基于集群服务的网络准入控制系统技术方案

本发明专利技术公开了一种基于集群服务的网络准入控制系统，包括：AD服务器集群、受控终端、接入侧交换机和核心服务器集群；受控终端向AD服务器集群发送第一请求；AD服务器响应第一请求，向受控终端发送认证凭证，在当前响应的AD服务器出现故障时，自动切换至另一个AD服务器进行响应；受控终端接收认证凭证并发送至核心服务器集群；核心服务器对认证凭证进行认证，在当前正在进行认证的核心服务器出现故障时，自动切换至另一个核心服务器进行认证，认证通过后生成授权信息并发送至接入侧交换机，接入侧交换机根据授权信息向受控终端下放权限策略，受控终端根据权限策略访问网络。本发明专利技术实现网络准入认证服务的高可用。

Network admission control system based on cluster service

The invention discloses a network access control system based on cluster service, including: AD server cluster, controlled terminal, access side switches and core server cluster; controlled terminal to the first request to the AD server cluster send; AD server in response to the first request, sent to the controlled terminal authentication credentials, failure in the current response of AD server in response, automatically switch to another AD server; the controlled terminal receives the authentication credentials and sent to the core server cluster; authentication credentials to authenticate the core server, failure in the core server is currently in authentication, and automatically switch to another core server for authentication, authorization and authentication by generating information sent to access side switch, switch access side delegated authority strategy to the controlled terminal according to the authorization information by The control terminal accesses the network according to the permission policy. The invention realizes the high availability of network access authentication service.

【技术实现步骤摘要】
基于集群服务的网络准入控制系统
本专利技术属于信息
，尤其涉及一种基于集群服务的网络准入控制系统。
技术介绍
网络准入系统主要是通过对网络及终端设备的控制来防止非授权设备的连接。在大型企业中，网络及终端设备的种类可能会有几十种，数量可能会达到几万台，如果认证服务器故障，则整个网络无法正常工作，当前网络准入控制主要是解决用户是否有权访问网络，而无法解决当准入系统的服务器出现故障时，如何不影响全局用户以保证服务的连续性。
技术实现思路
本专利技术要解决的技术问题是为了克服现有技术中的网络准入控制系统无法解决当准入系统服务器出现关键性故障时，如何不影响全局用户以保证服务的连续性的缺陷，提供了一种基于集群服务的网络准入控制系统。本专利技术是通过下述技术方案解决上述技术问题：一种基于集群服务的网络准入控制系统，包括：AD(活动目录：提供面向WindowsStandardServer、WindowsEnterpriseServer以及WindowsDatacenterServer的目录服务)服务器集群、受控终端、接入侧交换机和核心服务器集群；所述AD服务器集群包括多个AD服务器，用于存储访问网络所需的账号信息；所述受控终端用于向所述AD服务器集群发送第一请求，所述第一请求包括账号信息；所述AD服务器集群中的AD服务器用于响应所述受控终端的第一请求，向所述受控终端发送认证凭证，在当前响应的AD服务器出现故障时，自动切换至另一个AD服务器进行响应；所述接入侧交换机分别与所述受控终端和所述核心服务器集群通信连接，所述受控终端还用于将所述认证凭证发送至所述接入侧交换机，所述接入侧交换机用于接收所述认证凭证并发送至所述核心服务器集群；所述核心服务器集群包括多个核心服务器，所述核心服务器集群中的核心服务器用于对所述认证凭证进行认证，在当前正在进行认证的核心服务器出现故障时，自动切换至另一个核心服务器进行认证；所述核心服务器集群将接收到的所述认证凭证发送到所述AD服务器集群，所述AD服务器集群对所述认证凭证进行认证，认证通过时生成一通过信息并发送至所述核心服务器集群，所述核心服务器集群根据所述通过信息生成所述授权信息并发送至所述接入侧交换机，所述接入侧交换机根据所述授权信息向所述受控终端下放权限策略，所述受控终端根据所述权限策略访问网络。较佳地，所述接入侧交换机通过配置RadiusGroup(远程用户拨号认证组)的负载均衡与所述核心服务器集群进行连接。本方案中，接入多个AD服务器和多个核心服务器，在多个核心服务器上配置Radius(远程用户拨号认证)服务以供接入侧交换机连接，同时在接入侧交换机上配置RadiusGroup的负载均衡与多个核心服务器连接，从而实现802.1X/MAC(基于C/S的访问控制和认证协议/网络接口物理地址)认证的高可用，当某一个AD服务器或核心服务器出现故障时，自动切换至集群中另一个AD服务器或核心服务器进行响应或认证。较佳地，所述接入侧交换机包括计时单元和探针单元；所述计时单元用于每隔一设定的时间间隔发送一触发信息至所述探针单元；所述探针单元用于根据所述触发信息发送任意账号信息至目标核心服务器，用于检测所述目标核心服务器是否发生故障，若是，则断开所述目标核心服务器与所述接入侧交换机的连接。较佳地，在所述目标核心服务器与所述接入侧交换机断开连接后，所述探针单元还用于检测所述目标核心服务器是否恢复正常，若是，则恢复所述目标核心服务器与所述接入侧交换机的连接。本方案中，通过接入侧交换机上配置探针单元，随机连接核心服务器进行认证，探针单元配置成3分钟定期监测各Radius服务状态，当某个服务出现问题时，接入侧交换机通过探针单元将其置为ServerDown(服务器停机)状态，从而不再与所述核心服务器连接，直到检测到Radius服务恢复后，再将其置为ServerActive(服务器活动)状态，重新连接提供服务。较佳地，在所述目标核心服务器全部故障时，所述受控终端通过所述接入侧交换机直接访问网络。本方案中，接入侧交换机上开启CriticalVLAN功能，当接入侧交换机与所有核心服务器之间通讯均出现异常时，接入侧交换机会把这些核心服务器的状态全部标志为ServerDown状态，同时把受控终端加入到CriticalVLAN(逃逸用虚拟局域网)，此后受控终端不需要进行认证即能够访问CriticalVLAN内的所有资源，以达到逃逸的功能。较佳地，所述网络准入控制系统还包括DHCP(动态主机配置协议)服务器集群，所述DHCP服务器集群与所述接入侧交换机通信连接；所述DHCP服务器集群包括多个DHCP服务器；所述接入侧交换机还用于向所述DHCP服务器发送第二请求，所述第二请求包括MAC(媒体访问控制)地址；所述DHCP服务器根据所述第二请求将所述受控终端访问网络所需的服务相关信息发送至所述接入侧交换机，所述服务相关信息包括IP(网络协议)地址和子网掩码；在当前响应的DHCP服务器出现故障时，自动切换至另一个DHCP服务器进行响应。较佳地，所述接入侧交换机通过配置多个DHCP转发与所述DHCP服务器集群连接。较佳地，所述DHCP服务器集群与所述核心服务器集群通信连接，所述DHCP服务器集群还用于将所述服务相关信息发送至所述核心服务器集群。本方案中，多台DHCP服务器上将DHCP服务配成集群，并在接入侧交换机上配置多个DHCP转发，以实现WebPortal(门户)认证的高可用。本专利技术的积极进步效果在于：本专利技术通过对准入系统的关键性服务进行配置，包括AD服务器、DHCP服务器和核心服务器等，通过配置DHCP服务、Radius服务等实现相应服务器的集群服务，在当前响应的服务器出现故障的时候，自动切换至集群中其他的服务器进行响应，实现网络认证的高可用，很好的保证了整个服务的连续性，也避免当某服务器出现故障时影响全局用户。附图说明图1为本专利技术实施例1的基于集群服务的网络准入控制系统的结构框图。图2为本专利技术实施例2的基于集群服务的网络准入控制系统的结构框图。具体实施方式下面通过实施例的方式进一步说明本专利技术，但并不因此将本专利技术限制在所述的实施例范围之中。实施例1一种基于集群服务的网络准入控制系统，具体如图1所示，包括：AD服务器集群1、受控终端2、接入侧交换机3和核心服务器集群4；所述AD服务器集群1包括多个AD服务器，用于存储访问网络所需的账号信息；所述受控终端2用于向所述AD服务器集群1发送第一请求，所述第一请求包括账号信息；所述AD服务器集群1中的AD服务器用于响应所述受控终端的第一请求，向所述受控终端2发送认证凭证，在当前响应的AD服务器出现故障时，自动切换至另一个AD服务器进行响应；所述接入侧交换机3分别与所述受控终端2和所述核心服务器集群4通信连接，所述受控终端2还用于将所述认证凭证发送至所述接入侧交换机3，当所述接入侧交换机3为2个或2个以上时，所述接入侧交换机通过配置RadiusGroup的负载均衡与所述核心服务器集群进行连接，所述接入侧交换机3用于接收所述认证凭证并发送至所述核心服务器集群4；所述核心服务器集群4包括多个核心服务器，所述核心服务器集群4中的核心服务器用于对所述认证凭证进行认证，在当前正在进行认证的核心服务本文档来自技高网...

【技术保护点】
一种基于集群服务的网络准入控制系统，其特征在于，所述网络准入控制系统包括：AD服务器集群、受控终端、接入侧交换机和核心服务器集群；所述AD服务器集群包括多个AD服务器，用于存储访问网络所需的账号信息；所述受控终端用于向所述AD服务器集群发送第一请求，所述第一请求包括账号信息；所述AD服务器集群中的AD服务器用于响应所述受控终端的第一请求，向所述受控终端发送认证凭证，在当前响应的AD服务器出现故障时，自动切换至另一个AD服务器进行响应；所述接入侧交换机分别与所述受控终端和所述核心服务器集群通信连接，所述受控终端还用于将所述认证凭证发送至所述接入侧交换机，所述接入侧交换机用于接收所述认证凭证并发送至所述核心服务器集群；所述核心服务器集群包括多个核心服务器，所述核心服务器集群中的核心服务器用于对所述认证凭证进行认证，在当前正在进行认证的核心服务器出现故障时，自动切换至另一个核心服务器进行认证；所述核心服务器集群将接收到的所述认证凭证发送到所述AD服务器集群，所述AD服务器集群对所述认证凭证进行认证，认证通过时生成一通过信息并发送至所述核心服务器集群，所述核心服务器集群根据所述通过信息生成授权信息并发送至所述接入侧交换机，所述接入侧交换机根据所述授权信息向所述受控终端下放权限策略，所述受控终端根据所述权限策略访问网络。...

【技术特征摘要】
1.一种基于集群服务的网络准入控制系统，其特征在于，所述网络准入控制系统包括：AD服务器集群、受控终端、接入侧交换机和核心服务器集群；所述AD服务器集群包括多个AD服务器，用于存储访问网络所需的账号信息；所述受控终端用于向所述AD服务器集群发送第一请求，所述第一请求包括账号信息；所述AD服务器集群中的AD服务器用于响应所述受控终端的第一请求，向所述受控终端发送认证凭证，在当前响应的AD服务器出现故障时，自动切换至另一个AD服务器进行响应；所述接入侧交换机分别与所述受控终端和所述核心服务器集群通信连接，所述受控终端还用于将所述认证凭证发送至所述接入侧交换机，所述接入侧交换机用于接收所述认证凭证并发送至所述核心服务器集群；所述核心服务器集群包括多个核心服务器，所述核心服务器集群中的核心服务器用于对所述认证凭证进行认证，在当前正在进行认证的核心服务器出现故障时，自动切换至另一个核心服务器进行认证；所述核心服务器集群将接收到的所述认证凭证发送到所述AD服务器集群，所述AD服务器集群对所述认证凭证进行认证，认证通过时生成一通过信息并发送至所述核心服务器集群，所述核心服务器集群根据所述通过信息生成授权信息并发送至所述接入侧交换机，所述接入侧交换机根据所述授权信息向所述受控终端下放权限策略，所述受控终端根据所述权限策略访问网络。2.如权利要求1所述的网络准入控制系统，其特征在于，所述接入侧交换机通过配置RadiusGroup的负载均衡与所述核心服务器集群进行连接。3.如权利要求1所述的网络准入控制系统，其特征在于，所述接入侧交换机包括计时单元和探针单元；...

【专利技术属性】
技术研发人员：倪世长，余祥，宋君孝，陈玺缘，毛建民，
申请(专利权)人：携程旅游信息技术上海有限公司，
类型：发明
国别省市：上海,31