本帖最后由 饕餮2018 于 2020-7-29 16:53 编辑
我们学校面向师生提供免费的有线、无线的网络服务,使用AC进行实名制上网认证,在使用过程中,教职工反映只能同时有一个设备登录,电脑登录,手机就被踢下线,反之亦然。 一种解决方法就是允许教职工账户多终端登录,另一种方式对手机进行免认证操作,因为手机都是个人的私有财务,一般不会公用,所以为了方便教职工,我们采用第二种方案,对手机进行免认证。 手机免认证可以基于IP地址或者MAC地址,以为手机的MAC地址是通过DHCP动态分配的,所以我们使用基于MAC的免认证。我们通过填表的方式收集了所有教职工的手机MAC,并在OA和智慧校园办事大厅中建立“手机免认证申请”流程,当教职工更换手机后,填写流程,网络中心接到后,进行处理。 AC需要获得MAC地址和IP地址的对应表,对需要免认证设备(MAC)相应的IP地址进行免认证,但校园网中划分了很多的子网VLAN,AC无法直接获得MAC和IP的对应表,需要向核心交换机查询。 1、在核心交换机中开启SNMP协议 2、打开AC管理后台(以12.0.42版本为例),在导航菜单,找到“用户认证与管理”,选择“认证高级选项”,在右项“高级选项设置菜单”,选择“跨三层取MAC”,启用跨三层MAC识别,在”SNMP服务器列表“中,”新增“,填写相应的信息,主要是IP地址、IP OID、MAC OID、团体字,其中IP OID、MAC OID需要与核心交换机厂商联系获得。
3、所有核心交换机都设置好后,可以“查看当前获得的IP/MAC列表”,如下图所示即为正常。
4、将三层交换机的MAC地址列到“MAC地址排除列表”中。 做好前期准备,就可以实施手机免认证了 1、在“用户认证与管理 ”中的“组/用户”中专门新增一个手机组。 2、新增用户,填写相关手机用户信息,虽然是免认证,但同认证用户一样,可以进行策略管理 、流量管理、审计管理。 3、在“用户绑定”中,点击“新增”,绑定目的选择“限制登录”,绑定对象,选择“绑定MAC”,并填写正确的MAC地址,提交。 4、在“用户认证”中选择“用户策略”,新增手机免认证策略,在认证范围中将所有免认证手机的MAC地址填入,后期如果有换手机的,删除旧MAC,添加新MAC即可。 5、“认证方式”,选择“不需要认证”,用户名“自动获取”。 6、设置好以后,教职工的手机免认证就做好了,下图就是效果。 这个策略已经使用了三年,效果还是不错的,教职工比较满意,他们一换手机,都第一时间,填表,让我们开通新手机的免认证。同时也为智能电视、平板电脑、摄像头等难认证的设备做免认证。 当然这种方法,需要人工操作的地方比较多,如果有更好的方法,请各位专家留言告诉我们。 |