行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
AC11.2R1
行为管理AC 文档 典型案例 不需要认证用户配置案例
{{sendMatomoQuery("行为管理AC","不需要认证用户配置案例")}}

不需要认证用户配置案例

更新时间:2022-01-19

配置案例1:客户要求内网10.10.10.0/24网段的用户上网认证的过程是透明的,不会感知AC的存在,用ip标识终端身份,使用不需要认证的方式上线,上线后用户不添加到组织结构,使用“/内部组/”的权限上网。

第一步:设置用户的认证策略,进入『portal认证』→『认证策略』→『新增认证策略』进行配置:

设置[认证范围],本例中应设置:10.10.10.0/24

[认证方式]:选择不需要认证

[用户名]:选择以IP地址作为用户名

[认证后处理]:

案例要求认证成功的用户不用添加的组织结构,则不勾选[自动录入用户到本地组织结构]

认证成功后使用“/内部组/”的权限上网,则在[非本地/域用户使用该组上线]中选择“/内部组/”

第二步:用上线时,直接以IP用户名认证上线,在在线用户列表可以看到这个用户的信息:

配置案例2:客户要求内网10.10.10.0/24网段的用户使用不需要认证的方式上网,用户认证后以IP为用户名自动添加到组织结构,添加到“/内部组/”,由于内网IP是固定分配的,客户想要通过在AC上自动绑定IP、MAC的关系,确保内网用户上网不会随便修改IP地址,一旦用户随便修改了IP,则在AC上认证不通过,无法上网。内网到AC设备有跨三

层交换机。

第一步:设置用户的认证策略,进入『portal认证』→『认证策略』→『新增认证策略』进行配置:

设置[认证范围],本例中应设置:10.10.10.0/24

[认证方式]:选择不需要认证

[用户名]:选择以IP地址作为用户名

[认证后处理]:

案例要求认证成功的用户添加到组织结构,并添加到“/内部组/”

[非本地/域用户使用该组上线]选择“/内部组/”勾选[自动录入用户到本地组织结构]

勾选[自动录入IP和MAC的绑定关系]

设置完点击提交。

第二步:因为内网到AC是跨三层的环境,AC要启用SNMP功能,通过SNMP协议获取交换机上的用户真实MAC,这种场景需要内网交换机支持SNMP功能。

进入『认证高级选项』→『跨三层取MAC』页面,配置三层交换机的IP、MAC及SNMP信息,参考章节3.4.3.3.3。

第三步:用上线时,直接以IP用户名认证上线,在在线用户列表可以看到这个用户的信息:

用户认证时的IP/MAC绑定关系自动录入,可以在『IP/MAC绑定』页面进行查询: