1.基本配置
(1)LSW1的配置
[LSW1]vlan batch 12 14 15 16 17 51
[LSW1-Vlanif12]ip add 10.1.12.1 24
[LSW1-Vlanif14]ip add 10.1.14.1 24
[LSW1-Vlanif16]ip add 10.1.16.1 24
[LSW1-Vlanif17]ip add 10.1.17.1 24
[LSW1-Vlanif15]ip add 10.1.15.1 24
[LSW1-Vlanif51]ip add 10.1.51.1 24
[LSW1-GigabitEthernet0/0/1]port link-type access
[LSW1-GigabitEthernet0/0/1]port default vlan 12
[LSW1-GigabitEthernet0/0/2]port link-type access
[LSW1-GigabitEthernet0/0/2]port default vlan 14
[LSW1-GigabitEthernet0/0/4]port link-type access
[LSW1-GigabitEthernet0/0/4]port default vlan 16
[LSW1-GigabitEthernet0/0/5]port link-type access
[LSW1-GigabitEthernet0/0/5]port default vlan 17
[LSW1-GigabitEthernet0/0/3]port link-type access
[LSW1-GigabitEthernet0/0/3]port default vlan 15
[LSW1-GigabitEthernet0/0/6]port link-type access
[LSW1-GigabitEthernet0/0/6]port default vlan 51
(2)配置LSW2
[LSW2]vlan batch 12 13
[LSW2-Vlanif12]ip add 10.1.12.2 24
[LSW2-Vlanif13]ip add 10.1.13.2 24
[LSW2-GigabitEthernet0/0/1]port link-type access
[LSW2-GigabitEthernet0/0/1]port default vlan 12
[LSW2-GigabitEthernet0/0/2]port link-type access
[LSW2-GigabitEthernet0/0/2]port default vlan 13
(3)配置终端的IP地址
(4)FW1的配置
[FW1-GigabitEthernet1/0/1]ip add 10.1.15.5 24
[FW1-GigabitEthernet1/0/2]ip add 10.1.51.5 24
[FW1-zone-untrust]add interface g1/0/1
[FW1-zone-trust]add interface g1/0/2
(5)配置路由连通性
[LSW2]ospf 1
[LSW2-ospf-1]area 0
[LSW2-ospf-1-area-0.0.0.0]net 10.1.12.0 0.0.0.255
[LSW2-ospf-1-area-0.0.0.0]net 10.1.13.0 0.0.0.255
[LSW1]ospf 1
[LSW1-ospf-1-area-0.0.0.0]net 10.1.12.0 0.0.0.255
[LSW1-ospf-1-area-0.0.0.0]net 10.1.14.0 0.0.0.255
[LSW1-ospf-1-area-0.0.0.0]net 10.1.16.0 0.0.0.255
[LSW1-ospf-1-area-0.0.0.0]net 10.1.17.0 0.0.0.255
[LSW1-ospf-1-area-0.0.0.0]net 10.1.15.0 0.0.0.255
[LSW1-ospf-1-area-0.0.0.0]net 10.1.51.0 0.0.0.255
2.在LSW1上将终端用户发起的流量引到防火墙
[LSW1]acl 2000
[LSW1-acl-basic-2000]rule permit source 10.1.13.0 0.0.0.255
[LSW1-GigabitEthernet0/0/3]traffic-redirect inbound acl 2000 ip-nexthop 10.1.15.5
3.FW1引流的配置
(1)由于旁挂式SACG联动用户发起的流量和返回的流量不一致,需要关闭会话状态检测功能:系统—配置—高级配置—配置状态检测的对勾取消—应用
(2)配置处理后流量回注交换机的静态路由:网络—路由—静态路由—在静态路由列表中新建路由
4.配置SACG联动
(1)将上行和下行接口加入同一个link-group,之后无论那个链路故障,交换机上配置的重定向路由都会自动失效:系统—高可靠性—link-group—修改—添加接口
(2)配置SACG基本参数:网络—SACG—基本配置—应用
(3)在SACG服务器列表中添加SC的ip地址、端口和共享秘钥ABCabc@123:网络—SACG—基本配置—认证服务器列表—新建
如果终端用户未安装Anyoffice时,配置web认证URL给终端用户:认证URL列表—输入url地址http://业务控制器IP地址:8084/newauth—添加
(4)在untrust和trust间应用SACG联动策略:网络—SACG—联动策略—在域间应用联动策略列表中选择相应区域—添加
5.配置安全策略:策略—安全策略—新建安全策略
(1)配置Local到trust的策略,使防火墙可以和Agile Controller联动
(2)配置Local到untrust的策略,使防火墙可以推送web页面给用户
6.配置Agile Controller
(1)添加防火墙为硬件SACG:策略—准入控制—硬件SACG—硬件SACG配置—增加:名称为FW1,主用IP为10.1.51.5,key为ABCabc@123,SC服务器IP地址列表中输入10.1.14.4,终端IP地址范围中增加起始IP为10.1.13.1、结束IP为10.1.13.254—确定
(2)设置需要增加的前域网络资源:前域—增加:IP地址为10.1.14.4,掩码长度为32。—确定
(3)在受控域中添加隔离域和后域:受控域—增加:
名称为隔离域—增加:协议类型为all,IP地址为10.1.16.6,掩码长度为32,端口默认。—确定
名称为认证后域—增加:协议类型为all,IP地址为10.1.17.7,掩码长度为32,端口默认。—确定
(3)隔离域—增加:名称为隔离域,控制方式选择只允许访问列表中的受控域资源,禁止访问其它—增加
(4)后域—增加:名称为认证后域,控制方式选择只允许访问列表中的受控域资源,禁止访问其它—增加
7. 在Agile Controller上配置硬件SACG策略
(1)配置允许访问网络资源的时间:策略—准入控制—硬件SACG—硬件SACG策略组—增加—选择按时间段控制接入配置:名称为working_day,选择星期,选择时间段。—确定
(2)增加SACG策略组:名称为AC_to_FW1,控制时间段为working_day,隔离域为隔离域,后域为认证后域。—确定
(3)将SACG策略组应用于账号或用户组或IP地址段:单击SACG策略右侧图标:选择相应的用户—确定
(4)在Agile Controller上查看二者互动:首页—SACG状态监控图
8.验证
(1)在未安装Anyoffice的PC上可以在浏览器输入http://10.1.14.4:8084/newauth,点击继续浏览,就会出现认证页面,输入用户名和密码,即可认证
(2)PC上安装有Anyoffice的,可采用Agent方式认证
(3)认证通过后可以ping通认证后域
(4)在FW1上:网络—SACG—在线用户,可以查看在线用户信息
(5)[FW1] display right-manager online-users
(6)在Agile Controller上:资源—用户—在线用户管理,可以查看在线用户信息