适用于有线侧做开放式+web认证或者802.1X认证
NAC3.7.6、交换机1.9版本及后续版本
1、WEB认证方式配置思路
1.1、端口组配置
1.2、portal服务配置
1.3、交换机有线认证配置
2、802.1X认证方式
2.1、端口组配置
2.2、交换机有线认证配置
控制器3.7.6、交换机1.9版本及后续版本才支持交换机有线认证
控制器采用1口和TS核心的3板卡的1口相连,TS的3板卡的2口接安视接入的1口,安视接入的10口接PC
【交换机管理】-【以太网管理】-【端口列表】-【端口组】-新增端口组配置,根据客户实际情况选择对应交换机的接口,此处以10口为例
1、启用内置portal服务,【认证配置】-【认证服务】-【portal服务】,启用内置portal服务,服务通讯IP需要填写终端可以和控制器通讯的IP地址,portal页面超时重定向地址,portal界面超时之后跳转到某个地址
2、WEB认证策略配置,策略类型选择“交换机有线认证策略”
3、认证类型选择访客或者账号认证根据客户实际需求配置,此处以账号认证为例
4、认证页面根据实际需求选择对应的认证页面,此处以默认为例
5、账号认证实际可以对接radius、数据库等来做认证,此处以本地用户为例
6、权限匹配-统一分配角色根据实际需求选择,此处以默认角色为例。
1、交换机有线认证配置,【认证配置】-【有线认证】-【交换机有线认证】-交换机有线认证新增认证策略,认证对象类型可以选择基于端口或者基于vlan实际使用根据客户实际情况使用,此处以基于端口为例,认证端口组选择刚才配置的端口组
注意:
基于端口:即创建的策略应用在哪些端口上;
基于VLAN:即创建的策略用于哪些VLAN,基于VLAN同时也要选择端口,即可以应用在部分端口的某VLAN下;
2、认证类型选择WEB认证,认证方式可以基于当前控制器也可以基于外部portal服务器,此处以当前控制器做portal为例,web认证策略选择刚才配置的策略,认证前角色可以选择帮我创建角色
注意:此处的认证前角色是有线认证前角色不要和无线认证前角色用混,否则无法弹出认证界面
3、终端验证和高级选型可以根据实际客户需求进行选择配置,终端验证中可以配置web免认证用户,终端接入之后可以不做认证直接上网,高级选型中可以选择和计费服务器进行对接
控制器采用1口和TS核心的3板卡的1口相连,TS的3板卡的2口接安视接入的1口,安视接入的10口接PC
【交换机管理】-【以太网管理】-【端口列表】-【端口组】-新增端口组配置,根据客户实际情况选择对应交换机的接口,此处以10口为例
1、【认证配置】-【有线认证】-【交换机有线认证】中新增交换机有线认证,策略名称自定,可以选择基于端口或者基于VLAN,此处以基于端口为例,选择4.2创建的端口组
注意:
基于端口:即创建的策略应用在哪些端口上;
基于VLAN:即创建的策略用于哪些VLAN,基于VLAN同时也要选择端口,即可以应用在部分端口的某VLAN下;
2、认证类型选择802.1X认证,Guest vlan可以根据客户实际情况进行选择,此功能的作用是若有其他非客户内网设备接入此接口时若无法认证则可以给分配一个其他的vlan而此vlan可以不和内网其他的资源互通从而保护内网安全
3、终端验证页面,可以开启MAC地址接入控制,通过黑名单、白名单控制终端接入,同时也可以添加免认证终端
4、账号认证,根据实际需求,选择EAP方法、终端认证、认证服务器、服务器证书,该处认证服务器可以是内置认证服务器,也可以是提前对接的第三方服务器,此处以控制器内置认证服务器为例
5、多因子认证中,可以配置终端验证、绑定的权限,增加安全性
6、Vlan设置可以根据客户实际网络规划进行VLAN划分,可以基于接入位置、本地用户、终端信息进行不同VLAN分配,若不进行配置则此处会获取接口配置的vlan
注:若需要进行不同vlan的划分则需要将接口配置为hybrid模式
7、权限设定可以根据实际需求,进行角色分配,使用规则进行分配,可依据用户信息、接入位置、终端信息,分配不同角色,结合角色上挂载的ACL访问策略实现权限划分
8、高级选项中可调用对接好的计费服务器,限制账号的多终端登录
如4.3中的步骤2若需要此处配置guest vlan则需要将接口修改为Hybrid,此处以Guest vlan为vlan2,认证通过后获取vlan3为例,配置如下
WEB认证效果展示
802.1X认证效果展示
