所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

企业业务网站
选择语言
搜索
技术支持 文档中心
智简园区网络解决方案 V100R019C10 大中型园区网络部署指南(虚拟化场景)
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
准入管理

准入管理

认证授权管理

典型场景配置指导

背景信息

准入配置流程及步骤需要根据组网、接入点和认证方式来选择,不同的组网选择的接入点会存在差异,用户根据组网实际情况选择适合自己的认证方式和接入点。

表5-83 常见组网类型与接入点对应关系

组网类型

接入点

认证方式

单AP、路由器+AP、防火墙+路由器+AP、防火墙+中心AP+RU

AP

iMaster NCE-Campus作为Portal服务器

iMaster NCE-Campus作为RADIUS服务器

云平台中继认证

对接第三方Portal服务器

对接第三方RADIUS服务器

交换机+AR+防火墙

交换机

单防火墙

防火墙

单路由器

路由器

交换机+WAC

WAC

不认证

背景信息

如果用户不需要对接入网络的终端进行认证,可以在配置站点设备时不配置准入相关功能。

配置步骤

  1. 选择站点。

    1. 在主菜单中选择配置 > 物理网络 > 站点配置
    2. 在左上角“站点”下拉框中选择站点,将该站点设为操作对象。
    3. 选择“站点配置”页签。

  2. 根据实际的认证点选择对应的配置流程。

    认证点

    配置流程

    AP
    1. 在左侧导航中选择AP > SSID,单击“创建”,配置SSID基本信息。
    2. “安全认证”页面中将“认证方式”设置为“开放网络”,将“是否推送页面”设置为“OFF”

    路由器
    1. 在左侧导航中选择路由器 > SSID,单击“创建”,配置SSID基本信息。
    2. “安全认证”页面中将“认证方式”设置为“OPEN”,将“是否推送页面”设置为“OFF”

    防火墙
    1. 在左侧导航中选择防火墙 > SSID,单击“创建”,配置SSID基本信息。
    2. “安全认证”页面中将“认证方式”设置为“OPEN”

    交换机、WAC

    NA

密码认证

配置PSK密码接入

背景信息

对于希望网络有一定安全性,但由于成本等其他问题不想部署认证服务器的网络,可以选择PSK密码认证。所有接入网络的用户使用相同的预置密码,因此建议管理员定期更换密码。

配置步骤
  1. 选择站点。

    1. 在主菜单中选择配置 > 物理网络 > 站点配置
    2. 在左上角“站点”下拉框中选择站点,将该站点设为操作对象。
    3. 选择“站点配置”页签。

  2. 根据实际的认证点选择对应的配置流程。

    认证点

    配置流程

    AP
    1. 在左侧导航中选择AP > SSID,单击“创建”,配置SSID基本信息。
    2. “安全认证”页面中将“认证方式”设置为“半开放网络”“PSK/PPSK认证”,将“密钥类型”设置为PSK并设置“加密方式”“加密算法”和SSID接入密码。

      “加密算法”

      • AES:使用AES(对称加密算法)方式加密数据。
      • AES-TKIP:使用AES和TKIP混合加密。用户终端支持AES或TKIP,认证通过后,即可使用支持的算法加密数据。
      • TKIP:使用TKIP(临时密钥完整性协议)方式加密数据。

    路由器
    1. 在左侧导航中选择路由器 > SSID,单击“创建”,配置SSID基本信息。
    2. “安全认证”页面中将“认证方式”设置为“PSK”,选择“加密方式”,并单击“设置”以设置SSID接入密码。
    3. 策略控制”页面中按需配置流量限速策略。

    防火墙
    1. 在左侧导航中选择防火墙 > SSID,单击“创建”,配置SSID基本信息。
    2. “安全认证”页面中将“认证方式”设置为“PSK”,选择“加密方式”,并单击“设置”以设置SSID接入密码。

    交换机、WAC

    NA

配置PPSK密码接入

背景信息

对于希望网络有一定安全性,但由于成本等其他问题不想部署认证服务器的网络,可以选择PPSK密码认证。不同的帐号可以设置不同的Wi-Fi密码。

配置步骤
  1. 选择站点。

    1. 在主菜单中选择配置 > 物理网络 > 站点配置
    2. 在左上角“站点”下拉框中选择站点,将该站点设为操作对象。
    3. 选择“站点配置”页签。

  2. 根据实际的认证点选择对应的配置流程。

    认证点

    配置流程

    AP
    1. 在左侧导航中选择AP > SSID,单击“创建”,配置SSID基本信息。
    2. “安全认证”页面中将“认证方式”设置为“半开放网络”“PSK/PPSK认证”,将“密钥类型”设置为PPSK并设置“加密方式”“加密算法”“逃生策略”。如果打开“MAC自动绑定”开关,则设备在第一次接入SSID时,系统将自动完成PPSK帐户和设备MAC的绑定。

      当设备接入SSID时,如果所使用的PPSK帐户已经绑定了其他设备的MAC,则该设备无法接入SSID。

    路由器、防火墙、交换机、WAC

    NA

  3. 在主菜单中选择准入 > 准入资源 > 用户管理 > 用户管理 > PPSK

    • 单击“创建”,可以创建一个PPSK帐号。

    • 单击“导入”,可以通过Excel模板批量导入PPSK帐号。

      公有云平台1个租户最大支持10000个站点,一个站点最大配置16个ssid,主要受限于单AP最大配置16个ssid,PPSK认证模式下,1个ssid可以关联多个PPSK账号,1个站点最多配置1024个PPSK账号。

参数说明
表5-84 创建PPSK

参数名称

说明

帐号

PPSK帐号标识。

Wi-Fi密钥

PPSK帐号在接入到云化设备时可以使用的密码。

确认Wi-Fi密钥

最大接入终端数

每个帐号下接入网络的最大可同时在线的终端数。

绑定MAC

如果一个PPSK帐户只允许一个设备接入,则可以配置帐号所绑定的MAC。可以在创建PPSK帐号时绑定,也可以打开AP SSID配置中的自动绑定的开关。

当设备接入SSID时,如果所使用的PPSK帐户已经绑定了其他设备的MAC,则该设备无法接入SSID。

VLAN

PPSK帐号所归属的VLAN ID。

SSID

AP SSID名称。

Portal认证

配置任务概览

背景信息

Portal认证支持多种认证方式,不同认证方式对应的配置不同,用户根据自己需求选择适合网络的认证方式,查看对应的任务。

如果网络只对接入用户进行认证,不限制其访问权限,此时可以不配置授权结果和授权规则。

iMaster NCE-Campus当前支持两种Portal协议类型,分别为HACA和Portal2.0。其中Portal2.0协议仅在本地部署非NAT场景支持。

表5-85 Portal认证配置任务概览

场景

HACA协议对应任务

Portal2.0协议对应任务

匿名认证
  1. (可选)定制Portal推送页面
  2. (可选)配置Portal推送策略
  3. (可选)配置用户在线控制策略
  4. 配置高级参数
    说明:
    1. 需要主菜单中选择准入 > 准入策略 > 准入设置,单击高级参数页签,打开开启匿名认证开关,并配置允许匿名认证的网络区域。
    2. 防火墙暂不支持计费功能。
  5. 配置认证规则
  6. 配置授权结果
  7. 配置授权规则
  8. 配置认证点信息
  1. (可选)定制Portal推送页面
  2. (可选)配置Portal推送策略
  3. (可选)配置用户在线控制策略
  4. 配置高级参数
    说明:
    1. 需要主菜单中选择准入 > 准入策略 > 准入设置,单击高级参数页签,打开开启匿名认证开关,并配置允许匿名认证的网络区域。
    2. 防火墙暂不支持计费功能。
  5. 配置认证规则
  6. 配置授权结果
  7. 配置授权规则
  8. 配置Portal模板
  9. 配置RADIUS模板
  10. 配置认证点信息

用户名密码认证
  1. 配置终端用户(用户必须录入,访客不需要)
  2. (可选)定制Portal推送页面
  3. 配置Portal推送策略
  4. (可选)配置用户在线控制策略
  5. 配置认证规则
  6. 配置授权结果
  7. 配置授权规则
  8. 配置认证点信息
  1. 配置终端用户(用户必须录入,访客不需要)
  2. (可选)定制Portal推送页面
  3. 配置Portal推送策略
  4. (可选)配置用户在线控制策略
  5. 配置认证规则
  6. 配置授权结果
  7. 配置授权规则
  8. 配置Portal模板
  9. 配置RADIUS模板
  10. 配置认证点信息

Passcode认证
  1. 配置终端用户(必须录入帐号)
  2. (可选)定制Portal推送页面
  3. 配置Portal推送策略
  4. (可选)配置用户在线控制策略
  5. 配置认证规则
  6. 配置授权结果
  7. 配置授权规则
  8. 配置认证点信息
  1. 配置终端用户(必须录入帐号)
  2. (可选)定制Portal推送页面
  3. 配置Portal推送策略
  4. (可选)配置用户在线控制策略
  5. 配置认证规则
  6. 配置授权结果
  7. 配置授权规则
  8. 配置Portal模板
  9. 配置RADIUS模板
  10. 配置认证点信息

短信认证
  1. (可选)配置用户组
  2. (可选)配置访客帐号策略
  3. (可选)定制Portal推送页面
  4. 配置Portal推送策略
  5. (可选)配置用户在线控制策略
  6. 对接短信服务器
  7. 配置认证规则
  8. 配置授权结果
  9. 配置授权规则
  10. 配置认证点信息
  1. (可选)配置用户组
  2. (可选)配置访客帐号策略
  3. (可选)定制Portal推送页面
  4. 配置Portal推送策略
  5. (可选)配置用户在线控制策略
  6. 对接短信服务器
  7. 配置认证规则
  8. 配置授权结果
  9. 配置授权规则
  10. 配置Portal模板
  11. 配置RADIUS模板
  12. 配置认证点信息

其他访客场景:

(可选)配置终端用户

配置用户组和用户

背景信息

对于企业员工接入场景,可以使用用户名密码认证方式实现终端用户接入。在Portal认证和802.1x认证过程中,终端用户需要填写如下帐号作为认证信息。

认证方式

帐号类型

说明

用户名密码认证

用户

包括用户名和密码。由租户管理员在iMaster NCE-Campus上预先发放。

说明:

系统预置的终端用户“~anonymous”用于匿名认证,无密码,无法删除或修改。

对于访客临时接入场景,推荐使用如下方式实现终端用户的Portal认证接入。

认证方式

帐号类型

说明

用户名密码认证

普通访客

包括用户名和密码,可以由租户管理员在iMaster NCE-Campus上预先发放,也可以由终端用户在Portal推送页面上自行注册生成。

Passcode认证

Passcode

一个由6位~12位字母和数字组成的接入码。由租户管理员在iMaster NCE-Campus上预先发放。

如果对认证的安全性有一定的要求,但是又不希望部署复杂的802.1x认证,推荐使用如下方式实现终端的接入。

认证方式

帐号类型

说明

密码认证

PPSK

包括帐号和Wi-Fi密钥,由租户管理员在iMaster NCE-Campus上预先发放。

对于打印机、电话等哑终端接入网络的场景,推荐使用MAC认证接入网络。

认证方式

帐号类型

说明

MAC认证

MAC

包括MAC地址列表,由租户管理员在iMaster NCE-Campus上预先发放。
操作步骤
  1. 在主菜单中选择准入 > 准入资源 > 用户管理 > 用户管理 > 用户

    • 单击,添加单个用户组。

    • 选中指定用户组,单击“创建”,可以在该用户组增加单个用户。

      新建用户时,建议绑定邮箱或者联系电话,以便用于用户重置密码。

      • 单击,可以通过Excel模板批量导入用户和用户组。
      • 单击,导出用户和用户组帐号信息,导出任务创建完成后,点击确定跳转至维护 > 文件管理 > 文件管理 > 下载任务管理 > 导出文件页面查看任务并下载。

  2. (可选)在主菜单中选择准入 > 准入策略 >用户在线控制 > 用户控制策略

    1. 选择“最大接入终端数”页签,单击“创建”,新建用户控制策略。

    2. 创建完成后,单击,将已创建的用户控制策略,分配给指定的用户组或者用户。

      创建用户时也支持设置最大接入终端数,同时设置时的优先级按照从大到小排列为:创建用户时的最大接入终端数>分配给用户的用户数>分配给用户组的用户数。创建用户时,如果最大接入终端数开关未打开,以用户控制策略为准,如果开关打开,选择不限制,则以用户创建时候设置为准,即不限制用户数。

  3. 在主菜单中选择准入 > 准入资源 > 用户管理 > 用户管理 > PPSK

    • 单击“创建”,可以创建一个PPSK帐号。

    • 单击“导入”,可以通过Excel模板批量导入PPSK帐号。

  4. 在主菜单中选择准入 > 准入资源 > 用户管理 > 用户管理 > MAC帐号

    • 单击“创建”,可以创建一个MAC帐号。

参数说明
表5-86 创建用户

参数名称

说明

用户名

终端用户在接入到云化设备时可以使用的认证帐号和密码。

密码

确认密码

角色

设置用户的角色。

邮箱

重置密码时,用户可以通过邮箱或短信方式接收验证码,并根据验证码设置新密码。

联系电话

最大接入终端数

每个帐号下接入网络的最大可同时在线的终端数。该参数对HWTACACS认证接入用户不生效。

过期时间

超过该时间后,该帐号将失效。如果不设置,则表示帐号永久有效。

下次登录修改密码

创建用户后,用户下次登录时需要修改密码。该参数仅对Portal认证生效。该参数对HWTACACS认证接入用户不生效。

设备管理员

设备管理员可以直接使用创建时设置的用户名和密码远程登录设备进行管理。该参数仅对HWTACACS认证生效。

接入绑定信息

绑定终端的IP地址

账号绑定的终端的IP地址。

绑定终端的MAC地址

账号绑定的终端的MAC地址,绑定MAC格式为**-**-**-**-**-**。如:11-11-11-11-11-11。

绑定ESN

账号绑定的ESN号,数据格式为大写英文字母[A-Z]以及数字[0-9]组成的20个字符,例如:2102310WYGG6EC914846。

绑定SIM或USIM卡的IMSI

账号绑定的SIM或IMSI,格式为数字[0-9]组成的1-15位字符。IMSI为敏感数据,请谨慎使用,防止数据泄露。

绑定接入设备

接入设备IP地址

账号绑定的接入设备的IP地址。

端口号

账号绑定的接入设备的端口号。

VLAN

账号绑定的接入设备的VLAN。
表5-87 创建用户组

参数名称

说明

用户组名称

用户组是多个用户的集合。在配置准入策略时,可以指定适用该准入策略的用户组。
表5-88 创建PPSK

参数名称

说明

帐号

PPSK帐号标识。

Wi-Fi密钥

PPSK帐号在接入到云化设备时可以使用的密码。

确认Wi-Fi密钥

最大接入终端数

每个帐号下接入网络的最大可同时在线的终端数。

绑定MAC

如果一个PPSK帐户只允许一个设备接入,则可以配置帐号所绑定的MAC。可以在创建PPSK帐号时绑定,也可以打开AP SSID配置中的自动绑定的开关。

当设备接入SSID时,如果所使用的PPSK帐户已经绑定了其他设备的MAC,则该设备无法接入SSID。

VLAN

PPSK帐号所归属的VLAN ID。

SSID

AP SSID名称。
表5-89 创建MAC账号

参数名称

说明

MAC账号名称

MAC账号标识。

MAC列表

允许终端用户接入的MAC地址列表。

用户组

MAC账号所属的用户组。

角色

MAC账号的角色。

接入绑定信息

绑定终端的IP地址

账号绑定的终端的IP地址。

绑定ESN

账号绑定的ESN号,数据格式为大写英文字母[A-Z]以及数字[0-9]组成的20个字符,例如:2102310WYGG6EC914846。

绑定SIM或USIM卡的IMSI

账号绑定的SIM或IMSI,格式为数字[0-9]组成的1-15位字符。IMSI为敏感数据,请谨慎使用,防止数据泄露。

绑定接入设备

接入设备IP地址

账号绑定的接入设备的IP地址。

端口号

账号绑定的接入设备的端口号。

VLAN

账号绑定的接入设备的VLAN。

(可选)配置帐号角色

背景信息

除用户组外,角色是帐号管理的一个维度。一个帐号只能属于一个用户组,但一个帐号可以属于多个角色,实现帐号与角色之间一对多的关系。角色支持管理员手工创建或AD/LDAP同步时自动创建。角色可应用于认证授权和安全策略分配。

操作步骤
  1. 在主菜单中选择准入 > 准入资源 > 用户管理 > 角色管理

    • 单击“创建”,可以创建单个角色。

    • 创建角色后,单击角色名称后面的,单击“增加”,为角色关联用户、访客或者MAC帐号。

    • 单击“导入”,可以通过Excel模板批量导入多个角色。
    • 单击“导出所有”,可以导出所有角色信息。

配置基础参数

背景信息

用户帐号可以设置有效期,过期一段时间的用户帐号可以自动清理。

用户帐号的密码策略支持设置。

操作步骤
  1. 在主菜单中选择准入 > 准入策略 > 准入设置
  2. 选择“用户密码策略配置”页签,修改用户密码策略。

    通过密码策略,可以合理设置用户密码的复杂度,更新周期和字符限制等策略,避免设置的用户密码过于简单而容易被盗用。iMaster NCE-Campus默认已经设置了用户密码策略,可以根据具体情况进行修改。

  3. 单击“短信验证码”页签,配置短信验证码长度和内容模板。

  4. 单击“高级参数”页签,配置其他增强参数。参数较多,截图中未给出的内容,请参见参数说明。

参数说明
表5-90 “用户密码策略配置参数”

参数名称

说明

密码复杂度

为终端接入帐号设置密码复杂度、长度等要求。

密码长度范围

密码有效期

为终端接入帐号设置密码有效期。

  • 如果密码已超期,将无法使用该帐号接入云化设备。
  • 如果密码将要超期,终端用户使用该帐号接入云化设备时将获得相关提示。建议用户及时修改密码。

密码过期提醒时间

历史密码次数

终端用户在推送页面上修改密码时,不允许与“历史密码次数”所指定次数以内的历史密码相同。

启用用户锁定

启用该功能后,在终端用户使用帐号密码接入云化设备时,在“限定时间段长度”所指定的时长内,如果连续登录的失败次数达到“限定时间内登录失败次数”,则该帐号将锁定一段时间,具体锁定时长由“锁定时间”指定。

限定时间段长度

限定时间内登录失败次数

锁定时间

启用绑定账号IP/MAC地址

配置账号绑定IP/MAC账号。
表5-91 “短信验证码参数”

参数名称

说明

短信验证码生成策略

可用于配置给用户发送的短信验证码的策略,包含以下几种:

  • 数字
  • 字母
  • 数字+字母
  • 数字+字母+特殊字符

短信验证码长度

可用于配置给用户发送的短信验证码的长度。

短信模板

可用于配置给用户发送的短信验证码的内容模板。配置后,系统就按照设置的结果发送短信。系统支持的各种语言共享一份配置的结果。
表5-92 “高级参数”

参数名称

说明

账号有效期配置

支持登录顺延账号有效期

用户通过配置Portal免认证实现MAC优先认证时,打开此开关后,对于自注册用户,在用户有效期内再次登录后,新的用户有效期会在重新登录的时间点后顺延设置的时长。

比如,用户有效期为1天,用户在9月1号8点首次登录,原失效时间为9月2号8点,如果在1号12点再次登录,则失效时间会顺延到2号12点。

Portal免认证配置

说明:

当打开Portal免认证配置开关时,需要同时打开AP或路由器SSID配置、交换机认证配置中的Portal免认证开关。

支持跨站点Portal免认证

当终端连接到某一个站点的SSID之后,系统支持优先使用MAC进行认证。当打开此开关后,可以允许终端连接到其他站点相同SSID并优先使用MAC进行认证。

支持MAC账号Portal免认证

打开此开关后,可以实现MAC优先的Portal认证。对于已经通过Portal认证的MAC账号,在有效期内再次登录时,可以直接认证通过。如果MAC账号在用户管理中已经录入,也会直接认证通过。

支持登录顺延Portal免认证有效期

MAC用户认证通过后,在用户有效期内再次登录后,新的用户有效期会在重新登录的时间点后顺延设置的时长。

基本参数配置

自动清理过期用户

是否自动删除已过期的帐号。开启该功能后,过期超过指定天数的帐号将自动删除。

过期用户保留时间

离线设备用户超时时间

超时时间

设备离线时间超过此参数取值后,系统会注销对应设备上的在线用户。

敏感数据

IMSI数据明文导出

导出账号信息时是否明文导出IMSI数据。

配置启用radius用户名识别策略

启用RADIUS用户名识别规则

启用RADIUS用户名识别策略后, RADIUS用户名将根据用户识别规则携带指定参数。目前只支持携带IMSI和ESN参数,因此配置认证规则时如果配置了接入属性IMSI或者ESN,需要开启此开关。当前支持四种识别规则:

ACCOUNT

IMSI@ACCOUNT

IMSI@ESN@ACCOUNT

ESN@ACCOUNT

RADIUS认证传输协议SSL配置

RADIUS认证传输协议SSL配置

iMaster NCE-Campus缺省使用TLSv1.2作为RADIUS认证传输协议,如果用户需要配置传输协议为TLSv1或者TLSv1.1请执行以下步骤:

  1. 系统管理员执行命令cd /opt/oss/envs/Product-CampusAccountService/20191115134736825/controller/configuration/tlsconfig/进入指定目录。其中20191115134736825为目录时间戳,以实际配置为准。
  2. 系统管理员执行命令vi tlsConfig.properties编辑tlsConfig.properties文件,将enable_tls_config=false修改为enable_tls_config=true。
  3. 如果是最小集群安装,则每个节点的tlsonfig.properties文件都需要修改。
  4. iMaster NCE-Campus配置界面打开此开关,并勾选TLSv1或TLSv1.1,然后单击确定。

TLSv1/TLSv1.1协议是不安全的协议,有数据泄露的风险,建议选择安全性更高TLSv1.2协议。

默认自注册用户策略

用户有效期

对于第三方设备认证场景,仅当Portal页面推送策略绑定的推送页面未绑定访客账号策略时生效。对于云盒设备认证场景,仅当Portal页面推送策略绑定的推送页面未绑定访客账号策略且站点配置中用户自注册开关关闭时生效。

指定访客账号注册时候的“用户有效期”“密码有效期”“用户所属组”

密码有效期

用户所属组

匿名认证

开启匿名认证

配置匿名认证时,开启此功能,设置允许匿名认证的网络区域。

(可选)对接第三方平台

配置邮件服务器

背景信息

iMaster NCE-Campus需要向用户发送邮件时,需要首先配置邮箱服务器。

iMaster NCE-Campus在如下场景下,有发送邮件的诉求:

  • 当系统管理员、MSP管理员或者租户管理员忘记密码时,iMaster NCE-Campus需要以邮件方式发送重置的密码给管理员。
  • 当系统管理员对iMaster NCE-Campus进行告警设置后,当iMaster NCE-Campus上报告警后,iMaster NCE-Campus需要通过邮件的方式及时通知用户。
  • 系统管理员清除设备ESN、删除设备时,如果需要通过邮件的方式发送通知给租户管理员。
  • 当租户管理员需要邮件开局时,iMaster NCE-Campus需要向开局人员发送开局邮件。
  • 租户License到期前,iMaster NCE-Campus需要通过邮件方式提醒租户。
  • Portal认证访客接入场景,审批人通知方式或访客通知方式选择邮件通知。
操作步骤
  1. 导入邮箱服务器证书。

    1. 联系邮箱服务器提供商获取证书文件。
    2. 使用系统管理员帐号登录iMaster NCE-Campus,选择系统 > 系统管理 > 证书管理
    3. 在左侧导航树中选择“服务证书管理”,在“服务列表”页面,单击“CampusBaseServiceServerConfigMoudle”
    4. 单击“信任证书”页签,单击“导入”,填写证书信息,选择证书文件上传,单击“提交”,将邮箱服务器证书上传到iMaster NCE-Campus

  2. 在主菜单中选择系统 > 系统管理 > 第三方服务,单击“邮件服务器”页签。
  3. 配置与邮件服务器对接的相关参数。

    如果邮件服务器使用的是非官方CA证书,建议关闭“启用证书服务器证书校验”

  4. 单击“测试”,验证邮件发送功能。

    • 如果界面提示“测试成功”,并且能收到测试邮件,说明配置成功。单击“保存”
    • 如果界面提示“测试成功”,却无法收到测试邮件,请确认SMTP服务器的邮件功能是否正常。
    • 如果界面提示“配置测试失败”,请检查上述参数配置是否有误。
    • 受网络质量和SMTP服务器性能的影响,收到测试邮件可能稍有时延,但最多不超过2分钟。
    • 部分SMTP服务商针对第三方应用接入场景设置了权限控制功能。如果测试失败,请确认是否已在SMTP服务器侧开通第三方应用接入功能,并将“密码”设置为SMTP服务器侧对应的授权密码。
    • 受制于邮件服务商的安全策略,部分邮件发送场景可能出现收不到邮件的情况。如果发生未收到邮件的异常情况,请登录相应邮箱服务网站或联系邮箱服务提供商查看是否收到退信或其他异常情况,或者更换邮件服务器重试。

参数说明
表5-93 邮件服务器

参数名称

说明

SMTP地址

发送邮件的邮箱所属的SMTP地址。格式为IP地址或smtp.mail.com格式。

说明:

SMTP是简单邮件传输协议,主要用于传输系统之间的邮件信息并提供来信有关的通知。

端口

邮件服务器对外提供SMTP服务的端口,可以向邮件服务商获取。常见端口号为25。

启用安全连接

是否启用安全连接。

加密连接类型

仅当勾选“启用安全连接”时有效。

iMaster NCE-Campus与SMTP服务器之间建立加密通信链路时的协议类型。

说明:

推荐使用TLSv1.2类型的安全协议,TLSv1.0和TLSv1.1协议为不安全协议,请慎重使用。

启用服务器证书校验

为了提升系统安全性,请勾选“启用安全连接”“启用服务器证书校验”。选择证书。

证书文件

选择邮箱服务器证书文件,用于保证和邮箱服务器之间的数据安全。

启用认证

是否启用邮箱帐号、密码认证时使用。

帐号

仅当勾选“启用认证”时有效。

登录SMTP服务器的帐号和密码。

密码

发件邮箱

发件邮箱须保证在邮箱服务器上已注册开通。在测试邮件时会作为收件箱使用,连通性测试成功并保存后,此邮箱作为发件箱使用。

自定义邮件主题

管理员自定义邮件主题的前缀和后缀,发送邮件时会自动将前缀和后缀自动加在邮件主题前面和后边。

自定义邮件签名

管理员自定义邮件签名,发送的邮件会自动将签名带上。

配置短信服务器

背景信息

如果需要使用短信认证业务,则需要配置短信服务。iMaster NCE-Campus在如下场景下,有发送短信的诉求:

  • 系统管理员、MSP管理员和租户管理员登录iMaster NCE-Campus时,进行双因子认证。
  • 终端用户使用手机号进行认证接入网络时,通过短信认证码进行登录。
  • 访客使用手机号接入,可以通过短信发通知管理员由访客接入网络,访客认证通过之后,可以通过短信通知访客认证结果。
配置短信服务需要先配置短信平台,以此指定短信网关,然后根据短信平台配置帐号信息,实现发送短信功能。
  • 短信平台:由第三方提供的短信服务平台信息,具体格式和内容以第三方短信服务器的接口文档为准。

    缺省情况下,系统已预置如下短信服务器对接参数。

    • 企信通(fungo):http://qxt.fungo.cn/Recv_center,北京移动时空短信平台。
    • twilio:https://api.twilio.com:8443/2010-04-01/Accounts/{USERNAME}/Messages.json,如需使用,请到www.twilio.com申请短信服务。
  • 短信服务器:配置iMaster NCE-Campus和第三方短信平台进行对接参数,iMaster NCE-Campus和短信平台对接成功之后,可以实现发送短信功能。

    如果系统管理员已配置短信服务器,并且开启了“租户集成”,则租户管理员可以直接使用系统管理员配置的短信服务器,否则户无法使用系统管理员配置的短信服务器,此时需要租户管理员自己配置短信服务器,系统管理员配置短信服务器的操作请参见配置短信服务器

    如果用户不想使用系统管理员创建的短信服务器,也可以自己配置短信服务器。

前置任务

如果租户管理员自己创建短信服务器,需要联系系统管理员配置短信平台信息,只有系统管理员可以配置短信平台信息。

操作步骤
  1. 导入短信服务器证书。

    1. 联系短信服务器提供商获取证书文件。
    2. 使用系统管理员帐号登录iMaster NCE-Campus,选择系统 > 系统管理 > 证书管理
    3. 在左侧导航树中选择“服务证书管理”,在“服务列表”页面,单击“CampusBaseServiceServerConfigMoudle”
    4. 单击“信任证书”页签,单击“导入”,填写证书信息,选择证书文件上传,单击“提交”,将短信服务器证书上传到iMaster NCE-Campus

  2. 在主菜单中选择系统 > 系统设置 > 第三方服务 ,单击“短信服务器”页签。
  3. 选择短信平台,填写相关信息。

    HTTP为不安全协议,建议使用HTTPS协议。

    • 短信服务类型选择“HTTP SMS Service”,短信平台选择fungo。

    • 短信服务类型选择“HTTP SMS Service”,短信平台选择twilio。

    • 短信服务类型选择“SMPP SMS Service”,选择创建的短信平台。

  4. 单击“测试”,以验证短信发送功能的有效性。

    • 测试成功,则弹出“测试成功”对话框,同时手机收到测试短信。
    • 测试失败,则弹出“测试失败”对话框。
      • 如果返回对话框中有错误码,请查看短信服务商产品文档,判断错误原因,并获取解决方案。
      • 如果返回对话框中无错误码,请检查短信模板中的URL是否正确,确认短信服务器是否可达。

  5. 测试成功后,单击“保存”
参数说明
表5-94 HTTP短信服务器

参数名称

说明

短信平台

选择短信模板,系统管理员配置短信服务器模板,以此指定短信网关。

缺省情况下,系统已预置如下短信服务器对接参数。

  • 企信通(fungo):http://qxt.fungo.cn/Recv_center,北京移动时空短信平台。
  • twilio:https://api.twilio.com:8443/2010-04-01/Accounts/{USERNAME}/Messages.json,如需使用,请到www.twilio.com申请短信服务。

如果使用其他运营商提供的短信服务,可以新建短信模板。

帐号

申请短信业务时所获取的帐号。

Token

申请短信业务时所获取的密码。

说明:

为确保系统和用户安全,建议第三方提供的密码也需要满足复杂度要求。

短信签名

发送短信时的签名。

发送号码

twilio模板支持此选项。从短信服务商获取的号码,用于校验短信发送号码是否正确。

租户继承

开启“租户继承”,如果MSP和租户未配置短信服务器,则使用系统管理员配置的短信服务器,如果关闭“租户继承”,MSP和租户则无法使用系统管理员配置的短信服务器。

测试号码

发送测试短信的号码,可以选择填写任意可使用的手机号码。

测试短信内容

进行短信测试时所发送的内容。
表5-95 SMPP短信服务器

参数名称

说明

短信平台

选择短信模板,系统管理员配置短信服务器模板,以此指定短信网关。

服务器标识

申请短信业务时所获取的服务器标识。

密码

申请短信业务时所获取的密码。

源号码

从短信服务商获取的号码,用于校验短信发送号码是否正确。

租户继承

开启“租户继承”,如果MSP和租户未配置短信服务器,则使用系统管理员配置的短信服务器,如果关闭“租户继承”,MSP和租户则无法使用系统管理员配置的短信服务器。

测试号码

发送测试短信的号码,可以选择填写任意可使用的手机号码。

测试短信内容

进行短信测试时所发送的内容。

(可选)开启HTTP协议端口

背景信息

iMaster NCE-Campus默认仅支持HTTPS协议,HTTP协议存在安全风险,iMaster NCE-Campus默认不启动支持该协议。如果配置Portal协议推送页面,需要使用HTTP协议时,需要在iMaster NCE-Campus管理面开启HTTP协议端口。

iMaster NCE-Campus V300R019C10SPC205版本,需提前在节点上开启8445端口,具体步骤请参考Portal认证使用HTTP协议如何开启8445端口(iMaster NCE-Campus V300R019C10SPC205)。再执行此步骤,完成管理面上的端口开启。

操作步骤
  1. 登录管理面。
  2. 在主菜单中选择“产品 > 软件管理 > 部署产品软件”,单击“更多 > 修改配置参数”,将“ENABLE_8445(是否启用ACANginx服务的8445虚拟主机)”设置为“true”,单击“确定”
  3. 单击右上角图标,查看是否配置成功。

  4. 等待大约10分钟之后,在主菜单中选择“产品 > 系统监控”,单击“服务”页签,搜索“CampusAccesscfgService”“SouthboundService”,检查“CampusAccesscfgService”“SouthboundService”服务是否重启成功,确认状态正常后再配置Portal页面推送其他配置。

(可选)开启老设备证书端口

背景信息

基于HACA协议的Portal认证,需要建立HTTP/2通道,建立通道时, iMaster NCE-Campus需要校验与设备证书的一致性,如果交换机设备版本为V200R008C00及之前版本,需要在iMaster NCE-Campus管理面开启老设备证书端口。

操作步骤
  1. 登录管理面。
  2. 在主菜单中选择“产品 > 软件管理 > 部署产品软件”,单击“更多 > 修改配置参数”,将“DEVICE_OLD_CERT_ENABLE(是否启用老设备证书)”设置为“true”,单击“确定”

  3. 单击右上角图标,查看是否配置成功。

  4. 等待大约10分钟之后,在主菜单中选择“产品 > 系统监控”,单击“服务”页签,搜索“PortalServerService”,检查“PortalServerService”服务是否重启成功,确认状态正常后再配置相关配置。

(可选)定制Portal推送页面

背景信息

当使用iMaster NCE-Campus作为Portal服务器,且不使用缺省的推送页面时,需要定制推送页面。

租户管理员创建SSID时,管理员可以选择是否推送认证的页面、页面推送方式、登录方式。具体在何种登录方式会推送哪个页面,租户管理员可以创建Portal推送策略。

向终端用户提供的隐私声明,包含在向终端用户推送的“用户须知页面”中。请根据实际使用方法及目的进行相应的配置。

当缺省的推送页面不满足用户需求时,租户管理员可以基于如下两种方式完成页面定制:

  • 基于内置模板定制:

    在这种定制模式下,您需要下载模板,定制页面后再上传。例如:修改页面中呈现的文字,修改语言种类、推送协议,更换背景图片。

    基于内置模板定制的页面,只支持中、英文两种语言;如需更多语言,您可以基于自定义模板进行定制。

  • 基于自定义模板定制

    在这种定制模式下,您可以具有更大的发挥空间。例如:定制更多语言的页面,设计页面布局,配置页面上呈现的文字及样式。

    系统默认支持四种语言模板:中文、英文、德文、西班牙文。在语言模板中,可以按语言、按页面配置每个页面上需要呈现内容。

使用模板导入定制页面

背景信息

当用户需要更自由的页面设计,手工创建方式不能满足用户需求时,可以使用模板导入方式进行页面定制。

操作步骤
  1. 在主菜单中选择准入 > 准入资源 > 页面管理 > 页面定制
  2. 在界面左侧单击,在弹出窗口中下载模板合集。

  3. 从中选用目标类型的模板进行按需定制,并作为新页面上传。

    定制页面内容时,请根据“首选页面类型”“页面提示语言”选择对应的模板;上传模板时,“首选页面类型”“页面提示语言”必须与所选用的模板相符。

    内置模板只支持上传*.zip格式的压缩包,且压缩包大小不能超过4MB,文件内容为UTF-8,zip压缩包内支持文件格式:png、css、js、html四种。

    模板集合中的文件,以及文件作用,定制方法,请参见下载zip包中的帮助说明。

手动定制页面

背景信息

内置页面无法支持对页面布局进行修改,因此如果需要对Portal页面布局进行修改或需要引用大量多媒体元素、图片时,内置页面将无法满足用户的诉求。

自定义页面,支持更开放的页面定制能力,通过控制器内置的多种页面控件来满足用户对页面定制的诉求。页面控件支持对控件内容及样式的修改;控件无法满足诉求时,管理员可以使用控制器提供的HTML编辑能力来编辑控件。

操作步骤
  1. 在主菜单中选择准入 > 准入资源 > 页面管理 > 页面定制
  2. “页面定制”页签中,单击创建自定义模板。

  3. 创建完模板之后,进入编辑页面,按照控件进行添加、删除,控件之间支持垂直拖拽,更换控件在页面所处的位置,单个控件支持高度拉升设置。

  4. 设置控件样式。支持设置控件的背景图片、背景颜色、控件内文本的对齐方式、控件边框粗细、边框圆角、边框颜色、边距设置(内边距、外边距)。

  5. 对控件进行自定义的HTML编写,编辑HTML时不支持使用<script></script>标签。

  6. 页面定制完成后,单击“保存”“发布”
公共控件介绍

自定义模板创建之后,可以调整页面的控件,可以新增,修改或者删除某个控件,以调整页面样式。

控制器一共支持25种控件,分为公共控件和页面控件。公共控件所有页面都可以使用,且无数量限制。页面控件只允许所属的页面使用,且每个页面只能引用一个同类型的控件。

在“控件区”区域,每次单击一个控件,将在页面中间的预览效果的最底端自动增加该控件,除非该页面不支持所选择的控件,或该页面只能有一个该控件(如页面背景控件)。

  • 标题控件

    页面标题,一般位于页面最顶部,用于说明页面功能。标题控件,支持编辑标题文本的内容,字体、大小、粗细、斜体、背景、超链接、对齐方式等;单个标题最大支持65535个字符。

    文本编辑器设置字体颜色时,如果设置为白色,由于文本编辑器背景为白色,文字在编辑框中显示视觉效果为空白。此时在编辑框中将文字全选,修改文字颜色,文字将变为可见。

  • 图片控件

    图片控件,用于页面引入图片。支持上传新图片和引用之前上传的图片。单个Portal页面最多支持上传20张图片,单个图片大小不大于1M,图片总大小不超过4M。支持上传jpg、png、jpeg、bmp、gif格式图片;支持设置图片链接;支持设置图片的宽度和高度百分比;上传的图片支持删除。

  • 文本控件

    文本控件用于页面引导或说明文本,编辑能力和标题控件类似。

  • 背景控件

    背景控件用于设置页面背景,支持设置背景颜色和背景图片。同时应用背景图片和颜色时,背景图片将覆盖背景颜色;应用背景图片时需要勾选Checkbox,背景控件不支持样式编辑。

  • 语言链接控件

    语言控件用于Portal页面切换到使用其它语言的页面。控件支持编辑跳转链接的文本、选择跳转的页面;单个语言控件最多支持添加5个语言链接。

    语言链接页面,须为已发布的页面。如何定制并发布一个页面,请参见定制页面示例中的描述。

  • boarding控件

    boarding控件用于定制boarding功能的推送页面,方便用户在使用boarding功能时,通过点击页面上的链接下载客户端。

页面控件介绍

Portal页面支持认证、认证成功、注册、注册成功、修改密码、用户名验证、重置密码共8类页面,因为页面功能差异,每类页面均有区别于其它页面的控件。当前支持的页面控件包含以下几种。

  • 认证页面控件

    用户通过在认证页面输入认证信息,向认证服务器发送认证请求。iMaster NCE-Campus基于支持的认证类型将认证页面区分出10种认证页面控件:

    • 用户名密码认证控件:支持定制是否显示用户须知、注册、忘记密码链接;支持定制输入框的Placeholder以及按钮的文本;支持选控件风格。
    • 短信认证控件:支持定制是否显示用户须知链接;支持定制输入框的Placeholder以及按钮的文本。
    • 微信认证控件:支持编辑认证按钮的显示样式,文本或图片。
    • 匿名认证控件:支持编辑认证按钮的显示样式,文本或图片。
    • 社交媒体控件:支持编辑是否显示用户须知。
    • Passcode认证控件:支持编辑是否显示用户须知,支持编辑登录按钮的样式,文本或者图片。
    • 多种认证控件:多种认证是支持用户名、短信、passcode、微信、Facebook的统一认证。Facebook认证仅支持Https协议,微信认证仅支持Http协议。配置多种认证时请确认协议类型是否能匹配Facebook或微信认证。多种认证控件支持编辑各种认证方式的输入框Placeholder、按钮样式、风格等。
    • 帐号短信认证:支持编辑是否显示用户须知。
    • 双因子认证:支持编辑是否显示用户须知。
    • 双因子认证(AD+RSA):支持编辑是否显示用户须知。
  • 认证成功页面控件

    认证成功页面为认证成功后跳转至的页面,用于提示认证结果,同时提供用户注销和修改密码的能力。认证成功页面支持认证成功信息、认证成功提示两种控件。

    • 认证成功信息控件:支持编辑认证成功后显示的内容,包括:用户名、剩余流量、剩余时长、过期时间、修改密码按钮、注销按钮。
    • 认证成功提示控件:支持编辑认证成功提示信息。
  • 用户须知页面控件

    用户须知页面为用户使用WIFI服务时需要被告知的规则和内容,主要包括用户须知的文本内容。

    • 用户须知控件:支持编辑用户须知内容。
    • 同意控件:同意用户须知的点击按钮,点击后跳转至登录页面。支持编辑按钮样式、控件风格。
  • 注册页面控件

    注册页面用于用户注册认证帐号。仅用户名密码方式支持用户注册功能。

    • 注册控件:支持编辑输入框的Placeholder、注册按钮样式、控件风格。
  • 注册成功页面控件
    • 注册成功信息控件:支持编辑跳转至认证页面的按钮样式和控件风格。
  • 修改密码页面控件
    • 修改密码控件:支持编辑输入框Placeholder和按钮文本、控件样式。
  • 用户名验证页面控件
    • 用户名验证控件:支持编辑输入框Placeholder和按钮文本、控件样式。
  • 重置密码页面控件
    • 重置密码控件:支持编辑输入框Placeholder和按钮文本、控件样式。

配置语言模板

背景信息

语言模板用于设置Portal页面的标题、按钮、输入框等文本内容。创建定制页面时通过选择不同的语言模板,初始化出不同语言的Portal页面。当前系统预置了中文、英文、德文、西班牙文四种默认模板,另外可以创建新的语言模板。

操作步骤
  1. 在主菜单中选择准入 > 准入资源 > 页面管理 > 页面定制
  2. “语言模板”页签中,单击“创建”。新建语言模板支持手动创建、导入两种方式:

    • 手动创建:在UI页面上,直接输入每个页面的每个区域的文本信息,完成创建。
    • 导入:根据导出的Excel模板,编辑并导入后创建。

    以认证页面为例,页面上的字段和语言模板中的字段的映射关系如下图:

定制页面示例

以创建用户名密码认证时所需要认证页面为例,描述创建的过程。

操作步骤
  1. 在主菜单中选择准入 > 准入资源 > 页面管理 > 页面定制
  2. “页面定制”页签中,单击图标,自定义一个用户名密码页面。
  3. 输入页面名称,选择页面语言模板、访问协议、系统模板。

    例如,设置页面名称为username,系统模板为:用户名密码模板,语言模板为中文默认模板、访问协议为HTTPS。
    • 系统模板一共支持9套:用户名密码、通用自注册、匿名、短信、社交媒体、微信Portal一键认证、Passcode、一键、微信链接认证模板。
    • 语言模板为页面使用的初始化模板。例如,如果选择中文模板,进入编辑页面后所有控件的文本语言则使用的是中文模板的文本内容。

  4. 创建完成后进入编辑页面。

  5. 选择一个页面,例如认证页面,并以控件为单位进行编辑。
  6. 编辑过程中可以单击“保存”进行临时状态保存。

    保存后,页面上编辑内容将保存到服务器。此时页面为草稿状态,不能作为认证页面使用。

  7. 定制Phone页面编辑完成后,单击页面上方的“定制PC页面”,切换到PC页面的编辑。

    iMaster NCE-Campus支持PC和Phone页面的分别定制。一套Portal页面在PC和Phone两种终端使用时,可以推送不一样的页面。

    PC和Phone页面的认证方式需要保持一致,否则将导致一种页面的认证方式无法正常使用。

  8. 编辑完成后,单击页面右上角“发布”按钮。

    页面发布成功,返回到Portal页面列表页面。

    页面发布之后,如果页面既没有被认证关联,也没有设置页面对应的推送策略,则此页面可以继续作其他修改。

    但如果页面发布之后,页面被认证关联,或设置了页面所对应的推送策略,则此页面只能修改样式,但不能修改页面中的认证类型。

  9. 在Portal页面列表,可以点击对应的页面,预览定制页面内容。可以分别预览Phone定制页面和PC定制页面。

    Phone定制页面预览:

    PC定制页面预览:

    如果确认页面已经满足需求,则可以配置认证、页面推送策略并引用该页面。

配置Portal推送策略

当使用iMaster NCE-Campus作为Portal服务器时,需要配置Portal推送策略。iMaster NCE-Campus根据Portal推送策略给终端用户推送指定的Portal页面。

背景信息

iMaster NCE-Campus提供各种认证方式的缺省页面,例如认证页面、认证成功页面。租户管理员可以配置向客户推送页面的策略,以决定推送哪一个页面。如果缺省页面不满足需求,可以进行定制。

如果配置了多条Portal页面推送策略,按优先级匹配,优先级数值越小,优先级越高。如果匹配了高优先级的策略,不再往后匹配其他策略。

操作步骤
  1. 在主菜单中选择准入 > 准入资源 > 页面管理 > Portal页面推送策略
  2. 单击“创建”,配置Portal页面推送策略。对接第三方设备进行认证时,如果推送规则选择了站点、接入设备类型和设备,用户将无法匹配该规则。
参数说明
表5-96 Portal页面推送策略

参数名称

说明

推送规则

对满足推送条件的Portal认证请求推送指定的页面。

如果所有推送条件均不设置,表示对该站点的所有设备推送相同的Portal页面。如果设置了多个条件,必须所设置的条件都满足才表示匹配了策略。

认证方式

根据认证方式选择待推送的页面。在页面定制时,不同的认证方式要求的页面元素有所差别。

推送页面

根据登录方式选择待推送页面。系统默认的推送页面不能满足需求时,则请按页面提示定制新的推送页面。

每套推送页面中包含了认证页面、用户须知页面和注册页面,租户管理员可以指定其中一个作为推送的第一个页面。

首推页面

登录时第一次推送的页面,可以选择页面包含以下几种:

  • 认证页面。
  • 用户须知页面,匿名认证不支持该页面类型。
  • 注册页面,仅用户名密码认证方式支持该页面类型。

认证成功后页面跳转
  • 跳转到指定地址:跳转到租户管理员指定的URL。
    说明:

    使用UC HD类型的浏览器,重定向只支持http类型的URL。

    当配置设备认证点时,Portal页面的“推送方式”选择“快速推送”时,不支持配置跳转到指定地址。

  • 不跳转:停留在认证成功页面。
  • 继续访问:认证前访问某网站,由于未认证重定向到Portal推送页面,认证成功后继续访问认证前访问的网站。

(可选)配置用户在线控制策略

用于配置对终端用户上网时长或流量的限制,达到阈值后用户将强制下线。一般需要对用户计费时,需要进行此配置。

背景信息

在某些公共区域,可以对访客上网的时长或流量做限制。例如,每个帐号一天只能上网一个小时,或者只能使用500Mbit流量,达到阈值时强制用户下线。

上网时长和流量控制策略只在以iMaster NCE-Campus作为Portal服务器和RADIUS服务器中生效,支持的认证方式包括HACA认证、Portal2.0认证、802.1X认证和MAC认证。不认证、密码认证、第三方Portal服务器和第三方RADIUS服务器场景均不生效。

防火墙作为认证点时,不需要进行本任务的配置。

通过终端识别功能和终端自动准入功能上线的终端用户,不会加入任何用户组,因此无法基于用户组配置流量时长策略。

操作步骤
  1. 在主菜单中选择准入 > 准入策略 > 用户在线控制 > 用户控制策略
  2. 选择“流量时长策略”页签,单击“创建”,设置用户在线控制策略。

  3. (可选)在主菜单中选择准入 > 准入策略 >用户在线控制 > 用户控制策略

    1. 选择“最大接入终端数”页签,单击“创建”,新建用户控制策略。

    2. 创建完成后,单击,将已创建的用户控制策略,分配给指定的用户组或者用户。

      创建用户时也支持设置最大接入终端数,同时设置时的优先级按照从大到小排列为:创建用户时的最大接入终端数>分配给用户的用户数>分配给用户组的用户数。创建用户时,如果最大接入终端数开关未打开,以用户控制策略为准,如果开关打开,选择不限制,则以用户创建时候设置为准,即不限制用户数。

后续操作
  1. 在主菜单中选择准入 > 准入策略 >用户在线控制 > 在线用户,查看在线用户,支持租户管理员对在线用户强制下线操作,也可以导出在线用户数据。

    “强制用户下线”仅执行用户下线操作,“强制下线并关闭端口”执行用户下线并关闭该用户所在的认证端口,执行该操作时,需要保证该接口下仅有一个在线用户,否则执行后会导致其他用户下线。

    对于无线接入用户,Eth-Trunk和策略联动场景,关闭端口功能不生效,仅支持强制用户下线。

  2. 在主菜单中选择准入 > 准入策略 >用户在线控制 > 流量时长,查看用户或终端在线流量时长统计数据,可以对指定数据进行重置流量或者重置时长操作。缺省情况下,用户名、终端IP和终端MAC信息匿名化显示,如果要查看详细信息,请在终端隐私设置页面关闭匿名化配置。
参数说明
表5-97 流量时长策略

参数名称

说明

站点

指定流量时长策略生效的站点。站点开关关闭时,该控制策略在租户下的所有站点均生效,配置的流量和时长策略仍然基于单站点进行控制。

用户级/终端级

可以配置用户级流量时长策略,或者终端级流量时长策略,用户级和终端级均有两种策略可以选择:

  • 流量限制:限制某段时间内用户或终端上网的总使用流量。

    开启此策略后,可以针对用户或终端某一时间段内(每天、每周、每月或者每年),设置“流量限制值”,对此时间段的上网总流量进行限制。

  • 时长限制:限制某段时间内用户或终端上网的总时长。

    开启此策略后,可以针对用户或终端某一时间段内(每天、每周、每月或者每年),设置“时长限制值”,对此时间段的上网总时间进行限制。

    配置终端级时长限制时,可以设置单次在线时长限制,单次时长限制值取值范围是5-44640,单位为min,此功能默认不开启,开启后,终端单次在线时长超过时长限制值则强制下线。

    说明:

    由于系统是根据设备上报计费请求报文触发流量或时长的限制功能,而设备上报的计费请求报文是周期性的,因此流量或时长的限制可能存在时长或流量的误差。

    假设:

    1、在SSID配置时设置的计费上报周期为5分钟,而用户或终端在线控制策略设置时控制的时长限制为10分钟。

    2、用户或终端进行portal认证的时间是处于当前计费周期的第4分钟开始的时间。

    在此场景下,当设备第一、二次上报计费请求报文时,用户或终端允许的时长没有使用完,因此可以继续使用;而在第三次时,系统才能判断用户或终端允许的时长已经超过限制,此时系统将限制用户或终端的使用。最终,用户或终端实际使用时长为12分钟,而不是设置的10分钟。

如果同时开启了流量和时长限制,则满足其中任一条件时,即会触发重新认证。

重置流量和时长:

  • 当此开关打开时,并且所允许的流量、时长使用完毕后,用户或终端经过重新认证后,可以再次获得所配置的流量或时长的许可。
  • 当此开关关闭时,如果用户或终端使用完允许的流量、时长后,就不能继续上网。

分配用户组

单击,选择用户组。上述流量或者时长限制的策略设置仅对此用户组下的用户生效。

(可选)配置Portal模板

背景信息

为了简化配置思路、方便统一管理,iMaster NCE-Campus将如下参数集封装为“模板”。在配置相关业务时,通过引用模板即可在当前配置对象中绑定该模板所包含的一系列参数。

当认证点设备的Portal协议类型配置为Portal2.0时,需要配置Portal模板,且配置为“使用内置服务器”。

操作步骤
  • 定制Portal服务器模板。
    1. 选择设计 > 基础网络设计 > 模板管理 > 策略模板,在页签中选择“Portal服务器”
    2. 单击“创建”,填写参数,单击“确认”

参数说明
表5-98 “策略模板”(Portal服务器)

参数名称

说明

名称

用于唯一标识Portal服务器模板。

使用内置服务器

指定iMaster NCE-Campus为Portal服务器。选择使用内置服务器之后,主认证组件/备认证组件可以选择业务管理器或者拉远服务器,业务管理器即总部控制器。缺省的推送协议为HTTPS,如果要使用HTTP协议,需要开启HTTP协议端口

IP地址

第三方Portal服务器的IP地址。多个IP地址之间可以用英文半角逗号分隔。

端口

第三方Portal服务器的端口号。

URL

第三方Portal服务器的接口URL,用于标识Portal认证用户可以访问的Portal服务器的网址。

Portal用户同步

使用Portal2.0协议认证时,可以开启此功能同步设备和iMaster NCE-Campus之间的用户信息,可以设置设备的同步周期和同步最大失败次数。同步周期取值范围是20-65535,单位是秒,缺省值是300,同步最大失败次数取值范围是2-255,缺省值是3。

同步周期*同步最大失败次数要大于portal服务器发送同步报文的时间间隔,否则设备会在达到最大失败次数后,由于收不到Portal服务器的同步报文,会将用户强制下线。iMaster NCE-Campus内置portal服务器发送同步报文的时间间隔为3600秒。

密钥

Portal服务器的共享密钥。

URL参数模板

通过配置URL模板和模板参数,为Portal服务器关联URL模板,如果SSID引用了该Portal服务器模板,则同时引用了该URL模板。

(可选)配置RADIUS模板

背景信息

在配置相关业务时,通过引用模板即可在当前配置对象中绑定该模板所包含的一系列参数。

当认证点设备的Portal协议类型配置为Portal2.0时,需要配置RADIUS模板,且配置为“使用内置服务器”。

操作步骤
  1. 选择设计 > 基础网络设计 > 模板管理 > 策略模板,在页签中选择“RADIUS服务器”
  2. 单击“创建”,填写参数,单击“确认”

    • 在配置基于RADIUS服务器认证的SSID时,可以通过选用该模板为SSID设置RADIUS服务器。具体操作请参见配置SSID
    • 只有V200R008C10及后续版本的AP才支持“禁用RADIUS属性”功能,且不同型号支持的RADIUS属性可能有差异。如果所选用的RADIUS模板配置了该参数,应确保目标AP设备满足型号和版本要求,否则会导致SSID业务配置下发失败。在设备的系统视图下执行display radius-attribute命令,可以查看其支持的RADIUS属性。
    • 只有V200R009C00及后续版本的AP才支持“called-station-id属性值设置”功能。
    • 只有V200R008C00及后续版本的AP才支持“实时计费”功能。

参数说明
表5-99 “策略模板”(RADIUS服务器)

参数名称

说明

名称

用于唯一标识RADIUS模板。

使用内置服务器

指定iMaster NCE-Campus为RADIUS服务器。选择使用内置服务器之后,主认证组件/备认证组件可以选择业务管理器或者拉远服务器,业务管理器即总部控制器。

主认证服务器地址/端口

分别指定主备认证服务器的IP地址和端口。

备认证服务器地址/端口

主计费服务器地址/端口

分别指定主备计费服务器的IP地址和端口。

备计费服务器地址/端口

实时计费

实时计费开关,开启后可配置计费上报周期。缺省关闭。

计费上报周期

设置实时计费的时间间隔。

密钥

RADIUS服务器的共享密钥。建议定期更换共享密钥。

禁用RADIUS属性

是否在设备与RADIUS服务器之间通信的报文中过滤特定属性。缺省关闭,即不作过滤。

禁用属性

-

单击“创建”,配置具体过滤策略。

属性名称

单击“...”,从弹出窗口中选择需要过滤的属性名称。

禁止发送

禁止设备向RADIUS服务器发送指定RADIUS属性的网络报文。

禁止接收

禁止设备接收来自RADIUS服务器的、指定RADIUS属性的网络报文。

Service-Type属性值设置

-

不同厂商的RADIUS服务器支持的同一属性的属性值可能有所不同。为了实现与不同的RADIUS服务器对接,设备支持更改RADIUS属性的值。

属性值

设置service-type属性的属性值。

Option

指定用户认证类型为MAC认证。

called-station-id属性值设置

-

打开后可以配置called-station-id属性值,设置RADIUS报文中called-station-id属性封装的内容。当前只有AP支持。缺省关闭。

属性值

called-station-id属性封装的内容,支持ap-mac和ap-location。

是否携带SSID属性

打开后called-station-id属性封装的内容中会包含SSID。缺省关闭。

属性分隔符

called-station-id属性封装的内容包含SSID时,SSID前的分隔符。

枚举类型,只能是1位,取值范围:“\”,“/”,“:”,“<”,“>”,“|”,“@”,“'”,“%”,“*”,“+”,“-”,“&”,“!”,“#”,“^”,“~”,缺省值是“:”。

MAC地址格式设置

根据需要设置RADIUS报文中的MAC地址格式。支持的设置的格式包含:

  • MAC地址大小写
  • MAC地址连接符
  • MAC地址格式

配置认证点

背景信息

认证授权规则配置完成后,需要在网络的认证点上配置认证,比如AP设备配置SSID时需要指定一种认证方式,从而实现对无线接入的终端用户的准入控制。每个SSID只能指定一种认证方式,终端用户接入网络时选择的无线网络就决定了所采用的认证方式。但一个AP允许部署多个SSID,比如员工和访客分别使用不同的SSID接入,可以采用不同的认证方式。

操作步骤
  1. 选择站点。

    1. 在主菜单中选择配置 > 物理网络 > 站点配置
    2. 在左上角“站点”下拉框中选择站点,将该站点设为操作对象。
    3. 选择“站点配置”页签。

  2. 根据实际的认证点选择对应的配置流程。

    认证点

    配置流程

    AP
    1. 在左侧导航中选择AP > SSID,单击“创建”,配置SSID基本信息。
    2. “安全认证”页面中将“认证方式”设置为“开放网络”,将“是否推送页面”设置为“ON”,将“页面推送方式”设置为“云平台内置认证”,将“推送方式”设置为“高级推送”,并将“登录方式”设置为网络实际配置的登录方式。当前支持匿名认证、用户名密码认证、短信认证、微信链接认证、Facebook认证、Twitter认证、新浪微博认证、QQ认证、Passcode认证、一键认证十种方式。
    3. 选择Portal协议类型,当前支持HACA和Portal2.0两种协议类型。如果选择Portal2.0,则需要通过策略模板指定Portal服务器和RADIUS服务器,且服务器类型为内置服务器。Portal2.0是华为发布的私有协议,当前只支持相对安全的CHAP协议。公有云场景下不支持配置为Portal2.0。
    4. (可选)Portal协议类型为HACA时,配置推送协议,缺省使用HTTPS协议,如果使用HTTP协议,需要开启HTTP协议端口
    5. (可选)配置逃生策略,可以在网络故障或者华为云平台升级时,使用逃生策略保证用户基本的网络访问需求。当前支持三种逃生方案,分别是:
      • 允许已认证用户继续使用网络,不允许新用户接入。
      • 允许用户接入,不需要认证。
      • 允许用户接入,不需要认证。使用自定义逃生策略。使用此方案时需要配置逃生策略模板。

    路由器
    1. 在左侧导航中选择路由器 > SSID,单击“创建”,配置SSID基本信息。
    2. “安全认证”页面中将“认证方式”设置为“OPEN”,将“是否推送页面”设置为“ON”,将“推送方式”设置为“高级推送”,并将“登录方式”设置为网络实际配置的登录方式。当前支持匿名认证、用户名密码认证、短信认证、微信链接认证、Facebook认证、Passcode认证、一键认证七种方式。
    3. (可选)Portal协议类型为HACA时,配置推送协议,缺省使用HTTPS协议,如果使用HTTP协议,需要开启HTTP协议端口
    4. (可选)配置逃生策略,可以在网络故障或者华为云平台升级时,使用逃生策略保证用户基本的网络访问需求。当前支持三种逃生方案,分别是:
      • 允许已认证用户继续使用网络,不允许新用户接入。
      • 允许用户接入,不需要认证。
      • 允许用户接入,不需要认证。使用自定义逃生策略。使用此方案时需要配置逃生策略模板。

    防火墙
    1. 在左侧导航中选择防火墙 > 认证。将“推送页面(Portal认证)”设置为“ON”,并配置Portal认证方式。
    2. “页面推送方”选择“controller内置认证”,登录方式选择网络实际配置的登录方式。当前支持匿名认证、用户名密码认证、短信认证、Facebook认证、Twitter认证、新浪微博认证、QQ认证、Passcode认证、一键认证九种方式。

      “基于源IP地址推送页面”是指只对源IP地址列表内的终端推送Portal页面,其他终端不推送。

    3. 选择Portal协议类型,当前支持HACA和Portal2.0两种协议类型。如果选择Portal2.0,则需要通过策略模板指定Portal服务器和RADIUS服务器,且服务器类型为内置服务器。Portal2.0是华为发布的私有协议,当前只支持相对安全的CHAP协议。公有云场景下不支持配置为Portal2.0。
    4. (可选)Portal协议类型为HACA时,配置推送协议,缺省使用HTTPS协议,如果使用HTTP协议,需要开启HTTP协议端口
    5. (可选)配置逃生策略,可以在网络故障或者华为云平台升级时,使用逃生策略保证用户基本的网络访问需求。当前支持三种逃生方案,分别是:
      • 允许已认证用户继续使用网络,不允许新用户接入。
      • 允许用户接入,不需要认证。
      说明:

      防火墙还支持内置Portal匿名认证,“页面推送方”选择“防火墙内置认证”,设置“认证成功后重定向页面”“闲置超时时间”

    交换机
    1. 在左侧导航中选择交换机 > 认证。选择“有线认证”或者“无线认证”页签。单击“创建”,配置认证信息。
    2. “认证方式”设置为“开放网络”,将页面推送方式设置为云平台内置认证,将“推送方式”设置为“高级推送”,并将“认证策略”设置为网络实际配置的登录方式。当前支持匿名认证、用户名密码认证、短信认证、微信链接认证、Facebook认证、Twitter认证、新浪微博认证、QQ认证、Passcode认证、一键认证十种方式。
    3. 选择Portal协议类型,当前支持HACA和Portal2.0两种协议类型。如果选择Portal2.0,则需要通过策略模板指定Portal服务器和RADIUS服务器,且服务器类型为内置服务器。Portal2.0是华为发布的私有协议,当前只支持相对安全的CHAP协议。公有云场景下不支持配置为Portal2.0。
    4. (可选)Portal协议类型为HACA时,配置推送协议,缺省使用HTTPS协议,如果使用HTTP协议,需要开启HTTP协议端口
    5. (可选)交换机有线认证场景,如果希望对交换机连接的AP进行免认证,可以“开启使能端口下AP免认证”开关,同时,在配置 > 物理网络 > 站点配置 > 站点配置 > 站点 > 业务配置中开启LLDP和自动识别AP功能。
    6. (可选)认证终端使用IPv6协议时,开启IPv6终端认证开关,Portal服务器推送页面的URL为IPv6格式,不开启推送格式为IPv4格式。
    7. (可选)配置逃生策略,可以在网络故障或者华为云平台升级时,使用逃生策略保证用户基本的网络访问需求。当前支持三种逃生方案,分别是:
      • 允许已认证用户继续使用网络,不允许新用户接入。
      • 允许用户接入,不需要认证。
      • 允许用户接入,不需要认证。使用自定义逃生策略。使用此方案时需要配置逃生策略模板。
    说明:

    无线认证配置需要通过Web网管完成,具体操作步骤可以参见《无线接入控制器产品文档》中“配置 > 配置指南(通过Web网管)”部分。

    WAC
    1. 在左侧导航中选择WAC(Fit AP) > 认证。单击“创建”,配置认证信息。
    2. “认证方式”设置为“开放网络”,将“页面推送方式”设置为“云平台内置认证”,将“推送方式”设置为“高级推送”,并将“认证策略”设置为网络实际配置的登录方式。当前支持匿名认证、用户名密码认证、短信认证、微信链接认证、Facebook认证、Twitter认证、新浪微博认证、QQ认证、Passcode认证、一键认证十种方式。
    3. 选择Portal协议类型,当前支持HACA和Portal2.0两种协议类型。如果选择Portal2.0,则需要通过策略模板指定Portal服务器和RADIUS服务器,且服务器类型为内置服务器。Portal2.0是华为发布的私有协议,当前只支持相对安全的CHAP协议。公有云场景下不支持配置为Portal2.0。
    4. (可选)Portal协议类型为HACA时,配置推送协议,缺省使用HTTPS协议,如果使用HTTP协议,需要开启HTTP协议端口
    说明:

    WAC设备侧的配置需要通过Web网管完成,详细操作步骤可以参见《无线接入控制器产品文档》中“配置 > 配置指南(通过Web网管) > 认证配置举例”。通过命令行配置时,需要配置AAA方案、HACA服务器模板、业务方案、接入模板、认证模板等,详细操作步骤可以参见配置采用RADIUS方式进行认证、授权和计费配置采用HACA方式进行认证(云AC)配置接入模板配置认证模板

    iMaster NCE-Campus作为Portal服务器的场景中,如果将“推送方式”设置为“快速推送”,也可以选取已有的Portal推送页面,并根据该页面的认证方式配置对应参数。

配置认证规则

背景信息

iMaster NCE-Campus当前支持两种Portal协议类型,分别为HACA和Portal2.0。其中Portal2.0协议仅在本地部署非NAT场景支持。

Portal2.0是华为发布的私有协议,当前只支持相对安全的CHAP协议。采用CHAP加密算法时,密码存放在Chap-Password属性中。这种加密算法不是密码直接在网络中传输,而是传输一个索引值,从而增加了安全性,但这样做的代价是,RADIUS服务端必须要知道用户的密码,从而计算密码索引值与发来的认证请求中的密码索引值比对。Chap-Password加密方法为Md5(chapId+password+chapChallenge)。

如果选择HACA协议,认证方式选择用户接入认证并开启Portal-HACA协议,如果选择Portal2.0协议,认证方式选择用户接入认证

iMaster NCE-Campus存在缺省认证规则default,使用本地数据源进行认证,缺省模板支持修改,可以修改为使用第三方数据源进行认证。

操作步骤
  1. 在主菜单中选择准入 > 准入策略 > 认证授权 > 认证规则
  2. 单击“创建”,配置认证规则。认证方式选择用户接入认证。对接第三方设备进行认证时,如果认证规则选择了站点、接入设备类型和设备,用户将无法匹配该规则。

参数说明
表5-100 认证规则(用户接入认证&开启Portal-HACA协议)

参数名称

说明

匹配条件

用户信息

用户组

基于用户组对用户进行认证。

账号

基于用户账号对用户进行认证。

角色

基于角色对用户进行认证。

位置信息

站点

基于站点对用户进行认证。

准入设备组

基于准入设备组对用户进行认证。

接入设备类型

基于接入设备类型对用户进行认证。当前支持的设备类型包括:LSW、AP、WAC、AR、FW

设备

基于选定的设备信息对用户进行认证。

SSID

基于SSID对用户进行认证。仅接入方式为无线时支持该参数。

设备类型

基于终端设备类型对用户进行认证。

操作系统

基于终端设备操作系统对用户进行认证。

终端IP范围

基于终端IP地址范围对用户进行认证。

其他信息

时间

基于特定时间段对终端用户进行认证。

认证信息

接入参数

开启接入参数后,可以指定接入属性参数与账号绑定一起认证,若开启“不允许未绑定接入参数的帐号接入网络”后,如果帐号的接入参数与配置的绑定参数的不符则认证失败,若开启“自学习接入参数”,认证成功后,接入属性参数与账号自动绑定,在准入 > 准入资源 > 用户管理 > 用户管理中手工绑定。

当前支持的接入属性包括:

设备IP地址,接入VLAN,接入端口,用户MAC地址,用户IP地址,用户IMSI,用户ESN。

数据源

选择需要认证的数据源,可以是本地数据源或者外部认证源同步的用户。

双因子认证

双因子认证方式

设置双因子接入的认证方式。

第二数据源类型

设置双因子接入认证的第二数据源,可以指定动态密码(短信发送)或者RADIUS TOKEN。

第二阶段认证超时时间(秒)

双因子接入认证的第二阶段认证超时时间,取值范围是60-100,单位是秒,缺省值是60。
表5-101 认证规则(用户接入认证&未开启Portal-HACA协议)

参数名称

说明

匹配条件

用户信息

用户组

基于用户组对用户进行认证。

账号

基于用户账号对用户进行认证。

角色

基于角色对用户进行认证。

位置信息

站点

基于站点对用户进行认证。

准入设备组

基于准入设备组对用户进行认证。

接入设备类型

基于接入设备类型对用户进行认证。当前支持的设备类型包括:LSW、FW、AP、WAC

设备

基于选定的设备信息对用户进行认证。

SSID

基于SSID对用户进行认证。仅接入方式为无线时支持该参数。

设备类型

基于终端设备类型对用户进行认证。

操作系统

基于终端设备操作系统对用户进行认证。

终端IP范围

基于终端IP地址范围对用户进行认证。仅接入方式为有线时支持该参数。

其他信息

时间

基于特定时间段对用户进行认证。

定制条件

基于定制条件对用户进行认证,用户可以选择内置的RADIUS或者自己设置RADIUS属性,然后将在定制条件中定义需要匹配的RADIUS属性。

认证信息

使能RADIUS中继

基于指定的中继服务器模板对用户进行认证。

接入参数

开启接入参数后,可以指定接入属性参数与账号绑定一起认证,若开启“不允许未绑定接入参数的帐号接入网络”后,如果帐号的接入参数与配置的绑定参数的不符则认证失败,若开启“自学习接入参数”,认证成功后,接入属性参数与账号自动绑定,在准入 > 准入资源 > 用户管理 > 用户管理中手工绑定。

当前支持的接入属性包括:

设备IP地址,接入VLAN,接入端口,用户MAC地址,用户IP地址,用户IMSI,用户ESN。

数据源

选择需要认证的数据源,可以是本地数据源或者外部认证源同步的用户。使能RADIUS中继时,不支持该参数。

双因子认证

双因子认证方式

设置双因子认证方式。支持双因子接入和FW SSL VPN接入两种认证方式。

第二数据源类型

设置双因子接入认证的第二数据源,可以指定动态密码(短信发送)或者RADIUS TOKEN。RADIUS TOKEN只有认证方式为双因子接入时支持。

第二阶段认证超时时间(秒)

双因子接入认证的第二阶段认证超时时间,取值范围是60-100,单位是秒,缺省值是60。

认证协议

允许使用的认证协议,包括:

  • PAP协议
  • CHAP协议
  • EAP-MD5协议
  • EAP-PEAP-MSCHAPv2协议
  • EAP-TLS协议
  • EAP-PEAP-GTC协议
  • EAP-TTLS-PAP协议

使用LDAP账号做Portal2.0认证、FW SSLVPN认证、MAC认证时需要开启PAP协议;同时Portal2.0认证需要开启CHAP协议;如果其他业务需要使用iMaster NCE-Campus作为认证控制器时,请开启对应协议。

其中,可以指定EAP-MD5、EAP-PEAP-MSCHAPv2、EAP-TLS、EAP-PEAP-GTC、EAP-TTLS-PAP协议中的一种为优先识别协议。

使用EAP-PEAP-GTC协议时,需要配置EAP-GTC插件,详细操作请参见EAP-GTC插件配置

使能RADIUS中继时,不支持该参数。

高级选项

账号不存在

配置当账号不存在时的后续认证流程,包括:

  • 继续处理:服务器将继续进行授权规则匹配并向认证设备发送应答报文,该场景不支持EAP-PEAP-MSCHAPV2协议。
    说明:
    • 对于对接AD/LDAP服务器(不同步)、对接HTTPS服务器、对接数据库场景,用户匹配认证规则,但是无法在本地查找到对应的用户账号,需要配置为继续处理,否则会认证失败;
    • 对于对接AD/LDAP服务器(同步账号到本地),用户匹配认证规则,但是账号未与服务器账号完全匹配,例如不带域名等,需要配置为继续处理,否则会认证失败。
  • 不发送应答报文:服务器不向认证设备发送任何应答报文。
  • 拒绝接入:服务器向认证设备发送拒绝接入的应答报文。

身份认证失败

配置当身份认证失败时的后续认证流程,包括:

  • 继续处理:服务器将继续进行授权规则匹配并向认证设备发送应答报文,该场景不支持EAP-PEAP-MSCHAPV2协议。
  • 不发送应答报文:服务器不向认证设备发送任何应答报文。
  • 拒绝接入:服务器向认证设备发送拒绝接入的应答报文。
表5-102 认证规则(MAC认证)

参数名称

说明

匹配条件

用户信息

MAC帐号映射用户组

基于MAC帐号映射用户组对用户进行认证。

MAC账号

基于MAC帐号对用户进行认证。

角色

基于角色对用户进行认证。

位置信息

站点

基于站点对用户进行认证。

准入设备组

基于准入设备组对用户进行认证。

接入设备类型

基于接入设备类型对用户进行认证。当前支持的设备类型包括:LSW、AP、WAC。

设备

基于选定的设备信息对用户进行认证。

SSID

基于SSID对用户进行认证。仅接入方式为无线时支持该参数。

设备类型

基于终端设备类型对用户进行认证。

操作系统

基于终端设备操作系统对用户进行认证。

终端IP范围

基于终端IP地址范围对用户进行认证。仅接入方式为有线时支持该参数。

其他信息

时间

基于特定时间段对终端用户进行认证。

定制条件

基于定制条件对用户进行认证,用户可以选择内置的RADIUS或者自己设置RADIUS属性,然后将在定制条件中定义需要匹配的RADIUS属性。

认证信息

使能RADIUS中继

基于指定的中继服务器模板对用户进行认证。

接入参数

开启接入参数后,可以指定接入属性参数与账号绑定一起认证,若开启“不允许未绑定接入参数的帐号接入网络”后,如果帐号的接入参数与配置的绑定参数的不符则认证失败,若开启“自学习接入参数”,认证成功后,接入属性参数与账号自动绑定,在准入 > 准入资源 > 用户管理 > 用户管理中手工绑定。

当前支持的接入属性包括:

设备IP地址,接入VLAN,接入端口,用户MAC地址,用户IP地址,用户IMSI,用户ESN。

高级选项

账号不存在

配置当账号不存在时的后续认证流程,包括:

  • 继续处理:服务器将继续进行授权规则匹配并向认证设备发送应答报文,该场景不支持EAP-PEAP-MSCHAPV2协议。
  • 不发送应答报文:服务器不向认证设备发送任何应答报文。
  • 拒绝接入:服务器向认证设备发送拒绝接入的应答报文。

身份认证失败

配置当身份认证失败时的后续认证流程,包括:

  • 继续处理:服务器将继续进行授权规则匹配并向认证设备发送应答报文,该场景不支持EAP-PEAP-MSCHAPV2协议。
  • 不发送应答报文:服务器不向认证设备发送任何应答报文。
  • 拒绝接入:服务器向认证设备发送拒绝接入的应答报文。
表5-103 认证规则(设备管理认证)

参数名称

说明

匹配条件

用户信息

用户组

基于用户组对用户进行认证。

账号

基于用户账号对用户进行认证。

角色

基于角色对用户进行认证。

位置信息

准入设备组

基于准入设备组对用户进行认证。

终端IP范围

基于终端IP地址范围对用户进行认证。

其他信息

时间

基于特定时间段对终端用户进行认证。

定制条件

基于定制条件对用户进行认证,用户可以选择内置的RADIUS或者自己设置RADIUS属性,然后将在定制条件中定义需要匹配的RADIUS属性。

认证信息

使能RADIUS中继

基于指定的中继服务器模板对用户进行认证。

接入参数

开启接入参数后,可以指定接入属性参数与账号绑定一起认证,若开启“不允许未绑定接入参数的帐号接入网络”后,如果帐号的接入参数与配置的绑定参数的不符则认证失败,若开启“自学习接入参数”,认证成功后,接入属性参数与账号自动绑定,在准入 > 准入资源 > 用户管理 > 用户管理中手工绑定。

当前支持的接入属性包括:

设备IP地址,接入VLAN,接入端口,用户MAC地址,用户IP地址,用户IMSI,用户ESN。

数据源

选择需要认证的数据源,可以是本地数据源或者外部认证源同步的用户。使能RADIUS中继时,不支持该参数。

认证协议

允许使用的认证协议,包括:

  • PAP协议
  • CHAP协议

使能RADIUS中继时,不支持该参数。

高级选项

账号不存在

配置当账号不存在时的后续认证流程,包括:

  • 继续处理:服务器将继续进行授权规则匹配并向认证设备发送应答报文,该场景不支持EAP-PEAP-MSCHAPV2协议。
  • 不发送应答报文:服务器不向认证设备发送任何应答报文。
  • 拒绝接入:服务器向认证设备发送拒绝接入的应答报文。

身份认证失败

配置当身份认证失败时的后续认证流程,包括:

  • 继续处理:服务器将继续进行授权规则匹配并向认证设备发送应答报文,该场景不支持EAP-PEAP-MSCHAPV2协议。
  • 不发送应答报文:服务器不向认证设备发送任何应答报文。
  • 拒绝接入:服务器向认证设备发送拒绝接入的应答报文。

配置授权结果

背景信息

配置Portal认证、802.1X认证和MAC认证时,用于配置终端用户认证通过后所获得的权限集、流量限速策略、过滤策略等。适用于认证点在FW、AR、AP、LSW、WAC的场景,可以针对特定的用户群完成配置。

配置设备管理认证时,管理员用户认证通过后具备哪些权限由授权结果指定,权限的集合包括允许用户配置的命令级别,命令集合。

iMaster NCE-Campus存在缺省授权结果允许接入和拒绝接入,缺省模板绑定所有站点,不可修改和删除。

配置设备管理认证时,终端用户认证通过后具备哪些权限由授权结果指定,权限的集合可以包括ACL定义的目的IP地址、协议、端口,允许或禁止访问的URL,终端上下行带宽等。

在配置SSID时指定的流量和权限控制是指终端用户在连接上该SSID后具备的流量和权限集合。授权结果中指定的权限集合根据终端用户认证后所匹配的策略动态授权。终端用户最终的权限集是SSID和授权结果中的权限集叠加。

操作步骤
  1. 在主菜单中选择准入 > 准入策略 > 认证授权 > 授权结果
  2. 单击“创建”,配置授权结果。

  3. 单击“完成”后继续绑定站点,或者选择已创建的授权结果,单击绑定授权结果需要绑定的站点。

参数说明
表5-104 “授权结果”

参数说明

说明

设备管理业务

配置设备管理认证时开启此开关,开关打开后可以配置:

网管登录级别:匹配授权规则的用户指定登录优先级,取值范围是0-15。仅华为认证设备支持此参数。

自定义授权参数:匹配授权规则的用户设置的自定义授权参数。自定义授权参数包括属性号、厂商、属性类型和属性值,用户根据需要设置需要调整的RADUIS属性值。支持的RADIUS属性请参见配置界面。

开启“设备管理业务”后,下面所有参数不再支持。

是否匹配VIP用户

使能此功能后,AP设备在AP> 射频以及AP > SSID中设置“接入阈值策略”,对VIP用户优先接入。

LSW设备在设计 > 基础网络设计 > 模板管理 > 策略模板中配置应用调度模板,对VIP用户设置保障带宽。

ACL/动态ACL

基于ACL或者动态ACL控制允许或禁止访问指定资源。

  • ACL:在认证控制设备配置ACL规则,iMaster NCE-Campus授权后给认证控制设备下发ACL编号。认证控制设备根据下发的ACL编号匹配具体ACL规则,实现准入控制。
    说明:

    支持AP、LSW、AR,仅支持有ACL编号的ACL,不支持编号为编号段的ACL。其中无线用户使用3001~3031,有线用户使用3001~3988。

  • 动态ACL:在iMaster NCE-Campus配置ACL规则,授权给用户的ACL规则动态下发到认证控制设备,根据下发的ACL规则准入控制。
    说明:

    仅华为交换机支持动态ACL授权方式,其他厂商设备和华为WLAN设备不支持。

IPV6 ACL

基于IPv6 ACL控制允许或禁止访问指定资源。交换机仅部分款型支持IPv6 ACL,支持情况请参见交换机手册的acl-id(业务方案视图)命令。

说明:

仅支持LSW,仅支持有ACL编号的IPv6 ACL,不支持编号为编号段的ACL。其中无线用户使用3001~3031,有线用户使用3001~3999。

安全组

将匹配授权规则的终端用户动态授权加入指定安全组。

URL过滤
  • 黑名单过滤模式:禁止访问URL“过滤列表”中的网站。
  • 白名单过滤模式:只允许访问URL“过滤列表”中的网站。
说明:

仅AP支持此参数,中心AP不支持URL过滤。

VLAN

匹配授权规则的终端用户设置VLAN ID。不同的控制策略可以绑定不同的VLAN ID,也可以绑定相同的VLAN ID。支持VLAN和VLAN pool两种格式。

配置为授权VLAN的接口链路类型必须为Hybrid,可以在主菜单中选择配置 > 物理网络 > 站点配置进入“站点配置”页签,在左侧导航中选择交换机 > 接口 > 物理接口进行配置。

启用下行流量/启用上行流量

限制每个终端的上下行带宽。

DSCP

匹配授权规则的终端用户设置DSCP。通过DSCP(Differentiated Services Code Point)标识,实现对终端设备的流量QoS分类。

强制重定向

强制重定向到指定的ACL或者URL,支持的业务类型包括普通认证,Boarding功能,CWA认证。

  • 强制重定向ACL:表示只对匹配ACL规则的用户重定向到指定URL,支持acl-number或者acl-name。其中acl-name必须以字符开始,acl-number的取值范围是IPv4:3000-3988(有线用户)或3000-3031(无线用户),IPv6:3000-3999(有线用户)或3000-3031(无线用户)。仅华为设备支持,属性号/名称为HW-Redirect-ACL(173)。
  • 强制重定向URL:如果RADIUS服务器下发的强制重定向URL匹配了设备配置的URL模板,则使用URL模板下配置的URL,否则,按照RADIUS服务器下发的URL字符串进行推送。仅华为设备支持,属性号/名称为HW-Portal-URL(156)。

自定义授权参数

匹配授权规则的终端用户设置的自定义授权参数。自定义授权参数包括属性号、厂商、属性类型和属性值,用户根据需要设置需要调整的RADUIS属性值。支持的RADIUS属性请参见配置界面。

配置授权规则

对于通过认证的用户进行授权时,需要根据授权规则匹配用户,为符合规则的用户提供特定的权限集合。

iMaster NCE-Campus存在缺省授权规则default,授权结果为拒绝接入,缺省模板支持修改,可以修改为其他授权结果。

背景信息

终端用户认证通过后具备哪些权限由授权结果指定,认证通过后满足配置的授权规则,表示匹配授权策略,授权结果对匹配该授权规则的终端用户生效。如果所有授权规则均不设置,表示适用于所有认证通过后的终端用户。

操作步骤
  1. 在主菜单中选择准入 > 准入策略 > 认证授权 > 授权规则
  2. 单击“创建”,配置授权规则。认证方式选择用户接入认证。对接第三方设备进行认证时,如果授权规则选择了站点、接入设备类型和设备,用户将无法匹配该规则。

参数说明
表5-105 “授权规则”(用户接入认证&开启Portal-HACA协议)

参数名称

说明

匹配条件

用户信息

用户组

基于用户组对通过认证的用户授权。

账号

基于账号对通过认证的用户授权。

角色信息

基于角色对通过认证的用户授权。

位置信息

站点

基于站点对通过认证的用户授权。

准入设备组

基于准入设备组对通过认证的用户授权。

接入设备类型

基于接入设备类型对通过认证的用户授权,当前支持的设备类型为:LSW、AP、WAC、AR、FW。

设备

基于选定的设备信息对通过认证的用户授权。

SSID

基于SSID对通过认证的用户进行授权。仅接入方式为无线时支持此参数。

设备类型

基于终端设备类型对通过认证的用户授权。

操作系统

基于终端设备操作系统对通过认证的用户授权。

终端IP地址范围

基于终端的IP地址范围对通过认证的用户授权。

区域

基于区域对通过认证的用户授权。

其他信息

时间

基于特定时间段对终端用户进行授权。

认证授权结果

指定认证通过后生效的授权结果名称。
表5-106 “授权规则”(用户接入认证&未开启Portal-HACA协议)

参数名称

说明

匹配条件

用户信息

用户组

基于用户组对通过认证的用户授权。

账号

基于账号对通过认证的用户授权。

角色信息

基于角色对通过认证的用户授权。

位置信息

站点

基于站点对通过认证的用户授权。

准入设备组

基于准入设备组队通过认证的用户授权。

接入设备类型

基于接入设备类型对通过认证的用户授权,当前支持的设备类型为:LSW、AP、WAC、FW。

设备

基于设备对通过认证的用户授权。

SSID

基于SSID对通过认证的用户进行授权。仅接入方式为无线时支持此参数。

设备类型

基于终端设备类型对通过认证的用户授权。

操作系统

基于终端设备操作系统对通过认证的用户授权。

区域

基于区域对通过认证的用户授权。

终端IP地址范围

基于终端的IP地址范围对通过认证的用户授权。仅接入方式为有线时支持此参数。

协议信息

使能协议信息匹配

基于协议对通过认证的用户授权。当前支持的协议包括以下几种:

EAP-MD5协议(本地帐号)

EAP-PEAP-MSCHAPv2协议(本地帐号、AD、LDAP)

EAP-TLS协议(本地帐号、AD、LDAP)

EAP-PEAP-GTC协议(本地帐号、AD、LDAP、RADIUS Token)

EAP-TTLS-PAP协议(本地帐号、AD、LDAP)

其他信息

时间

基于特定时间段对用户进行授权。

定制条件

基于定制条件对用户进行授权,用户可以选择内置的RADIUS或者自己设置RADIUS属性,然后将在定制条件中定义需要匹配的RADIUS属性。

认证终端已加入AD域

对已经加入AD域的认证终端进行授权。

认证授权结果

指定认证通过后生效的授权结果名称。
表5-107 “授权规则”(MAC认证)

参数名称

说明

匹配条件

用户信息

MAC帐号映射用户组

基于用户组对通过认证的用户授权。

账号

基于账号对通过认证的用户授权。

角色信息

基于角色对通过认证的用户授权。

位置信息

站点

基于站点对通过认证的用户授权。

准入设备组

基于准入设备组队通过认证的用户授权。

接入设备类型

基于接入设备类型对通过认证的用户授权,当前支持的设备类型为:LSW、AP、WAC。

设备

基于设备对通过认证的用户授权。

SSID

基于SSID对通过认证的用户进行授权。仅接入方式为无线时支持此参数。

设备类型

基于终端设备类型对通过认证的用户授权。

操作系统

基于终端设备操作系统对通过认证的用户授权。

终端IP地址范围

基于终端的IP地址范围对通过认证的用户授权。仅接入方式为有线时支持此参数。

区域

基于区域对通过认证的用户授权。

其他信息

时间

基于特定时间段对终端用户进行授权。

定制条件

基于定制条件对用户进行授权,用户可以选择内置的RADIUS或者自己设置RADIUS属性,然后将在定制条件中定义需要匹配的RADIUS属性。

认证授权结果

指定认证通过后生效的授权结果名称。
表5-108 “授权规则”(设备管理认证)

参数名称

说明

匹配条件

用户信息

用户组

基于用户组对通过认证的用户授权。

账号

基于账号对通过认证的用户授权。

角色信息

基于角色对通过认证的用户授权。

位置信息

准入设备组

基于准入设备组对通过认证的用户授权。

区域

基于区域对通过认证的用户授权。

终端IP范围

基于终端的IP地址范围对通过认证的用户授权。仅接入方式为有线时支持此参数。

其他信息

时间

基于特定时间段对用户进行授权。

定制条件

基于定制条件对用户进行授权,用户可以选择内置的RADIUS或者自己设置RADIUS属性,然后将在定制条件中定义需要匹配的RADIUS属性。

认证授权结果

指定认证通过后生效的授权结果名称。

802.1X认证

配置用户组和用户

背景信息

对于企业员工接入场景,可以使用用户名密码认证方式实现终端用户接入。在Portal认证和802.1x认证过程中,终端用户需要填写如下帐号作为认证信息。

认证方式

帐号类型

说明

用户名密码认证

用户

包括用户名和密码。由租户管理员在iMaster NCE-Campus上预先发放。

说明:

系统预置的终端用户“~anonymous”用于匿名认证,无密码,无法删除或修改。
操作步骤
  1. 在主菜单中选择准入 > 准入资源 > 用户管理 > 用户管理 > 用户

    • 单击,添加单个用户组。

    • 选中指定用户组,单击“创建”,可以在该用户组增加单个用户。

      新建用户时,建议绑定邮箱或者联系电话,以便用于用户重置密码。

      • 单击,可以通过Excel模板批量导入用户和用户组。
      • 单击,导出用户和用户组帐号信息,导出任务创建完成后,点击确定跳转至维护 > 文件管理 > 文件管理 > 下载任务管理 > 导出文件页面查看任务并下载。

参数说明
表5-109 创建用户

参数名称

说明

用户名

终端用户在接入到云化设备时可以使用的认证帐号和密码。

密码

确认密码

角色

设置用户的角色。

邮箱

重置密码时,用户可以通过邮箱或短信方式接收验证码,并根据验证码设置新密码。

联系电话

最大接入终端数

每个帐号下接入网络的最大可同时在线的终端数。该参数对HWTACACS认证接入用户不生效。

过期时间

超过该时间后,该帐号将失效。如果不设置,则表示帐号永久有效。

下次登录修改密码

创建用户后,用户下次登录时需要修改密码。该参数仅对Portal认证生效。该参数对HWTACACS认证接入用户不生效。

设备管理员

设备管理员可以直接使用创建时设置的用户名和密码远程登录设备进行管理。该参数仅对HWTACACS认证生效。

接入绑定信息

绑定终端的IP地址

账号绑定的终端的IP地址。

绑定终端的MAC地址

账号绑定的终端的MAC地址,绑定MAC格式为**-**-**-**-**-**。如:11-11-11-11-11-11。

绑定ESN

账号绑定的ESN号,数据格式为大写英文字母[A-Z]以及数字[0-9]组成的20个字符,例如:2102310WYGG6EC914846。

绑定SIM或USIM卡的IMSI

账号绑定的SIM或IMSI,格式为数字[0-9]组成的1-15位字符。IMSI为敏感数据,请谨慎使用,防止数据泄露。

绑定接入设备

接入设备IP地址

账号绑定的接入设备的IP地址。

端口号

账号绑定的接入设备的端口号。

VLAN

账号绑定的接入设备的VLAN。
表5-110 创建用户组

参数名称

说明

用户组名称

用户组是多个用户的集合。在配置准入策略时,可以指定适用该准入策略的用户组。

(可选)配置帐号角色

背景信息

除用户组外,角色是帐号管理的一个维度。一个帐号只能属于一个用户组,但一个帐号可以属于多个角色,实现帐号与角色之间一对多的关系。角色支持管理员手工创建或AD/LDAP同步时自动创建。角色可应用于认证授权和安全策略分配。

操作步骤
  1. 在主菜单中选择准入 > 准入资源 > 用户管理 > 角色管理

    • 单击“创建”,可以创建单个角色。

    • 创建角色后,单击角色名称后面的,单击“增加”,为角色关联用户、访客或者MAC帐号。

    • 单击“导入”,可以通过Excel模板批量导入多个角色。
    • 单击“导出所有”,可以导出所有角色信息。

配置基础参数

背景信息

用户帐号可以设置有效期,过期一段时间的用户帐号可以自动清理。

用户帐号的密码策略支持设置。

操作步骤
  1. 在主菜单中选择准入 > 准入策略 > 准入设置
  2. 选择“用户密码策略配置”页签,修改用户密码策略。

    通过密码策略,可以合理设置用户密码的复杂度,更新周期和字符限制等策略,避免设置的用户密码过于简单而容易被盗用。iMaster NCE-Campus默认已经设置了用户密码策略,可以根据具体情况进行修改。

  3. 单击“短信验证码”页签,配置短信验证码长度和内容模板。

  4. 单击“高级参数”页签,配置其他增强参数。参数较多,截图中未给出的内容,请参见参数说明。

参数说明
表5-111 “用户密码策略配置参数”

参数名称

说明

密码复杂度

为终端接入帐号设置密码复杂度、长度等要求。

密码长度范围

密码有效期

为终端接入帐号设置密码有效期。

  • 如果密码已超期,将无法使用该帐号接入云化设备。
  • 如果密码将要超期,终端用户使用该帐号接入云化设备时将获得相关提示。建议用户及时修改密码。

密码过期提醒时间

历史密码次数

终端用户在推送页面上修改密码时,不允许与“历史密码次数”所指定次数以内的历史密码相同。

启用用户锁定

启用该功能后,在终端用户使用帐号密码接入云化设备时,在“限定时间段长度”所指定的时长内,如果连续登录的失败次数达到“限定时间内登录失败次数”,则该帐号将锁定一段时间,具体锁定时长由“锁定时间”指定。

限定时间段长度

限定时间内登录失败次数

锁定时间

启用绑定账号IP/MAC地址

配置账号绑定IP/MAC账号。
表5-112 “短信验证码参数”

参数名称

说明

短信验证码生成策略

可用于配置给用户发送的短信验证码的策略,包含以下几种:

  • 数字
  • 字母
  • 数字+字母
  • 数字+字母+特殊字符

短信验证码长度

可用于配置给用户发送的短信验证码的长度。

短信模板

可用于配置给用户发送的短信验证码的内容模板。配置后,系统就按照设置的结果发送短信。系统支持的各种语言共享一份配置的结果。
表5-113 “高级参数”

参数名称

说明

账号有效期配置

支持登录顺延账号有效期

用户通过配置Portal免认证实现MAC优先认证时,打开此开关后,对于自注册用户,在用户有效期内再次登录后,新的用户有效期会在重新登录的时间点后顺延设置的时长。

比如,用户有效期为1天,用户在9月1号8点首次登录,原失效时间为9月2号8点,如果在1号12点再次登录,则失效时间会顺延到2号12点。

Portal免认证配置

说明:

当打开Portal免认证配置开关时,需要同时打开AP或路由器SSID配置、交换机认证配置中的Portal免认证开关。

支持跨站点Portal免认证

当终端连接到某一个站点的SSID之后,系统支持优先使用MAC进行认证。当打开此开关后,可以允许终端连接到其他站点相同SSID并优先使用MAC进行认证。

支持MAC账号Portal免认证

打开此开关后,可以实现MAC优先的Portal认证。对于已经通过Portal认证的MAC账号,在有效期内再次登录时,可以直接认证通过。如果MAC账号在用户管理中已经录入,也会直接认证通过。

支持登录顺延Portal免认证有效期

MAC用户认证通过后,在用户有效期内再次登录后,新的用户有效期会在重新登录的时间点后顺延设置的时长。

基本参数配置

自动清理过期用户

是否自动删除已过期的帐号。开启该功能后,过期超过指定天数的帐号将自动删除。

过期用户保留时间

离线设备用户超时时间

超时时间

设备离线时间超过此参数取值后,系统会注销对应设备上的在线用户。

敏感数据

IMSI数据明文导出

导出账号信息时是否明文导出IMSI数据。

配置启用radius用户名识别策略

启用RADIUS用户名识别规则

启用RADIUS用户名识别策略后, RADIUS用户名将根据用户识别规则携带指定参数。目前只支持携带IMSI和ESN参数,因此配置认证规则时如果配置了接入属性IMSI或者ESN,需要开启此开关。当前支持四种识别规则:

ACCOUNT

IMSI@ACCOUNT

IMSI@ESN@ACCOUNT

ESN@ACCOUNT

RADIUS认证传输协议SSL配置

RADIUS认证传输协议SSL配置

iMaster NCE-Campus缺省使用TLSv1.2作为RADIUS认证传输协议,如果用户需要配置传输协议为TLSv1或者TLSv1.1请执行以下步骤:

  1. 系统管理员执行命令cd /opt/oss/envs/Product-CampusAccountService/20191115134736825/controller/configuration/tlsconfig/进入指定目录。其中20191115134736825为目录时间戳,以实际配置为准。
  2. 系统管理员执行命令vi tlsConfig.properties编辑tlsConfig.properties文件,将enable_tls_config=false修改为enable_tls_config=true。
  3. 如果是最小集群安装,则每个节点的tlsonfig.properties文件都需要修改。
  4. iMaster NCE-Campus配置界面打开此开关,并勾选TLSv1或TLSv1.1,然后单击确定。

TLSv1/TLSv1.1协议是不安全的协议,有数据泄露的风险,建议选择安全性更高TLSv1.2协议。

默认自注册用户策略

用户有效期

对于第三方设备认证场景,仅当Portal页面推送策略绑定的推送页面未绑定访客账号策略时生效。对于云盒设备认证场景,仅当Portal页面推送策略绑定的推送页面未绑定访客账号策略且站点配置中用户自注册开关关闭时生效。

指定访客账号注册时候的“用户有效期”“密码有效期”“用户所属组”

密码有效期

用户所属组

匿名认证

开启匿名认证

配置匿名认证时,开启此功能,设置允许匿名认证的网络区域。

(可选)配置用户在线控制策略

用于配置对终端用户上网时长或流量的限制,达到阈值后用户将强制下线。一般需要对用户计费时,需要进行此配置。

背景信息

在某些公共区域,可以对访客上网的时长或流量做限制。例如,每个帐号一天只能上网一个小时,或者只能使用500Mbit流量,达到阈值时强制用户下线。

上网时长和流量控制策略只在以iMaster NCE-Campus作为Portal服务器和RADIUS服务器中生效,支持的认证方式包括HACA认证、Portal2.0认证、802.1X认证和MAC认证。不认证、密码认证、第三方Portal服务器和第三方RADIUS服务器场景均不生效。

防火墙作为认证点时,不需要进行本任务的配置。

通过终端识别功能和终端自动准入功能上线的终端用户,不会加入任何用户组,因此无法基于用户组配置流量时长策略。

操作步骤
  1. 在主菜单中选择准入 > 准入策略 > 用户在线控制 > 用户控制策略
  2. 选择“流量时长策略”页签,单击“创建”,设置用户在线控制策略。

  3. (可选)在主菜单中选择准入 > 准入策略 >用户在线控制 > 用户控制策略

    1. 选择“最大接入终端数”页签,单击“创建”,新建用户控制策略。

    2. 创建完成后,单击,将已创建的用户控制策略,分配给指定的用户组或者用户。

      创建用户时也支持设置最大接入终端数,同时设置时的优先级按照从大到小排列为:创建用户时的最大接入终端数>分配给用户的用户数>分配给用户组的用户数。创建用户时,如果最大接入终端数开关未打开,以用户控制策略为准,如果开关打开,选择不限制,则以用户创建时候设置为准,即不限制用户数。

后续操作
  1. 在主菜单中选择准入 > 准入策略 >用户在线控制 > 在线用户,查看在线用户,支持租户管理员对在线用户强制下线操作,也可以导出在线用户数据。

    “强制用户下线”仅执行用户下线操作,“强制下线并关闭端口”执行用户下线并关闭该用户所在的认证端口,执行该操作时,需要保证该接口下仅有一个在线用户,否则执行后会导致其他用户下线。

    对于无线接入用户,Eth-Trunk和策略联动场景,关闭端口功能不生效,仅支持强制用户下线。

  2. 在主菜单中选择准入 > 准入策略 >用户在线控制 > 流量时长,查看用户或终端在线流量时长统计数据,可以对指定数据进行重置流量或者重置时长操作。缺省情况下,用户名、终端IP和终端MAC信息匿名化显示,如果要查看详细信息,请在终端隐私设置页面关闭匿名化配置。
参数说明
表5-114 流量时长策略

参数名称

说明

站点

指定流量时长策略生效的站点。站点开关关闭时,该控制策略在租户下的所有站点均生效,配置的流量和时长策略仍然基于单站点进行控制。

用户级/终端级

可以配置用户级流量时长策略,或者终端级流量时长策略,用户级和终端级均有两种策略可以选择:

  • 流量限制:限制某段时间内用户或终端上网的总使用流量。

    开启此策略后,可以针对用户或终端某一时间段内(每天、每周、每月或者每年),设置“流量限制值”,对此时间段的上网总流量进行限制。

  • 时长限制:限制某段时间内用户或终端上网的总时长。

    开启此策略后,可以针对用户或终端某一时间段内(每天、每周、每月或者每年),设置“时长限制值”,对此时间段的上网总时间进行限制。

    配置终端级时长限制时,可以设置单次在线时长限制,单次时长限制值取值范围是5-44640,单位为min,此功能默认不开启,开启后,终端单次在线时长超过时长限制值则强制下线。

    说明:

    由于系统是根据设备上报计费请求报文触发流量或时长的限制功能,而设备上报的计费请求报文是周期性的,因此流量或时长的限制可能存在时长或流量的误差。

    假设:

    1、在SSID配置时设置的计费上报周期为5分钟,而用户或终端在线控制策略设置时控制的时长限制为10分钟。

    2、用户或终端进行portal认证的时间是处于当前计费周期的第4分钟开始的时间。

    在此场景下,当设备第一、二次上报计费请求报文时,用户或终端允许的时长没有使用完,因此可以继续使用;而在第三次时,系统才能判断用户或终端允许的时长已经超过限制,此时系统将限制用户或终端的使用。最终,用户或终端实际使用时长为12分钟,而不是设置的10分钟。

如果同时开启了流量和时长限制,则满足其中任一条件时,即会触发重新认证。

重置流量和时长:

  • 当此开关打开时,并且所允许的流量、时长使用完毕后,用户或终端经过重新认证后,可以再次获得所配置的流量或时长的许可。
  • 当此开关关闭时,如果用户或终端使用完允许的流量、时长后,就不能继续上网。

分配用户组

单击,选择用户组。上述流量或者时长限制的策略设置仅对此用户组下的用户生效。

(可选)配置定制条件

背景信息

RADIUS属性即RADIUS报文中的Attribute字段,用来携带专门的认证、授权和计费信息。iMaster NCE-Campus支持IETF标准的RADIUS属性和厂商基于标准定制的RADIUS属性,也支持用户自定义RADIUS属性。用户可以自定义多条属性按照与、或的关系进行组合,组合为一条定制条件,对符合该定制条件的用户进行认证和授权。

iMaster NCE-Campus存在缺省定制条件Windows主机名认证,社交媒体认证,无线接入,有线接入。其中Windows主机名认证和社交媒体帐号只适用于接入业务,无线接入和有线接入只适用于接入业务和MAC旁路认证业务。缺省模板不支持删除和修改,如果要查看缺省定制条件的详情,单击定制条件右侧的

操作步骤
  1. 在主菜单中选择准入 > 准入策略 > 认证授权 > 策略元素
  2. (可选)如果用户需要自定义RADIUS属性,则选择“RADIUS属性”页签,单击“创建”

  3. 单击“定制条件”页签,创建定制条件。

后续操作

定制条件配置完成后,作为参数在认证规则或者授权规则中引用。

参数说明
表5-115 RADIUS属性参数

参数名称

说明

厂商编号

RADIUS属性所属厂商的编号。

厂商

RADIUS属性所属厂商。

属性编号

RADIUS属性编号。

属性名

RADIUS属性名。

属性类型

RADIUS属性类型,包括:

  • 整数
  • 字符串
  • 十六进制
  • IP地址
表5-116 定制条件参数

参数名称

说明

名称

定制条件的名称

逻辑关系

多条属性之间的逻辑关系,包括:

  • :表示该定制条件的所有属性只要满足一个即可。
  • :表示该定制条件的所有属性必须全部满足。

属性列表

配置属性列表,参数包括:

  • 名称
  • 属性类型整数字符串十六进制IP地址
  • 操作符:属性类型不同时,支持的操作符不同。
    • 当属性类型为IP地址时,操作符为等于或不等于
    • 当属性类型为整数时,操作符为等于、不等于、大于、小于、大于等于、小于等于
    • 当属性值为字符串时,操作符为等于、不等于、包含、不包含、起始于、不起始于
    • 当属性值为十六进制时,操作符为等于、不等于、包含、不包含、起始于、不起始于
  • 属性值

配置RADIUS模板

背景信息

在配置相关业务时,通过引用模板即可在当前配置对象中绑定该模板所包含的一系列参数。

使用iMaster NCE-Campus作为RADIUS服务器,需要配置“使用内置服务器”也可以使用第三方RADIUS服务器。本示例使用内置服务器作为RADIUS服务器。

操作步骤
  1. 选择设计 > 基础网络设计 > 模板管理 > 策略模板,在页签中选择“RADIUS服务器”
  2. 单击“创建”,填写参数,单击“确认”

    • 在配置基于RADIUS服务器认证的SSID时,可以通过选用该模板为SSID设置RADIUS服务器。具体操作请参见配置SSID
    • 只有V200R008C10及后续版本的AP才支持“禁用RADIUS属性”功能,且不同型号支持的RADIUS属性可能有差异。如果所选用的RADIUS模板配置了该参数,应确保目标AP设备满足型号和版本要求,否则会导致SSID业务配置下发失败。在设备的系统视图下执行display radius-attribute命令,可以查看其支持的RADIUS属性。
    • 只有V200R009C00及后续版本的AP才支持“called-station-id属性值设置”功能。
    • 只有V200R008C00及后续版本的AP才支持“实时计费”功能。

参数说明
表5-117 “策略模板”(RADIUS服务器)

参数名称

说明

名称

用于唯一标识RADIUS模板。

使用内置服务器

指定iMaster NCE-Campus为RADIUS服务器。选择使用内置服务器之后,主认证组件/备认证组件可以选择业务管理器或者拉远服务器,业务管理器即总部控制器。

主认证服务器地址/端口

分别指定主备认证服务器的IP地址和端口。

备认证服务器地址/端口

主计费服务器地址/端口

分别指定主备计费服务器的IP地址和端口。

备计费服务器地址/端口

实时计费

实时计费开关,开启后可配置计费上报周期。缺省关闭。

计费上报周期

设置实时计费的时间间隔。

密钥

RADIUS服务器的共享密钥。建议定期更换共享密钥。

禁用RADIUS属性

是否在设备与RADIUS服务器之间通信的报文中过滤特定属性。缺省关闭,即不作过滤。

禁用属性

-

单击“创建”,配置具体过滤策略。

属性名称

单击“...”,从弹出窗口中选择需要过滤的属性名称。

禁止发送

禁止设备向RADIUS服务器发送指定RADIUS属性的网络报文。

禁止接收

禁止设备接收来自RADIUS服务器的、指定RADIUS属性的网络报文。

Service-Type属性值设置

-

不同厂商的RADIUS服务器支持的同一属性的属性值可能有所不同。为了实现与不同的RADIUS服务器对接,设备支持更改RADIUS属性的值。

属性值

设置service-type属性的属性值。

Option

指定用户认证类型为MAC认证。

called-station-id属性值设置

-

打开后可以配置called-station-id属性值,设置RADIUS报文中called-station-id属性封装的内容。当前只有AP支持。缺省关闭。

属性值

called-station-id属性封装的内容,支持ap-mac和ap-location。

是否携带SSID属性

打开后called-station-id属性封装的内容中会包含SSID。缺省关闭。

属性分隔符

called-station-id属性封装的内容包含SSID时,SSID前的分隔符。

枚举类型,只能是1位,取值范围:“\”,“/”,“:”,“<”,“>”,“|”,“@”,“'”,“%”,“*”,“+”,“-”,“&”,“!”,“#”,“^”,“~”,缺省值是“:”。

MAC地址格式设置

根据需要设置RADIUS报文中的MAC地址格式。支持的设置的格式包含:

  • MAC地址大小写
  • MAC地址连接符
  • MAC地址格式

配置认证点

背景信息

认证授权规则配置完成后,需要在网络的认证点上配置认证,比如AP设备配置SSID时需要指定一种认证方式,从而实现对无线接入的终端用户的准入控制。每个SSID只能指定一种认证方式,终端用户接入网络时选择的无线网络就决定了所采用的认证方式。但一个AP允许部署多个SSID,比如员工和访客分别使用不同的SSID接入,可以采用不同的认证方式。

使用iMaster NCE-Campus做RADIUS服务器时,必须安装Radius服务增值特性。

操作步骤
  1. 选择站点。

    1. 在主菜单中选择配置 > 物理网络 > 站点配置
    2. 在左上角“站点”下拉框中选择站点,将该站点设为操作对象。
    3. 选择“站点配置”页签。

  2. 根据实际的认证点选择对应的配置流程。

    认证点

    配置流程

    AP
    1. 在左侧导航中选择AP > SSID,单击“创建”,配置SSID基本信息。
    2. “安全认证”页面中将“认证方式”设置为“安全网络”,设置加密方式,并通过模板指定RADIUS服务器。
    3. (可选)配置逃生策略,可以在网络故障或者华为云平台升级时,使用逃生策略保证用户基本的网络访问需求。当前支持三种逃生方案,分别是:
      • 允许已认证用户继续使用网络,不允许新用户接入。
      • 允许用户接入,不需要认证。
      • 允许用户接入,不需要认证。使用自定义逃生策略。使用此方案时需要配置逃生策略模板。

    交换机
    1. 在左侧导航中选择交换机 > 认证。选择“有线认证”或者“无线认证”页签。单击“创建”,配置认证信息。
    2. “认证方式”设置为“安全网络”,并通过模板指定RADIUS服务器。
    3. (可选)交换机有线认证场景,如果希望对交换机连接的AP进行免认证,可以“开启使能端口下AP免认证”开关,同时,在配置 > 物理网络 > 站点配置 > 站点配置 > 站点 > 业务配置中开启LLDP和自动识别AP功能。
    4. 配置接口接入模式和终端接入模式,当前支持四种接入方式:
      • 接口下允许多终端接入,多终端分别认证接入:接口允许多个用户上线。该方式设备对每一个用户都会进行接入认证,若认证成功,授予用户独立的网络访问权限。之后,某一用户下线不会影响其他用户。
      • 接口下允许多终端接入,仅第一个终端需要认证接入:接口允许多个用户上线。该方式设备仅对第一个用户进行接入认证,若认证成功,则后续用户共享第一个用户的网络访问权限。之后,若第一个用户下线,其他用户也将下线。
      • 接口下允许单终端接入,单终端接入:接口仅允许一个用户上线。
      • 接口下允许单终端接入,单普通终端通过语音终端接入:接口仅允许一个数据用户和一个语音用户上线。该方式用于一个数据用户通过一个语音终端接入网络的场景。
    5. (可选)配置MAC旁路认证。

      当接入设备接口下同时存在PC和打印机/传真机等哑终端时,如果仅配置802.1X认证,会导致打印机/传真机无法通过认证。此时可以通过MAC旁路认证功能,使不具备802.1X认证能力的哑终端能够通过MAC认证方式接入网络。

    6. (可选)配置逃生策略,可以在网络故障或者华为云平台升级时,使用逃生策略保证用户基本的网络访问需求。当前支持三种逃生方案,分别是:
      • 允许已认证用户继续使用网络,不允许新用户接入。
      • 允许用户接入,不需要认证。
      • 允许用户接入,不需要认证。使用自定义逃生策略。使用此方案时需要配置逃生策略模板。
    说明:

    无线认证配置需要通过Web网管完成,具体操作步骤可以参见《无线接入控制器产品文档》中“配置 > 配置指南(通过Web网管)”部分。

    WAC
    1. 在左侧导航中选择WAC(Fit AP) > 认证。单击“创建”,配置认证信息。
    2. “认证方式”设置为“安全网络”,并通过模板指定RADIUS服务器。
      说明:

      WAC设备侧的配置需要通过Web网管完成,具体操作步骤可以参见《无线接入控制器产品文档》中“配置 > 配置指南(通过Web网管)”部分。

配置认证规则

配置认证规则可以对接入网络的客户端和用户进行认证,保证网络的安全。

iMaster NCE-Campus存在缺省认证规则default,使用本地数据源进行认证,缺省模板支持修改,可以修改为使用第三方数据源进行认证。

配置802.1X认证时,认证方式需要选择用户接入认证。配置MAC认证时,认证方式选择MAC认证

认证规则匹配原则

用户根据网络需求设置认证规则,接入网络的终端用户匹配认证规则后通过认证。一个认证规则中可以配置一个或多个规则参数,且多个规则参数是与的关系。例如,配置认证规则test,规则参数指定站点site1、用户组group1,终端用户申请接入网络时,如果该用户属于用户组group1,且该用户通过站点site1中的认证点设备接入网络,则认证通过,否则认证不通过。认证流程如下图所示:

图5-11 认证流程

test-aaa 测试报文没有设备Mac地址,也不携带有线无线接入类型的标识(当前认证规则通过有线无线接入类型进行匹配,test-aaa 不携带接入类型,匹配默认的包含有线无线的认证规则)。

背景信息

通过设置多个认证规则可以生成一个认证方案。认证方案主要定义用户认证时使用的认证规则信息。配置了多个认证方案时,按优先级匹配,优先级数值越小,优先级越高。如果匹配了高优先级的认证方案,不再往后匹配其他方案。

操作步骤
  1. 在主菜单中选择准入 > 准入策略 > 认证授权 > 认证规则
  2. 单击“创建”,配置认证规则。对接第三方设备进行认证时,如果认证规则选择了站点、接入设备类型和设备,用户将无法匹配该规则。

参数说明
表5-118 认证规则(用户接入认证&开启Portal-HACA协议)

参数名称

说明

匹配条件

用户信息

用户组

基于用户组对用户进行认证。

账号

基于用户账号对用户进行认证。

角色

基于角色对用户进行认证。

位置信息

站点

基于站点对用户进行认证。

准入设备组

基于准入设备组对用户进行认证。

接入设备类型

基于接入设备类型对用户进行认证。当前支持的设备类型包括:LSW、AP、WAC、AR、FW

设备

基于选定的设备信息对用户进行认证。

SSID

基于SSID对用户进行认证。仅接入方式为无线时支持该参数。

设备类型

基于终端设备类型对用户进行认证。

操作系统

基于终端设备操作系统对用户进行认证。

终端IP范围

基于终端IP地址范围对用户进行认证。

其他信息

时间

基于特定时间段对终端用户进行认证。

认证信息

接入参数

开启接入参数后,可以指定接入属性参数与账号绑定一起认证,若开启“不允许未绑定接入参数的帐号接入网络”后,如果帐号的接入参数与配置的绑定参数的不符则认证失败,若开启“自学习接入参数”,认证成功后,接入属性参数与账号自动绑定,在准入 > 准入资源 > 用户管理 > 用户管理中手工绑定。

当前支持的接入属性包括:

设备IP地址,接入VLAN,接入端口,用户MAC地址,用户IP地址,用户IMSI,用户ESN。

数据源

选择需要认证的数据源,可以是本地数据源或者外部认证源同步的用户。

双因子认证

双因子认证方式

设置双因子接入的认证方式。

第二数据源类型

设置双因子接入认证的第二数据源,可以指定动态密码(短信发送)或者RADIUS TOKEN。

第二阶段认证超时时间(秒)

双因子接入认证的第二阶段认证超时时间,取值范围是60-100,单位是秒,缺省值是60。
表5-119 认证规则(用户接入认证&未开启Portal-HACA协议)

参数名称

说明

匹配条件

用户信息

用户组

基于用户组对用户进行认证。

账号

基于用户账号对用户进行认证。

角色

基于角色对用户进行认证。

位置信息

站点

基于站点对用户进行认证。

准入设备组

基于准入设备组对用户进行认证。

接入设备类型

基于接入设备类型对用户进行认证。当前支持的设备类型包括:LSW、FW、AP、WAC

设备

基于选定的设备信息对用户进行认证。

SSID

基于SSID对用户进行认证。仅接入方式为无线时支持该参数。

设备类型

基于终端设备类型对用户进行认证。

操作系统

基于终端设备操作系统对用户进行认证。

终端IP范围

基于终端IP地址范围对用户进行认证。仅接入方式为有线时支持该参数。

其他信息

时间

基于特定时间段对用户进行认证。

定制条件

基于定制条件对用户进行认证,用户可以选择内置的RADIUS或者自己设置RADIUS属性,然后将在定制条件中定义需要匹配的RADIUS属性。

认证信息

使能RADIUS中继

基于指定的中继服务器模板对用户进行认证。

接入参数

开启接入参数后,可以指定接入属性参数与账号绑定一起认证,若开启“不允许未绑定接入参数的帐号接入网络”后,如果帐号的接入参数与配置的绑定参数的不符则认证失败,若开启“自学习接入参数”,认证成功后,接入属性参数与账号自动绑定,在准入 > 准入资源 > 用户管理 > 用户管理中手工绑定。

当前支持的接入属性包括:

设备IP地址,接入VLAN,接入端口,用户MAC地址,用户IP地址,用户IMSI,用户ESN。

数据源

选择需要认证的数据源,可以是本地数据源或者外部认证源同步的用户。使能RADIUS中继时,不支持该参数。

双因子认证

双因子认证方式

设置双因子认证方式。支持双因子接入和FW SSL VPN接入两种认证方式。

第二数据源类型

设置双因子接入认证的第二数据源,可以指定动态密码(短信发送)或者RADIUS TOKEN。RADIUS TOKEN只有认证方式为双因子接入时支持。

第二阶段认证超时时间(秒)

双因子接入认证的第二阶段认证超时时间,取值范围是60-100,单位是秒,缺省值是60。

认证协议

允许使用的认证协议,包括:

  • PAP协议
  • CHAP协议
  • EAP-MD5协议
  • EAP-PEAP-MSCHAPv2协议
  • EAP-TLS协议
  • EAP-PEAP-GTC协议
  • EAP-TTLS-PAP协议

使用LDAP账号做Portal2.0认证、FW SSLVPN认证、MAC认证时需要开启PAP协议;同时Portal2.0认证需要开启CHAP协议;如果其他业务需要使用iMaster NCE-Campus作为认证控制器时,请开启对应协议。

其中,可以指定EAP-MD5、EAP-PEAP-MSCHAPv2、EAP-TLS、EAP-PEAP-GTC、EAP-TTLS-PAP协议中的一种为优先识别协议。

使用EAP-PEAP-GTC协议时,需要配置EAP-GTC插件,详细操作请参见EAP-GTC插件配置

使能RADIUS中继时,不支持该参数。

高级选项

账号不存在

配置当账号不存在时的后续认证流程,包括:

  • 继续处理:服务器将继续进行授权规则匹配并向认证设备发送应答报文,该场景不支持EAP-PEAP-MSCHAPV2协议。
    说明:
    • 对于对接AD/LDAP服务器(不同步)、对接HTTPS服务器、对接数据库场景,用户匹配认证规则,但是无法在本地查找到对应的用户账号,需要配置为继续处理,否则会认证失败;
    • 对于对接AD/LDAP服务器(同步账号到本地),用户匹配认证规则,但是账号未与服务器账号完全匹配,例如不带域名等,需要配置为继续处理,否则会认证失败。
  • 不发送应答报文:服务器不向认证设备发送任何应答报文。
  • 拒绝接入:服务器向认证设备发送拒绝接入的应答报文。

身份认证失败

配置当身份认证失败时的后续认证流程,包括:

  • 继续处理:服务器将继续进行授权规则匹配并向认证设备发送应答报文,该场景不支持EAP-PEAP-MSCHAPV2协议。
  • 不发送应答报文:服务器不向认证设备发送任何应答报文。
  • 拒绝接入:服务器向认证设备发送拒绝接入的应答报文。
表5-120 认证规则(MAC认证)

参数名称

说明

匹配条件

用户信息

MAC帐号映射用户组

基于MAC帐号映射用户组对用户进行认证。

MAC账号

基于MAC帐号对用户进行认证。

角色

基于角色对用户进行认证。

位置信息

站点

基于站点对用户进行认证。

准入设备组

基于准入设备组对用户进行认证。

接入设备类型

基于接入设备类型对用户进行认证。当前支持的设备类型包括:LSW、AP、WAC。

设备

基于选定的设备信息对用户进行认证。

SSID

基于SSID对用户进行认证。仅接入方式为无线时支持该参数。

设备类型

基于终端设备类型对用户进行认证。

操作系统

基于终端设备操作系统对用户进行认证。

终端IP范围

基于终端IP地址范围对用户进行认证。仅接入方式为有线时支持该参数。

其他信息

时间

基于特定时间段对终端用户进行认证。

定制条件

基于定制条件对用户进行认证,用户可以选择内置的RADIUS或者自己设置RADIUS属性,然后将在定制条件中定义需要匹配的RADIUS属性。

认证信息

使能RADIUS中继

基于指定的中继服务器模板对用户进行认证。

接入参数

开启接入参数后,可以指定接入属性参数与账号绑定一起认证,若开启“不允许未绑定接入参数的帐号接入网络”后,如果帐号的接入参数与配置的绑定参数的不符则认证失败,若开启“自学习接入参数”,认证成功后,接入属性参数与账号自动绑定,在准入 > 准入资源 > 用户管理 > 用户管理中手工绑定。

当前支持的接入属性包括:

设备IP地址,接入VLAN,接入端口,用户MAC地址,用户IP地址,用户IMSI,用户ESN。

高级选项

账号不存在

配置当账号不存在时的后续认证流程,包括:

  • 继续处理:服务器将继续进行授权规则匹配并向认证设备发送应答报文,该场景不支持EAP-PEAP-MSCHAPV2协议。
  • 不发送应答报文:服务器不向认证设备发送任何应答报文。
  • 拒绝接入:服务器向认证设备发送拒绝接入的应答报文。

身份认证失败

配置当身份认证失败时的后续认证流程,包括:

  • 继续处理:服务器将继续进行授权规则匹配并向认证设备发送应答报文,该场景不支持EAP-PEAP-MSCHAPV2协议。
  • 不发送应答报文:服务器不向认证设备发送任何应答报文。
  • 拒绝接入:服务器向认证设备发送拒绝接入的应答报文。
表5-121 认证规则(设备管理认证)

参数名称

说明

匹配条件

用户信息

用户组

基于用户组对用户进行认证。

账号

基于用户账号对用户进行认证。

角色

基于角色对用户进行认证。

位置信息

准入设备组

基于准入设备组对用户进行认证。

终端IP范围

基于终端IP地址范围对用户进行认证。

其他信息

时间

基于特定时间段对终端用户进行认证。

定制条件

基于定制条件对用户进行认证,用户可以选择内置的RADIUS或者自己设置RADIUS属性,然后将在定制条件中定义需要匹配的RADIUS属性。

认证信息

使能RADIUS中继

基于指定的中继服务器模板对用户进行认证。

接入参数

开启接入参数后,可以指定接入属性参数与账号绑定一起认证,若开启“不允许未绑定接入参数的帐号接入网络”后,如果帐号的接入参数与配置的绑定参数的不符则认证失败,若开启“自学习接入参数”,认证成功后,接入属性参数与账号自动绑定,在准入 > 准入资源 > 用户管理 > 用户管理中手工绑定。

当前支持的接入属性包括:

设备IP地址,接入VLAN,接入端口,用户MAC地址,用户IP地址,用户IMSI,用户ESN。

数据源

选择需要认证的数据源,可以是本地数据源或者外部认证源同步的用户。使能RADIUS中继时,不支持该参数。

认证协议

允许使用的认证协议,包括:

  • PAP协议
  • CHAP协议

使能RADIUS中继时,不支持该参数。

高级选项

账号不存在

配置当账号不存在时的后续认证流程,包括:

  • 继续处理:服务器将继续进行授权规则匹配并向认证设备发送应答报文,该场景不支持EAP-PEAP-MSCHAPV2协议。
  • 不发送应答报文:服务器不向认证设备发送任何应答报文。
  • 拒绝接入:服务器向认证设备发送拒绝接入的应答报文。

身份认证失败

配置当身份认证失败时的后续认证流程,包括:

  • 继续处理:服务器将继续进行授权规则匹配并向认证设备发送应答报文,该场景不支持EAP-PEAP-MSCHAPV2协议。
  • 不发送应答报文:服务器不向认证设备发送任何应答报文。
  • 拒绝接入:服务器向认证设备发送拒绝接入的应答报文。

配置授权结果

背景信息

配置Portal认证、802.1X认证和MAC认证时,用于配置终端用户认证通过后所获得的权限集、流量限速策略、过滤策略等。适用于认证点在FW、AR、AP、LSW、WAC的场景,可以针对特定的用户群完成配置。

配置设备管理认证时,管理员用户认证通过后具备哪些权限由授权结果指定,权限的集合包括允许用户配置的命令级别,命令集合。

iMaster NCE-Campus存在缺省授权结果允许接入和拒绝接入,缺省模板绑定所有站点,不可修改和删除。

配置设备管理认证时,终端用户认证通过后具备哪些权限由授权结果指定,权限的集合可以包括ACL定义的目的IP地址、协议、端口,允许或禁止访问的URL,终端上下行带宽等。

在配置SSID时指定的流量和权限控制是指终端用户在连接上该SSID后具备的流量和权限集合。授权结果中指定的权限集合根据终端用户认证后所匹配的策略动态授权。终端用户最终的权限集是SSID和授权结果中的权限集叠加。

操作步骤
  1. 在主菜单中选择准入 > 准入策略 > 认证授权 > 授权结果
  2. 单击“创建”,配置授权结果。不同类型设备支持的授权结果参数不同,具体支持情况参见界面说明。

  3. 单击“完成”后继续绑定站点,或者选择已创建的授权结果,单击绑定授权结果需要绑定的站点。

参数说明
表5-122 “授权结果”

参数说明

说明

设备管理业务

配置设备管理认证时开启此开关,开关打开后可以配置:

网管登录级别:匹配授权规则的用户指定登录优先级,取值范围是0-15。仅华为认证设备支持此参数。

自定义授权参数:匹配授权规则的用户设置的自定义授权参数。自定义授权参数包括属性号、厂商、属性类型和属性值,用户根据需要设置需要调整的RADUIS属性值。支持的RADIUS属性请参见配置界面。

开启“设备管理业务”后,下面所有参数不再支持。

是否匹配VIP用户

使能此功能后,AP设备在AP> 射频以及AP > SSID中设置“接入阈值策略”,对VIP用户优先接入。

LSW设备在设计 > 基础网络设计 > 模板管理 > 策略模板中配置应用调度模板,对VIP用户设置保障带宽。

ACL/动态ACL

基于ACL或者动态ACL控制允许或禁止访问指定资源。

  • ACL:在认证控制设备配置ACL规则,iMaster NCE-Campus授权后给认证控制设备下发ACL编号。认证控制设备根据下发的ACL编号匹配具体ACL规则,实现准入控制。
    说明:

    支持AP、LSW、AR,仅支持有ACL编号的ACL,不支持编号为编号段的ACL。其中无线用户使用3001~3031,有线用户使用3001~3988。

  • 动态ACL:在iMaster NCE-Campus配置ACL规则,授权给用户的ACL规则动态下发到认证控制设备,根据下发的ACL规则准入控制。
    说明:

    仅华为交换机支持动态ACL授权方式,其他厂商设备和华为WLAN设备不支持。

IPV6 ACL

基于IPv6 ACL控制允许或禁止访问指定资源。交换机仅部分款型支持IPv6 ACL,支持情况请参见交换机手册的acl-id(业务方案视图)命令。

说明:

仅支持LSW,仅支持有ACL编号的IPv6 ACL,不支持编号为编号段的ACL。其中无线用户使用3001~3031,有线用户使用3001~3999。

安全组

将匹配授权规则的终端用户动态授权加入指定安全组。

URL过滤
  • 黑名单过滤模式:禁止访问URL“过滤列表”中的网站。
  • 白名单过滤模式:只允许访问URL“过滤列表”中的网站。
说明:

仅AP支持此参数,中心AP不支持URL过滤。

VLAN

匹配授权规则的终端用户设置VLAN ID。不同的控制策略可以绑定不同的VLAN ID,也可以绑定相同的VLAN ID。支持VLAN和VLAN pool两种格式。

配置为授权VLAN的接口链路类型必须为Hybrid,可以在主菜单中选择配置 > 物理网络 > 站点配置进入“站点配置”页签,在左侧导航中选择交换机 > 接口 > 物理接口进行配置。

启用下行流量/启用上行流量

限制每个终端的上下行带宽。

DSCP

匹配授权规则的终端用户设置DSCP。通过DSCP(Differentiated Services Code Point)标识,实现对终端设备的流量QoS分类。

强制重定向

强制重定向到指定的ACL或者URL,支持的业务类型包括普通认证,Boarding功能,CWA认证。

  • 强制重定向ACL:表示只对匹配ACL规则的用户重定向到指定URL,支持acl-number或者acl-name。其中acl-name必须以字符开始,acl-number的取值范围是IPv4:3000-3988(有线用户)或3000-3031(无线用户),IPv6:3000-3999(有线用户)或3000-3031(无线用户)。仅华为设备支持,属性号/名称为HW-Redirect-ACL(173)。
  • 强制重定向URL:如果RADIUS服务器下发的强制重定向URL匹配了设备配置的URL模板,则使用URL模板下配置的URL,否则,按照RADIUS服务器下发的URL字符串进行推送。仅华为设备支持,属性号/名称为HW-Portal-URL(156)。

自定义授权参数

匹配授权规则的终端用户设置的自定义授权参数。自定义授权参数包括属性号、厂商、属性类型和属性值,用户根据需要设置需要调整的RADUIS属性值。支持的RADIUS属性请参见配置界面。

配置授权规则

对于通过认证的用户进行授权时,需要根据授权规则匹配用户,为符合规则的用户提供特定的权限集合。

iMaster NCE-Campus存在缺省授权规则default,授权结果为拒绝接入,缺省模板支持修改,可以修改为其他授权结果。

背景信息

终端用户认证通过后具备哪些权限由授权结果指定,认证通过后满足配置的授权规则,表示匹配授权策略,授权结果对匹配该授权规则的终端用户生效。如果所有授权规则均不设置,表示适用于所有认证通过后的终端用户。

操作步骤
  1. 在主菜单中选择准入 > 准入策略 > 认证授权 > 授权规则
  2. 单击“创建”,配置授权规则。认证方式选择用户接入认证。对接第三方设备进行认证时,如果授权规则选择了站点、接入设备类型和设备,用户将无法匹配该规则。

参数说明
表5-123 “授权规则”(用户接入认证&开启Portal-HACA协议)

参数名称

说明

匹配条件

用户信息

用户组

基于用户组对通过认证的用户授权。

账号

基于账号对通过认证的用户授权。

角色信息

基于角色对通过认证的用户授权。

位置信息

站点

基于站点对通过认证的用户授权。

准入设备组

基于准入设备组对通过认证的用户授权。

接入设备类型

基于接入设备类型对通过认证的用户授权,当前支持的设备类型为:LSW、AP、WAC、AR、FW。

设备

基于选定的设备信息对通过认证的用户授权。

SSID

基于SSID对通过认证的用户进行授权。仅接入方式为无线时支持此参数。

设备类型

基于终端设备类型对通过认证的用户授权。

操作系统

基于终端设备操作系统对通过认证的用户授权。

终端IP地址范围

基于终端的IP地址范围对通过认证的用户授权。

区域

基于区域对通过认证的用户授权。

其他信息

时间

基于特定时间段对终端用户进行授权。

认证授权结果

指定认证通过后生效的授权结果名称。
表5-124 “授权规则”(用户接入认证&未开启Portal-HACA协议)

参数名称

说明

匹配条件

用户信息

用户组

基于用户组对通过认证的用户授权。

账号

基于账号对通过认证的用户授权。

角色信息

基于角色对通过认证的用户授权。

位置信息

站点

基于站点对通过认证的用户授权。

准入设备组

基于准入设备组队通过认证的用户授权。

接入设备类型

基于接入设备类型对通过认证的用户授权,当前支持的设备类型为:LSW、AP、WAC、FW。

设备

基于设备对通过认证的用户授权。

SSID

基于SSID对通过认证的用户进行授权。仅接入方式为无线时支持此参数。

设备类型

基于终端设备类型对通过认证的用户授权。

操作系统

基于终端设备操作系统对通过认证的用户授权。

区域

基于区域对通过认证的用户授权。

终端IP地址范围

基于终端的IP地址范围对通过认证的用户授权。仅接入方式为有线时支持此参数。

协议信息

使能协议信息匹配

基于协议对通过认证的用户授权。当前支持的协议包括以下几种:

EAP-MD5协议(本地帐号)

EAP-PEAP-MSCHAPv2协议(本地帐号、AD、LDAP)

EAP-TLS协议(本地帐号、AD、LDAP)

EAP-PEAP-GTC协议(本地帐号、AD、LDAP、RADIUS Token)

EAP-TTLS-PAP协议(本地帐号、AD、LDAP)

其他信息

时间

基于特定时间段对用户进行授权。

定制条件

基于定制条件对用户进行授权,用户可以选择内置的RADIUS或者自己设置RADIUS属性,然后将在定制条件中定义需要匹配的RADIUS属性。

认证终端已加入AD域

对已经加入AD域的认证终端进行授权。

认证授权结果

指定认证通过后生效的授权结果名称。
表5-125 “授权规则”(MAC认证)

参数名称

说明

匹配条件

用户信息

MAC帐号映射用户组

基于用户组对通过认证的用户授权。

账号

基于账号对通过认证的用户授权。

角色信息

基于角色对通过认证的用户授权。

位置信息

站点

基于站点对通过认证的用户授权。

准入设备组

基于准入设备组队通过认证的用户授权。

接入设备类型

基于接入设备类型对通过认证的用户授权,当前支持的设备类型为:LSW、AP、WAC。

设备

基于设备对通过认证的用户授权。

SSID

基于SSID对通过认证的用户进行授权。仅接入方式为无线时支持此参数。

设备类型

基于终端设备类型对通过认证的用户授权。

操作系统

基于终端设备操作系统对通过认证的用户授权。

终端IP地址范围

基于终端的IP地址范围对通过认证的用户授权。仅接入方式为有线时支持此参数。

区域

基于区域对通过认证的用户授权。

其他信息

时间

基于特定时间段对终端用户进行授权。

定制条件

基于定制条件对用户进行授权,用户可以选择内置的RADIUS或者自己设置RADIUS属性,然后将在定制条件中定义需要匹配的RADIUS属性。

认证授权结果

指定认证通过后生效的授权结果名称。
表5-126 “授权规则”(设备管理认证)

参数名称

说明

匹配条件

用户信息

用户组

基于用户组对通过认证的用户授权。

账号

基于账号对通过认证的用户授权。

角色信息

基于角色对通过认证的用户授权。

位置信息

准入设备组

基于准入设备组对通过认证的用户授权。

区域

基于区域对通过认证的用户授权。

终端IP范围

基于终端的IP地址范围对通过认证的用户授权。仅接入方式为有线时支持此参数。

其他信息

时间

基于特定时间段对用户进行授权。

定制条件

基于定制条件对用户进行授权,用户可以选择内置的RADIUS或者自己设置RADIUS属性,然后将在定制条件中定义需要匹配的RADIUS属性。

认证授权结果

指定认证通过后生效的授权结果名称。

MAC认证

录入MAC帐号

背景信息

对于打印机、电话等哑终端接入网络的场景,推荐使用如下方式实现终端用户的MAC认证接入。

认证方式

帐号类型

说明

MAC认证

MAC

包括MAC地址列表,由租户管理员在iMaster NCE-Campus上预先发放。
操作步骤
  1. 在主菜单中选择准入 > 准入资源 > 用户管理 > 用户管理 > MAC帐号

    • 单击“创建”,可以创建一个MAC帐号。

参数说明
表5-127 创建MAC账号

参数名称

说明

MAC账号名称

MAC账号标识。

MAC列表

允许终端用户接入的MAC地址列表。

用户组

MAC账号所属的用户组。

角色

MAC账号的角色。

接入绑定信息

绑定终端的IP地址

账号绑定的终端的IP地址。

绑定ESN

账号绑定的ESN号,数据格式为大写英文字母[A-Z]以及数字[0-9]组成的20个字符,例如:2102310WYGG6EC914846。

绑定SIM或USIM卡的IMSI

账号绑定的SIM或IMSI,格式为数字[0-9]组成的1-15位字符。IMSI为敏感数据,请谨慎使用,防止数据泄露。

绑定接入设备

接入设备IP地址

账号绑定的接入设备的IP地址。

端口号

账号绑定的接入设备的端口号。

VLAN

账号绑定的接入设备的VLAN。

(可选)配置帐号角色

背景信息

除用户组外,角色是帐号管理的一个维度。一个帐号只能属于一个用户组,但一个帐号可以属于多个角色,实现帐号与角色之间一对多的关系。角色支持管理员手工创建或AD/LDAP同步时自动创建。角色可应用于认证授权和安全策略分配。

操作步骤
  1. 在主菜单中选择准入 > 准入资源 > 用户管理 > 角色管理

    • 单击“创建”,可以创建单个角色。

    • 创建角色后,单击角色名称后面的,单击“增加”,为角色关联用户、访客或者MAC帐号。

    • 单击“导入”,可以通过Excel模板批量导入多个角色。
    • 单击“导出所有”,可以导出所有角色信息。

(可选)配置用户在线控制策略

用于配置对终端用户上网时长或流量的限制,达到阈值后用户将强制下线。一般需要对用户计费时,需要进行此配置。

背景信息

在某些公共区域,可以对访客上网的时长或流量做限制。例如,每个帐号一天只能上网一个小时,或者只能使用500Mbit流量,达到阈值时强制用户下线。

上网时长和流量控制策略只在以iMaster NCE-Campus作为Portal服务器和RADIUS服务器中生效,支持的认证方式包括HACA认证、Portal2.0认证、802.1X认证和MAC认证。不认证、密码认证、第三方Portal服务器和第三方RADIUS服务器场景均不生效。

防火墙作为认证点时,不需要进行本任务的配置。

通过终端识别功能和终端自动准入功能上线的终端用户,不会加入任何用户组,因此无法基于用户组配置流量时长策略。

操作步骤
  1. 在主菜单中选择准入 > 准入策略 > 用户在线控制 > 用户控制策略
  2. 选择“流量时长策略”页签,单击“创建”,设置用户在线控制策略。

  3. (可选)在主菜单中选择准入 > 准入策略 >用户在线控制 > 用户控制策略

    1. 选择“最大接入终端数”页签,单击“创建”,新建用户控制策略。

    2. 创建完成后,单击,将已创建的用户控制策略,分配给指定的用户组或者用户。

      创建用户时也支持设置最大接入终端数,同时设置时的优先级按照从大到小排列为:创建用户时的最大接入终端数>分配给用户的用户数>分配给用户组的用户数。创建用户时,如果最大接入终端数开关未打开,以用户控制策略为准,如果开关打开,选择不限制,则以用户创建时候设置为准,即不限制用户数。

后续操作
  1. 在主菜单中选择准入 > 准入策略 >用户在线控制 > 在线用户,查看在线用户,支持租户管理员对在线用户强制下线操作,也可以导出在线用户数据。

    “强制用户下线”仅执行用户下线操作,“强制下线并关闭端口”执行用户下线并关闭该用户所在的认证端口,执行该操作时,需要保证该接口下仅有一个在线用户,否则执行后会导致其他用户下线。

    对于无线接入用户,Eth-Trunk和策略联动场景,关闭端口功能不生效,仅支持强制用户下线。

  2. 在主菜单中选择准入 > 准入策略 >用户在线控制 > 流量时长,查看用户或终端在线流量时长统计数据,可以对指定数据进行重置流量或者重置时长操作。缺省情况下,用户名、终端IP和终端MAC信息匿名化显示,如果要查看详细信息,请在终端隐私设置页面关闭匿名化配置。
参数说明
表5-128 流量时长策略

参数名称

说明

站点

指定流量时长策略生效的站点。站点开关关闭时,该控制策略在租户下的所有站点均生效,配置的流量和时长策略仍然基于单站点进行控制。

用户级/终端级

可以配置用户级流量时长策略,或者终端级流量时长策略,用户级和终端级均有两种策略可以选择:

  • 流量限制:限制某段时间内用户或终端上网的总使用流量。

    开启此策略后,可以针对用户或终端某一时间段内(每天、每周、每月或者每年),设置“流量限制值”,对此时间段的上网总流量进行限制。

  • 时长限制:限制某段时间内用户或终端上网的总时长。

    开启此策略后,可以针对用户或终端某一时间段内(每天、每周、每月或者每年),设置“时长限制值”,对此时间段的上网总时间进行限制。

    配置终端级时长限制时,可以设置单次在线时长限制,单次时长限制值取值范围是5-44640,单位为min,此功能默认不开启,开启后,终端单次在线时长超过时长限制值则强制下线。

    说明:

    由于系统是根据设备上报计费请求报文触发流量或时长的限制功能,而设备上报的计费请求报文是周期性的,因此流量或时长的限制可能存在时长或流量的误差。

    假设:

    1、在SSID配置时设置的计费上报周期为5分钟,而用户或终端在线控制策略设置时控制的时长限制为10分钟。

    2、用户或终端进行portal认证的时间是处于当前计费周期的第4分钟开始的时间。

    在此场景下,当设备第一、二次上报计费请求报文时,用户或终端允许的时长没有使用完,因此可以继续使用;而在第三次时,系统才能判断用户或终端允许的时长已经超过限制,此时系统将限制用户或终端的使用。最终,用户或终端实际使用时长为12分钟,而不是设置的10分钟。

如果同时开启了流量和时长限制,则满足其中任一条件时,即会触发重新认证。

重置流量和时长:

  • 当此开关打开时,并且所允许的流量、时长使用完毕后,用户或终端经过重新认证后,可以再次获得所配置的流量或时长的许可。
  • 当此开关关闭时,如果用户或终端使用完允许的流量、时长后,就不能继续上网。

分配用户组

单击,选择用户组。上述流量或者时长限制的策略设置仅对此用户组下的用户生效。

配置RADIUS模板

背景信息

在配置相关业务时,通过引用模板即可在当前配置对象中绑定该模板所包含的一系列参数。

使用iMaster NCE-Campus作为RADIUS服务器,需要配置“使用内置服务器”也可以使用第三方RADIUS服务器。本示例使用内置服务器作为RADIUS服务器。

操作步骤
  1. 选择设计 > 基础网络设计 > 模板管理 > 策略模板,在页签中选择“RADIUS服务器”
  2. 单击“创建”,填写参数,单击“确认”

    • 在配置基于RADIUS服务器认证的SSID时,可以通过选用该模板为SSID设置RADIUS服务器。具体操作请参见配置SSID
    • 只有V200R008C10及后续版本的AP才支持“禁用RADIUS属性”功能,且不同型号支持的RADIUS属性可能有差异。如果所选用的RADIUS模板配置了该参数,应确保目标AP设备满足型号和版本要求,否则会导致SSID业务配置下发失败。在设备的系统视图下执行display radius-attribute命令,可以查看其支持的RADIUS属性。
    • 只有V200R009C00及后续版本的AP才支持“called-station-id属性值设置”功能。
    • 只有V200R008C00及后续版本的AP才支持“实时计费”功能。

参数说明
表5-129 “策略模板”(RADIUS服务器)

参数名称

说明

名称

用于唯一标识RADIUS模板。

使用内置服务器

指定iMaster NCE-Campus为RADIUS服务器。选择使用内置服务器之后,主认证组件/备认证组件可以选择业务管理器或者拉远服务器,业务管理器即总部控制器。

主认证服务器地址/端口

分别指定主备认证服务器的IP地址和端口。

备认证服务器地址/端口

主计费服务器地址/端口

分别指定主备计费服务器的IP地址和端口。

备计费服务器地址/端口

实时计费

实时计费开关,开启后可配置计费上报周期。缺省关闭。

计费上报周期

设置实时计费的时间间隔。

密钥

RADIUS服务器的共享密钥。建议定期更换共享密钥。

禁用RADIUS属性

是否在设备与RADIUS服务器之间通信的报文中过滤特定属性。缺省关闭,即不作过滤。

禁用属性

-

单击“创建”,配置具体过滤策略。

属性名称

单击“...”,从弹出窗口中选择需要过滤的属性名称。

禁止发送

禁止设备向RADIUS服务器发送指定RADIUS属性的网络报文。

禁止接收

禁止设备接收来自RADIUS服务器的、指定RADIUS属性的网络报文。

Service-Type属性值设置

-

不同厂商的RADIUS服务器支持的同一属性的属性值可能有所不同。为了实现与不同的RADIUS服务器对接,设备支持更改RADIUS属性的值。

属性值

设置service-type属性的属性值。

Option

指定用户认证类型为MAC认证。

called-station-id属性值设置

-

打开后可以配置called-station-id属性值,设置RADIUS报文中called-station-id属性封装的内容。当前只有AP支持。缺省关闭。

属性值

called-station-id属性封装的内容,支持ap-mac和ap-location。

是否携带SSID属性

打开后called-station-id属性封装的内容中会包含SSID。缺省关闭。

属性分隔符

called-station-id属性封装的内容包含SSID时,SSID前的分隔符。

枚举类型,只能是1位,取值范围:“\”,“/”,“:”,“<”,“>”,“|”,“@”,“'”,“%”,“*”,“+”,“-”,“&”,“!”,“#”,“^”,“~”,缺省值是“:”。

MAC地址格式设置

根据需要设置RADIUS报文中的MAC地址格式。支持的设置的格式包含:

  • MAC地址大小写
  • MAC地址连接符
  • MAC地址格式

配置认证点

背景信息

认证授权规则配置完成后,需要在网络的认证点上配置认证,比如AP设备配置SSID时需要指定一种认证方式,从而实现对无线接入的终端用户的准入控制。每个SSID只能指定一种认证方式,终端用户接入网络时选择的无线网络就决定了所采用的认证方式。但一个AP允许部署多个SSID,比如员工和访客分别使用不同的SSID接入,可以采用不同的认证方式。

操作步骤
  1. 选择站点。

    1. 在主菜单中选择配置 > 物理网络 > 站点配置
    2. 在左上角“站点”下拉框中选择站点,将该站点设为操作对象。
    3. 选择“站点配置”页签。

  2. 根据实际的认证点选择对应的配置流程。

    认证点

    配置流程

    AP
    1. 在左侧导航中选择AP > SSID,单击“创建”,配置SSID基本信息。
    2. “安全认证”页面中将“认证方式”设置为“半开放网络”“MAC认证”,并通过模板指定RADIUS服务器。
    3. (可选)配置逃生策略,可以在网络故障或者华为云平台升级时,使用逃生策略保证用户基本的网络访问需求。当前支持三种逃生方案,分别是:
      • 允许已认证用户继续使用网络,不允许新用户接入。
      • 允许用户接入,不需要认证。
      • 允许用户接入,不需要认证。使用自定义逃生策略。使用此方案时需要配置逃生策略模板。

    交换机
    1. 在左侧导航中选择交换机 > 认证。选择“有线认证”或者“无线认证”页签。单击“创建”,配置认证信息。
    2. “认证方式”设置为“半开放网络”,无线认证时选择“MAC认证”,并通过模板指定RADIUS服务器。
    3. (可选)交换机有线认证场景,如果希望对交换机连接的AP进行免认证,可以“开启使能端口下AP免认证”开关,同时,在配置 > 物理网络 > 站点配置 > 站点配置 > 站点 > 业务配置中开启LLDP和自动识别AP功能。
    4. 配置接口接入模式和终端接入模式,当前支持四种接入方式:
      • 接口下允许多终端接入,多终端分别认证接入:接口允许多个用户上线。该方式设备对每一个用户都会进行接入认证,若认证成功,授予用户独立的网络访问权限。之后,某一用户下线不会影响其他用户。
      • 接口下允许多终端接入,仅第一个终端需要认证接入:接口允许多个用户上线。该方式设备仅对第一个用户进行接入认证,若认证成功,则后续用户共享第一个用户的网络访问权限。之后,若第一个用户下线,其他用户也将下线。
      • 接口下允许单终端接入,单终端接入:接口仅允许一个用户上线。
      • 接口下允许单终端接入,单普通终端通过语音终端接入:接口仅允许一个数据用户和一个语音用户上线。该方式用于一个数据用户通过一个语音终端接入网络的场景。
    5. (可选)配置逃生策略,可以在网络故障或者华为云平台升级时,使用逃生策略保证用户基本的网络访问需求。当前支持三种逃生方案,分别是:
      • 允许已认证用户继续使用网络,不允许新用户接入。
      • 允许用户接入,不需要认证。
      • 允许用户接入,不需要认证。使用自定义逃生策略。使用此方案时需要配置逃生策略模板。
    说明:
    • 缺省情况下,交换机设备通过DHCP/ARP/DHCPv6/ND报文触发MAC认证。如果哑终端配置了静态IPv4地址,此时终端和认证设备间没有DHCP报文或ARP报文,因此无法触发对用户进行MAC认证。
    • 无线认证配置需要通过Web网管完成,具体操作步骤可以参见《无线接入控制器产品文档》中“配置 > 配置指南(通过Web网管)”部分。

    WAC
    1. 在左侧导航中选择WAC(Fit AP) > 认证。单击“创建”,配置认证信息。
    2. “认证方式”设置为“半开放网络”“MAC认证”,并通过模板指定RADIUS服务器。
      说明:

      WAC设备侧的配置需要通过Web网管完成,具体操作步骤可以参见《无线接入控制器产品文档》中“配置 > 配置指南(通过Web网管)”部分。

配置认证规则

配置认证规则可以对接入网络的客户端和用户进行认证,保证网络的安全。

iMaster NCE-Campus存在缺省认证规则default,使用本地数据源进行认证,缺省模板支持修改,可以修改为使用第三方数据源进行认证。

配置802.1X认证时,认证方式需要选择用户接入认证。配置MAC认证时,认证方式选择MAC认证

认证规则匹配原则

用户根据网络需求设置认证规则,接入网络的终端用户匹配认证规则后通过认证。一个认证规则中可以配置一个或多个规则参数,且多个规则参数是与的关系。例如,配置认证规则test,规