锐捷网络——安全域网关(SDG)+WEB认证实施指导

最新推荐文章于 2023-09-20 11:50:30 发布
最新推荐文章于 2023-09-20 11:50:30 发布
阅读量971 收藏 4
点赞数
分类专栏: 锐捷网络 文章标签: 安全 网络 智能路由器 mpls 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57099902/article/details/133016042
版权

目录

一、组网需求

二、组网拓扑

三、配置要点

四、配置方法

1、通过配置接口IP、路由等信息使网络连通性正常

2、配置SDG域隔离功能

3、配置WEB认证功能(可选配置,与SDG域隔离功能无关联)

4、配置实名日志功能

五、验证方法

1、内网电脑通过WEB认证

 2、内网电脑默认属于 Internet 组,只能访问属于 Internet资源。

 

一、组网需求

1、所有用户都要实名认证接入

2、将内外资源进行分类,所有用户同一时间只能访问一类资源,做到访问隔离

3、对所有用户需要实名日志记录

二、组网拓扑

三、配置要点

1)配置连通性;

2)配置SDG域隔离功能;

3)配置WEB认证功能

4)配置实名日志功能

四、配置方法

以RSR20X系列路由器为例)

1、通过配置接口IP、路由等信息使网络连通性正常

    在内网终端上确认可以正常访问资源、业务,比如访问业务网站、政务网等

2、配置SDG域隔离功能

    路由器配置

        步骤1:配置用户组,用于定于用户所属组(可访问的资源)  

user-group Office    ---->创建名为Office用户组,用于定义政务外网资源
user-group Internet    ---->创建名为Internet用户组。用于定义互联网资源
ip sdg classifier 1       ---->创建SDG分类器,显示用户可以切换的域
  user-group Internet default    ---->用户接入网络后默认属于Internet用户组,即只能访问互联网
  user-group Office                                                                     

        步骤2:定义内网资源访问策略

ip access-list extended 110                                  
5 permit ip any host 114.114.114.114         ---->允许所有用户访问DNS服务器114.114.114.144                       
10 permit ip any host 10.12.251.150          ---->允许所有用户可以访问SMP(需要使用WEB认证、SMP管理等业务)          
20 permit ip user-group Office 10.0.0.0 0.255.255.255    ---->   允许Office用户组终端访问10.0.0.0/8的地址
25 permit ip user-group Office 172.0.0.0 0.255.255.255     ---->  允许Office用户组终端访问172.0.0.0/8的地址
30 deny ip user-group Office any                           ---->拒绝 Office用户组终端访问其他地址并 弹出域切换页面
40 deny ip user-group Internet 10.0.0.0 0.255.255.255   ---->拒绝Internet 用户组终端访问 10.0.0.0/8 地址并 弹出域切换页面
50 deny ip user-group Internet 172.0.0.0 0.255.255.255 ----> 拒绝Internet 用户组终端访问 172.0.0.0/8 地址并 弹出域切换页面
60 permit ip user-group Internet any         ---->允许 Internet 用户组终端访问其他地址
      步骤3:路由器开启WEB功能,用于弹出域隔离切换切换页面(选择所属的域)
enable service web-server http   ---->开启http连接WEB服务,用于弹出域隔离切换页面
enable service web-server https   ---->开启https连接WEB服务,用于弹出域隔离切换页面

         步骤4:内外接口使用域隔离策略(内网接口为GigabitEthernet 0/1)                                                                          

interface GigabitEthernet 0/1                                                            
  ip sdg in access-group 110 trigger 1    ---->在内网接口开启域隔离功能,终端使用 分类器1的用户组进行选择并按 acl 110 策略进行域隔离控制                                                

3、配置WEB认证功能(可选配置,与SDG域隔离功能无关联)

    说明:

         1、生效顺序:WEB认证先拦截数据,后域隔离

         2、WEB认证时需要先DNS解析和portal弹出,因此域隔离策略的ACL中要放通DNS和SMP(portal)的访问数据

   路由器配置

        步骤1:配置radius信息

aaa new-model
aaa accounting network default start-stop group radius
aaa authentication web-auth default group radius   ----> RSR77X系列默认已开启该命令,不用配置
radius dynamic-authorization-extension enable                                                                                              
radius-server host 10.12.251.150 key ruijie                                              
radius-server attribute framed-ip-addr always-send    ----> RSR77X系列命 令为radius-server attribute 4 192.168.3.2)       
radius-server key ruijie
ip radius source-interface GigabitEthernet 0/0    ----> RSR77X系列命令为 radius-server host 10.12.251.150 src-ip 192.168.3.2 key ruijie

        步骤2:配置WEB认证信息(SMP地址为10.12.251.150)

web-auth authentication default                                                                                                                             
web-auth portal key ruijie  
web-auth nas-ip 192.168.3.2    ---->  与SMP上添加设备的地址保持一致
web-auth direct-site 10.12.251.150 255.255.255.25   ---->放通访问SMP服务器地址,使不用认证即可访问
web-auth acct-update-interval 10
   web-auth offline-detect idle-timeout 15 threshold 0    ---->开启流量保活,终端15分钟内流量累计为0则踢用户下线
   portal-server ruijie ip 10.12.251.150 url http://10.12.251.150:80/smp/commonauth
              步骤3:配置SNMP信息    
snmp-server enable traps                                                                 
snmp-server community public rw    ---->public为snmp团体字,根据客户需求配置,需要与SMP上添加设备时参数一致

        步骤4:内网接口应用WEB认证                                                                                 

interface GigabitEthernet 0/1                                                                                                          
web-auth control ruijie    ---->在内网接口应用web认证,名称为rujie,与portal-server命令后的名字保持一致

  SMP配置

        步骤1:添加设备

   注意:由于是跨了三层,因此SMP无法获取路由器mac地址,不影响WEB认证功能使用。

    步骤2:创建账号,用于WEB认证(略)

               如果终端有线连接在AP的以太网接口上,那么在用户模板中需要勾选“允许使用无线接入”

4、配置实名日志功能

   路由器配置

        步骤1:配置时区和始终,与SMP保持一致

clock set 13:00:00 3 12 2013
configuration terminal
clock timezone beijing 8  

        步骤2:开启RLOG相应功能

rlog server 10.12.251.152
rlog enable
rlog url enable

  SMP配置

        步骤1:在 认证授权>管理在线用户>查询在线用户的目录中,修改“向第三方系统发送上下线通知”,勾选“启用SOCKET服务发送用户上下线信息”。

  Elog配置

        步骤1:添加设备

  步骤2:启用与SMP实名信息联动

五、验证方法

1、内网电脑通过WEB认证

    内网终端接入网络,打开浏览器并打开一个http网址,弹出WEB认证页面(有输入用户名和密码的页面)

认证成功后在路由器上可以使用show web-auth user命令查看用户认证状态

RSR20-X-28#show web-auth user                                                                                     

 Current user num  :  1                                            

 Address                  State                   Nas-IP           Time Used     

 ----------------     ---------------        ---------------         ------------- 

 172.12.32.1       AUTHENTICATED    192.168.3.2         0d 00:04:10   

SMP上查看用户在线信息

      

ELOG上查看用户rlog日志(以NAT日志为例)信息

 2、内网电脑默认属于 Internet 组,只能访问属于 Internet资源。

如果访问的是Office组内的资源会弹出切换域的页面,选择相应域后点击“提交”即可访问该域资源。

六、路由器配置命令  
***************start***************
user-group Office
user-group Internet 
ip sdg classifier 1
  user-group Internet  default  
  user-group Office                                                                     
ip access-list extended 110                                
5 permit ip any host 114.114.114.114                             
10 permit ip any host 10.12.251.150                       
20 permit ip user-group Office 10.0.0.0 0.255.255.255     
25 permit ip user-group Office 172.0.0.0 0.255.255.255    
30 deny ip user-group Office any                          
40 deny ip user-group Internet 10.0.0.0 0.255.255.255     
50 permit ip user-group Internet any 
enable service web-server http
enable service web-server https                                                                                                  
aaa new-model
aaa accounting network default start-stop group radius
aaa authentication web-auth  default group radius   ----> RSR77X系列默认已开启该命令,不用配置
radius dynamic-authorization-extension enable                                                                                              
radius-server host 10.12.251.150 key  ruijie                                              
radius-server attribute framed-ip-addr always-send    ----> RSR77X系列命 令为radius-server attribute 4 192.168.3.2)
radius-server key  ruijie
ip radius source-interface  GigabitEthernet 0/0    ----> RSR77X系列命令为 radius-server host 10.12.251.150 src-ip 192.168.3.2 key ruijie
web-auth authentication  default                                                                                                                             
web-auth portal key  ruijie  
web-auth nas-ip 192.168.3.2                                                                                                                         
web-auth direct-site 10.12.251.150 255.255.255.25   
web-auth acct-update-interval 10
   web-auth offline-detect idle-timeout 15 threshold 0                                                     
portal-server  ruijie ip 10.12.251.150 url http://10.12.251.150:80/smp/commonauth 
snmp-server enable traps                                                                 
snmp-server community  public rw

                                                                             

interface GigabitEthernet 0/1                                                                                                          
web-auth control  ruijie                                                      
 ip sdg in access-group 110 trigger 1  
clock set 13:00:00 3 12 2013
configuration terminalclock timezone beijing 8  
rlog server 10.12.251.152
rlog enable
rlog url enable
***************end***************

 

你可知这世上再难遇我
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
上网认证锐捷睿易篇)
rjxxer的博客
12-14 1612
锐捷睿易系列,配置认证上网。
认证管理(锐捷路由篇)
rjxxer的博客
12-28 1693
锐捷RSR路由,上网认证配置
网络安全网关
Kaimar的博客
01-27 551
网关就是一个网络的出口,一般网关是在路由器上。 没有网关就相当于出国没有海关,那么就出不了国,即就只能在自己这个网段活动,出不去。所以,没有网关就不能与其它网络进行通信,上不了网。 一个网段的网关通常取本网段IP地址的第一个或最后一个。 如下,是我的机器的部分信息 ip为192.168.2.103(子网掩码为255.255.255.0),默认网关为192.168.2.1 画得丑,请见谅???? ...
锐捷网络linux如何认证上网,如何在Linux下通过WEB认证方式上网
weixin_36326053的博客
05-06 286
如何在Linux下通过WEB认证方式上网2009-05-13 04:04:47来源:未知 阅读 ()通过分析 windoze 下 Web 认证过程,提出在 Linux 中用*脚本*实现通过 Web 认证方式上网的方法问题由来近来,随着宽带入户,越来越多的 ISP 采用 Web 认证这种接入认证技术。Web 认证从用户的角度看,是指用户在浏览器中通过 Web 页面输入用户名和密码的认证过程。多数 I...
锐捷无线二代WEB认证配置
Daer_zeng的博客
09-07 1517
锐捷无线认证,二代WEB认证
1+X锐捷网络设备模拟器基于Ubuntu搭建.zip
04-29
1、锐捷网络设备模拟器最终用户软件许可协议.pdf 2、锐捷网络设备模拟器使用说明(V1.0).pdf 3、锐捷网络设备模拟器功能和已知问题说明(V1.0).xlsx 4、模拟器下载后请先核对好文件哈希值.txt 5、RGOSV1.0 To ...
最新锐捷网络设备模拟器
06-03
最新锐捷网络设备模拟器,RGOSV1.0.ova可直接使用,包含锐捷模拟器使用说明.pdf、锐捷网络设备模拟器功能支持列表.pdf
锐捷网络信息安全实验室解决方案
06-06
网络信息安全实验室解决方案
锐捷网络基础+命令行大全,背会刷题即可过
02-08
资源为笔记,还有一些其他题的资源可以私信,免费 2021的
锐捷职业认证RCNA培训课件
01-31
将证明认证者具有在中小型园区网络中,能熟练使用锐捷网络路由器、交换机以及WLAN等网络互联设备,部署与管理VLAN、冗余链路、动态路由、NAT、WLAN以及广网等技术,实现网络连接,实施基本的网络安全防护。
锐捷路由器Web方式配置工具
02-23
锐捷路由器Web方式配置工具,web界面方便配置和维护
锐捷WEB设置
06-16
通过设置WEB,可无限配置和观察设备端口动向
OpenWRT 下实现 Portal 认证(WEB 认证)
02-06
OpenWRT 下实现 Portal 认证(WEB 认证),转载
锐捷路由器配置手册.doc
07-13
锐捷路由器配置手册 目录: 路由器基础: 路由器的几种配置方法 控制台 远程登录 其它配置方法 命令行(CLI)操作 命令模式 命令模式的切换 CLI命令的编辑技巧 常见CLI错误提示 使用 no 和 default 选项 配置文件的保存、查看与备份 查看配置文件 保存配置文件 删除配置文件 备份配置文件 文件系统 文件系统概述 文件操作 目录操作 系统文件的备份与升级 搭建环境 用TFTP传输文件 用Xmodem传输文件 ROM监控模式 密码丢失的解决方法 路由器的基本配置配置主机名 配置口令 配置控制台口令 配置远程登录口令 配置特权口令 配置以太网接口 以太网接口的一般配置 配置多个IP地址 配置MAC地址 接口信息的查看 配置同步串行口 同步串行口的一般配置 配置反转时钟 配置链路封装协议 配置线路编解码方式 忽略DCD信号 接口信息的查看 配置回环接口 回环接口的配置 接口信息的查看 配置路由: 静态路由和缺省路由的配置 配置静态路由 配置默认路由 配置缺省网络 配置可被动态路由覆盖的静态路由 RIP协议的配置 RIP协议的一般配置 RIP协议参数的配置 OSPF协议的配
锐捷服务器无线认证配置,锐捷AC CMCC-WEB认证配置详解
weixin_36397447的博客
08-03 6120
正常上下线的报文交互过程简图锐捷ACCMCC-WEB认证配置思路:1.开启三个打开关,创建一个portal界面aaa new-modelaaa accounting updateweb-auth third-party cmcc/锐捷web认证已经有两代,cmcc属于运营商三方认认证方式,需全局开启web-auth cmcc portal cmcc-portal ip192.168.29.41 ...
锐捷网络——安全网关SDG)原理介绍以及常见问题
君逍遥o
09-19 664
安全网关(Security Domain Gateway,SDG)功能是对不同安全之间进行逻辑隔离。它通过控制终端用户在同一时刻只能访问特定的安全,从而防止用户在访问不安全的同时,将病毒扩散到其他受保护的区;或者在访问受保护区的同时,将重要信息泄漏到不安全
锐捷防火墙(WEB)——常见路由配置说明(2)
最新发布
君逍遥o
09-20 1054
网络中路由设备超过16个,建议使用OSPF,它的路由学习更新速度更快,更适合16个路由设备以上的网络。 当网络路由设备较多,且不超过16个,为避免写大量静态路由,且路由可自动学习,可在NGFW上配置RIP路由协议功能,让NGFW也能动态学习到其他网络的路由,且能自动老化更新。 当网络中路由设备较少,建议使用静态路由即可,维护简单,且对路由器要求不高,因为路由器都支持静态路由,而普通小路由一般不支持RIP协议。
上网被阻断未经pppoe认证_锐捷上网认证常见问题及解决办法
weixin_39983384的博客
12-24 2443
锐捷上网认证常见问题及解决办法如遇锐捷问题可以加入我们的QQ讨论群,群号:421272724,欢迎各位同学加入该群一起讨论学习。一、共享WIFI后锐捷频繁掉线原因:使用360WiFi、猎豹WiFi等无线共享软件会自动启用Windows系统自带的认证客户端,触发802.1x认证流程导致锐捷认证频繁掉线。由于该认证过程中的用户MAC地址与锐捷认证客户端用户MAC地址一致,交换机认为是用户更换账号进行认...
认证管理(锐捷业软篇)
rjxxer的博客
12-23 1245
锐捷业务软件,上网认证配置
锐捷无线 web认证
08-22
锐捷无线 Web认证锐捷网络提供的一种无线网络认证解决方案。它通过提供一个Web界面来实现用户的身份验证和授权,使得用户能够在无线网络中使用Internet服务。 在锐捷无线Web认证中,当用户尝试连接到无线网络时,会自动弹出一个登录页面,要求用户输入用户名和密码进行认证。用户通过认证后,可以获得网络访问权限,并可以正常使用互联网。 锐捷无线Web认证还支持多种认证方式,包括本地数据库、RADIUS服务器、LDAP服务器等。管理员可以根据实际需要进行配置和管理,以满足不同场景下的认证需求。 总的来说,锐捷无线Web认证提供了一种方便、安全的方式来管理和控制无线网络访问,保障网络安全性和用户的合法使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你可知这世上再难遇我

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值