admin 管理员组文章数量: 887031
一、全网行为管理
802.1x认证
概念:802.1X认证,又称为EAPOE(Extensible Authentication Protocol Over Ethernet)认证,主要目的是为了解决局域网用户接入认证问题
802.1X认证中用到了RADIUS协议认证方式,典型的C/S结构
认证模式:基于接口、基于MAC
认证方式:EAP终结、EAP透传(中继)
注意:AC是用EAP透传的方式
端口控制方式:自动识别、强制授权、强制非授权
802.1x认证流程:
以有线PC终端802.1x认证为例,说明整个802.1x认证流程:
第一步:客户端发起开始认证请求
第二步:交换机收到请求之后,要求客户端提交用户信息
第三步:客户端会提交用户信息给到交换机(当为哑终端无法提交用户信息时提交终端MAC信息,需要交换机配置MAB属性)
第四步:交换机收到用户信息之后,将数据封装成RADIUS报文发送到AC
第五步:AC完成校验,如果检验成功通过认证,发送认证成功报文给到交换机,交换机然后放通端口,如果检验失败,发送认证失败报文给交换机,交换机不放通端口
旁路重定向认证:
旁路认证流程:
1.终端访问业务或上网数据经过交换机,交换机镜像数据包到AC上,AC检查终端是否已经认证过了,如果没有认证,则发302重定向包;
2.终端接到302重定向包,到AC设备上进行认证;
3.认证通过后不再发重定向包,进行放行;认证不通过的,发reset阻断用户对业务的访问;
4.如果客户除了认证,还需要检查终端合规以后才能正常接入网络,则需要添加终端检查策略,在用户认证完成同时检查终端合规以后才能访问内网资源。
杀软检查和登录域检查功能说明----插件实现方式
准入插件检查杀软是否运行:
1、插件准入规则支持检测22款杀软有无运行,也支持杀软版本号检测
2、支持禁止上网,提示用户,只记录结果,违规修复和限制用户权限五种违规处理方式。限制用户上网支持选择【访问权限策略】和【用户限额策略】两种违规处理(动态权限)。
支持登录域检测和登录指定域检测:
1、支持登录域检测(PC以任意域账号登录即可检测合规)和登录指定域(PC以域账号登录到指定域中的一个即可检测到合规)
2、支持禁止上网,提示用户,只记录结果和限制用户权限四种违规处理方式。限制
版权声明:本文标题:SCSA第五天总结 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/jishu/1726803452h1031368.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论