IMC V7 BYOD典型配置案例課件

1、 IMC V7 BYOD典型配置案例一、 組網(wǎng)需求：BYOD是智能終端大量普及和移動辦公趨勢下新的技術(shù)需求和業(yè)務模式，目前還沒有如RFC類的行業(yè)標準規(guī)范。目前BYOD技術(shù)主要集中在如何解決移動終端（手機、平板、POS機等）認證控制的方案，主要解決：1.終端的智能識別；2.基于用戶身份和終端類型的認證和權(quán)限控制； 3.基于終端和身份的安全控制；簡而言之，即同一個帳號用不同的終端上線下發(fā)不同的網(wǎng)絡訪問權(quán)限以確保內(nèi)網(wǎng)的安全。二、 組網(wǎng)圖：無。三、 配置步驟：說明：此案例根據(jù)以下幾種場景進行概述：a iMC服務器側(cè)預先未創(chuàng)建帳號信息，設備啟用MAC認證；b iMC服務器側(cè)預先創(chuàng)建了帳號信息，設備啟用8

2、02.1X或者Portal認證，此處以Portal認證為例。c BYOD為UAM的功能特性，從V5.2 E0401版本開始支持BYOD。在IMC V7平臺中BYOD組件名稱為用戶接入管理-EIP服務器。場景1：iMC服務器側(cè)預先未創(chuàng)建帳號信息，設備啟用MAC認證；1. 設備側(cè)的配置2. iMC側(cè)的配置（1）創(chuàng)建匿名用戶的接入規(guī)則，在接入規(guī)則里可以通過下發(fā)VLAN，ACL來控制終端用戶的權(quán)限，如下圖1：【圖1】（2）創(chuàng)建辦公業(yè)務用戶的接入規(guī)則，在接入規(guī)則里可以通過下發(fā)VLAN，ACL來控制終端用戶的權(quán)限，如下圖2：【圖2】（3）創(chuàng)建終端類型分組：“智能終端”,并綁定終端類型為iphone用于標識

3、移動終端?！緢D3】（4）創(chuàng)建終端類型分組：“PC”,并綁定終端類型為PC用于標識終端?！緢D4】（5）創(chuàng)建匿名服務，如下圖5?！緢D5】（6）創(chuàng)建辦公服務，并綁定兩個接入策略，對應PC和智能終端兩種接入場景，接入策略由接入規(guī)則和接入場景組成，不同的場景可以對應不同的安全策略（前提是在EAD功能組件里創(chuàng)建安全策略）。如下圖6?！緢D6】（7）創(chuàng)建匿名用戶：匿名用戶，并綁定匿名帳號：byodanonymous，勾選“缺省BYOD用戶”后，會自動生成byodanonymous帳號，并綁定“匿名”服務。如下圖7?！緢D7】(8)創(chuàng)建業(yè)務用戶和業(yè)務帳號：ligang，并綁定預先創(chuàng)建的業(yè)務服務“辦公”，如下圖8。

4、【圖8】(9)增加接入設備,即啟用認證的設備，IP地址為設備側(cè)的Nas-IP,如下圖9?！緢D9】(10) 在EIA安裝包的UAM目錄下找到“H3C IMC DHCP Agent”安裝程序，將其拷貝至Windows DHCP服務器上安裝，安裝完成后啟用DHCP SERVER。如下圖10?！緢D10】UAM服務器IP地址請?zhí)顚慤AM使用的IP地址，UAM服務器端口號一般不需要修改，配置完成請點擊“保存配置”，并啟動DHCP Server。(11)（僅限V5版本）在業(yè)務|用戶接入管理|業(yè)務參數(shù)配置|系統(tǒng)配置|BYOD系統(tǒng)參數(shù)配置，啟用“快速認證功能”，開啟該功能才能做MAC匿名認證。（V7版本此處已經(jīng)

5、修改）。在用戶|接入策略管理|業(yè)務參數(shù)配置|系統(tǒng)配置|終端管理參數(shù)配置如下圖11。此處啟不啟用MAC無感知認證和MAC匿名認證無關?！緢D11】具體選項說明如下：1.啟用MAC無感知認證：如果不啟用MAC無感知認證，用戶自助中將無法增加MAC地址信息，并且終端無法進行MAC無感知認證。2.單帳號最多綁定終端數(shù)：每個接入帳號可以綁定MAC地址的最大數(shù)量。3.終端老化時長：一旦綁定智能終端的MAC地址，該智能終端再次接入網(wǎng)絡，無需輸入賬號名和密碼，系統(tǒng)會自動進行認證，為了安全起見，系統(tǒng)會每天凌晨定時將綁定時間超過老化時長的MAC地址老化，這樣該智能終端重新接入網(wǎng)絡后，需要再次輸入賬號名和密碼重新綁定

6、。老化時長設置為0天時，終端將永遠不老化。5.禁止同時在線時長大于等于XX秒的終端進行portal無感知認證：如果將一個終端的MAC地址偽造成系統(tǒng)已經(jīng)綁定的智能終端MAC地址，該終端接入網(wǎng)絡后，系統(tǒng)也會自動進行Portal認證，這樣該用戶無需有UAM賬號也可以非法接入網(wǎng)絡，為了安全起見，系統(tǒng)會每天凌晨會判斷已經(jīng)綁定的MAC地址之前的一天內(nèi)（00:00:00-23:59:59）是否存在同一時間段同時在線的情況，并且在線的重疊時長超過XX秒時就會認為存在偽造MAC地址情況，會將該MAC地址自動禁用Portal無感知認證。重疊時長只按單次重疊時長最長的記錄，不累加計算。如果該時間設置為0秒時，表示系

7、統(tǒng)不會自動禁用Portal無感知認證。6.禁止非智能終端Portal無感知認證：當禁止非智能終端進行Portal無感知認證時，如果用戶認證時使用的服務啟用了Portal無感知認證，用戶只有在智能終端上使用純網(wǎng)頁認證才能夠成功，用戶在非智能終端上、在智能終端上使用其他方式都會認證失敗，認證失敗的例子如下：在PC上進行的網(wǎng)頁認證、在PC或者智能終端上使用iNode客戶端進行Portal認證、802.1x認證、MAC地址認證，PPPoE認證和ADSL認證方式等。7.終端信息不一致的處理方式：用戶進行認證時，如果系統(tǒng)獲取到的該用戶終端信息與數(shù)據(jù)庫中已存在的終端信息不一致，則根據(jù)該參數(shù)取值控制是否允許用

8、戶認證。8.終端信息獲取方式：iMC系統(tǒng)可以通過客戶端、DHCP、HTTP User Agent和MAC地址四種方式識別終端信息。如果選擇了DHCP方式或HTTP User Agent方式，則在DHCP Server上需要安裝DHCP Agent插件。3. 認證測試(1)匿名用戶上線a.匿名帳號首次認證上線,由于設備啟用了MAC地址認證，故當終端連接網(wǎng)絡后，會自動發(fā)起MAC認證，此時查看UAM在線用戶列表，帳號名為byodanonymous，登錄名為終端的MAC地址，如下圖12所示：【圖12】b.查看終端MAC管理列表，插入了終端MAC和匿名帳號，以及終端類型等信息，如下圖13，點擊終端MAC

9、管理列表的“詳細信息“按鈕，可以查看獲取到終端類型的方式，如下圖14所示：【圖13】【圖14】說明：BYOD特性一個重要的技術(shù)是如何識別終端的類型。在這方面UAM目前支持DHCP特征識別、HTTP User Agent特征識別、MAC地址識別三種方式來識別終端的廠商、終端類型、操作系統(tǒng)等信息。三種方式同時開啟場景，取值結(jié)果優(yōu)先級從高到底排列：DHCP指紋法->HTTP User Agent識別法->MAC識別法。a.DHCP 指紋法：iMC BYOD截獲終端發(fā)送的DHCP請求報文，獲取其中的Option55字段，該字段內(nèi)容的不同組合對應不同的終端類型。該DHCP請求報文一般有操作系

10、統(tǒng)發(fā)送，準確性和可靠性較有保證，iMC BYOD將此種識別方式優(yōu)先級設置為最高。 【圖15】該值為十六進制，如果自定義DHCP特征，則需要將該十六進制按一字節(jié)劃分換算成十進制數(shù)，一字節(jié)由8個比特位組成，而一個十六進制由4個比特位組成，故按兩個十六進制換算成10進制相加取和。如上圖的Option 55字段值為01，0f，03，06，2c，2e，2f，1f，21，79，f9，2b計算結(jié)果：1，15，3，6，44，46，47，31，33，121，249，43，可以自行定義?！緢D16】b.HTTP User Agent識別法：iMC BYOD截獲終端發(fā)送的HTTP請求報文，獲取其中的User-Agen

11、t字段，該字段中包含的不同關鍵詞（或組合）對應不同的終端類型。HTTP請求報文由瀏覽器等應用程序發(fā)送，準確性介于DHCP指紋和MAC地址之間。由于HTTP請求報文中一般不包含終端MAC地址信息，因此需要與其他功能（如DHCP、RADIUS等）配合將IP地址與MAC地址對應起來進行終端識別?！緢D17】c.MAC地址識別法：iMC BYOD在獲取到終端的MAC地址后根據(jù)其所屬的MAC地址段來確定該終端是哪個廠商生產(chǎn)的哪種型號設備，由于MAC地址是網(wǎng)卡的屬性，因此該種識別方式不適合于可以安裝獨立網(wǎng)卡的設備，MAC地址本身作為終端的標識，又容易被修改，因此用MAC地址來識別終端類型是最不可靠的，在iM

12、C中將這種識別方式優(yōu)先級排為最低。 【圖18】(2)將正式帳號和該終端進行綁定。由于iMC V7不再使用DNS agent劫持DHCP ack報文中DNS服務器的IP地址來重定向到BYOD頁面，終端瀏覽器在IMC V7平臺下是無法跳轉(zhuǎn)到BYOD頁面的，雖然可以直接在IE輸入http:/ip/byod彈出該頁面，但是用戶需要記住IMC服務器地址，體驗很差。目前V7平臺下byod頁面跳轉(zhuǎn)的方式如下：a：MAC認證：UAM給匿名用戶引用的接入規(guī)則下發(fā)啟用portal認證的vlan，利用portal的頁面重定向功能將終端重定向到byod頁面；AC具體配置如下：portal server portal

13、ip 5 key 123 url 5:8080/byod (此處portal 服務器后的鏈接地址為BYOD頁面。)interface Vlan-interface20 description mac ip address dhcp select relay dhcp relay server-select 1 portal server portal method layer3 portal domain portalIMC側(cè)配置:配合匿名接入規(guī)則的下發(fā)vlan 20，即可實現(xiàn)用戶在瀏覽器

14、輸入任意ip地址自動跳轉(zhuǎn)到BYOD頁面。b：8021x認證：UAM為缺省接入規(guī)則下發(fā)啟用portal認證的vlan，利用portal的頁面重定向功能將終端重定向到byod頁面；c：Portal認證：和之前配置基本保持一致；在瀏覽器輸入或者http:/ip/byod，瀏覽器會彈出BYOD界面如圖19所示，可以綁定一個已存在的帳號，也可以直接創(chuàng)建一個訪客進行綁定，不管自動的還是手工彈出該頁面，前提是UAM在線用戶列表必須有該終端的IP地址，否則打開該頁面會提示：該用戶未上線。使用已存在的賬號綁定成功后如圖20【圖19】 【圖20】（3）上步驟綁定正式帳號后，UAM會要求byodann

15、onymous帳號馬上下線，然后重新上線，再查看UAM在線用戶列表和終端MAC管理列表，如下圖21，22【圖21】說明：此時帳號名為xiaoming，服務和接入策略都成功改變?！緢D22】說明：此時終端MAC地址列表的帳號和用戶是正式帳號xiaoming。（4）直接創(chuàng)建一個訪客進行綁定方式:在BYOD頁面也可以直接新創(chuàng)建一個訪客進行綁定，步驟如下：1.開啟訪客服務。訪客在BYOD頁面默認是不顯示的，可以通過下圖所示路徑修改。此處訪客預注冊顯示默認沒有勾選。新建訪客服務，關聯(lián)訪客接入策略。同時設置訪客管理員為ligang。此處通過下發(fā)vlan50控制訪客的權(quán)限。然后在訪客管理里面訪客服務處增加新建

16、的訪客服務，同時勾選自動轉(zhuǎn)正訪客服務。注意：只有訪客管理系統(tǒng)參數(shù)中“預注冊訪客自動轉(zhuǎn)正”設置為“允許”時，訪客服務列表才會顯示“自動轉(zhuǎn)正訪客服務”列。使用訪客注冊綁定此終端，調(diào)用了訪客服務并下發(fā)vlan50成功，用戶的地址也變?yōu)榫W(wǎng)段（下發(fā)VLAN ip地址自動更換功能手機、xp系統(tǒng)的電腦測試成功，win7系統(tǒng)ip地址不變，需要斷開wifi再連接）。場景2：iMC服務器側(cè)預先創(chuàng)建了帳號信息，設備啟用802.1X或者Portal認證（此處以portal認證為例）1.設備側(cè)的配置 802.1X和MAC認證都是二層認證協(xié)議，并且只有認證通過后才能通過DHCP Server獲取IP地址，D

17、HCP Agent才會通知UAM服務器終端的具體信息，即先上線，再獲取終端類型，此種場景，第一次不能BYOD，通過不同的終端類型下發(fā)不同的權(quán)限，只有再次認證上線才能根據(jù)終端類型下發(fā)不同的控制策略。故，忽略1X認證場景，在此以Portal認證為例。配置在場景1的AC配置里。2.iMC側(cè)配置（1）創(chuàng)建IP地址組“ac”，并配置起始用戶IP地址段，如下圖23【圖23】（2）添加Portal設備，設備名：AC，并配置Portal設備IP，和密鑰，如下圖24：【圖24】（3）配置端口組，并綁定對應的IP地址組，如下圖25：【圖25】（4）創(chuàng)建Portal認證的用戶帳號ligang，并綁定前面創(chuàng)建的服務，

18、如下圖26所示：【圖26】（5）終端獲取IP，由于Portal認證是三層協(xié)議，即在通過認證前能通過DHCP獲取到IP，其實在獲取IP地址的同時，UAM服務器的終端MAC地址列表中已經(jīng)記錄了該終端的詳細信息，如下圖27：【圖27】（6）打開IE或者使用iNode客戶端Portal認證上線，如下圖28所示：【圖28】查看UAM在線用戶列表：四、 配置關鍵點：1.UAM的byodanonymous賬號必須通過勾選“缺省BYOD用戶”的方式生成，不能通過手工輸入一個byodannonymous賬號的方式生成。2.完整的BYOD方案依賴iMC DHCP Agent提供關于終端的DHCP Option 55信息，因此需要客戶網(wǎng)絡的IP地下獲取方式為DHCP方式且DHCP Server為WindowsDHCP服務器，并且需要在該服務器上安裝iMC DHCP Agent程序。3.在啟用快速認證之后，UAM判斷終端MAC信息是否與已有賬號關聯(lián)是通過完整的登陸名（即賬號名+域名