可以，参考 案例

1  简介

本文档介绍设备的旁路认证和阻断功能配置举例，设备上配置旁路认证和阻断功能之后，针对用户识别范围内的用户会进行旁路认证或者旁路阻断，对于没有认证的用户发送http 302报文重定向，防火墙控制策略为拒绝时，对匹配上安全策略的TCP报文发送reset报文，阻止用户访问网络。

开启旁路认证后需要配置用户认证策略，开启旁路阻断后需要配置控制策略。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解旁路认证和阻断的特性。

3  旁路认证和阻断配置举例

3.1.1  组网需求

如图1所示，某企业对内网用户50.1.1.3-100/24工作时间都将进行用户认证和内网用户50.1.1.101-254/24工作时间都进行行为控制，不提供任何NAT，DHCP或者DNS服务。部署在交换机旁边，通过镜像的方式，仅仅提供认证和阻断的功能。旁路模式不修改网络结构，不关心网络细节，关机也不掉线，不会影响企业内部网络。

图1 旁路认证和阻断组网

3.1.2  配置思路

·              配置设备接口地址。

·              配置设备旁路部署。

·              配置设备旁路认证。

·              配置设备旁路阻断。

·              配置用户识别范围。

·              配置用户认证策略。

·              配置控制策略。

3.1.3  使用版本

本举例是在R6616版本上进行配置和验证的。

3.1.4  配置步骤

(1)      配置接口地址

如图2所示，进入“网络配置>接口配置>物理接口”，点击ge6<编辑>按钮，配置ge6的IP地址为50.1.1.2/24。

图2 配置接口地址

(2)      配置部署方式

如图3所示，进入“网络配置>基础网络>部署方式”，配置勾选ge8口启用。

图3 配置部署方式

(3)      配置旁路认证和阻断

如图4所示，进入“网络配置>基础网络>部署方式>高级配置”，配置旁路认证和旁路阻断。

图4 配置旁路认证和旁路阻断

(4)      配置内网用户地址对象

如图5所示，进入“策略配置>对象管理>地址对象>地址对象”，点击<新建>按钮创建内用户地址对象50.1.1.0/24、50.1.1.3和50.1.1.101，点击<提交>。

图5 配置内网用户地址对象

(5)      配置用户识别范围

如图6所示，进入“用户管理>认证管理>高级选项>全局配置”页面，识别范围选择“50.1.1.0”，其它配置默认，提交配置。

图6 用户识别范围

(6)      配置用户认证策略

如图7所示，进入“用户管理>认证管理>认证策略”，新建一条认证方式为本地认证的认证策略，源地址选择50.1.1.3，其它配置默认，<提交>策略。

图7 配置用户认证策略

(7)      配置控制策略

如图8所示，进入“策略配置>控制策略”，源地址选择50.1.1.101，行为选择拒绝，其它配置默认，<提交>策略。

图8 配置控制策略

3.1.5  配置注意事项

·              用户认证策略和控制策略的源接口以及目的接口必须配置接收镜像流量的旁路部署接口或者是any。

·              旁路认证和阻断务必保证旁路设备到上网PC可达，否则功能无法使用。

·              旁路阻断只针对于TCP报文生效，对于UDP、ICMP等报文无法进行阻断。

3.1.6  验证配置

如图9所示， 内网用户（50.1.1.3）访问外网需要进行本地认证，本地认证成功后，访问外网成功。

图9 内网用户需要进行本地认证

如图10所示，内网用户（50.1.1.101）访问外网资源会被阻断。

图10 内网用户访问外网阻断