极简网络之集中认证原理解析

极简网络是面向下一代园区网络设计的解决方案，目的是帮助客户解决长期存在于传统网络中的诸多问题，例如运维管理工作复杂，终端用户体验保障不足，新业务部署进展缓慢等问题。极简网络通过部署超强能力的核心认证网关设备，能够实现全网用户集中认证，用户间安全隔离，非核心层设备零维护，用户快速上线且稳定在线等诸多功能，彻底解决传统园区网方案中的诸多不足。集中认证方式相比于传统园区网解决方案的分布式认证，能够提供更加简化的组网模式，用户认证集中在网络核心层，非核心层设备无需支持安全认证功能，而且能够提供每秒千人的认证速率，保证用户的极致体验。根据客户实际应用场景，极简网络方案可以提供三种主流的集中认证方式，即802.1X认证，Web认证，MAC认证。

第一种认证方式：802.1X集中认证

1、认证流程

2、认证流程说明

1) 客户端：对应锐捷的RG-SU认证客户端。

2) NAS：根据客户端当前的认证状态控制其与网络的连接状态。在客户端与服务器之间，该设备扮演着中介者的角色：从客户端要求用户名，核实从服务器端的认证信息，并且转发给客户端。

3) Radius Server：对应锐捷的SAM认证计费系统，该系统为用户提供认证服务。认证服务器保存了用户名及密码，以及相应的授权信息，一台服务器可以对多台认证者提供认证服务，这样就可以实现对用户的集中管理。认证服务器还负责管理从认证者发来的记帐数据。

第二种认证方式：Web集中认证

1、认证流程

2、认证流程说明

1) 用户打开IE，访问某个网站，发起HTTP请求。

2) NAS截获用户的HTTP请求，由于用户没有认证过，就强制到Portal服务器。并在强制Portal URL中加入相关参数，具体参数参考CHAP认证。

3) Portal服务器向用户终端推送WEB认证页面。

4) 用户在认证页面上填入帐号、密码等信息，提交到Portal服务器。

5) Portal将帐号与密码提交到NAS，发起认证。

6) NAS将帐号和密码一起送到中央RADIUS用户认证服务器，由中央RADIUS用户认证服务器进行认证，中央RADIUS服务器根据用户信息判断用户是否合法，返回Radius access-accept/reject给NAS设备。

7) NAS返回认证结果给Portal服务器。

8) Portal服务器根据认证结果，推送认证结果页面。

9) Portal服务器回应NAS收到认证结果报文。

10) NAS设备发送记账开始报文。

第三种认证方式：MAC认证

MAC认证是以终端的MAC地址作为用户名和密码向中央RADIUS服务器发起认证请求的一种认证方式。MAC认证是在设备学习MAC地址时触发的。其认证流程大致如下：

1) NAS设备上开启MAC认证功能。

2) 用户打开浏览器试图访问网络，NAS设备学习到该用户的MAC地址，以该MAC地址作为用户名和密码向中央RADIUS服务器发起认证请求。

3) RADIUS服务器对该用户进行认证，判断用户是否合法，然后返回Radius access-accept/reject给NAS设备

4) 如果认证通过，NAS设备发送记账开始报文，指定MAC地址对应的终端就可以开始访问网络资源； 否则就不能访问网络。

集中认证和分布式认证的对比

上一节列出集中认证组网的不同方案，这些组网方案和现有的接入认证对比，有如下优点：

1. 有线接入设备功能要求简单，无需支持复杂的NAS功能

2. AC统一上收，AC和AP解绑定。

3. 利用交换机转发和控制面分离的硬件特性，利用N18000控制面的高性能，既提升认证性能，彻底解决Portal Server的认证瓶颈问题，又不影响转发性能

4. 由于所有功能集中在N18000上，通过建立开放性的平台，可以更敏捷的响应用户定制需求，并利用N18000和SAM的深度配合，满足从界面到应用全方位的开放性

5. IPv4和IPv6统一扁平化，支持IPv4和IPv6的统一认证，IPv6统一部署和管理，只需要管理一台设备，节约投资成本