AC身份认证实验之AAA服务器

一、实验背景

某公司需要在企业的公司网络出口使用上网行为管理设备，以审计管理局域网的所有设备，同时，局域网内的所有设备都将上网行为代理上网，但是发生过访客外传一些非法信息，所以需要对外来人员进行实名认证，用户拥有自己独立的上网账号

二、实验设备

1.山石网科下一代防火墙（作为上网行为管理）

2.新华三ACG1000

3.测试主机

三、实验拓扑

四、实验目的

1.掌握上网行为管理设备网关部署的应用场景和方法

2.掌握上网行为管理设备本地和raduis身份认证的配置方法

五、实验步骤

1.首先使用新华三ACG，查看管理IP

2.配置各个接口，ge0ip为dhcp自动分配，ge1配置为网关ip192.168.100.254，ge2配置为AAA服务器同网段ip10.2.2.1

3.配置ge1口为DHCP服务器

4.配置源NAT

5.测试与AAA服务器的通信以及上外网的

7.创建本地用户admin

8.配置策略，开启web认证，绑定用户组

9.输入用户名与密码，成功访问外网

10.建立AAA服务器的连接

11.开启认证方式为RADIUS

12.成功进入AAA服务器可视化管理页面
13.配置AAA服务器端，指定NAS IP、通信key等

14.配置AAA服务器端，创建用户上网时，身份认真需要的用户名和密码

15.使用本地账号密码进行登录，显示radius认证错误

16.抓包分析，发出的请求包收到的是拒绝的报文

，

17.使用AAA服务器账号登录，成功登录，回应包为同意包

18.改用山石网科下一代防火墙（配置上网行为管理），查看管理IP

19.配置接口安全域，源NAT，策略与新华三ACG配置类似，需要多配置一个由主机到达AAA服务器的策略

20、测试访问外网与访问AAA服务器

21.配置本地用户

22.开启web认证

23.修改策略，将源用户改为UNKNOWN

24.使用本地用户登录

25.AAA服务器配置类似，开启防火墙AAA服务器

、

26.使用本地用户登录，显示错误的用户名与密码

27.使用AAA服务器账户成功登录

28.查看AAA服务器计费