需求很简单,客户现在需要对内部用户做认证准入。具体的实施有很多种办法。

     在Juniper的EX接入交换机上,可以做802.1x认证,对于接口挂HUB连打印机和PC的情况可以使用supplicant multiple 模式,配置静态MAC帮助打印机绕过802.1x。

      在SRX上可以使用UTM的一分部功能来实现web认证,认证可以使用本地,AD或者radius等等,配置基本相似。客户预算充足,尤其是大型园区,还可以部署MX 3D多功能路由器来实现BNG认证计费功能,简单常见的是二层的部署方式ppoe+ipoe。也可以部署三层的PTSP,支持V4/V6双栈。

    环境有限,没有其他的认证服务器,模拟下核心交换机旁路挂载srx做基于用户名的web认证。

SRX WEB认证功能_第1张图片

    虽然采取的是旁路部署,但实际的流量跟串在上面一样,核心交换机的firewall捕获流量,丢到认证的vrf,静态路由指向SRX。SRX在policy中设置web认证,静态路由丢回核心交换机。

核心交换机firewall:

filter 001 {

    term 066 {

        from {

            source-address {

                192.168.66.0/24;

            }

        }

        then {

            count 66;

            routing-instance iP-gUard;

        }

    }

    term reject {

        then {

            reject;

        }

    }

}

核心交换机的vrf:

iP-gUard {

    instance-type virtual-router;

    interface xe-0/0/48:1.0;

    routing-options {

        static {

            route 0.0.0.0/0 next-hop 172.16.1.2;

        }

    }

}



SRX配置:

from-zone trust to-zone untrust {

    policy 1 {

        match {

            source-address any;

            destination-address any;

            application any;

        }

        then {

            permit {

                firewall-authentication {

                    pass-through {

                        client-match ybj;

                    }

                }

            }

        }

    }

实验效果:

1.打开任意网页 显示无法上网 于是玩了会游戏,这个显然不是我们希望的。

SRX WEB认证功能_第2张图片

2.手动输入IP地址,跳出认证界面:

SRX WEB认证功能_第3张图片

3.输入用户名密码 获得访问互联网的权限:

SRX WEB认证功能_第4张图片

4.路径追踪下,符合预期:

SRX WEB认证功能_第5张图片