为什么“提供客人接入”总是觉得是一个无赢的情况?您必须提供不受信任的客户端访问您的托管网络。您必须提供一个简单的工作流程来批准并允许访问者设备连接到SSID。您必须雕刻IP地址空间,但您不确定子网上需要多少个主机。这项业务表明这是一个“为客人提供的服务很好,”如果它破坏,它是一个严重性1票,SLA没有人可以量化。
对于管理此环境的网络工程师来说,生命是粗糙的。
提供此服务的最佳方式是定义您将支持的设备和用户,如何验证这些设备/用户以及如何从可信网络逻辑或物理地分离客户流量。此方法将稍后帮助您在SLA开发中。
从公司员工访问角度来看,重要的是拥有可能读取的东西的公司政策,“连接到公司网络的企业电子资产必须使用非客人的连接方式。”您的员工不应使用客户网来绕过管理他们访问权限的安全性或可接受的使用策略(AUP)。这应该是管理和人力资源问题;您的员工不是客人。
如果您在会议室中有标语牌,识别客户SSID和WPA预共享密钥(PSK)信息,则无法阻止您的内部用户与公司资产跳跃。另一方面,如果您有客座大厅,那么动态创建的帐户必须被坐在办公桌前的一个人批准,那么工作流程并不比标语牌更好。不可逾越的问题?
解决方案,有没有?
有一些建筑可能性可以帮助您解决这个难题。我是需要某种形式的终端用户交互的俘虏门户的忠实粉丝,其自我登记在哪里有意义。互动类型将取决于您的业务模式,并非所有解决方案都适合各种情况。深入潜水访客访问配置步骤,阅读Aruba Guest AccessArubaos验证了设计参考指导。
访问身份验证有三种常见的解决方案。您可以配置您的封装门户,以便客人确认您的公司AUP。您可以让用户响应发送到他们的电子邮件或移动设备的系统生成的消息。最后,您可能有一个Lobby Administrator为访客用户创建帐户。
第一个选择在那些高交通业务中非常适合。我们都去过这些地方 - 餐厅,酒吧和百货商店。通常,当用户连接到Wi-Fi SSID时,它们被重定向到俘虏门户。通常用网页打招呼,用户选择与AUP,安全性和隐私策略和关闭的复选框,然后转到网站“未知”。大多数用户从未阅读过这些策略,因此我始终建议提供策略的链接,而不是让客户滚动到所有的冗长。
第二个选项是办公室环境中客人访问的绝佳选择。您是否需要为您的IT顾问提供互联网接入,即进入新机会?将它们重定向到请求其公司电子邮件地址和/或手机号码的门户网站。这里,用户被临时上网访问,以便他们可以检查他们的电子邮件以获取响应代码。为了防止公众从未经授权的使用中,来自免费电子邮件提供商的校舍电子邮件地址,如@ gmail.com和@ yahoo.com。将小麦与谷壳分开!
一旦客户收到并将代码进入俘虏门户的授权页面,就会根据您的策略提供完全访问权限。使用某些身份验证服务可能需要其他应用程序或中间件。Aruba的俘虏门户可选择使用Amigopod.- 在阿鲁巴斯的代替游客管理。如果涉及中间件,请不要忘记检查许可或其他系统要求。
大堂管理员的第三种选择在带有轻型客车流量的小型办公室工作。您的工作流程将取决于人类创建和批准这些新的访客帐户。它不是一个非常可扩展的解决方案,但它仍然有效。
一种尺寸并不总是适合
您是否曾在知道期待听到的人中向某人提出了技术问题,“这是做{X}的最佳方式......”?他们的答案往往令人失望,因为它绝不是具体的;而是“这取决于”。在客人的情况下,您不必限于单个访问解决方案,因此不要归存自己。一位朋友提到了最近访问合作伙伴办公室,伴侣使用分层方法来访客Wi-Fi访问。
这家特殊公司使用了三个替代品的客人访问 - 员工嘉宾,WPA PSK公共活动和员工赞助的客人。为什么选择?有时,由于企业SSID的政策限制,您的员工需要访客访问。也许帮助台克需要测试VPN访问,但内部无线安全策略不允许IPSec出站和来宾。或者也许您希望为不同的安全姿势隔离IOT设备。
如果您的组织开辟了用于培训课程,演示或其他活动的会议室,您可能不希望为这些用户利用您的安全资源。为每个新事件创建新的SSID和WPA PSK。在这种情况下,您的要求是为与会者提供安全服务。漂亮的事情是密码,SSID将在事件的情况下消失。未来没有未经授权的访问。
最后,员工赞助的客人访问将是您的员工主办需要不同访问的客人的次数。再次,想想可能在现场的IT顾问,外部开发人员或审计师。在这种情况下,访客填写其在俘虏门户中的联系信息,并根据分配的策略提供访问。
这里的那一点是所有这些解决方案都可以同时使用。您可以分离您的客户需求的不同角色。故障排除或安全事件也是非常合乎逻辑的。
最后一次通话
技术工程和架构往往困难。由于分析瘫痪。您需要考虑您的客户如何使用您的服务,并考虑提供的技术选项。有时您只能限于单一的“最佳”解决方案。其他时候,您可以将分层方法进行服务网格。我们的人们倾向于在二元(开启或关闭)中思考,有时会错过数字树的森林。
客人访问可能很棘手。我几乎没有在可能的解决方案上划伤了表面。Aruba平台提供了相当多的选择,可以让访客管理更少噩梦和工具来帮助管理。
相关内容
客人与Arubaos访问
阅读我的其他博客
切割电缆:你从哪里开始?
