【2022争霸赛*干货满满】AC与锐捷sam对接用户显示账号

       很多教育客户都是用锐捷作为网络设备，SAM认证系统更是标配。而受等保安全要求审计又是必须的，所以客户又购有深信服的ac上网行为管理做审计。在这种环境下，很多客户就希望上网行为管理上看到的在线用户是学校师生的上网账号，以便查询日志记录，SAM认证系统和AC上网行为管理的对接就势在必行。

       目前论坛上是有ac对接锐捷sam单点登录案例分享的，链接这里贴出来AC与锐捷sam对接单点登录 - 行为管理AC - 深信服社区 (sangfor.com.cn) ；知识库里面也有资料，链接这里贴出来SANGFOR_AC_ALL_锐捷sam系统认证说明及配置示例_20110110.pdf - 深信服社区。简单来说，一种是脚本单点登录，一种是数据库单点登录。但是这里要分享第三种方式，原因是前两者是直接针对锐捷sam数据库操作的，容易导致锐捷sam数据库崩溃，目前通过前两种方式对接时锐捷调试工程师会明确拒绝，而且我通过前两种方式对接的三个案例中两个数据库都崩过，sam崩了学校认证就会瘫痪，即使重启sam一段时间后还是经不住ac查询数据库。

好了进入正文，第三种方式是通过镜像流量监听锐捷sam服务器的方式来实现的,这种方式登录对锐捷sam服务器进行操作，只需要锐捷sam服务器接口的镜像流量，对客户网络无影响，对ac的部署模式也没有要求，网桥、路由、旁路均可以（这里分享的ac配置采用的网桥模式，图1）

图1

配置如下：

  1、接入管理-接入认证-PORTAL认证-单点登录，点击“其他选项”，启用镜像网口，勾选一个网口，然后将锐捷sam服务器的网口流量镜像到这个网口。（图2）

图2

2、接入管理-接入认证-PORTAL认证-单点登录，点击“Radius”，点击启用Radius单点登录，填入锐捷sam服务器地址（图3，sam服务器地址就是网络登录sam的那台服务器，不要填成sam的那个protal服务器了）

图3

3、接入管理-接入认证-PORTAL认证-认证策略，点击新建一个认证策略，认证方式选择单点登录并选择我们配置的radius

过一会然后再看在线用户，就会以sam认证账号上线了

感谢楼主分享！实践的经验远远大于理论，对于镜像方式通过radiu识别认证单点登录的确对第三方无影响。

@七嘴八舌bar 需要一个加分，能达标吗

干货满满！！下次遇到这种环境就不怕啦

每天学习一点，每天进步一点。

我在社区摸爬滚打这么多年，所谓阅人无数，就算没有见过猪走路，也总明白猪肉是啥味道的。一看到楼主的气势，我就觉得楼主同在社区里灌水的那帮小混子有着本质的差别，你一定就是传说中的最强技术牛。

感谢分享有助于工资和学习！

感谢楼主分享，努力学习中！

干货满满！！下次遇到这种环境就不怕啦

还需要继续学习~~~~