06 網(wǎng)絡(luò)準(zhǔn)入控制及終端識別

網(wǎng)絡(luò)準(zhǔn)入控制&終端識別課程負(fù)責(zé)人：喻磊

部門：數(shù)通解決方案銷售部隨著企業(yè)網(wǎng)絡(luò)的應(yīng)用和發(fā)展，病毒、木馬、間諜軟件、網(wǎng)絡(luò)攻擊等各種信息安全威脅也在不斷增加。在傳統(tǒng)的企業(yè)網(wǎng)絡(luò)建設(shè)思路中，一般認(rèn)為企業(yè)內(nèi)網(wǎng)是安全的，安全威脅主要來自外界。但是研究證明，80%的網(wǎng)絡(luò)安全漏洞都存在于網(wǎng)絡(luò)內(nèi)部，它們對網(wǎng)絡(luò)的破壞程度和范圍持續(xù)擴(kuò)大，經(jīng)常引起系統(tǒng)崩潰、網(wǎng)絡(luò)癱瘓。網(wǎng)絡(luò)準(zhǔn)入控制（NetworkAdmissionControl，NAC）從對接入網(wǎng)絡(luò)的終端安全控制入手，將終端安全狀況和網(wǎng)絡(luò)準(zhǔn)入控制結(jié)合在一起，通過檢查、隔離、加固和審計等手段，加強(qiáng)網(wǎng)絡(luò)用戶終端的主動防御能力，保證企業(yè)中每個終端的安全性，進(jìn)而保護(hù)企業(yè)整網(wǎng)的安全性。本課程介紹華為iMasterNCE-Campus準(zhǔn)入認(rèn)證和終端識別方案學(xué)完本課程后，您將能夠：描述網(wǎng)絡(luò)準(zhǔn)入控制的基本概念。描述常見的認(rèn)證技術(shù)及其工作原理、應(yīng)用場景。描述策略聯(lián)動的作用及原理。描述華為網(wǎng)絡(luò)準(zhǔn)入控制解決方案及配置部署方法。描述華為終端識別及配置部署方法討論園區(qū)網(wǎng)絡(luò)中一般都有哪些準(zhǔn)入方式，適用哪些場景？網(wǎng)絡(luò)準(zhǔn)入控制概述用戶認(rèn)證技術(shù)用戶授權(quán)與下線策略聯(lián)動華為NAC解決方案及配置部署方法終端識別及配置部署方法網(wǎng)絡(luò)準(zhǔn)入控制概述……用戶終端網(wǎng)絡(luò)準(zhǔn)入設(shè)備準(zhǔn)入服務(wù)器用戶終端：各種終端設(shè)備，例如PC、手機(jī)、打印機(jī)、攝像頭等。網(wǎng)絡(luò)準(zhǔn)入設(shè)備：終端訪問網(wǎng)絡(luò)的認(rèn)證控制點(diǎn)，準(zhǔn)入設(shè)備對接入用戶進(jìn)行認(rèn)證，是企業(yè)安全策略的實(shí)施者，按照網(wǎng)絡(luò)制定的安全策略實(shí)施相應(yīng)的準(zhǔn)入控制（如允許接入網(wǎng)絡(luò)或拒絕接入網(wǎng)絡(luò)）。準(zhǔn)入設(shè)備可以是交換機(jī)、路由器、無線接入點(diǎn)、VPN網(wǎng)關(guān)或其他安全設(shè)備。準(zhǔn)入服務(wù)器：準(zhǔn)入服務(wù)器的功能是實(shí)現(xiàn)對用戶的認(rèn)證和授權(quán)，用于確認(rèn)嘗試接入網(wǎng)絡(luò)的終端身份是否合法，還可以指定身份合法的終端所能擁有的網(wǎng)絡(luò)訪問權(quán)限。準(zhǔn)入服務(wù)器通常有認(rèn)證服務(wù)器（如RADIUS服務(wù)器）和用戶數(shù)據(jù)源服務(wù)器（存儲用戶的身份信息）。NAC系統(tǒng)架構(gòu)網(wǎng)絡(luò)準(zhǔn)入控制中的策略管控園區(qū)網(wǎng)絡(luò)FTP服器WEB服務(wù)器Mail服務(wù)器即使終端通過認(rèn)證接入網(wǎng)絡(luò)，也并不意味著可以訪問網(wǎng)絡(luò)內(nèi)的所有資源；而是需要基于用戶身份對其加以區(qū)分，分別賦予其不同的網(wǎng)絡(luò)訪問權(quán)限，即管控策略。Internet已認(rèn)證訪客已認(rèn)證員工網(wǎng)絡(luò)準(zhǔn)入控制的基本原理園區(qū)網(wǎng)絡(luò)準(zhǔn)入服務(wù)器準(zhǔn)入設(shè)備終端用戶身份認(rèn)證請求用戶身份認(rèn)證用戶身份校驗(yàn)用戶策略授權(quán)1234用戶身份認(rèn)證請求：終端發(fā)送自己的身份憑證給準(zhǔn)入設(shè)備。用戶身份認(rèn)證：準(zhǔn)入設(shè)備將身份憑證發(fā)送給準(zhǔn)入服務(wù)器進(jìn)行身份認(rèn)證。用戶身份校驗(yàn)：準(zhǔn)入服務(wù)器進(jìn)行身份校驗(yàn)，確定終端身份是否合法，并將校驗(yàn)結(jié)果及策略下發(fā)給準(zhǔn)入設(shè)備。用戶策略授權(quán)：準(zhǔn)入設(shè)備作為策略的實(shí)施者，根據(jù)準(zhǔn)入服務(wù)器的授權(quán)結(jié)果對終端實(shí)施策略的控制。網(wǎng)絡(luò)準(zhǔn)入控制小結(jié)…用戶終端…網(wǎng)絡(luò)準(zhǔn)入設(shè)備接入研發(fā)數(shù)據(jù)辦公數(shù)據(jù)市場數(shù)據(jù)認(rèn)證后域……InternetIntranet準(zhǔn)入控制服務(wù)器DHCPDNS……認(rèn)證前域認(rèn)證前訪問認(rèn)證成功后訪問認(rèn)證失敗的用戶終端訪問隔離域病毒庫服務(wù)器補(bǔ)丁服務(wù)器……網(wǎng)絡(luò)準(zhǔn)入控制概述用戶認(rèn)證技術(shù)802.1X認(rèn)證MAC認(rèn)證Portal認(rèn)證混合認(rèn)證用戶授權(quán)與下線策略聯(lián)動華為NAC解決方案及配置部署方法終端識別及配置部署方法802.1X認(rèn)證概述802.1X客戶端網(wǎng)絡(luò)接入設(shè)備認(rèn)證服務(wù)器網(wǎng)絡(luò)資源簡介組網(wǎng)方式802.1X客戶端一般為用戶終端設(shè)備，用戶可以通過啟動客戶端軟件發(fā)起802.1X認(rèn)證。網(wǎng)絡(luò)接入設(shè)備通常為支持802.1X協(xié)議的網(wǎng)絡(luò)設(shè)備，它為客戶端提供接入局域網(wǎng)的端口，該端口可以是物理端口，也可以是邏輯端口。認(rèn)證服務(wù)器用于實(shí)現(xiàn)對用戶進(jìn)行認(rèn)證、授權(quán)和計費(fèi)，通常為RADIUS服務(wù)器。應(yīng)用場景適用于對安全要求較高的辦公用戶認(rèn)證場景。802.1X認(rèn)證是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議，即在接入設(shè)備的端口這一級驗(yàn)證用戶身份并控制其訪問權(quán)限。802.1X認(rèn)證使用EAPoL（ExtensibleAuthenticationProtocoloverLANs，局域網(wǎng)可擴(kuò)展認(rèn)證協(xié)議）認(rèn)證協(xié)議，實(shí)現(xiàn)客戶端、設(shè)備端和認(rèn)證服務(wù)器之間認(rèn)證信息的交換。802.1X認(rèn)證方式根據(jù)接入設(shè)備對802.1X客戶端發(fā)送的EAPoL報文處理機(jī)制的不同，可將認(rèn)證方式分為EAP中繼方式和EAP終結(jié)方式。802.1X客戶端認(rèn)證服務(wù)器接入設(shè)備EAPoLRADIUSEAP終結(jié)方式802.1X客戶端認(rèn)證服務(wù)器接入設(shè)備EAPoLEAPoREAP中繼方式接入設(shè)備將802.1X客戶端發(fā)來的EAP報文直接封裝到RADIUS報文中，無需對EAP內(nèi)的數(shù)據(jù)進(jìn)行處理。這種方式對認(rèn)證服務(wù)器的要求較高。接入設(shè)備需要“提取”EAP報文中的信息并封裝到RADIUS報文中發(fā)送給認(rèn)證服務(wù)器。這種方式對接入設(shè)備的要求較高。802.1X用戶認(rèn)證流程以EAP中繼方式的EAP-MD5認(rèn)證為例客戶端主動觸發(fā)方式：用戶主動開啟客戶端輸入用戶名和密碼向接入設(shè)備發(fā)送EAP報文來觸發(fā)認(rèn)證。

接入設(shè)備主動觸發(fā)方式：接入設(shè)備在接收到用戶終端發(fā)送的DHCP/ARP報文后，主動觸發(fā)用戶終端自動彈出客戶端界面，用戶輸入用戶名和密碼即可啟動認(rèn)證。

認(rèn)證觸發(fā)方式基于端口模式：當(dāng)采用基于端口方式時，只要該端口下的第一個用戶認(rèn)證成功后，其他接入用戶無須認(rèn)證就可使用網(wǎng)絡(luò)資源。但是當(dāng)?shù)谝粋€用戶下線后，其他用戶也會被拒絕使用網(wǎng)絡(luò)?；贛AC模式：當(dāng)采用基于MAC地址方式時，該端口下的所有接入用戶均需要單獨(dú)認(rèn)證。認(rèn)證模式用戶終端接入設(shè)備認(rèn)證服務(wù)器1.EAPOL-Start用戶發(fā)起認(rèn)證2.EAP-Request/identity你用戶名是什么？3.EAP-Response/identity我的用戶名是Hello4.RADIUSAccess-request（EAPoR）

5.RADIUSAccess-challenge給你一個隨機(jī)數(shù)6.EAPRequest/MD5challenge7.EAP-Response/MD5challengeresponse用密碼與隨機(jī)數(shù)計算后的密文8.RADIUSAccess-request9.RADIUSaccept10.EAP-Success端口已授權(quán)802.1X概念小結(jié)802.1X認(rèn)證是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議，采用EAP協(xié)議中的EAPoL格式來封裝協(xié)議報文。根據(jù)實(shí)際需求或設(shè)備情況的不同，可分為：認(rèn)證模式：基于接口或基于MAC。認(rèn)證方式：EAP終結(jié)或EAP中繼。認(rèn)證觸發(fā)方式：客戶端主動觸發(fā)方式或接入設(shè)備主動觸發(fā)方式。認(rèn)證協(xié)議：EAP-TLS、EAP-TTLS、EAP-PEAP或EAP-MD5等。網(wǎng)絡(luò)準(zhǔn)入控制概述用戶認(rèn)證技術(shù)802.1X認(rèn)證MAC認(rèn)證Portal認(rèn)證混合認(rèn)證用戶授權(quán)與下線策略聯(lián)動華為NAC解決方案及配置部署方法終端識別及配置部署方法MAC地址認(rèn)證概述1.ARP/DHCP/ND/DHCPv6等報文觸發(fā)MAC認(rèn)證2.RADIUS認(rèn)證請求報文向認(rèn)證服務(wù)器發(fā)送用戶名/密碼3.認(rèn)證成功啞終端端口已授權(quán)接入設(shè)備認(rèn)證服務(wù)器MAC認(rèn)證流程不需要用戶安裝任何客戶端軟件。適用于IP電話、打印機(jī)等啞終端接入的場景。應(yīng)用場景包含認(rèn)證客戶端、接入設(shè)備和認(rèn)證服務(wù)器。組網(wǎng)方式MAC地址認(rèn)證（簡稱MAC認(rèn)證）是一種基于端口和MAC地址對用戶的網(wǎng)絡(luò)訪問權(quán)限進(jìn)行控制的認(rèn)證方法。以用戶的MAC地址作為身份憑據(jù)到認(rèn)證服務(wù)器進(jìn)行認(rèn)證。缺省時，交換機(jī)收到DHCP/ARP/DHCPv6/ND報文后均能觸發(fā)對用戶進(jìn)行MAC認(rèn)證。支持通過配置，使交換機(jī)收到任意的數(shù)據(jù)幀后觸發(fā)MAC認(rèn)證。簡介網(wǎng)絡(luò)準(zhǔn)入控制概述用戶認(rèn)證技術(shù)802.1X認(rèn)證MAC認(rèn)證Portal認(rèn)證混合認(rèn)證用戶授權(quán)與下線策略聯(lián)動華為NAC解決方案及配置部署方法終端識別及配置部署方法Portal認(rèn)證概述簡介應(yīng)用場景Portal認(rèn)證不需要安裝專門的客戶端軟件，因此主要用于無客戶端軟件要求的接入場景或訪客接入場景。Portal認(rèn)證也稱為Web認(rèn)證。用戶可以通過Web認(rèn)證頁面，輸入用戶帳號和密碼信息，實(shí)現(xiàn)對終端用戶身份的認(rèn)證。用戶可通過兩種方式實(shí)現(xiàn)認(rèn)證頁面訪問：主動認(rèn)證：用戶通過瀏覽器主動訪問Portal認(rèn)證網(wǎng)站。重定向認(rèn)證：用戶輸入的訪問地址不是Portal認(rèn)證網(wǎng)站地址，被接入設(shè)備強(qiáng)制訪問Portal認(rèn)證網(wǎng)站（通常稱為重定向）?？蛻舳薖ortal服務(wù)器接入設(shè)備認(rèn)證服務(wù)器Portal認(rèn)證流程–接入?yún)f(xié)議客戶端Portal服務(wù)器接入設(shè)備認(rèn)證服務(wù)器1.建立預(yù)鏈接（僅二層組網(wǎng)需要）2.HTTP連接請求3.HTTP重定向到Portal服務(wù)器4.HTTP連接請求5.返回Portal頁面6.Portal認(rèn)證請求基于Portal協(xié)議的Portal認(rèn)證基于HTTP/HTTPS協(xié)議的Portal認(rèn)證7.認(rèn)證協(xié)議二選一當(dāng)客戶端與接入設(shè)備之間為二層網(wǎng)絡(luò)時，可配置二層Portal認(rèn)證方式。當(dāng)客戶端與接入設(shè)備之間為三層網(wǎng)絡(luò)時，需要將Portal認(rèn)證配置為三層Portal認(rèn)證方式。Portal協(xié)議：描述了Portal服務(wù)器和接入設(shè)備之間的協(xié)議交互,可以用來傳遞用戶名和密碼等參數(shù)。HTTP/HTTPS協(xié)議：描述了客戶端和接入設(shè)備之間的協(xié)議交互,可以用來傳遞用戶名和密碼等參數(shù)。Portal認(rèn)證方式Portal認(rèn)證協(xié)議討論前面三種認(rèn)證方式，各自都有哪些優(yōu)缺點(diǎn)？華為公司網(wǎng)絡(luò)準(zhǔn)入控制方案支持802.1X認(rèn)證、MAC認(rèn)證及Portal認(rèn)證等多種用戶認(rèn)證技術(shù)方式，可將認(rèn)證點(diǎn)靈活部署在用戶網(wǎng)絡(luò)的接入交換機(jī)、匯聚交換機(jī)、無線控制器、防火墻等多種網(wǎng)絡(luò)設(shè)備上，配合認(rèn)證服務(wù)器iMasterNCE共同完成網(wǎng)絡(luò)準(zhǔn)入控制。對比項(xiàng)802.1X認(rèn)證Portal認(rèn)證MAC認(rèn)證客戶端需求必須安裝不需要不需要優(yōu)點(diǎn)安全性高部署靈活無需安裝客戶端缺點(diǎn)部署不靈活安全性不高需登記MAC地址，管理復(fù)雜適用場景新建網(wǎng)絡(luò)、用戶集中、信息安全要求嚴(yán)格的場景用戶分散、用戶流動性大的場景打印機(jī)、傳真機(jī)等啞終端接入認(rèn)證的場景網(wǎng)絡(luò)準(zhǔn)入控制概述用戶認(rèn)證技術(shù)802.1X認(rèn)證MAC認(rèn)證Portal認(rèn)證混合認(rèn)證用戶授權(quán)與下線策略聯(lián)動華為NAC解決方案概述終端識別及配置部署方法MAC旁路認(rèn)證802.1X認(rèn)證、MAC認(rèn)證和Portal認(rèn)證各有各的特點(diǎn)，可采用混合認(rèn)證的方式來滿足不同的應(yīng)用場景與認(rèn)證需求。接入設(shè)備認(rèn)證服務(wù)器終端1.終端發(fā)出流量3.802.1X認(rèn)證4.MAC認(rèn)證802.1X認(rèn)證超時，轉(zhuǎn)為MAC認(rèn)證當(dāng)接入設(shè)備接口下同時存在PC和打印機(jī)/傳真機(jī)等啞終端時，可以通過MAC旁路認(rèn)證功能，使不具備802.1X認(rèn)證能力的啞終端能夠通過MAC認(rèn)證方式接入網(wǎng)絡(luò)。MAC旁路認(rèn)證比單純的MAC認(rèn)證多一個802.1X認(rèn)證環(huán)節(jié)，故時間要比MAC認(rèn)證時間長。2.觸發(fā)802.1X認(rèn)證MAC優(yōu)先的Portal認(rèn)證接入設(shè)備Portal服務(wù)器終端RADIUS服務(wù)器用戶進(jìn)行Portal認(rèn)證成功后，如果斷開網(wǎng)絡(luò)，重新連接時需要再次輸入用戶名、密碼，體驗(yàn)差。技術(shù)背景用戶進(jìn)行Portal認(rèn)證成功后，在一定時間內(nèi)斷開網(wǎng)絡(luò)重新連接，能夠直接通過MAC認(rèn)證接入，無需輸入用戶名密碼重新進(jìn)行Portal認(rèn)證。該功能需要在設(shè)備配置MAC+Portal的混合認(rèn)證，同時在認(rèn)證服務(wù)器上開啟MAC優(yōu)先的Portal認(rèn)證功能并配置MAC地址有效時間。MAC優(yōu)先的Portal認(rèn)證1.用戶瀏覽網(wǎng)頁，終端發(fā)出HTTP流量2.執(zhí)行MAC認(rèn)證，結(jié)果失敗3.將用戶的HTTP請求重定向到Portal認(rèn)證頁面4.執(zhí)行Portal認(rèn)證，結(jié)果成功5.用戶掉線6.在MAC地址有效期內(nèi)，用戶繼續(xù)上網(wǎng)7.執(zhí)行MAC認(rèn)證，RADIUS服務(wù)器緩存了該MAC地址的記錄，認(rèn)證成功8.用戶無需重新認(rèn)證網(wǎng)絡(luò)準(zhǔn)入控制概述用戶認(rèn)證技術(shù)用戶授權(quán)與下線策略聯(lián)動華為NAC解決方案及配置部署方法終端識別及配置部署方法認(rèn)證成功授權(quán)認(rèn)證用于確認(rèn)嘗試接入網(wǎng)絡(luò)的用戶身份是否合法，而授權(quán)則用于指定身份合法的用戶所能擁有的網(wǎng)絡(luò)訪問權(quán)限，即用戶能夠訪問哪些資源。以RADIUS服務(wù)器授權(quán)為例，常見的授權(quán)信息有：VLAN：為了將受限的網(wǎng)絡(luò)資源與未認(rèn)證用戶隔離，通常將受限的網(wǎng)絡(luò)資源和未認(rèn)證的用戶劃分到不同的VLAN。用戶認(rèn)證成功后，認(rèn)證服務(wù)器將指定VLAN授權(quán)給用戶。ACL：用戶認(rèn)證成功后，認(rèn)證服務(wù)器將指定ACL授權(quán)給用戶，則設(shè)備會根據(jù)該ACL對用戶報文進(jìn)行控制。UCL：用戶控制列表UCL組（UserControlList）是網(wǎng)絡(luò)成員的集合。UCL組里面的成員，可以是PC、手機(jī)等網(wǎng)絡(luò)終端設(shè)備。借助UCL組，管理員可以將具有相同網(wǎng)絡(luò)訪問策略的一類用戶劃分為同一個組，然后為其部署一組網(wǎng)絡(luò)訪問策略，滿足該類別所有用戶的網(wǎng)絡(luò)訪問需求。相對于為每個用戶部署網(wǎng)絡(luò)訪問策略，基于UCL組的網(wǎng)絡(luò)控制方案能夠極大的減少管理員的工作量。用戶下線用戶授權(quán)免認(rèn)證與認(rèn)證事件授權(quán)用戶認(rèn)證成功之前，為滿足用戶基本的網(wǎng)絡(luò)訪問需求，譬如下載802.1X客戶端、更新病毒庫等，需要用戶免認(rèn)證就能獲取部分網(wǎng)絡(luò)訪問權(quán)限。免認(rèn)證（free-rule）授權(quán)參數(shù)業(yè)務(wù)方案（service-scheme）：可在業(yè)務(wù)方案內(nèi)綁定UCL、VLAN、QoS-profile等參數(shù)。VLAN：授予用戶相應(yīng)VLAN內(nèi)的資源訪問權(quán)限。允許用戶在認(rèn)證成功之前訪問下載客戶端用戶終端接入設(shè)備軟件服務(wù)器免認(rèn)證即可訪問認(rèn)證事件授權(quán)(逃生)用戶在認(rèn)證過程中遇到不同事件時（如認(rèn)證前、認(rèn)證失敗、認(rèn)證服務(wù)器失效等），需要擁有一定的權(quán)限。免認(rèn)證規(guī)則模板（free-rule-template）方式1：普通的免認(rèn)證規(guī)則，由IP地址、MAC地址、源接口、VLAN等參數(shù)確定。方式2：關(guān)聯(lián)ACL。用戶組（UCL）：根據(jù)用戶組對具有相同特征的用戶進(jìn)行權(quán)限下發(fā)。允許用戶在認(rèn)證失敗后訪問更新病毒庫用戶終端接入設(shè)備病毒庫服務(wù)器認(rèn)證失敗后依然可訪問用戶下線用戶授權(quán)用戶下線當(dāng)用戶已下線，而接入設(shè)備、RADIUS服務(wù)器和Portal服務(wù)器未感知到該用戶已下線時，會產(chǎn)生以下問題：RADIUS服務(wù)器仍會對該用戶進(jìn)行計費(fèi)，造成誤計費(fèi)。存在非法用戶仿冒合法用戶IP地址和MAC地址接入網(wǎng)絡(luò)的風(fēng)險。已下線用戶數(shù)量過多的情況下，還會占用設(shè)備用戶規(guī)格，可能會導(dǎo)致其他用戶無法接入網(wǎng)絡(luò)。因此，接入設(shè)備要能夠及時感知到用戶已下線，刪除該用戶表項(xiàng)，并通知RADIUS服務(wù)器停止對該用戶進(jìn)行計費(fèi)。用戶下線方式分為客戶端主動下線，接入設(shè)備控制用戶下線和服務(wù)器控制用戶下線。用戶下線用戶授權(quán)網(wǎng)絡(luò)準(zhǔn)入控制概述用戶認(rèn)證技術(shù)用戶授權(quán)與下線策略聯(lián)動華為NAC解決方案及配置部署方法終端識別及配置部署方法技術(shù)背景在網(wǎng)絡(luò)的接入層部署認(rèn)證，有利于實(shí)現(xiàn)權(quán)限的細(xì)顆粒度管理和網(wǎng)絡(luò)的高安全性。但當(dāng)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，一些問題就顯現(xiàn)了出來。選擇接入層設(shè)備作為認(rèn)證點(diǎn)面臨的問題接入層設(shè)備數(shù)量多，配置工作量大，運(yùn)維難度大。接入層設(shè)備數(shù)量多，增加AAA服務(wù)器的負(fù)擔(dān)。用戶必須在固定位置接入網(wǎng)絡(luò)。匯聚層接入層核心層認(rèn)證點(diǎn)上移將認(rèn)證點(diǎn)上移面臨的問題認(rèn)證接入設(shè)備需透傳BPDU報文，否則用戶的802.1X認(rèn)證將失敗。用戶準(zhǔn)入的管控位置太高，同一認(rèn)證接入設(shè)備上相同VLAN用戶之間的訪問不受控制。用戶接入的具體位置無法感知，不易于故障定位。用戶下線無法立即感知，而且網(wǎng)關(guān)設(shè)備發(fā)起用戶上下線探測壓力大。策略聯(lián)動概述策略聯(lián)動是通過在網(wǎng)關(guān)設(shè)備上統(tǒng)一管理用戶的訪問策略并且在網(wǎng)關(guān)設(shè)備和認(rèn)證接入設(shè)備執(zhí)行用戶的訪問策略，來解決大型園區(qū)策略強(qiáng)度與復(fù)雜度之間矛盾的一種解決方案?？刂泣c(diǎn)與執(zhí)行點(diǎn)之間建立CAPWAP（ControlAndProvisioningofWirelessAccessPoints）隧道。通過CAPWAP完成認(rèn)證控制設(shè)備和認(rèn)證接入設(shè)備之間的用戶關(guān)聯(lián)、消息通信、用戶授權(quán)策略下發(fā)、用戶同步等處理。認(rèn)證控制點(diǎn)認(rèn)證執(zhí)行點(diǎn)認(rèn)證控制點(diǎn)認(rèn)證執(zhí)行點(diǎn)CAPWAP隧道策略聯(lián)動方案的角色認(rèn)證接入設(shè)備：認(rèn)證執(zhí)行點(diǎn)，負(fù)責(zé)執(zhí)行用戶的網(wǎng)絡(luò)訪問策略。認(rèn)證控制設(shè)備：認(rèn)證控制點(diǎn)，負(fù)責(zé)對用戶進(jìn)行認(rèn)證以及控制用戶的網(wǎng)絡(luò)訪問策略。策略聯(lián)動實(shí)現(xiàn)機(jī)制用戶認(rèn)證執(zhí)行點(diǎn)認(rèn)證控制點(diǎn)2.用戶接入1.建立CAPWAP隧道3.用戶關(guān)聯(lián)請求4.用戶關(guān)聯(lián)回應(yīng)5.用戶認(rèn)證6.用戶授權(quán)請求通知7.用戶授權(quán)請求回應(yīng)8.用戶開始訪問資源策略聯(lián)動典型場景用戶接入，認(rèn)證執(zhí)行點(diǎn)建立用戶關(guān)聯(lián)表，用戶與認(rèn)證控制點(diǎn)之間進(jìn)行認(rèn)證交互，認(rèn)證成功之后認(rèn)證控制點(diǎn)下發(fā)授權(quán)信息到認(rèn)證執(zhí)行點(diǎn)。用戶離開，斷開與認(rèn)證接入設(shè)備連接，認(rèn)證執(zhí)行點(diǎn)實(shí)時通過CAPWAP隧道通知認(rèn)證控制點(diǎn)，后者清除用戶表項(xiàng)。用戶移動，連接到新網(wǎng)絡(luò)后，重新完成認(rèn)證操作。策略聯(lián)動配置流程匯聚設(shè)備配置策略聯(lián)動配置流程接入設(shè)備配置網(wǎng)絡(luò)準(zhǔn)入控制概述用戶認(rèn)證技術(shù)用戶授權(quán)與下線策略聯(lián)動華為NAC解決方案及配置部署方法終端識別及配置部署方法華為NAC解決方案防火墻路由器交換機(jī)WLANVPN網(wǎng)關(guān)Internet研發(fā)數(shù)據(jù)辦公數(shù)據(jù)市場數(shù)據(jù)DHCPDNS補(bǔ)丁服務(wù)器接入訪問訪問策略：權(quán)限/應(yīng)用/帶寬/QoS

/安全認(rèn)證后域認(rèn)證前域策略執(zhí)行設(shè)備認(rèn)證及策略控制器認(rèn)證前認(rèn)證后…………PC有線用戶訪客網(wǎng)管人員便攜機(jī)移動終端打印機(jī)攝像頭無線用戶VPN遠(yuǎn)程用戶網(wǎng)絡(luò)設(shè)施用戶終端業(yè)務(wù)資源Intranet豐富的用戶認(rèn)證技術(shù)手段用戶終端認(rèn)證設(shè)備配置Netconf認(rèn)證HTTP2.0認(rèn)證Radius用戶管理Portal頁面定制PortalServerRadiusServer社交媒體對接（認(rèn)證）QQ、Weibo、Weixin、Facebook、Twitter第三方Radius服務(wù)器認(rèn)證方式：Portal認(rèn)證：用戶名密碼、匿名、短信、QQ、新浪微博、微信、Facebook、Twitter、Passcode認(rèn)證MAC認(rèn)證802.1x認(rèn)證傳輸協(xié)議：認(rèn)證數(shù)據(jù)采用HTTP2.0、Radius協(xié)議傳輸配置數(shù)據(jù)采用Netconf協(xié)議傳輸開放認(rèn)證：支持對接第三方Portal服務(wù)器支持對接QQ、Weibo、Weixin、Facebook、Twitter社交媒體第三方Portal服務(wù)器智能策略引擎，實(shí)現(xiàn)精細(xì)化的策略控制權(quán)限帶寬QoS應(yīng)用安全接入時間When用戶身份Who接入位置Where設(shè)備屬性Whose接入方式How終端類型What條件：基于5W1H的策略結(jié)果：精細(xì)化的權(quán)限控制用戶/用戶組/角色站點(diǎn)、區(qū)域、設(shè)備組、設(shè)備類型、設(shè)備、SSID、IP地址按星期/時間PC/IOS/Android等公司/自帶終端有線/無線Portal、MAC、802.1x認(rèn)證方式等VLAN/ACL/安全組，VIP用戶…上行帶寬/下行帶寬，DSCP高/中/低流量時長管控（僅Portal）應(yīng)用組/應(yīng)用URL過濾智能策略引擎iMasterNCE多種用戶認(rèn)證源，滿足統(tǒng)一用戶管理需求用戶身份來源說明主要用于本地自建賬號用戶名/密碼，MAC賬號，訪客自注冊賬號企業(yè)員工，訪客人員，運(yùn)維人員對接社交媒體微信，QQ，新浪微博，F(xiàn)acebook，Twitter訪客人員對接AD/LDAPMicrosoftAD，NovellEdirectory，IBMTivoli，SunOne，JITGalaxy，OpenLDAP企業(yè)員工，訪客人員對接第三方數(shù)據(jù)庫SQLServer數(shù)據(jù)庫，Oracle數(shù)據(jù)庫企業(yè)員工，訪客人員對接第三方HTTP服務(wù)器設(shè)置認(rèn)證URL企業(yè)員工，訪客人員對接第三方Radius服務(wù)器RADIUS中繼企業(yè)員工對接Token服務(wù)器RSASecurID、達(dá)芬奇密碼動態(tài)身份認(rèn)證系統(tǒng)等企業(yè)員工證書認(rèn)證對接證書服務(wù)器，支持X509證書企業(yè)員工內(nèi)置Portal服務(wù)器多套Portal模板（手機(jī)端和PC端），可根據(jù)場景自由選擇內(nèi)置多種語言：簡體中文，英語，德語，西班牙語，可擴(kuò)展支持其他語言用戶名密碼模板匿名認(rèn)證模板短信認(rèn)證模板Facebook模板微信模板Passcode模板PC端頁面手機(jī)端頁面設(shè)置參數(shù)添加控件完整的頁面類型認(rèn)證頁面、認(rèn)證成功頁面、用戶須知頁面、注冊頁面、注冊成功頁面、修改密碼頁面、用戶名驗(yàn)證頁面、重置密碼頁面豐富的控件標(biāo)題、圖片、文本、背景、語言鏈接靈活的樣式編輯拖拽式操作：可拖動調(diào)整行順序，拖動調(diào)整行高、列寬區(qū)域樣式設(shè)置，包括背景圖片、背景色、邊框大小顏色、邊框圓角、內(nèi)邊距、外邊距Portal頁面定制-所見即所得的頁面編輯器用戶認(rèn)證配置流程配置前提：已存在用戶數(shù)據(jù)基礎(chǔ)網(wǎng)絡(luò)互通以Fabric準(zhǔn)入控制配置為例配置策略模板認(rèn)證配置下發(fā)授權(quán)結(jié)果認(rèn)證規(guī)則授權(quán)規(guī)則查看用戶用戶接入管理員配置流程添加用戶賬號配置策略模板配置策略模板配置接入管理授權(quán)結(jié)果認(rèn)證規(guī)則授權(quán)規(guī)則查看用戶添加用戶賬號創(chuàng)建服務(wù)器模板Radius服務(wù)器Portal服務(wù)器配置策略模板配置接入管理授權(quán)結(jié)果認(rèn)證規(guī)則授權(quán)規(guī)則查看用戶添加用戶賬號創(chuàng)建認(rèn)證模板配置策略模板配置接入管理授權(quán)結(jié)果認(rèn)證規(guī)則授權(quán)規(guī)則查看用戶添加用戶賬號認(rèn)證配置下發(fā)配置策略模板認(rèn)證配置下發(fā)授權(quán)結(jié)果認(rèn)證規(guī)則授權(quán)規(guī)則查看用戶添加用戶賬號用戶賬號添加Mac賬號添加用戶賬號添加配置策略模板認(rèn)證配置下發(fā)授權(quán)結(jié)果認(rèn)證規(guī)則授權(quán)規(guī)則查看用戶添加用戶賬號配置認(rèn)證規(guī)則選擇“準(zhǔn)入>準(zhǔn)入策略>認(rèn)證授權(quán)>認(rèn)證規(guī)則”選擇實(shí)際數(shù)據(jù)源配置策略模板認(rèn)證配置下發(fā)授權(quán)結(jié)果認(rèn)證規(guī)則授權(quán)規(guī)則查看用戶添加用戶賬號配置授權(quán)結(jié)果選擇“準(zhǔn)入>準(zhǔn)入策略>認(rèn)證授權(quán)>授權(quán)結(jié)果”與接入控制設(shè)備上acl3001指定的ACL編號一致

配置策略模板認(rèn)證配置下發(fā)授權(quán)結(jié)果認(rèn)證規(guī)則授權(quán)規(guī)則查看用戶添加用戶賬號配置授權(quán)規(guī)則根據(jù)規(guī)則的優(yōu)先級，將用戶接入的信息與授權(quán)規(guī)則的授權(quán)條件匹配。當(dāng)用戶接入的信息與某條授權(quán)規(guī)則的所有授權(quán)條件都匹配時，授予用戶該條授權(quán)規(guī)則的授權(quán)結(jié)果定義的權(quán)限。配置策略模板認(rèn)證配置下發(fā)授權(quán)結(jié)果認(rèn)證規(guī)則授權(quán)規(guī)則查看用戶添加用戶賬號選擇“策略>準(zhǔn)入控制>認(rèn)證授權(quán)>授權(quán)規(guī)則”查看用戶接入用戶通過操作系統(tǒng)自帶802.1X客戶端接入。用戶認(rèn)證成功，管理員可以查看如下信息：在設(shè)備上執(zhí)行命令displayaccess-user，可以看到帳號的在線信息。在管理頁面選擇“準(zhǔn)入>準(zhǔn)入策略>用戶在線控制”，可以看到帳號的在線信息。在業(yè)務(wù)管理器選擇“監(jiān)控>事件日志>終端認(rèn)證日志”，可查到帳號的RADIUS認(rèn)證日志。配置策略模板認(rèn)證配置下發(fā)授權(quán)結(jié)果認(rèn)證規(guī)則授權(quán)規(guī)則查看用戶添加用戶賬號終端認(rèn)證日志配置策略模板認(rèn)證配置下發(fā)授權(quán)結(jié)果認(rèn)證規(guī)則授權(quán)規(guī)則查看用戶添加用戶賬號網(wǎng)絡(luò)準(zhǔn)入控制概述用戶認(rèn)證技術(shù)用戶授權(quán)與下線策略聯(lián)動華為NAC解決方案及配置部署方法終端識別及配置部署方法討論園區(qū)網(wǎng)絡(luò)中，終端識別技術(shù)有什么好處？終端識別概述隨著物聯(lián)網(wǎng)的不斷普及與應(yīng)用，當(dāng)前接入園區(qū)網(wǎng)絡(luò)的終端類型和數(shù)量越來越多，尤其在大中型園區(qū)網(wǎng)絡(luò)中，接入終端除了PC、手機(jī)之外，還有IP話機(jī)、打印機(jī)、IP攝像頭等啞終端。大量不同類型的終端需要接入到園區(qū)網(wǎng)絡(luò)中，這就給園區(qū)內(nèi)網(wǎng)終端管理帶來了很大的難度。因?yàn)閭鹘y(tǒng)網(wǎng)絡(luò)管理系統(tǒng)只能查看接入終端的IP和MAC，無法對終端做更精細(xì)的管理，如果需要給不同類型的終端，規(guī)劃部署不同的網(wǎng)絡(luò)業(yè)務(wù)和策略，管理員需要按規(guī)劃為每種類型終端進(jìn)行手動配置，業(yè)務(wù)配置復(fù)雜且操作繁瑣。終端識別即為解決上述問題而推出的功能。通過多樣化的終端識別方法，iMasterNCE-Campus可查看整個園區(qū)網(wǎng)絡(luò)終端的類型、操作系統(tǒng)等摘要信息。基于這些摘要信息，可以對終端進(jìn)行多維度的精細(xì)化管理，比如根據(jù)終端類型進(jìn)行流量統(tǒng)計和呈現(xiàn)，下發(fā)指定的授權(quán)策略等。另外，對于通常采用MAC認(rèn)證的園區(qū)IP話機(jī)、打印機(jī)、IP攝像頭等啞終端設(shè)備，還可以實(shí)現(xiàn)基于終端識別的自動準(zhǔn)入，從而減少管理員手動配置工作量。終端識別方法終端識別的方法主要包括被動指紋采集和主動掃描兩大類：被動指紋采集：通過網(wǎng)絡(luò)設(shè)備采集終端報文的特征指紋，上報給iMasterNCE-Campus，然后通過匹配iMasterNCE-Campus自帶的指紋庫進(jìn)行終端類型識別。這類終端識別方法包含MACOUI、HTTPUserAgent、DHCPOption、LLDP、mDNS。主動掃描：通過iMasterNCE-Campus主動探測或掃描終端，根據(jù)終端設(shè)備的反饋信息做