通過幾天的努力測試終於在6509上成功應用web proxy authentication
首先:在6509上做web proxy時只支持在二層物理接口,三層物理接口,port-chanel口上做。在三層vlan接口上做不能夠從ACS上download策略所以應用不成功
其次web proxy authentication 只能應用在上網流量進入交換機的接口上
第三點配置 ip tacase soure-interface Vlan2
在配置ACS network configuration 的時候 client 接口地址配置爲與ACS服務器直接相連的網關地址
配置web proxy 認證時有兩種配置
第一種:
access-list 1 permit *.*.*.* *.*.*.* /定義允許通過web 代理認證的流量
Ip auth-proxy name NAME http list 1
inter gi */*
ip auth-proxy NAME
第二種:
ip admission name NAME http
inter gi */*
ip admission NAME
在配置web proxy認證的時候在接口上都需要配置默認的acl
access-list 101 permit tcp any any eq tacase
access-list 101 deny ip any any
inter gi */*
ip access-group 101 in
通過上面這種方式配置的web-proxy 必須在瀏覽器中輸入ip地址之後才能夠進行認證,原因在與dns ip地址也被阻止了
通過優化acl
access-list 101 permit tcp any any eq tacase
access-list 101 permit ip any host 61.139.2.69
access-list 101 deny ip *.*.*.* *.*.*.* any /具體到某個網段,這樣方便控制
access-list 101 perimt ip any any
inter gi */*
ip access-list 101 in
在acl配置的下放策略中如下配置
這樣做成功之後
可以通過show Ip access-list 101 查看acs下放到接口的acl
詳細配置就是:
aaa new-model
aaa authentication login default group tacacs+
aaa authentication login CONSOLE none
aaa authorization auth-proxy default group tacacs+
ip device tracking
ip http server
tacacs-server host *.*.*.* key cisco
ip tacacs source-interface Vlan700 /ac服務器所在的vlan接口,也可以是普通接口
ip admission proxy http success redirect http://www.cisco.com /認證成功後設置自動跳轉的網頁
ip admission name webauth proxy http inactivity-time 60
access-list 101 permit tcp any any eq tacacs
access-list 101 permit ip any host 61.139.2.69 /電信dns地址
access-list 101 deny ip host 172.30.38.12 any
access-list 101 permit ip any any
inter gi */*
ip address *.*.*.* *.*.*.*
ip admission webauth
ip access-group 101 in
配置完成