6509 web proxy authentication

 
經過幾天的努力測試終於在6509上成功應用web proxy authentication

首先:在6509上作web proxy時只支持在二層物理接口，三層物理接口，port-chanel口上作。在三層vlan接口上作不可以從ACS上download策略因此應用不成功

其次web proxy authentication 只能應用在上網流量進入交換機的接口上

第三點配置 ip tacase soure-interface Vlan2
在配置ACS network configuration 的時候 client 接口地址配置爲與ACS服務器直接相連的網關地址

配置web proxy 認證時有兩種配置
第一種：
access-list 1 permit *.*.*.* *.*.*.*        /定義容許經過web 代理認證的流量
Ip auth-proxy name NAME http list 1
inter gi */*
ip auth-proxy NAME
第二種：
ip admission name NAME http
inter gi */*
ip admission NAME

在配置web proxy認證的時候在接口上都須要配置默認的acl
access-list 101 permit tcp any any eq tacase
access-list 101 deny ip any any
inter gi */*
ip access-group 101 in 
經過上面這種方式配置的web-proxy 必須在瀏覽器中輸入ip地址以後纔可以進行認證，緣由在與dns ip地址也被阻止了

經過優化acl
access-list 101 permit tcp any any eq tacase
access-list 101 permit ip any host  61.139.2.69
access-list 101 deny ip *.*.*.* *.*.*.* any /具體到某個網段，這樣方便控制
access-list 101 perimt ip any any
inter gi */*
ip access-list 101 in

在acl配置的下放策略中以下配置


這樣作成功以後
能夠經過show Ip access-list 101 查看acs下放到接口的acl

詳細配置就是：

 

aaa new-model

aaa authentication login default group tacacs+

aaa authentication login CONSOLE none

aaa authorization auth-proxy default group tacacs+ 

ip device tracking

ip http server

tacacs-server host *.*.*.* key cisco

ip tacacs source-interface Vlan700 /ac服務器所在的vlan接口，也能夠是普通接口

 

ip admission proxy http success redirect http://www.cisco.com /認證成功後設置自動跳轉的網頁

ip admission name webauth proxy http inactivity-time 60

 

 

access-list 101 permit tcp any any eq tacacs

access-list 101 permit ip any host 61.139.2.69 /電信dns地址

access-list 101 deny   ip host 172.30.38.12 any

access-list 101 permit ip any any

inter gi */*

ip address *.*.*.* *.*.*.*

ip admission webauth

ip access-group 101 in

配置完成