1、h3c iMC EIA Portal无感知认证特性说明书iMC EIA Portal无感知认证特性说明书关键词:EIA、Portal、无感知摘 要:本文档详细描述了iMC EIA Portal无感知认证的功能、用途、配置方法和实现原理等。 缩略语:缩略语英文全名中文解释EIAEnd-user Intelligent Access智能终端接入1 特性介绍Portal无感知认证是一种针对智能终端、无需输入用户名和密码即可上线的认证过程。用户第一次使用智能终端时,通过浏览器上网产生流量,设备会重定向到Portal认证页面。用户输入用户名、密码、服务等信息后上线,服务器会将认证信息以及终端的MAC地址
2、保存到数据库中。当用户再次使用该智能终端访问网络产生流量时,服务器自动使用该认证信息进行认证,免去了用户输入认证信息上线的过程。为了防止用户仿冒MAC地址后可以不输入认证信息上线,管理员和用户可以将MAC地址禁用快速认证,在这种情况下,用户每次上线时都需要输入认证信息。2 特性的优点Portal无感知认证的优点如下:(1)支持用户免输入认证上线。用户只需要在第一次上线时输入认证信息,下次上线时会自动使用该认证信息认证,简化了用户操作。(2)支持智能终端类型配置。智能终端与非智能终端使用不同的上线方式,使用该配置可以有效地区分这两种终端类型,方便操作员对终端类型的管理。(3)支持已绑定的智能终端
3、MAC地址信息管理。可以查询所有绑定的智能终端MAC地址信息并进行管理,方便操作员操作。(4)支持禁用智能终端MAC地址信息快速认证,存在手动禁用和自动禁用两种方式。禁用快速认证后,用户使用该智能终端上线时总需要输入认证信息。这样可以防止用户仿冒MAC地址后使用他人信息上线。(5)支持用户对本帐号绑定的智能终端MAC地址信息操作。用户可以在自助服务中对帐号绑定的智能终端MAC地址信息进行删除和禁用快速认证操作。方便用户个人信息维护。3 版本历史记录表3-1 特性版本历史记录产品版本号修改描述备注iMC EIA 7.0 (E0203)1、配置界面中将Portal无感知认证和MAC快速认证分开显示
4、。2、预置Portal无感知认证的常见特征值。无iMC UAM 5.1 (E0303)首次发布Portal无感知认证。首次发布4 使用指南4.1 使用场合在企业、学校或者其他环境中使用智能终端进行认证上线,并且在使用过程中可能会出现频繁的上线和下线操作。4.2 应用方式(使用指导)(1)在iMC EIA中增加服务类型配置,选择Portal无感知认证。(2)在iMC EIA中增加接入设备。(3)在iMC EIA中增加Portal设备以及端口组信息,端口组信息中选择支持Portal无感知认证。(4)在iMC EIA中增加接入用户。(5)在iMC EIA中设置系统参数。(6)在接入设备中配置Radi
5、us认证命令以及Portal无感知认证相关命令。4.3 应用举例4.3.1 iMC EIA Portal无感知认证配置步骤1. 增加服务配置进入增加服务配置页面,在该页面勾选Portal无感知认证,如图4-1所示。如果服务没有勾选Portal无感知认证,则用户使用该服务时不能进行Portal无感知认证。图4-1 增加服务配置2. 增加接入设备增加接入设备方式没有变化。3. 增加Portal设备以及端口组信息增加Portal设备方式没有变化。在增加端口组信息页面中,无感知认证这一项选择“支持”,如图4-2所示。如果端口组信息中无感知认证选择“不支持”,用户在该端口组对应的端口上不能进行Porta
6、l无感知认证。图4-1 增加端口组信息4. 增加接入用户 进入增加接入用户页面,选择“Portal无感知认证最大绑定数” ,如图4-3所示。如果选择“不支持绑定”,则该用户不能进行Portal无感知认证。选择其他数字均表示支持Portal无感知认证,且每个帐号绑定的终端数上限即为该参数的值。图4-1 增加接入用户5. 配置系统参数进入系统参数配置页面,如图4-4所示。图4-1 配置系统参数系统参数中有三个参数用于控制Portal无感知认证:终端老化时长:一旦绑定终端的MAC地址,该终端再次接入网络,无需输入账号名和密码,系统会自动进行Portal认证,为了安全起见,系统会每天凌晨定时将绑定时间
7、超过老化时长的MAC地址删除,这样该智能终端重新接入网络后,需要再次输入账号名和密码重新绑定。老化时长设置为0天时,MAC地址将永远不老化。默认设置为7天。禁止同时在线时长大于等于XX秒的终端进行Portal无感知认证:如果将一个终端的MAC地址伪造成系统已经绑定终端的MAC地址,该终端接入网络后,系统也会自动进行Portal认证,这样该用户无需有EIA帐号也可以非法接入网络,为了安全起见,系统每天凌晨会判断已经绑定的MAC地址之前的一天内(00:00:00-23:59:59)是否存在同一时间段同时在线的情况,并且在线的重叠时长超过XX秒时就会认为存在伪造MAC地址情况,会将该MAC地址自动禁
8、用快速认证。重叠时长只按单次重叠时长最长的记录,不累加计算。如果该时间设置为0秒时表示不启用该功能。非智能终端Portal无感知认证:当禁止非智能终端认证时,如果用户认证时使用的服务启用了Portal无感知认证,用户只有在智能终端上使用纯网页认证才能够成功,用户在非智能终端上、在智能终端上使用其他方式都会认证失败,认证失败的例子如下:在PC上进行网页认证(如果PC设置成了智能终端,这个就不是认证失败的例子)、在PC或者智能终端上使用iNode客户端进行Portal认证、802.1x认证、MAC地址认证,PPPoE认证和ADSL认证方式等。6. 在接入设备中配置Radius认证命令以及Porta
9、l无感知认证相关命令。通过Console或者Telnet方式登录接入设备的CLI。RADIUS认证命令没有变化,本文省略相关配置。Portal无感知认证命令如下:(命令的含义可以稍微再详细些,让大家明白这些命令具体的作用)配置将终端MAC地址上传给EIA服务器 system-viewSysname portal mac-trigger server ip 10.153.1.100 port 50100其中10.153.1.100为Portal服务器IP地址。配置在VLAN-interface中启用上传MAC地址的功能 system-viewSysname interface vlan-inte
10、rface 2Sysname-Vlan-interface2 portal mac-trigger enable period 60 threshold 10244.3.2 iMC EIA Portal无感知认证操作步骤1. 用户使用智能终端进行认证(1)用户使用智能终端通过浏览器访问网络,网页被重定向到Portal认证页面。用户输入用户名、密码、服务等认证信息,进行上线认证。(2)认证成功后,用户下线。(3)用户再次使用该智能终端访问网络,此时不需要输入用户名和密码,直接上线。2. Portal无感知用户管理与无感知认证特征管理进入Portal无感知用户列表页面,查看Portal无感知用户列
11、表,如图4-5所示。图4-1 Portal无感知用户管理操作员可以进行批量删除、禁用无感知认证和启用无感知认证等操作。对于禁用无感知认证的终端,上线时总会推出Portal认证页面,需要用户手工输入认证信息进行认证上线。在Portal无感知认证用户列表中,单击按钮,进入无感知认证特征管理页面,如图4-6所示。系统预置了大量常用HTTP特征,只有符合这些特征的终端才能进行无感知认证。因此,当终端用户使用的终端特征不在特征库中时,需要管理员手工增加。图4-2 无感知认证特征管理3. 用户自助管理智能终端MAC地址用户登录自助服务,在首页“查询用户资料”中显示当前用户绑定的智能终端MAC地址信息。如图
12、4-7所示。其中提供了智能终端MAC地址信息删除以及禁用快速认证操作。需要注意的是,如果某一条MAC地址信息已经禁用快速认证,在用户自助中不能将该MAC地址信息启用快速认证。图4-1 自助服务查询用户资料4.4 注意事项使用的接入设备需要支持Portal无感知认证。如果用户使用Portal无感知认证的方式认证上线,则服务配置中的“绑定MAC地址”功能将不生效。即使用户绑定的某一智能终端MAC地址已经禁用快速认证,该MAC地址仍然算入用户的智能终端最大绑定数中。如果无法获取终端用户的MAC地址,如三层Portal认证,则无法使用Portal无感知认证功能。5 特性实现原理(流程)介绍Portal无感知认证过程如下图所示。图5-1 智能终端第一次上线过程图5-2 智能终端第二次上线过程
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1