单位的ac的认证方式是:不需要认证。具体设置如下图: 认证范围:内网ip段。 认证方式:不需要认证。 认证后处理: 这样的好处是只要连接上网线就可以上网,缺点就是不知道上网的是谁,无法对用户实行实名认证从而进行有效的管控。为了解决这一问题,决定进行整改。具体做法就是,接入网络的用户必须到网络中心进行实名登记,在ac上进行实名和设备mac绑定后,才能上网,否则就无法访问外网。 一、建立上网策略 登录ac,点击“策略管理”,点击“上网策略”,点击“新增”,选择“上网权限策略”,给策略起个名字:“禁止访问外网”。 勾选“应用控制”,点击“添加”,选择“全部”,点击“确定”。 “生效时间”选择“全天”,动作选择“拒绝”。点击“确定”。点击“提交”,策略建立完成。 二、关联用户组 策略建成了,但是不关联用户策略是不起作用的。 点击策略列表里新建的那个策略,点击“试用对象”选择本地用户组中认证策略中设置的默认组名(一定要是这个默认组),点击“高级配置”,策略日期设置,选择“永不过期”,点击“提交”。设置完成。
这样,再有用户联网,确没有在ac上进行实名登记的用户,虽然能连入网络,但是无法访问外网。 这个策略只是针对新加入的用户,因为新加入的用户默认会在default组,如果想让用户上网,将他从default组移动到其他组就可以了。
|