Agile Controller典型准入方式对比

发布时间:  2016-03-11 浏览次数:  374 下载次数:  0
问题描述

主要介绍下现在典型的Agile Controller准入方式,便于工程师理解和现场与客户沟通。
解决方案

MAC认证
用户终端以MAC地址作为身份凭据到认证服务器进行认证,主要用于IP电话、打印机等哑终端设备,不用安装Anyoffice客户端,无法通过ACL、动态ACL或前后域对资源进行受限控制,不支持逃生功能。

802.1X认证
使用EAP(Extensible Authentication Protocol)认证协议,实现客户端、设备端和认证服务器之间认证信息的交换。可与华为全系列交换机、路由器及Wlan设备以及第三方标准802.1x,接入控制点低,对接入终端的控制能力强, 接入控制点多,部署实施和维护成本较高,需要安装客户端; 对哑终端的管理能力较强,支持 mac 旁路认证,不支持逃生通道。

Portal认证
也称为WEB认证,用户可以通过Web认证页面,输入用户帐号信息,实现对终端用户身份的认证
可与华为全系列交换机、路由器及Wlan设备联动


SACG认证
采用USG防火墙旁挂在路由器或者交换机,通过策略路由控制终端访问。
硬件SACG:部署的位置较高,实施和维护成本较低,容易根据客户端部署的进展,灵活实施网络割接,需要安装客户端,当出现网络故障的时候, 支持逃生通道,可以在少数几个接入控制点上放开接入控制, 能够快速恢复网络。

准入方式 硬件需求 准入客户端 哑终端认证方式 批量导入 自定义业务网段访问 现网SW配置调整 逃生功能
硬件SACG 2台controller服务器
2台USG防火墙
主流厂商接入交换机
通过ip白名单放行 防火墙策略控制 核心SW配置:策略路由引流 支持
               
802.1X 2台controller服务器
N*华为接入交换机
通过MAC旁路放行 动态ACL控制 接入SW配置:Radius+802.1X功能 不支持
               
终端设备MAC认证 2台controller服务器
N*华为接入交换机
等同于办公电脑 无法控制 接入SW配置:Radius+MAC认证功能 不支持

END