AC上网行为管理之全网行为管理

一、802.1x协议介绍

认证方法：8021x认证、EAPOE认证

弥补了原来认证的短板：未通过认证就可以访问内网资源

8021.1x：主要目的是为了解决局域网用户接入认证问题

RADIUS协议认证方式，C/S架构
认证模式：基于端口，基于MAC

认证方式：EAP终结、EAP透传

端口控制：自动识别、强制授权、强制非授权

1、802.1x的使用背景：

AC一般路由部署或者网桥部署，只能对经过设备的用户做认证和管控，内网这些终端设备无法管控，没有经过可信认证就可接入二层交换机，从而直接访问服务器。无法保证业务安全。

2、认证流程：

（1）客户端发起请求

（2）交换机收到请求，要求客户端提交认证信息

（3）客户端提交认证信息

（4）交换机收到认证信息，转交AC

（5）AC收到认证信息判断是否认证成功，并把结果交给交换机

（6）如果认证成功，则交换机打开端口

3、上线流程：

完成认证之后就放通了端口，但是未在AC设备上线，上线过程如下（需要收到计费开始请求之后才开始走上线流程）：

1、认证成功后，将终端MAC地址缓存在设备内存中5分钟

2、需要获取IP/MAC对应关系完成上线

（1）计费报文带IP

（2）通过镜像获取DHCP，ARP广播报文

（3）跨三层取MAC的方式

4、旁路重定向认证

（1）AC旁挂在核心交换机上，对未认证通过的请求发reset包的方式拒绝请求；对需要认证的发302重定向，进行重定向认证。

（2）在没有认证之前不能访问内网业务，即不能经过核心交换机，这种方案实施非常方便简单，仅需要在交换机上镜像数据就可以，不需要交换机做各种配置对接

5、旁路模式密码认证与802.1x认证对比

6、旁路模式密码认证流程：

（1）终端访问业务或上网数据经过交换机，交换机镜像数据包到AC上，AC检查终端是否已经认证过了，如果没有认证，则发302重定向包；

（2）终端接到302重定向包，到AC设备上进行认证；

（3）认证通过后不再发重定向包，进行放行；认证不通过的，发reset阻断用户对业务的访问；

7、终端检查功能

杀软检查：

检测方法：流量检测、准入插件检测

支持禁止上网，提示用户，只记录结果，违规修复和限制用户权限五种违规处理方式

登陆域检查：

检测方法：准入插件

支持禁止上网，提示用户，只记录结果和违规修复四种违规处理方式

非法外联检测

终端管控功能：

外设管控：支持存储设备、网络设备、蓝牙设备、摄像头和打印机的管控

动作：允许、禁止、精准管控

识别审计功能：

终端识别：识别内网资产

IP管理：方便网络管理员知道IP段地址使用情况

业务审计，做到：知道你是谁，能做什么，做了什么

U盘审计，支持离线审计

AC支持审计那些类型业务：web业务 smb类型业务 ftp类型业务

给准入插件发送审计日志端口：886

惩罚通道只能给用户限额使用

全网上网态势分析适用于总部多分支网络场景

Pop3只支持单点登录，不支持外部认证