分支机构出口方式组网应用方案说明
这种组网结构中,将Portal认证设备部署在园区网汇聚层或者分支机构出口位置,EIA认证服务器部署在总部核心位置,用户的每一次接入认证请求都需要发送到总部的EIA上进行身份验证,只有验证通过的用户才允许接入到总网络中,可以有效阻止来自分支机构的安全威胁。
总部入口路由器方式组网应用
方案说明将Portal认证设备部署在园区网核心或者总入口,这种部署方式只能控制分支机构的用户访问总部网络的情况,分支机构内部互访无法进行认证准入控制。
部署最简单,工作量小,可以直接将总部入口路由器换成支持Portal协议的认证设备,或者在入口路由器旁挂Portal设备,简单部署即可实现Portal准入认证。
比较适用于流量集中转发的场景,如果是本地转发的情况,由于控制点太高,无法对本地流量做认证准入控制。
Portal方案优缺点优点:Portal设备一般部署位置较高(如汇聚层或核心层),部署更简单方便。同时,Portal可不依赖于客户端,通过网页即可以实现简单认证,易用性更好。最后,Portal扩展性好,可以扩展为微信认证、短信认证和二维码认证,适用于内网、访客、营销等多种场景,应用更广泛。
缺点:Portal控制点位置较高,对接入层设备的控制力度不足,Portal是私有协议,都会自己的实现方式,通用性不够,设备混合使用的场景下会有难以适配的问题,需要通过旁挂Portal网关的方式解决。
(3)WLAN准入认证无线局域网的安全问题主要体现在访问控制和数据传输两个层面。在访问控制层面上,非授权或者非安全的客户一旦接入网络后,将会直接面对校园的核心服务器,威胁校园的核心业务,因此能对无线接入用户进行身份识别、安全检查和网络授权的访问控制系统必不可少。在无线网络中,结合使用EIA解决方案,可以有效的满足园区网的无线安全准入的需求。
组网特点介绍物理组网方式与802.1x接入方式相同。
FIT AP与无线控制器之间的连接可以使用二层连接,也可以使用三层连接。
用户接入时需要首先通过客户端认证接入无线网络,然后进行Portal接入。或者直接连接802.1x的SSID,安全接入无线网络。
在组网中,用户IP地址不发生变化的情况下,可以在AP之间漫游。
基于用户身份的控制信息在AC上下发。