一、组网需求
设备的外置web认证就是与ESS联动或者与SMP联动。内网是二层环境,内网有ESS(锐捷易安全系统)。ESS1000或SMP充当radius和portal服务器,网关充当NAS角色推送http重定向页面给客户机,用户输入用户名密码,实现web认证上网。
二、组网拓扑
三、配置要点
配置步骤简介:
1、设备的配置
a、先通过快速配置,保证内网用户可以正常上外网.
b、选择上网实名制策略进行配置,认证选项配置为"外置认证服务器”
b、网关添加ESS服务器IP地址、SNMP团体字(跟ESS上网关的设备配置模版参数一致)和SNMP目的主机IP地址(ESS地址)
2、ESS的配置
a、ESS添加认证用户信息
b、ESS定义修改设备配置模版(NBR)
c、ESS添加管理设备NBR,关联相应设备配置模版
注意项:
1、如果开启了广告推送功能,填写的广告地址不能包含“?”字符。
2、如果开启了web认证,外网用户想要telnet管理内网的网络设备,需要把这些设备的管理IP都加入到免认证IP里,否则可能会管理不了(因为设备的管理IP无法自己去触发web认证)
附件知识点:
1、 web认证功能,默认放通DHCP/DNS/ARP的流量,不需要额外设置策略。
2、开启web认证后,使用telnet方式登录设备,如果3次输入用户名和密码错误,账号就会被锁住了,默认要15小时后才能重新登录。 //建议配置web认证后通过命令行下修改以下两个参数
Ruijie(config)#aaa local authentication lockout-time 1 //设置账号锁住后,1小时后解锁
Ruijie(config)#aaa local authentication attempts 10次 //设置允许输入的次数为10次
四、配置步骤
ESS1000配置步骤
1、ESS1000配置IP地址和网关信息
a、将电源连接ESS1000设备,在第一次与电源连接前,请确认电源供电与RG-ESS工控机所标识的供电要求相符,以免损坏工控机;
b、打开ESS1000的电源开关,检查“Power” LED灯是否发亮确认该RG-ESS工控机已经正常通电;
c、PC 上使用串口登录RG-ESS 工控机,波特率9600,用户名为admin,密码为111;
d、串口登录成功后,输入setup命令配置ESS的IP 地址和网关,并重启RG-ESS ;
RG-ESS#setup //初始化配置
********************************************************
** RG-ESS http://www.ruijie.com.cn/ **
** Copyright Ruijie Networks Ltd. All rights reserved **
********************************************************
Welcome to RG-ESS. This is the setup menu.
Please input network ip: //配置工控机的IP
192.168.34.102
please input network mask[255.255.255.0]: //配置子网掩码
255.255.255.0
please input the gateway ip: //配置网关
192.168.34.254
please select the action[default:3]
[1]save the config and reboot //保存并重启
[2]reconfig //重新配置
[3]exit config //不保存并退出配置
[1~3]:1 // 选择1,会重启RG-ESS
e、设备重启成功后,将PC连接在ESS1000的GE1端口,输入http://192.168.34.102:8080/ess 打开RG-ESS登陆界面
默认登陆用户名和密码:系统管理员:admin 密码:111111111
2、添加认证用户信息:
添加认证用户---张三,密码为:ruijie
3、修改设备的配置模版
a、类型:选择RG-EG设备
b、身份认证key和web认证key:必须要跟设备配置的认证字段一致
c、SNMP配置:必须要与设备配置的一致
d、网关流量实名检测:勾选开启
4、添加管理设备信息
a、设备IP:设备的管理地址
b、选择上述配置的设备配置模版
c、点击获取设备信息,检测跟设备snmp的连通性(如果连通性跟snmp没问题,以下信息都可以自动获取到)
设备配置过程:
1、设备经过快速配置,可以正常访问外网。
2、在设备的【安全认证】→【WEB认证】→【外置认证服务器】,开启外置认证后,配置重定向地址、key、团体名以及SNMP配置;
服务器IP:填写SMP/ESS服务器的IP地址
重定向页面:填写SMP/ESS的认证页面地址
通讯密码:填写SMP/ESS上添加设备时配置的认证KEY
重定向页面固定格式为:http://x.x.x.x:80/smp/commonauth x.x.x.x为ESS或SMP服务器的地址;如有疑问可在portal软件上查看或联系软件工程师确认,
SNMP配置:
设备标识:设备位置
SNMP口令:填写SMP服务器添加设备时配置的community名称
Trap口令:同SNMP口令
SNMP目的主机:SMP服务器IP地址
Trap接收主机:同SNMP目的主机
注意:SNMP配置一定要配置正确,否可能出现SMP上用户无法下线的故障,SNMP配置最好在WEB界面配置,以免命令行少配置命令造成异常,如果一定要从命令行配置按如下模板配置,正确为命令行配置如下:
snmp-server location GW #标识GW只是一个名字没有实际意义可以配置为任意名字
snmp-server host 192.168.57.96 traps ruijie #配置traps信息目前主机
snmp-server host 192.168.57.96 informs version 2c ruijie web-auth #配置informs信息目前主机
snmp-server enable traps #开启traps
snmp-server community ruijie rw #配置设备的snmp团体现为rijie,充许SNMP服务器对设备进行读写动作
五、配置验证
在浏览器中输入要访问的网页,会自动重定向到ESS1000的认证界面,提示输入认证用户名和密码:
认证成功后,会出现以下认证成功界面:
六、注意问题
SNMP配置一定要配置正确,否可能出现SMP上用户无法下线的故障,SNMP配置最好在WEB界面配置,以免命令行少配置命令造成异常,如果一定要从命令行配置按如下模板配置,正确为命令行配置如下:
snmp-server location GW #标识GW只是一个名字没有实际意义可以配置为任意名字
snmp-server host 192.168.57.96 traps ruijie #配置traps信息目前主机
snmp-server host 192.168.57.96 informs version 2c ruijie web-auth #配置informs信息目前主机
snmp-server enable traps #开启traps
snmp-server community ruijie rw #配置设备的snmp团体现为rijie,充许SNMP服务器对设备进行读写动作