H3C-BYOD解决方案的实现及典型配置.doc

H3C BYOD 解决方案的实现及典型 配置 目 录 一 BYOD 简介 .- 1 - 1.1 背景描述.- 1 - 1.2 BYOD 功能原理 .- 4 - 1.3 BYOD 解决方案的组织结构 .- 5 - 二 典型组网.- 5 - 三 典型配置.- 6 - 3.1 NAS 侧配置 .- 6 - 3.2 DHCP AGENT 配置 .- 7 - 3.3 IMC 服务器侧配置 .- 15 - 3.4 客户端认证测试 .- 17 - 四 注意事项.- 19 - 一一 BYOD 简介简介 1.1 背景描述 当前，移动互联网在全球掀起了新的发展高潮，特别是随着移动智能终端的日益普及，移 动应用和服务不断丰富，迅速进入了移动互联网高速发展阶段。特别是移动互联网用户数 量、终端数量、市场规模的增长速度和态势非常迅猛，移动互联网蕴含着巨大的市场空间 和发展前景。智能手机，平板电脑等移动终端彻底改变了人们的生活方式，进入 201x 年代， 80/90 后逐渐成为企业新生力量和主力军，他们更崇尚个性和自由，不管的对于企业，还是 个人，自由选择办公终端无疑可以提高我们的工作效率，所有的这些，都促生了 BYOD 的 产生和繁荣。BYOD(Bring Your Own Device） 指带自己的终端上班，这些设备包括个人电 脑,手机，平板等，现在更多情况指手机或平板这样的移动智能终端设备，而当前 BYOD 最基本的功能包括：1.保持各种用户终端的良好体验。2.Anywhere，Anytime，Anyone 的 接入方式，以保障高效办公效果。3.灵活的控制策略，保障企业数据的安全。 1.2 BYOD 实现原理 目前 BYOD 技术主要要集中在如何解决移动终端（手机、平板、POS 机等）设备网络认 证控制方案的层面上，各厂家的实现也不尽相同,BYOD 特性一个重要的技术是如何识别终 端的类型。在这方面 H3C iMC UAM 目前支持 DHCP 特征识别、HTTP User Agent 特征识 别、MAC 地址识别三种方式来识别终端的厂商、终端类型、操作系统等信息。此外，从业 务上看，BYOD 一个重要的业务需求就是终端用户使用同一账号在不同的终端上认证时需 要分配不同的控制策略，对于认证系统来看就是认证时除了对账号信息的判断外对接入场 景的判断也是非常重要的。为了适应这种业务需求，UAM 将原有的账号服务模式中的 服务做了很大的修改，将 UAM 服务主体改为“接入策略” ，接入策略由场景信息与接入规 则信息（原 UAM 服务主要内容）组成。新的业务模式充分体现了对接入场景的重视，在 集成 UAM 原认证功能的基础上可以很好的实现上述新的功能需求，一个帐号，多个终端， 再融合 H3C EAD 终端安全解决方案下发不同访问权限，确保终端安全，如下图 1 所示： 【图】 1.3 BYOD 解决方案的组织结构 我司 BYOD 主要由 iMC UAM,EAD 功能组件实现，BYOD 功能模块属于 UAM 组件，从 UAM V5.2 E0401 版本开始支持，配合 EAD 功能组件实现终端准入确保终端安全，我司 的 BYOD 特性由如下四部分组成： （1）.接入终端：有认证接入网络访问资源的设备，需要支持 DHCP 获取 IP 地址。一般是 移动设备如 PAD、手机，也可以是 PC 或 POS、打印机等设备。 （2）.认证设备：启用身份认证的设备（包括 802.1x，Portal 认证） ，一般认证方式为 MAC 认证。 （3）.iMC UAM:主要使用了 iMC UAM BYOD 认证页面、访客管理两个模块的功能 （4）.Windows DHCP 服务器：用于给终端设备分配 IP 地址，同时需要安装 UAM 的 iMC DHCP Agent 插件，用户转发移动终端信息给 UAM 服务器。 二二 典型组网典型组网 【图 2】：BYOD 功能特性组网示意图 组网说明：认证方式和实际参数请根据实际组网变化 UAM/EAD IP : 22 LANSwitch （安全联动设备即NAS）IP :4 iNode智能客户端 IP:88 CA证书服务器 IP:45 三三 典型配置典型配置 说明：此案例根据以下几种场景进行概述： a iMC 服务器侧预先未创建帐号信息，设备启用 MAC 认证； b iMC 服务器侧预先创建了帐号信息，设备启用 802.1X 或者 Portal 认证； 场景场景 1：访客类，即：访客类，即 iMC 服务器侧预先未创建帐号信息，设备启用服务器侧预先未创建帐号信息，设备启用 MAC 认证；认证； 3.1 NAS 侧配置 本案例以 H3C S5500 系列交换机作为 NAS 设备，具体版本信息： H3C Comware Platform Software Comware Software, Version 5.20, Release 2215 H3C S5500-28C-EI uptime is 2 weeks, 3 days, 2 hours, 13 minutes H3C S5500-28C-EI with 1 Processor 256M bytes SDRAM 32768K bytes Flash Memory Hardware Version is REV.C CPLD Version is 002 Bootrom Version is 701 SubSlot 0 24GE+4SFP Hardware Version is REV.C SubSlot 2 1 XFP Hardware Version is REV.B 主要配置： mac-authentication radius scheme * /创建一个 radius scheme primary authentication *.*.*.*/认证服务器 primary accounting *.*.*.*/认证服务器 key authentication cipher $c$3$hCExxOrUqQDAHtoNnmBMe/8hTloh6A= key accounting cipher $c$3$+4oOmQLhe2/otPYnxwQerm4+g4EUUA= nas-ip *.*.*.*/nas-ip 地址 domain */创建一个 domain authentication lan-access radius-scheme * /引用 radius 方案 authorization lan-access radius-scheme * /引用 radius 方案 accounting lan-access radius-scheme * /引用 radius 方案 access-limit disable state active idle-cut disable self-service-url disable domain default enable * interface Vlan-interface10 ip address *.*.*.* interface GigabitEthernet1/0/2 mac-authentication 3.2 DHCP Agent 的配置 在UAM安装包的根目录下找到“H3C IMC DHCP Agent”安装程序，将其拷贝至Windows DHCP服务器上安装即可，安装过程非常简单，在此省略具体的安装步骤，如下图3： 【图3】DHCP Agent正常运行示意图 UAM服务器IP地址请填写UAM使用的IP地址，UAM服务器端口号一般不需要修改，配置 完成请点击“保存配置” ，并启动DHCP Server即可。 3.3 iMC 服务器侧配置 （1）创建匿名用户的接入规则，在接入规则里可以通过下发 VLAN，ACL 来控制 终端用户的权限，如下图 4： 【图 4】 （2）创建业务用户的接入规则，在接入规则里可以通过下发 VLAN，ACL 来控制 终端用户的权限，如下图 5： 【图 5】 （3）创建终端类型分组：“移动终端”,并绑定终端类型为 iphone 用于标识移动终端。 【图 6】 （4）创建终端类型分组：“windows 系统”,并绑定终端类型为 Windows Vista/7orServer 2008 或 Windows xp 用于标识终端。 【图 7】 （5）创建匿名服务，服务后缀为 byod，如下图 8 【图 8】 （6）创建业务服务，服务后缀为 byod，并绑定两个接入策略，对应 PC 和移动终端两种接 入场景，接入策略由接入规则和接入场景组成，不同的场景可以对应不同的安全策略（前 提是在 EAD 功能组件里创建安全策略） ，为了方便维护，建议将匿名服务和业务服务的后 缀配置相同，如下图 9。 【图 9】 （7）创建匿名用户：匿名用户，并绑定匿名帐号：byodannonymous，勾选“缺省 BYOD 用户”后，会自动生成 byodannonymous 帐号，并绑定“匿名服务” 。如下图 10。 【图 10】 (8)创建业务用户和业务帐号：byod，并绑定预先创建的业务服务，如下图 11。 【图 11】 (9)增加接入设备,即启用认证的设备，IP 地址为设备侧的 Nas-IP,如下图 12。 【图 12】 (10)在业务|用户接入管理|业务参数配置|系统配置|BYOD 系统参数配置，启用“快速认证功 能” ，开启该功能才能做 MAC 匿名认证，如下图 13。 【图 13】 说明： a.启用快速认证功能：指当 UAM 收到 MAC 地址形式的认证用户名时是按快速认证处理还 是按正常的 UAM 账号处理。在使用 BYOD 的场景中该参数需要配置为“是” 。 b.单账号最多 MAC 数：每个账号可以关联的 MAC 地址的最大数量。 c.智能终端 MAC 地址老化时长：该参数与 BYOD 无关，是智能终端快速认证的一个参数， 请参考智能终端快速认证的特性说明书。 d.禁止同时在线时长大于等于（）秒的 MAC 地址进行快速认证：该参数与 BYOD 无关， 是智能终端快速认证的一个参数，请参考智能终端快速认证的特性说明书。 e.禁止非智能终端认证：该参数与 BYOD 无关，是智能终端快速认证的一个参数，请参考 智能终端快速认证的特性说明书。 f.快速认证老化时长：MAC 与账号的关联信息的保存时长，超过该时长后终端 MAC 再次 快速认证时需要再次输入账号信息 g.终端信息不一致的处理方式：UAM 发现本次 MAC 对应的厂商、类型、操作系统等信息 与上次不一致时是否允许终端通过认证。该参数是一个安全参数，主要用于防止终端通过 修改 MAC 地址的方法进行仿冒认证。 h.终端信息获取方式：只有勾选的配置项 UAM 才进行监听，将对应的信息添加至 i.UAM 数据库的 MAC 注册信息表中。一般情况下这里的三个配置项均需要勾选。 3.4 客户端认证上线 (1)匿名用户上线 a.匿名帐号首次认证上线,由于 Bas 设备启用了 MAC 地址认证，故当终端连接网络后，会自 动发起 MAC 认证，此时查看 UAM 在线用户列表，帐号名为 byodannonymous，登录名为终端 的 MAC 地址domain 后缀，如下图 14 所示： 【图 14】 b.查看终端 MAC 管理列表，插入了终端 MAC 和匿名帐号，以及终端类型等信息， 如下图 15，点击终端 MAC 管理列表的“详细信息“按钮，可以查看获取到终端类型的方式， 如下图 16 所示： 【图 15】 【图 16】 说明：BYOD 特性一个重要的技术是如何识别终端的类型。在这方面 UAM 目前支持 DHCP 特 征识别、HTTP User Agent 特征识别、MAC 地址识别三种方式来识别终端的厂商、终端类型、 操作系统等信息。三种方式同时开启场景，取值结果优先级从高到底排列：DHCP 指纹法- HTTP User Agent 识别法-MAC 识别法。 a.DHCP 指纹法：iMC BYOD 截获终端发送的 DHCP 请求报文，获取其中的 Option55 字段， 该字段内容的不同组合对应不同的终端类型。该 DHCP 请求报文一般有操作系统发送，准确 性和可靠性较有保证，iMC BYOD 将此种识别方式优先级设置为最高。 【图 17】 该值为十六进制，如果自定义 DHCP 特征，则需要将该十六进制按 一字节划分换算成十进制数，一字节由 8 个比特位组成，而一个十六进制由 4 个比特位组 成，故按两个十六进制换算成 10 进制相加取和。如上图的 Option 55 字段值为 01，0f，03，06，2c，2e，2f，1f，21，79，f9，2b 计算结果： 1，15，3，6，44，46，47，31，33，121，249，43，可以自行定义。 【图 18】 b.HTTP User Agent 识别法：iMC BYOD 截获终端发送的 HTTP 请求报文，获取其中的 User- Agent 字段，该字段中包含的不同关键词（或组合）对应不同的终端类型。HTTP 请求报文 由浏览器等应用程序发送，准确性介于 DHCP 指纹和 MAC 地址之间。由于 HTTP 请求报文中 一般不包含终端 MAC 地址信息，因此需要与其他功能（如 DHCP、RADIUS 等）配合将 IP 地 址与 MAC 地址对应起来进行终端识别。 【图 19】 c.MAC 地址识别法：iMC BYOD 在获取到终端的 MAC 地址后根据其所属的 MAC 地址段来确定 该终端是哪个厂商生产的哪种型号设备，由于 MAC 地址是网卡的属性，因此该种识别方式 不适合于可以安装独立网卡的设备，MAC 地址本身作为终端的标识，又容易被修改，因此 用 MAC 地址来识别终端类型是最不可靠的，在 iMC 中将这种识别方式优先级排为最低。 【图 20】 (2)将正式帐号 byod 和该终端进行绑定。终端设备打开浏览器尝试访问网络（需输入域名） ， 由于此时终端设备的 DNS 已修改为 UAM BYOD 模块的 IP 地址，终端设备会向 UAM BYOD 模块 发起域名解析请求。UAM-BYOD 组件将所有域名都解析为该服务器地址，从而将用户请求重 定向到 UAM BYOD 页面，也可以直接在 IE 输入 http：/ip/byod 弹出该页面，可以绑定一 个已存在的帐号如下图 19，也可以直接创建一个访客进行绑定，不管自动的还是手工弹出 该页面，前提是 UAM 在线用户列表必须有该终端的 IP 地址，否则打开该页面会提示：该用 户未上线，绑定成功后，BYOD 页面提示如下图 20。 【图 21】 【图 22】 （3）上步骤绑定正式帐号后，UAM 会要求 byodannonymous 帐号马上下线，然后重新上线， 再查看 UAM 在线用户列表和终端 MAC 管理列表，如下图 23，24 【图 23】 说明：此时帐号名为 byod，并且成功根据终端类型选择了对应的安全策略。 【图 24】 说明：此时终端 MAC 地址列表的帐号和用户是正式帐号 byod。 场景场景2：iMC服务器侧预先创建了帐号信息，设备启用服务器侧预先创建了帐号信息，设备启用802.1X或者或者Portal认证；认证； 1.设备侧的配置设备侧的配置 802.1X和MAC认证都是二层认证协议，并且只有认证通过后才能通过DHCP Server获取IP 地址，DHCP Agent才会通知UAM服务器终端的具体信息，即先上线，再获取终端类型， 此种场景，第一次不能BYOD，通过不同的终端类型下发不同的权限，只有再次认证上线 才能根据终端类型下发不同的控制策略。故，忽略1X认证场景，在此以Portal认证为例， 设备主要配置如下： Portal server imc ip 22 key h3c url 22/portal 指定Portal服务器 radius scheme * 配置radius方案 primary authentication 22 primary accounting 22 key authentication cipher $c$3$hCExxOrUqQDAHtoNnmBMe/8hTloh6A= key accounting cipher $c$3$+4oOmQLhe2/otPYnxwQerm4+g4EUUA= nas-ip 4 domain * 域配置 authentication portal radius-scheme * authorization portal radius-scheme * accounting portal radius-scheme * access-limit disable domain default enable byod 配置byod为缺省domain interface Vlan-interface10 在三层VLAN接口下启用portal认证 portal server imc method direct ip address 4 2.iMC侧配置 （1）创建IP地址组“byod” ，并配置起始用户IP地址段，如下图25 【图25】 （2）添加Portal设备，设备名：byoddevice，并配置Portal设备IP，和密钥，如下图26 【图26】 （3）配置端口组，并绑定对应的IP地址组，如下图27 【图27】 （4）创建Portal认证的用户帐号portal，并绑定前面创建的服务，如下图28示： 【图28】 （5）终端获取IP，由于Portal认证是三层协议，即在通过认证前能通过DHCP获取到IP，其 实在获取IP地址的同时，UAM服务器的终端MAC地址列表中已经记录了该终端的详细信息， 如下图29 【图29】 （6）打开IE或者使用iNode客户端Portal认证上线，如下图30： 【图30】 查看UAM在线用户列表如下图31，帐号portal已通过认证上线，并受“业务服务”下发授 权信息。 【图31】 四四 注意事项注意事项 1.UAM 的 byodanonymous 账号必须通过勾选“缺省 BYOD 用户”的方式生成，不能通过手工 输入一个 byodannonymous 账号的方式生成。 2.完整的 BYOD 方案依赖 iMC DHCP Agent 提供关于终端的 DHCP Option 55 信息，因此需要 客户网络的 IP 地下获取方式为 DHCP 方式且 DHCP Server 为 Windows DHCP 服务器，并且 需要在该服务器上安装 iMC DHCP Agent 程序。 3.在启用快速认证之后，UAM 判断终端 MAC 信息是否与已有账号关联是通过完整的登陆名 （即账号名+域名）来进行的。所以要求 UAM 账号或访客账号申请的 byod 服务后缀与 byodanomymous 账号的服务后缀必须相同。 4.在启用快速认证之后，移动终端的 MAC 地址与 A 帐号关联后目前不支持再与 B 账号关联， 如果需要与 B 账号关联只能将 MAC 与 A 的关联信息从 UAM 中删除。目前有两种方法：1、A 账号先登陆用户自助将 MAC 地址删除。2、管理员在 UAM 用户接入管理终端 MAC 地址管理