某企业近期出现内网有未通过portal认证的不明IP访问内网服务器读取机密文件的记录,需要对内网接入终端进行强管控,接入终端未通过认证前,内外网资源均不能访问,认证使用账号密码认证。确保终端入网均需认证,提高内网的安全性。
该需求结合AC本地用户对接入终端做802.1x认证,交换机开启802.1x,终端输入AC本地创建的用户名和密码完成认证上线,未认证前接入终端不能访问内网资源。
802.1x认证需要先启用AC的802.1x入网控制功能,将AC作为Radius服务器,配置相应的端口和服务器密钥;
选择用户来源,可选本地用户和AD域用户;
最后配置认证后处理的策略,包括用户所属组,是否绑定用户,是否限制用户登录等配置。
AC开启802.1x认证。
在导航菜单中的[接入管理/802.1x接入认证]点击开始配置。启用802.1X入网控制功能,并配置Radius认证端口为1812和计费端口为1813,服务器密钥为123。
说明:
1.配置的 Radius端口不能与联动对接设置中Radius认证服务器冲突。
2. AC内置两套Radius服务器,802.1x认证使用Free Radius,联动对接设置中的Radius是在Portal对接中使用,两者端口不冲突的情况下可以同时开启。
3.若冲突,请修改联动对接设置中Radius认证服务器的端口,配置为其他端口。
认证服务器启用本地密码认证,在[接入管理/用户管理/本地组/用户]中点击<新增>按钮创建本地用户,填写登录名和密码并点击<提交>。
当有认证数据发到AC时联动交换机会显示交换机的状态。
对接交换机802.1x配置。
对应交换机启用802.1x功能,认证服务器选择radius,radius服务器指向AC,交换机配置请参考《交换机802.1x配置工具V2.0》。链接地址:https://bbs.sangfor.com.cn路径:自助服务/常用工具/交换机802.1x配置工具。
802.1X配置工具,该工具集成了多种主流交换机厂商配置。
AC上需要获取到终端的IP与MAC地址的对应关系用以用户上线:共有三种方式上线,可以通过交换机配置计费报文带IP发到AC或者交换机配置镜像口接入到AC镜像口流量上线、通过抓取ARP或者DHCP包获取MAC或者通过SNMP跨三层获取MAC地址。建议是通过计费报文的方式。(若该厂商交换机计费报文中不携带IP,请参考SNMP配置章节)。
当有认证数据发到AC时[接入管理/802.1x接入认证/联动交换机]会显示交换机的状态。
认证助手配置(这里介绍通过界面重定向安装EXE包来安装准入客户端)。
在[接入管理/准入客户端配置]中依次勾选[开启准入客户端802.1x功能]、[设置准入客户端卸载密码]并填写密码、[设置准入客户端网关地址]并在[网关主IP地址]中填入AC设备的IP地址、[系统推送准入客户端]、[允许上网]。
(注意在AC控制台勾选开启准入认证客户端802.1x功能才会生成认证助手快捷方式用于输入账号密码)。
在PC终端电脑通过浏览器去访问互联网,此时AC会重定向准入客户端的下载安装界面给终端PC浏览器,点击<下载>。
下载下来解压之后以管理员权限安装singress.exe,注意勾选开启准入认证客户端802.1x功能才会生成快捷方式。
安装完成之后会在桌面生成快捷方式,双击运行。
用认证助手时注意右上角选择正确的网卡,并点击<登录>上线。
用户在认证助手输入账号密码登录成功后会显示在线时长。
2.在[全网监控/入网用户管理]的在线列表能看到用户的上线情况,认证方式为802.1x。
3.在PC[控制面板/程序/程序和功能]中找到ingress程序会点击卸载会提示输入卸载密码。需输入正确的卸载密码(准入客户端配置中设置的准入客户端卸载密码)才能卸载程序,否则提示“密码错误:禁止卸载”。
说明:802.1X详细配置(包括802.1x+AD域用户、802.1x+CA认证、MAB免认证等场景配置)请参考文档《深信服全网行为管理准入功能配置指导》
链接地址:https://bbs.sangfor.com.cn
路径:知识库/资料库。
建议使用Chrome浏览器访问!
