IMC V7 BYOD典型配置案例课件

1、 IMC V7 BYOD典型配置案例一、 组网需求：BYOD是智能终端大量普及和移动办公趋势下新的技术需求和业务模式，目前还没有如RFC类的行业标准规范。目前BYOD技术主要集中在如何解决移动终端（手机、平板、POS机等）认证控制的方案，主要解决：1.终端的智能识别；2.基于用户身份和终端类型的认证和权限控制； 3.基于终端和身份的安全控制；简而言之，即同一个帐号用不同的终端上线下发不同的网络访问权限以确保内网的安全。二、 组网图：无。三、 配置步骤：说明：此案例根据以下几种场景进行概述：a iMC服务器侧预先未创建帐号信息，设备启用MAC认证；b iMC服务器侧预先创建了帐号信息，设备启用8

2、02.1X或者Portal认证，此处以Portal认证为例。c BYOD为UAM的功能特性，从V5.2 E0401版本开始支持BYOD。在IMC V7平台中BYOD组件名称为用户接入管理-EIP服务器。场景1：iMC服务器侧预先未创建帐号信息，设备启用MAC认证；1. 设备侧的配置2. iMC侧的配置（1）创建匿名用户的接入规则，在接入规则里可以通过下发VLAN，ACL来控制终端用户的权限，如下图1：【图1】（2）创建办公业务用户的接入规则，在接入规则里可以通过下发VLAN，ACL来控制终端用户的权限，如下图2：【图2】（3）创建终端类型分组：“智能终端”,并绑定终端类型为iphone用于标识

3、移动终端。【图3】（4）创建终端类型分组：“PC”,并绑定终端类型为PC用于标识终端。【图4】（5）创建匿名服务，如下图5。【图5】（6）创建办公服务，并绑定两个接入策略，对应PC和智能终端两种接入场景，接入策略由接入规则和接入场景组成，不同的场景可以对应不同的安全策略（前提是在EAD功能组件里创建安全策略）。如下图6。【图6】（7）创建匿名用户：匿名用户，并绑定匿名帐号：byodanonymous，勾选“缺省BYOD用户”后，会自动生成byodanonymous帐号，并绑定“匿名”服务。如下图7。【图7】(8)创建业务用户和业务帐号：ligang，并绑定预先创建的业务服务“办公”，如下图8。

4、【图8】(9)增加接入设备,即启用认证的设备，IP地址为设备侧的Nas-IP,如下图9。【图9】(10) 在EIA安装包的UAM目录下找到“H3C IMC DHCP Agent”安装程序，将其拷贝至Windows DHCP服务器上安装，安装完成后启用DHCP SERVER。如下图10。【图10】UAM服务器IP地址请填写UAM使用的IP地址，UAM服务器端口号一般不需要修改，配置完成请点击“保存配置”，并启动DHCP Server。(11)（仅限V5版本）在业务|用户接入管理|业务参数配置|系统配置|BYOD系统参数配置，启用“快速认证功能”，开启该功能才能做MAC匿名认证。（V7版本此处已经

5、修改）。在用户|接入策略管理|业务参数配置|系统配置|终端管理参数配置如下图11。此处启不启用MAC无感知认证和MAC匿名认证无关。【图11】具体选项说明如下：1.启用MAC无感知认证：如果不启用MAC无感知认证，用户自助中将无法增加MAC地址信息，并且终端无法进行MAC无感知认证。2.单帐号最多绑定终端数：每个接入帐号可以绑定MAC地址的最大数量。3.终端老化时长：一旦绑定智能终端的MAC地址，该智能终端再次接入网络，无需输入账号名和密码，系统会自动进行认证，为了安全起见，系统会每天凌晨定时将绑定时间超过老化时长的MAC地址老化，这样该智能终端重新接入网络后，需要再次输入账号名和密码重新绑定

6、。老化时长设置为0天时，终端将永远不老化。5.禁止同时在线时长大于等于XX秒的终端进行portal无感知认证：如果将一个终端的MAC地址伪造成系统已经绑定的智能终端MAC地址，该终端接入网络后，系统也会自动进行Portal认证，这样该用户无需有UAM账号也可以非法接入网络，为了安全起见，系统会每天凌晨会判断已经绑定的MAC地址之前的一天内（00:00:00-23:59:59）是否存在同一时间段同时在线的情况，并且在线的重叠时长超过XX秒时就会认为存在伪造MAC地址情况，会将该MAC地址自动禁用Portal无感知认证。重叠时长只按单次重叠时长最长的记录，不累加计算。如果该时间设置为0秒时，表示系

7、统不会自动禁用Portal无感知认证。6.禁止非智能终端Portal无感知认证：当禁止非智能终端进行Portal无感知认证时，如果用户认证时使用的服务启用了Portal无感知认证，用户只有在智能终端上使用纯网页认证才能够成功，用户在非智能终端上、在智能终端上使用其他方式都会认证失败，认证失败的例子如下：在PC上进行的网页认证、在PC或者智能终端上使用iNode客户端进行Portal认证、802.1x认证、MAC地址认证，PPPoE认证和ADSL认证方式等。7.终端信息不一致的处理方式：用户进行认证时，如果系统获取到的该用户终端信息与数据库中已存在的终端信息不一致，则根据该参数取值控制是否允许用

8、户认证。8.终端信息获取方式：iMC系统可以通过客户端、DHCP、HTTP User Agent和MAC地址四种方式识别终端信息。如果选择了DHCP方式或HTTP User Agent方式，则在DHCP Server上需要安装DHCP Agent插件。3. 认证测试(1)匿名用户上线a.匿名帐号首次认证上线,由于设备启用了MAC地址认证，故当终端连接网络后，会自动发起MAC认证，此时查看UAM在线用户列表，帐号名为byodanonymous，登录名为终端的MAC地址，如下图12所示：【图12】b.查看终端MAC管理列表，插入了终端MAC和匿名帐号，以及终端类型等信息，如下图13，点击终端MAC

9、管理列表的“详细信息“按钮，可以查看获取到终端类型的方式，如下图14所示：【图13】【图14】说明：BYOD特性一个重要的技术是如何识别终端的类型。在这方面UAM目前支持DHCP特征识别、HTTP User Agent特征识别、MAC地址识别三种方式来识别终端的厂商、终端类型、操作系统等信息。三种方式同时开启场景，取值结果优先级从高到底排列：DHCP指纹法->HTTP User Agent识别法->MAC识别法。a.DHCP 指纹法：iMC BYOD截获终端发送的DHCP请求报文，获取其中的Option55字段，该字段内容的不同组合对应不同的终端类型。该DHCP请求报文一般有操作系

10、统发送，准确性和可靠性较有保证，iMC BYOD将此种识别方式优先级设置为最高。 【图15】该值为十六进制，如果自定义DHCP特征，则需要将该十六进制按一字节划分换算成十进制数，一字节由8个比特位组成，而一个十六进制由4个比特位组成，故按两个十六进制换算成10进制相加取和。如上图的Option 55字段值为01，0f，03，06，2c，2e，2f，1f，21，79，f9，2b计算结果：1，15，3，6，44，46，47，31，33，121，249，43，可以自行定义。【图16】b.HTTP User Agent识别法：iMC BYOD截获终端发送的HTTP请求报文，获取其中的User-Agen

11、t字段，该字段中包含的不同关键词（或组合）对应不同的终端类型。HTTP请求报文由浏览器等应用程序发送，准确性介于DHCP指纹和MAC地址之间。由于HTTP请求报文中一般不包含终端MAC地址信息，因此需要与其他功能（如DHCP、RADIUS等）配合将IP地址与MAC地址对应起来进行终端识别。【图17】c.MAC地址识别法：iMC BYOD在获取到终端的MAC地址后根据其所属的MAC地址段来确定该终端是哪个厂商生产的哪种型号设备，由于MAC地址是网卡的属性，因此该种识别方式不适合于可以安装独立网卡的设备，MAC地址本身作为终端的标识，又容易被修改，因此用MAC地址来识别终端类型是最不可靠的，在iM

12、C中将这种识别方式优先级排为最低。 【图18】(2)将正式帐号和该终端进行绑定。由于iMC V7不再使用DNS agent劫持DHCP ack报文中DNS服务器的IP地址来重定向到BYOD页面，终端浏览器在IMC V7平台下是无法跳转到BYOD页面的，虽然可以直接在IE输入http:/ip/byod弹出该页面，但是用户需要记住IMC服务器地址，体验很差。目前V7平台下byod页面跳转的方式如下：a：MAC认证：UAM给匿名用户引用的接入规则下发启用portal认证的vlan，利用portal的页面重定向功能将终端重定向到byod页面；AC具体配置如下：portal server portal

13、ip 5 key 123 url 5:8080/byod (此处portal 服务器后的链接地址为BYOD页面。)interface Vlan-interface20 description mac ip address dhcp select relay dhcp relay server-select 1 portal server portal method layer3 portal domain portalIMC侧配置:配合匿名接入规则的下发vlan 20，即可实现用户在浏览器

14、输入任意ip地址自动跳转到BYOD页面。b：8021x认证：UAM为缺省接入规则下发启用portal认证的vlan，利用portal的页面重定向功能将终端重定向到byod页面；c：Portal认证：和之前配置基本保持一致；在浏览器输入或者http:/ip/byod，浏览器会弹出BYOD界面如图19所示，可以绑定一个已存在的帐号，也可以直接创建一个访客进行绑定，不管自动的还是手工弹出该页面，前提是UAM在线用户列表必须有该终端的IP地址，否则打开该页面会提示：该用户未上线。使用已存在的账号绑定成功后如图20【图19】 【图20】（3）上步骤绑定正式帐号后，UAM会要求byodann

15、onymous帐号马上下线，然后重新上线，再查看UAM在线用户列表和终端MAC管理列表，如下图21，22【图21】说明：此时帐号名为xiaoming，服务和接入策略都成功改变。【图22】说明：此时终端MAC地址列表的帐号和用户是正式帐号xiaoming。（4）直接创建一个访客进行绑定方式:在BYOD页面也可以直接新创建一个访客进行绑定，步骤如下：1.开启访客服务。访客在BYOD页面默认是不显示的，可以通过下图所示路径修改。此处访客预注册显示默认没有勾选。新建访客服务，关联访客接入策略。同时设置访客管理员为ligang。此处通过下发vlan50控制访客的权限。然后在访客管理里面访客服务处增加新建

16、的访客服务，同时勾选自动转正访客服务。注意：只有访客管理系统参数中“预注册访客自动转正”设置为“允许”时，访客服务列表才会显示“自动转正访客服务”列。使用访客注册绑定此终端，调用了访客服务并下发vlan50成功，用户的地址也变为网段（下发VLAN ip地址自动更换功能手机、xp系统的电脑测试成功，win7系统ip地址不变，需要断开wifi再连接）。场景2：iMC服务器侧预先创建了帐号信息，设备启用802.1X或者Portal认证（此处以portal认证为例）1.设备侧的配置 802.1X和MAC认证都是二层认证协议，并且只有认证通过后才能通过DHCP Server获取IP地址，D

17、HCP Agent才会通知UAM服务器终端的具体信息，即先上线，再获取终端类型，此种场景，第一次不能BYOD，通过不同的终端类型下发不同的权限，只有再次认证上线才能根据终端类型下发不同的控制策略。故，忽略1X认证场景，在此以Portal认证为例。配置在场景1的AC配置里。2.iMC侧配置（1）创建IP地址组“ac”，并配置起始用户IP地址段，如下图23【图23】（2）添加Portal设备，设备名：AC，并配置Portal设备IP，和密钥，如下图24：【图24】（3）配置端口组，并绑定对应的IP地址组，如下图25：【图25】（4）创建Portal认证的用户帐号ligang，并绑定前面创建的服务，

18、如下图26所示：【图26】（5）终端获取IP，由于Portal认证是三层协议，即在通过认证前能通过DHCP获取到IP，其实在获取IP地址的同时，UAM服务器的终端MAC地址列表中已经记录了该终端的详细信息，如下图27：【图27】（6）打开IE或者使用iNode客户端Portal认证上线，如下图28所示：【图28】查看UAM在线用户列表：四、 配置关键点：1.UAM的byodanonymous账号必须通过勾选“缺省BYOD用户”的方式生成，不能通过手工输入一个byodannonymous账号的方式生成。2.完整的BYOD方案依赖iMC DHCP Agent提供关于终端的DHCP Option 55信息，因此需要客户网络的IP地下获取方式为DHCP方式且DHCP Server为WindowsDHCP服务器，并且需要在该服务器上安装iMC DHCP Agent程序。3.在启用快速认证之后，UAM判断终端MAC信息是否与已有账号关联是通过完整的登陆名（即账号名+域名