AC 终端识别和控制实验

实验拓扑


图 1-1

实验需求

  1. 深圳总部为了防止用户私接终端,在 AC 上开启共享接入检测,要求不允许私接终端,检测到之后冻结上网权限
  2. 在 AF 上对 172.172.4.0/24 网段配置源地址转换,模拟共享上网环境检测效果

实验解法

  1. 登录深圳总部 AC 设备,开启并配置共享接入检测

    步骤 1:点击 终端接入管理-共享接入管理,勾选 开启共享接入检测,并确定启用,如图 1-2 所示


    图 1-2

    步骤 2:点击 配置选项,在弹出的选项页面中设置终端数量到达 2 台后,冻结 30 分钟,并提交,如图 1-3 所示


    图 1-3

  2. 登录深圳总部 AF 设备,配置源地址转换,模拟共享上网环境

      分析:深信服关于私接终端的判断标准是一个源 IP 地址发现有多个终端,就判断为私接终端的共享上网行为,在设备上做 NAT ,然后下行连接其他终端设备、设备开启无线热点,通过 Wi-Fi 连接其他终端都属于共享上网的行为。这里通过在 AF 上配置 NAT 来模拟环境

    步骤 1:登录 AF,点击 防火墙-地址转换,点击 新增-源地址转换,如图 1-4 所示


    图 1-4

    步骤 2:配置源地址转换,对用户区的地址转换为连接 AC 网口的 IP 地址,如图 1-5 所示


    图 1-5

  3. 效果测试

    172.172.4.10172.172.4.11 上同时登录 QQ 上网,并发送消息,AC 识别出共享上网环境,如图 1-6 所示


    图 1-6

    同时,由于设置了冻结上网,所以此时,2 台 PC 的上网都会被禁止,如图 1-7 所示


    图 1-6