全网行为管理旁路用户管控 1.旁路模式不需改变用户的网络
  

山西众成达_霍淼云 978

{{ttag.title}}
全网行为管理旁路用户管控
1.旁路模式不需改变用户的网络环境,并且可以避免设备对用户网络造成中断的风险。 用于把设备接在交换机的镜像口或者接在HUB上,保证内网用户上网的数据经过此交 换机或者HUB,并且设置镜像口的时候需要同时镜像上下行的数据,从而实现对上网 数据的监控与控制。 如果旁路部署的全网AC开启了802.1x准入功能,当AC宕机时会造成入网用户无法通 过认证导致断网的情况。如果在交换机上开启了802.1X逃生功能,旁路部署的AC
宕 机后入网用户无需认证直接入网,不会对入网用户造成断网影响。常见的应用环境如 下。

用户需求: 监控内网各个网段的上网数据,现有用户终端是通过DHCP自动获取地址,用户做以mac地址做用户名不需要认证,新用户需要通过认证或者允许后才可以接入访问内网。哑终端用户使用以MAC地址做用户名不需要认证,并且能够在内网随时登录设备控制台进行管理。 综合用户的需求和特殊的网络拓扑,采用如下部署方式:因为需要设备可以跨三层取MAC, 核心交换机需要启用snmp功能,设备做旁路模式,镜像口把核心交换机流量镜像到设备,通过镜像流量管控用户作认证策略。

注意事项
1. 用户必须使用HUB或者交换机具有镜像口的情况。如果交换机没有镜像口,可以在 交换机前加接HUB实现。
2. 旁路模式下,流量显示、活动连接排名显示无效。
3. 旁路模式下,TCP的控制是通过DMZ口发送reset包实现的,因此要保证DMZ口发 送的reset包都能被PC和公网服务器收到。
4. 旁路模式下很多功能不能实现,比如VPN、DHCP等。
5. 旁路模式主要起监控的作用,限制的功能没有路由模式和网桥模式那么全面。只能 对TCP的连接进行限制,比如URL过滤,关键字过滤,邮件过滤等。对UDP不做限 制,比如P2P软件,QQ的登录等。
6. 旁路模式下,只有在WAN口接镜像口的情况下,网关运行状态才会显示流量图,且 在接了WAN口的情况下,网络接口状态下只有接收流量没有发送流量。

操作步骤:
1.先配置设备,通过默认IP登录设备,比如通过LAN口登录设备,LAN口的默认 IP 是 10.251.251.251/24 ,在电脑上配置一个此网段的 IP 地址,通过 https://10.251.251.251登录设备,默认登录用户名/密码是:admin/admin。
2. 在导航菜单页面中的[系统管理/网络配置/部署模式],右边进入部署模式编辑页 面,点击开始配置,出现以下页面,配置设备模式为旁路模式,点击【下一步】

3.切换到旁路模式时会恢复默认配置,建议先手动备份一下当前配置。
4.配置管理网口地址:旁路模式下,管理网口默认选择ETH0口,可选择修改。 认证口按需配置,一般是在分支AC需要做认证托管时,将认证口发布到公网的情况, 认证口为了安全部分端口不放开为WAN属性,如果是内网使用,建议只启用管理口。

[IP 地址]填写分配给设备管理口(DMZ 接口)的 IP 地址,此例中需要将 DMZ 口接 到内网交换机上,所以填写一个可以和交换机以及内网通信的 IP 地址。
[默认网关]指的是设备的网关,此例中填写和 DMZ 口连接的交换机的网口地址。 在[首选 DNS]和[备用 DNS]中填写公网可以使用的 DNS 地址。  选择镜像口,配置监控网段和监控服务器列表。  
[监控网段与排除 IP 地址列表]:中填写需要监控的网段,以及需要排除监控的地 址。此处填写内网的网段 192.168.1.0/255.255.255.0,则此时这个网段访问其他 网段的数据都会被监控,这个网段之间的访问不会被监控。排除网段用 192.168.1.1-192.168.1.10 表示,填入后表示 192.168.1.1-192.168.1.10 这个范 围内的 IP 访问其他网段(外网)的数据不会被监控。  
高级配置中用于设置[监控服务器列表],填入列表中的地址,在被监控网段中的 IP 访问时,数据也会被监控。例如内网有一台 web 服务器,用户想要记录内网 用户访问这台服务器的数据,因为同一网段的访问是不会被监控的,此时,将 web 服务器的 IP 地址填写到[监控服务器列表]中即可。
以上说的是监控的设置,因为旁路模式下可以实现部分 TCP 控制功能,控制功 能是在监控的基础上实现的,也就是说能监控的数据才能被控制。

5.确认配置信息,点击。【提交】

6.设置完毕需要重启设备才可以生效,在弹出的提示框中点击【是】


交换机镜像配置(华三交换机配置):

7.用户管理与认证
创建用户:用于内网终端登录用户账号上网使用
【接入管理】—【本地组/用户】—【新增用户】


【登录名】:填写用户名称
【当前所熟组】:选择当前新增用户所属于那个用户组
【本地密码】:设置用户登录是使用的密码数值(若需要客户在首次登录是自行修改密码,则需要勾选【初次认证修改密码】)





按照实际情况分析,设备需要创建的用户数时很多的、大量的,此时就需要按照以上描述的操作方式创建一个【用户】,选择【导出导入】—【导出】本地用户信息(创建的用户),以通过 CSV 的文件导出用户会形成表格,在表格中按格式编写用户信息后保存并推出,再次登录AC管理控制台选择【导出导入】—【导入】以通过 CSV 的文件导入用户,通过一个 CSV 的文件导入用户,导入用户时可以同时导入显示名、所属组、密码、允许登录的 IP 范围、是否公用账号、自定义属性等。如果导入用户时指定的所属组不存在,也会自动建立用户组。

8.认证策略配置:
选择【接入管理】—【接入认证】—【PORTAL认证】—【认证策略】—【新增】:
【名称】:策略名称可自定义
【认证范围】:填写需要认证的IP网段或者mac地址(例如:192.168.0.0/24或者192.168.0.0-192.168.0.254,如果是多个网段在填写完一个网段后用回车键另起一行填写。Mac地址形式84-14-4D-CF-BF-CF)
【认证方式】:常用的有【不需要认证】和【密码认证】
【不需要认证】是在客户不需要输入密码登录的情况下使用,客户在经过AC认证时使用无感知状态和正常上网一样。
【密码认证】当客户环境需要通过输入密码认证上网(客户上网时,打开浏览器会跳转至AC用户认证界面上网)
【认证后处理】:确认通过此认证策略认证上线的用户属于那个用户组(与本地组/用户管理的配置有关)




9.终端及哑终端设备需要跨三层取MAC,通过MAC作为用户名作不需要认证策略
配置跨三层取MAC
内网用户绑定MAC地址或者限定了用户的MAC地址范围,并且内网是跨三层的环境下,需要启用『跨三层取MAC』的功能,用于获取内网用户的MAC地址。使用此功能的前提是内网交换机支持SNMP功能,AC通过SNMP协议获取交换机上内网用户真实的MAC地址。
原理:设备上会定期发snmp request到三层交换机请求交换机的MAC表,并保存在设备内存中。此时如果三层交换机其它网段的电脑经过设备上网时,如一台PC 192.168.1.2(和设备lan口不在同一网段)经过设备上网,该PC数据包经过设备时,设备校验此数据包的MAC是三层交换机的MAC,则对此MAC不做处理,而根据192.168.1.2这个IP去内存中查找其真实的MAC地址,实现对用户真实MAC的验证。
选择【接入认证】——【联动对接设置】——【跨三层取mac】

【启用跨三层取mac识别】——新增snmp服务器
填写交换机的IP地址和正确的
[IP]:填写交换机IP地址
[IP OID]:填写SNMP信息中IP对应的OID
[MAC OID]:填写SNMP信息中MAC对应的OID
[community]:填写SNMP协商的密钥
[超时时间]:设置AC获取SNMP信息的超时时间
[获取时间间隔]:设置AC多久发一次SNMP请求获取信息
[每次获取的最大个数]:设置每次获取的SNMP条目的最大个数
点击查看服务器信息,用于查看SNMP服务器即交换机的上的SNMP信息
点击提交,完成设置。

10.SNMP交换机配置(华三交换机配置:

11.配置完成后查看获取的mac地址

12.终端及哑终端设备做不需要认证以mac地址做用户名


认证范围填写获取到的mac地址

不需要认证【以mac地址作为用户名】

认证后处理——【自动录入用户到本地组织结构】——【自动录入绑定关系】——【自动录入用户        ip/mac绑定关系】——选择绑定MAC

注意事项:
1.做不允许认证策略把所有需要管控的地址段加到这条策略中(策略放在最下面)
2.服务器网段做不需要认证(以IP地址做用户名)
3.新建新用户终端组,做不需要认证以MAC地址用户。有新用户上线后可以通过查看用户的MAC地址放通这个物理地址允许其访问内网。

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

新手287577 发表于 2024-3-1 13:26
  
认证后处理——【自动录入用户到本地组织结构】——【自动录入绑定关系】——【自动录入用户        ip/mac绑定关系】——选择绑定MAC
一个无趣的人 发表于 2024-3-11 09:50
  
多谢分享,有助于工作,期待更多的分享。
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
每日一问
干货满满
【 社区to talk】
新版本体验
技术笔记
功能体验
产品连连看
技术咨询
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
通用技术
信服课堂视频
秒懂零信任
自助服务平台操作指引
安装部署配置
排障笔记本
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

147
113
49

发帖

粉丝

关注

121
315
352

发帖

粉丝

关注

7
20
6

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

七嘴八舌bar

本周分享达人

新手76619...

本周提问达人