AC控制器和准入服务器怎么连？

AC控制器与准入服务器的连接之道

想象一下，你管理着一栋现代化的智能大楼，要进入大楼核心区域，访客需要先在前台（门禁系统）登记身份并获得授权，然后才能通过相应的门禁闸机进入允许的区域，在企业的网络世界里，AC控制器（Access Controller，接入控制器） 和准入服务器（通常指RADIUS服务器或类似的身份认证服务器） 就扮演着这样一对至关重要的“门禁搭档”，共同守护着网络资源的安全访问，这对搭档是如何“牵手”协同工作的呢？

为什么需要它们“联手”？

告别“裸奔”时代 传统的开放Wi-Fi或随意插网线就能上网的方式，如同大门敞开，安全隐患极大，攻击者可能轻易接入内网，窃取数据或发动攻击。

精细化管理需求 不同人员（员工、访客、合作伙伴）、不同设备（电脑、手机、IoT设备）对网络资源的需求和访问权限理应不同。

合规性要求 许多行业法规要求对网络访问进行严格的身份认证和授权审计。

AC控制器：网络门口的“智能闸机”

AC控制器（在无线网络中常指无线AC，在有线网络中也可能指支持802.1X认证的交换机）是部署在网络边缘的关键设备，它的核心职责是：

1、拦截请求： 当用户设备（Supplicant，如笔记本电脑、手机）试图连接到网络（无论是通过Wi-Fi接入点AP，还是有线交换机端口）时，AC控制器会第一时间感知到连接请求。

2、转发认证： AC控制器自身通常不存储用户账号密码或复杂的认证策略，它更像一个高效的“传令兵”，将用户设备发来的认证信息（用户名、密码、证书等）转发给后台更强大的“决策大脑”——准入服务器。

3、执行指令： 收到准入服务器返回的认证结果（允许/拒绝接入）和详细的授权指令（如分配哪个VLAN、应用哪些访问控制列表ACL、带宽限制等）后，AC控制器严格执行，控制物理或逻辑端口，允许或拒绝用户接入，并精确实施对应的网络策略。

准入服务器：身份认证与策略决策的“智慧大脑”

准入服务器（最常见的是基于RADIUS协议的服务器，如FreeRADIUS, Microsoft NPS, Cisco ISE, Aruba ClearPass等）是网络中的权威认证、授权和计费（AAA）中心，它的核心能力是：

1、身份认证： 接收来自AC控制器转发的用户凭证，与自身数据库（可能是本地数据库，或连接AD/LDAP/外部身份源如企业微信/钉钉）进行比对，确认用户身份的真实性（你是谁？）。

2、授权决策： 基于预设的策略规则（用户角色、设备类型、接入时间、地点、设备健康状态等），判断该用户/设备可以访问什么资源（你能做什么？），生成详细的授权属性（如VLAN ID, ACL名称, 会话超时时间）。

3、审计记录： 记录所有认证、授权事件，为安全审计和故障排查提供依据。

关键一步：它们如何“连接”？

AC控制器与准入服务器之间的“连接”，实质上是建立一条安全、可靠、标准化的通信通道，用于传递认证请求和授权响应，这个过程主要基于业界通用的RADIUS协议（Remote Authentication Dial-In User Service）：

1、网络可达是基础：

* 确保AC控制器与准入服务器之间具备IP网络连通性，它们通常部署在同一个管理网络或特定的安全区域。

* 配置正确的IP地址、子网掩码和网关，通常建议使用专用管理VLAN或在防火墙上开放必要的安全策略。

2、协议配置是核心：

在准入服务器上

创建客户端（Client）定义将AC控制器添加为受信任的RADIUS客户端，需要指定AC控制器的IP地址。

设置共享密钥（Shared Secret）这是一个预先约定好的、复杂的密码字符串，它用于在AC控制器和准入服务器之间加密 RADIUS协议中的关键信息（如用户密码），并验证消息来源的合法性，防止伪造。（这是安全连接的重中之重！密钥需强健且定期更换）

配置认证源和策略定义如何认证用户（比如连接哪个LDAP服务器），以及根据哪些条件进行授权（用户组、设备MAC、证书属性等）。

在AC控制器上

配置RADIUS服务器组添加准入服务器的IP地址（或域名）和监听的端口号（认证通常用UDP 1812，计费用UDP 1813；老系统可能用1645/1646）。

* 填入与准入服务器上为该AC定义的完全一致的共享密钥。

* 指定使用该RADIUS服务器组进行认证和授权。

* 配置具体的接入方式策略（如针对有线端口的802.1X配置，针对无线SSID的WPA2/WPA3-Enterprise认证配置），并关联到对应的RADIUS服务器组。

3、策略同步与联动：

* 在准入服务器上定义的授权策略（如返回的VLAN属性、ACL名称）需要与AC控制器（及下游的交换机/AP）上的实际配置保持一致，准入服务器授权返回VLAN 10，AC控制器必须确保其管理的设备（AP或交换机端口）有能力将用户接入到VLAN 10，并且该VLAN是正确配置好的。

4、测试与验证：

* 配置完成后，务必进行严格的测试，尝试使用不同角色的账号、不同类型的设备接入。

* 在AC控制器和准入服务器上查看日志，确认认证授权流程是否按预期执行，授权属性是否正确下发。

* 验证用户接入后获得的实际网络权限是否符合策略要求。

连接过程中的关键注意事项（E-A-T的体现）：

安全为先

强共享密钥 使用长且复杂的共享密钥，并定期更换。

加密传输 确保RADIUS协议中敏感信息（尤其是密码）使用强加密（如PAP应避免，优先使用MSCHAPv2或EAP-TLS等更安全的方法），考虑在AC和服务器间部署IPSec VPN提供额外通道加密（尤其跨不可信网络时）。

最小化暴露 在防火墙上严格控制访问准入服务器的源IP（仅限AC控制器）和目的端口（仅UDP 1812/1813或自定义端口）。

服务器安全 准入服务器本身需加固（操作系统补丁、防病毒、严格访问控制）。

高可用性

* 对于关键业务网络，准入服务器应部署集群，避免单点故障，在AC控制器上配置多个RADIUS服务器地址，并设置优先级和故障切换机制。

日志与审计

* 确保AC控制器和准入服务器都开启详细的日志记录功能，并集中管理分析，这是满足合规要求和事后追溯的关键。

证书管理（如果使用EAP-TLS）

* 若采用基于证书的EAP-TLS认证，需建立完善的PKI体系，管理服务器证书和用户/设备证书的颁发、更新和吊销。

定期审查与维护

* 定期审查RADIUS客户端列表、共享密钥、认证授权策略的有效性和安全性，随着业务变化及时更新策略。

让连接创造价值

将AC控制器与准入服务器正确、安全地连接起来，是构建动态、智能、高安全网络准入控制（NAC）系统的基石，这不仅仅是技术配置，更是实施一套基于身份的访问安全策略，它赋予了网络管理员前所未有的能力：知道谁在访问网络、用什么设备访问、在何时何地访问，并能精确控制他们能访问什么，这不仅大幅提升了网络安全性，降低了风险，也为实现更精细的网络资源管理、满足合规要求奠定了坚实基础，对于任何重视网络安全和高效管理的组织来说，这都是一项值得投入的关键基础设施。

说到底，一个连接得当的AC控制器和准入服务器组合，就是为你的网络世界安装了一套智能、可靠且可审计的“门禁系统”，把风险挡在门外，让授权访问畅通无阻，专业的事情交给专业的系统去做，网络安全管理才能化繁为简，游刃有余。

文章摘自：https://idc.huochengrm.cn/fwq/10615.html