1 跨三层无感知认证案例

1.1   适用的产品和版本

表1-1     适用的产品和版本

设备类型

设备名称

版本

网关

RG-EG-E系列下一代智能安全网关

适用于EG_NTOS 1.0R13及更高版本

 

1.2   业务需求

企业在网络边界处部署了Device作为出口网关,连接内部网络与Internet,内网用户与Device之间为三层网络。管理员在Device上启用用户认证功能,对内网用户进行上网认证,同时开启无感知功能,实现客户端首次认证通过后,再次接入网络时能够自动进行认证,无需重复手动认证。

1778730445918085842.png

 

1.3   配置思路

(1)   在Device上配置DHCP终端MAC识别。

(2)   在核心交换机上配置镜像DHCP报文。

(3)   在Device上配置旁路接口,用于接收镜像报文。

(4)   在Device上配置用户认证功能。认证模板开启“无感知”选项,认证策略的网络类型为“三层网络”。

1.4   前置条件

l  已完成设备的基础网络配置,包括接口IP、路由等。

l  认证方式可根据实际场景需求配置,无感知功能目前支持本地Portal认证、自定义Portal认证、WiFiDog认证。

l  本案例仅介绍无感知认证相关配置,用户认证的具体配置步骤请参见Web认证配置案例。

1.5   配置步骤

1.5.1  配置DHCP终端MAC识别

登录Device,在[系统]>>[联动配置]>>[联动网络设备]页面配置终端MAC识别方式为“DHCP”,点击<保存>。

 

1.5.2  配置镜像DHCP报文

1778730445574097809.png     说明

DHCP服务部署于核心交换机或第三方DHCP服务器,且DHCP流量不经过Device时,需要镜像DHCP流量到Device上;若DHCP服务部署于Device本机或者DHCP流量有经过Device,则不需要镜像DHCP流量。

 

1.    在核心交换机上配置镜像报文

登录核心交换机,配置将DHCP流量镜像到与Device旁路接口相连的接口。

配置示例(以锐捷交换机RG-S5750C-28SFP4XS-H为例):

l  Web界面配置方式

进入[端口管理]>>[端口镜像]配置页面,选择要镜像的报文类型(数据流方向)、端口镜像源端口和目的端口,点击<配置镜像>保存配置。


l  CLI命令配置方式:

Switch> enable

Switch # configure terminal

Switch(config)# ip access-list extended 2000   --->配置ACL规则用于过滤DHCP服务报文。
Switch(config-ext-nacl)# 10 permit udp any any eq 67
Switch(config-ext-nacl)# 20 permit udp any any eq 68
Switch(config-ext-nacl)# 100 deny ip any any

Switch(config-ext-nacl)# exit

Switch(config)# monitor session 1 destination interface GigabitEthernet 1/0/21  --->指定g1/0/21口为端口镜像的目的端口。
Switch(config)# monitor session 1 source interface GigabitEthernet 1/0/23 both acl 2000   --->指定g1/0/23口为端口镜像的源端口,both表示双方向的数据流,acl表示基于ACL规则过滤镜像报文。
monitor session 1 source interface GigabitEthernet 1/0/24 both acl 2000    --->指定g1/0/24口为端口镜像的源端口,both表示双方向的数据流,acl表示基于ACL规则过滤镜像报文。

1778738471039020303.png     说明

部分交换机不支持基于ACL过滤镜像报文。具体配置步骤请参考对应型号交换机的产品手册。


2.    Device上配置旁路接口

(1)   登录Device,点击[网络]>>[接口]>>[物理接口]菜单项,找到需要配置的接口,点击编辑。

image.png

 

(2)   设置接口模式为“旁路模式”,所属区域为“monitor”。

image.png

 

(3)   配置行为管理策略放通旁路口流量。

点击[策略]>>[行为管理],点击<新增>,按照下图配置一条行为管理策略。

image.png

 

1.5.3  开启认证和跨三层无感知选项

1778730445574097809.png     说明

本案例仅介绍无感知认证相关配置,用户认证的具体配置步骤请参见Web认证配置案例。

 

l  配置认证模板时,开启“无感知”选项。

本地Portal认证:[策略]>>[用户认证]>>[认证模板]>>[本地Portal]>>[基础配置]。

 

Portal 3.0认证:[策略]>>[用户认证]>>[认证模板]>>[外部Portal]>>[Portal 3.0]。

 

WiFiDog认证:[策略]>>[用户认证]>>[认证模板]>>[外部Portal]>>[Wifidog]。

 

l  配置认证策略时,网络类型选择“三层网络”。

image.png

 

1.6   验证配置结果

三层网络下,客户端首次接入网络时浏览器自动跳转至Portal认证页面,客户端认证通过后可以正常访问网络资源;客户端主动下线网络后,过一段时间再次接入网络时能够自动认证通过,无需手动认证。