Portal 认证实验(本地认证方案)

实验拓扑


图 1-1

注:此实验务必按照拓扑所示接口连接线缆,且运行前置环境中的 Win7-1、Windows Server 2003 两台虚拟机。防火墙内存务必配置为 2G 以上。实验步骤中防火墙的配置可在 “Web 控制台配置方法” 和 “命令行配置方法” 中任选一种。

实验需求

  1. 按照图示配置防火墙,使 Win7-1 虚拟机可以访问互联网。
  2. 在防火墙上配置本地 Portal 认证,使 Win7-1 虚拟机需要通过用户名和密码认证才能上网。

防火墙 Web 控制台配置方法

  1. 配置防火墙使 Win7-1 虚拟机可以访问互联网。步骤参考防火墙三层模式部署实验。

    注:本实验中防火墙直接作为虚拟机的网关,所以无需配置去往虚拟机所在网段的静态路由。另外由于客户端需要访问防火墙的 Portal 服务,需要在安全策略中放通 Trust 到 Local 的流量。

  2. 配置本地 Portal 认证。

    步骤 1:点击 对象 - 用户与认证 - 本地用户


    图 1-2

    步骤 2:新建用户,设置用户名和密码,可用服务钩选 Portal。


    图 1-3

    步骤 3:点击 接入管理 - Portal,再点击 本地 Portal Web 服务器


    图 1-4

    步骤 4:点击新建,将认证页面文件打包上传到系统中。认证协议和端口保持默认即可。


    图 1-5


    图 1-6

    步骤 5:点击 Portal Web 服务器。新建 Portal Web 服务器,URL 是防火墙本机的 IP 地址加上 portal 目录。


    图 1-7

    步骤 6:点击 接口策略,新建接口策略。接口选择为防火墙内网口。勾选按 IPv4 设置,开启 Portal 认证,认证方式选择直接认证。引用 Portal Web 服务器选择上一步创建的服务器,认证域选择默认的 system 即可。


    图 1-8

    步骤 7:为了使通过域名访问网站也能触发 Portal 页面,需要配置认证前放通 DNS 流量。点击 免认证规则,新建规则。设置为基于目的 IP 配置,目的 IP 为任意 IPv4 地址,端口号 UDP 53。


    图 1-9

  3. 在 Win7-1 虚拟机上访问任意网站,浏览器将被重定向到 Portal 认证页面。使用之前创建的账户登录后才可以正常上网。点击下线后,则无法上网。


    图 1-10


    图 1-11


    图 1-12


    图 1-13

防火墙 Web 控制台配置方法

  1. 配置防火墙使 Win7-1 虚拟机可以访问互联网。步骤参考防火墙三层模式部署实验。

    注:本实验中防火墙直接作为虚拟机的网关,所以无需配置去往虚拟机所在网段的静态路由。另外由于客户端需要访问防火墙的 Portal 服务,需要在安全策略中放通 Trust 到 Local 的流量。

  2. 配置本地 Portal 认证。

    步骤 1:创建本地用户,设置密码,服务类型为 Portal。

    [FW]local-user zhangsan class network 
[FW-luser-network-zhangsan]password simple 123456
[FW-luser-network-zhangsan]service-type portal

    步骤 2:将认证页面文件打包上传到防火墙。可通过 USB 或 FTP 等方法上传。这里只展示结果。


    图 1-14

    步骤 3:创建本地 Portal Web 服务器,服务器认证页面文件指定为上一步上传的压缩包。

    [FW]portal local-web-server http
[FW-portal-local-websvr-http]default-logon-page portal.zip

    步骤 4:创建 Portal Web 服务器,配置 Portal 认证页面的地址。

    [FW]portal web-server dfm
[FW-portal-websvr-dfm]url http://192.168.101.254/portal

    步骤 5:在连接 PC 的接口上配置 Portal 认证策略。配置认证方法为直连,并调用上一步创建的 Portal Web 服务器。

    [FW]interface g1/0/0
[FW-GigabitEthernet1/0/0]portal enable method direct 
[FW-GigabitEthernet1/0/0]portal apply web-server dfm
[FW-GigabitEthernet1/0/0]portal domain system

    步骤 6:为了使通过域名访问网站也能触发 Portal 页面,配置认证前放通 DNS 流量。

    [FW]portal free-rule 0 destination ip any udp 53

  3. 在 Win7-1 虚拟机上访问任意网站,浏览器将被重定向到 Portal 认证页面。使用之前创建的账户登录后才可以正常上网。点击下线后,则无法上网。



« 防火墙二层模式部署实验
Portal 认证实验(Radius 方案) »

Copyright © 2015 Powered by MWeb,  Theme used GitHub CSS.

鄂ICP备18006549号-1

TOP