【SAM】接入控制管理

发布时间：2013-09-29

点击量：3613

一、功能需求
需要对用户接入的方式、安全等进行限制。
二、配置要点
用户接入控制涉及到的功能选项较多，务必与客户沟通清楚各控制策略后根据不同的用户群体进行相应设置，具体注意事项见配置中的注意点。
三、配置步骤
1、登录SAM管理页面
2、点击接入控制管理 > 接入控制管理，添加新的接入控制管理，在接入控制基本信息中，输入接入控制名称

各参数设置：
1）允许重复登录次数：配置是否允许同一个账号同一个时刻可以登录多次
注意：
a、如果套餐下未勾选重复登录次数，则以接入控制里配置为准
b、套餐下配置了重复登录次数，则套餐中的重复登录人数是重复登录人数总和（如果套餐下的规则对应的接入控制的重复登录次数之和>套餐下的配置，则以套餐配置次数为准；反之以各规则的接入控制配置为准）
c、无线WebPortal接入方式下，除非有必要（比如在试验环境或会议环境下有“多人使用一个账号”的需求），需要配置重复上网的功能，其它情况下建议将无线WebPortal接入用户所使用的接入控制重复上网次数设置为1
2）网关接入限制：网关接入限制勾选了“不允许通过网关流量服务器”时，使用该接入控制上网的用户不能通过网关，该配置生效的前提条件是网关设备部署在穿透模式下。
3、进入用户信息校验栏，配置用户认证时的各项接入限制。

各参数设置：
1）允许的接入方式：允许认证接入用户使用何种方式接入网络，勾选则允许，不勾选则不允许使用该种接入方式认证。
2）接入方式校验信息：勾选后对认证接入用户的IP、MAC等信息进行校验，如不一致，则不允许通过认证。
3）BACL：BACL（Bind Access Control List 绑定接入控制列表）定义了一系列接入规则，满足这一规则的用户则被允许使用网络资源。用户可以根据实际的网络拓扑对网络进行分区，组织出一套接入信息以供用户认证时校验使用。当用户信息校验功能失效时，BACL校验生效。
一旦用户通过用户信息校验，则不再做BACL校验；
一旦用户信息校验失败，则做BACL校验。如果BACL校验成功，则仍认为此用户校验成功；
当只有一方开启，另一方不开启的情况下，则以开启一方的校验结果为标准。
BACL实现过程：
a、添加一条BACL记录：我们可以通过BACL管理页面，进入BACL的添加页面。添加一条BACL，此BACL记录包含多条BACL条目，通过为BACL条目指定相应的名称，来区别不同的条目记录。允许添加多条BACL条目，但不允许添加内容完全相同的BACL条目。

b、将BACL与用户或接入控制关联：
此两种BACL的关联配置的关系为：
用户中关联BACL（后称用户BACL）和接入控制中关联BACL（后称接入控制BACL），优先级是用户BACL 大于接入控制BACL
使用BACL 校验时的关系是：
在接入控制中开启了BACL 校验的前提下：
如果配置了用户BACL 则只按照用户BACL 校验，不按照接入控制BACL 校验
如果没有配置用户BACL, 配置了接入控制BACL 则按照接入控制BACL 进行校验
如果用户BACL 和接入控制BACL 都没有配置则不进行BACL 校验
用户关联BACL：表示此用户的认证信息必须满足此BACL的内容，他的接入权限受此BACL的限制

接入控制关联BACL：表示使用此接入控制的用户的认证信息必须满足此BACL的内容，他的接入权限受此BACL的限制

c、开启BACL校验开关

4）上网用户信息获取：为便于管理员进行认证用户的IP、MAC等信息管理，配置上网用户信息获取功能后，认证接入用户在首次认证时会自动记录相应信息。
注意：由于第一次上传即获取相应信息，因此务必强调认证接入用户在自己的客户端上进行首次认证。
4、公用服务：如将该接入控制设为公用服务，则不管使用该接入控制的用户是否处于特殊状态，或其时长、流量是否充足，均可使用该接入控制上线。
系统提供“公用服务”的意义在于，当用户自助开户，或者当用户欠费后，通过使用公用服务拨号认证，在自助端使用充值、预存待扣款转账等功能为账户存入金额以继续使用网络。
配置时注意限制每天最多使用次数以及每次登陆的时长，做为公用服务，每天最多使用次数不建议设置为0（不限制）

5、用户行为控制：为保证SAM运营利益及接入客户端安全，在用户行为控制中对异常接入的用户进行限制。
如非特殊情况，建议不设置客户端重认证功能

6、客户端版本管理：对认证接入客户端的版本进行控制，包括允许使用的客户端类型、最低版本限制与自动升级等。

四、配置验证
将配置好的接入控制关联套餐、用户模板、用户组，并开户后，确认所开的用户符合该接入控制限制。