■ 广州市疾病预防控制中心 淡武强

编者按：Portal认证（也称Web认证）是近年来最流行的无线上网认证方式，它通过基于网页的形式向用户提供身份认证和个性化的信息服务，使用户上网变得简单方便，提升用户体验。本文通过WLAN建设、运维的经验，总结出适合本单位的wlan认证方案，以及如何从技术上杜绝非法设备的接入。

根据国家接入互联网的相关规定，在接入互联网之前必须通过身份认证。

考虑到移动终端的复杂性，在终端上安装认证客户端进行身份认证是不现实的。而几乎全部的智能终端都装有Web浏览器。身份认证最好是能通过Web页面的方式进行。

笔者单位在2018年建设了无线局域网（WLAN）。

该WLAN建设项目覆盖范围为室内覆盖，覆盖区域含办公室、会议室、餐厅、宿舍等，采用华为敏捷分布式WLAN+放装AP方案，AP管 理、SSID（服 务 集 标识）管理由华为无线控制器完成，用户认证、上网权限策略、上网审计策略、终端接入管理等使用已有的深信服上网行为管理设备进行管控，无线网络信号覆盖效果良好，用户认证、应用控制及对非法终端的处理效果非常理想。WLAN网络拓扑如图1所示。

本项目WLAN网络结构中，对于AP的管理和SSID的创建由华为无线控制器AC6005完成，创建了gzcdc和guest两个SSID，分别由员工和访客使用。

两个SSID使用不同的业务vlan，业务vlan可在Cisco核心交换机上创建，也可在华为AC6005上创建。员工人数320人，笔记本电脑、手机、PAD等移动终端数按500计算，名称为gzcdc的员工SSID，其业务vlan 106地址池使用23位子网掩码；访客人数少，名称为guest的访客SSID，其业务vlan 104地址池使用24位子网掩码。

用户管理、用户认证功能既能由AC6005来做，也能由深信服AC完成。两者均支持用户导入功能，华为AC6005支持的认证方式有不认证、密钥认证、微信认证、Portal认证、802.1x认证，其中密钥认证为预共享密钥方式，不适用于企业，微信认证需部署第三方服务器，Portal认证支持AC内置或第三方外置Portal服务器，如图2所示。

而深信服上网行为管理设备（AC）支持的用户认证方式更加丰富，有不需要认证、密码认证、单点登录、不允许认证四大类，其中密码认证支持本地（AC内置）认证和第三方认证，如短信、微信、二维码、RADIUS等，认证方式灵活多样，还支持单点登录功能，如图3所示。

本WLAN项目中，设备数量（AC 1台、中心AP 10台、POE交换机3台、远端射频单元RU 104个、放装型AP 8个）和用户规模（员工320人、访客并发数<150）均不大，力求简化用户认证和管理，不建立RADIUS服务器，不使用第三方认证系统。

图2 华为AC6005认证方式

图3 深信服AC认证方式

在华为AC6005和深信服AC上分别导入用户，建立用户组，基于用户组做用户认证测试，两设备均可实现基本的用户名密码登录的Portal认证功能。

深信服Portal在界面友好性、界面可定制性上胜过华为，华为AC无法实现短信认证，深信服AC实现微信认证的复杂度较小。

加之本项目要求实现WLAN用户的上网权限控制和审计功能，综合考虑，最终选择把认证功能放在深信服AC上来做。

本项目需满足四种应用场景

场景一:

单位员工笔记本电脑、智能手机、移动智能设备PAD需要输入账号和密码才能上网，允许访问内网资源和互联网；禁止非授权应用、禁止访问与工作无关的21类网站。

场景二:

进修实习生、临时工、物业公司员工、访客笔记本电脑、智能手机、移动智能设备PAD需输入手机号，接收并输入短信验证码才能上网，允许访问互联网，禁止访问内网资源；禁止非授权应用、禁止访问与工作无关的21类网站。

场景三:

专家公寓、学员宿舍、职工餐厅内的网络电视机顶盒不需要认证，允许访问互联网，禁止访问内网资源；

场景四:

网络打印机、多功能一体机、IP摄像头、继续医学教育学分卡刷卡器等哑终端类设备不需要认证，允许访问内网资源，禁止访问互联网。

为满足以上四种不同的场景，需要在深信服AC上配置三种用户认证策略，在核心交换机上做四种访问控制策略（ACL），形成四种搭配组合。

图4 深信服AC上网权限策略

四种场景的解决方案

场景一:员工组

在核心交换机为该用户组创建业务vlan 106，终端以DHCP方式从vlan 106中获取IP、子网掩码、网关、DNS信息，在深信服AC上该用户组的认证范围192.168.106.0/23子网，认证方式为密码认证，认证服务器为本地用户（从csv文件导入用户至深信服AC），认证后处理选择绑定IP或MAC并开启免认证功能（方便用户，不用每次上网都经过认证）。

图5 短信认证配置

为实现禁止非授权应用、禁止访问与工作无关的21类网站的要求，在深信服AC上添加上网权限策略，在应用控制中添加所要禁止访问的网站类别和应用类别，如在线影音、音视频下载等高带宽占用类，股票期货等财经类、游戏、娱乐等，适用对象为选定的用户组，还可添加时间计划，按上、下班时间段等允许或禁止访问，如图4所示。

员工移动终端连接名为gzcdc的 SSID，获 取 IP地址后，自动弹出Portal认证页面，或浏览器输入http://1.1.1.3主动发起Portal认证，输入用户名密码完成认证，即取得上网权限。深信服AC会自动将用户名与终端IP/MAC绑 定，认证模式变成免认证，以后终端会自动连接 gzcdc，无需手动认证即可上网，在线用户列表中该用户名以用户帐号显示。

场景二:访客组

在核心交换机为该用户组创建业务vlan 104，终端以DHCP方式从vlan 104中获取IP、子网掩码、网关、DNS信息，在深信服AC上该用户组的认证范围192.168.104.0/24子网，需要新增名为“短信”的认证服务器，输入已租用的短信服务器的参数，与短信平台完成对接。认证方式为密码认证，认证服务器选择刚创建的“短信”，不进行IP/MAC绑定（访客具有流动性），如图5所示。

由于要限制该vlan 104访问内网其它vlan，需在核心交换机上配置ACL策略。

access-list 104 deny ip 192.168.104.0 0.0.0.255 192.168.33.0 0.0.0.255（服务器组所在vlan为 33）

access-list 104 permit ip any any

在源IP，即vlan 104的in方向上应用该ACL

五是检验方式不同。军民融合和国防动员都强调建设效益和总体评价，但两者的评价方式手段不同。军民融合注重平时物质建设，检验评估手段单一，主要依靠提出需求方对融合成果进行静态评估。国防动员注重战时能力建设，除静态检验评估外，更注重通过演练形式检验评估国防动员能力。

interface Vlan104

ip address 192.168.104.254 255.255.255.0

ip access-group 104 in

访客终端发往vlan 33的数据包会被交换机丢弃，以保护内网。访客组的上网权限策略同场景一。

访客移动终端连接名为 guest的 SSID，获 取 IP地址后，自动弹出Portal认证页面，或浏览器输入http://1.1.1.3（此IP为深信服AC内置的Portal重定向IP地址，可在系统配置中自定义）主动发起Portal认证，输入手机号码，点击“获取验证码”，输入接收到的验证码，点登录完成认证，即取得上网权限。在线用户列表中该用户名以手机号显示。

场景三:机顶盒

在核心交换机为该用户组创建业务vlan 102，由于该类型终端无法象手机、PAD等一样完成Portal认证，认证方式宜选择不需要认证。要禁止该组用户访问内网资源，需创建ACL并应用于vlan 102的in方向。

场景四:哑终端

在核心交换机为该用户组创建业务vlan 103，由于该类型终端无法象手机、PAD等一样完成Portal认证，认证方式宜选择不需要认证。要禁止该组用户访问互联网，最简单的方法是在深信服AC上设置将该组认证方式设置为不允许认证（禁止上网），认证范围为192.168.103.0/24。或者为该组创建上网权限策略，应用控制全选所有应用，动作为拒绝。

移动终端的管理 单位内网中，个别员工、实习生、物业等人员会有违反WLAN使用规定，私接无线路由器、随身WiFi的现象发生。这种违规往往比较隐密，难以发现，所以需要采取技术手段来检测和拦截。

华为AC6005上有一个“干扰检测”工具，可检测某一AP附近区域中的2.4G和5G干扰信号，违规的无线设备将被标记为“非法设备”。但该工具检测出的可疑设备比较杂，包括蓝牙、带wifi信号发射功能的打印机等，检测耗时长，可用作辅助检测工具，不具备对违规设备采取措施的功能。

深信服AC具有终端接入管理功能，可检测出通过proxy代理上网、随身wifi上网及私接路由器等违规情况，并可对非法设备进行冻结、封堵，将终端访问重定向到警告页面，提示用户及时纠正违规行为。

结语

本文只讲了用户名密码认证和短信认证两种Portal认证，即该WLAN项目最终采用的认证方式。笔者还尝试过二维码认证和微信认证，因其无法对访客进行有效追溯，不利于上网行为审计而弃用。深信服AC内置了多种Portal认证方案，是网络一体化管理利器。