任意 第五天
2016-09-29 12:51:41 0 举报AI智能生成
任意 第五天
作者其他创作
大纲/内容
安装部署
主备模式部署
主备模式是指路由模式部署的两台设备通过心跳检测,实现热备份(保持心跳和配置同步)。正常情况下,只有主设备工作,如果主设备故障,则自动切换到备设备,备设备接替主设备工作。从而保证客户的业务不受影响,网络不中断。 主备模式只有一台主设备处于正常工作状态,另一台备设备处于监听状态。
适用环境:对网络稳定性要求较高的客户环境。要求两台设备路由模式部署。
配置:网络配置-高可用性-主备模式
主机配置:1、抢占为主机:指的是当主机切换为备机后,当备机恢复正常后是否会主动切换为主机,开启则会切换。2、指定HA口:用来同步配置。可以使用DMZ口或其他未配置区域的网口。3、检测网口:被检测的网口只要发生故障就会发生主备切换。4、告警选项:手动更改模式也会触发告警。
备机配置:配置主机IP地址和秘钥
部署完成后,主机正常工作,可以在高可用性中看到主机状态,可以看到最近切换的时间,以及同步配置的时间,只有主机状态才可以手动切换到备机。
注意事项:
主备模式部署的两台设备,软件版本要求一致,软件版本一致是指两台AC设备的版本信息中内容,除SP补丁外,其余信息一致即可。
硬件版本不做要求,但是建议选择负载相近,型号相近的设备。
主备部署的两台设备配置自动实时同步,完全一样。 只能2台设备部署为主备模式,2台以上不支持部署主备模式。 只有路由模式可以部署主备模式,网桥模式不支持部署主备模式。
主备模式的两台设备通过普通网线作为心跳线,通过HA口发送心跳包,主备模式下,可以使用DMZ口或其他未配置区域的网口。 HA灯状态,主机设备亮绿灯,备机状态灯闪。
主备模式下,只有主机可以加入集中管理。备机不能加入。如果主机挂了,备机变成主机,此时备机也可以加入SC。
主主模式部署
主主模式部署由多台AC设备通过通信网口同步配置。主主模式部署的设备同时工作,主控设备将配置同步到所有节点,主控与各节点之间相互同步会话信息。当主控故障,将无法更改设备配置。
配置:网络配置-高可用性-主主模式
注意事项:
主主模式部署的两台设备,软件版本要求一致,软件版本一致是指两台AC设备的版本信息中内容,除SP补丁外,其余信息一致即可。
硬件版本不做要求,但是建议选择负载相近,型号相近的设备。
主主模式部署的设备同时工作,没有主备之分。
两台或两台以上的设备可以部署主主模式。
路由模式和网桥模式都支持配置成主主模式部署。
主控会显示所有节点状态,名称为“在线节点列表”,显示所有在线的节点。
主主模式下,节点不能修改配置只能由主控同步,界面限制只能只读。
主主模式下,只有主控可以加入集中管理,节点不能加入和下发配置。此时,即使主控挂了,节点临时变成主控,此时该主控也不能接入SC。需要等主控恢复后,才能从SC下发配置。被选举出来的主控,只能同步在线用户,不能同步配置。
内网代理服务器环境部署
用户通过内网代理服务器上网,并且需要准确识别用户通过代理服务器上网的数据和分权限控制。
代理服务器单网卡,部署在代理服务器前面。需要在AC上用户认证与管理-认证高级选项-认证选项-勾选WAN-LAN方向的连接不认证
系统管理-高级选项-代理服务器设置中填入代理服务器IP
在客户端电脑浏览器配置代理服务器的IP地址,并在“例外情况”填写AC设备的管理地址,如果AC是网桥部署,并且开启了虚拟地址重定向功能,也需要把虚拟IP添加排除
协议封装环境部署
WAC、L2TP、GRE等其它特殊协议环境中,设备通过DMZ口目的路由实现重定向和代理功能(SSL内容识别和邮件过滤)。此时需要勾选DMZ口重定向和代理功能。
1.如果客户内网划分有不同vlan,但是不同vlan有相同的IP,可以勾选VLANID功能。勾选此功能可以用来区分出来不同用户,不勾选此功能当一个用户识别。
短信认证
短信认证:常用有GSM短信猫(移动联通手机卡)CDMA短信猫(电信手机卡)webservice(http接口)
配置:
短信猫接在设备上,也可以接在服务器上。当串口不够或两台设备双机时,还可以接在WINDOWS电脑上,此时windows电脑需要安装短信模块发送软件
新建认证策略-密码认证-短信认证
配置短信认证相关常数
外部认证服务器-短信认证-短信内容 MAC免认证(不支持snmp,只能在二层下免认证) 串口Com0 串口波特率115200
注意事项:
SG单臂模式不支持短信认证功能
设备检测短信猫异常时,认证自动bybass 只适用于短信认证,混合不支持
微信认证
扫一扫(一键关注)
登陆微信公众平台,https://mp.weixin.qq.com,进入公众号设置获取原始id
登陆微信公众平台,https://mp.weixin.qq.com,进入开发者中心——高级接口——OAuth2.0网页授权。授权回调域名任意配置,但需要和设备上配置的一致
用户认证与管理-外部认证服务器-微信认证-原始ID以及appid,appsecret,授权回调域名-认证策略-认证页面
点一点(第三方结合)
手机扫微信并关注公众号,请求信息发送到微信服务器
微信服务器中转事件信息给第三方服务器微盟(微购或者其它第三方)
微盟事先和公众账号关联并且定义好菜单
配置网关页面“外部认证服务器”新增“微信认证”(接口url,抓取访问菜单网页链接的数据,有用户名的url即可)微盟默认提取参数是wechatid,微购是openid
点一点“文字链接”方式
微信免认证,漫游免认证,二维码认证
微信免认证-勾选已通过微信认证的用户有效期内免认证
勾选认证选项中的-用户漫游免认证
PC二维码认证
企业或者商户的临时外来访客,需要上网,但是客户带的是笔记本,不方便给访客提供用户名密码,微信认证也不适用于笔记本,现希望有一种认证方式能使用于笔记本,并且记录访客上网的审核人员。
1、“外部认证服务器”新增“二维码认证”,配置审核人和审核方式;认证策略认证方式配置“密码认证”选择“二维码认证”,也可以同时选择“微信认证”等认证方式。几种认证方式之间是或的关系。
2、PC打开网页,弹出二维码认证页面,里面有设备生成的二维码,里面带有一些参数包括pc的ip地址等
用已经通过认证的手机(任何认证方式上线的都可以),扫描此pc的二维码,手机有提示pc认证成功的信息
注意:
微信认证只在路由和网桥模式下生效,旁路模式不支持微信认证
微信认证仅支持透明代理,不支持其他显示代理
AC11.0版本开始,二维码认证也适用于手机,即可以实现审核人手 机扫描被审核用户手机弹出的二维码来实现认证
单点认证
web单点登录
新建认证策略-认证方式-认证后处理
单点登录-web-web认证服务器地址-类型-成功关键字失败关键字(抓包获取)
配置镜像口和监听口 单点登录-其它选项(设备在PC和服务器中间不需要设置)
WEB单点登录post提交表单方式只支持http post方式提交账号,其他HTTPS HTTPS GET不支持
数据库只支持单点登录
新建认证策略
新建数据库服务器-数据库类型-IP地址端口号
用户认证与管理-单点登录-数据库认证-启动数据库单点登录,选择定义的外部认证服务器-定义查询语句 可以测试有效性,看测试成功结果
pppoe单点登录(路由模式不生效)
新建认证策略认证方式选择单点登录
配置协议剥离,因设备部署在PPPOE客户端和拨号客户端之间,这里流量PPPOE封装,需要开启协议剥离才能识别 网络配置-网络协议扩展
配置PPPOE单点登录
诚实热点单点登录
配置认证策略
设置单点登录-勾选第三方设备-城市热点-配置装了诚实热点服务器IP
打开NETCService配置文件,将AgetServerIP修改为AC设备的IP地址,端口61440默认不修改
与H3C IMC结合单点登录配置
新建认证策略
设置单点登录-勾选H3C IMC 配置H3C 服务器IP
启用用户上线通知 服务器IP为AC IP 服务端口64412
老版本INODE客户端要上传IPv4地址
sangfor 设备之间认证信息共享
深信服设备单点登录 配置接收设备IP地址,以逗号隔开,默认端口1773,配置秘钥
接收配置秘钥一致
AD域单点登录
四种AD域单点登录原理
AD域单点登录脚本方式:t通过在域控上添加登录和注销脚本来实现,PC开启后登陆域,域控通过组策略下发脚本给PC
AD域集成WNDOWS身份验证(IWA):PC登录域后,PC再打开浏览器访问网站,此时PC会将认证的票据给AC的2.3.4.5的80端口,AC收到票据,使其上线
AD域单点登录免插件模式:AC上开启域监控单点登录,当PC成功登陆域后,AC会主动到AD域控制器上检索域上的eventlog日志,以获取登录的用户信息。从而放通PC在AC上线。
注意:11.0之前版本需要内网找一台PC机专门安装ADSSO程序来实时监控AD域上的登录信息再上报给AC,11.0版本已将此程序合入到设备内。
监听模式:AD在AC外网方向,内网PC登录AD的过程经过AC。此时PC通过AD域服务器认证时,认证数据被AC/SG设备监听(UDP88端口),同时通过AC认证。(没过AC启用镜像模式)
配置过程
域脚本方式单点登录:新增外部认证服务器-管理员用户名密码-测试有效性-配置认证策略-脚本方式只需要密码 域服务器-组策略管理-用火狐配置-策略-脚本将脚本复制过来-选择脚本-配置脚本参数AC IP+端口+秘钥 注销脚本 CMD gpupdate /force下发脚本
域监控单点登录:DNS为域控服务器
windows集成单点登录:启动windows身份验证-计算机名-域名-域IP-域账号密码
监听方式:域控IP填好
四种可以同时使用
四种优点适用场景
优点:1、成功率高,客户普遍使用方式
2、可以同时实现登录和注销
使用场景:客户允许修改域 的组策略
优点:不需要改变域的组策略
缺点:1用户登录域后,打开网页才能触发认证2无法实现用户从域中注销同时从设备下线
使用场景:客户不允许修改域的组策略
优点:不需要改变域的组策略
缺点:无法实现用户从域中注销同时从设备下线
使用场景:客户不允许修改域的组策略
优点:不需要改变域的组策略
成功率不高
使用场景:客户不允许修改域的组策略
0 条评论
下一页
