上网行为管理-AAA身份认证2

一、实验拓扑

设备：

1、山石网科防火墙（作为上网行为管理）
2、Windows一台（windows设备）
3、AAA服务器一台（cisco acs设备）
4、增加一个网络 net：cloud0

二、实验目的

1.掌握上网行为管理设备网关部署的应用场景和方法
2.掌握上网行为管理设备本地和raduis身份认证的配置方法。

三、实验需求、步骤及配置

1.上网行为管理的配置：（启动稍慢一点，耐心等待）
a)基本配置：修改e0/0口属性为管理口且采用http管理方式，默认启动DHCP。
login: hillstone
I1用户名和密码都为hillstone
password:
SG-6000# conf
SG-6000(config)# interface e0/0
SG-600o(config-if-eth0/O)# manage http
SG-6000(config-if-eth0/O)# show interface查看eO/0自动获得的IP地址，为管理IP

b）接下来，在物理主机上，通过浏览器访问管理IP，使用图形化管理：

c)创建安全区域，默认已创建多个安全区域，如需自定义区域，可以如图新建安全区域：

d)配置e0/1接口：绑定安全区域为trust三层安全区域(路由模式)、IP地址等：

e)配置e0/0接口：修改绑定安全区域为untrust三层安全区域(路由模式)、IP等：

f)配置e0/2接口：绑定安全区域为trust三层安全区域(路由模式)、IP地址等：

g)为路由模式，配置源NAT策略（即动态NAT），实现内网及AAA服务器上公网需求:

内网上外网

AAA服务器上外网

h)为路由模式，配置安全策略即包过滤策略（默认拒绝区域间访问），配置策略让内网网段可以访问公网，即e0/1 trust区域访问e0/0 untrust区域：

i)接下来测试内网主机是否可以上公网，如图代表ok：

2.公共区域实行实名认证上网，防止外来人员随意上网，在上网行为管理上开启身份认证功能：

a）采用本地DB认证，在设备上创建本地用户和密码，用于用户登陆时的凭证：

b）全局开启web认证功能，认证模式指定为口令认证，最后单击应用：

c）配置安全策略，在未认证之前允许dns通过，如下：

d）配置安全策略，配置unknown角色策略，即开启web认证，截获会话进行身份认证，如下：

e）调整策略执行顺序（默认从上往下执行），如下图：

如图策略顺序，表明内网主机必须通过认证，才能访问公网。

f）在内网win主机上测试，触发认证，需输入凭证方可访问公网，如下：

输入开始配置的用户名和密码，成功后会跳转到你想访问的网页：

g）查看在线用户列表，如下：

至此，完成上网行为管理的本地DB用户名和密码认证。

3.上网行为管理结合AAA服务器完成集中身份认证功能，配置如下：

a）启动AAA服务器，等待启动完成，输入用户名：admin，密码：Aaa@123456

*注意：interface g0 需no shutdown把物理层打开。

b）接下来，在内网win主机上浏览器栏输入https://10.2.2.2，进入可视化界面。（如果后续配置时出现异常，可以尝试更换浏览器重试）：

输入默认的用户名：acsadmin，密码：zhongyuan

配置AAA服务器的指定NAS IP、通信key等：

指定NAS IP：

设置用户的名称（账号），及通信key密钥（密码）：

c）接下来，配置上网行为管理，指定一台raduisAAA服务器，关联配置如下：

d）配置上网行为管理，修改之前的web认证策略，改认证方式为radius认证：

e）最后在内网win主机上测试，触发认证，需要输入AAA服务器上的创建的凭证方可访问公网，如下：

如果输入的用户名或密码错误：

输入正确的用户名和密码：

f）进入AAA服务器的可视化界面，查看服务器的计费：

用户账号密码输入错误