16 |
您所在的位置:网站首页 › 网关设备有哪些 › 16 |
1 简介
本文档介绍设备的APP认证功能配置举例,在配置前,先了解如下定义: · APP认证:主要应用在金融、连锁商超等用户场景,与设备联动,因为这些客户场景(如金融网点,连锁商超)有专门的办公APP应用,办公人员本身已经拥有合法的APP实名账号,为了对这一类用户实现实名认证以及上网行为管控,传统的解决方案是需要在设备侧重新创建一份认证账号用于认证上网。对于客户或网络管理员而言,需要同时维护设备和APP两套用户认证账号,非常不方便。为了解决这一问题,设备可以直接通过指定的规则分析和监听APP应用登录报文中的账号并进行提取,然后将提取到的账号直接作为合法认证用户的身份标识,将用户加入在线用户列表,并可选择将监听到的账号录入到设备本地,以用于后续基于实名账号的上网行为管控,以此来实现设备认证和APP应用的联动。 2 配置前提本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 在配置前,需要做如下准备: · 客户已经拥有自己的APP客户端程序,且APP登录账号交互为明文方式。 · 本文档假设您已了解APP认证特性。 3 APP认证功能配置举例 3.1 组网需求如图1所示,某连锁商超内网办公网段的IP地址为172.16.11.0/24,其中三层交换机172.16.11.1/24作为网关,使用自研办公APP,设备作为网关出口设备。 · 需要对商超内登录APP的办公人员进行实名认证,要求设备侧在线用户能实名显示哪些办公人员在线。 · 对商超内所有办公用户的上网行为进行控制,不允许办公用户访问P2P下载、网络电视以及网络游戏。 · 当有新办公人员的移动终端加入商超连网时可以通过设备的推送页面直接下载APP应用。 图1 APP认证组网图 3.2 配置思路 · 配置网络接口 · 配置静态路由 · 配置源NAT · 获取APP账号规则和服务器地址 · 配置APP认证参数 · 配置APP用户组 · 配置地址对象 · 配置APP认证策略 · 配置控制策略 3.3 使用版本本举例是在E6201版本上进行配置和验证的。 3.4 配置步骤(1) 配置网络接口 如图2、图3所示,进入“网络配置>接口配置”,点击编辑ge3、ge0接口,把ge0、ge3的地址分别配置为172.16.10.2/24、172.16.30.2/24。 图2 配置ge2接口
图3 配置ge0接口
(2) 配置静态路由 如图4所示,进入“网络管理>路由管理>静态路由”页面,新建配置访问外网的默认路由。 图4 配置静态路由
(3) 配置源NAT 如(2)图4所示,进入“策略配置>NAT转换策略>源NAT”页面,新建配置ge0接口源NAT。 图5 配置源NAT
(4) 获取APP账号规则和服务器地址 如(2)图4所示,使用办公人员终端登录APP,整个过程使用抓包获取APP账号登录的报文,过滤HTTP 登录报文,查找用户名字段所在位置。 图6 抓包获取APP账号登录的报文 得到服务器地址:192.168.0.254 得到用户起始字符:os_username= 结束字符:& 同时网络内指定的APP下载服务器地址为:192.168.2.50,各客户端软件均放在此HTTP服务器上。 (5) 配置APP认证参数 如图7所示,进入“用户管理>认证管理>认证方式>APP认证”,配置APP认证参数,点击。 图7 配置APP认证参数
(6) 配置APP用户组 如下图所示,进入“用户管理 > 用户组织结构 ”页面,点击选择”组”,配置完成后提交。 图8 配置APP用户组
(7) 配置地址对象 如下图所示,进入“策略管理 > 对象管理>地址对象”页面,点击,配置完成后提交。 图9 配置地址对象
(8) 配置APP认证策略 如图10所示,进入“用户管理 > 认证管理 > 认证策略”页面,选择新建认证策略,源接口选择内网口ge3,源地址选择“认证用户”,认证方式使用“APP认证”,提交策略。 图10 配置APP认证策略
(9) 配置控制策略 如下图所示,进入“策略配置>控制策略”页面,点击,选择-,将P2P软件、P2P流媒体、网络游戏等应用配置为阻断,提交配置。 图11 配置控制策略 3.5 配置注意事项 · APP认证参数配置中必须将HTTP服务器地址和APP认证服务器地址放通。 · 认证用户网段必须在用户识别范围中,否则会导致不能正常认证。 · APP下载链接为HTTP时,放通APP服务器的流量只能通过配置IP实现,不能配置域名,报文交互中域名被加密了提取不到对应的域名。 · APP认证不支持HTTP加密应用中的用户名提取。 · APP账号登录支持GET和POST两种方式,POST登录方式如举例所示,用户名需要在HTTP POST表单中,GET登录方式用户名需要在GET 头部字段中如:GET/login.html?account=test0&mac=48-a1-95-57-6e-93&ipaddr=172.16.11.170 HTTP/1.1 · APP账号监控不支持结果检验,账号登录失败,或账号不存在的情况下,也能监控到用户输入的账号正常上线。 3.6 验证配置如图12所示,用户在认证之前访问网络会弹出认证页面,点击认证页面上的下载按钮,可以直接下载对应的APP应用程序。 图12 认证portal页面
如下图所示,用户打开APP应用登录账号,会直接在设备侧认证成功,并加入在线用户列表 图13 在线用户
如下图所示,登录成功的用户会被录入到设备本地用户组织结构对应的用户组中。 图14 用户组织结构
如下图所示,用户访问爱奇艺会直接被阻断,产生阻断日志。 图15 阻断日志 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |