防火墙-ACG(透明)-核心,ACG可以做本地portal认证吗?是不是指向ACG的桥地址就行?
(0)
支持性:
ACG1000系列及以上型号支持本地Portal认证(透明模式需启用管理口与业务口分离架构)。
地址指向:
用户终端的认证请求必须指向ACG的桥地址(Bridge IP),但仅此不够,需结合策略路由。
限制项 | 说明 |
---|---|
管理口独立 | 必须配置独立管理口(如Gig0/0),不能与业务桥接口复用(避免认证流量中断) |
桥IP可达性 | ACG的桥地址需与用户终端路由互通(网关需指向核心交换机或三层设备) |
认证流量牵引 | 需在核心交换机上配置策略路由(PBR),强制将80/443流量重定向到ACG桥地址 |
# 启用本地Portal服务
system-view
portal local-server enable # 激活本地认证服务
portal local-server https # 启用HTTPS认证(推荐)
# 配置桥接口IP(认证地址)
interface Bridge 1
ip address 10.1.1.254 255.255.255.0 # 此IP需与用户网段同网段
# 创建认证策略
user-policy
action permit
policy 1
source-zone trust
destination-zone untrust
service http https
user any match
portal enable # 应用Portal策略
acl advanced 3999
rule 5 permit tcp destination-port eq 80
rule 10 permit tcp destination-port eq 443
policy-based-route Portal-REDIRECT permit node 10
if-match acl 3999
apply next-hop 10.1.1.254 # 强制重定向到ACG桥IP
interface Vlanif 10 # 用户网关接口
ip policy-based-route Portal-REDIRECT
# 在DHCP服务器或本地配置DNS
将ACG的桥IP(10.1.1.254)设置为终端首选DNS
# 原理:终端访问任意HTTP站点时,ACG劫持DNS响应导向认证页面
流量捕获验证
# 在ACG执行
display capture interface Bridge 1 # 检查是否收到终端HTTP/HTTPS请求
策略路由生效检查
# 在核心交换机执行
display ip policy-based-route # 查看命中计数
认证日志跟踪
# ACG查看实时认证日志
display portal log all
若透明模式配置复杂,可考虑:
旁路模式部署:
将ACG改为旁路模式,核心交换机通过端口镜像将流量复制到ACG。
联动AD/LDAP:
直接集成企业现有认证系统(如Microsoft AD),跳过本地Portal页面。
最后重要提示:
华三ACG在透明模式下的本地Portal认证需结合硬件型号+软件版本验证兼容性(推荐v1.10 E05xx及以上版本)。配置前务必备份设备,并确认核心交换机支持策略重定向功能(部分低端交换机可能不支持PBR)。若需具体版本配置差异,请提供设备型号及OS版本。
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论