6509 web proxy authentication

 
通过几天的努力测试终于在6509上成功应用web proxy authentication

首先:在6509上做web proxy时只支持在二层物理接口，三层物理接口，port-chanel口上做。在三层vlan接口上做不能够从ACS上download策略所以应用不成功

其次web proxy authentication 只能应用在上网流量进入交换机的接口上

第三点配置 ip tacase soure-interface Vlan2
在配置ACS network configuration 的时候 client 接口地址配置为与ACS服务器直接相连的网关地址

配置web proxy 认证时有两种配置
第一种：
access-list 1 permit *.*.*.* *.*.*.*        /定义允许通过web 代理认证的流量
Ip auth-proxy name NAME http list 1
inter gi */*
ip auth-proxy NAME
第二种：
ip admission name NAME http
inter gi */*
ip admission NAME

在配置web proxy认证的时候在接口上都需要配置默认的acl
access-list 101 permit tcp any any eq tacase
access-list 101 deny ip any any
inter gi */*
ip access-group 101 in 
通过上面这种方式配置的web-proxy 必须在浏览器中输入ip地址之后才能够进行认证，原因在与dns ip地址也被阻止了

通过优化acl
access-list 101 permit tcp any any eq tacase
access-list 101 permit ip any host  61.139.2.69
access-list 101 deny ip *.*.*.* *.*.*.* any /具体到某个网段，这样方便控制
access-list 101 perimt ip any any
inter gi */*
ip access-list 101 in

在acl配置的下放策略中如下配置


这样做成功之后
可以通过show Ip access-list 101 查看acs下放到接口的acl

详细配置就是：

 

aaa new-model

aaa authentication login default group tacacs+

aaa authentication login CONSOLE none

aaa authorization auth-proxy default group tacacs+ 

ip device tracking

ip http server

tacacs-server host *.*.*.* key cisco

ip tacacs source-interface Vlan700 /ac服务器所在的vlan接口，也可以是普通接口

 

ip admission proxy http success redirect http://www.cisco.com /认证成功后设置自动跳转的网页

ip admission name webauth proxy http inactivity-time 60

 

 

access-list 101 permit tcp any any eq tacacs

access-list 101 permit ip any host 61.139.2.69 /电信dns地址

access-list 101 deny   ip host 172.30.38.12 any

access-list 101 permit ip any any

inter gi */*

ip address *.*.*.* *.*.*.*

ip admission webauth

ip access-group 101 in

配置完成