Agile Controller介绍

AC-Campus是做什么的：

基于用户与应用的网络资源自动化控制系统，作为园区网络的集中化控制核心，全局控制园区网络的用户、业务与安全等策略。

AC应用场景：

传统园区有线无线一体化接入
敏捷园区接入
公共场所无线接入

AC的功能特性：

准入控制（接入管理）

支持多种认证方式，可基于用户/用户组，接入时间，接入地点，接入终端，终端类型、接入方式等多种条件对接入终端进行精细化授权。
访客管理

提供访客账号自助户厕管理，支持Portal页面内容自定义和页面推送。

提供全生命周期的访客帐号管理，支持与第三方社交媒体帐号联动，
实现访客通过社交媒体帐号直接接入网络。
终端安全

对接入网络的用户终端强制实施企业安全策略，提供终端健康检查、软件分发、补丁管理、资产管理等功能，保障企业网络安全。
业务随行

实现全网策略的统一部署与自动同步，确保全网策略一致，让用户自由移动时享受一致的业务体验。
业务编排

不受设备物理位置影响灵活编排业务流，集中利用业务设备，提高设
备利用率。
安全协防

收集安全日志与事件，通过大数据关联分析，识别高危资产和区域，评估全网安全态势，帮助用户实施全网防护和主动防御。

AC的产品架构：

Agile Controller-Campus系统包括：管理中心（Management Center，简称MC）、业务管理器（Service Manager，简称SM）、业务控制器（Service Controller，简称SC）以及客户端，网络接入设备（Network Access Device，简称NAD）作为方案的组成部分与业务控制器联动实现基于用户的接入控制和业务随行。

管理中心 Management Center（MC）

MC在分级管理部署时使用，作为Agile Controller-Campus系统的管理中心。负责制定准入控制的总体策略（包括：安全接入控制、终端安全管理、补丁管理、软件分发和License管理），并将这些策略下发给下级节点，同时对下级节点实施情况进行监控。
业务管理器 Service Manager（SM）

SM承担业务管理的角色，向已经连接的SC发送实施指令，完成各种业务配置。系统管理员通过WEB管理界面，完成用户管理、准入控制、业务随行策略配置等管理工作。
业务控制器 Service Controller（SC）

SC集成有标准的RADIUS服务器、Portal服务器等，负责与网络接入设备联动实现基于用户的网络访问控制策略。
网络接入设备 Network Access Device（NAD）

Agile Controller-Campus与NAD系统配合，为企业提供网络接入控制功能和访客管理功能。 Agile Controller-Campus系统支持多种类型的网络接入控制设备，包括WLAN的AC/AP设备、华为的Portal交换机、通用的标准802.1X交换机，以及华为的网络接入控制网关（简称SACG）。
客户端

Agile Controller-Campus系统提供专用的认证客户端（仅支持在Windows操作系统使用），同时也支持使用标准802.1X客户端或主流浏览器进行认证。

AC的准入控制

什么是准入控制：

准入控制是指出于网络安全考虑对尝试接入网络的用户进行认证和授权，确保只有身份合法并且符合条件的用户才允许接入网络。

智慧的大脑—5W1H：

Who：谁接入了网络（员工、访客）
When：什么时间接入（上班时间、下班时间）
Where：在什么地方接入（研发区、非研发区、家里）
Whose：谁的设备（公司设备、自己设备）
What：什么设备接入（PC、iOS、Android）
How：如何接入（有线、无线、VPN）

授权规则：

准入控制中，核心是授权条件和授权结果，授权条件是接入网络的主体（人、终端），与一些接入元素（地点、时间、接入方式等）的组合，授权结果是指在设备上通过什么样的方式控制用户接入的策略。

图：授权规则

四种准入控制技术对比：

认证方案	简介	特点	适用场景
802.1X	基于终端身份在局域网实现网络访问授权的解决方案	优点：可实现二层隔离，安全性高，广泛应用于园区网员工接入缺点：需要安装客户端；认证点多，维护较复杂支持的客户端类型：AnyOffice、操作系统自带的802.1X客户端支持的接入控制设备：华为交换机/AC，支持标准RADIUS协议的第三方交换机	大、中、小型园区，网络安全要求严格
Portal	也称为Web认证，用户通过在Web认证页面输入帐号密码进行认证，获得网络访问权限	优点：无需安装客户端，直接通过Web认证，广泛应用于园区网访客接入缺点：安全性低支持的客户端类型：Web、AnyOffice、Web Agent支持的接入控制设备：华为交换机/AC，支持CMCC Portal的第三方设备	主要用于无需客户端认证的场景
MAC认证	终端以MAC地址作为身份凭据进行身份认证，获取网络访问权限	优点：无需用户输入帐号密码，通过MAC地址自动完成认证，主要用于IP电话、打印机、摄像头等哑终端接入缺点：安全性低，需要登记MAC地址，管理复杂支持的客户端类型：无需客户端支持的接入控制设备：华为交换机/AC，支持标准RADIUS协议的第三方交换机	主要用于IP电话、打印机等哑终端设备
SACG	使用防火墙作为接入控制设备，基于终端的身份和安全状况控制终端访问网络的权限	优点：认证控制点（防火墙）一般位于数据中心或网络出口位置，方便维护，设备有逃生通道，一般用于大中型企业缺点：安全性相对于802.1X低，只能用于有线接入支持的客户端类型：Web、AnyOffice、Web Agent支持的接入控制设备：USG/Eudemon中低端防火墙	一般用于大中型企业

各认证方式原理可参考如下详细介绍：

802.1x认证原理
Portal认证原理
SACG认证原理
MAC认证和旁路认证

参考文档：华为HedEx文档

AC敏捷控制器及准入控制技术对比相关推荐

常见的网络准入控制技术对比表
产品类别管控能力及范围优势劣势 802.1X 高,管控到内网入口 1.802.1x是一个国际标准,多个厂商支持 2.通过动态VLAN切换,实现对不安全终端的隔离 3.不会影响网络的性能 1.只有 ...
计算机终端网络准入控制要求,计算机网络终端准入控制技术资料.pdf
201 计算机系统应用 1年第20卷第l期http://www．c-S·a．org．cn 计算机网络终端准入控制技术① 周超,周城,丁晨路 (重庆通信学院研究生管理大队,重庆400035) 摘要:终端 ...
PingCode与Jira 敏捷开发管理能力的对比
敏捷开发是一种以拥抱用户需求为核心.采用不断迭代的方式进行的软件开发模式,依靠自组织的跨职能小团队,在短周期内通过快速.频繁的迭代,迅速的获取反馈,进而不断的完善产品,给用户带来更大的价值. 虽然敏捷 ...
用python爬虫来登录深信服ac行为控制器，涉及到js加密部分，更新url分类库（针对企业微信更新）
企业环境中会有限制员工访问外网的情况,但是限制外网的同时也会把一些常用的软件也限制掉,比如(企业微信)所以需要把企业微信用到的域名,还有url排除掉,但是企业微信的域名,还有IP是不固定的,需要经常登 ...
基于Cisco PacketTrancer的企业/校园双核心热备+WLC、AC无线控制器的无线网络拓扑规划
设计技术动态 vlan ,nat,ospf ACL访问控制列表,HSRP备份冗余,服务器配置,动态主机配置协议(DHCP),FTP,email,IPhone,生成树协议(STP),链路聚合. 无线WL ...
思科AC无线控制器AIR-CT2504-K9修改Wi-Fi密码
注:不同版本的控制权有些选项可能略微不同,但大同小异,本文章仅做参考无线控制器:AIR-CT2504-K9 1.使用浏览器登录控制器的管理界面,输入用户名和密码进行登录. 2.点击右上角advanc ...
微型步进电机驱动控制器---矩阵多点控制技术整体解决方案
简介多点运动控制系统由多个运动单元组成,包括运动控制,步进伺服马达,机械结构以及控制软件等.多点运动控制在艺术视觉.物流.智能家居等领域都有着广泛的应用.在艺术视觉领域,大量运动单元有规则的运动,可 ...
准入控制_Kubernetes动态准入控制示例
准入控制 A walk-through of creating a webhook for Kubernetes dynamic admission control. 创建用于Kubernetes动态 ...
局域网流量控制_基于软件定义的网络准入控制体系
引用本文邓永晖,周佳,鹿文杨.基于软件定义的网络准入控制体系[J].通信技术,2020,53(04):970-975.DENG Yong-hui,ZHOU Jia,LU Wen-yang. N ...

AC敏捷控制器及准入控制技术对比