【架构探讨】深信服 AF 出口 + 华为无线 AC + 信锐 NAC6720 + 华三 7503，这种多厂商混编架构下网络准入该如何完美部署？

各位圈内的大神、社区的专家好！

近期正在规划一个多厂商设备混编的园区网网络准入控制（NAC）项目。由于现网涉及深信服、华为、信锐、华三四家厂商的设备，在整体准入架构设计、认证流向以及联动配合上，感到有些棘手。

特来社区发帖，想请教一下在以下硬件环境下，网络准入方案应该如何设计和部署才是最优解？

一、 现网物理与逻辑拓扑说明

• 网络出口： 深信服下一代防火墙（AF）
• 核心交换机： 华三（H3C）S7503 系列核心交换机
• 无线控制器： 华为（Huawei）无线 AC（用于管华为老旧或现网 AP）
• 准入与无线管理平台： 信锐（Sundray）NAC6720（计划作为全网的核心准入认证中心）
  
  

二、 核心痛点与请教方向

由于涉及多厂商对接，主要有以下几个部署和联动维度的疑问想请教大家：

1. 核心认证源与策略控制点（信锐 NAC6720 与华三 7503 联动）

• 如果计划全网推行 802.1X 认证 和 Portal 认证，将信锐 NAC6720 作为 RADIUS 认证服务器和 Portal 服务器：
• 核心交换机（华三 7503） 作为有线接入/汇聚的认证控制点（Authenticator），在对接信锐 NAC 时的兼容性如何？
• 动态 VLAN 下发、ACL 下发、以及用户下线控制（CoA 协议），在信锐 NAC ↔ 华三核心之间是否存在已知的协议标准兼容性大坑？
  
  

2. 跨厂商无线准入（信锐 NAC6720 ↔ 华为无线 AC）

• 现网无线流量由华为无线 AC 控制。如果要实现无线终端的统一准入认证，推荐采用哪种方式对接？
  
  
  • 方案 A： 华为 AC 仅做纯 AP 管理，将无线 SSID 的认证点（RADIUS/Portal 对接）直接配置在华为 AC 上，向信锐 NAC6720 发起认证请求。
  • 方案 B： 有没有更深度的联动方式？如何确保无线终端认证通过后，深信服 AF 出口能够准确关联用户的 IP/MAC 与实名身份？
    
    

3. 用户身份与行为管理联动（深信服 AF ↔ 信锐 NAC）

• 信锐 NAC6720 认证成功后，如何将组织架构和实名用户信息完美、实时地同步给出口的深信服 AF 防火墙？
• 是否需要通过单点登录（SSO）、应用行为管理（AC）组件或者第三方日志联动来实现？希望出口 AF 能够基于信锐认证的角色做精准的免密上网权限控制和上网行为审计。
  
  

4. 极端场景下的逃生机制设计

• 在这种多厂商混编环境下，万一信锐 NAC 准入平台挂掉，或者华三核心与 NAC 的认证链路中断，如何设计有线和无线的紧急逃生通道，避免业务大面积瘫痪？各厂商设备（华三、华为、深信服）自身的跳过认证（Bypass）策略该如何协同配置？
  
  

这种“大杂烩”架构在很多利旧、改造型项目中非常常见。希望能听听做过类似多厂商集成项目的老哥，或者深信服/信锐的原厂专家分享一下落地经验或标准拓扑指南，万分感谢！

#深信服AF #信锐NAC #华三交换机 #华为AC #网络准入 #多厂商对接