h3c iMC EIA Portal无感知认证特性说明书.docx

1、h3c iMC EIA Portal无感知认证特性说明书iMC EIA Portal无感知认证特性说明书关键词：EIA、Portal、无感知摘 要：本文档详细描述了iMC EIA Portal无感知认证的功能、用途、配置方法和实现原理等。 缩略语：缩略语英文全名中文解释EIAEnd-user Intelligent Access智能终端接入1 特性介绍Portal无感知认证是一种针对智能终端、无需输入用户名和密码即可上线的认证过程。用户第一次使用智能终端时，通过浏览器上网产生流量，设备会重定向到Portal认证页面。用户输入用户名、密码、服务等信息后上线，服务器会将认证信息以及终端的MAC地址

2、保存到数据库中。当用户再次使用该智能终端访问网络产生流量时，服务器自动使用该认证信息进行认证，免去了用户输入认证信息上线的过程。为了防止用户仿冒MAC地址后可以不输入认证信息上线，管理员和用户可以将MAC地址禁用快速认证，在这种情况下，用户每次上线时都需要输入认证信息。2 特性的优点Portal无感知认证的优点如下：(1)支持用户免输入认证上线。用户只需要在第一次上线时输入认证信息，下次上线时会自动使用该认证信息认证，简化了用户操作。(2)支持智能终端类型配置。智能终端与非智能终端使用不同的上线方式，使用该配置可以有效地区分这两种终端类型，方便操作员对终端类型的管理。(3)支持已绑定的智能终端

3、MAC地址信息管理。可以查询所有绑定的智能终端MAC地址信息并进行管理，方便操作员操作。(4)支持禁用智能终端MAC地址信息快速认证，存在手动禁用和自动禁用两种方式。禁用快速认证后，用户使用该智能终端上线时总需要输入认证信息。这样可以防止用户仿冒MAC地址后使用他人信息上线。(5)支持用户对本帐号绑定的智能终端MAC地址信息操作。用户可以在自助服务中对帐号绑定的智能终端MAC地址信息进行删除和禁用快速认证操作。方便用户个人信息维护。3 版本历史记录表3-1 特性版本历史记录产品版本号修改描述备注iMC EIA 7.0 (E0203)1、配置界面中将Portal无感知认证和MAC快速认证分开显示

4、。2、预置Portal无感知认证的常见特征值。无iMC UAM 5.1 (E0303)首次发布Portal无感知认证。首次发布4 使用指南4.1 使用场合在企业、学校或者其他环境中使用智能终端进行认证上线，并且在使用过程中可能会出现频繁的上线和下线操作。4.2 应用方式（使用指导）(1)在iMC EIA中增加服务类型配置，选择Portal无感知认证。(2)在iMC EIA中增加接入设备。(3)在iMC EIA中增加Portal设备以及端口组信息，端口组信息中选择支持Portal无感知认证。(4)在iMC EIA中增加接入用户。(5)在iMC EIA中设置系统参数。(6)在接入设备中配置Radi

5、us认证命令以及Portal无感知认证相关命令。4.3 应用举例4.3.1 iMC EIA Portal无感知认证配置步骤1. 增加服务配置进入增加服务配置页面，在该页面勾选Portal无感知认证，如图4-1所示。如果服务没有勾选Portal无感知认证，则用户使用该服务时不能进行Portal无感知认证。图4-1 增加服务配置2. 增加接入设备增加接入设备方式没有变化。3. 增加Portal设备以及端口组信息增加Portal设备方式没有变化。在增加端口组信息页面中，无感知认证这一项选择“支持”，如图4-2所示。如果端口组信息中无感知认证选择“不支持”，用户在该端口组对应的端口上不能进行Porta

6、l无感知认证。图4-1 增加端口组信息4. 增加接入用户 进入增加接入用户页面，选择“Portal无感知认证最大绑定数” ，如图4-3所示。如果选择“不支持绑定”，则该用户不能进行Portal无感知认证。选择其他数字均表示支持Portal无感知认证，且每个帐号绑定的终端数上限即为该参数的值。图4-1 增加接入用户5. 配置系统参数进入系统参数配置页面，如图4-4所示。图4-1 配置系统参数系统参数中有三个参数用于控制Portal无感知认证：终端老化时长：一旦绑定终端的MAC地址，该终端再次接入网络，无需输入账号名和密码，系统会自动进行Portal认证，为了安全起见，系统会每天凌晨定时将绑定时间

7、超过老化时长的MAC地址删除，这样该智能终端重新接入网络后，需要再次输入账号名和密码重新绑定。老化时长设置为0天时，MAC地址将永远不老化。默认设置为7天。禁止同时在线时长大于等于XX秒的终端进行Portal无感知认证：如果将一个终端的MAC地址伪造成系统已经绑定终端的MAC地址，该终端接入网络后，系统也会自动进行Portal认证，这样该用户无需有EIA帐号也可以非法接入网络，为了安全起见，系统每天凌晨会判断已经绑定的MAC地址之前的一天内（00:00:00-23:59:59）是否存在同一时间段同时在线的情况，并且在线的重叠时长超过XX秒时就会认为存在伪造MAC地址情况，会将该MAC地址自动禁

8、用快速认证。重叠时长只按单次重叠时长最长的记录，不累加计算。如果该时间设置为0秒时表示不启用该功能。非智能终端Portal无感知认证：当禁止非智能终端认证时，如果用户认证时使用的服务启用了Portal无感知认证，用户只有在智能终端上使用纯网页认证才能够成功，用户在非智能终端上、在智能终端上使用其他方式都会认证失败，认证失败的例子如下：在PC上进行网页认证（如果PC设置成了智能终端，这个就不是认证失败的例子）、在PC或者智能终端上使用iNode客户端进行Portal认证、802.1x认证、MAC地址认证，PPPoE认证和ADSL认证方式等。6. 在接入设备中配置Radius认证命令以及Porta

9、l无感知认证相关命令。通过Console或者Telnet方式登录接入设备的CLI。RADIUS认证命令没有变化，本文省略相关配置。Portal无感知认证命令如下：（命令的含义可以稍微再详细些，让大家明白这些命令具体的作用）配置将终端MAC地址上传给EIA服务器 system-viewSysname portal mac-trigger server ip 10.153.1.100 port 50100其中10.153.1.100为Portal服务器IP地址。配置在VLAN-interface中启用上传MAC地址的功能 system-viewSysname interface vlan-inte

10、rface 2Sysname-Vlan-interface2 portal mac-trigger enable period 60 threshold 10244.3.2 iMC EIA Portal无感知认证操作步骤1. 用户使用智能终端进行认证(1)用户使用智能终端通过浏览器访问网络，网页被重定向到Portal认证页面。用户输入用户名、密码、服务等认证信息，进行上线认证。(2)认证成功后，用户下线。(3)用户再次使用该智能终端访问网络，此时不需要输入用户名和密码，直接上线。2. Portal无感知用户管理与无感知认证特征管理进入Portal无感知用户列表页面，查看Portal无感知用户列

11、表，如图4-5所示。图4-1 Portal无感知用户管理操作员可以进行批量删除、禁用无感知认证和启用无感知认证等操作。对于禁用无感知认证的终端，上线时总会推出Portal认证页面，需要用户手工输入认证信息进行认证上线。在Portal无感知认证用户列表中，单击按钮，进入无感知认证特征管理页面，如图4-6所示。系统预置了大量常用HTTP特征，只有符合这些特征的终端才能进行无感知认证。因此，当终端用户使用的终端特征不在特征库中时，需要管理员手工增加。图4-2 无感知认证特征管理3. 用户自助管理智能终端MAC地址用户登录自助服务，在首页“查询用户资料”中显示当前用户绑定的智能终端MAC地址信息。如图

12、4-7所示。其中提供了智能终端MAC地址信息删除以及禁用快速认证操作。需要注意的是，如果某一条MAC地址信息已经禁用快速认证，在用户自助中不能将该MAC地址信息启用快速认证。图4-1 自助服务查询用户资料4.4 注意事项使用的接入设备需要支持Portal无感知认证。如果用户使用Portal无感知认证的方式认证上线，则服务配置中的“绑定MAC地址”功能将不生效。即使用户绑定的某一智能终端MAC地址已经禁用快速认证，该MAC地址仍然算入用户的智能终端最大绑定数中。如果无法获取终端用户的MAC地址，如三层Portal认证，则无法使用Portal无感知认证功能。5 特性实现原理（流程）介绍Portal无感知认证过程如下图所示。图5-1 智能终端第一次上线过程图5-2 智能终端第二次上线过程