無線接入終端上網行爲管控

無線接入終端上網行爲管控網絡

1 需求

當無線終端經過無線路由器(如下簡稱AP)接入公司局域網再訪問公網時,若是想經過部署在局域網出口的上網行爲管理設備(例如深信服的AC)進行終端上網行爲的管控時,對於無線接入終端須要具備以下要求。ide

一、 無線接入終端不能經過AP進行NAT地址轉換而接入公司局域網;日誌

二、 無線接入終端須要獲取公司局域網的IP地址;路由

2 分析

對於上述2點要求,緣由以下。部署

一、 若是無線接入終端是經過AP獲取的獨立IP段地址(此地址段與公司局域網的IP段地址無關),並經過AP進行NAT地址轉換時,在AC上記錄到的只是AP的WAN口地址,沒法記錄到無線終端的IP地址,所以,全部的上網行爲日誌記錄都沒法與無線終端進行匹配。所以,不能經過AP進行NAT地址轉接而接入公司局域網;get

二、 同理,每臺無線接入終端須要獲取公司局域網的IP地址,而非經過其它設備進行NAT地址轉換後的地址,以保證每臺無線接入終端在AC上認證爲單獨的一臺終端或單個用戶。it

3 方法

根據上述要求,對於AP應該進行以下配置。class

一、 AP不須要配置WAN口,只須要配置LAN口,配置一個公司局域網IP地址,此地址只用於無線路由器的管理;配置

二、 關閉AP的DHCP功能;路由器

三、 配置好AP的無線SSID配置;

四、 將公司局域網網線接入AP的隨意一個LAN口;

無線終端經過AP的無線SSID接入網絡,並經過公司局域網的DHCP獲取動態IP地址,就能夠在AC中進行管控了。

 

李政

2012-05-08

相關文章
相關標籤/搜索