news 2026/4/18 13:02:45

什么是iConnect

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
什么是iConnect

文章目录

    • 为什么需要iConnect
    • iConnect应用场景有哪些
    • iConnect是如何工作的


iConnect是智简园区网络解决方案中网络层的生态名称,通过iConnect可实现物联网终端的即插即用和接入安全。

为什么需要iConnect

智简园区场景中,物联网络如楼宇自动化BA(Building Automation)建设早于园区网络的部署,因此需要园区网络支持物联网络的局部调试。

一方面,由于部分物联设备,如门禁、空调联网温控等没有网络操作界面,因此对物联设备安装调试人员的要求比较高;另一方面,物联设备接入网络后还有很多安全隐患,如门禁、闸机、摄像头等容易受到攻击、仿冒,因此物联终端还需要通过网络进行数字证书申请和下发,操作比较复杂。

iConnect的出现,可以解决上述问题。使用iConnect的物联网终端也被称为iConnect终端。iConnect可以创建一个带有iConnect标识的SSID,iConnect终端自动关联该SSID,并实现终端的即插即用;iConnect终端还可自动申请并加载数字证书,无需在终端上人工导入数字证书,从而简化安装配置,提升部署效率。

iConnect应用场景有哪些

如图1-2所示,无线终端通过AP接入网络。SwitchA为接入交换机,SwitchB支持随板AC功能,iConnect终端和其他类型的终端(即图中的STA)同时接入网络。用户希望网络规划满足如下要求:

  • 无线终端的IP地址通过DHCP服务器动态分配。

  • 对iConnect终端进行免认证授权,STA使用Portal认证。

iConnect终端免认证组网图

iConnect是如何工作的

iConnect电子身份信息

iConnect-URL是在MUD-URL的基础上做了扩展定义。

MUD全称Manufacture Usage Description Specification,是RFC 8520定义的一种终端标识自己身份和对网络功能的诉求的方法。初期设计用于网络访问控制,后面逐步应用于其它领域。同时RFC定义了一种MUD-URL,网络访问这个MUD-URL获取到MUD描述文件,并根据该文件获取终端的身份和网络功能诉求,继而给终端开通相应的网络权限。

如图1-3所示,iConnect-URL由三部分组成。

iConnect-URL

其中终端的电子身份定义如图1-4所示。


终端的电子身份定义

表1-1 终端的电子身份定义字段说明

iConnect终端本地认证

管理员为管理和控制不携带iConnect信息的终端而在设备上配置NAC功能,但对iConnect终端没有管理控制的要求,仅需要iConnect终端能接入网络。此时,可以在设备上使能iConnect终端不认证即上线功能。使能该功能后,设备识别出的iConnect终端不认证就可以上线。

iConnect终端的本地认证流程如图1-5所示。

iConnect终端本地认证流程

  1. 无线iConnect终端关联SSID,接入无线网络。该SSID为iConnect引导SSID。
  2. AP将iConnect终端的身份信息(即iConnect-URL)通过CAPWAP报文发送到设备。
  3. 设备根据身份信息判断该用户为iConnect终端,同时设备已经配置iConnect终端不认证即上线功能,则保持该用户在线。否则,若用户没有携带iConnect终端身份信息,或者设备没有配置iConnect终端不认证即上线功能,则用户需要完成非iConnect终端的认证流程。

iConnect终端RADIUS认证

如果管理员未在设备上开启iConnect终端不认证即上线功能,则可以进行iConnect终端RADIUS认证。

iConnect终端的电子身份信息由RADIUS报文(华为RADIUS扩展属性26-202)携带至RADIUS服务器。

RADIUS服务器根据该信息识别终端是否为iConnect终端。如果该终端属于iConnect终端,则RADIUS服务器根据用户账号查询对应的授权策略,并将授权策略封装到认证回应报文中。针对iConnect终端,建议同时配置重定向功能有关的RADIUS属性(例如HW-Redirect-ACL或者HW-Portal-URL),从而使iConnect终端在认证成功并访问网络后被重定向到URL地址并下载EAP-TLS证书,最终触发EAP-TLS认证。

iConnect无线终端的RADIUS认证流程如图1-6所示。


iConnect无线终端RADIUS认证流程

  1. 无线iConnect终端关联SSID,接入无线网络。该SSID为iConnect引导SSID。
  2. AP将iConnect终端的身份信息(即iConnect-URL)通过CAPWAP报文发送到设备。
  3. 设备向RADIUS服务器发送RADIUS认证请求报文,认证请求报文中携带终端身份信息。
  4. RADIUS服务器通过RADIUS属性HW-MUD-URL携带的终端身份信息识别该用户为iConnect终端,同时RADIUS服务器根据账号查询该用户的授权策略(例如RADIUS属性HW-Redirect-ACL)封装并发送认证回应报文。
  5. 设备按照认证回应报文中的授权策略对用户进行授权,因此在认证成功后下发重定向策略。
  6. 终端被重定向到URL地址(一般是RADIUS服务器提供的Portal页面的地址)下载数字证书,并在加载该证书后完成EAP-TLS认证。

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/4/17 15:02:55

文档频繁丢失怎么办,深度剖析Dify数据持久化机制与优化方案

第一章:文档频繁丢失的根源分析文档在日常工作中频繁丢失,已成为影响团队效率与数据安全的重要隐患。许多用户误以为这只是操作疏忽所致,实则背后存在系统性成因。深入剖析这些根源,有助于从根本上构建更可靠的文件管理体系。本地…

作者头像 李华
网站建设 2026/4/18 8:31:15

3个核心技巧+2个进阶玩法:用Lua脚本让mpv播放器秒变观影神器

还在为手动管理视频播放列表而烦恼吗?想给影片添加专业级的画质优化却不知从何入手?今天我要分享的是如何通过简单的Lua脚本,让你的mpv播放器从基础工具升级为专业观影平台。无需编程经验,只需几个配置文件,就能解锁隐…

作者头像 李华
网站建设 2026/4/18 10:08:46

DeepSkyStacker终极指南:掌握专业级深空图像处理的8个核心技术

DeepSkyStacker终极指南:掌握专业级深空图像处理的8个核心技术 【免费下载链接】DSS DeepSkyStacker 项目地址: https://gitcode.com/gh_mirrors/ds/DSS DeepSkyStacker作为天文摄影领域备受推崇的堆栈软件,能够将多张噪点明显的星空照片合成为一…

作者头像 李华
网站建设 2026/4/18 11:01:07

Miniforge终极离线部署指南:5分钟构建无网Python环境

Miniforge终极离线部署指南:5分钟构建无网Python环境 【免费下载链接】miniforge A conda-forge distribution. 项目地址: https://gitcode.com/gh_mirrors/mi/miniforge 在当今数字化时代,网络限制已成为许多技术部署的"拦路虎"。无论…

作者头像 李华
网站建设 2026/4/17 23:16:29

Dify自定义插件开发实战(20年架构师经验总结)

第一章:Dify自定义插件开发概述Dify作为一个开放且可扩展的AI应用开发平台,支持开发者通过自定义插件机制集成外部工具与服务。插件能够扩展Dify的工作流能力,使其在处理复杂任务时具备更高的灵活性和自动化水平。开发者可以基于标准接口规范…

作者头像 李华
网站建设 2026/4/18 8:02:44

为什么你的Dify服务总在认证环节崩溃?access_token空值陷阱全曝光

第一章:为什么你的Dify服务总在认证环节崩溃?在部署和运行 Dify 自托管服务时,许多开发者频繁遭遇服务在认证环节突然中断或返回 401 错误。这一问题通常并非源于核心逻辑缺陷,而是配置与环境隔离不当所引发的连锁反应。认证密钥未…

作者头像 李华