IMC V7 BYOD典型配置案例課件

1、 IMC V7 BYOD典型配置案例一、 組網(wǎng)需求：BYOD是智能終端大量普及和移動(dòng)辦公趨勢下新的技術(shù)需求和業(yè)務(wù)模式，目前還沒有如RFC類的行業(yè)標(biāo)準(zhǔn)規(guī)范。目前BYOD技術(shù)主要集中在如何解決移動(dòng)終端（手機(jī)、平板、POS機(jī)等）認(rèn)證控制的方案，主要解決：1.終端的智能識(shí)別；2.基于用戶身份和終端類型的認(rèn)證和權(quán)限控制； 3.基于終端和身份的安全控制；簡而言之，即同一個(gè)帳號(hào)用不同的終端上線下發(fā)不同的網(wǎng)絡(luò)訪問權(quán)限以確保內(nèi)網(wǎng)的安全。二、 組網(wǎng)圖：無。三、 配置步驟：說明：此案例根據(jù)以下幾種場景進(jìn)行概述：a iMC服務(wù)器側(cè)預(yù)先未創(chuàng)建帳號(hào)信息，設(shè)備啟用MAC認(rèn)證；b iMC服務(wù)器側(cè)預(yù)先創(chuàng)建了帳號(hào)信息，設(shè)備啟用8

2、02.1X或者Portal認(rèn)證，此處以Portal認(rèn)證為例。c BYOD為UAM的功能特性，從V5.2 E0401版本開始支持BYOD。在IMC V7平臺(tái)中BYOD組件名稱為用戶接入管理-EIP服務(wù)器。場景1：iMC服務(wù)器側(cè)預(yù)先未創(chuàng)建帳號(hào)信息，設(shè)備啟用MAC認(rèn)證；1. 設(shè)備側(cè)的配置2. iMC側(cè)的配置（1）創(chuàng)建匿名用戶的接入規(guī)則，在接入規(guī)則里可以通過下發(fā)VLAN，ACL來控制終端用戶的權(quán)限，如下圖1：【圖1】（2）創(chuàng)建辦公業(yè)務(wù)用戶的接入規(guī)則，在接入規(guī)則里可以通過下發(fā)VLAN，ACL來控制終端用戶的權(quán)限，如下圖2：【圖2】（3）創(chuàng)建終端類型分組：“智能終端”,并綁定終端類型為iphone用于標(biāo)識(shí)

3、移動(dòng)終端?！緢D3】（4）創(chuàng)建終端類型分組：“PC”,并綁定終端類型為PC用于標(biāo)識(shí)終端。【圖4】（5）創(chuàng)建匿名服務(wù)，如下圖5?！緢D5】（6）創(chuàng)建辦公服務(wù)，并綁定兩個(gè)接入策略，對(duì)應(yīng)PC和智能終端兩種接入場景，接入策略由接入規(guī)則和接入場景組成，不同的場景可以對(duì)應(yīng)不同的安全策略（前提是在EAD功能組件里創(chuàng)建安全策略）。如下圖6?！緢D6】（7）創(chuàng)建匿名用戶：匿名用戶，并綁定匿名帳號(hào)：byodanonymous，勾選“缺省BYOD用戶”后，會(huì)自動(dòng)生成byodanonymous帳號(hào)，并綁定“匿名”服務(wù)。如下圖7?！緢D7】(8)創(chuàng)建業(yè)務(wù)用戶和業(yè)務(wù)帳號(hào)：ligang，并綁定預(yù)先創(chuàng)建的業(yè)務(wù)服務(wù)“辦公”，如下圖8。

4、【圖8】(9)增加接入設(shè)備,即啟用認(rèn)證的設(shè)備，IP地址為設(shè)備側(cè)的Nas-IP,如下圖9?！緢D9】(10) 在EIA安裝包的UAM目錄下找到“H3C IMC DHCP Agent”安裝程序，將其拷貝至Windows DHCP服務(wù)器上安裝，安裝完成后啟用DHCP SERVER。如下圖10?！緢D10】UAM服務(wù)器IP地址請?zhí)顚慤AM使用的IP地址，UAM服務(wù)器端口號(hào)一般不需要修改，配置完成請點(diǎn)擊“保存配置”，并啟動(dòng)DHCP Server。(11)（僅限V5版本）在業(yè)務(wù)|用戶接入管理|業(yè)務(wù)參數(shù)配置|系統(tǒng)配置|BYOD系統(tǒng)參數(shù)配置，啟用“快速認(rèn)證功能”，開啟該功能才能做MAC匿名認(rèn)證。（V7版本此處已經(jīng)

5、修改）。在用戶|接入策略管理|業(yè)務(wù)參數(shù)配置|系統(tǒng)配置|終端管理參數(shù)配置如下圖11。此處啟不啟用MAC無感知認(rèn)證和MAC匿名認(rèn)證無關(guān)。【圖11】具體選項(xiàng)說明如下：1.啟用MAC無感知認(rèn)證：如果不啟用MAC無感知認(rèn)證，用戶自助中將無法增加MAC地址信息，并且終端無法進(jìn)行MAC無感知認(rèn)證。2.單帳號(hào)最多綁定終端數(shù)：每個(gè)接入帳號(hào)可以綁定MAC地址的最大數(shù)量。3.終端老化時(shí)長：一旦綁定智能終端的MAC地址，該智能終端再次接入網(wǎng)絡(luò)，無需輸入賬號(hào)名和密碼，系統(tǒng)會(huì)自動(dòng)進(jìn)行認(rèn)證，為了安全起見，系統(tǒng)會(huì)每天凌晨定時(shí)將綁定時(shí)間超過老化時(shí)長的MAC地址老化，這樣該智能終端重新接入網(wǎng)絡(luò)后，需要再次輸入賬號(hào)名和密碼重新綁定

6、。老化時(shí)長設(shè)置為0天時(shí)，終端將永遠(yuǎn)不老化。5.禁止同時(shí)在線時(shí)長大于等于XX秒的終端進(jìn)行portal無感知認(rèn)證：如果將一個(gè)終端的MAC地址偽造成系統(tǒng)已經(jīng)綁定的智能終端MAC地址，該終端接入網(wǎng)絡(luò)后，系統(tǒng)也會(huì)自動(dòng)進(jìn)行Portal認(rèn)證，這樣該用戶無需有UAM賬號(hào)也可以非法接入網(wǎng)絡(luò)，為了安全起見，系統(tǒng)會(huì)每天凌晨會(huì)判斷已經(jīng)綁定的MAC地址之前的一天內(nèi)（00:00:00-23:59:59）是否存在同一時(shí)間段同時(shí)在線的情況，并且在線的重疊時(shí)長超過XX秒時(shí)就會(huì)認(rèn)為存在偽造MAC地址情況，會(huì)將該MAC地址自動(dòng)禁用Portal無感知認(rèn)證。重疊時(shí)長只按單次重疊時(shí)長最長的記錄，不累加計(jì)算。如果該時(shí)間設(shè)置為0秒時(shí)，表示系

7、統(tǒng)不會(huì)自動(dòng)禁用Portal無感知認(rèn)證。6.禁止非智能終端Portal無感知認(rèn)證：當(dāng)禁止非智能終端進(jìn)行Portal無感知認(rèn)證時(shí)，如果用戶認(rèn)證時(shí)使用的服務(wù)啟用了Portal無感知認(rèn)證，用戶只有在智能終端上使用純網(wǎng)頁認(rèn)證才能夠成功，用戶在非智能終端上、在智能終端上使用其他方式都會(huì)認(rèn)證失敗，認(rèn)證失敗的例子如下：在PC上進(jìn)行的網(wǎng)頁認(rèn)證、在PC或者智能終端上使用iNode客戶端進(jìn)行Portal認(rèn)證、802.1x認(rèn)證、MAC地址認(rèn)證，PPPoE認(rèn)證和ADSL認(rèn)證方式等。7.終端信息不一致的處理方式：用戶進(jìn)行認(rèn)證時(shí)，如果系統(tǒng)獲取到的該用戶終端信息與數(shù)據(jù)庫中已存在的終端信息不一致，則根據(jù)該參數(shù)取值控制是否允許用

8、戶認(rèn)證。8.終端信息獲取方式：iMC系統(tǒng)可以通過客戶端、DHCP、HTTP User Agent和MAC地址四種方式識(shí)別終端信息。如果選擇了DHCP方式或HTTP User Agent方式，則在DHCP Server上需要安裝DHCP Agent插件。3. 認(rèn)證測試(1)匿名用戶上線a.匿名帳號(hào)首次認(rèn)證上線,由于設(shè)備啟用了MAC地址認(rèn)證，故當(dāng)終端連接網(wǎng)絡(luò)后，會(huì)自動(dòng)發(fā)起MAC認(rèn)證，此時(shí)查看UAM在線用戶列表，帳號(hào)名為byodanonymous，登錄名為終端的MAC地址，如下圖12所示：【圖12】b.查看終端MAC管理列表，插入了終端MAC和匿名帳號(hào)，以及終端類型等信息，如下圖13，點(diǎn)擊終端MAC

9、管理列表的“詳細(xì)信息“按鈕，可以查看獲取到終端類型的方式，如下圖14所示：【圖13】【圖14】說明：BYOD特性一個(gè)重要的技術(shù)是如何識(shí)別終端的類型。在這方面UAM目前支持DHCP特征識(shí)別、HTTP User Agent特征識(shí)別、MAC地址識(shí)別三種方式來識(shí)別終端的廠商、終端類型、操作系統(tǒng)等信息。三種方式同時(shí)開啟場景，取值結(jié)果優(yōu)先級(jí)從高到底排列：DHCP指紋法->HTTP User Agent識(shí)別法->MAC識(shí)別法。a.DHCP 指紋法：iMC BYOD截獲終端發(fā)送的DHCP請求報(bào)文，獲取其中的Option55字段，該字段內(nèi)容的不同組合對(duì)應(yīng)不同的終端類型。該DHCP請求報(bào)文一般有操作系

10、統(tǒng)發(fā)送，準(zhǔn)確性和可靠性較有保證，iMC BYOD將此種識(shí)別方式優(yōu)先級(jí)設(shè)置為最高。 【圖15】該值為十六進(jìn)制，如果自定義DHCP特征，則需要將該十六進(jìn)制按一字節(jié)劃分換算成十進(jìn)制數(shù)，一字節(jié)由8個(gè)比特位組成，而一個(gè)十六進(jìn)制由4個(gè)比特位組成，故按兩個(gè)十六進(jìn)制換算成10進(jìn)制相加取和。如上圖的Option 55字段值為01，0f，03，06，2c，2e，2f，1f，21，79，f9，2b計(jì)算結(jié)果：1，15，3，6，44，46，47，31，33，121，249，43，可以自行定義?！緢D16】b.HTTP User Agent識(shí)別法：iMC BYOD截獲終端發(fā)送的HTTP請求報(bào)文，獲取其中的User-Agen

11、t字段，該字段中包含的不同關(guān)鍵詞（或組合）對(duì)應(yīng)不同的終端類型。HTTP請求報(bào)文由瀏覽器等應(yīng)用程序發(fā)送，準(zhǔn)確性介于DHCP指紋和MAC地址之間。由于HTTP請求報(bào)文中一般不包含終端MAC地址信息，因此需要與其他功能（如DHCP、RADIUS等）配合將IP地址與MAC地址對(duì)應(yīng)起來進(jìn)行終端識(shí)別?！緢D17】c.MAC地址識(shí)別法：iMC BYOD在獲取到終端的MAC地址后根據(jù)其所屬的MAC地址段來確定該終端是哪個(gè)廠商生產(chǎn)的哪種型號(hào)設(shè)備，由于MAC地址是網(wǎng)卡的屬性，因此該種識(shí)別方式不適合于可以安裝獨(dú)立網(wǎng)卡的設(shè)備，MAC地址本身作為終端的標(biāo)識(shí)，又容易被修改，因此用MAC地址來識(shí)別終端類型是最不可靠的，在iM

12、C中將這種識(shí)別方式優(yōu)先級(jí)排為最低。 【圖18】(2)將正式帳號(hào)和該終端進(jìn)行綁定。由于iMC V7不再使用DNS agent劫持DHCP ack報(bào)文中DNS服務(wù)器的IP地址來重定向到BYOD頁面，終端瀏覽器在IMC V7平臺(tái)下是無法跳轉(zhuǎn)到BYOD頁面的，雖然可以直接在IE輸入http:/ip/byod彈出該頁面，但是用戶需要記住IMC服務(wù)器地址，體驗(yàn)很差。目前V7平臺(tái)下byod頁面跳轉(zhuǎn)的方式如下：a：MAC認(rèn)證：UAM給匿名用戶引用的接入規(guī)則下發(fā)啟用portal認(rèn)證的vlan，利用portal的頁面重定向功能將終端重定向到byod頁面；AC具體配置如下：portal server portal

13、ip 5 key 123 url 5:8080/byod (此處portal 服務(wù)器后的鏈接地址為BYOD頁面。)interface Vlan-interface20 description mac ip address dhcp select relay dhcp relay server-select 1 portal server portal method layer3 portal domain portalIMC側(cè)配置:配合匿名接入規(guī)則的下發(fā)vlan 20，即可實(shí)現(xiàn)用戶在瀏覽器

14、輸入任意ip地址自動(dòng)跳轉(zhuǎn)到BYOD頁面。b：8021x認(rèn)證：UAM為缺省接入規(guī)則下發(fā)啟用portal認(rèn)證的vlan，利用portal的頁面重定向功能將終端重定向到byod頁面；c：Portal認(rèn)證：和之前配置基本保持一致；在瀏覽器輸入或者h(yuǎn)ttp:/ip/byod，瀏覽器會(huì)彈出BYOD界面如圖19所示，可以綁定一個(gè)已存在的帳號(hào)，也可以直接創(chuàng)建一個(gè)訪客進(jìn)行綁定，不管自動(dòng)的還是手工彈出該頁面，前提是UAM在線用戶列表必須有該終端的IP地址，否則打開該頁面會(huì)提示：該用戶未上線。使用已存在的賬號(hào)綁定成功后如圖20【圖19】 【圖20】（3）上步驟綁定正式帳號(hào)后，UAM會(huì)要求byodann

15、onymous帳號(hào)馬上下線，然后重新上線，再查看UAM在線用戶列表和終端MAC管理列表，如下圖21，22【圖21】說明：此時(shí)帳號(hào)名為xiaoming，服務(wù)和接入策略都成功改變?！緢D22】說明：此時(shí)終端MAC地址列表的帳號(hào)和用戶是正式帳號(hào)xiaoming。（4）直接創(chuàng)建一個(gè)訪客進(jìn)行綁定方式:在BYOD頁面也可以直接新創(chuàng)建一個(gè)訪客進(jìn)行綁定，步驟如下：1.開啟訪客服務(wù)。訪客在BYOD頁面默認(rèn)是不顯示的，可以通過下圖所示路徑修改。此處訪客預(yù)注冊顯示默認(rèn)沒有勾選。新建訪客服務(wù)，關(guān)聯(lián)訪客接入策略。同時(shí)設(shè)置訪客管理員為ligang。此處通過下發(fā)vlan50控制訪客的權(quán)限。然后在訪客管理里面訪客服務(wù)處增加新建

16、的訪客服務(wù)，同時(shí)勾選自動(dòng)轉(zhuǎn)正訪客服務(wù)。注意：只有訪客管理系統(tǒng)參數(shù)中“預(yù)注冊訪客自動(dòng)轉(zhuǎn)正”設(shè)置為“允許”時(shí)，訪客服務(wù)列表才會(huì)顯示“自動(dòng)轉(zhuǎn)正訪客服務(wù)”列。使用訪客注冊綁定此終端，調(diào)用了訪客服務(wù)并下發(fā)vlan50成功，用戶的地址也變?yōu)榫W(wǎng)段（下發(fā)VLAN ip地址自動(dòng)更換功能手機(jī)、xp系統(tǒng)的電腦測試成功，win7系統(tǒng)ip地址不變，需要斷開wifi再連接）。場景2：iMC服務(wù)器側(cè)預(yù)先創(chuàng)建了帳號(hào)信息，設(shè)備啟用802.1X或者Portal認(rèn)證（此處以portal認(rèn)證為例）1.設(shè)備側(cè)的配置 802.1X和MAC認(rèn)證都是二層認(rèn)證協(xié)議，并且只有認(rèn)證通過后才能通過DHCP Server獲取IP地址，D

17、HCP Agent才會(huì)通知UAM服務(wù)器終端的具體信息，即先上線，再獲取終端類型，此種場景，第一次不能BYOD，通過不同的終端類型下發(fā)不同的權(quán)限，只有再次認(rèn)證上線才能根據(jù)終端類型下發(fā)不同的控制策略。故，忽略1X認(rèn)證場景，在此以Portal認(rèn)證為例。配置在場景1的AC配置里。2.iMC側(cè)配置（1）創(chuàng)建IP地址組“ac”，并配置起始用戶IP地址段，如下圖23【圖23】（2）添加Portal設(shè)備，設(shè)備名：AC，并配置Portal設(shè)備IP，和密鑰，如下圖24：【圖24】（3）配置端口組，并綁定對(duì)應(yīng)的IP地址組，如下圖25：【圖25】（4）創(chuàng)建Portal認(rèn)證的用戶帳號(hào)ligang，并綁定前面創(chuàng)建的服務(wù)，

18、如下圖26所示：【圖26】（5）終端獲取IP，由于Portal認(rèn)證是三層協(xié)議，即在通過認(rèn)證前能通過DHCP獲取到IP，其實(shí)在獲取IP地址的同時(shí)，UAM服務(wù)器的終端MAC地址列表中已經(jīng)記錄了該終端的詳細(xì)信息，如下圖27：【圖27】（6）打開IE或者使用iNode客戶端Portal認(rèn)證上線，如下圖28所示：【圖28】查看UAM在線用戶列表：四、 配置關(guān)鍵點(diǎn)：1.UAM的byodanonymous賬號(hào)必須通過勾選“缺省BYOD用戶”的方式生成，不能通過手工輸入一個(gè)byodannonymous賬號(hào)的方式生成。2.完整的BYOD方案依賴iMC DHCP Agent提供關(guān)于終端的DHCP Option 55信息，因此需要客戶網(wǎng)絡(luò)的IP地下獲取方式為DHCP方式且DHCP Server為WindowsDHCP服務(wù)器，并且需要在該服務(wù)器上安裝iMC DHCP Agent程序。3.在啟用快速認(rèn)證之后，UAM判斷終端MAC信息是否與已有賬號(hào)關(guān)聯(lián)是通過完整的登陸名（即賬號(hào)名+域名