• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置(R6616)-6W101

目录

26-双重认证典型配置

本章节下载 26-双重认证典型配置  (751.50 KB)

26-双重认证典型配置


1  简介

对于安全性要求较高的场景,要求对上网人员的身份信息进行增强校验,提高接入网络的安全性,防止身份盗用等安全问题。同时获取终端用户的实名信息,方便进行营销、推广。

设备支持配置双重认证策略,用户通过设备访问网络时,通过首次认证后,还需要进行二次认证,两次认证都认证通过后,才可以访问外网,认证用户上线成功。

认证策略选择本地认证、微信认证时,可配置双重认证,二次认证认证方式包括本地认证、短信认证。双重认证策略支持以下三种组合方式:

本地认证+短信认证

微信认证+短信认证

微信认证+本地认证

本文档介绍设备的双重认证配置举例。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

在配置前,需要做如下准备:

·              客户已经在对应的短信网关厂商进行了注册(如亿美软通)。

·              客户已经申请公众号。

·              本文档假设您已了短信认证特性。

·              本文档假设您已了解微信认证、短信认证及本地WEB认证的特性。

3  使用限制和注意事项

·              如果认证策略上配置了超时时间、强制重登录间隔,则以认证策略上配置的为准;如果认证策略上没有配置,均以首次认证方式上配置的为准。

·              双重认证配置本地认证+短信认证,且启用终端注册功能,终端注册的用户审批之后将以静态绑定用户上线,不会进行双重认证。

·              双重认证不支持IPv6网络认证。因为只有本地认证支持IPv6,其他认证方式不支持IPv6,即使配置了双重认证,认证流量为IPv6时,只按照策略的首次认证类型进行单一认证。如配置本地认证+短信认证,请求IPv6业务时直接可以访问外网IPv6业务,不进行二次认证。

·              微信认证选择小程序认证不支持双重认证,微信小程序认证已收费,该功能将停止维护。设备上小程序配置选项保留用于客户自己开发小程序与设备对接进行使用。

·              首次认证选择微信认证,二次认证不支持加密认证。由于二次认证选择加密认证之后,微信认证公众号上跳转二次认证时SSL握手连接建立不起来,终端直接发送FIN报文断开了连接,所以首次认证选择微信认证时,二次认证不能勾选加密认证。

双重认证中首次认证是本地WEB认证时,认证账号以首次认证账号上线,且认证方式为首次认证方式;首次认证是微信认证时,认证账号以二次认证账号上线,且认证方式为首次认证方式;用户上下线日志只记录首次认证方式的信息。

4  双重认证功能配置举例

4.1  组网需求

图1所示,某公司内网存在研发网段和测试网段,IP地址分别为172.16.12.0/24和172.16.13.0/24。使用设备的ge1和ge6接口路由模式部署在网络中,设备作为出口网关设备。在设备上针对ge1的网段开启微信认证+本地认证功能,针对ge6的网段开启本地认证+短信认证功能。

图1 双重认证配置举例组网图

4.2  配置思路

·              按上面组网需求组网

·              配置认证策略

·              配置本地认证账号

·              配置短信服务

·              配置本地WEB认证参数

·              配置微信认证参数

·              配置短信认证参数

·              配置用户识别范围

·              配置DNS服务器

·              配置静态路由

·              配置控制策略。

·              配置NAT策略。

4.3  使用版本

本举例是在R6616版本上进行配置和验证的。

4.4  配置步骤

1. 配置认证策略

进入“用户管理>认证管理>认证策略”页面,配置两条认证策略,ge1接口对应网段配置微信认证+本地认证的认证策略,ge6接口对应网段配置本地认证+短信认证的认证策略。

图2 配置微信认证+本地认证

 

图3 配置本地认证+短信认证

 

2. 配置本地认证用户

进入“用户管理>用户管理>用户组织结构”页面,配置本地认证用户账号信息。

图4 配置本地认证用户

3. 配置短信服务

进入“系统配置>服务器管理>短信服务”页面,配置短信服务对象。

图5 配置短信服务

4. 配置本地WEB认证参数

进入“用户管理>认证管理>认证方式>本地WEB认证”页面,配置本地WEB认证参数,不勾选加密认证。

图6 配置本地WEB认证参数

5. 配置微信认证参数

进入“用户管理>认证管理>认证方式>微信认证”页面,配置微信认证参数。

图7 配置微信认证参数

6. 配置短信认证参数

进入“用户管理>认证管理>认证方式>短信认证”页面,配置短信认证参数,不勾选加密认证。

图8 配置短信认证参数

7. 配置用户识别范围

进入“用户管理>认证管理>高级选项”页面,配置用户识别范围为认证测试网段。

图9 配置用户识别范围

8. 配置DNS服务器

进入“网络配置>基础网络>DNS服务>DNS服务器”,配置DNS服务器。

图10 配置DNS服务器

9. 配置静态路由

进入“网络配置>接口配置>路由管理>静态路由”页面,配置一条静态缺省路由。

图11 配置静态路由

10. 配置控制策略

进入“策略配置 > 策略配置 > 控制策略 ”页面,配置一条允许的控制策略。

图12 配置控制策略

11. 配置源NAT策略

进入“策略配置>策略配置>NAT转换策略>源NAT”页面,配置一条源NAT策略。

图13 配置NAT策略

4.5  验证配置

1、研发网段使用移动端过设备访问外网先进行微信认证再进行本地认证,两次认证通过之后才能访问外网

(1)      终端用户访问外网,先弹出微信认证页面,打开微信搜索公众号,通过关键词回复,单击“点完上网”完成微信认证。

图14 移动端微信认证页面

 

(2)      移动终端弹出本地认证页面。

图15 移动端本地认证页面

 

(3)      本地认证成功之后跳转到微信认证成功页面。

图16 双重认证成功页面

 

(4)      设备上在线用户显示为微信认证,认证账号显示为本地认证账号。

图17 在线用户

 

(5)      用户上下线日志显示为微信认证,认证账号为本地认证账号信息。

图18 用户上线下认证

 

2. 测试网段使用终端过设备访问外网先进行本地认证再进行短信认证,两次认证通过之后才能访问外网。

(1)      测试终端过设备访问外网先弹出本地认证页面。

图19 本地WEB认证页面

 

(2)      本地认证完之后跳转到短信认证页面。

图1 短信认证页面

 

(3)      短信认证成功之后跳转到本地认证成功页面。

图2 本地认证成功页面

 

(4)      设备上在线用户显示为本地认证,认证账号显示为本地认证账号。

图3 在线用户

(5)      用户上下线日志中显示本地认证,认证账号信息显示为本地认证账号。

图4 用户上下线日志

 

4.6  配置及使用注意事项

·              微信认证中认证URL需要与微信公众号平台上配置一致,如果配置的是域名方式的,则需要在设备上针对该域名配置DNS映射关系。

·              购买的短信服务需要支持发送短信功能。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们