新員工轉正技術論文H3CBYOD解決方案的實現(xiàn)及典型配置新員工轉正技術論文TOC\o"1-5"\h\z一BYOD簡介 -1 -\o"CurrentDocument"1.1背景描述 -1 -BYOD功能原理 錯誤!未定義書簽。BYOD解決方案的組織結構 錯誤!未定義書簽。二典型組網(wǎng) -3 -三典型配置 -3 -\o"CurrentDocument"NAS側配置 -3 -\o"CurrentDocument"DHCPAGENT配置 -4 -IMC服務器側配置 錯誤!未定義書簽。3.4客戶端認證測試 錯誤!未定義書簽。四注意事項 -21 -新員工轉正技術論文新員工轉正技術論文—BYOD簡介1.1背景描述當前，移動互聯(lián)網(wǎng)在全球掀起了新的發(fā)展高潮，特別是隨著移動智能終端的日益普及，移動應用和服務不斷豐富，迅速進入了移動互聯(lián)網(wǎng)高速發(fā)展階段。特別是移動互聯(lián)網(wǎng)用戶數(shù)量、終端數(shù)量、市場規(guī)模的增長速度和態(tài)勢非常迅猛，移動互聯(lián)網(wǎng)蘊含著巨大的市場空間和發(fā)展前景。智能手機，平板電腦等移動終端徹底改變了人們的生活方式，進入201x年代，80/90后逐漸成為企業(yè)新生力量和主力軍，他們更崇尚個性和自由，不管的對于企業(yè)，還是個人,自由選擇辦公終端無疑可以提高我們的工作效率，所有的這些，都促生了BYOD的產生和繁榮。BYOD（BringYourOwnDevice）指帶自己的終端上班，這些設備包括個人電腦,手機，平板等，現(xiàn)在更多情況指手機或平板這樣的移動智能終端設備，而當前BYOD最基本的功能包括：1.保持各種用戶終端的良好體驗。2.Anywhere,Anytime，Anyone的接入方式，以保障高效辦公效果。3?靈活的控制策略，保障企業(yè)數(shù)據(jù)的安全。1.2BYOD實現(xiàn)原理目前BYOD技術主要要集中在如何解決移動終端（手機、平板、POS機等）設備網(wǎng)絡認證控制方案的層面上，各廠家的實現(xiàn)也不盡相同,BYOD特性一個重要的技術是如何識別終端的類型。在這方面H3CiMCUAM目前支持DHCP特征識別、HTTPUserAgent特征識別、MAC地址識別三種方式來識別終端的廠商、終端類型、操作系統(tǒng)等信息。此外，從業(yè)務上看，BYOD一個重要的業(yè)務需求就是終端用戶使用同一賬號在不同的終端上認證時需要分配不同的控制策略，對于認證系統(tǒng)來看就是認證時除了對賬號信息的判斷外對接入場景的判斷也是非常重要的。為了適應這種業(yè)務需求，UAM將原有的賬號一服務模式中的服務做了很大的修改，將UAM服務主體改為“接入策略”接入策略由場景信息與接入規(guī)則信息（原UAM服務主要內容）組成。新的業(yè)務模式充分體現(xiàn)了對接入場景的重視，在集成UAM原認證功能的基礎上可以很好的實現(xiàn)上述新的功能需求，一個帳號，多個終端，再融合H3CEAD終端安全解決方案下發(fā)不同訪問權限，確保終端安全，如下圖1所示：

新員工轉正技術論文輾號=基本缺省信息〔可以理解為缺省接入策略：:PLAT基本缺省信息〔可以理解為缺省接入策略：:PLAT賬號信息UA餅賬號信息接入策略一（場:＞信息+策略信息）接入策略一（場:＞信息+策略信息）接入策略N（場景信息+策略信息）接入策略N（場景信息+策略信息） J【圖1】1.3BYOD解決方案的組織結構我司BYOD主要由iMCUAM,EAD功能組件實現(xiàn),BYOD功能模塊屬于UAM組件，從UAMV5.2E0401版本開始支持，配合EAD功能組件實現(xiàn)終端準入確保終端安全，我司的BYOD特性由如下四部分組成：（1） .接入終端：有認證接入網(wǎng)絡訪問資源的設備，需要支持DHCP獲取IP地址。一般是移動設備如PAD、手機，也可以是PC或POS、打印機等設備。（2） .認證設備：啟用身份認證的設備（包括802.1x,Portal認證），一般認證方式為MAC認證。（3） .iMCUAM:主要使用了iMCUAMBYOD認證頁面、訪客管理兩個模塊的功能（4） .WindowsDHCP服務器：用于給終端設備分配IP地址，同時需要安裝UAM的iMCDHCPAgent插件，用戶轉發(fā)移動終端信息給UAM服務器。新員工轉正技術論文二典型組網(wǎng)【圖2】：BYOD功能特性組網(wǎng)示意圖組網(wǎng)說明：認證方式和實際參數(shù)請根據(jù)實際組網(wǎng)變化UAM/EADIP:22LANSwitch（安全聯(lián)動設備即NAS）IP:4iNode智能客戶端IP:88CA證書服務器IP:45三典型配置說明：此案例根據(jù)以下幾種場景進行概述：iMC服務器側預先未創(chuàng)建帳號信息，設備啟用MAC認證；iMC服務器側預先創(chuàng)建了帳號信息，設備啟用802.1X或者Portal認證；場景1訪客類，即iMC服務器側預先未創(chuàng)建帳號信息，設備啟用MAC認證;3.1NAS側配置本案例以H3CS5500系列交換機作為NAS設備，具體版本信息：新員工轉正技術論文H3CComwarePlatformSoftwareComwareSoftware,Version5.20,Release2215H3CS5500-28C-EIuptimeis2weeks,3days,2hours,13minutesH3CS5500-28C-EIwith1Processor256MbytesSDRAM32768KbytesFlashMemoryHardwareVersionisREVCCPLDVersionis002BootromVersionis701[SubSlot0]24GE+4SFPHardwareVersionisREVC[SubSlot2]1XFPHardwareVersionisREVB主要配置：mac-authenticationradiusscheme***〃創(chuàng)建一個radiusschemeprimaryauthentication*.*.*.*//認證服務器primaryaccounting*.*.*.*//認證服務器keyauthenticationcipher$c$3$hCExxOrUqQDAHtoNnmBMe/8hTloh6A==keyaccountingcipher$c$3$+4oOmQLhe2/otPYnxwQerm4+g4EUUA==nas-ip*.*.*.*//nas-ip地址domain***〃創(chuàng)建一個domainauthenticationlan-accessradius-scheme***//弓丨用radius方案authorizationlan-accessradius-scheme***//弓丨用radius方案accountinglan-accessradius-scheme***//弓丨用radius方案access-limitdisablestateactiveidle-cutdisableself-service-urldisabledomaindefaultenable***interfaceVlan-interface10ipaddress*.*.*.*interfaceGigabitEthernet1/0/2mac-authentication3.2DHCPAgent的配置在UAM安裝包的根目錄下找到“H3CIMCDHCPAgent”安裝程序，將其拷貝至WindowsDHCP服務器上安裝即可，安裝過程非常簡單，在此省略具體的安裝步驟，如下圖3：

新員工轉正技術論文【圖3】DHCPAgent正常運行示意圖UAM服務器IP地址請?zhí)顚慤AM使用的IP地址，UAM服務器端口號一般不需要修改，配置完成請點擊“保存配置”并啟動DHCPServer即可。3.3iMC服務器側配置(1)創(chuàng)建匿名用戶的接入規(guī)則，在接入規(guī)則里可以通過下發(fā)VLAN，ACL來控制終端用戶的權限，如下圖4：S?MS.:*.廠匚i1->--I'.ffl.vwe無 =KWH上ttwMUdiE心TJ8R'' 7Wl3=BU.iE認證iF書芫空lE^-TLSiJ.iF TE"ra^erProfle110B"TOML【圖4】創(chuàng)建業(yè)務用戶的接入規(guī)則，在接入規(guī)則里可以通過下發(fā)VLAN，ACL來控制終端用戶的權限，如下圖5：

華為3com新員工轉正技術論文卄福訊覲崩總請*箱罰務扎規(guī)則dWbIB本蛋蟲-■'VIL?業(yè)取另!as*叮J無 "、『=?-.?1TniSEK&p*Kbps疋換1 AflR3AU.iE狂減ifQ乖崗用 EAP證書認旺■::MAPI證書訃證認證證書亦￡冋肌泡證 T"F^UEGiiPiana用吏用尸倉n-【圖5】創(chuàng)建終端類型分組：“移動終端”，并綁定終端類型為iphone用于標識移動終端。虛lie沖■戶鬣丸龍厘沖廉虛lie沖■戶鬣丸龍厘沖廉A*罐馳理沖跖紳唱井朗鬣嶇”瓏嗣彌蛀帶懂OUUl薑章URLE蹄ji辺廿i目工阿惑甌 I I吉回卻翔 |豐附闿 工]iPhqn*WCE|刪【圖6】(4)創(chuàng)建終端類型分組：“windows系統(tǒng)”，并綁定終端類型為WindowsVista/7orServer2008或Windowsxp用于標識終端。形??陽戶瞬丸旨期擁A.爭娶自苛?"妄卿姐值宙??劃±1舖￥樂爍曲B 如曲冊I冊珮胭55SS-r Xndow臓IE業(yè)爭寸詛 丙i Z|煙E]共那癰醸?tart'iMndDWf'vlrti1?ar&erverZDDSX^ndcwB^PXwrt亦【圖7】(5)創(chuàng)建匿名服務，服務后綴為byod，如下圖8

華為scorn新員工轉正技術論文$時吉s-sxp：byad▼O百鮭去紳e不般去釧跑*聯(lián)占內冋貝麗遷不贖■*■7tH*QTutfti *?*?R^lfiU」 5］甲JI?O-.-I■-L"書”h：戶liAVJf桿斥制皿*聆幣IsiAlii【圖8】(6)創(chuàng)建業(yè)務服務，服務后綴為byod，并綁定兩個接入策略，對應PC和移動終端兩種接入場景，接入策略由接入規(guī)則和接入場景組成，不同的場景可以對應不同的安全策略(前提

是在EAD功能組件里創(chuàng)建安全策略)，為了方便維護，建議將匿名服務和業(yè)務服務的后綴配置相同，如下圖9。g nPRAER帀-■■:--■:-■-J111昔

新員工轉正技術論文【圖9】(7)創(chuàng)建匿名用戶：匿名用戶，并綁定匿名帳號：byodannonymous,勾選“缺省BYOD用戶”后，會自動生成byodannonymous新員工轉正技術論文【圖9】(7)創(chuàng)建匿名用戶：匿名用戶，并綁定匿名帳號：byodannonymous,勾選“缺省BYOD用戶”后，會自動生成byodannonymous帳號，并綁定“匿名服務”。如下圖10。碼制戶 砂■鼻屆舊戶嚴％用戶坦彌戶-科容 聲甬戸 *疋甘目瑪AiRieu | 電話電子■佯 | @ 18用戶甘組I廠開矗自畤戶MEII廠喪開戶用戶瑚日戦ftAiWl-KT+lflPnsttilFfii'j|H^|鮭rd?/iE旳燈可申訓rkusih爸可中i；rpMaipedal不跆古述出可中ifr切可中i；r秤徉可術廠its?彌可申iifip曲翱b^dTMSiWIS-可中帀Tr+S笛錄fl!亍;H見■入■雖【圖10】創(chuàng)建業(yè)務用戶和業(yè)務帳號：byod,并綁定預先創(chuàng)建的業(yè)務服務，如下圖11。曲茸用戶itfi 曲茸用戶itfi 播翳舉筑住輕華為3cpm新員工轉正技術論文PE垂昶 |胡|1M用戶廠工機里用月廠栓圧尸用戶p瞬PftLTffl°HR!E6■丈丙呂的懺?■號慕也華為3cpm新員工轉正技術論文PE垂昶 |胡|1M用戶廠工機里用月廠栓圧尸用戶p瞬PftLTffl°HR!E6■丈丙呂的懺?■號慕也言1WUBr且用用.口更冏監(jiān)＞」￥席魯入■霽?瞬廠也" dctlKr llusi h3c廠 parial pcrUr m=ir 何 ip-i* ■■:=-- :-:齊總用皆至arts可申追不計実開餐用野主甬豁可申追不計痕齊覽用野主甬詔可中誦不計痕不餐用h主甬童可申訊Tita環(huán)餐用野主甬■可中訊平計晏不豈用h主甬is可申潭TitaHiSZti【圖11】增加接入設備，即啟用認證的設備，IP地址為設備側的Nas-IP,如下圖12。-計刪口懷上用：K呂州冋也豪到弼aft|車工stu|全ewf|hc&att1設QPW hc&att1設QPW 11?l-1fl.1Kl34Wffi 卿【圖12】在業(yè)務I用戶接入管理I業(yè)務參數(shù)配置I系統(tǒng)配置IBYOD系統(tǒng)參數(shù)配置，啟用“快速認證功能”開啟該功能才能做MAC匿名認證，如下圖13。渥it勢命開戶劣為曙邂権業(yè)船國業(yè)15晝狗陥建理國也氐厲翹艷也[Td 8[Td 8不蹴邑律兩麗麗丁 去D+宦臣+宦臣U■訂?ElUlifK?IlTtiFUda20IlTtiFUda20P[iHCPP-HTT3Use?Ag&rcIP-kfi￡【圖13】說明：啟用快速認證功能：指當UAM收到MAC地址形式的認證用戶名時是按快速認證處理還

新員工轉正技術論文是按正常的UAM賬號處理。在使用BYOD的場景中該參數(shù)需要配置為“是”單賬號最多MAC數(shù)：每個賬號可以關聯(lián)的MAC地址的最大數(shù)量。智能終端MAC地址老化時長：該參數(shù)與BYOD無關，是智能終端快速認證的一個參數(shù)，請參考智能終端快速認證的特性說明書。禁止同時在線時長大于等于()秒的MAC地址進行快速認證：該參數(shù)與BYOD無關，是智能終端快速認證的一個參數(shù)，請參考智能終端快速認證的特性說明書。禁止非智能終端認證：該參數(shù)與BYOD無關，是智能終端快速認證的一個參數(shù)，請參考智能終端快速認證的特性說明書?？焖僬J證老化時長：MAC與賬號的關聯(lián)信息的保存時長，超過該時長后終端MAC再次快速認證時需要再次輸入賬號信息終端信息不一致的處理方式：UAM發(fā)現(xiàn)本次MAC對應的廠商、類型、操作系統(tǒng)等信息與上次不一致時是否允許終端通過認證。該參數(shù)是一個安全參數(shù)，主要用于防止終端通過修改MAC地址的方法進行仿冒認證。終端信息獲取方式：只有勾選的配置項UAM才進行監(jiān)聽，將對應的信息添加至i.UAM數(shù)據(jù)庫的MAC注冊信息表中。一般情況下這里的三個配置項均需要勾選。3.4客戶端認證上線匿名用戶上線匿名帳號首次認證上線，由于Bas設備啟用了MAC地址認證，故當終端連接網(wǎng)絡后，會自動發(fā)起MAC認證，此時查看UAM在線用戶列表，帳號名為byodannonymous,登錄名為終端的MAC地址@domain后綴，如下圖14所示：彌t 閨盧覺僅也暮耕審懈虛 宙J!<i=戶 AU■r^jto.'-；-1*曲釧戶1E?il：詩 I―麗―I*8ES9PHS.零awns|gwsBHS| :aara『gg:■-■:a/.i-J.31?■丟 H:Hlfi：：D|1IIIIFCI：■躬窯 婁盤宕 4戸聲直 *霽窖 魯Asi冃 蚣林|住wia npiPMtt蓋殳址為 瞬白曇定1利同阿bvcidanDrwmcus伽郭対山咤打問 粘用戶 宙包fiM 黑：笄'°牡 l?LIG.100.24ITZ1G.KM.IB8君?頁玄認 豊晶口【圖14】

華為3cpm新員工轉正技術論文查看終端MAC管理列表，插入了終端MAC和匿名帳號，以及終端類型等信息，如下圖15，點擊終端MAC管理列表的“詳細信息“按鈕，可以查看獲取到終端類型的方式,Wh：：W至如下圖16所示：Wh：：W至幣M屯I嘟誓足!婕￥用時冏rfl'nuartf'fefflttamffI' 啟用訕tu證—： 和幗購s§ii-IF7-*a「旌緲:;；:鋼nw辦I廠ISj*5aSs§ii-IF7-*a「旌緲:;；:鋼nw辦I廠ISj*5aS：DF:口4DE 卯訶dm仃miaus ■名用尸Hkidso^IPC/rtidaws詁￡舊丁ortKf^fSDOSHJ11-04DTI4：I4-D9【圖15】SI聘融怡胡XHDFDOEtiYod^noiwKiij^陽戶豈答晩用戶tfljai?呂廠音WKfDSMTDHCPPC耀甘蘊企輩HP式DHCP汶nowmUI^KT0aether20084?鈿綏醒弟或DHCPtSQ應恥事用“小皿曲“2&13^M417UUM【圖16】說明：BYOD特性一個重要的技術是如何識別終端的類型。在這方面UAM目前支持DHCP特征識別、HTTPUserAgent特征識別、MAC地址識別三種方式來識別終端的廠商、終端類型、操作系統(tǒng)等信息。三種方式同時開啟場景，取值結果優(yōu)先級從高到底排列：DHCP指紋法-〉HTTPUserAgent識別法-〉MAC識別法。a.DHCP指紋法：iMCBYOD截獲終端發(fā)送的DHCP請求報文，獲取其中的Option55字段，該字段內容的不同組合對應不同的終端類型。該DHCP請求報文一般有操作系統(tǒng)發(fā)送，準確性和可靠性較有保證，iMCBYOD將此種識別方式優(yōu)先級設置為最高。

華為3com新員工轉正技術論文aiupuiuHi? i=ojveiiuupliiutiiL11ici=rioi-ij,u-■.Dpfiom:(t-55s1-12)Paramete『RequestListOption:〔55)ParameterRequestListLEimg兀hi：12ValuerOlOf030€2c2e2fIfZ179f92b1=subnetKask15?DomalnName3=Route『6=DQiriailn訊占niesiervier44 = NetEI05 over tcp/ip Name Server- NetBIOS w亡r TCP/IP Node Type- NetBIOS m/酊 TCP/IP Scope31 二 Perform katiEierDiscover33=staticRoutb121=匚1asslessStati匚Route249二Private/classlessstaticRoute(Mierdsoft:)43-vendor-specificinformationEndoptionPadding1.-EPSSc51..=?i1.-EPSSc51..=?ih01064e<OM—M￡FT5.ffsaOCOOOOMO0OOOOMoaooaoOQooooDl3c-f_OOQOO0-00000^00075■f7oooooooo00000004-ooDDooDoooooQoood4-oooooooooo00000033-060000000000000016-ooGOODoooo00000003-010SOOOOOOQOQ00010-ooofoooooo00000003610aooOOQO00000051-oo00-00oooo00000033-550800oooo00000030-L4D3ODDOODDOODOO63-11GooQQooo0Q0O0O3S0O-3Do5oDoooDDODDDO543O-14olooooooOOOOOOZ7ef-13o_Joooooo000000802f0104000000-so0600ooo□o3oooooooo0400000000ooooQooooooDSOODoooooooooooBDDDDDODODoooooooooo■afsooooooo-4f30000000■Ifsooooooo■ofcooooooo0000003C5000000602OOQOOOOSOOOOOOOOF2oooooooa4□0000009500-^-000056000000034DDODODDOUooooooossooooooold00000003J-00000004800000006030103020□O3G3040DO50□060□070DO803090□oao□obGDOcQDOdO□OeODOfGDI00D11QD120-313QD14QD150-【圖17】該值為十六進制，如果自定義DHCP特征，則需要將該十六進制按一字節(jié)劃分換算成十進制數(shù)，一字節(jié)由8個比特位組成，而一個十六進制由4個比特位組成,故按兩個十六進制換算成10進制相加取和。如上圖的Option55字段值為01,0f,03,06,2c,2e,2f,1f，21，79，f9,2b計算結果：1,15,3,6,44,46，47,31,33,121,249,43,可以自行定義。□HCF特征15,3,6,44,46,^,313^749,Q廠商■SonyEricssonw終端類型MobileAndroid"Tablet描述索愛智能手機

華為acpm華為acpm新員工轉正技術論文【圖18】b.HTTPUserAgent識別法：iMCBYOD截獲終端發(fā)送的HTTP請求報文，獲取其中的User-Agent字段，該字段中包含的不同關鍵詞（或組合）對應不同的終端類型。HTTP請求報文由瀏覽器等應用程序發(fā)送，準確性介于DHCP指紋和MAC地址之間。由于HTTP請求報文中一般不包含終端MAC地址信息，因此需要與其他功能（如DHCP、RADIUS等）配合將IP地址與MAC地址對應起來進行終端識別。-HypeTransferProto匚ol0GET，/byod/a+j/s/2_3_3?F"inalorg/'richfaces/rendserkit/htnlcs5/basic_classes?xcs5/ejatb/eAF7sAccept:text/c5s\r\nFeferer:htrp://19Z.168-o.zoz/byod/noiiser-jsf\r\nUssr-Ag^nt:Mozillla/5.0(conipatible;MEIE9.0;EndowsNT€.l;W0W64;Trident/5.0)\r\mAc匚屯pt-Languag^!zh-cUssr-Ag^nt:Mozillla/5.0(conipatible;MEIE9.0;EndowsNT€.l;W0W64;Trident/5.0)\r\mAt匚eptEncoding:gzip,deflate\r\nHost;19Z.168.0.20Ar\nlf-M0d1T1ed-sirirE：iue,LBSepzoizQL：08：26GMT\r\rConrectlon:Keep-A11ve\r\nCODkde：JSESSION!D-S6543163+B23E0A1D24C56341-7A1E5F；:SESSIONI[>-g73576928S5F10E5F624C2552UUfiU00Q0ooaoooboODcOOOdOOOeOoofo0100OLIO01200L3001400：'-jQOlfiO/UUfiU00Q0ooaoooboODcOOOdOOOeOoofo0100OLIO01200L3001400：'-jQOlfiO/45/jenqiji：r斗7067622d6a794764495f5f73662Qjia54oa4163636570743a73OdOa52656665723a2f2f3139322e312f62796f642f銚6fodQA416363657G74653a207a682d434eoa|55736c6c626c4f573029696e/丄4d456177312631□d『4?f63736B7474702e323037扣6a726667756167±2f6oo2乜^7272376-J65d￡5104563266673a2067/URIpgb-j^GdTACcept:s,?FieFer://192.1ybyad/no-.AcceptE：2h-€Nid,,tirtrfiAFrMEat^TTP/1.1.ie?/cser:http68.0.207user?jsf-Lari^uagiluser-iIgent;Mozi11a/5■0(compatible;MSIE40;windowsNT6?1；W0MG4；電血7乳o)…EEcept-Encodinq:q【圖19】MAC地址識別法：iMCBYOD在獲取到終端的MAC地址后根據(jù)其所屬的MAC地址段來確定該終端是哪個廠商生產的哪種型號設備，由于MAC地址是網(wǎng)卡的屬性，因此該種識別方式不適合于可以安裝獨立網(wǎng)卡的設備，MAC地址本身作為終端的標識，又容易被修改，因此用MAC地址來識別終端類型是最不可靠的，在iMC中將這種識別方式優(yōu)先級排為最低。

新員工轉正技術論文*iS^MAC地址00：M：00：00：00：01 O+笑止聞AC地址00：M：00：00：00：10 oJ商Motorola ▼終端類型Mobile ▼描述【圖20】將正式帳號byod和該終端進行綁定。終端設備打開瀏覽器嘗試訪問網(wǎng)絡(需輸入域名)，由于此時終端設備的DNS已修改為UAMBY0D模塊的IP地址，終端設備會向UAMBY0D模塊發(fā)起域名解析請求。UAM-BYOD組件將所有域名都解析為該服務器地址，從而將用戶請求重定向到UAMBYOD頁面，也可以直接在IE輸入http：//ip/byod彈出該頁面，可以綁定一個已存在的帳號如下圖19,也可以直接創(chuàng)建一個訪客進行綁定，不管自動的還是手工彈出該頁面，前提是UAM在線用戶列表必須有該終端的IP地址，否則打開該頁面會提示：該用戶未上線，綁定成功后，BYOD頁面提示如下圖20。歡迎登錄BYOD解決方案HBCITOIP*? SBVODJK'?!BVODJK'?!方*勺冏亠提'?*1訕密：于:;門方＜、＜■爭方**:毎油戶壬亠了一個專屬也抿聚規(guī)定、所有在這牛網(wǎng)堀中找創(chuàng)逢、伎著'處逼*凰用存佶的荷息和就擁i-aet-A潔JS:都芻左一走范［5內良到監(jiān)控、吊整和豆借a未SKIRfl用車it用網(wǎng)堀可站主導轅尹至后果，如屈用車音約關丟卑止，嚴重的可匪跡黑審相拒広的民車或■-用戶issa「」=丿， 冃I.」= ”'*.：'= byod廠磋||吐華為scorn新員工轉正技術論文PCrsMlcruaoftWndo*wsV1staj7arServer2DD9MACfeih1BA9：D5：DF：D4：0E尸+1 弓為f.■-三S-51=-ll^；="7I--i厶國扶賤規(guī)走?所有立誼牛阿箱中杖創(chuàng)建'借前、處哩、陽童瑋臨的佶息扣熱(B■:哲括牛人倍曲，邯合在一圭范國內至到監(jiān)莊*吊孩和反+咗拽門何T哄Ifflh汗R"與補“魚譏戶?*：ER時＜ -“魚的可:ti：g二'應的民爭或刑半±1=理立，您-」以訪河網(wǎng)緡『"如杲尢余訪問阿絡，陸賓試±i*b\dL!■|"~T^"ntt^i'i^jvivnJeeam廠"二JJSfll所育合2DW232試州華三通信拉帀肓備￡亦憐?一切僅利q【圖22】上步驟綁定正式帳號后，UAM會要求byodannonymous帳號馬上下線，然后重新上線,勺_ XVjUlL再查看UAM勺_ XVjUlL俎耳囲戶lift4SV*昌冃戶“方加心筑門 w^.r-曲奪用戶業(yè)勞古菩於兼姫理晶陽戶沖廉有在建用戶?未刪a?右掛囲戶iwa詛童看在順戶詳細噲J9bynd陽戶址#_:十=SE錄拿ias9O5dM40e@!by3dBiSJ密用戶好細TTmr利右kt! 章賂不悽用內冋師匝配苦HTACSttAMa2013-0+-D7i5:37:47?X時悵1申用戶P也hh172.16.100136PlplWCifi址10fl3：O5：DF：Da：OE安全甘盔ri.--陽細CL注甲牯態(tài).：-<蘭話標舊LQXfOgsK連網(wǎng)B5536D117116.10D.24邊帝誥口220DU-D4-2612：O0：14設督欄號10幽罔方式■1I■決呼兩時話3013-114-0715:37:47切」W內層曲上KIID10外匕I加ID卜發(fā)⑷刪新員工轉正技術論文【圖23】說明：此時帳號名為byod，并且成功根據(jù)終端類型選擇了對應的安全策略。'■4制：小冃門床人怙丹掘j-i-；Wftr.■-【圖24】說明：此時終端MAC地址列表的帳號和用戶是正式帳號byod。場景2：iMC服務器側預先創(chuàng)建了帳號信息，設備啟用802.1X或者Portal認證；1?設備側的配置802.1X和MAC認證都是二層認證協(xié)議，并且只有認證通過后才能通過DHCPServer獲取IP地址,DHCPAgent才會通知UAM服務器終端的具體信息，即先上線，再獲取終端類型，此種場景，第一次不能BYOD，通過不同的終端類型下發(fā)不同的權限，只有再次認證上線才能根據(jù)終端類型下發(fā)不同的控制策略。故，忽略1X認證場景，在此以Porta1認證為例，設備主要配置如下：Portalserverimcip22keyh3curl22/portal指定Portal服務器radiusscheme***配置radius方案primaryauthentication22primaryaccounting22keyauthenticationcipher$c$3$hCExxOrUqQDAHtoNnmBMe/8hTloh6A==keyaccountingcipher$c$3$+4oOmQLhe2/otPYnxwQerm4+g4EUUA==nas-ip4domain***域配置authenticationportalradius-scheme***authorizationportalradius-scheme***新員工轉正技術論文accountingportalradius-scheme***access-limitdisabledomaindefaultenablebyod配置byod為缺省domaininterfaceVlan-interfacelO在三層VLAN接口下啟用portal認證portalserverimcmethoddirectipaddress42.iMC側配置(1)創(chuàng)建IP地址組“byod”，并配置起始用戶IP地址段，如下圖25-IF捕址酥ItrririIPfltll坤呂口ite百合帕下車軒！r.Hula.=1u|DhSup衛(wèi)k=IF調1.':二1繪她1上曹來止也It||lJ^.1S.1Ki254.■SUFT-二【圖25】(2)添加Portal設備，設備名：byoddevice，并配置Portal設備IP，和密鑰，如下圖26序牡打R用戶姿入灼即玲Pmml広対它理?JHAKZy>電曲蹩a*說■&呂 |。冋厳1佃 * |術才組 工|缶本 |PQM3l20 二］ *IF唱址 I1T219JDC.24+1.U--I |■■■■| *THWR1I- I，- J+，./r^-.3- |- +I||K :■- 71 K.：.卜;f.::下 |匸 r|三也 I… * l“?K創(chuàng)1'■- |二 -|進乜崗述 1WG￡|血【圖26】(3)配置端口組，并綁定對應的IP地址組，如下圖27

新員工轉正技術論文辭&由戶業(yè)努吉吳用丸磁管國 補I亍flfr附闇戶蹇入蛇“口血叫嶺靜理?isiJiss沙越口対值息聲盂刀劇唱口軸厲塞垢加達□齟闊且.x開糊口*馳縛*S^NAT*訃注方式用戶1W答x開糊口*馳縛*S^NAT*訃注方式用戶1W答用戶屠性糞塑■貴止粕IMV5K3PI1'H1眄州二1c測翎po-■*h快疋U證曲口第臉國hSFW^tH琨譽"證賣樂|網(wǎng)頁身出山證【圖27】(4)創(chuàng)建Porta1認證的用戶帳號portal，并綁定前面創(chuàng)建的服務，如下圖28示:食*HPIk務吿?食*HPIk務吿?tffA 廉燥■國胸”T&]sioatB蠢出門iJtu.qj-廠陽.11-+-服若容rac^im百VITrbyod可申廠陽.11-+-服若容rac^im百VITrbyod可申ilTHS[riraajMA嚥一||~?！狹XHPRAi^fd1=：14^1>■■-^「-：“?L丁Ml-F允許用戶唸姬-.：.-：Lj.5?；甘「■■F--L目助託Ift注|;二亠口ISAHi*?廠［山耳■■'■'"士=価」l*由不計費r~Mrtaipedal-脂用京全卿0可申兩ri￡si孑悄用總全刪可申兩r何vpn-締=-.^可申兩找嗇珂全董昭acin:3.^i3d5申楷不計費【圖28】(5)終端獲取IP，由于Porta1認證是三層協(xié)議，即在通過認證前能通過DHCP獲取到IP,其實在獲取IP地址的同時,UAM服務器的終端MAC地址列表中已經記錄了該終端的詳細信息,如下圖29

新員工轉正技術論文【圖29】(6)打開IE或者使用iNode客戶端Porta新員工轉正技術論文【圖29】(6)打開IE或者使用iNode客戶端Porta1認證上線，如下圖30：H3C*申說星戶扳投所有曹劉心型伯翩忡三通信技朮郁磁司，保留一那補上線成功

下線倉iMCPortal-Windew」1=1丨上線成功

下線倉http;//22/p□rtal/pagffcEnnn*nn*3s本時軸僅洪蜃譽，不作藥計游依據(jù)。您已經建立了寬帶上用的連接。如果您想繼續(xù)使用寬帶上網(wǎng)功能，請不雯關閉本窗口。如果您想斷開連接，請單擊第按鈕。I下線I新員工轉正技術論文【圖30】查看UAM在線用戶列表如下圖31,帳號porta1已通過認證上線，并受“業(yè)務服務”下發(fā)授權信息。w戶并曙育曲駕戶w戶并曙育曲駕戶妒;*＞槪禹召碩【圖31】新員工轉正技術論文新員工轉正技術論文注意事項1.UAM的byodanonymous賬號必須通過勾選“缺省BYOD用戶”的方式生成，不能通過手工輸入一個byodannonymous賬號的方式生成。2?完整的BYOD方案依賴iMCDHCPAgent提供關于終端的DHCPOption55信息，因此需要客戶網(wǎng)絡的IP地下獲取方式為DHCP方式且DHCPServer為WindowsDHCP服務器，并且需要在該服務器上安裝iMCDHCPAgent程序。在啟用快速認證之后,UAM判斷終端MAC信息是否與已有賬號關聯(lián)是