#原创分享#禁止不在ac上实名绑定的用户上外网

【原创分享计划4】信服体验，为你喜欢的产品/功能打CALL...

单位的ac的认证方式是：不需要认证。具体设置如下图：

认证范围：内网ip段。

认证方式：不需要认证。

认证后处理：

这样的好处是只要连接上网线就可以上网，缺点就是不知道上网的是谁，无法对用户实行实名认证从而进行有效的管控。为了解决这一问题，决定进行整改。具体做法就是，接入网络的用户必须到网络中心进行实名登记，在ac上进行实名和设备mac绑定后，才能上网，否则就无法访问外网。

一、建立上网策略

登录ac，点击“策略管理”，点击“上网策略”，点击“新增”，选择“上网权限策略”，给策略起个名字：“禁止访问外网”。

勾选“应用控制”，点击“添加”，选择“全部”，点击“确定”。

“生效时间”选择“全天”，动作选择“拒绝”。点击“确定”。点击“提交”，策略建立完成。

二、关联用户组

策略建成了，但是不关联用户策略是不起作用的。

点击策略列表里新建的那个策略，点击“试用对象”选择本地用户组（一定是认证策略的那个默认用户组），点击“高级配置”，策略日期设置，选择“永不过期”，点击“提交”。设置完成。

这样，再有接入网络，确没有在ac上进行实名登记的用户，虽然能连入网络，但是无法访问外网。

对认证过的，将其从default组移到别的组就可以上网了。

感谢分享。

感谢楼主分享，某公司耶！

感谢分享。

您好，感谢您参与社区原创分享计划4，您的文章已被收录到计划中，交由专家评审核小组评审，分享奖励将在活动结束后统一安排发放！分享越多，奖励越多，期待您更多的精彩分享哦！:感恩:

厉害厉害

感谢分享

感谢分享。

感谢分享...

感谢楼主分享，楼主的实现方法是管理与设备结合的方式实现实名上线：接入网络的用户必须到网络中心进行实名登记。
安全本来就是要管理与技术相结合。这种实现方式没有问题，但是适用范围是有限的，中小型单位这样做完全没有问题，大型客户这样操作可能就需要安排专职人员负责这个工作了。
AC12.0.25以后推出了终端注册功能，可以匹配无账号、不需要认证场景实名登记的场景，楼主可以体验。