這個過程非常經典,它涉及到了現代企業網絡管理中幾項核心的安全和控制技術。簡單來說,這是一個從網絡層接入控制過渡到應用層身份認證的過程。
其核心原理是:先保證設備是合法的(加域),再保證使用設備的人是合法的(網頁認證)。
下面我為您詳細分解其中的技術原理:
第一階段:加域前,連入網線(網絡基礎訪問)
當您只是插上網線時,您的電腦會通過DHCP協議自動獲取到一個IP地址、子網掩碼、網關和DNS服務器地址。此時,您的電腦獲得了基礎的網絡連接能力,可以訪問互聯網(如果策略允許)和網絡中的一些基本服務。
但是,這時的訪問權限是極其有限的。網絡設備(如交換機)或安全設備(如防火墻)會根據您的IP地址或MAC地址,將您劃入一個訪問權限極低的初始VLAN或訪客網絡。在這個網絡里,您通常只能做兩件事:
- 訪問互聯網(可能也被限制)。
- 訪問進行身份認證所必需的那個特定網頁(即認證門戶網站)。
技術關鍵詞:VLAN、ACL(訪問控制列表)、DHCP
第二階段:加域(設備身份認證)
“加域”指的是將您的計算機加入到企業的Active Directory域中。
- 目的:這一步的主要目的是向網絡證明您的設備是一臺受公司管理和信任的合法設備,而不是一臺隨便帶來的個人電腦或潛在的不安全設備。
- 過程:在加域過程中,您需要輸入域管理員賬號密碼。計算機會與域控制器(AD Domain Controller)通信,在AD中創建一個計算機對象,并建立一種安全信任關系。之后,您就可以用域賬號登錄這臺電腦。
)
)
)