策略联动简介
定义
策略联动是通过在网关设备上统一管理用户的访问策略并且在网关设备和认证接入设备执行用户的访问策略,来解决大型园区策略强度与复杂度之间矛盾的一种解决方案。
目的
传统网络中,在接入层部署NAC认证,使得认证接入设备作为认证点来控制和管理接入用户。但当网络规模较大时,存在以下问题:
- 认证接入设备数量多,配置繁琐,不易于管理和维护。
- 认证接入设备数量多,造成与其对接的服务器压力大。
- 用户只能在固定的位置接入,无法在任意位置接入。
为了解决上述问题,可以将认证点从接入层上移到汇聚层或核心层,使得网关设备作为认证控制设备对用户进行统一认证和管理,从而减少网络中认证点数量及认证接入设备的配置。然而,认证点上移后,也存在一些问题:
- 认证接入设备无法透传BPDU报文,导致用户802.1X认证失败,需要配置二层协议透明传输功能。
- 用户的管控位置太高,同一认证接入设备上相同VLAN用户之间的访问不受控制。
- 用户接入的具体位置无法感知,不易于故障定位。
- 用户下线无法立即感知,而且网关设备发起用户上下线探测压力大。
因此,策略联动方案被提出。部署策略联动后,认证接入设备可以自动透传BPDU报文、实时上报用户下线和用户接入位置,同时认证控制设备联动认证接入设备,使其执行用户的访问策略,从而实现了对用户访问网络的控制。
策略联动原理描述
网络架构
如图1所示,策略联动的网络架构包括:终端、认证接入设备以及认证控制设备等三个部分。
- 终端:负责向用户提供人机接口,帮助用户进行认证和资源访问。包括PC、便携机、智能手机、平板电脑、哑终端等终端类型。
- 认证接入设备:策略执行点,负责执行用户的网络访问策略。
- 认证控制设备:策略控制点,负责对用户进行认证以及控制用户的网络访问策略。
认证控制设备和认证接入设备之间使用CAPWAP(Control And Provisioning of Wireless Access Points)通道建立连接。并且,通过CAPWAP通道完成认证控制设备和认证接入设备之间的用户关联、消息通信、用户授权策略下发、用户同步等处理。
实现机制
策略联动的实现机制如图2所示。
- 认证控制设备与认证接入设备间建立CAPWAP通道。
- 认证接入设备探测到有新用户接入,建立用户关联表,保存用户与接入端口等基本信息。
- 认证接入设备向认证控制设备发送用户关联请求消息。
- 认证控制设备建立用户关联表,保存用户与认证接入设备的对应关系,并向认证接入设备发送用户关联回应消息用于通知认证接入设备关联成功。
- 用户向认证控制设备发起认证,认证接入设备转发用户和认证控制设备之间的认证报文。
- 认证控制设备删除用户关联表项,在认证成功后,认证控制设备上生成完整的用户表项,同时向认证接入设备发送用户授权请求通知并下发用户的网络访问策略。
- 认证接入设备保存用户关联表项,打开指定的用户网络访问权限并向认证控制设备发送用户授权请求回应消息。
- 用户访问指定的网络资源。
本机制省略认证控制设备和认证接入设备间CAPWAP通道的建立过程,假设已经建立成功。
![nginx upstream server主动健康检测模块添加https检测功能[完整版]](https://img-blog.csdnimg.cn/direct/cd8fcaae43b541ba964ca0235a8e30e9.png#pic_center)
