需求很簡單,客戶現在需要對內部用戶做認證准入。具體的實施有很多種辦法。
在Juniper的EX接入交換機上,可以做802.1x認證,對於接口掛HUB連打印機和PC的情況可以使用supplicant multiple 模式,配置靜態MAC幫助打印機繞過802.1x。
在SRX上可以使用UTM的一分部功能來實現web認證,認證可以使用本地,AD或者radius等等,配置基本相似。客戶預算充足,尤其是大型園區,還可以部署MX 3D多功能路由器來實現BNG認證計費功能,簡單常見的是二層的部署方式ppoe+ipoe。也可以部署三層的PTSP,支持V4/V6雙棧。
環境有限,沒有其他的認證服務器,模擬下核心交換機旁路掛載srx做基於用戶名的web認證。
雖然採取的是旁路部署,但實際的流量跟串在上面一樣,核心交換機的firewall捕獲流量,丟到認證的vrf,靜態路由指向SRX。SRX在policy中設置web認證,靜態路由丟回核心交換機。
核心交換機firewall:
filter 001 {
term 066 {
from {
source-address {
192.168.66.0/24;
}
}
then {
count 66;
routing-instance iP-gUard;
}
}
term reject {
then {
reject;
}
}
}
核心交換機的vrf:
iP-gUard {
instance-type virtual-router;
interface xe-0/0/48:1.0;
routing-options {
static {
route 0.0.0.0/0 next-hop 172.16.1.2;
}
}
}
SRX配置:
from-zone trust to-zone untrust {
policy 1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
firewall-authentication {
pass-through {
client-match ybj;
}
}
}
}
}
實驗效果:
1.打開任意網頁 顯示無法上網 於是玩了會遊戲,這個顯然不是我們希望的。
2.手動輸入IP地址,跳出認證界面:
3.輸入用戶名密碼 獲得訪問互聯網的權限:
4.路徑追蹤下,符合預期: