當今，大部分企業已經部署了WLAN基礎網絡，把無線辦公作為主要的網絡接入方式，但隨之帶來了企業來訪者(包括商業伙伴、供應商、客戶等)訪問網絡的問題。一個企業必須將它的無線網絡擴展覆蓋到來賓訪問區域，而不是象過去那樣僅在會議室提供有線接口供來賓接入。在許多情況下，來賓需要能夠順利訪問Internet，甚至是一些受限的企業資源。來賓用戶的無線終端是多種多樣的，甚至它們支持的認證方式也不相同，企業要能夠滿足各種終端在一段時間內對特定網絡資源的持續網絡訪問需求。同時，企業要保護自己的數據和網絡資源的安全，將來賓用戶的流量和企業內部流量完全隔離開來。因此，企業需要為來賓訪問提供一種能夠靈活部署而又安全隔離的移動接入網絡。

為來賓接入部署單獨的一套網絡是不可取的。這種方式不僅需要重復投資部署一部分網絡設施，即還不能讓來賓靈活訪問公司的受限資源，更不能使企業實施統一的用戶安全策略和集中管理，最終大大降低了企業的工作效率。傳統的企業IT賬戶開戶，需要非常冗長的步驟和信息核實，但是針對來賓用戶的場景特點，需要讓企業園區接待安保或前臺人員具備快速的來賓開戶能力。

一、 來賓準入需求

基于上述分析，對于來賓準入控制有以下要求：

一個或多個專門的來賓SSID；

隔離的來賓流量訪問路徑，通過在同一個物理網絡上劃分出多個邏輯流量路徑(單獨的VLAN)，將來賓流量限制在此范圍內；

在內部AC和DMZ區的AC之間建立VIP通道，使得來賓流量直接通過VIP通道到達DMZ區AC，然后訪問Internet，來賓流量和企業內部流量之間完全隔離；

根據不同終端類型和業務安全規范，需要支持Web、802.1x或MAC等認證方法；

來賓的用戶方案和用戶分組預配置，用戶方案包括出/入方向的QoS策略、出/入方向的速率限制、允許的無線服務列表、允許的AP組列表等，同一用戶分組使用相同的用戶方案。

門崗對來賓帳戶的實時管理。

二、 來賓準入模式選擇

1. 單AC網絡

對中小型企業來說，一般是單控制器網絡，來賓準入網絡部署如圖1所示。來賓流量經AP和AC間的隧道到達AC，并在為來賓用戶劃分的邏輯VLAN中轉發到Internet上。來賓帳戶管理員直接登錄AC的Web管理界面來管理。

圖1 獨立AC來賓用戶業務邏輯

2. 多AC網絡

對大型企業來說，需要多控制器來實現大范圍的WLAN基礎架構。此時，可以通過H3C iMC智能管理中心來集中管理多個控制器和整個網絡(如圖2所示)，來賓準入可以通過iMC集中部署，而來賓準入帳戶管理員也可以通過遠程訪問iMC的方式來創建和管理來賓帳戶。

圖2 多AC間來賓用戶分域開戶、統一管理

3. VIP通道方式

對安全性要求更高的企業來說，可以在防火墻的DMZ區安裝一個單獨的AC來管理來賓準入，企業內部安裝的AC和DMZ區的AC之間VIP通道，隔離來賓流量。這樣部署的好處是來賓流量對企業內部流量無任何干擾，隔離度非常高。另一方面也不需要在企業網內部部署來賓VLAN。

圖3 VIP通道實現來賓流量與企業生產流量邏輯隔離

三、 方案特點

1. 單獨的門崗角色，簡單易用

網絡管理員可以創建一個或多個來賓帳戶管理員，符合企業通常的門崗角色使用。這種管理方式的好處是，當有來賓訪問并要求接入網絡時，門崗人員可以直接根據公司統一的安全策略來管理，及時地創建帳戶供來賓使用，免除了IT人員的介入。同時單獨的來賓帳戶管理界面(如圖4所示)有效地杜絕了門崗角色對設備可能造成的其他修改。

圖4來賓管理員登錄界面

網絡管理員可以根據企業的安全策略，為不同的來賓用戶定義不同的用戶分組。在預創建這些用戶分組后，門崗角色只需要根據來賓對象選擇合適的分組即可，大大簡化了門崗創建帳戶的過程。門崗也可以一次性創建多個來賓用戶，自動生成用戶名和密碼，在大量來賓到達時使管理過程顯得十分輕松。

2. 靈活的安全措施和部署方式

來賓準入特性中包含下列安全措施，企業可以通過一項或多項的組合來實現自己的安全防范目標。

流量的邏輯隔離：通過將來賓用戶劃分為單獨的VLAN，實現來賓流量和內部用戶流量之間的邏輯隔離。

訪問控制列表(ACL)：通過訪問控制列表，允許某些來賓用戶能夠訪問特定資源，對內部限制資源的訪問可靈活調整，訪問控制列表的設置可以精確到TCP/UDP端口級別。

QoS策略：通過QoS策略將某些用戶的應用限制在允許的類型范圍內。如僅允許來賓進行Web瀏覽;提高某種應用類型的QoS優先級;僅允許來賓訪問企業內部的某種應用(如某臨時數據庫)。

來賓SSID僅綁定在指定地理范圍的AP上：避免來賓用戶出現在不適當的地點。

對特定來賓用戶限制其接入的AP：通過限制來賓用戶允許接入的AP，從而限制其能夠訪問的活動范圍。

VIP通道：采用VIP通道方式部署網絡時，能夠將來賓流量和企業內部流量完全隔離，并且無需在企業內部為來賓流量部署一個單獨的VLAN。來賓流量直接由內部AC經VIP通道到達DMZ區的AC，并最終訪問Internet。

用戶攻擊鎖定：當有來賓用戶試圖猜測密碼時，在一定次數認證失敗后該用戶終端將被鎖定，無法再接入網絡。

3. 基于用戶的訪問策略

基于用戶訪問策略設置使得企業能夠定制更適合來賓對象的訪問特色。

定制登錄頁面：針對不同類型的來賓用戶(如合作伙伴、供應商、客戶、代理商等)，為綁定在不同SSID上的來賓用戶群定制各自特點的登錄頁面。

接入帶寬限制：通過限制次要來賓用戶的流量，保證重要來賓用戶能夠獲得更多的網絡資源，預先防止了網絡的擁塞情況，使得無線網絡更好地服務企業關鍵業務。

時間調度：僅允許來賓在有效時間內訪問網絡，從而避免來賓在非有效時間內對網絡的非法訪問。

4. 支持多種認證方式

來賓準入特性支持多種認證方式，適合不同的無線終端類型。

Web認證：適合大部分Wi-Fi終端，如筆記本電腦、上網本、iPhone等。

802.1x認證：適合對數據加密要求高和強認證的終端，或者來賓需要通過企業網絡訪問自己的VPN服務器。

MAC認證：適合舊的WLAN手機終端等，這些終端不支持Web認證，也不支持802.1x認證。

5. 統一管理、集中部署

無論何種網絡部署方式，來賓安全準入方案都使得企業網絡管理者能夠集中管理、集中實施統一的來賓用戶策略。這對企業臨時增加或修改來賓用戶策略來說是非常方便的，大大提高了來賓交流的便捷性和高效性，對提高企業效率有明顯的幫助作用。

四、 結束語

能夠為來賓提供一個安全易用的移動接入網絡，是BYOD時代企業必須要具備的網絡基礎能力之一。針對來賓用戶在終端類型、訪問模式、安全等級各方面的不同要求，越來越多的企業網絡管理者正在嘗試把現有內部網絡進行調整優化。本文提供的幾種模式選擇，為來賓安全準入和企業業務規范有效融合提供了技術保障。