当前位置:   article > 正文

AC上网行为管理之全网行为管理_ac上网行为管理知识点总结

ac上网行为管理知识点总结

一、802.1x协议介绍

认证方法:8021x认证、EAPOE认证

弥补了原来认证的短板:未通过认证就可以访问内网资源

8021.1x:主要目的是为了解决局域网用户接入认证问题


RADIUS协议认证方式,C/S架构
认证模式:基于端口,基于MAC

认证方式:EAP终结、EAP透传

端口控制:自动识别、强制授权、强制非授权

1、802.1x的使用背景:

AC一般路由部署或者网桥部署,只能对经过设备的用户做认证和管控,内网这些终端设备无法管控,没有经过可信认证就可接入二层交换机,从而直接访问服务器。无法保证业务安全。

2、认证流程:

(1)客户端发起请求

(2)交换机收到请求,要求客户端提交认证信息

(3)客户端提交认证信息

(4)交换机收到认证信息,转交AC

(5)AC收到认证信息判断是否认证成功,并把结果交给交换机

(6)如果认证成功,则交换机打开端口

3、上线流程:

完成认证之后就放通了端口,但是未在AC设备上线,上线过程如下(需要收到计费开始请求之后才开始走上线流程):

1、认证成功后,将终端MAC地址缓存在设备内存中5分钟

2、需要获取IP/MAC对应关系完成上线

(1)计费报文带IP

(2)通过镜像获取DHCP,ARP广播报文

(3)跨三层取MAC的方式

4、旁路重定向认证

(1)AC旁挂在核心交换机上,对未认证通过的请求发reset包的方式拒绝请求;对需要认证的发302重定向,进行重定向认证。

(2)在没有认证之前不能访问内网业务,即不能经过核心交换机,这种方案实施非常方便简单,仅需要在交换机上镜像数据就可以,不需要交换机做各种配置对接

5、旁路模式密码认证与802.1x认证对比

6、旁路模式密码认证流程:

(1)终端访问业务或上网数据经过交换机,交换机镜像数据包到AC上,AC检查终端是否已经认证过了,如果没有认证,则发302重定向包;

(2)终端接到302重定向包,到AC设备上进行认证;

(3)认证通过后不再发重定向包,进行放行;认证不通过的,发reset阻断用户对业务的访问;

7、终端检查功能

杀软检查:

检测方法:流量检测、准入插件检测

支持禁止上网,提示用户,只记录结果,违规修复和限制用户权限五种违规处理方式

登陆域检查:

检测方法:准入插件

支持禁止上网,提示用户,只记录结果和违规修复四种违规处理方式

非法外联检测

终端管控功能:

外设管控:支持存储设备、网络设备、蓝牙设备、摄像头和打印机的管控

动作:允许、禁止、精准管控

识别审计功能:

终端识别:识别内网资产

IP管理:方便网络管理员知道IP段地址使用情况

业务审计,做到:知道你是谁,能做什么,做了什么

U盘审计,支持离线审计

AC支持审计那些类型业务:web业务 smb类型业务 ftp类型业务

给准入插件发送审计日志端口:886

惩罚通道只能给用户限额使用

全网上网态势分析适用于总部多分支网络场景

Pop3只支持单点登录,不支持外部认证

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/码创造者/article/detail/880199?site
推荐阅读
相关标签
  

闽ICP备14008679号