根据客户需求来指定不同的用户认证技术

需求：IT部电脑IP不固定，认证不受限制

• 设备根据数据包的源IP地址、计算机名、源MAC地址来标识用户。 • 优点：终端用户上网认证的过程是透明的，不会感知设备的存在。 • 一般适用于对认证要求不严格的场景

IT部员工通过设备上网时，【在线用户管理】可以看到用户已在上线

需求：办公区用户不允许私自修改IP地址， 否则禁止上网

但是由于用户经过交换机去上网时，MAC地址会发生变化，是如何将IP/MAC地址成功绑定的呢？ 是通过SNMP协议来实现该功能的。

1、用户上网的数据经过三层交换机会在 交换机上形成ARP表 2、上网的数据经过AC时，AC看到数据 包的源MAC地址都是三层交换机的MAC ，于是AC会主动通过SNMP协议去读取 三层交换机的ARP表（要在三层交换机上 先设置允许AC访问其SNMP服务） 3、AC会将读取到的ARP条目和AC设备 里面绑定的IP/MAC条目进行对比 4、如果比对结果一致，则允许上 网，否则丢弃数据包禁止上网

（1）【系统管理】—【在线用户管理】可以看到用户认证上线的身份 （2）【用户管理】—【IP/MAC绑定】可以查看到IP和MAC绑定成功。

~~

防火墙和交换机启30位掩码的地址，我们的AC网桥将不可用， 需要和交换机通过snmp取mac需要用管理口

为什么此时网桥不能用？ 30位掩码下的整个网络环境，只有两个可用IP AC是网桥模式部署，所以AC上下的设备都得分配IP，此时 AC分配不到IP，处于无IP网桥模式，因此要用管理口来另接交换机（此时交换机上也要进行配置网口与AC的管理口对接）

1.查看是否在【跨三层取MAC】中没有排除三层设备的MAC地址； 2.在【IP/MAC绑定】中，查看PC 的IP或MAC是否已经绑定了其他 MAC或者IP（同时查看三层设备的MAC是否被PC绑定了）

客户需求：公共上网区则需要输入账号和密码才 能上网，确保网络行为能跟踪到

需求背景： 1.当用户首次上网时，会要求用户提交用户名密码信息，如果用户提交的用 户名密码信息和本地（或第三方服务器）一致，则给予认证通过。 2.一般适用于对认证要求严格，希望上网日志记录具体的帐号，或希望和客 户现有的第三方服务器结合认证的场景 主要涉及到HTTP协议，下边为自己总结的脑图，供参考回顾HTTP协议。

首先我们以访问www.qq.com为例，回顾一下密码认证的数据流过程 第一步：PC先进行www.qq.com DNS解析域名过程 第二步：PC向解析出的www.qq.com服务器地址发起tcp三次握手 第三步：PC向www.qq.com 服务器发出GET请求，请求主页 第四步：AC拦截PC的GET请求，并把AC自己伪装成服务器（用腾讯服务器的 IP给PC发包），给PC回复HTTP 302 Moved Temporarily ，要求PC重定向请求以下URL http://10.1.3.4:80/ac_portal/proxy.html?template=default&tabs=pwd&v lanid=0&url=http://www.qq.com%2f 其中10.1.3.4就是AC设备的LAN IP、网桥IP或者虚拟IP 第五步：PC自动重定向访问AC的认证界面，输入正确的账号密码，登录成功

1、用户去上网的时候，打开网站，重定向到认证界面 2、输入用户名和密码，用户验证完成之后，在在线用户管理里面可以看到这 个用户已经成功上线

关于第四条的重定向进行介绍

1.内网PC认证前的HTTP上网数据经过AC时，AC拦截并记录 下数据包的源，目的IP，数据包的封装类型，以及数据包进入AC时的接口。 2. AC回弹portal的重定向认证页面时，会将记录下来的数据包的源，目的IP反转，再从数据包进入的接口直接发出去，其中数据包中的数据字段会替换成AC虚拟IP的重定向URL地址。 （AC只在网桥模式下有虚拟IP重定向）

内网PC认证前的HTTP上网数据经过AC时，AC拦截数据包，AC通过查找本身DMZ口的路由表，将portal的重定向认证页面从 DMZ口发出，其中数据包中的数据字段会替换成AC的DMZ口IP的重定向 URL地址。(一般用在无可用网桥IP时选择从DMZ口重定向）

1、如果在认证后处理，需要用户绑定了mac地址的时候，需要注意内网是否 为三层环境，如果是，则需要启用跨三层mac地址识别 2、如果内网是DHCP的场景，不要勾选绑定IP地址 3、如果用户打开HTTPS的网站也要能跳转到认证页面，需要在【认证选项】 勾选以下选项：

SANGFOR AC/SG的外部认证，也称为第三方认证。

用户的账号密码信息保存在第三方服务器上，AC/SG将用户提交的用户名密码信息转给第三方认证服 务器校验，通过第三方服务器返回的认证成功与否的信息，决定是否通过 AC/SG的认证，这个过程称为AC/SG的外部认证。

满足如下两个条件的用户才会匹配外部认证流程： 1. 认证策略中，认证方式选择“密码 认证，认证服务器选择“第三方服 务器” 2.认证高级选项，未启用“DKey"

1、选择需要新增的外部认证服务器类型【LDAP, RADIUS, POP3服务器】 2、设置外部认证服务器的通信方式，IP，端口等

案例背景： 某公司内网有一台AD域服务器，域名为mengxuan.com，服务器IP地 址为172.16.100.203。要求内网用户上网时使用域帐号和密码来通过 ＡＣ设备的认证才可以上网

１、新建外部认证服务器，设置AD域服务器信息。 ２、新建认证策略，选择“密码认证”认证服务器选择上面创建好的 服务器。

第一步：新建外部认证服务器，设置AD域服务器相关信息。 (1)测试有效性—账户有效性： 可以通过此功能测试域账号的有效性，如上既测试了 域的管理员账号administrator是否有权限读取域的组织结构，又测试了域的用户 support1账号密码是否正确。 (2)测试有效性—修改密码：如果域上的账号是允许修改密码的，可以直接通过 测试有效性修改密码，修改域上的账号密码。 注意：如果客户的域环境是独立域，添加外部认证服务器时，认证端口填写389；如果是父子域，如 父域sangfor.com,子域ac.sangfor.com,ssl.sangfor.com等，则外部认证服务器配置的是父域的地址 ，且端口需要填3268

第二步：新建认证策略，选择“密码认证”。 终端电脑输入域帐号通过AC认证，即可访问外网。

界面： 【用户管理】-【组/用户】：可以查看、新增、删除用户/组信息

【限制在以下地址范围内登录】：指的是账号只能在设置地址范围的终端上登 录，其它账号也可以在这些地址上登录。

终端绑定（用户绑定） ：被绑定的地址只能在此账号登录，用户同时可以绑定多终端，可以用于免认证

可以一次新建一个用户或组，也可以一次新建多个组，添加多个组时，名称用英文逗号隔开

如果用户和组太多，可以将用户和组格式做成csv表格，一次性导入设备

如果只添加用户，且认证方式为不需要认证，单点登录，也可以通过认证策略 自动添加新用户。

【高级搜索】：可以根据指定的查询条件来搜索特定的用户

协议概述： SNMP是基于TCP/IP协议族的网络管理标准，是一种在IP网络中管理网络 节点（如服务器、工作站、路由器、交换机等）的标准协议。SNMP能够使网 络管理员提高网络管理效能，及时发现并解决网络问题以及规划网络的增长。 网络管理员还可以通过SNMP接收网络节点的通知消息以及告警事件报告等来 获知网络出现的问题。

简单网络管理协议（SNMP）是1990年之后TCP/IP网络中应用最为广泛的网络管理协议。1990年5月，RFC1157定义了SNMP（simplenetworkmanagementprotocol）的第一个版本SNMPv1。RFC1157和另一个关于管理信息的文件RFC1155一起，提供了一种监控和管理计算机网络的系统方法。因此，SNMP得到了广泛应用，并成为网络管理的事实上的标准。 SNMP在90年代初得到了迅猛发展，同时也暴露出了明显的不足，如，难以实现大量的数据传输，缺少身份验证（Authentication）和加密（Privacy）机制。因此，1993年发布了SNMPv2，

SNMP管理的网络主要由三部分组成： 被管理的设备 SNMP代理 网络管理系统（NMS）

管理信息库MIB：任何一个被管理的资源都表示成一个对象，称为被管理的对象。 MIB是被管理对象的集合。 它定义了被管理对象的一系列属性：对象的名称、对象的访问权限和对象的数据类型等。 每个OID（Object IDentification）都对应一个唯一的对象

SNMP规定了5种协议数据单元PDU（也就是SNMP报文），用来在管理进程 和代理之间的交换。