电子商务网站建设 iis温州专业建站
动态授权加入的成员优先级高于静态绑定的成员;
any组(缺省):所有用户或资源,通常用来配置默认规则。any组只能做目的组,不支持配置为源组。
同一个安全组既可以与多条授权规则绑定来表示动态用户,也可以与多个IP地址或IP网段绑定来表示静态资源。
如果一个IP地址同时以认证方式和静态绑定方式分别加入了不同组,则以认证方式授权的动态组为优先。同一个IP地址,只能加入一个安全组中。
资源组之间允许IP地址重复;
MAC旁路认证比单纯的MAC认证多一个802.1X认证环节,故时间要比MAC认证时间长。
用户进行Portal认证成功后,在一定时间内断开网络重新连接,能够直接通过MAC认证接入,无需输入用户名、密码重新进行Portal认证。
该功能需要在设备配置MAC+Portal的混合认证,同时在认证服务器上开启MAC优先的Portal认证功能并配置MAC地址有效时间。
一个认证模板同时最多支持绑定一个802.1X接入模板、一个MAC接入模板和一个Portal接入模板。
配置默认域:设备根据用户名中携带的域名进行认证,未携带域名则将该用户在默认域中进行认证。
配置强制域:无论用户名中是否携带域名,都将用户在强制域中进行认证。
认证模板的作用是统一管理NAC的相关配置。通过将认证模板绑定到接口或VAP模板视图下来使能NAC,实现对接口或VAP模板下的用户进行接入控制。
接入层设备需透传BPDU报文,否则用户的802.1X认证将失败。
策略联动是通过在网关设备上统一管理用户的访问策略,并且在网关设备和接入设备执行用户的访问策略,来解决大型园区策略强度与复杂度之间矛盾的一种解决方案。
认证控制点与认证执行点之间建立CAPWAP(Control And Provisioning of Wireless Access Points)隧道。
VPN技术按业务用途划分可分成以下三类:
Access VPN(远程访问虚拟专网):又称拨号VPN、远程访问VPN,通常使用L2TP VPN技术。
Intranet VPN(企业内部虚拟专网):网关到网关,通过公司的网络架构连接来自同公司的资源,通常使用GRE或者DSVPN技术。
Extranet VPN(扩展的企业内部虚拟专网):与合作伙伴企业网构成Extranet,通常使用SSL VPN技术。
第二层隧道协议:是将整个PPP帧封装在内部隧道中。现有的第二层隧道协议有:PPTP(Point-to-Point Tunneling Protocol,点到点隧道协议),L2F(Layer 2 Forwarding,二层转发协议),L2TP(Layer 2 Tunneling Protocol,二层隧道协议)。
第三层隧道协议:隧道内只携带第三层报文。现有的第三层隧道协议主要有GRE(Generic Routing Encapsulation,通用路由封装协议),
IPsec(IP Security)协议:IPsec协议不是一个单独的协议,包括AH(Authentication Header,头验证协议)和ESP(Encapsulating Security Payload,封装安全载荷协议)。
VPDN(Virtual Private Dial-up Networks,虚拟专用拨号网)技术,是基于拨号用户的虚拟专用拨号网业务。可以用于企业互联或者远程访问企业网络。
所有VPN协议中,PPTP加密级别最低,且PPTP必须基于IP网络。
L2TP只是一种隧道协议,既不提供加密也不保证隐私,因此一般与IPsec配合使用。
使用L2TP需要配合AAA服务器,当需要构建L2VPN时,L2TP是非常好的选择。
Access VPN 现网中多用于内网用户远程接入,使用最多的是L2TP over IPsec。
L2TP没有办法传递组播数据,无法在总公司和分公司之间传递路由,所以现网L2TP更多用于远程用户接入。
Intranet VPN技术指的是,基于Internet在公司网关之间构建VPN网络,主要用到的技术有GRE、DSVPN等。
GRE(Generic Routing Encapsulation,通用路由封装协议):是对某些网络层协议(如:IP、 IPX、AppleTalk等)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议(如IP)中传输。
GRE的主要缺点是不支持加密。IPsec的主要缺点是只支持IP协议,且不支持组播。
GRE可以封装组播数据并在GRE隧道中传输。而IPsec目前只能对单播数据进行加密保护,因此对于诸如路由协议、语音、视频等组播数据需要在IPsec隧道中传输的情况,可以通过建立GRE隧道,并对组播数据进行GRE封装,然后再对封装后的报文进行IPsec的加密处理,就实现了组播数据在IPsec隧道中的加密传输。
GRE over IPsec可以使用两种封装模式:
隧道模式
传输模式
DSVPN是一种动态建立GRE隧道的技术,通过NHRP协议动态收集、维护和发布各节点的公网地址等信息,解决了源分支无法获取目的分支公网地址的问题。
DSVPN借助mGRE技术,使一个Tunnel接口可与多个对端建立VPN隧道。
DSVPN主要解决GRE Over IPsec的缺陷:
所有流量必须穿越Hub。
新增站点后需要修改Hub配置。
Spoke站点使用动态地址,部署点到点GRE时会有问题。
SPR就是在这一背景下产生的一种策略路由。它可以主动探测链路质量并匹配业务的需求,从而选择一条最优链路转发业务数据,可以有效地避免网络黑洞、网络震荡等问题。
以下哪些是专线技术?(AC)
SDH
L2TP
MPLS VPN
IPsec VPN