【Agile Controller技术连载4】最强大脑,Agile Controller-Campus应用场景之Portal接入

digest [复制链接]
发表于 : 2014-9-11 15:04:14 最新回复:2015-11-19 13:56:25
10578 28
最强大脑
最强大脑 官方号

作为某些公共场合或小区提供网络接入服务的供应商,您是否希望只允许付费的合法用户接入网络?作为一个企业的网络管理员,您是否希望经过有效认证的外部用户才可以访问企业内部的资源?但是传统的802.1xPPPoE等访问控制方式,都需要客户端的配合,如此多的非固定人员,让所有人都安装客户端显然是不现实的,怎么办?

Agile Controller-CampusPortal接入,提供了一种灵活的访问控制方式, 不需要安装客户端,就可以在接入层以及需要保护的关键数据入口处对用户实施访问控制

最强大脑)本节为您介绍Agile Controller-Campus典型应用场景之Portal接入。

Portal认证:也称为Web认证,用户可以通过Web认证页面,输入用户帐号信息,实现对终端用户身份的认证。一般将Portal认证网站称为门户网站。未认证用户上网时,用户只能访问一些无需授权就可以访问的资源;当用户需要访问一些有权限控制要求的资源时,则必须在门户网站进行认证,只有通过认证、获得相应授权后才可以访问这些资源。Agile Controller可与华为全系列交换机及WLAN设备联动实现Portal认证。

Portal认证技术具有鲜明的应用特色和优点

  1. 不需要安装客户端,直接使用Web页面认证,使用方便,减少客户端的维护工作量。
  2. 便于运营,可以在Portal页面上开展业务拓展,如广告推送、责任公告、企业宣传等。
  3. 技术成熟,被广泛应用于运营商、连锁快餐、酒店、学校等网络。

Portal认证的系统组成

 

认证客户端Portal client):通常为用户终端中运行HTTP/HTTPS协议的浏览器,用于发起认证请求。

网络准入设备Network Access DeviceNAD顾名思义,主要是完成用户或认证客户端的网络准入控制,也就是Portal认证控制点,即执行认证的设备。NAD可以是交换机或专用于接入认证的网络设备,如宽带接入服务器(BAS)等。主要有三方面的作用:

  • 在认证之前,将用户的所有HTTP/HTTPS 请求都重定向到Portal服务器。
  • 在认证过程中,与Portal 服务器、RADIUS服务器进行交互,协同完成身份认证、授权、等功能。
  • 在认证通过后,允许用户访问被授权的网络资源。

Portal服务器Portal server:为用户提供免费门户服务和基于Portal认证的页面。换句话说,Portal服务器提供基于Web认证的界面,接受客户端认证请求信息,与NAD交互有关用户或认证客户端的身份信息。Agile Controller的业务控制器集成了Portal服务器的功能。

RADIUS服务器RADIUS serverNAD进行交互,完成认证、授权等功能。在Portal认证系统中,主要完成用户身份认证和授权的功能。在实际部署中,RADIUS服务器既可以集成认证、授权两种功能于一体,也可以只部署其中一部分功能,如只完成认证功能。Agile Controller的业务控制器集成了RADIUS服务器的功能。

DHCP服务器:严格地讲,DHCP服务器不是Portal认证的组成部分;但由于在执行Portal认证时,客户端或终端必须首先获得IP地址后才能发起认证。当然, 不配置单独的DHCP服务器,而在接入层交换机或AC上使能DHCP也可以,只要确保客户端或终端能够获得IP地址即可。

Portal认证的基本元素介绍完了,那么这些元素之间在认证的过程中是怎样交互的呢?每个元素在什么时间发挥其作用呢?继续往下看吧。

Portal认证过程

下面以无线Portal认证为例介绍Portal认证的整个过程:

 

通过以上的介绍,您是否知道了什么是Portal认证?Portal认证有哪些优点?有哪些元素组成?认证过程是怎么样的?您是否对Portal认证有了更进一步的认识了?那么Portal认证主要应用又是在哪些方面呢?别急, (最强大脑)继续为您介绍。

 

Portal认证的主要应用

外部访客管理

Agile Controller技术连载2中,您已经对访客有了一定的了解了吧?访客是指企业外部客户、合作方员工等人员,对于该类终端,其网络权限不同于内部员工,需要加以限制。访客通常是通过Portal认证的方式接入网络的。在网络规划中,访客区域一般采用无线WLAN方案。

  • 无客户端Portal认证:访客终端采用Portal无客户端方式,方便用户接入。
  • 公共帐号管理:访客作为临时性接入,管理员会面临大量开户、销户和帐号发放的操作,可在用户管理系统中规划公共帐号,减轻管理工作量和提升客户体验。
  • 开放特定服务资源:对于访客,可只开放Internet和隔离域资源。认证通过前只能访问认证前域的资源,认证通过后可访问隔离域的资源,禁止访问认证后域的企业内部资源。对于企业内部员工,则认证通过后能访问认证后域的资源。
  • 用户隔离:对于无线客户,漫游存在很大安全隐患。可通过规划特定SSID,限制访客漫游到办公区域;另外,可通过二层隔离技术,限制访客之间互访。

低成本混合接入

对于公司规模比较小,但是终端类型比较多的情况,企业需要一种低成本的网络部署方案,既支持复杂的多类型终端接入,又能保证网络安全。AC(或插卡)作为汇聚层直连(或旁挂)设备,通过有线、无线用户PortalMAC混合认证的方案可满足此需求。

  • 终端可以使用PortalWeb认证的方式,接入网络,无需安装客户端,既控制了成本,又进行了访问权限控制,两全齐美。
  • 对于网络中的打印机/IP PHONE等哑终端,启用MAC旁路认证功能,当哑终端接入网络的时候,设备自动触发MAC旁路认证,开通网络访问权限。

另外,告诉您个小秘密,Agile Conroller支持MAC优先的Portal认证,终端用户通过Portal认证接入网络后,RADIUS服务器记录终端设备的MAC地址。此后,终端用户在认证已断开时访问网络,如果间隔时间在MAC地址的有效时间内,则终端用户能够直接访问网络,无需输入帐号和密码重新进行认证,很方便吧?

通过上面的内容,大家应该对准入控制中的Portal接入有了更深一步的了解了吧,接下来

(最强大脑)将会为大家带来更多Agile Controller-Campus应用场景介绍(准入控制、业务随行、业务编排、安全协防)。

怎么样?够给力吧。大家只要持续关注最强大脑系列帖子,我们后面的内容会更加精彩的:)

 

(最强大脑)下期内容预告:准入控制之SACG接入

您对准入控制最基本的诉求是什么?或者你想了解准入控制的哪些内容,也可以给我们留言哦~

  • x
  • 常规:

点评 回复

跳转到指定楼层
员Lemon
员Lemon  专家 发表于 2014-9-11 16:00:53 已赞(0) 赞(0)

顶下!!!

  • x
  • 常规:

点评 回复

千山鸟飞绝
千山鸟飞绝  导师 发表于 2014-9-11 16:07:38 已赞(0) 赞(0)

华为IT就是用Portal接待访客的,体验还是很不错滴。
  • x
  • 常规:

点评 回复

eSight零距离
eSight零距离  版主 发表于 2014-9-11 16:08:34 已赞(0) 赞(0)

不错,期待下一篇

  • x
  • 常规:

点评 回复

eSight_Network
eSight_Network   发表于 2014-9-11 16:16:03 已赞(0) 赞(0)

介绍的非常详细,看了受益匪浅!

  • x
  • 常规:

点评 回复

x00207383
x00207383   发表于 2014-9-12 08:39:17 已赞(0) 赞(0)

顶下下下下

  • x
  • 常规:

点评 回复

z00188126
z00188126   发表于 2014-9-12 09:16:40 已赞(0) 赞(0)

好帖,顶!

  • x
  • 常规:

点评 回复

qingfeng
qingfeng   发表于 2014-9-12 09:42:03 已赞(0) 赞(0)

好资料 ,,,学习了
  • x
  • 常规:

点评 回复

y00204582
y00204582   发表于 2014-9-12 14:09:50 已赞(0) 赞(0)

学习啦~赞

  • x
  • 常规:

点评 回复

爱在离别时
爱在离别时  精英 发表于 2014-9-18 15:07:21 已赞(0) 赞(0)

这一期的讲解是连载四期最为精彩最为详细的一期,点32个赞~

  • x
  • 常规:

点评 回复

123
返回列表
发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录