上网行为管理-身份认证1

一、实验拓扑

设备：

1、H3C的ACG（作为上网行为管理）
2、Windows一台（windows设备）
3、AAA服务器一台（cisco acs设备）
4、增加一个网络 net：cloud0

二、实验目的

1.掌握上网行为管理设备网关部署的应用场景和方法
2.掌握上网行为管理设备本地和raduis身份认证的配置方法。

三、实验需求、步骤及配置

1.上网行为管理(AC)配置：

（1）基本配置：修改ge0口的ip地址，启用DHCP自动获取。

H3C> en

H3C# system-view

H3C(conf ig)# int ge0
H3C(conf ig-ge0)#ip add dhcp metric 1 gw reset dns reset     //彻底刷新接口 ge0 的所有 DHCP 获取的网络配置（IP、网关、DNS）

ge1口先不用配，后面进入AC的可视化界面配置。

输入接口ip进入防火墙的可视化界面

输入用户名、密码

（2）了解系统管理员、审计管理员、安全管理员的区别

进入系统管理，新增一个审计管理员，如下：

然后退出重新登录，用审计管理员的用户名和密码登录

进入后，可以查看数据中心等信息，但不能修改配置

2.AAA服务器配置：

等待启动完成，输入用户名：admin，密码：Aaa@123456

注意：interface g0 需no shutdown把物理层打开。

3.AC配置：

a）配置AC的ge2口，配置静态IP地址10.2.2.1/30，管理方式将ping勾选

b）配置AC的ge1口，配置静态IP地址，ping的管理方式打开

c）配置DHCP服务器：DHCP服务配置在ge1口

服务器配置：

d）配置NAT转换策略：实现内网上网的需求

4.用pc进入AAA服务器的可视化界面:

打开pc，查询分配的IP地址，以及能否上网

在浏览器中，输入https + AAA服务器的接口IP地址：https://10.2.2.2，进入可视化界面

输入默认的用户名：acsadmin，密码：zhongyuan

配置AAA服务器的指定NAS IP、通信key等：

指定NAS IP：

设置用户的名称（账号），及通信key密钥（密码）：

5.配置AC，指定一台RADUIS AAA服务器，配置如下：

用户管理->认证管理->认证服务器，新建一台RADUIS服务器

配置上网打开网页的认证策略

打开高级选项的启用第三方认证，选择Radius认证方式

6.打开pc的浏览器:

随便输入一个URL，如：www.qq.com

弹出PC自动重定向访问AC的认证界面，输入正确的账号密码，登录成功

如果输入错误，将会弹出Radius认证错误

在AC的ge2口抓包，可以看到Radius的两个报文

AAA服务器回复的是拒绝报文

如果输入正确（正确的账号密码是开始在AAA服务器中所创建的用户账号密码），

将直接跳转到你所想访问的网页，如下：

再抓AC的ge2口的报文，会发现AAA服务器回复的是接受的报文

再用pc进入AAA服务器的可视化界面，查看服务器的计费：

用户账号密码输入错误