宁盾科技助力港中大深圳校区完成准入控制 – 作者:宁盾nington

方案背景

香港中文大学深圳校区希望在当前网络架构上对网络内接入的终端设备用户做认证，对接深信服行为审计，记录用户上网信息，方便后续对用户上网信息做审查及相关问题追溯。

需求：

• 连接网络时认证同时弹出1x认证、portal页面认证，任意完成一种认证即可上网；
• 个人终端上，认证需记入mac信息，二次登陆免认证；公用终端上，认证完成不计入mac信息，二次登陆重新认证；
• 特定用户不允许认证上网；对接深信服行为审计联动
• 对联网用户，认证完成后可指定vlan
• 在接入交换机后，后续网络部分用户私接的路由无线有线也需认证记录相关信息

测试网络拓扑

宁盾方案

在前端网络可达的基础上，部署宁盾一体化认证平台（DKEY AM），通过对接测试环境接入交换HW5720完成客户需求。

• 配置部署宁盾一体化认证平台、NPS服务器、接入交换机，实现ad域用户、本地账户通过任意方式认证后上网，记录用户认证上网信息。
• AM策略设置portal认证记录mac，二次登陆免认证；802.1x登陆不记录mac，二次登陆重新认证，个人用终端使用portal认证，共用终端使用802.1x认证，实现需求2
• 添加特定角色到指定用户，设置用户不允许上网认证；开启审计联动，调用对应接口联动深信服审计设备实现需求3
• 配置交换机，接收应用AM下发的DACL策略，实现需求4
• 接入交换机后续接入TP-LINK家用路由，增加开放ssid和有线测试，实现需求5

方案效果

连接网络弹出认证方式

认证完成切指定Vlan

调整策略实现portal认证记mac，802.1x认证不计mac

来源：freebuf.com 2020-12-01 11:47:26 by: 宁盾nington