 配置iMC服务器
1. 登录Web网管
如图13所示,使用http的方式登录iMC服务器的Web网管,默认的用户名和密码是admin/admin,点击<登录>按钮。
2. 配置接入策略
如图14所示,进入“用户 > 接入策略管理 > 接入策略管理 > 增加接入策略”,“接入策略名”配置为test,“下发用户组”配置为2,其他选项保持默认,点击<确定>。
如图15所示,添加完成的接入策略如下。
3. 配置接入服务
如图16所示,进入“用户 > 接入策略管理 > 接入服务管理 > 增加接入服务”,“服务名”配置为test2,“服务后缀”配置为test2,“缺省接入策略”配置为test,其他选项保持默认,点击<确定>。
如图17所示,添加完成的接入服务配置如下。
4. 配置用户和接入用户
如图18所示,进入“用户 > 增加用户”,“用户姓名”配置为user4,证件号码配置为123456789,其他选项保持默认,点击<确定>。
如图19所示,增加的用户配置如下。在此页面上点击<增加用户>。
如图20所示,进入“用户 > 接入用户 > 增加接入用户”,“账号名”配置为user4,“密码”和“密码确认”均配置为用户密码,“生效时间”和“失效时间”根据实际情况配置,“接入服务”选择test,其他选项保持默认,点击<确定>。
如图21所示,添加完成的接入用户配置如下。
5. 配置接入设备
如图22所示,进入“用户 > 接入策略管理 > 接入设备管理 > 接入设备配置 > 增加接入设备”,点击<手工增加>,“共享密钥”和“确认共享密钥”均配置为和ACG A设备匹配的密码,“起始IP地址”和“结束IP地址”均配置为172.16.5.100(ACG A设备的bvi1接口地址),其他选项保持默认,点击<确定>。
如图23所示,添加完成的接入设备配置如下。
6. 配置Portal服务器
如图24所示,进入“用户 > 接入策略管理 > Portal服务管理 > 服务器配置”,点击<增加>,“服务类型标识”和“服务类型”均配置为test,其他选项保持默认,点击<确定>。
图24 配置Portal服务器
7. 配置IP地址组
如图25所示,进入“用户 > 接入策略管理 > Portal服务管理 > IP地址组配置 > 增加IP地址组”,“IP地址组名”配置为portal_ip_group,“起始地址”配置为172.16.4.1,“终止地址”配置为172.16.4.254,其他配置保持默认(如果是NAT组网,需要将“类型”配置为NAT,并配置转换后的起始地址和终止地址),点击<确定>。
图25 配置IP地址组
如图26所示,添加成功的IP地址组配置如下。
图26 IP地址组配置成功
8. 配置设备信息和端口组信息
如图27所示,进入“用户 > 接入策略管理 > Portal服务管理 > 设备配置 > 增加设备”,“设备名”配置为ACG1000,“IP地址”配置为172.16.5.100,“密钥”和“确认密钥”配置为和ACG A设备匹配的密码,其他选项保持默认(虽然ACG A透明部署,但“组网方式”仍保持为三层),点击<确定>。
如图28所示,添加完成的ACG1000设备信息配置如下,并在此页面上单击<端口组信息管理>。
图28 ACG1000设备信息添加配置完成
如图29所示,进入“用户 > 接入策略管理 > Portal服务管理 > 设备配置 > 端口地址信息配置 > 增加端口组信息”,“端口组名”配置为group,“认证模式”配置为PAP认证(ACG目前只支持PAP认证),“IP地址组”配置为portal_ip_group,其他选项保持默认,点击<确定>。
如图30所示,添加完成的端口组信息配置如下。
4.6 验证配置
如图31所示,认证网段用户未进行认证时无法访问互联网,但是可以ping通192.168.3.1。
如图32所示,用户上网时会弹出Portal页面,在页面上输入用户名user4和密码,选择服务类型为test2,单击<上线>。
如图33所示,认证成功,弹出计时页面。
图33 iMC联动Portal认证成功
如图34所示,在ACG设备上查看在线用户列表,发现user4已经被正确同步到用户组2中,同时也处在imc用户组中。
- 2021-01-21回答
- 评论(1)
- 举报
-
(1)
谢谢
谢谢
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
是的