什么是AC

Agile Controller:敏健控制器。基于用户与应用的网络资源自动化控制系统,作为园区网络的集中化控制核心,全局控制园区网络的用户、业务与安全等策略。

Agile Controller-Campus:主要面向企业做接入管理( 园区网),园区智慧的大脑

Agile Controller-DCN:做控制器(用于数据中心和云计算中心)

区别AC(Access Controller):无线控制点

最新升级设备iMaster NCE

iMaster NCE-Campus ----------------安全、数通、无线使用控制器

iMaster NCE-Campus insight ---------分析器

iMaster NCE-Fabric

iMaster NCE-WAN

主要功能

接入控制

支持多种认证方式,可基于用户/用户组,接入时间,接入地点,接入终端,终端类型、接入方式等多种条件对接入终端进行精细化授权。

mac认证:用户终端以mac地址作为身份凭据到认证服务器进行认证。主要用于ip电话、打印机等哑终端设备。

802.1x认证:使用eap认证协议实现客户端、设备端和认证服务器之间信息的交换。可与华为全系列交换机、路由器及wlan设备以及第三方标准802.1x交换机联动。

portal认证:也称为web认证,用户可以通过web认证页面,输入用户账号信息,实现对终端用户身份的认证,可与华为全系列交换机、路由器及wlan设备联动。

sacg认证:采用usg防火墙旁挂在路由器或者交换机,通过策略路由控制终端访问。

全生命周期访客管理

注册:员工自助申请

审批:自动审批、管理员审批、接待人审批

分发:手机SMS、Email、Web

认证:用户名/密码认证、passcode认证、vlan/acl权限认证、L3层GRE认证

审计及注销:用户上下线审计、上网行为审计、到期后自动注销、定时清理账号

业务随行

实现全网策略的统一部署与自动同步,确保全网策略一致,让用户自由移动时享受一致的业务体验。

业务编排

将原来物理设备的能力,抽象成虚拟服务概念,对用户屏蔽具体的物理形态和位置,针对具体的业务,引流至这些业务的需要处理的服务结点。

安全协防

通过收集各种安全日志与事件,通过大数据关联分析,识别高危资产和区域,评估全网安全态势,帮助用户实施全网防护和主动防御。

终端安全加固与桌面管理及防泄密一体化

终端安全加固:防病毒检查、可疑进程/注册项、补丁管理、安全加固。

桌面管理:软件分发+资产管理+远程协助

终端防泄密:移动存储管理+网络访问监控+非法外联监控+文件操作审计

AC架构组成

MC

管理中心.MC在分级管理部署时使用,作为Agile Controller-Campus系统的管理中心。负责制定准入控制的总体策略(包括:安全接入控制、终端安全管理、补丁管理、软件分发和License管理),并将这些策略下发给下级节点,同时对下级节点实施情况进行监控。

SM

业务管理器.SM承担业务管理的角色,向已经连接的SC发送实施指令,完成各种业务配置。系统管理员通过WEB管理界面,完成用户管理、准入控制、业务随行策略配置等管理工作。

SC

业务控制器.SC集成有标准的RADIUS服务器、Portal服务器等,负责与网络接入设备联动实现基于用户的网络访问控制策略。

NAD

网络接入设备Network Access Device.Agile Controller-Campus与NAD系统配合,为企业提供网络接入控制功能和访客管理功能。 Agile Controller-Campus系统支持多种类型的网络接入控制设备,包括WLAN的AC/AP设备、华为的Portal交换机、通用的标准802.1X交换机,以及华为的网络接入控制网关(简称SACG)。

客户端

Agile Controller-Campus系统提供专用的认证客户端(仅支持在Windows操作系统使用),同时也支持使用标准802.1X客户端或主流浏览器进行认证。

安装方式

预安装

预装发货的服务器已经完成配套组件安装,用户只需要根据实际组网进行参数修改和初始化操作即可使用。修改参数主要包括:

操作系统参数

数据库参数

初始化Agile Controller-Campus

windows平台预安装流程

开始-------修改windows操作系统参数------修改sql server参数--------初始化Agile Controller-Campus----(可选)配置数据库镜像---------结束

SUSE平台预安装流程

开始------修改SUSE操作系统参数-------修改Oracle数据库参数---------初始化Agile Controller-Campus----结束

自行安装(企业部署)

服务器 Windows server 2016 SQL Server 2016

操作系统打加固补丁

数据库打加固补丁

安装SM&SC

登录:https:// AC地址:8443

默认账号和密码:admin Changeme123

修改密码Huawei@123

AC准入控制主要技术

准入控制指出于网络安全考虑对尝试接入网络的用户进行认证和授权,确保只有身份合法并符合条件的用户才允许接入网络。准入技术主要有mac认证、802.1x、sacg准入、portal准入技术等,但是注意:RADIUS不是准入控制技术,而是一个协议,在802.1x认证、mac认证、portal认证中有一段会用到eapol技术,所以会用到radius协议。并且sacg技术不会涉及到radius协议。

MAC认证

终端以MAC地址作为身份凭据进行身份认证,获取网络访问权限

优点:无需用户输入帐号密码,通过MAC地址自动完成认证,主要用于IP电话、打印机、摄像头等哑终端接入

缺点:安全性低,需要登记MAC地址,管理复杂

支持的客户端类型:无需客户端

支持的接入控制设备:华为交换机/AC,支持标准RADIUS协议的第三方交换机

场景:主要用于IP电话、打印机等哑终端设备

Portal认证

也称为Web认证,用户通过在Web认证页面输入帐号密码进行认证,获得网络访问权限

优点:无需安装客户端,直接通过Web认证,广泛应用于园区网访客接入

缺点:安全性低

支持的客户端类型:Web、AnyOffice、Web Agent

支持的接入控制设备:华为交换机/AC,支持CMCC Portal的第三方设备

场景:主要用于无需客户端认证的场景

802.1x认证

基于终端身份在局域网实现网络访问授权的解决方案

优点:可实现二层隔离,安全性高,广泛应用于园区网员工接入

缺点:需要安装客户端;认证点多,维护较复杂

支持的客户端类型:AnyOffice、操作系统自带的802.1X客户端

支持的接入控制设备:华为交换机/AC,支持标准RADIUS协议的第三方交换机

场景:大、中、小型园区,网络安全要求严格

SACG准入

采用USG防火墙旁挂在路由器或者交换机,通过策略路由控制终端访问。使用防火墙作为接入控制设备,基于终端的身份和安全状况控制终端访问网络的权限

优点:认证控制点(防火墙)一般位于数据中心或网络出口位置,方便维护,设备有逃生通道,一般用于大中型企业

缺点:安全性相对于802.1X低,只能用于有线接入

支持的客户端类型:Web、AnyOffice、Web Agent

支持的接入控制设备:USG/Eudemon中低端防火墙

场景:一般用于大中型企业

华为AgileController希望通过5W1H的方式打造更加智慧的准入控制方案

who:谁接入了网络(员工、访客)

when:什么时候接入(上班时间、下班时间)

where:在什么地方接入(研发区、非研发区、家里)

whose:谁的设备(公司设备、自己设备)

what:什么设备接入(Windows、IOS、Android)

how:如何接入(有线、无线、虚拟私有网络)

为了定义5W1H,就会涉及到准入授权规则。

AC准入授权规则

ac中授权规则相比传统aaa而言非常丰富,主要需要考虑授权条件和授权结果。授权条件是需要授权的实体的自身属性的组合,授权结果是指需要授权的设备接入授权设备的方式。

HCIE-Security Day44:AC产品概述、功能、架构组成、AC准入主要技术、RADIUS协议_安全

vlan:适用于不同级别的资源划分在相同的vlan的场景

动态acl:适用于

acl:部署简单,不需要调整网络即可通过acl规则达到准入控制的目的

安全组:配合敏捷交换机实现业务随行的场景

带宽:用于认证完成后的qos控制

radius属性:用于通过自定义radius属性下发授权信息

radius协议

概述

remote authentication dial-in user service。远程认证拨号用户服务。目前应用最广泛的AAA协议。是一种分布式的、C/S结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。

在ac准入控制技术中,mac认证、portal 认证、802.1x认证都需要用到radius协议。所以我们必须对radius协议进行学习。

C/S架构:client端可以是运行radius客户端软件的计算机,也可以是nas服务器(net access server)

认证机制灵活:可采用pap、chap等多种方式

交互信息安全:cs之间的交互是通过共享密钥来进行相互认证的,共享密钥不会通过网络传送。

可拓展:基于tlv架构,支持厂商扩充其自身专有属性。RFC使用26代表厂商扩展,华为使用2011表示

基于UDP:因为NAS和radius服务器大多数处于同一局域网中, 使用udp更加快捷方便

国际标准 :华为使用

1812 ----------------用于认证authentication和授权auththorization

1813 ----------------用于计费accounting

早期标准:思科使用

1645 ----------------用于认证authentication和授权auththorization

1646 ----------------用于计费accounting

目的

为什么要把传统的AAA认证即本地认证升级到基于radius的AAA认证呢?

如果网络中有路由器、交换机、防火墙、ac等设备,在接入用户较少的情况下,我们可以在每一个设备上配置本地AAA,可以实现安全可控接入的需求。但是一旦接入用户较多,就产生了问题,第一设备本身的内存容量有限,难以配置成千上万的用户信息,第二配置量极大,且由于用户走留产生的信息更新量也很难短时间内完成更新,给网络管理带来难度。所以通过配置一个专门用来进行认证的服务器,存储并更新用户的信息,用户接入设备时设备将用户的信息转发到这个服务器进行验证,服务器通过比对这些信息和数据库中存储的信息,决定用户是否可接入,并将意见返回给设备,设备从而决定是否允许该用户接入。radius协议就是定义了接入设备和服务器之间的信息交互方式,而且把这个服务器叫做radius服务器。

工作流程

设备作为RADIUS客户端,负责收集用户信息(例如:用户名、密码等),并将这些信息发送到RADIUS服务器。RADIUS服务器则根据这些信息完成用户身份认证以及认证通过后的用户授权和计费。

HCIE-Security Day44:AC产品概述、功能、架构组成、AC准入主要技术、RADIUS协议_认证_02

  1. 当用户接入网络时,用户发起连接请求,向RADIUS客户端(即设备)发送用户名和密码。
  2. RADIUS客户端向RADIUS服务器发送包含用户名和密码信息的认证请求报文。
  3. RADIUS服务器对用户身份的合法性进行检验。如果用户身份合法,RADIUS服务器向RADIUS客户端返回认证接受报文,允许用户进行下一步动作。由于RADIUS协议合并了认证和授权的过程,因此认证接受报文中也包含了用户的授权信息。如果用户身份不合法,RADIUS服务器向RADIUS客户端返回认证拒绝报文,拒绝用户访问接入网络。
  4. RADIUS客户端通知用户认证是否成功。
  5. RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入,则RADIUS客户端向RADIUS服务器发送计费开始请求报文。
  6. RADIUS服务器返回计费开始响应报文,并开始计费。
  7. 用户开始访问网络资源。
  8. (可选)在使能实时计费功能的情况下,RADIUS客户端会定时向RADIUS服务器发送实时计费请求报文,以避免因付费用户异常下线导致的不合理计费。
  9. (可选)RADIUS服务器返回实时计费响应报文,并实时计费。
  10. 用户发起下线请求,请求停止访问网络资源。
  11. RADIUS客户端向RADIUS服务器提交计费结束请求报文。
  12. RADIUS服务器返回计费结束响应报文,并停止计费。
  13. RADIUS客户端通知用户访问结束,用户结束访问网络资源。

注意:认证和授权是同步进行的,所以没有单独写出来,并且他们也使用同一个端口号1812