支持

3  旁路認證和阻斷配置舉例

3.1.1  組網需求

如圖1所示，某企業對內網用戶50.1.1.3-100/24工作時間都將進行用戶認證和內網用戶50.1.1.101-254/24工作時間都進行行為控製，不提供任何NAT，DHCP或者DNS服務。部署在交換機旁邊，通過鏡像的方式，僅僅提供認證和阻斷的功能。旁路模式不修改網絡結構，不關心網絡細節，關機也不掉線，不會影響企業內部網絡。

圖1 旁路認證和阻斷組網

3.1.2  配置思路

·              配置設備接口地址。

·              配置設備旁路部署。

·              配置設備旁路認證。

·              配置設備旁路阻斷。

·              配置用戶識別範圍。

·              配置用戶認證策略。

·              配置控製策略。

3.1.3  使用版本

本舉例是在R6616版本上進行配置和驗證的。

3.1.4  配置步驟

(1)      配置接口地址

如圖2所示，進入“網絡配置>接口配置>物理接口”，點擊ge6<編輯>按鈕，配置ge6的IP地址為50.1.1.2/24。

圖2 配置接口地址

(2)      配置部署方式

如圖3所示，進入“網絡配置>基礎網絡>部署方式”，配置勾選ge8口啟用。

圖3 配置部署方式

(3)      配置旁路認證和阻斷

如圖4所示，進入“網絡配置>基礎網絡>部署方式>高級配置”，配置旁路認證和旁路阻斷。

圖4 配置旁路認證和旁路阻斷

(4)      配置內網用戶地址對象

如圖5所示，進入“策略配置>對象管理>地址對象>地址對象”，點擊<新建>按鈕創建內用戶地址對象50.1.1.0/24、50.1.1.3和50.1.1.101，點擊<提交>。

圖5 配置內網用戶地址對象

(5)      配置用戶識別範圍

如圖6所示，進入“用戶管理>認證管理>高級選項>全局配置”頁麵，識別範圍選擇“50.1.1.0”，其它配置默認，提交配置。

圖6 用戶識別範圍

(6)      配置用戶認證策略

如圖7所示，進入“用戶管理>認證管理>認證策略”，新建一條認證方式為本地認證的認證策略，源地址選擇50.1.1.3，其它配置默認，<提交>策略。

圖7 配置用戶認證策略

3.1.5  配置注意事項

·              用戶認證策略和控製策略的源接口以及目的接口必須配置接收鏡像流量的旁路部署接口或者是any。

·              旁路認證和阻斷務必保證旁路設備到上網PC可達，否則功能無法使用。

·              旁路阻斷隻針對於TCP報文生效，對於UDP、ICMP等報文無法進行阻斷。

3.1.6  驗證配置

如圖9所示， 內網用戶（50.1.1.3）訪問外網需要進行本地認證，本地認證成功後，訪問外網成功。

圖9 內網用戶需要進行本地認證