PIX能做基于用户的上网认证吗

LD

希望每个人有唯一的上网用户，并且只能在特定的机器上使用。

never1984

可以升级到PIXOS 7.0，做cut-through proxy，用RADIUS做身份认证。
至于“特定的机器”，你是指IP地址特定吗？还是别的？

cnadl

可以

LD

never1984:
我想实现的总的一个目标就是每个人必须有一个用户才能上网，并且这个用户跟他的ip,mac都绑定，这样即使他伪装成另一台机器的ip,mac，但不知道那台机器上网的用户和口令，还无法上网。

cnadl:
具体怎么实现？

cnadl

具体可以参照在pix上配置aaa身份认证，各个版本都不大一样，如：
http://www.cisco.com/en/US/products/sw/secursw/ps2120/products_configuration_guide_chapter09186a00800eb721.html#wp1090040
http://www.cisco.com/en/US/products/sw/secursw/ps2120/products_configuration_guide_chapter09186a0080450b5e.html

至于绑定到ip和mac，还需要你的交换机支持1x。

LD

多谢。

LD

多帖一个版,希望更多的人看到.

最近这个需求提得强烈了。看了一些资料，有了一些粗浅的认识。现有一个PIX，一个域控制器，一个局域网. 希望能从域控制器读取用户信息。 几种可能的方案:
1. PIX(NAS) + Cisco ACS (AAA server);
2. PIX(NAS) + Microsoft IAS (AAA server);
3. PIX(NAS) + Free Radius server;
4. PIX(NAS + AAA server);
方案1应该是没问题的，是Cisco代理推荐的方案，但是需要买软件；
方案2不需要买软件，IAS是Windows自带的，肯定支持Active Directory；
方案3，Free的Radius server不知道哪个好，并且支持Active Directory的似乎不多；
方案4，不确定究竟PIX是否已经足够了，我看到PIX里有aaa server的命令, 现在只是用的local认证.

请各位大虾们指点一下.

我爱臭豆腐

原帖由 "LD" 发表：
多帖一个版,希望更多的人看到.

最近这个需求提得强烈了。看了一些资料，有了一些粗浅的认识。现有一个PIX，一个域控制器，一个局域网. 希望能从域控制器读取用户信息。 几种可能的方案:
1. PIX(NAS) + Cisco AC..........

如果是想省事可以使用第一个方案.但是就是花钱多.
2k或者2003下面自己也有raidus. 如果你的所有的客户端都是在windows或者是对unix不熟悉的话这个也是一个好选择.
使用pix和FreeRadius也是一个不错的选择.在FreeRadius上面安装一个数据库模块后就支持mysql等数据库了.可以实现很多功能.但是缺点是一切都需要靠自己.没有商业支持.但是对熟悉radius和unix是一个好方法.而且成本非常的低.
方案4里面的pix基本上都支持radius.你可以看看你现在使用的版本是多少.然后在看你是否支持.我记得基本上现在流通的都支持.如果是新买的估计应该是7.0的软件了.
这个版本算是一个创新支持了很多功能.但是我没有使用过.不能作过多的评价.