一、不需要认证
(1)首先为办公区的用户建一个用户组,在【用户认证与管理】-【用户管理】-【组/用户】中,点新增 ,选择【组】,定义组名:IT部
(2)新增【认证策略】,选择认证方式为不需要认证,不绑定任何地址
(3)【认证后处理】-【非本地/域用户使用该组上线】:IT部
二、IP/MAC绑定认证技术
跨三层识别方法(绑定方法):SNMP 或 抓取ARP包、DHCP包获取MAC地址
1、配置思路
(1)首先为办公区的用户建一个用户组,在【用户认证与管理】-【用户管理】-【组/用户】中,点 新增,选择【组】,定义组名:办公区
(2)新增【认证策略】,选择认证方式为:不需要认证
(3)【认证后处理】-【非本地/域用户使用该组上线】选择:办公区
(4)勾选【自动录入绑定关系】-【自动录入IP和MAC的绑定关系】
三层网络环境下特别注意,需要开启以下功能:
(5)配置【认证高级选项】-【跨三层取MAC】
(注意:要在三层设备上设置允许AC访问其SNMP服务器)
2、IP与MAC绑定操作方法
(1)通过端口镜像,在核心交换机和AC之间重新跳根线(找空闲接口即可)交换机配置端口镜像到和AC相连接的接口
(2)通过SNMP,需要在核心交换机上配置以下命令开启SNMP
P OID对应的是交换机里面,IP地址列表的OID值信息
MAC OID对应的是交换机里面,MAC地址列表的OID值信息
常用的OID值:
思科交换机:
IP OID:1.3.6.1.2.1.3.1.1.3
MAC OID:1.3.6.1.2.1.3.1.1.2
华为/华三交换机:
IP OID:1.3.6.1.2.1.4.22.1.3
MAC OID:1.3.6.1.2.1.4.22.1.2
注意:其他厂商设备都可以先使用这两组OID尝试通过snmp获取arp表信息
三、密码认证
1、http认证流程
(1)URL解析
(2)DNS请求
(3)DNS回复
(4)PC向解析出的域名服务器地址发起,TCP三次握手(端口:80)
(5)PC向解析出的域名服务器发出GET请求,请求页面
(6)服务器回应HTTP/1.1 200 OK,返回主页数据包
(7)完成数据交互过程,四次挥手断开连接
2、AC HTTP识别控制原理
如果我们对该url做封堵,终端设备在发出get请求后(即完成HTTP识别), AC设备会伪装成网站服务器向终端设备发一个状态码302的数据包,源ip是网站 服务器的ip地址(实际是我们设备发送的,我们设备发送的标识是ip.id为 0x5826),数据包中的内容是告知终端设备访问网站服务器的拒绝界面。
(1)PC先进行www.baidu.com DNS解析域名过程
(2)PC向解析出的www.baidu.com服务器地址发起TCP三次握手
(3)PC发起GET请求,在GET请求数据包中的host字段,看到访问网站的具体URL,跟策略URL相通;
(4)AC伪装成网站服务器向终端发一个状态码302的数据包,数据包中的内容是告知终端设备访问网站服务器的拒绝页面
3、http密码认证
(1)URL解析
(2)DNS请求
(3)DNS回复
(4)PC向解析出的域名服务器地址发起,TCP三次握手
(5)PC向解析出的域名服务器发出GET请求,请求页面
(6)AC伪装成服务器给PC,回应302重定向
(7)PC与AC进行TCP三次握手
(8)PC向AC发送GET请求认证页面
(9)AC回应PC HTTP/1.1 200 OK
(10)PC与AC四次挥手断开连接
(11)PC和服务器再次开始三次握手
(12)PC向服务器发送GET请求
(13)服务器向PC,回复200 OK,请求主页数据包
(14)完成数据交互过程,四次挥手断开连接
(15)打开页面
4、HTTP请求方法
GET:请求读取一个Web页面
HEAD:请求读取一个Web页面的首部
POST:附加一个命名资源(如Web页面)
PUT:请求存储一个Web页面
DELETE:删除Web页面
CONNECT:用于代理服务器
TRACE:用于测试,要求服务器送回收到的请求
OPTION:查询特定选项
5、HTTP响应
1xx 通知信息100=服务器正在处理客户请求2xx 成功200=请求成功(OK)3xx 重定向301=页面改变了位置4xx 客户错误403=禁止的页面;404=页面未找到5xx 服务器错误500=服务器内部错误;503=以后再试
66、HTTP头部
User-Agent: 浏览器 标识 ( 操作系统 标识; 加密等级标识; 浏览器 语言) 渲染引擎标识 版本信息Server:响应头包含处理请求的原始服务器的软件信息Referer:浏览器向 WEB 服务器表明自己是从哪个 网页/URL 获得/点击 当前请求中的网址/URL。Location:WEB 服务器告诉浏览器,试图访问的对象已经被移到别的位置了,到该头部指定的位置去取