h12-731认证精英hcie security v1.5培训与实验手册hcsceagile controller访客管理特性

AgileController访客

管理特性

前言随着WIFI大量普及，在企业、商场等多种场合需要能够让访客临时接入网络，并在访客接入网络后进行准入控制与行为审计。为解决这个问题，华为公司在敏捷控制器AgileController中推出了访客准入与访客管理功能。本课程介绍敏捷控制器AgileController访客准入与管理。目标学完本课程后，您将能够:了解访客管理的应用场景了解访客账号创建、审批、分发、注销流程了解访客Portal认证流程了解访客行为审计操作目录访客功能介绍账号申请访客认证访客审计页面推送访客定义及接入场景如何定义企业访客？什么是访客？访客接入有哪些特征？非企业正式员工可能是到企业来参观、交流的客户，也可能是企业的合作方可能是在企业消费的客户更可能是普通生活中的大众访客自带设备接入网络访客言论、行为不受控访客访问企业网络范围需要受控访客接入的几种典型场景大型企业公共事业典型机构：地铁、机场等典型场景：普通民众通过这些公共事业单位提供的网络，访问internet典型企业：高档酒店、咖啡馆等典型场景：客户在企业消费，同时有访问internet的需求消费型企业典型企业：华为、联想等典型场景：客户沟通、交流、参观等，接入企业网络，访问企业公共资源或internet访客认证系统全景图外来访客内部员工合作方BSS系统ERP系统CRM系统邮件系统交换机APAPAC交换机核心交换机AnyoneAnywhereAnydeviceAnytimeHowWhat你是谁？你是如何接入？你能够访问什么权限？AgileController访客管理流程PCsPhones注册（创建）审批分发认证审计注销账号申请用户认证审计及注销访客InternetWirelessWiredNetworkACSwitchASG注册

手工创建

自助申请审批(创建)

自动审批

管理员审批接待人审批分发手机SMSEmail

Web审计及注销

用户上下线审计上网行为审计

到期后自动注销

定时清理账号认证

用户名/密码认证passcode认证

vlan/acl权限隔离L3层GRE定制页面定制定制注册页面定制

认证页面定制

模板定制访客帐号认证原理访客帐号的认证过程就是Portal认证过程，认证原理与Portal认证原理相同PC接入设备AAAServerWebServerPolicyServer任意浏览器请求Web重定向认证页面交互认证交互RADIUS认证交互认证请求认证应答通知用户上线成功认证应答确认安全监测信息交互授权AgileController访客管理亮点访客BYOD接入，支持PC、Pad、iPhone、Android等多种终端接入。支持访客账号注册、审批、分发、注销的全生命周期管理。个性定制，基于IP，位置等推送定制认证页面，灵活展示广告信息。基于5W1H情景感知访客接入授权，严格控制访客访问权限。访客上下线及上网行为审计。目录访客功能介绍账号申请访客认证访客审计页面推送访客申请-管理员手工创建访客账号单个创建访客访客申请-管理员手工创建访客账号批量创建访客访客申请-给员工开通创建账号权限把访客管理权限模板应用到普通员工之后，该员工登陆后与管理员一样拥有访客创建权限。访客申请-员工手工创建访客账号员工登陆后点自助服务，自助服务里面的“增加”、“批量增加”和管理员创建访客的功能一样。访客申请-注册页面定制注册页面定制模板包括register_default和register_telephone。访客申请-注册页面定制对于某个注册页面，可以进行预览、高级定制（手工编辑html）、策略配置。访客申请-登陆注册页面左边是普通注册页面，注册的字段可以在定制时指定。右边是快速注册页面，输入手机号就可以获取密码。访客可以访问http://AgileControllerIP:8080/portal链接进入注册页面。访客申请-管理员审批账号管理登陆系统可以审批所有的访客申请。访客申请-员工审批账号员工可以审批该员工接待的访客申请。访客申请-账号分发审批通过的账号在“访客账号管理”可以查看，可以打印（账号密码）、邮件通知访客、短信通知访客。访客申请-短信通知相关配置短信网关可以配置，支持短信猫、第三方网关两种方式发送短信发送内容可以定制访客发送方式可以选择不同模板访客申请-邮件通知相关配置邮件服务器可以配置邮件服务器通讯的参数发送内容可以定制访客发送方式可以选择不同模板目录访客功能介绍账号申请访客认证访客审计页面推送访客认证-认证页面定制模板可以选择：mobileauth/desktopauth，不同模板认证页面大小不同，认证字段一样。访客认证-认证页面策略配置认证方式包括密码认证和账号密码认证。URL字段名称指认证通过后，跳转到url所指向的网址。访客认证-登陆认证页面普通认证页面：认证时需要输入账号密码，认证后可以修改密码。Passcode认证页面：登陆时只需要输入Passcode普通认证页面Passcode认证页面智能终端无感知认证一次认证，多次接入ACAP用户AgileControllerAgileControllerPortalServerRadiusServer一次认证，多次接入无线接入存储用户名、密码及绑定策略对接无线控制器记录用户MAC地址首次Portal+Mac认证后续自动Mac认证31245存储Web认证页面提供页面定制化功能对接无线控制器用户发起Web认证请求Portal服务器发起认证请求到ACAC发起Radius认证，携带用户名、密码及终端Mac地址Radius通过认证，记录终端Mac地址用户后续接入使用Mac认证，无需再进行Web认证。无感知接入网络认证对接访客认证-MAC优先认证菜单：系统终端参数配置全局参数MAC优先的Portal认证目录访客功能介绍账号申请访客认证访客审计页面推送访客审计(1)在线用户管理可以看到哪些访客在线。终端登陆日志可以看到访客上下线历史记录。访客审计(2)账号审批记录可以看到访客审批情况。访客账号管理可以对账号修改，发送通知，查看业务分配等。目录访客功能介绍账号申请访客认证访客审计页面推送页面推送-首页跳转菜单路径：用户与终端页面定制Portal页面推送规则根据IP范围推送不同页面根据SSID(地理位置)推送不同页面根据不同类别设备推送不同页面选择推送页面问题Agi