Agile Controller介绍
AC-Campus是做什么的:
基于用户与应用的网络资源自动化控制系统,作为园区网络的集中化控制核心,全局控制园区网络的用户、业务与安全等策略。
AC应用场景:
- 传统园区有线无线一体化接入
- 敏捷园区接入
- 公共场所无线接入
AC的功能特性:
准入控制(接入管理)
支持多种认证方式,可基于用户/用户组,接入时间,接入地点,接入终端,终端类型、接入方式等多种条件对接入终端进行精细化授权。
访客管理
提供访客账号自助户厕管理,支持Portal页面内容自定义和页面推送。
提供全生命周期的访客帐号管理,支持与第三方社交媒体帐号联动,
实现访客通过社交媒体帐号直接接入网络。终端安全
对接入网络的用户终端强制实施企业安全策略,提供终端健康检查、软件分发、补丁管理、资产管理等功能,保障企业网络安全。
业务随行
实现全网策略的统一部署与自动同步,确保全网策略一致,让用户自由移动时享受一致的业务体验。
业务编排
不受设备物理位置影响灵活编排业务流,集中利用业务设备,提高设
备利用率。安全协防
收集安全日志与事件,通过大数据关联分析,识别高危资产和区域,评估全网安全态势,帮助用户实施全网防护和主动防御。
AC的产品架构:
Agile Controller-Campus系统包括:管理中心(Management Center,简称MC)、业务管理器(Service Manager,简称SM)、业务控制器(Service Controller,简称SC)以及客户端,网络接入设备(Network Access Device,简称NAD)作为方案的组成部分与业务控制器联动实现基于用户的接入控制和业务随行。
管理中心 Management Center(MC)
MC在分级管理部署时使用,作为Agile Controller-Campus系统的管理中心。负责制定准入控制的总体策略(包括:安全接入控制、终端安全管理、补丁管理、软件分发和License管理),并将这些策略下发给下级节点,同时对下级节点实施情况进行监控。
业务管理器 Service Manager(SM)
SM承担业务管理的角色,向已经连接的SC发送实施指令,完成各种业务配置。系统管理员通过WEB管理界面,完成用户管理、准入控制、业务随行策略配置等管理工作。
业务控制器 Service Controller(SC)
SC集成有标准的RADIUS服务器、Portal服务器等,负责与网络接入设备联动实现基于用户的网络访问控制策略。
网络接入设备 Network Access Device(NAD)
Agile Controller-Campus与NAD系统配合,为企业提供网络接入控制功能和访客管理功能。 Agile Controller-Campus系统支持多种类型的网络接入控制设备,包括WLAN的AC/AP设备、华为的Portal交换机、通用的标准802.1X交换机,以及华为的网络接入控制网关(简称SACG)。
客户端
Agile Controller-Campus系统提供专用的认证客户端(仅支持在Windows操作系统使用),同时也支持使用标准802.1X客户端或主流浏览器进行认证。
AC的准入控制
什么是准入控制:
准入控制是指出于网络安全考虑对尝试接入网络的用户进行认证和授权,确保只有身份合法并且符合条件的用户才允许接入网络。
智慧的大脑—5W1H:
- Who:谁接入了网络(员工、访客)
- When:什么时间接入(上班时间、下班时间)
- Where:在什么地方接入(研发区、非研发区、家里)
- Whose:谁的设备(公司设备、自己设备)
- What:什么设备接入(PC、iOS、Android)
- How:如何接入(有线、无线、VPN)
授权规则:
准入控制中,核心是授权条件和授权结果,授权条件是接入网络的主体(人、终端),与一些接入元素(地点、时间、接入方 式等)的组合,授权结果是指在设备上通过什么样的方式控制用户接入的策略。
四种准入控制技术对比:
认证方案 | 简介 | 特点 | 适用场景 |
---|---|---|---|
802.1X | 基于终端身份在局域网实现网络访问授权的解决方案 | 优点:可实现二层隔离,安全性高,广泛应用于园区网员工接入缺点:需要安装客户端;认证点多,维护较复杂支持的客户端类型:AnyOffice、操作系统自带的802.1X客户端支持的接入控制设备:华为交换机/AC,支持标准RADIUS协议的第三方交换机 | 大、中、小型园区,网络安全要求严格 |
Portal | 也称为Web认证,用户通过在Web认证页面输入帐号密码进行认证,获得网络访问权限 | 优点:无需安装客户端,直接通过Web认证,广泛应用于园区网访客接入缺点:安全性低支持的客户端类型:Web、AnyOffice、Web Agent支持的接入控制设备:华为交换机/AC,支持CMCC Portal的第三方设备 | 主要用于无需客户端认证的场景 |
MAC认证 | 终端以MAC地址作为身份凭据进行身份认证,获取网络访问权限 | 优点:无需用户输入帐号密码,通过MAC地址自动完成认证,主要用于IP电话、打印机、摄像头等哑终端接入缺点:安全性低,需要登记MAC地址,管理复杂支持的客户端类型:无需客户端支持的接入控制设备:华为交换机/AC,支持标准RADIUS协议的第三方交换机 | 主要用于IP电话、打印机等哑终端设备 |
SACG | 使用防火墙作为接入控制设备,基于终端的身份和安全状况控制终端访问网络的权限 | 优点:认证控制点(防火墙)一般位于数据中心或网络出口位置,方便维护,设备有逃生通道,一般用于大中型企业缺点:安全性相对于802.1X低,只能用于有线接入支持的客户端类型:Web、AnyOffice、Web Agent支持的接入控制设备:USG/Eudemon中低端防火墙 | 一般用于大中型企业 |
各认证方式原理可参考如下详细介绍:
参考文档:华为HedEx文档