首页 科技问答 Aronzxw,分层AC组网+集中认证的过程是怎样的?

Aronzxw,分层AC组网+集中认证的过程是怎样的?

科技问答 208
1686150887,CRM论坛(CRMbbs.com)——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容,欢迎向我们投稿,共建CRM多元化生态体系,创建CRM客户管理一体化生态解决方案。内容来源:知了社区Aronzxw Aronzxw 零段 粉丝:0人 关注:0人

问题描述:

分层AC的组网情况下,总部和分支都是使用本地转发,现在分支无线用户需要到总部IMC去做802.1x和Portal认证,请问下这个认证过程是怎样的?有没有相关技术原理文档可以提供

组网及组网描述:

总部AC——总部核心——专线——分支汇聚——分支AC——POE——AP——STA

6小时前提问

参考x技术白皮书:

4 实现的技术特色

4.1 集中管理

4.1.1 配置集中下发

4.4 逃生模式和数据同步

4.4.1 逃生模式

4.4.2 数据同步

4.5 认证和报文转发位置灵活

4.5.1 Local AC认证和数据报文转发

4.5.2 Central AC负责认证,AP负责数据转发

4.5.3 802.1X认证

4.5.4 Portal认证


1.1.1  分层AC架构

分层AC组网由Central AC、Local AC和AP组成,Central AC负责整个无线网络的管理,Local AC负责AP的接入并转发数据流量。

分层AC架构使用以下两种通道来实现AP的集中管理:

·     Central AC与Local AC建立管理通道。

Central AC与Local AC之间通过建立管理通道,实现网络配置及用户信息的自动同步和管理。

·     AP与Local AC建立CAPWAP隧道。

当AP与Local AC建立CAPWAP隧道连接后,Local AC会将相关配置下发给AP,实现配置自动同步。

图1-1 分层AC架构示意图

1.1.2  分层AC的AP管理

如图1-2所示,AP加入分层AC网络的过程如下:

     Central AC与各Local AC间建立管理通道;

     AP向Central AC发送Discovery request报文;

     Central AC收到Discovery request报文后,根据当前各Local AC的负载情况,选择当前负载最轻的Local AC,在向AP回复的Discovery response报文中携带指定Local AC的IP地址;

(4)     AP收到Discovery response报文,根据报文中携带的Local AC的IP地址,向Local AC重新发送Discovery request报文,与Local AC建立隧道连接。AP与Local AC建立隧道的过程中,Local AC会向Central AC查询该AP是否为合法AP(该AP为手工AP或Central AC上开启了自动AP功能),若该AP为合法AP,Central AC会将AP配置下发到Local AC,若AP不是合法AP,则AP连接失败。有关手工AP及自动AP的详细介绍,请参见“AP管理配置指导”中的“AP管理”;

(5)     AP与Local AC之间的CAPWAP隧道建立成功后,Local AC会通知Central AC该AP上线成功,并通过管理通道将AP及客户端的状态上报至Central AC。

(6)     Central AC根据Local AC上报的信息来管理AP及客户端。

图1-2 AP与Local AC建立CAPWAP隧道过程

1.1.3  数据转发

在分层AC架构中,数据转发方式与传统AC+Fit AP架构相同,既可以在Local AC上进行数据转发,也可以在AP进行数据转发。

有关数据转发位置的详细介绍,请参见“WLAN接入配置指导”中的“WLAN接入”。

1.1.4  漫游

分层AC架构下的漫游方式取决于用户的接入认证位置。

·     当WLAN用户接入认证位置为Local AC时,漫游方式与传统AC+Fit AP架构相同,既可以在Local AC内进行漫游,也可以在Local AC间进行漫游;

·     当WLAN用户接入认证位置为Central AC,客户端初始上线时,Central AC和客户端关联的Local AC上会同时创建客户端漫游表项,Local AC可以根据该漫游表项信息实现客户端Local AC内或者Local AC间漫游。

有关WLAN用户接入认证位置的详细介绍,请参见“用户接入与认证配置指导”中的“WLAN用户接入认证”。有关漫游的详细介绍,请参见“WLAN漫游配置指导”中的“WLAN漫游”。

1.1.5  管理权限

在分层AC架构下,可以为Central AC和Local AC的管理员提供不同的管理权限,通过配置地区标识实现对不同地域和级别管理员的权限划分,用户可以在设备的如下配置项上标记不同的地区标识:

·     无线服务模板:该标识定义了管理员可管理的无线服务模板。

·     AP组:该标识定义了管理员可管理的AP组。

·     RRM保持调整组:该标识定义了管理员可管理的RRM保持调整组。

例如,地区A的管理员只能管理地区A的无线服务模板;地区B的管理员只能管理地区B的无线服务模板;超级管理员可管理地区A和地区B的无线服务模板。

设备上存在一个名称为default-location的默认地区标识,标记该标识的配置项可被所有管理员管理。管理员新建的配置项会标记默认地区标识,且该标识不能被删除。

在Web页面上,系统将根据管理员身份过滤配置项,管理员只能查看并管理与用户角色的地区标识相同的配置项和标记了default-location的配置项。




6小时前回答

暂无

总部和分支都是使用本地转发,现在分支无线用户需要到总部 IMC 去做 802.1x 和 portal 认证的信息。根据我的搜索结果,有以下几点:

H3C 分层 AC 是 H3C 创新提出的针对市场上多级组网需求的全新组网模型,分层 AC 采用类似大型连锁企业机构集中控制分级管理的架构方式,由一个总的核心层管理 AC 下挂多个本地接入层 AC,接入层 AC 直接下挂 AP。接入层 AC 主要功能包括 AP 接入和数据转发等实时性业务,核心层 AC 主要做网络的管理控制和集中认证等非实时性全局业务12。 本地转发 是指无线用户的数据流量不经过 AC,而是直接由 AP 转发到有线网络中,从而减少了 AC 的负载和核心链路的带宽占用,提高了转发效率和性能12。 IMC 是 H3C 的智能管理中心,是一款面向企业级网络的综合网络管理平台,可以提供对网络设备、服务器、虚拟化、应用、用户、安全等方面的可视化管理和控制3。 802.1x 是一种基于端口的网络访问控制协议,可以通过认证服务器对无线用户进行身份验证和授权,从而保证网络安全12。 portal 是一种基于网页的网络访问控制协议,可以通过认证服务器对无线用户进行身份验证和授权,从而保证网络安全12。

如果分支无线用户需要到总部 IMC 去做 802.1x 和 portal 认证,那么认证过程大致如下:

分支无线用户通过 AP 接入无线网络,并发送认证请求到接入层 AC。 接入层 AC 将认证请求转发到核心层 AC,并附上 AP 的位置信息。 核心层 AC 将认证请求转发到 IMC 服务器,并附上 AP 的位置信息。 IMC 服务器根据用户的身份信息和 AP 的位置信息进行认证和授权,并将认证结果和授权策略返回给核心层 AC。 核心层 AC 将认证结果和授权策略返回给接入层 AC,并通知其执行相应的策略。 接入层 AC 将认证结果返回给无线用户,并执行相应的策略。

相关技术原理文档可以参考以下链接:

1: https://www.h3c.com/cn/d_

希望这些信息对你有用。

6小时前回答

暂无

你正在,分层AC组网+集中认证的过程是怎样的?