h3c iMC EIA Portal无感知认证特性说明书Word文件下载.docx
《h3c iMC EIA Portal无感知认证特性说明书Word文件下载.docx》由会员分享,可在线阅读,更多相关《h3c iMC EIA Portal无感知认证特性说明书Word文件下载.docx(10页珍藏版)》请在冰点文库上搜索。
智能终端接入
1特性介绍
Portal无感知认证是一种针对智能终端、无需输入用户名和密码即可上线的认证过程。
用户第一次使用智能终端时,通过浏览器上网产生流量,设备会重定向到Portal认证页面。
用户输入用户名、密码、服务等信息后上线,服务器会将认证信息以及终端的MAC地址保存到数据库中。
当用户再次使用该智能终端访问网络产生流量时,服务器自动使用该认证信息进行认证,免去了用户输入认证信息上线的过程。
为了防止用户仿冒MAC地址后可以不输入认证信息上线,管理员和用户可以将MAC地址禁用快速认证,在这种情况下,用户每次上线时都需要输入认证信息。
2特性的优点
Portal无感知认证的优点如下:
(1)支持用户免输入认证上线。
用户只需要在第一次上线时输入认证信息,下次上线时会自动使用该认证信息认证,简化了用户操作。
(2)支持智能终端类型配置。
智能终端与非智能终端使用不同的上线方式,使用该配置可以有效地区分这两种终端类型,方便操作员对终端类型的管理。
(3)支持已绑定的智能终端MAC地址信息管理。
可以查询所有绑定的智能终端MAC地址信息并进行管理,方便操作员操作。
(4)支持禁用智能终端MAC地址信息快速认证,存在手动禁用和自动禁用两种方式。
禁用快速认证后,用户使用该智能终端上线时总需要输入认证信息。
这样可以防止用户仿冒MAC地址后使用他人信息上线。
(5)支持用户对本帐号绑定的智能终端MAC地址信息操作。
用户可以在自助服务中对帐号绑定的智能终端MAC地址信息进行删除和禁用快速认证操作。
方便用户个人信息维护。
3版本历史记录
表3-1特性版本历史记录
产品版本号
修改描述
备注
iMCEIA7.0(E0203)
1、配置界面中将Portal无感知认证和MAC快速认证分开显示。
2、预置Portal无感知认证的常见特征值。
无
iMCUAM5.1(E0303)
首次发布Portal无感知认证。
首次发布
4使用指南
4.1使用场合
在企业、学校或者其他环境中使用智能终端进行认证上线,并且在使用过程中可能会出现频繁的上线和下线操作。
4.2应用方式(使用指导)
(1)在iMCEIA中增加服务类型配置,选择Portal无感知认证。
(2)在iMCEIA中增加接入设备。
(3)在iMCEIA中增加Portal设备以及端口组信息,端口组信息中选择支持Portal无感知认证。
(4)在iMCEIA中增加接入用户。
(5)在iMCEIA中设置系统参数。
(6)在接入设备中配置Radius认证命令以及Portal无感知认证相关命令。
4.3应用举例
4.3.1iMCEIAPortal无感知认证配置步骤
1.增加服务配置
进入增加服务配置页面,在该页面勾选Portal无感知认证,如图4-1所示。
如果服务没有勾选Portal无感知认证,则用户使用该服务时不能进行Portal无感知认证。
图4-1增加服务配置
2.增加接入设备
增加接入设备方式没有变化。
3.增加Portal设备以及端口组信息
增加Portal设备方式没有变化。
在增加端口组信息页面中,无感知认证这一项选择“支持”,如图4-2所示。
如果端口组信息中无感知认证选择“不支持”,用户在该端口组对应的端口上不能进行Portal无感知认证。
图4-1增加端口组信息
4.增加接入用户
进入增加接入用户页面,选择“Portal无感知认证最大绑定数”,如图4-3所示。
如果选择“不支持绑定”,则该用户不能进行Portal无感知认证。
选择其他数字均表示支持Portal无感知认证,且每个帐号绑定的终端数上限即为该参数的值。
图4-1增加接入用户
5.配置系统参数
进入系统参数配置页面,如图4-4所示。
图4-1配置系统参数
系统参数中有三个参数用于控制Portal无感知认证:
●终端老化时长:
一旦绑定终端的MAC地址,该终端再次接入网络,无需输入账号名和密码,系统会自动进行Portal认证,为了安全起见,系统会每天凌晨定时将绑定时间超过老化时长的MAC地址删除,这样该智能终端重新接入网络后,需要再次输入账号名和密码重新绑定。
老化时长设置为0天时,MAC地址将永远不老化。
默认设置为7天。
●禁止同时在线时长大于等于XX秒的终端进行Portal无感知认证:
如果将一个终端的MAC地址伪造成系统已经绑定终端的MAC地址,该终端接入网络后,系统也会自动进行Portal认证,这样该用户无需有EIA帐号也可以非法接入网络,为了安全起见,系统每天凌晨会判断已经绑定的MAC地址之前的一天内(00:
00:
00-23:
59:
59)是否存在同一时间段同时在线的情况,并且在线的重叠时长超过XX秒时就会认为存在伪造MAC地址情况,会将该MAC地址自动禁用快速认证。
重叠时长只按单次重叠时长最长的记录,不累加计算。
如果该时间设置为0秒时表示不启用该功能。
●非智能终端Portal无感知认证:
当禁止非智能终端认证时,如果用户认证时使用的服务启用了Portal无感知认证,用户只有在智能终端上使用纯网页认证才能够成功,用户在非智能终端上、在智能终端上使用其他方式都会认证失败,认证失败的例子如下:
在PC上进行网页认证(如果PC设置成了智能终端,这个就不是认证失败的例子)、在PC或者智能终端上使用iNode客户端进行Portal认证、802.1x认证、MAC地址认证,PPPoE认证和ADSL认证方式等。
6.在接入设备中配置Radius认证命令以及Portal无感知认证相关命令。
通过Console或者Telnet方式登录接入设备的CLI。
RADIUS认证命令没有变化,本文省略相关配置。
Portal无感知认证命令如下:
(命令的含义可以稍微再详细些,让大家明白这些命令具体的作用)
●配置将终端MAC地址上传给EIA服务器
<
Sysname>
system-view
[Sysname]portalmac-triggerserverip10.153.1.100port50100
其中10.153.1.100为Portal服务器IP地址。
●配置在VLAN-interface中启用上传MAC地址的功能
[Sysname]interfacevlan-interface2
[Sysname-Vlan-interface2]portalmac-triggerenableperiod60threshold1024
4.3.2iMCEIAPortal无感知认证操作步骤
1.用户使用智能终端进行认证
(1)用户使用智能终端通过浏览器访问网络,网页被重定向到Portal认证页面。
用户输入用户名、密码、服务等认证信息,进行上线认证。
(2)认证成功后,用户下线。
(3)用户再次使用该智能终端访问网络,此时不需要输入用户名和密码,直接上线。
2.Portal无感知用户管理与无感知认证特征管理
进入Portal无感知用户列表页面,查看Portal无感知用户列表,如图4-5所示。
图4-1Portal无感知用户管理
操作员可以进行批量删除、禁用无感知认证和启用无感知认证等操作。
对于禁用无感知认证的终端,上线时总会推出Portal认证页面,需要用户手工输入认证信息进行认证上线。
在Portal无感知认证用户列表中,单击<
无感知认证特征管理>
按钮,进入无感知认证特征管理页面,如图4-6所示。
系统预置了大量常用HTTP特征,只有符合这些特征的终端才能进行无感知认证。
因此,当终端用户使用的终端特征不在特征库中时,需要管理员手工增加。
图4-2无感知认证特征管理
3.用户自助管理智能终端MAC地址
用户登录自助服务,在首页“查询用户资料”中显示当前用户绑定的智能终端MAC地址信息。
如图4-7所示。
其中提供了智能终端MAC地址信息删除以及禁用快速认证操作。
需要注意的是,如果某一条MAC地址信息已经禁用快速认证,在用户自助中不能将该MAC地址信息启用快速认证。
图4-1自助服务查询用户资料
4.4注意事项
●使用的接入设备需要支持Portal无感知认证。
●如果用户使用Portal无感知认证的方式认证上线,则服务配置中的“绑定MAC地址”功能将不生效。
●即使用户绑定的某一智能终端MAC地址已经禁用快速认证,该MAC地址仍然算入用户的智能终端最大绑定数中。
●如果无法获取终端用户的MAC地址,如三层Portal认证,则无法使用Portal无感知认证功能。
5特性实现原理(流程)介绍
Portal无感知认证过程如下图所示。
图5-1智能终端第一次上线过程
图5-2智能终端第二次上线过程
升级会员 