AC上网行为管理之用户认证技术

一、不需要认证

（1）首先为办公区的用户建一个用户组，在【用户认证与管理】－【用户管理】－【组/用户】中，点新增 ，选择【组】，定义组名：IT部

（2）新增【认证策略】，选择认证方式为不需要认证，不绑定任何地址

（3）【认证后处理】-【非本地/域用户使用该组上线】：IT部

二、IP/MAC绑定认证技术

跨三层识别方法（绑定方法）：SNMP 或 抓取ARP包、DHCP包获取MAC地址

1、配置思路

（1）首先为办公区的用户建一个用户组，在【用户认证与管理】－【用户管理】－【组/用户】中，点 新增，选择【组】，定义组名：办公区

（2）新增【认证策略】，选择认证方式为：不需要认证

（3）【认证后处理】-【非本地/域用户使用该组上线】选择：办公区

（4）勾选【自动录入绑定关系】-【自动录入IP和MAC的绑定关系】

三层网络环境下特别注意，需要开启以下功能：

（5）配置【认证高级选项】-【跨三层取MAC】

（注意：要在三层设备上设置允许AC访问其SNMP服务器）

2、IP与MAC绑定操作方法

（1）通过端口镜像，在核心交换机和AC之间重新跳根线（找空闲接口即可）交换机配置端口镜像到和AC相连接的接口

（2）通过SNMP，需要在核心交换机上配置以下命令开启SNMP

P OID对应的是交换机里面，IP地址列表的OID值信息

MAC OID对应的是交换机里面，MAC地址列表的OID值信息

常用的OID值：

思科交换机：

IP OID：1.3.6.1.2.1.3.1.1.3

MAC OID：1.3.6.1.2.1.3.1.1.2

华为/华三交换机：

IP OID：1.3.6.1.2.1.4.22.1.3

MAC OID：1.3.6.1.2.1.4.22.1.2

注意：其他厂商设备都可以先使用这两组OID尝试通过snmp获取arp表信息

三、密码认证

1、http认证流程

（1）URL解析

（2）DNS请求

（3）DNS回复

（4）PC向解析出的域名服务器地址发起，TCP三次握手（端口：80）

（5）PC向解析出的域名服务器发出GET请求，请求页面

（6）服务器回应HTTP/1.1 200 OK，返回主页数据包

（7）完成数据交互过程，四次挥手断开连接

2、AC HTTP识别控制原理

如果我们对该url做封堵,终端设备在发出get请求后（即完成HTTP识别）， AC设备会伪装成网站服务器向终端设备发一个状态码302的数据包，源ip是网站 服务器的ip地址（实际是我们设备发送的，我们设备发送的标识是ip.id为 0x5826），数据包中的内容是告知终端设备访问网站服务器的拒绝界面。

（1）PC先进行www.baidu.com DNS解析域名过程

（2）PC向解析出的www.baidu.com服务器地址发起TCP三次握手

（3）PC发起GET请求，在GET请求数据包中的host字段，看到访问网站的具体URL，跟策略URL相通；

（4）AC伪装成网站服务器向终端发一个状态码302的数据包，数据包中的内容是告知终端设备访问网站服务器的拒绝页面

3、http密码认证

（1）URL解析

（2）DNS请求

（3）DNS回复

（4）PC向解析出的域名服务器地址发起，TCP三次握手

（5）PC向解析出的域名服务器发出GET请求，请求页面

（6）AC伪装成服务器给PC，回应302重定向

（7）PC与AC进行TCP三次握手

（8）PC向AC发送GET请求认证页面

（9）AC回应PC HTTP/1.1 200 OK

（10）PC与AC四次挥手断开连接

（11）PC和服务器再次开始三次握手

（12）PC向服务器发送GET请求

（13）服务器向PC，回复200 OK，请求主页数据包

（14）完成数据交互过程，四次挥手断开连接

（15）打开页面

4、HTTP请求方法 

GET：请求读取一个Web页面

HEAD：请求读取一个Web页面的首部

POST：附加一个命名资源（如Web页面）

PUT：请求存储一个Web页面

DELETE：删除Web页面

CONNECT：用于代理服务器

TRACE：用于测试，要求服务器送回收到的请求

OPTION：查询特定选项

5、HTTP响应

1xx   通知信息

100=服务器正在处理客户请求

2xx   成功

200=请求成功(OK)

3xx   重定向

301=页面改变了位置

4xx   客户错误

403=禁止的页面；404=页面未找到

5xx   服务器错误

500=服务器内部错误；503=以后再试

66、HTTP头部

User-Agent: 浏览器 标识 ( 操作系统 标识; 加密等级标识; 浏览器 语言) 渲染引擎标识 版本信息

Server：响应头包含处理请求的原始服务器的软件信息

Referer：浏览器向 WEB 服务器表明自己是从哪个 网页/URL 获得/点击 当前请求中的网址/URL。

Location：WEB 服务器告诉浏览器，试图访问的对象已经被移到别的位置了，到该头部指定的位置去取

7、外部认证过程

（1）PC向AC/SG提交用户名密码信息

（2） AC/SG判断为外部认证，并把用户名密码信息发给外部认证服务器校验

（3）外部认证服务器校验后，向AC/SG发送认证失败或成功的消息

（4）AC/SG根据外部认证服务器返回的消息，确定是否让该PC通过认证。

（5）PC通过认证后，就可直接访问公网了

8、LDAP认证注意：

如果客户的域环境是独立域，添加外部认证服务器时，认证端口填写389；

如果是父子域，如父域sangfor.com,子域ac.sangfor.com,ssl.sangfor.com等，则外部认证服务器配置的是父域的地址，且端口需要填3268