连载第三篇继续,业务随行的基本概念,特别留了个技术点本章介绍。话不多说继续干;
网络中,对于认证点设备和策略执行点设备不属于同一设备的场景,需要将认证用户的IP-Group(IP-安全组)信息表项推送到指定的策略执行点设备上。
这需要管理员在控制器上进行订阅配置,即配置哪些网段或者哪些安全组的表项需要推送到哪些策略执行点设备上。
用户在认证点设备通过RADIUS协议到认证服务器进行身份认证,认证服务器完成安全组授权,同时记录用户的IP-Group表项信息。
认证服务器通过HTTP2.0通道向IP-Group组件上报IP-Group表项。IP-Group组件将表项信息推送到订阅设备。
在策略执行点设备,IP-Group信息的来源有两种:
由于IP-Group表项订阅的前提是iMaster NCE-Campus上必须生成了IP-Group表项,并且该表项是在终端用户认证过程中产生的,因此IP-Group表项订阅有一些场景的限制,只支持下面两种场景: