策略聯動是通過将認證策略的控制點和(hé)執行點分離,實現(xiàn)集中式策略控制、分布式策略執行,以簡化中大(dà)型園區(qū)用(yòng)戶訪問策略部署複雜(zá)度的一種解決方案。
爲什(shén)麽需要策略聯動
園區(qū)網絡中,爲保證内網的安全,IT管理(lǐ)員通常需要在接入層設備上(shàng)部署NAC認證策略,以控制用(yòng)戶的網絡訪問權限。
對(duì)于大(dà)中型網絡而言,接入層設備衆多且用(yòng)戶的網絡接入策略複雜(zá)多變,這(zhè)就給IT管理(lǐ)員帶來(lái)了(le)如下(xià)問題:
-
接入設備多,導緻NAC部署工(gōng)作(zuò)量大(dà),不易于管理(lǐ)和(hé)維護。
-
接入設備多,造成與其對(duì)接的服務器壓力大(dà)。
-
用(yòng)戶隻能(néng)在固定的位置接入,一旦接入地點變更,對(duì)應的接入設備沒有該用(yòng)戶的認證策略,則該用(yòng)戶将無法接入網絡。
爲了(le)解決上(shàng)述問題,簡化大(dà)中型網絡的NAC部署,通常将認證點從(cóng)接入層上(shàng)移到(dào)彙聚層交換機,接入層交換機做802.1X報(bào)文(wén)的透傳。但(dàn)是,認證點上(shàng)移後又帶來(lái)了(le)新的問題:
-
同一接入交換機相同VLAN下(xià)的用(yòng)戶之間的訪問不受控制。
-
同一接入交換機下(xià)用(yòng)戶具體的接入位置認證設備無法感知(zhī),故障無法明(míng)确定位。
-
用(yòng)戶突然下(xià)線(如:斷電),認證設備無法立即感知(zhī),可能(néng)會(huì)導緻:AAA服務器仍會(huì)對(duì)該用(yòng)戶進行計(jì)費,造成誤計(jì)費;存在非法用(yòng)戶仿冒該合法用(yòng)戶IP地址和(hé)MAC地址接入網絡的風(fēng)險;已下(xià)線用(yòng)戶數量過多的情況下(xià),還會(huì)占用(yòng)設備用(yòng)戶規格,可能(néng)會(huì)導緻其他(tā)用(yòng)戶無法接入網絡。
針對(duì)如上(shàng)兩種方案的弊端,策略聯動方案被提出。策略聯動核心思想是将認證策略的控制點和(hé)執行點分離,實現(xiàn)集中式策略控制、分布式策略執行。
-
策略控制點:控制點部署在彙聚層或更上(shàng)層網絡交換機上(shàng),負責與控制器的對(duì)接、配置用(yòng)戶的訪問權限等功能(néng),并通過capwap隧道(dào)下(xià)發到(dào)執行點進行策略執行。
-
策略執行點:執行點部署在接入層交換機,負責執行控制點上(shàng)配置的用(yòng)戶策略,并通過capwap隧道(dào)将用(yòng)戶終端的狀态上(shàng)傳至控制點。
因爲,通過策略聯動方案,即能(néng)簡化中大(dà)型網絡中的NAC部署,又能(néng)避免由于認證點上(shàng)移帶來(lái)的各種問題。
策略聯動的網絡結構
一般情況下(xià),策略聯動的網絡架構包括:終端、認證接入設備、認證控制設備三個部分。
.png)
策略聯動網絡架構示意圖
-
終端:負責向用(yòng)戶提供人機接口,幫助用(yòng)戶進行認證和(hé)資源訪問。包括PC、便攜機、智能(néng)手機、平闆電腦(nǎo)、啞終端等終端類型。
-
認證接入設備:策略執行點,負責執行用(yòng)戶的網路訪問策略。
-
認證控制設備:策略控制點,負責對(duì)用(yòng)戶進行認證及控制用(yòng)戶的網絡訪問策略。
認證控制設備和(hé)認證接入設備之間使用(yòng)CAPWAP(Control And Provisioning of Wireless Access Points)通道(dào)建立連接。通過CAPWAP通道(dào)完成認證控制設備和(hé)認證接入設備之間的用(yòng)戶關聯、消息通信、用(yòng)戶授權策略下(xià)發、用(yòng)戶同步等處理(lǐ)。
策略聯動的工(gōng)作(zuò)原理(lǐ)
策略聯動的實現(xiàn)機制如下(xià)圖所示:
.png)
策略聯動實現(xiàn)機制示意圖
-
認證控制設備與認證接入設備間建立CAPWAP通道(dào)。
-
認證接入設備探測到(dào)有新用(yòng)戶接入,建立用(yòng)戶關聯表,保存用(yòng)戶與接入端口等基本信息。
-
認證接入設備向認證控制設備發送用(yòng)戶關聯請(qǐng)求消息。
-
認證控制設備建立用(yòng)戶關聯表,保存用(yòng)戶與認證接入設備的對(duì)用(yòng)關系,并向認證接入設備發送用(yòng)戶關聯回應消息用(yòng)于通知(zhī)認證接入設備關聯成功。
-
用(yòng)戶向認證控制設備發起認證,認證接入設備轉發用(yòng)戶和(hé)認證控制設備之間的認證報(bào)文(wén)。
-
認證控制設備删除用(yòng)戶關聯表項,在認證成功後,認證控制設備上(shàng)生成完整的用(yòng)戶表項,同時(shí)向認證接入設備發送用(yòng)戶授權請(qǐng)求通知(zhī)并下(xià)發用(yòng)戶的網絡訪問策略。
-
認證接入設備保存用(yòng)戶關聯表項,打開(kāi)指定的用(yòng)戶網絡訪問權限并向認證控制設備發送授權請(qǐng)求回應消息。
-
用(yòng)戶訪問指定的網絡資源。
注:本文(wén)素材來(lái)自(zì)華爲,版權歸作(zuò)者所有