无线MAC接入实现UAM BYOD的配置
一、组网需求
为使便携式终端(智能手机、PAD等)更快捷的接入网络并且根据不同终端采取不同的安全控制策略,基于此产生了BYOD,BYOD就是识别终端类型并应用安全策略的一个过程。基于H3C iMC UAM的BYOD可与无线802.1x、portal、无线MAC配合使用。BYOD结合无线MAC认证适用于访客注册或其他已经采用无线MAC认证的场景之中。对于访客注册来说,有两种方式,一种是连接某个SSID(Portal认证),然后弹出Portal访客注册页面,用户直接通过手机获取密码方式即可快速接入网络,然后根据终端信息采取不同的安全控制策略。另外一种即通过无线MAC认证,用户连接某个SSID后打开网页时即跳转到BYOD的访客注册页面,此时直接注册一个新的账号即可(或与已有公共账号绑定),然后根据终端信息采取不同控制策略。本文即详细描述第二种方式。
注:此种方式不支持安全检查,仅仅支持下发ACL或者VLAN等;
二、组网图
注:
1:UAM从E0401版本开始支持BYOD;
2:图中红色区域为WX3010,为便于理解,将其中的交换网板模拟为一交换机;
3:AP属于VLAN 4,由AC动态分配IP;
4:终端属于VLAN 8,由iMC服务器分配IP;
三、配置步骤
1.交换机配置
划分业务VLAN 2,15口为与交换板相连接口。
[1234]vlan 2
[1234-vlan2]port g2/0/15
[1234]inter vlan 2
[1234-Vlan-interface2]ip address 172.16.2.3 255.255.255.0
配置静态路由
[1234]ip route-static 172.16.8.0 24 172.16.2.2
2.交换板配置
划分业务VLAN
[H3C]vlan 2,
[H3C-vlan2]port g1/0/1
为vlan2分配IP地址
[H3C-vlan2]inter vlan 2
[H3C-Vlan-interface2]ip address 172.16.2.2 24
G1/0/7口与AP相连,所以需放通VLAN 4,且为AP供电
[H3C-GigabitEthernet1/0/7]poe enable
[H3C-GigabitEthernet1/0/7]port access vlan 4
G1/0/11口为内置与AC互联端口,该端口需配置成trunk类型,且必须允许业务vlan2和AP所属vlan4通过(用户vlan经过ap时会被打上vlan 4的标签)
[H3C-GigabitEthernet1/0/7]inter g1/0/11
[H3C-GigabitEthernet1/0/11]port link-type trunk
[H3C-GigabitEthernet1/0/11]port trunk permit vlan 2 4
[H3C-GigabitEthernet1/0/11]port trunk pvid vlan 2
3.AC配置
G1/0/1口为内置与交换板互联端口,该端口需配置成trunk类型,且必须运行业务vlan2和AP所属vlan4通过
[AC]inter g1/0/1
[AC-GigabitEthernet1/0/1]port link-type trunk
[AC-GigabitEthernet1/0/1]port trunk permit vlan 2 4
[AC-GigabitEthernet1/0/1]port trunk pvid vlan 2
[AC-GigabitEthernet1/0/1]vlan 2
为业务vlan分配IP
[AC-vlan2]inter vlan 2
[AC-Vlan-interface2]ip address 172.16.2.1 24
开启DHCP功能为AP分配IP地址
[AC]dhcp enable
[AC]dhcp server ip-pool ap
[AC-dhcp-pool-ap] network 172.16.4.0 mask 255.255.255.0
指定AP网关
[AC-dhcp-pool-ap] gateway-list 172.16.4.1
划分用户vlan
[AC]vlan 8
[AC-vlan8]inter vlan 8
[AC-Vlan-interface8]ip add 172.16.8.1 24
BYOD功能要求用户IP地址由DHCP agent分配,这样UAM才能根据DHCP特征识别终端信息,所以AC需配置dhcp中继,DHCP服务器IP为iMC服务器地址
[AC]dhcp relay server-group 1 ip 172.16.0.9
配置用户vlan工作在中继模式
[AC-Vlan-interface8]dhcp select relay
指定分配IP的DHCP server,这样终端用户获取IP时,UAM就会从DHCP request请求中提取dhcp 特征识别终端信息
[AC-Vlan-interface8]dhcp relay server-select 1
配置radius 认证信息
[AC-Vlan-interface8]rad sch h3c
标准模式不支持EAD,尽量选择扩展模式
[AC-radius-h3c]server-type extended
[AC-radius-h3c]primary authentication 172.16.0.9
[AC-radius-h3c]primary accounting 172.16.0.9
[AC-radius-h3c]key authentication h3c
[AC-radius-h3c] key accounting h3c
配置domain byod
[AC]domain byod
[AC-isp-byod] authentication lan-access radius-scheme h3c
[AC-isp-byod] authorization lan-access radius-scheme h3c
[AC-isp-byod] accounting lan-access radius-scheme h3c
配置成默认域,认证时会默认携带域名
[AC]domain default enable byod
开启全局端口安全
[AC]port-security enable
创建服务模板1,与AP关联后使用明文发送数据,用于无线MAC认证
[AC]wlan service-template 1 clear
创建无线MAC认证ssid
[AC-wlan-st-1] ssid x_byod
绑定无线虚拟接口1
[AC-wlan-st-1] bind WLAN-ESS 1
[AC-wlan-st-1] service-template enable
创建无线虚拟接口1
[AC]inter WLAN-ESS 1
允许用户vlan通过
[AC-WLAN-ESS1]port access vlan 8
开启端口无线MAC认证
[AC-WLAN-ESS1]port-security port-mode mac-authentication
注册AP并进行设置
[AC]wlan ap x_byod_ap
[AC-wlan-ap-x_byod_ap] serial-id 210235A29E0087000090
[AC-wlan-ap-x_byod_ap] radio 1
[AC-wlan-ap-x_byod_ap-radio-1]service-template 1
[AC-wlan-ap-x_byod_ap-radio-1]radio enable
[AC-wlan-ap-x_byod_ap-radio-1]radio 2
[AC-wlan-ap-x_byod_ap-radio-2]service-template 1
[AC-wlan-ap-x_byod_ap-radio-2]radio enable
4.DHCP server配置,需安装DHCP server和DNS server,具体安装过程略
新建IPV4作用域
点击下一步输入作用域名称,配置地址池
指定网关为172.16.8.1,dns为8.8.8.8,
服务器选项再次指定DNS
安装dhcp agent(UAM安装包内有安装文件)插件,过程略,安装配置完成后启动agent插件:
5.iMC侧配置,分两种情况,存在访客账号时和不存在访客账号时:
第一种情况,不存在访客账号,此时需要用户手工创建账号,为保证账号立马生效,需开启访客自动转正、并存在访客默认管理员和客户服务。具体配置如下:
第三个选项用于portal方式下短信获取密码注册
增加访客管理员
增加默认访客服务
创建匿名接入规则,建议引用该规则的用户只能访问隔离区资源,等注册访客后会自动调用访客接入规则
创建访客服务,该服务创建后,才能在访客配置里面设置为默认访客服务
由于在UAM侧并没有访客账号,所以这些用户只能使用匿名账号登录,匿名账号账号创建方式必须是通过勾选匿名byod用户框,而且配置引用服务,匿 名用户引用的服务尽量和访客默认服务区别开来;
终端通过你们账号认证上线的前提是必须开启快速认证模式,否则匿名用户无法上线。其他选项可参考联机帮助;
说明:
a.启用快速认证功能:指当UAM收到MAC地址形式的认证用户名时是按快速认证处理还是按正常的UAM账号处理。在使用BYOD的场景中该参数需要配置为“是”。
b.单账号最多MAC数:每个账号可以关联的MAC地址的最大数量。
c.快速认证老化时长:MAC与账号的关联信息的保存时长,超过该时长后终端MAC再次快速认证时需要再次输入账号信息
d.终端信息不一致的处理方式:UAM发现本次MAC对应的厂商、类型、操作系统等信息与上次不一致时是否允许终端通过认证。该参数是一个安全参数,主要用于防止终端通过修改MAC地址的方法进行仿冒认证。
e.终端信息获取方式:只有勾选的配置项UAM才进行监听,将对应的信息添加至UAM数据库的MAC注册信息表中。一般情况下这里的三个配置项均需要勾选。
增加接入设备
此时,打开终端设备连接x_byod ,终端就会以匿名账号认证上线如下:
可以看出UAM已经通过DHCP特征方式识别出终端类型为魅族,具体的识别过程如下:
终端在向DHCP server获取IP时会发生dhcp request请求,报文如下:从中可以看出该终端的dhcp 特征码为1,33,3,6,15,28,51,58,59,
而这些特征码是和在UAM中之前预定义的魅族特征码相一致,也就是说只要某个终端的DHCP特征码是这个值,均会被识别为魅族。DHCP特征码中的厂商、终端类型和操作系统信息均需要提前添加。
首先增加厂商信息:
然后增加终端类型
增加操作系统信息,该信息可通过抓包或者从portal日志里面获取
UAM识别终端后同时也生成了该绑定信息:
终端设备打开浏览器时,就会跳转到byod注册页面如下:
输入注册信息xun:
注册成功页面:
刷新在线信息后,发现账号已自动变成了xun
刷新绑定信息,同样变成了xun
此后,终端就可以访问接入规则允许访问的网络资源了。
第二种情况,如果此时存在接入账号,且该账号允许多台终端同时使用,并且如果用手机登陆,则下发ACL,具体配置如下,PC虽然有对应的安全策略,但是不生效,iMC侧会提示等待安全检查。:
首先创建一服务
在该服务中创建两个接入场景,符合PC接入场景的使用nnn规则,不受ACL限制,符合meizu场景的则受ACL限制,由于接入场景以分组为单位,所以需要将之前创建的厂商、终端类型和操作系统加入分组里面
已有的账户直接引用该服务
认证上线时只需选择与已有账号绑定即可
在线信息:此时虽然手机和PC均在线,但是手机却ping不通172.16.0.11.
说明:
由于无线MAC认证时并没有输入用户名密码信息,所以此种认证方式不支持安全检查,所以更适合访客注册使用,并且简化了访客注册流程;对于使用byod绑定已有账号的情况,推荐使用无线802.1x或者portal。
四、注意事项
1:对于系统未定义的终端DHCP特征,需提前在UAM侧增加,否则无法识别该终端;
2:无线MAC认证不支持安全检查,对于需要安全检查的场景,需采用无线802.1x或者portal认证;
3:尽量将默认访客服务与匿名用户服务区分开来;
4:匿名用户上线时需保证在MAC地址管理列表里面没有该终端的地址或者有但是该地址关联的账号为匿名账号,否则无法上线。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作