(0)
透明模式可以做认证的 ,参考案例:
如图1所示,某公司的财务部、工程部和生产部实行用户认证上网,其网段分别是172.16.1.0/24、172.16.2.0/24和172.16.3.0/24。内网Radius服务器的地址为172.16.0.10/24、LDAP服务器的地址为172.16.0.20/24。使用设备的ge0和ge1接口透明模式部署在网络中,在设备上配置用户认证功能。具体要求如下:
· 财务部进行Web认证上网,用户名和密码存储在设备的本地。
· 工程部进行Web认证上网,用户名和密码存储在Radius服务器上。
· 生产部进行Web认证上网,用户名和密码存储在LDAP服务器上。
· 财务部、工程部和生产部的每个Web认证用户需要支持两个终端同时并发登录,要求用户成功登录后跳转到http://www.baidu.com。
· 配置Radius和LDAP服务器对象,设备上的相关参数配置需要和服务器保持一致。
· 配置地址对象。
· 配置本地认证用户,RADIUS和LDAP认证用户直接在相应的服务器创建即可。
· 配置用户认证策略。
本举例是在R6618版本上进行配置和验证的。
· 设备的配置Web认证时,允许用户的TCP三次握手报文、DNS报文以及ICMP报文通过,当检测到用户HTTP报文时拦截并弹出认证页面。所以,在使用Web认证功能时,需要保证终端可以进行正常的HTTP访问。
· 如果需要实现访问某些资源时免Web认证,请在对应用户策略的目的地址对象中配置排除地址,将需要免认证访问的目的IP地址排除即可。
(1) 配置工程部Radius服务器
如图2所示,进入“用户管理>认证管理>认证服务器”,点击<新建>,选择Radius服务器,配置“服务器地址”为172.16.0.10,“服务器密码”和“端口”需要和Radius服务器保持一致,点击<提交>。
(2) 配置生产部LDAP服务器
如图3所示,进入“用户管理>认证管理>认证服务器>”,点击<新建>选择LDAP服务器,配置“服务器地址”为172.16.0.20,“端口”和“通用名标识”和“Base DN”需要和LDAP服务器保持一致,点击<提交>。
图3 添加生产部LDAP服务器
(1) 配置市场部本地认证用户
如图4所示,进入“用户管理>用户组织结构”,点击“新建>用户”,配置用户名称为“user1”,配置和确认密码后,点击<提交>。
(2) 配置工程部Radius认证用户
设备本地不需要创建Radius认证用户,直接在Radius服务器上创建即可。
(3) 配置生产部LDAP认证用户
设备本地不需要创建LDAP认证用户,直接在LDAP服务器上创建即可。
(1) 配置财务部地址对象
如图5所示,进入“策略配置>对象管理>地址对象>地址对象”,点击<新建>,命名为“财务部地址对象”,“地址项目”选为子网地址,配置地址为172.16.1.0/24,点击<提交>。
(2) 配置工程部地址对象
如图6所示,进入“策略配置>对象管理>地址对象>地址对象”,点击<新建>,命名为“工程部地址对象”,“地址项目”选为子网地址,配置地址为172.16.2.0/24,点击<提交>。
(3) 配置生产部地址对象
如图7所示,进入“策略配置>对象管理>地址对象>地址对象”,点击<新建>,命名为“生产部地址对象”,“地址项目”选为子网地址,配置地址为172.16.3.0/24,点击<提交>。
如图8所示,进入“用户管理>认证管理>认证方式>本地WEB认证”,勾选“允许重复登录”,配置“允许登录数”为2,配置重定向URL为https://www.baidu.com,点击<提交>。
图8 配置Web认证
如图9所示,进入“策略配置>控制策略”,将默认规则修改为允许。
(1) 配置财务部用户认证策略
如图10所示,进入“用户管理>认证管理>认证策略”,点击<新建>,源地址配置为“财务部地址对象”,认证方式选择“本地WEB认证”,其它选项保持默认,点击<提交>。
(2) 配置工程部用户策略
如图11所示,进入“用户管理>认证管理>认证策略”,点击<新建>,源地址配置为“工程部地址对象”,认证方式选择“本地WEB认证”,其它选项保持默认,点击<提交>。
(3) 配置生产部用户认证策略
如图12所示,进入“用户管理>认证管理>认证策略”,点击<新建>,源地址配置为“生产部地址对象”,认证方式选择“本地WEB认证”,其它选项保持默认,点击<提交>。
如图13所示,添加完成的用户策略配置如下。
如图14、图15所示,进入“用户管理>认证管理>高级选项>全局配置”,当与Radius服务器认证对接时,启用Radius方式,当与LDAP服务器认证对接时,启用LDAP服务器。
图15 启用第三方认证LDAP
如图16所示,以WinRadius为例搭建Radius服务器,点击<操作>,配置用户名为user2,密码为123456,点击<确定>。
图16 配置Radius服务器

如图17所示,在LDAP服务器上配置Common Name和Sumname为user3,User Password为123456。
图17 配置LDAP服务器
如图18所示,在每个网段使用终端进行HTTP访问,弹出如下本地Web认证页面,填写用户名和密码进行认证。
图18 本地Web认证页面
如图19所示,财务部(172.16.1.0/24)本地用户user1测试认证成功。
图19 财务部本地Web认证成功
如图20所示,工程部(172.16.2.0/24)Radius联动用户user2测试认证成功。
图20 Radius联动用户Web认证成功
如图21所示,生产部(172.16.3.0/24)LDAP联动用户user3测试认证成功。
图21 LDAP联动用户Web认证成功
如图22所示,用户Web认证通过后跳转到配置的https://www.baidu.com。
图22 Web认证通过后重定向到www.baidu.com
(0)
暂无评论
可以的。ACG 在二层串接(透明桥接)模式下支持 Portal 认证,但这需要满足三项关键条件,整体配置步骤也比路由模式要复杂一些。
简单来说,ACG在透明模式下“隐身”在网络中,不改变经过它的数据包(如源/目的IP),这会给HTTP/HTTPS流量的重定向带来挑战。因此,在配置时你需要满足以下三个关键要求-:
| 限制项 | 说明 |
|---|---|
| 管理口独立 | 必须使用独立的管理口(如 Gig0/0)对设备进行管理,不能与转发流量的业务桥接口混用,以防止因配置问题导致管理连接中断。 |
| 桥IP可达性 | 需要为桥接口(Bridge Interface)配置一个与用户终端在同一网段的IP地址,并确保用户终端的网关指向核心交换机,以实现路由互通。 |
| 认证流量牵引 | 必须在核心交换机上配置策略路由(PBR),将来自用户的 HTTP/HTTPS 流量(目的端口 80/443)强制重定向到 ACG 的桥接口 IP,从而触发 Portal 认证流程。 |
满足上述前提后,可以按照以下步骤进行配置(以一个常见的H3C网络环境为例):
在 ACG 设备上配置桥接口:
将连接核心交换机和下联交换机的两个物理接口(如 ge2 和 ge3)加入同一个网桥接口 Bridge 1。
为该桥接口配置一个与用户网段同网段的IP地址,作为Portal认证的重定向目标地址。
在 ACG 设备上启用 Portal 认证并配置策略:
启用本地Portal服务并配置认证策略。
在核心交换机上配置策略路由 (PBR):
这是最关键的一步。需要在连接用户的VLAN接口(网关)上应用PBR,将所有HTTP/HTTPS流量重定向到ACG的桥接口IP(10.1.1.254)。
(可选)调整终端 DNS 设置:
为了提高兼容性,可以在DHCP服务器上,将 ACG 的桥接口 IP 作为终端的首选 DNS 服务器。这有助于更精准地捕获并重定向首次HTTP请求。
完成配置后,可以使用以下命令验证功能是否生效:
在ACG上:
display capture interface Bridge 1:检查是否收到终端的HTTP/HTTPS请求。
display portal log all:查看实时认证日志。
在核心交换机上:
display ip policy-based-route:查看策略路由的命中计数是否在增长。
(0)
暂无评论
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论