h3c iMC EIA Portal無感知認(rèn)證特性說明書

1、杭州華三通信技術(shù)有限公司iMC EIA Portal無感知認(rèn)證特性說明書iMC EIA Portal無感知認(rèn)證特性說明書關(guān)鍵詞：EIA、Portal、無感知摘 要：本文檔詳細(xì)描述了iMC EIA Portal無感知認(rèn)證的功能、用途、配置方法和實現(xiàn)原理等。 縮略語：縮略語英文全名中文解釋EIAEnd-user Intelligent Access智能終端接入目 錄1 特性介紹32 特性的優(yōu)點33 版本歷史記錄34 使用指南44.1 使用場合44.2 應(yīng)用方式（使用指導(dǎo)）44.3 應(yīng)用舉例44.3.1 iMC EIA Portal無感知認(rèn)證配置步驟44.3.2 iMC EIA Portal無感知認(rèn)

2、證操作步驟64.4 注意事項85 特性實現(xiàn)原理（流程）介紹91 特性介紹Portal無感知認(rèn)證是一種針對智能終端、無需輸入用戶名和密碼即可上線的認(rèn)證過程。用戶第一次使用智能終端時，通過瀏覽器上網(wǎng)產(chǎn)生流量，設(shè)備會重定向到Portal認(rèn)證頁面。用戶輸入用戶名、密碼、服務(wù)等信息后上線，服務(wù)器會將認(rèn)證信息以及終端的MAC地址保存到數(shù)據(jù)庫中。當(dāng)用戶再次使用該智能終端訪問網(wǎng)絡(luò)產(chǎn)生流量時，服務(wù)器自動使用該認(rèn)證信息進(jìn)行認(rèn)證，免去了用戶輸入認(rèn)證信息上線的過程。為了防止用戶仿冒MAC地址后可以不輸入認(rèn)證信息上線，管理員和用戶可以將MAC地址禁用快速認(rèn)證，在這種情況下，用戶每次上線時都需要輸入認(rèn)證信息。2 特性的優(yōu)

3、點Portal無感知認(rèn)證的優(yōu)點如下：(1) 支持用戶免輸入認(rèn)證上線。用戶只需要在第一次上線時輸入認(rèn)證信息，下次上線時會自動使用該認(rèn)證信息認(rèn)證，簡化了用戶操作。(2) 支持智能終端類型配置。智能終端與非智能終端使用不同的上線方式，使用該配置可以有效地區(qū)分這兩種終端類型，方便操作員對終端類型的管理。(3) 支持已綁定的智能終端MAC地址信息管理?？梢圆樵兯薪壎ǖ闹悄芙K端MAC地址信息并進(jìn)行管理，方便操作員操作。(4) 支持禁用智能終端MAC地址信息快速認(rèn)證，存在手動禁用和自動禁用兩種方式。禁用快速認(rèn)證后，用戶使用該智能終端上線時總需要輸入認(rèn)證信息。這樣可以防止用戶仿冒MAC地址后使用他人信息上線

4、。(5) 支持用戶對本帳號綁定的智能終端MAC地址信息操作。用戶可以在自助服務(wù)中對帳號綁定的智能終端MAC地址信息進(jìn)行刪除和禁用快速認(rèn)證操作。方便用戶個人信息維護(hù)。3 版本歷史記錄表3-1 特性版本歷史記錄產(chǎn)品版本號修改描述備注iMC EIA 7.0 (E0203)1、配置界面中將Portal無感知認(rèn)證和MAC快速認(rèn)證分開顯示。2、預(yù)置Portal無感知認(rèn)證的常見特征值。無iMC UAM 5.1 (E0303)首次發(fā)布Portal無感知認(rèn)證。首次發(fā)布4 使用指南4.1 使用場合在企業(yè)、學(xué)?；蛘咂渌h(huán)境中使用智能終端進(jìn)行認(rèn)證上線，并且在使用過程中可能會出現(xiàn)頻繁的上線和下線操作。4.2 應(yīng)用方式（

5、使用指導(dǎo)）(1) 在iMC EIA中增加服務(wù)類型配置，選擇Portal無感知認(rèn)證。(2) 在iMC EIA中增加接入設(shè)備。(3) 在iMC EIA中增加Portal設(shè)備以及端口組信息，端口組信息中選擇支持Portal無感知認(rèn)證。(4) 在iMC EIA中增加接入用戶。(5) 在iMC EIA中設(shè)置系統(tǒng)參數(shù)。(6) 在接入設(shè)備中配置Radius認(rèn)證命令以及Portal無感知認(rèn)證相關(guān)命令。4.3 應(yīng)用舉例4.3.1 iMC EIA Portal無感知認(rèn)證配置步驟1. 增加服務(wù)配置進(jìn)入增加服務(wù)配置頁面，在該頁面勾選Portal無感知認(rèn)證，如圖4-1所示。如果服務(wù)沒有勾選Portal無感知認(rèn)證，則用戶

6、使用該服務(wù)時不能進(jìn)行Portal無感知認(rèn)證。圖4-1 增加服務(wù)配置2. 增加接入設(shè)備增加接入設(shè)備方式?jīng)]有變化。3. 增加Portal設(shè)備以及端口組信息增加Portal設(shè)備方式?jīng)]有變化。在增加端口組信息頁面中，無感知認(rèn)證這一項選擇“支持”，如圖4-2所示。如果端口組信息中無感知認(rèn)證選擇“不支持”，用戶在該端口組對應(yīng)的端口上不能進(jìn)行Portal無感知認(rèn)證。圖4-2 增加端口組信息4. 增加接入用戶 進(jìn)入增加接入用戶頁面，選擇“Portal無感知認(rèn)證最大綁定數(shù)” ，如圖4-3所示。如果選擇“不支持綁定”，則該用戶不能進(jìn)行Portal無感知認(rèn)證。選擇其他數(shù)字均表示支持Portal無感知認(rèn)證，且每個帳號

7、綁定的終端數(shù)上限即為該參數(shù)的值。圖4-3 增加接入用戶5. 配置系統(tǒng)參數(shù)進(jìn)入系統(tǒng)參數(shù)配置頁面，如圖4-4所示。圖4-4 配置系統(tǒng)參數(shù)系統(tǒng)參數(shù)中有三個參數(shù)用于控制Portal無感知認(rèn)證：l 終端老化時長：一旦綁定終端的MAC地址，該終端再次接入網(wǎng)絡(luò)，無需輸入賬號名和密碼，系統(tǒng)會自動進(jìn)行Portal認(rèn)證，為了安全起見，系統(tǒng)會每天凌晨定時將綁定時間超過老化時長的MAC地址刪除，這樣該智能終端重新接入網(wǎng)絡(luò)后，需要再次輸入賬號名和密碼重新綁定。老化時長設(shè)置為0天時，MAC地址將永遠(yuǎn)不老化。默認(rèn)設(shè)置為7天。l 禁止同時在線時長大于等于XX秒的終端進(jìn)行Portal無感知認(rèn)證：如果將一個終端的MAC地址偽造成

8、系統(tǒng)已經(jīng)綁定終端的MAC地址，該終端接入網(wǎng)絡(luò)后，系統(tǒng)也會自動進(jìn)行Portal認(rèn)證，這樣該用戶無需有EIA帳號也可以非法接入網(wǎng)絡(luò)，為了安全起見，系統(tǒng)每天凌晨會判斷已經(jīng)綁定的MAC地址之前的一天內(nèi)（00:00:00-23:59:59）是否存在同一時間段同時在線的情況，并且在線的重疊時長超過XX秒時就會認(rèn)為存在偽造MAC地址情況，會將該MAC地址自動禁用快速認(rèn)證。重疊時長只按單次重疊時長最長的記錄，不累加計算。如果該時間設(shè)置為0秒時表示不啟用該功能。l 非智能終端Portal無感知認(rèn)證：當(dāng)禁止非智能終端認(rèn)證時，如果用戶認(rèn)證時使用的服務(wù)啟用了Portal無感知認(rèn)證，用戶只有在智能終端上使用純網(wǎng)頁認(rèn)證才

9、能夠成功，用戶在非智能終端上、在智能終端上使用其他方式都會認(rèn)證失敗，認(rèn)證失敗的例子如下：在PC上進(jìn)行網(wǎng)頁認(rèn)證（如果PC設(shè)置成了智能終端，這個就不是認(rèn)證失敗的例子）、在PC或者智能終端上使用iNode客戶端進(jìn)行Portal認(rèn)證、802.1x認(rèn)證、MAC地址認(rèn)證，PPPoE認(rèn)證和ADSL認(rèn)證方式等。6. 在接入設(shè)備中配置Radius認(rèn)證命令以及Portal無感知認(rèn)證相關(guān)命令。通過Console或者Telnet方式登錄接入設(shè)備的CLI。RADIUS認(rèn)證命令沒有變化，本文省略相關(guān)配置。Portal無感知認(rèn)證命令如下：（命令的含義可以稍微再詳細(xì)些，讓大家明白這些命令具體的作用）l 配置將終端MAC地址上

10、傳給EIA服務(wù)器<Sysname> system-viewSysname portal mac-trigger server ip 00 port 50100其中00為Portal服務(wù)器IP地址。l 配置在VLAN-interface中啟用上傳MAC地址的功能<Sysname> system-viewSysname interface vlan-interface 2Sysname-Vlan-interface2 portal mac-trigger enable period 60 threshold 10244.3.2 iMC

11、 EIA Portal無感知認(rèn)證操作步驟1. 用戶使用智能終端進(jìn)行認(rèn)證(1) 用戶使用智能終端通過瀏覽器訪問網(wǎng)絡(luò)，網(wǎng)頁被重定向到Portal認(rèn)證頁面。用戶輸入用戶名、密碼、服務(wù)等認(rèn)證信息，進(jìn)行上線認(rèn)證。(2) 認(rèn)證成功后，用戶下線。(3) 用戶再次使用該智能終端訪問網(wǎng)絡(luò)，此時不需要輸入用戶名和密碼，直接上線。2. Portal無感知用戶管理與無感知認(rèn)證特征管理進(jìn)入Portal無感知用戶列表頁面，查看Portal無感知用戶列表，如圖4-5所示。圖4-5 Portal無感知用戶管理操作員可以進(jìn)行批量刪除、禁用無感知認(rèn)證和啟用無感知認(rèn)證等操作。對于禁用無感知認(rèn)證的終端，上線時總會推出Portal認(rèn)證

12、頁面，需要用戶手工輸入認(rèn)證信息進(jìn)行認(rèn)證上線。在Portal無感知認(rèn)證用戶列表中，單擊<無感知認(rèn)證特征管理>按鈕，進(jìn)入無感知認(rèn)證特征管理頁面，如圖4-6所示。系統(tǒng)預(yù)置了大量常用HTTP特征，只有符合這些特征的終端才能進(jìn)行無感知認(rèn)證。因此，當(dāng)終端用戶使用的終端特征不在特征庫中時，需要管理員手工增加。圖4-6 無感知認(rèn)證特征管理3. 用戶自助管理智能終端MAC地址用戶登錄自助服務(wù)，在首頁“查詢用戶資料”中顯示當(dāng)前用戶綁定的智能終端MAC地址信息。如Error! Reference source not found.所示。其中提供了智能終端MAC地址信息刪除以及禁用快速認(rèn)證操作。需要注意的是，如果某一條MAC地址信息已經(jīng)禁用快速認(rèn)證，在用戶自助中不能將該MAC地址信息啟用快速認(rèn)證。圖4-7 自助服務(wù)查詢用戶資料4.4 注意事項l 使用的接入設(shè)備需要支持Portal無感知認(rèn)證。l 如果用戶使用Portal無感知認(rèn)證的方式認(rèn)證上線，則服務(wù)配置中的“綁定MAC地址”功能將不生效。l 即使用戶綁定的某