实验topo
用到工具:ensp,kali,cloud云的网段是192.168.43.0;连接cloud的g0/0/0地址就是你登录web,protal的地址
实验说明:建议不在真机上面配置直接用,因为真机不稳定。这里用kali当真机,
ensp配置:
这里我用的自建的网卡v8;
防火墙基本配置:
interface GigabitEthernet0/0/0
undo shutdown
ip binding vpn-instance default
ip address 192.168.0.1 255.255.255.0
alias GE0/METH
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet perm
interface GigabitEthernet1/0/0
undo shutdown
ip address 192.168.1.2 255.255.255.0
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 10.1.1.1 255.255.255.0
firewall zone local
set priority 100
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1
#
firewall zone dmz
set priority 50
#
ip route-static 0.0.0.0 0.0.0.0 10.1.1.2
#
测试
- 在Client上使用telnet 2.2.2.2,测试是否能登录到Telnet Server
- 查看防火墙的会话表项
- Client可以正常访问Tenlet Server
配置Portal认证
- Web登录防火墙管理页面,配置认证策略
新建用户组,再新建用户隶属于该用户组
配置认证选项。可以配置使用的端口、用户的密码登陆后是否需要修改、Portal认证页面定制等功能
配置允许Portal报文通过防火墙的安全策略
Portal默认使用的是TCP的8887端口
因为是由防防火墙的接口返回给Client的Portal认证页面,而防火墙的接口是本身是属于Local区域的,所以目的区域选择Local
测试
在Client上,使用浏览器触发HTTP上网行为,查看是否有Portal认证页面推送
由于没有DNS解析域名,所以随便使用一个IP地址,进行访问,触发HTTP上网流量
使用http://1.1.1.1会推送防火墙的登录页面
可以收到由防火墙推送的Portal认证页面
使用创建的用户,登录测试
