这个过程非常经典,它涉及到了现代企业网络管理中几项核心的安全和控制技术。简单来说,这是一个从网络层接入控制过渡到应用层身份认证的过程。
其核心原理是:先保证设备是合法的(加域),再保证使用设备的人是合法的(网页认证)。
下面我为您详细分解其中的技术原理:
第一阶段:加域前,连入网线(网络基础访问)
当您只是插上网线时,您的电脑会通过DHCP协议自动获取到一个IP地址、子网掩码、网关和DNS服务器地址。此时,您的电脑获得了基础的网络连接能力,可以访问互联网(如果策略允许)和网络中的一些基本服务。
但是,这时的访问权限是极其有限的。网络设备(如交换机)或安全设备(如防火墙)会根据您的IP地址或MAC地址,将您划入一个访问权限极低的初始VLAN或访客网络。在这个网络里,您通常只能做两件事:
- 访问互联网(可能也被限制)。
- 访问进行身份认证所必需的那个特定网页(即认证门户网站)。
技术关键词:VLAN、ACL(访问控制列表)、DHCP
第二阶段:加域(设备身份认证)
“加域”指的是将您的计算机加入到企业的Active Directory域中。
- 目的:这一步的主要目的是向网络证明您的设备是一台受公司管理和信任的合法设备,而不是一台随便带来的个人电脑或潜在的不安全设备。
- 过程:在加域过程中,您需要输入域管理员账号密码。计算机会与域控制器(AD Domain Controller)通信,在AD中创建一个计算机对象,并建立一种安全信任关系。之后,您就可以用域账号登录这台电脑。
)
)
)