【全网行为管理】03-用户认证技术之无需认证

装备实验

开始实验01:00:00

拓扑

实验手册

实验报告

声明：本实验手册仅供学习交流使用，请勿用于非法用途，违者一律自行承担所有风险！PS：本窗口支持左右拉伸

用户认证技术之无需认证

实验目标

学会配置AC的用户认证，本实验中不会强制认证，即无需认证。AC会以用户的IP地址作为用户标识，记录用户行为。

实验原理

AC作为网关部署在公司互联网出口，当用户访问网络的流量经过AC时，AC记录用户的IP作为用户标识。

实验场景

某大型集团公司，内部PC均使用固定IP地址。现在要通过IP地址审计用户上网行为。要求对用户上网不要造成任何影响。

实验拓扑

实验设备

1、总部AC ，作总部出口网关使用
2、PC1，普通办公PC，员工办公使用。
3、PC2，普通办公PC，员工办公使用。
4、Internet-WEB Server， 作为在互联网上的服务器

环境预配

环境预配，是指已经实验场景化的配置边界。
实验环境中，非深信服设备，不需要学员配置。如交换机、路由器、PC、服务器。

实验环境中，深信服设备，需要学员按实验拓扑说明进行配置。

实验环境中，配置基本遵循上述两条原则，少数实验例外。例外过程，在实验步骤中说明

实验步骤

一、配置总部AC的网络（操作对象：总部AC）

登录设备过程略

1.1 开始配置网络

1.2 选择路由模式

1.3 根据拓扑图，配置网卡，如下图

其中
eth1为LAN口，即办公区
eth2为DMZ口，即服务器区
eth3为WAN口，即互联网区

1.4 配置eth1

eth1接办公区，IP地址参照拓扑图配置

1.5 配置eth3

eth3接互联网区，IP地址参照拓扑图配置

1.6 配置eth2

eth2接DMZ区，即服务器区，IP地址参照拓扑图配置

1.7 配置代理上网

这里配置代理办公网段上网。办公网网段为192.168.1.0/24

1.8 检查无误后提交

二、配置认证策略。（操作对象：总部AC）

2.1 查看当前认证策略

在深信服上网行为管理中，默认对所有的IP地址均无需认证。

2.2 对办公网段，定义无需认证

办公网段IP为192.168.1.0/24

配置如下

2.3 查看定义的认证策略

AC在匹配认证策略时，会从上往下依次匹配，所以这里要注意认证策略的先后关系。

确保我们在2.2中新建的策略优先级最高。

这样才能保证我们新建的策略优先级高于默认策略。用户才能到default组

三、使用PC1上网，生成认证数据。 (操作对象:PC1)

使用PC1的浏览器，访问Internet-WEB Server服务器,即124.126.200.2

四、使用PC2上网，生成认证数据。 (操作对象:PC2)

使用PC2的浏览器，访问Internet-WEB Server服务器,即124.126.200.2

五、查看AC的用户认证状态 (操作对象：总部AC)

实验思考（有能力与时间可以学习）

上述实验过程中，使用的是IP地址作为用户名。如下图

思考下面几个问题

1、什么情况下可以使用MAC地址作为用户名？

2、什么情况下不可以使用MAC地址作用用户名？怎么样解决这个问题？

答案如下：

1、AC如果想使用MAC地址作为用户名，那么AC必须要知道PC1与PC2的MAC地址，当AC与PC1、PC2处于同一广播域，可以使用ARP协议，获取PC1与PC2的MAC地址，进而使用MAC地址作为用户名

2、如果AC与PC不处于同一广播域，那么AC无法通过ARP获取PC的MAC地址，无法使用MAC地址作用用户名。
解决方法：
AC与PC不处于同一广播域，在大型公司网络中非常常见，通常中间会跨跃三层交换机。

此时可以使AC的通过手段读取办公PC的IP与MAC地址映射关系，来实现MAC地址验证。

常见的手段有
1、通过映射端口流量读取ARP或DHCP
2、通过SNMP取三层交换机的IP与MAC对应关系

配置界面如下

关于MAC地址认证小结：

其本质就是AC要获取到PC的IP与MAC地址对应关系。