|
在今天的企业网络环境中,有越来越多的移动办公人员需要全面的网络连接和访问重要的业务应用。随着移动网络的日益扩大,组织机构必须为众多的移动用户提供无所不在的网络访问服务。这些移动用户包括传统用户和移动访客。因此,网络管理人员面临着一个严峻的挑战:如何提供一个安全的网络访问解决方案,让企业员工和经过授权的访客都能有效地使用企业的网络资源。基于思科统一无线网络的来宾访问解决方案是一个安全的、经济的、便于集成的移动解决方案,可以确保只有员工和合法的移动访客才能接入网络。
挑战
大型企业的网络部署必须为一个不断壮大的用户群体提供网络连接,其中包括员工、业务伙伴、供应商和访客。在很多情况下,这些合作伙伴和供应商需要为组织执行一些重要的任务,因而不仅需要一般性的网络连接,还需要对特定网络资源进行有限的访问。为了确保组织数据的安全和保护企业的网络资源,移动访客和他们的网络流量需要在逻辑上与员工的流量和内部网络相分离。让情况更加复杂的是,不同访客群体的网络访问时间、用户需求和网络策略都可能有所不同。而且,因为访客属于第三方网络用户,所以组织对这些访客的终端、桌面软件配置的控制能力也极为有限。
为了提升工作效率,企业需要一个安全的、可扩展的、便于管理的解决方案。它应当能在指定的网段为移动访客提供网络访问服务(即受限的访问权限),同时不需要建立并行的网络基础设施、部署可能影响正常业务的额外解决方案,或者在访客终端上安装任何桌面软件。
解决方案
通过支持基于有线和无线网络的来宾访问,思科统一无线网络来宾访问解决方案让访客可以通过一个安全的、可扩展的、经济的解决方案访问互联网。由于平衡了访客和IT管理员的需求,思科来宾访问解决方案不仅为访客提供了一个便于使用的解决方案,同时还有助于方便地管理和控制来宾用户策略。无缝的来宾访问是通过有效的来宾用户配置系统和Web身份验证机制实现的,因而即使非专业的技术人员也能设置来宾访问权限,而且不需要在来宾用户的终端上进行任何配置。另外,该解决方案还能限制来宾流量,将其与标准的网络流量分离,从而提高定制能力和增强网络安全。利用思科统一无线网络,组织可以轻松地集成一个全面的、安全的来宾访问解决方案,而不需要中断已有的流程或者部署昂贵的并行基础设施。
思科统一无线网络的来宾访问功能
作为思科统一无线网络的组成部分,思科来宾访问解决方案有助于消除网络安全威胁,同时为访客提供适当的网络访问权限。目前,大部分组织在日常的业务运营中,都需要接触一个由合作伙伴、供应商和承包商组成的生态系统。来宾用户可以分为除员工以外的其他需要网络连接的人员,或者未经授权的内部网络用户。大多数情况下,这些用户只需要访问公共互联网和/或VPN连接。但在某些特殊情况下,移动访客需要执行一些重要的业务职能,因而必须对内部网络资源进行精确的、受控的访问。利用思科来宾访问解决方案,企业可以针对来宾用户的任何访问需求,设置相应的网络权限。
特性和优点
思科来宾访问解决方案集成于思科无线LAN控制器(WLC)的基本功能之中,可以通过思科无线控制系统(WCS)网络管理提供增强的功能。这让客户可以将他们已有的无线网络基础设施作为来宾访问控制点,为来宾提供无线和有线网络访问服务,从而简化部署规划和降低总拥有成本。
思科统一无线网络来宾访问解决方案的组件
通过用一个全面的移动来宾解决方案支持实时的关键业务型应用,思科统一无线网络的思科来宾访问解决方案可以提供一套强大的产品组合,统一的下一代架构,针对未来改进的平稳迁移途径,以及广泛的技术迁移计划,从而确保有效的投资保护。
思科来宾访问解决方案可以通过主动的网络分段,灵活的来宾策略管理,以及有效的来宾配置机制,帮助组织管理他们的整个网络部署(包括员工和来宾WLAN)。网络分段功能可以将员工和来宾网络的流量划分到不同的隧道和/或VLAN,从而确保企业网络在部署移动来宾服务时的安全性和灵活性。
动态用户策略管理功能可以为来宾用户设立类别,并根据这些设定分配相应的网络权限和策略。可设置模板和自动配置功能让客户可以轻松、高效地调度和配置来宾权限。先进的来宾用户配置功能――包括在指定时段(例如周一到周五的上午9点到下午5点)自动设置来宾权限的功能和只需点击一次的配置方式――有助于简化配置流程,减少配置错误。
思科统一无线网络提供了集成化的来宾用户登录门户。该门户可以直接从无线控制器建立,或者基于某个外部服务器。可根据服务设置标识符(SSID)定制的登录门户能够在来宾首次接入网络时,提供一种标准化的Web门户身份验证机制。利用WCS内置的报告和审计跟踪功能,该解决方案可以跟踪来宾的配置和来宾网络使用统计数据,包括登录和注销时间等。表1归纳了思科来宾访问解决方案的特性和优点。
表 1. 思科来宾访问解决方案的特性和优点
来宾访问的部署
思科统一无线网络的来宾访问解决方案让各种组织可以充分地利用思科WLAN网络,为内部网络访问和来宾访问提供支持,从而简化部署计划,降低部署和运营成本。
图1所示为一个典型的来宾访问部署方案。在这个典型的部署场景中,来宾用户会在网络上获得配置,并得到网络访问证书。一旦移动访客获得用户名和密码,他们就可以打开浏览器,通过来宾SSID进行身份验证。无线LAN控制器会将该用户识别为一个来宾用户,把相关流量归类到来宾VLAN。如果来宾用户的证书过期,他们对网络资源的访问权限也将立即终止。
图 1. 思科来宾访问解决方案:典型部署
统一的有线和无线来宾访问
统一的有线和无线来宾访问功能让组织可以利用他们现有的无线基础设施,提供有线来宾访问服务,从而降低部署的复杂性和成本。表2归纳了统一有线和无线来宾访问功能所带来的业务优势。图2则显示了有线和无线来宾访问的工作原理。
表 2. 统一有线和无线来宾访问功能所带来的业务优势
图 2. 无线和有线来宾访问功能的工作原理
针对每个用户的来宾访问策略
思科来宾访问解决方案提供了详细的策略管理和部署功能,可以为组织带来全面的网络安全和更高的网络性能。表3总结了针对每个用户的来宾访问策略的业务优势。
表 3. 针对每个用户的来宾访问策略的业务优势
灵活、简便的来宾配置
为移动访客配置来宾访问权限应当尽量简便、快捷。思科来宾访问解决方案具有多种有助于快速、方便地配置来宾用户的功能,如表4所示。
表 4. 简化来宾配置的业务优势
增强的网络安全
完整的来宾访问解决方案的一个重要组成部分是,确保配置人员为访问网络的来宾创建正确的档案,并且对来宾用户在网络上的活动进行有效的控制。思科来宾访问解决方案所包含的功能可以为来宾用户和支持人员或配置人员,提供增强的网络安全特性和报告功能。表5归纳了这组特性的业务优势。
表 5. 增强网络安全的业务优势
灵活的架构和管理
作为思科统一无线网络的一个构成解决方案,来宾访问解决方案可以利用思科无线LAN控制器所附带的Web设备管理器,或者思科无线控制系统自带的、更加强大的Lobby Ambassador 功能进行无缝的部署。
WLC的集成化管理功能提供了一个基本的来宾用户配置门户,它能够在单个控制器上部署网络配置和权限设置策略。这使得WLC成为了小型来宾访问部署的理想解决方案。WLC还支持多种身份验证协议(Radius、TACACS+和轻型目录访问协议[LDAP]),因而能方便地与现有的身份验证基础设施集成。WLC还包含一个内部身份验证数据库,从而提供了一个完整的、独立的身份验证解决方案。
思科无线控制系统(WCS)还为多设备部署提供了增强的来宾用户配置和管理功能。WCS 的Lobby Ambassador功能提供了方便、有效的配置模板和精确的来宾策略控制。这些增强的特性包括能够自动生成和(通过电子邮件或者书面形式)提供用户证书,在特定时段进行自动调度(根据时间或者日期),以及在映射基础上将来宾用户访问的范围限定于某个特定的地点。
在移动访客试图访问Web时,基于WLC或者单独服务器的用户登录门户会自动启动。这个简便的、可定制的门户会提供基于SSID的登录页面,供来宾进行身份验证。这个基于HTML的门户还可以根据某个组织的总体网站设计进行定制,并在授予网络访问权限之前为来宾提供定制的用户协议。图3对比了基于WLC的集成化来宾访问解决方案和WCS自带的来宾配置功能。
图 3. 通过WLC和WCS进行来宾配置和策略管理
支持来宾访问的平台
思科无线LAN控制器是思科统一无线网络来宾访问解决方案的核心。来宾策略的执行和隧道控制都是在这些设备上进行的。隧道个数显示了网络内部的WLC数量,或者那些从远程地点连接到无保护网段(DMZ)中WLC的WLC数量。图4详细显示了思科无线LAN控制器产品系列的构成。
图 4. 思科无线控制器产品系列
注: 作为远程地点设备,Cisco 2106只能建立IP以太网隧道。它不能安装在无保护网段(DMZ)中,作为端接IP以太网隧道的来宾控制器。
思科来宾访问配置解决方案
在某些部署环境中,组织可能需要采用一个单独的来宾配置设备,负责创建来宾帐户,管理来宾访问策略,以及报告来宾的网络使用情况。在进行广泛的配置授权时(例如允许所有员工配置来宾用户),组织往往必须从一种集中的、基于WCS的来宾配置部署架构,转向基于配置设备的架构。思科提供了两种来宾访问配置解决方案:思科 NAC 来宾服务器和Cisco GuestNet Manager。两者均可提供先进的来宾访问创建、管理和报告功能。
思科 NAC 来宾服务器(NGS)是一款专用的访问配置和记账设备,提供了一个立即可用的、便于配置的来宾访问解决方案,并为所有来宾帐户的创建和来宾策略的管理提供了一个集中的界面。通过一个集中的报告界面,NGS可以跟踪各种关于来宾访问帐户创建和来宾网络使用情况的统计数据。思科NGS让客户可以方便地、安全地创建来宾网络访问帐户,并特别适用于那些需要很多支持人员为来宾用户创建帐户的组织。思科 NAC来宾服务器能够通过一种简便、安全和灵活的方式,简化提供范围广泛的来宾访问配置的流程。如需了解更多关于思科NAC来宾服务器的信息,请访问:
http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5707/ps8418/ps6128/product_data_sheet0900aecd806e98c9.html
Cisco GuestNet Manager (GNM)是由思科高级服务所提供的一种来宾配置解决方案,可以根据特定的部署标准进行定制。思科GNM能够提供与其他思科来宾访问解决方案平台的紧密集成,包括思科NAC设备和思科无线LAN控制器。GNM还通过一个支持集中式无线/来宾配置策略和报告的API,提供了与思科WCS的集成。作为定制软件,Cisco GuestNet Manager只能通过工作说明书或者类似的服务合同进行销售。如需了解更多信息,请联络guestnetmanager@cisco.com ,或您当地的服务客户经理。
基于思科NAC设备的安全来宾访问服务
借助思科的网络准入控制解决方案,网络管理员可以在提供网络访问权限之前,对有线、无线和远程用户及其终端进行身份验证、授权、评估和纠正。通过将思科统一无线网络来宾访问解决方案与思科NAC结合到一起,客户既能使用思科统一无线网络自带的、丰富的来宾访问功能,又能获得思科NAC所提供的增强的业界领先状态评估和纠正功能,并发挥两者的协同优势。思科NAC可以通过提供更加全面的策略控制和增强的有线来宾访问支持,弥补新旧思科统一无线网络来宾访问部署的不足。
总结
思科统一无线网络让企业可以轻松、经济地部署和管理来宾访问。通过一个统一的部署架构,可定制的配置,以及精确的策略部署和管理,思科来宾访问解决方案能够为经过授权的员工和来宾提供统一的网络访问,同时实现最高级别的网络安全。
如需了解更多信息,请访问下列链接:
|
