登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置(R6616)-6W101

目录

02-多网络分时访问典型配置

本章节下载 02-多网络分时访问典型配置  (624.55 KB)

02-多网络分时访问典型配置

目  录

1 简介

2 配置前提

3 使用限制和注意事项

4 多网络分时访问配置举例

4.1 组网需求

4.2 配置思路

4.3 配置步骤

4.4 验证配置

 

1  简介

在多网络场景中,要求同一台终端不能同时访问多个网络资源,比如终端在访问互联网时,无法访问政务外网,当此终端访问政务外网时,无法访问互联网。用户需要根据业务的需要,自主进行网络切换,分时访问不同的网络资源,实现网络的隔离。

控制策略支持设置为分时访问策略,并设置分时访问规则

认证用户的流量命中分时访问策略时,如果用户在当前网络(属性组)则对用户流量直接放行。如果用户不在当前网络(属性组)则需要对用户的流量进行劫持,行为有种:

·              弹Portal:设备会对用户弹出权限切换提醒页面,可以在Portal页面切换到对应网络,无需上网用户重新认证。

·              阻断,流量劫持丢包不允许访问。

用户认证完成时第一次访问的分时网络即为用户当前所在的网络(默认网络)。

本文档介绍针对多网络分时访问的配置举例。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

在配置前,需要做如下准备:

客户已经了多网络分时访问的特性。

 

3  使用限制和注意事项

·              分时访问控制策略只支持HTTP弹Portal方式。

·              分时访问为基于认证用户的访问控制,匹配的用户必须为认证用户。

·              对于命中分时访问策略的匿名用户,策略对用户流量做放行处理。

·              由于认证用户可以多终端共享,即一个用户可以有个多个IP地址,同一用户的多终端网络保持一致(一个终端切换网络,所有的同用户终端都跟着切换)。

·              当用户加入分时网络时,会清除用户属性中与该网络属性组属性名相同的所有的已有属性值,然后记录加入该网络属性组的属性名和属性值。用户匹配时如果属性组的属性和用户的属性一致就可匹配成功。

·              网络切换的Portal页面地址使用的是HTTP 8000端口,需要保证端口访问正常。

·              用户终端下线时会将用户从加入的网络清除,用户记录的分时网络属性组的属性也会被清除。恢复为刚完成认证/未认证时的初始(未加入任何网络)状态,此时第一次访问的网络(流量过设备命中分时策略)即为加入的默认网络(加入默认网络时流量直接放通,不触发网络切换)。

·              分时访问不支持用户分级分权。

 

 

4  多网络分时访问配置举例

4.1  组网需求

某公司内网用户通过设备访问访问内网服务器和互联网,需要保证内网用户只能同时访问一个网络,即访问互联网时不允许同时访问内网服务器,访问内网服务器时不允许同时访问互联网,当需要访问另一个网络时,可以进行网络切换,从而实现内网服务器网络和外网Internet的隔离。

图1 多网络分时访问配置举例组网图

4.2  配置思路

·              配置地址对象

·              配置自定义属性名

·              配置本地属性组

·              配置分时访问控制策略

·              配置本地认证策略

·              配置本地用户

4.3  配置步骤

(1)      配置地址对象

按照组网图组网。通过菜单“策略配置> 对象管理> 地址对象”,点击<新建>创建两个地址对象,一个为互联网,一个内网地址。

图2 配置地址对象

(2)      配置自定义属性

通过菜单“用户管理> 高级选项> 自定义属性”,新建属性名“分时访问”,属性值为“互联网”、“内网”。

图3 创建自定义属性

(3)      配置本地属性组

通过菜单“用户管理> 用户组织结构> 本地属性结构”新建两个属性组,分别为“互联网用户”、“内网用户”,增加自定义属性。

图4 配置本地属性组

 

 

(4)      配置分时访问控制

通过菜单“策略配置> 控制策略”,点击<新建>,针对用户访问不同的两条网络配置两条控制策略。匹配条件目的地址选择不同会匹配不同的控制策略。

图5 配置分时访问控制策略-匹配条件

选择分时访问规则标签页,用户加入选择创建的属性组“互联网用户”。

图6 配置分时访问规则

 

同样的方法,再创建一条控制策略,目的地址选择“内网”,用户加入选择属性组“内网用户”。

(5)      配置认证策略

通过菜单“用户管理> 认证策略> 新建”,配置一条本地WEB认证策略。

图7 配置认证策略

 

(6)      配置本地用户

过菜单“用户管理> 用户组织结构”,创建本地认证用户,配置用户名及密码。

图8 配置本地用户

4.4  验证配置

(1)      测试PC访问互联网弹Portal进行认证,本地认证上线成功。

图9 本地认证上线

 

(2)      认证成功后访问互联网,认证用户加入互联网用户属性组中。

图10 用户自动加入属性

 

 

图11 用户加入“互联网”属性组

 

(3)      该用户访问内网HTTP服务器,弹出Portal页面,单击“切换”按钮,该用户切换到属性组“内网用户”下面。

图12 网络切换portal页面

 

图13 用户切换属性组

 

图14 用户属性已切换

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们