EG/NBR三防功能FAQ

一、简要说明下三防是哪三防?

(1)防蹭网:宾客自助扫二维码上网;防止外部人员知道密码后蹭网、占用带宽导致内网用户体验差。

实现效果:员工将配置后生成的二维码张贴在允许上网的公共区域,外来访客自助扫二维码上网,上网时间到了就会自动下线,需要重新扫二维码上线。

(2)防私接: 访客连接访客网络,弹出二维码窗口,由授权人员来进行认证后,授权这个访客上网;

实现效果:防止外来人员私自接入公司网络,给网络安全性带来隐患。

(3)防代理:防止无线小路由,无线wifi的代理共享,做到阻断和限速。

二、哪些型号/版本支持三防功能?

NBR800G/NBR950G/NBR1000G-E需要B9P3以上

NBR1000G-E,NBR1300G-E,NBR1700G-E,NBR2100G-E,NBR2500D-E,NBR3000D-E需要B9P1以上

 

三、想系统的学习下三防功能的原理、认证流程、配置过程哪里下文档

百度云盘地址:https://pan.baidu.com/s/1pKRfMxP

 

四、常见问题

1.精准营销认证和三防中的访客认证功能,是否可以同时开启? Web认证功能是否可以和访客认证功能,同时开启?

答:

①精准营销认证和三防中的访客认证功能不能同时开启,web端做了二者的互斥开关,原因是二者底层的认证组件相同,只能支持一种。

②Web认证和访客认证功能不建议同时开启,web端有标明禁止二者同时开启。原因是:做完访客认证后还需要做web认证。

2.做访客认证,是否一定要使用设备的集成AC功能?可以在网络中旁挂AC吗?

答:不一定要使用网关的集成AC功能,可以在网络中庞挂专门的AC控制器,但是无线用户的DHCP需要设置在NBR/EG上。

3.NBR-E做出口、下联胖ap,这种场景下支持访客认证吗?

答:支持,但是无线用户的DHCP需要设置在NBR/EG上。

4.访客认证中,普通用户和特权用户的差别是什么?

答:

(1)特权用户有权限给访客授权;普通用户没有权限。

(2)设置的禁止电脑访问或者是手机访问的权限设置,对特权用户不生效。

(3)特权用户的账号,不受允许上线终端个数的限制。

5.访客认证中,用户是否可以实现无感知,可以达到的实现效果是什么?

答: 支持无感知,可以达到的实现效果是:用户第一次认证后无需再次认证、

(1)如果未开启限制电脑或限制移动终端上网,直接通过mac by pass放行;

(2)如果开启限制电脑或移动终端上网,可能会弹出认证成功的页面,关闭认证成功的页面后,可以正常的上网。(不能保证一定会弹,开启限制的话,不会走mac by pass的流程,只能通过http的报文来触发。但即使是通过http触发,他也可能会出现不弹框的。)

6.是否支持认证帐号的批量导入导出?

答: 支持的,可以在用户管理的地方集中的导入导出。

http://172.18.34.140/wordpress/wp-content/uploads/2017/09/word-image-1860.png

7.访客认证,对内网三层环境(用户的网关不在NBR而在三层交换机上)使用上有什么需求和限制?

答:和二层环境差不多,但是三层交换机上要开启中继功能。在交换机上需要配置:Ip helper-ADdress X.X.X.X (X.X.X.X地址指的是和交换机互联路由器接口的地址)

限制:

(1)假入网络有变更,环境由之前二层网络切换到三层网络时,由于设备端无法获取到已经接入终端的真实mac地址,只能获取到三层交换机的mac,因此这时候就需要客户端断开网络重新获取ip,如果不断开网络继续认证,就没有无感知,都需要认证,并且设备端不会记录终端的mac,下次终端即使获取到真实的mac也无法做无感知

(2)在1的基础上,来宾是直接要求重新联网处理。

(3)三层环境下,没有mac黑白名单,因此,对于已经上线的用户,无法直接添加黑名单。

8.NBR-E的三防功能中 防代理这个功能可以单独开启使用吗?还是一定需要配合办公认证使用?

答:防代理是可以单独开启的。

9.防代理功能:假如客户那有360,小米随身wifi 是无线交换模式,就是接入的无线用户网关还是在锐捷路由器上,地址由EG/NBR获取,这种可以防住吗?

答:如果地址是EG/NBR获取的,对应认为是一个合法的用户。目前没办法检测。

10.访客认证中,当同一帐号允许认证的终端数达到设置的上限时,会把之前的用户挤下线吗?

http://172.18.34.140/wordpress/wp-content/uploads/2017/09/word-image-1861.png

答:不会,如图第6个会提示已达上限。原因是:办公环境比较稳定,不会经常有终端之间的切换。另外这样做的一个好处是,如果这里配置了1,那么普通员工只有办公pc可以上,其他是不能上网的。

11.办公认证—高级设置中,修改认证页面LOGO设置,是修改哪个页面呢

http://172.18.34.140/wordpress/wp-content/uploads/2017/09/word-image-1862.png

答:下图portal页面中的logo

1504623355(1) http://172.18.34.140/wordpress/wp-content/uploads/2017/09/word-image-1863.png

12.目前防代理功能,可以防止哪些设备做共享?

答案 : 360wifi、内网NAT模式的小路由器等wifi设备。

13.开启访客认证之后,设备的性能是否会有下降 ? 最多可以待机多少人?并发认证的用户可以达到多少 ?

答:开启认证,受影响的主要是管理面。对转发性能基本无影响。对设备影响较大的是高并发(例如设备重启)和大量的用户接入网络,但是未认证上线。最多待机人数:300人,但是具体人数还受限于设备的带机数。

14.访客认证中,用户认证的信息是否可以保存在设备中,或者是和其他的日志服务器联动保存这些认证信息?

答:访客认证实际是有做实名的,作为外部用户存在。如下图:

图片1

访客的名称是:终端的MAC+授权员工的名称

员工的名称是:管理员创建的帐号名称

15.有时候通过拔插电源重启设备,部分用户会丢失?

答:认证的用户信息每小时备份一次,如果添加完用户,在一个小时内拔插电源重启,这部分信息就有丢失的风险。通过web下发重启不会丢失。

16.员工信息老化

答:

(1)AD域认证的终端,如果AD域服务器端删除账号,设备端也会将该用户删除,达到老化的效果

(2)设备端记录的mac对应的终端,在较长的一段时间内都未再上线,记录会被删掉,如果是最后一条记录,用户信息都会被删除

17.用户被下线的几种情况:

(1)来宾上线时长达到了允许上线时间

(2)员工的终端在某些时段禁止上网

(3)该终端在一定时间(默认60分钟)流量小于一定值(默认为0),被强制下线

(4)管理员强制终端下线

18.本地认证模式如何修改员工的密码

答:

(1)管理员可以强制修改密码。即不知道原密码的情况下通过设备上进行强行修改。

(2)在终端输入账号密码的页面,有个跳转到修改密码的页面,输入账号原密码,及新密码提交修改。

(3)如果没有跳转到输入账号密码的页面,如何输入?

答:如果没跳转到输入账号密码的页面,说明该终端可以通过无感知直接放行,此时都不需要输入账号密码,那么在修改密码就没意义了。如果非要修改,找台没有认证过的终端,就能跳转到账号密码输入页面。

19.短信验证有哪些特殊限制

答:

(1)设备时间要正确。有些设备起机时间是1970年,设备要开启时间校准功能。

(2)对同一个手机号码发送短信验证码,支持1条/分钟,5条/小时,10条/天

(3)点击获取验证码的终端和输入验证码提交验证的终端要同一台

20.员工用户认证 成功后,在线信息踢掉之后,第二次连入之后直接无感知了,有没办法踢下线,重新走认证流程,是否有方法解决?

答:目前只要认证过支持,即使在在线列表中删除该用户,下次认证的时候都是无感知认证。因为在知道AD域账号密码的情况下,踢下线后,再次输入账号密码也一样能通过。如果是测试的情况下,可以将该帐号删除,重新建立一个新帐号。

21.AD域认证,如何对用户权限批量提升?而不是一个个认证成功后再提权限?

答:需要AD域服务端有配置组,配置首页填入的搜索入口的下一级如果配置有组,例如领导组,普通员工1组,普通员工2组,可以设置这些组来批量修改。如果没有则只能一个个修改了。设置组位置:用户管理-》组管理-》AD域组同步按钮点开可以有特权权限组和普通权限组。

22.开启办公认证之后,内网访客和员工网段需要认证,但是内网有线网段是否受这个认证限制?

答:比如员工配了1.1.1.1-2.2.2.2,来宾:3.3.3.3-4.4.4.4,内网另有有线网段5.5.5.5-6.6.6.6,并且没有配置免认证。那么这两个ip段以外的都会抛出错误提示,但没法正常认证,需要将该网段加入免认证才可以。

23.配置AD域认证时,管理名和认证时填的分别是什么名字?

答:配置AD域认证时,管理员名称填入的是AD域中的用户名,而非登录名,在认证时,填入的是登录名而非用户名,一般这种情况下,建议是添加一个新用户,登录名和用户名设置为一样的,这样就不会混淆了。

发表评论

电子邮件地址不会被公开。 必填项已用*标注