所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
S12700 V200R010C00 配置指南-用户接入与认证

本文档介绍了用户接入与认证的相关特性,主要包括AAA、DAA、NAC、PPPoE、策略联动、IP Session。分别从特性原理、配置过程和配置举例等方面进行介绍。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
NAC基本原理

NAC基本原理

基本流程

NAC功能的基本流程如图4-2所示。

图4-2  NAC基本流程示意图
  1. NAC终端接入网络时,首先通过接入设备进行用户身份认证,接入设备和安全策略服务器(例如AAA服务器)配合,完成对用户的身份认证。
  2. 对于认证通过的用户,安全策略服务器下发授权信息给接入设备。对于认证失败的用户,接入设备对其进行隔离。
  3. 接入设备根据安全策略服务器下发的授权信息,控制终端用户的网络访问权限,并建立终端与安全策略服务器之间通信的渠道。
  4. NAC终端和安全策略服务器直接交互,终端上报自己的状态信息,包括病毒库版本、操作系统版本、终端上安装的补丁版本等信息。
  5. 安全策略服务器检查终端的状态信息,对于不符合企业安全标准的NAC终端,安全策略服务器重新下发授权信息给接入设备。
  6. 接入设备根据安全策略服务器下发的授权信息,修改终端用户的网络访问权限。
  7. NAC终端根据状态检查结果,接入软件服务器进行客户端下载、系统修复、补丁/病毒库升级等处理,直到符合企业安全标准。

用户的接入模式

在NAC网络中,根据实际用户接入网络的情况可将接口下用户的接入模式划分为四种。
  • 单用户接入(single-terminal):设备接口下仅允许一个数据终端接入网络。
  • 单用户通过语音终端接入(single-voice-with-data):设备接口下仅有一个数据终端通过一个语音终端接入网络,设备对数据终端和语音终端进行单独认证。
  • 多用户共享权限接入(multi-share):设备接口下存在多个数据终端接入网络,设备仅对第一个上线的用户进行接入认证,后续用户将共享网络访问权限。但如果第一个上线用户下线后,其他用户也无网络访问权限。
  • 多用户单独认证接入(multi-authen):设备接口下存在多个数据终端接入网络,设备对每个用户单独进行接入认证。一个用户下线后不会影响其他用户的网络访问权限。

三种认证方式比较

NAC包括三种认证方式:802.1X认证、MAC认证和Portal认证。三种认证方式的优劣比较如表4-1所示。

表4-1  认证方式对比

对比项

802.1X认证

MAC认证

Portal认证

客户端需求

需要

不需要

不需要

优点

安全性高

无需安装客户端

部署灵活

缺点

部署不灵活

需登记MAC地址,管理复杂

安全性不高

适合场景

新建网络、用户集中、信息安全要求严格的场景

打印机、传真机等哑终端接入认证的场景

用户分散、用户流动性大的场景

在NAC网络部署中,为了灵活地适应网络环境中的多种认证需求,设备支持在接入用户的接口上对802.1X认证、MAC认证、Portal认证进行同时部署,即配置混合认证。部署混合认证后,设备先接收到哪种认证报文,就会优先触发哪种认证方式。

翻译
下载文档
更新时间:2019-12-28

文档编号:EDOC1000141386

浏览量:21852

下载量:358

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页