背景信息
当终端用户需要接入到企业的网络时,企业需要对这些终端用户的身份进行合法性校验,校验通过后针对用户身份给予相应的网络访问权限。中小型园区解决方案支持Portal认证、MAC认证及802.1X认证三种常见的认证方式,三种认证方式对比如表6-3所示。
- Portal认证:Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。用户上网时,必须在门户网站进行认证,如果未认证成功,仅可以访问特定的网络资源,认证成功后,才可以访问其他网络资源。Portal服务器给终端推送Web认证页面,用户在终端的认证页面上输入用户和密码的帐号信息,通过Portal服务器、准入设备以及准入服务器之间的协议交互,完成用户身份的认证和校验。Portal认证不需要在终端上安装客户端软件,认证方式灵活,认证页面可定制,对于访客和出差用户是很好的选择。
- MAC认证:MAC认证是以终端的MAC地址作为身份凭据的认证技术。当终端接入网络时,准入设备获取终端的MAC地址,并将该MAC地址作为用户名和密码进行认证。由于MAC地址可以很容易被仿冒,所以MAC认证方式的安全性较低,另外,需要在准入服务器上登记MAC地址,管理较复杂。对于某些特殊情况,终端用户不想或者不能通过输入用户帐号信息的方式进行认证时可以采用此认证技术。例如某些无法通过输入用户帐号信息的哑终端,如打印机、IP电话等设备。
- 802.1X认证:802.1X协议是一种基于端口的网络接入控制协议,是在局域网接入设备的端口上验证用户身份。802.1X认证需要在终端上安装认证客户端,在认证客户端上输入用户名和密码的帐号信息,通过认证客户端、准入设备以及准入服务器之间的协议交互,完成用户身份的认证和校验。802.1X认证方式的安全性最高,通常建议部署在接入层设备,适用于新建网络,用户集中,信息安全要求严格的场景 。
表6-3 认证技术对比表对比项
|
Portal认证
|
MAC认证
|
802.1X认证
|
适用场景
|
通常适用于流动性较大,终端类型复杂的访客用户网络认证
|
打印机、传真机等哑终端接入认证的场景
|
通常适用于对安全要求较高的办公用户的网络认证
|
客户端需求
|
不需要
|
不需要
|
需要
|
优点
|
部署灵活
|
无需安装客户端
|
安全性高
|
缺点
|
安全性不高
|
需登记MAC地址,管理复杂
|
部署不灵活
|
同时为了适配多种应用场景,云管理的Portal认证还支持用户名密码认证、匿名认证、短信认证、社交媒体认证等多种方式。
表6-4 Portal认证分类表认证方式
|
特点
|
依赖条件
|
适用场景
|
用户名密码认证
|
使用租户管理员创建的用户名密码或者终端用户自注册来完成接入认证。
|
-
|
- 管理员创建帐号适用于用户群体相对固定,企业员工可以使用此类方式。
- 用户自注册方式需要审批,适用于确认访客访问权限场景,比如会员等。
|
匿名认证
|
无需任何帐号,直接接入网络,控制器中自动将访客登录的帐号显示为匿名帐号。
|
-
|
适用网络开放,需要免费为顾客提供上网服务的场景。
|
短信认证
|
终端用户通过点击短信获取密码按钮,在系统中注册相应的访客帐号和密码信息,并通过短信服务器通知终端用户的密码来完成接入认证。
|
需要配置短信服务器。
|
适用访客认证,通过短信认证,可以提高访客身份有效性,商家将更便捷的获得用户信息,与之形成互动。
|
社交媒体认证
|
通过与微信或者Facebook进行对接联动,确保终端用户在不另外注册帐号的情况下使用自己的社交媒体帐号和密码在业务管理器的页面进行认证,通过认证之后可获得接入网络的权限。
须知: 因微信功能配置后台及接口关闭,当前微信认证功能不可用。
|
|
- 微信认证适用于商场门店提供一键关注微信公众号免费上网的场合。
- Facebook适用于海外门店提供免费上网场景。
|
Passcode认证
|
用户通过在推送的页面上输入Passcode并完成的接入认证。
|
-
|
接入方式较简单,适用门店访客场景。
|
部署任务概览
在中小型园区网络中配置AP和AR的SSID时在“安全认证”页面中配置无线接入认证方式。常用且推荐使用的认证方式有:
- 密码认证(PSK):设置无线终端接入无线网络时需要输入的密码。
- Portal认证:iMaster NCE-Campus作为Portal服务器。
- 用户名密码认证:提前录入用于认证的用户名和密码,也可以由用户通过Portal推送页面自行注册。
- 短信认证:必须配置对接的短信服务器,iMaster NCE-Campus已预置企信通(fungo)和twilio短信模板。无线终端用户认证时由短信服务器向终端用户发送包含认证密码的短信。
- Passcode认证:提前录入用于认证的Passcode。
- API认证:iMaster NCE-Campus作为中继服务器,对接纳管的设备和第三方认证平台。第三方认证平台通过调用iMaster NCE-Campus提供的API完成用户的认证、授权。
任务描述
|
详细部署步骤
|
不认证
|
在“安全认证”页面中将“认证方式”设置为“开放网络”,将“是否推送页面”设置为“OFF”。
|
密码认证
|
PSK
|
在“安全认证”页面中将“认证方式”设置为“半开放网络”、“需要密码”,将“密钥类型”设置为PSK并设置“加密方式”、“加密算法”和SSID接入密码。
“加密算法”:
- AES:使用AES(对称加密算法)方式加密数据。
- AES-TKIP:使用AES和TKIP混合加密。用户终端支持AES或TKIP,认证通过后,即可使用支持的算法加密数据。
- TKIP:使用TKIP(临时密钥完整性协议)方式加密数据。
|
PPSK
|
在“安全认证”页面中将“认证方式”设置为“半开放网络”、“需要密码”,将“密钥类型”设置为PPSK并设置“加密方式”、“加密算法”、“逃生策略”。如果打开“MAC自动绑定”开关,则设备在第一次接入SSID时,系统将自动完成PPSK帐户和设备MAC的绑定。
当设备接入SSID时,如果所使用的PPSK帐户已经绑定了其他设备的MAC,则该设备无法接入SSID。
|
iMaster NCE-Campus作为Portal服务器
|
用户名密码认证
|
- 配置用户组和用户
提前录入用于认证的用户名和密码。也可以由用户通过Portal推送页面自行注册。
- (可选)定制Portal推送页面
iMaster NCE-Campus提供默认的Portal推送页面,如果使用默认页面可不定制。
- 配置SSID
- 在“安全认证”页面中将“认证方式”设置为“开放网络”,将“是否推送页面”设置为“ON”,将“页面推送方式”设置为“云平台内置认证”,将“推送方式”设置为“高级推送”,并将“登录方式”设置为“用户名密码认证”。
- 在“策略控制”页面中不配置任何信息,以后面配置的“认证授权策略”为准。
- 配置Portal推送策略
针对不同认证条件推送差异化页面。缺省只提供匿名认证的推送策略,其他认证方式必须配置推送策略。
- 配置授权结果
指定终端用户认证通过后所获得的权限集、流量限速策略、基于ACL的报文过滤策略和URL过滤策略等。
- 配置授权规则
终端用户认证通过后具备哪些权限由授权结果指定,认证通过后满足配置的授权规则,表示匹配授权规则,授权结果对匹配该授权规则的终端用户生效。如果所有授权规则均不设置,表示适用于所有认证通过后的终端用户。
- (可选)配置用户在线控制策略
针对终端用户做上网时长或流量的限制,达到阈值后强制下线。
|
短信认证
|
- 配置短信服务器
短信认证必须配置对接的短信服务器。终端用户认证时由短信服务器向终端用户发送包含认证密码的短信。
- (可选)定制Portal推送页面
提供默认的Portal推送页面,如果使用默认页面可不定制。
- 配置SSID
- 在“安全认证”页面中将“认证方式”设置为“开放网络”,将“是否推送页面”设置为“ON”,将“页面推送方式”设置为“云平台内置认证”,将“推送方式”设置为“高级推送”,并将“登录方式”设置为“短信认证”。
- 在“策略控制”页面中不配置任何信息,以后面配置的“认证授权策略”为准。
- 配置Portal推送策略
针对不同认证条件推送差异化页面。缺省只提供匿名认证的推送策略,其他认证方式必须配置推送策略。
- 配置授权结果
指定终端用户认证通过后所获得的权限集、流量限速策略、基于ACL的报文过滤策略和URL过滤策略等。
- (可选)配置授权规则
终端用户认证通过后具备哪些权限由授权结果指定,认证通过后满足配置的授权规则,表示匹配授权策略,授权结果对匹配该授权规则的终端用户生效。如果所有授权规则均不设置,表示适用于所有认证通过后的终端用户。
- (可选)配置用户在线控制策略
针对终端用户做上网时长或流量的限制,达到阈值后强制下线。
|
匿名认证
|
- (可选)定制Portal推送页面
提供默认的Portal推送页面,如果使用默认页面可不定制。
- 配置SSID
- 在“安全认证”页面中将“认证方式”设置为“开放网络”,将“是否推送页面”设置为“ON”,将“页面推送方式”设置为“云平台内置认证”,将“推送方式”设置为“高级推送”,并将“登录方式”设置为“匿名认证”。
- 在“策略控制”页面中不配置任何信息,以后面配置的“认证授权策略”为准。
- 配置Portal推送策略
针对不同认证条件推送差异化页面。如果使用缺省策略,对匿名认证的所有终端用户推送系统默认页面。
- (可选)配置授权结果
指定终端用户认证通过后所获得的权限集、流量限速策略、基于ACL的报文过滤策略和URL过滤策略等。
- (可选)配置授权规则
终端用户认证通过后具备哪些权限由授权结果指定,认证通过后满足配置的授权规则,表示匹配授权策略,授权结果对匹配该授权规则的终端用户生效。如果所有授权规则均不设置,表示适用于所有认证通过后的终端用户。
|
Facebook认证
|
访客通过Facebook帐号接入网络
|
Passcode认证
|
- 配置用户组和用户
提前录入用于认证的Passcode。
- (可选)定制Portal推送页面
提供默认的Portal推送页面,如果使用默认页面可不定制。
- 配置SSID
- 在“安全认证”页面中将“认证方式”设置为“开放网络”,将“是否推送页面”设置为“ON”,将“页面推送方式”设置为“云平台内置认证”,将“推送方式”设置为“高级推送”,并将“登录方式”设置为“Passcode认证”。
- 在“策略控制”页面中不配置任何信息,以后面配置的“认证授权策略”为准。
- 配置Portal推送策略
针对不同认证条件推送差异化页面。缺省只提供匿名认证的推送策略,其他认证方式必须配置推送策略。
- 配置授权结果
指定终端用户认证通过后所获得的权限集、流量限速策略、基于ACL的报文过滤策略和URL过滤策略等。
- 配置授权规则
终端用户认证通过后具备哪些权限由授权结果指定,认证通过后满足配置的授权规则,表示匹配授权策略,授权结果对匹配该授权规则的终端用户生效。如果所有授权规则均不设置,表示适用于所有认证通过后的终端用户。
- (可选)配置用户在线控制策略
针对终端用户做上网时长或流量的限制,达到阈值后强制下线。
|
作为中继服务器
|
API对接
|
- 配置SSID
- 在“安全认证”页面中将“认证方式”设置为“开放网络”,将“是否推送页面”设置为“ON”,将“页面推送方式”设置为“云平台中继认证”,将“对接方式”设置为“API”。
- 在“策略控制”页面中不配置任何信息,以后面配置的“认证授权策略”为准。
- 配置Portal推送策略
针对不同认证条件推送差异化页面。此处需要在策略中配置“登录方式”为“第三方认证”,“对接方式”设置为“API”,“第三方认证URL”设置为第三方Portal服务器的URL。
- (可选)配置授权结果
指定终端用户认证通过后所获得的权限集、流量限速策略、基于ACL的报文过滤策略和URL过滤策略等。只下发策略,策略管理由第三方Portal服务器负责。
|
RADIUS中继对接
|
- 配置SSID
- 在“安全认证”页面中将“认证方式”设置为“开放网络”,将“是否推送页面”设置为“ON”,将“页面推送方式”设置为“云平台中继认证”,将“对接方式”设置为“RADIUS中继”。
- 设置第三方Portal页面认证所需的用户名、密码等参数,并选择RADIUS中继服务器。
- 在“策略控制”页面中不配置任何信息,以后面配置的“认证授权策略”为准。
- 配置Portal推送策略
针对不同认证条件推送差异化页面。此处需要在策略中配置“登录方式”为“第三方认证”,“对接方式”设置为“中继”,配置“URL模板”,“第三方认证URL”设置为第三方Portal服务器的URL。
- (可选)配置授权结果
指定终端用户认证通过后所获得的权限集、流量限速策略、基于ACL的报文过滤策略和URL过滤策略等。只下发策略,策略管理由第三方Portal服务器负责。
|
第三方Portal服务器
|
- 定制配置模板
添加第三方Portal服务器模板和RADIUS模板。
- 配置SSID
- 在“安全认证”页面中将“认证方式”设置为“开放网络”,将“是否推送页面”设置为“ON”,将“页面推送方式”设置为“第三方认证”,通过模板指定第三方Portal服务器和RADIUS服务器。
- (可选)根据需要,配置“Portal免认证”、“默认放行规则”、“逃生策略”。
说明: 只有V200R009C00及以后的版本才支持“Portal免认证”和“逃生策略”。
- 在“策略控制”页面中不配置任何信息,以后面配置的“认证授权策略”为准。
- (可选)配置授权结果
指定终端用户认证通过后所获得的权限集、流量限速策略、基于ACL的报文过滤策略和URL过滤策略等。
|
第三方RADIUS服务器
|
802.1X认证
|
- 定制配置模板
添加RADIUS模板。
- 配置SSID
- 在“安全认证”页面中将“认证方式”设置为“安全网络”,设置加密方式,并通过模板指定RADIUS服务器。
- 在“策略控制”页面中不配置任何信息,以后面配置的“认证授权策略”为准。
- (可选)配置授权结果
指定终端用户认证通过后所获得的权限集、流量限速策略、基于ACL的报文过滤策略和URL过滤策略等。
|
MAC认证
|
- 定制配置模板
添加RADIUS模板。
- 配置SSID
- 在“安全认证”页面中将“认证方式”设置为“半开放网络”、“不需要密码”,并通过模板指定RADIUS服务器。
- 在“策略控制”页面中不配置任何信息,以后面配置的“认证授权策略”为准。
- (可选)配置授权结果
指定终端用户认证通过后所获得的权限集、流量限速策略、基于ACL的报文过滤策略和URL过滤策略等。
|