h3ciMCEIAPortal无感知认证特性说明书

1、.iMC EIA Portal无感知认证特性说明书关键词 ：EIA、 Portal 、无感知摘要：本文档详细描述了iMC EIA Portal无感知认证的功能、用途 、配置方法和实现原理等。缩略语 ：缩略语英文全名中文解释EIAEnd-user Intelligent Access智能终端接入.专业学习资料.目录1 特性介绍32 特性的优点33 版本历史记录44 使用指南44.1 使用场合44.2 应用方式 （使用指导 ）44.3 应用举例5无感知认证配置步骤5无感知认证操作步骤84.4 注意事项95 特性实现原理 （流程 ）介绍10.专业学习资料.1 特性介绍Portal 无感知认证是一种针

2、对智能终端、无需输入用户名和密码即可上线的认证过程。用户第一次使用智能终端时，通过浏览器上网产生流量，设备会重定向到Portal 认证页面 。 用户输入用户名、密码 、服务等信息后上线，服务器会将认证信息以及终端的MAC 地址保存到数据库中。当用户再次使用该智能终端访问网络产生流量时，服务器自动使用该认证信息进行认证，免去了用户输入认证信息上线的过程。为了防止用户仿冒MAC 地址后可以不输入认证信息上线，管理员和用户可以将MAC 地址禁用快速认证 ，在这种情况下 ，用户每次上线时都需要输入认证信息。2 特性的优点Portal 无感知认证的优点如下：(1)支持用户免输入认证上线。用户只需要在第一

3、次上线时输入认证信息，下次上线时会自动使用该认证信息认证 ，简化了用户操作 。(2)支持智能终端类型配置。智能终端与非智能终端使用不同的上线方式，使用该配置可以有效地区分这两种终端类型，方便操作员对终端类型的管理。(3)支持已绑定的智能终端MAC 地址信息管理 。 可以查询所有绑定的智能终端MAC 地址信息并进行管理 ，方便操作员操作 。(4)支持禁用智能终端 MAC 地址信息快速认证 ，存在手动禁用和自动禁用两种方式。禁用快速认证后 ，用户使用该智能终端上线时总需要输入认证信息。 这样可以防止用户仿冒 MAC 地址后使用他人信息上线 。(5) 支持用户对本帐号绑定的智能终端MAC 地址信息操

4、作 。 用户可以在自助服务中对帐号绑定的智能终端MAC 地址信息进行删除和禁用快速认证操作。方便用户个人信息维护。.专业学习资料.3 版本历史记录表 3-1 特性版本历史记录产品版本号修改描述备注1、配置界面中将 Portal 无感知认证和MAC 快iMC EIA 7.0 (E0203)速认证分开显示 。无2、预置 Portal 无感知认证的常见特征值。iMC UAM 5.1 (E0303)首次发布 Portal 无感知认证 。首次发布4 使用指南4.1 使用场合在企业 、学校或者其他环境中使用智能终端进行认证上线，并且在使用过程中可能会出现频繁的上线和下线操作。4.2 应用方式 （使用指导

5、）(1) 在 iMC EIA 中增加服务类型配置 ，选择 Portal 无感知认证 。(2) 在 iMC EIA 中增加接入设备 。(3)在 iMC EIA 中增加 Portal 设备以及端口组信息，端口组信息中选择支持Portal 无感知认证 。(4) 在 iMC EIA 中增加接入用户 。(5) 在 iMC EIA 中设置系统参数 。(6) 在接入设备中配置 Radius 认证命令以及 Portal 无感知认证相关命令 。.专业学习资料.4.3 应用举例无感知认证配置步骤1. 增加服务配置进入增加服务配置页面，在该页面勾选Portal无感知认证，如图4-1所示 。 如果服务没有勾选Port

6、al 无感知认证 ，则用户使用该服务时不能进行Portal 无感知认证 。图 4-1 增加服务配置2. 增加接入设备增加接入设备方式没有变化。3. 增加 Portal 设备以及端口组信息增加 Portal 设备方式没有变化。在增加端口组信息页面中，无感知认证这一项选择“支持 ”，如图 4-2 所示 。如果端口组信息中无感知认证选择 “不支持 ”，用户在该端口组对应的端口上不能进行Portal 无感知认证 。图 4-2 增加端口组信息.专业学习资料.4. 增加接入用户进入增加接入用户页面，选择 “Portal 无感知认证最大绑定数”，如图 4-3 所示 。如果选择 “不支持绑定 ”，则该用户不能

7、进行Portal 无感知认证 。 选择其他数字均表示支持Portal 无感知认证 ，且每个帐号绑定的终端数上限即为该参数的值。图 4-3 增加接入用户5. 配置系统参数进入系统参数配置页面，如图 4-4 所示 。图 4-4 配置系统参数系统参数中有三个参数用于控制Portal 无感知认证 ：终端老化时长：一旦绑定终端的MAC 地址 ，该终端再次接入网络，无需输入账号名和密码，系统会自动进行Portal认证，为了安全起见，系统会每天凌晨定时将绑定时间超过老化时长的 MAC 地址删除 ，这样该智能终端重新接入网络后，需要再次输入账号名和密码重新绑定。老化时长设置为0 天时 ， MAC 地址将永远不

8、老化。默认设置为7 天。禁止同时在线时长大于等于XX 秒的终端进行Portal 无感知认证 ：如果将一个终端的MAC 地址伪造成系统已经绑定终端的MAC 地址 ，该终端接入网络后，系统也会自动进行Portal 认证 ，.专业学习资料.这样该用户无需有EIA 帐号也可以非法接入网络，为了安全起见 ，系统每天凌晨会判断已经绑定的 MAC 地址之前的一天内（ 00:00:00-23:59:59 ）是否存在同一时间段同时在线的情况，并且在线的重叠时长超过XX 秒时就会认为存在伪造MAC 地址情况 ，会将该 MAC 地址自动禁用快速认证。重叠时长只按单次重叠时长最长的记录，不累加计算 。 如果该时间设置

9、为0秒时表示不启用该功能。非智能终端Portal无感知认证 ：当禁止非智能终端认证时，如果用户认证时使用的服务启用了 Portal无感知认证 ，用户只有在智能终端上使用纯网页认证才能够成功，用户在非智能终端上 、在智能终端上使用其他方式都会认证失败，认证失败的例子如下：在 PC上进行网页认证（如果 PC 设置成了智能终端，这个就不是认证失败的例子）、在 PC 或者智能终端上使用iNode 客户端进行Portal 认证、 802.1x 认证、 MAC 地址认证 ，PPPoE 认证和 ADSL 认证方式等。6. 在接入设备中配置 Radius 认证命令以及 Portal 无感知认证相关命令 。通过

10、 Console 或者 Telnet 方式登录接入设备的CLI。RADIUS 认证命令没有变化，本文省略相关配置。Portal 无感知认证命令如下：（命令的含义可以稍微再详细些，让大家明白这些命令具体的作用）配置将终端MAC 地址上传给EIA 服务器<Sysname> system-view其中为 Portal 服务器 IP 地址 。配置在 VLAN-interface中启用上传MAC 地址的功能<Sysname> system-viewSysname interface vlan-interface 2Sysname-Vlan-interface2 portal ma

11、c-trigger enable period 60 threshold 1024.专业学习资料.无感知认证操作步骤1. 用户使用智能终端进行认证(1)用户使用智能终端通过浏览器访问网络，网页被重定向到Portal 认证页面 。用户输入用户名 、密码 、服务等认证信息 ，进行上线认证 。(2)认证成功后 ，用户下线 。(3)用户再次使用该智能终端访问网络，此时不需要输入用户名和密码，直接上线 。2. Portal 无感知用户管理与无感知认证特征管理进入 Portal 无感知用户列表页面，查看 Portal 无感知用户列表，如图 4-5 所示。图 4-5 Portal 无感知用户管理操作员可以进

12、行批量删除、禁用无感知认证和启用无感知认证等操作。对于禁用无感知认证的终端，上线时总会推出Portal 认证页面 ，需要用户手工输入认证信息进行认证上线 。在 Portal 无感知认证用户列表中 ，单击 < 无感知认证特征管理 > 按钮 ，进入无感知认证特征管理页面，如图 4-6 所示 。 系统预置了大量常用 HTTP 特征 ，只有符合这些特征的终端才能进行无感知认证。 因此 ，当终端用户使用的终端特征不在特征库中时，需要管理员手工增加。图 4-6 无感知认证特征管理.专业学习资料.3. 用户自助管理智能终端 MAC 地址用户登录自助服务，在首页 “查询用户资料”中显示当前用户绑定

13、的智能终端MAC地址信息 。 如错误！未找到引用源。所示 。 其中提供了智能终端MAC 地址信息删除以及禁用快速认证操作。需要注意的是，如果某一条 MAC 地址信息已经禁用快速认证，在用户自助中不能将该MAC 地址信息启用快速认证。图 4-7 自助服务查询用户资料4.4 注意事项使用的接入设备需要支持Portal 无感知认证 。如果用户使用Portal 无感知认证的方式认证上线，则服务配置中的“绑定 MAC 地址 ”功能将不生效 。即使用户绑定的某一智能终端MAC 地址已经禁用快速认证，该 MAC 地址仍然算入用户的智能终端最大绑定数中。如果无法获取终端用户的MAC 地址 ，如三层 Portal 认证 ，则无法使用Portal 无感知认证功能。.专业学习资料.5 特性实现原理 （流程）介绍Portal 无感知认证过程如下图所示。图 5-1 智能终端第一次上线过程终端AP/ACPortal 服务器RADIUS 服务器打开浏