admin 管理员组

文章数量: 887031

一、全网行为管理
802.1x认证

概念:802.1X认证,又称为EAPOE(Extensible Authentication Protocol Over Ethernet)认证,主要目的是为了解决局域网用户接入认证问题
	802.1X认证中用到了RADIUS协议认证方式,典型的C/S结构
认证模式:基于接口、基于MAC
认证方式:EAP终结、EAP透传(中继)
注意:AC是用EAP透传的方式
端口控制方式:自动识别、强制授权、强制非授权

802.1x认证流程:
	以有线PC终端802.1x认证为例,说明整个802.1x认证流程:

	第一步:客户端发起开始认证请求
	第二步:交换机收到请求之后,要求客户端提交用户信息
	第三步:客户端会提交用户信息给到交换机(当为哑终端无法提交用户信息时提交终端MAC信息,需要交换机配置MAB属性)
	第四步:交换机收到用户信息之后,将数据封装成RADIUS报文发送到AC
	第五步:AC完成校验,如果检验成功通过认证,发送认证成功报文给到交换机,交换机然后放通端口,如果检验失败,发送认证失败报文给交换机,交换机不放通端口

旁路重定向认证:

旁路认证流程:
	1.终端访问业务或上网数据经过交换机,交换机镜像数据包到AC上,AC检查终端是否已经认证过了,如果没有认证,则发302重定向包;
	2.终端接到302重定向包,到AC设备上进行认证;
	3.认证通过后不再发重定向包,进行放行;认证不通过的,发reset阻断用户对业务的访问;
	4.如果客户除了认证,还需要检查终端合规以后才能正常接入网络,则需要添加终端检查策略,在用户认证完成同时检查终端合规以后才能访问内网资源。

杀软检查和登录域检查功能说明----插件实现方式

准入插件检查杀软是否运行:
	1、插件准入规则支持检测22款杀软有无运行,也支持杀软版本号检测
	2、支持禁止上网,提示用户,只记录结果,违规修复和限制用户权限五种违规处理方式。限制用户上网支持选择【访问权限策略】和【用户限额策略】两种违规处理(动态权限)。
支持登录域检测和登录指定域检测:
	1、支持登录域检测(PC以任意域账号登录即可检测合规)和登录指定域(PC以域账号登录到指定域中的一个即可检测到合规)
	2、支持禁止上网,提示用户,只记录结果和限制用户权限四种违规处理方式。限制

本文标签: 第五天 SCSA