思科ISE 对公司访客进行Portal 认证（基于HTTPS 协议）

Posted 2023-05-06

参考技术A Portal认证通常也称为Web认证，用户接入网络时，必须在门户网站进行认证，如果未认证成功，仅可以访问特定的网络资源，认证成功后，才可以访问其他网络资源。

Portal认证具有如下优点：

某企业由于业务需要，需要部署一套身份认证系统，对公司访客接入网络进行准入控制，确保只有合法用户才能接入网络。

主要有如下需求：

b. 选择“Administration > Identity Management > Identities”，在左侧导航区域选择“Users”，在右侧操作区域单击“Add”，创建用户A，用户名为“A-123”，密码为“Huawei@123”，绑定到群组“R&D”，设置完成之后单击下方“Submit”提交。用户B与之类似，此处不再赘述。

b. 选择“Administration > Network Resources > Network Devices”，在右侧操作区域单击“Add”，添加接入认证设备SwitchA，在“New Network Device”页面根据下表设置SwitchA参数，设置完成之后单击下方“Submit”提交。

b. 创建认证条件模板“Portal”，设置认证条件，“RADIUS：Service-Type”选择“Outbound”，“RADIUS：NAS-IP-Address”选择“192.168.10.2”，设置完成之后单击下方“Submit”提交。

c. 在上方导航区域选择“Policy > Policy Elements > Results”，在左侧导航区域选择“Authentication > Allowed Protocols”，在右侧操作区域单击“Add”。

d. 创建允许用户进行认证的协议模板“Portal”，勾选“Allow PAP/ASCII”和“Allow CHAP”，设置完成之后单击下方“Submit”提交。

e. 在上方导航区域选择“Policy > Authentication”，选择“Rule-Based”。单击第一条认证策略最右侧的三角形，选择“Insert new row above”。创建认证策略“Portal”，添加认证条件模板“Portal”及允许用户进行认证的协议模板“Portal”，单击右侧“Done”完成配置，单击下方“Save”保存。

a. 选择“Guest Access > Configure > Guest Portals”，单击下方操作区域“Self-Registered Guest Portal (default)”。

b.单击“Portal test URL”，弹出的页面即为用户进行Portal认证的界面，该页面URL即为交换机URL模板上配置的URL。

NGFW的Portal认证实验

目录

实验拓扑

实验说明

基础配置

防火墙配置

测试

配置Portal认证

测试

---

实验拓扑

实验说明

• 内网允许Web网关主机使用防火墙的G1/0/0接口登录管理防火墙
• 在防火墙上配置SNAT，Client使用公网地址202.1.1.1-202.1.1.5访问互联网
• 内网的Client访问Telnet Server需要先进行Portal认证，认证通过后，才允许Client访问互联网

基础配置

• Web网管主机使用物理机，VMnet1网卡的IP地址配置为192.168.43.1/24，网关为192.168.43.254

• Client使用VMware中Win10虚拟机，网卡使用仅主机模式，连接到VMnet1网卡上

• Cloud配置

• 防火墙基本配置
  • 配置接口IP地址，允许接口的网关服务
  • 配置缺省路由

int g1/0/1  ip ad 1.1.1.1 24 int g1/0/0  ip ad 192.168.43.254 24  service-manage http permit  service-manage https permit  service-manage ping permit   firewall zone trust  add int g1/0/0 firewall zone untrust  add int g1/0/1   ip rou 0.0.0.0 0 1.1.1.2

• Telnet Server基础配置
  • 配置接口IP地址，配置回程静态路由
  • 配置Telnet服务的用户密码及用户登录权限

int lo 0  ip ad 2.2.2.2 32 int g0/0/0  ip ad 1.1.1.2 24   ip rou 202.1.1.0 29 1.1.1.1   user-interface vty 0 4  set authentication password cipher huawei@123  user privilege level 3   web-manager timeout 1440  //系统视图下，配置Web登录超时时间

防火墙配置

• 配置NAT地址池，并配置NAT策略

nat address-group ISP  mode pat  section 0 202.1.1.1 202.1.1.5   nat-policy  rule name SNAT   source-zone trust   destination-zone untrust   source-address 192.168.43.140 mask 255.255.255.255   action source-nat address-group ISP

• 配置安全策略，放行trust区域到untrust区域的Telnet服务

security-policy  rule name Telnet   source-zone trust   destination-zone untrust   source-address 192.168.43.140 mask 255.255.255.255   service telnet   action permit

测试

• 在Client上使用telnet 2.2.2.2，测试是否能登录到Telnet Server
  • 查看防火墙的会话表项

• Client可以正常访问Tenlet Server
• 防火墙也对Client的私网地址做了转换

配置Portal认证

• Web登录防火墙管理页面，配置认证策略

• 新建用户组，再新建用户隶属于该用户组

• 配置认证选项。可以配置使用的端口、用户的密码登陆后是否需要修改、Portal认证页面定制等功能

• 配置允许Portal报文通过防火墙的安全策略
  • Portal默认使用的是TCP的8887端口

• 因为是由防防火墙的接口返回给Client的Portal认证页面，而防火墙的接口是本身是属于Local区域的，所以目的区域选择Local

测试

• 在Client上，使用浏览器触发HTTP上网行为，查看是否有Portal认证页面推送

• 由于没有DNS解析域名，所以随便使用一个IP地址，进行访问，触发HTTP上网流量
• 使用http://1.1.1.1会推送防火墙的登录页面

• 可以收到由防火墙推送的Portal认证页面

• 使用创建的用户，登录测试

• 登录成功！

• 重新在Client上尝试登录到Telnet Server

• 登录成功！

• 在防火墙上查看会话表项以及在线的用户

• 可以看到Telnet的会话表项。在线用户信息中，也可以看到用户的登录信息、隶属的组、认证方式等信息

• 在防火墙上强制用户下线，查看是否还可以登录的Telnet Server

• 登录失败！

---

以上内容均属原创，如有不详或错误，敬请指出。

本文作者： 坏坏

本文链接：http://t.csdn.cn/cciNF

版权声明： 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请联系作者注明出处并附带本文链接！