您的当前位置：首页华为Agile Controller-Campus技术建议书

华为Agile Controller-Campus技术建议书

来源：化拓教育网

v1.0 可编辑可修改

华为Agile Controller（园区版）

Error! Unknown document

property name.（模板）

文档版本发布日期

2016-05-26

ERROR! UNKNOWN DOCUMENT PROPERTY NAME.

华为技术有限公司

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明

和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意

您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司

地址：网址：

客户服务邮箱：客户服务电话：

深圳市龙岗区坂田华为总部办公楼邮编：518129

400-822-9999

文档版本01 (错误!未知的文档属性名称)

错误!未知的文档属性名称

文档版本01 (错误!未知的文档属性名称)

错误!未知的文档属性名称 ii

1 项目概述 .......................................................................................................................................... 5

项目背景 ................................................................................................................................................................ 5 1.1.1 园区网发展趋势 .................................................................................................................................. 5 1.1.2 项目现状.............................................................................................................................................. 5 1.1.3 接入场景及安全风险分析 .................................................................................................................. 6 1.1.4 项目目标和范围 .................................................................................................................................. 6

2 关键应用场景.................................................................................................................................. 7 3 项目方案设计................................................................................................................................ 11

3.1 方案设计思想及原则 .................................................................................................................................. 11 3.2 网络部署设计 .............................................................................................................................................. 12 （可选）有线无线统一认证方案设计 ................................................................................................................ 13

3.2.1 需求分析............................................................................................................................................ 13 3.2.2 用户接入场景分析 ............................................................................................................................ 14 3.2.3 认证详细方案设计 ............................................................................................................................ 15 （可选）无线WLAN接入认证方案设计 .............................................................................................................. 24

3.2.4 需求分析............................................................................................................................................ 24 3.2.5 用户接入场景分析 ............................................................................................................................ 25 3.2.6 认证详细方案设计 ............................................................................................................................ 26 （可选）异构网络统一认证方案设计 ................................................................................................................ 29

3.2.7 需求分析............................................................................................................................................ 29 3.2.8 用户接入场景分析 ............................................................................................................................ 30 3.2.9 认证详细方案设计 ............................................................................................................................ 31 （可选）访客认证方案设计 ................................................................................................................................ 32

3.2.10 需求分析.......................................................................................................................................... 32 3.2.11 用户接入场景分析 .......................................................................................................................... 33 3.2.12 认证详细方案设计 .......................................................................................................................... 34 （可选）业务随行方案设计 ................................................................................................................................ 47

3.2.13 需求分析.......................................................................................................................................... 47 3.2.14 业务随行方案详细设计 .................................................................................................................. 52

文档版本01 (错误!未知的文档属性名称)

错误!未知的文档属性名称

iii

（可选）终端安全方案设计 ................................................................................................................................ 57 方案可靠性设计 .................................................................................................................................................. 60 3.2.15 外部身份源的可靠性设计 .............................................................................................................. 60 3.2.1 SC服务器可靠性设计 ....................................................................................................................... 61 3.2.2 数据库的可靠性设计 ........................................................................................................................ 62 3.2.3 SM/MC服务器可靠性设计（HA） ..................................................................................................... 65

4 产品简介 ........................................................................................................................................ 67

系统架构 .............................................................................................................................................................. 68 产品特点 .............................................................................................................................................................. 68 主要功能 .............................................................................................................................................................. 69

文档版本01 (错误!未知的文档属性名称)

错误!未知的文档属性名称 iv

项目背景

1.1.1 园区网发展趋势

项目概述

当前企业的IT应用正在发生着显著的变化：云计算、BYOD、高清媒体等新应用正迅速地走进企业，这些IT应用新变化对企业的基础园区网提出了更大的挑战，要求企业基础园区网架构要变得更便捷、可靠和安全。

尤其随着BYOD等无线办公应用的普及，企业办公接入经历了通过PC、笔记本在固定地点接入园区网的初级方式，发展到现在通过智能终端实现“3A（Anytime, Anywhere, Anything）”灵活移动接入的高级方式。面对海量的有线和无线用户的融合网络，网络接入的安全性问题越发突显出现，包括内部员工、访客身份识别和权限控制、终端设备类型识别和权限控制、用户之间的互访控制等，企业如何能够将如此复杂维度的固定业务和移动业务进行统一策略管理和部署，直接影响到企业的信息安全，成为保证园区网安全性保障的关键点。

1.1.2 项目现状

XXX当前的网络系统和业务现状如下：

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 5

（包括客户业务介绍、现网拓扑介绍、IP管理方式、VLAN规划、业务服务器及接入用户分布情况、有无AD或LDAP认证服务器、已有的软硬件安全系统部署情况、用户规模等）

1.1.3 接入场景及安全风险分析

结合XXX的现网情况和对于安全接入控制的需求，发现现网对网络准入控制的需求主要包括以下几个场景：（根据实际情况进行删减、编辑） 1. 内部员工使用固定PC、便携机通过有线网络接入内网

2. 内部员工使用便携机、平板/手机等智能终端设备通过无线网络接入内网 3. 外来访客使用便携机、平板/手机等智能终端设备通过无线网络接入访问指

定的网络资源，如互联网

4. 网络打印机、IP Phone等哑终端设备通过有线接入内网 5. 内部员工在互联网通过VPN接入内网 6. ……

面对复杂的网络接入场景，

1.1.4 项目目标和范围

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 6

（可选）场景一：如何更快速的配置认证客户端目前的困惑：

关键应用场景

传统的园区网中通常用Web 认证方式，但是Web 认证方式是在认证前就为用户分配了IP 地址，浪费了IP地址资源，而且分配IP 地址的DHCP（动态地址分配协议）服务器对用户而言是完全裸露的，容易受到恶意攻击。Web认证要求每次接入网络都输入用户名密码，对于经常在园区内办公的人员来说，会显得非常麻烦。

最安全可靠的方式是采用认证。然而认证需要对终端进行复杂的配置，终端用户自助完成配置的比例不高，网络管理员无法对每一台终端进行配置，尤其在终端数量持续暴涨的今天，所以大部分园区网并没有采用这种安全的认证方式。解决方案：

华为Agile Controller-Campus的Boarding功能可以实现客户端自动配置，无论终端使用windows, IOS, Android操作系统，采用有线还是无线的链接方式，Boarding都能识别并为它们提供合适的配置。

使用华为的Boarding功能，用户第一次接入网络时，Agile

Controller-Campus识别到终端的操作系统，根据对应的操作系统重定向到不同Boarding客户端下载页面，用户下载客户端，输入账号密码，一键式安装，完成终端的自动配置，配置完自动发起认证。整个流程都是用户自助完成，不用管理员参与，大大减轻管理员的工作量。关键特性：

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称

自动完成有线和无线终端的配置。支持windows, IOS, Android操作系统。（可选）场景二：如何实现访客自助接入网络。目前的困惑：

通常情况下，认证系统的账号统一有管理员管理，企业员工账号比较固定，

维护工作量不大。但是访客不一样，访客上网充满突发性和随机性，一般的企业每天来访几十，上百人，管理人员如果都要手工创建上网账号并维护账号，工作量非常庞大；如果是开放性或者半开放性的场所，比如宾馆、学校、机场、商场、地铁等，人员流动频繁，用户量庞大，管理员更不可能手工维护账号系统。同时，对于大量的访客上网，要审计上网行为变得非常困难。解决方案：

Agile Controller-Campus提供了丰富的访客认证方式，满足各种场景下访

客的网络访问需求。

一般的非开放性企业，可以采用访客自助注册+管理员审批的方式，访客在

申请界面提交账号申请后，管理员登陆到系统进行审批。访客申请时可以以手机号、邮件、用户名作为账号，申请通过后可以通过web页面、短信、邮箱看到密码。

如果采用二维码认证，接入将变得更简单，公共二维码认证使用户一扫码就能上网；二维码认证也提供了一种类似注册审批的流程，访客连接SSID，通过浏览器访问网站时，跳转到一个二维码界面，内部员工扫描该二维码，审批通过后访客才能认证通过。

对于开放或者半开放园区，短信认证是不错的选择，访客在认证页面输入手

机号，点击获取密码，密码以短信方式发送到访客的手机，访客输入密码就能通过认证。

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 8

对于酒店、商场、机场等商业性质的场所，一般有自己的微信公众账号，希

望更多人关注公众账号，然后进行营销，这种场景下我们提供了微信认证，访客需要关注公众号之后才能通过认证。

对于体育馆、无线城市、地铁等大型公共场所，没有营销需求，可以选择第

三方媒体账号认证，国内支持QQ、新浪微博账号，国外支持Google+、和Twitter账号，访客在认证界面上点击对应的第三方媒体图标，跳转到第三方的认证页面，输入相应的账号和密码进行认证。

对于各种认证，服务器后台都能记录认证账号登录日志，方便后续审计。

关键特性：访客管理二维码认证短信认证微信认证

第三方媒体账号认证

（可选）场景三：如何与现有数据源集成目前的困惑：

企业有自己的账号管理系统，账号存在AD、LDAP服务器，甚至有些企业已

经有自己的Radius认证系统，新买的认证系统需要和原有服务器对接。解决方案：

Agile Controller-Campus可以跟AD、LDAP服务器对接，支持把账号同步

到本地数据库，同时也支持不同步的方式，两种方式都能认证。

如果用户有自己的Radius认证系统，Agile Controller-Campus提供了

radius proxy的功能，可以把认证报文转发到客户自己的Radius认证系统进行认证。

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称

关键特性：

AD、LDAP服务器对接 Radius Proxy

（可选）场景四：如何获取终端类型目前的困惑：

无线网络的普及，以及智能终端的规模性增长，越来越多的智能终端连接到

企业网络中，而企业为了安全着想，对接入的终端一般都要区别对待，台式机能访问企业内部的资源，智能终端一般只提供上英特网的权限；另一个问题就是不同的终端有不同的显示屏大小，登录认证页面时，需要根据不同的终端类型推送不同的页面，以适配不同的显示屏。这就需要认证系统能识别终端的类型。解决方案：

Agile Controller-Campus内置终端识别功能，通过认证时获取MAC OUI、

DHCP Option信息，通过浏览器获取HTTP User-Agent信息，通过扫描器获取SNMP信息，然后在后台进行识别规则匹配，最终识别出设备类型。Agile Controller-Campus支持超过200个终端识别模板。

Agile Controller-Campus支持配置页面推送规则，可以根据终端类型推送

对应的认证页面；同时支持按不同的设备类型进行授权。关键特性：终端识别

按终端类型推送页面按终端类型授权

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 10

v1.0 可编辑可修改 3

3.1 方案设计思想及原则

设：

超前性与实用性结合

项目方案设计

企业园区网是企业的业务信息平台，是企业提升办公效率、整体增值的业务承载通道，网络的简单可靠、易部署、易维护是非常必要的，应本着以下原则进行建

网络技术发展迅猛，如果设备缺乏先进性，设备和软件系统可能很快落后甚至被淘汰，但也不能过分超前，以避免造成投资的浪费。为此，在园区网建设中，需注意超前性与实用性结合，确保投资有效，使之能真正发挥出相应的作用。安全性与可靠性

在园区网建设中，安全性是整个网络建设中的重中之重，要通过各种技术确保系统应用的安全性。同时，要求系统本身具有高度的可靠性，这样才能保证网络客户的应用。可管理性

网络管理是一个长期的投资，在网络建设中对网络可管理是一项重要的应用原则，通过选择全网的可管理性软件，减少日常维护费用。可扩展性

企业网络不但需要能够满足当前需要，随着后续企业规模的扩大、技术的发展，未来网络需要承载更多的业务及提供更多的优质服务。所以，网络的可扩展性是网络建设中必须提前规划的重点。

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称

v1.0 可编辑可修改

3.2 网络部署设计

XXX当前的网络系统和业务现状如下：

（包括客户业务介绍、现网拓扑介绍、IP管理方式、VLAN规划、业务服务器及接入用户分布情况

（可选）有线无线统一认证方案设计

3.2.1 需求分析

（根据实际情况进行删减、编辑）

由于业务扩展，现网需要新建WLAN网络为员工和外来方可提供无线接入服务，同时要求与原来的有线网络实现统一认证、统一授权。具体需求如下：

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称

v1.0 可编辑可修改用户在原有的有线网络和新部署额无线网络中，要统一认证、统一授权内部员工可通过公司配发的PC接入有线网络和无线网络，使用智能终端等接入无线网络访问制定的内部资源

部分员工使用自有的智能终端（如智能手机、PAD等）接入无线网络访问指定的内部资源

员工接入无线网络的智能终端需要按照要求进行资产注册，未经注册的设备不能接入无线网络

访客经过注册后可接入无线网络，不能接入到内部网络，只能访问Internet 允许哑终端采用有线或无线方式接入到公司内部网络

3.2.2 用户接入场景分析

考虑到精细化网络权限控制的需求，根据接入方式、接入地点等条件的差异，本方案主要设计以下几种典型的用户接入场景：

办公接入：主要指员工使用公司配机（如PC、智能终端等）在公司内部网络通过有线、无线Wi-Fi接入后，能够访问公司的资源

访客接入：外来访客通过申请临时账号接入无线网络，访问Internet等资源

哑终端接入：网络打印机、IP PHONE等哑终端作为一种特殊的设备类型也有接入网络的需求。主要是通过有线接入后供员工使用，也可以通过无线接入

表3-1 用户接入场景要素项目用户类型（Who）描述指定的员工部门或角色，如领导，普通员工，研发，访客等文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 13

项目接入地点（Where）描述公司内部网络（公司楼层、IP地址段或者接入AP设备）接入设备归属（Whose device）接入设备类型（What device）接入时间（When）接入方式（How）公司配机、自有智能终端等便携机智能终端（平板电脑、智能手机）时间不，可以根据需求设置内部网络中无线Wi-Fi接入内部网络有线接入操作及应用在公司内部或外部网络访问公司内部网络资源，权限不发生改变，访问内容不受影响 3.2.3 认证详细方案设计

常用的有线、无线认证方案主要有MAC认证、、Portal等几种认证方式，各种接入认证的方式与应用场景如下表所示：

表3-2 接入认证的方式及应用场景接入认证方式 MAC认证功能描述用户终端以MAC地址作为身份凭据到认证服务器进行认证应用场景主要用于IP电话、打印机等哑终端设备文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 14

v1.0 可编辑可修改认证使用EAP（Extensible Authentication Protocol）认证协议，实现客户端、设备端和认证服务器之间认证信息的交换需客户端支持，安全性高， Portal认证也称为WEB认证，用户可以通过Web认证页面，输入用户帐号信无需客户端，安全性稍低，广泛应用于园区网息，实现对终端用户身份的认证中本方案里主要涉及的接入场景包括内部员工的办公接入以及临时的外来访客接入，不同的用户接入场景推荐采用不同的认证方案。

图3-1 MAC认证流程

用户终端准入设备认证服务器

1、终端上线 2、radius认证请求，携带用户MAC 3、radius认证响应，下发授权控制 MAC 认证认证成功，接入网络 1、终端上线 MAC 旁路认证 2、EAPoL-Request（identity） 2、EAPoL-Request（identity）。。 3、EAPoL-TimeOut 。认证成功，接入网络 4、radius认证请求，携带用户MAC 5、radius认证响应，下发授权控制 MAC认证介绍

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 15

v1.0 可编辑可修改 MAC认证：以终端的MAC地址作为身份凭据到系统进行认证。启用MAC认证后，当终端接入网络时，网络准入设备提取终端MAC地址，并将该MAC地址作为用户名和密码进行认证。

MAC旁路认证：接入设备首先触发用户采用认证方式，如果用户长时间内没有进行认证，则以用户的MAC地址为认证信息，把MAC地址作为用户名和密码上送AAA服务器进行认证应用场景

哑终端设备，如打印机、IP电话等，无法通过输入用户帐号信息的方式进行认证授权。

对某些特殊用户，希望“免认证”接入网络，用户不想通过输入用户帐号信息的方式完成认证，比如智能终端用户。

图3-2 认证流程

用户终端准入设备认证服务器 1、EAP-Start 2、EAP-Request（Identity） 3、EAP-Response（Identity） 6、EAP-Request（Challenge） 7、EAP-Response（Challenge） 10、EAP-Success/Failure 11、认证成功，用户接入网络 4、Radius-Access-Request 5、Radius-Access-Challenge 8、Radius-Access-Request 9、Radius-Accept-Accept

认证介绍

不同认证类型的认证流程差异较大，下面以EAP-MD5为例简要说明一下流程。

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称

v1.0 可编辑可修改用户名上送

流程1～4，用户在客户端输入用户名和密码，其中用户名上送认证服务器处理。生成Challenge挑战字

流程5～6，认证服务器收到用户名后，若数据库存在改用户名，则生成挑战字Challenge，并通知客户端。用户密码上送

流程7～8，客户端使用MD5算法，使用Challenge对密码加密，并上送服务器。认证成功授权

流程9～11，服务器收到用户密码（MD5）后，进行验证，符合要求后开放用户权限，用户接入网络。应用场景

用于对安全性要求较高的认证场景。 Portal认证流程

用户终端准入设备 Portal服务器认证服务器 1、用户访问网页 2、重定向WEB页面 3、WEB页面输入用户帐号＋密码 4、Portal认证请求 5、Radius认证请求，携带用户信息 6、Radius认证应答，下发授权控制 7、Portal认证应答 8、认证结果，WEB页面展现 9、认证成功，用户接入网络

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称

Portal认证介绍

也称为WEB认证，用户可以通过Web认证页面，输入用户帐号和密码信息，

实现对终端用户身份的认证。用户访问认证页面的过程，可以采用主动访问页面和被动访问页面即强推的方式来实现。应用场景

Portal认证无需客户端支持，部署简单，广泛应用于园区网中。

用户部署NAC安全管理组件，需要客户端支持，此时可采用具有客户端的Portal认证方式。

表 3-1 接入认证方式

接入场景终端类型接入方式接入认证方式线路示例办公接入便携机便携机/智能终端（平板电脑、智能手机）有线无线认证认证 ① ② 访客接入访客自有的便携机或智能终端无线 Portal认证 ③ 哑终端接入网络打印机、有线/无线 IP Phone等 MAC认证 ① 文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 18

v1.0 可编辑可修改图3-3 有线无线统一接入认证方案图

部署方案：

如图所示，有线网络接入认证场景下认证点在接入层交换机处，统一开启认证模式；无线WLAN接入认证场景下认证点统一在AC设备，Agile Controller服务器作为RAIDUS server和Portal server与AC设备联动： 1）有线网络：

规划Guest VLAN：用户在通过等认证之前接入设备会把该端口加入到Guest VLAN中，用户访问该VLAN内的资源不需要认证，只能访问有限的网络资源；工作VLAN则根据接入用户的部门等实际业务情况进行规划，保证用户认证后进入工作VLAN以便访问相应的网络资源。

规划业务VLAN：业务VLAN即普通VLAN，因为不用的部门、角色的用户网络访问权限不同，需要单独进行授权，通过划分相应的VLAN来进行隔离。

划分业务VLAN后，用户在进行认证后接入网络，Agile Controller服务器会根据用户所属的部门、角色或其他条件，通知交换机切换用户接入的VLAN，从而对用户的网络访问权限进行隔离、控制。

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称

VLAN调整规划总表如下：

VLAN类型 VLAN ID 用户类型说明业务VLAN VLAN100~200 普通员工允许访问所有的办公服务器，如OA系统、邮件服务器等 VLAN300~400 开发测试人员允许访问所有的办公服务器，以及开发测试服务器 VLAN500 VLAN600 合作方员工允许访问邮件服务器访客允许访问互联网备注：接入交换机的接口类型，配置成Access或者Hybird对下载客户端的方式有影响，配置成Access时，只能配置Free-IP功能下载客户端；配置成Hybird时，可以配置Guest VLAN或者Free-IP。因此若要启用Guest VLAN功能，接入交换机的接口类型必须配置成Hybird属性。 2）无线网络：

规划SSID：内部员工的办公接入和外来访客分别设置2个SSID，其中“员工SSID”无线链路认证方式为WPA2 dot1x，接入认证为 EAP-PEAP协议；“访客SSID”的无线链路认证为WEP开放式系统认证，部署Portal接入认证。

规划portal free-rule，允许访客访问认证前域服务器资源，比如认证前能访问QQ、新浪微博、微信、、Google+等社交媒体网站以便使用社交媒体账号进行认证

建立GRE隧道：在AC设备与互联网出口防火墙之间建立GRG隧道，访客访问互联网的流量全部通过该GRE隧道进行隔离，保证内网的安全性。

基于部门规划不同业务VLAN，如果是本地转发，AP上行交换机上也需要创建相应VLAN，保证网络隔离与互通。规划用户访问策略：

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称

Agile Controller服务器与WLAN的AC设备联动实现对用户的网络访问权限的控制。当用户接入网络时，Agile Controller服务器将用户接入的信息与授权规则的授权条件匹配，当用户接入的信息与某条授权规则的所有授权条件都匹配时，Agile Controller即授予用户该条授权规则的授权结果定义的权限。 Agile Controller提供了基于5W1H的接入控制策略管理方式，包括用户类型（Who）、接入设备归属（Whose device）、接入设备类型（What device）、接入时间（When）、接入地点（Where）和接入方式（How）。

表3-3 基于5W1H的认证授权模型接入场景 5W1H用户场景要素用户类接入设备接入地点接入设备类型接入时间（When）接入方策略型（Who）归属（Whose device）办公接入所有内部员工外包人员公司配机公司配机式（How）授权类型（Where（What ） device）办公区 PC/便携机办公区 PC/便携机无有线 ALL 无有线公共服务器所有内部员工所有内部员工普通员工公司配机员工SSID 便携机无无线 ALL 公司配机员工SSID 智能终端无无线 ALL 自有终端员工SSID 智能终端无无线禁止文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 21

v1.0 可编辑可修改接入场景 5W1H用户场景要素用户类接入设备接入地点接入设备类型接入时间（When）接入方策略型（Who）归属（Whose device）访客接入哑终端接入网络打印机、IP Phone等无访客自有终端式（How）授权类型（Where（What ）访客SSID 办公区无 device）无无无线 Internet 无有线放行如上表所示，允许内部所有员工通过PC、便携机等在有线网络接入，允许员工通过便携机和智能终端接入“员工SSID”访问内网资源，但是禁止普通员工使用非注册的自有终端接入；对于访客则允许通过其自带便携机和智能终端接入“访客SSID”以便访问到Internet资源。对于哑终端则采用MAC认证方式进行认证。

（可选）无线WLAN接入认证方案设计

3.2.4 需求分析

（根据实际情况进行删减、编辑）

由于业务扩展，现网需要新建WLAN网络为员工和外来方可提供无线接入服务，具体需求如下：

已经部署了有线网络，需要扩容新部署无线网络

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 22

v1.0 可编辑可修改内部员工可通过公司配发的PC、智能终端等接入无线网络访问制定的内部资源

部分员工使用自有的智能终端（如智能手机、PAD等）接入无线网络访问指定的内部资源

员工接入无线网络的智能终端需要按照要求进行资产注册，未经注册的设备不能接入无线网络

访客经过注册后可接入无线网络，不能接入到内部网络，只能访问Internet

3.2.5 用户接入场景分析

考虑到精细化网络权限控制的需求，根据接入方式、接入地点等条件的差异，本方案主要设计以下几种典型的用户接入场景：

办公接入：主要指员工使用公司配机（如PC、智能终端等）在公司内部网络通过无线Wi-Fi接入后，能够访问公司的资源

访客接入：外来访客通过申请临时账号接入无线网络，访问Internet等资源

表3-4 用户接入场景要素项目用户类型（Who）描述指定的员工部门或角色，如领导，普通员工，研发，访客等接入地点（Where）公司内部网络（公司楼层、IP地址段或者接入AP设备）接入设备归属（Whose device）公司配机、自有智能终端等文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 23

项目接入设备类型（What device）接入时间（When）接入方式（How）描述便携机智能终端（平板电脑、智能手机）时间不，可以根据需求设置内部网络中无线Wi-Fi接入内部网络有线接入操作及应用在公司内部或外部网络访问公司内部网络资源，权限不发生改变，访问内容不受影响 3.2.6 认证详细方案设计

常用的WLAN无线认证方案主要有MAC认证、、Portal等几种认证方式，各种接入认证的方式与应用场景如下表所示：

表3-5 接入认证的方式及应用场景接入认证方式 MAC认证功能描述用户终端以MAC地址作为身份凭据到认证服务器进行认证认证使用EAP（Extensible Authentication Protocol）认证协议，实现客户端、设备端和认证服务器之间认证信息的交换 Portal认证也称为WEB认证，用户可以通过Web认证页面，输入用户帐号信无需客户端，安全性稍低，广泛应用于园区网应用场景主要用于IP电话、打印机等哑终端设备需客户端支持，安全性高，息，实现对终端用户身份的认证中文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 24 v1.0 可编辑可修改本方案里主要涉及的接入场景包括内部员工的办公接入以及临时的外来访客接入，不同的用户接入场景推荐采用不同的认证方案。

表 3-2 接入认证方式

接入场景终端类型接入方式接入认证方式线路示例办公接入便携机智能终端（平板电脑、智能手机）无线无线认证认证 ① ① 访客接入访客自有的便携机或智能终端无线 Portal认证 ② 图3-4 无线WLAN接入认证方案图

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称

部署方案：

如图所示，无线WLAN接入认证场景下认证点统一在AC设备，Agile Controller服务器作为RAIDUS server和Portal server与AC设备联动：

规划portal free-rule，允许访客访问认证前域服务器资源，比如认证前能访问QQ、新浪微博、微信、、Google+等社交媒体网站以便使用社交媒体账号进行认证

建立GRE隧道：在AC设备与互联网出口防火墙之间建立GRG隧道，访客访问互联网的流量全部通过该GRE隧道进行隔离，保证内网的安全性。

基于部门规划不同业务VLAN，如果是本地转发，AP上行交换机上也需要创建相应VLAN，保证网络隔离与互通。规划用户访问策略：

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 26

表3-6 基于5W1H的认证授权模型接入场景 5W1H用户场景要素用户类接入设备接入地点接入设备类型接入时间（When）接入方策略型（Who）归属（Whose device）办公接入所有内部员工所有内部员工普通员工访客接入访客自有终端自有终端公司配机公司配机式（How）授权类型（Where（What ）员工SSID 员工SSID 员工SSID 访客SSID 无智能终端智能终端 device）便携机无无线 ALL 无无线 ALL 无无线禁止无无线 Internet 如上表所示，允许内部所有员工通过便携机和智能终端接入“员工SSID”访问内网资源，但是禁止普通员工使用非注册的自有终端接入；对于访客则允许通过其自带便携机和智能终端接入“访客SSID”以便访问到Internet资源。

（可选）异构网络统一认证方案设计

3.2.7 需求分析

（根据实际情况进行删减、编辑）

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 27

v1.0 可编辑可修改由于业务的发展，现网需要对有线、无线网络的用户接入进行统一认证和管控，但经过确认发现现网的网络设备并不统一，交换机、WLAN设备包括但不局限H3C、华为、CISCO等厂家。对于这个异构网络的统一认证方案具体需求如下：要能支持异构网络环境，认证系统要支持华为、H3C、CISCO等主流厂商设备联动

内部员工可通过公司配发的PC接入有线网络和无线网络，使用智能终端等接入无线网络访问制定的内部资源

部分员工使用自有的智能终端（如智能手机、PAD等）接入无线网络访问指定的内部资源

员工接入无线网络的智能终端需要按照要求进行资产注册，未经注册的设备不能接入无线网络

访客经过注册后可接入无线网络，不能接入到内部网络，只能访问Internet 允许哑终端采用有线或无线方式接入到公司内部网络

3.2.8 用户接入场景分析

考虑到精细化网络权限控制的需求，根据接入方式、接入地点等条件的差异，本方案主要设计以下几种典型的用户接入场景：

办公接入：主要指员工使用公司配机（如PC、智能终端等）在公司内部网络通过无线Wi-Fi接入后，能够访问公司的资源

访客接入：外来访客通过申请临时账号接入无线网络，访问Internet等资源

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 28

v1.0 可编辑可修改 3.2.9 认证详细方案设计

对于这种异构网络，建议采用网关式的接入控制方案，即采用华为USG防火墙作为SACG网关，以侧挂的方式部署在网络核心层的交换机处，与Controller服务器联动实现对全网用户的接入认证控制。

SACG网关认证方式与接入层网络设备无关，终端设备既可以安装代理客户端，也可以不安装（Web强推方式），适应各种终端接入（PC、手持设备等），方便灵活，管理维护方便。

如上图所示，SACG网关侧挂在核心交换机处，通过策略路由将用户的上行流量引流至SACG网关。用户通过客户端或浏览器到Controller服务器进行认证后，SACG网关据用户身份认证和安全检查结果动态切换用户能够访问的网络权限。

认证流程如下：

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称

v1.0 可编辑可修改 (1) 与Controller服务器通信，从Agile Controller服务器中同步准入控制规则，并且把这些规则转换成ACL。同步的规则中包括认证前域、隔离域和认证后域。

(2) 对于进入SACG的数据包，检查该数据包对应IP的认证状态，如果该IP没有经过认证，则使用认证前域的ACL规则进行数据包的过滤；

(3) 当终端用户认证成功的时候，Agile Controller服务器给准入控制设备发送认证域的参数，该认证域的参数对应了转换的ACL规则；

(4) 当终端用户的数据包经过SACG设备的时候，SACG设备将根据该终端对应的ACL规则进行包过滤，控制终端的访问范围。

（可选）访客认证方案设计

3.2.10 需求分析

（根据实际情况进行删减、编辑）

随着企业与外界的交往增加，来企业参观、访问、交流的访客日益增多，为访客智能终端提供WiFi接入互联网的诉求越来越强烈。而企业通常采用纯手工方式对访客接入WiFi进行管理，不利于统一对Internet资源、账号、权限进行管理，且存在较大的资讯安全风险及网络资源浪费。为方便客户交流，提升企业形象，同时保证企业信息安全，需要统一建设移动访客系统。具体需求如下：与办公流量隔离，确保办公的安全性访客身份管理方便访客接入无线网络方便快捷

可提供无线网络运营的能力，可做微信公共号推广、APP推广、广告运营等

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 30

v1.0 可编辑可修改 3.2.11 用户接入场景分析

外来访客用户主要使用Portal认证方式接入无线网络，可根据需要让访客使用已由管理员已分配好的临时账号登录认证，或者通过注册自己的手机号获取临时密码、扫描二维码、关注微信公共号以及使用QQ/新浪微博等社交媒体账号直接登录认证。以访客自注册账号为例，访客接入的全流程如下图所示：

如上图所示，访客接入流程如下：

1) 访客在终端搜索无线SSID，与AP建立关联，获取IP地址 2) 访客访问WEB站点，AC 将用户请求重定向到Portal认证页面 3) 访客在Portal页面上进行注册，注册后进行认证 4) 认证通过，服务器向AC设备下发访客网络权限 5）访客获取上网权限可以成功访问网络

6) Controller认证服务器将访客上线信息同步给上网行为审计网关设备 7) 由上网行为网关设备应用访客的上网策略，对访客的上网行为进行审计说明：在此流程中，可根据需要引入客户的企业访客用户管理系统（如访客身份证登记、指纹登记等）参与认证流程，Controller服务器提供北向API接口与之同步访客的相关用户信息。

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称

v1.0 可编辑可修改 3.2.12 认证详细方案设计

完整的访客认证方案主要包括以下几个部分，访客账号管理、访客Portal管理、访客认证管理、访客流量路径隔离、访客上网行为管控。

访客账号管理

访客账号通常为临时性账号，同时授予较低网络访问权限。访客账号可以有多种形式：管理员创建、访客自注册、免注册、社交媒体账号、公共二维码访客管理员创建：

访客到达后，由前台接待、部门访客管理员等帮助访客申请帐号，然后把访客帐号信息打印出来，分发给访客，方便访客临时上网。管理员在单个/批量创建时，可指定访客账号的有效期、生效时间、访客密码策略以及打印排版。

可根据需要设置多个访客管理员，各自负责相应区域/部门的访客账号的创建、审批等，以便提高管理效率。

访客自注册：

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 32

v1.0 可编辑可修改当访客在接入WiFi后，可向访客的终端推送认证注册的Portal页面，访客填写必要的用户信息后提交注册，由访客管理员手工审批或自动审批后访客可直接用申请的临时账号密码进行认证，从而方便快捷地完成接入WiFi网络的操作。

二维码方式：

Controller系统提供两种二维码认证方案：公共二维码、审批二维码：公共二维码：管理员可以把公共二维码类型的访客账号生成一个二维码，访客只需要扫面该二维码就可以直接接入网络。管理员可根据需要设置多个公共二维码访客账号，不同的公共二维码访客账号可以有不同的有效期和网络接入权限审批二维码：对访客的接入有审计需求的场景，可在访客接入无线WiFi后推送一个注册信息，访客填写必须的信息后由系统生成一个对应的二维码。接待人员只需要扫描该二维码，就可以完成审批和访客接入网络。

社交媒体账号：

为了提高访客WiFi接入，同时还可以使用第三方社交媒体账号进行认证，免除访客重新注册账号的操作。当前可与Google、FaceBook、Twitter和微信等社交账号平台对接完成接入，即访客可以使用Google等公共账号接入网络。

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 33

v1.0 可编辑可修改

第三方社交媒体认证登录流程如下：

1）在认证页面定制界面上，提供社交网站的跳转链接，点击可以弹出或跳转到各大社交网站的登录界面

2）认证授权经过Controller服务器与社交媒体网站之间的交互，确保了整个认证的安全性

3）公共账号平台授权成功后，利用该平台获取用户信息，到Controller服务器继续进行认证授权

Portal管理

访客WiFi接入的Portal页面除了为访客提供基础的注册认证功能外，同时也是企业形象展示、产品宣传、广告推送、APP推广的平台。建议利用Controller系统来进行Portal自定义，针对访客接入认证的整个流程，对认证页面、认证成功页面、用户须知页面、注册页面和注册成功页面等进行定制。

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 34

v1.0 可编辑可修改

Controller系统同时提供灵活的页面推送策略管理能力，可基于时间、IP地址范围、接入终端的类型、接入AP条件制定Portal页面推送策略，确保Portal页面的精准推送。

访客认证管理

根据访客接入认证的方式，大致可分为短信认证、微信认证、二维码认证、APP认证：

（可选）短信认证方案设计

短信认证是一种最常见的访客接入认证方式。采用短信认证方案时，访客将其手机号作为认证的账号进行注册，在接受到提示密码的短信后再进行认证。短信认证流程如下图所示：

如上图所示，短信认证的流程如下：

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称

1）访客接入无线WiFi后，系统推送Portal认证页面。若用户第一次接入则直接输出其手机号，申请获取密码

2）Controller服务器接收到访客的注册申请后，根据管理员设置的密码策略自动随机算出临时密码

3）Controller服务器调用第三方短信网关接口，将访客的手机号、短信认证的临时密码发送给短信网关

4）第三方短信网关发送临时密码到访客的手机号上

5）访客获取到短信后，按照短信提示在Portal认证页面上输出其临时密码，认证通过后即可接入网络

说明，相对于传统的短信猫，短信网关具有兼容性好（中国地区三家电信运营商手机能可发送短信）、短信发送速度快（100条/秒左右）、短信发送的稳定性好、费用便宜等优点。推荐的第三方短信网关厂家包括：浙江筑望、和佳汇智、若雅MAS、深圳嘉讯等。其他支持 HTTPS、Webservice接口的短信网关原则上也能支持。

（可选）微信认证方案设计

随着移动互联网的兴起，大规模开放无线网络中，访客的快速认证是近年来的研究热点。基于微信公众平台实现无线网访客的认证，访客只需关注公众账号，即可在公众平台实现身份认证、获取默认权限、访问网络资源；然后利用公众平台与Controller服务器联动，对访客进行角色、策略和行为审计等管理功能，拓展微信公众平台为访客提供无缝的服务功能。

根据客户拥有的微信公众账号的类别和功能需求，可以采用不同的微信认证方案，在微信公众平台通过编辑模式配置实现微信认证、在微信公众平台通过开发者模式配置实现微信认证。两种方案只能选择一种，不能同时使用。

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 36

v1.0 可编辑可修改是否需要搭建单独的微信公众平台服务器安全性微信免认证取消关注强制下线微信认证绑定手机号码编辑模式不需要低支持，但不支持取消关注后免认证失效不支持不支持开发者模式需要高，可通过认证密钥对认证链接加密支持支持支持如上表所示，编辑者模式下微信公众号虽然不需要在本地增加的平台服务器，微信认证方案的部署交付也比较简单，但是当用户关注微信公众号接入往后再取消关注并不能及时强制用户下线，也不支持绑定手机号。因此若对这些方面有要求的话，建议使用开发者模式部署微信认证方案。微信认证部署方案如下图所示：

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 37

v1.0 可编辑可修改如上图所示，微信公众号当处于开发者模式时，需要在本地部署一台企业微信平台服务器，用于完成传输信息加密、提取手机号、强制微信公众号关注等功能。认证流程如下所示：

微信认证流程： 1）用户连接SSID。

2）终端自动向AC发送HTTP连接请求。

3）AC发现用户未认证，将URL地址重定向到Portal服务器。 4）终端访问重定向的URL。

5）Portal服务器向终端推送Portal认证页面。 6）用户单击认证页面上的“微信认证”按钮。

7）Controller的Portal服务器和微信公众平台之间交互微信连Wi-Fi的信息（校验App ID和App Secret），获取呼起终端本地程序的ticket。

8）浏览器自动呼起终端本地，微信公众平台校验终端用户微信连Wi-Fi注册信息和ticket。

9）校验通过后返回给终端用户微信连Wi-Fi页面，携带用户身份信息（OpenID）。

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称

10）用户单击“立即连接”，连接成功后，单击“完成”，触发Portal认证。 11）触发Portal认证的目的是保证用户在Controller和AC上线，获得上网权限，单击“完成”按钮相当于触发了一个URL地址。此URL地址为微信连Wi-Fi管理员在微信连Wi-Fi助手中配置的自定义商家主页的URL地址：，将用户URL重定向到Portal服务器。 13）用户终端访问重定向的URL。

14）Controller服务器校验认证URL中包含的参数[TOKEN]，与AC之间完成Portal认证和RADIUS认证的过程。

15）将认证结果返回给终端用户，认证成功后，显示管理员定制的认证成功页面。 16）认证成功，终端用户正常访问网络。

（可选）二维码认证方案设计

该场景下，为了使访客更方面地接入到WiFi网络，建议使用二维码方式。二维码作为一种信息的载体，可将需要用户访问的Portal服务器地址生成对应的二维码。访客在接入WiFi网络的时候，通过智能终端的APP进行扫描，APP将二维码解析出来URL并访问Portal页面，从而实现快速认证，提高访客接入的体验。

二维码有两种认证方案，分别适应不同的接入场景：

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 39

二维码种类目的扫描二维码的效果二维码生成方式由Controller管理员配置生成备注公共二维码让访客以portal认证方式接入网络，但不需要先获取密码然后再手工输入账号和密码进行认证访客扫描此二维码后，终端跳转到portal认证页面并自动认证 1.二维码可以打印出发布在公共场所，也可以放在portal认证页面 2.公共二维码无法有效审计接入访客用户信息审批二维码访客的接待人员对访客访问网络权限审批，大大提升访客接待的效率接待人员扫在每个访客生成一个二维描该二维码，Controller终端跳转到访客管理审批页面，可以完成审批和访客接入网络配置该功能，码，可以通过来访人员在访客注册页面上填写必访客填写的用户信息以及审批人信须的信息后，息进行有效可以生成一个二维码审计公共二维码方案：

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 40

v1.0 可编辑可修改

认证流程如下：

1）管理员在服务器端上生成二维码，打印后放置到公共区域 2）访客手机连接WIFI，扫描二维码，扫描成功后提示打开浏览器 3）访客点击“打开浏览器”，成功登录网络审批二维码方案

认证流程如下：

1）访客连接WIFI，弹出注册页面，填写登记信息进行注册 2）访客手机上自动生成一个二维码

3）接待人员使用手机扫描访客手机上的二维码，点击“同意” 4）访客手机自动弹出认证结果页面，成功登录网络

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称

v1.0 可编辑可修改（可选）APP认证方案设计

APP认证是一种新的认证方式，企业可自己开发APP，集成广告、新闻、多媒体、互动等应用，扩大企业影响力。为了使APP推广更迅速，建议将APP与无线WiFi的接入认证结合起来，无线接入的用户通过APP进行认证。APP认证如下图所示：

如上图所示，Controller提供Portal认证的对外接口，第三方APP可调用该接口进行认证，APP后台需定时与Controller进行心跳保活，以保持会话状态，超时用户将下线。Controller提供用户注册管理北向接口，用户可在APP上完成账号注册、用户信息修改、密码重置等功能

访客上网行为管控

根据相关法律法规要求对用户的互联网访问行为进行审计，因此一般会在互联网出口位置部署上网行为审计网关。为了避免用户接入时候的认证与上网行为审计网关多次进行认证，建议可通过Controller系统与上网行为审计网关联动进行SSO单点认证。联动示意图如下：

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 42

v1.0 可编辑可修改

如上图所示，Controller服务器主要跟交换机、WLAN设备联动对用户的网络接入进行认证，用户准入认证通过后，Controller服务器与上网行为审计网关联动讲用户的相关信息进行同步，从而实现SSO单点认证。认证流程如下： 1）用户接入有线、无线网络的时候，在Controller服务器进行身份认证； |2）用户认证通过后，Controller提供用户上下线日志接口，向上网行为审计网关发送用户上下线的账号、IP、MAC等信息；

3）上网行为审计网关接受该用户上下线信息，完成用户的单点登录，并对该用户应用相应的审计、控制策略

（可选）业务随行方案设计

3.2.13 需求分析

在传统园区网络中，控制用户网络访问权限主要是通过NAC加上VLAN和ACL技术来实现的。但是这个方式在现在园区网络不断扩展，BYOD的不断发展，体现出了很多不足：

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 43

技术动态VLAN+静态ACL（区分接入位置）控制原理缺点在交换机上预先配置静态ACL，ACL中并与VLAN绑定。根据用户可能的接入位置，认证策略需要配置多条。预配置工作量大，从管理角度看实际并未做到位置无关。在用户认证上线时，认证中心结合用户身份和接入位置，分配至不同的VLAN。即不同类用户在同一认证点交换机上会被分配到不同的VLAN，同一类用户在不同的认证点交换机上也会被分配到不同的VLAN。需要提前在每台交换机上创建VLAN并配置静态ACL，存在大量配置工作量，后续ACL维护难以为继。每类用户对应一个或多个VLAN。每增加一个用户类型，每个接入交换机都需要增加一个VLAN，对应网关上要预留对应的IP地址。实际部署时，增删用户类型难以操作，网络运行时会有大量VLAN和IP网段闲置。不同VLAN内的用户因为绑定的ACL不同，所获得的网络访问权限也不同。动态VLAN+静态ACL（不区分接入位置）文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

在交换机上预先配置静态ACL，并与VLAN绑定。 VLAN需要跨交换机部署。如果同一网关下接44

错误!未知的文档属性名称

技术控制原理缺点入交换机数量很多，多交换机共用同一VLAN将形成大广播域。在用户认证上线时，认证中心只根据用户身份分配至不同的VLAN。即同一类用户在不同的认证点交换机上会被分配到相同的VLAN。需要提前在每台交换机上创建VLAN并配置静态ACL，存在大量配置工作量，后续ACL维护难以为继。不同VLAN内的用户因为绑定的ACL不同，所获得的网络访问权限也不同。 VLAN对应IP地址大量闲置。例如假设每台接入交换机最多可供48人接入，同一网关下有10台接入交换机。则每个网关需要为每类用户预留480个以上的IP地址以满足极限情况。但是实际网络运行时，不同类型用户接入在同一网关下，有很多IP地址是闲置的。动态VLAN+动态ACL 在用户认证上线时，认证中心根据用户身份分配所属VLAN和关联的VLAN需要跨交换机部署。如果同一网关下接入交换机（例如本例中45

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称

技术控制原理 ACL。通过VLAN将不同类型的用户进行隔离。缺点的A和B）数量很多，多交换机共用同一VLAN将形成大广播域。 ACL跟每个用户一一绑定， ACL的具体内容既可以在交换机上预配置，也可以由认证中心动态下发。虽然ACL可以由认证中心统一下发，以减少交换机上的ACL配置工作量。但是交换机采用硬件匹配ACL，此方案中ACL需要与用户一一绑定，即使是同一个类用户也不能共享ACL。因此实际每条ACL包含的规则数量受限，否则会因交换机处理芯片支持的规则数量不足而无法生效。不同用户因为绑定的ACL不同，所获得的网络访问权限也不同。静态VLAN+动态ACL 在交换机上根据接口静态划分VLAN，避免广播域和VLAN闲置问题。在用户认证上线时，认证中心根据用户身份分配关联的ACL。无法做到VLAN内用户互访的隔离。因为不同类型用户会获得同一网段的地址，用户之间互访隔离的ACL无法提前定义好。 ACL跟每个用户一一绑同时对于部署在园区边46

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称

v1.0 可编辑可修改技术控制原理定， ACL的具体内容既可以在交换机上预配置，也可以由认证中心动态下发。缺点界，不是认证点的防火墙设备，传统基于IP地址包过滤策略将难以配置。不同用户因为绑定的ACL不同，所获得的网络访问权限也不同。虽然ACL可以由认证中心统一下发，以减少交换机上的ACL配置工作量。但是交换机采用硬件匹配ACL，此方案中ACL需要与用户一一绑定，即使是同一个组中的不同用户也不能共享ACL。因此实际每条ACL包含的规则数量受限，否则会因交换机处理芯片支持的规则数量不足而无法生效。通过以上分析可以看出，传统NAC技术中，不管ACL是通过动态下发还是静态绑定的，都存在以下关键技术问题：

ACL需要管理员提前配置好，而且其中至少需要配置禁止或允许访问的目的IP地址范围。即只能做到ACL与源解耦，不能做到ACL与目的解耦。因此，在用户使用的IP地址范围不固定的前提下，ACL不能用于用户间互访控制。

ACL与用户的关联只在认证点设备上生效，即只有认证点设备可以识别用户身份。对于非认证点设备，例如部署在企业园区边界的防火墙设备，仍然只

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 47

v1.0 可编辑可修改能配置基于IP地址的策略。因此，在用户使用的IP地址范围不固定的前提下，防火墙等设备将无法配置策略。目前的企业园区网络还是需要将不同类型的用户置于不同的VLAN内，相应的不同类型的用户都有固定使用的IP网段。

传统NAC技术中的VLAN和ACL仍然需要在认证点交换机上提前配置，存在很大的部署和维护工作量。在需要对配置进行变更时，对企业网络管理员是一个很大的负担。

3.2.14 业务随行方案详细设计

方案设计模型

在业务随行的访问权限控制中，Agile Controller作为整个园区网络的控制中心，即承担了园区网络中用户的接入控制，又承担了用户访问权限的控制。将整个园区网络分为三层的逻辑，Agile Controller是属于业务管理平面的中心。它支持标准的有线无线Portal/MAC Bypass认证，可能通过灵活的规则定义，将接入网络的用户划分到规划的安全组，动态下发到认证点设备。而对于非认证点的策略执行设备，如果无法识别某个IP地址所归属的安全组，则会主动向Controller进行查询(当前版本只有敏捷防火墙支持主动查询)，如下图逻辑架构：

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称

v1.0 可编辑可修改 2.

安全组规划

因为业务随行中，整个业务的控制是基于安全组，所以在业务随行实际的应用中，应该在配置之前，做好安全组的规划。安全组的规划，分两个类型的规划：一个类型是静态资源的安全组规划，一类是用户安全组的规划

1）静态资源的安全组规划，主要是指依据是企业基于安全要求，对数据中心应

用系统服务器的规划。

结合传统园区的部署经验，一个典型企业通常需要考虑以下类型的静态资源类安全组：

安全前域服务器（用户认证前即可访问的服务器）

为了完成用户认证过程，主机需要在认证前或认证过程中访问一些必要的服务器。例如域服务器、Portal服务器、DHCP服务器、DNS服务器、补丁服务器。需要将这部分服务器单独定义出来提供给未认证用户访问。公共服务器

各种不同类型的用户都可以访问的低安全级别服务器。例如公司内部网站、邮件服务器等。根据企业权限划分的粒度和各种应用系统的类型，公共服务器可以根据需要划分为多个安全组。 Internet组

当企业网络与Internet可以互通时，通过Internet组可以描述Internet上的公网用户或者公网服务器。 DMZ服务器

企业提给用户访问的服务器。例如公司门户网站，部署在内网的SSL VPN网关地址。此类服务器通常部署在企业园区的Internet出口区或者数据中心内的DMZ区域。网络设备组

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称

v1.0 可编辑可修改企业网络中的网络设备自身所使用的IP地址，包括各种物理或逻辑接口所使用的IP地址。由于网络设备之间通常也需要进行通信，所以应允许网络设备组之间的通信。

如果企业使用了带内管理（利用企业业务网络来进行网络设备管理，没有建立专门的网络设备管理网络）的方式，从提高安全性的角度，建议在设备上配置仅允许网络管理员或堡垒主机的IP地址通过telnet、SSH等方式登陆网络设备进行配置管理。员工专用应用系统

特定类型用户专用的高安全级别的应用系统。例如代码服务器、测试服务器、ERP系统等。根据企业权限划分的粒度和各种应用系统的类型，专用应用系统可以根据需要划分为多个安全组

2）用户安全组规划，安全组另一个规划是用户的安全组规划，这个组的定义，

不需要绑定IP网段。用户接入主要是依据5W1H(Who、Where、When、Whose、What、How)来规划安全组，即何人、何地、何时、谁的终端、什么终端、什么方式接入网络，在实际使用中一般5W1H具体会这样划分：

Who：部门、角色、帐号

Where：接入设备、接入IP范围、无线接入时的SSID When：具体接入时间段

Whose：接入终端归属，个人还是公司

What：接入的终端类型、操作系统、安全检查是否违规等 How：接入的方式，有线、无线等

权限策略规划

业务随行方案完全基于逻辑组来配置权限策略。策略本身完全与IP地址解耦。因此管理员在规划安全组权限策略时，只需要考虑两个逻辑组之间的互访关系。针对不同的需求，建议的策略矩阵配置如下：

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称

员工外包前域公共员工应用 DMZ 网络设备公网 Any 员工外包前域公共员工应用 DMZ 网络设备公网 × × √ √ √ × × × √ × √ √ √ √ √ × √ √ 4.

网络部署规划

（可选）核心层认证方案：

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 51

v1.0 可编辑可修改

如上图所示，网络核心层交换机已部署了华为敏捷交换机（含随板AC），建议将核心层交换机作为有线、无线用户的认证点、网关、权限策略执行点，边界NGFW作为内网用户的QoS策略执行点。

若接入用户之间需要互相隔离（员工、外包、访客之间不能互相访问），则需要在接入/汇聚交换机配置二层隔离特性（端口隔离/MUX VLAN/MFF）。

（可选）汇聚层认证方案：

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 52

v1.0 可编辑可修改

如图所示，网络汇聚层已部署华为敏捷交换机（含随板AC），建议可同时作为有线、无线用户的认证点、网关、权限策略执行点。

若接入用户之间需要互相隔离（员工、外包、访客之间不能互相访问），则需要在接入交换机配置二层隔离特性（端口隔离/MUX VLAN/MFF）。同一汇聚交换机下认证用户互访的隔离策略由汇聚交换机执行，跨汇聚用户互访的隔离策略由核心NGFW执行，跨园区内网用户互访的隔离策略由边界NGFW执行。

（可选）终端安全方案设计

企业内网终端众多，员工的计算机水平和信息安全意思参差不齐，由于操作系统安全设置不当而引起的安全风险越来越明显，仅通过目前行政管理手段无法保证所有终端的安全性，可加强对终端操作系统的安全管理，具体管理方案如下：可根据企业具体需要灵活选择配置安全策略，如下表所示

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 53

检查项必备软件受限软件说明对必装软件、适用操作系统等进行检查对受限的软件进行检查功能，提示违规信息，软件名称可以自行配置防病毒软件对防毒软件名、杀毒软件类型、程序版本、引擎版本、病毒库版本、是否集中检查状态、网络威胁防护策略版本、主动威胁防护策略版本、策略序列号、适用操作系统、违规说明和修复说明等违规软件信息进行检查注册表对注册表项名、适用操作系统、违规说明、修复说明和关系表达式，以及注册表键项信息等注册表信息进行检查补丁对补丁编号、补丁编号后缀、是否用WSUS状态、支持位数（32位还是位）、违规说明和修复说明等Windows补丁信息进行检查，还有SQL补丁，IE补丁，OFFICE补丁等信息范围端口对端口名、端口号、端口状态（禁用或启用）、端口类型（TCP或UDP）、合理化状态、合理化名、违规说明和修复说明等端口信息进行检查，实现端口通讯的安全性控制进程服务对进程名、适用操作系统、进程状态（必须执行或禁止执行）、服务名、服务状态等进行检查弱口令和账号对登陆系统的口令，弱口令名、弱口令状态、组和账号关系等信息进行检查其他屏幕保护、PC的资产编号、网络文件夹共享资源此外，建议通过对计算机端口使用权限进行控制，从而在一定程度上防范信息泄露。比如关闭不是必需的接口，或监控USB设备使用。在不影响USB鼠标/键盘的情况下对USB设备采取放行、监控、禁用、只读和写加密四种策略，实时监控

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 54

v1.0 可编辑可修改拷贝到移动硬盘中的文件，对文件进行存档，以便于审计。此外，其控制的端口功能还包括拨号连接、光盘读写和无线网卡数据交互等。

桌面运维管理有助于企业管理 PC终端设备，可以分发软件包、监视软件使用情况、部署操作系统映像和迁移配置文件、远程控制设备、检测和修补安全风险以及完成许多其他管理任务等等。其设计理念是在最方便用户使用的基础上进行底层的安全防护，通过企业安全意识的宣传，配合企业安全管理策略，借助管理工具，使企业内部员工都能理解信息中心管理理念，服从管理要求。具体管理方案如下：补丁管理

对控制域内的机器进行自动的补丁检查、下发、安装和统计。自动与已知漏洞的标准数据库对比，评估当前状态并分发补丁，通过有目标的多址广播和对等下载技术进行网络带宽控制，最后提供详细补丁信息列表。补丁涵盖了微软所有出现安全漏洞的系统补丁以及涉及安全漏洞的应用程序补丁；分发对象可按IP/IP段、具体补丁号、操作系统等进行定制。软件下发

协助IT管理人员分发软件，缩短软件部署时间。在局域网范围内快速下载，大大减少对网络带宽的占用，同时通过分布式分发，有效分担网络流量，平衡负载。支持.exe，MSI安装包，bat，vbs或各类文档数据文件的下发与安装，并提供远程协助功能。资产管理

通过自动化的资产采集功能，及时收集终端的软硬件信息。详细管理过程如下：管理员录入资产信息；用户在终端代理上将资产编号与账户实施绑定，确定该资产的管理责任人；代理自动收集终端设备上的软硬件信息；出现资产变更时，管理员通过变更告警或查看报表及时了解情况，跟踪资产变更；若资产到了报废期或保修期，提醒管理员制定新的采购计划。

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 55

v1.0 可编辑可修改方案可靠性设计

Agile Controller作为网络准入认证服务器，承担了身份认证、网络准入、接入权限控制的功能，因此Agile Controller的服务器需要高可靠性。

3.2.15 外部身份源的可靠性设计

Agile Controller产品支持从外部LDAP数据源同步账号到本地的认证方式（这里只会同步账号信息，但是不同步账号的密码，最终还是需要到LDAP数据源服务器进行LDAP的协议的身份认证），同时还支持不同账号的认证方式（这种方式是通过Agile Controller系统直接采用LDAP协议到LDAP数据源服务器进行身份认证）。一旦第三方LDAP服务器因为故障原因停止提供服务，将会影响Agile Controller的认证和准入业务。

因此Agile Controller提供了支持主、备身份源的可靠性设计，一旦Agile Controller系统检测到主的LDAP数据源出现问题，自动切换到备的数据源上进行认证，从而提供了高可靠性的认证保障。

3.2.1 SC服务器可靠性设计

Agile Controller产品的SC组件包括：AuthServer、PortalServer、RadiusServer、NetworkServer。Agile Controller采用N+1部署方式可以支持到组件级别。在实施N+1部署方式时，可以单独安装一台SC服务器，该台SC服

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称

v1.0 可编辑可修改务器上会安装所有的组件，AuthServer、PortalServer、RadiusServer、NetworkServer，这台SC作为备份的SC。当其他SC服务器中断业务时，自动使用这台备份的SC服务器进行业务接管。也就是说，这台备份的SC服务器实际上会承担备份的AuthServer、备份的PortalServer、备份的RadiusServer、备份的NetworkServer角色。 SC的服务器的备份原理如下：

AuthServer：AuthServer主要是负责终端安全业务以及防火墙准入控制的业务。一旦AuthServer终端业务就会导致用户无法认证，内部网络资源无法访问。Agile Controller-Campus对AuthServer支持配置备份AuthServer的方案。AuthServer主、备配置在SM配置服务器上可以配置的，一旦配置了主、备AuthServer，当主的AuthServer因为某些原因停止提供业务服务后，AnyOffice终端会检测到与主AuthServer的心跳停止，能够自动切换到备份的AuthServer服务器上重新认证，从而确保终端与AuthServer之间的业务的高可靠性。同时AuthServer的主、备IP地址可以在接入控制的防火墙上设置，接入控制的防火墙与AuthServer之间也有心跳检测机制，一旦防火墙与AuthServer检测到心跳停止，则防火墙自动会选择备份的AuthServer进行连接，从而确保准入控制的业务的可靠性。

PortalServer：PortalServer主要负责Portal的认证业务。在Portal网关上可以配置多个Portal Server的IP地址进行备份，当主PortalServer宕机或网络不可达情况下Portal网关会自动切换到备份的PortalServe上。除此之外，华为Portal网关设备上支持设置逃生机制的配置，一旦PortalServer因为某些原因停止提供业务服务后，网关设备会启动逃生机制，暂时放开对用户的网络访问权限，从而确保用户的网络访问权限。

RadiusServer：RadiusServer主要负责Radius协议的认证业务。配套华为的设备上允许设置主、备Radius服务器的IP地址，当主的Radius服务器出现业务故障时，设备能够将认证请求转发到备份的Radius服务器上进行认证，从而确保Radius的准入控制业务的可靠性。

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 57

v1.0 可编辑可修改

NetworkServer：NetworkServer主要负责设备的管理，提供策略随行、业务编排的功能。NetworkServer支持主、备配置，当主的停止工作后，SM检测到NetworkServer停止工作了，会自动将备份的NetworkServer设置为主的NetworkServer。Agile Controller的NetworkServer组件任何情况下只有主的服务器才提供服务，备份的NetworkServer平时是不工作的，备份NetworkServer处于非工作状态时是不响应设备请求的。

3.2.2 数据库的可靠性设计

Agile Controller的本地帐号数据以及业务配置数据都是存放在数据库中，因此数据库必须提供高可靠性的设计方案，否则可能导致Agile Controller的业务出现故障。

Agile Controller支持SQL Server和Oracle数据库，可以分别通过数据库镜像和RAC集群方式提供高可靠性。 SQL Server数据库可靠性

Agile Controller的数据库采用SQL SERVER的镜像功能来达到数据库的高可靠性。一旦主数据库出现故障，系统会自动切换到镜像数据库上。

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 58

数据库镜像的工作原理：数据库镜像维护一个数据库的两个副本，这两个副本必须驻留在不同的 SQL Server 数据库引擎服务器实例上。通常，这些服务器实例驻留在不同位置的计算机上。启动数据库上的数据库镜像操作时，在这些服务器实例之间形成一种关系，称为“数据库镜像会话”。其中一个服务器实例使数据库服务于客户端（“主体服务器”），另一个服务器实例则根据镜像会话的配置和状态，充当热备用或温备用服务器（“镜像服务器”）。同步数据库镜像会话时，数据库镜像提供热备用服务器，可支持在已提交事务不丢失数据的情况下进行快速故障转移。未同步会话时，镜像服务器通常用作热备用服务器（可能造成数据丢失）。在“数据库镜像会话”中，主体服务器和镜像服务器作为“伙伴”进行通信和协作。两个伙伴在会话中扮演互补的角色：“主体角色”和“镜像角色”。在任何给定的时间，都是一个伙伴扮演主体角色，另一个伙伴扮演镜像角色。每个伙伴拥有其当前角色。拥有主体角色的伙伴称为“主体服务器”，其数据库副本为当前的主体数据库。拥有镜像角色的伙伴称为“镜像服务器”，其数据库副本为当前的镜像数据库。如果数据库镜像部署在生产环境中，则主体数据库即为“生产数据库”。数据库镜像涉及尽快将对主体数据库执行的每项插入、更新和删除操作“重做”到镜像数据库中。重做通过将活动事务日志记录的流发送到镜像服务器来完成，这会尽快将日志记录按顺序应用到镜像数据库中。与逻辑级别执行的复制不同，数据库镜像在物理日志记录级别执行。从 SQL Server 2008 开始，在事务日志记录的流发送到镜像服务器之前，主体服务器会先将其压缩。在所有镜像会话中都会进行这种日志压缩。通过数据库镜像可以做到在主数据库停止工作时能够不终端业务自动切换到镜像数据库上。

Oracle数据库可靠性

Oracle数据库通过RAC集群方式提供高可靠性方案。RAC（Real Application Clusters）是指通过至少两台Oracle数据库服务器和一个磁阵共享存储器实现数据库负载均衡，当某个数据库故障后业务可以实现无缝切换。

主备机上各自运行的数据库实例，数据库实例文件放在共享存储上，由ASM磁盘进行管理。

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称

v1.0 可编辑可修改主备节点各自提供自己的浮动IP对外提供业务服务。客户端通过在配置文件中配置两个节点的IP来实现对RAC集群的访问。在主备模式下，Oracle会通过自身机制将请求都发送到主机处理，备机处于空闲状态。当主用节点断掉后，数据库会将备用节点转为主用节点，新的连接请求也会连接到原备用节点上。 RAC推荐组网如下图所示，两台服务器分别作为数据库主备服务器，为提高可靠性，Eth0&Eth2绑定为bond0接口，Eth1&Eth3绑定为bond1接口；bond0接口连接交换机，bond1作为两台服务器之间的心跳接口。通过交换机连接内网或者，用户通过交换机连接的网络访问服务器。

为提高可靠性，Eth4和Eth5分别连接磁阵两块控制器的业务口，服务器通过Eth4和Eth5访问磁阵存储数据。

3.2.3 SM/MC服务器可靠性设计（HA）

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称

v1.0 可编辑可修改 SM/MC服务器可靠性设计目前只支持linux服务器，windows服务器不支持。 HA(High Available)，高可用性群集，是保证业务连续性的有效解决方案，一般有两个或两个以上的节点，且分为活动节点及备用节点。通常把正在执行业务的称为活动节点，而作为活动节点的一个备份的则称为备用节点。当活动节点出现问题，导致正在运行的业务（任务）不能正常运行时，备用节点此时就会侦测到，并立即接续活动节点来执行业务。从而实现业务的不中断或短暂中断。如下是双机环境的组网图：

SM/MC服务器可靠性设计采用搭建主备环境，使用keepalived集群软件来实现SM/MC的主备切换。Keepalived需要对应用程序状态做健康检查，设置绑定网卡和监控网卡，并对外提供虚拟IP。当keepalived检测到主机上的应用程序宕机后，keepalived会重新选举产生新的主机，向虚拟IP发送的请求都将由原来的主机流向备机。MC的下级节点SM和SM的下级节点SC上配置的IP地址就是指向Keepalived的对外提供的虚拟IP地址。

SM/MC的安装过程中，数据库连接要指向客户提供的数据库系统；两台服务器组成主备双机，都连接同一个共享磁盘阵列，每台都安装SM，数据库连接要指向客户提供的数据库系统；

使用bonding技术将网卡两两绑定做备份；

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 61

v1.0 可编辑可修改

共享磁盘阵列使用两个网卡，通过安装多路径软件实现网络的可靠性；通过主备互信完成备机keepalived的配置使用keepalived技术对外提供一个虚拟IP地址；使用RSYNC技术实现SM和SC的文件同步；

SM/MC使用共享磁盘阵列做文件共享，主备SM/MC的文件路径必须一致；客户可以使用NAS网络存储替代共享共享磁盘阵列；仅有主机提供服务，备机作为热备等待被切换为主机；提供手动主备机运行状态查看，手动主备机切换的工具；

数据库通过创建Oracle的RAC组网来实现负载均衡和Failover特性；主备机上各自运行的数据库实例，数据库实例文件放在共享存储上，由ASM磁盘组来管理；

共享的磁盘阵列推荐使用华赛S2600T，使用SATA硬盘创建RAID6配置热备盘保证磁盘的可靠性；

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 62

v1.0 可编辑可修改 4

园区的网络与安全资源，让网络更敏捷地为业务服务。

产品简介

Agile Controller是华为最新推出的基于用户和应用的网络资源自动化控制系统。该系统基于SDN集中化控制原则，作为智慧园区网络的大脑，动态调配整个

系统架构

产品特点

集中化控制，全局策略编排，以业务体验为中心

• Agile Controller首次将SDN集中化控制思想引入园区，全局控制用户、业务与安全策略，动态调配全网权限、QoS、带宽、安全等资源。

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 63

• Agile Controller统一部署全网策略，让用户在不同时间、不同地点、不同终端接入网络都享有相同的权限与业务，让用户自由移动，实现业务随行。 • Agile Controller提供自然语言的策略编排，屏蔽各种设备差异，让运维人员不再需要面对复杂的机器语言。产品开放合作，加速企业业务创新

• Agile Controller可以对接微信、、Twitter、Google+、二维码等主流社交媒体，简化访客接入网络，方便企业进行二次营销。

• Agile Controller开放北向接口API，提供网络、用户、资产、终端等信息，支撑企业开发具有商业价值的应用，加速企业业务创新。高可靠与弹性架构设计，保证业务连续性，保护客户投资

• Agile Controller支持Windows、Linux两种平台选择，同时提供全方位的HA高可靠保护方案，保证网络业务的平稳运行。

• Agile Controller采用弹性架构设计，支持分布式与分级部署方案，可以根据业务需要灵活扩容，保护客户原有的投资。

主要功能

功能规格描述身份认证支持基于系统的内建帐号系统认证支持对接Windows活动目录（AD）认证支持对接第三方LDAP认证支持移动证书认证文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称

支持匿名认证，匿名认证时无需输入账号密码认证类型支持RADIUS认证支持Portal认证支持MAC认证支持SACG认证授权管理支持为不同的身份（who）、不同的位置（Where）、不同的时间（when）、不同的设备类型(What)、不同的设备归属（Whose）、不同的接入方式（How）授予不同的网络访问权限智能终端识别设备类型支持识别PC、智能终端（手机/平板）、IP PHONE、网络打印机等操作系统支持Windows 、Linux、MAC OS、Android、IOS、Windows Phone等设备识别方式支持SNMP、User-Agent、DHCP、MAC OUI等用户管理支持用户组管理，最多支持20级子用户组支持角色管理，允许一个用户属于多个角色访客接入管理支持访客自注册接入网络支持管理员创建访客账号支持访客免注册接入网络文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 65 支持扫描二维码接入网络支持使用社交媒体接入网络，包括微信、、Twitter、Google+等访客策略管理支持免审批、管理员审批、邮箱链接激活审批、二维码审批等方式支持发送邮件、短信的方式通知管理员进行审批支持通过邮件、短信、WEB等方式通知访客账号密码支持设置访客帐号生效时间及账号有效期支持设置访客账号的密码策略，如字母，数字，字母+数字，字母+数字+特殊字符等支持设置访客的网络访问权限 Portal页面管理系统提供多种的Portal页面预置模板支持向导式的Portal页面定制功能，包括认证页面、认证成功页面、用户须知页面、注册页面、注册成功页面支持针对PC/PAD、Phone定制不同的页面支持放置文字/图片元素、图片轮换、设置背景颜色/图片、超链接、预览等操作支持多语言页面定制，包括简体中文，繁体中文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称

文，英语，德语，西班牙语，葡萄牙语，法语等支持针对不同的条件推送不同的Portal页面，包括终端接入位置、设备类型、接入无线SSID、时间段等业务随行支持联动华为敏捷交换机、NGFW防火墙与SVN设备，统一部署全网络策略支持安全组的统一管理支持基于设备分组的全局策略支持基于BGP/MPLS VPN的全局策略支持基于单个设备的局部策略基于用户的带宽管理，包括上行、下行带宽基于用户的优先级管理，保障优先转发VIP用户的流量业务编排支持基于源IP/源端口/目的IP/目的端口/协议定义业务流支持基于源用户组/源端口/目的用户组/目的端口/协议定义业务流支持业务链编排，将指定的业务流引至指定的安全设备进行监控处理在同一业务链编排策略里，最多指定4种角色文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称

的业务角色，即防火墙、防病毒、上网监控与其他终端安全管理支持基于Windows客户端的终端安全管理，禁止非法终端接入网络支持合规性检查，包括屏保策略、注册表策略、文件共享、防病毒软件、操作系统补丁、系统自动更新、系统冗余账号、软件黑白名单、端口使用、计算机主机名、计算机运行时间、账号弱密码、进程、本地服务、多网卡状态、DHCP设置、光驱禁用等支持自动修复，包括屏保策略、注册表策略、文件共享、防病毒软件、操作系统补丁、本地服务、DHCP设置等支持Windows XP/Vista/ 7/ 8/ 的操作系统的补丁升级支持基于Windows客户端的软件分发，包括下发、执行、撤销等操作支持资产管理，提供手工注册或者自动注册方式，包括软件、硬件、BOIS、硬盘序列号等信息，故障诊断集成可视化的故障诊断功能提供业务跟踪功能，跟踪记录Radius业务、Portal业务、WEB推送等事件，支撑故障快速定位文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 68

报表管理预置常用报表模板和趋势报表，如用户在线信息等支持自定义或从安全中心获取报表分级管理支持下级节点服务器注册和跳转查看功能支持设置全局终端安全策略，可强制特定或所有下级节点执行支持设置全局补丁管理策略，可强制必须从上级管理中心下载补丁支持设置全局软件分发策略，可配置软件下载开始时间点、下载最大持续时间系统管理告警管理：当服务器出现异常时，提供服务器告警功能，包括对话框告警、邮件告警等分权分域：支持设定系统管理员、审计员、操作员三种角色，并赋予不同的管理权限消息公告：对指定用户/用户组推送公告消息，并可设置公告信息有效期客户端管理：支持客户端自动升级组网模式支持集中式组网，适用于终端规模小于10000的场景支持分布式组网，适用于存在多个分支机构的大规模环境文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 69

支持分级式组网，适用于具有分级管理需求的大规模环境

文档版本错误!未知的文档属性名称 (错误!未知的文档属性名称)

错误!未知的文档属性名称 70

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文