01-10用户认证故障处理.docVIP

目 录 10 用户认证故障处理 10-1 10.1 简介 10-2 10.1.1 事前认证简介 10-2 10.1.2 会话认证简介 10-2 10.1.3 事前认证与会话认证的区别 10-2 10.2 故障处理过程 10-2 10.2.1 典型组网环境 10-3 10.2.2 配置注意事项 10-3 10.2.3 故障诊断流程 10-5 10.2.4 故障处理步骤 10-6 10.3 FAQ 10-7 10.4 故障诊断工具 10-7 10.4.1 display命令 10-7 10.4.2 debugging命令 10-8 10.4.3 日志 10-8 插图目录 图10-1 用户认证的组网图 10-3 图10-2 会话认证故障诊断流程图 10-6 用户认证故障处理 关于本章 本章描述内容如下表所示。 标题 内容 10.1 简介 介绍了进行用户认证故障处理时用户所需的知识要点。 10.2 故障处理过程 针对典型的用户认证的组网环境，介绍配置用户认证时要注意的事项，并以会话认证为例介绍了故障处理的流程和详细的故障处理步骤。 10.3 FAQ 列出了用户常问的问题，并给出了相应的解答。 10.4 故障诊断工具 介绍了进行故障处理所需的故障诊断工具，包括使用display命令和debugging命令、日志信息。 简介 事前认证简介 当某些私有网络中的用户上网时，出于安全考虑，私有网络管理员需要限制私有网络中用户的上网权限。只有拥有账号的用户才能访问外部网络。需要上网的用户必须首先登录到防火墙的WEB认证页面，在防火墙弹出的认证页面中按照提示输入用户名和密码。在用户确认提交后，防火墙将对用户名和密码进行认证，并在WEB认证页面上显示认证结果。只有通过防火墙的认证后，才能访问外部网络。当通过认证的用户没有任何操作的时间超过防火墙设定的值时，他的上网权限将被取消。也即在这段时间没有来自该用户的流量。如果以后该用户还要访问外网，则需要重新认证。这种认证方式称为事前认证。 事前认证可以和黑名单功能联合使用。当非法用户企图登录外部网络时，防火墙将该用户的IP地址加入到黑名单中。 用户的账号和密码由系统管理员统一分配。 会话认证简介 出于安全考虑，私有网络上的管理员希望只有拥有账号的用户才能访问外部网络。当用户需要访问外部网络时，防火墙会弹出对话框，提示用户输入账号和密码（账号密码由系统管理员事先提供）。完成在防火墙上的认证过程后，该用户的访问请求才可以通过防火墙到达外部网络，后续连接才能建立。当通过认证的用户没有任何操作的时间超过防火墙设定的值时，他的上网权限将被取消。也即在这段时间没有来自该用户的流量。如果以后该用户还要访问外网，则需要重新认证。这种认证方式称为会话认证。 防火墙提示用户的方式有两种，当用户访问web浏览器时，防火墙会通过web页面提示用户认证；当用户访问FTP服务器时，防火墙会通过FTP的交互方式提示用户输入账号密码进行认证。一旦认证通过，用户可以使用他所在domain域下的权限。 用户首次访问外网时必须采用HTTP或FTP方式，否则无法完成认证，用户流量将不能通过防火墙。 事前认证与会话认证的区别 事前认证与会话认证的区别如下： 事前认证是用户自发进行认证的方式； 会话认证是用户在发送访问外部网络的请求时，防火墙强行介入的一种认证方式。用户通过防火墙的认证以后才可以通过防火墙到达外部网络。 故障处理过程 本节介绍如下的内容。 典型组网环境 配置注意事项 故障诊断流程 故障处理步骤 典型组网环境 用户认证的典型组网如图10-1所示。用户认证的故障处理将基于该网络。 用户认证的组网图 在此组网中，PC1通过HTTP服务器进行会话认证，在进行会话认证之前，PC1只允许访问DMZ域的FTP服务器。如果认证通过，防火墙就会把PC1的IP地址添加到IP监控表里，并根据PC1所属的域的包过滤规则，对PC1授权。当PC1访问外网的FTP服务器Server2时，防火墙就会查看IP监控表，如果IP监控表中有PC1的IP地址，就根据PC1所属的域的包过滤规则通信。否则，根据默认包过滤规则通信。 配置注意事项 配置项 子项 注意事项 包过滤 域间包过滤 事前认证要打开用户所在安全区域与local区域的域间包过滤规则。 认证使能 触发认证策略配置 配置触发会话认证的ACL策略。 认证端口配置 设置各种认证服务器监听的端口号。 认证地址配置 设置认证上送的地址。 使能认证服务 检查服务运行状态，确保认证服务器处于运行状态。 认证域 帐号配置 在AAA视图下创建域帐号以及设置帐号的类型，并在域视图设置相应的域ID。 认证域配置 在域视图配置认证通过后的域间策略。 下面以会话认证的配置为例说明配