圖1 獨(dú)立AC來賓用戶業(yè)務(wù)邏輯

2.多AC網(wǎng)絡(luò)

對大型企業(yè)來說，需要多控制器來實(shí)現(xiàn)大范圍的WLAN基礎(chǔ)架構(gòu)。此時(shí)，可以通過H3C iMC智能管理中心來集中管理多個(gè)控制器和整個(gè)網(wǎng)絡(luò)（如圖2所示），來賓準(zhǔn)入可以通過iMC集中部署，而來賓準(zhǔn)入帳戶管理員也可以通過遠(yuǎn)程訪問iMC的方式來創(chuàng)建和管理來賓帳戶。
 

圖2 多AC間來賓用戶分域開戶、統(tǒng)一管理

3.VIP通道方式

對安全性要求更高的企業(yè)來說，可以在防火墻的DMZ區(qū)安裝一個(gè)單獨(dú)的AC來管理來賓準(zhǔn)入，企業(yè)內(nèi)部安裝的AC和DMZ區(qū)的AC之間VIP通道，隔離來賓流量。這樣部署的好處是來賓流量對企業(yè)內(nèi)部流量無任何干擾，隔離度非常高。另一方面也不需要在企業(yè)網(wǎng)內(nèi)部部署來賓VLAN。
 

圖3 VIP通道實(shí)現(xiàn)來賓流量與企業(yè)生產(chǎn)流量邏輯隔離

三、方案特點(diǎn)

1.單獨(dú)的門崗角色，簡單易用

網(wǎng)絡(luò)管理員可以創(chuàng)建一個(gè)或多個(gè)來賓帳戶管理員，符合企業(yè)通常的門崗角色使用。這種管理方式的好處是，當(dāng)有來賓訪問并要求接入網(wǎng)絡(luò)時(shí)，門崗人員可以直接根據(jù)公司統(tǒng)一的安全策略來管理，及時(shí)地創(chuàng)建帳戶供來賓使用，免除了IT人員的介入。同時(shí)單獨(dú)的來賓帳戶管理界面（如圖4所示）有效地杜絕了門崗角色對設(shè)備可能造成的其他修改。
 
圖4來賓管理員登錄界面

網(wǎng)絡(luò)管理員可以根據(jù)企業(yè)的安全策略，為不同的來賓用戶定義不同的用戶分組。在預(yù)創(chuàng)建這些用戶分組后，門崗角色只需要根據(jù)來賓對象選擇合適的分組即可，大大簡化了門崗創(chuàng)建帳戶的過程。門崗也可以一次性創(chuàng)建多個(gè)來賓用戶，自動(dòng)生成用戶名和密碼，在大量來賓到達(dá)時(shí)使管理過程顯得十分輕松。

2.靈活的安全措施和部署方式

來賓準(zhǔn)入特性中包含下列安全措施，企業(yè)可以通過一項(xiàng)或多項(xiàng)的組合來實(shí)現(xiàn)自己的安全防范目標(biāo)。

流量的邏輯隔離：通過將來賓用戶劃分為單獨(dú)的VLAN，實(shí)現(xiàn)來賓流量和內(nèi)部用戶流量之間的邏輯隔離。

訪問控制列表（ACL）：通過訪問控制列表，允許某些來賓用戶能夠訪問特定資源，對內(nèi)部限制資源的訪問可靈活調(diào)整，訪問控制列表的設(shè)置可以精確到TCP/UDP端口級別。

QoS策略：通過QoS策略將某些用戶的應(yīng)用限制在允許的類型范圍內(nèi)。如僅允許來賓進(jìn)行Web瀏覽；提高某種應(yīng)用類型的QoS優(yōu)先級；僅允許來賓訪問企業(yè)內(nèi)部的某種應(yīng)用（如某臨時(shí)數(shù)據(jù)庫）。

來賓SSID僅綁定在指定地理范圍的AP上：避免來賓用戶出現(xiàn)在不適當(dāng)?shù)牡攸c(diǎn)。

對特定來賓用戶限制其接入的AP：通過限制來賓用戶允許接入的AP，從而限制其能夠訪問的活動(dòng)范圍。

VIP通道：采用VIP通道方式部署網(wǎng)絡(luò)時(shí)，能夠?qū)碣e流量和企業(yè)內(nèi)部流量完全隔離，并且無需在企業(yè)內(nèi)部為來賓流量部署一個(gè)單獨(dú)的VLAN。來賓流量直接由內(nèi)部AC經(jīng)VIP通道到達(dá)DMZ區(qū)的AC，并最終訪問Internet。

用戶攻擊鎖定：當(dāng)有來賓用戶試圖猜測密碼時(shí)，在一定次數(shù)認(rèn)證失敗后該用戶終端將被鎖定，無法再接入網(wǎng)絡(luò)。

3.基于用戶的訪問策略

基于用戶訪問策略設(shè)置使得企業(yè)能夠定制更適合來賓對象的訪問特色。

定制登錄頁面：針對不同類型的來賓用戶（如合作伙伴、供應(yīng)商、客戶、代理商等），為綁定在不同SSID上的來賓用戶群定制各自特點(diǎn)的登錄頁面。

接入帶寬限制：通過限制次要來賓用戶的流量，保證重要來賓用戶能夠獲得更多的網(wǎng)絡(luò)資源，預(yù)先防止了網(wǎng)絡(luò)的擁塞情況，使得無線網(wǎng)絡(luò)更好地服務(wù)企業(yè)關(guān)鍵業(yè)務(wù)。

時(shí)間調(diào)度：僅允許來賓在有效時(shí)間內(nèi)訪問網(wǎng)絡(luò)，從而避免來賓在非有效時(shí)間內(nèi)對網(wǎng)絡(luò)的非法訪問。

4.支持多種認(rèn)證方式

來賓準(zhǔn)入特性支持多種認(rèn)證方式，適合不同的無線終端類型。

Web認(rèn)證：適合大部分Wi-Fi終端，如筆記本電腦、上網(wǎng)本、iPhone等。

802.1x認(rèn)證：適合對數(shù)據(jù)加密要求高和強(qiáng)認(rèn)證的終端，或者來賓需要通過企業(yè)網(wǎng)絡(luò)訪問自己的VPN服務(wù)器。

MAC認(rèn)證：適合舊的WLAN手機(jī)終端等，這些終端不支持Web認(rèn)證，也不支持802.1x認(rèn)證。

5.統(tǒng)一管理、集中部署

無論何種網(wǎng)絡(luò)部署方式，來賓安全準(zhǔn)入方案都使得企業(yè)網(wǎng)絡(luò)管理者能夠集中管理、集中實(shí)施統(tǒng)一的來賓用戶策略。這對企業(yè)臨時(shí)增加或修改來賓用戶策略來說是非常方便的，大大提高了來賓交流的便捷性和高效性，對提高企業(yè)效率有明顯的幫助作用。

四、結(jié)束語

能夠?yàn)閬碣e提供一個(gè)安全易用的移動(dòng)接入網(wǎng)絡(luò)，是BYOD時(shí)代企業(yè)必須要具備的網(wǎng)絡(luò)基礎(chǔ)能力之一。針對來賓用戶在終端類型、訪問模式、安全等級各方面的不同要求，越來越多的企業(yè)網(wǎng)絡(luò)管理者正在嘗試把現(xiàn)有內(nèi)部網(wǎng)絡(luò)進(jìn)行調(diào)整優(yōu)化。本文提供的幾種模式選擇，為來賓安全準(zhǔn)入和企業(yè)業(yè)務(wù)規(guī)范有效融合提供了技術(shù)保障。

renxinbo