H3C_iMC_BYOD解决方案介绍

H3CIMCBYOD介绍ISSUE2.0日期：2013-04杭州华三通信技术有限公司版权所有，未经授权不得使用与传播了解iMCBYOD的系统框架和实现原理掌握iMCBYOD的功能特性熟悉iMCBYOD的基本配置熟悉iMCBYOD的维护方法课程目标学习完本课程，您应该能够：第一章iMCBYOD概述第二章iMCBYOD功能特性第三章iMCBYOD支持应用第四章iMCBYOD安装和使用第五章iMCBYOD的维护目录概述一,什么是BYOD？BYOD(BringYourOwnDevice）指带自己的终端上班，这些设备包括个人电脑,手机，平板等，现在更多情况指手机或平板这样的移动智能终端设备。BYOD是智能终端大量普及和移动办公趋势下新的技术需求，目前在BYOD领域业界关注在于：1.终端的智能识别；2.基于用户身份和终端类型的认证和权限控制；3.基于终端和身份的安全控制；’stheBYOD?第一章iMCBYOD概述第二章iMCBYOD功能特性第三章iMCBYOD实现方式第四章iMCBYOD安装和使用第五章iMCBYOD的维护目录全面的组网方式：H3C拥有完整的产品线，可提供全面的有线，无线一体化场景下的BYOD解决方案。2.多种认证方式：支持多种认证方式，基于MAC认证，Portal，802.1x等多种接入认证方式。3.终端智能识别：Portal认证场景，可以根据不同的终端类型推送出不同的认证页面，满足不同场景的需求。4.灵活的权限控制：支持灵活的策略定义和下发，支持根据终端类型，用户身份，时间，位置等接入场景下发不同的策略。第一章iMCBYOD概述第二章iMCBYOD功能特性第三章iMCBYOD实现方式第四章iMCBYOD安装和使用第五章iMCBYOD的维护目录技术主要要集中在如何解决移动终端（手机、平板、POS机等）设备网络认证控制方案的层面上，各厂家的实现也不尽相同,BYOD特性一个重要的技术是如何识别终端的类型。在这方面UAM目前支持DHCP特征识别、HTTPUserAgent特征识别、MAC地址识别三种方式来识别终端的厂商、终端类型、操作系统等信息。此外，从业务上看，BYOD一个重要的业务需求就是终端用户使用同一账号在不同的终端上认证时需要分配不同的控制策略，对于认证系统来看就是认证时除了对账号信息的判断外对接入场景的判断也是非常重要的。为了适应这种业务需求，UAM将原有的账号－服务模式中的服务做了很大的修改，将UAM服务主体改为“接入策略”，接入策略由场景信息与接入规则信息（原UAM服务主要内容）组成。新的业务模式充分体现了对接入场景的重视，在集成UAM原认证功能的基础上可以很好的实现上述新的功能需求。体系结构基本缺省信息（含EAD及计费）授权信息绑定信息，客户端配置内网外联配置，接入区域配置PLAT账号信息UAM账号信息UAM5.2E0401（之前版本）的UAM业务模式即“账号－服务”模式服务：帐号：体系结构基本缺省信息（可以理解为缺省接入策略）接入策略一（场景信息＋策略信息）接入策略N（场景信息＋策略信息）……PLAT账号信息UAM账号信息UAM5.2E0401及之后版本）的UAM业务模式即“账号－服务”模式服务：帐号：特性一个重要的技术是如何识别终端的类型，当前：针对所有可能接入网络的终端进行识别，包括台式机、便携机、手机、PAD、POS机、打印机、IP电话……需要识别终端的类型：PC、PAD、手机、哑终端。识别终端的厂商甚至具体型号。识别终端上安装的操作系统类型和版本。识别终端使用的浏览器等网络应用。地址段来确定该终端是哪个厂商生产的哪种型号设备。由于MAC地址是网卡的属性，因此该种识别方式不适合于可以安装独立网卡的设备。•MAC地址本身作为终端的标识，又容易被修改，因此用MAC地址来识别终端类型是最不可靠的，在iMC中将这种识别方式优先级排为最•低。操作员可以自己定义某个MAC范围对应的厂商及终端类型请求报文，获取其中的Option55字段，该字段内容的不同组合对应不同的终端类型。•该DHCP请求报文一般有操作系统发送，准确性和可靠性较有保证，iMCBYOD将此种识别方式优先级设置为最高。指纹识别终端（续）操作员可以自己定义DHCP指纹标识的终端信息请求报文，获取其中的User-Agent字段，该字段中包含的不同关键词（或组合）对应不同的终端类型。•HTTP请求报文由浏览器等应用程序发送，准确性介于DHCP指纹和MAC地址之间。•由于HTTP请求报文中一般不包含终端MAC地址信息，因此需要与其他功能（如DHCP、RADIUS等）配合将IP地址与MAC地址对应起来进行终端识别。识别终端（续）•操作员也可以自定义User-Agent中关键词与终端类型的对应关系。•可以用&&或||符号将多个关键词组合起来进行终端识别。版本，iNodeV5.2E0406版本开始支持，需要开启策略服务器，通过策略服务器1号报文上传终端信息，查看iNode的secPkt日志文件输出如下：[2013-04-1714:09:09][DtlCmn][1ce0]secPushInner:out-pkt[1]in=userNamebyodapril/iin=ipAddr192.168.15.4/iin=hostnames09910/iin=BindToDomainH3C/iin=“IsDomainUser”true/iin=LogonDomainH3C/iin=iSupOnlineUnauthNetAuditfalse/iin=iSupACLtrue/iin=iSupURLfalse/iin=iSupRegHighOStrue/iin=iSupAliastrue/iin=OSInfoWindows7UltimateServicePack1/i注册页面识别终端信息访问（或被重定向）BYOD注册页面，从而通过HTTPUser-Agent获取到终端信息后，为了能使基于场景的准入控制实时生效，UAM会强制用户下线，让用户重新认证。终端识别法DHCP指纹识别法HTTPUser-Agent识别法MAC地址识别法四种方式同时开启场景，识别结果优先级从下往上依次排列功能组件实现，BYOD功能模块属于UAM组件，从UAMV5.2E0401版本开始支持。我司UAM的BYOD特性由如下四部分组成：1.终端设备：有认证接入网络访问资源的设备，需要支持DHCP获取IP地址。一般是移动设备如PAD、手机，也可以是PC或POS、打印机等设备。2.认证设备：启用身份认证的设备（包括802.1x，Portal认证），一般认证方式为MAC认证。3.iMCUAM:主要使用了iMCUAMBYOD认证页面、访客管理两个模块的功能4.WindowsDHCP服务器：用于给终端设备分配IP地址，同时需要安装UAM的iMCDCHPAgent插件支持的场景接入区域：根据接入设备IP确定属于哪个场景接入IP地址组：根据认证时用户IP确定属于哪个场景无线SSID组：根据无线终端接入时使用的SSID确定属于哪个场景接入MAC地址组：根据终端的MAC地址确定属于哪个场景终端分组：根据前述识别出来的终端类型确定属于哪个场景基于场景选择不同策略多种元素同时确定场景，按优先级匹配使用对应的接入规则、安全策略等。计费策略不能基于场景选择。为什么？认证，需满足如下条件：用户名为合法的MAC地址格式（无分隔符、-：分隔符、大小写）该MAC没有对应的用户名/哑终端配置认证请求报文中的Calling-Station-ID属性值与用户名是同一个MAC存在“缺省BYOD用户”访客管理未注册访客使用“缺省BYOD用户”认证成功后如果访问BYOD注册页面（可以是主动访问也可以是通过DHCP修改DNS的重定向），iMC判断该IP对应的MAC是否与缺省BYOD用户关联的，如果是则会进入访客预注册页面。此页面可以新注册一个访客也可以直接与已存在的用户/访客绑定。绑定成功后也会强制用户下线。第一章iMCBYOD概述第二章iMCBYOD功能特性第三章iMCBYOD实现方式第四章iMCBYOD安装和使用第五章iMCBYOD的维护目录安装部署模块为“用户接入管理－BYOD服务器”如下图所示。该模块可以部署在iMC从机上，但不支持分布式部署多个。该模块对系统性能要求不高，因此一般与UAM基础组件安装部署在一台服务器上。部署（续）成功部署完BYOD后的进程为“dnsProxy”，如下图所示。如果不与iMCPLAT部署在一起还会有WebServer进程。应用场景终端账号需要根据不同的场景（如设备类型，认证位置等）分配不同的控制策略的场景例如：1.企业办公：外企，互联网企业，高新技术企业，支持员工自带设备办公。2.访客管理：百货，机场等公共场所，提供上网服务给客户；银行网点，提供上网和业务办理服务自带终端的客户。账号，服务并关联服务安装包的根目录下找到“H3CIMCDHCPAgent”安装程序，将其拷贝至WindowsDHCP服务器上安装即可，安装过程非常简单，在此省略具体的安装步骤。安装完成后可以在Windows的开始菜单中看到“DHCPAgent”程序，点击即可启动。DHCPAgent必须安装在DHCPSERVER上。2.安装DHCPAgent程序地址。2.UAM服务器端口号一般不需要修改。3.配置完成请点击“保存配置”。服务并关