1、华为Agile Controller(园区版)技术建议书(模板)文档版本01发布日期2016-05-26华为技术有限公司版权所有 华为技术有限公司 2016。 保留一切权利。非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。商标声明和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标,由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证。由于产品版本升级
2、或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术有限公司地址:深圳市龙岗区坂田华为总部办公楼 邮编:518129网址:客户服务邮箱:ChinaEnterprise_TAC客户服务电话:400-822-9999文档版本01 (Error! Unknown document property name.)Error! Unknown document property name.ii华为Agile Controller(园区版)Error! Unknown document property name.目
3、 录目 录1 概述31.1 项目背景31.1.1 园区网发展趋势31.1.2 项目现状31.1.3 接入场景及安全风险分析31.1.4 项目目标和范围42 应用场景43 方案设计思想及原则54 项目方案设计54.1 方案概述54.2 部署方案设计54.2.1 内部员工认证方案设计54.2.2 外来访客认证方案设计64.3 认证授权策略设计64.3.1 用户账号来源64.3.2 部门/角色设计64.3.3 策略授权模型设计74.4 业务随行方案设计74.5 终端安全方案设计74.6 业务编排策略设计74.7 方案可靠性设计75 项目实施建议85.1 项目配置建议85.2 项目实施步骤建议86 产
4、品简介86.1 系统架构86.2 典型应用场景86.3 主要功能9Error! Unknown document property name.Error! Unknown document property name.4 产品简介1 项目概述项目背景1.1.1 园区网发展趋势当前企业的IT应用正在发生着显著的变化:云计算、BYOD、高清媒体等新应用正迅速地走进企业,这些IT应用新变化对企业的基础园区网提出了更大的挑战,要求企业基础园区网架构要变得更便捷、可靠和安全。尤其随着BYOD等无线办公应用的普及,企业办公接入经历了通过PC、笔记本在固定地点接入园区网的初级方式,发展到现在通过智能终端实现
5、“3A(Anytime, Anywhere, Anything)”灵活移动接入的高级方式。面对海量的有线和无线用户的融合网络,网络接入的安全性问题越发突显出现,包括内部员工、访客身份识别和权限控制、终端设备类型识别和权限控制、用户之间的互访控制等,企业如何能够将如此复杂维度的固定业务和移动业务进行统一策略管理和部署,直接影响到企业的信息安全,成为保证园区网安全性保障的关键点。1.1.2 项目现状XXX当前的网络系统和业务现状如下:(包括客户业务介绍、现网拓扑介绍、IP管理方式、VLAN规划、业务服务器及接入用户分布情况、有无AD或LDAP认证服务器、已有的软硬件安全系统部署情况、用户规模等)1
6、.1.3 接入场景及安全风险分析结合XXX的现网情况和对于安全接入控制的需求,发现现网对网络准入控制的需求主要包括以下几个场景:(根据实际情况进行删减、编辑)1. 内部员工使用固定PC、便携机通过有线网络接入内网2. 内部员工使用便携机、平板/手机等智能终端设备通过无线网络接入内网3. 外来访客使用便携机、平板/手机等智能终端设备通过无线网络接入访问指定的网络资源,如互联网4. 网络打印机、IP Phone等哑终端设备通过有线接入内网5. 内部员工在互联网通过VPN接入内网6. 面对复杂的网络接入场景,1.1.4 项目目标和范围2 关键应用场景(可选)场景一:如何更快速的配置802.1x 认证
7、客户端?目前的困惑:传统的园区网中通常用Web 认证方式,但是Web 认证方式是在认证前就为用户分配了IP 地址,浪费了IP地址资源,而且分配IP 地址的DHCP(动态地址分配协议)服务器对用户而言是完全裸露的,容易受到恶意攻击。Web认证要求每次接入网络都输入用户名密码,对于经常在园区内办公的人员来说,会显得非常麻烦。最安全可靠的方式是采用802.1x认证。然而802.1x 认证需要对终端进行复杂的配置,终端用户自助完成配置的比例不高,网络管理员无法对每一台终端进行配置,尤其在终端数量持续暴涨的今天,所以大部分园区网并没有采用这种安全的认证方式。解决方案:华为Agile Controller
8、-Campus的Boarding功能可以实现802.1X客户端自动配置,无论终端使用windows, IOS, Android操作系统,采用有线还是无线的链接方式,Boarding都能识别并为它们提供合适的配置。使用华为的Boarding功能,用户第一次接入网络时,Agile Controller-Campus识别到终端的操作系统,根据对应的操作系统重定向到不同Boarding客户端下载页面,用户下载客户端,输入账号密码,一键式安装,完成终端802.1X的自动配置,配置完自动发起802.1X认证。整个流程都是用户自助完成,不用管理员参与,大大减轻管理员的工作量。关键特性:自动完成有线和无线终端
9、的802.1X配置。支持windows, IOS, Android操作系统。(可选)场景二:如何实现访客自助接入网络。目前的困惑:通常情况下,认证系统的账号统一有管理员管理,企业员工账号比较固定,维护工作量不大。但是访客不一样,访客上网充满突发性和随机性,一般的企业每天来访几十,上百人,管理人员如果都要手工创建上网账号并维护账号,工作量非常庞大;如果是开放性或者半开放性的场所,比如宾馆、学校、机场、商场、地铁等,人员流动频繁,用户量庞大,管理员更不可能手工维护账号系统。同时,对于大量的访客上网,要审计上网行为变得非常困难。解决方案:Agile Controller-Campus提供了丰富的访客
10、认证方式,满足各种场景下访客的网络访问需求。一般的非开放性企业,可以采用访客自助注册+管理员审批的方式,访客在申请界面提交账号申请后,管理员登陆到系统进行审批。访客申请时可以以手机号、邮件、用户名作为账号,申请通过后可以通过web页面、短信、邮箱看到密码。如果采用二维码认证,接入将变得更简单,公共二维码认证使用户一扫码就能上网;二维码认证也提供了一种类似注册审批的流程,访客连接SSID,通过浏览器访问网站时,跳转到一个二维码界面,内部员工扫描该二维码,审批通过后访客才能认证通过。对于开放或者半开放园区,短信认证是不错的选择,访客在认证页面输入手机号,点击获取密码,密码以短信方式发送到访客的手机
11、,访客输入密码就能通过认证。对于酒店、商场、机场等商业性质的场所,一般有自己的微信公众账号,希望更多人关注公众账号,然后进行营销,这种场景下我们提供了微信认证,访客需要关注公众号之后才能通过认证。对于体育馆、无线城市、地铁等大型公共场所,没有营销需求,可以选择第三方媒体账号认证,国内支持QQ、新浪微博账号,国外支持Google+、Facebook和Twitter账号,访客在认证界面上点击对应的第三方媒体图标,跳转到第三方的认证页面,输入相应的账号和密码进行认证。对于各种认证,服务器后台都能记录认证账号登录日志,方便后续审计。关键特性:访客管理二维码认证短信认证微信认证第三方媒体账号认证(可选)
12、场景三:如何与现有数据源集成目前的困惑:企业有自己的账号管理系统,账号存在AD、LDAP服务器,甚至有些企业已经有自己的Radius认证系统,新买的认证系统需要和原有服务器对接。解决方案:Agile Controller-Campus可以跟AD、LDAP服务器对接,支持把账号同步到本地数据库,同时也支持不同步的方式,两种方式都能认证。如果用户有自己的Radius认证系统,Agile Controller-Campus提供了radius proxy的功能,可以把认证报文转发到客户自己的Radius认证系统进行认证。关键特性:AD、LDAP服务器对接Radius Proxy(可选)场景四:如何获取
13、终端类型目前的困惑:无线网络的普及,以及智能终端的规模性增长,越来越多的智能终端连接到企业网络中,而企业为了安全着想,对接入的终端一般都要区别对待,台式机能访问企业内部的资源,智能终端一般只提供上英特网的权限;另一个问题就是不同的终端有不同的显示屏大小,登录认证页面时,需要根据不同的终端类型推送不同的页面,以适配不同的显示屏。这就需要认证系统能识别终端的类型。解决方案:Agile Controller-Campus内置终端识别功能,通过认证时获取MAC OUI、DHCP Option信息,通过浏览器获取HTTP User-Agent信息,通过扫描器获取SNMP信息,然后在后台进行识别规则匹配,
14、最终识别出设备类型。Agile Controller-Campus支持超过200个终端识别模板。Agile Controller-Campus支持配置页面推送规则,可以根据终端类型推送对应的认证页面;同时支持按不同的设备类型进行授权。关键特性:终端识别按终端类型推送页面按终端类型授权3 项目方案设计3.1 方案设计思想及原则企业园区网是企业的业务信息平台,是企业提升办公效率、整体增值的业务承载通道,网络的简单可靠、易部署、易维护是非常必要的,应本着以下原则进行建设: 超前性与实用性结合网络技术发展迅猛,如果设备缺乏先进性,设备和软件系统可能很快落后甚至被淘汰,但也不能过分超前,以避免造成投资的
15、浪费。为此,在园区网建设中,需注意超前性与实用性结合,确保投资有效,使之能真正发挥出相应的作用。 安全性与可靠性在园区网建设中,安全性是整个网络建设中的重中之重,要通过各种技术确保系统应用的安全性。同时,要求系统本身具有高度的可靠性,这样才能保证网络客户的应用。 可管理性网络管理是一个长期的投资,在网络建设中对网络可管理是一项重要的应用原则,通过选择全网的可管理性软件,减少日常维护费用。 可扩展性企业网络不但需要能够满足当前需要,随着后续企业规模的扩大、技术的发展,未来网络需要承载更多的业务及提供更多的优质服务。所以,网络的可扩展性是网络建设中必须提前规划的重点。3.2 网络部署设计XXX当前
16、的网络系统和业务现状如下:(包括客户业务介绍、现网拓扑介绍、IP管理方式、VLAN规划、业务服务器及接入用户分布情况(可选)有线无线统一认证方案设计3.2.1 需求分析(根据实际情况进行删减、编辑)由于业务扩展,现网需要新建WLAN网络为员工和外来方可提供无线接入服务,同时要求与原来的有线网络实现统一认证、统一授权。具体需求如下: 用户在原有的有线网络和新部署额无线网络中,要统一认证、统一授权 内部员工可通过公司配发的PC接入有线网络和无线网络,使用智能终端等接入无线网络访问制定的内部资源 部分员工使用自有的智能终端(如智能手机、PAD等)接入无线网络访问指定的内部资源 员工接入无线网络的智能
17、终端需要按照要求进行资产注册,未经注册的设备不能接入无线网络 访客经过注册后可接入无线网络,不能接入到内部网络,只能访问Internet 允许哑终端采用有线或无线方式接入到公司内部网络3.2.2 用户接入场景分析考虑到精细化网络权限控制的需求,根据接入方式、接入地点等条件的差异,本方案主要设计以下几种典型的用户接入场景:l 办公接入:主要指员工使用公司配机(如PC、智能终端等)在公司内部网络通过有线、无线Wi-Fi接入后,能够访问公司的资源l 访客接入:外来访客通过申请临时账号接入无线网络,访问Internet等资源l 哑终端接入:网络打印机、IP PHONE等哑终端作为一种特殊的设备类型也有
18、接入网络的需求。主要是通过有线接入后供员工使用,也可以通过无线接入表3-1 用户接入场景要素项目描述用户类型(Who)指定的员工部门或角色,如领导,普通员工,研发,访客等接入地点(Where)公司内部网络(公司楼层、IP地址段或者接入AP设备)接入设备归属(Whose device)公司配机、自有智能终端等接入设备类型(What device)便携机智能终端(平板电脑、智能手机)接入时间(When)时间不限制,可以根据需求设置接入方式(How)内部网络中无线Wi-Fi接入内部网络有线接入操作及应用在公司内部或外部网络访问公司内部网络资源,权限不发生改变,访问内容不受影响3.2.3 认证详细方案
19、设计常用的有线、无线认证方案主要有MAC认证、802.1X、Portal等几种认证方式,各种接入认证的方式与应用场景如下表所示:表3-2 接入认证的方式及应用场景接入认证方式功能描述应用场景MAC认证用户终端以MAC地址作为身份凭据到认证服务器进行认证主要用于IP电话、打印机等哑终端设备802.1X认证使用EAP(Extensible Authentication Protocol)认证协议,实现客户端、设备端和认证服务器之间认证信息的交换需客户端支持,安全性高, Portal认证也称为WEB认证,用户可以通过Web认证页面,输入用户帐号信息,实现对终端用户身份的认证无需客户端,安全性稍低,广
20、泛应用于园区网中本方案里主要涉及的接入场景包括内部员工的办公接入以及临时的外来访客接入,不同的用户接入场景推荐采用不同的认证方案。图3-3 MAC认证流程1、终端上线2、radius认证请求,携带用户MAC3、radius认证响应,下发授权控制认证成功,接入网络用户终端准入设备认证服务器MAC 认证MAC 旁路认证1、终端上线2、EAPoL-Request(identity)2、EAPoL-Request(identity)。3、EAPoL-TimeOut4、radius认证请求,携带用户MAC5、radius认证响应,下发授权控制认证成功,接入网络MAC认证介绍 MAC认证:以终端的MAC地
21、址作为身份凭据到系统进行认证。启用MAC认证后,当终端接入网络时,网络准入设备提取终端MAC地址,并将该MAC地址作为用户名和密码进行认证。 MAC旁路认证:接入设备首先触发用户采用802.1x认证方式,如果用户长时间内没有进行802.1x认证,则以用户的MAC地址为认证信息,把MAC地址作为用户名和密码上送AAA服务器进行认证 应用场景 哑终端设备,如打印机、IP电话等,无法通过输入用户帐号信息的方式进行认证授权。 对某些特殊用户,希望“免认证”接入网络,用户不想通过输入用户帐号信息的方式完成认证,比如智能终端用户。 图3-4 802.1X认证流程1、EAP-Start11、认证成功,用户接
22、入网络用户终端准入设备认证服务器2、EAP-Request(Identity)3、EAP-Response(Identity)4、Radius-Access-Request5、Radius-Access-Challenge6、EAP-Request(Challenge)7、EAP-Response(Challenge)8、Radius-Access-Request10、EAP-Success/Failure9、Radius-Accept-Accept802.1X认证介绍 不同认证类型的802.1X认证流程差异较大,下面以EAP-MD5为例简要说明一下流程。 用户名上送 流程14,用户在客户端输
23、入用户名和密码,其中用户名上送认证服务器处理。 生成Challenge挑战字 流程56,认证服务器收到用户名后,若数据库存在改用户名,则生成挑战字Challenge,并通知客户端。 用户密码上送 流程78,客户端使用MD5算法,使用Challenge对密码加密,并上送服务器。 认证成功授权 流程911,服务器收到用户密码(MD5)后,进行验证,符合要求后开放用户权限,用户接入网络。 应用场景 用于对安全性要求较高的认证场景。Portal认证流程1、用户访问网页用户终端准入设备认证服务器Portal服务器2、重定向WEB页面3、WEB页面输入用户帐号密码4、Portal认证请求5、Radius认
24、证请求,携带用户信息6、Radius认证应答,下发授权控制7、Portal认证应答8、认证结果,WEB页面展现9、认证成功,用户接入网络Portal认证介绍 也称为WEB认证,用户可以通过Web认证页面,输入用户帐号和密码信息,实现对终端用户身份的认证。用户访问认证页面的过程,可以采用主动访问页面和被动访问页面即强推的方式来实现。 应用场景 Portal认证无需客户端支持,部署简单,广泛应用于园区网中。 用户部署NAC安全管理组件,需要客户端支持,此时可采用具有客户端的Portal认证方式。 表 31 接入认证方式接入场景终端类型接入方式接入认证方式线路示例办公接入便携机有线802.1x认证便
25、携机/智能终端(平板电脑、智能手机)无线802.1x认证访客接入访客自有的便携机或智能终端无线Portal认证哑终端接入网络打印机、IP Phone等有线/无线MAC认证图3-5 有线无线统一接入认证方案图部署方案:如图所示,有线网络接入认证场景下认证点在接入层交换机处,统一开启802.1x认证模式;无线WLAN接入认证场景下认证点统一在AC设备,Agile Controller服务器作为RAIDUS server和Portal server与AC设备联动:1)有线网络:规划Guest VLAN:用户在通过802.1x等认证之前接入设备会把该端口加入到Guest VLAN中,用户访问该VLAN
26、内的资源不需要认证,只能访问有限的网络资源;工作VLAN则根据接入用户的部门等实际业务情况进行规划,保证用户802.1x认证后进入工作VLAN以便访问相应的网络资源。规划业务VLAN:业务VLAN即普通VLAN,因为不用的部门、角色的用户网络访问权限不同,需要单独进行授权,通过划分相应的VLAN来进行隔离。划分业务VLAN后,用户在进行802.1x认证后接入网络,Agile Controller服务器会根据用户所属的部门、角色或其他条件,通知802.1x交换机切换用户接入的VLAN,从而对用户的网络访问权限进行隔离、控制。VLAN调整规划总表如下:VLAN类型VLAN ID用户类型说明业务VL
27、ANVLAN100200普通员工允许访问所有的办公服务器,如OA系统、邮件服务器等VLAN300400开发测试人员允许访问所有的办公服务器,以及开发测试服务器VLAN500合作方员工允许访问邮件服务器VLAN600访客允许访问互联网备注:接入交换机的接口类型,配置成Access或者Hybird对下载客户端的方式有影响,配置成Access时,只能配置Free-IP功能下载客户端;配置成Hybird时,可以配置Guest VLAN或者Free-IP。因此若要启用Guest VLAN功能,接入交换机的接口类型必须配置成Hybird属性。2)无线网络:规划SSID:内部员工的办公接入和外来访客分别设置
28、2个SSID,其中“员工SSID”无线链路认证方式为WPA2 dot1x,接入认证为802.1X EAP-PEAP协议;“访客SSID”的无线链路认证为WEP开放式系统认证,部署Portal接入认证。规划portal free-rule,允许访客访问认证前域服务器资源,比如认证前能访问QQ、新浪微博、微信、Facebook、Google+等社交媒体网站以便使用社交媒体账号进行认证建立GRE隧道:在AC设备与互联网出口防火墙之间建立GRG隧道,访客访问互联网的流量全部通过该GRE隧道进行隔离,保证内网的安全性。基于部门规划不同业务VLAN,如果是本地转发,AP上行交换机上也需要创建相应VLAN,
29、保证网络隔离与互通。规划用户访问策略:Agile Controller服务器与WLAN的AC设备联动实现对用户的网络访问权限的控制。当用户接入网络时,Agile Controller服务器将用户接入的信息与授权规则的授权条件匹配,当用户接入的信息与某条授权规则的所有授权条件都匹配时,Agile Controller即授予用户该条授权规则的授权结果定义的权限。Agile Controller提供了基于5W1H的接入控制策略管理方式,包括用户类型(Who)、接入设备归属(Whose device)、接入设备类型(What device)、接入时间(When)、接入地点(Where)和接入方式(Ho
30、w)。表3-3 基于5W1H的认证授权模型接入场景5W1H用户场景要素用户类型(Who)接入设备归属(Whose device)接入地点(Where)接入设备类型(What device)接入时间(When)接入方式(How)策略授权类型办公接入所有内部员工公司配机办公区PC/便携机无限制有线ALL外包人员公司配机办公区PC/便携机无限制有线公共服务器所有内部员工公司配机员工SSID便携机无限制无线ALL所有内部员工公司配机员工SSID智能终端无限制无线ALL普通员工自有终端员工SSID智能终端无限制无线禁止访客接入访客自有终端访客SSID无限制无限制无线Internet哑终端接入网络打印机、
31、IP Phone等无限制办公区无限制无限制有线放行如上表所示,允许内部所有员工通过PC、便携机等在有线网络接入,允许员工通过便携机和智能终端接入“员工SSID”访问内网资源,但是禁止普通员工使用非注册的自有终端接入;对于访客则允许通过其自带便携机和智能终端接入“访客SSID”以便访问到Internet资源。对于哑终端则采用MAC认证方式进行认证。(可选)无线WLAN接入认证方案设计3.2.4 需求分析(根据实际情况进行删减、编辑)由于业务扩展,现网需要新建WLAN网络为员工和外来方可提供无线接入服务,具体需求如下: 已经部署了有线网络,需要扩容新部署无线网络 内部员工可通过公司配发的PC、智能
32、终端等接入无线网络访问制定的内部资源 部分员工使用自有的智能终端(如智能手机、PAD等)接入无线网络访问指定的内部资源 员工接入无线网络的智能终端需要按照要求进行资产注册,未经注册的设备不能接入无线网络 访客经过注册后可接入无线网络,不能接入到内部网络,只能访问Internet3.2.5 用户接入场景分析考虑到精细化网络权限控制的需求,根据接入方式、接入地点等条件的差异,本方案主要设计以下几种典型的用户接入场景:l 办公接入:主要指员工使用公司配机(如PC、智能终端等)在公司内部网络通过无线Wi-Fi接入后,能够访问公司的资源l 访客接入:外来访客通过申请临时账号接入无线网络,访问Intern
33、et等资源表3-4 用户接入场景要素项目描述用户类型(Who)指定的员工部门或角色,如领导,普通员工,研发,访客等接入地点(Where)公司内部网络(公司楼层、IP地址段或者接入AP设备)接入设备归属(Whose device)公司配机、自有智能终端等接入设备类型(What device)便携机智能终端(平板电脑、智能手机)接入时间(When)时间不限制,可以根据需求设置接入方式(How)内部网络中无线Wi-Fi接入内部网络有线接入操作及应用在公司内部或外部网络访问公司内部网络资源,权限不发生改变,访问内容不受影响3.2.6 认证详细方案设计常用的WLAN无线认证方案主要有MAC认证、802.
34、1X、Portal等几种认证方式,各种接入认证的方式与应用场景如下表所示:表3-5 接入认证的方式及应用场景接入认证方式功能描述应用场景MAC认证用户终端以MAC地址作为身份凭据到认证服务器进行认证主要用于IP电话、打印机等哑终端设备802.1X认证使用EAP(Extensible Authentication Protocol)认证协议,实现客户端、设备端和认证服务器之间认证信息的交换需客户端支持,安全性高, Portal认证也称为WEB认证,用户可以通过Web认证页面,输入用户帐号信息,实现对终端用户身份的认证无需客户端,安全性稍低,广泛应用于园区网中本方案里主要涉及的接入场景包括内部员工
35、的办公接入以及临时的外来访客接入,不同的用户接入场景推荐采用不同的认证方案。表 32 接入认证方式接入场景终端类型接入方式接入认证方式线路示例办公接入便携机无线802.1x认证智能终端(平板电脑、智能手机)无线802.1x认证访客接入访客自有的便携机或智能终端无线Portal认证图3-8 无线WLAN接入认证方案图部署方案:如图所示,无线WLAN接入认证场景下认证点统一在AC设备,Agile Controller服务器作为RAIDUS server和Portal server与AC设备联动:规划SSID:内部员工的办公接入和外来访客分别设置2个SSID,其中“员工SSID”无线链路认证方式为W
36、PA2 dot1x,接入认证为802.1X EAP-PEAP协议;“访客SSID”的无线链路认证为WEP开放式系统认证,部署Portal接入认证。规划portal free-rule,允许访客访问认证前域服务器资源,比如认证前能访问QQ、新浪微博、微信、Facebook、Google+等社交媒体网站以便使用社交媒体账号进行认证建立GRE隧道:在AC设备与互联网出口防火墙之间建立GRG隧道,访客访问互联网的流量全部通过该GRE隧道进行隔离,保证内网的安全性。基于部门规划不同业务VLAN,如果是本地转发,AP上行交换机上也需要创建相应VLAN,保证网络隔离与互通。规划用户访问策略:Agile Co
37、ntroller服务器与WLAN的AC设备联动实现对用户的网络访问权限的控制。当用户接入网络时,Agile Controller服务器将用户接入的信息与授权规则的授权条件匹配,当用户接入的信息与某条授权规则的所有授权条件都匹配时,Agile Controller即授予用户该条授权规则的授权结果定义的权限。Agile Controller提供了基于5W1H的接入控制策略管理方式,包括用户类型(Who)、接入设备归属(Whose device)、接入设备类型(What device)、接入时间(When)、接入地点(Where)和接入方式(How)。表3-6 基于5W1H的认证授权模型接入场景5W
38、1H用户场景要素用户类型(Who)接入设备归属(Whose device)接入地点(Where)接入设备类型(What device)接入时间(When)接入方式(How)策略授权类型办公接入所有内部员工公司配机员工SSID便携机无限制无线ALL所有内部员工公司配机员工SSID智能终端无限制无线ALL普通员工自有终端员工SSID智能终端无限制无线禁止访客接入访客自有终端访客SSID无限制无限制无线Internet如上表所示,允许内部所有员工通过便携机和智能终端接入“员工SSID”访问内网资源,但是禁止普通员工使用非注册的自有终端接入;对于访客则允许通过其自带便携机和智能终端接入“访客SSID”
39、以便访问到Internet资源。(可选)异构网络统一认证方案设计3.2.7 需求分析(根据实际情况进行删减、编辑)由于业务的发展,现网需要对有线、无线网络的用户接入进行统一认证和管控,但经过确认发现现网的网络设备并不统一,交换机、WLAN设备包括但不局限H3C、华为、CISCO等厂家。对于这个异构网络的统一认证方案具体需求如下: 要能支持异构网络环境,认证系统要支持华为、H3C、CISCO等主流厂商设备联动 内部员工可通过公司配发的PC接入有线网络和无线网络,使用智能终端等接入无线网络访问制定的内部资源 部分员工使用自有的智能终端(如智能手机、PAD等)接入无线网络访问指定的内部资源 员工接入
40、无线网络的智能终端需要按照要求进行资产注册,未经注册的设备不能接入无线网络 访客经过注册后可接入无线网络,不能接入到内部网络,只能访问Internet 允许哑终端采用有线或无线方式接入到公司内部网络3.2.8 用户接入场景分析考虑到精细化网络权限控制的需求,根据接入方式、接入地点等条件的差异,本方案主要设计以下几种典型的用户接入场景:l 办公接入:主要指员工使用公司配机(如PC、智能终端等)在公司内部网络通过无线Wi-Fi接入后,能够访问公司的资源l 访客接入:外来访客通过申请临时账号接入无线网络,访问Internet等资源3.2.9 认证详细方案设计对于这种异构网络,建议采用网关式的接入控制
41、方案,即采用华为USG防火墙作为SACG网关,以侧挂的方式部署在网络核心层的交换机处,与Controller服务器联动实现对全网用户的接入认证控制。SACG网关认证方式与接入层网络设备无关,终端设备既可以安装代理客户端,也可以不安装(Web强推方式),适应各种终端接入(PC、手持设备等),方便灵活,管理维护方便。如上图所示,SACG网关侧挂在核心交换机处,通过策略路由将用户的上行流量引流至SACG网关。用户通过客户端或浏览器到Controller服务器进行认证后,SACG网关据用户身份认证和安全检查结果动态切换用户能够访问的网络权限。认证流程如下:(1) 与Controller服务器通信,从A
42、gile Controller服务器中同步准入控制规则,并且把这些规则转换成ACL。同步的规则中包括认证前域、隔离域和认证后域。(2) 对于进入SACG的数据包,检查该数据包对应IP的认证状态,如果该IP没有经过认证,则使用认证前域的ACL规则进行数据包的过滤;(3) 当终端用户认证成功的时候,Agile Controller服务器给准入控制设备发送认证域的参数,该认证域的参数对应了转换的ACL规则;(4) 当终端用户的数据包经过SACG设备的时候,SACG设备将根据该终端对应的ACL规则进行包过滤,控制终端的访问范围。(可选)访客认证方案设计3.2.10 需求分析(根据实际情况进行删减、编辑
43、)随着企业与外界的交往增加,来企业参观、访问、交流的访客日益增多,为访客智能终端提供WiFi接入互联网的诉求越来越强烈。而企业通常采用纯手工方式对访客接入WiFi进行管理,不利于统一对Internet资源、账号、权限进行管理,且存在较大的资讯安全风险及网络资源浪费。为方便客户交流,提升企业形象,同时保证企业信息安全,需要统一建设移动访客系统。具体需求如下: 与办公流量隔离,确保办公的安全性 访客身份管理方便 访客接入无线网络方便快捷 可提供无线网络运营的能力,可做微信公共号推广、APP推广、广告运营等3.2.11 用户接入场景分析外来访客用户主要使用Portal认证方式接入无线网络,可根据需要
44、让访客使用已由管理员已分配好的临时账号登录认证,或者通过注册自己的手机号获取临时密码、扫描二维码、关注微信公共号以及使用QQ/新浪微博等社交媒体账号直接登录认证。以访客自注册账号为例,访客接入的全流程如下图所示:如上图所示,访客接入流程如下:1)访客在终端搜索无线SSID,与AP建立关联,获取IP地址2)访客访问WEB站点,AC 将用户请求重定向到Portal认证页面3)访客在Portal页面上进行注册,注册后进行认证4)认证通过,服务器向AC设备下发访客网络权限5) 访客获取上网权限可以成功访问网络6)Controller认证服务器将访客上线信息同步给上网行为审计网关设备7) 由上网行为网关
45、设备应用访客的上网策略,对访客的上网行为进行审计说明:在此流程中,可根据需要引入客户的企业访客用户管理系统(如访客身份证登记、指纹登记等)参与认证流程,Controller服务器提供北向API接口与之同步访客的相关用户信息。3.2.12 认证详细方案设计完整的访客认证方案主要包括以下几个部分,访客账号管理、访客Portal管理、访客认证管理、访客流量路径隔离、访客上网行为管控。1. 访客账号管理访客账号通常为临时性账号,同时授予较低网络访问权限。访客账号可以有多种形式:管理员创建、访客自注册、免注册、社交媒体账号、公共二维码访客管理员创建:访客到达后,由前台接待、部门访客管理员等帮助访客申请帐号,然后把访客帐号信息打印出来,分发给访客,方便访客临时上网。管理员在单个/批量创建时,可指定访客账号的有效期、生效时间、访客密码策略以及打印排版。可根据需要设置多个访客管理员,各自负责相应区域/部门的访客账号