任意 第二天
2016-09-26 11:36:39 0 举报AI智能生成
任意AC组第二天
作者其他创作
大纲/内容
安装部署
路由模式
网桥模式
1、网口配置(一边接口断开,另一边也自动断开)2、配置网桥IP地址3、管理口地址4、配置网关地址5、配置静态路由(回包路由)6、检测防火墙规则
接口接反,内网里面全是公网地址,不影响上网。AC功能就不能生效
旁路模式
主要应用于审计,基于TCP的应用过滤,接在交换机镜像口上。用管理口进行管理
1、选择管理口配置地址2、设置监听口,设置监听网段
单臂模式
只适用于SG产品,客户需要代理,又不希望影响网络中的其他设备部署或代替原有代理服务器,考虑单臂路由
1、选择网口,配置地址网关2、配置管理口
代理策略可以设置哪些使用哪些不能使用代理。在PC设置代理服务器
最多支持32对外网线路,32对网桥
防火墙
防火墙基本功能介绍
防火墙规则是控制设备各个网口转发数据的开关,规则可基于IP和端口。
NAT代理上网,用来设置对数据包源IP地址进行地址转换的规则。即snat
端口映射即DNAT,用来设置对数据包的目标IP进行转换
基础认证
认证方式介绍
认证功能主要对经过AC设备上网的用户进行身份的验证。通过认证功能可识别内网上网用户身份,为后续的流量管理,用户上网权限策略及应用审计提供基础
认证方式
不需要认证
设备根据数据包源IP地址,VLANID,源MAC地址,上网PC计算机名表标识用户
终端用户认证感知不到AC存在,用于对认证要求不严格的场景
AC绑定IP和MAC,需要获取正式IP和MAC地址,上网数据流是经过核心交换机转到AC,所以数据包的源MAC是核心交换机MAC,用户无法从核心交换机流量中获取终端正式MAC,AC需要通过SNMP从核心交换机获取到终端的MAC。核心需要开启SNMP
认证高级选项-跨三层取MAC,MAC地址排除列表排除核心交换机MAC
密码认证
用户首次通过AC上网时,AC要求用户提交用户名密码信息,如果和AC本地(或第三方服务器)一致,则给予认证通过
一般用于对认证要求严格,希望上网日志记录具体的账号,或希望和客户现有的第三方服务器认证结合场景
在实际情况中,密码认证的账号很多,手动创建麻烦,采用吧密码认证账号做成CSV表格,一次性导入设备
认证选项:未认证或冻结时允许访问DNS服务器
可以采用密码认证,认证过程加密。客户使用紫的的域名,希望认证页面是自己的域名。在认证选项里面勾选“采用SSL加密方式提交用户名和密码”
勾选将未通过的认证的https请求,重定向到认证页面
认证方式,高级选项中显示免责申明:在认证前弹出提醒页面
DKEY认证
绿色的认证KEY,提供给来宾使用,方便来宾用户上网。紫色是特权KEY,可以支持免控制或免审计
下载DKEY客户端,新增用户,
用户装完DKEY客户端,电脑USB插入KEY,并输入密码
单点认证
密码认证安全性
设置密码强度,密码强度仅对私有用户在客户端修改密码有效,管理员在控制台修改不受限制 在认证选项-用户密码强度,设置规则
强制用户初次认证修改密码
应用背景:用户批量导入或者大量加入,初始密码一致,这样不安全,希望用户首次认证,自行修改密码
注意:仅对设备本地密码认证的用户有效,用户认证后自动跳转到修改密码窗口,若不修改无法上网
添加用户时,在用户策略管理-用户管理-组/用户-新增-勾选初次认证修改密码 导入用户时,勾选初次认证修改密码
修改密码成功后,不会跳转到之前的网页 修改密码生效可能有30秒延迟,建议在30秒内不要注销或重新登入
用户注销
AC网关控制台注销用户:在线用户列表强制注销,(不许需要认证用户,DKEY用户,临时用户不能被注销),(管理员通过此处注销在线用户,使用较少)
无流量注销:适用于所有认证类型用户,且对下线实时要求不高的用户,默认是这种注销方式。用户认证与管理-认证选项-勾选自动注销无流量用户
密码认证用户:关闭注销窗口即下线,只适用于密码认证用户,且用户要求实时注销,即关机就注销 添加用户里面有个高级属性-勾选密码认证成功后弹出注销窗口
客户端手动注销认证:通过输入http://ACIP打开认证和注销的页面,手动注销,只适用于密码认证和单点登入额用户。
定时强制注销所有在线用户:适用于所有认证类型用户。用户认证与管理-认证选项-勾选每天强制注销所有在线用户
0 条评论
下一页
