1678375509,CRM论坛（CRMbbs.com）——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容，欢迎向我们投稿，共建CRM多元化生态体系，创建CRM客户管理一体化生态解决方案。内容来源：知了社区镜花丿水月 镜花丿水月 四段 粉丝：0人 关注：1人

问题描述：

ACG旁挂组网,可以做认证功能么?

组网及组网描述：

7小时前提问

可以的

3  旁路认证和阻断配置举例

3.1.1  组网需求

如图1所示，某企业对内网用户50.1.1.3-100/24工作时间都将进行用户认证和内网用户50.1.1.101-254/24工作时间都进行行为控制，不提供任何NAT，DHCP或者DNS服务。部署在交换机旁边，通过镜像的方式，仅仅提供认证和阻断的功能。旁路模式不修改网络结构，不关心网络细节，关机也不掉线，不会影响企业内部网络。

图1 旁路认证和阻断组网

 

3.1.2  配置思路

·     配置设备接口地址。

·     配置设备旁路部署。

·     配置设备旁路认证。

·     配置设备旁路阻断。

·     配置用户识别范围。

·     配置用户认证策略。

·     配置IPv4控制策略。

3.1.3  使用版本

本举例是在R6611P01版本上进行配置和验证的。

3.1.4  配置步骤

     配置接口地址

如图2所示，进入“网络配置>接口配置>物理接口”，点击ge6<编辑>按钮，配置ge6的IP地址为50.1.1.2/24。

图2 配置接口地址

 

     配置部署方式

如图3所示，进入“网络配置>基础网络>部署方式”，配置勾选ge8口启用。

图3 配置部署方式

 

     配置旁路认证和阻断

如图4所示，进入“网络配置>基础网络>部署方式>高级配置”，配置旁路认证和旁路阻断。

图4 配置旁路认证和旁路阻断

 

(4)     配置内网用户地址对象

如图5所示，进入“策略配置>对象管理>地址对象>IPv4地址对象”，点击<新建>按钮创建内用户地址对象50.1.1.0/24、50.1.1.3和50.1.1.101，点击<提交>。

图5 配置内网用户地址对象

 

(5)     配置用户识别范围

如图6所示，进入“用户管理>认证管理>高级选项>全局配置”页面，识别范围选择“50.1.1.0”，其它配置默认，提交配置。

图6 用户识别范围

 

(6)     配置用户认证策略

如图7所示，进入“用户管理>认证管理>认证策略”，新建一条认证方式为本地认证的认证策略，源地址选择50.1.1.3，其它配置默认，<提交>策略。

图7 配置用户认证策略

 

(7)     配置IPv4控制策略

如图8所示，进入“策略配置>IPv4控制策略”，源地址选择50.1.1.101，行为选择拒绝，其它配置默认，<提交>策略。

图8 配置IPv4控制策略

 

3.1.5  配置注意事项

·     用户认证策略和IPV4策略的源接口以及目的接口必须配置接收镜像流量的旁路部署接口或者是any。

·     旁路认证和阻断务必保证旁路设备到上网PC可达，否则功能无法使用。

·     旁路阻断只针对于TCP报文生效，对于UDP、ICMP等报文无法进行阻断。

·     旁路认证只支持HTTP流量触发弹portal页面，不支持HTTPS流量触发，对HTTPS报文直接发送TCP reset报文进行阻断。

3.1.6  验证配置

如图9所示， 内网用户（50.1.1.3）访问外网需要进行本地认证，本地认证成功后，访问外网成功。

图9 内网用户需要进行本地认证

 

如图10所示，内网用户（50.1.1.101）访问外网资源会被阻断。

图10 内网用户访问外网阻断

7小时前回答

暂无

你正在,ACG旁挂