■ 廣州市疾病預(yù)防控制中心 淡武強(qiáng)

編者按：Portal認(rèn)證（也稱(chēng)Web認(rèn)證）是近年來(lái)最流行的無(wú)線(xiàn)上網(wǎng)認(rèn)證方式，它通過(guò)基于網(wǎng)頁(yè)的形式向用戶(hù)提供身份認(rèn)證和個(gè)性化的信息服務(wù)，使用戶(hù)上網(wǎng)變得簡(jiǎn)單方便，提升用戶(hù)體驗(yàn)。本文通過(guò)WLAN建設(shè)、運(yùn)維的經(jīng)驗(yàn)，總結(jié)出適合本單位的wlan認(rèn)證方案，以及如何從技術(shù)上杜絕非法設(shè)備的接入。

根據(jù)國(guó)家接入互聯(lián)網(wǎng)的相關(guān)規(guī)定，在接入互聯(lián)網(wǎng)之前必須通過(guò)身份認(rèn)證。

考慮到移動(dòng)終端的復(fù)雜性，在終端上安裝認(rèn)證客戶(hù)端進(jìn)行身份認(rèn)證是不現(xiàn)實(shí)的。而幾乎全部的智能終端都裝有Web瀏覽器。身份認(rèn)證最好是能通過(guò)Web頁(yè)面的方式進(jìn)行。

筆者單位在2018年建設(shè)了無(wú)線(xiàn)局域網(wǎng)（WLAN）。

該WLAN建設(shè)項(xiàng)目覆蓋范圍為室內(nèi)覆蓋，覆蓋區(qū)域含辦公室、會(huì)議室、餐廳、宿舍等，采用華為敏捷分布式WLAN+放裝AP方案，AP管 理、SSID（服 務(wù) 集 標(biāo)識(shí)）管理由華為無(wú)線(xiàn)控制器完成，用戶(hù)認(rèn)證、上網(wǎng)權(quán)限策略、上網(wǎng)審計(jì)策略、終端接入管理等使用已有的深信服上網(wǎng)行為管理設(shè)備進(jìn)行管控，無(wú)線(xiàn)網(wǎng)絡(luò)信號(hào)覆蓋效果良好，用戶(hù)認(rèn)證、應(yīng)用控制及對(duì)非法終端的處理效果非常理想。WLAN網(wǎng)絡(luò)拓?fù)淙鐖D1所示。

本項(xiàng)目WLAN網(wǎng)絡(luò)結(jié)構(gòu)中，對(duì)于AP的管理和SSID的創(chuàng)建由華為無(wú)線(xiàn)控制器AC6005完成，創(chuàng)建了gzcdc和guest兩個(gè)SSID，分別由員工和訪客使用。

兩個(gè)SSID使用不同的業(yè)務(wù)vlan，業(yè)務(wù)vlan可在Cisco核心交換機(jī)上創(chuàng)建，也可在華為AC6005上創(chuàng)建。員工人數(shù)320人，筆記本電腦、手機(jī)、PAD等移動(dòng)終端數(shù)按500計(jì)算，名稱(chēng)為gzcdc的員工SSID，其業(yè)務(wù)vlan 106地址池使用23位子網(wǎng)掩碼；訪客人數(shù)少，名稱(chēng)為guest的訪客SSID，其業(yè)務(wù)vlan 104地址池使用24位子網(wǎng)掩碼。

用戶(hù)管理、用戶(hù)認(rèn)證功能既能由AC6005來(lái)做，也能由深信服AC完成。兩者均支持用戶(hù)導(dǎo)入功能，華為AC6005支持的認(rèn)證方式有不認(rèn)證、密鑰認(rèn)證、微信認(rèn)證、Portal認(rèn)證、802.1x認(rèn)證，其中密鑰認(rèn)證為預(yù)共享密鑰方式，不適用于企業(yè)，微信認(rèn)證需部署第三方服務(wù)器，Portal認(rèn)證支持AC內(nèi)置或第三方外置Portal服務(wù)器，如圖2所示。

而深信服上網(wǎng)行為管理設(shè)備（AC）支持的用戶(hù)認(rèn)證方式更加豐富，有不需要認(rèn)證、密碼認(rèn)證、單點(diǎn)登錄、不允許認(rèn)證四大類(lèi)，其中密碼認(rèn)證支持本地（AC內(nèi)置）認(rèn)證和第三方認(rèn)證，如短信、微信、二維碼、RADIUS等，認(rèn)證方式靈活多樣，還支持單點(diǎn)登錄功能，如圖3所示。

本W(wǎng)LAN項(xiàng)目中，設(shè)備數(shù)量（AC 1臺(tái)、中心AP 10臺(tái)、POE交換機(jī)3臺(tái)、遠(yuǎn)端射頻單元RU 104個(gè)、放裝型AP 8個(gè)）和用戶(hù)規(guī)模（員工320人、訪客并發(fā)數(shù)<150）均不大，力求簡(jiǎn)化用戶(hù)認(rèn)證和管理，不建立RADIUS服務(wù)器，不使用第三方認(rèn)證系統(tǒng)。

圖2 華為AC6005認(rèn)證方式

圖3 深信服AC認(rèn)證方式

在華為AC6005和深信服AC上分別導(dǎo)入用戶(hù)，建立用戶(hù)組，基于用戶(hù)組做用戶(hù)認(rèn)證測(cè)試，兩設(shè)備均可實(shí)現(xiàn)基本的用戶(hù)名密碼登錄的Portal認(rèn)證功能。

深信服Portal在界面友好性、界面可定制性上勝過(guò)華為，華為AC無(wú)法實(shí)現(xiàn)短信認(rèn)證，深信服AC實(shí)現(xiàn)微信認(rèn)證的復(fù)雜度較小。

加之本項(xiàng)目要求實(shí)現(xiàn)WLAN用戶(hù)的上網(wǎng)權(quán)限控制和審計(jì)功能，綜合考慮，最終選擇把認(rèn)證功能放在深信服AC上來(lái)做。

本項(xiàng)目需滿(mǎn)足四種應(yīng)用場(chǎng)景

場(chǎng)景一:

單位員工筆記本電腦、智能手機(jī)、移動(dòng)智能設(shè)備PAD需要輸入賬號(hào)和密碼才能上網(wǎng)，允許訪問(wèn)內(nèi)網(wǎng)資源和互聯(lián)網(wǎng)；禁止非授權(quán)應(yīng)用、禁止訪問(wèn)與工作無(wú)關(guān)的21類(lèi)網(wǎng)站。

場(chǎng)景二:

進(jìn)修實(shí)習(xí)生、臨時(shí)工、物業(yè)公司員工、訪客筆記本電腦、智能手機(jī)、移動(dòng)智能設(shè)備PAD需輸入手機(jī)號(hào)，接收并輸入短信驗(yàn)證碼才能上網(wǎng)，允許訪問(wèn)互聯(lián)網(wǎng)，禁止訪問(wèn)內(nèi)網(wǎng)資源；禁止非授權(quán)應(yīng)用、禁止訪問(wèn)與工作無(wú)關(guān)的21類(lèi)網(wǎng)站。

場(chǎng)景三:

專(zhuān)家公寓、學(xué)員宿舍、職工餐廳內(nèi)的網(wǎng)絡(luò)電視機(jī)頂盒不需要認(rèn)證，允許訪問(wèn)互聯(lián)網(wǎng)，禁止訪問(wèn)內(nèi)網(wǎng)資源；

場(chǎng)景四:

網(wǎng)絡(luò)打印機(jī)、多功能一體機(jī)、IP攝像頭、繼續(xù)醫(yī)學(xué)教育學(xué)分卡刷卡器等啞終端類(lèi)設(shè)備不需要認(rèn)證，允許訪問(wèn)內(nèi)網(wǎng)資源，禁止訪問(wèn)互聯(lián)網(wǎng)。

為滿(mǎn)足以上四種不同的場(chǎng)景，需要在深信服AC上配置三種用戶(hù)認(rèn)證策略，在核心交換機(jī)上做四種訪問(wèn)控制策略（ACL），形成四種搭配組合。

圖4 深信服AC上網(wǎng)權(quán)限策略

四種場(chǎng)景的解決方案

場(chǎng)景一:員工組

在核心交換機(jī)為該用戶(hù)組創(chuàng)建業(yè)務(wù)vlan 106，終端以DHCP方式從vlan 106中獲取IP、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS信息，在深信服AC上該用戶(hù)組的認(rèn)證范圍192.168.106.0/23子網(wǎng)，認(rèn)證方式為密碼認(rèn)證，認(rèn)證服務(wù)器為本地用戶(hù)（從csv文件導(dǎo)入用戶(hù)至深信服AC），認(rèn)證后處理選擇綁定IP或MAC并開(kāi)啟免認(rèn)證功能（方便用戶(hù)，不用每次上網(wǎng)都經(jīng)過(guò)認(rèn)證）。

圖5 短信認(rèn)證配置

為實(shí)現(xiàn)禁止非授權(quán)應(yīng)用、禁止訪問(wèn)與工作無(wú)關(guān)的21類(lèi)網(wǎng)站的要求，在深信服AC上添加上網(wǎng)權(quán)限策略，在應(yīng)用控制中添加所要禁止訪問(wèn)的網(wǎng)站類(lèi)別和應(yīng)用類(lèi)別，如在線(xiàn)影音、音視頻下載等高帶寬占用類(lèi)，股票期貨等財(cái)經(jīng)類(lèi)、游戲、娛樂(lè)等，適用對(duì)象為選定的用戶(hù)組，還可添加時(shí)間計(jì)劃，按上、下班時(shí)間段等允許或禁止訪問(wèn)，如圖4所示。

員工移動(dòng)終端連接名為gzcdc的 SSID，獲 取 IP地址后，自動(dòng)彈出Portal認(rèn)證頁(yè)面，或?yàn)g覽器輸入http://1.1.1.3主動(dòng)發(fā)起Portal認(rèn)證，輸入用戶(hù)名密碼完成認(rèn)證，即取得上網(wǎng)權(quán)限。深信服AC會(huì)自動(dòng)將用戶(hù)名與終端IP/MAC綁 定，認(rèn)證模式變成免認(rèn)證，以后終端會(huì)自動(dòng)連接 gzcdc，無(wú)需手動(dòng)認(rèn)證即可上網(wǎng)，在線(xiàn)用戶(hù)列表中該用戶(hù)名以用戶(hù)帳號(hào)顯示。

場(chǎng)景二:訪客組

在核心交換機(jī)為該用戶(hù)組創(chuàng)建業(yè)務(wù)vlan 104，終端以DHCP方式從vlan 104中獲取IP、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS信息，在深信服AC上該用戶(hù)組的認(rèn)證范圍192.168.104.0/24子網(wǎng)，需要新增名為“短信”的認(rèn)證服務(wù)器，輸入已租用的短信服務(wù)器的參數(shù)，與短信平臺(tái)完成對(duì)接。認(rèn)證方式為密碼認(rèn)證，認(rèn)證服務(wù)器選擇剛創(chuàng)建的“短信”，不進(jìn)行IP/MAC綁定（訪客具有流動(dòng)性），如圖5所示。

由于要限制該vlan 104訪問(wèn)內(nèi)網(wǎng)其它vlan，需在核心交換機(jī)上配置ACL策略。

access-list 104 deny ip 192.168.104.0 0.0.0.255 192.168.33.0 0.0.0.255（服務(wù)器組所在vlan為 33）

access-list 104 permit ip any any

在源IP，即vlan 104的in方向上應(yīng)用該ACL

五是檢驗(yàn)方式不同。軍民融合和國(guó)防動(dòng)員都強(qiáng)調(diào)建設(shè)效益和總體評(píng)價(jià)，但兩者的評(píng)價(jià)方式手段不同。軍民融合注重平時(shí)物質(zhì)建設(shè)，檢驗(yàn)評(píng)估手段單一，主要依靠提出需求方對(duì)融合成果進(jìn)行靜態(tài)評(píng)估。國(guó)防動(dòng)員注重戰(zhàn)時(shí)能力建設(shè)，除靜態(tài)檢驗(yàn)評(píng)估外，更注重通過(guò)演練形式檢驗(yàn)評(píng)估國(guó)防動(dòng)員能力。

interface Vlan104

ip address 192.168.104.254 255.255.255.0

ip access-group 104 in

訪客終端發(fā)往vlan 33的數(shù)據(jù)包會(huì)被交換機(jī)丟棄，以保護(hù)內(nèi)網(wǎng)。訪客組的上網(wǎng)權(quán)限策略同場(chǎng)景一。

訪客移動(dòng)終端連接名為 guest的 SSID，獲 取 IP地址后，自動(dòng)彈出Portal認(rèn)證頁(yè)面，或?yàn)g覽器輸入http://1.1.1.3（此IP為深信服AC內(nèi)置的Portal重定向IP地址，可在系統(tǒng)配置中自定義）主動(dòng)發(fā)起Portal認(rèn)證，輸入手機(jī)號(hào)碼，點(diǎn)擊“獲取驗(yàn)證碼”，輸入接收到的驗(yàn)證碼，點(diǎn)登錄完成認(rèn)證，即取得上網(wǎng)權(quán)限。在線(xiàn)用戶(hù)列表中該用戶(hù)名以手機(jī)號(hào)顯示。

場(chǎng)景三:機(jī)頂盒

在核心交換機(jī)為該用戶(hù)組創(chuàng)建業(yè)務(wù)vlan 102，由于該類(lèi)型終端無(wú)法象手機(jī)、PAD等一樣完成Portal認(rèn)證，認(rèn)證方式宜選擇不需要認(rèn)證。要禁止該組用戶(hù)訪問(wèn)內(nèi)網(wǎng)資源，需創(chuàng)建ACL并應(yīng)用于vlan 102的in方向。

場(chǎng)景四:啞終端

在核心交換機(jī)為該用戶(hù)組創(chuàng)建業(yè)務(wù)vlan 103，由于該類(lèi)型終端無(wú)法象手機(jī)、PAD等一樣完成Portal認(rèn)證，認(rèn)證方式宜選擇不需要認(rèn)證。要禁止該組用戶(hù)訪問(wèn)互聯(lián)網(wǎng)，最簡(jiǎn)單的方法是在深信服AC上設(shè)置將該組認(rèn)證方式設(shè)置為不允許認(rèn)證（禁止上網(wǎng)），認(rèn)證范圍為192.168.103.0/24?；蛘邽樵摻M創(chuàng)建上網(wǎng)權(quán)限策略，應(yīng)用控制全選所有應(yīng)用，動(dòng)作為拒絕。

移動(dòng)終端的管理 單位內(nèi)網(wǎng)中，個(gè)別員工、實(shí)習(xí)生、物業(yè)等人員會(huì)有違反WLAN使用規(guī)定，私接無(wú)線(xiàn)路由器、隨身WiFi的現(xiàn)象發(fā)生。這種違規(guī)往往比較隱密，難以發(fā)現(xiàn)，所以需要采取技術(shù)手段來(lái)檢測(cè)和攔截。

華為AC6005上有一個(gè)“干擾檢測(cè)”工具，可檢測(cè)某一AP附近區(qū)域中的2.4G和5G干擾信號(hào)，違規(guī)的無(wú)線(xiàn)設(shè)備將被標(biāo)記為“非法設(shè)備”。但該工具檢測(cè)出的可疑設(shè)備比較雜，包括藍(lán)牙、帶wifi信號(hào)發(fā)射功能的打印機(jī)等，檢測(cè)耗時(shí)長(zhǎng)，可用作輔助檢測(cè)工具，不具備對(duì)違規(guī)設(shè)備采取措施的功能。

深信服AC具有終端接入管理功能，可檢測(cè)出通過(guò)proxy代理上網(wǎng)、隨身wifi上網(wǎng)及私接路由器等違規(guī)情況，并可對(duì)非法設(shè)備進(jìn)行凍結(jié)、封堵，將終端訪問(wèn)重定向到警告頁(yè)面，提示用戶(hù)及時(shí)糾正違規(guī)行為。

結(jié)語(yǔ)

本文只講了用戶(hù)名密碼認(rèn)證和短信認(rèn)證兩種Portal認(rèn)證，即該WLAN項(xiàng)目最終采用的認(rèn)證方式。筆者還嘗試過(guò)二維碼認(rèn)證和微信認(rèn)證，因其無(wú)法對(duì)訪客進(jìn)行有效追溯，不利于上網(wǎng)行為審計(jì)而棄用。深信服AC內(nèi)置了多種Portal認(rèn)證方案，是網(wǎng)絡(luò)一體化管理利器。