2、物联网协议:包括TCP/IP、UDP、>选择“准入 > 准入资源 > 准入设备”,然后选择“准入设备管理 > 第三方准入设备”页签。单击“创建”,按规划数据将核心交换机添加为准入控制设备。配置完成后,单击“确定”。
配置用户接入与认证(员工、访客)
本案例中采用iMaster NCE-Campus内置的认证服务器,对于员工、访客,采用传统的接入认证方式,需要在iMaster NCE-Campus上添加用户账号、配置用户认证方式等,然后对用户进行认证授权。iMaster NCE-Campus可以在同一类用户组的授权结果中绑定相应安全组,认证控制点设备在执行安全组策略时,能够基于绑定的安全组控制用户访问权限。
添加用户账号
背景信息
在用户管理页面,增加用户组及组内帐号,用户可以通过该帐号进行认证。建议将同一权限的用户帐号分配在同一用户组,方便后续以用户组为单位进行授权 *** 作。
数据规划
表4-54 用户组数据规划表
用户组
终端账号
RD_Wired_Employee_Group(研发部有线员工终端)
rd_wired_employee1
RD_Wireless_Employee_Group(研发部无线员工终端)
rd_wireless_employee1
Market_Wired_Employee_Group(市场部有线员工终端)
market_wired_employee1
Market_Wireless_Employee_Group(市场部无线员工终端)
market_wireless_employee1
Wireless_Guest_Group(无线访客终端)
wireless_guest1
*** 作步骤
选择“准入 > 准入资源 > 用户管理”,选择“用户管理 > 用户”页签,单击,按规划数据添加用户组。以用户组RD_Wired_Employee_Group添加为例。
选择用户组,单击“创建”,在该用户组下增加帐号,配置帐号信息。以用户组RD_Wired_Employee_Group添加rd_wired_employee1账号为例。
配置认证规则
背景信息
创建了用户组并添加完用户后,就需要按规划配置用户的认证规则。本案例中,认证规则基于用户组匹配,同一组用户采用相同的认证规则。
数据规划
表4-55 认证规则数据规划表
认证规则
用户组
认证方式
RD_Wired_Employee_Authen
RD_Wired_Employee_Group
8021x认证
RD_Wireless_Employee_Authen
RD_Wireless_Employee_Group
8021x认证
Market_Wired_Employee_Authen
Market_Wired_Employee_Group
8021x认证
Market_Wireless_Employee_Authen
Market_Wireless_Employee_Group
8021x认证
Wireless_Guest_Authen
Wireless_Guest_Group
MAC优先的Portal认证
*** 作步骤
配置8021x认证,以创建认证规则RD_Wired_Employee_Authen为例。
选择“准入 > 准入策略 > 认证授权”,选择“认证规则”页签。单击“创建”,选择“认证方式”为“用户接入认证”,选择接入方式为“有线”。匹配条件开启“使能用户组信息匹配”按钮,“用户组”选择RD_Wired_Employee_Group。然后选择认证协议,配置完成后,单击“确定”。
配置MAC优先的Portal认证。
配置Portal认证规则。
本案例采用Portal采用Portal20协议,即Portal服务器为用户终端提供Web认证页面,并通过Portal服务器,完成向RADIUS服务器的认证。以创建认证规则Wireless_Guest_Authen为例。
选择“准入 > 准入策略 > 认证授权”,选择“认证规则”页签。单击“创建”,选择“认证方式”为“用户接入认证”,选择接入方式为“WIFI”。匹配条件开启“使能用户组信息匹配”按钮,“用户组”选择Wireless_Guest_Group。然后选择认证协议,配置完成后,单击“确定”。
配置Portal免认证策略,使得用户在首次Portal认证后,可以在设置时长内免认证。
选择“准入 > 准入策略 > 用户在线控制”,选择“用户控制策略 > Portal免认证管控策略”页签,单击“创建”。配置免认证策略名称和时长,配置完成后,单击“确定”。
单击创建好的Portal免认证策略Guest_Free_Policy的下拉菜单按钮,选择“分配给用户组”页签,单击“增加”,将Portal免认证策略分配给用户组Wireless_Guest_Group。配置完成后,单击“确定”。
配置Portal页面推送策略。
选择“准入 > 准入资源 > 页面管理”,选择“Portal页面推送策略”页签,单击“创建”。配置策略名称,接入方式选择“无线”,认证方式选择“用户名密码认证”,推送页面选择“默认用户名密码定制页面”。配置完成后,单击“应用”。
配置授权结果和授权规则
背景信息
当用户通过认证后,根据授权规则可以为不同的用户授权不同的授权结果。授权结果包括VLAN、安全组信息等控制用户权限的信息。通过同授权结果的关联,实现对用户权限的控制。
数据规划
表4-56 授权结果和授权规则数据规划表
授权结果
授权规则
用户组
安全组
RD_Wired_Employee_Result
RD_Wired_Employee_Rule
RD_Wired_Employee_Group
RD_Wired_Employee_Sec
RD_Wireless_Employee_Result
RD_Wireless_Employee_Rule
RD_Wireless_Employee_Group
RD_Wireless_Employee_Sec
Market_Wired_Employee_Result
Market_Wired_Employee_Rule
Market_Wired_Employee_Group
Market_Wired_Employee_Sec
Market_Wireless_Employee_Result
Market_Wireless_Employee_Rule
Market_Wireless_Employee_Group
Market_Wireless_Employee_Sec
Wireless_Guest_Result
Wireless_Guest_Rule
Wireless_Guest_Group
Wireless_Guest_Sec
*** 作步骤
配置授权结果,在授权结果中添加安全组信息。
选择“准入 > 准入策略 > 认证授权”,选择“授权结果”页签。以创建授权结果RD_Wired_Employee_Result为例,“安全组”选择RD_Wired_Employee_Sec。配置完成后,单击“确定”。授权结果中的部分参数说明请参见表4-57。
表4-57 配置授权结果的部分参数说明
参数
说明
设备管理业务
配置设备管理认证时开启此开关,开关打开后可以配置网管登录级别和自定义授权参数。自定义授权参数通过调整RADIUS属性值设置。
开启“设备管理业务”后,下面所有参数不再支持。
VIP用户
开启此功能后,结合应用调度模板等,可为VIP用户提供差异化服务。
ACL/动态ACL
基于ACL或者动态ACL控制允许或禁止访问指定资源。
IPV6 ACL
基于IPv6 ACL控制允许或禁止访问指定资源。
安全组
授权结果可选择已配置的安全组。
URL过滤
黑名单过滤模式:禁止访问URL“过滤列表”中的网站。
白名单过滤模式:只允许访问URL“过滤列表”中的网站。
VLAN
授权VLAN。如果VN中已配置VLAN池或者动态类型的子网VLAN,可在下拉列表中选择;也可以手工输入VLAN ID。
启用下行流量/启用上行流量
限制每个终端的上下行带宽。
DSCP
授权结果可设置DSCP。
强制重定向
强制重定向到指定的ACL或者URL。
自定义授权参数
可通过调整RADIUS属性值自定义授权参数。
配置授权规则,使得指定用户组的用户认证通过后,下发指定的授权结果。
选择“准入 > 准入策略 > 认证授权”,选择“授权规则”页签。以创建授权规则RD_Wired_Employee_Rule为例,认证方式选择“用户接入认证”,接入方式选择“有线”。匹配条件开启“使能用户组信息匹配”按钮,“用户组”选择RD_Wired_Employee_Group;“认证授权结果”选择RD_Wired_Employee_Result。配置完成后,单击“确定”。
配置用户接入与认证(哑终端,传统MAC认证方式)
本案例中采用iMaster NCE-Campus内置的认证服务器,对于哑终端,如果采用传统的接入认证方式,需要在iMaster NCE-Campus上添加MAC账号、配置认证方式等,然后对哑终端进行认证授权。iMaster NCE-Campus可以在同一类用户组的授权结果中绑定相应安全组,认证控制点设备在执行安全组策略时,能够基于绑定的安全组控制哑终端访问权限。
添加MAC账号
背景信息
在用户管理页面,首先创建用户组,然后将MAC帐号添加到规划的用户组中,哑终端可以通过该帐号进行认证。建议将同一权限的MAC帐号分配在同一用户组,方便后续以用户组为单位进行授权 *** 作。
数据规划
表4-58 用户组数据规划表
用户组
MAC账号
MAC地址
RD_Wired_Dumb_Group(研发部有线哑终端)
rd_wired_dumb1
00-01-00-01-00-01
RD_Wireless_Dumb_Group(研发部无线哑终端)
rd_wireless_dumb1
00-01-00-01-00-02
Market_Wired_Dumb_Group(市场部有线哑终端)
market_wired_dumb1
00-01-00-01-00-03
Market_Wireless_Dumb_Group(市场部无线哑终端)
market_wireless_dumb1
00-01-00-01-00-04
*** 作步骤
选择“准入 > 准入资源 > 用户管理”,选择“用户管理 > 用户”页签,单击,按规划数据添加用户组。以用户组RD_Wired_Dumb_Group添加为例。
选择“准入 > 准入资源 > 用户管理”,选择“MAC账号”页签,单击“创建”,配置MAC帐号信息。以创建MAC账号rd_wired_dumb1,并添加到用户组RD_Wired_Dumb_Group为例。
配置认证规则
背景信息
创建了用户组并添加完用户后,就需要根据按规划配置用户的认证规则。本案例中,认证规则基于用户组匹配,同一组用户采用相同的认证规则。
数据规划
表4-59 认证规则数据规划表
认证规则
用户组
认证方式
RD_Wired_Dumb_Authen1
RD_Wired_Dumb_Group
MAC认证
RD_Wireless_Dumb_Authen1
RD_Wireless_Dumb_Group
MAC认证
Market_Wired_Dumb_Authen1
Market_Wired_Dumb_Group
MAC认证
Market_Wireless_Dumb_Authen1
Market_Wireless_Dumb_Group
MAC认证
*** 作步骤
以创建认证规则RD_Wired_Dumb_Authen1为例。
选择“准入 > 准入策略 > 认证授权”,选择“认证规则”页签。单击“创建”,选择“认证方式”为“MAC认证”,选择接入方式为“有线”。匹配条件开启“使能用户组信息匹配”按钮,“MAC账号映射用户组”选择RD_Wired_Dumb_Group。配置完成后,单击“确定”。
配置授权结果和授权规则
背景信息
当哑终端通过认证后,根据授权规则可以为不同的哑终端授权不同的授权结果。授权结果包括VLAN、安全组信息等控制哑终端权限的信息。通过同授权结果的关联,实现对哑终端权限的控制。
数据规划
表4-60 授权结果和授权规则数据规划表
授权结果
授权规则
用户组
安全组
RD_Wired_Dumb_Result1
RD_Wired_Dumb_Rule1
RD_Wired_Dumb_Group
RD_Wired_Dumb_Sec
RD_Wireless_Dumb_Result1
RD_Wireless_Dumb_Rule1
RD_Wireless_Dumb_Group
RD_Wireless_Dumb_Sec
Market_Wired_Dumb_Result1
Market_Wired_Dumb_Rule1
Market_Wired_Dumb_Group
Market_Wired_Dumb_Sec
Market_Wireless_Dumb_Result1
Market_Wireless_Dumb_Rule1
Market_Wireless_Dumb_Group
Market_Wireless_Dumb_Sec
*** 作步骤
配置授权结果,在授权结果中添加安全组信息。
选择“准入 > 准入策略 > 认证授权”,选择“授权结果”页签。以创建授权结果RD_Wired_Dumb_Result1为例,“安全组”选择RD_Wired_Dumb_Sec,配置完成后,单击“确定”。授权结果中的部分参数说明请参见表4-61。
表4-61 配置授权结果的部分参数说明
参数
说明
设备管理业务
配置设备管理认证时开启此开关,开关打开后可以配置网管登录级别和自定义授权参数。自定义授权参数通过调整RADIUS属性值设置。
开启“设备管理业务”后,下面所有参数不再支持。
VIP用户
开启此功能后,结合应用调度模板等,可为VIP用户提供差异化服务。
ACL/动态ACL
基于ACL或者动态ACL控制允许或禁止访问指定资源。
IPV6 ACL
基于IPv6 ACL控制允许或禁止访问指定资源。
安全组
授权结果可选择已配置的安全组。
URL过滤
黑名单过滤模式:禁止访问URL“过滤列表”中的网站。
白名单过滤模式:只允许访问URL“过滤列表”中的网站。
VLAN
授权VLAN。如果VN中已配置VLAN池或者动态类型的子网VLAN,可在下拉列表中选择;也可以手工输入VLAN ID。
启用下行流量/启用上行流量
限制每个终端的上下行带宽。
DSCP
授权结果可设置DSCP。
强制重定向
强制重定向到指定的ACL或者URL。
自定义授权参数
可通过调整RADIUS属性值自定义授权参数。
配置授权规则,使得指定用户组的哑终端认证通过后,下发指定的授权结果。
选择“准入 > 准入策略 > 认证授权”,选择“授权规则”页签。以创建授权规则RD_Wired_Dumb_Rule1为例,认证方式选择“MAC认证”,接入方式选择“有线”。匹配条件开启“使能用户组信息匹配”按钮,“MAC账号映射用户组”选择RD_Wired_Dumb_Group;“认证授权结果”选择RD_Wired_Dumb_Result1。配置完成后,单击“确定”。
配置用户接入与认证(哑终端,MAC自动认证方式)
本案例中采用iMaster NCE-Campus内置的认证服务器,对于采用MAC认证的园区IP话机、打印机、IP摄像头等哑终端设备,也可以通过iMaster NCE-Campus提供的终端识别功能和MAC自动认证功能,无需管理员手动为每种类型的哑终端添加MAC账号,可实现MAC自动认证及策略自动发放。
开启终端识别和MAC自动认证功能
背景信息
iMaster NCE-Campus推出的终端识别功能,可查看全网终端类型、系统等分类信息。而且对于采用MAC认证的园区IP话机、打印机、IP摄像头等哑终端设备,无需管理员手动为每种类型的哑终端添加MAC账号,可实现MAC自动认证及策略自动发放。
终端识别和MAC自动认证功能需要在iMaster NCE-Campus上开启,并且还需要开启设备上报终端识别信息的开关,大中型园区非虚拟化方案中:
有线终端识别:可以通过iMaster NCE-Campus开启交换机上报终端识别信息的开关。如果采用了DHCP Option和mDNS方式的终端识别方法,还需要开启DHCP Snooping和mDNS Snooping功能。具体配置请参见“用户接入配置(网络设备侧)”中的配置有线终端识别。
无线终端识别:在配置无线业务时,开启设备上报终端识别信息的开关。如果采用了DHCP Option和mDNS方式的终端识别方法,还需要在VAP模板下开启IP地址学习和mDNS Snooping功能。其中,IP地址学习功能是默认开启的。
*** 作步骤
选择“准入 > 准入资源 > 终端管理”,选择“ 终端配置”页签,开启终端识别按钮,配置完成后单击“确定”。
在“终端接入配置”区域,“允许自动通过MAC认证接入网络策略”选择“已识别终端接入”,配置完成后单击“确定”。
在iMaster NCE-Campus上开启终端识别和MAC自动认证功能后,如果有终端接入园区网络,开启终端识别信息上报开关的设备就会将终端类型等信息发送给iMaster NCE-Campus。然后:
通过匹配iMaster NCE-Campus自带的终端指纹库,终端信息会划分到相应的终端组中。终端组在“准入 > 准入资源 > 终端管理 > 终端管理”页签。
MAC地址信息同时会自动录入到iMaster NCE-Campus,用于MAC认证。
开启MAC自动认证功能后,MAC认证会匹配终端类型进行准入控制,如果需要基于MAC地址对终端进行准入控制,建议仍采用传统MAC认证方式,具体配置过程可参考配置用户接入与认证(哑终端,传统MAC认证方式)。例如,部署MAC认证时,仅允许MAC地址为0001-0001-0001的打印机接入网络,建议将“终端自动准入”功能关闭,然后配置传统MAC认证,在iMaster NCE-Campus手工录入打印机的MAC地址。
配置认证规则
背景信息
开启了终端识别和MAC自动认证功能后,就需要根据规划配置终端的认证规则。本案例中,认证规则基于终端的设备类型匹配,同一个设备类型采用相同的认证规则。
数据规划
表4-62 认证规则数据规划表
认证规则
设备类型
终端IP范围
认证方式
RD_Wired_Dumb_Authen2
打印机、VoIP设备、IP摄像机
10131-1013254
MAC认证
Market_Wired_Employee_Authen2
打印机、VoIP设备、IP摄像机
10171-1017254
MAC认证
*** 作步骤
以创建认证规则RD_Wired_Dumb_Authen2为例。
选择“准入 > 准入策略 > 认证授权”,选择“认证规则”页签。单击“创建”,选择“认证方式”为“MAC认证”,选择接入方式为“有线”。匹配条件开启“终端信息匹配”按钮,“终端组是否已识别”选择“已识别”,“设备类型”选择打印机、VoIP终端、IP摄像机,“终端IP范围”为10131-1013254。配置完成后,单击“确定”。
配置授权结果和授权规则
背景信息
当终端通过认证后,根据授权规则可以为不同的终端授权不同的授权结果。授权结果包括VLAN、安全组信息等控制用户权限的信息。通过同授权结果的关联,实现对终端权限的控制。
数据规划
表4-63 授权结果和授权规则数据规划表
授权结果
授权规则
设备类型
终端IP范围
安全组
RD_Wired_Dumb_Result2
RD_Wired_Dumb_Rule2
打印机、VoIP设备、IP摄像机
10131-1013254
RD_Wired_Dumb_Sec
RD_Wireless_Dumb_Result2
RD_Wireless_Dumb_Rule2
物联网(IoT)
10141-1014254
RD_Wireless_Dumb_Sec
Market_Wired_Dumb_Result2
Market_Wired_Dumb_Rule2
打印机、VoIP设备、IP摄像机
10171-1017254
Market_Wired_Dumb_Sec
Market_Wireless_Dumb_Result2
Market_Wireless_Dumb_Rule2
物联网(IoT)
10181-1018254
Market_Wireless_Dumb_Sec
*** 作步骤
配置授权结果,在授权结果中添加安全组信息。
选择“准入 > 准入策略 > 认证授权”,选择“授权结果”页签。以创建授权结果RD_Wired_Dumb_Result2为例,“安全组”选择RD_Wired_Dumb_Sec,配置完成后,单击“确定”。授权结果中的部分参数说明请参见表4-64。
如果授权结果和配置用户接入与认证(哑终端,传统MAC认证方式)中的授权结果相同,可跳过此步骤,在配置授权规则时,直接使用已创建的授权结果。
表4-64 配置授权结果的部分参数说明
参数
说明
设备管理业务
配置设备管理认证时开启此开关,开关打开后可以配置网管登录级别和自定义授权参数。自定义授权参数通过调整RADIUS属性值设置。
开启“设备管理业务”后,下面所有参数不再支持。
VIP用户
开启此功能后,结合应用调度模板等,可为VIP用户提供差异化服务。
ACL/动态ACL
基于ACL或者动态ACL控制允许或禁止访问指定资源。
IPV6 ACL
基于IPv6 ACL控制允许或禁止访问指定资源。
安全组
授权结果可选择已配置的安全组。
URL过滤
黑名单过滤模式:禁止访问URL“过滤列表”中的网站。
白名单过滤模式:只允许访问URL“过滤列表”中的网站。
VLAN
授权VLAN。如果VN中已配置VLAN池或者动态类型的子网VLAN,可在下拉列表中选择;也可以手工输入VLAN ID。
启用下行流量/启用上行流量
限制每个终端的上下行带宽。
DSCP
授权结果可设置DSCP。
强制重定向
强制重定向到指定的ACL或者URL。
自定义授权参数
可通过调整RADIUS属性值自定义授权参数。
配置授权规则,使得指定类型和IP范围的哑终端认证通过后,下发指定的授权结果。
选择“准入 > 准入策略 > 认证授权”,选择“授权规则”页签。以创建授权规则RD_Wired_Dumb_Rule2为例,认证方式选择“MAC认证”,接入方式选择“有线”。匹配条件开启“终端信息匹配”按钮,“终端组是否已识别”选择“已识别”,“设备类型”选择打印机、VoIP终端、IP摄像机,“终端IP范围”为10131-1013254;“认证授权结果”选择RD_Wired_Dumb_Result2。配置完成后,单击“确定”。
需要。
在购买物联网卡时,需要提供正规企业资质,才能办理,物联网卡实名认证与手机卡比较大的区别在于,手机卡用身份z办理只能办理五张手机卡,但是物联网卡只要提供公司营业执照,那么就可以无限制办理张数。
根据国家《电话用户真实身份信息登记规定》、《中华人民共和国反恐怖主义法》等要求所有电话用户需依法登记真实身份信息,因此现在三大运营商针对所有号码入网都需实名制登记和认证。
一般来说,物联网卡只能注册政府和企业客户的真实姓名信息,特殊情况下,需要根据公众的真实姓名要求注册实际用户。
扩展资料
物联网卡实名登记流程
按照实名制注册的要求,我们必须先使用实名制,否则会直接影响到客户的正常使用;
例如:电信物联网提供了两个业务流程,支持客户开卡。
一种是用户可以通过实名进行身份验证的场景。系统将强制标准化实名,直到用户可以激活卡。
另一种情况是,最终用户暂时无法通过实名进行身份验证。它可以先到政府和企业客户那里,在没有实名认证的情况下开卡。客户通过CRM系统或实名向最终用户验证应用的实名后,即可恢复使用该卡。
从运营商的角度来看,每一张物联网卡都需要一个实名制,具体实施是每一张卡的所有者和使用情况,对于企业来说,运营商需要企业的资质信息来发放卡。而企业本身也应做好物联网卡实名制工作,防止各种不安全情况的发生。
参考资料来源:百度百科-物联卡
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)