WLAN的基础架构搭建完成之后,下一步需要针对内部用户和访客两类用户实施不同的访问控制策略,保证不同角色的用户接入WLAN,仅能访问对应授权的资源。按照项目规划,主要有如下配置工作。
项目中用户认证采用AAA认证方式,采用Radius认证协议,AAA服务器设置为Agile Controller服务器,AC作为AAA客户端需要进行相应的配置,方法如下:“配置→安全管理→AAA”,在“认证/授权/计费方案”选项卡下,点击“认证方案”下的“default”后面的编辑按钮,“第一认证模式”设置为“Radius认证”,点击“确定”保存。点击“授权方案”下“default”后面的编辑按钮,“第一授权模式”设置为“本地授权”,点击“确定”保存。点击“计费方案”下“default”后面的编辑按钮,在弹出的对话框中将“计费模式”设置为“Radius计费”,点击“确定”保存。
接着进行Radius相关设置。“配置→安全管理→ AAA”, 在“Radius设置”选项卡下,点击“Radius服务器模板”下的“新建”按 钮,“模 板 名 称”设 为“WLANau”,“密钥”设置为“password”,其他选项保持默认,保存即可。在“认证/计费服务器”下点击“新建”按钮,“模板名称”选择“WLANau”,“服务器类型”选择“认证服务器”,IP地址设置为Agile Controller服务器的IP,端口号设置为1812,点击“确定”保存。
用同样的方法创建计费服务器,“服务器类型”选为“计费服务器”,端口号设置为1813,其他选项与认证服务器一致。在“授权服务器”下点击“新建”按钮,“授权服务器IP地址”设为Agile Controller服务器地址,“模板名称”选择“WLANau”,“密钥”与WLANau模板一致,均为password,点击“确定”保存生效。
本项目采用Portal认证方式进行用户接入认证,Portal认证不需要在终端上安装任何客户端,只需要有浏览器即可,用户很容易上手使用,能够极大减轻管理人员的运维负担。而且,认证页面可以灵活定制,甚至可以推送信息,非常适合在企业内推广使用。项目中采用Agile Controller服务器提供Portal服务,所以在AC上需要启用Portal认证,并将Portal服务器指向Agile Controller服务器,具体方法如下。
“配置→安全管理→ Portal认 证”, 在“外置Portal Server” 标 签下,点 击“Portal认 证 服务器列表”下的“新建”按钮,“服 务 器 名 称”设 为“controller”,“URL” 设 置为http://172.19.3.248:8080/potral,其 中172.19.33.248是Agile Controller服务器IP。“SSID”设置为employee,同样再添加一个URL,URL地址与上述相同,对应的SSID设置为guest。“共享密钥”设置为“password”,“服 务器 IP 地址”设置为172.19.33.248,点击“确定”保存。
由于内网存在DNS服务器,为保证Portal认证时,页面能够正常跳转,建议把内网DNS服务器设置为免认证,“配置→安全管理→Portal认证”,在“终端免认证规则”标签下点击“新建”,“规则编号”设为 10,“目的IP”下IP设置为内网DNS服务器IP,其他选项保持默认,点击“确定”保存。
从AAA和Portal认证过程分析,AC应该作为AAA客户端和Portal客户端,Agile Controller作 为AAA服务器和Portal服务器,二者通过一致的密钥进行对接。配置过程如下。
登录Agile Controller管理页面,“资源→设备管理”,点击“增加”按钮,“名称”设 为“ac6605”,“IP 地址”为“10.100.1.253”,“认证参数”选项卡下,选中“启动 Radius”,“设备系列”选择“华 为 Quidway系 列”,“Radius认证密钥”设置为“password”,“Radius 计 费密钥”设置为“password”,这样就完成了Radius服务器相关设置。选中“启用Portal”,“Portal 密 钥” 与AC上设置的Portal密钥必须一致,均为“password”,“接入终端IP地址列表”为“10.100.0.0/16”,其他选项保持默认,点击“确定”保存,然后点击“同步”按钮,使Agile Controller服务器与AC进行配置同步。
主要是创建内部用户和访客的账号信息,内部用户按照部门进行分组,工号作为账号,访客用户单独建立一个Guest组,利用手机号作为账号,所有的用户信息均由后台管理员统一创建和维护。如果遇到大量用户信息需要导入,还可以采用批量操作。添加用户组的方法如下。
“资源→用户管理”,在“部门”标签下点击“增加”,填写部门相关信息即可。同样方法在“用户”标签下添加用户相关信息,在对应用户名后点击“账号管理”,然后点击“增加”,账号类型选择“普通账号”,依次填写“账号”、“密码”,选中“下次登录修改密码”,在首次创建用户时,建议选中该项,避免账号被盗用。其他选项默认即可。如果需要批量导入,在“部门”标签下,点击“导入”按钮,然后按照相应的格式调整Excel数据表,导入即可。
不同的角色对应不同的资源访问权限,按照项目需求,需要创建内部用户和访客两类角色,配置方法如下。
“资源→角色管理”,点击“增加”,输入角色名称“内部用户”,点击“确定”,然后再点击“内部用户”角色后面的“分配”,在弹出的对话框中点击“选择账号”,然后选中对应的用户或者用户组,点击确定即可。这样,就为对应用户指定了“内部用户”角色。创建“Guest”角色方法与此类似。
首先需要创建SSID这个策略元素,供后续策略进行调用,方法如下。
“策略→策略元素→SSID”,点击“增加”,创建“employee”和“guest”两 个SSID策略元素。其次,需要进行认证规则设置,步骤如下。
“策略→认证授权→认证规则”,点击“增加”,“名称”设置为“内部员工认证”,“业务类型”选中“接入业务”,认证条件中“部门”选中“内部用户组”,“角色”选中“内部用户”,“位置信息”中“SSID”选择“employee”,其他选项默认即可。
下一步进行授权规则制定,方法为:“策略→认证授权→授权规则”,点击“增加”,名称设为“内部员工授权”,业务类型选中“接入业务”,授权条件中“部门”选中“内部用户组”,“角色”选中“内部用户”,位置信息中“SSID”选择“employee”,“授权结果”选择“允许接入”,其他选项默认即可,这样就保证了内部用户认证通过后,能够获取访问内外网资源的所有权限。
用同样的方法设置“访客认证”,认证条件中“部门”选择“Guest”,“角色”选中“Guest”,“位置信息”中“SSID”选择“guest”,其他选项与“内部员工认证”相同,这样就完成了访客用户的认证规则制定。
下一步需要进行访客授权规则制定,由于访客人员通过认证后,不能访问内网资源,仅仅只能访问外网,这样就需要配合ACL进行权限控制。首先需要在AC上创建ACL,登录AC后台Web管理页面,“配置→安全管理→ACL”,在“高级ACL配置”选项卡下,点击“新建”,“ACL名称”设置为“guest_ACL”,“ACL 编 号”设置为3000,点击“确定”即可,然后添加ACL规则,点击“添加规则”,规则编号设为5,目的IP设为内网IP网段,动作设置为“拒绝”,其他选项均保持默认,点击“确定”保存即可。
用同样的方式添加另外一条规则,编号为10,动作设置为“允许”,其他选项保持默认。其次需要在Agile Controller上创建对应的授权结果,对3000这项ACL进行调用。点击“策略→认证授权”,点击“增加”,“名称”设为“仅访问外网”,“业务类型”选择“接入业务”,授权参数选项下“ACL号/AAA用户组”设为“3000”,点击“确定”保存即可。
最后需要创建授权规则,确定Guest用户接入后的访问控制权限,点击“策略→认证授权→授权规则”,点击“增加”,“名称”设为“Guest授权”,“业务类型”选择“接入业务”,用户信息中“部门”选择“Guest”组,位置信息中“SSID”选择“guest”,“授权结果”选择“仅访问外网”,点击“确定”保存。这样就完成了访客的权限设置。
由于采用Portal认证方式,需要定义认证页面和认证成功页面,在“策略→页面定制”菜单下,可以进行多种页面模式定制,本项目采用系统自带页面。随后,需要定制页面推送规则,可以直接对缺省Portal页面推送规则进行编辑,在“终端IP地址范围”中填入10.100.2.0/24和10.100.3.0/24,点击确定保存。
图4 用户登录界面
图5 登录成功页面
由于WLAN业务的特殊性,为保证安全,用户必须要设置强度较高的密码,可以在Agile Controller上对用户的密码强度进行强制指定,以确保用户按要求进行设置。点击“系统→局部参数→终端密码策略”,点击“增加”,“模板名称”设为“用户密码强度”,在“设置参数信息”中可以对密码最小长度、密码最大长度,以及包含各种字符等要求进行设置,最后确认即可。然后点击“分配模板””,在“分配给部门”标签页下,点击“部门树”,选中所有的用户,保存即可。
项目规划中保证每个账号只可供一个移动终端接入,在 Agile配 Controller管理界面陪置方法如下:“系统→局部参数→同一账号接入数控制”,点击“增加”,模板名称设为“ONE”,“最大接入数”设置为1,“达到最大接入数时的操作”设置为“允许接入(强制已在线用户下线)”,点击确定。然后,点击“分配模板”,在“分配给部门”标签页下,点击“部门树”,选中所有的用户,保存即可。
设置完上述步骤后,整个WLAN系统基本搭建完成,可以提供给用户使用,下面进行功能测试,在关联完对应的SSID后打开浏览器输入任意URL后网络自动跳转到图4界面。
用户输入相应用户名、密码后,可跳转至登录成功页面,用户即可访问对应的资源,如图5所示。