任务引言
在当前的网络架构里,公司用户只要完成物理连接与IP配置则可以上网。这就造成有些人随便接入网络,存在不是公司的员工也可以接入网络等问题。利用Web认证可以实现对公司员工及其上网行为的监管。
学习目标
了解Web认证的安全作用;
掌握Web认证配置。
知识引入
Web认证给每个用户分配上网账号与密码,在客户端浏览器输入用户信息,通过服务器端的认证,则用户可以访问外网权限内的服务。
Web认证的优点:
(1)Web认证不需要特殊的客户端,可降低网络维护工作量。
(2)认证方式简单,易操作。
【工作任务】——公司Web认证配置
1.工作任务背景
千山公司深圳总公司为规范员工上网行为,要求员工进行上网认证后才能与外网通信。防火墙的用户管理和Web认证提供对员工身份管理和认证等功能。Web认证如图5-7-1所示。
图5-7-1 Web认证
2.工作任务分析
环境设备如表5-7-1和表5-7-2所示。
表5-7-1 深圳总公司部门网络信息
表5-7-2 网络参数设置
内网用户首次访问Internet时需要通过Web认证才能上网。PC1和PC2均需要认证才能浏览到PC3的Web服务。
【任务实现】
1.根据所学知识完成交换机s1 VLAN划分、端口添加及IP地址配置
s1(config)#vlan 80
s1(Config-Vlan80)#switchport interface ethernet 0/0/1-10
s1(Config-Vlan80)#exit
s1(config)#int vlan 1
s1(Config-if-Vlan1)#ip address 192.168.1.1 255.255.255.0
s1(Config-if-Vlan1)#no shutdown
s1(Config-if-Vlan1)#exit
s1(config)#int vlan 80
s1(Config-if-Vlan80)#ip address 192.168.80.1 255.255.255.0
s1(Config-if-Vlan80)#no shutdown
s1(Config-if-Vlan80)#exit
s1(config)#router ospf 1
s1(config-router)#network 192.168.1.0/24 area 0
s1(config-router)#network 192.168.80.1 /24 area 0
s1(config-router)#exit
2.根据所学知识完成交换机s2 VLAN划分、端口添加及IP地址配置
s2(config)#vlan 10
s2(Config-Vlan10)#switchport interface ethernet 0/0/1-4
s2(Config-Vlan10)#exit
s2(config)#vlan 20
s2(Config-Vlan20)#switchport interface ethernet 0/0/5-8
s2(Config-Vlan20)#exit
s2(config)#int vlan 1
s2(Config-if-Vlan1)#ip address 192.168.1.2 255.255.255.0
s2(Config-if-Vlan1)#exit
s2(config)#int vlan 10
s2(Config-if-Vlan10)#ip address 192.168.10.1 255.255.255.0
s2(Config-if-Vlan10)#no shutdown
s2(Config-if-Vlan10)#int vlan 20
s2(Config-if-Vlan20)#ip address 192.168.20.1 255.255.255.0
s2(Config-if-Vlan20)#no shutdown
s2(Config-if-Vlan20)#exit
s2(config)#router ospf 1
s2(config-router)#network 192.168.1.0/24 area 0
s2(config-router)#network 192.168.10.0/24 area 0
s2(config-router)#network 192.168.20.0/24 area 0(www.xing528.com)
s2(config-router)#exit
3.根据所学知识完成公共网络路由器R1端口IP地址配置
R1_config#interface fastEthernet 0/0
R1_config_f0/0#ip address 10.1.3.1 255.255.255.0
R1_config_f0/0#no shutdown
R1_config_f0/0#exit
R1_config#interface fastEthernet 0/3
R1_config_f0/3#ip address 10.1.11.1 255.255.255.0
R1_config_f0/3#no shutdown
R1_config_f0/3#exit
4.根据所学知识完成交换机、路由器和防火墙的路由配置,以使计算机能访问路由器R1
(1)接口配置,如图5-7-2所示。
图5-7-2 接口配置列表
(2)添加一条出外网的默认路由,如图5-7-3所示。
图5-7-3 默认路由配置
(3)添加源NAT出外网都转换成接口IP地址,如图5-7-4所示。
图5-7-4 SNAT配置
(4)设置防火墙策略允许trust访问untrust,如图5-7-5所示。
图5-7-5 安全策略配置
5.在PC3配置Web服务
配置效果如图5-7-6所示。
图5-7-6 Web访问
6.开启Web认证功能
(1)选择“网络”,单击“Web认证”,在Web认证配置界面,模式选择“HTTP模式”,超时输入“60”,如图5-7-7所示。
图5-7-7 开启防火墙Web认证功能
(2)创建AAA认证服务器。选择“用户”,单击“AAA服务器”,输入名称为“local-aaa-server”,选择认证类型为“本地”,单击“确认”,如图5-7-8所示。
图5-7-8 创建AAA认证服务器
(3)创建用户及用户组。选择“对象”,单击“用户”,在用户组列表单击“新建用户”,用户名称为“user”,密码为“123456”,如图5-7-9所示。
图5-7-9 认证用户配置
(4)在防火墙策略中启动Web认证,如图5-7-10和图5-7-11所示。
图5-7-10 设置Web认证行为
图5-7-11 设置认证策略
7.验证配置
内网用户打开IE输入某网站后可以看到页面马上重定向到认证页面,输入user用户名和密码认证通过后,当访问某Web时访问成功,如图5-7-12、图5-7-13和图5-7-14所示。
图5-7-12 打开认证系统
图5-7-13 认证效果
图5-7-14 Web服务
【问题探究】
(1)用户、用户组和角色的关系。
(2)Web认证的应用。
【知识拓展】
AAA认证服务器的类型主要有本地认证、Radius认证、Active Directory认证和LDAP认证
【任务拓展】。
千山公司深圳总公司为规范销售部员工上网行为,要求员工进行打开网页时需要通过认证才能访问,而其他网络行为则不受限制。Web认证如图5-7-15所示。
图5-7-15 Web认证
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。