AC 终端识别和控制实验
实验拓扑
实验需求
- 深圳总部为了防止用户私接终端,在 AC 上开启共享接入检测,要求不允许私接终端,检测到之后冻结上网权限
- 在 AF 上对
172.172.4.0/24网段配置源地址转换,模拟共享上网环境检测效果
实验解法
登录深圳总部 AC 设备,开启并配置共享接入检测
步骤 1:点击
终端接入管理-共享接入管理,勾选开启共享接入检测,并确定启用,如图 1-2 所示
图 1-2 步骤 2:点击
配置选项,在弹出的选项页面中设置终端数量到达 2 台后,冻结 30 分钟,并提交,如图 1-3 所示
图 1-3 登录深圳总部 AF 设备,配置源地址转换,模拟共享上网环境
分析:深信服关于私接终端的判断标准是一个源 IP 地址发现有多个终端,就判断为私接终端的共享上网行为,在设备上做 NAT ,然后下行连接其他终端设备、设备开启无线热点,通过 Wi-Fi 连接其他终端都属于共享上网的行为。这里通过在 AF 上配置 NAT 来模拟环境
步骤 1:登录 AF,点击
防火墙-地址转换,点击新增-源地址转换,如图 1-4 所示
图 1-4 步骤 2:配置源地址转换,对用户区的地址转换为连接 AC 网口的 IP 地址,如图 1-5 所示
图 1-5 效果测试
在
172.172.4.10和172.172.4.11上同时登录 QQ 上网,并发送消息,AC 识别出共享上网环境,如图 1-6 所示
图 1-6 同时,由于设置了冻结上网,所以此时,2 台 PC 的上网都会被禁止,如图 1-7 所示
图 1-6