终端识别
背景信息
随着Internet的发展,许多企业开始考虑允许员工自带智能设备(例如手机、平板或笔记本电脑等移动设备)通过WLAN接入企业内部网络。一方面满足了企业员工对于新科技和个性化追求,另一方面也提高了员工的工作效率,这就是BYOD(Bring Your Own Device)。同时,员工个人电脑的安全性较低,通过个人电脑接入企业内部网络可能会导致安全隐患,而传统的基于用户角色认证和授权的安全技术已不能满足其网络安全的需要。因此,终端类型识别技术应运而生。在使用BYOD技术时,可以通过终端类型识别技术识别出企业员工接入内部网络的设备类型,以控制某些指定移动设备的接入,实现基于用户、设备类型、接入时间、接入地点、设备环境的认证和授权。
终端类型识别模板里包括了设备可以识别的终端类型和识别规则等,通过配置的识别规则,识别出企业员工接入网络的设备类型,方便企业管理员控制企业员工的访问权限。
本节点仅在NAC统一模式且非NETCONF模式下可见。
操作步骤
- 新建终端识别模板
- 新建预置终端识别模板
- 依次单击菜单,进入终端识别页面,如图5-221所示。
- 勾选“使用预置模板”,并单击“应用”,完成新建预置终端识别模板的配置。
终端识别使用user-agent和DHCP Option规则,需要使能user-agent和DHCP Option开关。
- 新建自定义终端识别模板
- 依次单击菜单,进入终端识别页面,如图5-221所示。
- 单击“新建”,进入新建终端识别模板页面,如图5-222所示。
界面信息含义如表5-113所示。
- 单击“规则配置列表”中的“新建”,进入新建规则页面,如图5-223所示。
界面信息含义如表5-114所示。
表5-114 新建规则项目
说明
规则号(ID)
指定识别规则的ID,不支持修改。
匹配对象选择
指定终端类型的识别规则为:MAC、User Agent或DHCP选项。- MAC:通过匹配终端的MAC地址里的前12位地址信息即厂商的组织唯一标识符OUI(Organizationally Unique Identifier),可以找出对应的设备厂商。
- User Agent:通过终端HTTP报文中的用户代理UA(User Agent)信息。可以识别出客户所用的操作系统、操作系统的版本、CPU类型、浏览器以及浏览器的版本。
- DHCP选项:通过终端DHCP报文中的Option12、Option55、Option60信息中的厂商信息,可以识别出终端主机名以及厂商类型。
MAC地址
指定终端需要匹配的MAC地址。
仅当“匹配对象选择”为“MAC”时,支持此配置项。
MAC地址掩码类型
指定终端MAC地址的掩码或掩码长度。
仅当“匹配对象选择”为“MAC”时,支持此配置项。
终端需要匹配的UA信息
指定终端需要匹配的UA信息。
仅当“匹配对象选择”为“User Agent”时,支持此配置项。
DHCP选项
指定终端需要匹配的DHCP Option选项值。
仅当“匹配对象选择”为“DHCP选项”时,支持此配置项。
终端需要匹配的Option信息
指定识别规则为部分匹配。即AC检测到的UA或Option信息的任意部分和option-text或user-agent-text里的内容一致即可。
仅当“匹配对象选择”为“DHCP选项”时,支持此配置项。
匹配字符串格式
指定终端需要匹配的Option信息为ASCII字符串类型或十六进制数字符串类型。
仅当“匹配对象选择”为“DHCP选项”时,支持此配置项。
匹配模式
指定识别规则为全部匹配或部分匹配。- 全部匹配:即AC检测到的UA或Option信息必须完全和option-text或user-agent-text里的内容一致。
- 部分匹配:即AC检测到的UA或Option信息的任意部分和option-text或user-agent-text里的内容一致即可。
仅当“匹配对象选择”为“User Agent”或“DHCP选项”时,支持此配置项。
- 填写相应的配置项。
在“规则号(ID)”中,选择“--”、“and”或“or”可配置终端类型识别的匹配方式。
单击
和
可调节匹配规则的顺序。
- 单击“确定”,完成配置。
- 新建预置终端识别模板
- 修改终端识别模板
- 恢复预置终端识别模板
- 依次单击菜单,进入终端识别页面,如图5-221所示。
- 单击需要恢复的预置终端识别模板名称后的“恢复预置”,已被修改的预置终端识别模板恢复为默认配置。
- 删除终端识别模板
- 依次单击菜单,进入终端识别页面,如图5-221所示。
- 勾选需要删除的终端识别模板,单击“删除”。
- 单击“确定”,完成配置。
和
可调节匹配规则的顺序。
