sangfor ac sg 2012年度培训14_协议剥离与pppoe单点登录功能培训_lsq

协议剥离与 PPPOE单点登录功能培训培训内容 培训目标协议剥离功能介绍和配置 1. 了解协议剥离功能的适用环境2. 掌握协议剥离功能的配置方法3. 了解协议剥离功能的注意事项PPPOE单点登录功能介绍和配置1. 了解 PPPOE单点登录功能的作用2. 掌握 PPPOE单点登录功能的配置协议剥离功能介绍和配置案例PPPOE单点登录功能介绍深信服公司简介PPPOE单点登录功能配置案例练练手SANGFOR AC协议剥离功能介绍在某些网络环境中，数据包经过了一些特殊协议类型的封装（如PPPoE、 MPLS等），这些协议数据包在普通 IP数据 包的基础上添加了各自协议特有的的头部标识 （不是传统的 “ETH头 +IP头 +TCP/UDP头 +应用层数据 ”的形式） ，使得一般带有协议分析功能的设备也无法正常分析 数据包的内容 。下面我们来比较下一个普通的 IP数据包和一个由 PPPOE封装的数据包的不同：协议剥离功能介绍一个普通 IP数据包是这样 的：一个 由 PPPOE封装的 数据包是这样 的：上层是 IP协议上层是 PPPOE协议IP头所在的位置不一样，PPPOE添加了自身的头部协议剥离功能介绍SANGFOR AC设备 通过协议剥离功能，分析出这些特殊协议数据包的特点，并与内置特殊协议规则匹配，在设备内部剥离掉特殊协议的协议头，这样可以支持对特殊协议封装内的原始数据进行认证、审计和控制。AC设备网桥和旁路模式下支持协议剥离功能，路由模式下不支持。网桥模式下支持对协议剥离后的数据进行自动认证，控制和审计；旁路模式下只支持对协议剥离后的数据进行自动认证和审计。协议剥离功能介绍AC 支持对如下特殊协议的识别：二层协议三层协议WLAN支持多种协议组合的环境，如二层协议中封装二层或者三层协议（ VLAN中跑PPPOE）协议剥离功能配置案例用户需求：某用户的 AC设备网桥模式部署在网络中，需要对 VLAN中传输的 PPPOE数据进行认证，上网控制和审计。配置思路：1. 开启对 VLAN协议（ Q-in-Q）的剥离和 PPPOE协议的剥离。2. 开启 PPPOE单点登录 （配置省略）3. 对 PPPOE的用户设置上网权限策略和上网审计策略 （配置省略）协议剥离功能配置案例开启 VLAN协议（ Q-in-Q）的剥离和 PPPOE协议的剥离配置截图：协议剥离功能注意事项1. 路由模式下不支持协议剥离功能 ，控制台页面也看不到 “网络协议扩展 ”的配置页面。2. 网桥模式下支持协议剥离，可以对协议剥离后的数据进行自动认证、审计和控制， 但特殊环境下部分功能不生效 ： 如 WEB 认证、准入认证、拒绝页面、智能提醒页面等需要重定向的功能； SSL内容识别、 MSN传文件控制、KERBEROS单点登录等；邮件延迟审计、 SG的上网加速， 网关杀毒等需要设备代理的功能。3. 协议剥离环境下， 不支持 DKEY认证，不支持以计算机名作为用户名，只支持 IP认证，不支持用户绑定 MAC地址和以 MAC地址作为用户名 （ PPPOE环境下支持绑定 MAC和以 MAC作为用户名）。协议剥离功能注意事项4. 设备默认支持单层 VLAN的协议剥离，不需要启用协议剥离 。 若 VLAN和其他协议的组合，如 VLAN中传输 PPPOE，则需要同时启用 VLAN（ Q-in-Q）协议的剥离 和 PPPOE协议的剥离 。5. 协议剥离均不支持协议以压缩、加密的方式通讯 。PPPOE单点登录功能介绍PPPOE单点登录功能介绍某客户网络中已经使用 PPPOE方式做认证，部署了 AC设备对用户的上网行为做控制和审计。通过 PPPOE单点登录功能，能实现用户 通过PPPOE认证后，自动通过 AC设备认证，且设备上的用户 与 PPPOE拨号账 号 对应 。PPPOE单点登录功能应用环境PPPOE单点登录功能应用环境要求：1. PPPOE服务器部署在 AC设备 WAN口方向。PPPOE单点登录功能应用环境2. AC设备上开启 PPPOE协议剥离。（由于路由模式下不支持协议剥离，所以要求 AC设备的部署模式为网桥或者旁路模式部署）PPPOE单点登录功能配置案例客户网络环境与需求：某客户网络环境如右图所示，内网用户通过 PPPOE拨号上网， AC设备网桥模式部署在网络中，希望用户通过 PPPOE认证后，自动通过 AC的认证，且通过 PPPOE账号记录用户对应的上网日志。PPPOE单点登录功能配置案例配置思路：1. 设置认证策略，认证方式选择 “不需要认证 /单点登录 ”。4. 认证冲突设置，如果认证时发现已经在其他 IP上登录，则强制注销以前的登录，在当前 IP上认证通过。3. 开启 PPPOE单点登录。2. 开启 PPPOE协议剥离。PPPOE单点登录功能配置案例配置步骤：1. 设置认证策略，为了防止 PPPOE单点登录不成功的用户不能上网，认证方式选择 “不需要认证 /单点登录 ”。PPPOE单点登录功能配置案例2. 开启 PPPOE协议剥离。如果网络环境中由其他协议的数据包传输 PPPOE的数据，则也要开启其他协议的协议剥离PPPOE单点登录功能配置案例3. 开启 PPPOE单点登录。PPPOE单点登录功能配置案例4. 认证冲突设置，如果认证时发现已经在其他 IP上登录，则强制注销以前的登录，在当前 IP上认证通过。如果 PPPOE用户注销拨号，而 AC设备上不会同步注销用户。 PPPOE用户断线重拨，电脑获得的 IP与之前的 IP不一样，而 PPPOE账号都是私有账号，就会出现 AC在线用户列表中账号对应的 IP和后续数据包里相同账号对应的 IP不一致，导致用户上网异常，建议认证冲突做如上设置。练练手某客户网络中已经使用 PPPOE方式做认证，部署了 AC设备对用户的上网行为做控制和审计，请通过配置实现 PPPOE单点登录功能。问题思考1. AC设备所有工作模式都支持协议剥离功能吗？如果不是，哪些工作模式下支持协议剥离呢？2. AC设备网桥模式部署在 VLAN环境中，上网数据经过单层 VLAN封装经过 AC设备转发到公网。 请问这样的网络环境中，是否需要开启协议剥离功能？3. 如果客户网络中通过 VLAN传输 PPPOE的数据，是否能在 AC设备上PPPOE单点登录成功？ 如果可以，配置上有何需要注意的地方？教你写字 下面是赠送的 PPT模