华为设备硬件SACG认证

1.基本配置
（1）LSW1的配置
[LSW1]vlan batch 12 14 15 16 17 51
[LSW1-Vlanif12]ip add 10.1.12.1 24
[LSW1-Vlanif14]ip add 10.1.14.1 24
[LSW1-Vlanif16]ip add 10.1.16.1 24
[LSW1-Vlanif17]ip add 10.1.17.1 24
[LSW1-Vlanif15]ip add 10.1.15.1 24
[LSW1-Vlanif51]ip add 10.1.51.1 24
[LSW1-GigabitEthernet0/0/1]port link-type access
[LSW1-GigabitEthernet0/0/1]port default vlan 12
[LSW1-GigabitEthernet0/0/2]port link-type access
[LSW1-GigabitEthernet0/0/2]port default vlan 14
[LSW1-GigabitEthernet0/0/4]port link-type access
[LSW1-GigabitEthernet0/0/4]port default vlan 16
[LSW1-GigabitEthernet0/0/5]port link-type access
[LSW1-GigabitEthernet0/0/5]port default vlan 17
[LSW1-GigabitEthernet0/0/3]port link-type access
[LSW1-GigabitEthernet0/0/3]port default vlan 15
[LSW1-GigabitEthernet0/0/6]port link-type access
[LSW1-GigabitEthernet0/0/6]port default vlan 51
（2）配置LSW2
[LSW2]vlan batch 12 13
[LSW2-Vlanif12]ip add 10.1.12.2 24
[LSW2-Vlanif13]ip add 10.1.13.2 24
[LSW2-GigabitEthernet0/0/1]port link-type access
[LSW2-GigabitEthernet0/0/1]port default vlan 12
[LSW2-GigabitEthernet0/0/2]port link-type access
[LSW2-GigabitEthernet0/0/2]port default vlan 13
（3）配置终端的IP地址

（4）FW1的配置
[FW1-GigabitEthernet1/0/1]ip add 10.1.15.5 24
[FW1-GigabitEthernet1/0/2]ip add 10.1.51.5 24
[FW1-zone-untrust]add interface g1/0/1
[FW1-zone-trust]add interface g1/0/2
（5）配置路由连通性
[LSW2]ospf 1
[LSW2-ospf-1]area 0
[LSW2-ospf-1-area-0.0.0.0]net 10.1.12.0 0.0.0.255
[LSW2-ospf-1-area-0.0.0.0]net 10.1.13.0 0.0.0.255
[LSW1]ospf 1
[LSW1-ospf-1-area-0.0.0.0]net 10.1.12.0 0.0.0.255
[LSW1-ospf-1-area-0.0.0.0]net 10.1.14.0 0.0.0.255
[LSW1-ospf-1-area-0.0.0.0]net 10.1.16.0 0.0.0.255
[LSW1-ospf-1-area-0.0.0.0]net 10.1.17.0 0.0.0.255
[LSW1-ospf-1-area-0.0.0.0]net 10.1.15.0 0.0.0.255
[LSW1-ospf-1-area-0.0.0.0]net 10.1.51.0 0.0.0.255
2.在LSW1上将终端用户发起的流量引到防火墙
[LSW1]acl 2000
[LSW1-acl-basic-2000]rule permit source 10.1.13.0 0.0.0.255
[LSW1-GigabitEthernet0/0/3]traffic-redirect inbound acl 2000 ip-nexthop 10.1.15.5
3.FW1引流的配置
（1）由于旁挂式SACG联动用户发起的流量和返回的流量不一致，需要关闭会话状态检测功能：系统—配置—高级配置—配置状态检测的对勾取消—应用

（2）配置处理后流量回注交换机的静态路由：网络—路由—静态路由—在静态路由列表中新建路由

4.配置SACG联动
（1）将上行和下行接口加入同一个link-group,之后无论那个链路故障，交换机上配置的重定向路由都会自动失效：系统—高可靠性—link-group—修改—添加接口

（2）配置SACG基本参数:网络—SACG—基本配置—应用

（3）在SACG服务器列表中添加SC的ip地址、端口和共享秘钥ABCabc@123：网络—SACG—基本配置—认证服务器列表—新建

如果终端用户未安装Anyoffice时，配置web认证URL给终端用户：认证URL列表—输入url地址http://业务控制器IP地址:8084/newauth—添加

（4）在untrust和trust间应用SACG联动策略：网络—SACG—联动策略—在域间应用联动策略列表中选择相应区域—添加

5.配置安全策略：策略—安全策略—新建安全策略
（1）配置Local到trust的策略，使防火墙可以和Agile Controller联动

（2）配置Local到untrust的策略，使防火墙可以推送web页面给用户

6.配置Agile Controller
（1）添加防火墙为硬件SACG：策略—准入控制—硬件SACG—硬件SACG配置—增加：名称为FW1，主用IP为10.1.51.5，key为ABCabc@123,SC服务器IP地址列表中输入10.1.14.4，终端IP地址范围中增加起始IP为10.1.13.1、结束IP为10.1.13.254—确定
（2）设置需要增加的前域网络资源：前域—增加：IP地址为10.1.14.4，掩码长度为32。—确定
（3）在受控域中添加隔离域和后域：受控域—增加：
名称为隔离域—增加：协议类型为all，IP地址为10.1.16.6，掩码长度为32，端口默认。—确定
名称为认证后域—增加：协议类型为all，IP地址为10.1.17.7，掩码长度为32，端口默认。—确定
（3）隔离域—增加：名称为隔离域，控制方式选择只允许访问列表中的受控域资源，禁止访问其它—增加
（4）后域—增加：名称为认证后域，控制方式选择只允许访问列表中的受控域资源，禁止访问其它—增加
7. 在Agile Controller上配置硬件SACG策略
（1）配置允许访问网络资源的时间：策略—准入控制—硬件SACG—硬件SACG策略组—增加—选择按时间段控制接入配置：名称为working_day，选择星期，选择时间段。—确定
（2）增加SACG策略组：名称为AC_to_FW1，控制时间段为working_day，隔离域为隔离域，后域为认证后域。—确定
（3）将SACG策略组应用于账号或用户组或IP地址段：单击SACG策略右侧图标：选择相应的用户—确定
（4）在Agile Controller上查看二者互动：首页—SACG状态监控图
8.验证
（1）在未安装Anyoffice的PC上可以在浏览器输入http://10.1.14.4:8084/newauth，点击继续浏览，就会出现认证页面，输入用户名和密码，即可认证
（2）PC上安装有Anyoffice的，可采用Agent方式认证
（3）认证通过后可以ping通认证后域
（4）在FW1上：网络—SACG—在线用户，可以查看在线用户信息
（5）[FW1] display right-manager online-users
（6）在Agile Controller上：资源—用户—在线用户管理，可以查看在线用户信息