1. 不需要认证技术 此认证不需要绑定任何地址 2. ip或mac绑定

1.        不需要认证技术
此认证不需要绑定任何地址
2.        ip或mac绑定免认证技术
其数据包经过二层交换机转发源mac地址不会变，三层会变。通过snmp的读操作获取数据，通过snmp的写操作执行设置操作，通过snmp的trap可以通报事件发生操作。
Snmp为管理员提供一个网管平台，把被监管的设备运行snmp代理进行相互通信，可以通过snmp接收通知消息以及告警事件报告等来知晓网络出现的问题。
其snmp有五种数据单元BPDU，用来管理与代理之间的交互。（信息库MIB，唯一对象OID）
（1）get-request操作：从代理进程处提取一个或多个参数值。
（2）get-next-request操作：从代理进程处提取紧跟当前参数值的下一个参数值。
（3）set-request操作：设置代理进程的一个或多个参数值。
（4）get-response操作：返回的一个或多个参数值(udp161)。
（5）trap操作：代理主动发出的报文，通知管理进程有某些事情发生。
数据经过三层交换机会形成ARP表，数据经过AC时，AC看到数据包的源MAC地址都是三层交换机的MAC，于是AC会通过snmp协议去读取三层交换机的ARP表（要在三层交换机上先设置允许AC访问其SNMP服务），AC会将读取到的ARP条目和AC设备里面绑定的IP/MAC条目进行对比，如果比对结果一致，则允许上网，否则丢弃数据包禁止上网。（在无IP网桥模式的时候需要用管理口与交换机对接）
3.        密码认证技术（用户首次上网时，会要求用户提交用户名密码信息，如果用户提交的用户名密码信息和本地或第三方服务器一致，则给予认证通过。）
（1）        URL由协议、主机和端口以及文件名三部分构成。
（2）        http工作原理：浏览器首先分析URL，然后进行DNS请求解析出IP地址，然后进行TCP三次握手（tcp端口80），在发送GET报文请求文档，然后服务器发送文档给浏览器，之后释放tcp连接（四次挥手），加上密码认证之后AC会拦截PC的GET请求，然后AC会欺骗PC伪装成服务器给PC发一个重定向URL，其中URL的IP就是AC上的IP，然后PC跳到重定向URL进行输入用户名密码进行认证
（3）        http重定向：web 服务器告诉浏览器，将访问的对象移到别的位置了，到该头部指定的位置去取。
（4）        密码认证页面无法弹出问题排错思路
①        网桥部署虚拟地址是否跟内网冲突，PC浏览器是否做了代理
②        AC下接的设备是否有做限制
③        需要启用未通过认证的用户允许访问dns服务
④        访问的如果是https的网站需要启用HTTPS请求未通过认证时,重定向到认证页面（代理时除外）
⑤        根据关联的访问权限策略不能拒绝http应用和dns应用
⑥        防火墙规则不能拒绝80和53端口
（5）        虚拟IP重定向是AC在网桥模式才有，DMZ口重定向是用在无IP地址时选择的。
（6）        外部认证（第三方服务器LDAP、RADIUS、POP3，重点微软AD。用户的账号密码信息保存在第三方服务器上，AC将用户提交的用户名密码信息转给第三方认证服务器校验，通过第三方服务器返回的认证成功与否的信息，决定是否通过AC的认证）
如果客户的域环境是独立域，添加外部认证服务器时，认证端口填写389；如果是父子域，如父域sangfor.com,子ac.sangfor.com等，则外部认证服务器配置的是父域的地址，且端口需要填3268
（7）802.1x认证
AC配合其能够对终端进行管控，防护内网的安全，它有两种认证模式，其端口模式是只要连到这个端口下的设备就能够访问网络，MAC认证是每个设备都需要单独的认证。
其认证方式：中继模式下用来对用户密码进行加密处理的随机加密字由AC生成，传输的是EAPOR报文，终结模式下用来对用户密码进行加密处理的随机加密字由交换机生成，传输的是标准的radius报文
802.1x认证是入，portal是出（不能现在内网）
MAB认证是交换机把终端的MAC地址当作用户名和密码封装在报文中发送给AC。
1.资产识别（识别终端类型、操作系统、厂商信息等并自动分类，进行管控）
（1）AC上开启被动扫描，设置内网网段。只能识别经过AC的流量。
（2）AC上开启主动扫描，设置重点关注网段，会主动发起扫描内网设备，跨三层需要开启snmp。等待扫描结果，对扫描出来的资产进行个性化编辑。
（3）可以个性化编辑终端类型，然后进行策略应用引用（提高资产识别的准确性要开启snmp跨三层确mac地址。）。
2.终端检查与管控
（1）准入插件检查杀软是否运行（通过插件进行读取终端注册表信息获取软件安装的信息），然后进行提示用户、只记录结果、违规修复、限制用户权限违规处理方式。若是终端没有EDR则在配置策略的时候重定向URL让用户下载。
（2）流量检查不需要安装准入插件。8种个人版检查4种企业版检查，企业版情况下，终端与中心端服务器之间的流量要经过AC        。
（3）登录域检测：PC以任意域账号登录即可检测合规。登录指定域：PC必须以域账号登录到指定域中的一个即可检测到合规，登录非指定域无效。        
（4）防篡改检查（防止仿冒终端MAC/IP地址绕过认证入网造成安全隐患以及避免IP地址冲突）
MAC防篡改：通过插件获取当前MAC地址信息，再调取设备接口真实物理MAC地址进行比对，一致则继续检测下一个网卡，若违规动作选择了修复，则会恢复真实MAC地址。
IP防篡改：插件启动后会把当前所有网卡的IP信息记录下来，每40s检测一次网卡ip信息，与记录的ip信息不一致则认证ip被篡改，判定违规。
AC把防篡改检查策略下发到插件，终端上通过修改工具来修改MAC地址，通过网络适配器来修改IP。篡改完后会被检测到违规地址被强制修复回原有真实地址并提示用户。
（5）非法外联检查
检查拨号行为、网卡相关行为信息、连接外网、连接非法wifi、连接非法网关、自定义外联进行检测，
（6）外联控制
以黑白名单方式、IP喝端口（端口为空是0-65535）
（7）外设管控（对内网终端接入的外设设备进行管控，如不允许接入U盘拷贝资料。）
分为两种管控方式：组策略与精细化
通过使用组策略来统一禁止外设设备安装（客户端会下载策略到本地，当与AC不能通信时也能继续管控），调用系统设备管理器与进程注入进行精细化管控。

每天坚持打卡学习签到！！