[访客用户在iMCBYOD解决方案中的典型应用.docVIP

访客用户在iMC BYOD解决方案中的典型应用 ? 一、 组网需求： 很多企业或其他类型的网络环境中，除了有大量正式常用已知帐号进行认证以外，还存在大量访客访问网络的应用场景。尤其是智能终端广泛应用的今天，接入网络终端的类型丰富多样和对移动办公业务的需求，衍生了BYOD这样的解决方案。为了更好地解决大量访客快捷访问网络且IT部门对访客终端可控的应用场景，本文将详细描述H3C iMC BYOD解决方案在此种场景中的应用。 二、 组网图： 图1 组网图 组网图说明： 1)?? BYOD Server：IP地址为172.16.0.9，测试软件版本为iMC PLAT 5.2 E0401H03+iMC UAM 5.2 E0402P05 2)?? DHCP/DNS Server：案例中跟BYOD Server为同一台服务器（实际项目中建议为单独的服务器），划分两个地址池，分别为隔离网段地址池9.9.9.0/24、访客网段地址池11.11.11.0/24。 3)?? 案例中服务器区的服务器与AC网络可达。终端通过SSID yonyoubyod接入无线网络。 三、 配置步骤： 本案例中访客以智能手机（iphone）为终端，通过H3C AC的无线接入，以MAC认证为主要认证方式，所有终端（含智能终端）均通过MAC地址认证方式接入无线，iMC BYOD Server对所有终端自动完成MAC认证，所有终端用户无感知。若是访客终端，接入无线后BYOD Server先将其划分到隔离VLAN9中，终端获得一个9.9.9.0/24的地址，可以在网络设备上配置VLAN9智能访问有限的资源，不占用企业网络资源。访客终端访问其他网页时被重定向到BYOD注册页面，访客在此页面完成终端注册后自动完成第二次MAC无感知认证，BYOD Server根据注册后的策略为其下发访客网段IP地址11.11.11.0/24，访客根据设备上VLAN11的相关配置，访问其被授权的网络资源。具体配置如下： 1.?? 首先完成DHCP/DNS Server的配置，规划好各类地址池。 2.?? 完成AC的配置。如下： [AC] # ?version 5.20, Release 3111P12 # ?sysname AC # ?dhcp relay server-group 1 ip 172.16.0.9 # ?domain default enable ead # ?telnet server enable # ?port-security enable # ?mac-authentication domain byod # ?sysnetid AC # ?oap management-ip 192.168.0.101 slot 0 # ?wlan auto-ap enable #?????????????? vlan 1 # vlan 8 to 11 # vlan 172 # radius scheme byod ?server-type extended ?primary authentication 172.16.0.9 ?primary accounting 172.16.0.9 ?key authentication 123 ?key accounting 123 # domain byod ?authentication lan-access radius-scheme byod ?authorization lan-access radius-scheme byod ?accounting lan-access radius-scheme byod ?access-limit disable ?state active ?idle-cut disable ?self-service-url disable domain system ?access-limit disable ?state active ?idle-cut disable ?self-service-url disable # dhcp server ip-pool ap ?network 8.8.8.0 mask 255.255.255.0 ?gateway-list 8.8.8.254 #?????????????? user-group system # local-user admin ?password simple admin ?authorization-attribute level 3 ?service-type telnet # wlan rrm ?dot11a mandatory-rate 6 12 24 ?dot11a supported-rate 9 18 36 48 54