极简网络是面向下一代园区网络设计的解决规划 , ,,,, ,主张是援手客户解决持久存在于传统网络中的诸多问题 , ,,,, ,例如运维治理工作复杂 , ,,,, ,终端用户履历保险不及 , ,,,, ,新业务部署进展缓慢等问题 。。。。。。。。极简网络通过部署主题认证网关设备 , ,,,, ,可能实现全网用户集中认证 , ,,,, ,用户间安全隔离 , ,,,, ,非主题层设备零守护 , ,,,, ,用户急剧上线且不变在线等诸多职能 , ,,,, ,解决传统园区网规划中的诸多不及 。。。。。。。。集中认证方式相迸宗传统园区网解决规划的散布式认证 , ,,,, ,可能提供越发简化的组网模式 , ,,,, ,用户认证集中在网络主题层 , ,,,, ,非主题层设备无需支持安全认证职能 , ,,,, ,并且可能提供每秒千人的认证速度 , ,,,, ,保障用户的优质履历 。。。。。。。。凭据客户现实利用场景 , ,,,, ,极简网络规划能够提供三种主流的集中认证方式 , ,,,, ,即802.1X认证 , ,,,, ,Web认证 , ,,,, ,MAC认证 。。。。。。。。

第一种认证方式:802.1X集中认证

1、认证流程

2、认证流程注明

1) 客户端:对应全发国际的RG-SU认证客户端 。。。。。。。。

2) NAS:凭据客户端当前的认证状态节造其与网络的衔接状态 。。。。。。。。在客户端与服务器之间 , ,,,, ,该设备表演着中介者的角色:从客户端要求用户名 , ,,,, ,核实从服务器端的认证信息 , ,,,, ,并且转发给客户端 。。。。。。。。

3) Radius Server:对应全发国际的SAM认证计费系统 , ,,,, ,该系统为用户提招认证服务 。。。。。。。。认证服务器保留了用户名及密码 , ,,,, ,以及相应的授权信息 , ,,,, ,一台服务器能够对多台认证者提招认证服务 , ,,,, ,这样就能够实现对用户的集中治理 。。。。。。。。认证服务器还掌管治理从认证者发来的记帐数据 。。。。。。。。

第二种认证方式:Web集中认证

1、认证流程

2、认证流程注明

1) 用户打开IE , ,,,, ,接见某个网站 , ,,,, ,提议HTTP要求 。。。。。。。。

2) NAS截获用户的HTTP要求 , ,,,, ,由于用户没有认证过 , ,,,, ,就强造到Portal服务器 。。。。。。。。并在强造Portal URL中参与有关参数 , ,,,, ,具体参数参考CHAP认证 。。。。。。。。

3) Portal服务器向用户终端推送WEB认证页面 。。。。。。。。

4) 用户在认证页面上填入帐号、密码等信息 , ,,,, ,提交到Portal服务器 。。。。。。。。

5) Portal将帐号与密码提交到NAS , ,,,, ,提议认证 。。。。。。。。

6) NAS将帐号和密码一路送到中央RADIUS用户认证服务器 , ,,,, ,由中央RADIUS用户认证服务器进行认证 , ,,,, ,中央RADIUS服务器凭据用户信息判断用户是否合法 , ,,,, ,返回Radius access-accept/reject给NAS设备 。。。。。。。。

7) NAS返回认证了局给Portal服务器 。。。。。。。。

8) Portal服务器凭据认证了局 , ,,,, ,推送认证了局页面 。。。。。。。。

9) Portal服务器回应NAS收到认证了局报文 。。。。。。。。

10) NAS设备发送记账起头报文 。。。。。。。。

第三种认证方式:MAC认证

MAC认证是以终端的MAC地址作为用户名和密码向中央RADIUS服务器提议认证要求的一种认证方式 。。。。。。。。MAC认证是在设备进建MAC地址时触发的 。。。。。。。。其认证流程大体如下:

1) NAS设备上开启MAC认证职能 。。。。。。。。

2) 用户打开浏览器试图接见网络 , ,,,, ,NAS设备进建到该用户的MAC地址 , ,,,, ,以该MAC地址作为用户名和密码向中央RADIUS服务器提议认证要求 。。。。。。。。

3) RADIUS服务器对该用户进行认证 , ,,,, ,判断用户是否合法 , ,,,, ,而后返回Radius access-accept/reject给NAS设备

4) 若是认证通过 , ,,,, ,NAS设备发送记账起头报文 , ,,,, ,指定MAC地址对应的终端就能够起头接见网络资源;;;; ; 不然就不能接见网络 。。。。。。。。

集中认证和散布式认证的对比

上一节列出集中认证组网的分歧规划 , ,,,, ,这些组网规划和现有的接入认证对比 , ,,,, ,有如下利益:

1. 有线接入设备职能要求单一 , ,,,, ,无需支持复杂的NAS职能

2. AC统一上收 , ,,,, ,AC和AP解绑定 。。。。。。。。

3. 利用互换机转发和节造面分离的硬件个性 , ,,,, ,利用N18000节造面的高机能 , ,,,, ,既提升认证机能 , ,,,, ,解决Portal Server的认证瓶颈问题 , ,,,, ,又不影响转发机能

4. 由于所有职能集中在N18000上 , ,,,, ,通过成立盛开性的平台 , ,,,, ,能够更火速的响利用户定造需要 , ,,,, ,并利用N18000和SAM的深度共同 , ,,,, ,满足从界面到利用全方位的盛开性

5. IPv4和IPv6统一扁平化 , ,,,, ,支持IPv4和IPv6的统一认证 , ,,,, ,IPv6统一部署和治理 , ,,,, ,只必要治理一台设备 , ,,,, ,节约投资成本