SANGFORAC度渠道培训用户认证课件

AC

认

证SINFOR

TECHNOLOGIES

CO.,LTD.Page11、本机认证2、第三方认证3、批量添加用户4、总

结1、本机认证SINFOR

TECHNOLOGIES

CO.,LTD.Page2用户帐号信息保存在AC本机，且检验用户信息在AC本机进行称为本机认证。包括本机用户名密码认证、绑定ip、绑定mac、同时绑定ip/mac和DKEY认证。1.1、本机认证用户名和密码认证SINFOR

TECHNOLOGIES

CO.,LTD.Page3内网用户首次通过AC上网时，AC会检验此电脑是否通过AC认证，如果没有则重定向弹出用户名和密码的认证框，用户输入用户名和密码等帐号信息，验证通过后允许访问外网。从而保证了上网的安全性。1.1、本机认证用户名和密码认证（续）例：用户hbz上网前采用用户名和密码认证SINFOR

TECHNOLOGIES

CO.,LTD.Page41.1、本机认证用户名和密码认证(续)采用微软弹出框的方式提交用户名和密码（默认方式）SINFOR

TECHNOLOGIES

CO.,LTD.Page51.1、本机认证用户名和密码认证(续)SINFOR

TECHNOLOGIES

CO.,LTD.Page61.1、本机认证用户名和密码认证(续)成功通过AC认证的用户在在线用户列表显示SINFOR

TECHNOLOGIES

CO.,LTD.Page7备注：基于这种通过浏览器提交用户名和密码进行认证的方式又称为web认证，包括后续介绍的第三方认证。1.2、本机认证同时绑定ip和macSINFOR

TECHNOLOGIES

CO.,LTD.Page8用户上网前，AC会校验电脑的ip和mac地址与设备上绑定的ip和mac地址是否一致，如果一致则验证通过，允许访问外网，如果验证不通过，拒绝访问网络。有效防止了内网用户乱改IP的问题。一般适用于内网IP统一规划，不允许改IP的环境。1.2.1、本机认证二层环境同时绑定ip和mac例：用户hbz上网前采用ip/mac绑定认证只绑定ip或只绑定mac认证和同时绑定

ip/mac认证类似，这里不单独介绍。这些认证可以与用户名及密码认证结合使用，二者是“与”的关系。支持扫描mac地址SINFOR

TECHNOLOGIES

CO.,LTD.Page91.2.2、本机认证跨三层同时绑定ip和macSINFOR

TECHNOLOGIES

CO.,LTD.Page10AC支持跨内网有三层环境绑定电脑的IP，mac或ip/mac同时绑定认证上网。三层环境

下绑定mac或同时绑定pc的ip和mac可以通准入规则和snmp协议两种方式实现。1.2.2、本机认证跨三层同时绑定ip和mac（续）通过SNMP协议实现（重点掌握）AC通过snmp协议读取三层交换机的mac表，以获得内网各电脑真实的mac地址，实现

ip/mac绑定及验证，支持只绑定mac地址或同时绑定ip/mac。AC

1.96及后续版本新增的功能，需要三层交换机开启snmp服务，AC支持的snmp版本为v2和v3版本。SINFOR

TECHNOLOGIES

CO.,LTD.Page11网关lan

ip:PCIP:10GW:54客户需求：内网电脑IP统一分配，不能随意更改，更改后电脑上不了网。1.2.2、本机认证跨三层同时绑定ip和mac（续）案例SINFOR

TECHNOLOGIES

CO.,LTD.Page12AC端配置第一步：启用新用户认证，选择同时绑定IP/macSINFOR

TECHNOLOGIES

CO.,LTD.Page13SNMP服务器列表添写：三层交换机的IP地址/三层交换机的

MAC/SNMP的Oid/三层交换机的Communit，用/分隔第二步：设置snmp选项设置备注：Oid现在发现只有二个，..1.2和.2.1.2SINFOR

TECHNOLOGIES

CO.,LTD.Page14三层交换机上的配置三层交换机需要开启SNMP服务，以cisco和huawei为例：华为的命令：system_viewsnmp-agent

community

read

publicSINFOR

TECHNOLOGIES

CO.,LTD.Page15其中public为三层交换机的Communitsnmp-agent

sys-info

version

all

其中all表示所有版本思科的命令：config

terminal

进入全局配置状态Cdp

run

启用CDPsnmp-server

community

public

ro

其中public为三层交换机的Communitsnmp-server

enable

traps

允许设备将所有类型SNMP

Trap发送出去通过AC认证的用户自动添加到组织结构通过AC认证的用户自动添加到在线用户列表SINFOR

TECHNOLOGIES

CO.,LTD.Page16通过准入规则实现三层环境ip/mac绑定AC通过准入实现三层环境下同时绑定客房端电脑的ip/mac地址。在AC上建立相关帐号并绑定电脑真实的ip和mac地址，在电脑上安装准入客户端软件，从而实现验证pc真实的ip和mac地址与AC上绑定的IP和mac地址是否一致，如果一致，则允许访问外网。SINFOR

TECHNOLOGIES

CO.,LTD.Page17第一步：在AC上建用户，同时绑定PC的IP和macSINFOR

TECHNOLOGIES

CO.,LTD.Page18AC支持跨三层环境扫描mac地址，通过netbios协议实现。如果扫描不到，请确认电脑的

netbios协议是否开启；电脑是否配有多IP；是否有防火墙阻止了设备和电脑间UDP

137端口通讯第二步：定义准入规则三层绑定ip/mac（自定义规则）SINFOR

TECHNOLOGIES

CO.,LTD.Page19第三步：新增上网策略跨三层绑定ip/macSINFOR

TECHNOLOGIES

CO.,LTD.Page20第四步、将上网策略和用户或组关联SINFOR

TECHNOLOGIES

CO.,LTD.Page21此时用户hbz如果改变IP，AC验证ip/mac绑定关系不通过，拒绝用户hbz上网1、用户名密码认证和ip/mac认证的关系？SINFOR

TECHNOLOGIES

CO.,LTD.Page222、通过snmp协议解决三层环境绑定ip/mac与通过准入解决三层环境的绑定ip/mac的区别？1.3、本机认证DKEY认证AC相关的DKEY有三种：认证的DKEY和免审计的

DKEY和数据中心查询Dkey。而用于上网认证的dkey两种：认证Dkey和免审计Dkey。三种KEY不可能混用。SINFOR

TECHNOLOGIES

CO.,LTD.Page231.3.1、认证KEYSINFOR

TECHNOLOGIES

CO.,LTD.Page24用户上网前需向电脑的USB接口插入

KEY，验证通过后才可以上网，保证了认证的安全性及使用的方便性，一般适用于外来用户。1.3.1、认证KEY(续)SINFOR

TECHNOLOGIES

CO.,LTD.Page25例：用户hbz上网前采用DKEY认证生成DKEY前，先下载DKEY驱动并安装1.3.1、认证KEY(续)下载DKEY认证客户端，打开IE。输入http://gwip，弹出如下页面下载DKEY认证客户端并安装SINFOR

TECHNOLOGIES

CO.,LTD.Page261.3.2、免审计KEY某些高层领导上网时，希望自己的行为不被AC监控，可以建议其使用免监控DKEY，使用免监控KEY上网，不会记录网络行为，一般适应BOSS生成免审计KEY只需在下图选择“启用DKEY防监控”即可，其它的设置及使用方法和认证

KEY的一样SINFOR

TECHNOLOGIES

CO.,LTD.Page271.3.3、数据中心KEYSINFOR

TECHNOLOGIES

CO.,LTD.Page28为了保证审计日志的安全，只有拥有key的管理员才可以进数据中心查询日志，无key的管理员只能查询报表，系统设置等权限，无具体日志查询权限。1.3.3、数据中心KEY（续）数据中心key功能默认不可用，需要通过多功能序列号激活。例如：控制台用户admin需要启用数据中心Dkey检查，以实现用key登陆AC时可以进行日志查询，无key登陆时无具体日志查询权限。SINFOR

TECHNOLOGIES

CO.,LTD.Page29第一步：激活数据中心DKEY检查第二步：编辑admin帐户，启用DKEY检查功能。生成DKEY前先下载DKEY驱动并安装SINFOR

TECHNOLOGIES

CO.,LTD.Page30第三步：使用数据中心查询DKEY以用户名密码登陆数据中心以DKEY登陆数据中心SINFOR

TECHNOLOGIES

CO.,LTD.Page31使用DKEY登陆数据中心效果图使用

admin登陆数据中心效果图SINFOR

TECHNOLOGIES

CO.,LTD.Page32注意1、认证key，免审计key和数据中心KEY查询不能混用。2、外置数据中心也支持数据中心KEY查询功能，但需要内置数据中心激活，外置数据中心和内置数据中心同样不能使用同一个数据中心查询KEY。SINFOR

TECHNOLOGIES

CO.,LTD.Page332、第三方认证SINFOR

TECHNOLOGIES

CO.,LTD.Page34用户信息保存在第三方服器（ldap，Radius，pop3,proxy）且检验用户信息在第三方服务器进行称为第三方认证。第三方认证包括ldap认证，radius认证，pop3认证和proxy。其中ldap、pop3和Proxy认证支持单点登陆。2.1、第三方认证数据流第三方服务器PC①③SINFOR

TECHNOLOGIES

CO.,LTD.Page35②第三方服务器在内网①PC提交用户名和密码②AC将用户名和密码提交到第三方服务器验证③第三方服务器返回验证信息给AC2.1、第三方认证数据流(续)第三方服务器在外网②③第三方服务器SINFOR

TECHNOLOGIES

CO.,LTD.Page36①PC①PC提交用户名和密码③第三方服务器返回验证信息给AC②AC将用户名和密码提交到第三方服务器验证2.2、第三方认证LDAP认证SINFOR

TECHNOLOGIES

CO.,LTD.Page37AC设备支持LDAP第三方认证，一般用于客户网络中已部署ldap服务器，AC结合LDAP服务器认证，方便管理。其中支持的LDAP有MS

LDAP，SUN

LDAP和OPENLDAP2.2、第三方认证LDAP认证（续）SINFOR

TECHNOLOGIES

CO.,LTD.Page38填写管理的帐号，帐号格式为：

administrator@2.2、第三方认证LDAP认证（续）填写ldap用户四种认证方式之间是“或”的关系，从上到下依次匹配，可以和ip/mac认证结合。设置帐号属性及过期时间，如果是私有帐号，同时只能允许一个人登陆SINFOR

TECHNOLOGIES

CO.,LTD.Page39上网时IE会弹出对话框要求身份认证，输入域用户hbz。2.2、第三方认证LDAP认证（续）通过AC认证的用户在这里显示SINFOR

TECHNOLOGIES

CO.,LTD.Page402.2、第三方认证Radius认证SINFOR

TECHNOLOGIES

CO.,LTD.Page41AC设备支持Radius第三方认证，用户信息存放在Radius服务器上，用户上网时提交Radius服务器上的用户信息，经Radius服务器验证后，发送验证信息给AC，如果验证成功，允许此用户上网。一般用于客户网络中已部署Radius服务器，AC结合

Radius服务器认证，方便管理。适用服务器在内网和外网情况。2.2、第三方认证Radius认证(续)SINFOR

TECHNOLOGIES

CO.,LTD.Page42填写Radius服务器IP、端口、共享密钥及协议2.2、第三方认证Radius认证(续)填写Radius服务器上的用户SINFOR

TECHNOLOGIES

CO.,LTD.Page432.2、第三方认证Radius认证(续)上网时IE会弹出对话框要求身份认证，输入Radius服务器上的用户hbz。通过AC认证的用户在这里显示SINFOR

TECHNOLOGIES

CO.,LTD.Page443、批量添加新用户SINFOR

TECHNOLOGIES

CO.,LTD.Page45一般情况下，客户内网用户很多，如果采用前面介绍的逐个新增用户方式来添加用户不太现实，AC提供三种批量添加用户的方式：新用户认证（自动添加新用户），用户导入和AD域同步。3.1、认证选项设置新用户认证AC以IP地址和mac地址来标识用户，当一终端

用户user1试图通过AC上网时（假设没有通过AC认证），AC会根据该用户上网数据包的源IP和源mac地址检测AC组织结构中是否有用户绑定此IP或mac，如果有符合条件的用户，则终端用户user1以相关用户的身份上网，如果没有符合条件的用户，则匹配下面的新用户认证策略。SINFOR

TECHNOLOGIES

CO.,LTD.Page463.1、认证选项设置新用户认证（续）新用户认证四种处理方式新用户认证支持根据不同的IP段采用不同的认证方式并自动添加到各个组，以方便匹配各自的策略。SINFOR

TECHNOLOGIES

CO.,LTD.Page473.1、认证选项设置(续)SINFOR

TECHNOLOGIES

CO.,LTD.Page48认证成功后直接跳转指定页面，可以设置跳转至公告页面。私有帐号认证冲突时的处理方式设置用户无流量自动注销时间及未通过认证的用户具有的权限。3.2、用户导入支持扫描单个IP，IP范围和子网AC支持通过扫描内网计算机和从域服务器中导入