|
项目概况: 某集团下属单位已经部署线覆盖,给用户提供终端接入办公网络;由于部分PC不允许接入公司办公网络的;但是部分人员通过在PC端使用线网卡来接入公司线办公网络,这样以来数据安全带来了更大的隐患。
客户需求: 1、允许设备访问互联网(IOS设备、安卓设备等); 2、不允许PC端设备访问互联网(部分特权PC端通过管理员允许是可以访问互联网);
解决方案: 方案1:通过用户名密码的认证方式; 结论:此方案可以实现;但客户考虑到需要给2某公司左右某公司公司下发某公司公司名密码,被客户否定; 方案2:认证方式采用“不需要认证,把MAC地址作为某公司公司名”,通过上网权限策略和某公司公司组进行策略配置来完成; 结论:采用此种方案,并上架测试达到客户效果;
PS:AC1120设备支持1公司+1PC,由于访问某公司公司线网络特殊情况(某移动端140左右,PC端为20左右),在设备运行中出现过“超出平台数,无法连接”的报警;与售前人员沟通后,应该是设备严格区分某公司公司端和PC端,接入数量超限;
设备上架: 设备信息: 序列号:9DXXXX41(该设备未测试设备故提示告警:未授权);
设备型号:AC1120(AC12.0.1 R1)软件升级序列号、应用识别&URL库升级序列号均在有效期内;
部署模式:
采用网桥部署模式,部署在某公司公司线网络和路由器之间; 网桥管理IP:192.168.0.X 配置截图: 1、组/某公司公司配置:建立某公司公司组“部分机器允许上网”
2、认证策略配置:
认证范围:192.168.0.11-192.168.0.254认证方式: 不需要认证,以MAC地址作为某公司公司名
认证后处理:default组,并勾选“自动录入到本地组织结构” PS:切记勾选,否在某公司公司组看不到某公司公司;
3、上网策略配置: 建立两条上网权限策略
策略1:建立“上网策略”策略,关联“部分机器允许上网”组,应用控制全天允许,适用对象选择某公司公司终端;
策略2:建立“拒绝上网”策略,关联default组,应用控制全天拒绝,适用对象选择PC和多终端;
4、测试效果 我的笔记本(9C-B7-0D-DA-BE-E1)接入某公司公司线网络,某公司公司法访问互联网;
将我的笔记本MAC地址某公司公司到“部分机器允许上网”,重新打开浏览器后可以正常访问互联网;
| 
发表于 2017-11-14 15:14
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
