H3C_iMC_BYOD解决方案介绍

1、h3c imc byod 介绍,issue 2.0,日期：2013-04,了解imc byod的系统框架和实现原理 掌握imc byod的功能特性 熟悉imc byod的基本配置 熟悉imc byod的维护方法,课程目标,学习完本课程，您应该能够,第一章 imc byod概述 第二章 imc byod功能特性 第三章 imc byod支持应用 第四章 imc byod安装和使用 第五章 imc byod的维护,目录,imc byod概述,一, 什么是byod？ byod(bring your own device） 指带自己的终端上班，这些设备包括个人电脑,手机，平板等，现在更多情况指手机或平

2、板这样的移动智能终端设备。 byod是智能终端大量普及和移动办公趋势下新的技术需求，目前在byod领域业界关注在于： 1.终端的智能识别； 2.基于用户身份和终端类型的认证和权限控制； 3.基于终端和身份的安全控制,whats the byod,byod的发展趋势,第一章 imc byod概述 第二章 imc byod功能特性 第三章 imc byod实现方式 第四章 imc byod安装和使用 第五章 imc byod的维护,目录,byod功能特性,1.全面的组网方式：h3c 拥有完整的产品线，可提供全面的有线，无线一体化场景下的byod解决方案。 2.多种认证方式：支持多种认证方式，基于m

3、ac认证，portal，802.1x等多种接入认证方式。 3.终端智能识别：portal认证场景，可以根据不同的终端类型推送出不同的认证页面，满足不同场景的需求。 4.灵活的权限控制：支持灵活的策略定义和下发，支持根据终端类型，用户身份，时间，位置等接入场景下发不同的策略,byod,第一章 imc byod概述 第二章 imc byod功能特性 第三章 imc byod实现方式 第四章 imc byod安装和使用 第五章 imc byod的维护,目录,h3c byod实现原理,目前byod技术主要要集中在如何解决移动终端（手机、平板、pos机等）设备网络认证控制方案的层面上，各厂家的实现也不尽

4、相同,byod特性一个重要的技术是如何识别终端的类型。在这方面uam目前支持dhcp特征识别、http user agent特征识别、mac地址识别三种方式来识别终端的厂商、终端类型、操作系统等信息。此外，从业务上看，byod一个重要的业务需求就是终端用户使用同一账号在不同的终端上认证时需要分配不同的控制策略，对于认证系统来看就是认证时除了对账号信息的判断外对接入场景的判断也是非常重要的。为了适应这种业务需求，uam将原有的账号服务模式中的服务做了很大的修改，将uam服务主体改为“接入策略”，接入策略由场景信息与接入规则信息（原uam服务主要内容）组成。新的业务模式充分体现了对接入场景的重视，

5、在集成uam原认证功能的基础上可以很好的实现上述新的功能需求,h3c byod 体系结构,基本缺省信息（含ead及计费） 授权信息,绑定信息， 客户端配置,内网外联配置，接入区域配置,plat账号信息 uam账号信息,uam 5.2 e0401（之前版本）的uam业务模式即“账号服务”模式,服务,帐号,h3c byod 体系结构,基本缺省信息（可以理解为缺省接入策略,接入策略一（场景信息策略信息,接入策略n（场景信息策略信息）,plat账号信息 uam账号信息,uam 5.2 e0401及之后版本）的uam业务模式即“账号服务”模式,服务,帐号,终端识别范围,byod特性一个重要的技术是如何识

6、别终端的类型，当前： 针对所有可能接入网络的终端进行识别，包括台式机、便携机、手机、pad、pos机、打印机、ip电话 需要识别终端的类型：pc、pad、手机、哑终端。 识别终端的厂商甚至具体型号。 识别终端上安装的操作系统类型和版本。 识别终端使用的浏览器等网络应用,终端识别-mac地址识别法,imc byod在获取到终端的mac地址后根据其所属的mac地址段来确定该终端是哪个厂商生产的哪种型号设备。 由于mac地址是网卡的属性，因此该种识别方式不适合于可以安装独立网卡的设备。 mac地址本身作为终端的标识，又容易被修改，因此用mac地址来识别终端类型是最不可靠的，在imc中将这种识别方式优

7、先级排为最 低,操作员可以自己定义某个mac范围对应的厂商及终端类型,终端识别-dhcp指纹识别法,imc byod截获终端发送的dhcp请求报文，获取其中的option55字段，该字段内容的不同组合对应不同的终端类型。 该dhcp请求报文一般有操作系统发送，准确性和可靠性较有保证，imc byod将此种识别方式优先级设置为最高,dhcp指纹识别终端（续,操作员可以自己定义dhcp指纹标识的终端信息,终端识别-http user-agent识别法,imc byod截获终端发送的http请求报文，获取其中的user-agent字段，该字段中包含的不同关键词（或组合）对应不同的终端类型。 http

8、请求报文由浏览器等应用程序发送，准确性介于dhcp指纹和mac地址之间。 由于http请求报文中一般不包含终端mac地址信息，因此需要与其他功能（如dhcp、radius等）配合将ip地址与mac地址对应起来进行终端识别,http user-agent识别终端（续,操作员也可以自定义user-agent中关键词与终端类型的对应关系。 可以用&或|符号将多个关键词组合起来进行终端识别,inode终端识别法,该功能从uam/ead v5.2 e0402p03版本，inode v5.2 e0406版本开始支持，需要开启策略服务器，通过策略服务器1号报文上传终端信息，查看inode的secpkt日志文

9、件输出如下： 2013-04-17 14:09:09 dtlcmn 1ce0 secpushinner: out-pkt 1 byodapril s09910 h3c true h3c false true false true true windows 7 ultimate service pack 1,byod注册页面识别终端信息,访问（或被重定向）byod注册页面，从而通过http user-agent获取到终端信息后，为了能使基于场景的准入控制实时生效，uam会强制用户下线，让用户重新认证,四种方式的优先级,add your text,add your tex

10、t,add your text,add your text,add your text,四种方式同时开启场景，识别结果优先级从下往上依次排列,h3c byod 四要素,我司byod主要由imc uam,ead功能组件实现，byod功能模块属于uam组件，从uam v5.2 e0401版本开始支持。我司uam的byod特性由如下四部分组成： 1.终端设备：有认证接入网络访问资源的设备，需要支持dhcp获取ip地址。一般是移动设备如pad、手机，也可以是pc或pos、打印机等设备。 2.认证设备：启用身份认证的设备（包括802.1x，portal认证），一般认证方式为mac认证。 3.imc ua

11、m:主要使用了imc uam byod认证页面、访客管理两个模块的功能 4.windows dhcp服务器：用于给终端设备分配ip地址，同时需要安装uam的imc dchp agent插件,imc uam支持的场景,接入区域：根据接入设备ip确定属于哪个场景 接入ip地址组：根据认证时用户ip确定属于哪个场景 无线ssid组：根据无线终端接入时使用的ssid确定属于哪个场景 接入mac地址组：根据终端的mac地址确定属于哪个场景 终端分组：根据前述识别出来的终端类型确定属于哪个场景,基于场景选择不同策略,多种元素同时确定场景，按优先级匹配使用对应的接入规则、安全策略等,计费策略不能基于场景选择

12、。为什么,策略,访客管理,byod方案中未注册过的访客可以直接进行mac认证，需满足如下条件： 用户名为合法的mac地址格式（无分隔符、-：分隔符、大小写） 该mac没有对应的用户名/哑终端配置 认证请求报文中的calling-station-id属性值与用户名是同一个mac 存在“缺省byod用户,访客管理,未注册访客使用“缺省byod用户”认证成功后如果访问byod注册页面（可以是主动访问也可以是通过dhcp修改dns的重定向），imc判断该ip对应的mac是否与缺省byod用户关联的，如果是则会进入访客预注册页面。此页面可以新注册一个访客也可以直接与已存在的用户/访客绑定。绑定成功后也会

13、强制用户下线,第一章 imc byod概述 第二章 imc byod功能特性 第三章 imc byod实现方式 第四章 imc byod安装和使用 第五章 imc byod的维护,目录,byod部署,byod对应的uam安装部署模块为“用户接入管理byod服务器”如下图所示。该模块可以部署在imc从机上，但不支持分布式部署多个。该模块对系统性能要求不高，因此一般与uam基础组件安装部署在一台服务器上,byod部署（续,成功部署完byod后的进程为“dnsproxy”，如下图所示。如果不与imc plat部署在一起还会有webserver进程,byod应用场景,终端账号需要根据不同的场景（如设备

14、类型，认证位置等）分配不同的控制策略的场景,例如： 1.企业办公：外企，互联网企业，高新技术企业，支持员工自带设备办公。 2.访客管理：百货，机场等公共场所，提供上网服务给客户；银行网点，提供上网和业务办理服务自带终端的客户,byod常用配置步骤,创建正式uam账号 或访客用户使用的 byod服务并与账号 相关联,step1,创建byodanonymous账号并关联服务,在windowsdhcp 服务器上安装imc dhcp agent程序,step2,step3,1.创建缺省byod账号，服务并关联服务,关联服务,在uam安装包的根目录下找到“h3c imc dhcp agent”安装程序，

15、将其拷贝至windows dhcp服务器上安装即可，安装过程非常简单，在此省略具体的安装步骤,安装完成后可以在windows的开始菜单中看到“dhcp agent”程序，点击即可启动。dhcp agent必须安装在dhcp server上,2. 安装 dhcp agent程序,dhcp agent运行界面,1.uam服务器ip地址请填写uam使用的ip地址。 2.uam服务器端口号一般不需要修改。 3.配置完成请点击“保存配置,3.创建正式uam账号使用的byod服务并关联,设备侧认证配置,正式帐号的权限由接入规则，ead策略控制，配置流程如上图,终端识别管理相关配置(1,用户接入管理终端识别

16、管理中，配置的顺序是选配置终端设备所属的厂商、终端类型、操作系统这三项，然后将这些内容与dhcp、http user agent、mac地址识别技术关联起来。uam系统已自带了一些典型配置，实际使用中建议先检查一下uam自带的配置项，如果满足应用场景则可以不配置，如果不满足则可以修改现有配置或增加新的配置项。 1.配置厂商、终端类型、操作系统 uam自带了部分典型配置。如果满足应用场景则可以不配置，如果不满足则可以修改现有配置或增加新的配置项。下面均以新增一个配置项来举例。 新增一个厂商，在厂商列表中点击“增加”，输入相关信息后点击“确定”即可完成添加,终端类型,新增一个终端类型，在终端类型列

17、表中点击“增加”，输入相关信息后点击“确定”即可完成添加,操作系统,新增一个终端操作系统，在操作系统列表页面点击“增加”，输入相关信息后点击“确定”即可完成添加,2.特征识别配置,特征识别包含dhcp、http user agent、mac 、 inode四种特征识别技术。这里所做的配置是将这三种技术与前面配置的终端厂商、类型、操作系统关联起来。同样uam自带了部分典型配置。如果满足应用场景则可以不配置，如果不满足则可以修改现有配置或增加新的配置项。下面均以新增一个配置项来举例。新增一个dhcp特征识别配置，在dhcp特征识别列表中点击“增加”，输入dhcp特征信息及关联的厂商、终端类型与操作

18、系统后点击确定,dhcp 指纹技术,厂商、终端类型、操作系统可以配置为空，当配置为空时表示不进行关联。这里的dhcp特征指终端设备dhcp request报文中option 55字段的内容（如下图），输入时需要输入十进制，以逗号分隔。如果不确定option 55字段的内容可以通过终端抓包来确定,新增一个http user agent特征识别配置，在http user agent特征识别列表中点击“增加”，输入http user agent特征信息及关联的厂商、终端类型与操作系统后点击确定,如果不确定终端浏览器的http user agent信息可以通过抓包来确认 如果没有勾选智能终端复选框，则

19、厂商、终端类型、操作系统不可以同时为空,http user agent技术,接入场景配置,接入场景管理在主要包括接入区域管理、接入ip地址组管理、无线ssid管理、接入mac地址管理、厂商分组管理、终端类型分组管理、操作系统分组管理、接入时段管理、接入mac地址管理、硬盘序列号管理、接入ssid管理几大部分。请根据实际的业务需求进行配置。 这里面只有厂商分组管理、终端类型分组管理、操作系统分组管理这三个为新增的配置项，下面重点说明这三个新增内容的配置方法，其它配置项请参考之前的配置文档或特性说明书。 根据客户的业务需求配置厂商分组：配置厂商分组名称并在厂商列表中选择对应的厂商，比如可按手机厂商

20、、平板厂商来进行分组,根据客户的业务需求配置终端类型分组：配置终端类型分组名称并在类型列表中选择对应的类型，比如可按手机、平板来进行分组,终端类型分组,根据客户的业务需求配置操作系统分组：配置操作系统分组名称并在类型列表中选择对应的类型，比如可按ios，android相分类等,操作系统分组,接入规则配置,接入规则实际上是uam之前版本的服务，这里根据实际的业务需求配置即可。最终实现不同的终端不同的接入规则（控制,创建uam一般账号或访客账号使用的byod服务并与账号相关联,创建“访客byod服务”，同时根据实际业务需求增加对接的接入策略,tips:1.服务后缀需要与前面byod匿名账号服务后缀

21、相同。 2.接入策略可以配置多个,认证设备侧相关配置,1.设备侧配置正常的身份认证、radius相关配置，关于这部分内容在设备的配置手册或业务软件的典型配置中已有详细说明，在此不再赘述。 2. 建议认证设备上配置为radius带域名认证，域名从易于维护的角度上讲建议配置为byod。 eg： radius scheme fan primary authentication 22 primary accounting 22 key authentication cipher $c$3$hcexxoruqqdahtonnmbme/8htloh6a= k

22、ey accounting cipher $c$3$+4oomqlhe2/otpynxwqerm4+g4euua= nas-ip 4 domain byod authentication lan-access radius-scheme fan authorization lan-access radius-scheme fan accounting lan-access radius-scheme fan 不同认证方式的配置方法不同，具体参考设备配置手册,uam byod系统参数配置,在uam业务参数配置系统配置byod参数配置中可以对byod的系统参数进行调整。部分

23、参数与byod特性关系不大，但从管理的角度也将其放在了该菜单下面。下面详细说明一下这些参数的意义 启用快速认证功能：指当uam收到mac地址形式的认证用户名时是按快速认证处理还是按正常的uam账号处理。在使用byod的场景中该参数需要配置为“是”。 单账号最多mac数：每个账号可以关联的mac地址的最大数量,uam byod系统参数配置（续,智能终端mac地址老化时长：该参数与byod无关，是智能终端快速认证的一个参数，请参考智能终端快速认证的特性说明书。 禁止同时在线时长大于等于（）秒的mac地址进行快速认证：该参数与byod无关，是智能终端快速认证的一个参数，请参考智能终端快速认证的特性说

24、明书。 禁止非智能终端认证：该参数与byod无关，是智能终端快速认证的一个参数，请参考智能终端快速认证的特性说明书。 快速认证老化时长：mac与账号的关联信息的保存时长，超过该时长后终端mac再次快速认证时需要再次输入账号信息。 终端信息不一致的处理方式：uam发现本次mac对应的厂商、类型、操作系统等信息与上次不一致时是否允许终端通过认证。该参数是一个安全参数，主要用于防止终端通过修改mac地址的方法进行仿冒认证。 终端信息获取方式：只有勾选的配置项uam才进行监听，将对应的信息添加至uam数据库的mac注册信息表中。一般情况下这里的三个配置项均需要勾选,byod配置注意事项,1.uam的b

25、yodanonymous账号必须通过勾选“缺省byod用户”的方式生成，不能通过手工输入一个byodanonymous账号的方式生成。 2.完整的byod方案依赖imc dhcp agent提供关于终端的dhcp option 55信息，因此需要客户网络的ip地下获取方式为dhcp方式且dhcp server为windowsdhcp服务器，并且需要在该服务器上安装imc dhcp agent程序。 3.在启用快速认证之后，uam判断终端mac信息是否与已有账号关联是通过完整的登陆名（即账号名+域名）来进行的。所以要求uam账号或访客账号申请的byod服务后缀与byodanomymous账号的服

26、务后缀必须相同。 4.在启用快速认证之后，移动终端的mac地址与a帐号关联后目前不支持再与b账号关联，如果需要与b账号关联只能将mac与a的关联信息从uam中删除。目前有两种方法：1、a账号先登陆用户自助将mac地址删除。2、管理员在uam用户接入管理终端mac地址管理中删除mac与uam账号的关联信息。 5.在访客byod的场景中请注意在uam中启用访客的相关功能，比如：访客自动转正，访客服务等,byod配置注意事项（续,6. 由于uam需要监听终端浏览器发送过来的dns所以“uam用户接入管理byod服务器”模块（以下简称uam byod模块）安装部署及运行时必须使用tcp 80（http

27、）端口，即uam byod模块所在服务器的webserver（在uam与plat安装在一起时为jserver）的端口必须为80.如果为非80需要在安装部署uam byod模块前修改为80端口。修改方法如下,需要修改的地方有两处： 7.第一处：用记事本或ue修改uam byod模块所在服务器安装目录perties配置文件（修改前请先备份），将其中的imc.http.port修改为80端口，如下图所示,byod配置注意事项（续,8.第二处：在uam系统参数配置中将“自助服务器端口”、“imc配置台端口”修改为80,byod配置注意事项（续,9.然后在uam by

28、od模块所在服务器的imc部署监控代理中重起webserver进程（在与plat安装在一台服务器的场景中为jserver进程）生效。 10.uam byod模块必须使用tcp 80端口并且与portal及用户自助共用webserver进程。如果uam byod模块安装部署的服务器上也部署了portal或用户自助（用户自助的可能性能小，因为一般用户自助需要部署在独立的服务器上）则意味着portal或用户自助的端口也必须使用80端口。对于新建局点场景，需要提前将该服务器uam portal与用户自助规划为tcp 80端口；对于升级场景，需要在升级前将portal及用户自助业务使用端口修改为80端口

29、，该操作对客户现有业务影响较大，请提前知会客户，避免不必要的问题,特性实现原理（流程）介绍,认证过程详解,1.终端进行mac认证，认证设备将终端用户的认证信息（以mac地址为用户名）通过radius发给uam，这时uam中并不此mac地址账号名。 2.在启用byodanonymous账号的情况下，uam将认证的mac（可带域名后缀）作为登录名与byodanonymous账号关联并让其通过认证，认证后的uam在线表如下图所示,认证过程详解（续,3.uam从在线表中获取到mac地址信息并添加到uammac地址注册信息表。 4.终端与dhcp server交互获取ip地址， 由于dhcp server上安装了imc dhcp agent程序，dhcp agent会与uam交互以判断是否将dhcp server发给终端设备的dhcp回应消息中的dns修改为uam的ip地址。如果该mac在uam上没有记录，则修改dns为uam的ip，反之则不修改，终端设备获取正常的dn