Sundray_WLAN_v20_2014年度渠道初級(jí)認(rèn)證培訓(xùn)04_無(wú)線認(rèn)證授權(quán)

1、無(wú)線認(rèn)證授權(quán)2Contents無(wú)線認(rèn)證及安全概述1訪客認(rèn)證Web認(rèn)證2WPA（企業(yè)）認(rèn)證43目錄角色授權(quán)53Contents無(wú)線認(rèn)證及安全概述1訪客認(rèn)證Web認(rèn)證2WPA（企業(yè)）認(rèn)證43目錄角色授權(quán)5無(wú)線認(rèn)證及安全概述公共傳輸介質(zhì)容易被截取非法用戶蹭網(wǎng)對(duì)內(nèi)網(wǎng)造成安全隱患?jí)?nèi)墻外如何保護(hù)網(wǎng)絡(luò)通信的安全？無(wú)線網(wǎng)絡(luò)中，保護(hù)通信的安全措施由以下幾方面構(gòu)成：認(rèn)證：接入無(wú)線網(wǎng)絡(luò)前，必須通過(guò)身份驗(yàn)證。加密：發(fā)送數(shù)據(jù)包前，必須對(duì)數(shù)據(jù)加密，以保證機(jī)密性。數(shù)據(jù)完整性：發(fā)送數(shù)據(jù)包前，必須在數(shù)據(jù)包中，包含必要的完整性校驗(yàn)信息，防止數(shù)據(jù)包在傳輸過(guò)程中被攻擊者篡改。5無(wú)線認(rèn)證及安全概述傳統(tǒng)廠商無(wú)線安全模型數(shù)據(jù)完整性認(rèn)證加

2、密授權(quán)我司支持認(rèn)證方式認(rèn)證方式開(kāi)放式WPA(企業(yè)）Web認(rèn)證WPA(個(gè)人）802.1X認(rèn)證支持本地賬號(hào)支持Radius賬號(hào)認(rèn)證本地賬號(hào)RadiusLDAP訪客認(rèn)證免用戶認(rèn)證臨時(shí)賬號(hào)二維碼短信認(rèn)證微信認(rèn)證7安全級(jí)別分類認(rèn)證方式安全等級(jí)加密認(rèn)證使用場(chǎng)景開(kāi)放式低無(wú)無(wú)訪客Web認(rèn)證低無(wú)有訪客/內(nèi)部員工WPA（個(gè)人）中有有訪客/內(nèi)部員工WPA（企業(yè)）高有有內(nèi)部員工使用者分類內(nèi)部員工訪客流動(dòng)性大可自助上網(wǎng)使用方便認(rèn)證方式靈活人員固定安全可用性要求高WPA（個(gè)人）Web賬號(hào)認(rèn)證WPA（企業(yè)）開(kāi)放式WPA（個(gè)人）Web訪客認(rèn)證推薦認(rèn)證方式推薦認(rèn)證方式開(kāi)放式認(rèn)證無(wú)需輸入任何用戶名和密碼，接入即可上網(wǎng)。網(wǎng)絡(luò)傳輸?shù)?/p>

3、流量未加密，屬于二層認(rèn)證。對(duì)于上網(wǎng)用戶特別多，且不需要彈出廣告的場(chǎng)景，使用這種方式比較好。WPA（個(gè)人）即是PSK預(yù)共享密鑰認(rèn)證，連接SSID后彈出安全密鑰框，輸入正確密鑰才能上網(wǎng)。屬于二層認(rèn)證。WPA2 與 WPA 的主要差別在于 WPA2 的加密算法使用 AES，而 WPA 使用 RC4。因此 WPA2 具備更高的安全性，建議使用。雖然采用了安全的加密算法，但接入密碼是管理員統(tǒng)一設(shè)定的，因此難于管理并容易泄漏，不適合在大規(guī)模的企業(yè)無(wú)線網(wǎng)絡(luò)中部署。WPA（個(gè)人）認(rèn)證連接SSID后，打開(kāi)網(wǎng)頁(yè)會(huì)彈出Web認(rèn)證頁(yè)面，輸入用戶名密碼，通過(guò)認(rèn)證后才可以上網(wǎng)。主要用來(lái)做廣告營(yíng)銷，web 認(rèn)證通常與開(kāi)放式

4、無(wú)線網(wǎng)絡(luò)一起使用，也就是用戶連接無(wú)線網(wǎng)絡(luò)時(shí)，不需要任何認(rèn)證。由于無(wú)線網(wǎng)絡(luò)的流量未加密，因此 web 認(rèn)證的無(wú)線網(wǎng)絡(luò)，通常只用于非關(guān)鍵性的網(wǎng)絡(luò)中，例如僅用于訪客訪問(wèn)互聯(lián)網(wǎng)，無(wú)法訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)。當(dāng)然，為了保護(hù) web 認(rèn)證過(guò)程中用戶的密碼，系統(tǒng)以 RSA 非對(duì)稱加密的方式發(fā)送此密碼。Web認(rèn)證無(wú)線終端在接入無(wú)線網(wǎng)絡(luò)前，需要提供相應(yīng)的身份證明。由于采用了用戶身份認(rèn)證，每個(gè)用戶的憑據(jù)信息都由其自身進(jìn)行管理，有效減少了憑據(jù)泄漏的可能性。用戶每次接入無(wú)線網(wǎng)絡(luò)后的數(shù)據(jù)加密密鑰都是在認(rèn)證過(guò)程中動(dòng)態(tài)生成的，攻擊者很難獲取加密密鑰，因此極大的提高了網(wǎng)絡(luò)的安全性，成為高安全無(wú)線網(wǎng)絡(luò)的首選接入方式。WPA（企業(yè)）認(rèn)

5、證Contents無(wú)線認(rèn)證及安全概述1訪客認(rèn)證Web認(rèn)證2WPA（企業(yè)）認(rèn)證43目錄角色授權(quán)5集中控制器NACinternetPOE交換機(jī)NAPNAPNAP1.用戶接入SSID，NAP把接入信息轉(zhuǎn)發(fā)給NAC2.NAC給用戶登錄web頁(yè)面重定向到portal認(rèn)證頁(yè)面3.用戶輸入用戶名密碼，并把信息轉(zhuǎn)發(fā)到NAC4.NAC驗(yàn)證用戶信息，認(rèn)證通過(guò)，允許用戶上網(wǎng)營(yíng)銷辦公室后勤1234Web認(rèn)證Web認(rèn)證配置無(wú)線配置 | 無(wú)線網(wǎng)絡(luò) 新增無(wú)線網(wǎng)絡(luò)，認(rèn)證類型選擇開(kāi)放式+Web認(rèn)證，認(rèn)證方式使用賬號(hào)認(rèn)證，選擇默認(rèn)廣告模板，認(rèn)證前角色調(diào)用只允許DNS的角色，賬號(hào)認(rèn)證選擇本地用戶。認(rèn)證前只允許DNS，這樣才會(huì)跳轉(zhuǎn)到

6、認(rèn)證頁(yè)面。16本地用戶配置在未部署集中的帳戶數(shù)據(jù)庫(kù)或認(rèn)證服務(wù)器的環(huán)境中，無(wú)線網(wǎng)絡(luò)的身份驗(yàn)證方法可以設(shè)置為本地用戶認(rèn)證。認(rèn)證授權(quán) | 本地用戶 新增本地用戶，按客戶要求即可?？梢耘繉?dǎo)入用戶。17外部服務(wù)器配置如果在無(wú)線配置 | 無(wú)線網(wǎng)絡(luò) 賬號(hào)認(rèn)證選擇外部服務(wù)器，我們支持Radius和LDAP兩種。認(rèn)證授權(quán) | 外部服務(wù)器 新增服務(wù)器，根據(jù)客戶提供的參數(shù)填好即可。使用Radius方式認(rèn)證， Radius服務(wù)器必須先添加這臺(tái)設(shè)備作為NAS。18Contents無(wú)線認(rèn)證及安全概述1訪客認(rèn)證Web認(rèn)證2WPA（企業(yè)）認(rèn)證43目錄角色授權(quán)5在部署用于訪客使用的無(wú)線網(wǎng)絡(luò)時(shí)，為了簡(jiǎn)化用戶體驗(yàn)，通常設(shè)置為開(kāi)放

7、式的無(wú)線網(wǎng)絡(luò)。但單純的開(kāi)放式的無(wú)線網(wǎng)絡(luò)，存在無(wú)法驗(yàn)證訪客身份的問(wèn)題，因此通常需要設(shè)置認(rèn)證方式。此方式主要部署在公眾訪問(wèn)的無(wú)線網(wǎng)絡(luò)中，例如部署在機(jī)場(chǎng)，交通樞紐，醫(yī)院，酒店，商場(chǎng)，學(xué)校等地方。訪客認(rèn)證20免用戶認(rèn)證是指訪問(wèn)無(wú)線網(wǎng)絡(luò)時(shí)，訪客無(wú)需認(rèn)證，在廣告頁(yè)面點(diǎn)擊登錄按鈕即可上網(wǎng)。訪客連接無(wú)線網(wǎng)絡(luò)的過(guò)程如下：1.連接到訪客無(wú)線網(wǎng)絡(luò)，例如無(wú)線網(wǎng)絡(luò)名稱為：Example-Guest。2.打開(kāi)瀏覽器，訪問(wèn)任意網(wǎng)站，系統(tǒng)將把用戶的瀏覽器重定向到認(rèn)證頁(yè)面。3.認(rèn)證頁(yè)面中，用戶點(diǎn)擊登錄，直接上網(wǎng)。免用戶認(rèn)證方式的特點(diǎn)：認(rèn)證頁(yè)面中，可以設(shè)置企業(yè)的廣告等展示信息，提高企業(yè)形象。對(duì)于上網(wǎng)用戶特別多，簡(jiǎn)化了訪客連接無(wú)線

8、網(wǎng)絡(luò)的體驗(yàn)。配置簡(jiǎn)單 無(wú)線配置 | 無(wú)線網(wǎng)絡(luò) 訪客認(rèn)證選擇免用戶認(rèn)證。免用戶認(rèn)證21臨時(shí)訪客認(rèn)證此方式通常用于企業(yè)、酒店的訪客無(wú)線網(wǎng)絡(luò)認(rèn)證，可以在訪客登記后，接待人員創(chuàng)建一個(gè)臨時(shí)帳號(hào)，并設(shè)置帳號(hào)的有效期。訪客使用此帳號(hào)完成無(wú)線網(wǎng)絡(luò)認(rèn)證。以酒店的部署場(chǎng)景為例，顧客連接無(wú)線網(wǎng)絡(luò)的過(guò)程如下：1.顧客在酒店前臺(tái)登記入住。2.酒店的前臺(tái)工作人員，在訪客管理系統(tǒng)中，為此顧客添加一個(gè)臨時(shí)帳號(hào)，以手機(jī)號(hào)或者身份證號(hào)碼作為帳號(hào)的用戶名，密碼為手機(jī)號(hào)碼或身份證號(hào)碼的后6位。帳號(hào)的有效時(shí)間設(shè)置為顧客的離店時(shí)間。3.顧客連接到酒店部署的，開(kāi)放式的無(wú)線網(wǎng)絡(luò)，例如無(wú)線網(wǎng)絡(luò)名稱為：Example-Guest。4.打開(kāi)瀏覽器

9、，訪問(wèn)任意網(wǎng)站，系統(tǒng)將把瀏覽器重定向到認(rèn)證頁(yè)面。5.在認(rèn)證頁(yè)面中，輸入此臨時(shí)帳號(hào)及密碼，完成無(wú)線網(wǎng)絡(luò)認(rèn)證。6.顧客離開(kāi)酒店后，帳號(hào)自動(dòng)失效。臨時(shí)訪客認(rèn)證臨時(shí)訪客認(rèn)證方式的特點(diǎn)：l臨時(shí)帳號(hào)管理員可交由前臺(tái)，減輕IT管理者的工作量。l訪客帳號(hào)通常并非由網(wǎng)絡(luò)管理員管理，而是由負(fù)責(zé)訪客接待的人員管理。因此，系統(tǒng)提供了臨時(shí)帳號(hào)管理員，以區(qū)別于無(wú)線控制器的管理員。臨時(shí)帳號(hào)管理員只允管理訪客帳號(hào)，無(wú)法修改無(wú)線控制器的其它設(shè)置。臨時(shí)帳號(hào)管理員的登錄地址與無(wú)線控制器管理員不同，登錄地址為：https:/設(shè)備地址/guest.php，例如：/guest.phpl訪客有時(shí)效性，防

10、蹭網(wǎng)。l臨時(shí)帳號(hào)可生成二維碼，訪客掃二維碼即可上網(wǎng)。臨時(shí)訪客認(rèn)證配置無(wú)線配置 | 無(wú)線網(wǎng)絡(luò) 訪客認(rèn)證選擇臨時(shí)訪客認(rèn)證。認(rèn)證授權(quán) | 訪客賬號(hào) 臨時(shí)賬號(hào)的訪客中新增用戶，配置有效期，也可以生成二維碼，讓客戶掃該二維碼相當(dāng)于使用該賬號(hào)登錄，認(rèn)證更方便。二維碼審核此方式通常用于企業(yè)的訪客無(wú)線網(wǎng)絡(luò)認(rèn)證，可以確保只有經(jīng)過(guò)二維碼審核的訪客用戶才具備無(wú)線網(wǎng)絡(luò)訪問(wèn)權(quán)限。認(rèn)證選項(xiàng)中，可以設(shè)置審核通過(guò)后，訪客可以訪問(wèn)無(wú)線網(wǎng)絡(luò)的時(shí)長(zhǎng)。訪客連接無(wú)線網(wǎng)絡(luò)的過(guò)程如下：1.連接到開(kāi)放式的訪客無(wú)線網(wǎng)絡(luò)，例如無(wú)線網(wǎng)絡(luò)名稱為：Example-Guest。2.打開(kāi)瀏覽器，訪問(wèn)任意網(wǎng)站，系統(tǒng)將把用戶的瀏覽器重定向到認(rèn)證頁(yè)面。3.認(rèn)證

11、頁(yè)面中，顯示一個(gè)二維碼。4.訪客的接待人員，也就是企業(yè)的內(nèi)部員工，使用手機(jī)連接到企業(yè)無(wú)線網(wǎng)絡(luò)中，并具備審批權(quán)限。審批權(quán)限由無(wú)線網(wǎng)絡(luò)配置中指定，可以設(shè)置哪些角色的用戶具備訪客審批權(quán)限。5.接待人員，打開(kāi)手機(jī)中的二維碼應(yīng)用，掃描訪客的二維碼，訪客即通過(guò)審核。 (用此軟件的時(shí)候需要審核人角色必須能正常訪問(wèn)互聯(lián)網(wǎng)，因?yàn)榇塑浖S碼掃描的時(shí)候要訪問(wèn)互聯(lián)網(wǎng)才能正常使用) 。25二維碼審核二維碼審核認(rèn)證方式的特點(diǎn)：有授權(quán)者信息，可方便追溯授權(quán)者，對(duì)于政府機(jī)關(guān)接待人員這種方式比較好。授權(quán)者與訪客近距離接觸，有互動(dòng)過(guò)程，對(duì)于4S店等一對(duì)一的銷售比較好。適用訪客較少的的場(chǎng)景。二維碼審核配置先為內(nèi)部員工配置一個(gè)無(wú)線

12、網(wǎng)絡(luò)office 無(wú)線配置 | 無(wú)線網(wǎng)絡(luò) 調(diào)用角色公司人員策略。無(wú)線配置 | 無(wú)線網(wǎng)絡(luò) 訪客認(rèn)證選擇二維碼審核，允許具有公司人員策略的角色的SSID用戶給二維碼認(rèn)證審核。那么這里office的用戶都可以給該 二維碼認(rèn)證用戶審核。訪客無(wú)法給二維碼審核可以配置，但審核時(shí)會(huì)報(bào)錯(cuò)短信認(rèn)證短信認(rèn)證是指訪問(wèn)無(wú)線網(wǎng)絡(luò)時(shí)，系統(tǒng)需要發(fā)送短信驗(yàn)證碼到用戶的手機(jī)上，用戶輸入驗(yàn)證碼后，才能訪問(wèn)無(wú)線網(wǎng)絡(luò)，此方式獲取了訪客用戶的手機(jī)號(hào)碼作為身份信息。訪客連接無(wú)線網(wǎng)絡(luò)的過(guò)程如下：1.連接到開(kāi)放式的訪客無(wú)線網(wǎng)絡(luò)，例如無(wú)線網(wǎng)絡(luò)名稱為：Example-Guest。2.打開(kāi)瀏覽器，訪問(wèn)任意網(wǎng)站，系統(tǒng)將把用戶的瀏覽器重定向到認(rèn)證頁(yè)面

13、。3.認(rèn)證頁(yè)面中，輸入用戶的手機(jī)號(hào)碼，系統(tǒng)將把驗(yàn)證碼發(fā)送到此手機(jī)。4.認(rèn)證頁(yè)面中，輸入短信中獲取的驗(yàn)證碼，通過(guò)認(rèn)證。短信認(rèn)證準(zhǔn)備工作短信認(rèn)證方式的特點(diǎn)：認(rèn)證頁(yè)面中，可以設(shè)置企業(yè)的廣告等展示信息，提高企業(yè)形象?？梢垣@取訪客的手機(jī)號(hào)碼用于后續(xù)的短信營(yíng)銷。簡(jiǎn)化了訪客連接無(wú)線網(wǎng)絡(luò)的體驗(yàn)。短信認(rèn)證需要客戶提前準(zhǔn)備以下工作：如果通過(guò)連接到無(wú)線控制器串口的短信貓發(fā)送則需要購(gòu)買短信貓如果通過(guò)短信網(wǎng)關(guān)發(fā)送則需要客戶提前向運(yùn)營(yíng)商申請(qǐng)短信平臺(tái)如果通過(guò)短信網(wǎng)關(guān)需要運(yùn)營(yíng)商提供短信平臺(tái)接口文檔，見(jiàn)右圖。29短信認(rèn)證配置無(wú)線配置 | 無(wú)線網(wǎng)絡(luò) 訪客認(rèn)證選擇短信驗(yàn)證。這里也可以配置短信內(nèi)容。認(rèn)證授權(quán) | 訪客賬號(hào) 短信驗(yàn)證的

14、訪客中點(diǎn)擊配置，以開(kāi)啟短信認(rèn)證服務(wù)?？梢杂枚绦咆垼部梢杂枚绦啪W(wǎng)關(guān)短信平臺(tái)，如果使用短信平臺(tái)，這里主要是URL地址和短信模板的獲取。一般通過(guò) 客戶給的接口文檔可以獲取。下文有獲取方式。關(guān)于短信模板如果客戶使用的是http get或者h(yuǎn)ttp post的短信認(rèn)證，那就很簡(jiǎn)單了，只需要先在內(nèi)網(wǎng)用瀏覽器確認(rèn)好URL，用瀏覽器去請(qǐng)求此url看是否短信能正常發(fā)送，再將此URL分解填寫(xiě)到我們的設(shè)備短信配置頁(yè)面即可。比如客戶的能成功發(fā)送短信的短信網(wǎng)關(guān)的HTTP接口是http:/ XMLSpy2013軟件可生成短信模板。打開(kāi)軟件選擇SOAP，創(chuàng)建SOAP請(qǐng)求，把URL地址輸進(jìn)去 ，因?yàn)閁RL會(huì)有很多模板，我們

15、要選擇短信發(fā)送模板，一般是SendSMS，點(diǎn)擊 OK即可生成短信模板。最后，模板中的String要根據(jù)提供的接口文檔替換上去，比如用戶名、密碼、手機(jī)號(hào)碼、短信內(nèi)容等。微信認(rèn)證此方式通常用于商場(chǎng)、超市的無(wú)線網(wǎng)絡(luò)認(rèn)證，可以確保只有關(guān)注過(guò)指定微信公眾賬號(hào)的訪客用戶才具備無(wú)線網(wǎng)絡(luò)訪問(wèn)權(quán)限。認(rèn)證選項(xiàng)中，可以設(shè)置關(guān)注微信后，每次申請(qǐng)上網(wǎng)的有效期。訪客連接無(wú)線網(wǎng)絡(luò)的過(guò)程如下：1.連接到開(kāi)放式的訪客無(wú)線網(wǎng)絡(luò)，例如無(wú)線網(wǎng)絡(luò)名稱為：Example-WeChat。2.打開(kāi)瀏覽器，訪問(wèn)任意網(wǎng)站，系統(tǒng)將把用戶的瀏覽器重定向到指定的認(rèn)證頁(yè)面。認(rèn)證頁(yè)面可以配置需要關(guān)注的微信公眾賬號(hào)名稱。3.認(rèn)證頁(yè)面中，提示用戶關(guān)注微信公眾

16、賬號(hào)。頁(yè)面還有微信APP的下載鏈接。4.關(guān)注微信后，即可上網(wǎng)。注：配置無(wú)線網(wǎng)絡(luò)Example-WeChat時(shí)，訪客認(rèn)證的認(rèn)證方式選擇微信認(rèn)證時(shí)，所屬無(wú)線網(wǎng)絡(luò)的無(wú)線網(wǎng)絡(luò)會(huì)默認(rèn)放通微信流量33認(rèn)證頁(yè)面：web 認(rèn)證的是指用戶接入無(wú)線網(wǎng)絡(luò)后，訪問(wèn)任意網(wǎng)站，瀏覽器將會(huì)被重定向到認(rèn)證頁(yè)面，要求驗(yàn)證帳戶密碼后，才能繼續(xù)訪問(wèn)網(wǎng)絡(luò)。系統(tǒng)內(nèi)置了 web 認(rèn)證頁(yè)面的模板，系統(tǒng)允許您在默認(rèn)模版的基礎(chǔ)上，自定義認(rèn)證頁(yè)面的標(biāo)題，背景，LOGO 等。如果您熟悉 web 開(kāi)發(fā)，可以上傳自定義的頁(yè)面。修改完成后可查看。關(guān)于認(rèn)證頁(yè)面修改Contents無(wú)線認(rèn)證及安全概述1訪客認(rèn)證Web認(rèn)證2WPA（企業(yè)）認(rèn)證43目錄角色授權(quán)5

17、在 WPA/WPA2 無(wú)線網(wǎng)絡(luò)中，系統(tǒng)支持的認(rèn)證方法如下：基于密碼認(rèn)證：PEAP-MSCHAPv2RADIUS 中繼RADIUS 中繼是指無(wú)線接入點(diǎn)把無(wú)線客戶端認(rèn)證過(guò)程的 EAP 報(bào)文直接轉(zhuǎn)發(fā)到 RADIUS 服務(wù)器中，由 RADIUS 服務(wù)器來(lái)完成整個(gè)認(rèn)證過(guò)程。因此認(rèn)證方法由 RADIUS 服務(wù)器中配置，與無(wú)線控制器無(wú)關(guān)。基于證書(shū)認(rèn)證：EAP-TLSEAP-TLS 協(xié)議是在 EAP 協(xié)議框架上，使用 TLS 協(xié)議來(lái)完成身份認(rèn)證及密鑰交換功能。TLS 協(xié)議也是 HTTPS 協(xié)議的核心。因此 EAP-TLS 可以視為與 HTTPS 協(xié)議具備同等的安全性。EAP-TLS 協(xié)議使用雙向證書(shū)認(rèn)證，要求

18、服務(wù)器及客戶端都使用證書(shū)，向?qū)Ψ阶C明身份，并使用非對(duì)稱加密方式，在無(wú)線客戶端及認(rèn)證服務(wù)器間安全地協(xié)商數(shù)據(jù)加密密鑰，保證無(wú)線數(shù)據(jù)傳輸?shù)臋C(jī)密性及完整性。由于使用了基于證書(shū)的身份驗(yàn)證方法，避免了基于密碼認(rèn)證方法所存在的由于密碼泄漏，密碼強(qiáng)度低等原因?qū)е碌拿艽a被猜測(cè)或暴力破解的風(fēng)險(xiǎn)。因此 EAP-TLS 提供了目前無(wú)線認(rèn)證中，最安全的認(rèn)證方法。缺點(diǎn)是所有客戶端都需要安裝個(gè)人證書(shū)，部署比較復(fù)雜。WPA（企業(yè)）認(rèn)證WPA（企業(yè)）認(rèn)證配置認(rèn)證授權(quán) | 證書(shū)管理 新增服務(wù)證書(shū)（設(shè)備如果是第一次配置需要初始化），由內(nèi)置CA頒發(fā)證書(shū)。按客戶要求填寫(xiě)相應(yīng)的字段即可。頒發(fā)給 這個(gè)字段是必填的，也就是證書(shū)名。WPA（企

19、業(yè)）認(rèn)證配置無(wú)線配置 | 無(wú)線網(wǎng)絡(luò) 新增無(wú)線網(wǎng)絡(luò)，本案例使用 SSID 名為sxf，認(rèn)證類型選擇WPA（企業(yè)），設(shè)置vlan為1，最后新增一個(gè)默認(rèn)允許所有的角色，選擇該角色即可。如果采用本地用戶，則調(diào)用 提前配置好服務(wù)器證書(shū)wac。部署802.1x認(rèn)證的企業(yè)無(wú)線網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)管理員的挑戰(zhàn)在于，如何在不同平臺(tái)，不同類型的計(jì)算機(jī)或移動(dòng)終端，都能快速的接入企業(yè)無(wú)線網(wǎng)絡(luò)，同時(shí)不降低安全性。此方案提供一個(gè)簡(jiǎn)單的方法來(lái)快速布置您的終端，并連接到802.1x認(rèn)證的企業(yè)無(wú)線網(wǎng)絡(luò)中。一鍵自動(dòng)配置工具一鍵自動(dòng)配置工具使用方法:1、創(chuàng)建一個(gè)開(kāi)放式的無(wú)線網(wǎng)絡(luò)。2、一個(gè)終端設(shè)備，首次連接企業(yè)無(wú)線網(wǎng)絡(luò)前，先連接到此開(kāi)放式的

20、無(wú)線網(wǎng)絡(luò)，然后打開(kāi)瀏覽器并訪問(wèn)任意網(wǎng)站，自動(dòng)跳轉(zhuǎn)到自動(dòng)配置頁(yè)面。3、自動(dòng)配置頁(yè)面的內(nèi)容依據(jù)終端類型而定，通常只需要用戶下載并運(yùn)行一個(gè)程序，需要極少量的用戶交互，即可完成企業(yè)無(wú)線網(wǎng)絡(luò)配置。Contents無(wú)線認(rèn)證及安全概述1訪客認(rèn)證Web認(rèn)證2WPA（企業(yè)）認(rèn)證43目錄角色授權(quán)5角色是權(quán)限的集合和載體，每一個(gè)接入無(wú)線網(wǎng)絡(luò)的用戶，無(wú)線控制器都將依據(jù)無(wú)線網(wǎng)絡(luò)屬性中所設(shè)定的權(quán)限分配規(guī)則，從上往下匹配，為每個(gè)用戶分配角色。角色中，可以包含了一個(gè)或多個(gè)訪問(wèn)控制策略，流速限制策略以及流量配額及上網(wǎng)時(shí)長(zhǎng)控制策略。角色授權(quán)訪問(wèn)控制策略配額策略流速限制策略包含一條或多條基于服務(wù)或應(yīng)用的網(wǎng)絡(luò)訪問(wèn)權(quán)限規(guī)則，網(wǎng)絡(luò)訪問(wèn)控制規(guī)則中可以設(shè)定用戶的網(wǎng)絡(luò)訪問(wèn)權(quán)限。未匹配任何網(wǎng)絡(luò)訪問(wèn)控制規(guī)則的流量，動(dòng)作為放行。流速限制策略可以對(duì)每一個(gè)終端進(jìn)行流速限制，以避免部分終端的流速過(guò)大。限制用戶的上網(wǎng)時(shí)長(zhǎng)和總流量大小，可以設(shè)置一個(gè)上網(wǎng)時(shí)長(zhǎng)或者流量的閾值(上網(wǎng)的最大時(shí)長(zhǎng)或者能使用的最大流量)，可以設(shè)置當(dāng)用戶上網(wǎng)達(dá)到這個(gè)閾值后在配額控制周期內(nèi)不能再次進(jìn)行認(rèn)證或者只封鎖一段時(shí)間。訪問(wèn)控制策略中，包含一條或多條基于服務(wù)或應(yīng)用的網(wǎng)絡(luò)訪問(wèn)權(quán)限規(guī)則，網(wǎng)絡(luò)訪問(wèn)控制規(guī)則中可以設(shè)定用戶的網(wǎng)絡(luò)訪問(wèn)權(quán)限。類似于普通的狀態(tài)類防火墻，根據(jù)數(shù)據(jù)