HCBYOD解决实施方案的实现及典型配置.docx
- 文档编号:4763283
- 上传时间:2022-12-08
- 格式:DOCX
- 页数:20
- 大小:1.20MB
HCBYOD解决实施方案的实现及典型配置.docx
《HCBYOD解决实施方案的实现及典型配置.docx》由会员分享,可在线阅读,更多相关《HCBYOD解决实施方案的实现及典型配置.docx(20页珍藏版)》请在冰豆网上搜索。
HCBYOD解决实施方案的实现及典型配置
HCBYOD解决实施方案的实现及典型配置
————————————————————————————————作者:
————————————————————————————————日期:
H3CBYOD解决方案的实现及典型配置
目 录
一 BYOD简介
1.1背景描述
当前,移动互联网在全球掀起了新的发展高潮,特别是随着移动智能终端的日益普及,移动应用和服务不断丰富,迅速进入了移动互联网高速发展阶段。
特别是移动互联网用户数量、终端数量、市场规模的增长速度和态势非常迅猛,移动互联网蕴含着巨大的市场空间和发展前景。
智能手机,平板电脑等移动终端彻底改变了人们的生活方式,进入201x年代,80/90后逐渐成为企业新生力量和主力军,他们更崇尚个性和自由,不管的对于企业,还是个人,自由选择办公终端无疑可以提高我们的工作效率,所有的这些,都促生了BYOD的产生和繁荣。
BYOD(BringYourOwnDevice)指带自己的终端上班,这些设备包括个人电脑,手机,平板等,现在更多情况指手机或平板这样的移动智能终端设备,而当前BYOD最基本的功能包括:
1.保持各种用户终端的良好体验。
2.Anywhere,Anytime,Anyone的接入方式,以保障高效办公效果。
3.灵活的控制策略,保障企业数据的安全。
1.2BYOD实现原理
目前BYOD技术主要要集中在如何解决移动终端(手机、平板、POS机等)设备网络认证控制方案的层面上,各厂家的实现也不尽相同,BYOD特性一个重要的技术是如何识别终端的类型。
在这方面H3CiMCUAM目前支持DHCP特征识别、HTTPUserAgent特征识别、MAC地址识别三种方式来识别终端的厂商、终端类型、操作系统等信息。
此外,从业务上看,BYOD一个重要的业务需求就是终端用户使用同一账号在不同的终端上认证时需要分配不同的控制策略,对于认证系统来看就是认证时除了对账号信息的判断外对接入场景的判断也是非常重要的。
为了适应这种业务需求,UAM将原有的账号-服务模式中的服务做了很大的修改,将UAM服务主体改为“接入策略”,接入策略由场景信息与接入规则信息(原UAM服务主要内容)组成。
新的业务模式充分体现了对接入场景的重视,在集成UAM原认证功能的基础上可以很好的实现上述新的功能需求,一个帐号,多个终端,再融合H3CEAD终端安全解决方案下发不同访问权限,确保终端安全,如下图1所示:
【图1】
1.3BYOD解决方案的组织结构
我司BYOD主要由iMCUAM,EAD功能组件实现,BYOD功能模块属于UAM组件,从UAMV5.2E0401版本开始支持,配合EAD功能组件实现终端准入确保终端安全,我司的BYOD特性由如下四部分组成:
(1).接入终端:
有认证接入网络访问资源的设备,需要支持DHCP获取IP地址。
一般是移动设备如PAD、手机,也可以是PC或POS、打印机等设备。
(2).认证设备:
启用身份认证的设备(包括802.1x,Portal认证),一般认证方式为MAC认证。
(3).iMCUAM:
主要使用了iMCUAMBYOD认证页面、访客管理两个模块的功能
(4).WindowsDHCP服务器:
用于给终端设备分配IP地址,同时需要安装UAM的iMCDHCPAgent插件,用户转发移动终端信息给UAM服务器。
二 典型组网
【图2】:
BYOD功能特性组网示意图
组网说明:
认证方式和实际参数请根据实际组网变化
UAM/EADIP:
172.16.100.122
LANSwitch(安全联动设备即NAS)IP:
172.16.100.24
iNode智能客户端IP:
172.16.100.188
CA证书服务器IP:
172.16.100.145
三 典型配置
说明:
此案例根据以下几种场景进行概述:
a.iMC服务器侧预先未创建帐号信息,设备启用MAC认证;
b.iMC服务器侧预先创建了帐号信息,设备启用802.1X或者Portal认证;
场景1:
访客类,即iMC服务器侧预先未创建帐号信息,设备启用MAC认证;
3.1NAS侧配置
本案例以H3CS5500系列交换机作为NAS设备,具体版本信息:
H3CComwarePlatformSoftware
ComwareSoftware,Version5.20,Release2215
H3CS5500-28C-EIuptimeis2weeks,3days,2hours,13minutes
H3CS5500-28C-EIwith1Processor
256MbytesSDRAM
32768KbytesFlashMemory
HardwareVersionisREV.C
CPLDVersionis002
BootromVersionis701
[SubSlot0]24GE+4SFPHardwareVersionisREV.C
[SubSlot2]1XFPHardwareVersionisREV.B
主要配置:
mac-authentication
radiusscheme***//创建一个radiusscheme
primaryauthentication*.*.*.*//认证服务器
primaryaccounting*.*.*.*//认证服务器
keyauthenticationcipher$c$3$hCExxOrUqQDAHtoNnmBMe/8hTloh6A==
keyaccountingcipher$c$3$+4oOmQLhe2/otPYnxwQerm4+g4EUUA==
nas-ip*.*.*.*//nas-ip地址
domain***//创建一个domain
authenticationlan-accessradius-scheme***//引用radius方案
authorizationlan-accessradius-scheme***//引用radius方案
accountinglan-accessradius-scheme***//引用radius方案
access-limitdisable
stateactive
idle-cutdisable
self-service-urldisable
domaindefaultenable***
interfaceVlan-interface10
ipaddress*.*.*.*255.255.255.0
interfaceGigabitEthernet1/0/2
mac-authentication
3.2DHCPAgent的配置
在UAM安装包的根目录下找到“H3CIMCDHCPAgent”安装程序,将其拷贝至WindowsDHCP服务器上安装即可,安装过程非常简单,在此省略具体的安装步骤,如下图3:
【图3】DHCPAgent正常运行示意图
UAM服务器IP地址请填写UAM使用的IP地址,UAM服务器端口号一般不需要修改,配置完成请点击“保存配置”,并启动DHCPServer即可。
3.3iMC服务器侧配置
(1)创建匿名用户的接入规则,在接入规则里可以通过下发VLAN,ACL来控制
终端用户的权限,如下图4:
【图4】
(2)创建业务用户的接入规则,在接入规则里可以通过下发VLAN,ACL来控制
终端用户的权限,如下图5:
【图5】
(3)创建终端类型分组:
“移动终端”,并绑定终端类型为iphone用于标识移动终端。
【图6】
(4)创建终端类型分组:
“windows系统”,并绑定终端类型为WindowsVista/7orServer2008或Windowsxp用于标识终端。
【图7】
(5)创建匿名服务,服务后缀为byod,如下图8
【图8】
(6)创建业务服务,服务后缀为byod,并绑定两个接入策略,对应PC和移动终端两种接入场景,接入策略由接入规则和接入场景组成,不同的场景可以对应不同的安全策略(前提是在EAD功能组件里创建安全策略),为了方便维护,建议将匿名服务和业务服务的后缀配置相同,如下图9。
【图9】
(7)创建匿名用户:
匿名用户,并绑定匿名帐号:
byodannonymous,勾选“缺省BYOD用户”后,会自动生成byodannonymous帐号,并绑定“匿名服务”。
如下图10。
【图10】
(8)创建业务用户和业务帐号:
byod,并绑定预先创建的业务服务,如下图11。
【图11】
(9)增加接入设备,即启用认证的设备,IP地址为设备侧的Nas-IP,如下图12。
【图12】
(10)在业务|用户接入管理|业务参数配置|系统配置|BYOD系统参数配置,启用“快速认证功能”,开启该功能才能做MAC匿名认证,如下图13。
【图13】
说明:
a.启用快速认证功能:
指当UAM收到MAC地址形式的认证用户名时是按快速认证处理还是按正常的UAM账号处理。
在使用BYOD的场景中该参数需要配置为“是”。
b.单账号最多MAC数:
每个账号可以关联的MAC地址的最大数量。
c.智能终端MAC地址老化时长:
该参数与BYOD无关,是智能终端快速认证的一个参数,请参考智能终端快速认证的特性说明书。
d.禁止同时在线时长大于等于()秒的MAC地址进行快速认证:
该参数与BYOD无关,是智能终端快速认证的一个参数,请参考智能终端快速认证的特性说明书。
e.禁止非智能终端认证:
该参数与BYOD无关,是智能终端快速认证的一个参数,请参考智能终端快速认证的特性说明书。
f.快速认证老化时长:
MAC与账号的关联信息的保存时长,超过该时长后终端MAC再次快速认证时需要再次输入账号信息
g.终端信息不一致的处理方式:
UAM发现本次MAC对应的厂商、类型、操作系统等信息与上次不一致时是否允许终端通过认证。
该参数是一个安全参数,主要用于防止终端通过修改MAC地址的方法进行仿冒认证。
h.终端信息获取方式:
只有勾选的配置项UAM才进行监听,将对应的信息添加至i.UAM数据库的MAC注册信息表中。
一般情况下这里的三个配置项均需要勾选。
3.4客户端认证上线
(1)匿名用户上线
a.匿名帐号首次认证上线,由于Bas设备启用了MAC地址认证,故当终端连接网络后,会自动发起MAC认证,此时查看UAM在线用户列表,帐号名为byodannonymous,登录名为终端的MAC地址@domain后缀,如下图14所示:
【图14】
b.查看终端MAC管理列表,插入了终端MAC和匿名帐号,以及终端类型等信息,
如下图15,点击终端MAC管理列表的“详细信息“按钮,可以查看获取到终端类型的方式,如下图16所示:
【图15】
【图16】
说明:
BYOD特性一个重要的技术是如何识别终端的类型。
在这方面UAM目前支持DHCP特征识别、HTTPUserAgent特征识别、MAC地址识别三种方式来识别终端的厂商、终端类型、操作系统等信息。
三种方式同时开启场景,取值结果优先级从高到底排列:
DHCP指纹法->HTTPUserAgent识别法->MAC识别法。
a.DHCP指纹法:
iMCBYOD截获终端发送的DHCP请求报文,获取其中的Option55字段,该字段内容的不同组合对应不同的终端类型。
该DHCP请求报文一般有操作系统发送,准确性和可靠性较有保证,iMCBYOD将此种识别方式优先级设置为最高。
【图17】
该值为十六进制,如果自定义DHCP特征,则需要将该十六进制按
一字节划分换算成十进制数,一字节由8个比特位组成,而一个十六进制由4个比特位组成,故按两个十六进制换算成10进制相加取和。
如上图的Option55
字段值为01,0f,03,06,2c,2e,2f,1f,21,79,f9,2b计算结果:
1,15,3,6,44,46,47,31,33,121,249,43,可以自行定义。
【图18】
b.HTTPUserAgent识别法:
iMCBYOD截获终端发送的HTTP请求报文,获取其中的User-Agent字段,该字段中包含的不同关键词(或组合)对应不同的终端类型。
HTTP请求报文由浏览器等应用程序发送,准确性介于DHCP指纹和MAC地址之间。
由于HTTP请求报文中一般不包含终端MAC地址信息,因此需要与其他功能(如DHCP、RADIUS等)配合将IP地址与MAC地址对应起来进行终端识别。
【图19】
c.MAC地址识别法:
iMCBYOD在获取到终端的MAC地址后根据其所属的MAC地址段来确定该终端是哪个厂商生产的哪种型号设备,由于MAC地址是网卡的属性,因此该种识别方式不适合于可以安装独立网卡的设备,MAC地址本身作为终端的标识,又容易被修改,因此用MAC地址来识别终端类型是最不可靠的,在iMC中将这种识别方式优先级排为最低。
【图20】
(2)将正式帐号byod和该终端进行绑定。
终端设备打开浏览器尝试访问网络(需输入域名),由于此时终端设备的DNS已修改为UAMBYOD模块的IP地址,终端设备会向UAMBYOD模块发起域名解析请求。
UAM-BYOD组件将所有域名都解析为该服务器地址,从而将用户请求重定向到UAMBYOD页面,也可以直接在IE输入http:
//ip/byod弹出该页面,可以绑定一个已存在的帐号如下图19,也可以直接创建一个访客进行绑定,不管自动的还是手工弹出该页面,前提是UAM在线用户列表必须有该终端的IP地址,否则打开该页面会提示:
该用户未上线,绑定成功后,BYOD页面提示如下图20。
【图21】
【图22】
(3)上步骤绑定正式帐号后,UAM会要求byodannonymous帐号马上下线,然后重新上线,再查看UAM在线用户列表和终端MAC管理列表,如下图23,24
【图23】
说明:
此时帐号名为byod,并且成功根据终端类型选择了对应的安全策略。
【图24】
说明:
此时终端MAC地址列表的帐号和用户是正式帐号byod。
场景2:
iMC服务器侧预先创建了帐号信息,设备启用802.1X或者Portal认证;
1.设备侧的配置
802.1X和MAC认证都是二层认证协议,并且只有认证通过后才能通过DHCPServer获取IP地址,DHCPAgent才会通知UAM服务器终端的具体信息,即先上线,再获取终端类型,此种场景,第一次不能BYOD,通过不同的终端类型下发不同的权限,只有再次认证上线才能根据终端类型下发不同的控制策略。
故,忽略1X认证场景,在此以Portal认证为例,设备主要配置如下:
Portalserverimcip172.16.100.122keyh3curlhttp:
//172.16.100.122/portal指定Portal服务器
radiusscheme***配置radius方案
primaryauthentication172.16.100.122
primaryaccounting172.16.100.122
keyauthenticationcipher$c$3$hCExxOrUqQDAHtoNnmBMe/8hTloh6A==
keyaccountingcipher$c$3$+4oOmQLhe2/otPYnxwQerm4+g4EUUA==
nas-ip172.16.100.24
domain***域配置
authenticationportalradius-scheme***
authorizationportalradius-scheme***
accountingportalradius-scheme***
access-limitdisable
domaindefaultenablebyod配置byod为缺省domain
interfaceVlan-interface10在三层VLAN接口下启用portal认证
portalserverimcmethoddirect
ipaddress172.16.100.24255.255.255.0
2.iMC侧配置
(1)创建IP地址组“byod”,并配置起始用户IP地址段,如下图25
【图25】
(2)添加Portal设备,设备名:
byoddevice,并配置Portal设备IP,和密钥,如下图26
【图26】
(3)配置端口组,并绑定对应的IP地址组,如下图27
【图27】
(4)创建Portal认证的用户帐号portal,并绑定前面创建的服务,如下图28示:
【图28】
(5)终端获取IP,由于Portal认证是三层协议,即在通过认证前能通过DHCP获取到IP,其实在获取IP地址的同时,UAM服务器的终端MAC地址列表中已经记录了该终端的详细信息,如下图29
【图29】
(6)打开IE或者使用iNode客户端Portal认证上线,如下图30:
【图30】
查看UAM在线用户列表如下图31,帐号portal已通过认证上线,并受“业务服务”下发授权信息。
【图31】
四注意事项
1.UAM的byodanonymous账号必须通过勾选“缺省BYOD用户”的方式生成,不能通过手工输入一个byodannonymous账号的方式生成。
2.完整的BYOD方案依赖iMCDHCPAgent提供关于终端的DHCPOption55信息,因此需要客户网络的IP地下获取方式为DHCP方式且DHCPServer为Windows DHCP服务器,并且需要在该服务器上安装iMCDHCPAgent程序。
3.在启用快速认证之后,UAM判断终端MAC信息是否与已有账号关联是通过完整的登陆名(即账号名+域名)来进行的。
所以要求UAM账号或访客账号申请的byod服务后缀与byodanomymous账号的服务后缀必须相同。
4.在启用快速认证之后,移动终端的MAC地址与A帐号关联后目前不支持再与B账号关联,如果需要与B账号关联只能将MAC与A的关联信息从UAM中删除。
目前有两种方法:
1、A账号先登陆用户自助将MAC地址删除。
2、管理员在UAM用户接入管理》终端MAC地址管理中删除MAC与UAM账号的关联信息。
5.在访客BYOD的场景中请注意在UAM中启用访客的相关功能,比如启用访客自动转正等功能。
6.由于UAM需要监听终端浏览器发送过来的DNS所以“UAM用户接入管理-BYOD服务器”模块(以下简称UAMBYOD模块)安装部署及运行时必须使用TCP80(HTTP)端口,即UAMBYOD模块所在服务器的WebServer(在UAM与PLAT安装在一起时为Jserver)的端口必须为80.如果为非80需要在安装部署UAMBYOD模块前修改为80端口。
修改方法如下,需要修改的地方有两处:
第一处:
用记事本或UE修改UAMBYOD模块所在服务器安装目录\client\conf\http.properties配置文件(修改前请先备份),将其中的imc.http.port修改为80端口,如下图所示:
第二处:
在UAM系统参数配置中将“自助服务器端口”、“iMC配置台端口”修改为80.
然后在UAMBYOD模块所在服务器的iMC部署监控代理中重起WebServer进程(在与PLAT安装在一台服务器的场景中为Jserver进程)生效。
UAMBYOD模块必须使用TCP80端口并且与Portal及用户自助共用一个WebServer进程。
如果UAMBYOD模块安装部署的服务器上也部署了Portal或用户自助(用户自助的可能性能小,因为一般用户自助需要部署在独立的服务器上)则意味着Portal或用户自助的端口也必须使用80端口,对于新建局点场景,需要提前将该服务器UAMPortal与用户自助规划为TCP80端口;对于升级场景,需要在升级前将Portal及用户自助业务使用端口修改为80端口,该操作对客户现有业务影响较大,请做好变更沟通。
7.虽然业界目前针对BYOD还没有特定的标准,但我相信H3C定会继往开来,不断努力,最终会给客户提交一份满意的答卷,也对互联网贡献新的力量。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- HCBYOD 解决 实施方案 实现 典型 配置