无线接入终端上网行为管控

一、需求

当无线终端通过无线路由器(以下简称AP)接入公司局域网再访问公网时，如果想通过部署在局域网出口的上网行为管理设备(例如深信服的AC)进行终端上网行为的管控时，对于无线接入终端需要具有如下要求。

1、 无线接入终端不能通过AP进行NAT地址转换而接入公司局域网;

2、 无线接入终端需要获取公司局域网的IP地址;

二 、分析

对于上述2点要求，原因如下。

1、 如果无线接入终端是通过AP获取的独立IP段地址(此地址段与公司局域网的IP段地址无关)，并通过AP进行NAT地址转换时，在AC上记录到的只是AP的WAN口地址，无法记录到无线终端的IP地址，因此，所有的上网行为日志记录都无法与无线终端进行匹配。因此，不能通过AP进行NAT地址转接而接入公司局域网;

2、 同理，每台无线接入终端需要获取公司局域网的IP地址，而非通过其它设备进行NAT地址转换后的地址，以保证每台无线接入终端在AC上认证为单独的一台终端或单个用户。

三、方法

根据上述要求，对于AP应该进行如下配置。

1、 AP不需要配置WAN口，只需要配置LAN口，配置一个公司局域网IP地址，此地址只用于无线路由器的管理;

2、 关闭AP的DHCP功能;

3、 配置好AP的无线SSID配置;

4、 将公司局域网网线接入AP的随意一个LAN口;

无线终端通过AP的无线SSID接入网络，并通过公司局域网的DHCP获取动。