• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置举例(R6611P06 E6401)-6W108

目录

23-Portal逃生功能典型配置举例

本章节下载 23-Portal逃生功能典型配置举例  (366.92 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Typical_Configuration_Example/ACG1000_CE(R6611P06_E6401)/202204/1587548_30005_0.htm

23-Portal逃生功能典型配置举例


1  简介

本文档介绍ACG1000设备portal逃生的配置举例。

Portal逃生介绍:当发生网络问题导致Portal服务器不可用时,对于指定用户无需认证仍可上网。

已认证用户:包含设备启动后新认证的在线用户和设备启动前曾经认证过的未在线用户

全局逃生模式:开始逃生时,所有用户均可上网

已认证用户逃生模式:开始逃生时,只有已认证用户才可上网。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解portal逃生的特性。

3  使用限制

(1)     1G内存设备存储规格为1000;

(2)     2G内存设备存储规格为5000;

(3)     4G内存设备(含小于8G设备)存储规格为1W;

(4)     8G及超8G内存设备规格为2W。

4  配置举例

4.1  组网需求

图1所示,认证用户网段IP地址为172.16.4.0/24。使用ACG1000设备的ge1口连接内网设备,ge0口连接外网,在ACG1000产品开启portal逃生功能。

图1 Portal逃生功能组网图

 

4.2  配置思路

·     在ACG 设备上配置iMC对应的Radius服务器。

·     在ACG 设备上配置iMC对应的Portal服务器。

·     在ACG 设备上配置地址对象,注意在认证目的地址中排除iMC服务器地址和172.16.0.30。

·     在ACG 设备上配置用户策略。

·     配置地址探测。

·     开启portal逃生的功能,当地址探测失败时,用户可以正常上网,验证portal逃生功能生效。

4.3  使用版本

本举例是在R6611P01版本上进行配置和验证。

4.4  配置注意事项

已认证用户逃生包含设备启动后新认证的在线用户和设备启动前曾经认证过的未在线用户

对于全局逃生模式,要求在逃生时所有用户均可上网、逃生结束后未认证用户均需认证。也就意味着,在逃生期间在线用户不发生变动。

4.5  配置步骤

4.5.1  配置ACG1000系列产品

1. 登录Web网管

图2所示,使用http或https的方式登录ACG1000设备的Web网管,默认的用户名和密码是admin/admin,输入验证码,并点击<登录>按钮。

图2 登录H3C ACG Web网管

 

2. 配置Radius服务器

图3所示,ACG上进入“用户管理>认证管理>认证服务器”,点击<新建>选择RADIUS服务器,配置与imc对应的radius服务器。

图3 配置radius服务器

 

3. 配置Portal服务器

图4所示,在ACG上进入“用户管理>认证管理>认证方式> portal sever”,配置Portal服务器。

图4 配置Portal服务器

 

4. 配置排除iMC服务器地址172.16.0.30

图6所示,在ACG上进入“策略配置>对象管理>地址对象>ipv4地址对象”,点击<新建>,配置认证用户网段地址为172.16.4.0/24,配置认证目的地址网段排除iMC服务器地址172.16.0.30。

图5 配置认证用户网段

图6 配置排除iMC服务器地址172.16.0.30

 

5. 配置portal认证用户策略

图7所示,在ACG上进入“用户管理>认证管理>认证策略”,点击<新建>,配置portal认证用户策略。

图7 配置portal认证用户策略

 

6. 配置地址探测

图8所示,在ACG上进入“策略配置>对象管理>地址对象>地址探测”,点击<新建>,配置地址探测。

图8 配置地址探测

 

 

7. 配置开启portal逃生功能,选择已认证用户逃生模式

图9所示,在ACG上进入“用户管理>认证管理>认证方式>portal server>portal逃生”,点击<新建>,配置开启portal逃生功能,选择已认证用户逃生模式。

图9 配置开启portal逃生功能,选择已认证用户逃生模式

 

8. 手动关闭portal服务器,查看设备已经认证的服务器是否能正常上网

4.6  验证配置

查看portal逃生的地址探测失败情况下,设备已经认证的服务器能够正常上网,查看从未认证过的设备的用户无法正常上网,如图10所示

图10 地址探测状态为down,设备portal逃生功能开始生效

设备命令行查看设备存储的已认证用户(当portal逃生生效的时候,如果选择已认证用户逃生,包含设备启动后新认证的在线用户和设备启动前曾经认证过的未在线用户均可以正常上网。

图11 查看H3C ACG设备上已认证用户

 

图12 设备已认证用户正常上网,设备未认证用户无法上网

 

4.7  配置文件

H3C:WD-D# display running-config!

user-portal-escape mode authed

user-portal-escape track enable

user-portal-escape track portal-server地址

H3C:WD-D#

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们