认证方式介绍
认证功能主要用于经过AC设备上网的用户进行身份的验证。通过认证功能可识别内网上网用户的身份，为后续的流量管理、用户上网权限策略及应用审计提供基础。

认证方式：
不需要认证
密码认证：本地密码认证、第三方服务器密码认证、短信认证、微信认证、二维码认证
Dkey认证
单点登录认证：LDAP单点登录、数据库单点登录、Web单点登录、PPPOE单点登录、POP3单点登录、PROXY单点登录、第三方设备单点登录、深信服设备单点登录、Radius单点登录。
不允许认证：（禁止上网）

认证功能配置

现要求实现
1、办公区用户不能修改IP地址上网
2、公共上网区则需要输入账号和密码才能上网，确保网络行为能跟踪到且认证通过后，自动跳转至内网服务器上的公告页。
3、总经理的上网数据要保证安全，不能被审计。
4、IT部点电脑IP不固定，认证不受限制。
解决方案
根据客户要求，我们可以将AC部署在防火墙与核心交换机之间，并通过如下认证设置来满足需求。
1、办公区用户采用不需要认证，自动录入IP和MAC的绑定关系。
2、公共上网区域采用密码认证，设置爱用户名和密码，并设置认证后跳转到服务器公告页面。
3、总经理使用免审计key上网，确保数据不被记录
4、IT部采用不需要认证，不绑定任何地址

配置思路
1、首先为办公区域的用户建一个用户组，在【用户认证与策略】-【用户管理】-【组/用户】中，点新增，选择【组】，定义组名：办公区，设置完成后点提交。

2、配置认证策略
新增认证策略，设置认证范围，认证方式及认证后处理，本案例的需求是不需要认证，并且同时绑定IP和MAC。



4、设备配置夸三层MAC识别



此案例中，因为网络环境是三层环境，所以需要配置3步和4步。如果是二层环境，AC收到的上网数据流就是终端电脑真实的MAC，所以不需要配置3、4步，即可实现绑定终端电脑的IP和Mac，达到不能任意上网的需求。

场景二（公共用户上网需要密码认证）
1、首先为办公区的用户建一个用户组，在【用户与管理策略】-【用户管理】-【组/用户】中，点新增，选择【组】，定义组名：公共区，设置完成后点击提交。

2、新增用户名密码认证的用户，设置用户名密码

实际操作中，密码认证的账号很多，只需按要求格式做成csv表格，一次性导入设备
3、配置认证策略：在【用户与策略管理】-【用户认证】-【认证策略】中，点击【新增】



加密传输用户名密码

未通过认证的https请求从定向到认证页面

场景三配置（总经理上网使用DKEY人认证）
1、使用DEKY认证的用户，需要下载并安装DEKY客户端

2、新增DKEY认证的用户，手动生成DKEY【用户认证与管理】-【用户管理】-【认证高级选项】选择DEKY用户

3、使用DEKY客户端进行认证
（1）用户安装完DEKY客户端后，会在桌面生成图标。
（2）电脑USB接口插入免审计KEY，并输入密码

（3）认证成功后，客户端会有如下提示

场景四配置（IT部使用不需要认证上网）

1、首先为办公区的用户建一个用户组，在【用户与管理策略】-【用户管理】-【组/用户】中，点新增，选择【组】，定义组名：IT部，设置完成后点击提交。

2、配置认证策略，选择认证方式，本案例的要求不需要认证，不绑定任何地址