AC用户身份认证
临时用户、Dkey用户、无需认证的用户无法被强制注销,可以通过配置"无流量时强制注销用户“来清除临时用户
AC用户认证方式:
1.不需要认证
密码认证:本地密码认证、第三方服务器认证、短信、微信、二维码
2.Dkey认证
3.单点登录
4.不允许认证
.......
AC通过抓取数据包,根据数据包的源IP和源MAC来获得上网用户的IP地址和MAC地址,通过NETBIOS协议来获得用户的计算机名
数据包经过二层设备,源目MAC不变;数据包经过三层设备,源目MAC都会发生变化
跨三层取MAC技术:
1.在终端的网关设备上开启SNMP,允许AC读取本地的ARP表
2.在AC上配置SNMP读取网关设备上的ARP表,通过ARP表来获得终端PC的真实MAC
跨三层取MAC配置:
1.在终端网关上开启SNMP
2.在AC上配置跨三层取MAC,添加SNMP对象为网关设备
3.在AC上配置排除下连的三层交换机的MAC地址
数据包经过二层交换机转发后,数据包的源MAC地址不会改变
数据包经过三层交换机转发后,数据包的源MAC地址会改变
为什么会改变MAC地址了? 最好的举例画图
PC-A经过(B1路由器B2)--(C1路由器C2)到达PC-B,原理:由A发给路由器B,B经过重封装后,源IP和目标IP是不变的,源MAC地址变成B2的MAC地址,目标MAC地址变成C1的MAC地址,封装完成发送给路由器C,路由器C接收到数据包后和B做的操作是一样的,源IP和目标IP的不变的,源MAC地址变成C2的MAC地址,目标MAC地址变成主机B的MAC地址,然后发送给主机B,这样B就收到了这个数据包,当恢复数据包的时候就是把收到的数据包的源IP地址(主机A的IP地址)和源MAC地址(接口C2的MAC地址)作为他的目标IP和目标MAC地址
SNMP端口: UDP161、UDP162
如果设备网桥部署在30位掩码网络中,可用的IP地址只有两个,可以通过配置管理口的IP地址来取MAC
URL地址格式:协议头、主机地址:端口、文件路径
常见的服务的端口号
HTTP TCP80
FTP TCP20 21
SNMP UDP161 162
SMTP TCP25 简单邮件传输协议
TELNET TCP23 远程登陆
SSH TCP22 安全外壳
POP TCP110 邮局协议
HTTPS TCP443
DNS UDP53
RDP TCP3389 远程桌面
外部认证:用户创建在第三方服务器上,AC把用户提交的用户名和密码交由第三方服务器去验证,验证结果通告给AC,AC再通告给用户
认证服务器管理员账号写法,例:dc=cti,dc=sangfor,dc=com
|
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2020-9-11 10:48
技术员2级 
