H3CBYOD解决方案的实现及典型配置

《H3CBYOD解决方案的实现及典型配置》由会员分享，可在线阅读，更多相关《H3CBYOD解决方案的实现及典型配置（25页珍藏版）》请在金锄头文库上搜索。

1、-.H3C BYOD 解决方案的实现及典型配置-.word.zl.-.目录一BYOD 简介- 1 -1.1 背景描述- 1 -1.2 BYOD 功能原理错误错误! !未定义书签。未定义书签。1.3 BYOD 解决方案的组织构造错误错误! !未定义书签。未定义书签。二典型组网- 3 -三典型配置- 3 -3.1 NAS 侧配置- 3 -3.2 DHCP AGENT 配置- 4 -3.3 IMC 效劳器侧配置错误错误! !未定义书签。未定义书签。3.4 客户端认证测试错误错误! !未定义书签。未定义书签。四考前须知- 21 -.word.zl.-.一一BYODBYOD 简介简介1.1 背景描述当前

2、，移动互联网在全球掀起了新的开展高潮， 特别是随着移动智能终端的日益普及， 移动应用和效劳不断丰富，迅速进入了移动互联网高速开展阶段。特别是移动互联网用户数量、终端数量、 市场规模的增长速度和态势非常迅猛， 移动互联网蕴含着巨大的市场空间和开展前景。智能手机，平板电脑等移动终端彻底改变了人们的生活方式，进入201x 年代，80/90后逐渐成为企业新生力量和主力军，他们更崇尚个性和自由，不管的对于企业，还是个人，自由选择办公终端无疑可以提高我们的工作效率，所有的这些，都促生了 BYOD 的产生和繁荣。BYOD(Bring Your Own Device 指带自己的终端上班，这些设备包括个人电脑

3、,手机，平板等，现在更多情况指手机或平板这样的移动智能终端设备，而当前 BYOD 最根本的功能包括：1.保持各种用户终端的良好体验。2.Anywhere，Anytime，Anyone 的接入方式，以保障高效办公效果。3.灵活的控制策略，保障企业数据的平安。1.2 BYOD 实现原理目前 BYOD 技术主要要集中在如何解决移动终端手机、平板、POS 机等设备网络认证控制方案的层面上，各厂家的实现也不尽一样,BYOD 特性一个重要的技术是如何识别终端的类型。在这方面H3C iMC UAM 目前支持 DHCP 特征识别、User Agent 特征识别、MAC 地址识别三种方式来识别终端的厂商、终端类

4、型、操作系统等信息。此外，从业务上看，BYOD 一个重要的业务需求就是终端用户使用同一账号在不同的终端上认证时需要分配不同的控制策略， 对于认证系统来看就是认证时除了对账号信息的判断外对接入场景的判断也是非常重要的。为了适应这种业务需求，UAM 将原有的账号效劳模式中的效劳做了很大的修改，将UAM 效劳主体改为“接入策略，接入策略由场景信息与接入规那么信息原 UAM 效劳主要容组成。新的业务模式充分表达了对接入场景的重视，在集成 UAM原认证功能的根底上可以很好的实现上述新的功能需求， 一个， 多个终端， 再融合 H3C EAD终端平安解决方案下发不同访问权限，确保终端平安，如下列图1 所示：

5、-.word.zl.-.【图】1.3 BYOD 解决方案的组织构造我司 BYOD 主要由 iMC UAM,EAD 功能组件实现， BYOD 功能模块属于 UAM 组件， 从 UAMV5.2 E0401 版本开场支持，配合 EAD 功能组件实现终端准入确保终端平安，我司的BYOD特性由如下四局部组成：1.接入终端：有认证接入网络访问资源的设备，需要支持DHCP 获取 IP 地址。一般是移动设备如 PAD、手机，也可以是PC 或 POS、打印机等设备。2.认证设备：启用身份认证的设备包括 802.1x，Portal 认证 ，一般认证方式为 MAC认证。3.iMC UAM:主要使用了 iMC UAM

6、 BYOD 认证页面、访客管理两个模块的功能4 .Windows DHCP效劳器： 用于给终端设备分配IP地址， 同时需要安装UAM的iMC DHCPAgent 插件，用户转发移动终端信息给UAM 效劳器。-.word.zl.-.二二典型组网典型组网【图 2】 ：BYOD 功能特性组网示意图组网说明：认证方式和实际参数请根据实际组网变化UAM/EAD IP : 172.16.100.122LANSwitch 平安联动设备即NASIP :172.16.100.24iNode智能客户端 IP:172.16.100.188CA证书效劳器 IP:172.16.100.145三三典型配置典型配置说明：此

7、案例根据以下几种场景进展概述：a iMC 效劳器侧预先未创立信息，设备启用MAC 认证；biMC 效劳器侧预先创立了信息，设备启用802.1X 或者 Portal 认证；场景场景 1 1：访客类，即：访客类，即 iMCiMC 效劳器侧预先未创立信息，设备启用效劳器侧预先未创立信息，设备启用MACMAC 认证；认证；3.1 NAS 侧配置本案例以 H3C S5500 系列交换机作为 NAS 设备，具体版本信息：H3C ware Platform Software-.word.zl.-.ware Software, Version 5.20, Release 2215H3C S5500-28C-E

8、I uptime is 2 weeks, 3 days, 2 hours, 13 minutesH3C S5500-28C-EI with 1 Processor256M bytes SDRAM32768Kbytes Flash MemoryHardware Version is REV.CCPLD Version is 002Bootrom Version is 701SubSlot 0 24GE+4SFP Hardware Version is REV.CSubSlot 2 1 XFP Hardware Version is REV.B主要配置：mac-authenticationradi

9、us scheme * /创立一个 radius schemeprimary authentication *.*.*.*/认证效劳器primary accounting*.*.*.*/认证效劳器key authentication cipher $c$3$hCExxOrUqQDAHtoNnmBMe/8hTloh6A=key accounting cipher $c$3$+4oOmQLhe2/otPYnxwQerm4+g4EUUA=nas-ip*.*.*.*/nas-ip 地址domain */创立一个 domainauthentication lan-access radius-scheme

10、 * /引用 radius 方案authorization lan-access radius-scheme * /引用 radius 方案accounting lan-access radius-scheme * /引用 radius 方案access-limit disablestate activeidle-cut disableself-service-url disabledomain default enable *interface Vlan-interface10ip address *.*.*.* 255.255.255.0interface GigabitEthernet1

11、/0/2mac-authentication3.2DHCP Agent 的配置在UAM安装包的根目录下找到“H3C IMC DHCP Agent安装程序，将其拷贝至WindowsDHCP效劳器上安装即可，安装过程非常简单，在此省略具体的安装步骤，如下列图3：-.word.zl.-.【图3】DHCP Agent正常运行示意图UAM效劳器IP地址请填写UAM使用的IP地址，UAM效劳器端口号一般不需要修改，配置完成请点击“保存配置，并启动DHCP Server即可。3.3 iMC 效劳器侧配置1创立匿名用户的接入规那么，在接入规那么里可以通过下发VLAN，ACL 来控制终端用户的权限，如下列图4：

12、【图 4】2创立业务用户的接入规那么，在接入规那么里可以通过下发VLAN，ACL 来控制终端用户的权限，如下列图5：-.word.zl.-.【图 5】3创立终端类型分组： “移动终端,并绑定终端类型为 iphone 用于标识移动终端。【图 6】4创立终端类型分组： “windows 系统,并绑定终端类型为 Windows Vista/7orServer 2008或 Windows xp 用于标识终端。【图 7】5创立匿名效劳，效劳后缀为byod，如下列图 8-.word.zl.-.【图 8】6创立业务效劳，效劳后缀为 byod，并绑定两个接入策略，对应 PC 和移动终端两种接入场景，接入策略由

13、接入规那么和接入场景组成， 不同的场景可以对应不同的平安策略 前提是在 EAD 功能组件里创立平安策略 ，为了方便维护，建议将匿名效劳和业务效劳的后缀配置一样，如下列图 9。-.word.zl.-.【图 9】7创立匿名用户：匿名用户，并绑定匿名： byodannonymous，勾选“缺省BYOD 用户后，会自动生成 byodannonymous，并绑定“匿名效劳。如下列图10。【图 10】(8)创立业务用户和业务：byod，并绑定预先创立的业务效劳，如下列图11。-.word.zl.-.【图 11】(9)增加接入设备,即启用认证的设备，IP 地址为设备侧的 Nas-IP,如下列图 12。【图

14、12】(10)在业务|用户接入管理|业务参数配置|系统配置|BYOD 系统参数配置，启用“快速认证功能，开启该功能才能做MAC 匿名认证，如下列图 13。【图 13】说明：a.启用快速认证功能： 指当 UAM 收到 MAC 地址形式的认证用户名时是按快速认证处理还是-.word.zl.-.按正常的 UAM 账号处理。在使用 BYOD 的场景中该参数需要配置为“是。b.单账号最多 MAC 数：每个账号可以关联的MAC 地址的最大数量。c.智能终端 MAC 地址老化时长：该参数与BYOD 无关，是智能终端快速认证的一个参数，请参考智能终端快速认证的特性说明书。d.制止同时在线时长大于等于秒的MAC

15、 地址进展快速认证：该参数与BYOD 无关，是智能终端快速认证的一个参数，请参考智能终端快速认证的特性说明书。e.制止非智能终端认证：该参数与 BYOD 无关，是智能终端快速认证的一个参数， 请参考智能终端快速认证的特性说明书。f.快速认证老化时长：MAC 与账号的关联信息的保存时长，超过该时长后终端MAC 再次快速认证时需要再次输入账号信息g.终端信息不一致的处理方式：UAM 发现本次 MAC 对应的厂商、类型、操作系统等信息与上次不一致时是否允许终端通过认证。 该参数是一个平安参数， 主要用于防止终端通过修改MAC 地址的方法进展仿冒认证。h.终端信息获取方式：只有勾选的配置项UAM 才进

16、展监听，将对应的信息添加至i.UAM 数据库的 MAC 注册信息表中。一般情况下这里的三个配置项均需要勾选。3.4 客户端认证上线(1)匿名用户上线a.匿名首次认证上线,由于 Bas 设备启用了 MAC 地址认证，故当终端连接网络后，会自动发起 MAC 认证，此时查看 UAM 在线用户列表，名为 byodannonymous，登录名为终端的 MAC地址 domain 后缀，如下列图 14 所示：【图 14】-.word.zl.-.b.查看终端 MAC 管理列表，插入了终端MAC 和匿名，以及终端类型等信息，如下列图 15，点击终端MAC 管理列表的“详细信息“按钮，可以查看获取到终端类型的方式

17、，如下列图 16 所示：【图 15】【图 16】说明：BYOD 特性一个重要的技术是如何识别终端的类型。 在这方面 UAM 目前支持 DHCP特征识别、User Agent 特征识别、MAC 地址识别三种方式来识别终端的厂商、终端类型、操作系统等信息。三种方式同时开启场景，取值结果优先级从高到底排列： DHCP 指纹法-User Agent 识别法-MAC 识别法。a.DHCP 指纹法：iMC BYOD 截获终端发送的 DHCP 请求报文，获取其中的 Option55 字段，该字段容的不同组合对应不同的终端类型。该 DHCP 请求报文一般有操作系统发送，准确性和可靠性较有保证，iMC BYOD

18、 将此种识别方式优先级设置为最高。-.word.zl.-.【图 17】该值为十六进制，如果自定义DHCP 特征，那么需要将该十六进制按一字节划分换算成十进制数， 一字节由 8 个比特位组成， 而一个十六进制由 4 个比特位组成，故按两个十六进制换算成10 进制相加取和。如上图的Option 55字段值为 01，0f，03，06，2c，2e，2f，1f，21，79，f9，2b 计算结果：1，15，3，6，44，46，47，31，33，121，249，43，可以自行定义。【图 18】-.word.zl.-.b.User Agent识别法： iMC BYOD截获终端发送的请求报文， 获取其中的Use

19、r-Agent字段，该字段中包含的不同关键词或组合 对应不同的终端类型。请求报文由浏览器等应用程序发送， 准确性介于 DHCP 指纹和 MAC 地址之间。由于请求报文中一般不包含终端 MAC 地址信息，因此需要与其他功能如 DHCP、RADIUS 等配合将 IP 地址与MAC 地址对应起来进展终端识别。【图 19】c.MAC 地址识别法：iMC BYOD 在获取到终端的 MAC 地址后根据其所属的 MAC 地址段来确定该终端是哪个厂商生产的哪种型号设备，由于MAC 地址是网卡的属性，因此该种识别方式不适合于可以安装独立网卡的设备，MAC 地址本身作为终端的标识，又容易被修改，因此用MAC地址来

20、识别终端类型是最不可靠的， 在iMC中将这种识别方式优先级排为最低。-.word.zl.-.【图 20】(2)将正式 byod 和该终端进展绑定。终端设备翻开浏览器尝试访问网络 需输入域名 ，由于此时终端设备的 DNS 已修改为 UAM BYOD 模块的 IP 地址，终端设备会向 UAM BYOD 模块发起域名解析请求。UAM-BYOD 组件将所有域名都解析为该效劳器地址，从而将用户请求重定向到 UAM BYOD 页面，也可以直接在 IE 输入 ip/byod 弹出该页面，可以绑定一个已存在的如下列图 19，也可以直接创立一个访客进展绑定，不管自动的还是手工弹出该页面，前提是 UAM 在线用户

21、列表必须有该终端的 IP 地址，否那么翻开该页面会提示：该用户未上线，绑定成功后，BYOD 页面提示如下列图 20。【图 21】-.word.zl.-.【图 22】3上步骤绑定正式后，UAM 会要求 byodannonymous 马上下线，然后重新上线，再查看UAM 在线用户列表和终端 MAC 管理列表，如下列图 23，24【图 23】说明：此时名为 byod，并且成功根据终端类型选择了对应的平安策略。【图 24】-.word.zl.-.说明：此时终端 MAC 地址列表的和用户是正式byod。场景场景2 2：iMCiMC效劳器侧预先创立了信息，设备启用效劳器侧预先创立了信息，设备启用802.1

22、X802.1X或者或者PortalPortal认证；认证；1. 1.设备侧的配置设备侧的配置802.1X和MAC认证都是二层认证协议，并且只有认证通过后才能通过DHCP Server获取IP地址，DHCP Agent才会通知UAM效劳器终端的具体信息，即先上线，再获取终端类型，此种场景，第一次不能BYOD，通过不同的终端类型下发不同的权限，只有再次认证上线才能根据终端类型下发不同的控制策略。故，忽略1X认证场景，在此以Portal认证为例，设备主要配置如下：Portal server imc ip 172.16.100.122key h3c url 172.16.100.122/portal

23、指定Portal效劳器radius scheme * 配置radius方案primary authentication 172.16.100.122primary accounting 172.16.100.122key authentication cipher $c$3$hCExxOrUqQDAHtoNnmBMe/8hTloh6A=key accounting cipher $c$3$+4oOmQLhe2/otPYnxwQerm4+g4EUUA=nas-ip 172.16.100.24domain *域配置authentication portal radius-scheme *autho

24、rization portal radius-scheme *accounting portal radius-scheme *access-limit disabledomain default enable byod 配置byod为缺省domaininterface Vlan-interface10 在三层VLAN接口下启用portal认证portal server imc method directip address 172.16.100.24 255.255.255.02.iMC侧配置1创立IP地址组“byod，并配置起始用户IP地址段，如下列图25-.word.zl.-.【图25】

25、2添加Portal设备，设备名：byoddevice，并配置Portal设备IP，和密钥，如下列图26【图26】3配置端口组，并绑定对应的IP地址组，如下列图27【图27】4创立Portal认证的用户portal，并绑定前面创立的效劳，如下列图28示：-.word.zl.-.【图28】5终端获取IP，由于Portal认证是三层协议，即在通过认证前能通过DHCP获取到IP，其实在获取IP地址的同时， UAM效劳器的终端MAC地址列表中已经记录了该终端的详细信息，如下列图29【图29】6翻开IE或者使用iNode客户端Portal认证上线，如下列图30：-.word.zl.-.【图30】查看UAM

26、在线用户列表如下列图31，portal已通过认证上线，并受“业务效劳下发授权信息。-.word.zl.-.【图31】-.word.zl.-.四四 考前须知考前须知1.UAM 的 byodanonymous 账号必须通过勾选“缺省 BYOD 用户的方式生成，不能通过手工输入一个 byodannonymous 账号的方式生成。2.完整的 BYOD 方案依赖 iMC DHCP Agent 提供关于终端的 DHCP Option 55 信息，因此需要客户网络的 IP 地下获取方式为 DHCP 方式且 DHCP Server 为 WindowsDHCP 效劳器，并且需要在该效劳器上安装iMC DHCP

27、Agent 程序。3.在启用快速认证之后， UAM 判断终端 MAC 信息是否与已有账号关联是通过完整的登陆名即账号名+域名来进展的。所以要求 UAM 账号或访客账号申请的 byod 效劳后缀与byodanomymous 账号的效劳后缀必须一样。4.在启用快速认证之后，移动终端的MAC 地址与 A 关联后目前不支持再与 B 账号关联，如果需要与 B 账号关联只能将 MAC 与 A 的关联信息从 UAM 中删除。目前有两种方法： 1、A账号先登陆用户自助将 MAC 地址删除。2、管理员在 UAM 用户接入管理?终端 MAC 地址管理中删除 MAC 与 UAM 账号的关联信息。5.在访客 BYOD

28、 的场景中请注意在 UAM 中启用访客的相关功能， 比方启用访客自动转正等功能。6.由于 UAM 需要监听终端浏览器发送过来的DNS 所以“UAM 用户接入管理BYOD 效劳器模块以下简称 UAM BYOD 模块安装部署及运行时必须使用TCP 80端口，即 UAM BYOD 模块所在效劳器的WebServer在 UAM 与 PLAT 安装在一起时为 Jserver的端口必须为 80.如果为非 80 需要在安装部署 UAM BYOD 模块前修改为 80 端口。修改方法如下,需要修改的地方有两处：第 一 处 ： 用 记 事 本 或UE修 改UAMBYOD模 块 所 在 效 劳 器 安 装 目 录c

29、lientconf.properties 配置文件修改前请先备份，将其中的 imc.port 修改为 80端口，如下列图所示：-.word.zl.-.第二处：在 UAM 系统参数配置中将“自助效劳器端口、“iMC 配置台端口修改为 80.然后在UAM BYOD模块所在效劳器的iMC部署监控代理中重起WebServer进程 在与PLAT安装在一台效劳器的场景中为Jserver 进程生效。UAM BYOD 模块必须使用 TCP 80 端口并且与 Portal 及用户自助共用一个WebServer 进程。如果 UAM BYOD 模块安装部署的效劳器上也部署了 Portal 或用户自助用户自助的可能性能小， 因为一般用户自助需要部署在独立的效劳器上那么意味着 Portal 或用户自助的端口也必须使用 80 端口，对于新建局点场-.word.zl.-.景，需要提前将该效劳器UAM Portal 与用户自助规划为 TCP 80 端口；对于升级场景，需要在升级前将 Portal 及用户自助业务使用端口修改为 80 端口，该操作对客户现有业务影响较大，请做好变更沟通。7.虽然业界目前针对 BYOD 还没有特定的标准，但我相信 H3C 定会继往开来，不断努力，最终会给客户提交一份满意的答卷，也对互联网奉献新的力量。-.word.zl.