《h3ciMCEIAPortal无感知认证特性说明书.doc》由会员分享,可在线阅读,更多相关《h3ciMCEIAPortal无感知认证特性说明书.doc(10页珍藏版)》请在三一办公上搜索。
1、wordiMC EIA Portal无感知认证特性说明书关键词:EIA、Portal、无感知摘要:本文档详细描述了iMC EIA Portal无感知认证的功能、用途、配置方法和实现原理等。缩略语:缩略语英文全名中文解释EIAEnd-user Intelligent Access智能终端接入10 / 10目录1 特性介绍32 特性的优点33 版本历史记录34 使用指南4 使用场合4 应用方式使用指导4 应用举例44.3.1 iMC EIA Portal无感知认证配置步骤44.3.2 iMC EIA Portal无感知认证操作步骤6 须知事项85 特性实现原理流程介绍91 特性介绍Portal无感
2、知认证是一种针对智能终端、无需输入用户名和密码即可上线的认证过程。用户第一次使用智能终端时,通过浏览器上网产生流量,设备会重定向到Portal认证页面。用户输入用户名、密码、服务等信息后上线,服务器会将认证信息以与终端的MAC地址保存到数据库中。当用户再次使用该智能终端访问网络产生流量时,服务器自动使用该认证信息进展认证,免去了用户输入认证信息上线的过程。为了防止用户仿冒MAC地址后可以不输入认证信息上线,管理员和用户可以将MAC地址禁用快速认证,在这种情况下,用户每次上线时都需要输入认证信息。2 特性的优点Portal无感知认证的优点如下:(1) 支持用户免输入认证上线。用户只需要在第一次上
3、线时输入认证信息,下次上线时会自动使用该认证信息认证,简化了用户操作。(2) 支持智能终端类型配置。智能终端与非智能终端使用不同的上线方式,使用该配置可以有效地区分这两种终端类型,方便操作员对终端类型的管理。(3) 支持已绑定的智能终端MAC地址信息管理。可以查询所有绑定的智能终端MAC地址信息并进展管理,方便操作员操作。(4) 支持禁用智能终端MAC地址信息快速认证,存在手动禁用和自动禁用两种方式。禁用快速认证后,用户使用该智能终端上线时总需要输入认证信息。这样可以防止用户仿冒MAC地址后使用他人信息上线。(5) 支持用户对本某某绑定的智能终端MAC地址信息操作。用户可以在自助服务中对某某绑
4、定的智能终端MAC地址信息进展删除和禁用快速认证操作。方便用户个人信息维护。3 版本历史记录表3-1 特性版本历史记录产品版本号修改描述备注iMC EIA7.0 (E0203)1、配置界面中将Portal无感知认证和MAC快速认证分开显示。2、预置Portal无感知认证的常见特征值。无iMC UAM 5.1 (E0303)首次发布Portal无感知认证。首次发布4 使用指南4.1 使用场合在企业、学校或者其他环境中使用智能终端进展认证上线,并且在使用过程中可能会出现频繁的上线和下线操作。4.2 应用方式使用指导(1) 在iMC EIA中增加服务类型配置,选择Portal无感知认证。(2) 在i
5、MC EIA中增加接入设备。(3) 在iMC EIA中增加Portal设备以与端口组信息,端口组信息中选择支持Portal无感知认证。(4) 在iMC EIA中增加接入用户。(5) 在iMC EIA中设置系统参数。(6) 在接入设备中配置Radius认证命令以与Portal无感知认证相关命令。4.3 应用举例4.3.1 iMC EIA Portal无感知认证配置步骤1. 增加服务配置进入增加服务配置页面,在该页面勾选Portal无感知认证,如图4-1所示。如果服务没有勾选Portal无感知认证,如此用户使用该服务时不能进展Portal无感知认证。图4-1 增加服务配置2. 增加接入设备增加接入
6、设备方式没有变化。3. 增加Portal设备以与端口组信息增加Portal设备方式没有变化。在增加端口组信息页面中,无感知认证这一项选择“支持,如图4-2所示。如果端口组信息中无感知认证选择“不支持,用户在该端口组对应的端口上不能进展Portal无感知认证。图4-2 增加端口组信息4. 增加接入用户 进入增加接入用户页面,选择“Portal无感知认证最大绑定数 ,如图4-3所示。如果选择“不支持绑定,如此该用户不能进展Portal无感知认证。选择其他数字均表示支持Portal无感知认证,且每个某某绑定的终端数上限即为该参数的值。图4-3 增加接入用户5. 配置系统参数进入系统参数配置页面,如图
7、4-4所示。图4-4 配置系统参数系统参数中有三个参数用于控制Portal无感知认证:l 终端老化时长:一旦绑定终端的MAC地址,该终端再次接入网络,无需输入账号名和密码,系统会自动进展Portal认证,为了安全起见,系统会每天凌晨定时将绑定时间超过老化时长的MAC地址删除,这样该智能终端重新接入网络后,需要再次输入账号名和密码重新绑定。老化时长设置为0天时,MAC地址将永远不老化。默认设置为7天。l 禁止同时在线时长大于等于XX秒的终端进展Portal无感知认证:如果将一个终端的MAC地址伪造成系统已经绑定终端的MAC地址,该终端接入网络后,系统也会自动进展Portal认证,这样该用户无需有
8、EIA某某也可以非法接入网络,为了安全起见,系统每天凌晨会判断已经绑定的MAC地址之前的一天内00:00:00-23:59:59是否存在同一时间段同时在线的情况,并且在线的重叠时长超过XX秒时就会认为存在伪造MAC地址情况,会将该MAC地址自动禁用快速认证。重叠时长只按单次重叠时长最长的记录,不累加计算。如果该时间设置为0秒时表示不启用该功能。l 非智能终端Portal无感知认证:当禁止非智能终端认证时,如果用户认证时使用的服务启用了Portal无感知认证,用户只有在智能终端上使用纯网页认证才能够成功,用户在非智能终端上、在智能终端上使用其他方式都会认证失败,认证失败的例子如下:在PC上进展网
9、页认证如果PC设置成了智能终端,这个就不是认证失败的例子、在PC或者智能终端上使用iNode客户端进展Portal认证、802.1x认证、MAC地址认证,PPPoE认证和ADSL认证方式等。6. 在接入设备中配置Radius认证命令以与Portal无感知认证相关命令。通过Console或者Telnet方式登录接入设备的CLI。RADIUS认证命令没有变化,本文省略相关配置。Portal无感知认证命令如下:命令的含义可以稍微再详细些,让大家明白这些命令具体的作用l 配置将终端MAC地址上传给EIA服务器 system-viewSysname portal mac-trigger server i
10、p 10.153.1.100 port 50100其中10.153.1.100为Portal服务器IP地址。l 配置在VLAN-interface中启用上传MAC地址的功能 system-viewSysnameinterface vlan-interface 2Sysname-Vlan-interface2 portal mac-trigger enable period 60 threshold 10244.3.2 iMC EIA Portal无感知认证操作步骤1. 用户使用智能终端进展认证(1) 用户使用智能终端通过浏览器访问网络,网页被重定向到Portal认证页面。用户输入用户名、密码、
11、服务等认证信息,进展上线认证。(2) 认证成功后,用户下线。(3) 用户再次使用该智能终端访问网络,此时不需要输入用户名和密码,直接上线。2. Portal无感知用户管理与无感知认证特征管理进入Portal无感知用户列表页面,查看Portal无感知用户列表,如图4-5所示。图4-5 Portal无感知用户管理操作员可以进展批量删除、禁用无感知认证和启用无感知认证等操作。对于禁用无感知认证的终端,上线时总会推出Portal认证页面,需要用户手工输入认证信息进展认证上线。在Portal无感知认证用户列表中,单击按钮,进入无感知认证特征管理页面,如图4-6所示。系统预置了大量常用HTTP特征,只有符
12、合这些特征的终端才能进展无感知认证。因此,当终端用户使用的终端特征不在特征库中时,需要管理员手工增加。图4-6 无感知认证特征管理3. 用户自助管理智能终端MAC地址用户登录自助服务,在首页“查询用户资料中显示当前用户绑定的智能终端MAC地址信息。如Error! Reference source not found.所示。其中提供了智能终端MAC地址信息删除以与禁用快速认证操作。需要注意的是,如果某一条MAC地址信息已经禁用快速认证,在用户自助中不能将该MAC地址信息启用快速认证。图4-7 自助服务查询用户资料4.4 须知事项l 使用的接入设备需要支持Portal无感知认证。l 如果用户使用Portal无感知认证的方式认证上线,如此服务配置中的“绑定MAC地址功能将不生效。l 即使用户绑定的某一智能终端MAC地址已经禁用快速认证,该MAC地址仍然算入用户的智能终端最大绑定数中。l 如果无法获取终端用户的MAC地址,如三层Portal认证,如此无法使用Portal无感知认证功能。5 特性实现原理流程介绍Portal无感知认证过程如如下图所示。图5-1 智能终端第一次上线过程图5-2 智能终端第二次上线过程
