需求很简单,客户现在需要对内部用户做认证准入。具体的实施有很多种办法。 在Juniper的EX接入交换机上,可以做802.1x认证,对于接口挂HUB连打印机和PC的情况可以使用supplica
.
需求很简单,客户现在需要对内部用户做认证准入。具体的实施有很多种办法。
在Juniper的EX接入交换机上,可以做802.1x认证,对于接口挂HUB连打印机和PC的情况可以使用supplicant multiple 模式,配置静态MAC帮助打印机绕过802.1x。
在SRX上可以使用UTM的一分部功能来实现web认证,认证可以使用本地,AD或者radius等等,配置基本相似。客户预算充足,尤其是大型园区,还可以部署MX 3D多功能路由器来实现BNG认证计费功能,简单常见的是二层的部署方式ppoe+ipoe。也可以部署三层的PTSP,支持V4/V6双栈。
环境有限,没有其他的认证服务器,模拟下核心交换机旁路挂载srx做基于用户名的web认证。
虽然采取的是旁路部署,但实际的流量跟串在上面一样,核心交换机的firewall捕获流量,丢到认证的vrf,静态路由指向SRX。SRX在policy中设置web认证,静态路由丢回核心交换机。
核心交换机firewall:
filter 001 {
term 066 {
from {
source-address {
192.168.66.0/24;
}
}
then {
count 66;
routing-instance iP-gUard;
}
}
term reject {
then {
reject;
}
}
}
核心交换机的vrf:
iP-gUard {
instance-type virtual-router;
interface xe-0/0/48:1.0;
routing-options {
static {
route 0.0.0.0/0 next-hop 172.16.1.2;
}
}
}
SRX配置:
from-zone trust to-zone untrust {
policy 1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
firewall-authentication {
pass-through {
client-match ybj;
}
}
}
}
}
实验效果:
1.打开任意网页 显示无法上网 于是玩了会游戏,这个显然不是我们希望的。
2.手动输入IP地址,跳出认证界面:
3.输入用户名密码 获得访问互联网的权限:
4.路径追踪下,符合预期:
