- 1Cassandra介绍与使用
- 2Git镜像网址及其下载安装教程_git镜像地址
- 3Python学习(3)---主成分分析(PCA)的基本原理及其Python实现_python的pca函数怎么分析载荷
- 4Cassandra 数据库操作命令_cassandra 命令操作创建数据库
- 5Vue - 超详细 Element 组件库主题颜色进行 “统一全局“ 替换,将默认的蓝色主题色更换为其他自定义颜色(保姆级教程,简易且标准全局替换主题色)_实现了在 vue3+element plus 项目开发中,统一全局覆盖更换默认主题蓝色,引入一次
- 6unity包体相关的加密解密操作_unityfs解密
- 7元宇宙之问:产业与资本为什么扎堆元宇宙_immersive stream for xr
- 8canvas+audio+range 模拟音乐播放器_zmw77.aqq
- 9【微信小程序开发】使微信小程序中的图片长按保存_wx长按保存dom
- 10Unity Webgl使用GET/POST获取服务器数据,对JSON数据进行解析_unity webgal json
锐捷网络——安全域网关(SDG)+WEB认证实施指导_锐捷smp+认证配置
赞
踩
目录
3、配置WEB认证功能(可选配置,与SDG域隔离功能无关联)
2、内网电脑默认属于 Internet 组,只能访问属于 Internet资源。
一、组网需求
1、所有用户都要实名认证接入
2、将内外资源进行分类,所有用户同一时间只能访问一类资源,做到访问隔离
3、对所有用户需要实名日志记录
二、组网拓扑
三、配置要点
1)配置连通性;
2)配置SDG域隔离功能;
3)配置WEB认证功能
4)配置实名日志功能
四、配置方法
(以RSR20X系列路由器为例)
1、通过配置接口IP、路由等信息使网络连通性正常
在内网终端上确认可以正常访问资源、业务,比如访问业务网站、政务网等
2、配置SDG域隔离功能
路由器配置
步骤1:配置用户组,用于定于用户所属组(可访问的资源)
user-group Office ---->创建名为Office用户组,用于定义政务外网资源
user-group Internet ---->创建名为Internet用户组。用于定义互联网资源
ip sdg classifier 1 ---->创建SDG分类器,显示用户可以切换的域
user-group Internet default ---->用户接入网络后默认属于Internet用户组,即只能访问互联网
user-group Office
步骤2:定义内网资源访问策略
ip access-list extended 110
5 permit ip any host 114.114.114.114 ---->允许所有用户访问DNS服务器114.114.114.144
10 permit ip any host 10.12.251.150 ---->允许所有用户可以访问SMP(需要使用WEB认证、SMP管理等业务)
20 permit ip user-group Office 10.0.0.0 0.255.255.255 ----> 允许Office用户组终端访问10.0.0.0/8的地址
25 permit ip user-group Office 172.0.0.0 0.255.255.255 ----> 允许Office用户组终端访问172.0.0.0/8的地址
30 deny ip user-group Office any ---->拒绝 Office用户组终端访问其他地址并 弹出域切换页面
40 deny ip user-group Internet 10.0.0.0 0.255.255.255 ---->拒绝Internet 用户组终端访问 10.0.0.0/8 地址并 弹出域切换页面
50 deny ip user-group Internet 172.0.0.0 0.255.255.255 ----> 拒绝Internet 用户组终端访问 172.0.0.0/8 地址并 弹出域切换页面
60 permit ip user-group Internet any ---->允许 Internet 用户组终端访问其他地址
步骤3:路由器开启WEB功能,用于弹出域隔离切换切换页面(选择所属的域)
enable service web-server http ---->开启http连接WEB服务,用于弹出域隔离切换页面
enable service web-server https ---->开启https连接WEB服务,用于弹出域隔离切换页面
步骤4:内外接口使用域隔离策略(内网接口为GigabitEthernet 0/1)
interface GigabitEthernet 0/1ip sdg in access-group 110 trigger 1 ---->在内网接口开启域隔离功能,终端使用 分类器1的用户组进行选择并按 acl 110 策略进行域隔离控制
3、配置WEB认证功能(可选配置,与SDG域隔离功能无关联)
说明:
1、生效顺序:WEB认证先拦截数据,后域隔离
2、WEB认证时需要先DNS解析和portal弹出,因此域隔离策略的ACL中要放通DNS和SMP(portal)的访问数据
路由器配置
步骤1:配置radius信息
aaa new-modelaaa accounting network default start-stop group radiusaaa authentication web-auth default group radius ----> RSR77X系列默认已开启该命令,不用配置radius dynamic-authorization-extension enableradius-server host 10.12.251.150 key ruijieradius-server attribute framed-ip-addr always-send ----> RSR77X系列命 令为radius-server attribute 4 192.168.3.2)radius-server key ruijieip radius source-interface GigabitEthernet 0/0 ----> RSR77X系列命令为 radius-server host 10.12.251.150 src-ip 192.168.3.2 key ruijie
步骤2:配置WEB认证信息(SMP地址为10.12.251.150)
web-auth authentication defaultweb-auth portal key ruijieweb-auth nas-ip 192.168.3.2 ----> 与SMP上添加设备的地址保持一致web-auth direct-site 10.12.251.150 255.255.255.25 ---->放通访问SMP服务器地址,使不用认证即可访问web-auth acct-update-interval 10
web-auth offline-detect idle-timeout 15 threshold 0 ---->开启流量保活,终端15分钟内流量累计为0则踢用户下线portal-server ruijie ip 10.12.251.150 url http://10.12.251.150:80/smp/commonauth
snmp-server enable trapssnmp-server community public rw ---->public为snmp团体字,根据客户需求配置,需要与SMP上添加设备时参数一致
步骤4:内网接口应用WEB认证
interface GigabitEthernet 0/1web-auth control ruijie ---->在内网接口应用web认证,名称为rujie,与portal-server命令后的名字保持一致
SMP配置
步骤1:添加设备
注意:由于是跨了三层,因此SMP无法获取路由器mac地址,不影响WEB认证功能使用。
步骤2:创建账号,用于WEB认证(略)
如果终端有线连接在AP的以太网接口上,那么在用户模板中需要勾选“允许使用无线接入”
clock set 13:00:00 3 12 2013
configuration terminal
clock timezone beijing 8
步骤2:开启RLOG相应功能
rlog server 10.12.251.152rlog enablerlog url enable
SMP配置
步骤1:在 认证授权>管理在线用户>查询在线用户的目录中,修改“向第三方系统发送上下线通知”,勾选“启用SOCKET服务发送用户上下线信息”。
Elog配置
步骤1:添加设备
步骤2:启用与SMP实名信息联动
认证成功后在路由器上可以使用show web-auth user命令查看用户认证状态
RSR20-X-28#show web-auth user
Current user num : 1
Address State Nas-IP Time Used
---------------- --------------- --------------- -------------
172.12.32.1 AUTHENTICATED 192.168.3.2 0d 00:04:10
SMP上查看用户在线信息
ELOG上查看用户rlog日志(以NAT日志为例)信息
2、内网电脑默认属于 Internet 组,只能访问属于 Internet资源。
如果访问的是Office组内的资源会弹出切换域的页面,选择相应域后点击“提交”即可访问该域资源。
***************start***************
user-group Office
user-group Internet
ip sdg classifier 1
user-group Internet default
user-group Office
ip access-list extended 110
5 permit ip any host 114.114.114.114
10 permit ip any host 10.12.251.150
20 permit ip user-group Office 10.0.0.0 0.255.255.255
25 permit ip user-group Office 172.0.0.0 0.255.255.255
30 deny ip user-group Office any
40 deny ip user-group Internet 10.0.0.0 0.255.255.255
50 permit ip user-group Internet any
enable service web-server http
enable service web-server https
aaa new-model
aaa accounting network default start-stop group radius
aaa authentication web-auth default group radius ----> RSR77X系列默认已开启该命令,不用配置
radius dynamic-authorization-extension enable
radius-server host 10.12.251.150 key ruijie
radius-server attribute framed-ip-addr always-send ----> RSR77X系列命 令为radius-server attribute 4 192.168.3.2)
radius-server key ruijie
web-auth authentication default
web-auth portal key ruijie
web-auth nas-ip 192.168.3.2
web-auth direct-site 10.12.251.150 255.255.255.25
web-auth acct-update-interval 10
portal-server ruijie ip 10.12.251.150 url http://10.12.251.150:80/smp/commonauth
snmp-server enable traps
snmp-server community public rw
interface GigabitEthernet 0/1
ip sdg in access-group 110 trigger 1
clock set 13:00:00 3 12 2013
configuration terminalclock timezone beijing 8
rlog server 10.12.251.152
rlog enable
rlog url enable
***************end***************
