• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

04-系统管理配置指导

目录

10-旁路认证配置指导

本章节下载 10-旁路认证配置指导  (372.17 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Configure/Operation_Manual/ACG1000_CG(R6612_E6453)/04/202104/1406858_30005_0.htm

10-旁路认证配置指导


1 旁路认证

1.1  概述

旁路认证模式并不替换用户的路由器,也不提供任何NAT,DHCP或者DNS服务。它通常放在交换机旁边,通过镜像的方式,仅仅提供认证的功能。旁路模式不修改网络结构,甚至不关心网络细节,关机也不掉线。

1.2  配置旁路认证

1.2.1  配置准备

在配置旁路认证之前,需完成以下任务:

·      配置相关接口的物理参数。

·      配置相关接口的链路层属性。

·      配置相关接口的IP地址。

1.2.2  配置旁路认证

表1-1 配置旁路认证

操作

命令

说明

进入系统视图

system-view

-

配置旁路认证功能

user-policy listen authentication {enable | disable}

必选

缺省情况下,旁路认证关闭

 

   说明

·     ICMP无法阻断。

·     UDP无法阻断。

·     TCP针对终端和服务器同时发送reset。

 

1.3  旁路认证配置举例

1.3.1  旁路认证类型为本地配置举例

1. 组网需求

按照如下组网配置设备与终端IP地址。

图1-1 旁路认证类型为本地认证组网图

 

2. 配置说明

·     核心交换机将上下行报文镜像到Device上。

·     Device设备GE8作为监听口,接收镜像报文。

·     通过电脑访问http网站进行测试。

3. 配置步骤

(1)     管理口下开启http/https服务。

host#system-view

host(config)# interface ge0

host(config-ge0)# ip add 172.16.1.6/24

host(config-ge0)# allow access all

 

(2)     配置镜像口。

host(config)# interface ge8

host(config)# deploy-mode listen enable

 

(3)     开启旁路认证。

host(config)# user-policy listen authentication enable

 

(4)     认证策略调用认证方式。

host(config)#  user-policy ge8 ge8 any any always local-webauth enable test no-record forever

 

4. 验证配置

使用电脑访问http网站弹出本地认证界面,如图1-2所示。

图1-2 本地认证界面

 

1.3.2  旁路认证类型为portal server配置举例

1. 组网需求

按照如下组网配置设备与终端IP地址。

图1-3 旁路认证类型为portal server认证组网图

 

2. 配置说明

·     核心交换机将上下行报文镜像到Device上。

·     Device设备GE8作为监听口,接收镜像报文。

·     通过电脑访问http网站进行测试。

3. 配置步骤

(1)     管理口下开启http/https服务。

host#system-view

host(config)# interface ge0

host(config-ge0)# ip add 172.16.1.6/24

host(config-ge0)# allow access all

 

(2)     配置镜像口。

host(config)# interface ge8

host(config)# deploy-mode listen enable

 

(3)     开启旁路认证。

host(config)# user-policy listen authentication enable

 

(4)     认证策略调用认证方式。

host(config)#  user-policy ge8 ge8 any any always portal-server-webauth enable test no-record forever

 

4. 验证配置

使用电脑访问http://www.hao123.com弹出portal/ server认证界面。

1.3.3  旁路认证类型为短信配置举例

1. 组网需求

按照如下组网配置设备与终端IP地址。

图1-4 旁路认证类型为短信认证组网图

 

2. 配置说明

·     核心交换机将上下行报文镜像到Device上。

·     Device设备GE8作为监听口,接收镜像报文。

·     通过电脑访问http网站进行测试。

3. 配置步骤

(1)     管理口下开启http/https服务。

host#system-view

host(config)# interface ge0

host(config-ge0)# ip add 172.16.1.6/24

host(config-ge0)# allow access all

 

(2)     配置镜像口。

host(config)# interface ge8

host(config)# deploy-mode listen enable

 

(3)     开启旁路认证。

host(config)# user-policy listen authentication enable

 

(4)     认证策略调用认证方式。

host(config)#  user-policy ge8 ge8 any any always sms-webauth enable test no-record forever

 

4. 验证配置

使用电脑访问http网站弹出短信认证界面。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们