首页 科技问答 曾招维,ACG1000本地web无感知认证综合配置及机制讲解

曾招维,ACG1000本地web无感知认证综合配置及机制讲解

科技问答 539
1676539205,

组网及说明

一、现场需求

内网用户在ACG1000上做本地web认证,用户名密码存储在本地,实现无感知功能(一次登录,一段时间内无需认证)。

备注:开启认证不弹portal页面、不用认证也可以上网、https流量触发认证、SNMP用户同步等问题均可参考本案例。

二、组网


现场组网如上,实验中用交换机S6800的web登录页面充当web服务器。


配置步骤

三、配置步骤

1、基础配置:打通PC到WEB服务器路由。(根据现场组网自行写好路由)

WG网关设备:

# interface GigabitEthernet1/0/1 

 port link-mode route 

 ip address 10.1.1.2 255.255.255.0

 # 

interface GigabitEthernet1/0/2 

 port link-mode route 

 ip address 20.1.1.1 255.255.255.0

ACG配置:

ACG接口加bvi口,写路由。



web服务器配置:

将交换机的web登录页面设置为http服务器,写好路由。

[WEBserver-Ten-GigabitEthernet1/0/1]dis th 

#

 interface Ten-GigabitEthernet1/0/1 port link-mode route 

 ip address 10.1.1.3 255.255.255.0 

 [WEBserver]ip http enable 

[WEBserver]ip https enable

验证开启认证前路由可达,web服务可用。(现场自己寻找web服务器,直接访问官网web页面也可以)

此时不开认证,测试终端(ip:20.1.1.2/24,网关20.1.1.1)可以正常打开交换机web登录页面。




2、ACG认证相关配置

A、创建本地用户zzw,注意此处不可以绑定IP范围,否则用户上来直接是静态绑定用户,无需认证,直接上网。


B、本地认证地址范围20.1.1.0/24定义一个地址对象组,若用户想定义某些IP范围做认证动作,则需要定义这么一个地址对象。


C、本地web认证一些参数的定义,全局唯一,即后面在认证策略中调用的本地web认证,都采用这些定义。


D、新建认证策略,选定源接口为ACG终端侧接口,源地址为定义的需要认证的地址对象组,认证方式为WEB认证。只有同时满足多个条件才可以触发web认证。


E、识别模式调整为强制模式。


本地web认证验证

测试终端输入http://10.1.1.3后,正常弹portal页面。


输入用户名密码可正常登录。


ACG在线用户可看到认证用户。


命令行查看用户在线信息方式

YF_ACG1000# display user-waa local-waa

MAC                IP                   Name                                                             Group-name                       Online-StartTime   Status

38:ad:8e:03:39:c1  20.1.1.2             zzw                                                                                               2022-05-16 20:36:45 no-aging


3、https报文重定向

输入https://10.1.1.3后无法正常弹portal,加入以下命令后支持https报文重定向,点击继续访问后弹portal页面。

YF_ACG1000> en

YF_ACG1000# configure terminal

YF_ACG1000(config)# user-policy https-portal enable



4、配置无感知功能

无感知功能支持情况:

用户超时下线时,并非用户自己主观行为,此时支持无感知功能。  在线用户被管理员踢下线,证明用户存在一定的异常,针对异常用户不支持无感知功能。  用户主动注销,该下线行为是用户主观的行为,也不支持无感知。 当本地认证配置了强制重登录间隔时,两个功能会存在冲突,终端用户可能存在无感知重新上线的情况, 不需要被强制重新登录。 

终端无感知上线,实现原理如下: 

当认证用户上线后会将用户MAC加入无感知列表,如果用户因超时下线,在无感知周期内,用户使用同一终端(MAC地址不变)再次上网产生流量时,会直接匹配无感知列表上线,无需再次认证;若大于超时时间,设备会将该用户MAC从无感知列表中删除,此后用户下次上线时需要重新输入账号密码进行认证。 

A、Web页面开启无感知功能,命令行开启mac地址敏感。

 H3C(config)# user mac-sensitive [ disable | enable ] //用户MAC敏感开关,默认关闭 

B、勾选无感知


通过以下命令显示无感知用户:

YF_ACG1000# display user-waa local-waa

MAC                IP                   Name                                                             Group-name                       Online-StartTime   Status

38:ad:8e:03:39:c1  20.1.1.2             zzw                                                                                               2022-05-16 20:36:45 no-aging


5、配置snmp跨三层mac地址学习

但由于PC的报文经三层转发,ACG无法感知终端的真实地址,识别用户上来的MAC全是网关MAC,所以需要结合SNMP用户同步,进一步识别终端真实mac信息。否则,会出现不需要认证就可以上网,因为网关MAC在无感知表项内。

<WG>display int GigabitEthernet 1/0/1

GigabitEthernet1/0/1

Current state: UP

Line protocol state: UP

Description: GigabitEthernet1/0/1 Interface

Bandwidth: 1000000 kbps

Maximum transmission unit: 1500

Allow jumbo frames to pass                 

Broadcast max-ratio: 100%

Multicast max-ratio: 100%

Unicast max-ratio: 100%

Internet address: 10.1.1.2/24 (primary)

IP packet frame type: Ethernet II, hardware address: 38ad-8e03-39c1 ///与无感知用户MAC一致

IPv6 packet frame type: Ethernet II, hardware address: 38ad-8e03-39c1

A、WG网关配置snmp

[WG]snmp-agent sys-info version v1 

[WG]snmp-agent community read public 

B、ACG配置用户同步


查看同步结果:



网关设备的arp信息全部被同步成功:

[WG]display arp

  Type: S-Static   D-Dynamic   O-Openflow   R-Rule   M-Multiport  I-Invalid

IP address      MAC address    VLAN/VSI name Interface                Aging Type

10.1.1.1        3c8c-404e-d8e1 --            GE1/0/1                  1000  D

10.1.1.3        80e4-55f5-0a4c --            GE1/0/1                  1101  D

20.1.1.2        3c97-0e0b-dde1 --            GE1/0/2                  1197  D


再次查看无感知表项,关联的是真实的MAC表项。

这里为啥会有两个表项呢?由于一开始未开MAC敏感导致,一定要注销掉这些用户,不然会影响认证。

YF_ACG1000# display user-waa local-waa

MAC                IP                   Name                                                             Group-name                       Online-StartTime   Status

3c:97:0e:0b:dd:e1  20.1.1.2             zzw                                                                                               2022-05-16 20:58:40 no-aging

38:ad:8e:03:39:c1  20.1.1.2             zzw                                                                                               2022-05-16 20:36:45 no-aging


6、如何清除无感知用户表项?

clear user-waa命令用于清除所有无感知上线的用户。

【命令】 clear user-waa {local-waa | qrcode-waa | sms-waa | wechat-waa} [usermac MAC] 

【视图】 全局配置视图 

【参数】

 local-waa:清除本地无感知认证上线的用户。 

qrcode-waa:清除二维码无感知认证上线的用户。

 sms-waa:清除短信无感知认证上线的用户。 

wechat-waa:清除微信无感知认证上线的用户。 

MAC:清除指定MAC地址对应的用户。 

至此配置到此结束,已认证用户再次上线识别MAC地址,直接上线,认证类型无感知。



配置关键点

配置前注意事项:

ACG1000设备配置Web认证时,允许用户的TCP三次握手报文、DNS报文以及ICMP报文通过,当检测到用户HTTP报文时拦截并弹出认证页面。所以,在使用Web认证功能时,需要保证终端可以进行正常的HTTP访问。  如果需要实现访问某些资源时免Web认证,请在对应用户策略的目的地址对象中配置排除地址,将需要免认证访问的目的IP地址排除即可。  网桥模式注意bvi口配置IP地址,否则无法正常弹页面。 

关于snmp同步用户功能中的录入用户组选项,若开启该选项,对应的效果如下: 录入到用户组支持手工录入和自动录入,录入的用户以IP地址作为用户名,绑定其IP及MAC地址,即此IP或MAC其中任何一个匹配均认为是此用户,此同步录入的用户属于静态绑定的用户,不会再进行其它方式的认证同时用户录入到本地后,可以针对此录入的用户组或用户进行相关功能的引用控制,比如:审计策略、控制策略、流控策略、限额策略等。 


ACG1000拦截用户HTTP报文弹出认证页面机制验证:

ACG1000设备的本地web认证功能与无线和有线的Portal认证机制不同,并不是拦截终端的第一个报文tcp syn,然后直接给终端重定向到认证界面(http://10.1.1.1:8008/portal/.......),而是要与访问的目的设备或者服务进行三层握手交互之后,终端发出的HTTP的get请求才会被ACG1000拦截,ACG1000会回应一个request将浏览器的页面重定向到认证界面。 所以,如果遇到ACG1000本地web认证异常时,查看配置均无问题的时候,需要确认现场的部署环境,是否有能够完成三次握手并发送get请求的环境。 

A、输入http://10.1.1.3/后弹下面这个url 

http://10.1.1.1:8008/portal/local/index.html?uplcyid=1&weburl=http%3A%2F%2F10.1.1.3%2Fweb%2Fframe%2Flogin.html%3Fssl%3Dfalse%26host%3D10.1.1.3



备注:上面标注的ttl值,可以看出三次握手经过了一跳(网关三层设备);重定向报文ttl为64,是acg始发的报文。

但acg是网桥模式单纯看ttl值无法石锤前面的三次握手是与WEBserver交互的,直接在WEBserver镜像抓包。

[WEBserver]display mirroring-group all

Mirroring group 1:

    Type: Local

    Status: Active

    Mirroring port:

        Ten-GigabitEthernet1/0/1  Both

Monitor port: Ten-GigabitEthernet1/0/2

#

interface Ten-GigabitEthernet1/0/2

 port link-mode bridge

 port access vlan 2

 mirroring-group 1 monitor-port

抓包可以看出在输入账号密码之前,PC和WEBserver交互了tcp报文。



CRM论坛(CRMbbs.com)——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容,欢迎向我们投稿,共建CRM多元化生态体系,创建CRM客户管理一体化生态解决方案。本文来源:知了社区基于知识共享署名-相同方式共享3.0中国大陆许可协议,ACG1000本地web无感知认证综合配置及机制讲解