Web方式:基于城市热点服务器单点登录的用户身份识别与管理典型配置

使用版本

本举例是在M9000-X06的E9900版本上进行配置和验证的。

组网需求

如下图所示,在某些校园网组网方案中采用城市热点服务器作为用户资源服务器,通过城市热点服务器可以实现对校园网用户进行认证、授权及计费。城市热点推送的报文会携带用户组ID(即城市热点服务器上的套餐组ID),所以在用户上线前,防火墙也需要配置与之对应的用户组(即城市热点服务器上的套餐组ID)。现Device需要从城市热点服务器同步用户信息,实现基于用户对内外网之间的报文进行访问控制。具体要求如下:

图-1 基于城市热点服务器单点登录的用户身份识别与管理配置举例组网图

配置本典型配置举例前,需要您配置好城市热点服务器及相关开户信息,Dr.com认证设备上已配置相关接入认证功能。最终可以保证用户能够在城市热点服务器上进行认证授权。具体请以实际组网为准。

配置步骤

配置城市热点服务器Dr.Com server

  1. ‍配置Device的IP地址及端口号

    在服务器的CLI界面,登录城市热点服务器http://181.78.11.13,输入用户名及密码,使用cd命令进入如下路径/usr/local/drcom/dronline/ac0,打开dronline.ini文件,在action标题下,添加Device地址181.78.1.20及端口号60001。

    图-2 配置Device地址及端口号

  2. 重启dronline程序

    修改dronline.ini文件,重启dronline程序后,每次上线在线用户就会自动同步用户信息。

    查询正在运行且名称带“online”的进程,并使用kill命令,关闭进程。

    图-3 关闭进程

    重启dronline程序:使用cd命令进入/usr/local/drcom/dronline/,执行./cron_dronline,开启dronline程序。

    图-4 重启程序

  3. 在服务器中开户

    在浏览器输入http://181.78.11.13:8080/DrcomManager/,进入Drcom服务器web界面,进行策略管理,可添加资费组、套餐组、带宽组等对网络进行监管。

    图-5 资费组

    图-6 套餐组

    图-7 带宽组

    在“用户管理 > 业务受理 > 开户”页面,可进行单用户操作。在"用户管理 > 批量业务 > 批量开户 > 下载模板 > 添加文件 > 开始上传”可批量导入用户。在“用户管理 > 用户查询”页面,可以查询到用户导入是否成功。

    图-8 添加用户

配置Device

  1. ‍配置接口的IP地址

    # 选择“网络 > 接口与VRF > 接口”,进入接口配置页面。

    # 单击接口GE1/0/1右侧的<编辑>按钮,配置如下。

    • 安全域:Trust

    • 选择“IPv4地址”页签,配置IP地址/掩码:181.78.1.20/24

    • 其他配置项使用缺省值

    # 单击<确定>按钮,完成接口IP地址和安全域的配置。

    # 按照同样的步骤配置接口GE1/0/3,配置如下。

    • 安全域:Untrust

    • 选择“IPv4地址”页签,配置IP地址/掩码:12.1.1.1/24

    • 其他配置项使用缺省值

    # 单击<确定>按钮,完成接口IP地址和安全域的配置。

    请参考以上配置步骤,配置接口GE1/0/2的IP地址,具体步骤略。

  2. 配置路由

    本举例仅以静态路由为例,若实际组网中需采用动态路由,请配置对应的动态路由协议。

    # 选择“网络 > 路由 > 静态路由 > IPv4静态路由”,单击<新建>按钮,进入新建IPv4静态路由页面。

    # 新建IPv4静态路由,并进行如下配置:

    • 目的IP地址:181.78.11.0

    • 掩码长度:24

    • 下一跳IP地址:181.78.1.1

    • 其他配置项使用缺省值

    # 单击<确定>按钮,完成静态路由的配置。

    请参考以上配置步骤,添加到115.1.1.0/24网段的静态路由,具体步骤略。

    请参考以上配置步骤,添加到Internet的静态路由,具体步骤略。

  3. 配置安全策略放行城市热点服务器与设备之间的流量

    # 选择“策略 > 安全策略> 安全策略”,单击<新建>按钮,进入新建安全策略页面。

    # 新建安全策略放行城市热点服务器与设备之间的流量,用于用户信息同步,并进行如下配置:

    创建名称为trust-local的安全策略。

    • 名称:trust-local

    • 源安全域:Trust

    • 目的安全域:Local

    • 类型:IPv4

    • 动作:允许

    • 源IPv4地址:181.78.11.0/24

    • 其他配置项使用缺省值

    # 单击<确定>按钮,完成安全策略的配置。

    创建名称为local-trust的安全策略。

    • 名称:local-trust

    • 源安全域:Local

    • 目的安全域:Trust

    • 类型:IPv4

    • 动作:允许

    • 目的IPv4地址:181.78.11.0/24

    • 其他配置项使用缺省值

    # 单击<确定>按钮,完成安全策略的配置。

  4. 配置设备监听Sec Manage服务器的地址和端口号

    # 选择“对象 > 用户与认证 > Sec Manage服务器”,点击<新建>按钮,进入新建Sec Manage服务器界面。

    图-9 新建Sec Manage服务器

    # 单击<确定>按钮,完成Sec Manage服务器的配置。

  5. 指定Sec Manage服务器的厂商

    可通过web界面右下角CLI控制台,输入命令。

  6. 新建用户组

    新建的用户组名称需要与城市热点服务器中创建的计费组ID一致,本举例中计费组ID为1,计费组名称为test。

    # 选择“对象 > 用户与认证 > 用户管理 > 本地用户 > 用户组”,点击<新建>按钮,进入新建用户组界面。

    图-10 新建用户组

    # 单击<确定>按钮,完成用户组1的创建。

  7. 开启身份识别功能

    # 选择“对象 > 用户与认证 > 用户管理 > 在线用户”,点击<开启身份识别功能>按钮,开启开启身份识别功能。

    图-11 开启身份识别功能

  8. 配置安全策略对用户流量进行访问控制

    # 选择“策略 > 安全策略> 安全策略”,单击<新建>按钮,进入新建安全策略页面。

    # 新建安全策略根据权限控制需求对用户进行不同的访问控制

    创建名称为user1的安全策略,仅允许test用户访问FTP server,配置如下。

    • 名称:user1

    • 源安全域:Trust

    • 目的安全域:DMZ

    • 类型:IPv4

    • 动作:允许

    • 用户组:1

    • 其他配置项使用缺省值

    # 单击<确定>按钮,完成安全策略的配置。

验证配置

  1. ‍选择“对象 > 用户与认证 > 用户管理 > 在线用户”,查看从城市热点服务器推送的在线用户信息。

  2. 用户test可Ping通FTP server。

    C:\>ping 11.1.1.10

    Pinging 11.1.1.10 with 32 bytes of data:

    Reply from 11.1.1.10: bytes=32 time=36ms TTL=253

    Reply from 11.1.1.10: bytes=32 time=36ms TTL=253

    Reply from 11.1.1.10: bytes=32 time=36ms TTL=253

    Reply from 11.1.1.10: bytes=32 time=36ms TTL=253

    Ping statistics for 11.1.1.10:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

    Approximate round trip times in milli-seconds:

    Minimum = 0ms, Maximum = 36ms, Average = 9ms