4

AC 用户身份验证实验

 3 years ago
source link: http://www.dengfm.com/15290642538543.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

AC 用户身份验证实验

15302350218838.jpg
图 1-1
  1. 深圳总部技术部员工 PC 属于 172.172.4.0/24 网段,要求上网不需要验证,但需要绑定 IP 和 MAC 地址,便于做行为审计,更换 MAC 地址不允许上网
  2. 长沙分公司员工 PC 上网验证方式为用户名和密码验证

  1. 在深圳总部 AC 上创建技术部的用户组

    步骤 1:登录 AC,点击 用户认证与管理-组/用户,再点击 新增-,如图 1-2 所示

    15300671785556.jpg
    图 1-2

    步骤 2:在创建用户组界面中填入用户组名称,点击 提交,如图 1-3 所示

    15300672744121.jpg
    图 1-3

  2. 创建用户认证策略,设置不验证,绑定到 172.172.4.0/24 网段

    步骤 1:点击 用户认证与管理-认证策略,点击 新增,如图 1-4 所示

    15300674125843.jpg
    图 1-4

    步骤 2:设置认证范围为 172.172.4.0/24 网段,如图 1-5 所示

    15300675046004.jpg
    图 1-5

    步骤 3:切换到认证方式,设置为 不需要认证,并选择 以 MAC 地址作为用户名,如图 1-6 所示

    15300676018575.jpg
    图 1-6

    步骤 4:切换到认证后处理,选择用户上线后自动加入到 技术部,并自动录入组织结构关系和 IP 与 MAC 地址绑定关系,如图 1-7 所示

    15300677544438.jpg
    图 1-7

  3. 配置 AC 跨三层取 MAC 地址

      分析:由于 AC 与员工 PC 不在同一网段,无法通过 ARP 协议来获取员工 PC 的 MAC 地址,所以需要配置 AC 跨三层取 MAC
      深信服 AC 通过 SNMP 协议读取员工 PC 网关设备的 ARP 缓存表来获得员工 PC 真实 MAC 地址。所以需要去 AF 设备上开启并配置 SNMP 协议,AC 才能成功获取到正确的 MAC 地址

    步骤 1:登录 AF,点击 网络配置-高级网络配置,点击 SNMP,勾选 开启 SNMP,如图 1-8 所示

    15300685095649.jpg
    图 1-8

    步骤 2:点击 新增,配置允许读取 SNMP 信息的 IP 地址为 AC,并配置团体名,如图 1-9 所示

    15300686469099.jpg
    图 1-9

    步骤 3:点击 网络配置-接口/区域,选择 AF 连接 AC 的区域(此环境中为互联网区),勾选 SNMP,允许该区域的设备使用 SNMP 协议管理本设备,如图 1-10 所示

    15300688981890.jpg
    图 1-10

    步骤 4:登录 AC,点击 用户认证与管理-认证高级选项,点击 跨三层取 MAC,勾选 开启跨三层 MAC 识别,如图 1-11 所示

    15300690748172.jpg
    图 1-11

    步骤 5:点击 新增,填入 AF 的 IP 地址,和之前在 AF 中配置的团体名,然后点击 查看服务器信息,如果配置正确,将能够查询到 AF 上的 ARP 缓存信息,如图 1-12 所示

    15300693958362.jpg
    图 1-12

    步骤 6:点击 实时状态-在线用户管理,查看当前上网的 PC,发现识别 PC 的 MAC 地址并不是 PC 真实 MAC 地址,仍然为 AF 的 MAC 地址,如图 1-13 所示

    15300719022204.jpg
    图 1-13

    步骤 7:复制该 MAC 地址,再次回到跨三层取 MAC 的配置页面,粘贴在 MAC 地址排除列表 中,并提交,如图 1-14 所示

    15300720276431.jpg
    图 1-14

    效果测试:再次回到 在线用户管理,发现 AC 已经获取到了 PC 的真实 MAC 地址,并成功录入了该 IP 和 MAC 地址的绑定关系,如图 1-15,1-16 所示

    15300722456892.jpg
    图 1-15

    15300722823610.jpg
    图 1-16

    效果测试:此时,该 PC 若更换 IP 地址,将导致与绑定关系不匹配而无法上网

  4. 在长沙分公司的 AC 上配置员工 PC 上网需要使用用户名和密码验证

    步骤 1:登录长沙分公司的 AC,创建员工用户组,步骤略

    步骤 2:在员工用户组中创建用户,并配置密码,如图 1-17 所示

    15300738648748.jpg
    图 1-17

    步骤 2:创建认证策略,认证范围填入 172.172.10.0/24 网段,如图 1-18 所示

    15300726761220.jpg
    图 1-18

    步骤 3:选择认证方式为 密码认证,如图 1-19 所示

    15300736259921.jpg
    图 1-19

    步骤 4:选择上线后,自动录入关系到员工用户组,并提交,如图 1-20 所示

    15300737634569.jpg
    图 1-20

    效果测试:在长沙分公司的 PC 上使用浏览器访问互联网,会跳转到用户认证页面,填入正确的用户名和密码后,将自动跳转到之前访问的页面,如图 1-21 所示

    15300740336433.jpg
    图 1-21

  5. 补充配置

      基于 AC 身份认证的原理,需要在终端未通过认证前放通 DNS 流量,才能触发用户名和密码认证的重定向页面;而且如果用户触发认证页面是使用的访问 HTTPS 站点的形式,还需要勾选 HTTPS 请求未通过认证时,重定向到认证页面,如图 1-22 所示

    15300743541064.jpg
    图 1-22

report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK