ACG1000-ME支持短信认证 

以下是配置举例，请参考：

3  短信认证功能配置举例

3.1  组网需求1：透明桥三层组网

3.1.1  组网需求

如图1所示，某公司内网无线办公网段IP地址172.16.11.0/24，有线办公网段IP地址172.16.12.0/24，其中172.16.11.1/24作为无线访问点的网关，172.16.12.1/24作为有线访问点的网关。Router上开启DHCP，地址池分别为172.16.11.2/24~172.16.11.254/24、172.16.12.2/24~172.16.12.254/24。使用设备的的ge0和ge2接口作为透明桥，串接部署在网络中，设备上联出口FW，下联三层设备路由器。设备上开启短信认证功能,用户通过短信认证后才能访问网络。

图1 短信认证透明桥三层组网图

3.1.2  配置思路

·     注册短信网关厂商，获取授权。

·     配置短信认证功能。

3.1.3  使用版本

本举例是在R6612版本上进行配置和验证的。

3.1.4  配置步骤

(1)     配置网桥接口

如图2所示，进入网络配置>接口配置>网桥接口，点击<新建>按钮创建网桥接口bvi1，把ge0、ge2加入网桥，配置接口地址为192.168.200.3/24。

图2 配置网桥接口

(2)     配置静态路由

如图3配置访问外网的默认路由及去往认证用户网段172.16.11.0/24,172.16.12.0/24路由。

图3 配置静态路由

(3)     配置短信认证地址对象

如图4所示，进入策略配置>对象管理>地址对象>地址对象，点击<新建>按钮创建认证用户地址对象，设置地址为172.16.11.0/24，172.16.12.0/24，点击<提交>。

图4 配置短信认证地址对象

(4)     配置短信认证参数

如图5所示，进入“用户管理 > 认证管理 > 认证方式 > 短信认证”页面，配置短信认证参数。

图5 短信认证配置

(5)     配置短信认证策略

如图6所示，进入“用户管理 > 认证管理 > 认证策略”页面，选择新建认证策略，源接口选择内网口ge2，源地址选择“认证用户”，认证方式使用“短信认证”，提交策略。

图6 认证策略页面

(6)     配置用户识别范围

如图7所示，进入“用户管理>认证管理>高级选项>全局配置”页面，识别范围选择“认证用户”，其它配置默认，提交配置。

图7 用户识别范围

3.1.5  配置注意事项

·     Router设备需要开启DHCP功能，地址池范围为172.16.11.2/24~172.16.11.254/24。172.16.12.2/24~172.16.12.254/24。

·     认证用户网段必须在用户识别范围中，否则导致不能正常认证。

3.1.6  验证配置

如图8所示，终端访问网页上网时，浏览器弹出portal页面。

图8  认证portal页面

如图9所示，输入手机号，点击<发送>获取验证码，待手机获取到短信网关发送的验证码后，输入正确的验证码，点击登录即可完成认证。

图9 短信认证

如图10所示，在“数据中心>系统监控>在线用户”管理中查看该用户已认证成功。

图10 在线用户

3.2  组网需求2：透明桥二层组网

3.2.1  组网需求

如图11所示，某公司内网办公网段IP地址172.16.11.0/24，其中172.16.11.1/24作为认证用户的网关。FW上开启DHCP，地址池为172.16.11.3/24~172.16.11.254/24。使用设备的的ge0和ge2接口作为透明桥，串接部署在网络中，设备上联出口FW，下联二层交换机。设备上开启短信认证功能，用户通过短信认证后才能上网。

图11 短信认证透明桥二层组网图

3.2.2  配置思路

·     注册短信网关厂商，获取授权。

·     配置短信认证功能。

3.2.3  使用版本

本举例是在R6612版本上进行配置和验证的。

3.2.4  配置步骤

(1)     配置网桥接口

如图12所示，进入“网络配置>接口配置>网桥接口”，点击<新建>按钮创建网桥接口bvi1，把ge0、ge2加入网桥，配置接口地址为172.16.11.2/24。

图12 配置网桥接口

(2)     配置静态路由

如图13配置访问外网的默认路由。

图13 配置静态路由

(3)     配置短信认证地址对象

如图14所示，进入“策略配置>对象管理>地址对象>地址对象”，点击<新建>按钮创建认证用户地址对象，设置地址为172.16.11.0/24，点击<提交>。

图14 配置短信认证地址对象

(4)     配置短信认证参数

如图15所示，进入“用户管理 > 认证管理 > 认证方式 > 短信认证”页面，配置短信认证参数。

图15 短信认证配置

(5)     配置短信认证策略

如图16所示，进入“用户管理 > 认证管理 > 认证策略”页面，选择新建认证策略，源接口选择内网口ge2，源地址选择“认证用户”，认证方式使用“短信认证”，提交策略。

图16 认证策略页面

(6)     配置用户识别范围

如图17所示，进入“用户管理>认证管理>高级选项>全局配置”页面，识别范围选择“认证用户”，其它配置默认，提交配置。

图17 用户识别范围

3.2.5  配置注意事项

·     FW设备需要开启DHCP功能，地址池范围为172.16.11.3/24~172.16.11.254/24。

·     设备在透明部署模式下配置短信认证时， bvi接口需要配置管理地址和认证用户同网段，以便正常给认证用户推送portal页面。

·     认证用户网段必须在用户识别范围中，否则会导致不能正常认证。

3.2.6  验证配置

如图18所示，终端访问网页上网时，浏览器弹出portal页面。

图18  认证portal页面

如图19所示，输入手机号，点击<发送>获取验证码，待手机获取到短信网关发送的验证码后，输入正确的验证码，点击登录即可完成认证。

图19 短信认证

如图20所示，在“数据中心>系统监控>在线用户”管理中查看该用户已认证成功。

图20 在线用户

3.3  组网需求3：路由模式三层组网

3.3.1  组网需求

如图21所示，某公司内网无线办公网段IP地址172.16.11.0/24，有线办公网段IP地址172.16.12.0/24，其中172.16.11.1/24作为无线访问点的网关，172.16.12.1/24作为有线访问点的网关。Router上开启DHCP，地址池分别为：

172.16.11.2/24~172.16.11.254/24、172.16.12.2/24~172.16.12.254/24。使用设备的的ge0和ge2接口以三层路由模式部署在网络中，设备上联出口FW，下联三层设备路由器。设备上开启短信认证功能，用户通过短信认证后才能上网。

图21 短信认证路由模式三层组网图

3.3.2  配置思路

·     注册短信网关厂商，获取授权。

·     配置短信认证功能。

3.3.3  使用版本

本举例是在R6612版本上进行配置和验证的。

3.3.4  配置步骤

(1)     配置路由接口

如图22、图23所示，进入“网络配置>接口配置”，点击编辑ge2、ge0操作，把ge0、ge2的地址分别配置为192.168.100.2/24、192.168.200.1/24。

图22 配置ge2接口

图23 配置ge0接口

(2)     配置静态路由

如图24配置访问外网的默认路由及去往认证用户网段172.16.11.0/24,172.16.12.0/24路由。

图24 配置静态路由

(3)     配置短信认证地址对象

如图25所示，进入“策略配置>对象管理>地址对象>地址对象”，点击<新建>按钮创建认证用户地址对象，设置地址为172.16.11.0/24,172.16.12.0/24，点击<提交>。

图25 配置短信认证地址对象

(4)     配置短信认证参数

如图26所示，进入“用户管理 > 认证管理 > 认证方式 > 短信认证”页面，配置短信认证参数。

图26 短信认证配置

(5)     配置短信认证策略

如图27所示，进入“用户管理 > 认证管理 > 认证策略”页面，选择新建认证策略，源接口选择内网口ge2，源地址选择“认证用户”，认证方式使用“短信认证”，提交策略。

图27 认证策略页面

(6)     配置用户识别范围

如图28所示，进入“用户管理>认证管理>高级选项>全局配置”页面，识别范围选择“认证用户”，其它配置默认，提交配置。

图28 用户识别范围

3.3.5  配置注意事项

·     Router设备需要开启DHCP功能，地址池范围为172.16.11.2/24~172.16.11.254/24。172.16.12.2/24~172.16.12.254/24。

·     认证用户网段必须在用户识别范围中，否则会导致不能正常认证。

3.3.6  验证配置

如图29所示，终端访问网页上网时，浏览器弹出portal页面。

图29  认证portal页面

如图30所示，输入手机号，点击<发送>获取验证码，待手机获取到短信网关发送的验证码后，输入正确的验证码，点击登录即可完成认证。

图30 短信认证

如图31所示，在“数据中心>系统监控>在线用户”管理中查看该用户已认证成功。

图31 在线用户

3.4  组网需求4：路由模式二层组网

3.4.1  组网需求

如图32所示，某公司内网办公网段IP地址172.16.11.0/24，其中172.16.11.1/24作为认证用户的网关。地址池为172.16.11.3/24~172.16.11.254/24。使用设备的的ge0和ge2接口以三层路由模式部署在网络中，设备作为出口网关设备，下联二层交换机。设备上开启短信认证功能，用户通过短信认证后才能上网。

图32 短信认证路由模式二层组网图

3.4.2  配置思路

·     注册短信网关厂商，获取授权。

·     配置短信认证功能。

3.4.3  使用版本

本举例是在R6612版本上进行配置和验证的。

3.4.4  配置步骤

(1)     配置路由接口

如图33、图34所示，进入“网络配置>接口配置”，点击编辑ge0、ge2操作，把ge0、ge2的地址分别配置为192.168.100.2/24、172.16.11.1/24。

图33 配置ge2接口

图34 配置ge0接口

(2)     配置静态路由

如图35配置访问外网的默认路由。

图35 配置静态路由

(3)     配置短信认证地址对象

如图36所示，进入“策略配置>对象管理>地址对象>地址对象”，点击<新建>按钮创建认证用户地址对象，设置地址为172.16.11.0/24，点击<提交>。

图36 配置短信认证地址对象

(4)     配置短信认证参数

如图37所示，进入“用户管理 > 认证管理 > 认证方式 > 短信认证 ”页面，配置短信认证参数。

图37 短信认证配置

(5)     配置短信认证策略

如图38所示，进入“用户管理 > 认证管理 > 认证策略”页面，选择新建认证策略，源接口选择内网口ge2，源地址选择“认证用户”，认证方式使用“短信认证”，提交策略。

图38 认证策略页面

(6)     配置用户识别范围

如图39所示，进入“用户管理>认证管理>高级选项>全局配置”页面，识别范围选择“认证用户”，其它配置默认，提交配置。

图39 用户识别范围

(7)     配置源NAT

如图40所示，进入“策略配置>策略配置>NAT转换策略”页面，在源NAT页面创建策略，接口选择ge0，其它配置默认，提交配置。

图40 配置源NAT

3.4.5  配置注意事项

·     设备或二层交换机上需要开启DHCP功能，地址池范围为：172.16.11.2/24~172.16.11.254/24。172.16.12.2/24~172.16.12.254/24。认证用户的网关地址指向172.16.11.1。

·     认证用户网段必须在用户识别范围中，否则会导致不能正常认证。

3.4.6  验证配置

如图41所示，终端访问网页上网时，浏览器弹出portal页面。

图41  认证portal页面

如图42所示，输入手机号，点击<发送>获取验证码，待手机获取到短信网关发送的验证码后，输入正确的验证码，点击登录即可完成认证。

图42 短信认证

如图43所示，在“数据中心>系统监控>在线用户”管理中查看该用户已认证成功。

图43 在线用户

支持