更新时间:2022-01-24
客户网络环境与需求
用户网络是跨三层的网络环境,购买 AC 设备实现对内网的所有电脑及无线 AP 进行集中管控和认证,通常客户网络中部署的 AP 个数会非常多,下面部署案例中,都只以 2-3 个AP 作为范例表示。图中,AC 设备以网桥模式部署在核心交换机和防火墙之间,核心交换机是内网 PC 的网关,如下图所示:
客户需求:
1、公司一楼属于客户参观区,为方便访客上网,在一楼全部部署无线网络;对外来人员的接入使用开放式无线网络;但通过公司网络上网需要进行二维码认证;接入网络的无线终端不允许访问内网 172.16.0.0/255.255.0.0 网段。
2、公司二楼属于办公区,内部员工有通过无线 AP 接入网络的需求;二楼无线采用企业级无线认证网络,使用 AC 本地用户名进行认证;这部分无线用户上网只允许访问网页,不能访问其他应用。
3、内网通过核心交换机的 DHCP 自动获取 IP。
基本配置思路
1、AC 设备网桥模式部署在核心交换机和出口防火墙之间,环境允许的情况下,将AC的网桥地址配置可用的 IP,用于和内网 AP 通信。
2、AC 和内网是跨三层环境,所以需要在 AC 上添加到内网网段的回包路由。参考章节:3.2.3.3
3、因为无线 AP 需要自动获取 IP,所以内网需要有 DHCP 服务器。在客户网络中核心交换机开启了 DHCP 功能。
4、确认开启了无线管理的序列号,配置页面:『系统配置』→『序列号』。
配置开放式无线网络
需求:公司一楼属于客户参观区,为方便访客上网,在一楼全部部署无线网络;对外来人员的接入使用开放式无线网络;但通过公司网络上网需要进行二维码认证;接入网络的无线终端不允许访问内网 172.16.0.0/255.255.0.0 网段。
因此需要对一楼的接入点新增开放式无线网络:
第一步:在『无线配置』→『接入点管理』页面,将一楼和二楼的无线 AP 分组。
第二步:在『无线配置』→『无线网络』页面,点击新增开放式网络,配置界面如下:
[接入点]:选择一楼的无线接入点分组
[认证方式]:选择二维码审核
[审核人]:选择可以对访客上网进行审核的本地组
[以此组上线]:选择认证后上网匹配本地哪个组的上网权限
认证过程:1、连接到开放式的访客无线网络:Guest。
2、打开浏览器,访问任意网站,系统将把用户的浏览器重定向到认证页面。
3、认证页面中,显示一个二维码。
4、接待人员,打开手机中的二维码应用,扫描访客的二维码,访客即通过审核。需要说明的是,目前很多流行的互联网应用都提供了二维码扫描功能,例如腾讯微信(用此软件的时候需要审核人角色必须能正常访问互联网,因为此软件二维码扫描的时候要访问互联网才能正常使用)。
第三步:设置访问控制策略:接入网络的无线终端不允许访问内网 172.16.0.0/255.255.0.0网段。
IP 组在『对象定义』→『IP 组』中设置。
配置企业级认证无线网络
需求:公司二楼属于办公区,内部员工有通过无线 AP 接入网络的需求;二楼无线采用企业级无线认证网络,使用 AC 本地用户名进行认证;这部分无线用户上网只允许访问网页,不能访问其他应用。
因此需要对二楼的接入点新增企业级认证无线网络:
第一步:在『无线配置』→『接入点管理』页面,将一楼和二楼的无线 AP 分组。
第二步:在『无线配置』→『无线网络』页面,点击新增 WPA/WPA2 企业无线网络,配置界面如下:
[接入点]:选择二楼的无线接入点分组
[认证方式]:选择本地用户
[允许登录]:选择可以登陆的用户组织结构范围。
认证过程:1、连接到无线网络:Sangfor;
2、连接网络时,弹出认证页面,输入用户名密码,点击加入:
3、验证证书,点击接受:
4、认证通过后,即可通过无线网络上网。
第三步:配置上网策略:这部分无线用户上网只允许访问网页,不能访问其他应用。
在『用户与策略管理』→『上网策略』页面,点击新增上网权限策略,页面如下:设置策略只放通访问网站,其他缺省拒绝;适用对象:选择无线网络:Sangfor。。