無線接入終端上網行爲管控
1 需求當無線終端通過無線路由器(以下簡稱AP)接入公司局域網再訪問公網時,如果想通過部署在局域網出口的上網行爲管理設備(例如深信服的AC)進行終端上網行爲的管控時,對於無線接入終端需要具有如下要求。
1、 無線接入終端不能通過AP進行NAT地址轉換而接入公司局域網;
2、 無線接入終端需要獲取公司局域網的IP地址;
2 分析對於上述2點要求,原因如下。
1、 如果無線接入終端是通過AP獲取的獨立IP段地址(此地址段與公司局域網的IP段地址無關),並通過AP進行NAT地址轉換時,在AC上記錄到的只是AP的WAN口地址,無法記錄到無線終端的IP地址,因此,所有的上網行爲日誌記錄都無法與無線終端進行匹配。因此,不能通過AP進行NAT地址轉接而接入公司局域網;
2、 同理,每臺無線接入終端需要獲取公司局域網的IP地址,而非通過其它設備進行NAT地址轉換後的地址,以保證每臺無線接入終端在AC上認證爲單獨的一臺終端或單個用戶。
3 方法根據上述要求,對於AP應該進行如下配置。
1、 AP不需要配置WAN口,只需要配置LAN口,配置一個公司局域網IP地址,此地址只用於無線路由器的管理;
2、 關閉AP的DHCP功能;
3、 配置好AP的無線SSID配置;
4、 將公司局域網網線接入AP的隨意一個LAN口;
無線終端通過AP的無線SSID接入網絡,並通過公司局域網的DHCP獲取動態IP地址,就可以在AC中進行管控了。
李政
2012-05-08