021-52821171
園區交換機新技術——iConnect
發布時間:2024-05-23
iConnect是智簡園區網絡解決方案中(zhōng)網絡層的生(shēng)态名稱,通過iConnect可實現物(wù)聯網終端的即插即用和接入安全。
面向物(wù)聯終端,提升部署效率
在智簡園區場景中(zhōng),物(wù)聯網絡如樓宇自動化BA(Building Automation)建設早于園區網絡的部署,因此,需要園區網絡支持物(wù)聯網絡的局部測試。部分(fēn)物(wù)聯設備,如門禁、空調聯網溫控等沒有網絡操作界面,對物(wù)聯設備安裝調試人員(yuán)的要求比較高;物(wù)聯設備接入網絡後還存在很多安全隐患,如門禁、閘機、攝像頭等容易受到攻擊、仿冒,因此物(wù)聯終端還需要通過網絡進行數字證書(shū)申請和下(xià)發,操作比較複雜(zá)。iConnect的出現,很好的解決了上述問題。
使用iConnect的物(wù)聯網終端也被稱爲iConnect終端。iConnect可以創建一(yī)個帶有iConnect标識的SSID,iConnect終端自動關聯該SSID,并實現終端的即插即用;iConnect終端還可自動申請并加載數字證書(shū),無需在終端上人工(gōng)導入數字證書(shū),從而簡化安裝配置,提升部署效率。
iConnect應用場景
無線終端通過AP接入網絡。SwitchA爲接入交換機,SwitchB支持随闆AC功能,iConnect終端和其他類型的終端(即圖中(zhōng)的STA)同時接入網絡。用戶希望網絡規劃滿足如下(xià)要求:
  • 無線終端的IP地址通過DHCP服務器動态分(fēn)配。
  • iConnect終端進行免認證授權,STA使用Portal認證。

圖片

iConnect終端免認證組網圖

iConnect工(gōng)作模式

 

iConnect電子身份信息

iConnect-URL是在MUD-URL的基礎上做了擴展定義。
MUD全稱Manufacture Usage Description Specification,是RFC 8520定義的一(yī)種終端标識自己身份和對網絡功能的訴求的方法。初期設計用于網絡訪問控制,後面逐步應用于其它領域。同時RFC定義了一(yī)種MUD-URL,網絡訪問這個MUD-URL獲取到MUD描述文件,并根據該文件獲取終端的身份和網絡功能訴求,繼而給終端開(kāi)通相應的網絡權限。

iConnect終端本地認證

管理員(yuán)爲管理和控制不攜帶iConnect信息的終端而在設備上配置NAC功能,但對iConnect終端沒有管理控制的要求,僅需要iConnect終端能接入網絡。此時,可以在設備上使能iConnect終端不認證即上線功能。使能該功能後,設備識别出的iConnect終端不認證就可以上線。

圖片

iConnect終端本地認證流程

  • 無線iConnect終端關聯SSID,接入無線網絡。該SSID爲iConnect引導SSID。
  • AP将iConnect終端的身份信息(即iConnect-URL)通過CAPWAP報文發送到設備。
  • 設備根據身份信息判斷該用戶爲iConnect終端,同時設備已經配置iConnect終端不認證即上線功能,則保持該用戶在線。否則,若用戶沒有攜帶iConnect終端身份信息,或者設備沒有配置iConnect終端不認證即上線功能,則用戶需要完成非iConnect終端的認證流程。

iConnect終端RADIUS認證

如果管理員(yuán)未在設備上開(kāi)啓iConnect終端不認證即上線功能,則可以進行iConnect終端RADIUS認證。
iConnect終端的電子身份信息由RADIUS報文(華爲RADIUS擴展屬性26-202)攜帶至RADIUS服務器。
RADIUS服務器根據該信息識别終端是否爲iConnect終端。如果該終端屬于iConnect終端,則RADIUS服務器根據用戶賬号查詢對應的授權策略,并将授權策略封裝到認證回應報文中(zhōng)。針對iConnect終端,建議同時配置重定向功能有關的RADIUS屬性(例如HW-Redirect-ACL或者HW-Portal-URL),從而使iConnect終端在認證成功并訪問網絡後被重定向到URL地址并下(xià)載EAP-TLS證書(shū),最終觸發EAP-TLS認證。

 

圖片

iConnect無線終端RADIUS認證流程

  • 無線iConnect終端關聯SSID,接入無線網絡。該SSID爲iConnect引導SSID。

  • AP将iConnect終端的身份信息(即iConnect-URL)通過CAPWAP報文發送到設備。

  • 設備向RADIUS服務器發送RADIUS認證請求報文,認證請求報文中(zhōng)攜帶終端身份信息。

  • RADIUS服務器通過RADIUS屬性HW-MUD-URL攜帶的終端身份信息識别該用戶爲iConnect終端,同時RADIUS服務器根據賬号查詢該用戶的授權策略(例如RADIUS屬性HW-Redirect-ACL)封裝并發送認證回應報文。

  • 設備按照認證回應報文中(zhōng)的授權策略對用戶進行授權,因此在認證成功後下(xià)發重定向策略。

  • 終端被重定向到URL地址(一(yī)般是RADIUS服務器提供的Portal頁面的地址)下(xià)載數字證書(shū),并在加載該證書(shū)後完成EAP-TLS認證。

上一(yī)篇:深化合作!龍由信息獲頒華爲政企四項大(dà)獎 下(xià)一(yī)篇:園區交換機新技術——終端防仿冒

返回列表