如何进行公司的Web认证配置？

任务引言

在当前的网络架构里，公司用户只要完成物理连接与IP配置则可以上网。这就造成有些人随便接入网络，存在不是公司的员工也可以接入网络等问题。利用Web认证可以实现对公司员工及其上网行为的监管。

学习目标

了解Web认证的安全作用；

掌握Web认证配置。

知识引入

Web认证给每个用户分配上网账号与密码，在客户端浏览器输入用户信息，通过服务器端的认证，则用户可以访问外网权限内的服务。

Web认证的优点：

（1）Web认证不需要特殊的客户端，可降低网络维护工作量。

（2）认证方式简单，易操作。

【工作任务】——公司Web认证配置

1．工作任务背景

千山公司深圳总公司为规范员工上网行为，要求员工进行上网认证后才能与外网通信。防火墙的用户管理和Web认证提供对员工身份管理和认证等功能。Web认证如图5-7-1所示。

图5-7-1　Web认证

2．工作任务分析

环境设备如表5-7-1和表5-7-2所示。

表5-7-1　深圳总公司部门网络信息

表5-7-2　网络参数设置

内网用户首次访问Internet时需要通过Web认证才能上网。PC1和PC2均需要认证才能浏览到PC3的Web服务。

【任务实现】

1．根据所学知识完成交换机s1 VLAN划分、端口添加及IP地址配置

s1（config）#vlan 80

s1（Config-Vlan80）#switchport interface ethernet 0/0/1-10

s1（Config-Vlan80）#exit

s1（config）#int vlan 1

s1（Config-if-Vlan1）#ip address 192.168.1.1 255.255.255.0

s1（Config-if-Vlan1）#no shutdown

s1（Config-if-Vlan1）#exit

s1（config）#int vlan 80

s1（Config-if-Vlan80）#ip address 192.168.80.1 255.255.255.0

s1（Config-if-Vlan80）#no shutdown

s1（Config-if-Vlan80）#exit

s1（config）#router ospf 1

s1（config-router）#network 192.168.1.0/24 area 0

s1（config-router）#network 192.168.80.1 /24 area 0

s1（config-router）#exit

2．根据所学知识完成交换机s2 VLAN划分、端口添加及IP地址配置

s2（config）#vlan 10

s2（Config-Vlan10）#switchport interface ethernet 0/0/1-4

s2（Config-Vlan10）#exit

s2（config）#vlan 20

s2（Config-Vlan20）#switchport interface ethernet 0/0/5-8

s2（Config-Vlan20）#exit

s2（config）#int vlan 1

s2（Config-if-Vlan1）#ip address 192.168.1.2 255.255.255.0

s2（Config-if-Vlan1）#exit

s2（config）#int vlan 10

s2（Config-if-Vlan10）#ip address 192.168.10.1 255.255.255.0

s2（Config-if-Vlan10）#no shutdown

s2（Config-if-Vlan10）#int vlan 20

s2（Config-if-Vlan20）#ip address 192.168.20.1 255.255.255.0

s2（Config-if-Vlan20）#no shutdown

s2（Config-if-Vlan20）#exit

s2（config）#router ospf 1

s2（config-router）#network 192.168.1.0/24 area 0

s2（config-router）#network 192.168.10.0/24 area 0

s2（config-router）#network 192.168.20.0/24 area 0(www.xing528.com)

s2（config-router）#exit

3．根据所学知识完成公共网络路由器R1端口IP地址配置

R1_config#interface fastEthernet 0/0

R1_config_f0/0#ip address 10.1.3.1 255.255.255.0

R1_config_f0/0#no shutdown

R1_config_f0/0#exit

R1_config#interface fastEthernet 0/3

R1_config_f0/3#ip address 10.1.11.1 255.255.255.0

R1_config_f0/3#no shutdown

R1_config_f0/3#exit

4．根据所学知识完成交换机、路由器和防火墙的路由配置，以使计算机能访问路由器R1

（1）接口配置，如图5-7-2所示。

图5-7-2　接口配置列表

（2）添加一条出外网的默认路由，如图5-7-3所示。

图5-7-3　默认路由配置

（3）添加源NAT出外网都转换成接口IP地址，如图5-7-4所示。

图5-7-4　SNAT配置

（4）设置防火墙策略允许trust访问untrust，如图5-7-5所示。

图5-7-5　安全策略配置

5．在PC3配置Web服务

配置效果如图5-7-6所示。

图5-7-6　Web访问

6．开启Web认证功能

（1）选择“网络”，单击“Web认证”，在Web认证配置界面，模式选择“HTTP模式”，超时输入“60”，如图5-7-7所示。

图5-7-7　开启防火墙Web认证功能

（2）创建AAA认证服务器。选择“用户”，单击“AAA服务器”，输入名称为“local-aaa-server”，选择认证类型为“本地”，单击“确认”，如图5-7-8所示。

图5-7-8　创建AAA认证服务器

（3）创建用户及用户组。选择“对象”，单击“用户”，在用户组列表单击“新建用户”，用户名称为“user”，密码为“123456”，如图5-7-9所示。

图5-7-9　认证用户配置

（4）在防火墙策略中启动Web认证，如图5-7-10和图5-7-11所示。

图5-7-10　设置Web认证行为

图5-7-11　设置认证策略

7．验证配置

内网用户打开IE输入某网站后可以看到页面马上重定向到认证页面，输入user用户名和密码认证通过后，当访问某Web时访问成功，如图5-7-12、图5-7-13和图5-7-14所示。

图5-7-12　打开认证系统

图5-7-13　认证效果

图5-7-14　Web服务

【问题探究】

（1）用户、用户组和角色的关系。

（2）Web认证的应用。

【知识拓展】

AAA认证服务器的类型主要有本地认证、Radius认证、Active Directory认证和LDAP认证

【任务拓展】。

千山公司深圳总公司为规范销售部员工上网行为，要求员工进行打开网页时需要通过认证才能访问，而其他网络行为则不受限制。Web认证如图5-7-15所示。

图5-7-15　Web认证