當(dāng)今，大部分企業(yè)已經(jīng)部署了WLAN基礎(chǔ)網(wǎng)絡(luò)，把無(wú)線辦公作為主要的網(wǎng)絡(luò)接入方式，但隨之帶來(lái)了企業(yè)來(lái)訪者(包括商業(yè)伙伴、供應(yīng)商、客戶等)訪問(wèn)網(wǎng)絡(luò)的問(wèn)題。一個(gè)企業(yè)必須將它的無(wú)線網(wǎng)絡(luò)擴(kuò)展覆蓋到來(lái)賓訪問(wèn)區(qū)域，而不是象過(guò)去那樣僅在會(huì)議室提供有線接口供來(lái)賓接入。在許多情況下，來(lái)賓需要能夠順利訪問(wèn)Internet，甚至是一些受限的企業(yè)資源。來(lái)賓用戶的無(wú)線終端是多種多樣的，甚至它們支持的認(rèn)證方式也不相同，企業(yè)要能夠滿足各種終端在一段時(shí)間內(nèi)對(duì)特定網(wǎng)絡(luò)資源的持續(xù)網(wǎng)絡(luò)訪問(wèn)需求。同時(shí)，企業(yè)要保護(hù)自己的數(shù)據(jù)和網(wǎng)絡(luò)資源的安全，將來(lái)賓用戶的流量和企業(yè)內(nèi)部流量完全隔離開(kāi)來(lái)。因此，企業(yè)需要為來(lái)賓訪問(wèn)提供一種能夠靈活部署而又安全隔離的移動(dòng)接入網(wǎng)絡(luò)。

為來(lái)賓接入部署單獨(dú)的一套網(wǎng)絡(luò)是不可取的。這種方式不僅需要重復(fù)投資部署一部分網(wǎng)絡(luò)設(shè)施，即還不能讓來(lái)賓靈活訪問(wèn)公司的受限資源，更不能使企業(yè)實(shí)施統(tǒng)一的用戶安全策略和集中管理，最終大大降低了企業(yè)的工作效率。傳統(tǒng)的企業(yè)IT賬戶開(kāi)戶，需要非常冗長(zhǎng)的步驟和信息核實(shí)，但是針對(duì)來(lái)賓用戶的場(chǎng)景特點(diǎn)，需要讓企業(yè)園區(qū)接待安保或前臺(tái)人員具備快速的來(lái)賓開(kāi)戶能力。

一、 來(lái)賓準(zhǔn)入需求

基于上述分析，對(duì)于來(lái)賓準(zhǔn)入控制有以下要求：

一個(gè)或多個(gè)專門(mén)的來(lái)賓SSID；

隔離的來(lái)賓流量訪問(wèn)路徑，通過(guò)在同一個(gè)物理網(wǎng)絡(luò)上劃分出多個(gè)邏輯流量路徑(單獨(dú)的VLAN)，將來(lái)賓流量限制在此范圍內(nèi)；

在內(nèi)部AC和DMZ區(qū)的AC之間建立VIP通道，使得來(lái)賓流量直接通過(guò)VIP通道到達(dá)DMZ區(qū)AC，然后訪問(wèn)Internet，來(lái)賓流量和企業(yè)內(nèi)部流量之間完全隔離；

根據(jù)不同終端類型和業(yè)務(wù)安全規(guī)范，需要支持Web、802.1x或MAC等認(rèn)證方法；

來(lái)賓的用戶方案和用戶分組預(yù)配置，用戶方案包括出/入方向的QoS策略、出/入方向的速率限制、允許的無(wú)線服務(wù)列表、允許的AP組列表等，同一用戶分組使用相同的用戶方案。

門(mén)崗對(duì)來(lái)賓帳戶的實(shí)時(shí)管理。

二、 來(lái)賓準(zhǔn)入模式選擇

1. 單AC網(wǎng)絡(luò)

對(duì)中小型企業(yè)來(lái)說(shuō)，一般是單控制器網(wǎng)絡(luò)，來(lái)賓準(zhǔn)入網(wǎng)絡(luò)部署如圖1所示。來(lái)賓流量經(jīng)AP和AC間的隧道到達(dá)AC，并在為來(lái)賓用戶劃分的邏輯VLAN中轉(zhuǎn)發(fā)到Internet上。來(lái)賓帳戶管理員直接登錄AC的Web管理界面來(lái)管理。

圖1 獨(dú)立AC來(lái)賓用戶業(yè)務(wù)邏輯

2. 多AC網(wǎng)絡(luò)

對(duì)大型企業(yè)來(lái)說(shuō)，需要多控制器來(lái)實(shí)現(xiàn)大范圍的WLAN基礎(chǔ)架構(gòu)。此時(shí)，可以通過(guò)H3C iMC智能管理中心來(lái)集中管理多個(gè)控制器和整個(gè)網(wǎng)絡(luò)(如圖2所示)，來(lái)賓準(zhǔn)入可以通過(guò)iMC集中部署，而來(lái)賓準(zhǔn)入帳戶管理員也可以通過(guò)遠(yuǎn)程訪問(wèn)iMC的方式來(lái)創(chuàng)建和管理來(lái)賓帳戶。

圖2 多AC間來(lái)賓用戶分域開(kāi)戶、統(tǒng)一管理

3. VIP通道方式

對(duì)安全性要求更高的企業(yè)來(lái)說(shuō)，可以在防火墻的DMZ區(qū)安裝一個(gè)單獨(dú)的AC來(lái)管理來(lái)賓準(zhǔn)入，企業(yè)內(nèi)部安裝的AC和DMZ區(qū)的AC之間VIP通道，隔離來(lái)賓流量。這樣部署的好處是來(lái)賓流量對(duì)企業(yè)內(nèi)部流量無(wú)任何干擾，隔離度非常高。另一方面也不需要在企業(yè)網(wǎng)內(nèi)部部署來(lái)賓VLAN。

圖3 VIP通道實(shí)現(xiàn)來(lái)賓流量與企業(yè)生產(chǎn)流量邏輯隔離

三、 方案特點(diǎn)

1. 單獨(dú)的門(mén)崗角色，簡(jiǎn)單易用

網(wǎng)絡(luò)管理員可以創(chuàng)建一個(gè)或多個(gè)來(lái)賓帳戶管理員，符合企業(yè)通常的門(mén)崗角色使用。這種管理方式的好處是，當(dāng)有來(lái)賓訪問(wèn)并要求接入網(wǎng)絡(luò)時(shí)，門(mén)崗人員可以直接根據(jù)公司統(tǒng)一的安全策略來(lái)管理，及時(shí)地創(chuàng)建帳戶供來(lái)賓使用，免除了IT人員的介入。同時(shí)單獨(dú)的來(lái)賓帳戶管理界面(如圖4所示)有效地杜絕了門(mén)崗角色對(duì)設(shè)備可能造成的其他修改。

圖4來(lái)賓管理員登錄界面

網(wǎng)絡(luò)管理員可以根據(jù)企業(yè)的安全策略，為不同的來(lái)賓用戶定義不同的用戶分組。在預(yù)創(chuàng)建這些用戶分組后，門(mén)崗角色只需要根據(jù)來(lái)賓對(duì)象選擇合適的分組即可，大大簡(jiǎn)化了門(mén)崗創(chuàng)建帳戶的過(guò)程。門(mén)崗也可以一次性創(chuàng)建多個(gè)來(lái)賓用戶，自動(dòng)生成用戶名和密碼，在大量來(lái)賓到達(dá)時(shí)使管理過(guò)程顯得十分輕松。

2. 靈活的安全措施和部署方式

來(lái)賓準(zhǔn)入特性中包含下列安全措施，企業(yè)可以通過(guò)一項(xiàng)或多項(xiàng)的組合來(lái)實(shí)現(xiàn)自己的安全防范目標(biāo)。

流量的邏輯隔離：通過(guò)將來(lái)賓用戶劃分為單獨(dú)的VLAN，實(shí)現(xiàn)來(lái)賓流量和內(nèi)部用戶流量之間的邏輯隔離。

訪問(wèn)控制列表(ACL)：通過(guò)訪問(wèn)控制列表，允許某些來(lái)賓用戶能夠訪問(wèn)特定資源，對(duì)內(nèi)部限制資源的訪問(wèn)可靈活調(diào)整，訪問(wèn)控制列表的設(shè)置可以精確到TCP/UDP端口級(jí)別。

QoS策略：通過(guò)QoS策略將某些用戶的應(yīng)用限制在允許的類型范圍內(nèi)。如僅允許來(lái)賓進(jìn)行Web瀏覽;提高某種應(yīng)用類型的QoS優(yōu)先級(jí);僅允許來(lái)賓訪問(wèn)企業(yè)內(nèi)部的某種應(yīng)用(如某臨時(shí)數(shù)據(jù)庫(kù))。

來(lái)賓SSID僅綁定在指定地理范圍的AP上：避免來(lái)賓用戶出現(xiàn)在不適當(dāng)?shù)牡攸c(diǎn)。

對(duì)特定來(lái)賓用戶限制其接入的AP：通過(guò)限制來(lái)賓用戶允許接入的AP，從而限制其能夠訪問(wèn)的活動(dòng)范圍。

VIP通道：采用VIP通道方式部署網(wǎng)絡(luò)時(shí)，能夠?qū)?lái)賓流量和企業(yè)內(nèi)部流量完全隔離，并且無(wú)需在企業(yè)內(nèi)部為來(lái)賓流量部署一個(gè)單獨(dú)的VLAN。來(lái)賓流量直接由內(nèi)部AC經(jīng)VIP通道到達(dá)DMZ區(qū)的AC，并最終訪問(wèn)Internet。

用戶攻擊鎖定：當(dāng)有來(lái)賓用戶試圖猜測(cè)密碼時(shí)，在一定次數(shù)認(rèn)證失敗后該用戶終端將被鎖定，無(wú)法再接入網(wǎng)絡(luò)。

3. 基于用戶的訪問(wèn)策略

基于用戶訪問(wèn)策略設(shè)置使得企業(yè)能夠定制更適合來(lái)賓對(duì)象的訪問(wèn)特色。

定制登錄頁(yè)面：針對(duì)不同類型的來(lái)賓用戶(如合作伙伴、供應(yīng)商、客戶、代理商等)，為綁定在不同SSID上的來(lái)賓用戶群定制各自特點(diǎn)的登錄頁(yè)面。

接入帶寬限制：通過(guò)限制次要來(lái)賓用戶的流量，保證重要來(lái)賓用戶能夠獲得更多的網(wǎng)絡(luò)資源，預(yù)先防止了網(wǎng)絡(luò)的擁塞情況，使得無(wú)線網(wǎng)絡(luò)更好地服務(wù)企業(yè)關(guān)鍵業(yè)務(wù)。

時(shí)間調(diào)度：僅允許來(lái)賓在有效時(shí)間內(nèi)訪問(wèn)網(wǎng)絡(luò)，從而避免來(lái)賓在非有效時(shí)間內(nèi)對(duì)網(wǎng)絡(luò)的非法訪問(wèn)。

4. 支持多種認(rèn)證方式

來(lái)賓準(zhǔn)入特性支持多種認(rèn)證方式，適合不同的無(wú)線終端類型。

Web認(rèn)證：適合大部分Wi-Fi終端，如筆記本電腦、上網(wǎng)本、iPhone等。

802.1x認(rèn)證：適合對(duì)數(shù)據(jù)加密要求高和強(qiáng)認(rèn)證的終端，或者來(lái)賓需要通過(guò)企業(yè)網(wǎng)絡(luò)訪問(wèn)自己的VPN服務(wù)器。

MAC認(rèn)證：適合舊的WLAN手機(jī)終端等，這些終端不支持Web認(rèn)證，也不支持802.1x認(rèn)證。

5. 統(tǒng)一管理、集中部署

無(wú)論何種網(wǎng)絡(luò)部署方式，來(lái)賓安全準(zhǔn)入方案都使得企業(yè)網(wǎng)絡(luò)管理者能夠集中管理、集中實(shí)施統(tǒng)一的來(lái)賓用戶策略。這對(duì)企業(yè)臨時(shí)增加或修改來(lái)賓用戶策略來(lái)說(shuō)是非常方便的，大大提高了來(lái)賓交流的便捷性和高效性，對(duì)提高企業(yè)效率有明顯的幫助作用。

四、 結(jié)束語(yǔ)

能夠?yàn)閬?lái)賓提供一個(gè)安全易用的移動(dòng)接入網(wǎng)絡(luò)，是BYOD時(shí)代企業(yè)必須要具備的網(wǎng)絡(luò)基礎(chǔ)能力之一。針對(duì)來(lái)賓用戶在終端類型、訪問(wèn)模式、安全等級(jí)各方面的不同要求，越來(lái)越多的企業(yè)網(wǎng)絡(luò)管理者正在嘗試把現(xiàn)有內(nèi)部網(wǎng)絡(luò)進(jìn)行調(diào)整優(yōu)化。本文提供的幾種模式選擇，為來(lái)賓安全準(zhǔn)入和企業(yè)業(yè)務(wù)規(guī)范有效融合提供了技術(shù)保障。