上网行为管理AC-用户认证（H3C，思科AAA服务器）

概述：

        AC即上网行为管理（Access Controller），用于集中管控网络访问、规范用户行为并优化资源分配。在确保网络高可用性的同时，控制内网用户的行为，实时了解、统计、分析互联网使用状况，并根据分析结果对管理策略做调整和优化。所有上网行为（访问网站、聊天内容、文件传输）均关联实名用户。基于角色、部门、设备类型分配网络权限，精细化分区管理相关用户可访问的具体网站。阻止未认证设备接入网络，减少可能带来的不必要的安全风险

        用户认证：在用户访问外网时需输入账号密码，否则无法进行正常的网页浏览，行为日志与个人身份关联。可以通过本地认证将用户名和密码存储在设备本地，认证过程由上网行为管理设备独立完成；也可以通过第三方服务器认证实现统一的身份管理

相关词条介绍：

        AAA服务器：认证Authentication，授权Authorization，计费Accounting【记录用户行为（流量、时长）用于审计或计费】。能够处理用户访问请求的服务器程序，提供验证授权以及帐户服务，主要目的是管理用户访问网络服务器 ，对具有访问权的用户提供服务。常同网络访问控制、网关服务器、数据库以及用户信息目录等协同工作。通常部署在企业内网或云端。参与协作的典型协议有远程认证拨号系统RADIUS和终端访问控制器控制系统协议TACACS+ 

        RADIUS：（Remote Authentication Dial In User Service）远程认证拨号系统，是一种C/S结构的协议，它的客户端最初就是NAS（Net Access Server）服务器，任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。

        TACACS：（Terminal Access Controller Access-Control System）终端访问控制器控制系统协议，是一种用于认证的计算机协议，在UNIX网络中与认证服务器进行通信，TACACS允许远程访问服务器与认证服务器通信，以决定用户是否有权限访问网络。

—-百度百科

 实例：

通过配置AC和AAA服务器，对内网的主机设备进行用户认证和内容审计

实验设备：

新华三h3c的上网行为管理设备ACG，思科的AAA服务器acs，window测试终端以及公网net

该网络拓扑中简化了ac到内网主机的三层交换机等路由设备

实验步骤：

配置AC

Username:admin
Password:
H3C>enable
H3C#configure terminal
H3C(config)#interface ge0
H3C(config-ge0)#ip address dhcp metric 1 gw reset dns reset
//进入外网口，并改为dhcp获取ip，开销为1，以及网关和dns的设置
H3C(config)#end
H3C#display interface

通过dhcp分配的ip地址进入web可视化配置界面进行管理 

 配置外网口ge0，勾选ping管理方式

 配置内网口ge1，接口地址为192.168.100.254/24

为内网主机配置dhcp服务，并在ge1接口开启

 配置动态nat，使内网主机能够正常上网

为策略配置地址对象 

 测试发现内网主机能够正常上网

接下来配置本地认证，新建用户组

 配置登录名和本地密码

配置认证策略和认证方式

在内网主机中打开浏览器进入相关认证页面

 同时抓包可以发现相关dns协议携带的网页信息

 图片中主机分配的ip地址为192.168.10.2，除此之外配置相同

外部AAA服务器认证：

取消上述的本地认证，实现第三方服务器的认证管理

通过show run命令在aaa服务器上查看到其默认ip地址为10.2.2.2/30，网关为10.2.2.1

配置ac连接的aaa服务器接口ge2

 在主机上测试是否连通至AAA服务器，并进入相关页面

 进行与ac相似的身份认证配置

 密码是AC和服务器之间的数据加密

 接下来在ac上配置RADIUS服务器

Pap为明文，chap为密文

 最后进行用户和密码的配置

输入其他网址后进入认证页面 

 成功进入相关网页

回到acs配置页面可以查看认证日志

总结：

用户认证是上网行为管理的基石，通过“认证-授权-审计”闭环，既保障了网络资源安全，也提升了管理效率。