当今,大部分企业已经部署了WLAN基础网络,把无线办公作为主要的网络接入方式,但随之带来了企业来访者(包括商业伙伴、供应商、客户等)访问网络的问题。一个企业必须将它的无线网络扩展覆盖到来宾访问区域,而不是象过去那样仅在会议室提供有线接口供来宾接入。在许多情况下,来宾需要能够顺利访问Internet,甚至是一些受限的企业资源。来宾用户的无线终端是多种多样的,甚至它们支持的认证方式也不相同,企业要能够满足各种终端在一段时间内对特定网络资源的持续网络访问需求。同时,企业要保护自己的数据和网络资源的安全,将来宾用户的流量和企业内部流量完全隔离开来。因此,企业需要为来宾访问提供一种能够灵活部署而又安全隔离的移动接入网络。
为来宾接入部署单独的一套网络是不可取的。这种方式不仅需要重复投资部署一部分网络设施,即还不能让来宾灵活访问公司的受限资源,更不能使企业实施统一的用户安全策略和集中管理,最终大大降低了企业的工作效率。传统的企业IT账户开户,需要非常冗长的步骤和信息核实,但是针对来宾用户的场景特点,需要让企业园区接待安保或前台人员具备快速的来宾开户能力。
一、 来宾准入需求
基于上述分析,对于来宾准入控制有以下要求:
一个或多个专门的来宾SSID;
隔离的来宾流量访问路径,通过在同一个物理网络上划分出多个逻辑流量路径(单独的VLAN),将来宾流量限制在此范围内;
在内部AC和DMZ区的AC之间建立VIP通道,使得来宾流量直接通过VIP通道到达DMZ区AC,然后访问Internet,来宾流量和企业内部流量之间完全隔离;
根据不同终端类型和业务安全规范,需要支持Web、802.1x或MAC等认证方法;
来宾的用户方案和用户分组预配置,用户方案包括出/入方向的QoS策略、出/入方向的速率限制、允许的无线服务列表、允许的AP组列表等,同一用户分组使用相同的用户方案。
门岗对来宾帐户的实时管理。
二、 来宾准入模式选择
1. 单AC网络
对中小型企业来说,一般是单控制器网络,来宾准入网络部署如图1所示。来宾流量经AP和AC间的隧道到达AC,并在为来宾用户划分的逻辑VLAN中转发到Internet上。来宾帐户管理员直接登录AC的Web管理界面来管理。
图1 独立AC来宾用户业务逻辑
2. 多AC网络
对大型企业来说,需要多控制器来实现大范围的WLAN基础架构。此时,可以通过H3C iMC智能管理中心来集中管理多个控制器和整个网络(如图2所示),来宾准入可以通过iMC集中部署,而来宾准入帐户管理员也可以通过远程访问iMC的方式来创建和管理来宾帐户。
图2 多AC间来宾用户分域开户、统一管理
3. VIP通道方式
对安全性要求更高的企业来说,可以在防火墙的DMZ区安装一个单独的AC来管理来宾准入,企业内部安装的AC和DMZ区的AC之间VIP通道,隔离来宾流量。这样部署的好处是来宾流量对企业内部流量无任何干扰,隔离度非常高。另一方面也不需要在企业网内部部署来宾VLAN。
图3 VIP通道实现来宾流量与企业生产流量逻辑隔离
三、 方案特点
1. 单独的门岗角色,简单易用
网络管理员可以创建一个或多个来宾帐户管理员,符合企业通常的门岗角色使用。这种管理方式的好处是,当有来宾访问并要求接入网络时,门岗人员可以直接根据公司统一的安全策略来管理,及时地创建帐户供来宾使用,免除了IT人员的介入。同时单独的来宾帐户管理界面(如图4所示)有效地杜绝了门岗角色对设备可能造成的其他修改。
图4来宾管理员登录界面
网络管理员可以根据企业的安全策略,为不同的来宾用户定义不同的用户分组。在预创建这些用户分组后,门岗角色只需要根据来宾对象选择合适的分组即可,大大简化了门岗创建帐户的过程。门岗也可以一次性创建多个来宾用户,自动生成用户名和密码,在大量来宾到达时使管理过程显得十分轻松。
2. 灵活的安全措施和部署方式
来宾准入特性中包含下列安全措施,企业可以通过一项或多项的组合来实现自己的安全防范目标。
流量的逻辑隔离:通过将来宾用户划分为单独的VLAN,实现来宾流量和内部用户流量之间的逻辑隔离。
访问控制列表(ACL):通过访问控制列表,允许某些来宾用户能够访问特定资源,对内部限制资源的访问可灵活调整,访问控制列表的设置可以精确到TCP/UDP端口级别。
QoS策略:通过QoS策略将某些用户的应用限制在允许的类型范围内。如仅允许来宾进行Web浏览;提高某种应用类型的QoS优先级;仅允许来宾访问企业内部的某种应用(如某临时数据库)。
来宾SSID仅绑定在指定地理范围的AP上:避免来宾用户出现在不适当的地点。
对特定来宾用户限制其接入的AP:通过限制来宾用户允许接入的AP,从而限制其能够访问的活动范围。
VIP通道:采用VIP通道方式部署网络时,能够将来宾流量和企业内部流量完全隔离,并且无需在企业内部为来宾流量部署一个单独的VLAN。来宾流量直接由内部AC经VIP通道到达DMZ区的AC,并最终访问Internet。
用户攻击锁定:当有来宾用户试图猜测密码时,在一定次数认证失败后该用户终端将被锁定,无法再接入网络。
3. 基于用户的访问策略
基于用户访问策略设置使得企业能够定制更适合来宾对象的访问特色。
定制登录页面:针对不同类型的来宾用户(如合作伙伴、供应商、客户、代理商等),为绑定在不同SSID上的来宾用户群定制各自特点的登录页面。
接入带宽限制:通过限制次要来宾用户的流量,保证重要来宾用户能够获得更多的网络资源,预先防止了网络的拥塞情况,使得无线网络更好地服务企业关键业务。
时间调度:仅允许来宾在有效时间内访问网络,从而避免来宾在非有效时间内对网络的非法访问。
4. 支持多种认证方式
来宾准入特性支持多种认证方式,适合不同的无线终端类型。
Web认证:适合大部分Wi-Fi终端,如笔记本电脑、上网本、iPhone等。
802.1x认证:适合对数据加密要求高和强认证的终端,或者来宾需要通过企业网络访问自己的VPN服务器。
MAC认证:适合旧的WLAN手机终端等,这些终端不支持Web认证,也不支持802.1x认证。
5. 统一管理、集中部署
无论何种网络部署方式,来宾安全准入方案都使得企业网络管理者能够集中管理、集中实施统一的来宾用户策略。这对企业临时增加或修改来宾用户策略来说是非常方便的,大大提高了来宾交流的便捷性和高效性,对提高企业效率有明显的帮助作用。
四、 结束语
能够为来宾提供一个安全易用的移动接入网络,是BYOD时代企业必须要具备的网络基础能力之一。针对来宾用户在终端类型、访问模式、安全等级各方面的不同要求,越来越多的企业网络管理者正在尝试把现有内部网络进行调整优化。本文提供的几种模式选择,为来宾安全准入和企业业务规范有效融合提供了技术保障。