策略联动配置

最新推荐文章于 2024-05-10 17:49:50 发布
最新推荐文章于 2024-05-10 17:49:50 发布
阅读量470 收藏 18
点赞数 8
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76769041/article/details/136162517
版权

策略联动简介

定义

策略联动是通过在网关设备上统一管理用户的访问策略并且在网关设备和认证接入设备执行用户的访问策略,来解决大型园区策略强度与复杂度之间矛盾的一种解决方案。

目的

传统网络中,在接入层部署NAC认证,使得认证接入设备作为认证点来控制和管理接入用户。但当网络规模较大时,存在以下问题:

  • 认证接入设备数量多,配置繁琐,不易于管理和维护。
  • 认证接入设备数量多,造成与其对接的服务器压力大。
  • 用户只能在固定的位置接入,无法在任意位置接入。

为了解决上述问题,可以将认证点从接入层上移到汇聚层或核心层,使得网关设备作为认证控制设备对用户进行统一认证和管理,从而减少网络中认证点数量及认证接入设备的配置。然而,认证点上移后,也存在一些问题:

  • 认证接入设备无法透传BPDU报文,导致用户802.1X认证失败,需要配置二层协议透明传输功能。
  • 用户的管控位置太高,同一认证接入设备上相同VLAN用户之间的访问不受控制。
  • 用户接入的具体位置无法感知,不易于故障定位。
  • 用户下线无法立即感知,而且网关设备发起用户上下线探测压力大。

因此,策略联动方案被提出。部署策略联动后,认证接入设备可以自动透传BPDU报文、实时上报用户下线和用户接入位置,同时认证控制设备联动认证接入设备,使其执行用户的访问策略,从而实现了对用户访问网络的控制。

策略联动原理描述

网络架构

图1所示,策略联动的网络架构包括:终端、认证接入设备以及认证控制设备等三个部分。

图1 策略联动网络架构示意图

  • 终端:负责向用户提供人机接口,帮助用户进行认证和资源访问。包括PC、便携机、智能手机、平板电脑、哑终端等终端类型。
  • 认证接入设备:策略执行点,负责执行用户的网络访问策略。
  • 认证控制设备:策略控制点,负责对用户进行认证以及控制用户的网络访问策略。

认证控制设备和认证接入设备之间使用CAPWAP(Control And Provisioning of Wireless Access Points)通道建立连接。并且,通过CAPWAP通道完成认证控制设备和认证接入设备之间的用户关联、消息通信、用户授权策略下发、用户同步等处理。

实现机制

策略联动的实现机制如图2所示。

图2 策略联动实现机制示意图

  1. 认证控制设备与认证接入设备间建立CAPWAP通道。
  2. 认证接入设备探测到有新用户接入,建立用户关联表,保存用户与接入端口等基本信息。
  3. 认证接入设备向认证控制设备发送用户关联请求消息。
  4. 认证控制设备建立用户关联表,保存用户与认证接入设备的对应关系,并向认证接入设备发送用户关联回应消息用于通知认证接入设备关联成功。
  5. 用户向认证控制设备发起认证,认证接入设备转发用户和认证控制设备之间的认证报文。
  6. 认证控制设备删除用户关联表项,在认证成功后,认证控制设备上生成完整的用户表项,同时向认证接入设备发送用户授权请求通知并下发用户的网络访问策略。
  7. 认证接入设备保存用户关联表项,打开指定的用户网络访问权限并向认证控制设备发送用户授权请求回应消息。
  8. 用户访问指定的网络资源。

本机制省略认证控制设备和认证接入设备间CAPWAP通道的建立过程,假设已经建立成功。

周工不想解梦
关注
  • 8
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
华为 S12700, S12700E V200R021C00, C01 配置指南-用户接入与认证
05-11
01-01 AAA配置 01-02 NAC配置(统一模式) 01-03 NAC配置(传统模式) 01-04 策略联动配置 01-05 PPPoE配置 01-06 DAA配置 01-07 IP Session配置 01-08 Kerberos Snooping配置
H3C 交换机常用配置及维护案例
03-19
《轻轻松松配交换 V2.8》,新增:常用配置2篇(包含V5交换机和V7交换机定时重启配置方法) 2019-3-3 《轻轻松松配交换 V2.8》,新增:常用配置1篇(V7交换机基本QINQ配置方法) 2019-1-17 《轻轻松松配交换 V2.7》,新增:常用配置2篇(包含V5交换机和V7交换机Console口安全配置方法) 2019-12-31 《轻轻松松配交换 V2.6》,新增:常用配置2篇(包含V5交换机和V7交换机使用XMODE协议升级软件版本方法) 2019-11-30 《轻轻松松配交换 V2.5》,新增:常用配置2篇(包含V5交换机和V7交换机堆叠后BFD检测配置方法) 2019-10-31 《轻轻松松配交换 V2.4》,新增:常用配置2篇(包含V5交换机和V7交换机VRRP对接配置方法,一篇V5交换机为master,一篇V7交换机为master) 2019-9-31 《轻轻松松配交换 V2.3》,新增:常用配置2篇(包含V5 /V7交换机二层组播命令行配置方法);常用配置2篇(包含V5 /V7交换机二层组播WEB界面配置方法); 2019-8-30 《轻轻松松配交换 V2.2》,新增:常用配置2篇(包含V5 /V7交换机远程端口镜像配置方法); 2019-7-31 《轻轻松松配交换 V2.1》,新增:常用配置2篇(包含V5 /V7交换机策略路由配置方法); 2019-6-30 《轻轻松松配交换 V2.0》,新增:常用配置2篇(包含V5 /V7交换机静态路由、Track与NQA联动); 2019-5-31 《轻轻松松配交换 V1.9》,新增:常用配置2篇(包含V5 V7交换机环路检测配置方法); 2019-4-29 《轻轻松松配交换 V1.8》,新增:常用配置2篇(包含V5 V7交换机NTP服务器、客户端配置方法); 2019-3-31 《轻轻松松配交换 V1.7》,新增:常用配置2篇(包含V5 V7交换机日志主机配置方法); 2019-2-28 《轻轻松松配交换 V1.6》,新增:常用配置2篇(包含V5 V7交换机用户角色切换配置方法); 2019-1-31 《轻轻松松配交换 V1.5》,新增:设备维护2篇(包含V5 V7交换机升级方法方法); 2018-12-31 《轻轻松松配交换 V1.4》,新增:常用配置5篇(包含本地帐号授权命令、NTP服务器/客户端、切换用户角色配置方法); 2018-11-30 《轻轻松松配交换 V1.3》,新增:设备管理2篇(包含V5、V7交换机启动过程Console信息显示说明)、常用配置5篇(包含单向访问、限速,V7交换机用户及角色赋予配置方法); 2018-10-30 《轻轻松松配交换 V1.2》,新增:常用配置10篇:包含V5、V7交换机配置SSH(客户端、服务器)、DHCP 中继、DHCP Snooping方法; 2018-9-30 《轻轻松松配交换 V1.1》,新增:常用配置12篇:包含V5、V7交换机配置IRF2堆叠、配置包过滤(拒绝指定的主机访问网络配置方法、允许指定范围内的主机互相访问配置方法)、OSPF动态路由协议配置方法(OSPF单区域、多区域、OSPF路由引入配置方法); 2018-8-27 《轻轻松松配交换 V1.0》 分为4部分: 1、Comware V5、V7平台交换机分类说明; 2、设备管理: 2.1、V5交换机登录设备方法;包含设备Console、telnet、WEB登录方法; 2.2、V7交换机登录设备方法;包含设备Console、telnet、WEB登录方法; 3、常用配置: 3.1、V5交换机常用配置;包含开启PoE、Combo切换、VLAN划分、DHCP server配置、链路聚合、端口镜像、端口隔离8个功能的命令行和WEB页面配置方法; 3.2、V7交换机常用配置;包含开启PoE、Combo切换、VLAN划分、DHCP server配置、链路聚合、端口镜像、端口隔离8个功能的命令行和WEB页面配置方法; 4、设备维护: 4.1、V5交换机维护;包含Console、telnet、WEB密码忘记处理方法、恢复出厂方法、配置备份方法; 4.2、V7交换机维护;包含Console、telnet、WEB密码忘记处理方法、恢复出厂方法、配置备份方法; 2018-7-27
H3C 安全产品典型配置案例汇总集.rar
09-21
目录: H3C Service-chain在SDN环境中应用的解决方案配置举例 H3C SecPath GAP2000系列典型配置案例集 H3C SecPath L1000-GL 数据中心单出口配置举例 H3C SecPath 运维审计系统 典型配置案例集 H3C NGFW出口网关双主模式组网典型配置举例 H3C NGFW设备配合iMC实现基于用户策略典型配置举例 H3C NGFW设备支持IPsec VRF Aware特性配置举例 H3C SSL VPN VPE方案典型配置案例 H3C SecBlade 防火墙主备二层跨VLAN转发典型配置案例 H3C SecPath F5000软件包兼容性issu升级配置案例 H3C SecPath M9000软件包兼容性issu升级配置案例 H3C NGFW设备广域网中VPN多级纵向互联典型配置案例 H3C NGFW设备双机主备聚合链路典型配置案例 H3C SecBlade III FW 双主多Context 典型配置案例 H3C SecPath M9000系列SSL VPN典型配置案例 H3C SecBlade III FW 双机热备负载均衡典型配置案例 H3C SecBlade III NetStream插卡 典型配置案例 H3C SecPath LB产品服务器负载均衡(V7)典型配置案例 H3C NGFW设备SSLVPN证书认证典型配置案例 H3C NGFW设备作为Portal接入网关实现基于用户策略典型配置案例 H3C NGFW文件过滤典型配置案例 H3C M9000 4框IRF典型配置案例 H3C M9000出口网关多业务典型配置案例 H3C 盒式NGFW设备SSL VPN典型配置案例 H3C NGFW设备作为接入网关配合SSM实现攻击联动控制典型配置案例 H3C SecBlade III NGFW 双机热备负载均衡典型配置案例 H3C NGFW设备配合SSM实现基于用户策略典型配置案例 H3C NGFW设备智能多链路SSL VPN典型配置案例 H3C NGFW设备智能选路之DNS透明代理典型配置案例 H3C NGFW设备SSL VPN邮箱验证码登录典型配置案例 H3C NGFW设备SSL VPN与负载均衡配合使用典型配置案例 H3C NGFW冗余口配合OSPF等价路由主备方案典型配置案例 H3C NGFW设备SSL VPN等价路由双主方案典型配置案例 H3C NGFW设备SSL VPN聚合双主方案典型配置案例 H3C SecPath LB产品服务器负载均衡典型配置案例 H3C SecBlade 防火墙插卡典型配置案例 H3C SecBlade 应用交付引擎典型配置案例 H3C SecPath ACG1000系列应用控制网关典型配置案例 H3C SecBlade IPS Enhanced插卡典型配置案例 H3C SecBlade LB插卡典型配置案例 H3C SecBlade NetStream插卡典型配置案例 H3C M9000出口网关多业务典型配置案例 H3C SecBlade III FW Enhanced三层转发典型配置案例 H3C SecBlade III NetStream插卡典型配置案例 H3C 盒式NGFW设备SSL VPN典型配置案例 H3C 链路负载均衡LLB典型配置案例 H3C SecPath M9000系列SSL VPN典型配置案例 H3C V5防火墙和UTM系列产品典型配置案例 H3C V7防火墙典型配置案例
Cisco配置IP SLA路由联动 中文WORD版
04-12
Cisco配置IP SLA路由联动 中文WORD版
华三(H3C)策略路由NQA多出口联动配置,nqa类似ip sla。
11-23
华三(H3C)策略路由NQA多出口联动配置,nqa类似ip sla,文档里描述详细,谁用谁知道。
配置转发策略路由和TRACK联动
心安既是归处
07-19 1464
配置转发策略路由和TRACK联动
ipv4手动设置网络的相关知识
m0_57692904的博客
05-10 154
作用:告诉计算机哪些是网络号,哪些是主机号。组合表示方式:192.168.1.1/(又称:主机号和网络号组成)2.家庭网络基础组成。
以太网网络变压器型号
最新发布
Hqst88888的博客
05-10 170
额定电流:表示变压器的额定输入和输出电流,通常以毫安(mA)为单位。额定电压:表示变压器的额定输入和输出电压,通常以伏特(V)为单位。额定功率:表示变压器的额定输入和输出功率,通常以瓦特(W)为单位。外形尺寸:表示变压器的外形尺寸,通常以长、宽、高(mm)为单位。环境温度:表示变压器的工作环境温度,通常以摄氏度(℃)为单位。端子类型:表示变压器的端子类型,通常有SMD、THT等类型。绝缘等级:表示变压器的绝缘等级,通常以等级符号表示。0℃~+70℃表示工作环境温度范围为0℃至+70℃;
python实验三 实现UDP协议、TCP协议进行服务器端与客户端的交互
m0_73379721的博客
05-07 1633
(4)建立文件SUT.py,在该文件中引入UDPTalk类,并定义一个ServerApp函数,在该函数中声明一个该类的对象,调用ServerU函数,创建接收信息服务器,运行这个函数,等待客户端发来信息。(4)建立文件STT.py,在该文件中引入TCPTalk类,并定义一个ServerApp函数,在该函数中声明一个该类的对象,调用ServerU函数,创建接收信息服务器,运行这个函数,等待客户端发来信息。(3)定义类TCPTalk的成员函数ClientU,建立一个客户端应用,用于向服务器端发送信息。
kubectl_进阶_网络
lisus2007的专栏
05-08 666
kubectl_进阶_网络
软考网络规划师复习第二章:认识企业设备
衡水铁头哥的博客
05-06 794
正文共:5120 字 53 图,预估阅读时间:7 分钟网络之路第一章:Windows系统中的网络0、序言 1、Windows系统中的网络 1.1、桌面中的网卡 1.2、命令行中的网卡 1.3、路由表 1.4、家用路由器2、认识企业设备当我们对普通的设备功能有了一定的概念之后,我们就可以向高端设备发起冲击了!认识企业级设备的方式主要有接触真机和凭空想象等,对于一般的初学者、学生和网络爱好者等...
网线 网口 绿灯:链路连接,黄灯:数据信号 ——网络
global_coding的博客
05-10 141
网线 绿灯:链路连接,黄灯:数据信号 ——网络
网络安全>《74 微课堂<容器是什么?>》
Else 的博客
05-05 493
容器,是一种虚拟化技术。允许一个操作系统上用户空间被分割成几个独立的单元在内核中运行,彼此互不干扰,这样一个独立的空间,就被称之为一个容器。
华为eNSP中型企业局域网网络规划设计(上)
qq_38292936的博客
05-07 359
敲半天一个闪退全™给我干没了呜呜呜,eNSP,wcnm!wcnm!wcnm!1.部门可以访问公司资源和互联网资源2.部门之间不能互访3.服务器要有单独的服务器区和交换机内部网络使用私有ip地址。
银行电子凭证技术规范
银行信息系统应用架构导论
05-06 897
银行电子凭证技术规范1 范围本文件规定了银行电子凭证的文件、数据与样式、系统逻辑框架、生成、通信传输和安全要求,以 及验证方法。本文件适用于银行电子凭证数据实例与版式文件的开具、传输、接收和应用。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。GB/T 25500(所有部分) 可扩展商业报告语言(XBRL)技术规范GB/T 27910 金融服务
IndyTcpServer使用详解
zxm8513CSDN博客
05-03 221
OnExecute事件是无限循环的,只要客户端没有断开,就会一直循环调用,这里是属于Socket线程,操作VCL控件请交给主线程。
临时邮箱API发送邮件的安全性?如何保障?
danplus的博客
05-06 529
临时邮箱API在发送邮件方面具有一定的安全性优势,但也存在一些潜在的安全隐患。AokSend,利用API/SMTP高效发送,临时邮箱保安全,轻松畅享极速邮件服务,商务沟通首选!
Covalent引入五个新网络运营商,提升去中心化特性和数据安全性
区块链蓝海
05-08 878
为了进一步扩大运营商基础以并践行去中心化网络基础设施的宗旨,Covalent Network(CQT)在网络中引入了五个新的区块样本生产者(BSPs)角色。这些运营者是维护 Covalent Network(CQT)网络的健康以及功能性方面的关键角色,为网络带来了更高程度的去中心化特性。随着 Covalent Network(CQT)生态的重大进展,Covalent Network(CQT)将在今年晚些时候引入一个新的轻客户端运营者角色——Olympic Light Clients。
【前端学习——网络相关】浏览器同源策略和跨域
Everglowwwwww的博客
05-03 768
帮助阻隔恶意文档,减少可能被攻击的媒介。(就是为了。
bgp与bff联动配置
05-20
BGP (Border Gateway Protocol) 和 BFF (BFD for BGP) 都是网络中常见的协议,可以通过联动配置来提高网络的可靠性和可管理性。 BGP 是一种用于在不同自治系统之间交换路由信息的协议,而 BFF 则是一种用于发现邻居...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值