实验拓扑
图 1-1
实验需求
- 深圳总部技术部员工 PC 属于
172.172.4.0/24网段,要求上网不需要验证,但需要绑定 IP 和 MAC 地址,便于做行为审计,更换 MAC 地址不允许上网 - 长沙分公司员工 PC 上网验证方式为用户名和密码验证
实验解法
在深圳总部 AC 上创建技术部的用户组
步骤 1:登录 AC,点击用户认证与管理-组 / 用户,再点击新增-组,如图 1-2 所示
图 1-2
步骤 2:在创建用户组界面中填入用户组名称,点击提交,如图 1-3 所示
图 1-3创建用户认证策略,设置不验证,绑定到
172.172.4.0/24网段
步骤 1:点击用户认证与管理-认证策略,点击新增,如图 1-4 所示
图 1-4
步骤 2:设置认证范围为172.172.4.0/24网段,如图 1-5 所示
图 1-5
步骤 3:切换到认证方式,设置为不需要认证,并选择以 MAC 地址作为用户名,如图 1-6 所示
图 1-6
步骤 4:切换到认证后处理,选择用户上线后自动加入到技术部,并自动录入组织结构关系和 IP 与 MAC 地址绑定关系,如图 1-7 所示
图 1-7配置 AC 跨三层取 MAC 地址
分析:由于 AC 与员工 PC 不在同一网段,无法通过 ARP 协议来获取员工 PC 的 MAC 地址,所以需要配置 AC 跨三层取 MAC
深信服 AC 通过 SNMP 协议读取员工 PC 网关设备的 ARP 缓存表来获得员工 PC 真实 MAC 地址。所以需要去 AF 设备上开启并配置 SNMP 协议,AC 才能成功获取到正确的 MAC 地址
步骤 1:登录 AF,点击网络配置-高级网络配置,点击SNMP,勾选开启 SNMP,如图 1-8 所示
图 1-8
步骤 2:点击新增,配置允许读取 SNMP 信息的 IP 地址为 AC,并配置团体名,如图 1-9 所示
图 1-9
步骤 3:点击网络配置-接口 / 区域,选择 AF 连接 AC 的区域(此环境中为互联网区),勾选SNMP,允许该区域的设备使用 SNMP 协议管理本设备,如图 1-10 所示
图 1-10
步骤 4:登录 AC,点击用户认证与管理-认证高级选项,点击跨三层取 MAC,勾选开启跨三层 MAC 识别,如图 1-11 所示
图 1-11
步骤 5:点击新增,填入 AF 的 IP 地址,和之前在 AF 中配置的团体名,然后点击查看服务器信息,如果配置正确,将能够查询到 AF 上的 ARP 缓存信息,如图 1-12 所示
图 1-12
步骤 6:点击实时状态-在线用户管理,查看当前上网的 PC,发现识别 PC 的 MAC 地址并不是 PC 真实 MAC 地址,仍然为 AF 的 MAC 地址,如图 1-13 所示
图 1-13
步骤 7:复制该 MAC 地址,再次回到跨三层取 MAC 的配置页面,粘贴在MAC 地址排除列表中,并提交,如图 1-14 所示
图 1-14
效果测试:再次回到在线用户管理,发现 AC 已经获取到了 PC 的真实 MAC 地址,并成功录入了该 IP 和 MAC 地址的绑定关系,如图 1-15,1-16 所示
图 1-15
图 1-16
效果测试:此时,该 PC 若更换 IP 地址,将导致与绑定关系不匹配而无法上网在长沙分公司的 AC 上配置员工 PC 上网需要使用用户名和密码验证
步骤 1:登录长沙分公司的 AC,创建员工用户组,步骤略
步骤 2:在员工用户组中创建用户,并配置密码,如图 1-17 所示
图 1-17
步骤 2:创建认证策略,认证范围填入172.172.10.0/24网段,如图 1-18 所示
图 1-18
步骤 3:选择认证方式为密码认证,如图 1-19 所示
图 1-19
步骤 4:选择上线后,自动录入关系到员工用户组,并提交,如图 1-20 所示
图 1-20
效果测试:在长沙分公司的 PC 上使用浏览器访问互联网,会跳转到用户认证页面,填入正确的用户名和密码后,将自动跳转到之前访问的页面,如图 1-21 所示
图 1-21补充配置
基于 AC 身份认证的原理,需要在终端未通过认证前放通 DNS 流量,才能触发用户名和密码认证的重定向页面;而且如果用户触发认证页面是使用的访问 HTTPS 站点的形式,还需要勾选HTTPS 请求未通过认证时,重定向到认证页面,如图 1-22 所示
图 1-22
http://www.dengfm.com/15290642538543.html
若有收获,就点个赞吧
0 人点赞
