hpwl121e無線網(wǎng)絡用戶授權(quán)管理issue

用戶用戶

功能是指關聯(lián)到同一個AP上的所有無線用戶之間的二層報文相互不能轉(zhuǎn)發(fā)，從而使無線用戶之間不能直接進行通訊，使得用戶流量集中至網(wǎng)關轉(zhuǎn)發(fā)，便于對該用戶進行計費等管理。在各類公共場合以及網(wǎng)絡運營商、大中型企業(yè)、金融機構(gòu)等環(huán)境中，有些用戶需要在熱點公共地區(qū)（如機場、咖啡店等）通過無線接入Internet，因此用戶認證問題就顯得至關重要。如果不能準確可靠地進行用戶認證，用戶就可以授權(quán)而擅自使用網(wǎng)絡資源，不僅會占用寶貴的無線信道資源，增加帶寬費用，還會降低合法用戶的服務質(zhì)量，并給無線接入服務提供商帶來不可接受的損失。無線用戶二層功能結(jié)合IEEE802.11i、RADIUS的用戶認證以及計費方式可以給用戶提供專業(yè)級的安全保障?；诘挠脩舨捎糜脩羟?，處于同一的用戶是能夠互訪的，這可能帶來安全性或計費問題，采用基于的無線用戶，可以解決此問題。開啟基于的用戶隔離后，在同一個內(nèi)，連接到此無線服務的所有無線用戶之間的二層報文（單播/廣播）將相互不能轉(zhuǎn)發(fā)，保證了用戶業(yè)務的安全性和計費的準確性。用戶間互訪AC上名為

的

默認關閉用戶功能時，

內(nèi)的無線用戶STA1和STA2可以在該服務內(nèi)進行二層報文轉(zhuǎn)發(fā)，也可以

Internet。用戶間在AC上開啟基于 的用戶 功能后，名為

的 內(nèi)的無線用戶STA1和STA2通過同一個網(wǎng)關連接到Internet，并且他們之間二層報文不可以直接轉(zhuǎn)發(fā)?；谟脩艚M的用戶組間用戶組內(nèi)用戶把用戶劃分到不同的組里，用戶

的實現(xiàn)有：——

不同組的用戶之間不能通信，相同組的

用戶可以通信——

相同組

用戶之間不可以通信基于STA的MAC地址，包括以下兩種類型：MAC地址的用戶無法關聯(lián)上AP，從而無法通過無線STA的黑白STA網(wǎng)絡STA白：使匹配該網(wǎng)絡中的資源；：使匹配該白MAC地址的用戶可以關聯(lián)上AP，從而通過無線網(wǎng)絡內(nèi)的用戶都無法

網(wǎng)絡資源。STA黑白網(wǎng)絡中的資源，不在白都需要手工創(chuàng)建。STA黑白 按照以下步驟對接收到的802.11報文進行過濾，只有滿足條件的報文允許通過，其他的所有的報

會被丟棄。1.

當AP接收到一個802.11幀時，將針對該802.11幀的源MAC進行過濾；列表，但接收幀的源MAC不在STA白

列表內(nèi)，該幀將2.

如果設置了STA白被丟棄；3.

如果源MAC在STA白4.

如果沒有設置STA白內(nèi)，該幀將被作為合法幀進一步處理；列表，則繼續(xù)搜索STA

列表。如果源MAC在STA黑列表內(nèi)，該幀將被丟棄；列表內(nèi)，或者STA列表為空，則該幀將被作5.

如果源MAC沒有在STA為合法幀進一步處理。配置執(zhí)行命令sta-access-mode

ap

ap-id

{

blacklist

|

whi ist

|

disable}，配置STA接入控制模式為blacklist。缺省情況下，STA接入控制模式為disable。執(zhí)行命令sta-blacklist

mac-address，配置STA

。配置白執(zhí)行命令sta-access-mode

ap

ap-id

{

blacklist

|

whi ist

|

disable}，配置STA接入控制模式為whi

ist。

缺省情況下，STA接入控制模式為disable。執(zhí)行命令sta-whi ist

mac-address，配置STA白

。用戶組WLAN用戶認證成功后，通過RADIUS服務器下發(fā)用戶組UserGroup對用戶進行授權(quán)信息控制。即RADIUS服務器下發(fā)UserGroup，將用戶進行分組，UserGroup名標識用戶所屬于的分組。在UserGroup模式下，可以配置或關聯(lián)ACL、QoS模板、組內(nèi)組間標記來對用戶進行控制。用戶分組WLAN用戶上線后，為了滿足用戶

特點的某些網(wǎng)絡資源，需要對用戶進行動態(tài)

。AC支持通過RADIUS服務器下發(fā)用戶組或ACL

ID來制定用戶ACL

用戶。下發(fā)用戶組是指用戶認證成功后，RADIUS服務器下發(fā)用戶分組，將用戶進行分類，每個用戶分組可以關聯(lián)對應的ACL規(guī)則，通過用戶分組和ACL規(guī)則的關聯(lián)，實現(xiàn)對每類用戶進行ACL

信息控制，即同類用戶采用同樣的信息。下發(fā)ACL是指用戶認證通過后根據(jù)Radius服務器報文中的ACL內(nèi)容，對用戶可以哪些訪問資源，不可以哪些網(wǎng)絡資源進行控制。1.

當用戶上線認證成功后，RADIUS服務器回應Access-Accept報文。2.

如果RADIUS服務器同時下發(fā)UserGroup和ACL

ID，則AC優(yōu)先取ACL

ID，即遵從個性化優(yōu)先于分組

的原則。3.

如果RADIUS服務器只下發(fā)UserGroup或ACL

ID，則AC取UserGroup下配置的ACL

ID或RADIUS下發(fā)的ACL

ID。4.

如果RADIUS服務器未下發(fā)任何ACL，則意味著不限制用戶任何

權(quán)限，即用戶默認權(quán)限為可以 任何網(wǎng)絡資源。如果要控制用戶 權(quán)限，則RADIUS服務器必須下發(fā)

ACL。ACL（Access

Control

List）策略是指通過配置的一系列匹配規(guī)則對特定的數(shù)據(jù)包進行過濾，從而識別需要過濾的對象。在識別出特定的對象之后，根據(jù)預先設定的策略允許或 相應的數(shù)據(jù)包通過。ACL過濾報文流過程是在為進行QoS處理做準備，與QoS策略共同提高系統(tǒng)的安全性。ACL分類如下：ACL

在2000～4999之間，允許定義3000個

中的任意一個。系統(tǒng)中最多可創(chuàng)建1024條ACL，每條ACL下最多設置256條規(guī)則。各種類型ACL說表所示。用戶可以根據(jù)規(guī)則對報文的前80個字節(jié)任意匹配，可以同時設置多個字段。支持ACL時間段的設置，最多支持256個時間段配置。濾條數(shù)不超過2K。/修改、帶寬控制、允支持針對端口下發(fā)基于ACL的

濾，可下發(fā)的基于ACL支持基于流規(guī)則的報文的過濾、鏡像、重定向、優(yōu)先級許/

等動作。系統(tǒng)對輸入的報文流將按照ACL所定義的規(guī)則進行匹配處理：如果匹配規(guī)則，則交QoS進一步策略動作執(zhí)行處理，包括報文過濾、優(yōu)先級標記、端口限速、流量限制、流量統(tǒng)計、報文重定向、報文鏡像，在完成策略執(zhí)行處理后再轉(zhuǎn)發(fā)輸出報文流。報文過濾按照匹配ACL規(guī)則匹配的結(jié)果確定是否丟棄報文。優(yōu)先級標記對匹配ACL規(guī)則的數(shù)據(jù)包進行優(yōu)先級標記，標記內(nèi)容包括ToS、DSCP、802.1p等。流量限制對匹配

ACL規(guī)則的數(shù)據(jù)包進行流量限制。端口限速對以太網(wǎng)端口發(fā)送報文的總速率進行限制。流量統(tǒng)計對匹配ACL規(guī)則的數(shù)據(jù)包進行流量統(tǒng)計。報文重定向?qū)ζヅ銩CL的數(shù)據(jù)包進行重定向操作，重新指定報文的轉(zhuǎn)發(fā)端口（原來的端口不再進行報文的接收或轉(zhuǎn)發(fā)）。報文鏡像對匹配

控制列表的數(shù)據(jù)包進行流鏡像，可以將匹配ACL的報文流拷貝輸出到其他端口。否則，按照ACL規(guī)則的定義，不匹配規(guī)則的報文將被丟棄或者被轉(zhuǎn)發(fā)。配置ACL2000用來控制上網(wǎng)流量的用戶是任的網(wǎng)段。配置基于時間的ACL，要先定義time-range時間范圍，然后在ACL語句中調(diào)用時間范圍的參數(shù)。定義訪客無線上網(wǎng)的ACL，

訪客

公司

網(wǎng)絡資源、并且在

只能瀏覽網(wǎng)頁和收發(fā)郵件。RADIUS服務器的配置在這里并不涉及同，如果想了解如何配置請參考：《windows2008配置NPS服務器SOP》RADIUS服務器的配置思路是：RADIUS服務器上需要建立用戶，將用戶加入到RADIUS服務器上的組，配置組里面的filter

id屬性與user-group相同，這樣當用戶上線時就會加入到相應的user-group里。配置RADIUS模板。包括配置RADIUS主用認證服務器和計費服務器的IP地址和端口，RADIUS共享密鑰以及檢查RADIU認證成功報文中是否有filter-id屬性。說明：配置了如果沒有配置后，認證用戶名后面需要加上

。，則用戶登陸只要輸入“用戶名+

”即可。配置用戶組的名字和radius服務器上針對用戶返回的filter-id保持一致。