实验拓扑

AC 用户身份验证实验 - 图1

图 1-1

实验需求

  1. 深圳总部技术部员工 PC 属于 172.172.4.0/24 网段,要求上网不需要验证,但需要绑定 IP 和 MAC 地址,便于做行为审计,更换 MAC 地址不允许上网
  2. 长沙分公司员工 PC 上网验证方式为用户名和密码验证

实验解法

  1. 在深圳总部 AC 上创建技术部的用户组
    步骤 1:登录 AC,点击 用户认证与管理-组 / 用户,再点击 新增-,如图 1-2 所示
    AC 用户身份验证实验 - 图2
    图 1-2
    步骤 2:在创建用户组界面中填入用户组名称,点击 提交,如图 1-3 所示
    AC 用户身份验证实验 - 图3
    图 1-3

  2. 创建用户认证策略,设置不验证,绑定到 172.172.4.0/24 网段
    步骤 1:点击 用户认证与管理-认证策略,点击 新增,如图 1-4 所示
    AC 用户身份验证实验 - 图4
    图 1-4
    步骤 2:设置认证范围为 172.172.4.0/24 网段,如图 1-5 所示
    AC 用户身份验证实验 - 图5
    图 1-5
    步骤 3:切换到认证方式,设置为 不需要认证,并选择 以 MAC 地址作为用户名,如图 1-6 所示
    AC 用户身份验证实验 - 图6
    图 1-6
    步骤 4:切换到认证后处理,选择用户上线后自动加入到 技术部,并自动录入组织结构关系和 IP 与 MAC 地址绑定关系,如图 1-7 所示
    AC 用户身份验证实验 - 图7
    图 1-7

  3. 配置 AC 跨三层取 MAC 地址
    分析:由于 AC 与员工 PC 不在同一网段,无法通过 ARP 协议来获取员工 PC 的 MAC 地址,所以需要配置 AC 跨三层取 MAC
      深信服 AC 通过 SNMP 协议读取员工 PC 网关设备的 ARP 缓存表来获得员工 PC 真实 MAC 地址。所以需要去 AF 设备上开启并配置 SNMP 协议,AC 才能成功获取到正确的 MAC 地址

    步骤 1:登录 AF,点击 网络配置-高级网络配置,点击 SNMP,勾选 开启 SNMP,如图 1-8 所示
    AC 用户身份验证实验 - 图8
    图 1-8
    步骤 2:点击 新增,配置允许读取 SNMP 信息的 IP 地址为 AC,并配置团体名,如图 1-9 所示
    AC 用户身份验证实验 - 图9
    图 1-9
    步骤 3:点击 网络配置-接口 / 区域,选择 AF 连接 AC 的区域(此环境中为互联网区),勾选 SNMP,允许该区域的设备使用 SNMP 协议管理本设备,如图 1-10 所示
    AC 用户身份验证实验 - 图10
    图 1-10
    步骤 4:登录 AC,点击 用户认证与管理-认证高级选项,点击 跨三层取 MAC,勾选 开启跨三层 MAC 识别,如图 1-11 所示
    AC 用户身份验证实验 - 图11
    图 1-11
    步骤 5:点击 新增,填入 AF 的 IP 地址,和之前在 AF 中配置的团体名,然后点击 查看服务器信息,如果配置正确,将能够查询到 AF 上的 ARP 缓存信息,如图 1-12 所示
    AC 用户身份验证实验 - 图12
    图 1-12
    步骤 6:点击 实时状态-在线用户管理,查看当前上网的 PC,发现识别 PC 的 MAC 地址并不是 PC 真实 MAC 地址,仍然为 AF 的 MAC 地址,如图 1-13 所示
    AC 用户身份验证实验 - 图13
    图 1-13
    步骤 7:复制该 MAC 地址,再次回到跨三层取 MAC 的配置页面,粘贴在 MAC 地址排除列表 中,并提交,如图 1-14 所示
    AC 用户身份验证实验 - 图14
    图 1-14
    效果测试:再次回到 在线用户管理,发现 AC 已经获取到了 PC 的真实 MAC 地址,并成功录入了该 IP 和 MAC 地址的绑定关系,如图 1-15,1-16 所示
    AC 用户身份验证实验 - 图15
    图 1-15
    AC 用户身份验证实验 - 图16
    图 1-16
    效果测试:此时,该 PC 若更换 IP 地址,将导致与绑定关系不匹配而无法上网

  4. 在长沙分公司的 AC 上配置员工 PC 上网需要使用用户名和密码验证
    步骤 1:登录长沙分公司的 AC,创建员工用户组,步骤略
    步骤 2:在员工用户组中创建用户,并配置密码,如图 1-17 所示
    AC 用户身份验证实验 - 图17
    图 1-17
    步骤 2:创建认证策略,认证范围填入 172.172.10.0/24 网段,如图 1-18 所示
    AC 用户身份验证实验 - 图18
    图 1-18
    步骤 3:选择认证方式为 密码认证,如图 1-19 所示
    AC 用户身份验证实验 - 图19
    图 1-19
    步骤 4:选择上线后,自动录入关系到员工用户组,并提交,如图 1-20 所示
    AC 用户身份验证实验 - 图20
    图 1-20
    效果测试:在长沙分公司的 PC 上使用浏览器访问互联网,会跳转到用户认证页面,填入正确的用户名和密码后,将自动跳转到之前访问的页面,如图 1-21 所示
    AC 用户身份验证实验 - 图21
    图 1-21

  5. 补充配置
    基于 AC 身份认证的原理,需要在终端未通过认证前放通 DNS 流量,才能触发用户名和密码认证的重定向页面;而且如果用户触发认证页面是使用的访问 HTTPS 站点的形式,还需要勾选 HTTPS 请求未通过认证时,重定向到认证页面,如图 1-22 所示
    AC 用户身份验证实验 - 图22
    图 1-22
    http://www.dengfm.com/15290642538543.html