j'ai compris

[Du débutant à l'expert - Principes de base du WLAN] Section 11 - Accès WLAN authentique

publié il y a  2020-4-28 22:57:47 20 0 0 0

1.1 Authentification du portail ubiquitaire

Scénario 1: À l'aéroport international de Pékin, Jim a allumé son téléphone portable et recherché un réseau Wi-Fi. Lorsque la page de connexion Wi-Fi était affichée, Jim a entré le numéro de téléphone mobile pour obtenir le mot de passe, puis a entré le mot de passe pour accéder à Internet et naviguer sur Twitter.

Scénario 2: Dans un petit restaurant, Leo a scanné un code QR sur la table à l'aide de son téléphone portable. Sur la page de connexion Internet affichée, Leo a appuyé sur le bouton de connexion Internet pour accéder à Internet en mode anonyme et a partagé des photos de nourriture avec des amis.

Scénario 3: Dans un hôtel, John a obtenu un nom d'utilisateur (numéro de chambre) et un mot de passe aléatoire lors de son enregistrement. Après avoir entré le nom d'utilisateur et le mot de passe pour se connecter au réseau Wi-Fi à l'aide du téléphone portable, John a téléchargé une carte hors ligne .

Dans tous les modes d'authentification précédents pour la connexion Internet, une page de connexion s'affiche, qui est la page d'authentification du portail.

L'authentification du portail présente les avantages suivants:

  • Aucun client ne doit être installé. L'authentification est effectuée sur les pages Web, ce qui facilite l'authentification et réduit la charge de travail de maintenance client

  • L'opération commerciale est pratique. Les opérations commerciales peuvent être mises en œuvre sur des pages de portail, telles que l'affichage de publicités et de bulletins et la promotion de marques d'entreprise.

  • La fonction de comptabilité permet de limiter la durée de connexion Internet des terminaux.

Avec autant d'avantages, l'authentification du portail est largement utilisée.

1.2 Présentation de l'authentification du portail

Selon la réglementation d'accès Internet pour les connexions Internet, les terminaux doivent être authentifiés avec succès avant d'accéder à Internet. Compte tenu de la complexité des terminaux mobiles, l'installation de clients d'authentification sur tous les terminaux pour l'authentification d'identité est impossible. Cependant, presque tous les terminaux intelligents sont équipés de navigateurs Web. Il est recommandé que l'authentification d'identité soit effectuée sur les pages Web.

L'authentification du portail (également appelée authentification Web) est effectuée sur les pages Web pour implémenter l'authentification d'identité et fournir des services d'information personnalisés aux utilisateurs.

Comme le montre la figure suivante , la mise en réseau typique du système d'authentification Portal se compose de quatre éléments de base: client d'authentification, périphérique d'accès, serveur Portal, ainsi que serveur d'authentification, d'autorisation et de comptabilité (AAA).

[Du débutant à l'expert - Fondamentaux du WLAN] Section 11 - Accès au WLAN Authentic-1841209-1

  • Client d'authentification: indique un navigateur qui exécute le protocole HTTP ou un hôte qui exécute le logiciel client de portail. 

  • Périphérique d'accès: indique un périphérique d'accès à large bande tel qu'un commutateur, un routeur ou un contrôleur d'accès (AC).  Un utilisateur qui souhaite accéder à un réseau doit être authentifié par un périphérique d'accès. Un périphérique d'accès offre les fonctions suivantes:  

  • Avant l'authentification, il redirige toutes les demandes HTTP des utilisateurs du segment de réseau d'authentification vers le serveur de portail. 

  • Pendant l'authentification, il interagit avec le serveur de portail et le serveur AAA pour implémenter l'authentification et l'autorisation d'identité.

  • Après l'authentification, il permet aux utilisateurs d'accéder aux ressources Internet autorisées par les administrateurs.

  •  Serveur de portail: indique un système serveur qui reçoit des demandes d'authentification du client d'authentification. Il fournit des services de portail gratuits et des interfaces basées sur l'authentification Web, et échange des informations d'authentification sur le client d'authentification avec le périphérique d'accès

Le serveur de portail peut être un serveur de portail intégré ou un serveur de portail externe. Généralement, un commutateur ou un AC fonctionne comme un serveur Portal intégré et enregistre les noms d'utilisateur et les mots de passe d'authentification. Limité par l'espace de stockage, les fonctions et les performances des périphériques d'accès, un serveur de portail intégré ne s'applique qu'aux scénarios avec un petit nombre d'utilisateurs d'accès et à ceux avec des fonctions simples. Par exemple, un serveur de portail intégré peut fournir des services d'accès à Internet aux utilisateurs des petits restaurants.

Si une connexion Internet via WeChat ou SMS est requise, un serveur de portail intégré ne peut pas répondre aux exigences relatives à l'expérience d'authentification en raison des performances du périphérique d'accès limité. Dans ce cas, un serveur de portail externe est requis pour fournir des services d'authentification de portail.

Un serveur matériel indépendant fournit un espace de stockage suffisant et de hautes performances, permettant à un serveur de portail externe de fournir des fonctions étendues. Par exemple, le serveur de portail fourni par le serveur Agile Controller de Huawei peut fournir des services d'authentification et d'accès réseau fiables aux utilisateurs dans des scénarios à haute densité tels que les stades, les aéroports, les métros et les grands centres commerciaux.
  •  Serveur AAA: interagit avec le périphérique d'accès pour implémenter l'authentification, l'autorisation et la comptabilité des utilisateurs.

Différents utilisateurs peuvent avoir différents droits d'accès au réseau. Par exemple, les invités authentifiés peuvent uniquement accéder à Internet, tandis que les employés authentifiés peuvent également accéder aux systèmes de services internes. Les droits d'accès au réseau des utilisateurs après avoir réussi l'authentification sont déterminés par le serveur AAA.

L'authentification du portail peut être effectuée pour les terminaux câblés et sans fil pour obtenir un accès câblé et sans fil intégré. L'authentification du portail est effectuée sur les commutateurs des terminaux filaires et sur les dispositifs d'accès sans fil pour les terminaux sans fil. La technologie d'authentification du portail est mature et largement utilisée sur les réseaux de transporteurs, les chaînes de restauration rapide, les hôtels et les écoles.

1.3 Solutions de déploiement communes

1.3.1 Affectation des ressources

Les ressources réseau ont une importance différente pour une entreprise. Pour faciliter l'allocation des ressources réseau de différents niveaux, un réseau entier peut être divisé dans les domaines suivants:

  • Domaine de pré-authentification

Les utilisateurs peuvent accéder aux ressources réseau dans le domaine de pré-authentification avant l'authentification. Les ressources réseau requises pour l'authentification, par exemple, le serveur d'authentification (serveur Portal ou serveur AAA), le serveur DHCP et le serveur DNS, doivent être accessibles aux utilisateurs dans le domaine de pré-authentification.

Le domaine de pré-authentification est unique à l'ensemble du réseau et partagé par tous les utilisateurs finaux.

  • Domaine de post-authentification

Les ressources réseau dans le domaine de post-authentification, telles que le système ERP (Enterprise Resource Planning) et le système financier, sont protégées par une passerelle de portail et ne sont accessibles aux utilisateurs finaux qu'après une authentification réussie.

Les domaines de post-authentification diffèrent selon les utilisateurs finaux. Par exemple, les invités authentifiés peuvent uniquement accéder à Internet, tandis que les employés authentifiés peuvent également accéder à Internet et aux ressources du réseau interne.

1.3.2 Mode réseau

Comme le montre la figure suivante, les points d'authentification pour les terminaux câblés et sans fil sont déployés sur plusieurs périphériques réseau pour réduire la pression sur un seul périphérique et réduire la probabilité d'erreurs.

  • Le commutateur d'agrégation fonctionne comme le dispositif d'accès pour l'authentification du portail des terminaux câblés.

  •  L'AC est connecté au commutateur central en mode bypass et fonctionne comme le dispositif d'accès pour l'authentification Portal des terminaux sans fil.

[Du débutant à l'expert - Principes de base du WLAN] Section 11 - Accès au WLAN Authentic-1841209-2

Dans cette solution, le mode de transfert de tunnel est requis entre l'AC et les AP, et le commutateur d'agrégation doit permettre le passage des paquets depuis le tunnel de contrôle et d'approvisionnement des points d'accès sans fil (CAPWAP) .

[Du débutant à l'expert - Fondamentaux du WLAN] Section 11 - Accès au WLAN Authentic-1841209-3 

L'AC est déployé en mode bypass au niveau de la couche centrale par opposition à la couche d'agrégation pour les raisons suivantes:

  • Si l'AC est déployé au niveau de la couche d'agrégation, l'AC ne peut pas implémenter une gestion unifiée sur tous les AP sur l'ensemble du réseau.

  • Si l'AC est déployé en mode en ligne, l'AC peut devenir le goulot d'étranglement des performances du réseau et provoquer des défaillances en un seul point.

Les points d'authentification pour les terminaux câblés sont déployés sur des commutateurs d'agrégation pour les raisons suivantes:

  • Le nombre de périphériques d'accès déployés au niveau de la couche d'agrégation est inférieur à celui de la couche d'accès, ce qui réduit la charge de maintenance des périphériques pour les administrateurs.

  • Les dispositifs d'accès sont déployés au niveau de la couche d'agrégation pour isoler les terminaux non autorisés, offrant une sécurité supérieure à celle de la couche principale.

L'authentification du portail est généralement déployée au niveau de la couche d'agrégation et applicable aux réseaux de campus de grande, moyenne et petite taille. Sur les réseaux de campus de petite taille ou dans les scénarios de reconstruction de réseau, les points d'authentification du portail peuvent être déployés au niveau de la couche principale pour réduire la charge de maintenance des administrateurs ou réduire les investissements de l'entreprise, empêchant le remplacement à grande échelle des périphériques.



  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Communauté de Support de Huawei Entreprise
Communauté de Support de Huawei Entreprise
Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.