上图为某企业上网用户本地认证组网拓扑图,该企业在网络边界处部署了防火墙作为出口网关,连接内部网络与Internet。其内网中访问者包括研发部员工、市场部员工和来访客户,这些人员均动态获取IP地址。
该企业网络管理员希望利用防火墙提供的用户管理与认证,将内网中IP地址识别为用户,为实现基于用户网络行为控制和网络权限分配提供基础,需求如下:
用户本地认证数据规划
项目 | 数据 | 说明 |
---|---|---|
研发部员工 | 组组名:research所属组:/default用户登录名:user_0001显示名:Tom所属组:/default/research密码:Admin@123不允许多人同时使用该账号登陆 | 将研发部门员工规划到“research”组中 |
市场部员工 | 组组名:marketing所属组:/default用户登录名:user_0002显示名:Jack所属组:/default/marketing密码:Admin@123不允许多人同时使用该账号登陆 | 将市场部门员工规划到“marking”组中 |
来访客户 | 组组名:/default用户登录名:guest所属组:/default密码:Admin@123允许多人同时使用该账号登陆 | 所有来访客户都是用“guest”用户来进行认证,该用户允许多人同时登陆 |
认证策略 | 名称:policy_auto_01源安全区域:Trust源地址/地区:10.3.0.0/24目的安全区域:any目的地址/区域:any认证动作:Portal认证 | 对匹配条件的研发部员工、市场部员工和来访客户进行认证。研发部员工、市场部员工和来访客户必须通过防火墙的认证后才能访问网络资源。 |
用户
将研发部门员工规划到“research”组中 市场部员工 组
用户
将市场部门员工规划到“marking”组中 来访客户 组
用户
所有来访客户都是用“guest”用户来进行认证,该用户允许多人同时登陆认证策略 名称:policy_auto_01 源安全区域:Trust 源地址/地区:10.3.0.0/24 目的安全区域:any 目的地址/区域:any 认证动作:Portal认证 对匹配条件的研发部员工、市场部员工和来访客户进行认证。 研发部员工、市场部员工和来访客户必须通过防火墙的认证后才能访问网络资源。
配置步骤
步骤1:配置防火墙的网络参数
(1)接口IP
system
int g 1/0/1
ip add 1.1.1.1 24
quit
int g 1/0/2
ip add 10.2.0.1 24
quit
int g 1/0/3
ip add 10.3.0.1 24
quit
(2)接口加入安全区域
firewall zone untrust
add int g 1/0/1
quit
firewall zone dmz
add int g 1/0/2
quit
firewall zone trust
add int g 1/0/3
quit
步骤2:创建用户组和用户
(1)研发部
# 创建用户组
user-manage group /default/research
quit
# 创建用户
user-manage user user_0001
alias Tom
# 加入父组
parent-group /default/research
password Admin@123
# 禁止多人同时使用该账户
undo multi-ip online enable
quit
(2)市场部
# 创建用户组
user-manage group /default/marketing
quit
# 创建用户
user-manage user user_0002
alias Jack
# 加入父组
parent-group /default/marketing
password Admin@123
# 禁止多人同时使用该账户
undo multi-ip online enable
quit
(3)来访客户
# 创建用户
user-manage user guest
# 加入父组
parent-group /default
password Admin@123quit
步骤5:配置认证域
# 进度AAA视图(Authentication认证、Authorization授权、Accounting计费)
aaa
# 进入默认的default认证域视图
domain default
# 配置认证域的接入控制(internetaccess允许对用户坐基于策略的控制)
service-type internetaccess
quit
quit
步骤6:配置安全策略
(1)配置允许用户访问认证页面
security-policy
rule name policy_sec_01
source-zone trust
source-address 10.3.0.0 24
destination-zone local
# 认证页面服务类型,TCP的8887端口
service protocol tcp destination-port 8887
action permit
quit
(2)允许用户访问外网
security-policy
rule name policy_sec_02
source-zone trust
source-address 10.3.0.0 24
destination-zone untrust
action permit
quit
(3)允许用户访问DMZ
security-policy
rule name policy_sec_03
source-zone trust
source-address 10.3.0.0 24
destination-zone dmz
action permit
quitquit
步骤7:验证和调试
(1)访问HTTP业务
浏览器输入www.huawei.com自动跳转到认证界面
(2)访问非HTTP业务
访问https://10.3.0.1:8887进行认证
(3)防火墙查看在线用户信息
display user-manage online-user verbose