AC

認(rèn)

證SINFOR

TECHNOLOGIES

CO.,LTD.Page11、本機(jī)認(rèn)證2、第三方認(rèn)證3、批量添加用戶4、總

結(jié)1、本機(jī)認(rèn)證SINFOR

TECHNOLOGIES

CO.,LTD.Page2用戶帳號(hào)信息保存在AC本機(jī)，且檢驗(yàn)用戶信息在AC本機(jī)進(jìn)行稱為本機(jī)認(rèn)證。包括本機(jī)用戶名密碼認(rèn)證、綁定ip、綁定mac、同時(shí)綁定ip/mac和DKEY認(rèn)證。1.1、本機(jī)認(rèn)證用戶名和密碼認(rèn)證SINFOR

TECHNOLOGIES

CO.,LTD.Page3內(nèi)網(wǎng)用戶首次通過(guò)AC上網(wǎng)時(shí)，AC會(huì)檢驗(yàn)此電腦是否通過(guò)AC認(rèn)證，如果沒(méi)有則重定向彈出用戶名和密碼的認(rèn)證框，用戶輸入用戶名和密碼等帳號(hào)信息，驗(yàn)證通過(guò)后允許訪問(wèn)外網(wǎng)。從而保證了上網(wǎng)的安全性。1.1、本機(jī)認(rèn)證用戶名和密碼認(rèn)證（續(xù)）例：用戶hbz上網(wǎng)前采用用戶名和密碼認(rèn)證SINFOR

TECHNOLOGIES

CO.,LTD.Page41.1、本機(jī)認(rèn)證用戶名和密碼認(rèn)證(續(xù))采用微軟彈出框的方式提交用戶名和密碼（默認(rèn)方式）SINFOR

TECHNOLOGIES

CO.,LTD.Page51.1、本機(jī)認(rèn)證用戶名和密碼認(rèn)證(續(xù))SINFOR

TECHNOLOGIES

CO.,LTD.Page61.1、本機(jī)認(rèn)證用戶名和密碼認(rèn)證(續(xù))成功通過(guò)AC認(rèn)證的用戶在在線用戶列表顯示SINFOR

TECHNOLOGIES

CO.,LTD.Page7備注：基于這種通過(guò)瀏覽器提交用戶名和密碼進(jìn)行認(rèn)證的方式又稱為web認(rèn)證，包括后續(xù)介紹的第三方認(rèn)證。1.2、本機(jī)認(rèn)證同時(shí)綁定ip和macSINFOR

TECHNOLOGIES

CO.,LTD.Page8用戶上網(wǎng)前，AC會(huì)校驗(yàn)電腦的ip和mac地址與設(shè)備上綁定的ip和mac地址是否一致，如果一致則驗(yàn)證通過(guò)，允許訪問(wèn)外網(wǎng)，如果驗(yàn)證不通過(guò)，拒絕訪問(wèn)網(wǎng)絡(luò)。有效防止了內(nèi)網(wǎng)用戶亂改IP的問(wèn)題。一般適用于內(nèi)網(wǎng)IP統(tǒng)一規(guī)劃，不允許改IP的環(huán)境。1.2.1、本機(jī)認(rèn)證二層環(huán)境同時(shí)綁定ip和mac例：用戶hbz上網(wǎng)前采用ip/mac綁定認(rèn)證只綁定ip或只綁定mac認(rèn)證和同時(shí)綁定

ip/mac認(rèn)證類似，這里不單獨(dú)介紹。這些認(rèn)證可以與用戶名及密碼認(rèn)證結(jié)合使用，二者是“與”的關(guān)系。支持掃描mac地址SINFOR

TECHNOLOGIES

CO.,LTD.Page91.2.2、本機(jī)認(rèn)證跨三層同時(shí)綁定ip和macSINFOR

TECHNOLOGIES

CO.,LTD.Page10AC支持跨內(nèi)網(wǎng)有三層環(huán)境綁定電腦的IP，mac或ip/mac同時(shí)綁定認(rèn)證上網(wǎng)。三層環(huán)境

下綁定mac或同時(shí)綁定pc的ip和mac可以通準(zhǔn)入規(guī)則和snmp協(xié)議兩種方式實(shí)現(xiàn)。1.2.2、本機(jī)認(rèn)證跨三層同時(shí)綁定ip和mac（續(xù)）通過(guò)SNMP協(xié)議實(shí)現(xiàn)（重點(diǎn)掌握）AC通過(guò)snmp協(xié)議讀取三層交換機(jī)的mac表，以獲得內(nèi)網(wǎng)各電腦真實(shí)的mac地址，實(shí)現(xiàn)

ip/mac綁定及驗(yàn)證，支持只綁定mac地址或同時(shí)綁定ip/mac。AC

1.96及后續(xù)版本新增的功能，需要三層交換機(jī)開(kāi)啟snmp服務(wù)，AC支持的snmp版本為v2和v3版本。SINFOR

TECHNOLOGIES

CO.,LTD.Page11網(wǎng)關(guān)lan

ip:PCIP:10GW:54客戶需求：內(nèi)網(wǎng)電腦IP統(tǒng)一分配，不能隨意更改，更改后電腦上不了網(wǎng)。1.2.2、本機(jī)認(rèn)證跨三層同時(shí)綁定ip和mac（續(xù)）案例SINFOR

TECHNOLOGIES

CO.,LTD.Page12AC端配置第一步：?jiǎn)⒂眯掠脩粽J(rèn)證，選擇同時(shí)綁定IP/macSINFOR

TECHNOLOGIES

CO.,LTD.Page13SNMP服務(wù)器列表添寫(xiě)：三層交換機(jī)的IP地址/三層交換機(jī)的

MAC/SNMP的Oid/三層交換機(jī)的Communit，用/分隔第二步：設(shè)置snmp選項(xiàng)設(shè)置備注：Oid現(xiàn)在發(fā)現(xiàn)只有二個(gè)，..1.2和.2.1.2SINFOR

TECHNOLOGIES

CO.,LTD.Page14三層交換機(jī)上的配置三層交換機(jī)需要開(kāi)啟SNMP服務(wù)，以cisco和huawei為例：華為的命令：system_viewsnmp-agent

community

read

publicSINFOR

TECHNOLOGIES

CO.,LTD.Page15其中public為三層交換機(jī)的Communitsnmp-agent

sys-info

version

all

其中all表示所有版本思科的命令：config

terminal

進(jìn)入全局配置狀態(tài)Cdp

run

啟用CDPsnmp-server

community

public

ro

其中public為三層交換機(jī)的Communitsnmp-server

enable

traps

允許設(shè)備將所有類型SNMP

Trap發(fā)送出去通過(guò)AC認(rèn)證的用戶自動(dòng)添加到組織結(jié)構(gòu)通過(guò)AC認(rèn)證的用戶自動(dòng)添加到在線用戶列表SINFOR

TECHNOLOGIES

CO.,LTD.Page16通過(guò)準(zhǔn)入規(guī)則實(shí)現(xiàn)三層環(huán)境ip/mac綁定AC通過(guò)準(zhǔn)入實(shí)現(xiàn)三層環(huán)境下同時(shí)綁定客房端電腦的ip/mac地址。在AC上建立相關(guān)帳號(hào)并綁定電腦真實(shí)的ip和mac地址，在電腦上安裝準(zhǔn)入客戶端軟件，從而實(shí)現(xiàn)驗(yàn)證pc真實(shí)的ip和mac地址與AC上綁定的IP和mac地址是否一致，如果一致，則允許訪問(wèn)外網(wǎng)。SINFOR

TECHNOLOGIES

CO.,LTD.Page17第一步：在AC上建用戶，同時(shí)綁定PC的IP和macSINFOR

TECHNOLOGIES

CO.,LTD.Page18AC支持跨三層環(huán)境掃描mac地址，通過(guò)netbios協(xié)議實(shí)現(xiàn)。如果掃描不到，請(qǐng)確認(rèn)電腦的

netbios協(xié)議是否開(kāi)啟；電腦是否配有多IP；是否有防火墻阻止了設(shè)備和電腦間UDP

137端口通訊第二步：定義準(zhǔn)入規(guī)則三層綁定ip/mac（自定義規(guī)則）SINFOR

TECHNOLOGIES

CO.,LTD.Page19第三步：新增上網(wǎng)策略跨三層綁定ip/macSINFOR

TECHNOLOGIES

CO.,LTD.Page20第四步、將上網(wǎng)策略和用戶或組關(guān)聯(lián)SINFOR

TECHNOLOGIES

CO.,LTD.Page21此時(shí)用戶hbz如果改變IP，AC驗(yàn)證ip/mac綁定關(guān)系不通過(guò)，拒絕用戶hbz上網(wǎng)1、用戶名密碼認(rèn)證和ip/mac認(rèn)證的關(guān)系？SINFOR

TECHNOLOGIES

CO.,LTD.Page222、通過(guò)snmp協(xié)議解決三層環(huán)境綁定ip/mac與通過(guò)準(zhǔn)入解決三層環(huán)境的綁定ip/mac的區(qū)別？1.3、本機(jī)認(rèn)證DKEY認(rèn)證AC相關(guān)的DKEY有三種：認(rèn)證的DKEY和免審計(jì)的

DKEY和數(shù)據(jù)中心查詢Dkey。而用于上網(wǎng)認(rèn)證的dkey兩種：認(rèn)證Dkey和免審計(jì)Dkey。三種KEY不可能混用。SINFOR

TECHNOLOGIES

CO.,LTD.Page231.3.1、認(rèn)證KEYSINFOR

TECHNOLOGIES

CO.,LTD.Page24用戶上網(wǎng)前需向電腦的USB接口插入

KEY，驗(yàn)證通過(guò)后才可以上網(wǎng)，保證了認(rèn)證的安全性及使用的方便性，一般適用于外來(lái)用戶。1.3.1、認(rèn)證KEY(續(xù))SINFOR

TECHNOLOGIES

CO.,LTD.Page25例：用戶hbz上網(wǎng)前采用DKEY認(rèn)證生成DKEY前，先下載DKEY驅(qū)動(dòng)并安裝1.3.1、認(rèn)證KEY(續(xù))下載DKEY認(rèn)證客戶端，打開(kāi)IE。輸入http://gwip，彈出如下頁(yè)面下載DKEY認(rèn)證客戶端并安裝SINFOR

TECHNOLOGIES

CO.,LTD.Page261.3.2、免審計(jì)KEY某些高層領(lǐng)導(dǎo)上網(wǎng)時(shí)，希望自己的行為不被AC監(jiān)控，可以建議其使用免監(jiān)控DKEY，使用免監(jiān)控KEY上網(wǎng)，不會(huì)記錄網(wǎng)絡(luò)行為，一般適應(yīng)BOSS生成免審計(jì)KEY只需在下圖選擇“啟用DKEY防監(jiān)控”即可，其它的設(shè)置及使用方法和認(rèn)證

KEY的一樣SINFOR

TECHNOLOGIES

CO.,LTD.Page271.3.3、數(shù)據(jù)中心KEYSINFOR

TECHNOLOGIES

CO.,LTD.Page28為了保證審計(jì)日志的安全，只有擁有key的管理員才可以進(jìn)數(shù)據(jù)中心查詢?nèi)罩荆瑹o(wú)key的管理員只能查詢報(bào)表，系統(tǒng)設(shè)置等權(quán)限，無(wú)具體日志查詢權(quán)限。1.3.3、數(shù)據(jù)中心KEY（續(xù)）數(shù)據(jù)中心key功能默認(rèn)不可用，需要通過(guò)多功能序列號(hào)激活。例如：控制臺(tái)用戶admin需要啟用數(shù)據(jù)中心Dkey檢查，以實(shí)現(xiàn)用key登陸AC時(shí)可以進(jìn)行日志查詢，無(wú)key登陸時(shí)無(wú)具體日志查詢權(quán)限。SINFOR

TECHNOLOGIES

CO.,LTD.Page29第一步：激活數(shù)據(jù)中心DKEY檢查第二步：編輯admin帳戶，啟用DKEY檢查功能。生成DKEY前先下載DKEY驅(qū)動(dòng)并安裝SINFOR

TECHNOLOGIES

CO.,LTD.Page30第三步：使用數(shù)據(jù)中心查詢DKEY以用戶名密碼登陸數(shù)據(jù)中心以DKEY登陸數(shù)據(jù)中心SINFOR

TECHNOLOGIES

CO.,LTD.Page31使用DKEY登陸數(shù)據(jù)中心效果圖使用

admin登陸數(shù)據(jù)中心效果圖SINFOR

TECHNOLOGIES

CO.,LTD.Page32注意1、認(rèn)證key，免審計(jì)key和數(shù)據(jù)中心KEY查詢不能混用。2、外置數(shù)據(jù)中心也支持?jǐn)?shù)據(jù)中心KEY查詢功能，但需要內(nèi)置數(shù)據(jù)中心激活，外置數(shù)據(jù)中心和內(nèi)置數(shù)據(jù)中心同樣不能使用同一個(gè)數(shù)據(jù)中心查詢KEY。SINFOR

TECHNOLOGIES

CO.,LTD.Page332、第三方認(rèn)證SINFOR

TECHNOLOGIES

CO.,LTD.Page34用戶信息保存在第三方服器（ldap，Radius，pop3,proxy）且檢驗(yàn)用戶信息在第三方服務(wù)器進(jìn)行稱為第三方認(rèn)證。第三方認(rèn)證包括ldap認(rèn)證，radius認(rèn)證，pop3認(rèn)證和proxy。其中l(wèi)dap、pop3和Proxy認(rèn)證支持單點(diǎn)登陸。2.1、第三方認(rèn)證數(shù)據(jù)流第三方服務(wù)器PC①③SINFOR

TECHNOLOGIES

CO.,LTD.Page35②第三方服務(wù)器在內(nèi)網(wǎng)①PC提交用戶名和密碼②AC將用戶名和密碼提交到第三方服務(wù)器驗(yàn)證③第三方服務(wù)器返回驗(yàn)證信息給AC2.1、第三方認(rèn)證數(shù)據(jù)流(續(xù))第三方服務(wù)器在外網(wǎng)②③第三方服務(wù)器SINFOR

TECHNOLOGIES

CO.,LTD.Page36①PC①PC提交用戶名和密碼③第三方服務(wù)器返回驗(yàn)證信息給AC②AC將用戶名和密碼提交到第三方服務(wù)器驗(yàn)證2.2、第三方認(rèn)證LDAP認(rèn)證SINFOR

TECHNOLOGIES

CO.,LTD.Page37AC設(shè)備支持LDAP第三方認(rèn)證，一般用于客戶網(wǎng)絡(luò)中已部署ldap服務(wù)器，AC結(jié)合LDAP服務(wù)器認(rèn)證，方便管理。其中支持的LDAP有MS

LDAP，SUN

LDAP和OPENLDAP2.2、第三方認(rèn)證LDAP認(rèn)證（續(xù)）SINFOR

TECHNOLOGIES

CO.,LTD.Page38填寫(xiě)管理的帳號(hào)，帳號(hào)格式為：

administrator@2.2、第三方認(rèn)證LDAP認(rèn)證（續(xù)）填寫(xiě)ldap用戶四種認(rèn)證方式之間是“或”的關(guān)系，從上到下依次匹配，可以和ip/mac認(rèn)證結(jié)合。設(shè)置帳號(hào)屬性及過(guò)期時(shí)間，如果是私有帳號(hào)，同時(shí)只能允許一個(gè)人登陸SINFOR

TECHNOLOGIES

CO.,LTD.Page39上網(wǎng)時(shí)IE會(huì)彈出對(duì)話框要求身份認(rèn)證，輸入域用戶hbz。2.2、第三方認(rèn)證LDAP認(rèn)證（續(xù)）通過(guò)AC認(rèn)證的用戶在這里顯示SINFOR

TECHNOLOGIES

CO.,LTD.Page402.2、第三方認(rèn)證Radius認(rèn)證SINFOR

TECHNOLOGIES

CO.,LTD.Page41AC設(shè)備支持Radius第三方認(rèn)證，用戶信息存放在Radius服務(wù)器上，用戶上網(wǎng)時(shí)提交Radius服務(wù)器上的用戶信息，經(jīng)Radius服務(wù)器驗(yàn)證后，發(fā)送驗(yàn)證信息給AC，如果驗(yàn)證成功，允許此用戶上網(wǎng)。一般用于客戶網(wǎng)絡(luò)中已部署Radius服務(wù)器，AC結(jié)合

Radius服務(wù)器認(rèn)證，方便管理。適用服務(wù)器在內(nèi)網(wǎng)和外網(wǎng)情況。2.2、第三方認(rèn)證Radius認(rèn)證(續(xù))SINFOR

TECHNOLOGIES

CO.,LTD.Page42填寫(xiě)Radius服務(wù)器IP、端口、共享密鑰及協(xié)議2.2、第三方認(rèn)證Radius認(rèn)證(續(xù))填寫(xiě)Radius服務(wù)器上的用戶SINFOR

TECHNOLOGIES

CO.,LTD.Page432.2、第三方認(rèn)證Radius認(rèn)證(續(xù))上網(wǎng)時(shí)IE會(huì)彈出對(duì)話框要求身份認(rèn)證，輸入Radius服務(wù)器上的用戶hbz。通過(guò)AC認(rèn)證的用戶在這里顯示SINFOR

TECHNOLOGIES

CO.,LTD.Page443、批量添加新用戶SINFOR

TECHNOLOGIES

CO.,LTD.Page45一般情況下，客戶內(nèi)網(wǎng)用戶很多，如果采用前面介紹的逐個(gè)新增用戶方式來(lái)添加用戶不太現(xiàn)實(shí)，AC提供三種批量添加用戶的方式：新用戶認(rèn)證（自動(dòng)添加新用戶），用戶導(dǎo)入和AD域同步。3.1、認(rèn)證選項(xiàng)設(shè)置新用戶認(rèn)證AC以IP地址和mac地址來(lái)標(biāo)識(shí)用戶，當(dāng)一終端

用戶user1試圖通過(guò)AC上網(wǎng)時(shí)（假設(shè)沒(méi)有通過(guò)AC認(rèn)證），AC會(huì)根據(jù)該用戶上網(wǎng)數(shù)據(jù)包的源IP和源mac地址檢測(cè)AC組織結(jié)構(gòu)中是否有用戶綁定此IP或mac，如果有符合條件的用戶，則終端用戶user1以相關(guān)用戶的身份上網(wǎng)，如果沒(méi)有符合條件的用戶，則匹配下面的新用戶認(rèn)證策略。SINFOR

TECHNOLOGIES

CO.,LTD.Page463.1、認(rèn)證選項(xiàng)設(shè)置新用戶認(rèn)證（續(xù)）新用戶認(rèn)證四種處理方式新用戶認(rèn)證支持根據(jù)不同的IP段采用不同的認(rèn)證方式并自動(dòng)添加到各個(gè)組，以方便匹配各自的策略。SINFOR

TECHNOLOGIES

CO.,LTD.Page473.1、認(rèn)證選項(xiàng)設(shè)置(續(xù))SINFOR

TECHNOLOGIES

CO.,LTD.Page48認(rèn)證成功后直接跳轉(zhuǎn)指定頁(yè)面，可以設(shè)置跳轉(zhuǎn)至公告頁(yè)面。私有帳號(hào)認(rèn)證沖突時(shí)的處理方式設(shè)置用戶無(wú)流量自動(dòng)注銷時(shí)間及未通過(guò)認(rèn)證的用戶具有的權(quán)限。3.2、用戶導(dǎo)入支持掃描單個(gè)IP，IP范圍和子網(wǎng)AC支持通過(guò)掃描內(nèi)網(wǎng)計(jì)算機(jī)和從域服務(wù)器中導(dǎo)入