CN102255892B - 支持无线接入和远程接入的企业网络系统 - Google Patents
支持无线接入和远程接入的企业网络系统 Download PDFInfo
- Publication number
- CN102255892B CN102255892B CN201110164244.XA CN201110164244A CN102255892B CN 102255892 B CN102255892 B CN 102255892B CN 201110164244 A CN201110164244 A CN 201110164244A CN 102255892 B CN102255892 B CN 102255892B
- Authority
- CN
- China
- Prior art keywords
- access
- user
- enterprise
- wireless
- layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种支持无线接入和远程接入的企业网络系统,包括接入层、汇聚层和核心层,所述接入层设置有供用户有线接入的接入交换机、供无线用户接入的无线接入点;所述核心层设置有核心交换机、与核心交换机连接的服务器集群,其特征在于所述汇聚层设置有企业用户接入服务器(
EnterpriseCustomerAccessServer
,
ECAS
)节点,所述企业用户接入服务器节点分别与接入层的接入交换机和无线接入点网络连接,负责控制管理接入用户和核心交换机的连接。该系统解决了集中式用户策略控制网络中部分节点数据流负载过大而成为网络瓶颈的问题,且对企业网络的核心转发性能的影响被降到最低。
Description
技术领域
本发明属于企业虚拟网技术领域,具体涉及一种支持无线接入和远程接入的企业网络系统。
背景技术
现有技术中大部分企业采用如图1所示的网络架构进行部署,企业网分为接入层、汇聚层和核心层,所述接入层设置有供用户有线接入的接入交换机,用户通过有线网络接入接入交换机;所述核心层设置有核心交换机、与核心交换机连接的服务器集群,所述汇聚层设置有若干个汇聚交换机,所述接入交换机与核心交换机连接,核心交换机通过网关、防火墙与外网连接。服务器集群包括邮件服务器、文件服务器、AAA服务器和web服务器等。通过对企业网络划分VLAN来进行子网划分、访问隔离以及对用户组实施不同的策略控制等。这种架构存在以下缺陷:
(1)仅在企业网的出口处通过网关或防火墙引入了对用户访问Internet行为的策略控制(如:访问控制、QoS等),用户对企业网内部资源的访问控制手段比较欠缺。
(2)对用户数据流的策略控制粒度比较粗,通常是基于VLAN以及为数不多的ACL策略来实现。对用户数据流进行策略控制的设备比较集中,往往会成为企业网络性能的瓶颈。
然而随着WLAN等一系列无线网络通信技术的蓬勃发展,移动办公、远程接入成为一种新的工作方式。如此灵活的用户接入方式又暴露了传统的企业网络架构一些新的问题:
(1)为支持用户的无线接入方式,企业必须重新部署无线网络,网络所提供的有线接入功能与无线接入功能无法做到融合。
(2)不具备企业网内用户的远程接入功能,无法应对远程办公等移动应用需求。
因此,现阶段迫切地需要一种全新的企业网络架构来应对现有技术中遇到的一系列挑战。本发明因此而来。
发明内容
本发明目的在于提供一种支持无线接入和远程接入的企业网络系统,解决了现有技术中不具备企业网内用户的远程接入和无线接入功能,无法应对远程办公和移动办公等问题。
为了解决现有技术中的这些问题,本发明提供的技术方案是:
一种支持无线接入和远程接入的企业网络系统,包括接入层、汇聚层和核心层,所述接入层设置有供用户有线接入的接入交换机、供无线用户接入的无线接入点;所述核心层设置有核心交换机、与核心交换机连接的服务器集群,其特征在于所述汇聚层设置有企业用户接入服务器(EnterpriseCustomer Access Server,ECAS)节点,所述企业用户接入服务器节点分别与接入层的接入交换机和无线接入点网络连接,负责控制管理接入用户和核心交换机的连接。
优选的,所述核心交换机与internet网络间设置防火墙,所述防火墙与核心交换机间设置企业远程接入服务器(Enterprise Remote Access Server,ERAS)节点,所述企业远程接入服务器节点负责远程登录用户的远程访问控制和传输控制。
优选的,所述企业远程接入服务器节点设置在企业网络与运营商骨干网之间的企业网边缘层。
优选的,所述企业用户接入服务器节点能够对网络报文提供二层、三层交换服务;能够作为NAS提供对通过有线或无线方式接入用户统一的认证、授权,并与认证服务器对接;并配置基于域、用户组、单个用户的数据流策略,对用户提供区分服务、访问控制。
优选的,所述企业用户接入服务器节点支持无线接入控制器功能,对与其连接的所有提供无线服务的无线接入点进行配置、维护和管理。
优选的,所述企业远程接入服务器节点能够对企业网外部接入的用户提供认证、授权,与认证服务器对接;并配置基于域、用户组、单个用户的数据流策略,对用户提供区分服务、访问控制,为远程接入用户提供安全通信机制,提供与远程接入用户的保密通信。
优选的,所述企业远程接入服务器节点支持三层路由功能;支持与其它企业远程接入服务器节点设备对接并进行保密通信。
本发明构建了一种无缝融合有线和无线接入方式的企业网络架构,尤其涉及能够对企业网络中各种灵活接入的用户提供最大化的接入认证、网络授权、流量控制等策略控制而不影响网络服务性能的企业网络架构。本发明中提出的新型的企业网络架构将:无缝融合企业网中有线部分和无线部分网络服务;能够对用户进行精细的接入和数据流策略控制,且完全不会影响到网络的整体通信性能。
本发明企业网络架构中引入了ECAS(Enterprise Customer AccessServer)和ERAS(Enterprise Remote Access Server)两个节点。
ECAS属于企业网络的汇聚层,其基本功能是一个三层的汇聚交换机。除了对用户提供报文的二、三层转发以外,ECAS还具有以下功能:1)融合了有线和无线侧的NAS功能,为有线或无线用户提供接入、认证、授权、计费等功能。2)基于用户进行策略控制,根据网络管理员的策略配置对各个认证通过的用户分别提供不同的流策略控制,从而实现基于用户级别的接入控制、网络资源访问控制、QoS等。
通过无线或有线链路接入的用户在访问网络资源之前需要先通过认证,用户、ECAS、AAA服务器三者之间构成了申请者、认证者和认证服务器的角色。这时,ECAS充当了NAS的功能。当用户通过网络认证之后,ECAS将根据网络管理员事先对接入用户配置的信息来进行用户授权。比如,某些用户可以访问企业的文件服务器、邮件服务器、而不允许访问Internet。
ERAS属于企业网络边缘层,与运营商骨干网连接,其基本功能是充当企业网的网关,除此之外,ERAS还扩展了以下功能:1)为企业内部用户的远程登入提供接入认证、授权等功能。2)为远程用户通信提供保密通信机制,如:IPSec,SSL等等。3)为远程用户提供远程访问的策略控制功能。4)为多分支机构的企业提供安全网关的功能。
ERAS除了作为企业网关以外主要服务于外部接入的用户,这些用户可能是属于企业的远程接入用户,也可能是广域网中任何一个访问企业资源的企业外部用户。外部接入用户(这里的外部指的是物理上而非逻辑上的外部)在能够访问企业网络资源以前也需要经历认证与授权过程,与之前阐述的企业内部用户不同的是这里的外部接入用户、ERAS、AAA服务器之间构成了申请者、认证者和认证服务器的角色。这时ERAS充当了NAS的功能。当外部用户通过企业网络的认证和授权之后,ERAS能够对这些用户进行精细的策略控制,可以是基于用户角色组的,甚至可以是在用户级别上的策略控制。
相对于现有技术中的方案,本发明的优点是:
在本发明的网络架构中,用户策略控制在汇聚层终结(对于通过企业内部网络接入的用户,服务策略控制在处于汇聚层的ECAS节点终结,通过外部网络接入的用户的策略控制在处于企业边缘汇聚层的ERAS节点终结),这种架构将原先在企业核心层进行的用户策略控制分别向内、向外移至汇聚层和边缘层,这为实现基于用户的策略控制提供了性能保证,因为单个ECAS或ERAS节点上被分到的用户规格不至于过大,解决了集中式用户策略控制网络中部分节点数据流负载过大而成为网络瓶颈的问题。
另一方面,ECAS节点和ERAS节点向内和向外都离用户更近,在这些节点上进行用户数据流的策略控制将更加精确,对企业网络的核心转发性能的影响被降到最低。
附图说明
下面结合附图及实施例对本发明作进一步描述:
图1为现有技术中企业网络的架构拓扑图;
图2为本发明实施例支持无线接入和远程接入的企业网络系统的架构拓扑图。
图3为本发明实施例企业内部用户进行接入访问时的认证角色图。
图4为本发明实施例企业外部用户接入时的认证角色图。
图5为本发明实施例企业网本地无线用户接入认证流程图。
图6为本发明实施例ECAS/ERAS对用户进行接入认证的流程图。
图7为本发明实施例ECAS/ERAS实现的粗/细粒度用户访问控制策略。
具体实施方式
以下结合具体实施例对上述方案做进一步说明。应理解,这些实施例是用于说明本发明而不限于限制本发明的范围。实施例中采用的实施条件可以根据具体厂家的条件做进一步调整,未注明的实施条件通常为常规实验中的条件。
如图2所示,该企业网络,包括接入层、汇聚层、核心层和边缘层,所述接入层设置有供用户有线接入的接入交换机、供无线用户接入的无线接入点;所述核心层设置有核心交换机、与核心交换机连接的服务器集群,所述汇聚层设置有企业用户接入服务器(Enterprise Customer Access Server,ECAS)节点,所述企业用户接入服务器节点分别与接入层的接入交换机和无线接入点网络连接,负责控制管理接入用户和核心交换机的连接;所述边缘层设有企业远程接入服务器(Enterprise Remote Access Server,ERAS)和防火墙,所述企业远程接入服务器节点作为企业网络的网关并负责远程登录用户的远程访问控制和传输控制。
企业用户接入服务器节点能够对网络报文提供二层、三层交换服务;能够作为NAS提供对通过有线或无线方式接入用户统一的认证、授权,以及与认证服务器对接;并配置基于域、用户组、单个用户的数据流策略,对用户提供区分服务、访问控制。所述企业用户接入服务器节点支持无线接入控制器功能,对与其连接的所有提供无线服务的无线接入点进行配置、维护和管理。
企业用户接入服务器(ECAS)对无线用户的WPA认证流程如图5所示。ECAS与无线用户之间的报文交互在AP和ECAS这段部分链路上的传输由业内标准的CAPWAP协议实现,CAPWAP协议中所给出的DTLS保证了AP与ECAS之间的隧道通信的私密性。ECAS首先对无线用户进行802.1x认证,完成后ECAS和无线用户双方会产生成对的通信主密钥并触发ECAS与用户进行4次密钥握手来产生用户无线保密通信的成对临时密钥,最后ECAS通过经安全加密的CAPWAP隧道将成对临时密钥下发至AP实现无线用户与AP之间无线链路的加密通信。
企业用户接入服务器使得无线与有线用户的数据流策略控制功能均统一在ECAS节点上终结,ECAS节点以后的所有网络节点统一处理来自于有线和无线侧的数据流,而不对它们进行区分处理,因此实现了企业网中有线服务与无线服务的融合。
企业远程接入服务器节点设置在企业网络与运营商骨干网之间的企业网边缘层,支持三层路由功能,为企业内部网络提供网关服务。所述企业远程接入服务器节点能够对企业网外部接入的用户提供认证、授权,与认证服务器对接;并配置基于域、用户组、单个用户的数据流策略,对用户提供区分服务、访问控制,为远程接入用户提供安全通信机制,提供与远程接入用户的保密通信;支持与其它企业远程接入服务器节点设备对接并进行保密通信。
企业本地用户或企业远程接入用户在正常访问网路之前需要依次历经了认证交互、授权、密钥握手这几个阶段,如图6所示。企业用户接入服务器(ECAS)和企业远程接入服务器(ERAS)通过用户策略表、用户组策略表和策略表(如图7所示)实现对用户进行粗细粒度的访问控制以及提供区分服务。网络管理员在ECAS和ERAS上配置的用户访问控制策略保存在用户策略表、用户组策略表和策略表中,随后在企业本地用户或远程用户接入网络并认证通过后的授权阶段,ECAS或ERAS才真正激活这三张表中对当前用户的访问控制策略。若用户策略表中标识当前认证通过用户的表项的用户组ID和策略ID同时有效时由策略ID决定了当前用户的访问控制策略,这实现了以用户为单位的细粒度访问控制;否则,ECAS/ERAS对用户所实施的访问控制策略以用户所在的用户组决定,以此实现以用户组为单位的粗粒度访问控制。对于未配置策略的用户将统一采用默认的访问控制策略以及服务等级。
上述实例只为说明本发明的技术构思及特点,其目的在于让熟悉此项技术的人是能够了解本发明的内容并据以实施,并不能以此限制本发明的保护范围。凡根据本发明精神实质所做的等效变换或修饰,都应涵盖在本发明的保护范围之内。
Claims (4)
1.一种支持无线接入和远程接入的企业网络系统,包括接入层、汇聚层和核心层,所述接入层设置有供用户有线接入的接入交换机、供无线用户接入的无线接入点;所述核心层设置有核心交换机、与核心交换机连接的服务器集群,其特征在于所述汇聚层设置有企业用户接入服务器(EnterpriseCustomer Access Server,ECAS)节点,所述企业用户接入服务器节点分别与接入层的接入交换机和无线接入点网络连接,负责控制管理接入用户和核心交换机的连接;所述核心交换机与internet网络间设置防火墙,所述防火墙与核心交换机间设置企业远程接入服务器(Enterprise Remote AccessServer,ERAS)节点,所述企业远程接入服务器节点负责远程登录用户的远程访问控制和传输控制;所述企业用户接入服务器节点支持无线接入控制器功能,对与其连接的所有提供无线服务的无线接入点进行配置、维护和管理;所述企业远程接入服务器节点能够对企业网外部接入的用户提供认证、授权,与认证服务器对接;并配置基于域、用户组、单个用户的数据流策略,对用户提供区分服务、访问控制,为远程接入用户提供安全通信机制,提供与远程接入用户的保密通信。
2.根据权利要求1所述的支持无线接入和远程接入的企业网络系统,其特征在于所述企业远程接入服务器节点设置在企业网络与运营商骨干网之间的企业网边缘层。
3.根据权利要求1所述的支持无线接入和远程接入的企业网络系统,其特征在于所述企业用户接入服务器节点能够对网络报文提供二层、三层交换服务;能够作为NAS提供对通过有线或无线方式接入用户统一的认证、授权,并与认证服务器对接;并配置基于域、用户组、单个用户的数据流策略,对用户提供区分服务、访问控制。
4.根据权利要求1所述的支持无线接入和远程接入的企业网络系统,其特征在于所述企业远程接入服务器节点支持三层路由功能;支持与其它企业远程接入服务器节点设备对接并进行保密通信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110164244.XA CN102255892B (zh) | 2011-06-17 | 2011-06-17 | 支持无线接入和远程接入的企业网络系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110164244.XA CN102255892B (zh) | 2011-06-17 | 2011-06-17 | 支持无线接入和远程接入的企业网络系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102255892A CN102255892A (zh) | 2011-11-23 |
| CN102255892B true CN102255892B (zh) | 2014-03-26 |
Family
ID=44982888
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110164244.XA Expired - Fee Related CN102255892B (zh) | 2011-06-17 | 2011-06-17 | 支持无线接入和远程接入的企业网络系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102255892B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103237041A (zh) * | 2012-11-07 | 2013-08-07 | 无锡成电科大科技发展有限公司 | 一种无线医疗数据传输方法和数据传输系统 |
| WO2014079051A1 (zh) | 2012-11-23 | 2014-05-30 | 华为技术有限公司 | 通信方法、用户设备和统一无线控制器 |
| CN103326881A (zh) * | 2013-05-11 | 2013-09-25 | 中煤科工集团武汉设计研究院 | 长距离管道输煤计算机管理网络系统 |
| CN103269376B (zh) * | 2013-05-31 | 2014-12-10 | 国家电网公司 | 一种集中授权集中管理的企业网大文件传输系统的传输方法 |
| CN103973525A (zh) * | 2014-04-17 | 2014-08-06 | 黄叶芳 | 一种新型无线远程办公系统 |
| CN104283721A (zh) * | 2014-10-30 | 2015-01-14 | 中国二十二冶集团有限公司 | 双核心三层网络系统架构 |
| CN107105038A (zh) * | 2017-04-26 | 2017-08-29 | 江苏新和网络科技发展有限公司 | 一种公安交警计算机网络系统 |
| CN107819706A (zh) * | 2017-12-07 | 2018-03-20 | 赛拓信息技术有限公司 | 网络授权接收系统 |
| CN111741501B (zh) * | 2019-03-25 | 2023-02-28 | 上海诺基亚贝尔股份有限公司 | 切换核心设备的方法、设备、装置和计算机可读介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1527557A (zh) * | 2003-03-04 | 2004-09-08 | 华为技术有限公司 | 一种桥接设备透传802.1x认证报文的方法 |
| CN101166093A (zh) * | 2007-08-22 | 2008-04-23 | 杭州华三通信技术有限公司 | 一种认证方法和系统 |
| CN101442430A (zh) * | 2007-10-16 | 2009-05-27 | 北京华瑞泰达科贸有限公司 | IPv6数字化网络照明控制系统和IPv6数字化网络控制系统 |
-
2011
- 2011-06-17 CN CN201110164244.XA patent/CN102255892B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1527557A (zh) * | 2003-03-04 | 2004-09-08 | 华为技术有限公司 | 一种桥接设备透传802.1x认证报文的方法 |
| CN101166093A (zh) * | 2007-08-22 | 2008-04-23 | 杭州华三通信技术有限公司 | 一种认证方法和系统 |
| CN101442430A (zh) * | 2007-10-16 | 2009-05-27 | 北京华瑞泰达科贸有限公司 | IPv6数字化网络照明控制系统和IPv6数字化网络控制系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102255892A (zh) | 2011-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102255892B (zh) | 支持无线接入和远程接入的企业网络系统 | |
| JP6074520B2 (ja) | オープンフロー可能なWiFi管理エンティティアーキテクチャ | |
| CN109640324B (zh) | 一种通信方法及相关装置 | |
| CN104488238B (zh) | 用于网络环境中集群链路聚合控制的系统和方法 | |
| EP1670205B1 (en) | Method and apparatuses for pre-authenticating a mobile user to multiple network nodes using a secure authentication advertisement protocol | |
| CN101123498B (zh) | 一种实现接入认证的方法、设备及系统 | |
| CN1655504B (zh) | 基于端口的对等访问控制方法 | |
| WO2011081104A1 (ja) | 通信システム、認証装置、制御サーバ、通信方法およびプログラム | |
| CN102469078A (zh) | 一种校园网接入外部网络的实现方法、系统及装置 | |
| JP2004343448A (ja) | 無線lanアクセス認証システム | |
| CN108881131B (zh) | Sdn多域移动网络环境下主机身份鉴别信息的高效移交机制 | |
| CN101785358A (zh) | 异构无线自组织网络 | |
| US20040066764A1 (en) | System and method for resource authorizations during handovers | |
| CN108234677A (zh) | 一种面向多区块链平台的区块链网络节点服务装置 | |
| CN101711031A (zh) | 一种本地转发中的Portal认证方法和接入控制器 | |
| CN111669795A (zh) | 基于区块链安全属性的自组网移动接入切换方法 | |
| CN106027491B (zh) | 基于隔离ip地址的独立链路式通信处理方法和系统 | |
| Hallingstad et al. | Protected core networking: an architectural approach to secure and flexible communications | |
| CN102209319A (zh) | 提高mesh网络中的接入控制器控制效率的方法及接入控制器 | |
| CN103731817B (zh) | 一种数据传输的方法和设备 | |
| CN104185177B (zh) | 一种安全密钥管理方法、装置和系统 | |
| CN101917414B (zh) | Bgp分类网关设备及利用该设备实现网关功能的方法 | |
| JP2005064783A (ja) | 公衆インターネット接続サービスシステムおよびアクセス回線接続装置 | |
| CN104219783B (zh) | 一种会话重定向方法和设备 | |
| Ding et al. | A flow-based authentication handover mechanism for multi-domain sdn mobility environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140326 Termination date: 20210617 |