SRX WEB认证功能

    需求很简单，客户现在需要对内部用户做认证准入。具体的实施有很多种办法。

     在Juniper的EX接入交换机上，可以做802.1x认证，对于接口挂HUB连打印机和PC的情况可以使用supplicant multiple 模式，配置静态MAC帮助打印机绕过802.1x。

      在SRX上可以使用UTM的一分部功能来实现web认证，认证可以使用本地，AD或者radius等等，配置基本相似。客户预算充足，尤其是大型园区，还可以部署MX 3D多功能路由器来实现BNG认证计费功能，简单常见的是二层的部署方式ppoe+ipoe。也可以部署三层的PTSP，支持V4/V6双栈。

    环境有限，没有其他的认证服务器，模拟下核心交换机旁路挂载srx做基于用户名的web认证。

    虽然采取的是旁路部署，但实际的流量跟串在上面一样，核心交换机的firewall捕获流量，丢到认证的vrf，静态路由指向SRX。SRX在policy中设置web认证，静态路由丢回核心交换机。

核心交换机firewall：

filter 001 {

    term 066 {

        from {

            source-address {

                192.168.66.0/24;

            }

        }

        then {

            count 66;

            routing-instance iP-gUard;

        }

    }

    term reject {

        then {

            reject;

        }

    }

}

核心交换机的vrf：

iP-gUard {

    instance-type virtual-router;

    interface xe-0/0/48:1.0;

    routing-options {

        static {

            route 0.0.0.0/0 next-hop 172.16.1.2;

        }

    }

}

SRX配置：

from-zone trust to-zone untrust {

    policy 1 {

        match {

            source-address any;

            destination-address any;

            application any;

        }

        then {

            permit {

                firewall-authentication {

                    pass-through {

                        client-match ybj;

                    }

                }

            }

        }

    }

实验效果：

1.打开任意网页 显示无法上网 于是玩了会游戏，这个显然不是我们希望的。

2.手动输入IP地址，跳出认证界面：

3.输入用户名密码 获得访问互联网的权限：

4.路径追踪下，符合预期：