H3C BYOD解决方案的实现及典型配置文档格式.docx
《H3C BYOD解决方案的实现及典型配置文档格式.docx》由会员分享,可在线阅读,更多相关《H3C BYOD解决方案的实现及典型配置文档格式.docx(21页珍藏版)》请在冰豆网上搜索。
在这方面H3CiMCUAM目前支持DHCP特征识别、HTTPUserAgent特征识别、MAC地址识别三种方式来识别终端的厂商、终端类型、操作系统等信息。
此外,从业务上看,BYOD一个重要的业务需求就是终端用户使用同一账号在不同的终端上认证时需要分配不同的控制策略,对于认证系统来看就是认证时除了对账号信息的判断外对接入场景的判断也是非常重要的。
为了适应这种业务需求,UAM将原有的账号-服务模式中的服务做了很大的修改,将UAM服务主体改为“接入策略”,接入策略由场景信息与接入规则信息(原UAM服务主要内容)组成。
新的业务模式充分体现了对接入场景的重视,在集成UAM原认证功能的基础上可以很好的实现上述新的功能需求,一个帐号,多个终端,再融合H3CEAD终端安全解决方案下发不同访问权限,确保终端安全,如下图1所示:
【图1】
1.3BYOD解决方案的组织结构
我司BYOD主要由iMCUAM,EAD功能组件实现,BYOD功能模块属于UAM组件,从UAMV5.2E0401版本开始支持,配合EAD功能组件实现终端准入确保终端安全,我司的BYOD特性由如下四部分组成:
(1).接入终端:
有认证接入网络访问资源的设备,需要支持DHCP获取IP地址。
一般是移动设备如PAD、手机,也可以是PC或POS、打印机等设备。
(2).认证设备:
启用身份认证的设备(包括802.1x,Portal认证),一般认证方式为MAC认证。
(3).iMCUAM:
主要使用了iMCUAMBYOD认证页面、访客管理两个模块的功能
(4).WindowsDHCP服务器:
用于给终端设备分配IP地址,同时需要安装UAM的iMCDHCPAgent插件,用户转发移动终端信息给UAM服务器。
二 典型组网
【图2】:
BYOD功能特性组网示意图
组网说明:
认证方式和实际参数请根据实际组网变化
UAM/EADIP:
172.16.100.122
LANSwitch(安全联动设备即NAS)IP:
172.16.100.24
iNode智能客户端IP:
172.16.100.188
CA证书服务器IP:
172.16.100.145
三 典型配置
说明:
此案例根据以下几种场景进行概述:
a.iMC服务器侧预先未创建帐号信息,设备启用MAC认证;
b.iMC服务器侧预先创建了帐号信息,设备启用802.1X或者Portal认证;
场景1:
访客类,即iMC服务器侧预先未创建帐号信息,设备启用MAC认证;
3.1NAS侧配置
本案例以H3CS5500系列交换机作为NAS设备,具体版本信息:
H3CComwarePlatformSoftware
ComwareSoftware,Version5.20,Release2215
H3CS5500-28C-EIuptimeis2weeks,3days,2hours,13minutes
H3CS5500-28C-EIwith1Processor
256MbytesSDRAM
32768KbytesFlashMemory
HardwareVersionisREV.C
CPLDVersionis002
BootromVersionis701
[SubSlot0]24GE+4SFPHardwareVersionisREV.C
[SubSlot2]1XFPHardwareVersionisREV.B
主要配置:
mac-authentication
radiusscheme***//创建一个radiusscheme
primaryauthentication*.*.*.*//认证服务器
primaryaccounting*.*.*.*//认证服务器
keyauthenticationcipher$c$3$hCExxOrUqQDAHtoNnmBMe/8hTloh6A==
keyaccountingcipher$c$3$+4oOmQLhe2/otPYnxwQerm4+g4EUUA==
nas-ip*.*.*.*//nas-ip地址
domain***//创建一个domain
authenticationlan-accessradius-scheme***//引用radius方案
authorizationlan-accessradius-scheme***//引用radius方案
accountinglan-accessradius-scheme***//引用radius方案
access-limitdisable
stateactive
idle-cutdisable
self-service-urldisable
domaindefaultenable***
interfaceVlan-interface10
ipaddress*.*.*.*255.255.255.0
interfaceGigabitEthernet1/0/2
3.2DHCPAgent的配置
在UAM安装包的根目录下找到“H3CIMCDHCPAgent”安装程序,将其拷贝至WindowsDHCP服务器上安装即可,安装过程非常简单,在此省略具体的安装步骤,如下图3:
【图3】DHCPAgent正常运行示意图
UAM服务器IP地址请填写UAM使用的IP地址,UAM服务器端口号一般不需要修改,配置完成请点击“保存配置”,并启动DHCPServer即可。
3.3iMC服务器侧配置
(1)创建匿名用户的接入规则,在接入规则里可以通过下发VLAN,ACL来控制
终端用户的权限,如下图4:
【图4】
(2)创建业务用户的接入规则,在接入规则里可以通过下发VLAN,ACL来控制
终端用户的权限,如下图5:
【图5】
(3)创建终端类型分组:
“移动终端”,并绑定终端类型为iphone用于标识移动终端。
【图6】
(4)创建终端类型分组:
“windows系统”,并绑定终端类型为WindowsVista/7orServer2008或Windowsxp用于标识终端。
【图7】
(5)创建匿名服务,服务后缀为byod,如下图8
【图8】
(6)创建业务服务,服务后缀为byod,并绑定两个接入策略,对应PC和移动终端两种接入场景,接入策略由接入规则和接入场景组成,不同的场景可以对应不同的安全策略(前提是在EAD功能组件里创建安全策略),为了方便维护,建议将匿名服务和业务服务的后缀配置相同,如下图9。
【图9】
(7)创建匿名用户:
匿名用户,并绑定匿名帐号:
byodannonymous,勾选“缺省BYOD用户”后,会自动生成byodannonymous帐号,并绑定“匿名服务”。
如下图10。
【图10】
(8)创建业务用户和业务帐号:
byod,并绑定预先创建的业务服务,如下图11。
【图11】
(9)增加接入设备,即启用认证的设备,IP地址为设备侧的Nas-IP,如下图12。
【图12】
(10)在业务|用户接入管理|业务参数配置|系统配置|BYOD系统参数配置,启用“快速认证功能”,开启该功能才能做MAC匿名认证,如下图13。
【图13】
a.启用快速认证功能:
指当UAM收到MAC地址形式的认证用户名时是按快速认证处理还是按正常的UAM账号处理。
在使用BYOD的场景中该参数需要配置为“是”。
b.单账号最多MAC数:
每个账号可以关联的MAC地址的最大数量。
c.智能终端MAC地址老化时长:
该参数与BYOD无关,是智能终端快速认证的一个参数,请参考智能终端快速认证的特性说明书。
d.禁止同时在线时长大于等于()秒的MAC地址进行快速认证:
e.禁止非智能终端认证:
f.快速认证老化时长:
MAC与账号的关联信息的保存时长,超过该时长后终端MAC再次快速认证时需要再次输入账号信息
g.终端信息不一致的处理方式:
UAM发现本次MAC对应的厂商、类型、操作系统等信息与上次不一致时是否允许终端通过认证。
该参数是一个安全参数,主要用于防止终端通过修改MAC地址的方法进行仿冒认证。
h.终端信息获取方式:
只有勾选的配置项UAM才进行监听,将对应的信息添加至i.UAM数据库的MAC注册信息表中。
一般情况下这里的三个配置项均需要勾选。
3.4客户端认证上线
(1)匿名用户上线
a.匿名帐号首次认证上线,由于Bas设备启用了MAC地址认证,故当终端连接网络后,会自动发起MAC认证,此时查看UAM在线用户列表,帐号名为byodannonymous,登录名为终端的MAC地址@domain后缀,如下图14所示:
【图14】
b.查看终端MAC管理列表,插入了终端MAC和匿名帐号,以及终端类型等信息,
如下图15,点击终端MAC管理列表的“详细信息“按钮,可以查看获取到终端类型的方式,如下图16所示:
【图15】
【图16】
BYOD特性一个重要的技术是如何识别终端的类型。
在这方面UAM目前支持DHCP特征识别、HTTPUserAgent特征识别、MAC地址识别三种方式来识别终端的厂商、终端类型、操作系统等信息。
三种方式同时开启场景,取值结果优先级从高到底排列:
DHCP指纹法->
HTTPUserAgent识别法->
MAC识别法。
a.DHCP指纹法:
iMCBYOD截获终端发送的DHCP请求报文,获取其中的Option55字段,该字段内容的不同组合对应不同的终端类型。
该DHCP请求报文一般有操作系统发送,准确性和可靠性较有保证,iMCBYOD将此种识别方式优先级设置为最高。
【图17】
该值为十六进制,如果自定义DHCP特征,则需要将该十六进制按
一字节划分换算成十进制数,一字节由8个比特位组成,而一个十六进制由4个比特位组成,故按两个十六进制换算成10进制相加取和。
如上图的Option55
字