极简网络是面向下一代园区网络设计的解决规划 ,主张是援手客户解决持久存在于传统网络中的诸多问题 ,例如运维治理工作复杂 ,终端用户履历保险不及 ,新业务部署进展缓慢等问题 。极简网络通过部署主题认证网关设备 ,可能实现全网用户集中认证 ,用户间安全隔离 ,非主题层设备零守护 ,用户急剧上线且不变在线等诸多职能 ,解决传统园区网规划中的诸多不及 。集中认证方式相迸宗传统园区网解决规划的散布式认证 ,可能提供越发简化的组网模式 ,用户认证集中在网络主题层 ,非主题层设备无需支持安全认证职能 ,并且可能提供每秒千人的认证速度 ,保障用户的优质履历 。凭据客户现实利用场景 ,极简网络规划能够提供三种主流的集中认证方式 ,即802.1X认证 ,Web认证 ,MAC认证 。

第一种认证方式:802.1X集中认证

1、认证流程

2、认证流程注明

1) 客户端:对应Ggpoker官网的RG-SU认证客户端 。

2) NAS:凭据客户端当前的认证状态节造其与网络的衔接状态 。在客户端与服务器之间 ,该设备表演着中介者的角色:从客户端要求用户名 ,核实从服务器端的认证信息 ,并且转发给客户端 。

3) Radius Server:对应Ggpoker官网的SAM认证计费系统 ,该系统为用户提招认证服务 。认证服务器保留了用户名及密码 ,以及相应的授权信息 ,一台服务器能够对多台认证者提招认证服务 ,这样就能够实现对用户的集中治理 。认证服务器还掌管治理从认证者发来的记帐数据 。

第二种认证方式:Web集中认证

1、认证流程

2、认证流程注明

1) 用户打开IE ,接见某个网站 ,提议HTTP要求 。

2) NAS截获用户的HTTP要求 ,由于用户没有认证过 ,就强造到Portal服务器 。并在强造Portal URL中参与有关参数 ,具体参数参考CHAP认证 。

3) Portal服务器向用户终端推送WEB认证页面 。

4) 用户在认证页面上填入帐号、密码等信息 ,提交到Portal服务器 。

5) Portal将帐号与密码提交到NAS ,提议认证 。

6) NAS将帐号和密码一路送到中央RADIUS用户认证服务器 ,由中央RADIUS用户认证服务器进行认证 ,中央RADIUS服务器凭据用户信息判断用户是否合法 ,返回Radius access-accept/reject给NAS设备 。

7) NAS返回认证了局给Portal服务器 。

8) Portal服务器凭据认证了局 ,推送认证了局页面 。

9) Portal服务器回应NAS收到认证了局报文 。

10) NAS设备发送记账起头报文 。

第三种认证方式:MAC认证

MAC认证是以终端的MAC地址作为用户名和密码向中央RADIUS服务器提议认证要求的一种认证方式 。MAC认证是在设备进建MAC地址时触发的 。其认证流程大体如下:

1) NAS设备上开启MAC认证职能 。

2) 用户打开浏览器试图接见网络 ,NAS设备进建到该用户的MAC地址 ,以该MAC地址作为用户名和密码向中央RADIUS服务器提议认证要求 。

3) RADIUS服务器对该用户进行认证 ,判断用户是否合法 ,而后返回Radius access-accept/reject给NAS设备

4) 若是认证通过 ,NAS设备发送记账起头报文 ,指定MAC地址对应的终端就能够起头接见网络资源; 不然就不能接见网络 。

集中认证和散布式认证的对比

上一节列出集中认证组网的分歧规划 ,这些组网规划和现有的接入认证对比 ,有如下利益:

1. 有线接入设备职能要求单一 ,无需支持复杂的NAS职能

2. AC统一上收 ,AC和AP解绑定 。

3. 利用互换机转发和节造面分离的硬件个性 ,利用N18000节造面的高机能 ,既提升认证机能 ,解决Portal Server的认证瓶颈问题 ,又不影响转发机能

4. 由于所有职能集中在N18000上 ,通过成立盛开性的平台 ,能够更火速的响利用户定造需要 ,并利用N18000和SAM的深度共同 ,满足从界面到利用全方位的盛开性

5. IPv4和IPv6统一扁平化 ,支持IPv4和IPv6的统一认证 ,IPv6统一部署和治理 ,只必要治理一台设备 ,节约投资成本