Agile Controller：相关术语

Agile Controller：相关术语

介绍RADIUS认证和授权相关的基本概念，方便管理员在配置RADIUS认证和授权业务之前对相关概念有基本的了解。

RADIUS认证密钥

在RADIUS服务器与接入控制设备（例如华为交换机/AC）建立可信连接之前，RADIUS服务器与接入控制设备会通过预设的字符串验证对方身份的真实性，才能完成终端身份认证业务。预设的字符串即RADIUS认证密钥。为了保证RADIUS服务器与接入控制设备能正常完成终端认证报文交互，两边的RADIUS认证密钥必须保持一致。如果两边设置的RADIUS认证密钥不匹配，则RADIUS服务器不会响应接入控制设备发来的认证请求，导致终端无法接入网络。

802.1X、Portal和MAC地址三种接入方式都属于RADIUS认证，都会用到RADIUS认证密钥。上述三种接入方式都要求接入控制设备支持才能达成。

RADIUS计费密钥

在RADIUS服务器与接入控制设备建立可信连接之前，RADIUS服务器与接入控制设备会通过预设的字符串验证对方身份的真实性，才能完成终端计费业务。预设的字符串即RADIUS计费密钥。为了保证RADIUS服务器与接入控制设备能正常完成终端计费报文交互，两边的RADIUS计费密钥必须保持一致。如果两边设置的RADIUS计费密钥不匹配，则RADIUS服务器不会响应接入控制设备发来的计费请求。

业务管理器的计费业务并非真实意义上的计费，配置计费的目的在于通过配置计费从RADIUS服务器与接入控制设备交互的计费报文获取终端用户的上线时间和下线时间，在需要时通过发送计费报文强制终端用户下线，最终目的是RADIUS计费来实现RADIUS在线用户管理功能。

对于华为交换机/AC，RADIUS认证密钥和计费密钥是一致的，可通过以下命令配置。

[HUAWEI] radius-server template huawei

[HUAWEI-radius-huawei] radius-server authentication 192.168.1.1 1812

[HUAWEI-radius-huawei] radius-server accounting 192.168.1.1 1813

[HUAWEI-radius-huawei] radius-server shared-key cipher Admin@1234

Admin@1234为RADIUS认证密钥和计费密钥。

第三方厂商的设备的RADIUS认证密钥和计费密钥可能是两个不同的字符串，可能需要单独配置。

业务管理器的RADIUS服务器组件同时负责认证、计费和授权。在接入控制设备配置认证服务器、计费服务器和授权服务器地址时，请把这些服务器地址配置为RADIUS服务器的IP地址。

Portal密钥

在Portal服务器与接入控制设备（例如华为交换机/AC）建立可信连接之前，Portal服务器与接入控制设备会通过预设的字符串验证对方身份的真实性，才能完成终端身份认证业务。预设的字符串即Portal认证密钥。为了保证Portal服务器与接入控制设备能正常完成终端认证报文交互，两边的Portal密钥必须保持一致。如果两边设置的Portal密钥不匹配，则Portal服务器不会响应接入控制设备发来的认证请求，导致终端无法接入网络。

对于华为交换机/AC，Portal密钥是一致的，可通过以下命令配置。

[HUAWEI] web-auth-server server1

[HUAWEI-web-auth-server-server1] shared-key cipher Admin@1234

实时计费周期

接入控制设备与RADIUS服务器之间的网络延迟或中断是可能出现的情况，会导致接入控制设备的在线用户与RADIUS服务器的在线用户无法保持一致，进而可能导致终端用户在接入控制设备下线，但是在RADIUS服务器依然处于在线状态，网络授权可能会产生混乱（例如终端用户处于在线状态，但是无法访问网络。或者终端用户还没登录，但是依然允许访问网络）。

配置实时计费周期的目的并非为了真实意义上的计费，而在为了在接入控制设备和RADIUS服务器之间约定的周期内核实双方的在线用户，对只在接入控制设备或RADIUS服务器上线的终端用户予以清理，保障接入控制设备和RADIUS服务器之间在线用户是一致的，避免产生网络授权混乱。

实时计费周期需要分别在RADIUS服务器和接入控制设备两侧同时配置，并且两者配置的计费周期必须保持一致。否则，一方的计费周期到来而另一方的计费周期尚未到来时，计费周期先到的一方会强制终端用户下线，导致终端用户在线一段时间之后掉线。

实时计费周期越短，接入控制设备与RADIUS服务器之间在线用户不一致的概率越低，但计费对接入控制设备性能要求就越高。请结合终端用户数来设置实时计费周期。

对于华为交换机/AC，实时计费周期可通过以下命令配置。

[HUAWEI] aaa

[HUAWEI-aaa] accounting-scheme acco

[HUAWEI-aaa-accounting-acco] accounting-mode radius

[HUAWEI-aaa-accounting-acco] accounting realtime 15

802.1X认证

802.1X认证是基于C/S（Client/Server）结构的局域网认证与授权认证方案，由802.1X认证客户端、接入控制设备和认证服务器组成。如果终端用户需要访问网络中的资源，必须通过802.1X认证客户端提供身份信息，如果终端用户的身份合法性通过了认证服务器的校验，认证服务器会通知接入控制设备放开网络访问权限。

在终端用户进行身份认证之前，设备端口处理未授权状态，此时只允许终端用户发起认证请求的报文通过。

在终端用户通过身份认证之后，认证服务器通知接入控制设备把端口切换到已授权状态，以便允许终端用户访问网络中的资源。

常见的802.1X认证客户端有：

    Microsoft Windows操作系统自带的802.1X认证客户端

    iOS操作系统自带的802.1X认证客户端

    Mac操作系统自带的802.1X认证客户端

    Android操作系统自带的802.1X认证客户端

    华为AnyOffice

常见的华为接入控制设备有：

    S7700系列交换机

    S9700系列交换机

    S12700系列交换机

    AC系列无线接入控制设备

Agile Controller-Campus中的RADIUS服务器来充当认证服务器。

Portal认证

Portal认证又称为Web认证，是基于B/S（Browser/Server）结构的局域网认证与授权认证方案，由Web浏览器、接入控制设备、RADIUS服务器和Portal服务器组成。

在通过身份认证之前，终端用户只能访问有限的网络资源。当终端用户使用Web浏览器访问Web网站时，接入控制设备通过Web重定向技术把终端用户重定向至Portal服务器的认证页面，终端用户在认证页面提供身份信息。身份信息的有效性得到RADIUS服务器的校验之后，RADIUS服务器将会通知接入控制设备放开终端用户的网络访问权限。

MAC认证

MAC认证是一种基于设备端口和终端MAC地址对终端访问网络权限进行控制的认证方案。

在未认证阶段，终端只具有受限的网络访问权限。例如只开放DHCP服务器、DNS服务器、RADIUS服务器的访问权限。

在终端连接到网络时，接入控制设备自动检测终端的MAC地址，然后自动把MAC地址当做帐号和密码发到RADIUS服务器进行身份认证。身份信息的有效性得到RADIUS服务器的校验之后，RADIUS服务器将会通知接入控制设备放开终端用户的网络访问权限。

为了保证终端能够顺利通过身份认证，管理员需要把终端的MAC地址录入业务管理器。

MAC旁路认证

MAC旁路认证本质上属于802.1X认证。在终端接入网络时，接入控制设备向终端发起802.1X认证请求，期待终端提供身份信息。在没有收到来自终端的有效回复之后，接入控制设备将会向RADIUS服务器发起MAC认证，即把终端的MAC地址当作帐号和密码发到RADIUS服务器进行校验。

MAC旁路认证与MAC认证的区别是，MAC旁路认证属于802.1X认证而非MAC认证。由于MAC旁路认证接入控制设备需要等待802.1X认证超时再发起MAC认证，整个认证时间会比直接发起认证的MAC认证等待时间长一些。

MAC旁路认证与MAC认证都能用于哑终端自动接入网络的场景，认证安全性是相同的。

如果哑终端与正常进行802.1X认证的终端（需要输入帐号和密码）混在一起，并且哑终端数量较少，推荐使用MAC旁路认证方案。在所有接入网络的终端都是哑终端的场景则推荐使用MAC认证。

为了保证终端能够顺利通过身份认证，管理员需要把终端的MAC地址录入业务管理器。

Portal认证下的特权用户

在Portal认证方案中，不需要进行身份认证即可访问网络资源的用户称之为特权用户，又称为免认证用户

例如，为了向公司高层领导提供更加良好的上网体验，管理员把领导所在的IP地址段(10.1.1.1/24)设置为免认证网段。

[HUAWEI] portal free-rule 1 destination ip any source ip 10.1.1.1 mask 24

Portal认证下的认证前域

在Portal认证方案中，管理员可能会放行一部分必备的网络资源，即便未通过身份认证也允许终端用户访问。例如DNS服务器、DHCP服务器、RADIUS服务器、Portal服务器。

[HUAWEI] portal free-rule 1 destination ip 10.1.1.1 mask 32 source ip any //放行DNS服务器

[HUAWEI] portal free-rule 2 destination ip 10.1.1.2 mask 32 source ip any       //放行DNS服务器

[HUAWEI] portal free-rule 2 destination ip 10.1.1.3 mask 32 source ip any       //放行RADIUS服务器

[HUAWEI] portal free-rule 2 destination ip 10.1.1.4 mask 32 source ip any       //放行Portal服务器

心跳

心跳是指终端用户通过认证之后，终端主机上的Web客户端或AnyOffice每隔一段时间主动向Agile Controller-Campus发送消息，目的在于向Agile Controller-Campus报告自己的状态。

只有PC终端（例如台式机、便携机）具有心跳功能。在终端用户通过身份认证之后，具有心跳功能的终端的认证成功页面不允许关掉，否则会引起终端用户掉线。因为关闭认证成功页面之后Web浏览器（Web Agent插件、Web客户端）无法再发送心跳报文。

会话超时时间

在终端用户通过认证之后，Agile Controller-Campus会启动计时器。如果Agile Controller-Campus在一段时间之内未收到终端主机上的Web Agent插件、Web客户端或AnyOffice发来的心跳报文，则Agile Controller-Campus认为终端用户已下线，于是通知接入控制设备对终端用户进行强制下线处理。Agile Controller-Campus等待终端发送心跳报文能容忍的最长时间称之为会话超时时间。

在会话时间内，Agile Controller-Campus不会主动通知接入控制设备对终端用户进行强制下线处理。因此在会话时间内，终端用户关闭了Web浏览器重新打开认证页面，不会导致终端用户下线。

在会话时间内，终端用户关闭了Web浏览器重新打开认证页面，有时返回认证成功页面（允许单击注销的页面），有时返回认证页面（输入帐号和密码页面）。Web浏览器通过sessionID记录Web服务器之间的会话。在终端用户已通过身份认证的情况下关闭整个Web浏览器，重新打开认证页面可能会导致某些Web浏览器的sessionID发生变化，sessionID回传至Web服务器（例如Portal服务器或AuthServer服务器），Web服务器会认为这是一个新会话，故返回认证页面而不是认证成功页面。返回认证页面并不影响终端用户访问网络，因为接入控制设备已放开终端用户访问网络的权限。

无线接入终端Web认证会话超时时间

无线终端（智能手机、平板电脑）不具有心跳功能，原因如下。

一方面，部分无线终端不支持在后台运行程序。终端用户在Web浏览器输入帐号和密码认证通过了身份认证，在终端用户切换到其他应用程序之后，Web浏览器转入后台运行，会导致终端用户掉线。例如iOS操作系统存在自动回收内存资源机制，程序处于不活跃状态超过一段时间之后将会自动退出，释放系统资源留给新运行的程序使用。

另一方面，无线终端发送心跳报文会消耗流量，可能导致终端用户被运营商收取费用。

无线终端在线状态通过无线接入终端Web认证会话超时时间来维护。在终端用户通过身份认证后，Portal服务器或AuthServer服务器会在指定的时间范围内不会主动通知接入控制设备对终端用户进行强制下线处理。Portal服务器或AuthServer服务器能容忍的最长时间称之为无线接入终端Web认证会话超时时间。

由于无线终端与Web服务器（Portal服务器或AuthServer服务器）之间不存在心跳，终端用户在通过身份认证之后Web浏览器认证页面允许关掉，在超时时间到来之前接入控制设备保持网络权限放开状态。

Huawei Agile Controller（列表、list、全）华为AClist、敏捷控制器list

http://www.zh-cjh.com/wenzhangguilei/3224.html

文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html