本帖最后由 宋智仲 于 2024-11-18 15:44 编辑
一、需求背景: 客户希望针对单个用户进行精细化限制数据中心的访问,但是由于用户的终端都是DHCP获取的IP地址,很难按照IP进行单个放通。 由于该客户有上网行为管理,并且做有用户上网密码认证,希望实现当用户在上网行为管理通过上网密码认证的时候,同时数据中心防火墙也能同步该用户,然后根据用户名来进行放通访问数据中心。
二、背景大致拓扑: 用户上网需要通过上网行为管理进行密码认证 用户访问数据中心服务器需要经过数据中心防火墙的管控
三、需求实现思路: 1、上网行为管理配置认证信息转发,转发给数据中心防火墙 2、数据中心防火墙再配置认证策略,同步上线 3、应用控制策略默认拒绝,然后再根据AC同步过来的用户进行单独放通
四、配置实现过程: 这里使用访客wifi进行测试 1、 查看AC入网用户管理,访客用户正常通过密码认证上线 2、 配置认证信息转发到其他深信服设备 这里遇到个问题需要注意,数据中心防火墙是路由模式的,并且接了带外管理口,此时这里的转发地址需要填数据中心防火墙的业务口地址,并非带外管理口地址,否则无法转发过去。
3、 数据中心防火墙配置认证策略 3.1.创建用户组
3.2.配置认证策略 3.2.1.认证方向为WAN方向 3.2.2.因为数据中心业务肯定也是有对外发布的,那么肯定会出现公网IP要通过这个认证,所以默认策略必须配置不需要认证,然后配置为临时账号,不要同步到AF的用户组。 3.2.3.配置访客组认证策略 3.2.4.配置域单点登录,接收AC的认证转发
3.3.查看AF认证状态 可以看到在AC上线的guest用户,也同步在AF上线了 并且用户组也同步了相应的用户
4、 应用控制策略配置 4.1. 先配置一条默认拒绝访客网段不允许访问数据中心 策略效果:
4.2.再新增一条,放通guest用户访问数据中心
策略效果: | 
发表于 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员3级 
