AC高级--第一天
2016-09-29 09:42:49 0 举报AI智能生成
在AC高级的第一天,阳光透过窗户洒满了教室。新老学员们带着期待和好奇的心情走进了这个充满智慧和挑战的世界。老师站在讲台上,热情洋溢地介绍了课程的内容和目标。接下来的课程将涵盖从基础知识到高级技巧的全方位学习,让每个人都能在这里找到自己的成长空间。学员们互相交流着彼此的学习经验和心得,激发出更多的灵感和动力。在这个充满活力和创新的环境中,每个人都将迎接新的挑战,不断提升自己,成为更优秀的AC高级学员。
作者其他创作
大纲/内容
安装部署
高可用性之主主模式部署
主主模式的适用环境
客户原有网络中有多台交换机,防火墙或路由器主主或主备部署时,AC以网桥串接在中间,建议使用主主模式部署。
主主模式配置
主控配置
1.设备路由模式或网桥模式部署。
2.主控设备控制台选择【网络配置】—【高可用性】选择主主模式。
3.配置设备标识及角色选择主控,配置密钥
节点配置
【高可用性】选择主主模式,配置设备标识,角色选择“节点”。
配置主机的IP地址及密钥
注意事项
1、主主模式部署的两台设备,软件版本要求一致,软件版本一致是指两台AC设备的版本信息中内容,除SP补丁外,其余信息一致即可。
硬件版本不做要求,但是建议选择负载相近,型号相近的设备。
2、主主模式部署的设备同时工作,没有主备之分。
3、两台或两台以上的设备可以部署主主模式。
4、路由模式和网桥模式都支持配置成主主模式部署。
5、主主模式下,节点不能修改配置只能由主控同步,界面限制只能只读。
6、主控会显示所有节点状态,名称为“在线节点列表”,显示所有在线的节点。
7、主主模式下,只有主控可以加入集中管理,节点不能加入和下发配置。此时,即使主控挂了,节点临时变成主控,此时该主控也不能接入SC。需要等主控恢复后,才能从SC下发配置。被选举出来的主控,只能同步在线用户,不能同步配置。
高可用性之主备模式部署.
部署环境
对网络稳定性要求较高的客户环境。要求两台设备路由模式部署。
工作方式
通过心跳检测,实现热备份(保持心跳和配置同步)。正常情况下,只有主设备工作,如果主设备故障,则自动切换到备设备,备设备接替主设备工作。
主备模式配置
主机配置
1.主机配置好路由模式。
2. 控制台【网络配置】—【高可用性】选择主备模式,点击开始配置
3.配置主机设备标识
抢占为主机:指的是当主机切换为备机后,当备机恢复正常后是否会主动切换为主机,开启则会切换。
指定HA口:用来同步配置。可以使用DMZ口或其他未配置区域的网口。
共享密钥:需要主备两台设备设置同一个密钥。
4.配置检测网口
检测网口:被检测的网口只要发生故障就会发生主备切换。
告警选项:手动更改模式也会触发告警。
备机配置
1.备机登录后,【高可用性】选择主备模式,配置设备标识,设备角色选择备机。
2.配置主机的IP地址以及密钥。
备机不能配置抢占主机与检测网口以及配置告警信息,这些信息是由主机同步过来
主机状态
部署完成后,主机正常工作,可以在高可用性中看到主机状态,可以看到最近切换的时间,以及同步配置的时间,只有主机状态才可以手动切换到备机。
注意事项
1、主备模式部署的两台设备,软件版本要求一致,软件版本一致是指两台AC设备
的版本信息中内容,除SP补丁外,其余信息一致即可。
硬件版本不做要求,但是建议选择负载相近,型号相近的设备。
2、主备部署的两台设备配置自动实时同步,完全一样。
3、只能2台设备部署为主备模式,2台以上不支持部署主备模式。
4、主备部署的两台设备,只有一台在工作,另一台在监听。
5、只有路由模式可以部署主备模式,网桥模式不支持部署主备模式。
6、主备模式的两台设备通过普通网线作为心跳线,通过HA口发送心跳包,主备模式下,可以使用DMZ口或其他未配置区域的网口。 HA灯状态,主机设备亮绿灯,备机状态灯闪。
7、主备模式下,只有主机可以加入集中管理。备机不能加入。如果主机挂了,备机变成主机,此时备机也可以加入SC。
内网有代理服务器环境部署
应用场景
用户通过内网代理服务器上网,并且需要准确识别用户通过代理服务器上网的数据和分权限控制。
常见代理环境中的部署方式
代理服务器双网卡(AC/SG设备路由或网桥模式部署)
代理服务器应该部署于AC/SG设备的WAN口方向。
代理服务器双网卡(AC/SG设备旁路模式部署)
如果主要用于审计,设备可采取旁路模式部署
代理服务器单网卡(AC/SG设备网桥模式部署)
此种部署场景下,需要在AC上【用户认证与管理】-【认证高级选项】-【认证选项】中勾选“WAN-LAN方向的连接不认证”
内网代理环境部署配置
1. 将设备采用以上各拓扑中的部署方式(路由,网桥,旁路)进行配置,然后接入到网络中。
2. 在设备“代理服务器设置”选项中填入代理服务器的IP。
PC“例外情况”填写AC设备的管理地址,如果AC是网桥部署,并且开启了虚拟地址重定向功能,也需要把虚拟IP添加排除
注意事项
必须保证客户端发到代理服务器的数据先经过AC/SG设备,也就是代理服务器应该部署在AC/SG设备的WAN口方向。
协议封装环境部署
虚拟IP重定向
DMZ口重定向
TRUNK环境下配置
Trunk环境下路由模式配置
1、AC路由模式部署直接替代原有的路由器(或FW),并按照路由模式部署配置好设备。
2、配置LAN口IP,填写内网对应VLAN的VLAN网关IP即可。
Trunk环境下网桥模式配置
1、网桥模式部署在路由器与交换机之间,按网桥模式部署配置好设备。
2、可以给设备网桥配置其中一个VLAN中的可用IP来进行管理和上网更新规则库。也可以给设备管理口配置其中一个VLAN中的可用IP来进行管理和上网更新规则库。
3、如果内网是三层环境还需要配置内网的路由网关指向AC内网口所连接的设备。
其他协议环境下网桥模式配置
1、网桥模式部署在路由器与交换机之间,按网桥模式部署配置好设备。
2、可以给设备管理口配置一个可用IP来进行管理和上网更新规则库。如果没有空闲管理口,也可以给设备网桥配置其中一个可用IP来进行管理和上网更新规则库。 WAC、L2TP、GRE这三种协议封装环境下,必须使用DMZ口。
3、如果内网是三层环境还需要配置内网的路由网关指向AC内网口所连接的设备。
4、 QinQ、PPPOE、VLAN+PPPOE、QinQ+PPPOE 、 WAC、L2TP、GRE环境下,设备上开启对应的协议剥离。 Trunk,链路聚合协议设备无需开启协议剥离就能识别应用。
重定向和代理功能的实现
Trunk、QinQ、链路聚合、PPPOE、VLAN+PPPOE、QinQ+PPPOE环境中,通过设备的虚拟IP来实现重定向和代理功能
WAC、L2TP、GRE等其它特殊协议环境中,设备通过DMZ口目的路由实现重定向和代理功能
需要勾选DMZ口重定向和代理功能。
短信认证
应用场景
上网需要实名制认证,希望上网行为日志能追踪到具体用户
客户手机号对银行营业厅和商场也是重要营销资源,可以提取为后续产品推广提供支撑
认证的几种方式
GSM短信猫
中国移动手机卡
中国联通手机卡
CDMA短信猫
中国电信手机卡
webservice(http接口)
中国移动v2/中国移动v3 短信网关
中国联通短信网关
中国电信V3 短信网关。
配置
注意事项。
1. SG单臂模式不支持短信认证功能。相关页面是灰色的。
2、当设备检测到短信猫异常时,短信认证自动bypass
微信认证
微信相关应用、参数、服务号订阅号介绍
微信认证效果
点一点(文字链接)
连上wifi,打开网页上网,浏览器弹出portal 页面,提示顾客加微信关注,关注后即可上网
点一点(第三方结合)
连上wifi,打开网页上网,浏览器弹出portal 页面,提示顾客加微信关注,关注后,按公众号提示进入第三方相关网页,浏览后即可上网
扫一扫(一键关注)
微信认证配置
微信免认证,漫游免认证,二维码认证
微信免认证
已经关注过的客户下次无需进行微信认证了
微信认证免认证信息只对二层环境有效
漫游免认证
用户在深圳已经微信认证通过的用户,下次出差到长沙,或者其他的城市,都不需要认证
用户漫游免认证,也只对二层环境有效
受控端通过TCP3021端口传送免认证信息到SC
PC二维码免认证
微信认证也不适用于笔记本,现希望有一种认证方式能使用于笔记本,并且记录访客上网的审核人员
配置
单点登录
单点登录介绍
当用户成功通过到第三方服务器认证时,自动通过AC/SG设备的认证,上网无需再次输入用户名和密码通过AC/SG认证。
AC/SG 设备支持的单点登录认证
LDAP单点登录(LOGON,ADSSO,IWA,监听)
POP3单点登录
PROXY单点登录
WEB单点登录
第三方设备单点登录
数据库单点登录
PPPoE 单点登录
深信服设备之间单点登录
单点登录实现方式
AD域单点登录脚本方式
通过在域控上添加登录和注销脚本来实现
WEB单点登录
适用于内网有一套WEB认证系统
PPPOE单点登录
内网PPPOE拨号原有上网方式为拨号上网
数据库单点登录
客户原有第三方认证系统,一般都是会有一个后台数据库来存储用户、认证信息
深信服设备之间单点登录
客户内网在部署AC之前,已部署深服其它设备,如部署深信服无线,客户希望终端接入无线,通过无线认证后,自动通过AC认证
H3C IMC系统
客户内网现有H3C IMC管理平台,用于内网用户认证和管理
城市热点系统
客户内网现有城市热点认证计费系统。用于用户上网认证和计费
锐捷SAM系统
客户内网现有锐捷SAM系统认证计费系统。用于用户上网认证和计费
单点登录配置举例
AD域单点登录
域单点登录认证应用背景
域单点登录适用于客户内网已有一台域控制器做管理。部署AC/SG设备后,希望实现用户电脑开机登录域即自动通过AC/SG认证以域用户身份直接上网,并希望终端的上网日志可以追踪到具体域用户。
域单点登录有脚本方式,免插件,IWA方式和监听方式
域单点登录认证实现方式
AD域单点登录脚本方式
AD域集成WINDOWS身份验证(IWA)
AD域单点登录免插件模式
监听方式
域脚本单点登录认证配置示例
1. 新增认证策略
2. 新增外部认证服务器,填写AD域服务器信息
3. 启用域单点登录,并设置组件模式单点登录信息
4. AD域服务器配置登录和注销脚本
免插件单点登录认证配置示例
新增认证策略
新增外部认证服务器,填写AD域服务器信息
启用域监控单点登录,并设置域控制器先关信息
AD域开启EventLog审计
IWA单点登录认证配置示例
新增认证策略
新增外部认证服务器,填写AD域服务器信息
启用域单点登录,并设置集成windows身份验证
监听方式单点登录配置示例
新增认证策略
新增外部认证服务器,填写AD域服务器信息
启用域单点登录,配置监听方式
交换机需要配置镜像口,AC需要配置监听口,如果AD域服务器在AC外网,登录域经过AC,则此步省略
四种单点登录方式总结
四种单点登录方式可以综合使用,实际情况中,优先推荐脚本方式,如果客户不允许修改域的配置,再同时使用免插件和IWA。而监听方式由于成功率不高使用不多,可以作为辅助开启。
收藏
收藏
0 条评论
下一页
