無線認證介紹

無線認證介紹為移動時代提供更好的智能無線技術Ruckus認證介紹2RoleBaseAccessControl基于角色的訪問控制3終端的接入控制通過終端的IP

VLAN，在交換機/防火墻上ACL實現訪問控制的差異帶寬控制基于時間的WLAN無線服務控制可采用帳號密碼/證書可以結合企業(yè)的AD域，需部署Radius（如IAS/NPS）；通過Radius服務器（如Windows2003IAS/2008NPS/CiscoNAC）可實現RBAC（RoleBaseAccessControl基于角色的訪問控制）結合第三方BYOD系統(tǒng)，可實現Onboard等更多功能802.1x認證4無線終端AC和APRadius認證服務器IAS/NPSAD服務器使用控制器內部的MAC地址庫L2/MAC訪問控制器策略，獨立于PSK、Portal、802.1x等認證，只有通過MAC地址過濾后的終端，才能進行PSK、Portal、802.1x等認證?？刂撇呗钥梢允呛诿麊位蛘甙酌麊尾蛔悖好總€策略可以配置128個MAC地址MAC認證–L2ACL5必須采用外部數據庫，如AD域結合第三方的Radius服務器通過Radius服務器（如Windows2003IAS/2008NPS/CiscoNAC）可實現RBAC（RoleBaseAccessControl基于角色的訪問控制）MAC認證6無線終端AC和APRadius認證服務器IAS/NPSAD服務器MAC認證or802.1x認證終端先進行MAC認證，MAC認證通過，即可以接入無線網絡；MAC認證失敗，再進行802.1x認證通過Radius服務器（如Windows2003IAS/2008NPS/CiscoNAC）可實現RBAC（RoleBaseAccessControl基于角色的訪問控制）其他友商：采用雙因素認證，MAC認證通過后，才能進行802.1x認證Radius通過結合第三方認證系統(tǒng)同樣可以實現雙因素認證（SmartAC認證系統(tǒng)）MAC+802.1x認證7無線終端AC和APRadius認證服務器IAS/NPSAD服務器Web-Auth，采用內置Portal頁面，采用用戶名/密碼的認證方式GuestPass，采用內置Portal頁面，使用上網密碼方式，訪客可以進行自助注冊Hotspot，WISPr標準，結合第三方外置Portal頁面和認證服務器，可以實現短信認證、關注微信公眾號認證等（漢訊、城市熱點等）Portal認證8通過Hotspot的“避開MAC身份驗證”功能，并結合第三方認證系統(tǒng)可以實現。SSID采用先MAC認證、后Portal認證。MAC認證通過，直接接入無線網絡；MAC認證失敗，則進行Portal認證。Ruckus可以實現：將特定終端的MAC地址錄入Radius數據庫，讓這部分終端無需進行Portal認證；結合第三方認證系統(tǒng)，可以實現：終端第一次接入無線網絡，MAC認證失敗，采用Portal認證，Portal認證通過后，系統(tǒng)自動記錄終端的MAC地址；第二次接入無線網絡時，直接通過MAC認證接入無線網絡；第三方認證系統(tǒng)可以實現每個帳號對應MAC地址數量限制、有效期等。無感知Portal認證9Ruckus簡易BYOD介紹10DynamicPSK?動態(tài)PSK認證優(yōu)點PSK802.1XDynamicPSK簡單，易用每個人都懂的認證方式在用戶端設備上操作簡便所有客戶端支持無需Rdiusserver或證書機構每客戶端唯一憑證強加密認證添加，刪除或預配置單獨的憑證每個憑證只對于一個用戶或客戶端合法用戶無法解密其他用戶的數據傳統(tǒng)

PSK所有客戶端使用相同密鑰每客戶端獨一無二的密鑰(Ruckus)*Per-UserPSK“authentication”implicitlyvalidatesthecredential–notquiteasstrongas802.1X/EAPRuckus

DynamicPSKKey=1234567Thisis“1234567”Key=1234567Thisis“1234567”Key=1234567Thisis“1234567”Key=y4&KDV12ThisisBillKey=v#T79!2jThisisBobKey=N8(%e2jaThisisBruce????????????????????連接SSID=Onboard域帳號員工身份合法性驗證IAS/AD域控制器無線控制器認證失敗，禁止接入無線網絡認證成功進行Onboard員工??Onboard完成連接到員工SSID=DPSK員工SSID1.采用DPSK動態(tài)密鑰認證2.使用WPA2-AES高安全加密方式。員工Onboarding流程AD：帳號在AD域中存在，都可以進行Onboard；IAS：可以根據遠程訪問策略，讓特定的員工才能Onboard。連接SSID=Onboard域帳號員工身份合法性驗證IAS/AD域控制器無線控制器控制器為終端派生bbb角色控制器為終端派生aaa角色員工aaa角色對應vlan110，終端獲取VLAN110IP地址172.16.1.x/24→域帳號testaaa，屬于aaa用戶組←IAS返回Radius組屬性“aaa”→

域帳號testbbb，屬于bbb用戶組←IAS返回Radius組屬性“bbb”Radius組屬性aaaRadius組屬性bbbbbb角色對應vlan120，終端獲取VLAN120IP地址172.16.2.x/24員工Onboarding—基于角色的訪問控制訪客管理系統(tǒng)流程圖是否有來賓訪問密碼輸入密碼訪問Internet?獲取訪問密碼?訪客管理員手工生成交付訪客訪客輸入來賓訪問密碼、訪問Internet訪客自助注冊生成訪客提交注冊信息系統(tǒng)發(fā)送郵件至受訪者（審核人員）申請失敗拒絕否是申請成功??批準交付訪客訪客返回登錄頁面訪客輸入來賓訪問密碼訪問Internet基于聯系人/受訪人確認機制的自助注冊訪客管理系統(tǒng)AD/LADPRuckusAPRuckus控制器聯系人訪客1.訪客通過登錄平臺中的“注冊新的來賓訪客用戶”鏈接，登錄自助注冊頁面，并填寫相關信息2.控制器把審核郵件發(fā)送給聯系人3.審核通過后，訪客帳號生效，并把帳號信息在終端認證頁面，短信和郵箱等方式交付。第三方認證/準入系統(tǒng)介紹16典型廠商：ACK艾科網信LANDesk藍代斯克準入控制系統(tǒng)同時也是DHCP服務器用DHCP協(xié)議，建立IP層網絡隔離區(qū)（隔離IP），WebPortal認證通過后，分配正常的IP，實現接入控制，認證可與AD域/LDAP等結合認證過程不需要交換機、無線控制器參與實現IP的中心下發(fā)，統(tǒng)一管理，按人分配IP地址可實現訪客授權接入功能采用DHCP準入控制技術17結合Ruckus可以實現短信認證Step1關聯熱點SSIDStep2輸入手