■ 廣州市疾病預(yù)防控制中心 淡武強(qiáng)

編者按：Portal認(rèn)證（也稱Web認(rèn)證）是近年來最流行的無線上網(wǎng)認(rèn)證方式，它通過基于網(wǎng)頁的形式向用戶提供身份認(rèn)證和個(gè)性化的信息服務(wù)，使用戶上網(wǎng)變得簡單方便，提升用戶體驗(yàn)。本文通過WLAN建設(shè)、運(yùn)維的經(jīng)驗(yàn)，總結(jié)出適合本單位的wlan認(rèn)證方案，以及如何從技術(shù)上杜絕非法設(shè)備的接入。

根據(jù)國家接入互聯(lián)網(wǎng)的相關(guān)規(guī)定，在接入互聯(lián)網(wǎng)之前必須通過身份認(rèn)證。

考慮到移動(dòng)終端的復(fù)雜性，在終端上安裝認(rèn)證客戶端進(jìn)行身份認(rèn)證是不現(xiàn)實(shí)的。而幾乎全部的智能終端都裝有Web瀏覽器。身份認(rèn)證最好是能通過Web頁面的方式進(jìn)行。

筆者單位在2018年建設(shè)了無線局域網(wǎng)（WLAN）。

該WLAN建設(shè)項(xiàng)目覆蓋范圍為室內(nèi)覆蓋，覆蓋區(qū)域含辦公室、會議室、餐廳、宿舍等，采用華為敏捷分布式WLAN+放裝AP方案，AP管 理、SSID（服 務(wù) 集 標(biāo)識）管理由華為無線控制器完成，用戶認(rèn)證、上網(wǎng)權(quán)限策略、上網(wǎng)審計(jì)策略、終端接入管理等使用已有的深信服上網(wǎng)行為管理設(shè)備進(jìn)行管控，無線網(wǎng)絡(luò)信號覆蓋效果良好，用戶認(rèn)證、應(yīng)用控制及對非法終端的處理效果非常理想。WLAN網(wǎng)絡(luò)拓?fù)淙鐖D1所示。

本項(xiàng)目WLAN網(wǎng)絡(luò)結(jié)構(gòu)中，對于AP的管理和SSID的創(chuàng)建由華為無線控制器AC6005完成，創(chuàng)建了gzcdc和guest兩個(gè)SSID，分別由員工和訪客使用。

兩個(gè)SSID使用不同的業(yè)務(wù)vlan，業(yè)務(wù)vlan可在Cisco核心交換機(jī)上創(chuàng)建，也可在華為AC6005上創(chuàng)建。員工人數(shù)320人，筆記本電腦、手機(jī)、PAD等移動(dòng)終端數(shù)按500計(jì)算，名稱為gzcdc的員工SSID，其業(yè)務(wù)vlan 106地址池使用23位子網(wǎng)掩碼；訪客人數(shù)少，名稱為guest的訪客SSID，其業(yè)務(wù)vlan 104地址池使用24位子網(wǎng)掩碼。

用戶管理、用戶認(rèn)證功能既能由AC6005來做，也能由深信服AC完成。兩者均支持用戶導(dǎo)入功能，華為AC6005支持的認(rèn)證方式有不認(rèn)證、密鑰認(rèn)證、微信認(rèn)證、Portal認(rèn)證、802.1x認(rèn)證，其中密鑰認(rèn)證為預(yù)共享密鑰方式，不適用于企業(yè)，微信認(rèn)證需部署第三方服務(wù)器，Portal認(rèn)證支持AC內(nèi)置或第三方外置Portal服務(wù)器，如圖2所示。

而深信服上網(wǎng)行為管理設(shè)備（AC）支持的用戶認(rèn)證方式更加豐富，有不需要認(rèn)證、密碼認(rèn)證、單點(diǎn)登錄、不允許認(rèn)證四大類，其中密碼認(rèn)證支持本地（AC內(nèi)置）認(rèn)證和第三方認(rèn)證，如短信、微信、二維碼、RADIUS等，認(rèn)證方式靈活多樣，還支持單點(diǎn)登錄功能，如圖3所示。

本W(wǎng)LAN項(xiàng)目中，設(shè)備數(shù)量（AC 1臺、中心AP 10臺、POE交換機(jī)3臺、遠(yuǎn)端射頻單元RU 104個(gè)、放裝型AP 8個(gè)）和用戶規(guī)模（員工320人、訪客并發(fā)數(shù)<150）均不大，力求簡化用戶認(rèn)證和管理，不建立RADIUS服務(wù)器，不使用第三方認(rèn)證系統(tǒng)。

圖2 華為AC6005認(rèn)證方式

圖3 深信服AC認(rèn)證方式

在華為AC6005和深信服AC上分別導(dǎo)入用戶，建立用戶組，基于用戶組做用戶認(rèn)證測試，兩設(shè)備均可實(shí)現(xiàn)基本的用戶名密碼登錄的Portal認(rèn)證功能。

深信服Portal在界面友好性、界面可定制性上勝過華為，華為AC無法實(shí)現(xiàn)短信認(rèn)證，深信服AC實(shí)現(xiàn)微信認(rèn)證的復(fù)雜度較小。

加之本項(xiàng)目要求實(shí)現(xiàn)WLAN用戶的上網(wǎng)權(quán)限控制和審計(jì)功能，綜合考慮，最終選擇把認(rèn)證功能放在深信服AC上來做。

本項(xiàng)目需滿足四種應(yīng)用場景

場景一:

單位員工筆記本電腦、智能手機(jī)、移動(dòng)智能設(shè)備PAD需要輸入賬號和密碼才能上網(wǎng)，允許訪問內(nèi)網(wǎng)資源和互聯(lián)網(wǎng)；禁止非授權(quán)應(yīng)用、禁止訪問與工作無關(guān)的21類網(wǎng)站。

場景二:

進(jìn)修實(shí)習(xí)生、臨時(shí)工、物業(yè)公司員工、訪客筆記本電腦、智能手機(jī)、移動(dòng)智能設(shè)備PAD需輸入手機(jī)號，接收并輸入短信驗(yàn)證碼才能上網(wǎng)，允許訪問互聯(lián)網(wǎng)，禁止訪問內(nèi)網(wǎng)資源；禁止非授權(quán)應(yīng)用、禁止訪問與工作無關(guān)的21類網(wǎng)站。

場景三:

專家公寓、學(xué)員宿舍、職工餐廳內(nèi)的網(wǎng)絡(luò)電視機(jī)頂盒不需要認(rèn)證，允許訪問互聯(lián)網(wǎng)，禁止訪問內(nèi)網(wǎng)資源；

場景四:

網(wǎng)絡(luò)打印機(jī)、多功能一體機(jī)、IP攝像頭、繼續(xù)醫(yī)學(xué)教育學(xué)分卡刷卡器等啞終端類設(shè)備不需要認(rèn)證，允許訪問內(nèi)網(wǎng)資源，禁止訪問互聯(lián)網(wǎng)。

為滿足以上四種不同的場景，需要在深信服AC上配置三種用戶認(rèn)證策略，在核心交換機(jī)上做四種訪問控制策略（ACL），形成四種搭配組合。

圖4 深信服AC上網(wǎng)權(quán)限策略

四種場景的解決方案

場景一:員工組

在核心交換機(jī)為該用戶組創(chuàng)建業(yè)務(wù)vlan 106，終端以DHCP方式從vlan 106中獲取IP、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS信息，在深信服AC上該用戶組的認(rèn)證范圍192.168.106.0/23子網(wǎng)，認(rèn)證方式為密碼認(rèn)證，認(rèn)證服務(wù)器為本地用戶（從csv文件導(dǎo)入用戶至深信服AC），認(rèn)證后處理選擇綁定IP或MAC并開啟免認(rèn)證功能（方便用戶，不用每次上網(wǎng)都經(jīng)過認(rèn)證）。

圖5 短信認(rèn)證配置

為實(shí)現(xiàn)禁止非授權(quán)應(yīng)用、禁止訪問與工作無關(guān)的21類網(wǎng)站的要求，在深信服AC上添加上網(wǎng)權(quán)限策略，在應(yīng)用控制中添加所要禁止訪問的網(wǎng)站類別和應(yīng)用類別，如在線影音、音視頻下載等高帶寬占用類，股票期貨等財(cái)經(jīng)類、游戲、娛樂等，適用對象為選定的用戶組，還可添加時(shí)間計(jì)劃，按上、下班時(shí)間段等允許或禁止訪問，如圖4所示。

員工移動(dòng)終端連接名為gzcdc的 SSID，獲 取 IP地址后，自動(dòng)彈出Portal認(rèn)證頁面，或?yàn)g覽器輸入http://1.1.1.3主動(dòng)發(fā)起Portal認(rèn)證，輸入用戶名密碼完成認(rèn)證，即取得上網(wǎng)權(quán)限。深信服AC會自動(dòng)將用戶名與終端IP/MAC綁 定，認(rèn)證模式變成免認(rèn)證，以后終端會自動(dòng)連接 gzcdc，無需手動(dòng)認(rèn)證即可上網(wǎng)，在線用戶列表中該用戶名以用戶帳號顯示。

場景二:訪客組

在核心交換機(jī)為該用戶組創(chuàng)建業(yè)務(wù)vlan 104，終端以DHCP方式從vlan 104中獲取IP、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS信息，在深信服AC上該用戶組的認(rèn)證范圍192.168.104.0/24子網(wǎng)，需要新增名為“短信”的認(rèn)證服務(wù)器，輸入已租用的短信服務(wù)器的參數(shù)，與短信平臺完成對接。認(rèn)證方式為密碼認(rèn)證，認(rèn)證服務(wù)器選擇剛創(chuàng)建的“短信”，不進(jìn)行IP/MAC綁定（訪客具有流動(dòng)性），如圖5所示。

由于要限制該vlan 104訪問內(nèi)網(wǎng)其它vlan，需在核心交換機(jī)上配置ACL策略。

access-list 104 deny ip 192.168.104.0 0.0.0.255 192.168.33.0 0.0.0.255（服務(wù)器組所在vlan為 33）

access-list 104 permit ip any any

在源IP，即vlan 104的in方向上應(yīng)用該ACL

五是檢驗(yàn)方式不同。軍民融合和國防動(dòng)員都強(qiáng)調(diào)建設(shè)效益和總體評價(jià)，但兩者的評價(jià)方式手段不同。軍民融合注重平時(shí)物質(zhì)建設(shè)，檢驗(yàn)評估手段單一，主要依靠提出需求方對融合成果進(jìn)行靜態(tài)評估。國防動(dòng)員注重戰(zhàn)時(shí)能力建設(shè)，除靜態(tài)檢驗(yàn)評估外，更注重通過演練形式檢驗(yàn)評估國防動(dòng)員能力。

interface Vlan104

ip address 192.168.104.254 255.255.255.0

ip access-group 104 in

訪客終端發(fā)往vlan 33的數(shù)據(jù)包會被交換機(jī)丟棄，以保護(hù)內(nèi)網(wǎng)。訪客組的上網(wǎng)權(quán)限策略同場景一。

訪客移動(dòng)終端連接名為 guest的 SSID，獲 取 IP地址后，自動(dòng)彈出Portal認(rèn)證頁面，或?yàn)g覽器輸入http://1.1.1.3（此IP為深信服AC內(nèi)置的Portal重定向IP地址，可在系統(tǒng)配置中自定義）主動(dòng)發(fā)起Portal認(rèn)證，輸入手機(jī)號碼，點(diǎn)擊“獲取驗(yàn)證碼”，輸入接收到的驗(yàn)證碼，點(diǎn)登錄完成認(rèn)證，即取得上網(wǎng)權(quán)限。在線用戶列表中該用戶名以手機(jī)號顯示。

場景三:機(jī)頂盒

在核心交換機(jī)為該用戶組創(chuàng)建業(yè)務(wù)vlan 102，由于該類型終端無法象手機(jī)、PAD等一樣完成Portal認(rèn)證，認(rèn)證方式宜選擇不需要認(rèn)證。要禁止該組用戶訪問內(nèi)網(wǎng)資源，需創(chuàng)建ACL并應(yīng)用于vlan 102的in方向。

場景四:啞終端

在核心交換機(jī)為該用戶組創(chuàng)建業(yè)務(wù)vlan 103，由于該類型終端無法象手機(jī)、PAD等一樣完成Portal認(rèn)證，認(rèn)證方式宜選擇不需要認(rèn)證。要禁止該組用戶訪問互聯(lián)網(wǎng)，最簡單的方法是在深信服AC上設(shè)置將該組認(rèn)證方式設(shè)置為不允許認(rèn)證（禁止上網(wǎng)），認(rèn)證范圍為192.168.103.0/24?；蛘邽樵摻M創(chuàng)建上網(wǎng)權(quán)限策略，應(yīng)用控制全選所有應(yīng)用，動(dòng)作為拒絕。

移動(dòng)終端的管理 單位內(nèi)網(wǎng)中，個(gè)別員工、實(shí)習(xí)生、物業(yè)等人員會有違反WLAN使用規(guī)定，私接無線路由器、隨身WiFi的現(xiàn)象發(fā)生。這種違規(guī)往往比較隱密，難以發(fā)現(xiàn)，所以需要采取技術(shù)手段來檢測和攔截。

華為AC6005上有一個(gè)“干擾檢測”工具，可檢測某一AP附近區(qū)域中的2.4G和5G干擾信號，違規(guī)的無線設(shè)備將被標(biāo)記為“非法設(shè)備”。但該工具檢測出的可疑設(shè)備比較雜，包括藍(lán)牙、帶wifi信號發(fā)射功能的打印機(jī)等，檢測耗時(shí)長，可用作輔助檢測工具，不具備對違規(guī)設(shè)備采取措施的功能。

深信服AC具有終端接入管理功能，可檢測出通過proxy代理上網(wǎng)、隨身wifi上網(wǎng)及私接路由器等違規(guī)情況，并可對非法設(shè)備進(jìn)行凍結(jié)、封堵，將終端訪問重定向到警告頁面，提示用戶及時(shí)糾正違規(guī)行為。

結(jié)語

本文只講了用戶名密碼認(rèn)證和短信認(rèn)證兩種Portal認(rèn)證，即該WLAN項(xiàng)目最終采用的認(rèn)證方式。筆者還嘗試過二維碼認(rèn)證和微信認(rèn)證，因其無法對訪客進(jìn)行有效追溯，不利于上網(wǎng)行為審計(jì)而棄用。深信服AC內(nèi)置了多種Portal認(rèn)證方案，是網(wǎng)絡(luò)一體化管理利器。