- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
手册下载
15-iMC EIA 基于短信平台的访客认证典型配置举例-整本手册.pdf (1.58 MB)
iMC EIA 基于短信平台的访客认证
典型配置举例
资料版本:5W109-20221121
产品版本:EIA 7.3 (E0623)
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
访客认证就是访客使用手机号码注册上网,即访客在认证页面输入手机号码,并通过短信获取帐号密码认证上线的行为。本案例介绍了该功能在EIA中的配置过程。
适用于访客使用手机号码注册认证的场景。
· 如果使用亿美短信平台,则必须有亿美短信平台的授权信息(序列号、序列号密码和序列号Key)。
· 在配置前,网络必须路由可达。
本案例主要介绍了访客使用手机号码注册上网场景在EIA中的配置方法。配置案例的组网环境如图1所示,EIA服务器的IP地址为192.168.40.239,接入设备的IP地址为192.168.40.244。
· iMC服务器版本:
¡ iMC PLAT 7.3 (E0706)
¡ iMC EIA 7.3 (E0623)
· 短信平台:
¡ 亿美通信网关(H3C iMC系统集成亿美通信网关,无需定制。如选择其他厂商短信平台,需要进行二次开发,请联系相关技术人员。)
配置步骤包括以下几个部分:
(1) 短信业务配置
配置短信业务主要用于给访客发送密码。iMC提供了多种发送短信的方式,本案例主要介绍使用短信平台(亿美通信网关)方式给访客发送密码。该功能主要在iMC中的“系统配置 > 短信业务中心配置”中配置。
(2) EIA认证配置
a. 增加接入设备
b. 增加接入策略
c. 增加接入服务
将增加的接入服务设置为访客的默认服务。
d. 增加接入用户
将增加的接入用户设置为访客的默认访客管理员。
e. 验证短信业务配置(可选)
(3) Portal无感知认证配置
配置Portal业务用于向访客推送短信认证的Web页面。
a. 服务器配置
b. 增加IP地址组
c. 增加Portal设备
d. Portal设备端口组配置
e. 终端管理参数配置(可选)
f. 终端老化时长配置(可选)
(4) 访客业务配置
配置访客业务主要用于访客预注册和自动转正,将访客的密码通知方式配置“发送密码通知短信”,并为访客配置默认访客管理员和默认访客服务。
本案例提供了亿美短信平台短信发送方式的配置方法。操作员在选择短信发送方式时只能选择其中的一种进行配置。无论选择哪种短信发送方式,均不影响除“短信发送方式”章节之外的配置。
(1) 选择“系统管理”页签。
(2) 在左导航树中点击“系统配置 > 短信业务中心配置”菜单项,进入短信业务中心配置页面,如图2所示。
(3) 发送方式选择“短信平台”,进入短信平台配置页面,如图3所示。
(4) 首次使用短信平台时需要先连接到Internet上注册序列号。单击<注册序列号>按钮,进入注册序列号页面,如图4所示。
输入亿美授权的序列号、序列号密码和序列号Key。
(5) 单击<确定>按钮,完成短信平台配置。
(1) 选择“用户”页签。
(2) 点击导航树中的“接入用户管理 > 消息下发”菜单项。选择“短信通知”页签,所有的短信都显示在短信列表中,如图5所示。
(3) 点击缺省密码通知短信对应的修改图标
,进入修改密码通知短信页面。
收件人设置为“指定用户分组中的用户”,并在用户分组列表中勾选“未分组”,其它参数不修改,如图6所示。
(4) 单击<确定>按钮,完成配置。
(1) 选择“用户”页签。
(2) 点击导航树中的“接入用户管理 > 消息下发”菜单项。选择“短信通知”页签,所有的短信都显示在短信列表中。
(3) 在短信列表的右上方,点击“短信功能配置”链接,进入短信功能配置页面,如图7所示。
手机号码获取方式有三种:电话号码、帐号名、电话号码与帐号名。本案例中选择“电话号码与帐号名”。
¡ 电话号码:EIA发送短信时使用的手机号码,从用户基本信息的电话中读取。
¡ 帐号名:EIA发送短信时使用的手机号码,从帐号名中读取。
¡ 电话号码与帐号名:EIA发送短信时使用的手机号码,先从用户基本信息的电话中读取,如果无法读取,则从帐号名中读取。
¡ 手机号码格式限制:以java正则表达式的格式限制手机号码的可用性,如输入“^1[358][0-9]{9}$”则表示以13、15或18开头的11位数字。本配置案例中无限制,此项不配置。
(4) 单击<确定>按钮,完成配置。
(1) 选择“用户”页签。
(2) 在左导航树中点击“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项,进入接入设备配置页面。
(3) 单击<增加>按钮,进入增加接入设备页面。
(4) 配置接入设备。
配置接入设备有两种方法:
¡ 在设备列表中单击<选择>按钮从iMC中选择设备。
¡ 在设备列表中单击<手工增加>按钮,手工配置接入设备。
无论采用哪种方式接入设备的IP地址都必须满意以下要求:
¡ 如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致。
¡ 如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。
从iMC中选择设备时,设备的IP地址无法修改。因此如果设备加入iMC时使用的IP地址不满足上述要求,则可以采用手工增加的方式增加接入设备。本例采用手工增加的方式进行说明。
单击设备列表中的<手工增加>按钮,弹出手工增加接入设备窗口。输入接入设备的IP地址,单击<确定>按钮,返回增加接入设备页面。
(5) 配置公共参数。
公共参数的配置要求如下:
¡ 认证端口:EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。
¡ 计费端口:EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。
目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。
¡ 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果在[用户>接入策略管理>业务参数配置>系统配置>系统参数配置]中的“密钥显示方式”设置为明文时,只需输入一次共享密钥即可。
¡ 其他参数保持默认即可,如图8所示。
(6) 单击<确认>按钮,增加接入设备完成。
(1) 选择“用户”页签。
(2) 在左导航树中点击“接入策略管理 > 接入策略管理”菜单项,进入接入策略管理页面。
(3) 单击<增加>按钮,进入增加接入策略页面。
将“接入策略名”配置为“SMS接入策略”,其它参数保持缺省值即可,如图9所示。
(4) 配置完成后,单击<确定>按钮,接入策略增加完成。
(1) 选择“用户”页签。
(2) 在左导航树中点击“接入策略管理 > 接入服务管理”菜单项,进入接入服务管理页面。
(3) 单击<增加>按钮,进入增加接入服务页面。
¡ 服务名:本案例中配置为“SMS接入服务”;
¡ 缺省接入策略:选择2. 增加接入策略配置的“SMS接入策略”;
¡ 无感知认证:本案例中勾选“无感知认证”。勾选无感知认证后,用户在终端老化时间内首次上线需要认证,以后下线再次上线不需要重新认证;如果不勾选该项,用户下线后,再次上线都要重新认证。
¡ 其它参数保持缺省值即可,如图10所示。
(4) 配置完成,单击<确定>按钮,增加接入服务完成。
服务后缀与认证连接的用户名、设备的Domain和设备Radius scheme中的命令这几个要素密切相关,具体的搭配关系请参见表1。
表1 iMC中服务后缀的选择
|
认证连接用户名 |
设备用于认证的Domain |
设备Radius scheme中的命令 |
iMC中服务的后缀 |
|
X@Y |
Y |
user-name-format with-domain |
Y |
|
user-name-format without-domain |
无后缀 |
||
|
X |
[Default Domain] 设备上指定的缺省域 |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
(1) 选择“用户”页签。
(2) 在左导航树中点击“接入用户管理 > 接入用户”菜单项,进入接入用户管理页面。
(3) 在接入用户列表中单击<增加>按钮,进入增加接入用户页面。
¡ 用户姓名:本案例中输入“x10939”;
¡ 证件号码:本案例中输入“1497”;
¡ 电话:电话号码设置为“185XXXX8906”;
¡ 帐号名:设置为“x10939”;
¡ 密码/密码确认:设置接入用户的密码;
¡ 接入服务:勾选3. 增加接入服务的“SMS接入服务”,如图11所示。
增加完接入用户后,可使用该接入用户验证亿美通信网关是否能发送短信通知密码。
在接入用户列表页面,勾选“x10939”用户,单击<更多>按钮,在下拉菜单中选择“发送密码通知短信”,如图12所示。
如果手机号码为“185XXXX8906”的用户收到了帐号名和密码的短信,则表示之前的短信配置成功。
(1) 选择“用户”页签。
(2) 在左导航树中点击“接入策略管理 > Portal服务管理 > 服务器配置”菜单项,进入Portal服务器配置页面,如图13所示。
(1) 选择“用户”页签。
(2) 在左导航树中点击“接入策略管理 > Portal服务管理 > IP地址组配置”菜单项,进入IP地址组列表页面。
(3) 单击<增加>按钮,进入增加IP地址组页面。
¡ IP地址组名:输入“SMS”;
¡ 起始地址:输入“192.168.70.1”;
¡ 终止地址:输入“192.168.70.100”;
¡ 其它参数值保持缺省即可,如图14所示。
图14 增加IP地址组
(4) 单击<确定>按钮,增加IP地址组完成。
(1) 选择“用户”页签。
(2) 在左导航树中点击“接入策略管理 > Portal服务管理 > 设备配置”菜单项,进入设备列表页面。
(3) 单击<增加>按钮,进入增加设备信息页面。
¡ 设备名:输入“sms”;
¡ IP地址:输入“192.168.70.1”;
¡ 密钥/确认密钥:将密钥设置为“portal”;
¡ 组网方式:本案例中选择“直连”;
¡ 其它参数值保持缺省即可,如图15所示。
(4) 单击<确定>按钮,增加Portal设备信息完成。
(1) 在Portal设备列表中,如图16所示,单击sms设备操作列对应的端口组信息管理图标
,进入端口组信息配置页面。
(2) 单击<增加>按钮,进入增加端口组信息页面。
¡ 端口组名:输入“Portal_port”;
¡ IP地址组:选择已存在的“SMS”;
¡ 无感知认证:设置为“支持”;
¡ 缺省认证页面:设置为“PC-短信开户与认证(PC)”;
¡ 其它参数保持缺省值即可,如图17所示。
(3) 单击<确定>按钮,增加端口组信息完成。
如果有类似PC等非智能终端进行Portal无感知认证,则需要在终端管理参数配置中将“非智能终端Portal无感知认证”配置为“允许”。如果不启用无感知认证,此功能不用配置。
(1) 选择“用户”页签。
(2) 在左导航树中点击“接入策略管理 > 业务参数配置 > 系统配置”菜单项,进入系统配置页面。
(3) 点击“终端管理参数配置”对应的
链接,进入终端管理参数配置页面。
¡ 无感知认证:配置为“启用”;
¡ 非智能终端Portal无感知认证:配置为“允许”;
¡ 其它参数保持缺省值即可,如图18所示。
(4) 单击<确定>按钮,完成配置。
对于无感知认证认证,用户首次认证成功后,只要不超过终端老化时长,用户再次上线时不必再次输入用户名密码进行认证。终端老化时长系统缺省配置是0天,如果配置为0天,终端将永远不老化。如果不启用无感知认证,此功能不用配置。
(1) 选择“用户”页签。
(2) 在左导航树中点击“接入策略管理 > 业务参数配置 > 系统配置”菜单项,进入系统配置页面。
(3) 点击“终端老化策略配置”对应的
链接,进入终端老化策略配置页面,如图19所示。
(4) 点击缺省策略对应的修改图标
,进入修改终端老化缺省策略页面。
本案例中,“非无感知终端老化时长”配置为“3”天,按天或小时配置非无感知终端老化时长。按天配置终端老化时长,EIA每天凌晨删除超过老化时长且已下线的终端;按小时配置终端老化时长,EIA实时删除超过老化时长且已下线的终端,如图20所示。
(5) 单击<确定>按钮,完成配置。
(1) 选择“用户”页签。
(2) 在左导航树中点击“访客管理 > 访客业务参数配置”菜单项,进入访客业务参数配置页面。
“访客预注册”配置为“允许”,其它参数保持缺省值即可,如图21所示。
(3) 单击<确定>按钮,完成配置。
(1) 选择“用户”页签。
(2) 在左导航树中点击“访客管理 > 访客管理员”菜单项,进入访客管理员页面。
(3) 单机<增加>按钮,进入增加访客管理员页面,“所管理访客的最大有效时长”设置为“14”天,通过<选择接入用户>按钮选择已存在的接入用户“x10939”;其它参数保持缺省值即可,如图22所示。
访客自行注册或访客管理员创建访客,且无法设置访客的有效期时,(如访客进行短信注册并自动转正),则“所管理访客的最大有效时长”与访客策略中的“缺省访客有效时长”的较小值,将作为访客的有效时长。
(4) 单击<确定>按钮,完成配置。
访客自动转正后,挂在默认访客管理员名下。本案例采用预注册访客自动转正的方案,因此必须指定默认访客管理员。
在访客管理员列表中,点击“x10939”访客管理员对应的“默认访客管理员”一列的“否”链接,即可把“x10939”设置为默认访客管理员,如图23所示。
只有访客策略中“预注册访客自动转正”设置为“允许”时,才会在列表中显示“默认访客管理员”这一列。修改参数“预注册访客自动转正”后,该列不会实时刷新。在线操作员需要注销并重新登录iMC后,才能查看最新的列表。
访客服务是专门供访客使用的服务。访客服务无需新增,可将EIA中已存在的服务指定为访客服务。
(1) 选择“用户”页签。
(2) 在左导航树中点击“访客管理 > 访客服务”菜单项,进入访客服务管理页面。
(3) 单击<增加>按钮,进入增加访客服务页面。
(4) 勾选已存在的“SMS接入服务”,将该服务指定为访客服务,如图24所示。
(5) 单击<确定>按钮,增加访客服务完成。
默认访客服务用于无法选择访客服务的场景,比如预注册访客自动转正。本案例采用了预注册访客自动转正的方案,因此必须指定默认访客服务。
在访客服务列表中,点击“SMS接入服务”对应的“默认访客服务”一列的“否”链接,即可把该访客服务设置为默认访客服务,如图25所示。
只有访客系统参数“预注册访客自动转正”设置为“允许”时,才会在列表中显示“默认访客服务”这一列。
在访客策略中,需要将访客预注册自动转正设置为“允许”,且访客密码通知方式设置为“发送密码通知短信”,本案例可以通过修改默认访客策略实现。
(1) 选择“用户”页签。
(2) 在左导航树中点击“访客管理 > 访客策略”菜单项,进入访客策略管理页面。
(3) 在访客策略列表中,点击缺省访客策略对应的修改
图标,进入修改缺省访客策略页面。
¡ 预注册访客自动转正:此项必须配置为“允许”;
¡ 访客密码通知方式:必须选择“发送密码通知短信”,如图26所示。
(4) 单击<确定>按钮,配置完成。
# 创建名称为rs1的RADIUS方案,并进入该方案视图。
<VSR> system-view
[VSR] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥,与3.2.2 1. 增加接入设备中配置的保持一致。
[VSR-radius-rs1] primary authentication 192.168.40.239 1812
[VSR-radius-rs1] primary accounting 192.168.40.239 1813
[VSR-radius-rs1] key authentication simple expert
[VSR-radius-rs1] key accounting simple expert
# 配置发送给RADIUS服务器的用户名不携带ISP域名,配置约束关系参见表1。
[VSR-radius-rs1] user-name-format without-domain
[VSR-radius-rs1] quit
# 使能RADIUS session control功能。
[VSR] radius session-control enable
# 创建并进入名称为dm1的ISP域。
[VSR] domain dm1
# 配置ISP域的AAA方法。
[VSR-isp-dm1] authentication portal radius-scheme rs1
[VSR-isp-dm1] authorization portal radius-scheme rs1
[VSR-isp-dm1] accounting portal radius-scheme rs1
[VSR-isp-dm1] quit
# 配置系统缺省的ISP域为dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
[VSR] domain default enable dm1
# 配置Portal认证服务器:名称为newpt,IP地址为192.168.40.239,密钥3.2.3 3. 增加Portal设备,监听Portal报文的端口为50100。
[VSR] portal server newpt
[VSR-portal-server-newpt] ip 192.168.40.239 key simple portal
[VSR-portal-server-newpt] port 50100
[VSR-portal-server-newpt] quit
# 配置Portal Web服务器的URL为http://192.168.40.239:8080/portal。(Portal Web服务器的URL请与实际环境中的Portal Web服务器配置保持一致,此处仅为示例)
[VSR] portal web-server newpt
[VSR-portal-websvr-newpt] url http://192.168.40.239:8080/portal
[VSR-portal-websvr-newpt] quit
#将接口GigabitEthernet1/0/2划分至VLAN。
[VSR]interface Ethernet1/0/23
[VSR-GigabitEthernet1/0/2]port access vlan 12
[VSR-GigabitEthernet1/0/2]port link-mode bridge
#在接口GigabitEthernet1/0/2所在VLAN虚接口Vlan-interface12上启用直接方式的Portal认证,从该接口接入的用户都要通过Portal认证后才能正常使用网络资源。
[VSR]interface Vlan-interface12
[VSR-Vlan-interface12]ip address 192.168.70.1 255.255.255.0
[VSR-Vlan-interface12]portal enable method direct
[VSR-Vlan-interface12]portal apply web-server newpt
[VSR-Vlan-interface12]portal bas-ip 192.168.70.1
[VSR-Vlan-interface12]portal domain dm1
[VSR-Vlan-interface12]quit
(1) 访客打开浏览器,浏览器自动进入Portal认证页面,如图27所示。
(2) 在帐号输入框中输入手机号码,然后单击<获取帐号密码>按钮,在验证码输入框中输入右侧的验证码,如图28所示。
(3) 单击<获取>按钮,获取帐号密码,如图29所示。
(4) 输入通过手机短信获取到的帐号密码,如图30所示。服务类型是一串与服务后缀相对应的便于记忆的描述。终端用户进行Portal认证时只需直接选择服务类型,而不需要输入服务后缀,这样方便的用户使用。由于本案例中服务后缀为空,即没有对应的服务类型,所以服务类型保持为空即可。单击<上线>按钮,认证成功,如图31所示。
访客认证成功后,可以在EIA中的在线用户列表和访客列表中查看认证成功的访客。
(1) 选择“用户”页签。
(2) 在左导航树中点击“接入用户管理 > 接入用户”菜单项,进入接入用户管理页面,如图32所示。
(1) 选择“用户”页签。
(2) 在左导航树中点击“访客管理 > 所有访客”菜单项,进入访客管理页面,如图33所示。
支持
售前咨询
售后咨询
人工在线咨询
