1- 网康ICG用户识别认证操作.ppt
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_05.gif)
《1- 网康ICG用户识别认证操作.ppt》由会员分享,可在线阅读,更多相关《1- 网康ICG用户识别认证操作.ppt(94页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、ICG ICG 产品知识系列培训产品知识系列培训(6)(6)用户识别用户识别与认证功能操作培训与认证功能操作培训产品市场部2009-1-5覆盖的最新版本覆盖的最新版本ICG 5.5.1ICG 5.5.1维护人维护人陆继周陆继周文档使用注意事项:文档使用注意事项:1.自行学习本文档时请结合设备的帮助一起使用2.具体的操作细节请查看设备的联机帮助3.文档会对帮助中没有描述清楚的地方进行有效说明4.文档会对操作配置点的目的,意义进行解释Page 2文档导读序号序号提纲点提纲点提纲点重要性说明提纲点重要性说明1文档预期效果说明在阅读之前,阅读者可以了解这篇文档能给自己带来什么提升,应该掌握哪些知识2重
2、要名词解释一些和该功能相关的专业术语,便于深入理解文档,更专业的和客户沟通3功能总体框架说明整体介绍功能模块的功能点,功能简介4功能使用前的思路梳理介绍功能使用的思考过程,从而有效,无风险的实现功能效果5细分功能操作讲解讲解配置点的意义,对联机帮助文档进行补充1.细分功能意义说明2.细分功能的配置点讲解3.细分功能配置的注意事项4.细分功能配置后检查方法5.细分功能的排错思路6.联系题目1.为什么要使用这个细分功能2.细分功能配置项的含义和带来的价值3.有什么要特别关注,避免犯错误的4.可确认配置后是对的5.出现问题时的思考方法6Page 3文档预期效果说明Page 4阅读本文档之后你应该可以
3、掌握的内容:阅读本文档之后你应该可以掌握的内容:1.掌握用户识别与认证的专业术语的含义2.掌握ICG可以实现的户识别与认证的范围3.能够树立清晰操作前的思路4.能够灵活、准确的配置本功能,有效的实现客户网络环境下的需求5.能够通过有效的手段检验已经配置的功能的正确性6.能够对该功能出现的异常情况有一定的排查思路Page 5重 要 名 词 解 释Page 6名词解释:(认证识别的3种机理)1.单点登录(网康叫透明识别):指客户原来就存在用户身份的管理系统,ICG可利用原有的用户管理数据,在ICG上线后,上网的用户端人员不需要安装任何客户端、不需要进行附加的新的身份认证,ICG就可以识别出产生网络
4、行为的人的用户名。2.联动认证(网康叫第三方认证):指客户原来存在用户身份的管理系统,ICG可利用原有的用户管理数据,在ICG上线后,上网的用户端人员需对ICG弹出的认证狂输入原有用户管理系统的用户名密码,或者安装待填用户名密码的客户端,使得ICG可以识别出产生网络行为的人的用户名,并应用到后期的策略和日志中(因为部分环境下无法实现单点登录,所以需要联动认证)Page 7名词解释:1.本地认证:指客户不使用或没有已经存在的用户管理系统,仅在ICG设备上重新建立用户组织架构,并且通过ICG本地的自行建立用户组织架构识别网络行为产生者的用户名2.(认证识别的3种实现手段)3.用户识别:上网客户端用
5、户无需输入用户名密码,无需安装客户端即可实现身份的识别4.客户端认证:上网用户需要安装客户端才可以识别用户的身份5.Web认证:上网用户在上网时需要先通过IE等浏览器弹出的认证框输入用户名密码,输入完毕后才能识别上网用户的身份Page 8名词解释:1.用户导入:是指不采用手工逐条的方式建立ICG上的组织架构,而是通过已经存在的用户数据(用户信息文档,现有用户管理系统)批量自动的写入到ICG系统中,完成组织架构的建立。不进行用户导入,日志中依旧可以体现用户信息,但将无法在策略中引用用户信息。2.混合认证:是指对同一个/多个主机(IP)可以串行的进行多种身份识别与认证方式,第一个正确匹配的识别认证
6、信息中的身份信息将作为该用户的身份。3.认证网段:是指指定的认证方式生效的网段。超出该网段的范围,指定的认证识别方式将不生效4.时间有效期(自动下线配置):是指认证通过后,多长时间按内该认证失效,也就是该用户和对应IP对应关系解除。如果是固定的一个时间,则表示从认证通过后开始计算,固定的时间后这个对应关系解除。如果是不活动后的一个时间,则表示认证通过后,如果在一段时间内用户没有报文通过ICG,则认证对应关系解除,而有效期内一旦有报文通过,自动从这一刻开始重新计算有效期。Page 9名词解释:1.1.KerberosKerberos:是一种网络认证协议,其设计目标是通过密钥系统为客户机/服务器应
7、用程序提供强大的认证服务。Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。微软的AD域采用的是Kerberos协议2.PPPOE:一种使用在ADSL技术上的协议,可以使得以太网报文中携带用户认证信息。3.H3C CAMS,锐捷 SAM:是上述两个公司的准入系统的用户身份识别系统,可以识别用户名,主机mac,连接的交换机ID,连接的交换机端口等。Page 10名词解释:1.1.嗅探器:嗅探器:是一种在认证服务器上的探针软件,可以和ICG联动实现基于IP获取用户名,主要用于单点登录技术2.RADIUS:Remote Authentication
8、 Dial In User Service,远程用户拨号认证系统由RFC2865,RFC2866定义,是目前应用最广泛的AAA协议。普通电话上网、ADSL上网、小区宽带上网、IP电话、移动电话预付费等业务。最近IEEE提出了802.1x标准Page 11名词解释:1.802.1x:协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。主要用于准入技术 以及 无线以太网的接入认证2.原有认证系统在ICG外侧:用户原有认证系统的认证过程报文需要通过ICG后才到达原有的认证系统。3.原有认证系统在ICG内测
9、:用户原有认证系统的认证过程报文不会通过ICG就可以到达原有的认证系统Page 12名词解释:1.第三方用户:当一个用户名被ICG获取后,通过遍历组织架构没有找到该用户名,则该用户名被放置在第三方用户中。2.IP临时用户:当这个IP为源地址的报文通过了ICG,通过对组织架构遍历后,没有找到该IP,则该IP被放置在IP临时用户中。Page 13ICG用户认证与识别功能总 体 框 架Page 14建立用户组织架构(实现在策略中引用用户信息)-IP方式建立组织架构-LDAP同步方式建立组织架构-用户信息文件方式建立组织架构ICG用户识别认证功能总体框架用户识别认证功能总体框架管理用户的组织架构-增、
10、删、修改用户/组信息-绑定帐号、IP、MAC常用识别/认证用户(一些不常见的暂时先不讲解)-基础识别:IP地址识别,MAC 地址识别-单点登录识别:联合POP3,联合AD域,联合用户计算机名-本地认证:本地用户名密码方式,准入方式-联动认证:联合LDAP,联合RADIUS,联合POP3Page 15用户认证与识别功能使用前的思 路 梳 理Page 16从客户需求角度来进行的思路梳理判断过程从客户需求角度来进行的思路梳理判断过程用户需求用户希望日志中有用户名要采用识别或认证用户希望基于用户、部门名设置差异化策略要导入用户组织架构到ICG用户希望结合原有的认证系统要采用单点登录 或 联动认证,不能
11、采用本地认证用户的网络中存在不同的人使用不同的识别/认证机制要采用混合识别/认证认证机制否决条件用户不希望任何认证框的弹出不能采用联动认证,本地认证。可采用单点登录,或者用户端客户端,静态IP用户名的映射用户不希望采用任何用户端客户端不能采用用户客户端,可采用联动认证,或者单点登录用户不希望采用服务器客户端不能采用嗅探器,可采用联动认证,单点登录(认证系统在ICG外侧)通过思路整理,来判断应该采用什么方式,怎样简单有效的实现需求Page 17归纳一下思路就是:1.明确需要开启识别与认证吗?2.明确需要导入用户信息吗?3.明确是采用本地认证还是采用结合原有的用户系统来识别认证?4.明确是结合原有
12、用户系统时采用单点登录还是采用联动认证5.明确需要开启混合认证吗?如果上述判断的结果无解,请引导客户退回一个最小的限制,使其有解Page 18细分功能操作讲解Page 19用户的识别用户的识别/认证,提供策略认证,提供策略/日志引用可能日志引用可能共同实现用户导入组织管理组织管理组织管理组织管理用户查询用户查询用户查询用户查询识别与认证识别与认证识别与认证识别与认证实现ICG中有用户实现用户信息调整实现用户信息可查实现用户信息和报文关联Page 20用户导入的意义说明如果用户希望通过真实的用户名,部门信息进行策略配置,那么就需要采用导入机制。如果没有组织架构在ICG上,将无法从策略中引用用户的
13、信息,只能对全部用户做统一的策略用户导入的几种方式:用户导入的几种方式:1.IP用户导入:快速建立以IP为身份标识的组织架构。2.LDAP用户导入:快速建立以LDAP数据库信息中的用户为标识的组织架构3.网康自定义文件导入:快速建立以文件内容信息中的用户为表示的组织架构Page 21IP用户导入培训开始Page 22IPIP导入意义说明(为什么要使用导入意义说明(为什么要使用IPIP导入):导入):IP导入的使用是为了快速建立以IP地址为用户身份标识的组织架构,在后期可引用网段、或者引用IP地址作为用户信息来建立策略。在固定IP地址环境下IP导入既方便,又快捷,并且标识用户有效是十分适合的。注
14、:但是对于DHCP环境下,由于IP地址和人员并不是一一对应,IP导入将无法起到有效的身份标识作用Page 23二层IP用户导入:意义说明:在仅仅是2层网络环境中(没有3层交换机),2层导入可以快捷的建立以IP为用户标识的组织架构具体的操作细节请参看该配置页面的联机帮助开启后,导入时仅导入ICG在扫描时可以访到的设备输入需要扫描并导入的网段用文件方式导入IP信息,不用扫描方式Page 24二层IP用户导入结果的整理操作导入按钮,点击后将显示的数据写入组织架构选择导入的信息包含IP,还是MAC,还是全包含勾选后可以用IP地址信息作为所有记录的用户名选择将显示的记录导入到那个部门分组中需要手工,或者
15、自动填充的用户名具体的操作细节请参看该配置页面的联机帮助Page 25二层IP用户导入注意事项:(扫描方式)注意事项:1-勾选开机扫描,ICG将只把自己可以访问到的主机收写入扫描结果中2-勾选开机扫描时,如果用户的计算机上开启了防火墙,将无法被ICG扫描到3-勾选开机扫描时,如果被扫描的网段和ICG不再同一个网段时,则只能扫扫描到IP地址,而不能扫描到MAC地址(如果希望跨3层扫描到MAC地址,可采用后面介绍的3层IP导入)4-不勾选开机扫描,ICG将不进行主机的探测,而是将IP段内所有的IP都写到扫描结果中,无论ICG是否可以访问到该主机。5-不勾选开机扫描,因为不进行主机探测,则扫描结果中
16、将不包含主机的MAC地址6-扫描的IP范围要在一个C类地址内,否则会报错。目的是避免扫描网段过大,导致扫描时间过长Page 26二层IP用户导入注意事项:(文件导入方式)注意事项:1-必须是TXT的文本文件格式为:192.168.1.1 00:01:02:03:04:052-文档中只能包含IP,MAC信息,无法包含用户名3-如果要包含用户名,请采用网康自定义方式进行导入Page 27二层IP用户导入注意事项:(导入结果整理)1-用户名为必填项,不想用IP作为用户名可以手工填写。如果觉得一个一个写太麻烦,可以采用后面介绍的网康自定义方式导入而不用IP导入方式,因为IP导入方式主要是为了用IP作为
17、用户标识的。2-点击填充用户名按钮后,所有记录将自动用IP作为各自的用户名,但可以在手工更改掉一些用户名3-已经显示的用户必须被一次性导入到组织架构中,不能仅仅选几个去导入到组织架构中Page 28二层IP用户导入:(排错思路)1-提示IP应该在同一网段,说明IP地址范围超出了一个C2-扫描开机设备时,不能扫描到任何主机,或者仅仅有很少的主机,说明网络中的计算机可能大部分都开启了防火墙3-扫描开机设备时,扫描的结果中不包含MAC地址信息,可能扫描的网段和ICG不在同一个网段。4-如果文件导入后,没有任何信息,请检查一下文件的格式是否正确。Page 29三层IP用户导入:意义说明:在3层网络环境
18、中(有3层交换机),3层导入可以快捷的建立以IP为用户标识的组织架构具体的操作细节请参看该配置页面的联机帮助3层扫描需要和3层交换机联动,需要想ICG提供一些3层交换机信息(SNMP的一些信息)担心一次扫描不能全面的扫描到所有用户,可以选择长时间的反复扫描,不断增量增加扫描结果连续扫描时,两次扫描的时间间隔,避免第一次还没完,第二次就开始了扫描时需要扫描的IP范围,仅对这个范围内的IP进行扫描由于输入的IP范围只能输入一个,因此如果需要一次扫描多个网段,可以用文件方式导入扫描的网段,扫描的过程和手工填写的方式没有区别Page 30三层IP用户导入:对帮助文档的补充说明:配置交换机:3层扫描时,
19、需要与3层交换机的SNMP协议进行联动,因此要获取到3层交换机的SNMP属性。填写交换机信息是可以填写多个交换机信息,每个交换机信息需要填写该交换机的IP地址、该交换机上的SNMP的团体读属性。如果交换机没有配置SNMP属性,请帮助客户把该交换机的SNMP属性配好,并将该属性获取填写到ICG的交换机信息中。填写了多个多个交换机的信息时,ICG会根据顺序逐个扫描扫描方式(单次扫描)在填写好交换机信息后,填写扫描的IP范围,例如1.1.0.1-1.1.7.255(只能填写一个IP范围),点击扫描即可,扫描完成后立刻会弹出扫描结果页面。对于每个交换机,一个C类网段的扫描预计花费的时间为3-5秒,一个
20、B类子网扫描的时间为20-30秒,建议仅对真实存在的子网进行扫描,不要轻易使用大子网进行扫描Page 31三层IP用户导入:扫描方式(持续扫描)持续扫描的设计思想是因为单次扫描时由于一些用户没有开机,导致不能扫描到全部的信息,因此采用持续扫描,每次扫描后,ICG会把最近一次扫描不同于以前的扫描结果的内容增量的添加到扫描结果中,以丰富结果的全面性。扫描时间默认是30秒,因为30秒内一般可以通过该交换机上扫描到下面所有的用户,因此每增加一个交换机,建议将扫描间隔增加30秒,避免ICG对两个不同交换机的扫描交叉在一起。由于是持续扫描,在扫描过程中结果是持续增量增加的,因此扫描结果不会自动显示。如果要
21、显示扫描结果,可以点击扫描结果按钮(在勾选持续扫描,并点击扫描后才显示的按钮)Page 32对帮助文档的补充文件方式导入扫描网段:由于扫描时建议对真实的网段进行扫描,因此可能导致扫描的网段很多,但是每次输入只能输入一个网段会导致手工的工作量比较大。为了简化用户的操作,ICG提供了文件方式导入IP扫描网段的方式。编写一个TXT文件,每行输入一个IP范围 例如 1.1.1.1-1.1.2.1 点击浏览找到这个TXT文件,点击导入即可实现对文档中列出的所有网段逐一自动进行扫描,扫描到的存在用户开机的IP会被记录到扫描结果中,没有开机的用户不会被记录。Page 33注意事项:配置交换机信息时 请注意交
22、换机的IP地址不非要和ICG在一个网段,只要ICG可以路由可达(访问到)即可。配置交换机信息时 请注意ICG上填写的交换机SNMP团体属性应该是读属性,因为ICG只要读即可,不用写交换机单次扫描时:请注意不要将IP网段填写的过大,应该是填写那些真正存在的网段,如果觉得网段过多,每次填写太麻烦,可以采用后面介绍的文件导入IP网段方式。持续扫描时:请注意如果配置了多个交换机,建议相应更改扫描间隔时间,避免扫描行为交叉(虽然交叉了也不会造成什么影响,但存在漏报的可能)持续扫描时:如果不去掉持续扫描的勾,那么扫描将一直进行,即使切换到其他界面时扫描还是持续的,主要是为了可以让用户长时间扫描,比如扫描一
23、天来获取最全面的IP用户信息。因此请注意,一旦认为已经获取了全部的IP信息后,请大该页面中去掉持续扫描的勾来停止扫描,避免长期扫描影响ICG,被扫描交换机的性能三层IP用户导入注意事项:Page 34扫描后没有获取到任何用户IP信息1.请检查一下用户的3层交换机上的SNMP的读书性和ICG上交换机配置信息中的读书性是否相同。2.请检查ICG是否可以ping通对一个的交换机3.请检查这个交换机是不是一个3层交换机(开启了3层功能),如果是当作2层交换机,是无法联动扫描的4.请检查这个交换机是不是下面有直接用户,如果是一个中枢交换机,那么也扫描不到用户IP。提示输入的IP网段过大1.注意网段不要超
24、过一个A类地址,但真实建议是,只扫描真实存在的网段,不要让扫描网段内存在大量不存在的地址三层IP用户导入排错思路:Page 35IP导入培训完毕LDAP导入培训开始Page 36LDAPLDAP导入的意义说明(为什么要使用导入的意义说明(为什么要使用LDAPLDAP导入):导入):如果客户的网络中具备LDAP服务器(微软的AD,SUN LDAP,NOVELL ED,IBM LDAP,OPEN LDAP),那么不用重新建立用户系统,而是的用户可以将用户信息引入到ICG系统中,便于在后续的策略中引用LDAP系统中的部门,用户名称。LDAP导入的是有用户名称的,因此无论是固定IP地址环境,或者DHC
25、P环境,都可以有效的使用,只不过DHCP环境下,还要结合单点登录或者联动认证才能真正有效的识别用户。Page 37LDAP用户导入:(配置操作)添加一个用户环境中的LDAP服务器,让ICG知道。可以添加多个LDAP服务器不同的LDAP服务器具备不同的特征,如果要正确导入必须可以让ICG正确认知这些特征。服务器类型一个特横模板,便于添加服务器时引用对于所有添加的LDAP服务器进行导入时,通用的配置项,例如同步频率,增量更新频率等点击后将进行一次手工导入对帮助文件的补充:服务器类型设置:ICG默认提供了主流的服务器类型,导入时根据客户的网络中的LDAP的类型选择对应的类型即可,如果不知道客户的LD
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 1- 网康ICG用户识别认证操作 网康 ICG 用户 识别 认证 操作
![提示](https://www.deliwenku.com/images/bang_tan.gif)
限制150内