本帖最后由 齐朋 于 2018-7-30 17:00 编辑
某公司-安全高级篇-AC
某公司-AC-12.0.8
一 :安装部署
1. 主备模式部署环境
基本概述:
主AC设备业务正常时,备AC处于监听状态,当主AC出现故障,备AC代替主AC上线,保证业务不受影响网络不中断。
适用场景:
必须以路由模式上线,网络改动大,适用于对网络的稳定性要求较高的客户。
需要注意:
(1) 主备模式不支持网桥模式部署,要求两台设备以路由的模式上线; (2) 两台设备的配置与软件版本都必须一致,需要配合自动同步; (3) 主备模式最多只支持两台设备; (4) 两个心跳口做主备,也可以复用DMZ口做心跳口。
2. 主主模式部署环境
基本概述:
主主模式没有心跳口,是通过业务口进行检测,多台AC设备中有一台设备为主控,其他为节点,节点向主控请求同步配置,主控配置进行下发到所有节点,所有的设备都是在同时工作,当主控故障后,其他节点的配置无法更改,但不影响临时使用
适用场景:
当客户网络环境中已有多台防火墙,路由器已经做好主主或主备模式部署时,AC主主模式以网桥串接在中间。
需要注意:
(1) 主主模式同样需要软件版本的一致; (2) 主主模式都是在同时工作,没有主备之分; (3) 两台或两台以上都可以部署为主主模式; (4) 路由模式和网桥模式都支持配置主主部署模式; (5) 主主模式下,节点不能自行修改配置,必须要由主控去分发配置进行同步,节点为只读。
二 :单点登录
只需要输入一次账号密码,自动通过AC认证,不需要每次登录都去输入密码,降低密码泄露风险,也更方便使用。
支持与Web、LADP、某公司其他产品进行联动。
需要重点掌握的Web单点登录
Web单点登录是AC通过监听镜像口的流量服务器获取到表单来对设备的上线进行允许或拒绝。
服务器提交的表单名为设备上网的账号及密码,提交的表单支持HTTP、POST但不支持HTTPS。
配置后可以通过关键字抓包来查看是否登录成功。
三 :AD域单点登录
AD域单点登录分为四种登录方式:脚本方式、IWA方式、免插件方式、监听方式。 只有微软的AD域才支持这四种单点登录方式。
1. AD域单点登录脚本方式
实现方式:
AD域控上添加登录(login)和注销脚本(logout),PC开机访问AD域,域控通过组策略下发登录或者注销的脚本给PC,PC自动运行脚本产生登录或者注销的日志放在本地电脑下,同时把日志信息上报给AC的udp1775端口,AC查看日志对pc进行登录或注销。
需要注意:
(1) 登录就是可以上网,注销为拒绝上网请求; (2) AC需配置密钥,注销脚本需要配置IP; (3) AD域配置完成后记得要更新组策略。
2. AD域集成WINDOWS身份验证(IWA)
实现方式:
PC登录AD域后访问网页,同时自动将认证信息上发给AC的2.3.4.5的80端口实现上线。
需要注意:
(1) AC需要加入到AD域中,也就是说AD域中需要有AC用户名密码; (2) AC的计算机名是否为2.3.4.5:80,Telnet 2.3.4.5:80端口时,DNS服务器会把2.3.4.5:80端口解析成AC的地址。也就是说当我们Telnet这个IP时,访问到的就是AC设备。
3. AD域单点登录免插件模式
实现方式:
AC监控AD域,当PC成功登录到AD域后,AC主动到AD上读取日志,获取登录信息,放通PC上线。
需要注意:
(1) 前面说了AC主动到AD上读取日志,AD肯定要开启日志审计,并且设置AC的权限为允许只读。 (2) 11.0之前的版本需要在内网找一台PC安装ADSSO程序监控AD域,包括11.0以后得版本已经整合。
4. 监听方式:
外网方向:
实现方式:
跟图上差不多了,AD在外网方向,PC去访问AD就肯定经过了AC,当PC通过了AD域服务器的认证后,认证数据AC设备(udp88端口)也监听到了,同时也通过了AC的认证。
内网方向:
PC登录AD的过程中不会经历AC,那此时就需要在交换机上把AD的流量镜像给AC,同样是udp88端口监听,通过认证。
需要注意:
没有。
5. 四种域单点登录方式总结
四: 短信认证
短信猫:GSM(联通)/CDMA某公司
需要注意如果客户服务器在机房中,短信猫接收信号不良,可以把短信猫放到信号好的位置接到PC上,短信猫支持电脑串口,同时需要在电脑上安装短信模块软件。
五: 微信认证
通过点一点(文字链接)、点一点(第三方结合)、扫一扫(关注公众号)认证。
其中点一点(文字链接)需要单独提供web服务器部署某公司微信认证代码,另外两个认证方式不需要单独提供web服务器部署。实际客户中,优先推荐使用微信扫一扫关注公众号验证。
需要注意:
(1) 微信认证不支持旁路模式,只支持路由和网桥模式; (2) 微信认证需要提前在全局排除中排除微信(wifi.weixin.qq.com); (3) SSID不要用中文,企业号不支持微信认证; (4) 不关注微信号一分钟注销设置需要微信公众号已经认证。 (5) 配置二维码认证时,审核人一定要重点注意,必须要具备审核的权限。
六: 上网策略
SSL内容识别:
原理:对于PC来说,AC是服务器,对于服务器来说,AC是PC。 当PC去访问服务器时,就会访问到AC,因为证书是由某公司发放给某公司的所以PC会产生报警 如果想PC不报警可以为PC批量安装证书。
七: 流量管理
1. 虚拟线路:
上联多条线路虚拟成一条线路,下联一条线路虚拟为多条线路。 针对虚拟线路可做流量管理控制。
2. 流量子通道:
一级通道下的子通道,将流量管理通道分级,更细化,更灵活。
匹配规则:一级通道->子通道->默认 一级通道和子通道分别做限制,条件一致时取最小值 单用户一级优先、P2P从上往下匹配。
我的少女心阿 ~
点进去啥都有,想看完整PPT去这里找吧。 以上图片摘自PPT高级AC,理论为个人理解,可能有不到位的地方。
| 
发表于 2018-7-30 14:26
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员1级 
