• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

分层AC组网+集中认证的过程是怎样的?

  • 0关注
  • 0收藏,1033浏览
粉丝:0人 关注:0人

问题描述:

分层AC的组网情况下,总部和分支都是使用本地转发,现在分支无线用户需要到总部IMC去做802.1x和portal认证,请问下这个认证过程是怎样的?有没有相关技术原理文档可以提供

组网及组网描述:

总部AC——总部核心——专线——分支汇聚——分支AC——POE——AP——STA

最佳答案

粉丝:146人 关注:1人

总部和分支都是使用本地转发,现在分支无线用户需要到总部 IMC 去做 802.1x 和 portal 认证的信息。根据我的搜索结果,有以下几点:

如果分支无线用户需要到总部 IMC 去做 802.1x 和 portal 认证,那么认证过程大致如下:

  • 分支无线用户通过 AP 接入无线网络,并发送认证请求到接入层 AC。
  • 接入层 AC 将认证请求转发到核心层 AC,并附上 AP 的位置信息。
  • 核心层 AC 将认证请求转发到 IMC 服务器,并附上 AP 的位置信息。
  • IMC 服务器根据用户的身份信息和 AP 的位置信息进行认证和授权,并将认证结果和授权策略返回给核心层 AC。
  • 核心层 AC 将认证结果和授权策略返回给接入层 AC,并通知其执行相应的策略。
  • 接入层 AC 将认证结果返回给无线用户,并执行相应的策略。

相关技术原理文档可以参考以下链接:

1: https://www.h3c.com/cn/d_202201/1529821_30005_0.htm 2: https://www.h3c.com/cn/d_202201/1529778_30005_0.htm 3: https://www.h3c.com/cn/Products_And_Solution/Network_Management/Products/iMC/

希望这些信息对你有用。😊

暂无评论

1 个回答
已采纳
粉丝:227人 关注:8人

参考x技术白皮书:


1.1.1  分层AC架构

分层AC组网由Central AC、Local AC和AP组成,Central AC负责整个无线网络的管理,Local AC负责AP的接入并转发数据流量。

分层AC架构使用以下两种通道来实现AP的集中管理:

·     Central AC与Local AC建立管理通道。

Central AC与Local AC之间通过建立管理通道,实现网络配置及用户信息的自动同步和管理。

·     AP与Local AC建立CAPWAP隧道。

当AP与Local AC建立CAPWAP隧道连接后,Local AC会将相关配置下发给AP,实现配置自动同步。

图1-1 分层AC架构示意图

1.1.2  分层AC的AP管理

图1-2所示,AP加入分层AC网络的过程如下:

(1)     Central AC与各Local AC间建立管理通道;

(2)     AP向Central AC发送Discovery request报文;

(3)     Central AC收到Discovery request报文后,根据当前各Local AC的负载情况,选择当前负载最轻的Local AC,在向AP回复的Discovery response报文中携带指定Local AC的IP地址;

(4)     AP收到Discovery response报文,根据报文中携带的Local AC的IP地址,向Local AC重新发送Discovery request报文,与Local AC建立隧道连接。AP与Local AC建立隧道的过程中,Local AC会向Central AC查询该AP是否为合法AP(该AP为手工AP或Central AC上开启了自动AP功能),若该AP为合法AP,Central AC会将AP配置下发到Local AC,若AP不是合法AP,则AP连接失败。有关手工AP及自动AP的详细介绍,请参见“AP管理配置指导”中的“AP管理”;

(5)     AP与Local AC之间的CAPWAP隧道建立成功后,Local AC会通知Central AC该AP上线成功,并通过管理通道将AP及客户端的状态上报至Central AC。

(6)     Central AC根据Local AC上报的信息来管理AP及客户端。

图1-2 AP与Local AC建立CAPWAP隧道过程

1.1.3  数据转发

在分层AC架构中,数据转发方式与传统AC+Fit AP架构相同,既可以在Local AC上进行数据转发,也可以在AP进行数据转发。

有关数据转发位置的详细介绍,请参见“WLAN接入配置指导”中的“WLAN接入”。

1.1.4  漫游

分层AC架构下的漫游方式取决于用户的接入认证位置。

·     当WLAN用户接入认证位置为Local AC时,漫游方式与传统AC+Fit AP架构相同,既可以在Local AC内进行漫游,也可以在Local AC间进行漫游;

·     当WLAN用户接入认证位置为Central AC,客户端初始上线时,Central AC和客户端关联的Local AC上会同时创建客户端漫游表项,Local AC可以根据该漫游表项信息实现客户端Local AC内或者Local AC间漫游。

有关WLAN用户接入认证位置的详细介绍,请参见“用户接入与认证配置指导”中的“WLAN用户接入认证”。有关漫游的详细介绍,请参见“WLAN漫游配置指导”中的“WLAN漫游”。

1.1.5  管理权限

在分层AC架构下,可以为Central AC和Local AC的管理员提供不同的管理权限,通过配置地区标识实现对不同地域和级别管理员的权限划分,用户可以在设备的如下配置项上标记不同的地区标识:

·     无线服务模板:该标识定义了管理员可管理的无线服务模板。

·     AP组:该标识定义了管理员可管理的AP组。

·     RRM保持调整组:该标识定义了管理员可管理的RRM保持调整组。

例如,地区A的管理员只能管理地区A的无线服务模板;地区B的管理员只能管理地区B的无线服务模板;超级管理员可管理地区A和地区B的无线服务模板。

设备上存在一个名称为default-location的默认地区标识,标记该标识的配置项可被所有管理员管理。管理员新建的配置项会标记默认地区标识,且该标识不能被删除。

在Web页面上,系统将根据管理员身份过滤配置项,管理员只能查看并管理与用户角色的地区标识相同的配置项和标记了default-location的配置项。




暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明