办公网准入功能采用EAP-TLS认证(证书认证)技术接入企业办公网,无需您输入账户名和密码,基于802.1x协议只需要管理员在SASE上配置企业无线网的信息,然后在企业网络设备上配置SASE Radius服务器的信息,实现企业员工通过SASE App安装的网络证书接入企业的无线或者有线网络。本文介绍如何接入企业办公网。
什么是EAP-TLS认证
EAP-TLS(Extensible Authentication Protocol-Transport Layer Security)认证是一种用于网络安全的认证协议,用于客户端和服务器之间使用Transport Layer Security(TLS)协议来建立安全通道。TLS提供了加密和身份验证功能,确保通信的机密性和完整性。
EAP-TLS认证的认证流程如下图所示:
使用SASE接入企业办公网的方式,SASE会为您提供准入Radius服务器,您只需要准备企业的无线控制器和交换机。SASE会自动为SASE App下发CA证书和入网证书。关于SASE证书的具体信息,请参见修改入网证书。
Windows、Android设备会自动帮您安装证书,macOS、iOS设备需要您根据界面提示授权后安装证书。具体信息,请参见安装并登录SASE App。
前提条件
已购买内网访问安全高级版。具体操作,请参见购买服务。
已安装办公区无线控制器和交换机,且支持802.1x协议。
已安装SASE App。具体操作,请参见安装并登录SASE App。
已配置用户组。具体操作,请参见配置用户组。
接入企业办公网
步骤一:创建企业无线网络实例
登录办公安全平台控制台。
在左侧导航栏,选择。
在WIFI管理页签,单击新建网络实例。
在企业无线网配置对话框,配置如下信息。
配置项
说明
网络SSID
输入您的网络SSID。网络SSID即服务集标识符SSID(Service Set Identifier),是无线局域网络(WLAN)的名称,也就是您的WIFI网络名称。
认证模式
选择网络的认证模式。当前只支持EAP-TLS认证模式。
自动加入
开启自动加入:当发现该网络信号后,设备会自动连接该网络。
不开启自动加入:需要企业员工手动在终端设备上搜索到办公网络并连接。
IP白名单
添加IP白名单信息,即设置生效用户。
支持添加IP或者IP段,例如“10.10.XX.XX”或“10.0.XX.XX/8”。
如果您不设置IP白名单,则默认对企业的所有源IP开放。
单击确定。
网络实例创建成功后,会自动上线。
步骤二:获取SASE Radius服务器信息
接入企业办公网络之前,您需要在企业NAC(即无线控制器和交换机)上配置SASE Radius服务器(即准入Radius服务器)的区域、IP、UDP端口、密钥等,建立SASE Radius服务器和企业NAC的网络连接。
在WIFI管理页签,单击
图标即可获取SASE Radius服务器信息。建议选择距离企业办公区域最近的服务器,且确定服务器的状态为可用。
完成以上两个步骤后,即网络连接建立成功,此时企业员工只需要安装或重新登录SASE App,安装证书即可。
下线网络实例
当您不再使用某个WIFI网络作为企业办公WIFI时,您可以将该WIFI的网络实例下线。
在WIFI管理页签,定位到待下线的网络SSID,单击操作列上线。
在确认框中,单击确定。
下线该网络实例后,SASE App用户无法通过该网络实例配置的WIFI网络进行业务访问。请谨慎操作。
该网络实例配置不变,后续重新上线后,如果涉及到证书的变更,则需要SASE App用户单击退出并注销,然后重新登录SASE App,以便安装新的入网证书。
编辑网络实例
针对已下线的网络实例,您可以编辑配置信息,并再次上线。再次上线的网络实例,则需要SASE App用户单击退出并注销,然后重新登录SASE App,以便安装证书。
删除网络实例
针对已下线的网络实例,当您确认该网络实例不再使用时,您可以删除其信息。