ACG配置本地web认证

我现在是两对透明桥，没有ip地址，使用带外管理登陆ACG，是不是也可以触发认证，不需要修改当前的模式

只需要在核心到acg这段的网桥里配ip就行了，acg到防火墙那条网桥不用配IP

1. 纯透明模式（无桥 IP）下，ACG1000 不能直接触发本地 Web 认证，因为认证重定向需要 ACG 能被终端三层访问（即必须有一个与终端同网段的 IP 地址）。
2. 流量经过 ACG 本身不会自动触发认证，只有满足「三层可达 + 重定向规则」的终端才会被弹出认证页面。

二、为什么无桥 IP 无法触发认证？

• ACG 必须有一个与终端同网段的 IP 地址（或通过三层路由可达的 IP），作为认证页面的访问地址。
• 透明网桥模式下，若所有网桥都不配置 IP，ACG 仅工作在二层，无法对终端进行三层重定向，因此无法触发认证。

三、适配你场景的配置方案（两种可选）

方案 A：给网桥配置 IP（推荐，改动最小）

1. 选择与终端网段流量经过的网桥（比如核心侧的网桥），配置一个同网段的静态 IP（如192.168.1.253/24，避开现有网关 IP）。
2. 配置步骤（Web 界面）：
   • 进入「网络配置 → 接口 → 网桥接口」，选择核心侧的网桥，点击「编辑」。
   • 开启「IP 地址配置」，输入静态 IP 和掩码（无需网关，网关由核心交换机提供）。
   • 提交配置后，在终端上 ping 这个 IP，确认能正常访问。
3. 启用本地 Web 认证：
   • 进入「用户管理 → 认证管理 → 认证方式 → 本地 WEB 认证」，勾选启用。
   • 配置认证页面重定向地址为刚才配置的网桥 IP（http://192.168.1.253/portal）。
   • 配置免认证网段（如服务器、打印机等），避免误拦截。

方案 B：通过带外管理口实现认证（不推荐，需额外配置路由）

1. 带外管理口 IP 必须与终端网段三层可达（比如带外 IP 为10.1.1.10/24，核心交换机上配置静态路由：ip route-static 10.1.1.0 24 带外网关）。
2. 认证重定向地址必须设置为带外管理口 IP，终端访问 HTTP 请求时，会被重定向到带外 IP 的 Portal 页面。
3. 注意：这种方式需要在 ACG 上配置回包路由，否则认证后的流量无法正常转发，且部分终端可能因跨网段访问认证页面出现兼容性问题。

四、关键配置细节与避坑

1. 网桥 IP 的选择原则：
   • 必须与终端的业务网段在同一广播域，否则终端无法直接访问认证页面。
   • 不能与现有网关、服务器 IP 冲突，建议选择网段内靠后的地址（如.253）。
   • 若你的终端有多个网段，需要给多个网桥分别配置对应网段的 IP，或在核心交换机上配置静态路由指向 ACG 的网桥 IP。
2. 流量触发认证的条件：
   • 只有经过 ACG 的 HTTP/HTTPS 流量才会触发重定向，因此 ACG 必须串行部署在终端与出口之间（你的组网已满足）。
   • 若 ACG 配置了免认证策略（如 IP/MAC 白名单），匹配策略的终端不会被弹出认证页面。
3. 常见问题排查：
   • 终端无法弹出认证页面：检查终端能否 ping 通 ACG 的网桥 IP、防火墙是否放行 ACG 的 80/443 端口、ACG 是否开启了本地 Portal 服务。
   • 认证后无法上网：检查 ACG 的认证策略是否允许认证用户访问外网、核心交换机是否有回包路由、ACG 是否配置了正确的 DNS 地址。

五、总结

对于你在透明网桥环境下部署本地Web认证的需求，这个需求在ACG上是完全可行的。为了确保认证页面能够正常弹出，必须在ACG上配置桥接口IP地址。

这个IP地址在网络层面用于处理认证重定向，是实现Portal认证的关键。你遇到的两对网桥不能配相同IP的问题，可以通过为仅需要认证的那一对网桥配置IP来解决。

 认证触发机制详解

• 认证触发条件：Web认证并非所有流量经过都会触发。认证的核心是拦截HTTP/HTTPS报文。流量必须“命中”你配置的认证策略，才会被拦截并弹出认证页面。

• 精细化管理：你可以创建认证策略。例如，可设置仅源地址为A网段的HTTP/HTTPS流量才需要认证，而ICMP、DNS和其他网段的流量则直接放行。

 配置步骤

1. 配置桥接口IP：在Web界面，进入“网络管理” > “接口” > “桥接口”，为负责与下游核心交换机连接的二层网桥接口（BVI）配置一个与用户网段同网段且路由可达的IP地址。

2. 开启HTTPS重定向（关键）：通过Console口或SSH登录设备命令行，执行以下命令开启HTTPS Portal功能。

   en

   configure terminal user-policy https-portal enable

3. 配置本地Web认证服务：

   • 在“用户管理” > “认证设置” > “本地Web认证”页面，配置认证跳转页面等参数。

   • 在“用户管理” > “用户列表”中创建用于认证的本地用户账号。

4. 创建地址对象：在“对象管理” > “地址” > “IPv4地址对象”中，创建一个地址对象，包含你希望对其实施认证的终端IP网段。

5. 创建认证策略：在“用户管理” > “认证策略”页面新建策略。

   • 源接口/域：选择与核心交换机相连的二层网桥接口。

   • 源地址：选择上一步创建的地址对象。

   • 认证方式：选择“本地WEB认证”。

 部署PBR，确保流量“命中”认证（关键）

为了确保终端流量能被ACG“拦截”并重定向，你可以在核心交换机上配置策略路由（PBR），将未认证用户的HTTP/HTTPS流量强制引向ACG的桥接口IP：

1. 配置ACL：在核心交换机上创建ACL，匹配TCP目的端口80和443的流量。

2. 配置PBR：创建PBR策略，节点动作为apply next-hop ACG的桥接口IP。

3. 应用PBR：将PBR应用到所有用户VLAN的三层虚接口（VLANIF） 上，使策略对进入该VLAN的流量生效。

 配置验证与故障排查

• 流量验证：在ACG上执行display capture interface Bridge 1抓包，检查是否收到终端发起的HTTP/HTTPS请求。

• 策略命中：在核心交换机上执行display ip policy-based-route，查看PBR策略的命中计数是否增长。

• 常见问题：若配置后仍不弹出页面，常见原因及检查方向包括：

  • HTTPS未使能：可通过SSH登录设备，执行display current-configuration | include user-policy https-portal检查输出中是否包含user-policy https-portal enable。

  • HTTPS证书告警：终端访问HTTPS网站时弹出“不安全”提示，通常需要用户手动点击“继续访问”或“高级”以完成认证流程。

  • 目标地址不可达：尝试在终端浏览器输入一个可ping通的外部IP或网址来触发认证。

  • 未命中认证策略：检查配置的认证策略中，源地址范围和源接口是否准确无误

  • 网络路由不可达：确认终端与ACG桥接口IP之间路由可达