當(dāng)今，大部分企業(yè)已經(jīng)部署了WLAN基礎(chǔ)網(wǎng)絡(luò)，把無線辦公作為主要的網(wǎng)絡(luò)接入方式，但隨之帶來了企業(yè)來訪者(包括商業(yè)伙伴、供應(yīng)商、客戶等)訪問網(wǎng)絡(luò)的問題。一個企業(yè)必須將它的無線網(wǎng)絡(luò)擴(kuò)展覆蓋到來賓訪問區(qū)域，而不是象過去那樣僅在會議室提供有線接口供來賓接入。在許多情況下，來賓需要能夠順利訪問Internet，甚至是一些受限的企業(yè)資源。來賓用戶的無線終端是多種多樣的，甚至它們支持的認(rèn)證方式也不相同，企業(yè)要能夠滿足各種終端在一段時間內(nèi)對特定網(wǎng)絡(luò)資源的持續(xù)網(wǎng)絡(luò)訪問需求。同時，企業(yè)要保護(hù)自己的數(shù)據(jù)和網(wǎng)絡(luò)資源的安全，將來賓用戶的流量和企業(yè)內(nèi)部流量完全隔離開來。因此，企業(yè)需要為來賓訪問提供一種能夠靈活部署而又安全隔離的移動接入網(wǎng)絡(luò)。

為來賓接入部署單獨(dú)的一套網(wǎng)絡(luò)是不可取的。這種方式不僅需要重復(fù)投資部署一部分網(wǎng)絡(luò)設(shè)施，即還不能讓來賓靈活訪問公司的受限資源，更不能使企業(yè)實(shí)施統(tǒng)一的用戶安全策略和集中管理，最終大大降低了企業(yè)的工作效率。傳統(tǒng)的企業(yè)IT賬戶開戶，需要非常冗長的步驟和信息核實(shí)，但是針對來賓用戶的場景特點(diǎn)，需要讓企業(yè)園區(qū)接待安?；蚯芭_人員具備快速的來賓開戶能力。

一、 來賓準(zhǔn)入需求

基于上述分析，對于來賓準(zhǔn)入控制有以下要求：

一個或多個專門的來賓SSID；

隔離的來賓流量訪問路徑，通過在同一個物理網(wǎng)絡(luò)上劃分出多個邏輯流量路徑(單獨(dú)的VLAN)，將來賓流量限制在此范圍內(nèi)；

在內(nèi)部AC和DMZ區(qū)的AC之間建立VIP通道，使得來賓流量直接通過VIP通道到達(dá)DMZ區(qū)AC，然后訪問Internet，來賓流量和企業(yè)內(nèi)部流量之間完全隔離；

根據(jù)不同終端類型和業(yè)務(wù)安全規(guī)范，需要支持Web、802.1x或MAC等認(rèn)證方法；

來賓的用戶方案和用戶分組預(yù)配置，用戶方案包括出/入方向的QoS策略、出/入方向的速率限制、允許的無線服務(wù)列表、允許的AP組列表等，同一用戶分組使用相同的用戶方案。

門崗對來賓帳戶的實(shí)時管理。

二、 來賓準(zhǔn)入模式選擇

1. 單AC網(wǎng)絡(luò)

對中小型企業(yè)來說，一般是單控制器網(wǎng)絡(luò)，來賓準(zhǔn)入網(wǎng)絡(luò)部署如圖1所示。來賓流量經(jīng)AP和AC間的隧道到達(dá)AC，并在為來賓用戶劃分的邏輯VLAN中轉(zhuǎn)發(fā)到Internet上。來賓帳戶管理員直接登錄AC的Web管理界面來管理。

圖1 獨(dú)立AC來賓用戶業(yè)務(wù)邏輯

2. 多AC網(wǎng)絡(luò)

對大型企業(yè)來說，需要多控制器來實(shí)現(xiàn)大范圍的WLAN基礎(chǔ)架構(gòu)。此時，可以通過H3C iMC智能管理中心來集中管理多個控制器和整個網(wǎng)絡(luò)(如圖2所示)，來賓準(zhǔn)入可以通過iMC集中部署，而來賓準(zhǔn)入帳戶管理員也可以通過遠(yuǎn)程訪問iMC的方式來創(chuàng)建和管理來賓帳戶。

圖2 多AC間來賓用戶分域開戶、統(tǒng)一管理

3. VIP通道方式

對安全性要求更高的企業(yè)來說，可以在防火墻的DMZ區(qū)安裝一個單獨(dú)的AC來管理來賓準(zhǔn)入，企業(yè)內(nèi)部安裝的AC和DMZ區(qū)的AC之間VIP通道，隔離來賓流量。這樣部署的好處是來賓流量對企業(yè)內(nèi)部流量無任何干擾，隔離度非常高。另一方面也不需要在企業(yè)網(wǎng)內(nèi)部部署來賓VLAN。

圖3 VIP通道實(shí)現(xiàn)來賓流量與企業(yè)生產(chǎn)流量邏輯隔離

三、 方案特點(diǎn)

1. 單獨(dú)的門崗角色，簡單易用

網(wǎng)絡(luò)管理員可以創(chuàng)建一個或多個來賓帳戶管理員，符合企業(yè)通常的門崗角色使用。這種管理方式的好處是，當(dāng)有來賓訪問并要求接入網(wǎng)絡(luò)時，門崗人員可以直接根據(jù)公司統(tǒng)一的安全策略來管理，及時地創(chuàng)建帳戶供來賓使用，免除了IT人員的介入。同時單獨(dú)的來賓帳戶管理界面(如圖4所示)有效地杜絕了門崗角色對設(shè)備可能造成的其他修改。

圖4來賓管理員登錄界面

網(wǎng)絡(luò)管理員可以根據(jù)企業(yè)的安全策略，為不同的來賓用戶定義不同的用戶分組。在預(yù)創(chuàng)建這些用戶分組后，門崗角色只需要根據(jù)來賓對象選擇合適的分組即可，大大簡化了門崗創(chuàng)建帳戶的過程。門崗也可以一次性創(chuàng)建多個來賓用戶，自動生成用戶名和密碼，在大量來賓到達(dá)時使管理過程顯得十分輕松。

2. 靈活的安全措施和部署方式

來賓準(zhǔn)入特性中包含下列安全措施，企業(yè)可以通過一項(xiàng)或多項(xiàng)的組合來實(shí)現(xiàn)自己的安全防范目標(biāo)。

流量的邏輯隔離：通過將來賓用戶劃分為單獨(dú)的VLAN，實(shí)現(xiàn)來賓流量和內(nèi)部用戶流量之間的邏輯隔離。

訪問控制列表(ACL)：通過訪問控制列表，允許某些來賓用戶能夠訪問特定資源，對內(nèi)部限制資源的訪問可靈活調(diào)整，訪問控制列表的設(shè)置可以精確到TCP/UDP端口級別。

QoS策略：通過QoS策略將某些用戶的應(yīng)用限制在允許的類型范圍內(nèi)。如僅允許來賓進(jìn)行Web瀏覽;提高某種應(yīng)用類型的QoS優(yōu)先級;僅允許來賓訪問企業(yè)內(nèi)部的某種應(yīng)用(如某臨時數(shù)據(jù)庫)。

來賓SSID僅綁定在指定地理范圍的AP上：避免來賓用戶出現(xiàn)在不適當(dāng)?shù)牡攸c(diǎn)。

對特定來賓用戶限制其接入的AP：通過限制來賓用戶允許接入的AP，從而限制其能夠訪問的活動范圍。

VIP通道：采用VIP通道方式部署網(wǎng)絡(luò)時，能夠?qū)碣e流量和企業(yè)內(nèi)部流量完全隔離，并且無需在企業(yè)內(nèi)部為來賓流量部署一個單獨(dú)的VLAN。來賓流量直接由內(nèi)部AC經(jīng)VIP通道到達(dá)DMZ區(qū)的AC，并最終訪問Internet。

用戶攻擊鎖定：當(dāng)有來賓用戶試圖猜測密碼時，在一定次數(shù)認(rèn)證失敗后該用戶終端將被鎖定，無法再接入網(wǎng)絡(luò)。

3. 基于用戶的訪問策略

基于用戶訪問策略設(shè)置使得企業(yè)能夠定制更適合來賓對象的訪問特色。

定制登錄頁面：針對不同類型的來賓用戶(如合作伙伴、供應(yīng)商、客戶、代理商等)，為綁定在不同SSID上的來賓用戶群定制各自特點(diǎn)的登錄頁面。

接入帶寬限制：通過限制次要來賓用戶的流量，保證重要來賓用戶能夠獲得更多的網(wǎng)絡(luò)資源，預(yù)先防止了網(wǎng)絡(luò)的擁塞情況，使得無線網(wǎng)絡(luò)更好地服務(wù)企業(yè)關(guān)鍵業(yè)務(wù)。

時間調(diào)度：僅允許來賓在有效時間內(nèi)訪問網(wǎng)絡(luò)，從而避免來賓在非有效時間內(nèi)對網(wǎng)絡(luò)的非法訪問。

4. 支持多種認(rèn)證方式

來賓準(zhǔn)入特性支持多種認(rèn)證方式，適合不同的無線終端類型。

Web認(rèn)證：適合大部分Wi-Fi終端，如筆記本電腦、上網(wǎng)本、iPhone等。

802.1x認(rèn)證：適合對數(shù)據(jù)加密要求高和強(qiáng)認(rèn)證的終端，或者來賓需要通過企業(yè)網(wǎng)絡(luò)訪問自己的VPN服務(wù)器。

MAC認(rèn)證：適合舊的WLAN手機(jī)終端等，這些終端不支持Web認(rèn)證，也不支持802.1x認(rèn)證。

5. 統(tǒng)一管理、集中部署

無論何種網(wǎng)絡(luò)部署方式，來賓安全準(zhǔn)入方案都使得企業(yè)網(wǎng)絡(luò)管理者能夠集中管理、集中實(shí)施統(tǒng)一的來賓用戶策略。這對企業(yè)臨時增加或修改來賓用戶策略來說是非常方便的，大大提高了來賓交流的便捷性和高效性，對提高企業(yè)效率有明顯的幫助作用。

四、 結(jié)束語

能夠?yàn)閬碣e提供一個安全易用的移動接入網(wǎng)絡(luò)，是BYOD時代企業(yè)必須要具備的網(wǎng)絡(luò)基礎(chǔ)能力之一。針對來賓用戶在終端類型、訪問模式、安全等級各方面的不同要求，越來越多的企業(yè)網(wǎng)絡(luò)管理者正在嘗試把現(xiàn)有內(nèi)部網(wǎng)絡(luò)進(jìn)行調(diào)整優(yōu)化。本文提供的幾種模式選擇，為來賓安全準(zhǔn)入和企業(yè)業(yè)務(wù)規(guī)范有效融合提供了技術(shù)保障。