- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
27-iMC EIA 访客认证典型配置举例
本章节下载: 27-iMC EIA 访客认证典型配置举例 (6.49 MB)
iMC EIA访客认证
典型配置举例
资料版本:5W117-20230906
产品版本:EIA 7.3 (E0630)
Copyright © 2025 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档详细描述了访客二维码认证的配置方法和访客使用二维码进行认证的过程,生成二维码的操作取代了访客预注册、访客手动输入用户名/密码进行认证等操作,使智能终端接入Wi-Fi网络更加便捷。
适用于用户使用iMC系统的EIA组件对终端访客进行二维码认证的场景,现EIA均支持使用Portal方式和BYOD方式对访客进行认证,对企业访客接入推荐使用BYOD方式。
· Portal认证通常用于企业或组织内部网络的身份验证,以确保用户访问内部资源时的安全性和合规性。
· BYOD认证通常用于企业网络中,允许员工使用自己的个人设备(如手机、平板电脑、笔记本电脑等)访问企业资源,并确保网络安全。
接入设备需支持Portal协议、BYOD认证。
某公司计划启用访客认证,访客接入网络时需要进行身份验证。具体的组网如图1所示。EIA服务器IP地址为172.19.202.241,接入设备IP地址为1.2.1.160。
注:本案例中各部分使用的版本如下:
· EIA版本为EIA (E0630)
接入设备为H3C WX5510EV7。
图1 组网图(Portal)
某公司计划启用访客认证,访客接入网络时需要进行身份验证。具体的组网如图2所示。EIA服务器IP地址为1.2.4.241,接入设备IP地址为1.2.1.160。
注:本案例中各部分使用的版本如下:
· EIA版本为EIA (E0630)
接入设备为H3C WX5510EV7。
配置步骤包括以下几个部分:
· 配置EIA服务器
· iMC EIA中的访客配置
· iMC EIA中Portal认证页面的配置
· 自助页面定制
· 配置接入设备
增加接入设备是为了建立EIA服务器和接入设备之间的联动关系。增加接入设备的方法如下:
(1) 选择“用户”页签,单击左侧导航树中的[接入策略管理>接入设备管理>接入设备配置]菜单项,进入接入设备配置页面,如图3所示。
(2) 单击<增加>按钮,进入增加接入设备页面,如图4所示。
(3) 配置接入设备。
配置接入设备有两种方法:
¡ 在设备列表中单击<选择>按钮从iMC平台中选择设备。
¡ 在设备列表中单击<手工增加>按钮,手工配置接入设备。
无论采用哪种方式接入设备的IP地址都必须满意以下要求:
¡ 如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致。
¡ 如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。
从iMC平台中选择设备时,设备的IP地址无法修改。因此如果设备加入iMC平台时使用的IP地址不满足上述要求,则可以采用手工增加的方式增加接入设备。本例采用手工增加的方式进行说明。
单击设备列表中的<手工增加>按钮,弹出手工增加接入设备窗口,如图5所示。输入接入设备的IP地址,单击<确定>按钮,返回增加接入设备页面。
图5 手工增加接入设备
(4) 配置公共参数。公共参数的配置要求如下:
¡ 认证端口:EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。
¡ 计费端口:EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。
目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。
¡ 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果在[用户>接入策略管理>业务参数配置>系统配置>系统参数配置]中的“密钥显示方式”设置为明文时,只需输入一次共享密钥即可。
¡ 其他参数保持默认。
本例以共享密钥\确认共享密钥“movie”为例进行介绍,其他保持默认即可,如图6所示。
(5) 单击<确定>按钮,增加接入设备完毕,可在接入设备列表中查看新增的接入设备,如图7所示。
配置一个不进行任何接入控制的接入策略。增加接入策略的方法如下:
(1) 选择“用户”页签,单击左侧导航树中的[接入策略管理>接入策略管理]菜单项,进入接入策略管理页面,如图8所示。
(2) 单击<增加>按钮,进入增加接入策略页面,如图9所示。由于不需要任何接入控制,所以只需输入接入策略名,其他参数保持默认即可。
授权下发需要设备支持对应属性,认证绑定需要设备在RADIUS属性中上传对应信息。本例不对设备进行任何下发,因此保持默认。
(3) 单击<确定>按钮,接入策略增加完毕。返回接入策略管理页面,可在接入策略列表中查看新增的接入策略,如图10所示。
接入服务是对用户进行认证授权的各种策略的集合。本例不对用户进行任何接入控制,因此只需增加一个简单的接入服务即可。增加接入服务的方法如下:
(1) 选择“用户”页签,单击左侧导航树中的[接入策略管理>接入服务管理]菜单项,进入接入服务管理页面,如图11所示。
(2) 单击<增加>按钮,进入增加接入服务页面,配置服务名、服务后缀、缺省接入策略,其他参数保持默认,如图12所示。
配置服务的各个参数:
¡ 服务名:输入服务名称,在EIA中必须唯一。
¡ 服务后缀:服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见表1。
¡ 业务分组:用于分权管理,使特定的人只能管理特性的业务,既职责分明,也不会互相越权。配置该服务所属的业务分组,用于该服务的分权管理。只有拥有该业务分组权限的管理员/维护员才能配置该业务分组。
¡ 缺省接入策略:选择2. 增加接入策略新增的portal_Policy接入策略。
¡ 缺省安全策略:接入用户的接入场景与服务中的接入场景均不匹配时,会根据该安全策略指定的安全方案对用户的上网的计算机进行安全检查和监控,从而实现网络的自动防御。该选项只有安装了EAD安全策略组件后才会出现。
¡ 缺省内网外连策略:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省内网外连策略的控制。
¡ 缺省单帐号最大绑定终端数:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号最大绑定终端数的控制。该参数只有在部署了EIP组件后才会显示。
¡ 缺省单帐号在线数量限制:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号在线数量限制的控制。
¡ 业务分组:用于分权管理,使特定的人只能管理特性的业务,既职责分明,也不会互相越权。配置该服务所属的业务分组,用于该服务的分权管理。只有拥有该业务分组权限的管理员/维护员才能配置该业务分组。
¡ 单日累计在线最长时间(分钟):每天允许帐号使用该服务接入网络的总时长,达到该时长后,帐号将被强制下线,且当日不能再次接入。该参数单位是分钟,只支持输入整数,最小值是0,表示不限制每天在线时长,最大值是1440。
¡ 其他参数保持默认。
表1 EIA中服务后缀的选择
|
认证连接用户名 |
设备用于认证的Domain |
设备Radius scheme中的命令 |
iMC中服务的后缀 |
|
X@Y |
Y |
user-name-format with-domain |
Y |
|
user-name-format without-domain |
无后缀 |
||
|
X |
[Default Domain] 设备上指定的缺省域 |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
(3) 单击<确定>按钮,完成增加接入服务。返回接入服务管理页面,可在接入服务列表中查看新增的接入服务,如图13所示。
(1) 选择“用户”页签,单击左侧导航树中的[接入用户管理>接入用户]菜单项,进入接入用户页面,如图14所示。
(2) 单击<增加>按钮,进入增加接入用户页面,如图15和图16所示。
参数说明:
¡ 用户姓名、证件号码:用户的姓名及证件号码。
¡ 帐号名:唯一标识帐号用户的名称,用户使用该名称申请和使用服务,该名称不能与已有名称相同,不能包含如下特殊字符:#+/?%&=*'@\"[]()<>`和TAB键,且最大长度为200字符。
¡ 密码/确认密码:输入两次相同的密码。
¡ 其他参数:保持缺省值。
(3) 单击<确定>按钮,完成增加接入用户,返回接入用户页面。可在接入用户列表中查看新增的接入用户,如图17所示。
访客管理员通过自助页面进行访客审批时,会区分访客管理员的权限,即只有访客预注册时所选的的访客管理员或超级访客管理员才能审批。而二维码审批没有权限约束,即所有访客管理员可以扫描任意预注册访客的二维码后进行审批。
(1) 使用Admin(或其他拥有权限的管理员/维护员)登录iMC配置管理台。
(2) 选择“用户”页签,单击左侧导航树中的[访客管理/访客管理员]菜单项,进入访客管理员页面如图18所示。
(3) 单击<增加>按钮,进入增加访客管理员页面,如图19所示。进行如下设置:
¡ 访客管理员类型:保持默认选项“访客管理员”即可。
¡ 所管理访客的最大有效时长:配置为7天。
(4) 单击<选择接入用户>按钮,弹出如图20所示的窗口。选中3.3.1 4. 增加接入用户(用于配置默认访客管理员)接入用户后,单击<确定>按钮。
(5) 再次单击<确定>按钮,增加访客管理员完毕。新增的访客管理员如图21所示。
默认访客管理员在自动预注册时使用,不影响二维码审批流程,因此任意指定一个即可。如果系统中已经存在默认访客管理员,则无需再指定。
在访客管理员列表中,点击对应的默认访客管理员列的“否”链接,如图22所示,即可将该访客管理员指定为默认访客管理员,如图23所示。
(1) 单击左侧导航树中的[访客管理>访客服务]菜单项,进入访客服务页面,如图24所示。
(2) 单击<增加>按钮,进入增加访客服务页面,如图25所示。然后选择服务,单击<确定>按钮,即可将所选的服务设置为访客服务。
(3) 在访客服务列表中,点击访客服务对应的“否”链接,如图26所示,即可将新增的访客服务设置为自动转正访客服务。
(1) 单击左侧导航树中的[访客管理>访客策略]菜单项,单击<增加>按钮进入增加访客策略页面,如图27所示。
(2) 配置如下参数:
¡ 策略名称:填写策略名称
¡ 预注册访客自动转正:选择“禁止”选项。如果选择为允许,则预注册访客无需访客管理员审批,不适用于二维码审批的场景。
¡ 访客预注册后显示二维码:选择“是”选项。
(3) 单击<确定>按钮,完成缺省访客策略配置。
(1) 选择“用户”页签,单击左侧导航树中的[接入策略管理>Portal服务管理>服务器配置]菜单项,进入Portal服务配置页面,如图28所示。
(2) 在“服务类型列表”区域中,单击<增加>按钮,弹出增加服务类型窗口,如图29所示。
参数说明:
¡ 服务类型标识:设备根据用户选择的服务类型确定相应的认证方案,必须与之前增加接入服务中的服务后缀相同。
¡ 服务类型:服务类型标识是设备使用的信息,用户可能无法直观地理解其内在的含义。因此使用服务类型对其进行解释,会显示在Portal认证主页上,便于用户对服务类型的理解。其中,服务类型信息不能为空,并且不能和现有的服务类型信息相同,服务类型的数量不能超过64个。
(3) 单击<确定>按钮,完成增加服务类型。返回服务器配置页面。可在服务类型列表中查看新增的服务类型,如图30所示。
(4) 单击<确定>按钮,完成Portal服务器配置。
(1) 选择“用户”页签,单击左侧导航树中的[接入策略管理>Portal服务管理>IP地址组配置]菜单项,进入IP地址组配置页面,如图31所示。
图31 IP地址组配置
(2) 单击<增加>按钮,进入增加IP地址组页面,如图32所示。
图32 增加IP地址组
(3) 输入IP地址组名,本例为“46.46.46.1”,并输入起始地址和终止地址IP地址。其中,属于该地址段的终端都要进行认证。
(4) 单击<确定>按钮,完成增加IP地址组,返回IP地址组配置页面。可在IP地址组列表中查看新增的IP地址组,如图33所示。
图33 查看新增的IP地址组
(1) 选择“用户”页签,单击左侧导航树中的[接入策略管理>Portal服务管理>设备配置]菜单项,进入设备配置页面,如图34所示。
(2) 单击<增加>按钮,进入增加设备信息页面,如图35所示。
参数说明:
¡ 设备名:输入设备名称,本例为“46.46.46.1”。
¡ IP地址:Portal接入设备的公网IP地址。
¡ 密钥\确认密钥:输入“movie”。密钥要与设备上配置的Portal服务器密钥保持一致。
¡ 组网方式:在下拉框中选择“直连”。
¡ 其他参数:保持默认值。
(3) 单击<确定>按钮,完成增加设备信息。返回设备配置页面,可在列表中查看新增的设备信息,如图36所示。
(4) 在Portal设备列表中,选择Portal设备对应的
链接,进入如图37所示页面。
图37 Portal端口组列表
(5) 单击<增加>按钮,进入增加端口组信息页面,如图38所示,配置如下参数。
¡ 端口组名称:填写端口组名称,本例以“portal”为例。
¡ 认证方式:选择“CHAP认证”选项。
¡ 缺省认证页面:选择“PHONE-二维码开户与认证”选项。
¡ 其他参数保持默认即可。
图38 Portal端口组配置
(6) 单击<确定>按钮,完成Portal端口组配置。
(1) 选择“用户”页签,单击左侧导航树中的[接入策略管理>终端页面定制>自助页面定制]菜单项,选择登录页面定制(智能终端)页签,进入登录页面定制(智能终端)页面,如图39所示。
(2) 单击自定义链接1修改栏的<修改>按钮,勾选显示栏的选择框,显示名称修改为“访客预注册”,URL中输入智能终端访客预注册默认页面链接,如图40所示。
(3) 配置完成后,单击修改列的
按钮,修改成功。
接入设备用于控制用户的接入。通过认证的用户可以接入网络,未通过认证的用户无法接入网络。
以下使用Windows的CLI窗口telnet到接入设备并进行配置,具体的命令及其说明如下:
(1) 进入系统视图。
<WX5510E-160>system-view
System View: return to User View with Ctrl+Z.
(2) 配置RADIUS策略“allpermit”。认证、计费服务器均指向EIA。认证端口、计费端口、共享密钥要与3.3.1 1. 增加接入设备的配置保持一致。
[WX5510E-160]radius scheme allpermit
New Radius scheme
[WX5510E-160-radius-allpermit]primary authentication 172.19.202.241 1812
[WX5510E-160-radius-allpermit]primary accounting 172.19.202.241 1813
[WX5510E-160-radius-allpermit]key authentication simple movie
[WX5510E-160-radius-allpermit]key accounting simple movie
[WX5510E-160-radius-allpermit]user-name-format with-domain
[WX5510E-160-radius-allpermit]quit
(3) 配置domain域“portal”,引用配置好的“allpermit”策略。domain的名称必须与3.3.1 3. 增加接入服务中配置的服务后缀保持一致。
[WX5510E-160]domain portal
[WX5510E-160-isp-portal]authentication portal radius-scheme allpermit
[WX5510E-160-isp-portal]authorization portal radius-scheme allpermit
[WX5510E-160-isp-portal]accounting portal radius-scheme allpermit
[WX5510E-160-isp-portal]quit
(4) 配置Portal认证服务器:名称为myportal,IP地址指向EIA服务器,key要与3.3.3 3. 设备配置中配置的密钥一致。
[WX5510E-160]portal server myportal
New portal server added.
[WX5510E-160-portal-server-myportal]ip 172.19.202.241 key simple movie
[WX5510E-160-portal-server-myportal]quit
(5) 配置Portal Web服务器的URL为http://172.19.202.241:8080/portal,要与3.3.3 1. 服务器配置中的“Portal主页”项中的配置项一致,具体配置项如图28所示。
[WX5510E-160]portal web-server myportal
New portal web-server added.
[WX5510E-160-portal-websvr-myportal]url http:// 172.19.202.241:8080/portal
[WX5510E-160-portal-websvr-myportal]quit
(6) 在接口GigabitEthernet1/0/16所在VLAN虚接口Vlan-interface 50上,配置DHCP服务器,并开启直接方式的Portal,引用Portal Web服务器myportal,设置发送给Portal认证服务器的Portal报文中的BAS-IP属性值,该BAS-IP需和3.3.3 3. 设备配置中的IP地址保持一致。
[WX5510E-160]interface Vlan-interface 50
[WX5510E-160-Vlan-interface50]ip address 46.46.46.1 255.255.255.0
[WX5510E-160-Vlan-interface50]dhcp select relay
[WX5510E-160-Vlan-interface50]dhcp relay server-address 172.19.202.250
[WX5510E-160-Vlan-interface50]portal enable method direct
[WX5510E-160-Vlan-interface50]portal apply web-server myportal
[WX5510E-160-Vlan-interface50]portal bas-ip 46.46.46.1
[WX5510E-160-Vlan-interface50]Portal domain portal
[WX5510E-160-Vlan-interface50]quit
(7) 创建无线服务模板,配置SSID,配置无线服务模板VlAN为vlan50,并使能无线模板。
[WX5510E-160-wlan-st-market]wlan service-template market
[WX5510E-160-wlan-st-market]ssid ss_market_portal
[WX5510E-160-wlan-st-market]vlan 50
[WX5510E-160-wlan-st-market]service-template enable
(8) 配置AP,将无线服务模板绑定到Radio 1,并开启射频。
[WX5510E-160]wlan ap inode1 model WA4320i-ACN
[WX5510E-160-wlan-ap-indel]radio 1
[WX5510E-160-wlan-ap-indel-radio-1]radio enable
[WX5510E-160-wlan-ap-indel-radio-1]service-template market
[WX5510E-160-wlan-ap-indel-radio-2]quit
配置步骤包括以下几个部分:
· 配置DHCP服务器
· 配置EIA服务器
· iMC EIA中的访客配置
· 开启MAC无感知认证功能
· 配置接入设备
(1) 启用DHCP服务器,在导航栏中单击“IPv4”选项,在菜单栏中选择“新建作用域”选项,如图41所示。
(2) 弹出新建作用域向导页面,单击<下一步>按钮,如图42所示。
(3) 进入作用域名称页面,配置作用域名称为Anony_mac,单击<下一步>按钮,如图43所示。
(4) 进入IP地址范围页面,配置地址范围为:46.46.46.2~46.46.46.254,设置子网掩码为24位,单击<下一步>按钮,如图44所示。
图44 IP地址池范围
(5) 不做具体介绍的页面均保持默认配置,一直单击<下一步>按钮,进入路由器(默认网关)页面,配置网关地址为46.46.46.1,单击<添加>按钮,将网关地址添加,然后单击<下一步>按钮,如图45所示。
(6) 进入到域名称和DNS服务器页面,配置DNS服务器的IP地址,本例配置为172.19.202.250,为DHCP服务器地址,单击<添加>按钮,将服务器地址添加,如图46所示,弹出DNS验证弹窗,待弹窗消失后,单击<下一步>按钮。
图46 DNS服务器
(7) 不做具体介绍的页面均保持默认配置,一直单击<下一步>按钮,进入正在完成新建作用域向导页面,单击<完成>按钮。接入账号作用域配置完成,如图47所示。
参考1. 增加BYOD匿名用户作用域配置方式,增加接入账号作用域。名称配置为BYOD_mac,配置IP地址范围为97.97.97.2~97.97.97.254,配置网关地址为97.97.97.1。
DHCP Agent是H3C开发的一款DHCP插件,可以在安装包“<iMC UAM目录>/UAM/tools”目录下获取安装文件H3C iMC DHCP Agent.exe。
(1) 打开DHCP Agent,配置如下参数:
¡ 勾选“启用Agent”复选框。
¡ UAM服务器IP:配置为安装UAM服务器IP地址,本例为1.2.4.241。
¡ 其他参数保持默认值即可。
(2) 单击<保存配置>按钮,单击<启动DHCP Server>按钮。
(3) Agent状态显示为对号表示DHCP已正常工作。
图48 DHCP Agent
(1) 选择“用户”页签,单击左侧导航树中的[接入策略管理>终端页面定制>BYOD页面定制]菜单项,进入如图49所示页面。
图49 BYOD页面定制
(2) 选择“Phone”页签,选择模板1,单击“增加”链接。
(3) 进入增加BYOD定制页面,如图50所示,配置如下参数:
¡ 定制名称:本例为“BYOD-Phone认证”。
¡ 注册与认证类型:本例选择“二维码注册与认证”。
图50 增加BYOD定制页面
(4) 配置完成后,单击<确定>按钮,返回BYOD页面定制页面,单击“绘制注册/登录页面”图标绘制BYOD登录页面,如图51所示。
(5) 弹出BYOD PHONE页面定制弹窗,本例仅以修改页面的LOGO图标为例,用户可根据需求进行配置。单击LOGO区域,然后单击
按钮,选择插入图片,然后选择要插入的图片,如图52所示。
(6) 页面绘制完成后单击<保存>按钮,然后单击<发布>按钮,将定制页面中的内容保持和发布到服务器。
(7) 根据相同的操作单击绘制结果页面图标配置绘制结果页面,如图53所示。
(1) 选择“用户”页签,单击左侧导航树中的[接入策略管理>终端页面定制>页面推送策略]菜单项,进入如图54所示页面。
(2) 在页面推送策略页面,单击<增加>按钮,进入如图55所示页面,进行如下配置:
¡ 策略名称:填写策略名称,本例以“BYOD推送策略”为例。
¡ 选择认证方式:选择“MAC”选项,该MAC认证方式最多只能配置一条。
¡ 缺省认证页面:选择1. 定制BYOD认证页面新增的“PHONE-BYOD-PHONE认证”选项。
(3) 配置完成单击<确定>按钮,保存设置,如图56所示。
增加接入设备是为了建立EIA服务器和接入设备之间的联动关系。增加接入设备的方法如下:
(1) 选择“用户”页签,单击左侧导航树中的[接入策略管理>接入设备管理>接入设备配置]菜单项,进入接入设备配置页面,如图57所示。
(2) 单击<增加>按钮,进入增加接入设备页面,如图58所示。
(3) 配置接入设备。
配置接入设备有两种方法:
¡ 在设备列表中单击<选择>按钮从iMC平台中选择设备。
¡ 在设备列表中单击<手工增加>按钮,手工配置接入设备。
无论采用哪种方式接入设备的IP地址都必须满意以下要求:
¡ 如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致。
¡ 如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。
从iMC平台中选择设备时,设备的IP地址无法修改。因此如果设备加入iMC平台时使用的IP地址不满足上述要求,则可以采用手工增加的方式增加接入设备。本例采用手工增加的方式进行说明。
单击设备列表中的<手工增加>按钮,弹出手工增加接入设备窗口,如图59所示。输入接入设备的IP地址,单击<确定>按钮,返回增加接入设备页面。
(4) 配置公共参数。公共参数的配置要求如下:
¡ 认证端口:EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。
¡ 计费端口:EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。
目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。
¡ 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果在[用户>接入策略管理>业务参数配置>系统配置>系统参数配置]中的“密钥显示方式”设置为明文时,只需输入一次共享密钥即可。
¡ 其他参数保持默认。
本例以共享密钥\确认共享密钥“movie”为例进行介绍,其他保持默认即可,如图60所示。
(5) 单击<确定>按钮,增加接入设备完毕,可在接入设备列表中查看新增的接入设备,如图61所示。
配置两个接入策略分别为BYOD匿名用户和接入账号使用。增加接入策略的方法如下:
(1) 选择“用户”页签,单击左侧导航树中的[接入策略管理>接入策略管理]菜单项,进入接入策略管理页面,配置BYOD匿名用户使用的接入策略,如图62所示。
(2) 单击<增加>按钮,进入增加接入策略页面,如图63所示。输入接入策略名,配置BYOD匿名用户下发VLAN 50,其他参数保持默认即可。
授权下发需要设备支持对应属性,认证绑定需要设备在RADIUS属性中上传对应信息。本例不对设备进行任何下发,因此保持默认。
(3) 单击<确定>按钮,接入策略增加完毕。返回接入策略管理页面,可在接入策略列表中查看新增的接入策略,如图64所示。
(4) 以同样的方式增加接入账号使用的接入策略BYOD-mac策略,并配置下发VLAN 97,如图65所示。
接入服务是对用户进行认证授权的各种策略的集合。配置两个接入服务分别为BYOD匿名用户和接入账号使用。增加接入服务的方法如下:
(1) 选择“用户”页签,单击左侧导航树中的[接入策略管理>接入服务管理]菜单项,进入接入服务管理页面,配置BYOD匿名用户使用的接入服务,配置如图66所示。
(2) 单击<增加>按钮,进入增加接入服务页面,配置服务名、缺省接入策略,其他参数保持默认,如图67所示。
配置服务的各个参数:
¡ 服务名:输入服务名称,在EIA中必须唯一。
¡ 服务后缀:服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见表2。
¡ 业务分组:用于分权管理,使特定的人只能管理特性的业务,既职责分明,也不会互相越权。配置该服务所属的业务分组,用于该服务的分权管理。只有拥有该业务分组权限的管理员/维护员才能配置该业务分组。
¡ 缺省接入策略:选择4. 增加接入策略新增的BYOD-anony策略接入策略。
¡ 缺省安全策略:接入用户的接入场景与服务中的接入场景均不匹配时,会根据该安全策略指定的安全方案对用户的上网的计算机进行安全检查和监控,从而实现网络的自动防御。该选项只有安装了EAD安全策略组件后才会出现。
¡ 缺省内网外连策略:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省内网外连策略的控制。
¡ 缺省单帐号最大绑定终端数:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号最大绑定终端数的控制。该参数只有在部署了EIP组件后才会显示。
¡ 缺省单帐号在线数量限制:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号在线数量限制的控制。
¡ 业务分组:用于分权管理,使特定的人只能管理特性的业务,既职责分明,也不会互相越权。配置该服务所属的业务分组,用于该服务的分权管理。只有拥有该业务分组权限的管理员/维护员才能配置该业务分组。
¡ 单日累计在线最长时间(分钟):每天允许帐号使用该服务接入网络的总时长,达到该时长后,帐号将被强制下线,且当日不能再次接入。该参数单位是分钟,只支持输入整数,最小值是0,表示不限制每天在线时长,最大值是1440。
¡ 其他参数保持默认。
表2 EIA中服务后缀的选择
|
认证连接用户名 |
设备用于认证的Domain |
设备Radius scheme中的命令 |
iMC中服务的后缀 |
|
X@Y |
Y |
user-name-format with-domain |
Y |
|
user-name-format without-domain |
无后缀 |
||
|
X |
[Default Domain] 设备上指定的缺省域 |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
(3) 单击<确定>按钮,完成增加接入服务。返回接入服务管理页面,可在接入服务列表中查看新增的接入服务,如图68所示。
(4) 以同样的方式增加接入账号使用的接入服务BYOD-mac服务,缺省接入选择4. 增加接入策略增加的BYOD-mac策略。
图69 BYOD-mac服务
配置两个接入用户分别为BYOD匿名用户和接入账号(用于配置访客管理员)。增加接入用户的方法如下:
(1) 选择“用户”页签,单击左侧导航树中的[接入用户管理>接入用户]菜单项,进入接入用户页面,配置BYOD匿名用户,如图70所示。
(2) 单击<增加>按钮,进入增加接入用户页面,如图71所示。
参数说明:
¡ 用户姓名、证件号码:用户的姓名及证件号码。
¡ 勾选缺省BYOD用户,缺省BYOD用户的帐号名固定为“byodanonymous”,且帐号密码不用再设置。
¡ 勾选5. 增加接入服务为BYOD匿名用户增加的BYOD-anony服务。
¡ 其他参数:保持缺省值。
(3) 单击<确定>按钮,BYOD匿名用户配置完成,返回接入用户页面。可在接入用户列表中查看新增的BYOD匿名用户byodanonymous,如图72所示。
(4) 然后增加访客管理员使用的接入用户,单击<增加>按钮,进入增加接入用户页面,如图73所示。
参数说明:
¡ 用户姓名、证件号码:用户的姓名及证件号码。
¡ 帐号名:唯一标识帐号用户的名称,用户使用该名称申请和使用服务,该名称不能与已有名称相同,不能包含如下特殊字符:#+/?%&=*'@\"[]()<>`和TAB键,且最大长度为200字符。
¡ 密码/确认密码:输入两次相同的密码。
¡ 勾选5. 增加接入服务为BYOD匿名用户增加的BYOD-mac服务。
¡ 其他参数:保持缺省值。
(5) 单击<确定>按钮,完成增加接入用户,返回接入用户页面。可在接入用户列表中查看新增的接入用户,如图74所示。
访客管理员通过自助页面进行访客审批时,会区分访客管理员的权限,即只有访客预注册时所选的的访客管理员或超级访客管理员才能审批。而二维码审批没有权限约束,即所有访客管理员可以扫描任意预注册访客的二维码后进行审批。
(1) 使用Admin(或其他拥有权限的管理员/维护员)登录iMC配置管理台。
(2) 选择“用户”页签,单击左侧导航树中的[访客管理/访客管理员]菜单项,进入访客管理员页面如图75所示。
(3) 单击<增加>按钮,进入增加访客管理员页面,如图76所示。进行如下设置:
¡ 访客管理员类型:保持默认选项“访客管理员”即可。
¡ 所管理访客的最大有效时长:配置为7天。
(4) 单击<选择接入用户>按钮,弹出如图77所示的窗口。选中3.4.2 6. 增加接入用户增加的manager接入用户后,单击<确定>按钮。
(5) 再次单击<确定>按钮,增加访客管理员完毕。新增的访客管理员如图78所示。
默认访客管理员在自动预注册时使用,不影响二维码审批流程,因此任意指定一个即可。如果系统中已经存在默认访客管理员,则无需再指定。
在访客管理员列表中,点击对应的默认访客管理员列的“否”链接,如图79所示,即可将该访客管理员指定为默认访客管理员,如图80所示。
(1) 单击左侧导航树中的[访客管理>访客服务]菜单项,进入访客服务页面,如图81所示。
(2) 单击<增加>按钮,进入增加访客服务页面,如图82所示。然后选择3.4.2 5. 增加接入服务增加的BYOD-mac服务,单击<确定>按钮,即可将所选的服务设置为访客服务。
(3) 在访客服务列表中,点击访客服务对应的“否”链接,如图83所示,即可将新增的访客服务设置为自动转正访客服务。
(1) 单击左侧导航树中的[访客管理>访客策略]菜单项,单击<增加>按钮进入增加访客策略页面,如图84所示。
(2) 配置如下参数:
¡ 策略名称:填写策略名称
¡ 预注册访客自动转正:选择“禁止”选项。如果选择为允许,则预注册访客无需访客管理员审批,不适用于二维码审批的场景。
¡ 访客预注册后显示二维码:选择“是”选项。
(3) 单击<确定>按钮,完成缺省访客策略配置。
(1) 选择“用户”页签,单击左侧导航树中的[接入策略管理>业务参数配置>系统配置]菜单项,进入系统配置页面,如图85所示。
(2) 单击终端管理参数配置后面的配置图标,进入终端管理参数配置页面,启用无感知认证(无感知认证系统默认启用),配置完成后单击<确定>按钮,如图86所示。
接入设备用于控制用户的接入。通过认证的用户可以接入网络,未通过认证的用户无法接入网络。
以下使用Windows的CLI窗口telnet到接入设备并进行配置,具体的命令及其说明如下:
(1) 进入系统视图。
<WX5510E-160>system-view
System View: return to User View with Ctrl+Z.
(2) 配置RADIUS策略“market”。认证、计费服务器均指向EIA。认证端口、计费端口、共享密钥要与3.4.2 3. 增加接入设备的配置保持一致。开启RADIUS Session Control功能,并配置Session Cantrol客户指向EIA服务器,本例使用强制用户下线功能,必须在设备上开启此功能。
[WX5510E-160]radius scheme market
New Radius scheme
[WX5510E-160-radius-market]primary authentication 1.2.4.241 1812
[WX5510E-160-radius-market]primary accounting 1.2.4.241 1813
[WX5510E-160-radius-market]key authentication simple movie
[WX5510E-160-radius-market]key accounting simple movie
[WX5510E-160-radius-amarket]user-name-format without-domain
[WX5510E-160-radius-market]quit
[WX5510E-160]radius session-control enable
[WX5510E-160] radius session-control client ip 1.2.4.241 key simple movie
(3) 配置domain域“market”,引用配置好的“market”策略。
[WX5510E-160]domain market
[WX5510E-160-isp-market]authentication defult radius-scheme market
[WX5510E-160-isp-market]authorization defult radius-scheme market
[WX5510E-160-isp-market]accounting defult radius-scheme market
[WX5510E-160-isp-market]quit
(4) 配置Portal服务器,Portal认证服务器执行EIA服务器,配置重定向URL为http://1.2.4.241:8080/byod,指向BYOD认证页面,配置免认证规则,对DNS服务器和DHCP服务器进行免认证,本例DND和DHCP服务器为同一服务器,用户可根据实际情况配置。
[WX5510E-160]portal server market
New portal server added.
[WX5510E-160-portal-server-market]ip 1.2.4.241 key simple movie
[WX5510E-160-portal-server-market]quit
[WX5510E-160]portal web-server market
[WX5510E-160-portal-websvr-market]url http://1.2.4.241:8080/byod
[WX5510E-160-portal-websvr-market]quit
[WX5510E-160]portal free-rule 112 destination 172.19.202.250 32
要保证BYOD作用域下发的地址与iMC服务器网络互通,设备通过portal free-url 可以给上线的BYOD匿名用户下发推送的页面URL。
(5) 配置BYOD匿名用户使用的公共VLAN 50,配置对应VLAN接口的IP地址为46.46.46.1,和3.4.1 2. 增加接入账号作用域Anony_mac的网关地址保持一致。
[WX5510E-160]vlan 50
[WX5510E-160-vlan50]interface vlan-interface 50
[WX5510E-160-vlan-interface50]ip address 46.46.46.1 24
(6) 开启DHCP relay功能,并配置DHCP relay对应的DHCP服务器地址,当接口收到DHCP客户端发来的DHCP报文时,会将报文转发给DHCP服务器,由服务器分配地址。
[WX5510E-160-vlan-interface50]dhcp select relay
[WX5510E-160-vlan-interface50]dhcp relay sever-address 172.19.202.250
(7) 开启Portal认证,引用Portal Web服务器;通过该配置,BYOD用户第一次上线时被重定向到BYOD认证页面
[WX5510E-160-vlan-interface50]portal enable method direct
[WX5510E-160-vlan-interface50]portal apply web-server market
[WX5510E-160-vlan-interface50]quit
(8) 配置用户业务VLAN 97,以配置VLAN 50同样的方式配置VLAN 97的接口IP地址,开启DHCP relay功能
[WX5510E-160]vlan 97
[WX5510E-160-vlan97]interface vlan-interface 97
[WX5510E-160-vlan-interface97]ip address 97.97.97.1 24
[WX5510E-160-vlan-interface97]dhcp select relay
[WX5510E-160-vlan-interface97]dhcp relay sever-address 172.19.202.250
(9) 创建无线服务模板,配置SSID。
[WX5510E-160] wlan service-template market3
[WX5510E-160-wlan-st-market3] ssid ss_market_mac
(10) 创建AKM模式为PSK,并配置PSK密钥,使用明文的字符串12345678为共享密钥,配置CCMP为加密套件,WPA为安全信息元素,此配置为无线安全方案,用于保障无线通信安全,用户可根据需要配置。
[WX5510E-160-wlan-st-market3]akm mode psk
[WX5510E-160-wlan-st-market3]preshared-key pass-phrase simple 12345678
[WX5510E-160-wlan-st-market3]cipher-suite ccmp
[WX5510E-160-wlan-st-market3]security-ie wpa
(11) 配置用户接入方式为MAC地址认证,配置认证domain,使能无线服务模板。
[WX5510E-160-wlan-st-market3]client-security authentication-mode mac
[WX5510E-160-wlan-st-market3]mac-authentication domain market
[WX5510E-160-wlan-st-market3]service-template enable
[WX5510E-160-wlan-st-market3]quit
(12) 配置AP,将无线服务模板绑定到Radio 1,并开启射频。
[WX5510E-160]wlan ap ap1
[WX5510E-160-wlan-ap-ap1]radio 1
[WX5510E-160-wlan-ap-ap1-radio-1]server-template market3
[WX5510E-160-wlan-ap-ap1-radio-1]radio enable
[WX5510E-160-wlan-ap-ap1-radio-1]quit
[WX5510E-160-wlan-ap-ap1]quit
(13) 配置上传MAC地址的格式,本例配置为上传一串数字和字母,中间不带“-”分隔符。
[WX5510E-160]mac-authentication user-name-format mac-address without-hyphen lowercase
介绍以下几种访客认证方案:
· Portal二维码审批方案
· BYOD二维码审批方案
· 管理自助平台二维码认证方案(Portal)
· 访客预注册二维码认证方案(Portal)
访客使用智能终端A(访客自带的智能终端)连接SSID:ss_market_portal,访客生成审批二维码
访客使用智能终端A打开浏览器,在浏览器输入任意地址如2.2.2.2,浏览器自动跳转到二维码开户和认证页面,并自动完成访客预注册且在页面上显示审批二维码,如图87所示。
如果生成审批二维码后,访客关闭浏览器、重新打开浏览器并访问了网络,则会预注册一个新的访客并生成一个新的审批二维码。如果反复进行关闭打开浏览器并访问网络,会生成大量的预注册访客。
图87 Portal审批二维码
(1) 访客管理员使用智能终端B(访客管理员的智能终端)打开浏览器,使用浏览器自带的二维码扫描工具扫描二维码,如图88所示。
访客管理员连接的网络需要与内网认证环境网络相通。(不能使用自己手机的运营商网络)
(2) 扫描智能终端A上的二维码,智能终端B直接进入访客管理自助平台,此时会出现以下两种情况:
¡ 如果访客管理员尚未登录,则进入登录页面,如图89所示。输入访客管理员的帐号密码后,进入审批页面,如图90所示。
¡ 如果访客管理员已登录,则扫描完二维码后,直接进入如图90所示的审批页面。
(3) 在访客审批页面,单击<通过>按钮,即可将预注册访客转正,结果如图91所示。
(4) 访客自动上线和手动上线
¡ 如果访客在智能终端A上生成审批二维码未超过5分钟,则访客管理员在智能终端B上审批完成后的5秒钟内,智能终端A自动进行认证并上线,结果如图92所示。
¡ 如果生成审批二维码已经超过5分钟,智能终端A上会显示如图93所示的失败信息。访客管理员在智能终端B上审批完成后,点击“自动登录失败。请点击重试”链接,即可完成上线。上线成功页面如图92所示。
选择“用户”页签,单击左侧导航树中的[接入用户管理>在线用户]菜单项,进入本地在线用户页面,查看在线用户,如图94所示。
(1) 访客使用智能终端A(访客自带的智能终端)连接SSID:ss_market_mac,访客使用智能终端A打开浏览器,在浏览器输入任意地址如2.2.2.2。浏览器自动跳转到二维码开户和认证页面,并自动完成访客预注册且在页面上显示审批二维码,如图95所示。
如果生成审批二维码后,访客关闭浏览器、重新打开浏览器并访问了网络,则会预注册一个新的访客并生成一个新的审批二维码。如果反复进行关闭打开浏览器并访问网络,会生成大量的预注册访客。
图95 BYOD审批二维码
(2) 访客用户第一次认证时,用户与BYOD匿名用户byodanonymous绑定,下发公共VLAN 50,终端的IP地址为46.46.46.6。
图96 第一次认证IP地址
(3) 查看在线用户,在线用户为BYOD匿名用户byodanonymous,登录名为移动终端的MAC地址,绑定的服务为BYOD-anony服务如图97所示
图97 Byod匿名用户
(4) 查看终端设备列表显示MAC地址与BYOD匿名用户byodanonymous绑定,如图98所示。
(1) 访客管理员使用智能终端B(访客管理员的智能终端)打开浏览器,使用浏览器自带的二维码扫描工具扫描二维码,如图99所示。
访客管理员连接的网络需要与内网认证环境网络相通。(不能使用自己手机的运营商网络)
(2) 扫描智能终端A上的二维码,智能终端B直接进入访客管理自助平台,此时会出现以下两种情况:
¡ 如果访客管理员尚未登录,则进入登录页面,如图100所示。输入访客管理员的帐号密码后,进入审批页面,如图101所示。
¡ 如果访客管理员已登录,则扫描完二维码后,直接进入如图101所示的审批页面。
(3) 进入访客审批页面,访客管理员需尽快进行审批,否则会出现超时从而导致访客无法正常上线,单击<通过>按钮,即可将预注册访客转正,结果如图102所示。
(4) 访客管理员审批通过后,EIA会解除终端MAC地址与BYOD匿名用户byodanonymous的绑定,重新将终端MAC地址与转正的访客用户进行绑定,终端将被强制下线,Wi-Fi自动断开,用户需要再次连接SSID:ss_market_mac,终端再次发起认证,默认使用之前访客管理员转正的访客账号进行认证,EIA下发用户VLAN 97,无需审批自动上线。
(5) 终端IP地址变为97.97.97.4,如图103所示。
(6) 再次查看在线用户信息,在线用户账号为访客账号,登录名为终端MAC地址,绑定的服务名为BYOD-mac服务,如图104所示。
(7) 查看终端设备列表显示MAC地址与访客账号绑定,如图105所示
(1) 访客管理员在智能终端B(访客管理员的智能终端)上使用浏览器输入http://172.19.202.241:8080/selfservice/mlogin.jsf(访客管理自助平台的URL),进入访客管理自助平台页面,如图106所示。
(2) 输入访客管理员帐号/密码后进入访客注册页面,如图107所示,
(3) 单击页面下方的<访客注册>按钮,然后单击在页面的<手机注册>按钮,输入手机号,单击<注册>按钮,生成认证二维码,如图108所示。
访客使用智能终端A(访客自带的智能终端)连接Portal认证的SSID:ss_market_portal。
(1) 访客在智能终端A上打开浏览器,使用浏览器自带的的二维码扫描工具,如图109所示。
(2) 扫描智能终端B上的认证二维码,扫描完成后,直接跳转到认证成功页面,如图110所示。
选择“用户”页签,单击左侧导航树中的[接入用户管理>在线用户]菜单项,进入本地在线用户页面,查看在线用户,可以看到访客如图111所示。
(1) 访客登录http://172.19.202.241:8080/mselfservice地址,进入自助平台页面,如图112所示。单击“访客预注册”链接,跳转到访客预注册页面,如图113所示。
(2) 正确填写所需信息,单击<确定>按钮,生成预注册访客,并生成二维码页面,如图114所示。
(3) 访客管理员扫描二维码进行转正,同3.5.1 2. 访客管理员审批操作,转正成功之后,在图114中,访客单击二维码,上线成功,如图115所示。
选择“用户”页签,单击左侧导航树中的[接入用户管理>在线用户]菜单项,进入本地在线用户页面,查看在线用户,如图116所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
