某单位根据终端类型划分上网权限
  

大飞 1488

{{ttag.title}}
项目概况:
  某集团下属单位已经部署线覆盖,给用户提供终端接入办公网络;由于部分PC不允许接入公司办公网络的;但是部分人员通过在PC端使用线网卡来接入公司线办公网络,这样以来数据安全带来了更大的隐患。

客户需求:
1、允许设备访问互联网(IOS设备、安卓设备等);
2、不允许PC端设备访问互联网(部分特权PC端通过管理员允许是可以访问互联网);

解决方案:
方案1:通过用户名密码的认证方式;
结论:此方案可以实现;但客户考虑到需要给2某公司左右某公司公司下发某公司公司名密码,被客户否定;
方案2:认证方式采用“不需要认证,把MAC地址作为某公司公司名”,通过上网权限策略和某公司公司组进行策略配置来完成;
结论:采用此种方案,并上架测试达到客户效果;


PS:AC1120设备支持1公司+1PC,由于访问某公司公司线网络特殊情况(某移动端140左右,PC端为20左右),在设备运行中出现过“超出平台数,无法连接”的报警;与售前人员沟通后,应该是设备严格区分某公司公司端和PC端,接入数量超限;


设备上架:
设备信息:
序列号:9DXXXX41(该设备未测试设备故提示告警:未授权);
设备型号:AC1120(AC12.0.1 R1)软件升级序列号、应用识别&URL库升级序列号均在有效期内;

部署模式:
采用网桥部署模式,部署在某公司公司线网络和路由器之间;
网桥管理IP:192.168.0.X
配置截图:
1、组/某公司公司配置:建立某公司公司组“部分机器允许上网”
2846560b82c51c26be.png

2、认证策略配置:
认证范围:192.168.0.11-192.168.0.254认证方式:
不需要认证,以MAC地址作为某公司公司名
认证后处理:default组,并勾选“自动录入到本地组织结构”
PS:切记勾选,否在某公司公司组看不到某公司公司;


3、上网策略配置:
建立两条上网权限策略
策略1:建立“上网策略”策略,关联“部分机器允许上网”组,应用控制全天允许,适用对象选择某公司公司终端
策略2:建立“拒绝上网”策略,关联default组,应用控制全天拒绝,适用对象选择PC和多终端 9499560b82c6f28394.png

4、测试效果
我的笔记本(9C-B7-0D-DA-BE-E1)接入某公司公司线网络,某公司公司法访问互联网; 8180560b82c7aed9a0.png

将我的笔记本MAC地址某公司公司到“部分机器允许上网”,重新打开浏览器后可以正常访问互联网; 4.png

3.png

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

水之蓝色 发表于 2017-11-15 10:02
  
不错,控制住了网卡的mac,就能从根本上控制住了他能不能上网
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
标准化排查
秒懂零信任
自助服务平台操作指引
新版本体验
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

147
108
49

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

七嘴八舌bar

本周分享达人

新手76619...

本周提问达人