在數字化辦公環境中,Network Access Control控制是保障商業網路安全的關鍵環節,企業對網路安全與便捷性需求日益增長。辦公安全平台SASE(Secure Access Service Edge)通過整合RADIUS(Remote Authentication Dial-In User Service,遠端使用者撥入驗證服務)組件,支援802.1X協議及Portal入網方式,實現安全、靈活、高效的Network Access Control控制,保障裝置和使用者合規接入,提升整體管理效率與使用者體驗。
情境一:員工無線網路准入配置
SASE通過802.1X認證方案保障網路接入安全,並結合一鍵入網流程提升員工效率,員工可通過SASE用戶端在任意辦公網路覆蓋地區快速、安全接入商業網路。您需在SASE管理主控台及本地無線控制器裝置中分別完成相關配置。
本文中涉及的無線控制器和交換器均以H3C裝置為例進行說明。
步驟一:配置證明伺服器(RADIUS)
RADIUS是一種網路通訊協定,用於提供集中式的認證、授權和記賬(AAA)服務。SASE為您提供雲認證服務器的同時,也支援您靈活配置自有證明伺服器。
登入辦公安全平台控制台。
在左側導覽列,選擇。
在认证服务器中頁簽中,查看雲認證服務器資訊或新增认证服务器。
查看雲證明伺服器
在頁面右上方,單擊雲認證服務器。
在雲認證服務器面板中查看SASE為您提供的雲證明伺服器的相關資訊。
新增證明伺服器
單擊新增认证服务器。
在新增认证服务器面板中,配置认证服务器名称和伺服器的IP地址,並單擊儲存。
說明員工 Wi-Fi 認證端口預設為1812,員工 Wi-Fi 計費端口預設為1813。
在部署安裝頁簽中,查看需要部署RADIUS的服务器规格推荐和服务器部署命令。
複製服务器部署命令,在自有伺服器中部署RADIUS。
部署完成後,在列表中查看部署情況。
步驟二:配置網路裝置資訊
無線控制器是一種用於集中管理和控制無線存取點(AP)的網路裝置,具備對無線網路進行統一配置、監控和最佳化的能力。您需要配置您的無線控制器的相關資訊。
在網絡設備頁簽中,單擊新增網絡設備。
在新增網絡設備對話方塊中,配置如下資訊,並單擊確定。
配置項
說明
裝置名稱
配置裝置名稱。
設備品牌
選擇您的無線控制器的品牌。
裝置類型
選擇無線控制器。
IP地址
配置無線控制器的IP或IP段。
MAC地址
配置無線控制器的MAC地址。
Coa端口
配置無線控制器的coa連接埠。
步驟三:配置WIFI管理
在WIFI 管理頁簽中,單擊建立網路執行個體。
在企業無線網配置對話方塊中,配置員工入網的網路SSID和認證模式(當前僅支援EAP-TLS),並單擊確定。
步驟四:配置認證管理
通過SASE接入企業辦公網後,系統會自動為SASEApp下發SASE的CA認證和入網認證。只有安裝認證的裝置才可以使用並通過企業無線網路訪問企業內部應用。如果自動下發的認證不適用企業的業務情境,您可以修改認證的安裝範圍、有效期間或者自訂認證組織名稱。
單擊證書管理。
在證書管理頁簽中,進行入網認證配置、CA認證配置以及全局配置。
步驟五:配置本地無線控制器(以H3C為例)
您需要在本地控制台中配置RADIUS方案、ISP域及無線802.1X認證等。
配置RADIUS
登入H3C無線控制器裝置控制台。
在頁面底部選擇網路,並在左側導覽列選擇。
在RADIUS頁簽中,單擊
,新增RADIUS方案。
在添加RADIUS方案頁面中,配置RADIUS資訊,並單擊確定。
配置項
說明
參考值
方案名稱
自訂RADIUS方案名稱。
sase-r1
證明伺服器
配置證明伺服器相關資訊。如果您擁有多台證明伺服器,可以添加到備份伺服器中。
關於證明伺服器的相關資訊,您可以在SASE控制台的頁簽中查看雲認證服務器的相關資訊或者新增认证服务器的相關資訊。
VRF:預設公網
類型:預設IP地址
IP地址:121.40.*.*
連接埠:1812
共用密鑰:填寫密鑰
狀態:活動
計費伺服器
配置證明伺服器相關資訊。如果您擁有多台計費伺服器,可以添加到備份伺服器中。
計費伺服器的IP地址和共用密鑰與證明伺服器一致,連接埠為1813。
VRF:預設公網
類型:預設IP地址
IP地址:121.40.*.*(與證明伺服器相同)
連接埠:1813
共用密鑰:填寫密鑰(與證明伺服器相同)
狀態:活動
進階設定
單擊顯示進階設定,將配置項中的發送即時計費更新報文的間隔,設定為60秒。
60
配置ISP域
在左側導覽列選擇。在ISP域頁簽中,單擊
,新增ISP網域設定。在添加ISP域頁面中,參考下圖配置ISP域,並單擊確定。
配置無線網路(802.1X認證)
在左側導覽列選擇。
在無線網路頁簽中,單擊
,新增無線網路。在新增無線服務頁面中,配置無線服務名稱、SSID、預設VLAN,並開啟無線服務。配置完成後,單擊確定並進入進階設定。
說明SSID相關資訊,您可以在SASE控制台的頁簽中,擷取您配置的網路執行個體的SSID。
在鏈路層認證頁簽中,選擇認證模式為802.1X 認證,並選擇網域名稱為您配置的ISP域,其他配置保持預設即可。然後單擊確定。
在綁定頁簽中,點擊需要綁定的AP,並單擊確定。
在左側導覽列選擇。
單擊頁面右上方的
,在802.1X頁面中單擊認證方法右側的配置項,然後在下拉式清單中選擇EAP,並單擊確定。
步驟六:開啟動態授權(COA)
COA通常基於RADIUS協議實現,通過發送RADIUS CoA-Request訊息來觸發授權變更。無線控制器接收到這類請求後,會根據請求內容更新使用者的會話參數,並向RADIUS伺服器返回CoA-ACK(確認)或CoA-NAK(拒絕)訊息。
通過Console線串連無線控制器(AC)。
根據下方命令,開啟COA。
[AC] radius dynamic-author server [ac-radius-da-server] client ip <Radius伺服器IP> key simple <Sharesecret>其中,
{Radius_ip}需要配置為 Radius Server IP 位址,{secret}需要配置為對應裝置的共用密鑰。說明您可以在SASE控制台的頁簽中查看Radius Server IP地址和SharedSecret(共用密鑰)。
步驟七:配置入網權限原則
在SASE接入企業辦公網路時,通過配置入網權限原則,可實現對員工或裝置的入網許可權進行精細化隔離與管控,提升網路安全性與管理效率。
登入辦公安全平台控制台。
在左側導覽列,選擇。
在入網許可權頁簽中,單擊建立權限原則。
在建立權限原則面板中,進行如下配置。並單擊確定。
配置項
說明
策略名稱
配置策略名稱稱。
生效范围
生效范围選擇生效员工。
根據實際業務需要,單擊選擇,並按照全部使用者、指定用户组、指定设备或指定设备标签精細化生效範圍。
VLAN ID
設定您無線控制器上劃分的VLAN ID。支援輸入範圍:1~4094。
ACL ID
設定您無線控制器上劃分的ACL ID。取值範圍需根據所使用的網路裝置品牌及型號確定。
终端类型
選擇生效的終端類型。
网络权限
選擇無線網路。
无线网络范围
選擇全部无线网或根據實際情況選擇部分无线网。
優先順序
設定策略生效優先順序。數字越小優先順序越高。
策略狀態
開啟策略狀態。
進階設定
設定策略生效的认证服务器和準入網絡設備。
步驟八:安裝並登入SASE用戶端
您需要在已串連互連網的終端裝置中安裝並登入SASEApp。登入用戶端後具體操作,請參見安裝並登入SASE App。
步驟九:查看認證及入網記錄
完成上述步驟後,您可以在SASE控制台中查看入網記錄或員工認證日誌。
查看員工認證日誌
在左側導覽列,選擇。
在頁簽中,查看員工入網認證情況。
查看入網記錄
登入辦公安全平台控制台。
在左側導覽列,選擇。
在入网记录頁簽中,查看員工的入網情況,並支援禁用和啟用操作。
情境二:員工有線Network Access Control配置
本情境介紹有線網路進行802.1X認證配置接入,以實現網路接入。您需要分別在SASE管理主控台和本地交換器中進行配置。
步驟一:配置證明伺服器(RADIUS)
RADIUS是一種網路通訊協定,用於提供集中式的認證、授權和記賬(AAA)服務。SASE為您提供雲認證服務器的同時,也支援您靈活配置自有證明伺服器。
登入辦公安全平台控制台。
在左側導覽列,選擇。
在认证服务器中頁簽中,查看雲認證服務器資訊或新增认证服务器。
查看雲證明伺服器
在頁面右上方,單擊雲認證服務器。
在雲認證服務器面板中查看SASE為您提供的雲證明伺服器的相關資訊。
新增證明伺服器
單擊新增认证服务器。
在新增认证服务器面板中,配置认证服务器名称和伺服器的IP地址,並單擊儲存。
說明員工 Wi-Fi 認證端口預設為1812,員工 Wi-Fi 計費端口預設為1813。
在部署安裝頁簽中,查看需要部署RADIUS的服务器规格推荐和服务器部署命令。
複製服务器部署命令,在自有伺服器中部署RADIUS。
部署完成後,在列表中查看部署情況。
步驟二:配置網路裝置資訊
交換器用於串連不同類型的網路裝置,如電腦、伺服器、印表機和路由器等,實現這些裝置之間的通訊和資料交換。您需要配置您的本地交換器的相關資訊。
在網絡設備頁簽中,單擊新增網絡設備。
在新增網絡設備對話方塊中,配置如下資訊,並單擊確定。
配置項
說明
裝置名稱
配置裝置名稱。
設備品牌
選擇您的交換器的品牌。
裝置類型
選擇有線交換器。
IP地址
配置交換器的IP或IP段。
MAC地址
配置交換器的MAC地址。
Coa端口
配置交換器的coa連接埠。
步驟三:配置認證管理
通過SASE接入企業辦公網後,系統會自動為SASEApp下發SASE的CA認證和入網認證。只有安裝認證的裝置才可以使用並通過企業有線網路訪問企業內部應用。如果自動下發的認證不適用企業的業務情境,您可以修改認證的安裝範圍、有效期間或者自訂認證組織名稱。
單擊證書管理。
在證書管理頁簽中,進行入網認證配置、CA認證配置以及全局配置。
步驟四:配置本地交換器(以H3C為例)
您需要在本地控制台中配置RAIUS方案、ISP域及無線802.1X認證等。
配置RADIUS
登入H3C無線控制器裝置控制台。
在頁面底部選擇網路,並在左側導覽列選擇。
在RADIUS頁簽中,單擊
,新增RADIUS方案。在添加RADIUS方案頁面中,配置RADIUS資訊,並單擊確定。
配置項
說明
參考值
方案名稱
自訂RADIUS方案名稱。
sase-r1
證明伺服器
配置證明伺服器相關資訊。如果您擁有多台證明伺服器,可以添加到備份伺服器中。
關於證明伺服器的相關資訊,您可以在SASE控制台的頁簽中查看雲認證服務器的相關資訊或者新增认证服务器的相關資訊。
VRF:預設公網
類型:預設IP地址
IP地址:121.40.*.*
連接埠:1812
共用密鑰:填寫密鑰
狀態:活動
計費伺服器
配置證明伺服器相關資訊。如果您擁有多台計費伺服器,可以添加到備份伺服器中。
計費伺服器的IP地址和共用密鑰與證明伺服器一致,連接埠為1813。
VRF:預設公網
類型:預設IP地址
IP地址:121.40.*.*(與證明伺服器相同)
連接埠:1813
共用密鑰:填寫密鑰(與證明伺服器相同)
狀態:活動
進階設定
單擊顯示進階設定,將配置項中的發送即時計費更新報文的間隔,設定為60秒。
60
配置ISP域
在左側導覽列選擇。在ISP域頁簽中,單擊
,新增ISP網域設定。在添加ISP域頁面中,參考下圖配置ISP域,並單擊確定。
配置交換器網口(802.1X認證)
在左側導覽列選擇。
在802.1X認證頁面中,選中GE1/0/3(基於連接埠認證)。並單擊確定。
單擊進階設定,在進階設定頁面中,配置連接埠的強制認證ISP域,然後單擊確定。
單擊頁面右上方的
,在802.1X頁面中單擊認證方法右側的配置項,然後在下拉式清單中選擇EAP,並單擊確定。
步驟五:開啟動態授權(COA)
COA通常基於RADIUS協議實現,通過發送RADIUS CoA-Request訊息來觸發授權變更。無線控制器接收到這類請求後,會根據請求內容更新使用者的會話參數,並向RADIUS伺服器返回CoA-ACK(確認)或CoA-NAK(拒絕)訊息。
通過Console線串連無線控制器(AC)。
根據下方命令,開啟COA。
[AC] radius dynamic-author server [ac-radius-da-server] client ip <Radius伺服器IP> key simple <Sharesecret>其中,
{Radius_ip}需要配置為 Radius Server IP 位址,{secret}需要配置為對應裝置的共用密鑰。說明您可以在SASE控制台的頁簽中查看Radius Server IP地址和SharedSecret(共用密鑰)。
步驟六:配置入網權限原則
在SASE接入企業辦公網路時,通過配置入網權限原則,可實現對員工或裝置的入網許可權進行精細化隔離與管控,提升網路安全性與管理效率。
登入辦公安全平台控制台。
在左側導覽列,選擇。
在入網許可權頁簽中,單擊建立權限原則。
在建立權限原則面板中,進行如下配置。並單擊確定。
配置項
說明
策略名稱
配置策略名稱稱。
生效范围
生效范围選擇生效员工。
根據實際業務需要,單擊選擇,並按照全部使用者、指定用户组、指定设备或指定设备标签精細化生效範圍。
VLAN ID
設定您交換器上劃分的VLAN ID。支援輸入範圍:1~4094。
ACL ID
設定您交換器上劃分的ACL ID。取值範圍需根據所使用的網路裝置品牌及型號確定。
终端类型
選擇生效的終端類型。
网络权限
選擇有線網路。
優先順序
設定策略生效優先順序。數字越小優先順序越高。
策略狀態
開啟策略狀態。
進階設定
設定策略生效的认证服务器和準入網絡設備。
步驟七:安裝並登入SASE用戶端
您需要在已串連互連網的終端裝置中安裝並登入SASEApp。登入用戶端後具體操作,請參見安裝並登入SASE App。
步驟八:查看認證及入網記錄
完成上述步驟後,您可以在SASE控制台中查看入網記錄或員工認證日誌。
查看員工認證日誌
在左側導覽列,選擇。
在頁簽中,查看員工入網認證情況。
查看入網記錄
登入辦公安全平台控制台。
在左側導覽列,選擇。
在入网记录頁簽中,查看員工的入網情況,並支援禁用和啟用操作。
情境三:訪客無線網路准入配置
SASE為企業提供安全便捷的訪客入網方案,通過區分員工與訪客SSID保障網路安全性,同時最佳化訪客上網體驗。支援員工與訪客入網同步配置,僅需設定不同SSID及後台對接策略,訪客接入SASE訪客Wi-Fi時目前僅支援Portal頁面簡訊驗證碼認證方式。
步驟一:Portal認證配置
登入辦公安全平台控制台。
在左側導覽列,選擇。
在頁面右上方單擊认证配置。
在认证配置頁面中,進行Portal认证配置和认证页自定义。
步驟二:配置證明伺服器(RADIUS)
RADIUS(Remote Authentication Dial-In User Service)是一種網路通訊協定,用於提供集中式的認證、授權和記賬(AAA)服務。SASE支援您靈活配置自有證明伺服器。
登入辦公安全平台控制台。
在左側導覽列,選擇。
在认证服务器中頁簽中,單擊新增认证服务器。
在新增认证服务器面板中,配置认证服务器名称和伺服器的IP地址,並單擊儲存。
說明員工 Wi-Fi 認證端口預設為1812,員工 Wi-Fi 計費端口預設為1813。
在部署安裝頁簽中,查看需要部署RADIUS的服务器规格推荐和服务器部署命令。
複製服务器部署命令,在自有伺服器中部署RADIUS。
部署完成後,在列表中查看部署情況。
步驟三:配置WIFI管理
在WIFI 管理頁簽中,單擊建立網路執行個體。
在企業無線網配置對話方塊中,配置訪客入網的網路SSID和認證模式(當前僅支援EAP-TLS),並單擊確定。
步驟四:配置本地無線控制器(以H3C為例)
配置RADIUS
登入H3C無線控制器裝置控制台。
在頁面底部選擇網路,並在左側導覽列選擇。
在RADIUS頁簽中,單擊
,新增RADIUS方案。在添加RADIUS方案頁面中,配置RADIUS資訊,並單擊確定。
配置項
說明
參考值
方案名稱
自訂RADIUS方案名稱。
sase-r1
證明伺服器
配置證明伺服器相關資訊。如果您擁有多台證明伺服器,可以添加到備份伺服器中。
關於證明伺服器的相關資訊,您可以在SASE控制台的頁簽中查看新增认证服务器的相關資訊。
VRF:預設公網
類型:預設IP地址
IP地址:121.40.*.*(與證明伺服器相同)
連接埠:2000
共用密鑰:填寫密鑰(與證明伺服器相同)
狀態:活動
進階設定
單擊顯示進階設定,參考如下配置,其他保持預設配置。
發送RADIUS報文使用的源IPv4地址:配置RADIUS伺服器上指定的接入裝置的IPv4地址(一般為AC的管理介面IP)。
發送給RADIUS伺服器的使用者名稱格式:不攜帶網域名稱。
發送RADIUS報文使用的源IPv4地址:121.40.*.*
發送給RADIUS伺服器的使用者名稱格式:不攜帶網域名稱。
配置ISP域
在左側導覽列選擇。在ISP域頁簽中,單擊
,新增ISP網域設定。在添加ISP域頁面中,參考下圖配置ISP域,並單擊確定。
配置Portal證明伺服器
在左側導覽列,選擇。
在Portal頁簽中,單擊Portal證明伺服器。
在Portal頁面中,單擊
,新增Portal證明伺服器。在建立Portal證明伺服器頁面中,參考如下配置,其他保持預設配置,並單擊確定。
配置項
說明
參考值
伺服器名稱
設定Portal證明伺服器名稱。
sase-newptv4
IP地址
設定RADIUS伺服器IP地址。
121.40.*.*
伺服器可達性探測
開啟探測功能,並設定探測時間長度和動作。
探測時間長度:60秒
動作:選中Log
配置Portal Web伺服器
在左側導覽列,選擇。
在Portal頁簽中,單擊本地Portal Web伺服器。
在Portal頁面中,單擊
,新增Portal Web伺服器。在建立本地Portal Web伺服器頁面中,參考如下配置,並單擊確定。
配置項
說明
參考值
伺服器名稱
設定管理員名稱。
sase-newptv4
URL
設定管理員地址。
121.40.*.*
URL攜帶的參數
選中使用者的IP地址,在URL參數名中配置參數名,並單擊添加。
選中使用者的MAC地址,在URL參數名中配置參數名,並單擊添加。
使用者的IP地址:userip
使用者的MAC地址:usermac
配置無線服務
在左側導覽列選擇。
在無線網路頁簽中,單擊
,新增無線網路。在新增無線服務頁面中,配置無線服務名稱、SSID、預設VLAN,並開啟無線服務。配置完成後,單擊確定並進入進階設定。
說明SSID相關資訊,您可以在SASE控制台的頁簽中,擷取您配置的網路執行個體的SSID。
在鏈路層認證頁簽中,選擇認證模式為IPv4 Portal認證,並選擇網域名稱為您配置的ISP網域名稱稱,選擇Web伺服器名稱,配置BAS-IP,其他配置保持預設即可。然後單擊確定。
在綁定頁簽中,點擊需要綁定的AP,並單擊確定。
補充配置
通過Console線串連AC進行配置。
# 開啟無線Portal漫遊功能。
[AC] portal roaming enable
# 關閉無線Portal用戶端ARP表項固化功能。
[AC] undo portal refresh arp enable
# 開啟無線Portal用戶端合法性檢查功能。
[AC] portal host-check enable
# 配置Portal證明伺服器類型為CMCC
[AC] portal server sase-newptv4
[AC-portal-server-newpt] server-type cmcc
[AC-portal-server-newpt] quit
# 配置Portal Web伺服器
[AC] portal web-server sase-newptv4
[AC-portal-websvr-newpt] url http://192.168.XX.XX:8080/portal
# 配置裝置重新導向給使用者的Portal Web伺服器的URL中攜帶參數ssid、wlan,其值分別為AP的SSID、vlan
[AC-portal-websvr-newpt] url-parameter ssid ssid
[AC-portal-websvr-newpt] url-parameter vlan vlan
[AC-portal-websvr-newpt] url-parameter acip value <AC的真實IP>
# 配置Portal Web伺服器類型為CMCC。
[AC-portal-websvr-newpt] server-type cmcc
# 配置ios captive-bypass 適配
[AC-portal-websvr-newpt] captive-bypass ios optimize enable
[AC-portal-websvr-newpt] quit
# 使能RADUIS session control功能。
[AC] radius session-control enable
# 配置Radius Coa功能
[AC] radius dynamic-author server
[AC-radius-da-server] client ip <Radius伺服器IP> key simple <SharedSecret> 您可以在SASE控制台的頁簽中查看Radius Server IP地址和SharedSecret(共用密鑰)。
步驟五:訪客登入
在終端裝置中串連訪客WIFI後,會自動跳轉至Portal認證頁面,您需要輸入手機號,擷取並輸入簡訊驗證碼,然後單擊登入,驗證通過後,才可訪問企業內部應用。
步驟六:查看訪客日誌
登入辦公安全平台控制台。
在左側導覽列,選擇。
在頁簽中,查看訪客入網認證情況。
情境四:啞終端Network Access Control配置
啞終端支援通過有線網路或無線網路接入企業辦公環境,您需要先在SASE控制台添加啞終端,然後在本地交換器中進行入網配置。
步驟一:添加啞終端
登入辦公安全平台控制台。
在左側導覽列,選擇。
在左側列表中選擇啞終端,您可以根據業務需要,選擇添加終端或匯入裝置。
添加終端:在添加終端面板中,輸入終端的MAC地址、MAC位址遮罩、设备厂商、裝置名稱、裝置類型等資訊,並單擊確定。
匯入裝置:在匯入裝置對話方塊中,單擊下載匯入模版,填寫裝置相關資訊後,單擊上傳本地檔案,待上傳完成後,單擊確定。
步驟二:准入配置
根據啞終端裝置種類不同,支援無線網路和有線網路的啞終端裝置的Network Access Control配置方法也不同。
支援無線網路:可參考情境一:員工無線網路准入配置中的配置流程。
支援有線網路:可參考情境二:員工有線Network Access Control配置中的配置流程。
啞終端裝置無需配置認證管理和安裝SASE用戶端,可省略此步驟。
步驟三:查看啞終端認證日誌
在左側導覽列,選擇。
在頁簽中,查看啞終端裝置的入網認證情況。