本帖最后由 常鸿 于 2022-10-8 13:34 编辑
上一期讲解了802.1x认证做准入的方法
但是802.1x虽然很安全,但是有个缺点,就是每台终端都要去安装准入客户端,而且还只支持windows终端
在一些特殊的网络里比如视频网(很多摄像头),医疗网(很多医疗设备),这种认证体系使用起来就需要大量的人工干预
那么在这种环境下,802.1x就不适用
如果说客户的交换机支持MAB,可以用MAB来认证,如果连MAB也不支持,咱们还有一种普遍适用的方案,就是TCPreset认证
这里用到的产品就是物联网准入网关SIG 以视频网为例
产品部署模式: 旁路部署,接入镜像流量
前置条件 1、SIG与摄像头之间的网络能够互通; 2、交换机能够支持跨三层取MAC地址; 3、交换机能够支持流量镜像
准入配置过程: 首先配置SIG的监控内网范围:
然后持续对资产进行扫描
最后开启TCPreset
基于MAC地址准入主要是为了能够获取MAC地址的场景进行准入,对于扫描完成的资产,如果为信任的资产信息,需要对其进行绑定,如不绑定后续准入开启时,将进行阻断入网
为了正常的用户能入网,这边需要对内部用户进行手动的绑定
配置portal认证策略,将默认策略的用户名修改成以MAC地址的形式。在[准入控制/portal认证/认证策略]中点击默认策略,如下图所示。
注意:建议剔除交换机、服务器等一对多(即IP和MAC一对多或多对一场景)相关的IP,对其不做准入。
这种准入方式,因为是SIG对终端进行发送reset数据包来阻断入网,客户端不需要做什么操作,所以在前期实施的时候,未进行绑定的终端都会被阻断。这个实施起来一定要找一个业务少的时候,来进行操作。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2022-10-9 20:03
技术研究员2级 
