当前位置：首页 > news >正文

【实战中提升自己】内网安全部署之dot1x部署本地与集成AD域的主流方式（附带MAC认证）

news 来源：原创 2025/8/6 7:44:17

1 dot1x部署【用户名密码认证，也可以解决私接无线AP等功能】

说明：如果一个网络需要通过用户名认证才能访问内网，而认证失败只能访问外网与服务器，可以部署dot1x功能。它能实现的效果是，当内部用户输入正常的用户名与密码后，可以正常访问内部的网络与外网，没任何限制，如果不是内部人员登陆电脑，输入不了正确的用户名密码，那么只给访问外网，到Guest VLAN。

 「模拟器、工具合集」复制整段内容
链接：https://docs.qq.com/sheet/DV0xxTmFDRFVoY1dQ?tab=7ulgil

（1）开启dot1x功能[boss]dot1x enable（2）接口开启dot1x功能【注意关闭MAC-AUREN】[boss]dot1x enable interface Ethernet 0/0/1 to 0/0/7[boss]dot1x port-method port interface Ethernet 0/0/1 to 0/0/7
（3）定义认证失败的VLAN[boss]authentication guest-vlan 40 interface Ethernet 0/0/1 to 0/0/7说明：当用户没用通过后，就划入到对应的VLAN 40里面，我们可以对VLAN 40做策略，只允许访问Internet。
（4）定义本地用户[boss]aaa[boss-aaa]local-user test password cipher test[boss-aaa]local-user test service-type 8021x
（5）开启重新认证功能[boss]dot1x reauthenticate interface Ethernet 0/0/1 to 0/0/7[boss]dot1x timer reauthenticate-period 60 ：这里定义重新认证功能为1分钟，这里为了实现实验效果，平时可以定义的久点。可以解决当用户失败后不需要一直处于Guest VLAN中，可以进行重新认证。

（6）客户开启dot1x功能【测试】

开启该功能

特意认证失败【密码输入错误】

可以看到获取到VLAN 40的地址池了。

这里当一分钟过后，即可重新认证，输入正确的密码

已经正确获取到地址了，

访问内网没任何问题，外网也是没问题的。

（7）为什么可以杜绝接入无线AP或者路由器。
说明：因为对于每个接口都是需要用户名密码通过的，平时一些杜绝技术，比如端口安全，只能限制一个MAC地址通过，但是现在的路由器什么的都可以直接克隆MAC地址的。

另外，路由器默认开启了NAT，所以从内部所有的流量都转换到WAN口的，也就是同一个IP地址，固定的MAC地址，所以端口安全或者其他技术都杜绝不了，当dot1x的功能的话，目前路由器这些还不支持，所以这次可以拒绝。

（8）总结
说明：部署dot1x也是根据需求来决定，如果需要详细的控制内部用户访问，在登陆的时候需要用户名认证，或者其他认证，都可以进行。

[boss]aaa[boss-aaa]local-user test access-limit 1

该功能可以实现，一个帐号只允许一在线。

2 使用Radius进行认证【外边数据库或者是AD】

说明：在有时候，在某些数据库中有用户名了，比如AD环境，可以利用本身有的用户数据可以直接调用访问。
（1）AD与IAS安装
说明：这部分就不截图演示了，具体的可以参考dot1x项目那块，有详细的讲解【其他案例课程中】

（2）在交换机上面定义Radius服务器
Radius服务器定义

[boss]radius-server template dot1x[boss-radius-dot1x]radius-server authentication 192.168.2.253 1812[boss-radius-dot1x]radius-server shared-key simple test[boss-radius-dot1x]undo radius-server user-name domain-included

说明：定义了一个Radius服务，包括服务器地址，密钥，最后一句话可以后续在分析。

（3）定义认证模板

[boss]aaa[boss-aaa]authentication-scheme dot1x[boss-aaa-authen-dot1x]authentication-mode radius local

（4）关联域

可以看到AD的域是ccieh3c.taobao.com，那么我们可以定义这样一个域名。

[boss]aaa[boss-aaa]domain ccieh3c.taobao.com[boss-aaa-domain-ccieh3c.taobao.com]authentication-scheme dot1x[boss-aaa-domain-ccieh3c.taobao.com]radius-server dot1x

说明：定义了一个域，然后关联了认证策略与Radius服务器，该功能的意思就是，当匹配该域的时候，就按下面的策略进行认证，交给Radius服务器。

（5）定义AAA 客户端与默认策略

该策略用来测试用的，而下面这个用来做MD5认证用的。

（6）测试AAA服务器是否正常

有错误的日志。

可以看到提示说Windows默认不支持CHAP方式存储密码，不可逆的，所以我们必须允许该策略。

在IAS服务器中刷新下组策略，也可以重启下。

可以看到现在已经OK了，但是注意的是可以看到在test的时候我们加了域名，之前定义的Domain，比如 test@ccieh3c.taobao.com。

已经成功了。

undo radius-server user-name domain-included 这句话的意思是，当用户输入test@ccieh3c.taobao.com，匹配上Domain，那么就会用该Domain下的认证策略进行策略，也就是用Radius服务器上面的。另外在发送给Radius服务器的时候，会去掉@后面的ccieh3c.taobao.com，直接发送test给IAS服务器，这个功能适合与独立服务器，也适合域的服务器。

（7）用户测试

可以看到有对应的用户名信息了。

（8）定于默认Domain
[boss]domain ccieh3c.taobao.com
说明：定义为默认域的作用是，如果用户直接用test的访问，那么这样的话，就自动调用ccieh3c.taobao.com下。

（9）如果是MAC认证调用Radius认证。
说明：如果使用MAC地址开始认证的话，则可以定义

注意需要关闭密码安全性策略功能，否则不能定义用户名与密码一样的。另外还需要允许策略

关闭即可。
[boss]mac-authen domain ccieh3c.taobao.com ：这里还需要定义从该域认证

（10）MAC测试

已经通过了

【实战中提升自己】内网安全部署之dot1x部署本地与集成AD域的主流方式（附带MAC认证）

1 dot1x部署【用户名密码认证，也可以解决私接无线AP等功能】说明：如果一个网络需要通过用户名认证才能访问内网，而认证失败只能访问外网与服务器，可以部署dot1x功能。它能实现的效果是，当内部用户输入正常的…...

编程日记 2025/8/6 7:44:17

算法—合并排序—js（场景：大数据且需稳定性）

合并排序基本思想（稳定且高效） 将数组递归拆分为最小单元，合并两个有序数组。特点： 时间复杂度：O(n log n) 空间复杂度：O(n) 稳定排序 // 合并排序-分解 function mergeSort(arr) {if (arr.length < …...

编程日记 2025/8/5 4:53:21

绝对路径与相对路径

绝对路径和相对路径是在计算机系统中用于定位文件或目录的两种方式，以下是具体介绍： 绝对路径 • 定义：是从文件系统的根目录开始到目标文件或目录的完整路径，它包含了从根目录到目标位置的所有目录和子目录信息，具有…...

编程日记 2025/8/5 16:33:13

RabbitMQ，添加用户时，出现Erlang cookie不一致，导致添加用户失败的问题解决

1. 问题现象 RabbitMQ 添加用户，出现以下报错 ./rabbitmgctl add user admin admin666*2. 问题原因和解决方法安装的 RabbitMQ 里的 Erlang cookie，和 Erlang 环境的 cookie 不一致导致的解决方法：将 Erlang 环境的 cookie &#xff0c…...

编程日记 2025/8/6 7:42:18

阿拉丁神灯-第16届蓝桥第4次STEMA测评Scratch真题第2题

[导读]：超平老师的《Scratch蓝桥杯真题解析100讲》已经全部完成，后续会不定期解读蓝桥真题，这是Scratch蓝桥真题解析第219讲。第16届蓝桥第4次STEMA测评已于2025年1月12日落下帷幕，编程题一共有5题（初级组只有前4道编…...

编程日记 2025/8/6 7:40:02

常用的验证验证 onnxruntime-gpu安装的命令

#工作记录我们经常会遇到明明安装了onnxruntime-gpu或onnxruntime后，无法正常使用的情况。一、强制重新安装 onnxruntime-gpu 及其依赖 # 强制重新安装 onnxruntime-gpu 及其依赖 pip install --force-reinstall --no-cache-dir onnxruntime-gpu1.18.0 --extra…...

编程日记 2025/7/29 17:31:12

docker配置skywalking 监控springcloud应用

在使用 Docker 配置 SkyWalking 监控 Spring Cloud 应用时，主要分为以下几个步骤： 1. 准备工作确保你的开发环境已经安装了 Docker 和 Docker Compose。准备好 Spring Cloud 应用代码，并确保它支持 SkyWalking 的探针（Agent&…...

编程日记 2025/8/5 14:33:20

HBase安装与基本操作指南

## 1. 安装准备首先确保您的系统已经安装了以下组件： - Java JDK 8或更高版本 - Hadoop（HBase可以运行在独立模式下，但建议配合Hadoop使用） ## 2. 下载与安装HBase ```bash # 下载HBase（以2.4.12版本为例） wget https://downloads.apache.org/hbase/2.4.12/hbase-2…...

编程日记 2025/8/6 7:42:26

【Linux】Rhcsa复习5

一、Linux文件系统权限 1、文件的一般权限文件权限针对三类对象进行定义： owner 属主，缩写u group 属组， 缩写g other 其他，缩写o 每个文件针对每类访问者定义了三种主要权限： r：read 读 w&…...

编程日记 2025/8/4 16:12:04

C++11特性补充

目录 lambda表达式定义捕捉的方式可变模板参数递归函数方式展开参数包数组展开参数包移动构造和移动赋值包装器绑定bind 智能指针 RAII auto_ptr unique_ptr shared_ptr 循环引用 weak_ptr 补充总结特殊类的设计不能被拷贝的类只能在堆上创建…...

编程日记 2025/8/6 7:42:27

缓存 --- Redis性能瓶颈和大Key问题

缓存 --- Redis性能瓶颈和大Key问题内存瓶颈网络瓶颈CPU 瓶颈持久化瓶颈大key问题优化方案 Redis 是一个高性能的内存数据库，但在实际使用中，可能会在内存、网络、CPU、持久化、大键值对等方面遇到性能瓶颈。下面从这些方面详细分析 Redis 的性能瓶颈&a…...

编程日记 2025/8/6 7:43:37

css3新特性第三章(文本属性)

一、文本属性文本阴影文本换行文本溢出文本修饰文本描边 1.1 文本阴影在 CSS3 中，我们可以使用 text-shadow 属性给文本添加阴影。语法： text-shadow: h-shadow v-shadow blur color; 值描述h-shadow必需写，水平阴影的位置。允许负值。…...

编程日记 2025/7/31 7:18:06

Redis 缓存—处理高并发问题

Redis的布隆过滤器、单线程架构、双写一致性、比较穿透、击穿及雪崩、缓存更新方案及分布式锁。 1 布隆过滤器是一种高效的概率型数据结构，用于判断元素是否存在。主要用于防止缓存穿透，通过拦截不存在的数据查询，避免击穿数据库。原理&…...

编程日记 2025/7/31 0:39:00

嵌入式芯片中的 SRAM 内容细讲

什么是 RAM？ RAM 指的是“随机存取”，意思是存储单元都可以在相同的时间内被读写，和“顺序访问”（如磁带）相对。 RAM 不等于 DRAM，而是一类统称，包括 SRAM 和 DRAM 两种主要类型。静态随机存…...

编程日记 2025/7/29 17:30:59

实操基于MCP驱动的 Agentic RAG:智能调度向量召回或者网络检索

我们展示了一个由 MCP 驱动的 Agentic RAG，它会搜索向量数据库，当然如果有需要他会自行进行网络搜索。为了构建这个系统，我们将使用以下工具： 博查搜索用于大规模抓取网络数据。作为Faiss向量数据库。Cursor 作为 MCP 客户端。…...

编程日记 2025/7/29 17:30:57

位运算---总结

位运算基础 1. & 运算符 : 有 0 就是 0 2. | 运算符 : 有 1 就是 1 3. ^ 运算符 : 相同为0 相异为1 and 无进位相加位运算的优选级不用在意优先级,能加括号就加括号给一个数 n ,确定它的二进制位中第 x 位是 0 还是 1? 规定: 题中所说的第x位指:int 在32位机器下4个…...

编程日记 2025/7/31 5:25:56

从0开始搭建一套工具函数库,发布npm,支持commonjs模块es模块和script引入使用

文章目录文章目标技术选型工程搭建1. 初始化项目2. 安装开发依赖3. 项目结构4. 配置文件tsconfig.json.eslintrc.jseslint.config.prettierrc.jsrollup.config.cjs创建 .gitignore文件设置 Git 钩子创建示例工具函数8. 版本管理和发布9 工具函数测试方案1. 安装测试依赖2. 配…...

编程日记 2025/7/29 20:53:56

精通 Spring Cache + Redis：避坑指南与最佳实践

Spring Cache 以其优雅的注解方式，极大地简化了 Java 应用中缓存逻辑的实现。结合高性能的内存数据库 Redis，我们可以轻松构建出响应迅速、扩展性强的应用程序。然而，在享受便捷的同时，一些常见的“坑”和被忽视的最佳实践可能会悄…...

编程日记 2025/7/29 20:53:54

DSP28335入门学习——第一节：工程项目创建

写这个文章是用来学习的,记录一下我的学习过程。希望我能一直坚持下去,我只是一个小白,只是想好好学习,我知道这会很难，但我还是想去做！ 本文写于：2025.04.20 DSP28335开发板学习——第一节：工程项目创建前言开发板说明引用解答…...

编程日记 2025/7/31 4:53:19

Docker Registry（镜像仓库）

官方架构 Docker 使用客户端 - 服务器 (C/S) 架构模式，使用远程 API 来管理和创建 Docker 容器。Docker 容器通过 Docker 镜像来创建。 Docker 仓库(Registry)：Docker 仓库用来保存镜像，可以理解为代码控制中的代码仓库。Docker Hu…...

编程日记 2025/7/29 20:53:49

通过Dify快速搭建本地AI智能体开发平台

1. 安装Docker Desktop 访问 Docker官网点击Download Docker Desktop，直接按照官方要求来就可以。 # 这串命令就像魔法咒语，在黑色窗口（命令提示符）里输入就能检查安装是否成功 docker --version2.安装dify 3.运行 Ollama 大…...

编程日记 2025/8/5 10:35:20

计算机视觉与深度学习｜ Transformer原理，公式，代码，应用

Transformer 详解 Transformer 是 Google 在 2017 年提出的基于自注意力机制的深度学习模型，彻底改变了序列建模的范式，解决了 RNN 和 LSTM 在长距离依赖和并行计算上的局限性。以下是其原理、公式、代码和应用的详细解析。一、原理核心架构 Transformer 由编码器（Encod…...

编程日记 2025/7/30 21:29:23

skywalking agent 关联docker镜像

Apache SkyWalking 提供了多种方式来部署和使用 SkyWalking Agent，包括在 Docker 容器中运行的应用。虽然 SkyWalking Agent 本身不是一个独立的 Docker 镜像，但你可以通过几种方式将 SkyWalking Agent 集成到你的 Docker 应用中。方式一：手…...

编程日记 2025/8/5 20:21:45

【中间件】nginx将请求负载均衡转发给网关，网关再将请求转发给对应服务

一、场景前端将请求发送给nginx，nginx将请求再转发给网关，网关再将请求转发至对应服务。由于网关会部署在多台服务器上，因此nginx需要负载均衡给网关发请求。nginx所有配置均参照官方文档nginx开发文档，可参考负载均衡板块内容二…...

编程日记 2025/7/29 20:53:40

Milvus（1）：什么是 Milvus

Milvus 由 Zilliz 开发，并很快捐赠给了 Linux 基金会下的 LF AI & Data 基金会，现已成为世界领先的开源向量数据库项目之一。它采用 Apache 2.0 许可发布，大多数贡献者都是高性能计算（HPC）领域的专家，擅…...

编程日记 2025/7/29 20:53:38

第十六节：高频开放题-React与Vue设计哲学差异

响应式原理（Proxy vs 虚拟DOM） 组合式API vs Hooks React 与 Vue 设计哲学差异深度解析一、响应式原理的底层实现差异 1. Vue 的响应式模型（Proxy/数据劫持） Vue 的响应式系统通过数据劫持实现自动依赖追踪： • …...

编程日记 2025/7/29 20:53:36

【Hot100】 240. 搜索二维矩阵 II

目录引言搜索二维矩阵 II我的解题贪心求解解题思路详解搜索策略（以从右上角开始为例）为什么这种方法有效？ 完整代码实现复杂度分析示例演示 🙋‍♂️ 作者：海码007📜 专栏：算法专栏&#x1f4a…...

编程日记 2025/7/29 20:53:34

每日面试实录·携程·社招·JAVA

📍面试公司：携程 👜面试岗位：后端开发工程师（社招） 🕐面试时长：约 50 分钟 🔄面试轮次：第 1 轮技术面 ✨面试整体节奏： 这场携程的社招 Java 一面…...

编程日记 2025/7/29 20:53:32

Oracle--用户管理

前言：本博客仅作记录学习使用，部分图片出自网络，如有侵犯您的权益，请联系删除用户管理在 Oracle 数据库中至关重要。一个服务器通常只运行一个 Oracle 实例，而一个 Oracle 用户代表一个用户群，他们通过该用…...

编程日记 2025/8/4 14:13:09

20.3 使用技巧5

编程日记 2025/7/31 11:43:17

Kubernetes相关的名词解释Metrics Server组件（7）

什么是Metrics Server？ Metrics Server 是 Kubernetes 集群中的一个关键组件，主要用于资源监控和自动扩缩容。 kubernetes 从1.8版本开始不再集成cadvisor，也废弃了heapster，使用metrics server来提供metrics。那么...... 什么…...

编程日记 2025/7/29 20:53:26

17.【.NET 8 实战--孢子记账--从单体到微服务--转向微服务】--单体转微服务--SonarQube部署与配置

在将孢子记账系统从单体架构转向微服务架构的过程中，代码质量的管理变得尤为重要。随着项目规模的扩大和团队协作的深入，我们需要一个强大的工具来帮助我们持续监控和改进代码质量。我们首选SonarQube，它能够帮助我们识别代码中的潜在问题、技…...

编程日记 2025/7/29 20:53:24

计算机是如何看待数据的？

一、计算机如何“看待”数据？ 物理层本质： 计算机的所有数据最终以二进制（0和1）在电路中表示（高电平1，低电平0）。无论你用何种进制描述数据（如十六进制 0xA1 或十进制 161&#xf…...

编程日记 2025/7/29 20:53:22

25.4.20学习总结

如何使用listView组件来做聊天界面 1. 什么是CellFactory？ 在JavaFX中，控件（比如ListView、TableView等）用Cell来显示每一条数据。 Cell：代表这个单元格（即每个列表项）中显示的内容和样式。 …...

编程日记 2025/7/29 20:53:20

SpringBoot3集成ES8.15实现余额监控

1. gradle依赖新增 implementation org.springframework.boot:spring-boot-starter-data-elasticsearch implementation co.elastic.clients:elasticsearch-java:8.15.02. application.yml配置 spring:elasticsearch:uris: http://localhost:9200username: elasticpassword: …...

编程日记 2025/7/29 20:53:18

相关文章：