WLAN組網中Portal認證實例

■ 廣州市疾病預防控制中心 淡武強

編者按：Portal認證（也稱Web認證）是近年來最流行的無線上網認證方式，它通過基于網頁的形式向用戶提供身份認證和個性化的信息服務，使用戶上網變得簡單方便，提升用戶體驗。本文通過WLAN建設、運維的經驗，總結出適合本單位的wlan認證方案，以及如何從技術上杜絕非法設備的接入。

根據國家接入互聯網的相關規定，在接入互聯網之前必須通過身份認證。

考慮到移動終端的復雜性，在終端上安裝認證客戶端進行身份認證是不現實的。而幾乎全部的智能終端都裝有Web瀏覽器。身份認證最好是能通過Web頁面的方式進行。

筆者單位在2018年建設了無線局域網（WLAN）。

該WLAN建設項目覆蓋范圍為室內覆蓋，覆蓋區域含辦公室、會議室、餐廳、宿舍等，采用華為敏捷分布式WLAN+放裝AP方案，AP管 理、SSID（服 務 集 標識）管理由華為無線控制器完成，用戶認證、上網權限策略、上網審計策略、終端接入管理等使用已有的深信服上網行為管理設備進行管控，無線網絡信號覆蓋效果良好，用戶認證、應用控制及對非法終端的處理效果非常理想。WLAN網絡拓撲如圖1所示。

本項目WLAN網絡結構中，對于AP的管理和SSID的創建由華為無線控制器AC6005完成，創建了gzcdc和guest兩個SSID，分別由員工和訪客使用。

兩個SSID使用不同的業務vlan，業務vlan可在Cisco核心交換機上創建，也可在華為AC6005上創建。員工人數320人，筆記本電腦、手機、PAD等移動終端數按500計算，名稱為gzcdc的員工SSID，其業務vlan 106地址池使用23位子網掩碼；訪客人數少，名稱為guest的訪客SSID，其業務vlan 104地址池使用24位子網掩碼。

用戶管理、用戶認證功能既能由AC6005來做，也能由深信服AC完成。兩者均支持用戶導入功能，華為AC6005支持的認證方式有不認證、密鑰認證、微信認證、Portal認證、802.1x認證，其中密鑰認證為預共享密鑰方式，不適用于企業，微信認證需部署第三方服務器，Portal認證支持AC內置或第三方外置Portal服務器，如圖2所示。

而深信服上網行為管理設備（AC）支持的用戶認證方式更加豐富，有不需要認證、密碼認證、單點登錄、不允許認證四大類，其中密碼認證支持本地（AC內置）認證和第三方認證，如短信、微信、二維碼、RADIUS等，認證方式靈活多樣，還支持單點登錄功能，如圖3所示。

本WLAN項目中，設備數量（AC 1臺、中心AP 10臺、POE交換機3臺、遠端射頻單元RU 104個、放裝型AP 8個）和用戶規模（員工320人、訪客并發數<150）均不大，力求簡化用戶認證和管理，不建立RADIUS服務器，不使用第三方認證系統。

圖2 華為AC6005認證方式

圖3 深信服AC認證方式

在華為AC6005和深信服AC上分別導入用戶，建立用戶組，基于用戶組做用戶認證測試，兩設備均可實現基本的用戶名密碼登錄的Portal認證功能。

深信服Portal在界面友好性、界面可定制性上勝過華為，華為AC無法實現短信認證，深信服AC實現微信認證的復雜度較小。

加之本項目要求實現WLAN用戶的上網權限控制和審計功能，綜合考慮，最終選擇把認證功能放在深信服AC上來做。

本項目需滿足四種應用場景

場景一:

單位員工筆記本電腦、智能手機、移動智能設備PAD需要輸入賬號和密碼才能上網，允許訪問內網資源和互聯網；禁止非授權應用、禁止訪問與工作無關的21類網站。

場景二:

進修實習生、臨時工、物業公司員工、訪客筆記本電腦、智能手機、移動智能設備PAD需輸入手機號，接收并輸入短信驗證碼才能上網，允許訪問互聯網，禁止訪問內網資源；禁止非授權應用、禁止訪問與工作無關的21類網站。

場景三:

專家公寓、學員宿舍、職工餐廳內的網絡電視機頂盒不需要認證，允許訪問互聯網，禁止訪問內網資源；

場景四:

網絡打印機、多功能一體機、IP攝像頭、繼續醫學教育學分卡刷卡器等啞終端類設備不需要認證，允許訪問內網資源，禁止訪問互聯網。

為滿足以上四種不同的場景，需要在深信服AC上配置三種用戶認證策略，在核心交換機上做四種訪問控制策略（ACL），形成四種搭配組合。

圖4 深信服AC上網權限策略

四種場景的解決方案

場景一:員工組

在核心交換機為該用戶組創建業務vlan 106，終端以DHCP方式從vlan 106中獲取IP、子網掩碼、網關、DNS信息，在深信服AC上該用戶組的認證范圍192.168.106.0/23子網，認證方式為密碼認證，認證服務器為本地用戶（從csv文件導入用戶至深信服AC），認證后處理選擇綁定IP或MAC并開啟免認證功能（方便用戶，不用每次上網都經過認證）。

圖5 短信認證配置

為實現禁止非授權應用、禁止訪問與工作無關的21類網站的要求，在深信服AC上添加上網權限策略，在應用控制中添加所要禁止訪問的網站類別和應用類別，如在線影音、音視頻下載等高帶寬占用類，股票期貨等財經類、游戲、娛樂等，適用對象為選定的用戶組，還可添加時間計劃，按上、下班時間段等允許或禁止訪問，如圖4所示。

員工移動終端連接名為gzcdc的 SSID，獲 取 IP地址后，自動彈出Portal認證頁面，或瀏覽器輸入http://1.1.1.3主動發起Portal認證，輸入用戶名密碼完成認證，即取得上網權限。深信服AC會自動將用戶名與終端IP/MAC綁 定，認證模式變成免認證，以后終端會自動連接 gzcdc，無需手動認證即可上網，在線用戶列表中該用戶名以用戶帳號顯示。

場景二:訪客組

在核心交換機為該用戶組創建業務vlan 104，終端以DHCP方式從vlan 104中獲取IP、子網掩碼、網關、DNS信息，在深信服AC上該用戶組的認證范圍192.168.104.0/24子網，需要新增名為“短信”的認證服務器，輸入已租用的短信服務器的參數，與短信平臺完成對接。認證方式為密碼認證，認證服務器選擇剛創建的“短信”，不進行IP/MAC綁定（訪客具有流動性），如圖5所示。

由于要限制該vlan 104訪問內網其它vlan，需在核心交換機上配置ACL策略。

access-list 104 deny ip 192.168.104.0 0.0.0.255 192.168.33.0 0.0.0.255（服務器組所在vlan為 33）

access-list 104 permit ip any any

在源IP，即vlan 104的in方向上應用該ACL

五是檢驗方式不同。軍民融合和國防動員都強調建設效益和總體評價，但兩者的評價方式手段不同。軍民融合注重平時物質建設，檢驗評估手段單一，主要依靠提出需求方對融合成果進行靜態評估。國防動員注重戰時能力建設，除靜態檢驗評估外，更注重通過演練形式檢驗評估國防動員能力。

interface Vlan104

ip address 192.168.104.254 255.255.255.0

ip access-group 104 in

訪客終端發往vlan 33的數據包會被交換機丟棄，以保護內網。訪客組的上網權限策略同場景一。

訪客移動終端連接名為 guest的 SSID，獲 取 IP地址后，自動彈出Portal認證頁面，或瀏覽器輸入http://1.1.1.3（此IP為深信服AC內置的Portal重定向IP地址，可在系統配置中自定義）主動發起Portal認證，輸入手機號碼，點擊“獲取驗證碼”，輸入接收到的驗證碼，點登錄完成認證，即取得上網權限。在線用戶列表中該用戶名以手機號顯示。

場景三:機頂盒

在核心交換機為該用戶組創建業務vlan 102，由于該類型終端無法象手機、PAD等一樣完成Portal認證，認證方式宜選擇不需要認證。要禁止該組用戶訪問內網資源，需創建ACL并應用于vlan 102的in方向。

場景四:啞終端

在核心交換機為該用戶組創建業務vlan 103，由于該類型終端無法象手機、PAD等一樣完成Portal認證，認證方式宜選擇不需要認證。要禁止該組用戶訪問互聯網，最簡單的方法是在深信服AC上設置將該組認證方式設置為不允許認證（禁止上網），認證范圍為192.168.103.0/24?；蛘邽樵摻M創建上網權限策略，應用控制全選所有應用，動作為拒絕。

移動終端的管理 單位內網中，個別員工、實習生、物業等人員會有違反WLAN使用規定，私接無線路由器、隨身WiFi的現象發生。這種違規往往比較隱密，難以發現，所以需要采取技術手段來檢測和攔截。

華為AC6005上有一個“干擾檢測”工具，可檢測某一AP附近區域中的2.4G和5G干擾信號，違規的無線設備將被標記為“非法設備”。但該工具檢測出的可疑設備比較雜，包括藍牙、帶wifi信號發射功能的打印機等，檢測耗時長，可用作輔助檢測工具，不具備對違規設備采取措施的功能。

深信服AC具有終端接入管理功能，可檢測出通過proxy代理上網、隨身wifi上網及私接路由器等違規情況，并可對非法設備進行凍結、封堵，將終端訪問重定向到警告頁面，提示用戶及時糾正違規行為。

結語

本文只講了用戶名密碼認證和短信認證兩種Portal認證，即該WLAN項目最終采用的認證方式。筆者還嘗試過二維碼認證和微信認證，因其無法對訪客進行有效追溯，不利于上網行為審計而棄用。深信服AC內置了多種Portal認證方案，是網絡一體化管理利器。