简介
准入认证方案架构
园区网络接入控制可以分为两个部分:用户接入认证和策略管控。云管理网络的用户接入认证架构,如图1所示。
- 认证控制点:对终端接入用户进行认证,实现用户接入控制,如允许接入网络或拒绝用户接入网络。在云管理网络园区,认证控制点一般部署在交换机上。云管理网络园区使用单设备组网时,本设备认证点即本设备。
- 策略执行点:在用户通过认证允许接入网络后,控制用户可以访问的资源。在云管理网络园区,策略执行点一般也部署在交换机上。
- 认证服务器:主要负责用户身份认证,一般使用RADIUS服务器作为认证服务器,云管理平台集成了RADIUS服务器和Portal服务器,所以云管理网络园区直接使用云管理平台作为认证服务器和Portal服务器。
- 短信服务器:终端用户使用Portal+短信验证码认证时,认证服务器需要与短信服务器进行交互,完成认证。
认证关键技术
园区网络主要包括三种方式的认证技术:802.1X认证、Portal认证和MAC认证。由于这三种方式的认证原理不同,各自适合的场景也有所差异,实际应用中,可以根据场景部署选一种合适的认证方式,也可以部署几种认证方式组成的混合认证,混合认证的组合方式以设备实际支持情况为准。
- 802.1X认证
如图2所示,802.1X认证方案包括三个基本要素:用户终端、认证控制点和认证服务器(通常采用RADIUS服务器)。用户终端一般会安装有802.1X客户端软件。
- 用户终端与认证控制点间:采用EAP(Extensible Authentication Protocol,可扩展认证协议)进行认证信息交互。EAP协议可以运行在各种底层,包括数据链路层和上层协议(如UDP、TCP等),而不需要IP地址。因此使用EAP协议的802.1X认证具有良好的灵活性。
- 认证控制点与RADIUS服务器间:采用RADIUS协议,通过认证信息交互,完成认证、授权和计费。认证控制点从用户终端接收到包含认证请求的EAP报文后,会将用户认证信息封装到RADIUS报文中,或者将EAP报文直接封装到RADIUS报文中,然后发送给RADIUS服务器。
- Portal认证
Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。用户上网时,必须在门户网站进行认证,如果未认证成功,仅可以访问特定的网络资源,认证成功后,才可以访问其他网络资源。如图3所示,Portal认证通常包含四个基本要素:用户终端、认证控制点、Portal服务器和认证服务器(通常采用RADIUS服务器)。
- 用户终端与认证控制点间:认证控制点将用户终端的HTTP报文重定向到Portal服务器。
- 认证控制点与Portal服务器间:通过HACA协议进行认证信息交互。Portal服务器认证通过后,通过HACA协议通知认证控制点进行授权。
- 用户终端与Portal服务器间:用户终端向Portal服务器发送认证信息,Portal服务器校验后将认证结果返回给用户终端。
- MAC认证
MAC认证,全称MAC地址认证,是一种基于终端MAC地址对用户的访问权限进行控制的认证方法。如图4所示,MAC认证系统通常包括三个基本要素:用户终端、认证控制点和认证服务器(通常为RADIUS服务器)。
- 用户终端与认证控制点间:认证控制点首次检测到用户终端的MAC地址,进行MAC地址学习,触发MAC认证。
- 认证控制点与RADIUS服务器间:采用RADIUS协议,通过认证信息交互,完成认证、授权和计费。认证控制点触发MAC认证后,会将用户认证信息封装到RADIUS报文中,然后发往RADIUS服务器。