新华三ACG身份验证实验

一、实验拓扑

二、实验设备

1.新华三上网行为管理设备

2.测试主机

三、实验步骤

（1）首先进行系统升级，更新应用特征库等

（2）将ge1口设置为网关，并开启dhcp功能为主机分配地址

（3）配置地址池与DNS

（4）查看主机获取的ip

（5）测试与网关的通信

（6）查看ACG的路由，自动获取到了访问公网的缺省路由，如果拓扑结构更为复杂，需要配置回程路由

（7）配置源NAT，让内网能够成功访问公网

（8）成功访问外网

（9）配置认证策略，选择认证方式为本地WEB认证

（10）此时将无法访问页面

（11）但ping包仍可以发送，这是因为ping包使用icmp封装，但网页需要进行tcp三次握手，上网行为认证工作在应用层

（12）配置用户组与用户，以及用户登录密码

（13）配置web页面检查

（14）在策略上绑定用户组

（15）使用HTTP 302 进行伪portal抑制

（16）之后访问页面会跳转用户认证页面，用户输入账号密码后可正常上网

（17）可以对web页面进行一些个性化配置

（18）对主机进行抓包分析，可以发现主机向DNS发送请求百度域名的地址

（19）在tcp三次握手之后，成功简历连接，而后发送http请求，可以发现使用get请求，以读取百度的页面

（20）这个请求的回应包，响应了一个3开头的302重定位包，查看报文，发现重定向的地址为该身份验证地址

（21）若将伪portal改为html-refresh，再次抓包，可以发现这次的响应包回应的是200成功状态码

（22）查看报文内容，可以发现报文内包含一段完整的html代码，其中refresh代表这是一个重定向指令，而content=0代表重定向发生时间为0s，url与身份验证页面的url一致

（23）html-refresh（HTML 元刷新）和 HTTP 302（临时重定向）的区别