在iMC V7平台中BYOD组件名称为用户接入管理-EIP服务器。MAC认证方式下EIA给匿名用户引用的接入规则下发启用portal认证的VLAN,利用portal的页面重定向功能将终端重定向到byod页面。
注:该案例实验环境版本信息如下:
iMC EIA7.2(E0411P16)
AC版本Version 7.1.064, Release 5215P01
iMC服务器地址:192.168.127.97
NAS设备WX3540H:192.168.127.33
PC/Phon:VLAN80和VLAN90
1、V7版本NAS设备AC的配置如下:
(1)配置radius方案。
[L2-software]mac-authentication
[L2-software]radius scheme macbyod
[L2-software-radius-macbyod]primary authentication 192.168.127.97
[L2-software-radius-macbyod]primary accounting 192.168.127.97
[L2-software-radius-macbyod]key authentication simple admin
[L2-software-radius-macbyod]key accounting simple admin
[L2-software-radius-macbyod]nas-ip 192.168.127.33
[L2-software-radius-macbyod]user-name-format without-domain
[L2-software-radius-macbyod]quit
(2)创建domain macbyod,并配置使用该domain的认证、授权、记录(计费)请求都由之前新建的RADIUS方案macbyod来处理。
[L2-software]domain macbyod
[L2-software-isp-macbyod]authentication lan-access radius-scheme macbyod
[L2-software-isp-macbyod]authorization lan-access radius-scheme macbyod
[L2-software-isp-macbyod]accounting lan-accesst radius-scheme macbyod
(3)配置服务模板为mac-byod,在服务模板下起MAC认证并指定认证的domain域。
[L2-software]wlan service-template mac-byod
[L2-software-wlan-st-mac-byod]ssid mac-byod
[L2-software-wlan-st-mac-byod] client-security authentication-mode mac
[L2-software-wlan-st-mac-byod]mac-authentication domain macbyod
[L2-software]wlan ap wa2620i model WA2620i-AGN
[L2-software-wlan-ap-wa2620i]radio 1
[L2- software-wlan-ap-wa2620i-radio-1]service-template mac-byod
[L2-software-wlan-ap-wa2620i-radio-1]quit
[L2-software-wlan-ap-wa2620i]radio 2
[L2-software-wlan-ap-wa2620i-radio-2]service-template mac-byod
(4)配置公共VLAN 80和VLAN90。VLAN80为byodanonymous匿名用户接入的VLAN。VLAN90为访客或接入用户接入的VLAN。
[L2-software]vlan 80
[L2-software-vlan80]quit
[L2-software]interface Vlan-interface 80
[L2-software-Vlan-interface80]ip add 192.168.80.1 255.255.255.0
[L2-software-Vlan-interface80]quit
[L2-software]dhcp server ip-pool vlan80
[L2-software-dhcp-pool-vlan80]gateway-list 192.168.80.1
[L2-software-dhcp-pool-vlan80]network 192.168.80.0 mask 255.255.255.0
[L2-software-dhcp-pool-vlan80]address range 192.168.80.2 192.168.80.100
[L2-software-dhcp-pool-vlan80]dns-list 8.8.8.8
[L2-software-dhcp-pool-vlan80]quit
[L2-software]interface Vlan-interface 80
[L2-software-Vlan-interface80]dhcp server apply ip-pool vlan80
[L2-software-Vlan-interface80]quit
[L2-software]vlan 90
[L2-software-vlan90]quit
[L2-software]interface Vlan-interface 90
[L2-software-Vlan-interface90]ip add 192.168.90.1 255.255.255.0
[L2-software]dhcp server ip-pool vlan90
[L2-software-dhcp-pool-vlan90]gateway-list 192.168.90.1
[L2-software-dhcp-pool-vlan90]network 192.168.90.0 mask 255.255.255.0
[L2-software-dhcp-pool-vlan90]address range 192.168.90.2 192.168.90.100
[L2-software-dhcp-pool-vlan90]dns-list 8.8.8.8
[L2-software-dhcp-pool-vlan90]quit
[L2-software]interface Vlan-interface 90
[L2-software-Vlan-interface90]dhcp server apply ip-pool vlan90
(5)配置portalserver和portal web-server。
[L2-software]portal server macbyod
[L2-software]portal web-server macbyod
[L2-software-portal-websvr-l2-byod]url http://192.168.127.97:8080/byod
[L2-software-portal-websvr-l2-byod]url-parameter ssid ssid
[L2-software-portal-websvr-l2-byod]url-parameter userip source-address
[L2-software-portal-websvr-l2-byod]url-parameter usermac source-mac
[L2-software-portal-websvr-l2-byod]url-parameter wlannasid nas-id
(6)在VLAN80中起portal并应用创建的web-server macbyod。
[L2-software-Vlan-interface80]portal enable method direct
[L2-software-Vlan-interface80]portal apply web-server macbyod
2、iMC EIA BYOD服务器上的配置。
(1)增加接入设备192.168.127.33,用户>接入策略管理>接入设备管理>接入设备配置>增加接入设备,共享密码为NAS设备上配置的radius scheme macbyod下的key。
(2)增加接入策略,用户>接入策略管理>接入策略管理>增加接入策略。增加接入策略mac-policy2,并下发anonymous匿名用户对应的VLAN 80。
(3)增加接入策略,用户>接入策略管理>接入策略管理>增加接入策略。增加接入策略mac-access-policy1,并下发访客或者接入用户对应的VLAN 90。
(4)增加接入服务,用户>接入策略管理>接入服务管理>增加接入服务。
增加mac-policy2的接入服务,调用接入策略mac-policy2。
(5)增加接入服务,用户>接入策略管理>接入服务管理>增加接入服务。
增加mac-accesspolicy1的接入服务,调用接入策略mac-accesspolicy1。
说明:该服务必须启用无感知,如果不启用,在进行byod账号认证时会报错:“接入用户申请的服务不允许登录可能因为服务后缀不正确或服务未启用无感知认证功能。”
(6)需要增加两个帐号,byodanonymous和接入帐号或者如果是访客认证时可以自动注册访客账号,该案例以接入账号为例。
第一次认证时,终端MAC与byodanonymous绑定;当iMC EIA服务器获取到终端信息后,byodanonymous账号下线,终端进行第二次认证MAC与接入帐号绑定。
1)增加byodanonymous:用户>接入用户>增加接入用户,帐号名无需手工输入帐号名。直接选中“缺省BYOD用户”复选框,即可把自动将帐号名设置为byodanonymous。服务选择之前为byodanonymous新建的服务mac-policy2。其他参数保持缺省值即可。
2)增加测试账号macbyodtest:用户姓名:单击<选择>按钮,增加一个平台用户,单击<确定>按钮。帐号名设置为macbyodtest,密码/确认密码:输入两次相同的密码。接入服务选择之前为接入帐号配置的服务mac-access-policy1,其他参数保持缺省值。
3、测试结果:
使用手机终端连接测试时,先通过匿名账号byodanonymous上线,iMC下发VLAN80给NAS设备,终端获取到VLAN80的IP地址。 
查看终端设备管理中获取到终端信息。
手动输入任意IP地址被重定向到BYOD界面,输入添加的测试账号macbyodtest认证成功后下发VLAN90。(此处如果是客户可以访问外网的环境,可以直接输入网址会被重定向到BYOD界面进行认证。)
1、缺省BYOD用户:新增接入用户时,可设置该用户为缺省BYOD用户(系统中尚不存在缺省BYOD用户时,该选项才可见)。缺省BYOD用户的帐号名固定为“byodanonymous”,且帐号密码不用再设置。MAC认证方式下,如果相应MAC地址没有和任何帐号名绑定,则使用缺省BYOD用户上线。用户上线后可以访问iMC注册页面注册一个访客帐号或者使用一个已知帐号与MAC地址绑定。MAC地址与帐号绑定成功后,系统会强制用户下线,重新认证时就会使用该MAC地址新绑定的帐号名。
2、DHCP特征识别、HTTP User Agent特征识别、MAC地址识别三种方式来识别终端的厂商、终端类型、操作系统等信息。三种方式同时开启场景,取值结果优先级从高到底排列:DHCP指纹法->HTTP User Agent识别法->MAC识别法。
3、无感知认证功能:iMCV7.2之后的版本无感知认证支持两种认证方式,Portal认证和MAC认证。只有此处启用了该参数,并且用户申请的服务中也启用了该参数时,才可以进行无感知认证。如果此处禁用了该参数,用户登录自助服务平台后只能查看终端设备列表,不能对终端设备进行操作。
4、此案例中VLAN由iMC上接入策略中配置下发VLAN,VLAN的优先级从高到低:iMC接入策略中下发VLAN》射频口下配置VLAN》服务模板下配置VLAN。
