配置终端类型识别

本站点使用Cookies，继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

企业业务网站

选择区域/语言

Huawei Global - English

- South Africa - English
- Morocco - English
- Brazil - Português
- Mexico - Español
- Saudi Arabia - English
- United Arab Emirates - English
- Australia - English
- China - 简体中文
- Hong Kong, China - English
- India - English
- Japan - 日本語
- South Korea - English
- Kazakhstan - русский
- Malaysia - English
- Singapore - English
- Indonesia - English
- Thailand - ไทย
- Philippines - English
- Austria - Deutsch
- Czech - English
- France - Français
- Germany - Deutsch
- Greece - English
- Hungary - English
- Italy - Italiano
- Poland - English
- Sweden - English
- Russia - русский
- Spain - Español
- Turkey - Türkçe
- United Kingdom - English
- Ukraine - English

搜索

搜索历史
热门搜索
交换机路由器服务器存储数据中心
网页直达
搜索推荐

配置终端类型识别

背景信息

随着智能终端的发展，携带自己的设备办公BYOD（Bring Your Own Device）成为不可阻挡的趋势，企业网络开始考虑如何融合BYOD。在融合BYOD的过程中，企业管理员希望能够解决以下问题：哪些用户、使用哪种设备、在什么地方允许接入网络以及根据设备实现不同的授权等。而做到这些的前提就是对终端类型的识别。

如果服务器不支持终端类型识别功能，则可以在设备上配置终端类型识别功能，然后将识别出的终端类型发送给服务器，服务器再根据终端类型下发相应的权限。

配置终端类型识别功能后，AC通过对终端的mDNS、MAC地址、DHCP Option和UA信息的分析后，判断出该终端的类型后，控制终端的接入以及接入后的访问权限。

操作步骤

与认证不相关进行终端识别
1. 执行命令system-view，进入系统视图。
2. 根据实际情况，执行下面命令配置其中一种或多种终端类型识别：
  - 基于UA信息的终端类型识别
    - 对于S5720-HI、S5730-HI、S6720-HI、S5731-H-K、S5731-H、S5731S-H、S5732-H、S5732-H-K、S6730-H、S6730-H-K、S6730S-H，执行命令http parse user-agent enable，使能UA功能。
      缺省情况下，UA功能处于未使能状态。
    - 对于其他形态，缺省情况下，UA功能处于使能状态。
  - 基于mDNS的终端类型识别
    1. 执行命令interface interface-type interface-number，进入接口视图。或执行命令vlan vlan-id，进入VLAN视图。
    2. 执行命令mdns snooping enable，使能mDNS Snooping功能。
      
      缺省情况下，mDNS Snooping功能处于未使能状态。
  - 基于DHCP Option字段的终端类型识别
    1. 执行命令interface interface-type interface-number，进入接口视图。
    2. 执行命令dhcp snooping enable，使能DHCP Snooping功能。
      
      缺省情况下，DHCP Snooping功能处于未使能状态。
认证过程中进行终端识别
1. 执行命令system-view，进入系统视图。
2. 执行命令device-profile profile-name profile-name，创建终端类型识别模板并进入终端类型识别模板视图。
3. 执行命令device-type device-name，配置终端类型标识。
  缺省情况下，系统未配置终端类型标识。
4. 根据实际情况，执行下面命令配置其中一种或多种终端类型识别规则：
  - 基于MAC地址的终端类型识别规则
    
    执行命令rule rule-id mac mac-address mask { mask-length | mask }，配置基于MAC地址的终端类型识别规则。
    
    缺省情况下，未配置基于MAC地址的终端类型识别规则。
  - 基于UA信息的终端类型识别规则
    
    执行命令rule rule-id user-agent { sub-match | all-match } user-agent-text，配置基于UA信息的终端类型识别规则。
    
    缺省情况下，未配置基于UA信息的终端类型识别规则。
    
    如果终端类型识别规则中配置了user-agent信息，则需要执行http parse user-agent enable命令使能UA功能。
  - 基于DHCP Option字段的终端类型识别规则
    
    执行命令rule rule-id dhcp-option option-id { sub-match | all-match } { ascii option-text | hex option-hex-string }，配置基于DHCP Option字段的终端类型识别规则。
    
    缺省情况下，未配置基于DHCP Option字段的终端类型识别规则。
5. 执行命令if-match rule rule-id [ { and | or } rule rule-id ] &<1-7>，配置终端类型识别的匹配方式。
  缺省情况下，未配置终端类型识别的匹配方式。
6. 执行命令enable，使能终端类型识别功能。
  缺省情况下，终端类型识别功能处于未使能状态。
  
  仅S5720-HI、S5730-HI、S6720-HI、S5731-H-K、S5731-H、S5731S-H、S5732-H、S5732-H-K、S6730-H、S6730-H-K、S6730S-H支持该功能，且仅对无线接入用户生效。
  
  AP3010DN-AGN不支持终端类型识别功能。

检查配置结果

执行命令display device-profile { all | profile-name profile-name }，查看终端类型识别模板的配置信息。

后续处理

终端类型识别出来后，可以通过配置认证、授权、计费策略，判断用户的终端类型是否合法并下发相应的权限，保证网络的安全。具体配置请参见AAA配置。

用户采用RADIUS方式的认证或计费时，设备识别出的终端类型会通过华为157号扩展属性HW-Terminal-Type携带到RADIUS服务器，RADIUS服务器必须识别此属性以实现根据用户终端类型下发授权信息的功能。

企业业务网站

华为云网站

运营商网络业务网站

消费者业务网站

集团网站

本文档介绍了用户接入与认证的配置，具体包括AAA配置、NAC配置、策略联动配置和Kerberos Snooping配置。

背景信息

操作步骤

检查配置结果

后续处理

相关版本

相关文档

数字签名