什么是HACA?
由于认证服务器部署在互联网中,设备到服务器之间可能需要穿越NAT,而普通的Portal认证采用Portal协议无法穿越NAT,因此采用华为敏捷云认证HACA(Huawei Agile Cloud Authentication)使设备与服务器之间建立连接,然后进行Portal认证。
为什么需要HACA?
日益发展的中小型企业具有网络规模较小、并发上线用户数量少、网络部署站点分散等特点。面对此类用户,华为提出“智简园区网络解决方案”,通过公有云向广大中小型企业用户提供服务,可实现多租户的统一管理、网络设备的即插即用、网络业务批量部署等功能。与传统的网络架构和部署方式相比,该方案不仅网络部署周期短、维护成本低,而且网络扩展性较好。
由于认证服务器部署在互联网中,设备到服务器之间可能需要穿越NAT,而普通的Portal认证采用Portal协议无法穿越NAT,因此采用华为敏捷云认证HACA(Huawei Agile Cloud Authentication)使设备与服务器之间建立连接,然后进行Portal认证。
HACA是如何工作的?
当用户采用HACA方式进行认证、授权时,需要将用户认证、授权等信息配置在HACA服务器上。
当用户进行认证时,接入设备负责将用户的认证信息发送给HACA服务器。HACA服务器根据配置好的信息,决定该用户是否认证通过。若该用户认证通过,则发送认证接受报文给接入设备,该报文中同时携带了用户的授权信息。接入设备根据认证接受报文信息,允许用户接入网络并授予访问权限。
HACA协议与RADIUS协议类似,主要是通过客户端/服务器模式来实现对接入用户进行认证。
iMaster NCE-Campus作为HACA服务器部署在云端实现外置Portal服务器以及认证计费服务器。交换机作为用户的认证点,与HACA服务器完成用户认证上线功能。用户的授权信息由HACA服务器指定,用户认证通过后,HACA服务器会授予用户访问网络访问权限。HACA认证、授权、计费流程如图1-2所示。
- 设备与HACA服务器通过HTTP 2.0协议与HACA服务器建立长连接并注册设备信息。
- 在认证之前客户端与设备之间建立起预连接。
- 客户端通过HTTP协议发起认证请求。HACA服务器提供Web页面供用户输入用户名和密码来进行认证。
- 接入设备与HACA服务器之间进行认证报文的交互。
- 用户认证成功后,HACA服务器主动发送授权报文授予用户网络访问权限。
- 用户开始访问网络后,接入设备向HACA服务器发送计费开始请求报文。
- HACA服务器向接入设备发送计费开始响应报文,并开始计费。
- (可选)在使能实时计费功能的情况下,接入设备会定时向HACA服务器发送实时计费请求报文,以避免因付费用户异常下线导致的不合理计费。
- (可选)HACA服务器返回实时计费响应报文,并实时计费。
- 用户发起下线请求。
- HACA服务器向接入设备发送用户下线请求报文。
- 接入设备向HACA服务器返回用户下线响应报文。
- 接入设备向HACA服务器提交计费结束请求报文。
- HACA服务器返回计费结束响应报文,并停止计费。
