安视交换机做了有线认证之后需要将认证信息转发给出口安全设备,出口安全设备不需要再对终端做认证,直接放通
交换机版本SW1.9及以后
在配置了交换机有线认证的基础上使用此功能
1、配置交换机认证信息转发功能
2、配置出口安全设备单点登录功能
如有请补充。
1、需要先配置交换机有线认证功能
2、深信服单点登录协议0.1是AC 11.0之前版本,默认端口是1773,深信服单点登录协议1.0是AC11.0及以后版本,默认端口是1775
注意:此文档按照AF设备做配置展示,选择的是深信服单点登录1.0协议。
PC连接接入交换机的10口,安视与TS的3/2口相连,TS与NMC直连,NMC与AF直连,交换机开启交换机有线认证,通过单点登录的方式将认证信息转发给AF。
【认证配置】-【认证授权】-【单点登录】-新增单点登录规则,用户类型选择交换机有线用户,协议类型选择深信服单点登录协议1.0或者深信服单点登录协议0.1,根据深信服设备的版本进行选择,网关则选择安视交换机上线所在的控制器,此处由于安视交换机是激活在NAC,然后NAC加入NMC中心端的因此此处配置的网关选择为安视交换机所在的网关,此处以AF设备为例,因此选择为单点登录协议1.0,配置设备地址和共享密钥。
注意:若使用的是MDQ、微信小程序等对接第三方认证时则需要开启认证前上报终端信息,当然若客户需要统计认证前用户则也可以开启此功能。
1、配置认证区域,【策略】-【认证】-【用户认证】-【认证策略】,开启用户认证,选择认证区域,认证区域选择AF接内网的接口或者选择认证信息接收的接口,此处以AF接NMC的1口为例
2、编辑认证策略,认证方式选择“不需要认证/单点登录”,“把IP作为用户名”其他的不动,此处不要被“把IP作为用户名”误导,最终信息会以单点登录发送过来的信息为主
3、单点登录配置,【策略】-【认证】-【用户认证】-【认证选项】,选择域单点登录,启用域单点登录,勾选通过域自动下发,配置共享密钥此处密钥需要和3.2中交换机密码一致
控制器上认证信息
AF上单点登录信息
