一、實驗背景
某公司需要在企業的公司網絡出口使用上網行為管理設備,以審計管理局域網的所有設備,同時,局域網內的所有設備都將上網行為代理上網,但是發生過訪客外傳一些非法信息,所以需要對外來人員進行實名認證,用戶擁有自己獨立的上網賬號
二、實驗設備
1.山石網科下一代防火墻(作為上網行為管理)
2.新華三ACG1000
3.測試主機
三、實驗拓撲
四、實驗目的
1.掌握上網行為管理設備網關部署的應用場景和方法
2.掌握上網行為管理設備本地和raduis身份認證的配置方法
五、實驗步驟
1.首先使用新華三ACG,查看管理IP
2.配置各個接口,ge0ip為dhcp自動分配,ge1配置為網關ip192.168.100.254,ge2配置為AAA服務器同網段ip10.2.2.1
3.配置ge1口為DHCP服務器
4.配置源NAT
5.測試與AAA服務器的通信以及上外網的
7.創建本地用戶admin
8.配置策略,開啟web認證,綁定用戶組
9.輸入用戶名與密碼,成功訪問外網
10.建立AAA服務器的連接
11.開啟認證方式為RADIUS
12.成功進入AAA服務器可視化管理頁面
13.配置AAA服務器端,指定NAS IP、通信key等
14.配置AAA服務器端,創建用戶上網時,身份認真需要的用戶名和密碼
15.使用本地賬號密碼進行登錄,顯示radius認證錯誤
16.抓包分析,發出的請求包收到的是拒絕的報文
,
17.使用AAA服務器賬號登錄,成功登錄,回應包為同意包
18.改用山石網科下一代防火墻(配置上網行為管理),查看管理IP
19.配置接口安全域,源NAT,策略與新華三ACG配置類似,需要多配置一個由主機到達AAA服務器的策略
20、測試訪問外網與訪問AAA服務器
21.配置本地用戶
22.開啟web認證
23.修改策略,將源用戶改為UNKNOWN
24.使用本地用戶登錄
25.AAA服務器配置類似,開啟防火墻AAA服務器
、
26.使用本地用戶登錄,顯示錯誤的用戶名與密碼
27.使用AAA服務器賬戶成功登錄
28.查看AAA服務器計費
位運算)