• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置举例(R6611P06 E6401)-6W108

目录

13-访客二维码认证典型配置举例

本章节下载 13-访客二维码认证典型配置举例  (855.82 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Typical_Configuration_Example/ACG1000_CE(R6611P06_E6401)/202204/1587538_30005_0.htm

13-访客二维码认证典型配置举例


1  简介

本文档介绍ACG1000设备访客二维码认证功能配置举例,在配置前,先了解如下定义:

·     审核人:指定用户或用户组(此用户必须是已认证上线用户)作为审核人,二维码认证用户需要审核人扫码二维码来完成上网认证。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

在配置前,需要做如下准备:

·     本文档假设您已了访客二维码认证特性。

3  访客二维码认证功能配置举例

3.1  组网需求1:透明桥组网

3.1.1  组网需求

图1所示,某公司无线访客用户网段IP地址172.16.11.0/24,无线办公用户网段IP地址172.16.12.0/24,其中172.16.11.1/24作为无线访客用户的网关,172.16.12.1/24作为无线办公用户的网关。三层设备交换机上开启DHCP,地址池分别为172.16.11.2/24~172.16.11.254/24、172.16.12.2/24~172.16.12.254/24。使用设备的ge0和ge1接口作为透明桥,串接部署在网络中,设备上联出口FW,下联三层交换机。设备上开启访客二维码认证功能,访客用户通过访客二维码认证后才能访问网络。

图1 访客二维码认证透明桥组网图

 

3.1.2  配置思路

·     配置访客二维码认证功能。

·     配置本地认证功能。

3.1.3  使用版本

本举例是在R6611P01版本上进行配置和验证的。

3.1.4  配置步骤

1. 配置网桥接口

图2所示,进入“网络配置>接口配置>网桥接口”页面,点击<新建>按钮创建网桥接口bvi1,把ge0、ge1加入网桥,配置接口地址为10.0.219.4/24。

图2 配置网桥接口

 

2. 配置静态路由

图3配置访问外网的默认路由及去往认证用户网段172.16.11.0/24,172.16.12.0/24的路由。

图3 配置静态路由

 

3. 配置地址对象

图4所示,进入“策略配置>对象管理>地址对象>IPv4地址对象”页面,点击<新建>按钮创建无线访客用户、无线办公用户地址对象,地址分别为172.16.11.0/24和172.16.12.0/24,点击<提交>。

图4 配置认证用户地址对象

 

 

图5所示,进入“策略配置>对象管理>地址对象>IPv4地址对象”页面,点击<新建>按钮创建内网用户地址对象,地址为172.16.11.0/24和172.16.12.0/24,点击<提交>。

图5 配置内网用户地址对象

 

 

4. 配置本地用户

图6所示,进入“用户管理>用户组织结构”页面,新建用户,用于无线办公用户进行本地认证。

图6 新建用户

 

 

5. 配置访客二维码认证参数

图7所示,进入“用户管理 > 认证管理 > 认证方式 > 访客二维码认证 ”页面,配置访客二维码认证参数。

图7 访客二维码认证配置

 

 

6. 配置本地认证策略

图8所示,进入“用户管理 > 认证管理 > 认证策略”页面,选择新建认证策略,源接口选择内网口ge0,源地址选择“无线办公用户”,认证方式使用“本地认证”,提交策略。

图8 本地认证策略配置页面

 

 

7. 配置访客二维码认证策略

图9所示,进入“用户管理 > 认证管理 > 认证策略”页面,选择新建认证策略,源接口选择内网口ge0,源地址选择“无线访客用户”,认证方式使用“访客二维码认证”,提交策略。

图9 访客二维码认证认证策略配置页面

 

8. 配置用户识别范围

图10所示,进入“用户管理>认证管理>高级选项>全局配置”页面,识别范围选择“内网用户”,其它配置默认,提交配置。

图10 用户识别范围

 

 

3.1.5  配置注意事项

·     三层交换机需要开启DHCP功能,地址池范围为172.16.11.2/24~172.16.11.254/24。172.16.12.2/24~172.16.12.254/24。

·     认证用户网段必须在用户识别范围中,否则导致不能正常认证。

3.1.6  验证配置

图11所示,无线访客用户访问网页上网时,浏览器弹出portal页面。

图11  认证portal页面

 

 

 

图12所示,无线办公用户的手机通过本地认证上网后,可以通过手机扫一扫功能,扫描二维码认证中二维码图,会在手机上弹出审核页面,输入用户名后,点击确认,二维码用户即可认证成功。

图12 审核页面

  

 

图13所示,审核通过后二维码认证页面可自动跳到认证成功。(点击完成按钮,可以跳转到所访问的web页面,如果配置了重定向url,那就跳转到重定向url页面)

图13 认证成功

 

图14所示,在“数据中心>系统监控>在线用户”页面,查看到该用户已认证成功。

图14 在线用户

 

 

3.2  组网需求2:路由模式组网

3.2.1  组网需求

图15所示,某公司无线访客用户网段IP地址172.16.11.0/24,无线办公用户网段IP地址172.16.12.0/24,其中172.16.11.1/24作为无线访客用户的网关,172.16.12.1/24作为无线办公用户的网关。三层设备交换机上开启DHCP,地址池分别为172.16.11.2/24~172.16.11.254/24、172.16.12.2/24~172.16.12.254/24。使用ACG1000设备的ge0和ge1接口以三层路由模式部署在网络中,ACG作为出口网关设备,下联二层交换机。ACG1000产品上开启访客二维码认证功能,用户通过访客二维码认证后才能上网。

图15 访客二维码认证路由模式组网图

 

 

3.2.2  配置思路

·     配置访客二维码认证功能。

·     配置本地认证功能。

3.2.3  使用版本

本举例是在R6611P01版本上进行配置和验证的。

3.2.4  配置步骤

1. 配置路由接口

图16图17图18所示,进入“网络配置>接口配置”页面,点击编辑ge0操作,把ge0的地址配置为10.0.219.3/24。进入“网络配置>接口配置>子接口”页面,新建ge1.1、ge1.2子接口,把ge1.1和ge1.2的地址分别配置为172.16.11.1/24和172.16.12.1/24。

图16 配置ge0接口

 

 

图17 配置ge1.1子接口

 

 

图18 配置ge1.2子接口

 

 

2. 配置静态路由

图19配置访问外网的默认路由。

图19 配置静态路由

 

 

3. 配置对象

图20图21所示,进入“策略配置>对象管理>地址对象>IPv4地址对象”页面,点击<新建>按钮创建无线访客用户、无线办公用户地址对象,分别地址为172.16.11.0/24和172.16.12.0/24,点击<提交>。

图20 配置无线访客用户地址对象

 

图21 配置无线办公用户地址对象

 

图22所示,进入“策略配置>对象管理>地址对象>IPv4地址对象”页面,点击<新建>按钮创建内网用户地址对象,地址为172.16.11.0/24和172.16.12.0/24,点击<提交>。

图22 配置内网用户地址对象

 

4. 配置访客二维码认证参数

图23所示,进入“用户管理 > 认证管理 > 认证方式 > 访客二维码认证 ”页面,配置访客二维码认证参数。

图23 访客二维码认证配置

 

5. 配置本地认证策略

图24所示,进入“用户管理 > 认证管理 > 认证策略”页面,选择新建认证策略,源接口选择内网口ge1.2,源地址选择“无线办公用户”,认证方式使用“本地认证”,提交策略。

图24 本地认证策略页面

 

6. 配置访客二维码认证策略

图25所示,进入“用户管理 > 认证管理 > 认证策略”页面,选择新建认证策略,源接口选择内网口ge1.1,源地址选择“无线访客用户”,认证方式使用“访客二维码认证”,提交策略。

图25 二维码认证策略页面

 

7. 配置用户识别范围

图26所示,进入“用户管理>认证管理>高级选项”页面,识别范围选择“内网用户”,其它配置默认,提交配置。

图26 用户识别范围

 

 

8. 配置源NAT

图27所示,进入“策略配置>NAT转换策略”页面,在源NAT页面创建策略,接口选择ge0,其它配置默认,提交配置。

图27 配置源NAT

 

3.2.5  配置注意事项

·     ACG设备或二层交换机上需要开启DHCP功能,地址池范围为:172.16.11.2/24~172.16.11.254/24。172.16.12.2/24~172.16.12.254/24。

·     认证用户网段必须在用户识别范围中,否则会导致不能正常认证。

3.2.6  验证配置

图28所示,终端访问网页上网时,浏览器弹出portal页面。

图28  认证portal页面

 

图29所示,无线办公用户的手机通过本地认证上网后,可以通过手机扫一扫功能,扫描二维码认证中二维码图,会在手机上弹出审核页面,输入用户名后,点击确认,二维码用户既可以审核成功。

图29 审核页面

 

 

图30所示,审核通过后二维码认证页面可自动跳到认证成功(点击完成按钮,可以跳转到所访问的web页面,如果配置了重定向url,那就跳转到重定向url页面)。

图30 二维码认证成功

 

图31所示,在“数据中心>系统监控>在线用户”页面,可查看该用户已认证成功。

图31 在线用户

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们