创建用户接入认证模板
NAC(Network Admission Control,网络接入控制)是园区对内网终端进行准入控制的常用功能,对园区网络重要性不言而喻。NAC在园区网络中定义了认证控制点设备,负责与准入服务器进行不同认证方式的报文交互,根据认证授权结果控制终端接入网络。因此,认证控制点设备的下行用户侧端口需要绑定认证模板,指定接入认证方式、准入服务器地址等。其中,对于无线用户接入来说,可以理解SSID作为WAC在用户侧的“无线端口”。
Fabric配置的接入点资源池,主要即是在认证控制点端口进行上述配置。用户接入认证模板需要提前创建,如图5-2所示,主要需要创建如下模板。
RADIUS服务器模板
主要包含RADIUS服务器地址等信息。推荐采用iMaster NCE-Campus内置的RADIUS服务器组件,无需额外部署RADIUS服务器,简化了网络运维管理,在创建RADIUS服务器模板时可选择。
Portal服务器模板
主要包含Portal服务器地址和URL等信息。推荐采用iMaster NCE-Campus内置的Portal服务器组件,无需额外部署Portal服务器,简化了网络运维管理,在创建Portal服务器模板时可选择。
认证模板
主要包含接入认证方式、绑定的准入服务器模板等信息。认证模板中可以包含一种或者多种认证方式,如果将包含有多种认证方式的认证模板绑定到有线接入端口或者无线SSID上,缺省情况下,用户终端使用任意认证方式,只要认证成功,均可以接入网络,被称为混合认证。
混合认证很大程度上提升了终端接入的灵活性,当终端接入认证方式发生变化时,也不需要重新配置认证控制点,其缺点就是可能会影响接入认证速度和安全性。比如有线接入端口绑定了802.1X+MAC认证模板,采用802.1X认证的终端可能会因为先上送ARP报文触发MAC认证,MAC认证失败后再进行802.1X认证,而且MAC认证比802.1X认证安全性要低,非法终端可以仿冒MAC地址接入园区网络。
有线接入端口或者无线SSID绑定什么样的认证模板,需要基于不同组网场景中接入的终端类型,综合考虑灵活性、安全性和接入效率。如图5-3所示,分布式网关方案中,由于绑定认证模板的接入端口在汇聚交换机,所以有线终端需要考虑是否从同一汇聚交换机端口进行接入认证。
- 推荐在做终端接入规划时,员工终端与哑终端、访客终端不从同一汇聚交换机端口或者SSID接入,然后:
- 推荐规划仅包含802.1X认证方式的认证模板,用于员工终端接入的汇聚交换机端口或者SSID绑定,可保证更高的接入安全性。
- 推荐规划包含Portal+MAC认证方式的认证模板,用于哑终端或者访客终端接入的汇聚交换机端口或者SSID绑定,其接入安全性要求较低,采用混合认证模板可保证更高的接入灵活性。
- 如果哑终端和员工终端需要从同一汇聚交换机端口接入,接入端口需要绑定802.1X+MAC的认证模板,为了保证网络接入的安全性,推荐在iMaster NCE-Campus添加哑终端的MAC账号时,绑定终端的IP地址或者接入设备位置。
