基于网络访问控制指纹识别的闭环网络供应制造技术

本公开涉及基于网络访问控制指纹识别的闭环网络供应。描述了用于由网络管理系统(NMS)基于由网络访问控制(NAC)系统确定的指纹信息来提供网络供应的技术。示例方法包括：由NAC系统接收客户端设备访问企业网络的网络访问请求；由NAC系统获得与网络访问请求相关联的客户端设备的指纹信息，其中，指纹信息包括指定与客户端设备相关联的一个或多个属性的信息；由NAC系统认证客户端设备，以访问企业网络；由NAC系统向NMS发送客户端设备的指纹信息；以及由NMS基于客户端设备的指纹信息供应与客户端设备相关联的一个或多个网络资源。与客户端设备相关联的一个或多个网络资源。与客户端设备相关联的一个或多个网络资源。

【技术实现步骤摘要】
基于网络访问控制指纹识别的闭环网络供应
[0001]本申请要求2022年6月29日提交的美国专利申请第17/809,730号的权益，该申请要求2022年3月14日提交的美国临时专利申请第63/319,644号的权益，这两个申请的中的每一个的全部内容通过引用结合于此。


[0002]本公开总体上涉及计算机网络，并且更具体地，涉及管理对计算机网络的访问。

技术介绍

[0003]诸如办公室、医院、机场、体育场或零售店的商业场所或站点通常在整个场所安装复杂的无线网络系统，包括无线访问点(AP)网络，以向一个或多个无线客户端设备(或简称为“客户端”)提供无线网络服务。AP是使用各种无线网络协议和技术使其他设备能够无线连接到有线网络的物理电子设备，诸如符合一个或多个IEEE 802.11标准的无线局域网协议(即“WiFi”)、蓝牙/蓝牙低能量(BLE)、诸如ZigBee的网状网络协议或其他无线网络技术。
[0004]许多不同类型的无线客户端设备(诸如膝上型计算机、智能电话、平板电脑、可穿戴设备、电器和物联网(IoT)设备)都集成了无线通信技术，并且可以被配置为在设备处于兼容AP的范围内时连接到无线AP。为了访问无线网络，无线客户端设备可能首先需要向AP认证。认证可以经由无线客户端设备、AP和控制AP处的访问的认证、授权和计费(AAA)服务器之间的握手交换来进行。

技术实现思路

[0005]总体上，本公开描述了一种或多种用于由网络管理系统(NMS)基于由网络访问控制(NAC)系统确定的指纹信息来提供闭环网络供应的技术。NAC系统被配置为认证客户端设备，以访问网络，诸如分支或校园企业网络。NAC系统通过分析客户端设备的网络行为(称为指纹识别)来识别客户端设备。给定客户端设备的指纹信息包括与客户端设备相关联的一个或多个属性，诸如与客户端设备本身相关联的属性、与客户端设备的用户相关联的属性和/或与客户端设备的网络连接相关联的属性。
[0006]如本文所公开的，NAC系统将客户端设备的指纹信息发送到NMS或另一集中式供应引擎，其被配置为管理与企业网络相关联的多个网络资源。NMS基于从NAC系统接收的客户端设备的指纹信息，供应与客户端设备相关联的一个或多个网络资源，例如，防火墙、交换机、路由器、访问点或服务器。在一些示例中，供应网络资源包括管理客户端设备标识符到客户端设备属性的映射以及对应于客户端设备的属性的一个或多个网络资源策略和/或特征配置。
[0007]本公开的技术提供了一个或多个技术优势和实际应用。例如，NMS或集中式供应引擎基于由NAC系统提供的客户端设备的指纹信息，以改进的粒度实现网络资源的自动供应。NMS可以使用从NAC系统接收的客户端设备的指纹信息，以使管理员能够定义网络资源策略和/或特征配置与客户端设备属性的细粒度对应。然后，NMS可以自动供应与客户端设备相
关联的适当的网络资源，以包括客户端设备标识符到客户端设备属性的映射和对应的网络资源策略和/或特征配置。以这种方式，NMS可以提供跨多个网络资源的客户端设备属性与网络资源策略和/或特征配置之间的对应性的集中管理。此外，NAC系统与NMS之间的交互可以使得传统上不能访问客户端设备的指纹信息的网络资源(例如，防火墙)能够进行细粒度过滤和策略应用。
[0009]在所附附图和以下描述中阐述了本公开的技术的一个或多个示例的细节。从说明书和附图以及权利要求书中，这些技术的其他特征、目的和优点将是显而易见的。
附图说明
[0010]图1A是根据本公开的一种或多种技术的包括网络管理系统和网络访问控制系统的示例网络系统的框图。
[0011]图1B是示出图1A的网络系统的进一步示例细节的框图。
[0012]图2是根据本公开的一种或多种技术的示例网络访问控制系统的框图。
[0013]图3是根据本公开的一种或多种技术的示例网络管理系统的框图。
[0014]图4是根据本公开的一种或多种技术的示例访问点设备的框图。
[0015]图5是根据本公开的一种或多种技术的示例网络资源的框图。
[0016]图6是示出根据本公开的一种或多种技术的基于NAC指纹识别的网络资源的闭环供应的示例操作的流程图。
具体实施方式
[0017]图1A是根据本公开的一种或多种技术的包括网络访问控制(NAC)系统180A
‑
180K和网络管理系统(NMS)130的示例网络系统100的框图。示例网络系统100包括多个站点102A
‑
102N，在这些站点上，网络服务提供商分别管理一个或多个无线网络106A
‑
106N。尽管在图1A中，每个站点102A
‑
102N被示为分别包括单个无线网络106A
‑
106N，但是在一些示例中，每个站点102A
‑
102N可以包括多个无线网络，并且本公开不限于这一方面。
[0018]每个站点102A
‑
102N包括多个网络访问服务器(NAS)设备108A
‑
108N，诸如访问点(AP)142、交换机146和路由器147。NAS设备可以包括能够认证和授权客户端设备访问企业网络的任何网络基础设施设备。例如，站点102A包括多个AP 142A
‑
1至142A
‑
M、交换机146A和路由器147A。类似地，站点102N包括多个AP 142N
‑
1至142N
‑
M、交换机146N和路由器147N。每个AP 142可以是任何类型的无线访问点，包括但不限于商业或企业AP、路由器或连接到有线网络并能够向站点内的客户端设备提供无线网络访问的任何其他设备。在一些示例中，站点102A处的AP 142A
‑
1至142A
‑
M中的每一个可以连接到交换机146A和路由器147A中的一个或两个。类似地，站点102N处的AP 142N
‑
1至142N
‑
M中的每一个可以连接到交换机146N和路由器147N中的一个或两个。
[0019]在图1A的示例中，站点102A还包括本地防火墙(on
‑
premises firewall)114A，其可以是在路由器(诸如路由器147A)上运行的防火墙服务，被配置为将安全策略应用于从站点102A处的客户端设备到企业网络内的设备或系统的数据流量。图1A所示的示例还包括连接到站点102N处的NAS设备108N的基于云的防火墙114B。基于云的防火墙114B可以是在物理或虚拟路由器上运行的防火墙服务，被配置为将安全策略应用于从站点102N处的客户端
设备到企业网络内的设备或系统的数据流量。
[0020]每个站点102A
‑
102N还包括多个客户端设备，也称为用户装备设备(UE)，通常称为UE或客户端设备148，表示每个站点内的各种无线使能设备。例如本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种计算联网方法，包括：由网络访问控制NAC系统接收客户端设备访问企业网络的网络访问请求；由所述NAC系统获得与所述网络访问请求相关联的所述客户端设备的指纹信息，其中，所述指纹信息包括指定与所述客户端设备相关联的一个或多个属性的信息；由所述NAC系统认证所述客户端设备，以访问所述企业网络；由所述NAC系统向网络管理系统NMS发送所述客户端设备的所述指纹信息；以及由所述NMS基于所述客户端设备的所述指纹信息供应与所述客户端设备相关联的一个或多个网络资源。2.根据权利要求1所述的方法，其中，获得所述指纹信息包括：由所述NAC系统在与所述企业网络相关联的用户目录中执行对所述客户端设备的标识符的查找；以及由所述NAC系统并基于所述查找确定与所述客户端设备相关联的所述一个或多个属性。3.根据权利要求1所述的方法，其中，所述客户端设备的所述指纹信息包括所述客户端设备的标识符到与所述客户端设备相关联的所述一个或多个属性的映射。4.根据权利要求1所述的方法，其中，供应与所述客户端设备相关联的所述一个或多个网络资源包括：由所述NMS基于所述指纹信息确定与所述客户端设备相关联的所述一个或多个属性中的至少一个属性；以及由所述NMS向所述一个或多个网络资源供应资源信息，所述资源信息包括所述客户端设备的标识符到所述客户端设备的所述至少一个属性的映射、以及对应于所述客户端设备的所述至少一个属性的至少一个网络资源策略或特征配置。5.根据权利要求4所述的方法，其中，确定与所述客户端设备相关联的所述至少一个属性包括：识别在所述客户端设备的所述指纹信息中指定的与所述客户端设备相关联的用户组属性；以及包括所识别的用户组中的所述客户端设备的所述标识符。6.根据权利要求5所述的方法，其中，供应所述一个或多个网络资源的网络资源包括更新所述网络资源处的现有用户组以包括所述客户端设备的所述标识符，其中，所述至少一个网络资源策略对应于所述现有用户组。7.根据权利要求5所述的方法，其中，供应所述一个或多个网络资源的网络资源包括向所述网络资源供应新用户组，所述新用户组包括所述客户端设备的所述标识符和对应于所述新用户组的新网络资源策略。8.根据权利要求4所述的方法，还包括周期性地更新所述一个或多个网络资源的网络资源处的所述资源信息，以移除不再使用所述网络资源的一个或多个客户端设备的标识符。9.根据权利要求1至8中任一项所述的方法，其中，所述一个或多个网络资源包括在所述客户端设备到所述企业网络的数据路径中的第一防火墙和第二防火墙，并且其中，供应所述一个或多个网络资源包括：
由所述NMS基于所述指纹信息确定所述客户端设备所属的地址组；向所述第一防火墙供应包括所述客户端设备的地址的地址组和对应于所述地址组的策略；以及向所述第二防火墙供应包括所述客户端设备的标识符的相同地址组和对应于所述地址组的相同策略。10.根据权利要求1至8中任一项所述的方法，其中，所述客户端设备的标识符包括因特网协议地址和主机名中的一个或多个。11.根据权利要求1至8中任一项所述的方法，其中，所述一个或多个网络资源包括本地防火墙、基于云的防火墙、交换机、路由器、访问点和服务器中的一个或多个。...

【专利技术属性】
技术研发人员：玛达瓦，
申请(专利权)人：瞻博网络公司，
类型：发明
国别省市：