防火墙F1000-AK125和ACG1000-AK230应用控制网关
- 0关注
- 0收藏,77浏览
最佳答案
可以,你网络环境中的 H3C F1000-AK125 防火墙和 ACG1000-AK230 应用控制网关,都能够实现 Portal 认证。
1. 两款设备对 Portal 认证的支持情况
H3C SecPath F1000-AK125 防火墙
结论:支持。
分析: 根据多个产品参数页面信息,F1000-AK125 防火墙明确支持 Portal认证、RADIUS认证 等多种认证方式。在 Portal 认证的典型组网中,防火墙通常可以作为接入设备(NAS,Network Access Server),负责拦截用户流量、与 Portal 服务器和 RADIUS 服务器交互,对用户进行身份认证。
H3C ACG1000-AK230 应用控制网关
结论:支持。分析: ACG1000 系列确实可以作为 Portal 认证的接入设备。配置方式通常是:在 ACG1000 上设置认证方式为
Portal Server,并关联后端的 RADIUS 服务器(如 H3C 的 iMC 平台)。如果前端是 Mini 系列 AC(无线控制器),因其可能不支持 Portal,则可以直接在 ACG 上配置 Portal 认证。
2. 实现方式和配置要点
在你的网络环境中实现 Portal 认证,通常需要防火墙/ACG、认证服务器和Portal Web 服务器协同工作。认证服务器(如 RADIUS)和 Portal 服务器(提供认证页面的 Web 服务器)可以合设在一台服务器(如 H3C 的 iMC 平台)上。
一个典型的配置流程(以 ACG1000 或 F1000 作为接入设备,iMC 作为认证/Portal 服务器为例)包含以下几个关键步骤:
配置认证服务器 (RADIUS):在防火墙上,添加 RADIUS 方案,指定 iMC 服务器的 IP 地址、认证端口(如 1812)和共享密钥。
配置 Portal 服务器:在防火墙上,配置 Portal 服务器的相关信息,包括服务器 IP 地址、端口,以及提供给用户进行认证的 URL 地址。
配置认证策略:这是最关键的一步。你需要定义哪些用户流量需要触发 Portal 认证。
通常需要创建一个地址对象,包含需要进行认证的用户网段。
创建一条认证策略,将源地址设置为该用户网段,并将动作设置为上面配置的 "Portal Server 认证"。
重要例外:在策略中,必须将 Portal 服务器、RADIUS 服务器以及 DNS 服务器的地址排除在外(即配置为免认证规则),否则用户将无法访问认证页面,形成死循环。
在 iMC 服务器上配置:在 iMC 平台上,需要完成添加接入设备(即你的防火墙/ACG)、创建接入用户、配置 IP 地址组并与接入设备关联等操作,以完成联动
一、方案 1:F1000-AK125 做 Portal 认证(推荐)
核心配置要点(CLI)
# 1. 全局启用IPv6转发(你之前IPv6环境必须开)
ipv6 forwarding
# 2. 定义Portal Web服务器(本地/外部)
portal web-server H3C-Portal
url http://防火墙IP:8887/portal # 本地Portal默认8887
quit
# 3. 接口启用三层Portal(用户侧接口)
interface GigabitEthernet1/0/1 # 内网口
portal enable method layer3
portal apply web-server H3C-Portal
quit
# 4. 启用本地Portal服务(自带页面)
portal local-web-server http
tcp-port 8887
quit
# 5. 配置认证策略(匹配需要认证的流量)
security-policy ip
rule name Portal-Auth
source-zone Trust
destination-zone Untrust
action pass
authentication portal
quit
quit
# 6. 配置本地用户/RADIUS(按需)
local-user admin class network
password simple xxx
service-type portal
quit
关键注意
- 必须放通8887、50100等 Portal 端口的安全策略。
- 内网终端DNS 必须正常(你之前的 223.5.5.5/114.114.114.114 可用)。
- 支持IPv4+IPv6 双栈Portal。
二、方案 2:ACG1000-AK230 做 Portal 认证
核心配置要点(Web 界面为主)
- 认证方式:用户管理 → 认证管理 → 认证方式 → 新建 → 选择Portal 认证H3C。
- 服务器配置:
- 本地认证:直接启用 ACG 本地用户库。
- 短信 / 微信 / RADIUS:对接对应服务器(如 iMC、短信网关)。
- 认证策略:
- 匹配源 IP / 区域 → 动作:强制 Portal 认证。
- 配置免认证地址(如 DNS、网关、ACG 自身)。
- 透明模式特殊要求:
- 必须配置独立管理口,不能与业务桥口复用。
- 配置桥 IP,并在核心 / 防火墙上做策略路由,将 80/443 流量重定向到 ACG 桥 IP。
三、两种方案对比(快速选型)
| 维度 | F1000-AK125 做 Portal | ACG1000-AK230 做 Portal |
|---|---|---|
| 部署位置 | 出口防火墙 | 内网 ACG(路由 / 透明) |
| 优势 | 统一准入、简化组网、性能强 | 行为管理 + 认证一体化、策略更细 |
| 劣势 | ACG 透明时需配合策略路由 | 透明模式配置复杂、依赖 PBR |
| 认证类型 | 本地 / 短信 / 微信 / RADIUS | 本地 / 短信 / 微信 / RADIUS / 访客 |
| IPv6 支持 | 良好 | 良好 |
四、你当前环境的建议
- 优先用F1000-AK125 做 Portal,与你之前的 12508X IPv6、DNS、漫游环境更匹配。
- 若 ACG 已做透明部署,在核心 / 12508X 上配置策略路由,将 80/443 流量牵引到 ACG 即可。
- 短信认证:防火墙 / ACG 均可对接短信网关,无需额外设备。
五、快速验证(10 分钟)
- 防火墙侧:
display portal user看在线用户。 - ACG 侧:用户管理 → 在线用户 → 查看认证状态。
- 终端:打开网页 → 弹出 Portal 页面 → 认证成功 → 可上网。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论