AC 用户身份验证实验
实验拓扑
实验需求
- 深圳总部技术部员工 PC 属于
172.172.4.0/24网段,要求上网不需要验证,但需要绑定 IP 和 MAC 地址,便于做行为审计,更换 MAC 地址不允许上网 - 长沙分公司员工 PC 上网验证方式为用户名和密码验证
实验解法
在深圳总部 AC 上创建技术部的用户组
步骤 1:登录 AC,点击
用户认证与管理-组/用户,再点击新增-组,如图 1-2 所示
图 1-2 步骤 2:在创建用户组界面中填入用户组名称,点击
提交,如图 1-3 所示
图 1-3 创建用户认证策略,设置不验证,绑定到
172.172.4.0/24网段步骤 1:点击
用户认证与管理-认证策略,点击新增,如图 1-4 所示
图 1-4 步骤 2:设置认证范围为
172.172.4.0/24网段,如图 1-5 所示
图 1-5 步骤 3:切换到认证方式,设置为
不需要认证,并选择以 MAC 地址作为用户名,如图 1-6 所示
图 1-6 步骤 4:切换到认证后处理,选择用户上线后自动加入到
技术部,并自动录入组织结构关系和 IP 与 MAC 地址绑定关系,如图 1-7 所示
图 1-7 配置 AC 跨三层取 MAC 地址
分析:由于 AC 与员工 PC 不在同一网段,无法通过 ARP 协议来获取员工 PC 的 MAC 地址,所以需要配置 AC 跨三层取 MAC
深信服 AC 通过 SNMP 协议读取员工 PC 网关设备的 ARP 缓存表来获得员工 PC 真实 MAC 地址。所以需要去 AF 设备上开启并配置 SNMP 协议,AC 才能成功获取到正确的 MAC 地址
步骤 1:登录 AF,点击网络配置-高级网络配置,点击SNMP,勾选开启 SNMP,如图 1-8 所示
图 1-8 步骤 2:点击
新增,配置允许读取 SNMP 信息的 IP 地址为 AC,并配置团体名,如图 1-9 所示
图 1-9 步骤 3:点击
网络配置-接口/区域,选择 AF 连接 AC 的区域(此环境中为互联网区),勾选SNMP,允许该区域的设备使用 SNMP 协议管理本设备,如图 1-10 所示
图 1-10 步骤 4:登录 AC,点击
用户认证与管理-认证高级选项,点击跨三层取 MAC,勾选开启跨三层 MAC 识别,如图 1-11 所示
图 1-11 步骤 5:点击
新增,填入 AF 的 IP 地址,和之前在 AF 中配置的团体名,然后点击查看服务器信息,如果配置正确,将能够查询到 AF 上的 ARP 缓存信息,如图 1-12 所示
图 1-12 步骤 6:点击
实时状态-在线用户管理,查看当前上网的 PC,发现识别 PC 的 MAC 地址并不是 PC 真实 MAC 地址,仍然为 AF 的 MAC 地址,如图 1-13 所示
图 1-13 步骤 7:复制该 MAC 地址,再次回到跨三层取 MAC 的配置页面,粘贴在
MAC 地址排除列表中,并提交,如图 1-14 所示
图 1-14 效果测试:再次回到
在线用户管理,发现 AC 已经获取到了 PC 的真实 MAC 地址,并成功录入了该 IP 和 MAC 地址的绑定关系,如图 1-15,1-16 所示
图 1-15 
图 1-16 效果测试:此时,该 PC 若更换 IP 地址,将导致与绑定关系不匹配而无法上网
在长沙分公司的 AC 上配置员工 PC 上网需要使用用户名和密码验证
步骤 1:登录长沙分公司的 AC,创建员工用户组,步骤略
步骤 2:在员工用户组中创建用户,并配置密码,如图 1-17 所示
图 1-17 步骤 2:创建认证策略,认证范围填入
172.172.10.0/24网段,如图 1-18 所示
图 1-18 步骤 3:选择认证方式为
密码认证,如图 1-19 所示
图 1-19 步骤 4:选择上线后,自动录入关系到员工用户组,并提交,如图 1-20 所示
图 1-20 效果测试:在长沙分公司的 PC 上使用浏览器访问互联网,会跳转到用户认证页面,填入正确的用户名和密码后,将自动跳转到之前访问的页面,如图 1-21 所示
图 1-21 补充配置
基于 AC 身份认证的原理,需要在终端未通过认证前放通 DNS 流量,才能触发用户名和密码认证的重定向页面;而且如果用户触发认证页面是使用的访问 HTTPS 站点的形式,还需要勾选
HTTPS 请求未通过认证时,重定向到认证页面,如图 1-22 所示
图 1-22