如何在未认证的情况下无法访问内网

现在用的AC做认证

但是不认证的时候

电脑已经获取到了内网的IP

而且内网之间都是互通的

如何在未认证的情况下

内网也不能访问呢

最好在不安装客户端的下解决

配置802.1X认证即可实现这个需求

802.1X认证是对于严格管控内网接入的场景，在没有认证之前。开启802.1X认证的接口不会放通任何数据，一般在二层交换机开启，在核心开启不能管控下面二层之间通信
全网AC13.X所有部署模式都支持802.1x认证，配置步骤如下：
1、AC【接入管理】-【接入认证】-【802.1x接入认证】在802.1x入网控制开启802.1x认证并设置好对应的端口及秘钥；
2、配置本地用户或者微软AD域用户，13.0.9及以上版本支持外部CA证书认证，13.0.15及以上版本支持用户自注册
3、交换机配置802.1x对接AC，保证radius是AC设备，秘钥及端口和AC设置的一致；
4、Windows终端选择自带的802.1x客户端或者使用准入客户端认证。
5、其它系统使用对应的自带认证客户端认证即可
AC配置802.1X相关资料链接：https://bbs.sangfor.com.cn/plugi ... base&tid=159975

注意：
1、只做802.1X认证，只需要保证交换机到AC可以通信即可，不需要流量经过设备
2、不支持做802.1X的哑终端，需要在交换机开启mab认证，设备针对哑终端Mac地址做用户绑定开启免认证
3、radius认证默认端口1812，计费端口1813，支持修改和交换机保持一致即可

常见交换机/无线控制器配置802.1X的方式：
https://bbs.sangfor.com.cn/plugi ... base&tid=159957

内网互访数据在AC设备认证情况如下：

针对portal认证策略：

1、AC只能对LAN-WAN的数据进行认证，如果内网互访的数据双向经过AC，那可以匹配AC设备上的认证策略进行认证，需要认证成功之后才可以访问此服务；

2、如果内网互访的数据根本不经过AC，那会匹配不到AC认证策略进行认证，可以通过手动访问AC设备认证页面认证，但是这个时候客户端不访问AC设备认证页面认证也是可以直接访问内网服务；

注意：从全网行为管理13.0.15和上网行为管理12.0.47版本开始，AC旁路模式LAN到LAN互访的数据镜像给我们AC设备之后，也会匹配AC认证策略，需要认证后才可以互访

针对802.1X认证：

全网行为AC设备支持802.1X认证，可以实现在没有认证之前不能访问内网（包括二层网络也不能接入），即不能经过二层交换机。即内网互访数据不管是否双向经过我们AC设备，都需要认证成功之后才可以互访

802.1X认证是对于严格管控内网接入的场景，在没有认证之前。开启802.1X认证的接口不会放通任何数据，一般在二层交换机开启，在核心开启不能管控下面二层之间通信
全网AC13.X所有部署模式都支持802.1x认证，配置步骤如下：
1、AC【接入管理】-【接入认证】-【802.1x接入认证】在802.1x入网控制开启802.1x认证并设置好对应的端口及秘钥；
2、配置本地用户或者微软AD域用户，13.0.9及以上版本支持外部CA证书认证，13.0.15及以上版本支持用户自注册
3、交换机配置802.1x对接AC，保证radius是AC设备，秘钥及端口和AC设置的一致；
4、Windows终端选择自带的802.1x客户端或者使用准入客户端认证。
5、其它系统使用对应的自带认证客户端认证即可
AC配置802.1X相关资料链接：https://bbs.sangfor.com.cn/plugi ... base&tid=159975

注意：
1、只做802.1X认证，只需要保证交换机到AC可以通信即可，不需要流量经过设备
2、不支持做802.1X的哑终端，需要在交换机开启mab认证，设备针对哑终端Mac地址做用户绑定开启免认证
3、radius认证默认端口1812，计费端口1813，支持修改和交换机保持一致即可

截止标准版本12.0.47以及全网版本13.0.47，认证策略可根据不同的内网IP段/MAC地址来设置不同的用户认证方式。-行一个IP (IPv6)、IP段、子网、VIanId(包括双层V1anIa)、或MAC地址
注意：默认认证策略是不需要认证不允许删除可以修改认证方式，当认证范围有公共部分时，用户匹配认证策略条件是从上往下匹配的，因此一个地址无法同时匹配2个认证策略

认证策略配置路径如下：
AC/SG 6.x及之前的版本
1、在【用户与策略管理】-【用户认证】-【认证策略】下面新增【认证策略】
2、填写适用范围，认证方式以及新用户选项，认证方式支持不需要认证，密码认证，单点登录等
3、新用户选项，可以按照需求设置添加到本地、仅作为临时账号，不添加到本地和不允许新用户认证。

AC/SG 11.0-12.0.44之间的版本
1、在【用户认证与管理】-【认证策略】下面新增【认证策略】
2、填写适用范围，认证方式以及认证后处理的选项，认证方式支持不需要认证，密码认证，单点登录等
3、认证后处理，就这个网段里面的用户添加到xx组

AC/SG 13.0.4及之后的版本（加上上网系列的12.0.47版本）
1、在【接入管理】-【接入认证】-【PORTAL认证】-【认证策略】下面新增【认证策略】
2、填写适用范围，认证方式以及认证后处理的选项，认证方式支持不需要认证，密码认证，单点登录等
3、认证后处理，就这个网段里面的用户添加到xx组

802.1X认证配置：在AC设备控制台【接入管理】-【接入认证】-【802.1X接入认证】中配置；

针对单用户设置认证策略参考：点击这里
不需要认证的认证策略参考：点击这里
不同认证方式可以在社区资料库搜索配置指导，具体配置参考：点击这里

802.1X认证是对于严格管控内网接入的场景，在没有认证之前。开启802.1X认证的接口不会放通任何数据，一般在二层交换机开启，在核心开启不能管控下面二层之间通信
全网AC13.X所有部署模式都支持802.1x认证，配置步骤如下：
1、AC【接入管理】-【接入认证】-【802.1x接入认证】在802.1x入网控制开启802.1x认证并设置好对应的端口及秘钥；
2、配置本地用户或者微软AD域用户，13.0.9及以上版本支持外部CA证书认证，13.0.15及以上版本支持用户自注册
3、交换机配置802.1x对接AC，保证radius是AC设备，秘钥及端口和AC设置的一致；
4、Windows终端选择自带的802.1x客户端或者使用准入客户端认证。
5、其它系统使用对应的自带认证客户端认证即可
AC配置802.1X相关资料链接：https://bbs.sangfor.com.cn/plugi ... base&tid=159975

注意：
1、只做802.1X认证，只需要保证交换机到AC可以通信即可，不需要流量经过设备
2、不支持做802.1X的哑终端，需要在交换机开启mab认证，设备针对哑终端Mac地址做用户绑定开启免认证
3、radius认证默认端口1812，计费端口1813，支持修改和交换机保持一致即可

常见交换机/无线控制器配置802.1X的方式：
https://bbs.sangfor.com.cn/plugi ... base&tid=159957

配置802.1X认证即可实现这个需求

802.1X认证是对于严格管控内网接入的场景，在没有认证之前。开启802.1X认证的接口不会放通任何数据，一般在二层交换机开启，在核心开启不能管控下面二层之间通信

全网AC13.X所有部署模式都支持802.1x认证，配置步骤如下：

1、AC【接入管理】-【接入认证】-【802.1x接入认证】在802.1x入网控制开启802.1x认证并设置好对应的端口及秘钥；

2、配置本地用户或者微软AD域用户，13.0.9及以上版本支持外部CA证书认证，13.0.15及以上版本支持用户自注册

3、交换机配置802.1x对接AC，保证radius是AC设备，秘钥及端口和AC设置的一致；

4、Windows终端选择自带的802.1x客户端或者使用准入客户端认证。

5、其它系统使用对应的自带认证客户端认证即可

AC配置802.1X相关资料链接：https://bbs.sangfor.com.cn/plugin.php?id=sangfor_databases:index&mod=viewdatabase&tid=159975

注意：

1、只做802.1X认证，只需要保证交换机到AC可以通信即可，不需要流量经过设备

2、不支持做802.1X的哑终端，需要在交换机开启mab认证，设备针对哑终端Mac地址做用户绑定开启免认证

3、radius认证默认端口1812，计费端口1813，支持修改和交换机保持一致即可

常见交换机/无线控制器配置802.1X的方式：

https://bbs.sangfor.com.cn/plugin.php?id=sangfor_databases:index&mod=viewdatabase&tid=159957