iConnect是智简园区网络解决方案中网络层的生态名称,通过iConnect可实现物联网终端的即插即用和接入安全。
在智简园区场景中,物联网络如楼宇自动化BA(Building Automation)建设早于园区网络的部署,因此,需要园区网络支持物联网络的局部测试。部分物联设备,如门禁、空调联网温控等没有网络操作界面,对物联设备安装调试人员的要求比较高;物联设备接入网络后还存在很多安全隐患,如门禁、闸机、摄像头等容易受到攻击、仿冒,因此物联终端还需要通过网络进行数字证书申请和下发,操作比较复杂。iConnect的出现,很好的解决了上述问题。
使用iConnect的物联网终端也被称为iConnect终端。iConnect可以创建一个带有iConnect标识的SSID,iConnect终端自动关联该SSID,并实现终端的即插即用;iConnect终端还可自动申请并加载数字证书,无需在终端上人工导入数字证书,从而简化安装配置,提升部署效率。
无线终端通过AP接入网络。SwitchA为接入交换机,SwitchB支持随板AC功能,iConnect终端和其他类型的终端(即图中的STA)同时接入网络。用户希望网络规划满足如下要求:
MUD全称Manufacture Usage Description Specification,是RFC 8520定义的一种终端标识自己身份和对网络功能的诉求的方法。初期设计用于网络访问控制,后面逐步应用于其它领域。同时RFC定义了一种MUD-URL,网络访问这个MUD-URL获取到MUD描述文件,并根据该文件获取终端的身份和网络功能诉求,继而给终端开通相应的网络权限。
管理员为管理和控制不携带iConnect信息的终端而在设备上配置NAC功能,但对iConnect终端没有管理控制的要求,仅需要iConnect终端能接入网络。此时,可以在设备上使能iConnect终端不认证即上线功能。使能该功能后,设备识别出的iConnect终端不认证就可以上线。
无线iConnect终端关联SSID,接入无线网络。该SSID为iConnect引导SSID。
AP将iConnect终端的身份信息(即iConnect-URL)通过CAPWAP报文发送到设备。
设备根据身份信息判断该用户为iConnect终端,同时设备已经配置iConnect终端不认证即上线功能,则保持该用户在线。否则,若用户没有携带iConnect终端身份信息,或者设备没有配置iConnect终端不认证即上线功能,则用户需要完成非iConnect终端的认证流程。
如果管理员未在设备上开启iConnect终端不认证即上线功能,则可以进行iConnect终端RADIUS认证。
RADIUS服务器根据该信息识别终端是否为iConnect终端。如果该终端属于iConnect终端,则RADIUS服务器根据用户账号查询对应的授权策略,并将授权策略封装到认证回应报文中。针对iConnect终端,建议同时配置重定向功能有关的RADIUS属性(例如HW-Redirect-ACL或者HW-Portal-URL),从而使iConnect终端在认证成功并访问网络后被重定向到URL地址并下载EAP-TLS证书,最终触发EAP-TLS认证。
(责任编辑:admin)
关键词:
