HACA认证、授权、计费
仅如下款型支持HACA:
S5720-EI、S5720-HI、S5720I-SI、S5720-LI、S5735-L、S5735S-L、S5735S-L-M、S5720S-LI、S5720S-SI、S5720-SI、S5735-S、S5735S-S、S5735-S-I、S5730-HI、S5730-SI、S5730S-EI、S5731-H、S5731-H-K、S5731S-H、S5732-H、S5732-H-K、S5731-S、S5731S-S、S6730-S、S6730S-S、S6720-EI、S6720-HI、S6720S-EI、S6720S-LI、S6720-LI、S6730-H、S6730-H-K、S6730S-H、S6720S-SI和S6720-SI
HACA概述
日益发展的中小型企业具有网络规模较小、并发上线用户数量少、网络部署站点分散等特点。面对此类用户,华为提出“智简园区网络解决方案”,通过公有云向广大中小型企业用户提供服务,可实现多租户的统一管理、网络设备的即插即用、网络业务批量部署等功能。与传统的网络架构和部署方式相比,该方案不仅网络部署周期短、维护成本低,而且网络扩展性较好。
由于认证服务器部署在互联网中,设备到服务器之间可能需要穿越NAT,而普通的Portal认证采用Portal协议无法穿越NAT,因此采用华为敏捷云认证HACA(Huawei Agile Cloud Authentication)使设备与服务器之间建立连接,然后进行Portal认证。当前仅支持iMaster NCE-Campus作为HACA服务器。
支持二层Portal认证或MAC优先的二层Portal认证。不支持三层Portal认证或MAC优先的三层Portal认证。
不支持管理员、IPSec、SSL VPN、IP session、L2TP、VM、802.1X、独立MAC认证。
- 支持授权UCL组和业务方案,包括业务方案下的VLAN、QoS模板(CAR和重标记IP报文的DSCP优先级)、IPv4 ACL和IPv6 ACL。
HACA业务报文类型介绍
业务报文内容记录HACA服务器与设备进行交互消息,业务报文类型(msgType)包括如下:
业务报文类型 |
msgType |
说明 |
---|---|---|
注册请求报文 |
1 |
设备与HACA服务器建立HTTP 2.0长连接后,发送注册请求报文给HACA服务器,将设备信息注册到服务器上。 |
注册响应报文 |
2 |
HACA服务器给设备发送注册响应报文,表示长连接建立完成,可以进行业务报文收发。 |
认证请求报文 |
3 |
设备发送给HACA服务器,HACA服务器根据该报文中携带的用户信息判断是否允许接入。 |
认证响应报文 |
4 |
HACA服务器对设备发送的认证请求报文的响应报文。如果认证请求报文中的所有属性都可以接受(即认证通过),则发送该类型报文。设备收到此报文后,认证用户才能认证通过并被赋予相应的权限。 |
主动授权响应报文 |
5 |
设备对HACA服务器发送的主动授权报文的响应报文,同时设备会更改用户的权限。 |
主动授权请求报文 |
6 |
HACA服务器在用户认证成功后,发送主动授权报文给设备。 |
计费请求报文 |
7 |
设备在用户开始访问网络资源时,向HACA服务器发送计费请求报文。 |
计费响应报文 |
8 |
HACA服务器接收并成功记录计费请求报文后,需要回应一个计费响应报文。 |
下线通知报文 |
9 |
设备通过HACA服务器下线时,服务器不需要响应;如果是计费用户,设备需要携带计费信息。 |
下线请求报文 |
11 |
设备主动触发用户下线时,由设备发送下线请求报文给HACA服务器将指定用户下线;HACA服务器触发用户下线时,发送该消息通知设备将指定用户下线。 |
下线请求响应报文 |
12 |
设备主动触发用户下线时,HACA服务器对设备发送的下线请求报文的响应报文;HACA服务器触发用户下线时,设备对服务器发送的下线请求报文的响应报文,同时释放相关授权表项。 |
用户同步请求报文 |
13 |
用于解决HACA服务器与设备之间由于异常导致用户信息不一致,通过周期性同步,保证设备与HACA服务器上用户信息的一致性。设备触发的HACA用户同步功能,由设备向HACA服务器发送同步用户请求;HACA服务器触发HACA用户同步功能时,由服务器向设备发送同步用户请求。 |
用户同步响应报文 |
14 |
设备触发的HACA用户同步功能时,HACA服务器对设备发送的用户同步请求报文的响应报文;HACA服务器触发HACA用户同步功能时,设备对服务器发送的用户同步请求报文的响应报文。 |
动态授权请求报文 |
15 |
当管理员需要更改某个在线用户的权限时(例如,管理员不希望用户访问某个网站),可以通过HACA服务器发送一个动态授权请求报文给设备,使设备修改在线用户的权限。 |
动态授权响应报文 |
16 |
如果设备成功更改了用户的权限,则设备回应动态授权响应报文给HACA服务器。 |
HACA认证流程
iMaster NCE-Campus作为HACA服务器部署在云端实现外置Portal服务器以及认证计费服务器。交换机作为用户的认证点,与HACA服务器完成用户认证上线功能。用户的授权信息由HACA服务器指定,用户认证通过后,HACA服务器会授予用户访问网络访问权限。HACA认证、授权、计费流程如图1-26所示。
- 设备与HACA服务器通过HTTP 2.0协议与HACA服务器建立长连接并注册设备信息。
- 在认证之前客户端与设备之间建立起预连接。
- 客户端通过HTTP协议发起认证请求。HACA服务器提供Web页面供用户输入用户名和密码来进行认证。
- 接入设备与HACA服务器之间进行认证报文的交互。
- 用户认证成功后,HACA服务器主动发送授权报文授予用户网络访问权限。
- 用户开始访问网络后,接入设备向HACA服务器发送计费开始请求报文。
- HACA服务器向接入设备发送计费开始响应报文,并开始计费。
- (可选)在使能实时计费功能的情况下,接入设备会定时向HACA服务器发送实时计费请求报文,以避免因付费用户异常下线导致的不合理计费。
- (可选)HACA服务器返回实时计费响应报文,并实时计费。
- 用户发起下线请求。
- HACA服务器向接入设备发送用户下线请求报文。
- 接入设备向HACA服务器返回用户下线响应报文。
- 接入设备向HACA服务器提交计费结束请求报文。
- HACA服务器返回计费结束响应报文,并停止计费。