CN106789636A - 一种高可用可信网络接入控制方法和系统 - Google Patents
一种高可用可信网络接入控制方法和系统 Download PDFInfo
- Publication number
- CN106789636A CN106789636A CN201710170717.4A CN201710170717A CN106789636A CN 106789636 A CN106789636 A CN 106789636A CN 201710170717 A CN201710170717 A CN 201710170717A CN 106789636 A CN106789636 A CN 106789636A
- Authority
- CN
- China
- Prior art keywords
- access control
- interchanger
- network access
- server
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/58—Association of routers
- H04L45/586—Association of routers of virtual routers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
- H04L47/125—Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种高可用可信网络接入控制方法,包括:为可信网络接入控制服务器中的每一个配置至少两个IP地址,并在可信网络接入控制服务器中的每一个中部署可信网络接入控制程序;为交换机中的每一个配置802.1x认证信息和至少两个Radiusd服务器IP地址;为交换机中的每一个配置VRRP以实现交换机的主备模式;为交换机配置虚拟网关,并将终端的网关配置为虚拟网关。本发明还提供一种高可用可信网络接入控制系统。本发明具有高可用、负载均衡的优点。
Description
技术领域
本发明涉及网络技术领域,并且更具体地涉及一种高可用可信网络接入控制方法和系统。
背景技术
目前,可信网络接入控制方法方式较多。对于网络接入控制要求比较严格的场景,通常做法是在网络接入控制设备部署HA(High Available)软件,以实现网络接入控制设备的高可用。但是,该方法依然无法解决网络中因交换机等导致的网络故障。另外,HA软件常驻后台运行,占用了网络接入控制设备的资源,当网络内终端数量较多时极大地影响了接入控制服务。
发明内容
针对上述现有技术中存在的问题,本发明的目的在于提供一种高可用可信网络接入控制方法和系统,基于交换机的VRRP(虚拟路由冗余协议(Virtual Router RedundancyProtocol))技术实现交换机的冗余,并在交换机中配置接入控制服务器列表,实现双层高可用,解决了网络接入控制高可用需求的同时,也可以利用交换机实现接入控制的负载均衡。
为了实现上述目的,本发明采用的技术方案如下:
一种高可用可信网络接入控制方法,包括以下步骤:
步骤S101:为可信网络接入控制服务器中的每一个配置至少两个IP地址,并在可信网络接入控制服务器中的每一个中部署可信网络接入控制程序;
步骤S102:为交换机中的每一个配置802.1x认证信息和至少两个Radiusd服务器IP地址,以支持网络接入控制的高可用;
步骤S103:为交换机中的每一个配置VRRP,以实现交换机的主备模式;
步骤S104:为交换机配置虚拟网关,并将终端的网关配置为虚拟网关。
进一步地,可信网络接入控制服务器包括第一可信网络接入控制服务器和第二可信网络接入控制服务器,第一可信网络接入控制服务器的地址配置为IP1和IP2,第二可信网络接入控制服务器的地址配置为IP3和IP4。
进一步地,交换机包括第一交换机和第二交换机,第一交换机的地址配置为IP1和IP3,第二交换机的地址配置为IP2和IP4,或者,第一交换机的地址配置为IP1和IP4,第二交换机的地址配置为IP2和IP3。
进一步地,交换机为三层网络交换机。
根据本发明,还提供了一种高可用可信网络接入控制系统,可信网络包含终端、交换机和可信网络接入控制服务器,其中,终端可通信地连接到交换机,交换机可通信地连接到可信网络接入控制服务器,
可信网络接入控制服务器中的每一个配置有至少两个IP地址,并且可信网络接入控制服务器中的每一个部署有可信网络接入控制程序;
交换机中的每一个配置有802.1x认证信息和至少两个Radiusd服务器IP地址,以支持网络接入控制的高可用;
交换机之间配置有VRRP,以实现交换机的主备模式;
交换机中的每一个配置有虚拟网关,并将终端中的每一个的网关配置为虚拟网关。
进一步地,可信网络接入控制服务器包括第一可信网络接入控制服务器和第二可信网络接入控制服务器,第一可信网络接入控制服务器的地址配置为IP1和IP2,第二可信网络接入控制服务器的地址配置为IP3和IP4。
进一步地,交换机包括第一交换机和第二交换机,第一交换机的Radiusd服务器IP地址配置为IP1和IP3,第二交换机的Radiusd服务器IP地址配置为IP2和IP4,或者,第一交换机的地址配置为IP1和IP4,第二交换机的地址配置为IP2和IP3。
进一步地,进一步包括核心交换机,核心交换机分别与终端、第一交换机、以及第二交换机通信地连接。
进一步地,交换机为三层网络交换机。
根据本发明,还提供了一种计算机可读存储介质,其上存储有计算机程序(指令),用于实现对高可用可信网络接入的控制,程序(指令)被处理器执行时实现权利要求1的方法的步骤。
通过交换机、可信网络接入控制服务器的协同工作,本发明具有以下有益效果:
实现了交换机的高可用,避免因其中一个交换机故障而导致整个网络无法提供服务;
实现了可信网络接入控制服务器的高可用,避免因其中一台服务器故障而导致整个网络接入控制服务中断;
借助交换机的VRRP技术,实现了负载均衡,同时支持终端大并发接入。
附图说明
图1示出了根据本发明的一个实施例的高可用可信网络接入控制方法的流程图;
图2示出了根据本发明的另一个实施例的高可用可信网络接入控制系统的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,下面结合附图,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
图1示出了根据本发明的一个实施例的高可用可信网络接入控制方法的流程图。在该实施例中,该可信网络包含两台交换机、两台可信网络接入控制服务器和三个终端,每个可信网络接入控制服务器配置有两个网卡。其中,所示的方法开始于步骤S101。在步骤S101,在可信网络接入控制服务器中部署接入控制程序,并启动该接入控制程序,方法前进到步骤S102。在步骤S102,配置可信网络接入控制服务器各自的网卡IP地址,其中可信网络接入控制服务器1的IP地址记为IP1和IP2,可信网络接入控制服务器2的IP地址记为IP3和IP4,然后方法前进到步骤S103。在步骤S103,为了支持可信网络接入控制的高可用,需要在交换机上配置服务器列表。首先,配置交换机各自的802.1x认证信息(即802.1x服务器列表),并将一台交换机(记为交换机1)的Radiusd服务器IP地址配置为IP1和IP3,另一台交换机(记为交换机2)的Radiusd服务器IP地址配置为IP2和IP4,然后方法前进到步骤S104。在步骤S104,为了实现交换机的高可用性,需要配置交换机的VRRP功能,将其中交换机1配置为主控状态,交换机2配置为非主控状态,然后方法前进到步骤S105。在步骤S105,配置交换机的虚拟网关,并将终端计算机的网关配置为上述虚拟网关,方法结束。
该方法主要采用交换机的VRRP实现交换机高可用,并在交换机上配置多个Radiusd服务器地址,终端配置网关为虚拟网关。当其中一台交换机出现故障时,网络自动切换到另外一台交换机,当可信网络接入控制服务器出现故障时,交换机会枚举配置的Radiusd服务器IP地址,查找可用的可信网络接入控制服务器以提供服务,从而实现可信网络接入控制服务的高可用。
图2示出了根据本发明的另一个示例的高可用可信网络接入控制系统的结构示意图。在该实施例中,该可信网络包含两台交换机、两台可信网络接入控制服务器和三个终端,可信网络接入控制服务器实现身份认证、网络接入控制、完整性度量等功能,交换机实现终端请求的冗余,当某台交换机出现故障后实时切换到另外一台交换机,此时可信网络继而服务由当前交换机配置的服务器提供服务。其中,三个终端各自通信地连接到核心交换机,该两台交换机通信地与该核心交换机连接并且该两台交换机彼此通信地连接,该两台交换机中的每一个与该两台可信网络接入控制服务器中的每一个通信地连接。可信网络接入控制服务器中的每一个包含两个网卡,一台可信网络接入控制服务器的IP地址设置为IP1和IP2,另一台可信网络接入控制服务器的IP地址设置为IP3和IP4,并且可信网络接入控制服务器中的每一个部署有接入控制软件。此外,根据不同的交换机配置,对交换机中的每一台配置802.1x认证信息,同时,分别更改两台交换机的802.1x服务器IP地址,即将交换机中的一台的Radiusd服务器IP地址设置为IP1和IP4,将交换机中的另一台的Radiusd服务器IP地址设置为IP2和IP3。进一步地,为了实现交换机的高可用,需要对两台交换机配置VRRP功能,具体为:配置两台交换机的Radiusd服务器之间的VRRP,使得其中一台交换机为主控状态,另一台交换机为非主控状态,当处于主控状态的交换机出现故障时,可信网络将自动切换到处于非主控状态的交换机。进一步地,配置两台交换机的虚拟网关,并将终端中的每一个的网关配置为上述虚拟网关,通过核心交换机,实现终端和交换机之间的快速数据交换。至此,通过上述系统,可以实现可信网络的接入控制功能并实现高可用、负载均衡的目的。
关于这里所述的过程、系统、方法等,应理解的是虽然这样的过程等的步骤描述为按照一定的顺序排列发生,但这样的过程可以采用以这里描述的顺序之外的顺序完成的描述的步骤实施操作。进一步应该理解的是,某些步骤可以同时执行,可以添加其他步骤,或者可以省略这里所述的某些步骤。进一步还应该理解的是,为了便于说明的目的,将实施例中的交换机限定为两台、可信网络接入控制服务器限定为两台及终端限定为三个,在实质上不背离在此所描述的技术的精神和原理的情况下,可以对上述实施例进行许多变化和修改。所有修改旨在包括在本公开的范围内并由所附权利要求保护。换言之,这里的过程的描述提供用于说明某些实施例的目的,并且不应该以任何方式解释为限制要求保护的发明。
相应地,应理解的是上面的描述的目的是说明而不是限制。在阅读上面的描述时,除了提供的示例外许多实施例和应用都是显而易见的。本发明的范围应参照所附权利要求以及与权利要求所要求的权利等效的全部范围而确定,而不是参照上面的说明而确定。可以预期的是这里所讨论的领域将出现进一步的发展,并且所公开的系统和方法将可以结合到这样的未来的实施例中。总之,应理解的是本发明能够进行修正和变化。
还应当理解的是,任何所述的过程或所述过程中的步骤可以与其它公开的过程或步骤组合以形成本公开范围内的结构。本文公开的示例性结构、和过程是为了说明的目的,而不应被解释为限制。
Claims (10)
1.一种高可用可信网络接入控制方法,其特征在于,包括以下步骤:
步骤S101:为可信网络接入控制服务器中的每一个配置至少两个IP地址,并在所述可信网络接入控制服务器中的每一个中部署可信网络接入控制程序;
步骤S102:为交换机中的每一个配置802.1x认证信息和至少两个Radiusd服务器IP地址,以支持网络接入控制的高可用;
步骤S103:为所述交换机中的每一个配置VRRP,以实现所述交换机的主备模式;
步骤S104:为所述交换机配置虚拟网关,并将终端的网关配置为所述虚拟网关。
2.根据权利要求1所述的高可用可信网络接入控制方法,其特征在于,所述可信网络接入控制服务器包括第一可信网络接入控制服务器和第二可信网络接入控制服务器,所述第一可信网络接入控制服务器的地址配置为IP1和IP2,所述第二可信网络接入控制服务器的地址配置为IP3和IP4。
3.根据权利要求2所述的高可用可信网络接入控制方法,其特征在于,所述交换机包括第一交换机和第二交换机,所述第一交换机的Radiusd服务器IP地址配置为IP1和IP3,所述第二交换机的Radiusd服务器IP地址配置为IP2和IP4,或者,所述第一交换机的Radiusd服务器IP地址配置为IP1和IP4,所述第二交换机的Radiusd服务器IP地址配置为IP2和IP3。
4.根据权利要求1-3任一项所述的高可用可信网络接入控制方法,其特征在于,所述交换机为三层网络交换机。
5.一种高可用可信网络接入控制系统,所述可信网络包含终端、交换机和可信网络接入控制服务器,其中,所述终端可通信地连接到所述交换机,所述交换机可通信地连接到所述可信网络接入控制服务器,其特征在于,
所述可信网络接入控制服务器中的每一个配置有至少两个IP地址,并且所述可信网络接入控制服务器中的每一个部署有可信网络接入控制程序;
所述交换机中的每一个配置有802.1x认证信息和至少两个Radiusd服务器IP地址,以支持网络接入控制的高可用;
所述交换机中的每一个配置有VRRP,以实现所述交换机的主备模式;
所述交换机中的每一个配置有虚拟网关,并将所述终端中的每一个的网关配置为所述虚拟网关。
6.根据权利要求5所述的高可用可信网络接入控制系统,其特征在于,所述可信网络接入控制服务器包括第一可信网络接入控制服务器和第二可信网络接入控制服务器,所述第一可信网络接入控制服务器的地址配置为IP1和IP2,所述第二可信网络接入控制服务器的地址配置为IP3和IP4。
7.根据权利要求6所述的高可用可信网络接入控制系统,其特征在于,所述交换机包括第一交换机和第二交换机,所述第一交换机的Radiusd服务器IP地址配置为IP1和IP3,所述第二交换机的Radiusd服务器IP地址配置为IP2和IP4,或者,所述第一交换机的Radiusd服务器IP地址配置为IP1和IP4,所述第二交换机的Radiusd服务器IP地址配置为IP2和IP3。
8.根据权利要求6所述的高可用可信网络接入控制系统,其特征在于,进一步包括核心交换机,所述核心交换机分别与所述终端、所述第一交换机、以及所述第二交换机通信地连接。
9.根据权利要求5-7任一项所述的高可用可信网络接入控制系统,其特征在于,所述交换机为三层网络交换机。
10.一种计算机可读存储介质,其上存储有计算机程序(指令),用于实现对高可用可信网络接入的控制,其特征在于,所述程序(指令)被处理器执行时实现权利要求1所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710170717.4A CN106789636A (zh) | 2017-03-21 | 2017-03-21 | 一种高可用可信网络接入控制方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710170717.4A CN106789636A (zh) | 2017-03-21 | 2017-03-21 | 一种高可用可信网络接入控制方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106789636A true CN106789636A (zh) | 2017-05-31 |
Family
ID=58967281
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710170717.4A Pending CN106789636A (zh) | 2017-03-21 | 2017-03-21 | 一种高可用可信网络接入控制方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106789636A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101051951A (zh) * | 2006-05-29 | 2007-10-10 | 华为技术有限公司 | 一种保证服务器接入可靠性的方法及装置 |
| CN101764744A (zh) * | 2009-11-24 | 2010-06-30 | 福建星网锐捷网络有限公司 | Vrrp接入方法、装置与系统及vrrp路由设备 |
| CN102137021A (zh) * | 2011-03-31 | 2011-07-27 | 北京傲天动联技术有限公司 | 接入控制器的异地冗余备份方法 |
| CN102255918A (zh) * | 2011-08-22 | 2011-11-23 | 神州数码网络(北京)有限公司 | 一种基于DHCP Option 82的用户接入权限控制方法 |
| WO2012171378A1 (zh) * | 2011-06-15 | 2012-12-20 | 中兴通讯股份有限公司 | 解决vpls接入l3故障切换导致断流的方法及路由器 |
-
2017
- 2017-03-21 CN CN201710170717.4A patent/CN106789636A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101051951A (zh) * | 2006-05-29 | 2007-10-10 | 华为技术有限公司 | 一种保证服务器接入可靠性的方法及装置 |
| CN101764744A (zh) * | 2009-11-24 | 2010-06-30 | 福建星网锐捷网络有限公司 | Vrrp接入方法、装置与系统及vrrp路由设备 |
| CN102137021A (zh) * | 2011-03-31 | 2011-07-27 | 北京傲天动联技术有限公司 | 接入控制器的异地冗余备份方法 |
| WO2012171378A1 (zh) * | 2011-06-15 | 2012-12-20 | 中兴通讯股份有限公司 | 解决vpls接入l3故障切换导致断流的方法及路由器 |
| CN102255918A (zh) * | 2011-08-22 | 2011-11-23 | 神州数码网络(北京)有限公司 | 一种基于DHCP Option 82的用户接入权限控制方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108449282B (zh) | 一种负载均衡方法及其装置 | |
| CN103475682B (zh) | 文件迁移方法及设备 | |
| CN104580496A (zh) | 一种基于临时代理的虚拟机访问系统及服务器 | |
| CN103259736A (zh) | 一种隧道建立方法和网络设备 | |
| CN106101055A (zh) | 一种多数据库的数据访问方法及其系统和代理服务器 | |
| CN110572439A (zh) | 一种基于元数据服务和虚拟转发网桥的云监控方法 | |
| CN110177010B (zh) | 一种链路切换方法及装置 | |
| CN103326959B (zh) | 一种多网络制式的切换应用方法、系统及云存储系统 | |
| CN108418907A (zh) | Ip地址分配方法及装置 | |
| CN104539632A (zh) | 一种基于虚拟地址空间的可编程网络设备管理控制方法 | |
| CN110995545A (zh) | 云网络配置测试方法及装置 | |
| CN114448828B (zh) | 存储双活功能测试方法、系统、终端及存储介质 | |
| CN104753707A (zh) | 一种系统维护方法及网络交换设备 | |
| CN103873488A (zh) | 基于路由器插件的上网控制方法 | |
| CN104601412B (zh) | 一种独立测试网络系统及其建立方法 | |
| CN112995335B (zh) | 一种位置感知的容器调度优化系统及方法 | |
| CN107566513A (zh) | 测试设备dos环境数据采集方法和系统 | |
| CN107666401A (zh) | 一种配置信息获取方法及终端 | |
| CN110380930B (zh) | 一种测试方法、装置及服务器、计算机存储介质 | |
| CN106789636A (zh) | 一种高可用可信网络接入控制方法和系统 | |
| US9460046B1 (en) | Common computer hierarchal system for virtualization of network function | |
| CN106161051B (zh) | 客户端智能选线 | |
| CN111541694B (zh) | 一种采用融合式技术解决网络安全的方法 | |
| CN103856459B (zh) | 一种多核电项目仪控设计验证中数据传输的方法及系统 | |
| CN114465834A (zh) | 一种用户接入处理的方法及其相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170531 |
|
| RJ01 | Rejection of invention patent application after publication |