圖1 獨立AC來賓用戶業(yè)務(wù)邏輯

2.多AC網(wǎng)絡(luò)

對大型企業(yè)來說，需要多控制器來實現(xiàn)大范圍的WLAN基礎(chǔ)架構(gòu)。此時，可以通過H3C iMC智能管理中心來集中管理多個控制器和整個網(wǎng)絡(luò)（如圖2所示），來賓準入可以通過iMC集中部署，而來賓準入帳戶管理員也可以通過遠程訪問iMC的方式來創(chuàng)建和管理來賓帳戶。
 

圖2 多AC間來賓用戶分域開戶、統(tǒng)一管理

3.VIP通道方式

對安全性要求更高的企業(yè)來說，可以在防火墻的DMZ區(qū)安裝一個單獨的AC來管理來賓準入，企業(yè)內(nèi)部安裝的AC和DMZ區(qū)的AC之間VIP通道，隔離來賓流量。這樣部署的好處是來賓流量對企業(yè)內(nèi)部流量無任何干擾，隔離度非常高。另一方面也不需要在企業(yè)網(wǎng)內(nèi)部部署來賓VLAN。
 

圖3 VIP通道實現(xiàn)來賓流量與企業(yè)生產(chǎn)流量邏輯隔離

三、方案特點

1.單獨的門崗角色，簡單易用

網(wǎng)絡(luò)管理員可以創(chuàng)建一個或多個來賓帳戶管理員，符合企業(yè)通常的門崗角色使用。這種管理方式的好處是，當有來賓訪問并要求接入網(wǎng)絡(luò)時，門崗人員可以直接根據(jù)公司統(tǒng)一的安全策略來管理，及時地創(chuàng)建帳戶供來賓使用，免除了IT人員的介入。同時單獨的來賓帳戶管理界面（如圖4所示）有效地杜絕了門崗角色對設(shè)備可能造成的其他修改。
 
圖4來賓管理員登錄界面

網(wǎng)絡(luò)管理員可以根據(jù)企業(yè)的安全策略，為不同的來賓用戶定義不同的用戶分組。在預創(chuàng)建這些用戶分組后，門崗角色只需要根據(jù)來賓對象選擇合適的分組即可，大大簡化了門崗創(chuàng)建帳戶的過程。門崗也可以一次性創(chuàng)建多個來賓用戶，自動生成用戶名和密碼，在大量來賓到達時使管理過程顯得十分輕松。

2.靈活的安全措施和部署方式

來賓準入特性中包含下列安全措施，企業(yè)可以通過一項或多項的組合來實現(xiàn)自己的安全防范目標。

流量的邏輯隔離：通過將來賓用戶劃分為單獨的VLAN，實現(xiàn)來賓流量和內(nèi)部用戶流量之間的邏輯隔離。

訪問控制列表（ACL）：通過訪問控制列表，允許某些來賓用戶能夠訪問特定資源，對內(nèi)部限制資源的訪問可靈活調(diào)整，訪問控制列表的設(shè)置可以精確到TCP/UDP端口級別。

QoS策略：通過QoS策略將某些用戶的應(yīng)用限制在允許的類型范圍內(nèi)。如僅允許來賓進行Web瀏覽；提高某種應(yīng)用類型的QoS優(yōu)先級；僅允許來賓訪問企業(yè)內(nèi)部的某種應(yīng)用（如某臨時數(shù)據(jù)庫）。

來賓SSID僅綁定在指定地理范圍的AP上：避免來賓用戶出現(xiàn)在不適當?shù)牡攸c。

對特定來賓用戶限制其接入的AP：通過限制來賓用戶允許接入的AP，從而限制其能夠訪問的活動范圍。

VIP通道：采用VIP通道方式部署網(wǎng)絡(luò)時，能夠?qū)碣e流量和企業(yè)內(nèi)部流量完全隔離，并且無需在企業(yè)內(nèi)部為來賓流量部署一個單獨的VLAN。來賓流量直接由內(nèi)部AC經(jīng)VIP通道到達DMZ區(qū)的AC，并最終訪問Internet。

用戶攻擊鎖定：當有來賓用戶試圖猜測密碼時，在一定次數(shù)認證失敗后該用戶終端將被鎖定，無法再接入網(wǎng)絡(luò)。

3.基于用戶的訪問策略

基于用戶訪問策略設(shè)置使得企業(yè)能夠定制更適合來賓對象的訪問特色。

定制登錄頁面：針對不同類型的來賓用戶（如合作伙伴、供應(yīng)商、客戶、代理商等），為綁定在不同SSID上的來賓用戶群定制各自特點的登錄頁面。

接入帶寬限制：通過限制次要來賓用戶的流量，保證重要來賓用戶能夠獲得更多的網(wǎng)絡(luò)資源，預先防止了網(wǎng)絡(luò)的擁塞情況，使得無線網(wǎng)絡(luò)更好地服務(wù)企業(yè)關(guān)鍵業(yè)務(wù)。

時間調(diào)度：僅允許來賓在有效時間內(nèi)訪問網(wǎng)絡(luò)，從而避免來賓在非有效時間內(nèi)對網(wǎng)絡(luò)的非法訪問。

4.支持多種認證方式

來賓準入特性支持多種認證方式，適合不同的無線終端類型。

Web認證：適合大部分Wi-Fi終端，如筆記本電腦、上網(wǎng)本、iPhone等。

802.1x認證：適合對數(shù)據(jù)加密要求高和強認證的終端，或者來賓需要通過企業(yè)網(wǎng)絡(luò)訪問自己的VPN服務(wù)器。

MAC認證：適合舊的WLAN手機終端等，這些終端不支持Web認證，也不支持802.1x認證。

5.統(tǒng)一管理、集中部署

無論何種網(wǎng)絡(luò)部署方式，來賓安全準入方案都使得企業(yè)網(wǎng)絡(luò)管理者能夠集中管理、集中實施統(tǒng)一的來賓用戶策略。這對企業(yè)臨時增加或修改來賓用戶策略來說是非常方便的，大大提高了來賓交流的便捷性和高效性，對提高企業(yè)效率有明顯的幫助作用。

四、結(jié)束語

能夠為來賓提供一個安全易用的移動接入網(wǎng)絡(luò)，是BYOD時代企業(yè)必須要具備的網(wǎng)絡(luò)基礎(chǔ)能力之一。針對來賓用戶在終端類型、訪問模式、安全等級各方面的不同要求，越來越多的企業(yè)網(wǎng)絡(luò)管理者正在嘗試把現(xiàn)有內(nèi)部網(wǎng)絡(luò)進行調(diào)整優(yōu)化。本文提供的幾種模式選擇，為來賓安全準入和企業(yè)業(yè)務(wù)規(guī)范有效融合提供了技術(shù)保障。

renxinbo