- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- BOB登陆 人才研學中心
- 關於我們
在客戶端形式多樣的網絡環境中,客戶端能適應的接入認證方式也有所不同,如圖 1所示,有的客戶端隻能進行MAC地址認證(比如打印機終端);有的主機安裝了802.1X客戶端軟件,可以進行802.1X認證;有的用戶主機未安裝802.1X客戶端軟件,隻能通過Web訪問進行Portal認證。為了靈活地適應這種網絡環境中的多種認證需求,需要在接入用戶的端口上對三種認證方式進行統一部署,使得用戶可以選擇任何一種適合的認證機製來進行認證,且隻需要一次認證成功即可實現接入,無需多次認證。
圖 1 Triple認證典型應用組網圖
Triple認證方案可滿足以上需求,通過同時在設備的二層端口上使能Portal認證、MAC地址認證、802.1X認證,使得客戶端可以通過三種認證方式中的任意一種進行認證,且隻要客戶端通過任何一種認證即可接入網絡,而其它認證方式下的認證過程將被中斷。
在同時使能了三種認證方式的端口上,三種認證方式的觸發機製有所不同:
l 客戶端啟動時或者客戶端網卡接入網絡時首先觸發MAC地址認證,若MAC地址認證成功,則後續無需其它認證;如若MAC地址認證失敗,則後續可以觸發802.1X或者Portal認證。
l 如果客戶端使用係統自帶的802.1X客戶端或者第三方客戶端軟件發送EAP報文,則觸發802.1X認證。
l 如果客戶端發送HTTP報文,則觸發Portal認證。
在客戶端通過一種認證之前,其它同時進行的認證過程都不會被停止,而且某一種認證方式的失敗也不會影響同時進行的其它認證過程。
客戶端通過某一種認證後,後續端口上采用的認證策略如下:
l 同時進行的其它認證立即被中止。
l 客戶端通過802.1X認證或者Portal認證後,不會再觸發其它認證。
l 客戶端通過MAC地址認證後,不會再觸發Portal認證,但可允許觸發802.1X認證。後生成的802.1X認證用戶信息會覆蓋已存在的MAC地址認證用戶信息。
目前,在同時使能了三種認證方式的端口上,還支持以下擴展功能。
當用戶通過認證後,如果授權服務器上配置了下發VLAN功能,那麼服務器會將授權VLAN信息下發給接入設備,由接入設備將認證成功的用戶加入對應的授權VLAN中。
通過支持下發授權VLAN,可實現對已認證用戶可訪問網絡資源的控製
Auth-Fail功能允許用戶在認證失敗的情況下,可以訪問某一特定VLAN中的資源,比如獲取客戶端軟件,升級客戶端或執行其他一些用戶升級程序。這個VLAN稱之為Auth-Fail VLAN。
如果接入用戶的端口上配置了Auth-Fail VLAN,則端口上會基於認證失敗的MAC地址生成相應的MAC VLAN表項,認證失敗的用戶將會被加入Auth-Fail VLAN中。
l 對於802.1X和Portal用戶,認證失敗的VLAN為端口上配置Auth-Fail VLAN。
l 對於MAC地址認證用戶,認證失敗的VLAN為端口上配置的Guest VLAN。
l 對於Portal用戶,通過開啟流量探測定時器(默認為5分鍾)來探測用戶是否在線;
l 對於802.1X認證用戶,通過開啟端口上的在線用戶握手功能或者重認證功能來探測用戶是否在線,探測時間間隔可配置;
l 對於MAC認證用戶,通過開啟下線檢測定時器,來探測用戶是否在線,檢測時間間隔可配置。
圖 2 Triple認證基本功能配置組網圖
l 使用遠程RADIUS服務器對用戶進行認證、授權和計費;
l 在接入設備的二層端口上對所有用戶進行統一認證,且隻要用戶通過802.1X認證、Portal認證、MAC地址認證中的任何一種認證,即可接入網絡。
圖 3 Triple認證配合授權VLAN下發及Auth-Fail VLAN功能配置組網圖
l 客戶端動態獲取IP地址;(DHCP服務器可由接入設備充當也可外置,本應用中由接入設備提供DHCP服務)
l 使用遠程RADIUS服務器對用戶進行認證、授權和計費;
l 在接入設備的二層端口上對所有用戶進行統一認證,且隻要用戶通過802.1X認證、Portal認證、MAC地址認證中的任何一種認證,即可接入網絡;
l 認證成功的用戶可被授權加入VLAN 3;
l 認證失敗的用戶將被加入VLAN 2,允許訪問其中的Update服務器資源。
售前谘詢
售後谘詢
人工在線谘詢
