HC Agile Controller准入控制特性完整课件.pptx

本页不打印课程编码适用产品产品版本课程版本ISSUEHgile ControllerV1R11.00开发/优化者时间审核人开发类型（新开发/优化）王锐2014-9-25姚传哲新开发HAgile Controller准入控制特性 前言企业网络中，对接用户接入网络的安全管控变得越来越重要，传统的网络管理直接通过VLAN和ACL在设备上静态控制用户权限，随着企业网络变得复杂和无线网络的兴趣，这样的网络安全管控越来越低效，为此华为提供了基于Who、When、What、Where、Whose、How的5W1H准入控制的Agile Controller本课程介绍Agile Controller 准入控制软硬件组成和常见组网应用。 目标学完本课程后，您将能够:了解准入控制的应用场景了解准入控制的功能实现掌握准入控制配置部署方法掌握准入控制故障处理方法 目录准入控制应用场景准入控制功能实现准入控制配置部署准入控制故障处理无线准入控制(员工、访客)InternetWANGRE总部园区分支4ACAgile ControllerASGSSIDEmployeeSSID GuestGREAP3EDCAC2员工访客SSIDGuest1SSIDEmployee员工CAPWAPAP访客CAPWAP笔记本GRE隧道访客员工已有有线网络的准入控制认证前域隔离域认证后域园区出口Agile Controller服务器补丁/病毒/软件等服务器核心层市场/研发/财务等服务器NAC认证点汇聚层NAC认证点接入层12研发区域财务区域访客区域市场区域新建园区准入控制认证前域隔离域Agile Controller服务器认证后域补丁/病毒/软件等服务器园区出口市场/研发/财务等服务器核心层L3路由汇聚层L2交换接入层12研发区域PC/哑终端PC/哑终端市场区域新建园区准入控制(续)认证前域隔离域Agile Controller服务器认证后域补丁/病毒/软件等服务器园区出口市场/研发/财务等服务器核心层L3路由汇聚层L2交换接入层12研发区域PC/哑终端PC/哑终端市场区域 目录准入控制应用场景准入控制功能实现准入控制配置部署准入控制故障处理Agile Controller准入组件架构Agile ControllerService ManagerSMHttpsSCAuthServerPortalRADIUSNetworkServerRADIUS/Portal/COPS物理网络EAP/Http终端802.1xBACMAC认证RADIUS准入控制DESACG准入PortalAgile Controller准入控制主要技术Agile Controller 准入模型授权规则授权条件授权结果人终端接入方式时间地点RADIUS属性ACLVLAN带宽安全组终端安全动态ACL帐号身份组织Windows认证SSID无线有线接入设备IP段操作系统类型厂商角色部门 目录准入控制应用场景准入控制功能实现Radius802.1XPortalSACG准入MAC认证准入控制配置部署准入控制故障处理RADIUS协议概述UsersNASClientsRemote UserDictionaryRADIUS ServerRADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）是一种分布式的、客户端/服务器结构的信息交互协议，能保护网络不受未授权访问的干扰，常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。RADIUS工作流程RADIUS ServerNAS / RADIUS ClientRemote User1.用户输入用户名/密码2.认证请求3.认证接受/拒绝4.计费开始请求5.计费开始请求响应6.用户访问网络资源7.计费结束请求8.计费结束请求响应9.通知访问结束RADIUS报文结构071531CodeIdentifierLengthAuthenticator(16 Bytes)AttributeRADIUS通过Code域来区分不同类型的报文（共5种）Access-Request认证请求包Access-Accept认证接受包Access-Reject认证拒绝包Accounting-Request计费请求包Accounting-Response计费响应包RADIUS属性RADIUS用于认证、授权和计费的具体信息通过报文的“属性(Attribute)”字段携带。RADIUS的属性采用TLV(Type、Length、Value)结构类型（Type），1个字节，取值为1～255，用于表示属性的类型，表1-2列出了RADIUS认证、授权、计费常用的属性。长度（Length），表示该属性（包括类型、长度和属性）