透明模式可以做认证的 ，参考案例：

4  IPv4网络用户认证配置举例

4.1  组网需求

如图1所示，某公司的财务部、工程部和生产部实行用户认证上网，其网段分别是172.16.1.0/24、172.16.2.0/24和172.16.3.0/24。内网Radius服务器的地址为172.16.0.10/24、LDAP服务器的地址为172.16.0.20/24。使用设备的ge0和ge1接口透明模式部署在网络中，在设备上配置用户认证功能。具体要求如下：

·     财务部进行Web认证上网，用户名和密码存储在设备的本地。

·     工程部进行Web认证上网，用户名和密码存储在Radius服务器上。

·     生产部进行Web认证上网，用户名和密码存储在LDAP服务器上。

·     财务部、工程部和生产部的每个Web认证用户需要支持两个终端同时并发登录，要求用户成功登录后跳转到http://www.baidu.com。

图1 用户认证功能配置组网图

4.2  配置思路

·     配置Radius和LDAP服务器对象，设备上的相关参数配置需要和服务器保持一致。

·     配置地址对象。

·     配置本地认证用户，RADIUS和LDAP认证用户直接在相应的服务器创建即可。

·     配置用户认证策略。

4.3  使用版本

本举例是在R6618版本上进行配置和验证的。

4.4  配置注意事项

·     设备的配置Web认证时，允许用户的TCP三次握手报文、DNS报文以及ICMP报文通过，当检测到用户HTTP报文时拦截并弹出认证页面。所以，在使用Web认证功能时，需要保证终端可以进行正常的HTTP访问。

·     如果需要实现访问某些资源时免Web认证，请在对应用户策略的目的地址对象中配置排除地址，将需要免认证访问的目的IP地址排除即可。

4.5  配置步骤

4.5.1  配置设备

1. 添加服务器

(1)     配置工程部Radius服务器

如图2所示，进入“用户管理>认证管理>认证服务器”，点击<新建>，选择Radius服务器，配置“服务器地址”为172.16.0.10，“服务器密码”和“端口”需要和Radius服务器保持一致，点击<提交>。

图2 添加工程部radius服务器

(2)     配置生产部LDAP服务器

如图3所示，进入“用户管理>认证管理>认证服务器>”，点击<新建>选择LDAP服务器，配置“服务器地址”为172.16.0.20，“端口”和“通用名标识”和“Base DN”需要和LDAP服务器保持一致，点击<提交>。

图3 添加生产部LDAP服务器

2. 配置Web认证用户

(1)     配置市场部本地认证用户

如图4所示，进入“用户管理>用户组织结构”，点击“新建>用户”，配置用户名称为“user1”，配置和确认密码后，点击<提交>。

图4 配置市场部本地认证用户

(2)     配置工程部Radius认证用户

设备本地不需要创建Radius认证用户，直接在Radius服务器上创建即可。

(3)     配置生产部LDAP认证用户

设备本地不需要创建LDAP认证用户，直接在LDAP服务器上创建即可。

3. 配置用户认证地址对象

(1)     配置财务部地址对象

如图5所示，进入“策略配置>对象管理>地址对象>地址对象”，点击<新建>，命名为“财务部地址对象”，“地址项目”选为子网地址，配置地址为172.16.1.0/24，点击<提交>。

图5 配置财务部地址对象

(2)     配置工程部地址对象

如图6所示，进入“策略配置>对象管理>地址对象>地址对象”，点击<新建>，命名为“工程部地址对象”，“地址项目”选为子网地址，配置地址为172.16.2.0/24，点击<提交>。

图6 配置工程部地址对象

(3)     配置生产部地址对象

如图7所示，进入“策略配置>对象管理>地址对象>地址对象”，点击<新建>，命名为“生产部地址对象”，“地址项目”选为子网地址，配置地址为172.16.3.0/24，点击<提交>。

图7 配置生产部地址对象

4. 配置Web认证参数

如图8所示，进入“用户管理>认证管理>认证方式>本地WEB认证”，勾选“允许重复登录”，配置“允许登录数”为2，配置重定向URL为https://www.baidu.com，点击<提交>。

图8 配置Web认证

5. 配置控制策略

如图9所示，进入“策略配置>控制策略”，将默认规则修改为允许。

图9 配置控制策略

6. 配置用户认证策略

(1)     配置财务部用户认证策略

如图10所示，进入“用户管理>认证管理>认证策略”，点击<新建>，源地址配置为“财务部地址对象”，认证方式选择“本地WEB认证”，其它选项保持默认，点击<提交>。

图10 配置财务部用户认证策略

(2)     配置工程部用户策略

如图11所示，进入“用户管理>认证管理>认证策略”，点击<新建>，源地址配置为“工程部地址对象”，认证方式选择“本地WEB认证”，其它选项保持默认，点击<提交>。

图11 配置工程部用户认证策略

(3)     配置生产部用户认证策略

如图12所示，进入“用户管理>认证管理>认证策略”，点击<新建>，源地址配置为“生产部地址对象”，认证方式选择“本地WEB认证”，其它选项保持默认，点击<提交>。

图12 配置生产部用户认证策略

如图13所示，添加完成的用户策略配置如下。

图13 用户策略配置完成

7. 启用第三方认证

如图14、图15所示，进入“用户管理>认证管理>高级选项>全局配置”，当与Radius服务器认证对接时，启用Radius方式，当与LDAP服务器认证对接时，启用LDAP服务器。

图14 启用第三方认证Radius

图15 启用第三方认证LDAP

8. 配置Radius服务器

如图16所示，以WinRadius为例搭建Radius服务器，点击<操作>，配置用户名为user2，密码为123456，点击<确定>。

图16 配置Radius服务器

9. 配置LDAP服务器

如图17所示，在LDAP服务器上配置Common Name和Sumname为user3，User Password为123456。

图17 配置LDAP服务器

4.6  验证配置

如图18所示，在每个网段使用终端进行HTTP访问，弹出如下本地Web认证页面，填写用户名和密码进行认证。

图18 本地Web认证页面

如图19所示，财务部（172.16.1.0/24）本地用户user1测试认证成功。

图19 财务部本地Web认证成功

如图20所示，工程部（172.16.2.0/24）Radius联动用户user2测试认证成功。

图20 Radius联动用户Web认证成功

如图21所示，生产部（172.16.3.0/24）LDAP联动用户user3测试认证成功。

图21 LDAP联动用户Web认证成功

如图22所示，用户Web认证通过后跳转到配置的https://www.baidu.com。

图22 Web认证通过后重定向到www.baidu.com

透明模式流量过设备，有IP能互通，可以配置认证

可以的。ACG 在二层串接（透明桥接）模式下支持 Portal 认证，但这需要满足三项关键条件，整体配置步骤也比路由模式要复杂一些。

⚙️ 核心机制与限制

简单来说，ACG在透明模式下“隐身”在网络中，不改变经过它的数据包（如源/目的IP），这会给HTTP/HTTPS流量的重定向带来挑战。因此，在配置时你需要满足以下三个关键要求-：

📝 详细配置步骤

满足上述前提后，可以按照以下步骤进行配置（以一个常见的H3C网络环境为例）：

1. 在 ACG 设备上配置桥接口：

   • 将连接核心交换机和下联交换机的两个物理接口（如 ge2 和 ge3）加入同一个网桥接口 Bridge 1。

   • 为该桥接口配置一个与用户网段同网段的IP地址，作为Portal认证的重定向目标地址。

   <H3C> system-view

   [H3C] interface bridge 1 [H3C-Bridge1] port ge2 [H3C-Bridge1] port ge3 [H3C-Bridge1] ip address 10.1.1.254 24 # 此IP需与用户网段同网段，且不能与网络中其他IP冲突 [H3C-Bridge1] quit

2. 在 ACG 设备上启用 Portal 认证并配置策略：

   • 启用本地Portal服务并配置认证策略。

   [H3C] portal local-server enable # 启用本地Portal服务器

   [H3C] portal local-server https # 推荐启用HTTPS认证 [H3C] user-policy action permit policy 1 source-zone trust destination-zone untrust service http https user any [H3C-user-policy-policy-1] match portal enable # 启用Portal认证

3. 在核心交换机上配置策略路由 (PBR)：

   • 这是最关键的一步。需要在连接用户的VLAN接口（网关）上应用PBR，将所有HTTP/HTTPS流量重定向到ACG的桥接口IP（10.1.1.254）。

   <Core-Switch> system-view

   [Core-Switch] acl advanced 3999 [Core-Switch-acl-ipv4-adv-3999] rule 5 permit tcp destination-port eq 80 [Core-Switch-acl-ipv4-adv-3999] rule 10 permit tcp destination-port eq 443 [Core-Switch-acl-ipv4-adv-3999] quit [Core-Switch] policy-based-route Portal-REDIRECT permit node 10 [Core-Switch-pbr-Portal-REDIRECT-10] if-match acl 3999 [Core-Switch-pbr-Portal-REDIRECT-10] apply next-hop 10.1.1.254 # 下一跳为ACG的桥接口IP [Core-Switch-pbr-Portal-REDIRECT-10] quit [Core-Switch] interface vlan-interface 10 # 假设用户网关VLAN是10 [Core-Switch-Vlan-interface10] ip policy-based-route Portal-REDIRECT

4. （可选）调整终端 DNS 设置：

   • 为了提高兼容性，可以在DHCP服务器上，将 ACG 的桥接口 IP 作为终端的首选 DNS 服务器。这有助于更精准地捕获并重定向首次HTTP请求。

✅ 配置验证

完成配置后，可以使用以下命令验证功能是否生效：

• 在ACG上：

  • display capture interface Bridge 1：检查是否收到终端的HTTP/HTTPS请求。

  • display portal log all：查看实时认证日志。

• 在核心交换机上：

  • display ip policy-based-route：查看策略路由的命中计数是否在增长。

二层 ACG 做 Portal 认证的关键要点（必须满足）

1. 部署模式必须是 二层透明模式（透明网桥）

• ACG 两个口配置成 透明网桥（Bridge）
• 不配置三层网关，不修改用户网段
• 只做流量透传 + 认证审计

2. ACG 必须能和终端 三层互通

• ACG 管理 IP 要和终端在同一网段
• 或者终端路由可达 ACG 管理 IP

3. 必须放通 免认证规则（Free Rule）

• 终端 → ACG 管理 IP（80/443/8888 等认证端口）
• 终端 → DNS
• 终端 → 短信网关 / 微信认证平台（如果有）

• 打不开 Portal 页面
• 重定向失败
• 无限循环重定向

4. 核心配置逻辑

1. ACG 配置 网桥模式，两口加入同一个桥
2. ACG 配置 管理 IP（和用户同网段）
3. 配置 Portal 认证策略（接口绑定网桥）
4. 配置 Free Rule 放行认证所需流量
5. 认证通过后放行上网

典型现象判断

• 能上网 → 说明二层透传正常
• 打不开认证页面 → 一般是没放通 Free Rule 或管理 IP 不通
• 重定向次数过多 → ACG 管理 IP 不可达或死循环