联动是什么意思 网络上联动是什么意思

为简化中大型园区用户访问策略部署的复杂性，策略联动技术应运而生。它通过将认证策略的控制点和执行点进行分离，实现了集中式策略控制与分布式策略执行。

在园区网络环境中，为确保内网安全，IT管理员通常需要在接入层设备上部署NAC（Network Access Control）认证策略，以控制用户的网络访问权限。

对于大中型网络而言，由于接入层设备众多且用户的网络接入策略复杂多变，IT管理员面临着以下挑战：

• 设备繁多导致NAC部署工作量大，不易于管理和维护。
• 设备过多会给对接的服务器带来沉重的负担。
• 用户通常只能在固定的位置接入网络，若地点变更而认证策略未更新，用户将无法正常接入。

为解决上述问题，有的网络架构选择将认证点从接入层上移至汇聚层交换机，并使接入层交换机进行802.1X报文的透传。这种做法也引发了新的问题：

• 同一接入交换机下的不同VLAN用户之间的访问可能失去有效控制。
• 在接入交换机上，具体的用户接入位置认证设备可能无法感知，导致故障难以明确定位。
• 当用户突然下线（如断电），认证设备可能无法及时感知，这可能导致AAA服务器继续对该用户计费，产生误计费现象；同时也存在非法用户仿冒合法用户信息接入网络的风险。

为了克服上述两种方案的不足，策略联动方案被提出。其核心思想是分离控制点和执行点，实现集中式策略控制与分布式策略执行。

具体而言，控制点通常部署在汇聚层或更高层的网络交换机上，负责与控制器对接并配置用户的访问权限等功能。通过capwap隧道将策略下发至执行点以进行策略执行。

而执行点则部署在接入层交换机上，负责执行在控制点上配置的用户策略。它通过capwap隧道将用户终端的状态信息上传至控制点。

采用策略联动方案不仅可以简化中大型网络的NAC部署流程，还可以有效避免因认证点上移而引发的一系列问题。

从网络架构的角度看，策略联动的系统通常包括三个部分：终端、认证接入设备和认证控制设备。

终端：这是用户与网络进行交互的接口，包括PC、笔记本电脑、智能手机、平板电脑等设备。它们负责进行用户认证和资源访问。

认证接入设备：作为策略的执行点，它们负责执行用户的网络访问策略。

认证控制设备：作为策略的控制点，它们负责对用户进行认证并控制用户的网络访问策略。这些设备与认证接入设备之间通过CAPWAP（Control And Provisioning of Wireless Access Points）通道建立连接。

CAPWAP通道用于完成用户关联、消息通信、用户授权策略下发以及用户同步等处理任务。通过这种方式，策略联动的实现机制得以有效运作。

总体而言，策略联动方案为园区网络提供了更加高效、灵活和安全的访问控制解决方案。