一、背景描述1、客户现有网络有有线无线,均为DHCP获取地址,有线一个网段,无线一个网段; 2、使用华为NCE做portal认证; 3、新增AC做审计和应用管控(120版本)。 拓扑图: 【客户需求】 1、单位安全事故频发,但网络环境为DHCP,IP经常变,无法快速定位到责任人,需要在AC上进行行为审计,并希望在AC上能定位到终端用户,方便后续溯源; 2、对普通员工进行应用管控,领导则不用; 3、希望不需要重复认证,只在华为NCE认证即可,以方便统一管理。
【思路】 需求1和3解决办法: 那AC只能对接华为NCE做单点登录,以获取NCE的用户认证信息,这样就可以快速溯源定位到责任人,终端用户也只需填写一次认证。 需求2: 难点1、网络为DHCP,领导和普通员工混在一个网段,客户也不想在DHCP那里绑定领导的IP和MAC来固定分配地址,觉得太麻烦,那就无法通过IP做应用管控。 难点2、IP不行,那就考虑通过用户来,但是AC不支持将从华为准入系统上来的用户名或组织架构显示在AC本地。这意味着虽然用户能以华为NCE上的用户名在AC上线,但其组织架构信息无法同步到AC的设备本地,因此也无法在AC上直接对这些用户或用户组关联和配置上网权限策略、流控策略等进行精细化管理。 GG了,这个不行那个不行的,但天无绝人之路,了解到华为NCE认证是从AD域控同步。 用户的组织架构及账号密码信息的,也就是说AC只要对接AD域,就能拿到和NCE一样的。 组织架构了,就可以基于用户来做管控。 开干!!!
二、配置 1、AC旁路部署,从交换机镜像流量过来(这个就不细说了); 2、AC对接AD域: 接入管理-接入认证-portal认证-认证服务器,新增LDAP服务器,填写相关对接信息,需要一个域管理员权限的账号。 AD域如果有开启加密的话,AC这里也要勾开启加密,加密方式与AD域一致即可。 然后在用个普通域账号测试有效性即可,这里不做了,对接成功后同步LDAP后,即可在用户管理看到同步过来的组织架构了。 3、AC对接华为NCE: AC配置: 接入认证-单点登录-第三方设备,选择华为Agile Controller(和华为NCE是一样的,AC这边没做区分),配置对接信息,IP、密钥和端口(华为默认端口8001,两边一致即可)。
iMaster NCE-Campus使用8445端口进行对接。缺省情况下,iMaster NCE-Campus的8445端口是关闭的,需要在管理面开启(注意,这里8445端口是华为NCE对接行为管理类设备端口,与上文和AC对接8001端口不是一回事)。 在主菜单中选择“产品 > 软件管理 > 部署产品软件”,单击“更多 > 修改配置参数”,将“ENABLE_8445(是否启用ACANginx服务的8445端口)”设置为“true”,单击“确定”。 在主菜单中选择“准入管理 > 准入策略 > 增值业务”,单击“上网行为管理”页签。 单击“创建”,添加上网行为管理设备,填写AC地址,对接端口,加密算法(AC只支持AES128),密钥、认证网段。
对接成功后在AC添加单点登录认证策略,认证服务器选上文配置的NCE。
用户在NCE上线后,即可在AC单点登录上线,可以在在线用户管理-域用户那里看到用户上线,认证方式是单点登录(测试时忘记截图了,随便截个图将就看,是可以看到用户上来了的)。
查看当时认证日志作证,通过华为准入单点登录上线下线。
4、AC配置应用控制策略: 这个就正常配置,就对象在域用户那里选。
这个时候AC从AD域那里拿到了组织架构,又从华为NCE拿到用户认证信息,就能满足这个客户的需求了,既可以不用重复认证,通过用户名快速溯源,也可以通过用户名来做应用权限管控。
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2026-4-15 16:46
技术员1级 
