實(shí)現(xiàn)WLAN訪問(wèn)控制

WLAN的基礎(chǔ)架構(gòu)搭建完成之后，下一步需要針對(duì)內(nèi)部用戶和訪客兩類(lèi)用戶實(shí)施不同的訪問(wèn)控制策略，保證不同角色的用戶接入WLAN，僅能訪問(wèn)對(duì)應(yīng)授權(quán)的資源。按照項(xiàng)目規(guī)劃，主要有如下配置工作。

AC上進(jìn)行AAA設(shè)置

項(xiàng)目中用戶認(rèn)證采用AAA認(rèn)證方式，采用Radius認(rèn)證協(xié)議，AAA服務(wù)器設(shè)置為Agile Controller服務(wù)器，AC作為AAA客戶端需要進(jìn)行相應(yīng)的配置，方法如下：“配置→安全管理→AAA”，在“認(rèn)證/授權(quán)/計(jì)費(fèi)方案”選項(xiàng)卡下，點(diǎn)擊“認(rèn)證方案”下的“default”后面的編輯按鈕，“第一認(rèn)證模式”設(shè)置為“Radius認(rèn)證”，點(diǎn)擊“確定”保存。點(diǎn)擊“授權(quán)方案”下“default”后面的編輯按鈕，“第一授權(quán)模式”設(shè)置為“本地授權(quán)”，點(diǎn)擊“確定”保存。點(diǎn)擊“計(jì)費(fèi)方案”下“default”后面的編輯按鈕，在彈出的對(duì)話框中將“計(jì)費(fèi)模式”設(shè)置為“Radius計(jì)費(fèi)”，點(diǎn)擊“確定”保存。

接著進(jìn)行Radius相關(guān)設(shè)置?！芭渲谩踩芾怼?AAA”， 在“Radius設(shè)置”選項(xiàng)卡下，點(diǎn)擊“Radius服務(wù)器模板”下的“新建”按 鈕，“模 板 名 稱(chēng)”設(shè) 為“WLANau”，“密鑰”設(shè)置為“password”，其他選項(xiàng)保持默認(rèn)，保存即可。在“認(rèn)證/計(jì)費(fèi)服務(wù)器”下點(diǎn)擊“新建”按鈕，“模板名稱(chēng)”選擇“WLANau”，“服務(wù)器類(lèi)型”選擇“認(rèn)證服務(wù)器”，IP地址設(shè)置為Agile Controller服務(wù)器的IP，端口號(hào)設(shè)置為1812，點(diǎn)擊“確定”保存。

用同樣的方法創(chuàng)建計(jì)費(fèi)服務(wù)器，“服務(wù)器類(lèi)型”選為“計(jì)費(fèi)服務(wù)器”，端口號(hào)設(shè)置為1813，其他選項(xiàng)與認(rèn)證服務(wù)器一致。在“授權(quán)服務(wù)器”下點(diǎn)擊“新建”按鈕，“授權(quán)服務(wù)器IP地址”設(shè)為Agile Controller服務(wù)器地址，“模板名稱(chēng)”選擇“WLANau”，“密鑰”與WLANau模板一致，均為password，點(diǎn)擊“確定”保存生效。

AC上Portal認(rèn)證配置

本項(xiàng)目采用Portal認(rèn)證方式進(jìn)行用戶接入認(rèn)證，Portal認(rèn)證不需要在終端上安裝任何客戶端，只需要有瀏覽器即可，用戶很容易上手使用，能夠極大減輕管理人員的運(yùn)維負(fù)擔(dān)。而且，認(rèn)證頁(yè)面可以靈活定制，甚至可以推送信息，非常適合在企業(yè)內(nèi)推廣使用。項(xiàng)目中采用Agile Controller服務(wù)器提供Portal服務(wù)，所以在AC上需要啟用Portal認(rèn)證，并將Portal服務(wù)器指向Agile Controller服務(wù)器，具體方法如下。

“配置→安全管理→ Portal認(rèn) 證”， 在“外置Portal Server” 標(biāo) 簽下，點(diǎn) 擊“Portal認(rèn) 證 服務(wù)器列表”下的“新建”按鈕，“服 務(wù) 器 名 稱(chēng)”設(shè) 為“controller”，“URL” 設(shè) 置為http://172.19.3.248：8080/potral，其 中172.19.33.248是Agile Controller服務(wù)器IP?！癝SID”設(shè)置為employee，同樣再添加一個(gè)URL，URL地址與上述相同，對(duì)應(yīng)的SSID設(shè)置為guest?！肮蚕砻荑€”設(shè)置為“password”，“服 務(wù)器 IP 地址”設(shè)置為172.19.33.248，點(diǎn)擊“確定”保存。

由于內(nèi)網(wǎng)存在DNS服務(wù)器，為保證Portal認(rèn)證時(shí)，頁(yè)面能夠正常跳轉(zhuǎn)，建議把內(nèi)網(wǎng)DNS服務(wù)器設(shè)置為免認(rèn)證，“配置→安全管理→Portal認(rèn)證”，在“終端免認(rèn)證規(guī)則”標(biāo)簽下點(diǎn)擊“新建”，“規(guī)則編號(hào)”設(shè)為 10，“目的IP”下IP設(shè)置為內(nèi)網(wǎng)DNS服務(wù)器IP，其他選項(xiàng)保持默認(rèn)，點(diǎn)擊“確定”保存。

Agile Controller服務(wù)器上添加AC，實(shí)現(xiàn)兩者AAA和Portal認(rèn)證的對(duì)接

從AAA和Portal認(rèn)證過(guò)程分析，AC應(yīng)該作為AAA客戶端和Portal客戶端，Agile Controller作 為AAA服務(wù)器和Portal服務(wù)器，二者通過(guò)一致的密鑰進(jìn)行對(duì)接。配置過(guò)程如下。

登錄Agile Controller管理頁(yè)面，“資源→設(shè)備管理”，點(diǎn)擊“增加”按鈕，“名稱(chēng)”設(shè) 為“ac6605”，“IP 地址”為“10.100.1.253”，“認(rèn)證參數(shù)”選項(xiàng)卡下，選中“啟動(dòng) Radius”，“設(shè)備系列”選擇“華 為 Quidway系 列”，“Radius認(rèn)證密鑰”設(shè)置為“password”，“Radius 計(jì) 費(fèi)密鑰”設(shè)置為“password”，這樣就完成了Radius服務(wù)器相關(guān)設(shè)置。選中“啟用Portal”，“Portal 密 鑰” 與AC上設(shè)置的Portal密鑰必須一致，均為“password”，“接入終端IP地址列表”為“10.100.0.0/16”，其他選項(xiàng)保持默認(rèn)，點(diǎn)擊“確定”保存，然后點(diǎn)擊“同步”按鈕，使Agile Controller服務(wù)器與AC進(jìn)行配置同步。

用戶管理

主要是創(chuàng)建內(nèi)部用戶和訪客的賬號(hào)信息，內(nèi)部用戶按照部門(mén)進(jìn)行分組，工號(hào)作為賬號(hào)，訪客用戶單獨(dú)建立一個(gè)Guest組，利用手機(jī)號(hào)作為賬號(hào)，所有的用戶信息均由后臺(tái)管理員統(tǒng)一創(chuàng)建和維護(hù)。如果遇到大量用戶信息需要導(dǎo)入，還可以采用批量操作。添加用戶組的方法如下。

“資源→用戶管理”，在“部門(mén)”標(biāo)簽下點(diǎn)擊“增加”，填寫(xiě)部門(mén)相關(guān)信息即可。同樣方法在“用戶”標(biāo)簽下添加用戶相關(guān)信息，在對(duì)應(yīng)用戶名后點(diǎn)擊“賬號(hào)管理”，然后點(diǎn)擊“增加”，賬號(hào)類(lèi)型選擇“普通賬號(hào)”，依次填寫(xiě)“賬號(hào)”、“密碼”，選中“下次登錄修改密碼”，在首次創(chuàng)建用戶時(shí)，建議選中該項(xiàng)，避免賬號(hào)被盜用。其他選項(xiàng)默認(rèn)即可。如果需要批量導(dǎo)入，在“部門(mén)”標(biāo)簽下，點(diǎn)擊“導(dǎo)入”按鈕，然后按照相應(yīng)的格式調(diào)整Excel數(shù)據(jù)表，導(dǎo)入即可。

角色管理

不同的角色對(duì)應(yīng)不同的資源訪問(wèn)權(quán)限，按照項(xiàng)目需求，需要?jiǎng)?chuàng)建內(nèi)部用戶和訪客兩類(lèi)角色，配置方法如下。

“資源→角色管理”，點(diǎn)擊“增加”，輸入角色名稱(chēng)“內(nèi)部用戶”，點(diǎn)擊“確定”，然后再點(diǎn)擊“內(nèi)部用戶”角色后面的“分配”，在彈出的對(duì)話框中點(diǎn)擊“選擇賬號(hào)”，然后選中對(duì)應(yīng)的用戶或者用戶組，點(diǎn)擊確定即可。這樣，就為對(duì)應(yīng)用戶指定了“內(nèi)部用戶”角色。創(chuàng)建“Guest”角色方法與此類(lèi)似。

配置內(nèi)部用戶認(rèn)證授權(quán)策略

首先需要?jiǎng)?chuàng)建SSID這個(gè)策略元素，供后續(xù)策略進(jìn)行調(diào)用，方法如下。

“策略→策略元素→SSID”，點(diǎn)擊“增加”，創(chuàng)建“employee”和“guest”兩 個(gè)SSID策略元素。其次，需要進(jìn)行認(rèn)證規(guī)則設(shè)置，步驟如下。

“策略→認(rèn)證授權(quán)→認(rèn)證規(guī)則”，點(diǎn)擊“增加”，“名稱(chēng)”設(shè)置為“內(nèi)部員工認(rèn)證”，“業(yè)務(wù)類(lèi)型”選中“接入業(yè)務(wù)”，認(rèn)證條件中“部門(mén)”選中“內(nèi)部用戶組”，“角色”選中“內(nèi)部用戶”，“位置信息”中“SSID”選擇“employee”，其他選項(xiàng)默認(rèn)即可。

下一步進(jìn)行授權(quán)規(guī)則制定，方法為：“策略→認(rèn)證授權(quán)→授權(quán)規(guī)則”，點(diǎn)擊“增加”，名稱(chēng)設(shè)為“內(nèi)部員工授權(quán)”，業(yè)務(wù)類(lèi)型選中“接入業(yè)務(wù)”，授權(quán)條件中“部門(mén)”選中“內(nèi)部用戶組”，“角色”選中“內(nèi)部用戶”，位置信息中“SSID”選擇“employee”，“授權(quán)結(jié)果”選擇“允許接入”，其他選項(xiàng)默認(rèn)即可，這樣就保證了內(nèi)部用戶認(rèn)證通過(guò)后，能夠獲取訪問(wèn)內(nèi)外網(wǎng)資源的所有權(quán)限。

配置訪客認(rèn)證授權(quán)策略

用同樣的方法設(shè)置“訪客認(rèn)證”，認(rèn)證條件中“部門(mén)”選擇“Guest”，“角色”選中“Guest”，“位置信息”中“SSID”選擇“guest”，其他選項(xiàng)與“內(nèi)部員工認(rèn)證”相同，這樣就完成了訪客用戶的認(rèn)證規(guī)則制定。

下一步需要進(jìn)行訪客授權(quán)規(guī)則制定，由于訪客人員通過(guò)認(rèn)證后，不能訪問(wèn)內(nèi)網(wǎng)資源，僅僅只能訪問(wèn)外網(wǎng)，這樣就需要配合ACL進(jìn)行權(quán)限控制。首先需要在AC上創(chuàng)建ACL，登錄AC后臺(tái)Web管理頁(yè)面，“配置→安全管理→ACL”，在“高級(jí)ACL配置”選項(xiàng)卡下，點(diǎn)擊“新建”，“ACL名稱(chēng)”設(shè)置為“guest_ACL”，“ACL 編 號(hào)”設(shè)置為3000，點(diǎn)擊“確定”即可，然后添加ACL規(guī)則，點(diǎn)擊“添加規(guī)則”，規(guī)則編號(hào)設(shè)為5，目的IP設(shè)為內(nèi)網(wǎng)IP網(wǎng)段，動(dòng)作設(shè)置為“拒絕”，其他選項(xiàng)均保持默認(rèn)，點(diǎn)擊“確定”保存即可。

用同樣的方式添加另外一條規(guī)則，編號(hào)為10，動(dòng)作設(shè)置為“允許”，其他選項(xiàng)保持默認(rèn)。其次需要在Agile Controller上創(chuàng)建對(duì)應(yīng)的授權(quán)結(jié)果，對(duì)3000這項(xiàng)ACL進(jìn)行調(diào)用。點(diǎn)擊“策略→認(rèn)證授權(quán)”，點(diǎn)擊“增加”，“名稱(chēng)”設(shè)為“僅訪問(wèn)外網(wǎng)”，“業(yè)務(wù)類(lèi)型”選擇“接入業(yè)務(wù)”，授權(quán)參數(shù)選項(xiàng)下“ACL號(hào)/AAA用戶組”設(shè)為“3000”，點(diǎn)擊“確定”保存即可。

最后需要?jiǎng)?chuàng)建授權(quán)規(guī)則，確定Guest用戶接入后的訪問(wèn)控制權(quán)限，點(diǎn)擊“策略→認(rèn)證授權(quán)→授權(quán)規(guī)則”，點(diǎn)擊“增加”，“名稱(chēng)”設(shè)為“Guest授權(quán)”，“業(yè)務(wù)類(lèi)型”選擇“接入業(yè)務(wù)”，用戶信息中“部門(mén)”選擇“Guest”組，位置信息中“SSID”選擇“guest”，“授權(quán)結(jié)果”選擇“僅訪問(wèn)外網(wǎng)”，點(diǎn)擊“確定”保存。這樣就完成了訪客的權(quán)限設(shè)置。

頁(yè)面定制

由于采用Portal認(rèn)證方式，需要定義認(rèn)證頁(yè)面和認(rèn)證成功頁(yè)面，在“策略→頁(yè)面定制”菜單下，可以進(jìn)行多種頁(yè)面模式定制，本項(xiàng)目采用系統(tǒng)自帶頁(yè)面。隨后，需要定制頁(yè)面推送規(guī)則，可以直接對(duì)缺省Portal頁(yè)面推送規(guī)則進(jìn)行編輯，在“終端IP地址范圍”中填入10.100.2.0/24和10.100.3.0/24，點(diǎn)擊確定保存。

圖4 用戶登錄界面

圖5 登錄成功頁(yè)面

用戶密碼強(qiáng)度設(shè)置

由于WLAN業(yè)務(wù)的特殊性，為保證安全，用戶必須要設(shè)置強(qiáng)度較高的密碼，可以在Agile Controller上對(duì)用戶的密碼強(qiáng)度進(jìn)行強(qiáng)制指定，以確保用戶按要求進(jìn)行設(shè)置。點(diǎn)擊“系統(tǒng)→局部參數(shù)→終端密碼策略”，點(diǎn)擊“增加”，“模板名稱(chēng)”設(shè)為“用戶密碼強(qiáng)度”，在“設(shè)置參數(shù)信息”中可以對(duì)密碼最小長(zhǎng)度、密碼最大長(zhǎng)度，以及包含各種字符等要求進(jìn)行設(shè)置，最后確認(rèn)即可。然后點(diǎn)擊“分配模板””，在“分配給部門(mén)”標(biāo)簽頁(yè)下，點(diǎn)擊“部門(mén)樹(shù)”，選中所有的用戶，保存即可。

同一賬號(hào)終端接入數(shù)量設(shè)置

項(xiàng)目規(guī)劃中保證每個(gè)賬號(hào)只可供一個(gè)移動(dòng)終端接入，在 Agile配 Controller管理界面陪置方法如下：“系統(tǒng)→局部參數(shù)→同一賬號(hào)接入數(shù)控制”，點(diǎn)擊“增加”，模板名稱(chēng)設(shè)為“ONE”，“最大接入數(shù)”設(shè)置為1，“達(dá)到最大接入數(shù)時(shí)的操作”設(shè)置為“允許接入（強(qiáng)制已在線用戶下線）”，點(diǎn)擊確定。然后，點(diǎn)擊“分配模板”，在“分配給部門(mén)”標(biāo)簽頁(yè)下，點(diǎn)擊“部門(mén)樹(shù)”，選中所有的用戶，保存即可。

設(shè)置完上述步驟后，整個(gè)WLAN系統(tǒng)基本搭建完成，可以提供給用戶使用，下面進(jìn)行功能測(cè)試，在關(guān)聯(lián)完對(duì)應(yīng)的SSID后打開(kāi)瀏覽器輸入任意URL后網(wǎng)絡(luò)自動(dòng)跳轉(zhuǎn)到圖4界面。

用戶輸入相應(yīng)用戶名、密碼后，可跳轉(zhuǎn)至登錄成功頁(yè)面，用戶即可訪問(wèn)對(duì)應(yīng)的資源，如圖5所示。