Portal 认证实验(Radius 方案)

实验拓扑


图 1-1

注:此实验务必按照拓扑所示接口连接线缆,且运行前置环境中的 Win7-1、Windows Server 2003 两台虚拟机。防火墙内存务必配置为 2G 以上。实验步骤中防火墙的配置可在 “Web 控制台配置方法” 和 “命令行配置方法” 中任选一种。

实验需求

  1. 按照图示配置防火墙,使 Win7-1 虚拟机可以访问互联网。
  2. 在防火墙上配置基于 Radius 的 Portal 认证,使 Win7-1 虚拟机需要通过用户名和密码认证才能上网。

其他设备基础配置

  1. 配置交换机

    步骤 1:在 SW 上创建 VLAN10、VLAN20 和 VLAN30,将连接 Win7-1 虚拟机接口加入 VLAN10,连接 Radius 的接口加入 VLAN20,连接防火墙的接口加入 VLAN30

    [SW]vlan 10
[SW-vlan10]port g1/0/2
[SW-vlan10]vlan 20
[SW-vlan20]port g1/0/3
[SW-vlan20]vlan 30
[SW-vlan30]port g1/0/1

    步骤 2:在 SW 上为 VLAN10、VLAN20、VLAN30 创建三层接口并配置 IP 地址。

    [SW]interface vlan 10
[SW-Vlan-interface10]ip address 192.168.101.254 24
[SW]interface vlan 20
[SW-Vlan-interface20]ip address 192.168.102.254 24
[SW]interface vlan 30
[SW-Vlan-interface30]ip address 10.1.1.2 30

    步骤 3:在 SW 上配置缺省路由,下一跳指向防火墙。

    [SW]ip route-static 0.0.0.0 0 10.1.1.1

  2. 配置 Radius 服务器。

    步骤 1:修改 Radius 服务器 IP 地址。Radius 服务器使用模拟器中 Server2 实现。Server2 默认绑定 VirtualBox Host Only Ethernet Adapter 网卡。该网卡在前置实验环境中修改了 IP 地址,导致 Server2 也需要修改 IP 地址。在命令行中编辑 /etc/config/network 文件来修改 IP 地址。修改完毕后输入 wq 保存退出,并重启网络服务。


    图 1-2


    图 1-3


    图 1-4

    步骤2 :在浏览器上访问 http://192.168.101.10 打开 Server2 的 Web 控制台。使用账户 admin,密码 123456 登录。


    图 1-5

    步骤 3:点击 网络 - 接口,点击 添加新接口


    图 1-6

    步骤 4:为新接口命名,并选择协议为静态地址,设备绑定 eth2 接口。(eth2 接口对应模拟器拓扑中 Server2 的 G0/2 口。)为接口配置 IP 地址和网关实现与内网互通。


    图 1-7


    图 1-8

    步骤 5:点击 HCL - Radius 服务,在用户配置界面,设置用于验证的账户。设置完点击保存。


    图 1-9

    步骤 6:点击 客户端配置,设置 Radius 客户端地址与共享密钥。本实验中客户端就是防火墙。配置完点击 保存并应用,使上述所有配置生效。


    图 1-10

防火墙 Web 控制台配置方法

  1. 配置防火墙使 Win7-1 虚拟机可以访问互联网。步骤参考防火墙三层模式部署实验。

    注:本实验中由于客户端需要访问防火墙的 Portal 服务,需要在安全策略中放通 Trust 到 Local 的流量。另外,防火墙和 Radius 服务器之间需要通信,还需要配置安全策略放通 Radius 服务器与防火墙内网口地址的双向流量。安全策略配置要点如下:


    图 1-11


    图 1-12

  2. 配置基于 Radius 方案的 Portal 认证。

    步骤 1:点击 对象 - 用户与认证 - 认证管理 - RADIUS


    图 1-13

    步骤 2:新建 Radius 方案,设置认证主服务器和计费主服务器都为 Radius 服务器地址,端口默认不变,共享密钥与 Radius 服务器中配置的保持一致。发送给 RADIUS 服务器的用户名格式需要选择为与用户输入保持一致。


    图 1-14


    图 1-15


    图 1-16

    步骤 3:点击 ISP 域,新建域。接入方式选择 Portal,将 Portal AAA 方案的认证、授权与计费都选择为 Radius,并调用上一步创建的 Radius 方案。


    图 1-17


    图 1-18

    步骤 4:点击 接入管理 - Portal,再点击 本地 Portal Web 服务器


    图 1-19

    步骤 5:点击新建,将认证页面文件打包上传到系统中。认证协议和端口保持默认即可。


    图 1-20


    图 1-21

    步骤 6:点击 Portal Web 服务器。新建 Portal Web 服务器,URL 是防火墙本机的 IP 地址加上 portal 目录。


    图 1-22

    步骤 7:点击 接口策略,新建接口策略。接口选择为防火墙内网口。勾选按 IPv4 设置,开启 Portal 认证,认证方式选择可跨三层认证。引用 Portal Web 服务器选择上一步创建的服务器,认证域选择上一步创建的域方案即可。

    注:本实验环境中,客户端 Win7-1 虚拟机与防火墙之间并没有直连,而是跨了三层交换机。所以需要选择认证方式为可跨三层认证。


    图 1-23

    步骤 8:为了使通过域名访问网站也能触发 Portal 页面,需要配置认证前放通 DNS 流量。点击 免认证规则,新建规则。设置为基于目的 IP 配置,目的 IP 为任意 IPv4 地址,端口号 UDP 53。


    图 1-24

  3. 在 Win7-1 虚拟机上访问任意网站,浏览器将被重定向到 Portal 认证页面。使用在 Radius 服务器上设置的账户登录后才可以正常上网。点击下线后,则无法上网。


    图 1-25


    图 1-26

防火墙命令行控制台配置方法

  1. 配置防火墙使 Win7-1 虚拟机可以访问互联网。步骤参考防火墙三层模式部署实验。安全策略配置要点如下:

    [FW]object-group ip address FW
[FW-obj-grp-ip-FW]network host address 100.1.1.2
[FW]object-group ip address FW_inside
[FW-obj-grp-ip-FW_inside]network host address 10.1.1.1
[FW]object-group ip address VLAN10
[FW-obj-grp-ip-VLAN10]network subnet 192.168.101.0 255.255.255.0
[FW]object-group ip address VLAN20
[FW-obj-grp-ip-VLAN20]network subnet 192.168.102.0 255.255.255.0

    [FW]security-policy ip
[FW-security-policy-ip]rule 0 name Permit
[FW-security-policy-ip-0-Permit]action pass
[FW-security-policy-ip-0-Permit]source-zone Local
[FW-security-policy-ip-0-Permit]source-zone Trust
[FW-security-policy-ip-0-Permit]destination-zone Untrust
[FW-security-policy-ip-0-Permit]destination-zone Local
[FW-security-policy-ip-0-Permit]destination-zone Trust
[FW-security-policy-ip-0-Permit]source-ip FW
[FW-security-policy-ip-0-Permit]source-ip FW_inside
[FW-security-policy-ip-0-Permit]source-ip VLAN10
[FW-security-policy-ip-0-Permit]source-ip VLAN20

  2. 配置基于 Radius 方案的 Portal 认证。

    步骤 1:创建 Radius 方案,设置认证服务器和计费服务器,并设置用户名与用户输入保持一致。

    [FW]radius scheme radius
[FW-radius-radius]primary authentication 192.168.102.1 key simple 123456
[FW-radius-radius]primary accounting 192.168.102.1 key simple 123456
[FW-radius-radius]user-name-format keep-original

    步骤 2:创建 ISP 域,Portal 验证、授权和计费方案都使用 Radius,并调用上一步创建的方案。

    [FW]domain radius_portal
[FW-isp-radius_portal]authentication portal radius-scheme radius
[FW-isp-radius_portal]authorization portal radius-scheme radius
[FW-isp-radius_portal]accounting portal radius-scheme radius

    步骤 3:将认证页面文件打包上传到防火墙。可通过 USB 或 FTP 等方法上传。

    步骤 4:创建本地 Portal Web 服务器,服务器认证页面文件指定为上一步上传的压缩包。

    [FW]portal local-web-server http
[FW-portal-local-websvr-http]default-logon-page portal.zip

    步骤 5:创建 Portal Web 服务器,配置 Portal 认证页面的地址。

    [FW]portal web-server dfm
[FW-portal-websvr-dfm]url http://10.1.1.1/portal

    步骤 6:在连接内网的接口上配置 Portal 认证策略。配置认证方法为可跨三层认证,并调用上一步创建的 Portal Web 服务器。调用前面创建的 ISP 域方案

    [FW]interface g1/0/0
[FW-GigabitEthernet1/0/0]portal enable method layer3 
[FW-GigabitEthernet1/0/0]portal apply web-server dfm
[FW-GigabitEthernet1/0/0]portal domain radius_portal

    步骤 7:为了使通过域名访问网站也能触发 Portal 页面,配置认证前放通 DNS 流量。

    [FW]portal free-rule 0 destination ip any udp 53

  3. 在 Win7-1 虚拟机上访问任意网站,浏览器将被重定向到 Portal 认证页面。使用在 Radius 服务器上创建的账户登录后才可以正常上网。点击下线后,则无法上网。



« Portal 认证实验(本地认证方案)
Portal 认证实验(LDAP 方案) »

Copyright © 2015 Powered by MWeb,  Theme used GitHub CSS.

鄂ICP备18006549号-1

TOP