SANGFORAC11.0版本培训讲解.ppt

SANGFOR AC 11.0版本培训;AC 11.0版本又称三合一，三合一指的是将AC，IAM，AC10G三个版本合成一个版本。;;;;;一、认证范围;二、认证方式;1、支持以下几种认证方式： ;2、本版本可以对认证后的用户做如下处理; 2.2 自动录入用户到组织结构 ; 2.3 自动录入绑定关系 ;说明：用户与ip/mac的绑定关系可以用于免认证，免认证可以设置有效期，免认证的有效期分两种：1、永久有效 2、有效期范围（1-90）天;2.4 认证后处理—高级选项;;CONTENTS;;;;;;;;认证效果 ;3、如果认证策略选择录入本地组织结构，【用户管理】—【组/用户】可以查到用户。;;认证效果 ;2、终端点登陆，弹出提示“认证成功，3s将跳转页面”;4、开启了免责申明提示，又开启了IP/MAC绑定，此时如果终端修改了IP或MAC地址，终端上不了网是有提示页面的。;;;;选择认证页面，设置认证之后跳转到页面;;认证效果 ;;;; 设置完外部认证服务器之后，【组/用户】可以看到域的结构;;;;2、【用户管理】—【用户绑定】高级设置，设置每个用户终端数为“1” ;;;;;;;;;2.2 短信认证;3、【用户认证】—【认证策略】新增认证策略，配置认证范围，认证方式选择密码认证，认证服务器选择短信认证服务器。;2.3 微信认证;2.4 二维码认证;;2、认证方式选择强制单点登录，认证后处理的选项如下：;3.2、单点登陆失败，不需要认证上线;2、单点登录失败则以不需要认证上线，认证后处理的选项如下：;3.3、单点登陆失败，密码认证上线;2、单点登录失败则以密码认证上线，认证后处理的选项如下：;3.4 支持单点登录方案变化;需求场景一：客户有1个AD域，有多个部门,部门管理员买了一台AC，只想管理本部门人员，不能看到其他部门人员。但是开启了域监控单点登录后，其他部门的很多用户登录到域后，也会显示到在线用户了?? ;3.4.2、集成windows单点登录新增重定向配置 ;3.4.3、Radius单点登录新增自定义属性;3.4.4、Web单点登录;;;;;CONTENTS;1、用户属性介绍;自定义文本和序列号属性;自定义属性配置完后可以在用户自定义属性看到之前定义的属性;可以根据自定义属性做不同的上网策略及流控策略;2、高级属性介绍;二、用户绑定;三、IP/MAC绑定;三、用户自???同步;四、认证高级选项;2、认证高级选项新增功能;;自动删除长久未登录的用户，支持设置未登录时间，只有自动录入的才会删除;使用场景：(1)客户内网使用密码认证，现想实现认证过程加密处理 (2)客户申请了自己的域名，现希望认证页面URL以域名呈现;;CONTENTS;;(1)自动更新：默认开启，更新周期默认为“每天” (2)ISP地址库与IP组类似，可以被“多线路选路”、“流控-虚拟线路”这两个地方的策略引用。;3、黑白名单组;一、新增适用对象;1、用户属性组可以针对不同的用户属性做策略;(1)一个用户只能属于一个位置，记录日志时会记录用户的位置； (2)位置对象间不能重复。比如一个SSID所包含的IP可能包含在一个IP段定义的位置里。因此，不同类型间位置存重复时，按SSID IP VLAN 的顺序识别；;3、目标区域;二、用户限额策略;2、时长配额;3、流速配额;4、并发连接数配额;注意： (1)流量配额、时长配额、流速限制、并发连接限制，这四个配额，都是基于用户的。所以如果是公共账号，同一个用户名下同时有多个IP在线，则这些IP的流量都会统计到一个用户名上，一起算配额;5、在线终端数限额;三、上网审计策略;2、域名时长流量统计;四、终端提醒策略;五、策略级排除用户;2 、本地组织结构删除策略，是修改策略适用对象的已选列表下的用户下的 “排除用户 ;六、策略高级选项;2、策略控制选项;;一、通道配置;惩罚通道说明： (1)只能为限制通道,用户对象不可选 ,此通道不可再建子通道 (2)处罚通道要按应用来匹配，即一个用户流量可以跑到多个惩罚通道（最多20，没匹配上惩罚通道的流量继续走原有的通道配置流程 (3)处罚通道的生效时间、目的IP组、线路号也要有效 ;用户区分方式可分按IP和按用户名，以前版本只有默认按IP，一些公共账户就不能做到作为一个用户来控制，单用户上限就失效了，按用户名作为一个用户的话就能解决这个问题。;3、流控新增适用对象;;;2、认证页面定制;管理员可以授权给非管理员页面权限，未授权用户看不到页面;;一、IPV6支持 (1)H3C cams, 代码兼容用户IPv6地址，与第三方服务器的连接保持现有方式（不支持与IPv6服务器建立连接）。 (2)域监控单点登录，工具不支持与IPv6服务器的连接，可以支持i