上网行为管理之身份认证实验

于 2025-07-22 10:56:44 发布
阅读量907 收藏 6
点赞数 36
CC 4.0 BY-SA版权
文章标签: 网络 计算机网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_78525141/article/details/149507815

一、 实验背景

某公司需要在企业的公司网络出口使用上网行为管理设备,以审计管理局域网的所有设备,同时,局域网内的所有设备都将通过上网行为代理上网,但是发生过访客外传一些非法信息,所以需要对外来人员进行实名认证,用户拥有自己独立的上网账号。

二、 实验设备

1、 山石网科(hillstone)防火墙(作为上网行为管理,实训平台v1.0中hillstone设备)
2、 三层交换机一台(实训平台v1.0中cisco vios l2设备)
3、 二层交换机一台(实训平台v1.0中cisco iol switch设备)
4、 Windows一台 (实训平台v1.0中windows设备)
5、 AAA服务器一台(实训平台v1.0中cisco acs设备,需升级安装才会有)
6、 增加一个网络net:cloud0

三、实验拓扑

在这里插入图片描述

四、实验目的

1、掌握上网行为管理设备网关部署的应用场景和方法
2、掌握上网行为管理设备本地和raduis身份认证的配置方法

五、实验配置

Windows主机
IP地址192.168.10.1 255.255.255.0
网关 192.168.10.254 dns 222.246.129.80
二层交换机

Switch(config)#vlan 10
Switch(config-vlan)#exit
Switch(config)#
Switch(config)#int e0/1
Switch(config-if)#switchport mode access 
Switch(config-if)#switchport access vlan 10
Switch(config-if)#int e0/0                 
Switch(config-if)#switchport trunk encapsulation dot1q 
Switch(config-if)#switchport mode trunk 
Switch(config-if)#switchport trunk allowed vlan 10
Switch(config-if)#no shutdown 
Switch(config-if)#

三层交换机

Switch(config)#vlan 10
Switch(config-vlan)#exit
Switch(config)#interface g0/0
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
Switch(config-if)#exit

Switch(config)#ip routing  启动路由功能

Switch(config)#interface vlan10
Switch(config-if)#ip address 192.168.10.254 255.255.255.0
Switch(config-if)#no shut
Switch(config)#interface g0/1
Switch(config-if)#no switchport 改为三层接口
Switch(config-if)#no shutdown
Switch(config-if)#ip address 10.1.1.1 255.255.255.252
Switch(config)#interface GigabitEthernet0/2  互联AAA服务器
Switch(config-if)#no shutdown
Switch(config-if)#no switchport  改为三层接口
Switch(config-if)#ip address 10.2.2.1 255.255.255.252

Switch(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2  配置上网的缺省路由,下一跳为上网行为管理接口e0/1 IP

防火墙
查看DHCP自动分配的IP地址,通过此IP地址进入可视化界面
在这里插入图片描述
在这里插入图片描述
配置接口e0/0
在这里插入图片描述
接口e0/1
在这里插入图片描述
配置目的路由
在这里插入图片描述

在这里插入图片描述
配置源nat策略
在这里插入图片描述
在这里插入图片描述
配置安全策略
在这里插入图片描述
在这里插入图片描述
测试Windows主机是否能正常上网
在这里插入图片描述
在上网行为管理开启身份认证
1、本地DB认证
创建本地用户和密码
在这里插入图片描述
开启web认证功能
在这里插入图片描述
配置安全策略,增加unknown角色策略,即开启web认证
在这里插入图片描述
把安全策略排序
在这里插入图片描述
在Windows中访问任意页面需要登录
在这里插入图片描述
登录之后可以在防火墙中查看在线用户

在这里插入图片描述
上网行为管理结合AAA服务器完成集中身份认证
在Windows主机中访问AAA服务器默认地址10.2.2.2进入可视化界面
在这里插入图片描述
配置AAA服务器端,指定NAS IP,通信Key等
在这里插入图片描述
创建用户上网时,身份认证需要的用户名和密码

在这里插入图片描述
在防火墙配置上网行为管理,指定一台radius服务器
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
修改web认证策略,改为radius认证
在这里插入图片描述
在Windows上使用在AAA服务器中创建的用户名admin1和对应密码进行认证
在这里插入图片描述
可以看到登录成功
在AAA服务器可视化界面中信息如下
在这里插入图片描述
实验小结
本实验围绕企业网络出口的上网行为管理与用户认证展开,通过部署山石网科防火墙作为上网行为管理设备,结合三层交换机、二层交换机等构建局域网环境。

首先完成基础网络配置:二层交换机划分VLAN并配置端口模式,实现终端接入与VLAN隔离;三层交换机开启路由功能,配置VLAN接口、三层接口及默认路由,承担网关与路由职责;防火墙配置接口、路由、源NAT和安全策略,确保局域网设备能正常上网。

随后实现身份认证:先通过防火墙本地DB创建用户、开启Web认证并调整安全策略,实现本地认证;再配置AAA服务器,在防火墙中指定RADIUS服务器信息并修改认证策略,完成集中认证。

实验成功实现了局域网设备代理上网及用户实名认证,满足企业审计管理与安全管控需求。

2301_78525141
关注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值