H3C-iMC-BYOD解決方案介紹課件

1、H3C IMC BYOD 介紹,ISSUE 2.0,日期：2013-04,杭州華三通信技術(shù)有限公司 版權(quán)所有，未經(jīng)授權(quán)不得使用與傳播,H3C-iMC-BYOD解決方案介紹,了解iMC BYOD的系統(tǒng)框架和實(shí)現(xiàn)原理 掌握iMC BYOD的功能特性 熟悉iMC BYOD的基本配置 熟悉iMC BYOD的維護(hù)方法,課程目標(biāo),學(xué)習(xí)完本課程，您應(yīng)該能夠：,H3C-iMC-BYOD解決方案介紹,第一章 iMC BYOD概述 第二章 iMC BYOD功能特性 第三章 iMC BYOD支持應(yīng)用 第四章 iMC BYOD安裝和使用 第五章 iMC BYOD的維護(hù),目錄,H3C-iMC-BYOD解決方案介紹,iM

2、C BYOD概述,一, 什么是BYOD？ BYOD(Bring Your Own Device） 指帶自己的終端上班，這些設(shè)備包括個(gè)人電腦,手機(jī)，平板等，現(xiàn)在更多情況指手機(jī)或平板這樣的移動智能終端設(shè)備。 BYOD是智能終端大量普及和移動辦公趨勢下新的技術(shù)需求，目前在BYOD領(lǐng)域業(yè)界關(guān)注在于： 1.終端的智能識別； 2.基于用戶身份和終端類型的認(rèn)證和權(quán)限控制； 3.基于終端和身份的安全控制；,H3C-iMC-BYOD解決方案介紹,Whats the BYOD?,H3C-iMC-BYOD解決方案介紹,BYOD的發(fā)展趨勢,H3C-iMC-BYOD解決方案介紹,H3C-iMC-BYOD解決方案介紹,第

3、一章 iMC BYOD概述 第二章 iMC BYOD功能特性 第三章 iMC BYOD實(shí)現(xiàn)方式 第四章 iMC BYOD安裝和使用 第五章 iMC BYOD的維護(hù),目錄,H3C-iMC-BYOD解決方案介紹,BYOD功能特性,1.全面的組網(wǎng)方式：H3C 擁有完整的產(chǎn)品線，可提供全面的有線，無線一體化場景下的BYOD解決方案。 2.多種認(rèn)證方式：支持多種認(rèn)證方式，基于MAC認(rèn)證，Portal，802.1x等多種接入認(rèn)證方式。 3.終端智能識別：Portal認(rèn)證場景，可以根據(jù)不同的終端類型推送出不同的認(rèn)證頁面，滿足不同場景的需求。 4.靈活的權(quán)限控制：支持靈活的策略定義和下發(fā)，支持根據(jù)終端類型，用

4、戶身份，時(shí)間，位置等接入場景下發(fā)不同的策略。,H3C-iMC-BYOD解決方案介紹,BYOD,H3C-iMC-BYOD解決方案介紹,第一章 iMC BYOD概述 第二章 iMC BYOD功能特性 第三章 iMC BYOD實(shí)現(xiàn)方式 第四章 iMC BYOD安裝和使用 第五章 iMC BYOD的維護(hù),目錄,H3C-iMC-BYOD解決方案介紹,H3C BYOD實(shí)現(xiàn)原理,目前BYOD技術(shù)主要要集中在如何解決移動終端（手機(jī)、平板、POS機(jī)等）設(shè)備網(wǎng)絡(luò)認(rèn)證控制方案的層面上，各廠家的實(shí)現(xiàn)也不盡相同,BYOD特性一個(gè)重要的技術(shù)是如何識別終端的類型。在這方面UAM目前支持DHCP特征識別、HTTP User

5、Agent特征識別、MAC地址識別三種方式來識別終端的廠商、終端類型、操作系統(tǒng)等信息。此外，從業(yè)務(wù)上看，BYOD一個(gè)重要的業(yè)務(wù)需求就是終端用戶使用同一賬號在不同的終端上認(rèn)證時(shí)需要分配不同的控制策略，對于認(rèn)證系統(tǒng)來看就是認(rèn)證時(shí)除了對賬號信息的判斷外對接入場景的判斷也是非常重要的。為了適應(yīng)這種業(yè)務(wù)需求，UAM將原有的賬號服務(wù)模式中的服務(wù)做了很大的修改，將UAM服務(wù)主體改為“接入策略”，接入策略由場景信息與接入規(guī)則信息（原UAM服務(wù)主要內(nèi)容）組成。新的業(yè)務(wù)模式充分體現(xiàn)了對接入場景的重視，在集成UAM原認(rèn)證功能的基礎(chǔ)上可以很好的實(shí)現(xiàn)上述新的功能需求。,H3C-iMC-BYOD解決方案介紹,H3C BY

6、OD 體系結(jié)構(gòu),基本缺省信息（含EAD及計(jì)費(fèi)） 授權(quán)信息,綁定信息， 客戶端配置,內(nèi)網(wǎng)外聯(lián)配置，接入?yún)^(qū)域配置,PLAT賬號信息 UAM賬號信息,UAM 5.2 E0401（之前版本）的UAM業(yè)務(wù)模式即“賬號服務(wù)”模式,服務(wù)：,帳號：,H3C-iMC-BYOD解決方案介紹,H3C BYOD 體系結(jié)構(gòu),基本缺省信息（可以理解為缺省接入策略）,接入策略一（場景信息策略信息）,接入策略N（場景信息策略信息） ,PLAT賬號信息 UAM賬號信息,UAM 5.2 E0401及之后版本）的UAM業(yè)務(wù)模式即“賬號服務(wù)”模式,服務(wù)：,帳號：,H3C-iMC-BYOD解決方案介紹,終端識別范圍,BYOD特性一個(gè)重

7、要的技術(shù)是如何識別終端的類型，當(dāng)前： 針對所有可能接入網(wǎng)絡(luò)的終端進(jìn)行識別，包括臺式機(jī)、便攜機(jī)、手機(jī)、PAD、POS機(jī)、打印機(jī)、IP電話 需要識別終端的類型：PC、PAD、手機(jī)、啞終端。 識別終端的廠商甚至具體型號。 識別終端上安裝的操作系統(tǒng)類型和版本。 識別終端使用的瀏覽器等網(wǎng)絡(luò)應(yīng)用。,H3C-iMC-BYOD解決方案介紹,終端識別-MAC地址識別法,iMC BYOD在獲取到終端的MAC地址后根據(jù)其所屬的MAC地址段來確定該終端是哪個(gè)廠商生產(chǎn)的哪種型號設(shè)備。 由于MAC地址是網(wǎng)卡的屬性，因此該種識別方式不適合于可以安裝獨(dú)立網(wǎng)卡的設(shè)備。 MAC地址本身作為終端的標(biāo)識，又容易被修改，因此用MAC地

8、址來識別終端類型是最不可靠的，在iMC中將這種識別方式優(yōu)先級排為最 低。,操作員可以自己定義某個(gè)MAC范圍對應(yīng)的廠商及終端類型,H3C-iMC-BYOD解決方案介紹,終端識別-DHCP指紋識別法,iMC BYOD截獲終端發(fā)送的DHCP請求報(bào)文，獲取其中的Option55字段，該字段內(nèi)容的不同組合對應(yīng)不同的終端類型。 該DHCP請求報(bào)文一般有操作系統(tǒng)發(fā)送，準(zhǔn)確性和可靠性較有保證，iMC BYOD將此種識別方式優(yōu)先級設(shè)置為最高。,H3C-iMC-BYOD解決方案介紹,DHCP指紋識別終端（續(xù)）,操作員可以自己定義DHCP指紋標(biāo)識的終端信息,H3C-iMC-BYOD解決方案介紹,終端識別-HTTP

9、User-Agent識別法,iMC BYOD截獲終端發(fā)送的HTTP請求報(bào)文，獲取其中的User-Agent字段，該字段中包含的不同關(guān)鍵詞（或組合）對應(yīng)不同的終端類型。 HTTP請求報(bào)文由瀏覽器等應(yīng)用程序發(fā)送，準(zhǔn)確性介于DHCP指紋和MAC地址之間。 由于HTTP請求報(bào)文中一般不包含終端MAC地址信息，因此需要與其他功能（如DHCP、RADIUS等）配合將IP地址與MAC地址對應(yīng)起來進(jìn)行終端識別。,H3C-iMC-BYOD解決方案介紹,HTTP User-Agent識別終端（續(xù)）,操作員也可以自定義User-Agent中關(guān)鍵詞與終端類型的對應(yīng)關(guān)系。 可以用&或|符號將多個(gè)關(guān)鍵詞組合起來進(jìn)行終端識

10、別。,H3C-iMC-BYOD解決方案介紹,iNode終端識別法,該功能從UAM/EAD V5.2 E0402P03版本，iNode V5.2 E0406版本開始支持，需要開啟策略服務(wù)器，通過策略服務(wù)器1號報(bào)文上傳終端信息，查看iNode的secPkt日志文件輸出如下： 2013-04-17 14:09:09 DtlCmn 1ce0 secPushInner: out-pkt 1 byodapril s09910 H3C true H3C false true false true true Windows 7 Ultimate Service Pack 1,H3C-

11、iMC-BYOD解決方案介紹,BYOD注冊頁面識別終端信息,訪問（或被重定向）BYOD注冊頁面，從而通過HTTP User-Agent獲取到終端信息后，為了能使基于場景的準(zhǔn)入控制實(shí)時(shí)生效，UAM會強(qiáng)制用戶下線，讓用戶重新認(rèn)證。,H3C-iMC-BYOD解決方案介紹,四種方式的優(yōu)先級,Add Your Text,Add Your Text,Add Your Text,Add Your Text,Add Your Text,四種方式同時(shí)開啟場景，識別結(jié)果優(yōu)先級從下往上依次排列,H3C-iMC-BYOD解決方案介紹,H3C BYOD 四要素,我司BYOD主要由iMC UAM,EAD功能組件實(shí)現(xiàn)，BY

12、OD功能模塊屬于UAM組件，從UAM V5.2 E0401版本開始支持。我司UAM的BYOD特性由如下四部分組成： 1.終端設(shè)備：有認(rèn)證接入網(wǎng)絡(luò)訪問資源的設(shè)備，需要支持DHCP獲取IP地址。一般是移動設(shè)備如PAD、手機(jī)，也可以是PC或POS、打印機(jī)等設(shè)備。 2.認(rèn)證設(shè)備：啟用身份認(rèn)證的設(shè)備（包括802.1x，Portal認(rèn)證），一般認(rèn)證方式為MAC認(rèn)證。 3.iMC UAM:主要使用了iMC UAM BYOD認(rèn)證頁面、訪客管理兩個(gè)模塊的功能 4.Windows DHCP服務(wù)器：用于給終端設(shè)備分配IP地址，同時(shí)需要安裝UAM的iMC DCHP Agent插件,H3C-iMC-BYOD解決方案介紹

13、,iMC UAM支持的場景,接入?yún)^(qū)域：根據(jù)接入設(shè)備IP確定屬于哪個(gè)場景 接入IP地址組：根據(jù)認(rèn)證時(shí)用戶IP確定屬于哪個(gè)場景 無線SSID組：根據(jù)無線終端接入時(shí)使用的SSID確定屬于哪個(gè)場景 接入MAC地址組：根據(jù)終端的MAC地址確定屬于哪個(gè)場景 終端分組：根據(jù)前述識別出來的終端類型確定屬于哪個(gè)場景,H3C-iMC-BYOD解決方案介紹,基于場景選擇不同策略,多種元素同時(shí)確定場景，按優(yōu)先級匹配使用對應(yīng)的接入規(guī)則、安全策略等。,計(jì)費(fèi)策略不能基于場景選擇。為什么？,H3C-iMC-BYOD解決方案介紹,策略,H3C-iMC-BYOD解決方案介紹,訪客管理,BYOD方案中未注冊過的訪客可以直接進(jìn)行MA

14、C認(rèn)證，需滿足如下條件： 用戶名為合法的MAC地址格式（無分隔符、-：分隔符、大小寫） 該MAC沒有對應(yīng)的用戶名/啞終端配置 認(rèn)證請求報(bào)文中的Calling-Station-ID屬性值與用戶名是同一個(gè)MAC 存在“缺省BYOD用戶”,H3C-iMC-BYOD解決方案介紹,訪客管理,未注冊訪客使用“缺省BYOD用戶”認(rèn)證成功后如果訪問BYOD注冊頁面（可以是主動訪問也可以是通過DHCP修改DNS的重定向），iMC判斷該IP對應(yīng)的MAC是否與缺省BYOD用戶關(guān)聯(lián)的，如果是則會進(jìn)入訪客預(yù)注冊頁面。此頁面可以新注冊一個(gè)訪客也可以直接與已存在的用戶/訪客綁定。綁定成功后也會強(qiáng)制用戶下線。,H3C-iMC

15、-BYOD解決方案介紹,第一章 iMC BYOD概述 第二章 iMC BYOD功能特性 第三章 iMC BYOD實(shí)現(xiàn)方式 第四章 iMC BYOD安裝和使用 第五章 iMC BYOD的維護(hù),目錄,H3C-iMC-BYOD解決方案介紹,BYOD部署,BYOD對應(yīng)的UAM安裝部署模塊為“用戶接入管理BYOD服務(wù)器”如下圖所示。該模塊可以部署在iMC從機(jī)上，但不支持分布式部署多個(gè)。該模塊對系統(tǒng)性能要求不高，因此一般與UAM基礎(chǔ)組件安裝部署在一臺服務(wù)器上。,H3C-iMC-BYOD解決方案介紹,BYOD部署（續(xù)）,成功部署完BYOD后的進(jìn)程為“dnsProxy”，如下圖所示。如果不與iMC PLAT部

16、署在一起還會有WebServer進(jìn)程。,H3C-iMC-BYOD解決方案介紹,BYOD應(yīng)用場景,終端賬號需要根據(jù)不同的場景（如設(shè)備類型，認(rèn)證位置等）分配不同的控制策略的場景,例如： 1.企業(yè)辦公：外企，互聯(lián)網(wǎng)企業(yè)，高新技術(shù)企業(yè)，支持員工自帶設(shè)備辦公。 2.訪客管理：百貨，機(jī)場等公共場所，提供上網(wǎng)服務(wù)給客戶；銀行網(wǎng)點(diǎn)，提供上網(wǎng)和業(yè)務(wù)辦理服務(wù)自帶終端的客戶。,H3C-iMC-BYOD解決方案介紹,BYOD常用配置步驟,創(chuàng)建正式UAM賬號 或訪客用戶使用的 BYOD服務(wù)并與賬號 相關(guān)聯(lián),step1,創(chuàng)建byodanonymous賬號并關(guān)聯(lián)服務(wù),在WindowsDHCP 服務(wù)器上安裝iMC DHCP

17、Agent程序,step2,step3,H3C-iMC-BYOD解決方案介紹,1.創(chuàng)建缺省BYOD賬號，服務(wù)并關(guān)聯(lián)服務(wù),H3C-iMC-BYOD解決方案介紹,關(guān)聯(lián)服務(wù),H3C-iMC-BYOD解決方案介紹,在UAM安裝包的根目錄下找到“H3C IMC DHCP Agent”安裝程序，將其拷貝至Windows DHCP服務(wù)器上安裝即可，安裝過程非常簡單，在此省略具體的安裝步驟。,安裝完成后可以在Windows的開始菜單中看到“DHCP Agent”程序，點(diǎn)擊即可啟動。DHCP Agent必須安裝在DHCP SERVER上。,2. 安裝 DHCP Agent程序,H3C-iMC-BYOD解決方案介

18、紹,DHCP Agent運(yùn)行界面,1.UAM服務(wù)器IP地址請?zhí)顚慤AM使用的IP地址。 2.UAM服務(wù)器端口號一般不需要修改。 3.配置完成請點(diǎn)擊“保存配置”。,H3C-iMC-BYOD解決方案介紹,3.創(chuàng)建正式UAM賬號使用的BYOD服務(wù)并關(guān)聯(lián),設(shè)備側(cè)認(rèn)證配置,正式帳號的權(quán)限由接入規(guī)則，EAD策略控制，配置流程如上圖。,H3C-iMC-BYOD解決方案介紹,終端識別管理相關(guān)配置(1),用戶接入管理終端識別管理中，配置的順序是選配置終端設(shè)備所屬的廠商、終端類型、操作系統(tǒng)這三項(xiàng)，然后將這些內(nèi)容與DHCP、HTTP User Agent、MAC地址識別技術(shù)關(guān)聯(lián)起來。UAM系統(tǒng)已自帶了一些典型配置，

19、實(shí)際使用中建議先檢查一下UAM自帶的配置項(xiàng)，如果滿足應(yīng)用場景則可以不配置，如果不滿足則可以修改現(xiàn)有配置或增加新的配置項(xiàng)。 1.配置廠商、終端類型、操作系統(tǒng) UAM自帶了部分典型配置。如果滿足應(yīng)用場景則可以不配置，如果不滿足則可以修改現(xiàn)有配置或增加新的配置項(xiàng)。下面均以新增一個(gè)配置項(xiàng)來舉例。 新增一個(gè)廠商，在廠商列表中點(diǎn)擊“增加”，輸入相關(guān)信息后點(diǎn)擊“確定”即可完成添加。,H3C-iMC-BYOD解決方案介紹,終端類型,新增一個(gè)終端類型，在終端類型列表中點(diǎn)擊“增加”，輸入相關(guān)信息后點(diǎn)擊“確定”即可完成添加。,H3C-iMC-BYOD解決方案介紹,操作系統(tǒng),新增一個(gè)終端操作系統(tǒng)，在操作系統(tǒng)列表頁面點(diǎn)

20、擊“增加”，輸入相關(guān)信息后點(diǎn)擊“確定”即可完成添加。,H3C-iMC-BYOD解決方案介紹,2.特征識別配置,特征識別包含DHCP、HTTP User Agent、MAC 、 iNode四種特征識別技術(shù)。這里所做的配置是將這三種技術(shù)與前面配置的終端廠商、類型、操作系統(tǒng)關(guān)聯(lián)起來。同樣UAM自帶了部分典型配置。如果滿足應(yīng)用場景則可以不配置，如果不滿足則可以修改現(xiàn)有配置或增加新的配置項(xiàng)。下面均以新增一個(gè)配置項(xiàng)來舉例。新增一個(gè)DHCP特征識別配置，在DHCP特征識別列表中點(diǎn)擊“增加”，輸入DHCP特征信息及關(guān)聯(lián)的廠商、終端類型與操作系統(tǒng)后點(diǎn)擊確定。,H3C-iMC-BYOD解決方案介紹,DHCP 指紋

21、技術(shù),廠商、終端類型、操作系統(tǒng)可以配置為空，當(dāng)配置為空時(shí)表示不進(jìn)行關(guān)聯(lián)。這里的DHCP特征指終端設(shè)備DHCP Request報(bào)文中Option 55字段的內(nèi)容（如下圖），輸入時(shí)需要輸入十進(jìn)制，以逗號分隔。如果不確定Option 55字段的內(nèi)容可以通過終端抓包來確定。,H3C-iMC-BYOD解決方案介紹,新增一個(gè)HTTP User Agent特征識別配置，在HTTP User Agent特征識別列表中點(diǎn)擊“增加”，輸入HTTP User Agent特征信息及關(guān)聯(lián)的廠商、終端類型與操作系統(tǒng)后點(diǎn)擊確定。,如果不確定終端瀏覽器的HTTP User Agent信息可以通過抓包來確認(rèn) 如果沒有勾選智能終

22、端復(fù)選框，則廠商、終端類型、操作系統(tǒng)不可以同時(shí)為空。,HTTP User Agent技術(shù),H3C-iMC-BYOD解決方案介紹,接入場景配置,接入場景管理在主要包括接入?yún)^(qū)域管理、接入IP地址組管理、無線SSID管理、接入MAC地址管理、廠商分組管理、終端類型分組管理、操作系統(tǒng)分組管理、接入時(shí)段管理、接入MAC地址管理、硬盤序列號管理、接入SSID管理幾大部分。請根據(jù)實(shí)際的業(yè)務(wù)需求進(jìn)行配置。 這里面只有廠商分組管理、終端類型分組管理、操作系統(tǒng)分組管理這三個(gè)為新增的配置項(xiàng)，下面重點(diǎn)說明這三個(gè)新增內(nèi)容的配置方法，其它配置項(xiàng)請參考之前的配置文檔或特性說明書。 根據(jù)客戶的業(yè)務(wù)需求配置廠商分組：配置廠商分

23、組名稱并在廠商列表中選擇對應(yīng)的廠商，比如可按手機(jī)廠商、平板廠商來進(jìn)行分組。,H3C-iMC-BYOD解決方案介紹,根據(jù)客戶的業(yè)務(wù)需求配置終端類型分組：配置終端類型分組名稱并在類型列表中選擇對應(yīng)的類型，比如可按手機(jī)、平板來進(jìn)行分組。,終端類型分組,H3C-iMC-BYOD解決方案介紹,根據(jù)客戶的業(yè)務(wù)需求配置操作系統(tǒng)分組：配置操作系統(tǒng)分組名稱并在類型列表中選擇對應(yīng)的類型，比如可按IOS，Android相分類等。,操作系統(tǒng)分組,H3C-iMC-BYOD解決方案介紹,接入規(guī)則配置,接入規(guī)則實(shí)際上是UAM之前版本的服務(wù)，這里根據(jù)實(shí)際的業(yè)務(wù)需求配置即可。最終實(shí)現(xiàn)不同的終端不同的接入規(guī)則（控制）。,H3C-

24、iMC-BYOD解決方案介紹,創(chuàng)建UAM一般賬號或訪客賬號使用的BYOD服務(wù)并與賬號相關(guān)聯(lián),創(chuàng)建“訪客byod服務(wù)”，同時(shí)根據(jù)實(shí)際業(yè)務(wù)需求增加對接的接入策略。,TIPS:1.服務(wù)后綴需要與前面byod匿名賬號服務(wù)后綴相同。 2.接入策略可以配置多個(gè),H3C-iMC-BYOD解決方案介紹,認(rèn)證設(shè)備側(cè)相關(guān)配置,1.設(shè)備側(cè)配置正常的身份認(rèn)證、RADIUS相關(guān)配置，關(guān)于這部分內(nèi)容在設(shè)備的配置手冊或業(yè)務(wù)軟件的典型配置中已有詳細(xì)說明，在此不再贅述。 2. 建議認(rèn)證設(shè)備上配置為RADIUS帶域名認(rèn)證，域名從易于維護(hù)的角度上講建議配置為byod。 eg： radius scheme fan primary a

25、uthentication 22 primary accounting 22 key authentication cipher $c$3$hCExxOrUqQDAHtoNnmBMe/8hTloh6A= key accounting cipher $c$3$+4oOmQLhe2/otPYnxwQerm4+g4EUUA= nas-ip 4 domain byod authentication lan-access radius-scheme fan authorization lan-access radius-scheme

26、 fan accounting lan-access radius-scheme fan 不同認(rèn)證方式的配置方法不同，具體參考設(shè)備配置手冊。,H3C-iMC-BYOD解決方案介紹,UAM BYOD系統(tǒng)參數(shù)配置,在UAM業(yè)務(wù)參數(shù)配置系統(tǒng)配置BYOD參數(shù)配置中可以對BYOD的系統(tǒng)參數(shù)進(jìn)行調(diào)整。部分參數(shù)與BYOD特性關(guān)系不大，但從管理的角度也將其放在了該菜單下面。下面詳細(xì)說明一下這些參數(shù)的意義 啟用快速認(rèn)證功能：指當(dāng)UAM收到MAC地址形式的認(rèn)證用戶名時(shí)是按快速認(rèn)證處理還是按正常的UAM賬號處理。在使用BYOD的場景中該參數(shù)需要配置為“是”。 單賬號最多MAC數(shù)：每個(gè)賬號可以關(guān)聯(lián)的MAC地址的最大數(shù)

27、量。,H3C-iMC-BYOD解決方案介紹,UAM BYOD系統(tǒng)參數(shù)配置（續(xù)）,智能終端MAC地址老化時(shí)長：該參數(shù)與BYOD無關(guān)，是智能終端快速認(rèn)證的一個(gè)參數(shù)，請參考智能終端快速認(rèn)證的特性說明書。 禁止同時(shí)在線時(shí)長大于等于（）秒的MAC地址進(jìn)行快速認(rèn)證：該參數(shù)與BYOD無關(guān)，是智能終端快速認(rèn)證的一個(gè)參數(shù)，請參考智能終端快速認(rèn)證的特性說明書。 禁止非智能終端認(rèn)證：該參數(shù)與BYOD無關(guān)，是智能終端快速認(rèn)證的一個(gè)參數(shù)，請參考智能終端快速認(rèn)證的特性說明書。 快速認(rèn)證老化時(shí)長：MAC與賬號的關(guān)聯(lián)信息的保存時(shí)長，超過該時(shí)長后終端MAC再次快速認(rèn)證時(shí)需要再次輸入賬號信息。 終端信息不一致的處理方式：UAM發(fā)

28、現(xiàn)本次MAC對應(yīng)的廠商、類型、操作系統(tǒng)等信息與上次不一致時(shí)是否允許終端通過認(rèn)證。該參數(shù)是一個(gè)安全參數(shù)，主要用于防止終端通過修改MAC地址的方法進(jìn)行仿冒認(rèn)證。 終端信息獲取方式：只有勾選的配置項(xiàng)UAM才進(jìn)行監(jiān)聽，將對應(yīng)的信息添加至UAM數(shù)據(jù)庫的MAC注冊信息表中。一般情況下這里的三個(gè)配置項(xiàng)均需要勾選。,H3C-iMC-BYOD解決方案介紹,BYOD配置注意事項(xiàng),1.UAM的byodanonymous賬號必須通過勾選“缺省BYOD用戶”的方式生成，不能通過手工輸入一個(gè)byodanonymous賬號的方式生成。 2.完整的BYOD方案依賴iMC DHCP Agent提供關(guān)于終端的DHCP Optio

29、n 55信息，因此需要客戶網(wǎng)絡(luò)的IP地下獲取方式為DHCP方式且DHCP Server為WindowsDHCP服務(wù)器，并且需要在該服務(wù)器上安裝iMC DHCP Agent程序。 3.在啟用快速認(rèn)證之后，UAM判斷終端MAC信息是否與已有賬號關(guān)聯(lián)是通過完整的登陸名（即賬號名+域名）來進(jìn)行的。所以要求UAM賬號或訪客賬號申請的byod服務(wù)后綴與byodanomymous賬號的服務(wù)后綴必須相同。 4.在啟用快速認(rèn)證之后，移動終端的MAC地址與A帳號關(guān)聯(lián)后目前不支持再與B賬號關(guān)聯(lián)，如果需要與B賬號關(guān)聯(lián)只能將MAC與A的關(guān)聯(lián)信息從UAM中刪除。目前有兩種方法：1、A賬號先登陸用戶自助將MAC地址刪除。2

30、、管理員在UAM用戶接入管理終端MAC地址管理中刪除MAC與UAM賬號的關(guān)聯(lián)信息。 5.在訪客BYOD的場景中請注意在UAM中啟用訪客的相關(guān)功能，比如：訪客自動轉(zhuǎn)正，訪客服務(wù)等。,H3C-iMC-BYOD解決方案介紹,BYOD配置注意事項(xiàng)（續(xù)）,6. 由于UAM需要監(jiān)聽終端瀏覽器發(fā)送過來的DNS所以“UAM用戶接入管理BYOD服務(wù)器”模塊（以下簡稱UAM BYOD模塊）安裝部署及運(yùn)行時(shí)必須使用TCP 80（HTTP）端口，即UAM BYOD模塊所在服務(wù)器的WebServer（在UAM與PLAT安裝在一起時(shí)為Jserver）的端口必須為80.如果為非80需要在安裝部署UAM BYOD模塊前修改為

31、80端口。修改方法如下,需要修改的地方有兩處： 7.第一處：用記事本或UE修改UAM BYOD模塊所在服務(wù)器安裝目錄perties配置文件（修改前請先備份），將其中的imc.http.port修改為80端口，如下圖所示：,H3C-iMC-BYOD解決方案介紹,BYOD配置注意事項(xiàng)（續(xù)）,8.第二處：在UAM系統(tǒng)參數(shù)配置中將“自助服務(wù)器端口”、“iMC配置臺端口”修改為80.,H3C-iMC-BYOD解決方案介紹,BYOD配置注意事項(xiàng)（續(xù)）,9.然后在UAM BYOD模塊所在服務(wù)器的iMC部署監(jiān)控代理中重起WebServer進(jìn)程（在與PLAT安裝在一臺服務(wù)器的

32、場景中為Jserver進(jìn)程）生效。 10.UAM BYOD模塊必須使用TCP 80端口并且與Portal及用戶自助共用WebServer進(jìn)程。如果UAM BYOD模塊安裝部署的服務(wù)器上也部署了Portal或用戶自助（用戶自助的可能性能小，因?yàn)橐话阌脩糇灾枰渴鹪讵?dú)立的服務(wù)器上）則意味著Portal或用戶自助的端口也必須使用80端口。對于新建局點(diǎn)場景，需要提前將該服務(wù)器UAM Portal與用戶自助規(guī)劃為TCP 80端口；對于升級場景，需要在升級前將Portal及用戶自助業(yè)務(wù)使用端口修改為80端口，該操作對客戶現(xiàn)有業(yè)務(wù)影響較大，請?zhí)崆爸獣蛻?，避免不必要的問題。,H3C-iMC-BYOD解決方

33、案介紹,特性實(shí)現(xiàn)原理（流程）介紹,H3C-iMC-BYOD解決方案介紹,認(rèn)證過程詳解,1.終端進(jìn)行MAC認(rèn)證，認(rèn)證設(shè)備將終端用戶的認(rèn)證信息（以MAC地址為用戶名）通過RADIUS發(fā)給UAM，這時(shí)UAM中并不此MAC地址賬號名。 2.在啟用byodanonymous賬號的情況下，UAM將認(rèn)證的MAC（可帶域名后綴）作為登錄名與byodanonymous賬號關(guān)聯(lián)并讓其通過認(rèn)證，認(rèn)證后的UAM在線表如下圖所示：,H3C-iMC-BYOD解決方案介紹,認(rèn)證過程詳解（續(xù)）,3.UAM從在線表中獲取到MAC地址信息并添加到UAMMAC地址注冊信息表。 4.終端與DHCP Server交互獲取IP地址， 由于DHCP Server上安裝了iMC DHCP Agent程序，DHCP Agent會與UAM交互以判斷是否將DHCP Server發(fā)給終端設(shè)備的DHCP回應(yīng)消息中的DNS修改為UAM的IP地址。如果該MAC在UAM上沒有記錄，則修改DNS為UAM的IP，反之則不修改，終端設(shè)備獲取正常的DNS。 5.iMC DHCP Agent通過截獲終端的DHCP報(bào)文，將DHCP Opt