《华三局域网技术全集 MAC VLAN技术白皮书》由会员分享,可在线阅读,更多相关《华三局域网技术全集 MAC VLAN技术白皮书(6页珍藏版)》请在金锄头文库上搜索。
1、攻城狮论坛(技术+生活)群 2258097术白皮书杭州华三通信技术有限公司 1 页,共6 页键词:址认证 摘 要: 据 址来灵活的确定 文所属的 而实现对用户的灵活控制。本文介绍了基于 下称为 原理以及技术特点。 缩略语: 缩略语 英文全名 中文解释 AC 于 址的 种根据报文的源 址来确定 文所属 划分方法 议是一种基于端口的网络接入控制协议(“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。 攻城狮论坛 #_# 资料只供试读攻城狮论坛(技术+
2、生活)群 2258097术白皮书杭州华三通信技术有限公司 2 页,共6 页目 录 1 概述. 3 生背景 . 3 术优点 . 3 2 技术实现. 3 行机制 . 3 态配置 . 4 态配置 . 4 用限制 . 4 3 典型组网应用. 5 . 5 网图 . 5 网环境 . 5 . 6 网图 . 6 网环境 . 6 4 参考文献. 6 攻城狮论坛 #_# 资料只供试读 术白皮书杭州华三通信技术有限公司 3 页, 共6 页1 概述 产生背景 常用的划分方式是基于端口划分,该方式对从同一端口进入的 文添加相同的签,在同一 进行转发处理。该方式配置简单,适用于终端设备物理位置比较固定的组网环境。随着移动
3、办公和无线接入的普及,终端设备不再通过固定端口接入设备,它可能本次使用端口 A 接入网络,下次使用端口 B 接入网络。如果端口 A 和端口 B 的 置不同,则终端设备第二次接入后就会被划分到另一 致无法使用原 的资源;如果端口 的 置相同,当端口 B 被分配给别的终端设备时,又会引入安全问题。如何在这样灵活多变的网络环境中部署 ?运而生。 是基于 分 是 另一种划分方法。它根据报文的源 址来决定给报文添加某个 标签。该功能通常和安全技术(比如 合使用,以实现终端的安全、灵活接入。 技术优点 有以下优点: z 够实现精确的接入控制,它能精确定义某个终端和 绑定关系,从而实现将指定终端的报文在指定
4、 转发。 z 够实现灵活的接入控制,同一终端通过不同端口接入设备时,设备会给终端分配相同的 不同终端通过同一端口接入设备时,设备可以给不同终端分配不同的2 技术实现 运行机制 设备是如何根据 址来划分 呢?当端口收到一个 文后,以报文的源址为匹配关键字,通过查找 项来获知该终端绑定的 而实现将指定终端的报文在指定 转发。 术白皮书杭州华三通信技术有限公司 4 页, 共6 页z 对于没有找到备会基于其它方式给报文划分果端口还配置了备会根据报文源地址所在果端口还配置了协议备会根据报文使用的三层协议类型来划分果没有配置会将该报文在端口的缺省z 对于果报文携带的允许报文通过,否则直接丢弃。 项有两种生
5、成方式:静态配置和动态配置。 静态配置 该方式下,需要用户通过命令行将终端的 址和 行绑定,设备会生成一条相应的项。手工配置绑定关系时,如果指定 值为全 1,则绑定的是单个 址和 果指定的 位为连续的 1,低位为 0,则绑定的是一类 址和常用于将某一厂商的通信设备划分到同一 该方式实现简单,只涉及接入设备,但该方式下需要在终端可能接入的端口手工配置允许终端的过,配置量大。 动态配置 该方式下,需要在设备上同时配置 基于 接入认证方式(比如 址认证或者基于 证)。如果用户发起认证请求,认证服务器会对认证用户名和密码进行验证,如果通过,则会下发 息。此时设备就可根据认证请求报文的源 址和下发的 息生成 项,并自动将 加到端口允许通过的 表中。用户下线后,设备又自动删除 项,并将 端口允许通过的 表中删除。 该方式的优点是灵活、安全。 z 它能够自动识别 址,能够自动创建 项,能够自动允许 过接入端口。因此该方式应用于大型网络时能够大大简化配置,使用灵活。 z 只有用户接入认证成功,才能通过指定的 入网络,因此提高了网络的安全性。 应用限制 z 能在 Hybr
