接入控制设计
企业的网络不仅需要供内部人员及特定终端使用,还需要对来访顾客提供网络接入服务,接入认证的设计主要对这些终端用户身份提供合法性校验方式,并针对用户身份给予相应的网络权限规划。接入认证设计的目标是综合企业的网络拓扑、终端用户特征及云管理网络功能,选择最合适的认证位置及认证方式。
认证类型介绍
智简园区中小型网络解决方案支持Portal认证、MAC认证及802.1X认证三种常见的认证方式。
- Portal认证:Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。用户上网时,必须在门户网站进行认证,如果未认证成功,仅可以访问特定的网络资源,认证成功后,才可以访问其他网络资源。Portal服务器给终端推送Web认证页面,用户在终端的认证页面上输入用户和密码的帐号信息,通过Portal服务器、准入设备以及准入服务器之间的协议交互,完成用户身份的认证和校验。Portal认证不需要在终端上安装客户端软件,认证方式灵活,认证页面可定制,对于访客和出差用户是很好的选择。
- MAC认证:MAC认证是以终端的MAC地址作为身份凭据的认证技术。当终端接入网络时,准入设备获取终端的MAC地址,并将该MAC地址作为用户名和密码进行认证。由于MAC地址可以很容易被仿冒,所以MAC认证方式的安全性较低,另外,需要在准入服务器上登记MAC地址,管理较复杂。对于某些特殊情况,终端用户不想或者不能通过输入用户帐号信息的方式进行认证时可以采用此认证技术。例如某些无法通过输入用户帐号信息的哑终端,如打印机、IP电话等设备。
- 802.1X认证:802.1X协议是一种基于端口的网络接入控制协议,是在局域网接入设备的端口上验证用户身份。802.1X认证需要在终端上安装认证客户端,在认证客户端上输入用户名和密码的帐号信息,通过认证客户端、准入设备以及准入服务器之间的协议交互,完成用户身份的认证和校验。802.1X认证方式的安全性最高,通常建议部署在接入层设备,适用于新建网络,用户集中,信息安全要求严格的场景 。
三种认证方式对比如表2-20所示。
对比项 |
Portal认证 |
MAC认证 |
802.1X认证 |
|---|---|---|---|
客户端需求 |
不需要 |
不需要 |
需要 |
优点 |
部署灵活 |
无需安装客户端 |
安全性高 |
缺点 |
安全性不高 |
需登记MAC地址,管理复杂 |
部署不灵活 |
适用场景 |
通常适用于流动性较大,终端类型复杂的访客用户网络认证 |
打印机、传真机等哑终端接入认证的场景 |
通常适用于对安全要求较高的办公用户的网络认证 |
同时为了适配多种应用场景,云管理的Portal认证还支持用户名密码认证、匿名认证、短信认证、社交媒体认证等多种方式。
认证方式 |
特点 |
依赖条件 |
适用场景 |
|---|---|---|---|
用户名密码认证 |
使用租户管理员创建的用户名密码或者终端用户自注册来完成接入认证。 |
- |
|
匿名认证 |
无需任何帐号,直接接入网络,控制器中自动将访客登录的帐号显示为匿名帐号。 |
- |
适用网络开放,需要免费为顾客提供上网服务的场景。 |
短信认证 |
终端用户输入手机号作为账户,并点击获取密码按钮,系统自动注册相应的访客帐号和密码信息,并通过短信通知终端用户的密码来完成接入认证。 |
需要配置短信服务器。 |
适用访客认证,通过短信认证,可以提高访客身份有效性,商家将更便捷的获得用户信息,与之形成互动。 |
社交媒体认证 |
通过与微信或者Facebook进行对接联动,确保终端用户使用自己已有的社交媒体帐号和密码在业务管理器的页面进行认证,通过认证之后可获得接入网络的权限。 |
|
|
Passcode认证 |
用户通过在推送的页面上输入Passcode并完成的接入认证。 |
- |
接入方式较简单,适用门店访客场景。 |
认证方式和认证点选择
智简园区中小型网络整体规模小,用户终端数量少,顾客及员工都建议采用无线接入,并为顾客和员工划分不同的SSID,基于SSID部署不同的认证方式,并授予不同的网络访问权限,不同组网场景略有差异,具体可以参考如下几条建议:
- 顾客建议采用Portal认证,认证点可以根据组网情况在接入AP、AR或者FW中选择。
- 企业员工可采用Portal认证或者802.1X认证,认证点建议选择接入设备。
- 企业办公哑终端通过有线接入,对于该部分企业办公哑终端,建议采用MAC认证方式,认证点可以选择接入交换机。
综上所述,认证方式和认证点方案建议如表2-22所示。
终端角色 |
接入类型 |
认证类型 |
认证点 |
组网场景应用 |
|---|---|---|---|---|
顾客 |
无线接入 |
Portal认证 |
建议均选择接入设备作为认证点。 接入设备作为认证点的优势:
|
|
企业员工 |
|
均可采用iMaster NCE-Campus自带的Portal和RADIUS服务器 |
||
哑终端 |
有线接入 |
MAC认证,可采用iMaster NCE-Campus自带的Portal和RADIUS服务器 |
终端识别与策略自动下发
设计概述
园区网络中,接入终端除了智能终端(PC、手机),还有哑终端IP话机、打印机、IP摄像头等哑终端。当前园区网络终端管理主要面临以下两个问题:
- 当前网络管理系统只能查看接入终端的IP和MAC,并不知道终端具体是什么设备,无法对网络终端做更精细的管理。
- 不同类型的终端,需部署的网络业务配置和策略也不同,管理员需要手动为每种类型的业务终端配置不同的业务配置和策略,业务部署复杂且操作繁琐。
为了解决如上两个场景问题,华为推出了终端识别与策略自动下发方案,可支持如下功能:
- 通过iMaster NCE-Campus可查看全网终端类型、系统等分类,比如哑终端:打印机、IP摄像头、一卡通、门禁等,并基于终端的类型进行分类统计和流量呈现。
- 针对园区IP话机、打印机、IP摄像头等哑终端设备,无需管理员手动为每种类型的业务终端配置不同的业务配置和策略。iMaster NCE-Campus能够自动的识别终端,并为终端设备下发对应的准入策略和业务配置。
网络管理员部署终端识别与策略自动下发方案,需要完成终端识别方法设计、终端策略设计两部分。
终端识别概述
iMaster NCE-Campus的终端管理提供终端识别功能,可呈现终端的类型、操作系统、生产厂商。
终端识别通过下列几种方法实现:
识别方法 |
识别方法说明 |
适用的场景 |
|---|---|---|
MAC OUI |
MAC地址前三字节用于表示厂商,但很多情况下不准确 |
仅识别设备厂商 |
HTTP UserAgent |
浏览器UserAgent信息中包含厂商、终端类型、操作系统、浏览器等信息 |
手机、平板型号、PC、工作站 音视频智能终端 |
DHCP Option |
终端DHCP报文的部分属性可用于终端分类,常用属性有55、60、12 |
手机、平板型号、PC、工作站 IP摄像头、IP话机、打印机等 |
LLDP |
链路层设备发现协议,包携带设备型号 |
IP话机、IP摄像头、网络设备等 |
mDNS |
mDNS报文含有终端型号信息和业务信息 |
苹果终端、打印机、IP摄像头等 |
终端接入网络时,网络设备可以采集终端的信息,上报给iMaster NCE-Campus,iMaster NCE-Campus自动识别终端的类型、操作系统和厂商。
目前,无线终端接入暂不支持终端识别功能。
终端识别方法设计
当园区网络管理员想通过iMaster NCE-Campus呈现终端的类型,基于终端类型做网络管理,需要完成如下工作:
- 收集网络中有哪些类型的终端,比如PC,手机,打印机,IP摄像头,门禁等。
- 网络是否部署Portal认证。
- 终端是动态DHCP分配IP地址,还是静态分配IP地址。
利用上述搜集的信息,根据下表逐项遍历,选择需要开启的采用的终端识别方法(多选,符合的识别方法都需开启)
识别方法 |
可识别的终端类型 |
适用场景 |
|---|---|---|
MAC OUI |
所有IP终端(仅识别设备厂商) |
通用场景(认证场景、非认证场景、动态IP场景、静态IP场景) |
HTTP UserAgent |
手机、平板型号、PC、工作站 音视频智能终端 |
仅Portal认证的终端场景 |
DHCP Option |
手机、平板型号、PC、工作站 IP摄像头、IP话机、打印机等 |
仅终端是动态IP分配的场景 |
LLDP |
IP话机、IP摄像头、网络设备等 |
通用场景 |
mDNS |
苹果终端、打印机、IP摄像头等 |
通用场景 |
通过上述步骤,筛选出需要在iMaster NCE-Campus上开启的终端识别方法。若管理员无法精确选出应采用的终端识别的方法,推荐开启上述5个识别方法:MAC OUI,HTTP UserAgent,DHCP Option,LLDP,mDNS。
网络管理员可以通过iMaster NCE-Campus在对应的设备上开启终端识别功能和依赖的功能,见表2。
识别方法 |
功能开启 |
需同时开启的功能 |
|---|---|---|
MAC OUI |
接入交换机和AP开启 |
- |
HTTP UserAgent |
Portal认证的设备 |
- |
DHCP Option |
接入交换机和AP开启 |
接入交换机需开启DHCP Snooping功能,AP默认已开启DHCP Snooping功能。 |
LLDP |
接入交换机和AP开启 |
- |
mDNS |
接入交换机和AP开启 |
接入交换机和AP需开启mDNS Snooping功能 |
注意事项:
- 不认证场景下,接入设备需开启ARP SNOOPING功能,控制器才能显示有线终端的信息。
终端策略设计
园区网络管理员可以通过iMaster NCE-Campus为终端设备自动下发对应策略,而无需手动为每种类型的业务终端配置不同的业务配置和策略。终端策略支持基于终端类型或操作系统或生产厂商下发对应终端策略。
管理员需要完成如下工作:
1、基于终端类型的策略自动下发依赖准入认证来授权策略。接入交换机和AP上需部署准入认证(准入认证方式选择详见认证技术选择)。有哑终端的场景需要在接入交换机和AP上开启MAC认证。
2、网络开启终端识别功能。详见上一章节的描述。
3、梳理网络中需要自动下发策略的终端类型,并设计对应的授权策略,在iMaster NCE-Campus上配置。
策略设计逻辑可参考下列样例:
条件 |
准入策略 |
授权策略 |
|---|---|---|
操作系统:Android |
用户准入 |
授权ACL 1 |
操作系统:IOS |
用户准入 |
授权ACL 2 |
终端类型:打印机 |
自动准入 |
授权VLAN10 |
终端类型:IP摄像头 |
自动准入 |
授权VLAN20 |
终端类型:IP话机 |
自动准入 |
授权VLAN30 ; DSCP 48 |
终端类型:门禁 |
自动准入 |
授权VLAN40 |
生产厂商:ABC |
用户准入 |
授权ACL 100 |
对于哑终端(打印机、IP话机、IP摄像头等)推荐采用基于终端的类型自动下发准入和授权策略,实现哑终端设备的业务自动发放,即插即用。
基于终端类型的策略自动下发过程如图1所示。
管理员在iMaster NCE-Campus界面,开启终端识别功能,并选择终端类型,指定终端类型的策略。终端接入网络时,网络设备可以采集终端的指纹信息,上报给iMaster NCE-Campus,iMaster NCE-Campus自动匹配终端指纹库,识别终端的类型,根据管理员定义的策略,对终端自动下发对应的准入和授权策略。
注意事项:
- 终端识别功能和授权VLAN策略一起用时,对于802.1X和MAC认证场景,可以通过关闭预连接,来防止IP地址二次分配的体验问题;对于Portal认证场景,需配置DHCP Server认证前域短租期,来规避IP地址二次分配的体验问题。
