CN116760557A - 基于网络访问控制指纹识别的闭环网络供应 - Google Patents

基于网络访问控制指纹识别的闭环网络供应 Download PDF

Info

Publication number
CN116760557A
CN116760557A CN202211696704.8A CN202211696704A CN116760557A CN 116760557 A CN116760557 A CN 116760557A CN 202211696704 A CN202211696704 A CN 202211696704A CN 116760557 A CN116760557 A CN 116760557A
Authority
CN
China
Prior art keywords
client device
network
nms
nac
fingerprint information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211696704.8A
Other languages
English (en)
Inventor
玛达瓦·拉奥·切希拉拉
拉贾·拉奥·塔迪梅蒂
纳塔拉詹·曼蒂拉莫尔蒂
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Juniper Networks Inc
Original Assignee
Juniper Networks Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US17/809,730 external-priority patent/US20230291735A1/en
Application filed by Juniper Networks Inc filed Critical Juniper Networks Inc
Publication of CN116760557A publication Critical patent/CN116760557A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V40/00Recognition of biometric, human-related or animal-related patterns in image or video data
    • G06V40/10Human or animal bodies, e.g. vehicle occupants or pedestrians; Body parts, e.g. hands
    • G06V40/12Fingerprints or palmprints
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Biomedical Technology (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Human Computer Interaction (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Multimedia (AREA)
  • Theoretical Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开涉及基于网络访问控制指纹识别的闭环网络供应。描述了用于由网络管理系统(NMS)基于由网络访问控制(NAC)系统确定的指纹信息来提供网络供应的技术。示例方法包括:由NAC系统接收客户端设备访问企业网络的网络访问请求;由NAC系统获得与网络访问请求相关联的客户端设备的指纹信息,其中,指纹信息包括指定与客户端设备相关联的一个或多个属性的信息;由NAC系统认证客户端设备,以访问企业网络;由NAC系统向NMS发送客户端设备的指纹信息;以及由NMS基于客户端设备的指纹信息供应与客户端设备相关联的一个或多个网络资源。

Description

基于网络访问控制指纹识别的闭环网络供应
本申请要求2022年6月29日提交的美国专利申请第17/809,730号的权益,该申请要求2022年3月14日提交的美国临时专利申请第63/319,644号的权益,这两个申请的中的每一个的全部内容通过引用结合于此。
技术领域
本公开总体上涉及计算机网络,并且更具体地,涉及管理对计算机网络的访问。
背景技术
诸如办公室、医院、机场、体育场或零售店的商业场所或站点通常在整个场所安装复杂的无线网络系统,包括无线访问点(AP)网络,以向一个或多个无线客户端设备(或简称为“客户端”)提供无线网络服务。AP是使用各种无线网络协议和技术使其他设备能够无线连接到有线网络的物理电子设备,诸如符合一个或多个IEEE 802.11标准的无线局域网协议(即“WiFi”)、蓝牙/蓝牙低能量(BLE)、诸如ZigBee的网状网络协议或其他无线网络技术。
许多不同类型的无线客户端设备(诸如膝上型计算机、智能电话、平板电脑、可穿戴设备、电器和物联网(IoT)设备)都集成了无线通信技术,并且可以被配置为在设备处于兼容AP的范围内时连接到无线AP。为了访问无线网络,无线客户端设备可能首先需要向AP认证。认证可以经由无线客户端设备、AP和控制AP处的访问的认证、授权和计费(AAA)服务器之间的握手交换来进行。
发明内容
总体上,本公开描述了一种或多种用于由网络管理系统(NMS)基于由网络访问控制(NAC)系统确定的指纹信息来提供闭环网络供应的技术。NAC系统被配置为认证客户端设备,以访问网络,诸如分支或校园企业网络。NAC系统通过分析客户端设备的网络行为(称为指纹识别)来识别客户端设备。给定客户端设备的指纹信息包括与客户端设备相关联的一个或多个属性,诸如与客户端设备本身相关联的属性、与客户端设备的用户相关联的属性和/或与客户端设备的网络连接相关联的属性。
如本文所公开的,NAC系统将客户端设备的指纹信息发送到NMS或另一集中式供应引擎,其被配置为管理与企业网络相关联的多个网络资源。NMS基于从NAC系统接收的客户端设备的指纹信息,供应与客户端设备相关联的一个或多个网络资源,例如,防火墙、交换机、路由器、访问点或服务器。在一些示例中,供应网络资源包括管理客户端设备标识符到客户端设备属性的映射以及对应于客户端设备的属性的一个或多个网络资源策略和/或特征配置。
本公开的技术提供了一个或多个技术优势和实际应用。例如,NMS或集中式供应引擎基于由NAC系统提供的客户端设备的指纹信息,以改进的粒度实现网络资源的自动供应。NMS可以使用从NAC系统接收的客户端设备的指纹信息,以使管理员能够定义网络资源策略和/或特征配置与客户端设备属性的细粒度对应。然后,NMS可以自动供应与客户端设备相关联的适当的网络资源,以包括客户端设备标识符到客户端设备属性的映射和对应的网络资源策略和/或特征配置。以这种方式,NMS可以提供跨多个网络资源的客户端设备属性与网络资源策略和/或特征配置之间的对应性的集中管理。此外,NAC系统与NMS之间的交互可以使得传统上不能访问客户端设备的指纹信息的网络资源(例如,防火墙)能够进行细粒度过滤和策略应用。
在所附附图和以下描述中阐述了本公开的技术的一个或多个示例的细节。从说明书和附图以及权利要求书中,这些技术的其他特征、目的和优点将是显而易见的。
附图说明
图1A是根据本公开的一种或多种技术的包括网络管理系统和网络访问控制系统的示例网络系统的框图。
图1B是示出图1A的网络系统的进一步示例细节的框图。
图2是根据本公开的一种或多种技术的示例网络访问控制系统的框图。
图3是根据本公开的一种或多种技术的示例网络管理系统的框图。
图4是根据本公开的一种或多种技术的示例访问点设备的框图。
图5是根据本公开的一种或多种技术的示例网络资源的框图。
图6是示出根据本公开的一种或多种技术的基于NAC指纹识别的网络资源的闭环供应的示例操作的流程图。
具体实施方式
图1A是根据本公开的一种或多种技术的包括网络访问控制(NAC)系统180A-180K和网络管理系统(NMS)130的示例网络系统100的框图。示例网络系统100包括多个站点102A-102N,在这些站点上,网络服务提供商分别管理一个或多个无线网络106A-106N。尽管在图1A中,每个站点102A-102N被示为分别包括单个无线网络106A-106N,但是在一些示例中,每个站点102A-102N可以包括多个无线网络,并且本公开不限于这一方面。
每个站点102A-102N包括多个网络访问服务器(NAS)设备108A-108N,诸如访问点(AP)142、交换机146和路由器147。NAS设备可以包括能够认证和授权客户端设备访问企业网络的任何网络基础设施设备。例如,站点102A包括多个AP 142A-1至142A-M、交换机146A和路由器147A。类似地,站点102N包括多个AP 142N-1至142N-M、交换机146N和路由器147N。每个AP 142可以是任何类型的无线访问点,包括但不限于商业或企业AP、路由器或连接到有线网络并能够向站点内的客户端设备提供无线网络访问的任何其他设备。在一些示例中,站点102A处的AP 142A-1至142A-M中的每一个可以连接到交换机146A和路由器147A中的一个或两个。类似地,站点102N处的AP 142N-1至142N-M中的每一个可以连接到交换机146N和路由器147N中的一个或两个。
在图1A的示例中,站点102A还包括本地防火墙(on-premises firewall)114A,其可以是在路由器(诸如路由器147A)上运行的防火墙服务,被配置为将安全策略应用于从站点102A处的客户端设备到企业网络内的设备或系统的数据流量。图1A所示的示例还包括连接到站点102N处的NAS设备108N的基于云的防火墙114B。基于云的防火墙114B可以是在物理或虚拟路由器上运行的防火墙服务,被配置为将安全策略应用于从站点102N处的客户端设备到企业网络内的设备或系统的数据流量。
每个站点102A-102N还包括多个客户端设备,也称为用户装备设备(UE),通常称为UE或客户端设备148,表示每个站点内的各种无线使能设备。例如,多个UE 148A-1到148A-N当前位于站点102A。类似地,多个UE 148N-1到148N-N当前位于站点102N。每个UE 148可以是任何类型的无线客户端设备,包括但不限于移动设备,诸如智能电话、平板电脑或膝上型计算机、个人数字助理(PDA)、无线终端、智能手表、智能戒指或其他可穿戴设备。UE 148还可以包括有线客户端设备,例如,诸如打印机、安全设备、环境传感器的IoT设备,或者连接到有线网络并被配置为通过一个或多个无线网络106进行通信的任何其他设备。
为了向UE 148提供无线网络服务和/或通过无线网络106进行通信,AP 142和站点102处的其他有线客户端设备经由物理电缆(例如,以太网电缆)直接或间接地连接到一个或多个网络设备(例如,交换机、路由器、网关等)。尽管在图1A中示出,好像每个站点102包括单个交换机和单个路由器,但是在其他示例中,每个站点102可以包括更多或更少的交换机和/或路由器。此外,一个站点的两个或更多个交换机可以例如经由中心辐射式架构中的网状或部分网状拓扑来彼此连接和/或连接到两个或更多个路由器。在一些示例中,互连的交换机146和路由器147包括位于托管无线网络106的站点102处的有线局域网(LAN)。
示例网络系统100还包括用于在有线网络内提供网络服务的各种联网组件,包括例如NAC系统180,该系统包括或提供访问用于认证用户和/或UE 148的认证、授权和计费(AAA)服务器、用于管理许可和对网络资源的访问的活动目录(AD)服务器112、用于在认证时向UE 148动态分配网络地址(例如,IP地址)的动态主机配置协议(DHCP)服务器116、用于将域名解析成网络地址的域名系统(DNS)服务器122、多个服务器128A-128X(统称为“服务器128”)(例如,web服务器、数据库服务器、文件服务器等)以及NMS 130。如图1A所示,网络100的各种设备和系统经由一个或多个网络134(例如,因特网和/或企业内部网)耦合在一起。
在图1A的示例中,NMS 130是管理一个或多个站点102A-102N处的无线网络106A-106N的基于云的计算平台。如本文进一步描述的,NMS130提供了一套集成的管理工具,并实现了本公开的各种技术。通常,NMS130可以提供基于云的平台,用于无线网络数据获取、监控、活动记录、报告、预测分析、网络异常识别和警报生成。在一些示例中,NMS 130向与管理员设备111交互和/或操作管理员设备111的站点或网络管理员(“管理员”)输出通知,诸如警报、警告、仪表板上的图形指示器、日志消息、文本/SMS消息、电子邮件消息等和/或关于无线网络问题的建议。在一些示例中,NMS 130响应于从与管理员设备111交互和/或操作管理员设备111的管理员接收的配置输入而操作。
管理员和管理员设备111可以包括与一个或多个站点102相关联的IT人员和管理员计算设备。管理员设备111可以被实现为用于呈现输出和/或接受用户输入的任何合适的设备。例如,管理员设备111可以包括显示器。管理员设备111可以是计算系统,诸如由用户和/或管理员操作的移动或非移动计算设备。根据本公开的一个或多个方面,管理员设备111可以例如表示工作站、膝上型或笔记本计算机、台式计算机、平板计算机或可以由用户操作和/或呈现用户接口的任何其他计算设备。管理员设备111可以与NMS 130物理分离和/或位于不同的位置,使得管理员设备111可以经由网络134或其他通信手段与NMS 130通信。
在一些示例中,一个或多个NAS设备108(例如,AP 142、交换机146和路由器147)可以经由物理电缆(例如,以太网电缆)连接到边缘设备150A-150N。边缘设备150包括云管理的无线局域网(LAN)控制器。每个边缘设备150可以包括在站点102处的本地设备,该本地设备与NMS130通信,以将某些微服务从NMS 130扩展到本地NAS设备108,同时使用NMS 130及其分布式软件架构来进行可扩展和有弹性的操作、管理、故障检修和分析。
网络系统100的每个网络设备(例如,NAC系统180、服务器112、116、122和/或128、防火墙114、AP 142、交换机146、路由器147、UE 148、边缘设备150以及任何其他附接到网络系统100或形成网络系统的一部分的服务器或设备)可以包括系统日志或错误日志模块,其中,这些网络设备中的每一个记录网络设备的状态,包括正常操作状态和错误条件。在整个本公开中,网络系统100的一个或多个网络设备(例如,服务器112、116、122和/或128、防火墙114、AP 142、交换机146、路由器147和UE148)当由不同于NMS 130的实体所拥有和/或与之相关联时,可以被认为是“第三方”网络设备,使得NMS 130不直接接收、收集或以其他方式访问第三方网络设备的记录状态和其他数据。在一些示例中,边缘设备150可以提供代理,通过该代理可以向NMS 130报告第三方网络设备的记录状态和其他数据。
在图1A的示例中,每个NAC系统180包括在多个地理上分布的存在点的基于云的网络访问控制服务。通常,网络访问控制功能由本地设备提供,这些设备受到处理能力和内存以及维护和升级问题的限制。提供基于云的网络访问控制服务避免了这些限制,并改善了网络管理。然而,网络访问控制的集中的、基于云的部署引入了延迟和故障的问题,这些问题可能阻止客户端设备访问网络。
根据公开的技术,NAC系统180在几个地理区域提供多个存在点或NAC云。NMS 130被配置为管理NAC配置,包括企业网络的访问策略,并将适当的NAC配置数据或文件推送到相应的NAC系统180A-180K。以这种方式,NAC系统180提供了与集中的、基于云的网络访问控制服务相同的好处,具有更低的延迟和高可用性。
NAC系统180提供了认证客户端设备148以访问分支机构或校园企业网络的无线网络106的方式。NAC系统180可以各自包括或提供对认证、授权和计费(AAA)服务器(例如,RADIUS服务器)的访问,以在提供经由NAS设备108对企业网络的访问之前认证客户端设备148。在一些示例中,NAC系统180可以实现客户端设备的基于证书的认证,或者实现与用户目录服务(例如,AD服务器112处的活动目录)的交互,以认证客户端设备。
NAC系统180可以识别客户端设备148,并基于其身份向客户端设备148提供适当的授权或访问策略,例如,通过将客户端设备分配给某些虚拟局域网(VLAN),应用某些访问控制列表(ACL),将客户端设备引导到某些注册门户等。NAC系统180可以通过分析客户端设备的网络行为(称为指纹识别)来识别客户端设备148,并将识别信息存储为指纹信息182A-182K。给定客户端设备的指纹信息182包括与客户端设备相关联的一个或多个属性,诸如与客户端设备本身相关联的属性、与客户端设备的用户相关联的属性和/或与客户端设备的网络连接相关联的属性。在一些示例中,可以基于媒体访问控制(MAC)地址、用于请求IP地址的DHCP选项、链路层发现协议(LLDP)分组、超文本传输协议(HTTP)用户代理信息、位置信息、DNS信息和/或设备类型和操作系统信息来执行对客户端设备进行指纹识别。
客户端设备148可以包括关于给定企业的多个不同类别的设备,诸如可信企业设备、自带设备(BYOD)设备、IoT设备和访客设备。NAC系统180可以被配置为使每个不同类别的设备受到不同类型的跟踪、不同类型的授权和不同级别的访问权限。在一些示例中,在客户端设备获得对企业网络的访问之后,NAC系统180可以监控客户端设备的活动,以识别安全问题,并且作为响应,将客户端设备重新分配给隔离VLAN或另一较低特权的VLAN,以限制客户端设备的访问。
NMS 130被配置为根据基于人工智能/机器学习的计算平台来操作,该计算平台提供从“客户端”(例如,连接到站点102处的无线网络106和有线局域网(LAN)的客户端设备148)到“云”(例如,可以由数据中心内的计算资源托管的基于云的应用服务)的全面自动化、洞察力和保证(WiFi保证、有线保证和WAN保证)。
如本文所述,NMS 130提供一套集成的管理工具,并实现本公开的各种技术。通常,NMS 130可以提供基于云的平台,用于无线网络数据获取、监控、活动记录、报告、预测分析、网络异常识别和警报生成。例如,NMS130可以被配置为主动监控和自适应地配置网络100,以便提供自驱动能力。
在一些示例中,AI驱动的NMS 130还提供对软件定义的广域网(SD-WAN)的配置管理、监控和自动监督,该软件定义的广域网作为中间网络操作,将站点102处的无线网络106和有线LAN通信地耦合到数据中心和应用服务。通常,SD-WAN在托管无线网络106的有线LAN的“轴辐”路由器(例如,路由器147)与云栈中进一步向上朝向基于云的应用服务的“中枢”路由器之间提供无缝、安全、流量工程连接。SD-WAN通常操作和管理底层物理广域网(WAN)上的覆盖网络,该覆盖网络提供到地理上分离的客户网络的连接。换言之,SD-WAN将软件定义的网络(SDN)能力扩展到WAN,并允许网络将底层物理网络基础设施与虚拟化网络基础设施和应用程序分离,使得可以以灵活和可扩展的方式配置和管理网络。
在一些示例中,AI驱动的NMS 130可以实现网络系统100的基于意图的配置和管理,包括实现用于配置和管理与无线网络106、有线LAN网络和/或SD-WAN相关联的设备的意图驱动的工作流的构造、呈现和执行。例如,声明性要求表达了网络组件的期望配置,而没有指定确切的本地设备配置和控制流。通过利用声明性要求,可以指定应该完成什么,而不是应该如何完成。声明性要求可以与描述实现配置的确切设备配置语法和控制流的命令性指令形成对比。通过利用声明性要求而不是命令性指令,减轻了用户和/或用户系统确定实现用户/系统的期望结果所需的确切设备配置的负担。例如,当利用来自不同厂商的各种不同类型的设备时,指定和管理确切的命令性指令来配置网络的每个设备通常是困难和复杂的。随着新设备的添加和设备故障的发生,网络设备的类型和种类可以动态地改变。管理来自不同厂商的具有不同配置协议、语法和软件版本的各种不同类型的设备,来配置设备的凝聚网络,这通常是难以实现的。因此,通过仅要求用户/系统指定声明性要求,这些要求指定了适用于各种不同类型的设备的期望结果,网络设备的管理和配置变得更加高效。基于意图的网络管理系统的更多示例细节和技术在题为“基于意图的分析”的美国专利第10,756,983号和题为“自动生成现有计算机网络的基于意图的网络模型”的美国专利第10,992,543号中有所描述,这两个专利中的每一个通过引用结合于此。
如上所述,访问策略可以由NAC系统180在从客户端设备148接收的网络访问请求期间或响应于该请求而应用。其他类型的策略(例如,安全策略、路由策略、服务质量(QoS)策略或其他配置信息)可以由网络系统100内的某些网络设备(例如,本地防火墙114A、基于云的防火墙114B、交换机146、路由器147、访问点142或服务器128)应用于网络流量。例如,AP 142和/或防火墙114可以应用安全策略来准许或阻止沿着从客户端设备148到企业网络内的设备或系统的数据路径的数据流量。AP(例如,AP 142A-1)可以被配置为在客户端设备148A与企业网络内的设备或系统之间的互连的传输层(即,开放系统互连(OSI)模型的L4)应用安全策略,但是AP 142-1可能不具有在互连的更高层(例如,应用层(OSI模型的L7))应用策略的能力。然而,客户端设备148A到企业网络内的设备或系统的数据路径中的防火墙(例如,本地防火墙114A)可以被配置为基于交换的数据流量中的消息的实际内容,在互连的应用层应用安全策略。
通常,防火墙114和其他网络设备基于与发送数据流量的客户端设备相关联的源IP地址或主机名,将策略应用于数据流量。这种网络设备通常不能访问或不知道在客户端设备的认证和/或授权期间确定的更细粒度的客户端设备属性,诸如包括在由NAC系统180确定的指纹信息182中的那些客户端属性。这是因为传统上,与数据平面通信相关联的防火墙和其他网络设备与在控制平面中操作的网络访问控制或端点指纹识别系统没有连接。
传统上,网络供应、网络访问控制和端点指纹识别系统独立操作,并且没有很好地集成。即使做出网络供应决定的大部分信息在NAC和/或指纹识别引擎中是可用的,在NAC和/或指纹识别引擎中可用的信息还没有被供应系统访问或利用。取而代之的是,该信息大部分被手动传送到供应系统,这增加了输入不完整/错误场景的可能性以及必要的手动干预的额外时间和费用,并导致校正不完整/错误场景的延迟。在一些示例中,在客户端设备的认证和/或授权期间,网络设备可以实施由网络访问控制服务分发的AAA(例如,RADIUS)属性形式的有限网络策略。然而,这种技术很麻烦并且难以管理。此外,地理上分散的企业站点可能加重问题,导致分离的配置域,并因此导致相同企业网络的相同类型的网络设备(例如,防火墙)上的不一致的策略。
根据本公开的技术,NMS 130包括供应引擎135,用于基于由一个或多个NAC系统180确定的指纹信息182,在一个或多个站点102A-102N处提供一个或多个网络设备(例如,防火墙114、AP 142、交换机146、路由器147)的闭环网络供应。如上所述,NAC系统180可以通过分析客户端设备的网络行为(称为指纹识别)来识别客户端设备148,并将识别信息存储为指纹信息182。NAC系统180将客户端设备148的指纹信息182发送到被配置为管理企业站点102处的网络资源的NMS 130或另一集中式供应引擎。NMS 130的供应引擎135基于从NAC系统180接收的客户端设备148的指纹信息182,供应与客户端设备148相关联的一个或多个网络资源,例如,防火墙114、交换机146、路由器147、访问点148或服务器128。在一些示例中,为了供应网络资源,NMS 130的供应引擎135管理客户端设备标识符(例如,IP地址或主机名)到客户端设备属性的映射以及对应于客户端设备属性的一个或多个网络资源策略和/或特征配置。
本公开的技术提供了一个或多个技术优势和实际应用。例如,NMS130的供应引擎135基于NAC系统180提供的客户端设备148的指纹信息182,以改进的粒度实现网络资源(例如,防火墙114、交换机146、路由器147、访问点148或服务器128)的自动供应。NMS 130可以使用从NAC系统180接收的客户端设备148的指纹信息182,以使得管理员能够例如使用管理员设备111来定义网络资源策略和/或特征配置与客户端设备属性的细粒度对应。NMS 130的供应引擎135然后可以自动供应与客户端设备148相关联的适当的网络资源,以包括客户端设备标识符到客户端设备属性的映射和对应的网络资源策略和/或特征配置。
根据所公开的技术,NMS 130可以提供跨多个网络资源的客户端设备属性与网络资源策略和/或特征配置之间的对应性的集中管理。在图1A所示的示例中,当客户端设备148A-1位于站点102A的物理位置时,本地防火墙114A可以位于特定客户端设备(例如,客户端设备148A-1)的数据路径中。此外,当客户端设备148A-1位于站点102B的物理位置时,基于云的防火墙114B可以在同一客户端设备148A-1的数据路径中。所公开的技术使得NMS130能够基于在客户端设备148A-1的认证期间从一个NAC系统180接收的客户端设备148A-1的指纹信息来确定与客户端设备148A-1相关联的地址组属性。NMS 130的供应引擎135然后可以向本地防火墙114A供应包括客户端设备148A-1的IP地址的地址组152的地址组和对应于该地址组的安全策略。NMS 130的供应引擎135也可以向基于云的防火墙114B供应包括客户端设备148A-1的IP地址的地址组152的相同地址组和对应于该地址组的相同安全策略。
此外,NAC系统180与NMS 130之间的交互可以使得传统上不能访问客户端设备的指纹信息的网络资源(例如,防火墙114)能够进行细粒度过滤和策略应用。在图1A所示的示例中,NMS 130的供应引擎135可以向每个防火墙114A、114B供应地址组152和对应的安全策略。地址组152可以包括一个或多个客户端设备148中的每一个的标识符到与相应的客户端设备相关联的一个或多个属性的映射和对应的安全策略。以这种方式,供应防火墙114A、114B,以基于比单独的IP地址或子网更细粒度的用户属性将安全策略应用于来自客户端设备148的输入数据流量。例如,在从客户端设备148A-1接收到数据流量时,防火墙114A可以在地址组152中执行客户端设备148A-1的IP地址的查找,以确定哪个地址组包括客户端148A-1。客户端148A-1所属的所识别的地址组可以表示具有到企业网络的802.1x连接并且具有作为雇员的指定角色的一组客户端设备。在该示例中,防火墙114A可以对来自客户端148A-1的数据流量应用对应的安全策略,以允许该数据流量。
尽管本公开的技术在该示例中被描述为由NAC系统180和/或NMS130执行,但是本文描述的技术可以由任何其他计算设备、系统和/或服务器执行,并且本公开不限于这一方面。例如,被配置为执行本公开的技术的功能的一个或多个计算设备可以驻留在专用服务器中,或者包括在附加于或者除了NAC系统180或NMS 130的任何其他服务器中,或者可以分布在整个网络100中,并且可以或可以不形成NAS系统180或NMS 130的一部分。
图1B是示出图1A的网络系统的进一步示例细节的框图。在该示例中,图1B示出了站点102处的NAS设备108、NAC系统180和NMS 130之间的逻辑连接178A-178N、188A-188N和184A-184K。此外,图1B示出了被配置为根据基于AI的计算平台操作的NMS 130,以经由逻辑连接提供一个或多个NAC系统180和站点102处的NAS设备108的配置和管理。
在操作中,NMS 130观察、收集和/或接收网络数据137,该网络数据可以采取从例如来自AP 142、交换机146、路由器147、边缘设备150、NAC系统180、网络资源190A-190G和/或网络134内的其他节点中的一个或多个的消息、计数器和统计中提取的数据的形式。尽管在图1B中被示为在站点102的外部,但是网络资源190可以包括在企业站点102内或与企业站点102相关联的本地防火墙、基于云的防火墙、交换机、路由器、访问点和服务器中的一个或多个。
NMS 130为网络100提供管理平面,包括对站点102处的NAS设备108和NAC系统180中的一个或多个的企业专用配置信息139的管理。一个或多个NAS设备108、网络资源190和NAC系统180中的每一个可以具有与NMS 130的安全连接,例如,RadSec(通过传输层安全协议(TLS)的RADIUS)隧道或另一加密隧道。NAS设备108、网络资源190和NAC系统180中的每一个都可以从NMS 130下载适当的企业专用配置信息139并实施该配置。在一些情况下,一个或多个NAS设备108或网络资源190可以是第三方设备,或者不支持直接与NMS 130建立安全连接。在这些情况下,边缘设备150可以提供代理,通过这些代理,NAS设备108和/或网络资源190可以连接到NMS 130。
根据一个具体实施方式,计算设备是NMS 130的一部分。根据其他实施方式,NMS130可以包括一个或多个计算设备、专用服务器、虚拟机、容器、服务或用于执行本文描述的技术的其他形式的环境。类似地,实现虚拟网络助手(VNA)133、NAC控制器138和/或供应引擎135的计算资源和组件可以是NMS 130的一部分,可以在其他服务器或执行环境上执行,或者可以分布到网络134内的节点(例如,路由器、交换机、控制器、网关等)。
在一些示例中,NMS 130监控从每个站点102A-102N接收的网络数据137,例如,一个或多个服务水平期望(SLE)度量,并管理网络资源190,诸如每个站点处的AP 142、交换机146、路由器147和边缘设备150中的一个或多个,以向该站点的终端用户、IoT设备和客户端传递高质量的无线体验。在其他示例中,NMS 130监控从NAC系统180接收的网络数据137,并管理NAC系统180的企业特定配置信息139,以实现对站点102处的客户端设备148的无约束网络访问控制服务,具有低延迟和高可用性。
如图1B所示,NMS 130包括VNA133,其实现了用于为IT操作提供实时洞察和简化的故障诊断的事件处理平台,并且自动采取校正措施或提供建议以主动解决网络问题。例如,VNA133可以包括事件处理平台,该平台被配置为处理来自与AP 142、交换机146、路由器147、边缘设备150、NAC系统180、网络资源190和/或网络134内的其他节点相关联的传感器和/或代理的数百或数千个并发的网络数据流137。例如,根据本文描述的各种示例,NMS130的VNA133可以包括底层分析和网络错误识别引擎以及警报系统。VNA133的底层分析引擎可以将历史数据和模型应用于入站事件流,以计算断言,诸如构成网络错误状况的事件的已识别异常或预测发生。此外,VNA133可以提供实时警报和报告,以经由管理员设备111向站点或网络管理员通知任何预测的事件、异常、趋势,并且可以执行根本原因分析和自动或辅助的错误补救。在一些示例中,NMS 130的VNA 133可以应用机器学习技术来识别从网络数据流137中检测到或预测到的错误状况的根本原因。如果可以自动解决根本原因,则VNA 133可以调用一个或多个校正措施来校正错误状况的根本原因,从而自动改善底层SLE度量,并且还自动改善用户体验。
由NMS 130的VNA 133实现的操作的进一步示例细节的描述见2017年11月28日发布的题为“监控无线访问点事件”的美国专利第9,832,082号、2021年9月30日发布的题为“使用机器学习模型的网络系统故障解决”的美国公开第US 2021/0306201号、2021年4月20日发布的题为“用于虚拟网络助手的系统和方法”的美国专利第10,985,969号、2021年3月23日发布的题为“用于促进故障检测和/或预测性故障检测的方法和装置”的美国专利第10,958,585号、2021年3月23日发布的题为“时空建模方法”的美国专利第10,958,537号以及2020年12月8日发布的题为“通过BLE广告传送AP错误代码的方法”的美国专利第10,862,742号,所有这些专利的全部内容通过引用结合于此。
此外,如图1B所示,NMS 130可以包括实现NAC配置平台的NAC控制器138,该NAC配置平台提供用户接口,来为企业无线网络106的客户端设备148创建和分配访问策略,并且向相应的NAC云180A-180K提供适当的企业专用配置信息139。NMS 130可以具有分别与每个NAC系统180A-180K的安全连接184A-184K,例如,RadSec隧道或另一加密隧道。通过安全连接184,NAC控制器136可以从每个NAC系统180接收网络数据137,例如,NAC事件数据,并且每个NAC系统180可以从NMS 130下载适当的配置信息139。在一些示例中,NAC控制器138可以记录或映射哪些企业网络由哪些NAC系统180服务。此外,NAC控制器138可以监控NAC系统180,以识别主NAC系统的故障,并管理到备用NAC系统的故障转移。
NAC系统180在控制平面中为站点102处的一个或多个NAS设备108提供网络访问控制服务。在操作中,NAC系统180认证客户端设备148,以访问企业无线网络106,并且可以执行指纹识别,以识别客户端设备148,并且基于身份向客户端设备148应用授权或访问策略。NAC系统180包括多个地理上分布的存在点。例如,NAC系统180A可以包括位于第一地理区域(例如,美国东部)内的第一基于云的系统,NAC系统180B(未示出)可以包括位于第二地理区域(例如,美国西部)内的第二基于云的系统,并且NAC系统180K可以包括位于第k地理区域(例如,中国)内的第k基于云的系统。
在几个地理区域部署多个NAC云,使网络访问控制服务能够以更低的延迟和高可用性提供给附近的NAS设备,同时避免本地NAC设备体验的处理限制和维护问题。例如,企业网络站点102A内的NAS设备108A可以连接到物理上最接近的一个NAC系统,即NAC系统180A,以体验网络访问控制服务的较低延迟。在一些示例中,物理上最接近的一个NAC系统180可以包括主NAC系统,并且NAS设备还可以连接到下一个最接近的NAC系统180,作为主NAC系统出现故障的情况下的备用NAC系统。例如,企业网络站点102A内的NAS设备108A可以连接到NAC系统180A和NAC系统108B(未示出),以体验网络访问控制服务的高可用性。
在图1B所示的示例中,每个NAS设备108直接或间接地具有与NAC系统180和NMS130中的至少一个的安全连接。例如,站点120A内的每个AP 142A具有到NAC系统180A的直接安全连接188A,例如,RadSec隧道或另一加密隧道。站点120A内的交换机146A和路由器147A中的每一个都经由边缘设备150A间接连接到NAC系统180A。在该示例中,交换机146A和路由器147A可能不支持直接与NAC系统180A建立安全连接,但是边缘设备150A可以提供代理,交换机146A和路由器147A可以通过该代理连接到NAC系统180A。例如,交换机146A和路由器147A中的每一个都具有到边缘设备150A的直接连接178A,例如,RADIUS隧道,并且边缘设备150A具有到NAC系统180A的直接安全连接188A。类似地,对于站点102N,每个NAS设备108N具有经由边缘设备150N到NAC系统180K的间接连接。在该示例中,AP 142N、交换机146N和路由器147N可能不支持直接与NAC系统180K建立安全连接,但是边缘设备150N可以提供代理,NAS设备108N可以通过该代理连接到NAC系统180K。例如,AP 142N、交换机146N和路由器147N中的每一个都具有到边缘设备150N的直接连接178N,例如,RADIUS隧道,并且边缘设备150N具有到NAC系统180K的直接安全连接188N。
通过安全连接188,NAC系统180可以通过附近企业站点102处的NAS设备108(以及在某些情况下的边缘设备150)从客户端设备148接收网络访问请求。响应于网络访问请求,NAC系统180使用AAA服务器认证请求的客户端设备。NAC系统180可以执行指纹识别来识别认证的客户端设备。NAC系统180然后根据从NMS 130下载的企业专用配置信息139,对认证的客户端设备的身份实施适当的访问策略。根据一个具体实施方式,计算设备是每个NAC系统180的一部分。根据其他实施方式,NAC系统180A-180K中的每一个可以包括一个或多个计算设备、专用服务器、虚拟机、容器、服务或用于执行本文描述的技术的其他形式的环境。
根据本公开的一种或多种技术,NMS包括供应引擎135,该供应引擎基于由一个或多个NAC系统180确定的指纹信息182来提供一个或多个网络资源190的闭环网络供应。例如,通过安全连接184,NMS 130从NAC系统180接收指纹信息182,并且供应引擎135可以经由安全连接或经由相应网络资源的应用编程接口(API)或命令行接口(CLI)来供应一个或多个网络资源190。
作为一个示例,为了获得客户端设备(例如,客户端设备148A-1)的指纹信息,NAC系统180A在与企业网络相关联的用户目录(例如,AD服务器112处的活动目录)中执行客户端设备148A-1的标识符的查找,并且基于该查找来确定与客户端设备148A-1相关联的一个或多个属性。客户端设备148A-1的指纹信息包括客户端设备的标识符(例如,IP地址或主机名)到与客户端设备相关联的一个或多个属性的映射。NAC系统180A可以至少部分基于客户端设备148A-1的指纹信息182来认证客户端设备148A-1,以访问企业无线网络106A。
NMS 130的供应引擎135基于从NAC系统180A接收的客户端设备148A-1的指纹信息来供应与客户端设备148A-1相关联的一个或多个网络资源190。例如,NMS 130基于客户端设备148A-1的指纹信息来确定与客户端设备148A-1相关联的特定属性,并且识别对应于这些特定属性的网络资源策略和/或特征配置。供应引擎135维护资源信息,该资源信息包括客户端设备148A-1的标识符到客户端设备148A-1的特定属性的映射以及对应于特定属性的网络资源策略和/或特征配置。例如,NMS 130可以识别在客户端设备148A-1的指纹信息中指定的与客户端设备148A-1相关联的用户组属性,并且然后将客户端设备148A-1的标识符包括在所识别的用户组中。供应引擎135然后可以通过更新现有用户组以包括客户端设备148A-1的标识符或将包括客户端设备148A-1的标识符的新用户组添加到网络资源来供应一个或多个网络资源190。供应引擎135还可以周期性地更新一个或多个网络资源190处的资源信息,以移除不再使用一个或多个网络资源190的一个或多个客户端设备的标识符。
上文参考图1A描述了供应本地防火墙和基于云的防火墙的示例用例。额外的示例用例包括:供应基于会话的路由器,该路由器采用有状态的、基于会话的路由方案来独立地执行路径选择和流量工程,以根据路由策略建立客户端设备的数据路径;根据带宽或QoS策略供应路由器、交换机或被配置为传输客户端设备的数据流量的另一网络设备;以及在企业网络的多个站点上供应支持以太网虚拟专用网(EVPN)的交换机或其他网络设备,以交换客户端设备的数据流量和/或支持多播流量,以向客户端设备提供数据。
图2是根据本公开的一种或多种技术的示例网络访问控制(NAC)系统200的框图。NAC系统200可以用于实现例如图1A、图1B中的任何NAC系统180。在这样的示例中,NAC系统200负责认证和授权一个或多个客户端设备148在附近企业站点102A-102N的子集处访问企业无线网络106。
NAC系统200包括通信接口230、一个或多个处理器206、存储器212和数据库218。各种元件经由总线214耦合在一起,各种元件可以通过总线交换数据和信息。在一些示例中,NAC系统200通过来自图1A、图1B的附近企业站点102的子集处的NAS设备108(在一些情况下是边缘设备150)从一个或多个客户端设备148接收网络访问请求。响应于网络访问请求,NAC系统200认证请求的客户端设备。在一些示例中,NAC系统200根据从图1A、图1B的NMS130下载的企业专用配置信息217在认证的客户端设备上实施适当的访问策略。在一些示例中,NAC系统200可以是图1A、图1B所示的另一服务器的一部分,或者是任何其他服务器的一部分。
处理器206执行存储在诸如包括存储设备(例如,磁盘驱动器或光盘驱动器)或存储器(诸如闪存或RAM)或任何其他类型的易失性或非易失性存储器的非暂时性计算机可读介质的计算机可读存储介质(诸如存储器212)中的软件指令,诸如用于定义软件或计算机程序的软件指令,该计算机可读介质存储指令,以使一个或多个处理器206执行本文描述的技术。
通信接口230可以例如包括以太网接口。通信接口230将NAC系统200耦合到网络和/或因特网,诸如图1A所示的任何网络134和/或任何局域网。通信接口230包括接收器232和发送器234,NAC系统200通过接收器232和发送器234向/从AP 142、交换机146、路由器147、边缘设备150、NMS 130或服务器116、122、128和/或形成诸如图1A、图1B所示的网络系统100的一部分的任何其他网络节点、设备或系统接收/发送数据和信息。
由NAC系统200接收的数据和信息可以例如包括从NMS 130下载的与一个或多个企业站点102相关联的配置信息217。配置信息217可以包括企业特定的NAC配置信息,包括访问策略和相关联的策略分配标准。例如,配置信息217可以定义与特定类别的客户端设备相关联的特定虚拟局域网(VLAN)、访问控制列表(ACL)、注册门户等。配置信息217还可以为每个不同类别的客户端设备定义不同类型的跟踪、不同类型的授权和/或不同级别的访问权限。此外,NAC系统200接收的数据和信息可以包括来自NAS设备108的客户端设备148的标识信息,NAC系统200使用该标识信息来执行终端用户设备的指纹识别,以便实施配置信息217中定义的访问策略。NAC系统200还可以经由通信接口230向NMS 130发送数据和信息,例如包括NAC事件数据,NMS 130可以使用这些数据和信息来远程监控NAC系统200的性能。
存储器212包括被配置为存储与NAC系统200的操作相关联的编程模块和/或数据的一个或多个设备。例如,存储器212可以包括计算机可读存储介质,诸如包括存储设备(例如,磁盘驱动器或光驱)或存储器(诸如闪存或RAM)或任何其他类型的易失性或非易失性存储器的非暂时性计算机可读介质,其存储指令,以使一个或多个处理器206执行本文描述的技术。
在该示例中,存储器212包括应用编程接口(API)220、认证管理器240、指纹识别模块242、策略管理器244和NMS连接器250。NAC系统200还可以包括被配置用于客户端设备148的认证和授权的任何其他编程模块、软件引擎和/或接口。
认证管理器240在与NAC系统200通信的企业站点102的子集处,实现NAS设备108处的客户端设备148的认证,以访问分支或校园企业网络的无线网络106。认证管理器240可以执行AAA服务器(例如,RADIUS服务器)的功能,或者在经由NAS设备108提供对企业无线网络106的访问之前,提供对AAA服务器的访问,以认证客户端设备148。在一些示例中,认证管理器240可以参与客户端设备、NAS设备和控制NAS设备处的访问的NAC系统200之间的握手交换。在其他示例中,认证管理器240可以实现客户端设备的基于证书的认证,或者实现与用户目录服务(例如,图1A的AD服务器112处的活动目录)的交互,以认证客户端设备。
指纹识别模块242使得能够识别客户端设备148,该客户端设备用于基于客户端设备的身份或分类向客户端设备提供适当的授权或访问策略。指纹识别模块242可以通过分析客户端设备的网络行为来识别客户端设备148,并将识别信息作为指纹信息219存储在数据库218中。指纹识别模块242可以基于MAC地址、用于请求IP地址的DHCP选项、LLDP分组、HTTP用户代理信息、位置信息、DNS信息和/或设备类型和操作系统信息中的一个或多个来执行客户端设备148的指纹识别。
策略管理器244能够基于被认证的客户端设备的身份或分类来实施授权或访问策略。例如,策略管理器244可以根据客户端设备的对应企业的配置信息217,将经过认证的客户端设备分配给特定VLAN,应用特定ACL,将客户端设备定向到特定注册门户等,每个注册门户都与不同类型的跟踪、不同类型的授权和/或不同级别的访问权限相关联。在一些示例中,在客户端设备获得对企业网络的访问之后,策略管理器244可以监控客户端设备的活动,以识别安全问题,并且作为响应,将客户端设备重新分配给隔离VLAN或另一较低特权的VLAN,以限制客户端设备的访问。
NMS连接器250例如经由RadSec隧道或如图1B所示的另一加密隧道184管理在NAC系统200与NMS 130之间交换的数据和信息。NMS连接器250可以维护哪些企业网络由NAC系统200服务的日志或映射以及这些企业的对应配置信息217。NMS连接器250还可以管理对从NMS130接收的配置信息217的任何更新或修改。
根据本公开的一种或多种技术,认证管理器240最初接收客户端设备访问企业网络的网络访问请求。指纹识别模块242然后获得与网络访问请求相关联的客户端设备的指纹信息219。如上所述,指纹识别模块242可以通过分析客户端设备的网络行为来“指纹识别”客户端设备148。指纹识别模块242可以从与NAS系统200通信的NAS设备108和/或边缘设备150接收客户端设备148的网络行为数据。给定客户端设备的指纹信息219包括与客户端设备相关联的一个或多个属性,诸如与客户端设备本身相关联的属性、与客户端设备的用户相关联的属性和/或与客户端设备的网络连接相关联的属性。客户端设备的指纹信息219包括客户端设备的标识符(例如,IP地址或主机名)到与客户端设备相关联的一个或多个属性的映射。
在一些示例中,指纹识别模块242可以在用户目录(例如,AD服务器112处的活动目录)中执行对客户端设备的标识符的查找,并且基于该查找来确定与客户端设备相关联的一个或多个属性。以这种方式,NAC系统200的指纹识别模块242动态地执行AD查找,而不是执行日志废弃。
在其他示例中,指纹识别模块242可以收集与请求客户端设备本身相关联的端点属性。在该示例中,与请求客户端设备相关联的端点属性可以包括客户端设备品牌、型号、操作系统(OS)版本、无线网络名称(SSID)、MAC地址、IP地址、连接时间、通信模式等。此外,指纹识别模块242可以收集与请求客户端设备的用户相关联的用户属性。举例来说,用户属性可以包括用户名、用户组、家庭-办公室-位置、年级、部门、经理等。此外,指纹识别模块242可以获得与请求客户端设备到企业网络的连接相关联的连接属性。举例来说,指纹信息219可以包括设备细节(MAC地址、组织唯一标识符(OUI)、供应商、设备类型)、设备连接细节(交换机/端口、无线AP)、设备联网细节(IP地址、DHCP选项)、设备用户细节(用户名、用户组)、设备OS、LLDP分组、设备OS和分组版本以及与客户端设备相关联的其他行为细节。
认证管理器240至少基于客户端设备的指纹信息219来认证客户端设备,以访问企业网络。NMS连接器250然后向NMS 130发送客户设备的指纹信息219。
图3是根据本公开的一种或多种技术的示例网络管理系统(NMS)300的框图。NMS300可以用于实现例如图1A、图1B图中的NMS 130。在这样的示例中,NMS 300负责分别监控和管理站点102A-102N处的一个或多个无线网络106A-106N。
NMS 300包括通信接口330、一个或多个处理器306、用户接口310、存储器312和数据库318。各种元件经由总线314耦合在一起,各种元件可以通过总线314交换数据和信息。在一些示例中,NMS 300从客户端设备148、AP 142、交换机146、路由器147、边缘设备150、NAC系统180和网络134内的其他网络节点(例如,路由器和网关设备)中的一个或多个接收数据,这些数据可以用于计算一个或多个SLE度量和/或更新数据库318中的网络数据316。NMS 300分析该数据,用于无线网络106A-106N的基于云的管理。在一些示例中,NMS 300可以是图1A所示的另一服务器的一部分,或者是任何其他服务器的一部分。
处理器306执行存储在诸如包括存储设备(例如,磁盘驱动器或光盘驱动器)或存储器(诸如闪存或RAM)或任何其他类型的易失性或非易失性存储器的非暂时性计算机可读介质的计算机可读存储介质(诸如存储器312)中的软件指令,诸如用于定义软件或计算机程序的软件指令,该计算机可读介质存储指令,以使一个或多个处理器306执行本文描述的技术。
通信接口330可以例如包括以太网接口。通信接口330将NMS 300耦合到网络和/或因特网,诸如图1A所示的任何网络134和/或任何局域网。通信接口330包括接收器332和发送器334,NMS 300通过接收器332和发送器334向/从客户端设备148、AP 142、交换机146、路由器147、边缘设备150、NAC系统180、服务器116、122、128和/或形成诸如图1A所示的网络系统100的一部分的任何其他网络节点、设备或系统中的任何一个接收/发送数据和信息。在网络系统100包括不同于NMS 300的实体拥有和/或与其相关联的“第三方”网络设备的本文描述的一些场景中,NMS 300不直接接收、收集或访问来自第三方网络设备的网络数据。在一些示例中,边缘设备(诸如来自图1A、图1B的边缘设备150)可以提供代理,通过该代理,第三方网络设备的网络数据可以被报告给NMS 300。
由NMS 300接收的数据和信息可以例如包括遥测数据、SLE相关数据或从客户端设备148、AP 142、交换机146、路由器147、边缘设备150、NAC系统180和其他网络节点(例如,路由器和网关设备)中的一个或多个接收的事件数据,由NMS 300用来远程监控无线网络106A-106N的性能以及从客户端设备到基于云的应用服务器的应用会话。NMS 300还可以经由通信接口330向任何网络设备(诸如客户端设备148、AP 142、交换机146、路由器147、边缘设备150、NAC系统180或网络134内的其他网络节点)发送数据,以远程管理无线网络106A-106N和部分有线网络。
存储器312包括被配置为存储与NMS 300的操作相关联的编程模块和/或数据的一个或多个设备。例如,存储器312可以包括计算机可读存储介质,诸如包括存储设备(例如,磁盘驱动器或光驱)或存储器(诸如闪存或RAM)或任何其他类型的易失性或非易失性存储器的非暂时性计算机可读介质,其存储指令,以使一个或多个处理器306执行本文描述的技术。
在该示例中,存储器312包括API 320、SLE模块322、虚拟网络助手(VNA)/AI引擎350、无线电资源管理器(RRM)360、NAC控制器370和供应引擎390。NMS 300还可以包括被配置用于无线网络106A-106N和部分有线网络的远程监控和管理(包括对AP 142、交换机146、路由器147、边缘设备150、NAC系统180、网络资源190和其他网络设备中的任一个的远程监控和管理)的任何其他编程模块、软件引擎和/或接口。
SLE模块322使得能够为每个网络106A-106N设置和跟踪SLE度量的阈值。SLE模块322进一步分析例如由AP(诸如来自每个无线网络106A-106N中的UE的任何AP 142)收集的SLE相关数据。例如,AP 142A-1至142A-N从当前连接到无线网络106A的UE 148A-1至148A-N收集SLE相关数据。该数据被发送到NMS 300,其由SLE模块322执行,以确定当前连接到无线网络106A的每个UE 148A-1至148A-N的一个或多个SLE度量。除了由一个或多个AP 142A-1至142A-N在无线网络106A中收集的任何网络数据之外,该数据被发送到NMS 300,并作为例如网络数据316存储在数据库318中。
RRM引擎360监控每个站点102A-102N的一个或多个度量,以便了解和优化每个站点的RF环境。例如,RRM引擎360可以在站点102处监控无线网络106的覆盖和容量SLE度量,以便识别无线网络106中的SLE覆盖和/或容量的潜在问题,并对每个站点处的访问点的无线电设置进行调整,以解决所识别的问题。例如,RRM引擎可以确定每个网络106A-106N中跨所有AP 142的信道和发射功率分布。例如,RRM引擎360可以监控事件、功率、信道、带宽和连接到每个AP的客户端的数量。RRM引擎360可以进一步自动改变或更新站点102处的一个或多个AP 142的配置,目的是改善覆盖和容量SLE度量,从而为用户提供改善的无线体验。
VNA/AI引擎350分析从网络设备接收的数据及其自己的数据,以识别何时在一个网络设备处遇到不期望的异常状态。例如,VNA/AI引擎350可以识别任何不期望的或异常状态的根本原因,例如,指示一个或多个网络设备处的连接问题的任何不良SLE度量。此外,VNA/AI引擎350可以自动调用旨在解决一个或多个不良SLE度量的所识别的根本原因的一个或多个校正措施。在一些示例中,ML模型380可以包括使用训练数据训练的受监督ML模型,该训练数据包括从网络设备接收的预先收集的带标签的网络数据。受监督的ML模型可以包括逻辑回归、朴素贝叶斯、支持向量机(SVM)等中的一种。在其他示例中,ML模型380可以包括无监督的ML模型。尽管图3中未示出,但是在一些示例中,数据库318可以存储训练数据,并且VNA/AI引擎350或专用训练模块可以被配置为基于训练数据来训练ML模型380,以确定跨训练数据的一个或多个特征的适当权重。
可以由VNA/AI引擎350自动调用的校正措施的示例可以包括但不限于调用RRM360来重启一个或多个AP、调整/修改特定AP中特定无线电的发射功率、向特定AP添加SSID配置、改变一个AP或一组AP上的信道等。校正措施还可以包括重启交换机和/或路由器、调用新软件到AP、交换机或路由器的下载等。这些校正措施仅出于示例目的给出,并且本公开不限于这一方面。如果自动校正措施不可用或者不足以解决根本原因,则VNA/AI引擎350可以主动提供通知,该通知包括将由IT人员(例如,使用管理员设备111的站点或网络管理员)采取的推荐校正措施,以解决网络错误。
NAC控制器370实现NAC配置平台,该平台提供用户接口310,用于例如经由图1A的管理员设备111向企业网络管理员显示,通过该用户接口接收企业网络的访问策略信息。NAC控制器370基于经由用户接口310接收的输入,创建存储在数据库318中的企业专用配置信息317。配置信息317可以包括由NMS 300管理的一个或多个企业网络的NAC配置信息。对于每个企业,配置信息317可以包括访问策略和相关联的策略分配标准。例如,配置信息317可以定义与特定类别的客户端设备相关联的特定VLAN、ACL、注册门户等,并且还可以为每个不同类别的客户端设备定义不同类型的跟踪、不同类型的授权和/或不同级别的访问权限。配置信息317可以基本上类似于图1B的配置信息139。
NAC控制器370例如经由RadSec隧道或如图1B所示的另一加密隧道184管理在NMS300与NAC系统180之间交换的数据和信息。NAC控制器370可以维护哪些企业网络由哪些NAC系统180服务的日志或映射以及这些企业的对应配置信息317。NAC控制器370还可以管理要下推到NAC系统180的对配置信息317的任何更新或修改。此外,NAC控制器370可以监控NAC系统180,以识别主NAC系统的故障,并管理到备用NAC系统的故障转移。
根据本公开的一种或多种技术,NAC控制器370还管理从NAC系统180接收的客户端设备148的指纹信息。供应引擎390基于特定客户端设备的指纹信息来确定与特定客户端设备相关联的某些属性,并且识别对应于这些特定属性的网络资源策略和/或特征配置。供应引擎390将特定客户端设备的标识符(例如,IP地址或主机名)到特定客户端设备的特定属性的映射以及对应的网络资源策略和/或特征配置作为资源信息319存储在数据库318中。例如,供应引擎390可以识别在客户端设备的指纹信息中指定的特定客户端设备的用户组属性。供应引擎390然后可以将客户端设备的标识符(例如,IP地址或主机名)包括在所识别的用户组中,并将客户端设备ID到对应于所识别的用户组的策略的映射作为资源信息319存储在数据库318中。
供应引擎390可以生成资源配置平台,该平台提供用户接口310,用于例如经由图1A的管理员设备111向企业网络管理员显示,通过该用户接口接收企业网络的网络资源的策略和/或特征配置信息。例如,策略和/或特征配置可以包括访问策略、安全策略、路由策略、QoS策略、数据链路配置、逻辑集群成员资格和其他配置信息策略中的一个或多个。供应引擎390可以使用从NAC系统180接收的客户端设备148的指纹信息,以使得管理员能够例如使用管理员设备111,经由用户接口310基于客户端设备属性来定义策略和/或特征配置的细粒度对应。
供应引擎390然后基于客户端设备148的指纹信息供应与客户端设备相关联的一个或多个网络资源190。更具体地,供应引擎390可以供应与客户端设备148相关联的适当网络资源190,以包括客户端设备标识符到客户端设备属性的映射以及基于资源信息319的对应的网络资源策略和/或特征配置。
在一个示例中,为了供应网络资源,供应引擎390基于资源信息319更新网络资源处的一个或多个用户组的现有用户组,以包括添加到现有用户组的新客户端设备的标识符。在该示例中,先前在网络资源处供应的至少一个策略对应于现有用户组。在另一示例中,为了供应网络资源,供应引擎390基于资源信息319向网络资源供应新用户组,该新用户组包括一个或多个客户端设备的标识符和对应于新用户组的至少一个新策略。在一些示例中,供应引擎390周期性地更新一个网络资源190处的资源信息,以移除不再使用该网络资源的一个或多个客户端设备的标识符。
基于指纹信息供应网络资源的一个示例包括通过了解客户端设备的供应商/型号/能力,在防火墙供应与客户端设备进入网络相关的安全策略。在该示例中,DHCP传感器可以用于识别请求客户端设备的IP地址,以理解客户端设备的网络。NAC系统180可以检索客户端设备特定的属性,例如,序列号,并发送给NMS 300。所公开的技术使得供应引擎390能够供应防火墙,以基于安全策略以安全和可靠的方式提供将客户端设备加入网络的自动化方式。
基于指纹信息供应网络资源的另一示例包括确定网络设备的角色。在该示例中,使用分层设计来构建网络,其中,特定层的每个设备扮演一个“角色”,涉及对应的网络配置。此外,LLDP传感器可以用于发现设备之间的拓扑连接,以自动确定网络设备的角色。供应引擎390然后可以基于角色自动供应网络设备,而无需用户干预。设备的示例角色可以是“访问”、“分发”、“访问点”和“防火墙”等。
基于指纹信息供应网络资源的另一示例包括确定各种网络设备之间的交换机间链路(ISL)属性。在该示例中,根据网络设备的角色,自动识别上行链路/下行链路和对等链路。供应引擎390然后可以自动供应对应的链路属性和分组。
在基于指纹信息供应网络资源的又一示例中,供应引擎390可以自动形成设备的逻辑集群和/或基于设备属性自动创建隔离域。
尽管本公开的技术在该示例中被描述为由NMS 130执行,但是本文描述的技术可以由任何其他计算设备、系统和/或服务器执行,并且本公开不限于这一方面。例如,被配置为执行本公开的技术的功能的一个或多个计算设备可以驻留在专用服务器中,或包括在除了NMS 130之外的任何其他服务器中,或可以分布在整个网络100中,并且可以形成或可以不形成NMS 130的一部分。
图4是根据本公开的一种或多种技术的示例访问点(AP)设备400的框图。图4所示的示例访问点400可以用于实现如本文参考图1A所示和所描述的任何AP 142。访问点400可以例如包括Wi-Fi、蓝牙和/或蓝牙低能量(BLE)基站或任何其他类型的无线访问点。
在图4的示例中,访问点400包括经由总线414耦合在一起的有线接口430、无线接口420A-420B、一个或多个处理器406、存储器412和输入/输出410,各种元件可以通过总线交换数据和信息。有线接口430表示物理网络接口,并且包括用于发送和接收网络通信(例如,分组)的接收器432和发送器434。有线接口430经由电缆(诸如以太网电缆)将访问点400直接或间接地耦合到有线网络内的有线网络设备,诸如图1A、图1B的交换机146和路由器147中的一个。
第一无线接口420A和第二无线接口420B表示无线网络接口,并且分别包括接收器422A和422B,每个接收器包括接收天线,访问点400可以经由该接收天线从无线通信设备(诸如图1A、图1B的UE 148)接收无线信号。第一无线接口420A和第二无线接口420B还分别包括发送器424A和424B,每个发送器都包括发送天线,访问点400可以经由该发送天线向无线通信设备(诸如图1A、图1B的UE 148)发送无线信号。在一些示例中,第一无线接口420A可以包括Wi-Fi 802.11接口(例如,2.4GHz和/或5GHz),第二无线接口420B可以包括蓝牙接口和/或蓝牙低能量(BLE)接口。如上所述,AP 400可以从附近的NAC系统(例如,图2的NAC系统200或者图1A、图1B的一个NAC系统180)请求一个或多个UE 148的网络访问。
处理器406是可编程的基于硬件的处理器,其被配置为执行存储在诸如包括存储设备(例如,磁盘驱动器或光盘驱动器)或存储器(诸如闪存或RAM)或任何其他类型的易失性或非易失性存储器的非暂时性计算机可读介质的计算机可读存储介质(诸如存储器412)中的软件指令,诸如用于定义软件或计算机程序的软件指令,该计算机可读介质存储指令,以使一个或多个处理器406执行本文描述的技术。
存储器412包括被配置为存储与访问点400的操作相关联的编程模块和/或数据的一个或多个设备。例如,存储器412可以包括计算机可读存储介质,诸如包括存储设备(例如,磁盘驱动器或光盘驱动器)或存储器(诸如闪存或RAM)或任何其他类型的易失性或非易失性存储器的非暂时性计算机可读介质,其存储指令,以使一个或多个处理器406执行本文描述的技术。
在该示例中,存储器412存储可执行软件,包括API 440、通信管理器442、配置/无线电设置450、设备状态日志452、数据454和日志控制器455。设备状态日志452包括特定于访问点400的事件列表。事件可以包括正常事件和错误事件的日志,诸如存储器状态、重启或重启动事件、崩溃事件、具有自恢复的云断开事件、低链路速度或链路速度摆动事件、以太网端口状态、以太网接口分组错误、升级失败事件、固件升级事件、配置改变等以及每个事件的时间和日期戳。日志控制器455基于来自NMS130的指令确定设备的日志级别。数据454可以存储访问点400使用和/或生成的任何数据,包括从UE 148收集的数据,诸如用于计算一个或多个SLE度量的数据,该数据由访问点400发送,用于NMS 130/300对无线网络106A进行基于云的管理。
输入/输出(I/O)410表示能够与用户交互的物理硬件组件,诸如按钮、显示器等。尽管未示出,但是存储器412通常存储用于控制关于经由I/O 410接收的输入的用户接口的可执行软件。通信管理器442包括程序代码,当由处理器406执行时,该程序代码允许访问点400经由任何接口430和/或420A-420B与UE 148和/或网络134通信。配置设置450包括访问点400的任何设备设置,诸如每个无线接口420A-420B的无线电设置。这些设置可以手动配置,或者可以由NMS 130远程监控和管理,以周期性地(例如,每小时或每天)优化无线网络性能。
如本文所述,AP设备400可以测量来自设备状态日志452的网络数据并将其报告给NMS 130。网络数据可以包括事件数据、遥测数据和/或其他SLE相关数据。网络数据可以包括指示无线网络的性能和/或状态的各种参数。这些参数可以由无线网络中的一个或多个UE设备和/或一个或多个AP来测量和/或确定。NMS 130/300可以基于从无线网络中的AP接收的SLE相关数据来确定一个或多个SLE度量,并将SLE度量存储为网络数据137(图1B)。
图5是示出根据本公开的一种或多种技术的示例网络资源500的框图。在一个或多个示例中,网络资源500实现附接到图1A的网络134的设备或服务器,例如,内部防火墙114A、基于云的防火墙114B、交换机146、路由器147、服务器128或支持企业网络的另一网络设备。
在该示例中,网络资源500包括经由总线514耦合在一起的有线接口502(例如,以太网接口)、处理器506、输入/输出508(例如,显示器、按钮、键盘、小键盘、触摸屏、鼠标等)、存储器512和数据库518,各种元件可以通过总线交换数据和信息。有线接口502将网络资源500耦合到网络,诸如图1A所示的网络134和/或任何局域网。有线接口502表示物理网络接口,并且包括用于发送和接收网络通信(例如,分组)的接收器520和发送器522。有线接口502直接或间接地将网络资源500耦合到任何NAS设备108。例如,网络资源500可以包括多个有线接口502和/或有线接口502可以包括多个物理端口,以连接到站点内的多个NAS设备108。在一些示例中,连接到网络资源500的每个NAS设备108可以经由网络资源500的有线接口502访问有线网络。
存储器512存储API或命令行接口(CLI)520、可执行软件应用程序532、操作系统540和数据530。数据530可以包括存储网络资源500的事件数据(包括行为数据)的系统日志和/或错误日志。在一些示例中,网络资源500可以收集数据530并将该数据报告给NMS 130。网络资源500收集和报告的数据可以包括周期性报告的数据和事件驱动的数据。在一些示例中,网络资源500被配置为根据周期性间隔收集统计数据和/或采样其他数据。网络资源500可以将收集和采样的数据530存储在缓冲器中。
在一些示例中,网络资源500包括路由器或其他网络设备,其被配置为根据安全策略对去往企业网络内的服务器或其他设备的客户端设备的数据流量执行防火墙服务。在其他示例中,网络资源500包括基于会话的路由器,该路由器采用有状态的、基于会话的路由方案来独立地执行路径选择和流量工程,以根据路由策略建立客户端设备的数据路径。在进一步的示例中,网络资源500可以包括路由器、交换机或被配置为根据带宽或QoS策略发送客户端设备的数据流量的另一网络设备。在其他示例中,网络资源500包括交换机或其他网络设备,其支持跨企业网络的多个站点的EVPN,以交换客户端设备的数据流量和/或支持多播流量,以向客户端设备提供数据。
根据本公开的一种或多种技术,由集中式供应引擎(例如,NMS130/300)向网络资源500供应资源信息519,该资源信息包括客户端设备标识符(例如,IP地址或主机名)到客户端设备的特定属性的映射和对应的网络资源策略和/或特征配置。例如,网络资源500可以经由API或CLI520接收资源信息519,并将资源信息519存储在数据库518中。另外,网络资源500可以从NMS 130/300接收对资源信息519的更新,包括对所包括的客户端设备标识符的更新以及对相应的策略和/或特征配置的更新。在一些示例中,资源信息519可以包括映射到包括在指纹信息中的客户端设备的特定属性的客户端设备的标识符,例如,IP地址或主机名。例如,资源信息519可以进一步包括到为特定属性定义的特定策略和/或特征配置的映射,诸如客户端设备的类型(例如,供应商类型)、客户端设备的用户的类型(例如,用户组、用户角色或头衔)、或者客户端设备连接的类型(例如,无线或有线)。策略和/或特征配置可以包括网络资源500的访问策略、安全策略、路由策略、QoS策略、数据链路配置、逻辑集群成员资格或其他配置信息。
响应于从客户端设备接收到数据流量,网络资源500可以仅基于客户端设备的标识符和资源信息519来确定要应用哪些策略和/或特征配置。以这种方式,可以供应网络资源500,以对客户端设备的数据流量执行细粒度过滤和策略应用,而无需访问客户端设备的指纹信息。
图6是示出根据本公开的一种或多种技术的基于NAC指纹识别的网络资源闭环供应的示例操作600的流程图。参考图1A至图1B的NAC系统180和NMS 130来描述图6的示例操作。在其他示例中,图6的操作可以由其他设备或系统(诸如图2的NAC系统200和图3的NMS300)来执行。
例如,NAC系统180A最初接收客户端设备(例如,客户端设备148A-1)访问企业无线网络(例如,无线网络106A)的网络访问请求(602)。NAC系统180A获得与网络访问请求相关联的客户端设备148A-1的指纹信息182(604)。该指纹信息182包括指定与客户端设备148A-1相关联的一个或多个属性的信息。在一些示例中,为了获得客户端设备148A-1的指纹信息182,NAC系统180A在与企业网络相关联的用户目录(例如,AD服务器112处的活动目录)中执行客户端设备148A-1的标识符的查找,并且基于该查找来确定与客户端设备148A-1相关联的一个或多个属性。客户端设备148A-1的指纹信息182包括客户端设备的标识符到与客户端设备相关联的一个或多个属性的映射。客户端设备148A-1的标识符可以包括IP地址和主机名中的一个或多个。NAC系统180A认证客户端设备148A-1,以访问企业无线网络106A(606)。NAC系统180A向NMS 130发送客户端设备148A-1的指纹信息182(608)。
在从NAC系统180A接收到客户端设备148A-1的指纹信息182之后,NMS 130基于客户端设备148A-1的指纹信息182来供应与客户端设备148A-1相关联的一个或多个网络资源190。网络资源190可以包括内部防火墙114A、基于云的防火墙114B、交换机146、路由器147、AP 142和服务器128中的一个或多个。更具体地,NMS 130基于客户端设备148A-1的指纹信息来确定与客户端设备148A-1相关联的一个或多个属性中的至少一个属性(610)。NMS 130维护资源信息,该资源信息包括客户端设备148A-1的标识符到客户端设备148A-1的至少一个属性的映射以及对应于客户端设备148A-1的至少一个属性的至少一个网络资源策略和/或特征配置。作为一个示例,NMS 130可以识别在客户端设备148A-1的指纹信息182中指定的客户端设备148A-1的用户组属性,并且然后将客户端设备148A-1的标识符包括在具有对应的网络资源策略和/或特征配置的所识别的用户组中。
NMS 130然后向一个或多个网络资源190供应资源信息,该资源信息包括客户端设备148A-1的标识符到客户端设备属性的映射以及对应的网络资源策略和/或特征配置(612)。策略和/或特征配置可以包括访问策略、安全策略、路由策略、QoS策略、数据链路配置、逻辑集群成员资格和其他配置信息策略中的一个或多个。在一个示例中,为了供应网络资源,NMS130更新网络资源处的一个或多个用户组中的现有用户组,以包括客户端设备148A-1的标识符,其中,先前在网络资源处供应的至少一个策略对应于现有用户组。在另一示例中,为了供应网络资源,NMS 130向网络资源供应包括客户端设备148A-1的标识符的新用户组和对应于新用户组的新策略。在一些示例中,NMS 130周期性地更新网络资源处的资源信息,以移除不再使用该网络资源的一个或多个客户端设备的标识符。
本文描述的技术可以以硬件、软件、固件或其任意组合来实现。被描述为模块、单元或组件的各种特征可以以集成逻辑设备一起实现,或者作为分立但可互操作的逻辑设备或其他硬件设备单独实现。在一些情况下,电子电路的各种特征可以被实现为一个或多个集成电路设备,诸如集成电路芯片或芯片组。
如果以硬件实现,则本公开可以涉及一种装置,诸如处理器或集成电路设备,诸如集成电路芯片或芯片组。替代地或另外,如果以软件或固件实现,则该技术可以至少部分地由包括指令的计算机可读数据存储介质来实现,这些指令在被执行时使处理器执行一种或多种上述方法。例如,计算机可读数据存储介质可以存储由处理器执行的这种指令。
计算机可读介质可以形成计算机程序产品的一部分,该计算机程序产品可以包括封装材料。计算机可读介质可以包括计算机数据存储介质,诸如随机存取存储器(RAM)、只读存储器(ROM)、非易失性随机存取存储器(NVRAM)、电可擦除可编程只读存储器(EEPROM)、闪存、磁或光数据存储介质等。在一些示例中,制品可以包括一个或多个计算机可读存储介质。
在一些示例中,计算机可读存储介质可以包括非暂时性介质。术语“非暂时性”可以指示存储介质不包含在载波或传播信号中。在某些示例中,非暂时性存储介质可以存储可以随时间改变的数据(例如,在RAM或高速缓存中)。
代码或指令可以是由处理电路执行的软件和/或固件,该处理电路包括一个或多个处理器,诸如一个或多个数字信号处理器(DSP)、通用微处理器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其他等效的集成或分立逻辑电路。因此,本文使用的术语“处理器”可以指任何前述结构或者适合于实现本文描述的技术的任何其他结构。此外,在一些方面,可以在软件模块或硬件模块内提供本公开中描述的功能。

Claims (20)

1.一种计算联网方法,包括:
由网络访问控制NAC系统接收客户端设备访问企业网络的网络访问请求;
由所述NAC系统获得与所述网络访问请求相关联的所述客户端设备的指纹信息,其中,所述指纹信息包括指定与所述客户端设备相关联的一个或多个属性的信息;
由所述NAC系统认证所述客户端设备,以访问所述企业网络;
由所述NAC系统向网络管理系统NMS发送所述客户端设备的所述指纹信息;以及
由所述NMS基于所述客户端设备的所述指纹信息供应与所述客户端设备相关联的一个或多个网络资源。
2.根据权利要求1所述的方法,其中,获得所述指纹信息包括:
由所述NAC系统在与所述企业网络相关联的用户目录中执行对所述客户端设备的标识符的查找;以及
由所述NAC系统并基于所述查找确定与所述客户端设备相关联的所述一个或多个属性。
3.根据权利要求1所述的方法,其中,所述客户端设备的所述指纹信息包括所述客户端设备的标识符到与所述客户端设备相关联的所述一个或多个属性的映射。
4.根据权利要求1所述的方法,其中,供应与所述客户端设备相关联的所述一个或多个网络资源包括:
由所述NMS基于所述指纹信息确定与所述客户端设备相关联的所述一个或多个属性中的至少一个属性;以及
由所述NMS向所述一个或多个网络资源供应资源信息,所述资源信息包括所述客户端设备的标识符到所述客户端设备的所述至少一个属性的映射、以及对应于所述客户端设备的所述至少一个属性的至少一个网络资源策略或特征配置。
5.根据权利要求4所述的方法,其中,确定与所述客户端设备相关联的所述至少一个属性包括:
识别在所述客户端设备的所述指纹信息中指定的与所述客户端设备相关联的用户组属性;以及
包括所识别的用户组中的所述客户端设备的所述标识符。
6.根据权利要求5所述的方法,其中,供应所述一个或多个网络资源的网络资源包括更新所述网络资源处的现有用户组以包括所述客户端设备的所述标识符,其中,所述至少一个网络资源策略对应于所述现有用户组。
7.根据权利要求5所述的方法,其中,供应所述一个或多个网络资源的网络资源包括向所述网络资源供应新用户组,所述新用户组包括所述客户端设备的所述标识符和对应于所述新用户组的新网络资源策略。
8.根据权利要求4所述的方法,还包括周期性地更新所述一个或多个网络资源的网络资源处的所述资源信息,以移除不再使用所述网络资源的一个或多个客户端设备的标识符。
9.根据权利要求1至8中任一项所述的方法,其中,所述一个或多个网络资源包括在所述客户端设备到所述企业网络的数据路径中的第一防火墙和第二防火墙,并且其中,供应所述一个或多个网络资源包括:
由所述NMS基于所述指纹信息确定所述客户端设备所属的地址组;
向所述第一防火墙供应包括所述客户端设备的地址的地址组和对应于所述地址组的策略;以及
向所述第二防火墙供应包括所述客户端设备的标识符的相同地址组和对应于所述地址组的相同策略。
10.根据权利要求1至8中任一项所述的方法,其中,所述客户端设备的标识符包括因特网协议地址和主机名中的一个或多个。
11.根据权利要求1至8中任一项所述的方法,其中,所述一个或多个网络资源包括本地防火墙、基于云的防火墙、交换机、路由器、访问点和服务器中的一个或多个。
12.一种计算联网系统,包括:
网络管理系统NMS,被配置为管理与企业网络相关联的多个网络资源;以及
与所述NMS通信的网络访问控制NAC系统,所述NAC系统被配置为:
接收客户端设备访问所述企业网络的网络访问请求;
获得与所述网络访问请求相关联的所述客户端设备的指纹信息,其中,所述指纹信息包括指定与所述客户端设备相关联的一个或多个属性的信息;
由所述NAC系统认证所述客户端设备,以访问所述企业网络;以及
向所述NMS发送所述客户端设备的所述指纹信息;
其中,所述NMS被配置为基于所述客户端设备的所述指纹信息供应与所述客户端设备相关联的一个或多个网络资源。
13.根据权利要求12所述的系统,其中,为了获得所述指纹信息,所述NAC系统被配置为:
在与所述企业网络相关联的用户目录中执行对所述客户端设备的标识符的查找;以及
基于所述查找确定与所述客户端设备相关联的所述一个或多个属性。
14.根据权利要求12所述的系统,其中,所述客户端设备的所述指纹信息包括所述客户端设备的标识符到与所述客户端设备相关联的所述一个或多个属性的映射。
15.根据权利要求12至14中任一项所述的系统,其中,为了供应与所述客户端设备相关联的所述一个或多个网络资源,所述NMS被配置为:
基于所述指纹信息确定与所述客户端设备相关联的所述一个或多个属性中的至少一个属性;以及
向所述一个或多个网络资源供应资源信息,所述资源信息包括所述客户端设备的标识符到所述客户端设备的所述至少一个属性的映射、以及对应于所述客户端设备的所述至少一个属性的至少一个网络资源策略或特征配置。
16.根据权利要求15所述的系统,其中,为了确定与所述客户端设备相关联的所述至少一个属性,所述NMS被配置为:
识别在所述客户端设备的所述指纹信息中指定的与所述客户端设备相关联的用户组属性;以及
包括所识别的用户组中的所述客户端设备的所述标识符。
17.根据权利要求16所述的系统,其中,为了供应所述一个或多个网络资源的网络资源,所述NMS被配置为更新所述网络资源处的现有用户组以包括所述客户端设备的所述标识符,其中,所述至少一个网络资源策略对应于现有资源组。
18.根据权利要求16所述的系统,其中,为了供应所述网络资源,所述NMS被配置为向所述网络资源供应新用户组,所述新用户组包括所述客户端设备的所述标识符和对应于所述新用户组的新网络资源策略。
19.根据权利要求15所述的系统,其中,所述NMS被配置为周期性地更新所述一个或多个网络资源的网络资源处的所述资源信息,以移除不再使用所述网络资源的一个或多个客户端设备。
20.一种存储有指令的计算机可读存储介质,所述指令在被执行时使一个或多个处理器:
由网络访问控制NAC系统接收客户端设备访问企业网络的网络访问请求;
由所述NAC系统获得与所述网络访问请求相关联的所述客户端设备的指纹信息,其中,所述指纹信息包括与所述客户端设备相关联的一个或多个属性;
由所述NAC系统认证所述客户端设备,以访问所述企业网络;
由所述NAC系统向网络管理系统NMS发送所述客户端设备的所述指纹信息;以及
由所述NMS基于所述客户端设备的所述指纹信息供应与所述客户端设备相关联的一个或多个网络资源。
CN202211696704.8A 2022-03-14 2022-12-28 基于网络访问控制指纹识别的闭环网络供应 Pending CN116760557A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US63/319,644 2022-03-14
US17/809,730 2022-06-29
US17/809,730 US20230291735A1 (en) 2022-03-14 2022-06-29 Closed-loop network provisioning based on network access control fingerprinting

Publications (1)

Publication Number Publication Date
CN116760557A true CN116760557A (zh) 2023-09-15

Family

ID=87946568

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211696704.8A Pending CN116760557A (zh) 2022-03-14 2022-12-28 基于网络访问控制指纹识别的闭环网络供应

Country Status (1)

Country Link
CN (1) CN116760557A (zh)

Similar Documents

Publication Publication Date Title
US20240291706A1 (en) Automatically troubleshooting and remediating network issues via connected neighbors
US12021722B2 (en) Detecting network events having adverse user impact
US20240097969A1 (en) Identifying root cause of failures through detection of network scope failures
EP4114061A1 (en) Network management system to onboard heterogeneous client devices to wireless networks
US20240137264A1 (en) Application session-specific network topology generation for troubleshooting the application session
EP4293959A1 (en) Network access control intent-based policy configuration
CN116017535A (zh) 用于监视或控制无线网络的位置度量
EP4246889A1 (en) Closed-loop network provisioning based on network access control fingerprinting
US20240154970A1 (en) Applying security policies based on endpoint and user attributes
CN116760557A (zh) 基于网络访问控制指纹识别的闭环网络供应
US20240179168A1 (en) Network access anomaly detection and mitigation
US20230403272A1 (en) Organization identification of network access server devices into a multi-tenant cloud network access control service
EP4440041A1 (en) Dynamic load balancing of radius requests from network access server device
EP4456494A1 (en) Feature identification of an issue of an application session
CN117240490A (zh) 网络访问控制系统、网络访问控制方法及存储介质
US20230231776A1 (en) Conversational assistant dialog design
US20240224075A1 (en) Automated wireless radio configuration
US20240137289A1 (en) Conversational assistant for troubleshooting a site
CN117240718A (zh) 网络访问控制基于意图的策略配置
EP4395406A1 (en) Synthetic testing
WO2023137374A1 (en) Conversational assistant dialog design
CN118869451A (zh) 应用程序会话的问题的特征识别
CN117917877A (zh) 用于站点故障排除的对话助理
CN115707019A (zh) 无线接入点邻近区域

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication