目录
Ⅰ 企业网+SMP+AD域认证场景
01 总部单园区场景
拓扑:
说明:
1、企业网核心为N18K,汇聚接入为S57H,S29XS/Ev3设备
2、 企业SMP作为RADIUS和PORTAL服务器 , 实现1X+WEB认证,同时多数拥有自己的AD域服务器,统一管理内部员工账号。 SMP服务器除了传统的认证功能外还需要将用户的分组信息同步给N18K,如果在企业场景需要从AD域获取用户信息和分组信息。
3、企业用户中重点实施策略随行功能,访问权限控制,哑终端准入管控,自动化运维功能
4、AD域服务器多为windows 2008R2 server active directory
5、总部单园区仅需一套N18K+SDN+SMP+AD域服务器即可。
6、SMP与AD域的对接认证,是测试的难点,特别是部分金融客户需要实现windows系统不带客户端的1X认证
Ⅱ 搭配极简出口
网关方案
01 核心极简X+极简出口方案
拓扑:
说明:
1、校园网核心采用N18K,部署极简X方案,完成终端的准入管控,用户的统一认证等功能。SAM+与N18K根据需求可选配置策略随行,由SAM+下发class 25用户组属性给N18K用于用户IP地址固化,仅本地有效,不影响RSR77X的选路工作
2、出口采用RSR77X,部署极简出口方案,基于SAM+的出口联动策略名同步usergroup属性给RSR77X实现不同认证终端的出口选路,流控等功能
3、在这个模型中,N18K,SAM+,RSR77X没有新增联动功能,与传统极简完全一样,N18K--SAM+,RSR77X--SAM+彼此两个独立过程,互不影响
02 核心极简X+出口BRA方案
拓扑:
说明:
1、校园网核心采用N18K,部署极简X方案,完成终端的准入管控,用户的统一认证等功能。
2、SAM+与N18K根据需求可选配置策略随行,由SAM+下发class 25用户组属性给N18K用于用户IP地址固化,仅本地有效,不影响RSR77X的选路工作。N18K基于usergroup固化的IP地址,配置对应的关联ACL,用于PBR策略路由,实现老师用户固定走EG的cernet专线出口,学生用户统一走RSR77X出口,采用BRAC方案,由RSR77X 代理PPPOE拨号实现用户上网
3、出口采用RSR77X,部署BRAC方案,基于SAM+的出口联动策略名同步usergroup属性给RSR77X实现不同认证终端不同用户套餐的代理运营商PPPOE拨号上网,流控等功能
4、在这个模型中,N18K,SAM+,RSR77X没有新增联动功能,与传统极简完全一样,N18K--SAM+,RSR77X--SAM+彼此两个独立过程,互不影响
03 出口网关方案+核心旁挂N18K部署极简X
拓扑:
说明:
1、校园网核心非N18K大二层偏平化,原有网络已经在出口部署极简出口/网关认证方案
2、出口采用RSR77X,部署网关方案实现统一认证,根据实际基础网络情况,用户可以采用二层PPPOE server拨号认证,也可以是三层准出的IPOE认证。基于SAM+的出口联动策略名同步usergroup属性给RSR77X实现基于用户组,角色的运营商出口选路,流控等功能
3、新增N18K旁挂核心,配合SDN控制器,作为全网物联网终端的大二层网关,实现准入管控,IP地址可视化,分级分权管理等功能
4、在这个模型中,N18K,SAM+,RSR77X没有新增联动功能,与传统极简完全一样,N18K--SDN(不认证),RSR77X--SAM+(实现认证)彼此两个独立过程,互不影响
Ⅲ 多校区组网场景
多校区多核心组网
![](https://i-blog.csdnimg.cn/blog_migrate/e06251ea0298a82f4f3f7a4b1025c250.png)
一个业务如果属于多个校区一般就会部署在不同的N18K上见上图整体部署拓扑,那么就无法划分在一个super vlan内,需要在不同的校区配置成不同的super vlan,不同的supervlan内配置的子网网段也是不同的,例如学生终端组在校区A分配到10.0.0.0/24的IP,在校区B分配到的是20.0.0.0/24的IP,但由于这两个网段可以关联到同一个认证终端组,因此可以配置一样的权限,这样跨校区迁移权限也能保持一致。
但由于不同校区是不同的N18K来存储用户mac和终端组的关联关系,因此在认证终端泛接入的场景下,在一个校区完成两次认证入网后(纯WEB认证),迁移到另外一个校区还是需要做两次认证入网(纯WEB认证)。
如果是两个校区共用同一台N18K核心,配置两个不同的supervlan。同一台N18K,多super vlan部署和多校区类似也是需要同一个业务在不同supervlan内分不同的网段,也可以达到权限随行的效果,且认证终端泛接入的场景只需要首次接入做两次认证,跨super vlan迁移也不需要再做两次认证。多super vlan部署也可能一个super vlan是qinq部署,一个不是,这种情况下也能保证正常的迁移,只是终端的VLAN信息变化。
Ⅳ 搭配深澜SRUN
城市热点RD认证场景
2、极简X本身需要SAM上定制配合的为通过class属性(radius属性25)来下发用户组信息,主要是支持终端组策略随行,这个属性目前设备端还支持通过filterid(radius属性11)来下发,城市热点\深澜只需要进行简单的适配就可以对接上。
3、如果和城市热点\深澜无法与我们进行用户组属性下发的对接,那么除了人认证终端组绑定IP以外,非认证终端泛接入,全场景扁平化等价值点也能够正常部署。客户无需IP地址固化及策略随行需求,则认证采用传统极简标准化的radius,portal对接即可。