01 網站(zhàn)首頁 02 關于我們 03 解決方案 04 成功案例 05 技術服務 06 新聞中心 07 人才招聘
021-52821171
園區(qū)交換機新技術——iConnect
發布時(shí)間:2024-05-23
iConnect是智簡園區(qū)網絡解決方案中網絡層的生态名稱,通過iConnect可實現(xiàn)物聯網終端的即插即用(yòng)和(hé)接入安全。
面向物聯終端,提升部署效率
在智簡園區(qū)場景中,物聯網絡如樓宇自(zì)動化BA(Building Automation)建設早于園區(qū)網絡的部署,因此,需要園區(qū)網絡支持物聯網絡的局部測試。部分物聯設備,如門(mén)禁、空(kōng)調聯網溫控等沒有網絡操作(zuò)界面,對(duì)物聯設備安裝調試人員的要求比較高(gāo);物聯設備接入網絡後還存在很(hěn)多安全隐患,如門(mén)禁、閘機、攝像頭等容易受到(dào)攻擊、仿冒,因此物聯終端還需要通過網絡進行數字證書申請(qǐng)和(hé)下(xià)發,操作(zuò)比較複雜(zá)。iConnect的出現(xiàn),很(hěn)好(hǎo)的解決了(le)上(shàng)述問題。
使用(yòng)iConnect的物聯網終端也(yě)被稱爲iConnect終端。iConnect可以創建一個帶有iConnect标識的SSID,iConnect終端自(zì)動關聯該SSID,并實現(xiàn)終端的即插即用(yòng);iConnect終端還可自(zì)動申請(qǐng)并加載數字證書,無需在終端上(shàng)人工(gōng)導入數字證書,從(cóng)而簡化安裝配置,提升部署效率。
iConnect應用(yòng)場景
無線終端通過AP接入網絡。SwitchA爲接入交換機,SwitchB支持随闆AC功能(néng),iConnect終端和(hé)其他(tā)類型的終端(即圖中的STA)同時(shí)接入網絡。用(yòng)戶希望網絡規劃滿足如下(xià)要求:
  • 無線終端的IP地址通過DHCP服務器動态分配。
  • 對(duì)iConnect終端進行免認證授權,STA使用(yòng)Portal認證。

iConnect終端免認證組網圖

iConnect工(gōng)作(zuò)模式

 

iConnect電子身份信息

iConnect-URL是在MUD-URL的基礎上(shàng)做了(le)擴展定義。
MUD全稱Manufacture Usage Description Specification,是RFC 8520定義的一種終端标識自(zì)己身份和(hé)對(duì)網絡功能(néng)的訴求的方法。初期設計(jì)用(yòng)于網絡訪問控制,後面逐步應用(yòng)于其它領域。同時(shí)RFC定義了(le)一種MUD-URL,網絡訪問這(zhè)個MUD-URL獲取到(dào)MUD描述文(wén)件,并根據該文(wén)件獲取終端的身份和(hé)網絡功能(néng)訴求,繼而給終端開(kāi)通相應的網絡權限。

iConnect終端本地認證

管理(lǐ)員爲管理(lǐ)和(hé)控制不攜帶iConnect信息的終端而在設備上(shàng)配置NAC功能(néng),但(dàn)對(duì)iConnect終端沒有管理(lǐ)控制的要求,僅需要iConnect終端能(néng)接入網絡。此時(shí),可以在設備上(shàng)使能(néng)iConnect終端不認證即上(shàng)線功能(néng)。使能(néng)該功能(néng)後,設備識别出的iConnect終端不認證就可以上(shàng)線。

iConnect終端本地認證流程

  • 無線iConnect終端關聯SSID,接入無線網絡。該SSID爲iConnect引導SSID。
  • AP将iConnect終端的身份信息(即iConnect-URL)通過CAPWAP報(bào)文(wén)發送到(dào)設備。
  • 設備根據身份信息判斷該用(yòng)戶爲iConnect終端,同時(shí)設備已經配置iConnect終端不認證即上(shàng)線功能(néng),則保持該用(yòng)戶在線。否則,若用(yòng)戶沒有攜帶iConnect終端身份信息,或者設備沒有配置iConnect終端不認證即上(shàng)線功能(néng),則用(yòng)戶需要完成非iConnect終端的認證流程。

iConnect終端RADIUS認證

如果管理(lǐ)員未在設備上(shàng)開(kāi)啓iConnect終端不認證即上(shàng)線功能(néng),則可以進行iConnect終端RADIUS認證。
iConnect終端的電子身份信息由RADIUS報(bào)文(wén)(華爲RADIUS擴展屬性26-202)攜帶至RADIUS服務器。
RADIUS服務器根據該信息識别終端是否爲iConnect終端。如果該終端屬于iConnect終端,則RADIUS服務器根據用(yòng)戶賬号查詢對(duì)應的授權策略,并将授權策略封裝到(dào)認證回應報(bào)文(wén)中。針對(duì)iConnect終端,建議(yì)同時(shí)配置重定向功能(néng)有關的RADIUS屬性(例如HW-Redirect-ACL或者HW-Portal-URL),從(cóng)而使iConnect終端在認證成功并訪問網絡後被重定向到(dào)URL地址并下(xià)載EAP-TLS證書,最終觸發EAP-TLS認證。

iConnect無線終端RADIUS認證流程

  • 無線iConnect終端關聯SSID,接入無線網絡。該SSID爲iConnect引導SSID。

  • AP将iConnect終端的身份信息(即iConnect-URL)通過CAPWAP報(bào)文(wén)發送到(dào)設備。

  • 設備向RADIUS服務器發送RADIUS認證請(qǐng)求報(bào)文(wén),認證請(qǐng)求報(bào)文(wén)中攜帶終端身份信息。

  • RADIUS服務器通過RADIUS屬性HW-MUD-URL攜帶的終端身份信息識别該用(yòng)戶爲iConnect終端,同時(shí)RADIUS服務器根據賬号查詢該用(yòng)戶的授權策略(例如RADIUS屬性HW-Redirect-ACL)封裝并發送認證回應報(bào)文(wén)。

  • 設備按照認證回應報(bào)文(wén)中的授權策略對(duì)用(yòng)戶進行授權,因此在認證成功後下(xià)發重定向策略。

  • 終端被重定向到(dào)URL地址(一般是RADIUS服務器提供的Portal頁面的地址)下(xià)載數字證書,并在加載該證書後完成EAP-TLS認證。

上(shàng)一篇:深化合作(zuò)!龍由信息獲頒華爲政企四項大(dà)獎 下(xià)一篇:園區(qū)交換機新技術——終端防仿冒

返回列表
網站(zhàn)首頁 | 關于我們 | 聯系方式
Copyright © 2019 上海真格數碼科技有限公司 版權所有 All rights reserved.