选择区域语言: EN CN HK

H3C WX系列无线控制产品 Web网管配置指导-6W106

11-认证

本章节下载  (1.6 MB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WX/H3C_WX3000/Configure/User_Manual/H3C_WX_WEB_UM-6W106/201011/699391_30005_0.htm

11-认证

  录

1 802.1X

1.1 概述

1.1.1 802.1X的体系结构

1.1.2 802.1X的认证方式

1.1.3 802.1X的基本概念

1.1.4 EAPOL消息的封装

1.1.5 EAP属性的封装

1.1.6 802.1X的认证触发方式

1.1.7 802.1X的认证过程

1.1.8 802.1X的定时器

1.1.9 802.1X的扩展特性

1.1.10 和802.1X配合使用的特性

1.2 配置802.1X

1.2.1 配置概述

1.2.2 配置全局的802.1X特性

1.2.3 配置端口的802.1X特性

1.3 注意事项

2 Portal认证

2.1 概述

2.1.1 Portal简介

2.1.2 Portal扩展功能

2.1.3 Portal的系统组成

2.1.4 使用本地Portal服务器的Portal认证系统

2.1.5 Portal的认证方式

2.1.6 Portal认证过程

2.2 配置Portal认证

2.2.1 配置准备

2.2.2 配置概述

2.2.3 配置Portal服务

2.2.4 配置免认证策略

2.2.5 定制认证页面文件

2.3 Portal认证典型配置举例

3 AAA

3.1 概述

3.1.1 AAA简介

3.1.2 ISP域简介

3.2 配置AAA

3.2.1 配置准备

3.2.2 配置概述

3.2.3 配置ISP域

3.2.4 配置ISP域的AAA认证方法

3.2.5 配置ISP域的AAA授权方法

3.2.6 配置ISP域的AAA计费方法

3.3 AAA典型配置举例

4 RADIUS

4.1 概述

4.1.1 RADIUS简介

4.1.2 客户端/服务器模式

4.1.3 安全和认证机制

4.1.4 RADIUS的基本消息交互流程

4.1.5 RADIUS报文结构

4.1.6 RADIUS扩展属性

4.1.7 协议规范

4.2 配置RADIUS

4.2.1 配置概述

4.2.2 配置RADIUS服务器

4.2.3 配置RADIUS参数

4.3 RADIUS典型配置举例

4.4 注意事项

5 本地EAP服务

5.1 概述

5.2 配置本地EAP服务

5.3 本地EAP服务典型配置举例

6 用户

6.1 概述

6.2 配置用户

6.2.1 配置本地用户

6.2.2 配置用户组

6.2.3 配置来宾用户

6.2.4 配置用户方案

7 PKI配置

7.1 概述

7.1.1 相关术语

7.1.2 体系结构

7.1.3 主要应用

7.1.4 PKI的工作过程

7.2 配置PKI

7.2.1 配置概述

7.2.2 新建PKI实体

7.2.3 新建PKI域

7.2.4 生成RSA密钥对

7.2.5 销毁RSA密钥对

7.2.6 获取证书

7.2.7 申请本地证书

7.2.8 获取和查看CRL

7.3 PKI典型配置举例

7.3.1 PKI实体向CA申请证书

7.4 注意事项

 


l          除非特殊说明,本手册的页面显示信息以WX5004设备为例,实际使用中请以设备实际显示的WEB页面为准。

l          页面上显示为灰色的功能或参数,表示设备不支持或在当前配置下不可修改。

 

1 802.1X

1.1  概述

IEEE 802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1X协议。后来,802.1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。

802.1X协议是一种基于端口的网络接入控制协议(port based network access control protocol)。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。

1.1.1  802.1X的体系结构

802.1X系统为典型的Client/Server结构,如图1-1所示,包括三个实体:客户端(Client)、设备端(Device)和认证服务器(Server)。

图1-1 802.1X认证系统的体系结构

 

l              客户端是位于局域网段一端的一个实体,由该链路另一端的实体对其进行认证。客户端一般为一个用户终端设备,用户可以通过启动客户端软件发起802.1X认证。客户端必须支持EAPOL(Extensible Authentication Protocol over LAN,局域网上的可扩展认证协议)。

l              设备端是位于局域网段一端的另一个实体,对所连接的客户端进行认证。设备端通常为支持802.1X协议的网络设备,它为客户端提供接入局域网的端口,该端口可以是物理端口,也可以是逻辑端口。

l              认证服务器是为设备端提供认证服务的实体。认证服务器用于实现对用户进行认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。

1.1.2  802.1X的认证方式

802.1X认证系统使用EAP(Extensible Authentication Protocol,可扩展认证协议),来实现客户端、设备端和认证服务器之间认证信息的交换。

l              在客户端与设备端之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN环境中。

l              在设备端与RADIUS服务器之间,可以使用两种方式来交换信息。一种是EAP协议报文由设备端进行中继,使用EAPOR(EAP over RADIUS)封装格式承载于RADIUS协议中;另一种是EAP协议报文由设备端进行终结,采用包含PAP(Password Authentication Protocol,密码验证协议)或CHAP(Challenge Handshake Authentication Protocal,质询握手验证协议)属性的报文与RADIUS服务器进行认证交互。

1.1.3  802.1X的基本概念

1. 受控/非受控端口

设备端为客户端提供接入局域网的端口,这个端口被划分为两个逻辑端口:受控端口和非受控端口。任何到达该端口的帧,在受控端口与非受控端口上均可见。

l              非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,保证客户端始终能够发出或接收认证报文。

l              受控端口在授权状态下处于双向连通状态,用于传递业务报文;在非授权状态下禁止从客户端接收任何报文。

2. 授权/非授权状态

设备端利用认证服务器对需要接入局域网的客户端执行认证,并根据认证结果(Accept或Reject)对受控端口的授权/非授权状态进行相应地控制。

图1-2显示了受控端口上不同的授权状态对通过该端口报文的影响。图中对比了两个802.1X认证系统的端口状态。系统1的受控端口处于非授权状态(相当于端口开关打开),系统2的受控端口处于授权状态(相当于端口开关关闭)。

图1-2 受控端口上授权状态的影响

 

用户可以通过在端口下配置的接入控制的模式来控制端口的授权状态。端口支持以下三种接入控制模式:

l              强制授权模式(Force-Authorized):表示端口始终处于授权状态,允许用户不经认证授权即可访问网络资源。

l              强制非授权模式(Force-Unauthorized):表示端口始终处于非授权状态,不允许用户进行认证。设备端不对通过该端口接入的客户端提供认证服务。

l              自动识别模式(Auto):表示端口初始状态为非授权状态,仅允许EAPOL报文收发,不允许用户访问网络资源;如果认证通过,则端口切换到授权状态,允许用户访问网络资源。这也是最常见的情况。

3. 受控方向

在非授权状态下,受控端口可以被设置成单向受控和双向受控。

l              实行双向受控时,禁止帧的发送和接收;

l              实行单向受控时,禁止从客户端接收帧,但允许向客户端发送帧。

目前,设备只支持单向受控。

 

1.1.4  EAPOL消息的封装

1. EAPOL数据包的格式

EAPOL是802.1X协议定义的一种报文封装格式,主要用于在客户端和设备端之间传送EAP协议报文,以允许EAP协议报文在LAN上传送。EAPOL数据包的格式如图1-3所示。

图1-3 EAPOL数据包格式

 

PAE Ethernet Type:表示协议类型,为0x888E。

Protocol Version:表示EAPOL帧的发送方所支持的协议版本号。

Type:表示EAPOL数据帧类型,目前设备上支持的数据类型如表1-1所示。

表1-1 EAPOL数据类型

类型

说明

EAP-Packet(值为0x00):认证信息帧,用于承载认证信息

该帧在设备端和认证服务器之间存在,重新封装并承载于RADIUS协议上,便于穿越复杂的网络到达认证服务器

EAPOL-Start(值为0x01):认证发起帧

这两种类型的帧仅在客户端和设备端之间存在

EAPOL-Logoff(值为0x02):退出请求帧

 

Length:表示数据长度,也就是“Packet Body”字段的长度,单位为字节。如果为0,则表示没有后面的数据域。

Packet Body:表示数据内容,根据不同的Type有不同的格式。

2. EAP数据包的格式

当EAPOL数据包格式Type域为EAP-Packet时,Packet Body为EAP数据包结构,如图1-4所示。

图1-4 EAP数据包格式

 

Code:指明EAP包的类型,共有4种:Request、Response、Success、Failure。

l              Success和Failure类型的包没有Data域,相应的Length域的值为4。

l              Request和Response类型数据包的Data域的格式如图1-5所示。Type为EAP的认证类型,Type Data的内容由类型决定。例如,Type值为1时代表Identity,用来查询对方的身份;Type值为4时,代表MD5-Challenge,类似于PPP CHAP协议,包含质询消息。

图1-5 Request和Response类型数据包的Data域的格式

 

Identifier:辅助进行Request和Response消息的匹配。

Length:EAP包的长度,包含Code、Identifier、Length和Data域,单位为字节。

Data:EAP包的内容,由Code类型决定。

1.1.5  EAP属性的封装

RADIUS为支持EAP认证增加了两个属性:EAP-Message(EAP消息)和Message-Authenticator(消息认证码)。RADIUS协议的报文格式请参见“RADIUS”。

1. EAP-Message

图1-6所示,这个属性用来封装EAP数据包,类型代码为79,String域最长253字节,如果EAP数据包长度大于253字节,可以对其进行分片,依次封装在多个EAP-Message属性中。

图1-6 EAP-Message属性封装

 

2. Message-Authenticator

图1-7所示,这个属性用于在使用EAP、CHAP等认证方法的过程中,避免接入请求包被窃听。在含有EAP-Message属性的数据包中,必须同时也包含Message-Authenticator,否则该数据包会被认为无效而被丢弃。

图1-7 Message-Authenticator属性

 

1.1.6  802.1X的认证触发方式

802.1X的认证过程可以由客户端主动发起,也可以由设备端发起。设备支持的认证触发方式包括以下两种:

1. 客户端主动触发方式

客户端主动向设备端发送EAPOL-Start报文来触发认证,该报文目的地址为IEEE 802.1X协议分配的一个组播MAC地址:01-80-C2-00-00-03。

另外,由于网络中有些设备不支持上述的组播报文,使得认证设备无法收到客户端的认证请求,因此设备端还支持广播触发方式,即,可以接收客户端发送的目的地址为广播MAC地址的EAPOL-Start报文。这种触发方式需要H3C iNode的802.1X客户端的配合。

2. 设备端主动触发方式

设备会每隔N秒(缺省为30秒)主动向客户端发送EAP-Request/Identity报文来触发认证,这种触发方式用于支持不能主动发送EAPOL-Start报文的客户端,例如Windows XP自带的802.1X客户端。

1.1.7  802.1X的认证过程

802.1X系统支持EAP中继方式和EAP终结方式与远端RADIUS服务器交互完成认证。以下关于两种认证方式的过程描述,都以客户端主动发起认证为例。

1. EAP中继方式

这种方式是IEEE 802.1X标准规定的,将EAP(可扩展认证协议)承载在其它高层协议中,如EAP over RADIUS,以便扩展认证协议报文穿越复杂的网络到达认证服务器。一般来说,EAP中继方式需要RADIUS服务器支持EAP属性:EAP-Message和Message-Authenticator,分别用来封装EAP报文及对携带EAP-Message的RADIUS报文进行保护。

下面以EAP-MD5方式为例介绍基本业务流程,如图1-8所示。

图1-8 IEEE 802.1X认证系统的EAP中继方式业务流程

 

认证过程如下:

(1)        当用户有访问网络需求时打开802.1X客户端程序,输入已经申请、登记过的用户名和密码,发起连接请求(EAPOL-Start报文)。此时,客户端程序将发出请求认证的报文给设备端,开始启动一次认证过程。

(2)        设备端收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity报文)要求用户的客户端程序将输入的用户名发送过来。

(3)        客户端程序响应设备端发出的请求,将用户名信息通过数据帧(EAP-Response/Identity报文)发送给设备端。设备端将客户端发送的数据帧经过封包处理后(RADIUS Access-Request报文)送给认证服务器进行处理。

(4)        RADIUS服务器收到设备端转发的用户名信息后,将该信息与数据库中的用户名表对比,找到该用户名对应的密码信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字通过RADIUS Access-Challenge报文发送给设备端,由设备端转发客户端程序。

(5)        客户端程序收到由设备端传来的加密字(EAP-Request/MD5 Challenge报文)后,用该加密字对密码部分进行加密处理(此种加密算法通常是不可逆的,生成EAP-Response/MD5 Challenge报文),并通过设备端传给认证服务器。

(6)        RADIUS服务器将收到的已加密的密码信息(RADIUS Access-Request报文)和本地经过加密运算后的密码信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息(RADIUS Access-Accept报文和EAP-Success报文)。

(7)        设备收到认证通过消息后将端口改为授权状态,允许用户通过端口访问网络。在此期间,设备端会通过向客户端定期发送握手报文的方法,对用户的在线情况进行监测。缺省情况下,两次握手请求报文都得不到客户端应答,设备端就会让用户下线,防止用户因为异常原因下线而设备无法感知。

(8)        客户端也可以发送EAPOL-Logoff报文给设备端,主动要求下线。设备端把端口状态从授权状态改变成未授权状态。

EAP中继方式下,需要保证在客户端和RADIUS服务器上选择一致的认证方法,而在设备上,只需要配置802.1X用户的认证方式为EAP即可。

 

2. EAP终结方式

这种方式将EAP报文在设备端终结并映射到RADIUS报文中,利用标准RADIUS协议完成认证、授权和计费。设备与RADIUS服务器之间可以采用PAP或者CHAP认证方法。以下以CHAP认证方法为例介绍基本业务流程,如图1-9所示。

图1-9 IEEE 802.1X认证系统的EAP终结方式业务流程

 

EAP终结方式与EAP中继方式的认证流程相比,不同之处在于用来对用户密码信息进行加密处理的随机加密字由设备端生成,之后设备端会把用户名、随机加密字和客户端加密后的密码信息一起送给认证服务器,进行相关的认证处理。

1.1.8  802.1X的定时器

802.1X认证过程中会启动多个定时器以控制接入用户、设备以及RADIUS服务器之间进行合理、有序的交互。802.1X的定时器主要有以下几种:

l              重传定时器:该定时器定义了两个时间间隔。其一,当设备端向客户端发送EAP-Request/Identity请求报文后,设备端启动该定时器,若在该定时器设置的时间间隔内,设备端没有收到客户端的响应,则设备端将重发认证请求报文。其二,为了兼容不主动发送EAPOL-Start连接请求报文的客户端,设备会定期组播EAP-Request/Identity请求报文来检测客户端。重传间隔定义了该组播报文的发送时间间隔。

l              客户端超时定时器:当设备端向客户端发送了EAP-Request/MD5 Challenge请求报文后,设备端启动此定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,设备端将重发该报文。

l              服务器超时定时器:当设备端向认证服务器发送了RADIUS Access-Request请求报文后,设备端启动服务器超时定时器,若在该定时器设置的时长内,设备端没有收到认证服务器的响应,设备端将重发认证请求报文。

l              用户握手定时器:此定时器是在用户认证成功后启动的,设备端以此间隔为周期发送握手请求报文,以定期检测用户的在线情况。如果配置发送次数为N,则当设备端连续N次没有收到客户端的响应报文,就认为用户已经下线。

l              静默定时器:对用户认证失败以后,设备端需要静默一段时间(该时间由静默周期设置)。在静默期间,设备端不处理该用户的认证请求。

l              周期性重认证定时器:此定时器是在用户认证成功后启动的,用于周期性的对在线用户发起重认证,以便定时更新服务器对用户的授权信息。

1.1.9  802.1X的扩展特性

设备在802.1X的EAP中继方式和EAP终结方式的实现中,不仅支持协议所规定的端口接入认证方式,还对其进行了扩展、优化:

l              支持一个物理端口下挂接多个用户的应用场合;

l              接入控制方式(即对用户的认证方式)可以采用基于MAC和基于端口两种方式。当采用基于MAC方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。当采用基于端口方式时,只要该端口下的第一个用户认证成功后,其它接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其它用户也会被拒绝使用网络。

1.1.10  和802.1X配合使用的特性

1. VLAN下发

802.1X用户在服务器上通过认证时,服务器会把授权信息传送给设备端。如果服务器上配置了下发VLAN功能,则授权信息中含有授权下发的VLAN信息,设备根据用户认证上线的端口连接类型,按以下三种情况将端口加入下发VLAN中。

l              端口的连接类型为Access:当前Access端口离开用户配置的VLAN并加入授权下发的VLAN中。

l              端口的连接类型为Trunk:设备允许授权下发的VLAN通过当前Trunk端口,并且端口的缺省VLAN ID为下发VLAN的VLAN ID。

l              端口的连接类型为Hybrid:设备允许授权下发的VLAN以不携带Tag的方式通过当前Hybrid端口,并且端口的缺省VLAN ID为下发VLAN的VLAN ID。需要注意的是,若当前Hybrid端口上配置了基于MAC的VLAN,则设备将根据认证服务器下发的授权VLAN动态地创建基于用户MAC的VLAN,而端口的缺省VLAN ID并不改变。

授权下发的VLAN并不改变端口的配置,也不影响端口的配置。但是,授权下发的VLAN的优先级高于用户配置的VLAN,即通过认证后起作用的VLAN是授权下发的VLAN,用户配置的VLAN在用户下线后生效。

l          对于Hybrid端口,如果授权下发的VLAN已经配置为携带Tag的方式加入端口,则VLAN下发失败。

l          对于Hybrid端口,在VLAN下发之后,不能将授权下发的VLAN配置修改为携带Tag的方式。

 

2. Guest VLAN

Guest VLAN功能允许用户在未认证或者认证失败的情况下,可以访问某一特定VLAN中的资源,比如获取客户端软件,升级客户端或执行其他一些用户升级程序。这个VLAN称之为Guest VLAN。

根据端口的接入控制方式不同,可以将Guest VLAN划分为两类:

l              当端口的接入控制方式为Port Based时,支持基于端口的Guest VLAN (Port-based Guest VLAN),简称PGV;

l              当端口的接入控制方式为MAC Based时,支持基于MAC的Guest VLAN (MAC-based Guest VLAN),简称MGV。

(1)        PGV

配置了PGV的端口上,在一定的时间内(默认90秒)若无客户端认证成功,则该端口会被加入到Guest VLAN,所有在该端口接入的用户将被授权访问Guest VLAN里的资源。

与VLAN下发类似,配置了PGV的端口将按照各自的链路类型情况被加入到Guest VLAN内。此时Guest VLAN中端口下的用户发起认证,如果认证失败,该端口将会仍然处在Guest VLAN内;如果认证成功,端口会离开Guest VLAN,之后加入的VLAN分为以下两种情况:

l              若认证服务器下发VLAN,则端口加入下发的VLAN中。用户下线后,端口会回到配置的VLAN中(加入Guest VLAN之前所在的VLAN,即“初始VLAN”)。

l              若认证服务器不下发VLAN,则端口加入配置的VLAN中。用户下线后,端口仍在配置的VLAN中。

(2)        MGV

配置了MGV的用户端口上,认证失败的用户被授权访问Guest VLAN里的资源。

当Guest VLAN中的用户再次发起认证时,如果认证失败,则该用户将仍然处于Guest VLAN内;如果认证成功,则会根据认证服务器是否下发VLAN将用户加入到下发的VLAN中,或回到加入Guest VLAN之前端口所在的配置的VLAN。

3. ACL下发

ACL(Access Control List,访问控制列表)提供了控制用户访问网络资源和限制用户访问权限的功能。当用户上线时,如果RADIUS服务器上配置了授权ACL,则设备会根据服务器下发的授权ACL对用户所在端口的数据流进行控制;在服务器上配置授权ACL之前,需要在设备上配置相应的规则。管理员可以通过改变服务器的授权ACL设置或设备上对应的ACL规则来改变用户的访问权限。

1.2  配置802.1X

1.2.1  配置概述

802.1X提供了一个用户身份认证的实现方案,但是仅仅依靠802.1X是不足以实现该方案的。接入设备的管理者选择使用RADIUS或本地认证方法,以配合802.1X完成用户的身份认证。因此,需要首先完成以下配置任务:

l              配置802.1X用户所属的ISP认证域及及其使用的AAA方案,即本地认证方案或RADIUS方案。

l              如果需要通过RADIUS服务器进行认证,则应该在RADIUS服务器上配置相应的用户名和密码。

l              如果需要本地认证,则应该在设备上手动添加认证的用户名和密码。配置本地认证时,用户使用的服务类型必须为LAN-Access。

802.1X配置的推荐步骤如表1-2所示。

表1-2 802.1X配置步骤

步骤

配置任务

说明

1

1.2.2  配置全局的802.1X特性

必选

在全局启用802.1X认证,配置认证方法和高级参数

缺省情况下,全局802.1X认证处于关闭状态

2

1.2.3  配置端口的802.1X特性

必选

在指定的端口上启用802.1X认证,配置端口的802.1X参数

缺省情况下,端口802.1X认证处于关闭状态

 

1.2.2  配置全局的802.1X特性

在导航栏中选择“认证 > 802.1X”,进入如图1-10所示的页面。在“802.1X认证设置”中可以显示和配置全局的802.1X特性。

图1-10 802.1X

 

全局802.1X特性的详细配置如表1-3所示。

表1-3 全局802.1X特性的详细配置

配置项

说明

启用802.1X认证

设置是否启用全局的802.1X认证

认证方法

设置802.1X用户的认证方式,包括CHAP、PAP和EAP

高级设置

静默功能

设置是否启用静默定时器功能

当802.1X用户认证失败以后,设备需要静默一段时间(可通过配置项“静默时长”设定)。静默期间,设备不对该用户进行802.1X认证的相关处理

静默时长

设置静默定时器的值

报文重传次数

设置设备向接入用户发送认证请求报文的最大次数

在规定的时间里(可通过配置项“重传间隔”或者“客户端超时时间”设定)没有收到用户的响应,则设备将根据报文重传次数决定是否再次向用户发送该认证请求报文

报文重传次数设置为1时表示只允许向用户发送一次认证请求报文,如果没有收到响应,不再重复发送;设置为2时表示在首次向用户发送请求又没有收到响应后,将重复发送1次;……依次类推

重传间隔

设置重传定时器的值

用户握手周期

设置用户握手定时器的值

重认证周期

设置周期性重认证定时器的值

客户端超时时间

设置客户端超时定时器的值

服务器超时时间

设置服务器超时定时器的值

 

可点击返回“表1-2 802.1X配置步骤”。

1.2.3  配置端口的802.1X特性

在导航栏中选择“认证 > 802.1X”,进入如图1-10所示的页面。在“802.1X认证启用端口”中显示的是端口802.1X特性的配置信息。单击<新建>按钮,进入新启用端口802.1X认证的配置页面,如图1-11所示。

图1-11 新启用802.1X认证

 

端口802.1X特性的详细配置如表1-4所示。

表1-4 端口802.1X特性的详细配置

配置项

说明

端口

设置要启用802.1X认证的端口

只能选择未启用802.1X认证的端口

端口控制方式

设置802.1X在端口上进行接入控制的方式,可选的方式及其含义说明如下:

l      MAC Based:表示采用基于MAC方式

l      Port Based:表示采用基于端口方式

控制模式

设置802.1X在端口上进行接入控制的模式,可选的模式及其含义说明如下:

l      Auto:自动识别模式。指示端口初始状态为非授权状态;如果认证流程通过,则端口切换到授权状态。这也是最常见的情况

l      Force-Authorized:强制授权模式。指示端口始终处于授权状态

l      Force-Unauthorized:强制非授权模式。指示端口始终处于非授权状态

最大用户数

设置802.1X在端口上可容纳接入用户数量的最大值

用户握手

设置是否在端口上启用用户握手定时器

周期性重认证

设置是否在端口上启用周期性重认证定时器

Guest VLAN

设置是否在端口上启用Guest VLAN功能,如果启用,还需指定一个VLAN ID

l      指定的VLAN ID必须已经存在,可以在“网络 > VLAN”中配置

l      要配置PGV,需要保证802.1X的组播触发功能处于开启状态;要配置MGV,需要保证指定的端口上使能了MAC VLAN功能

 

可点击返回“表1-2 802.1X配置步骤”。

1.3  注意事项

配置802.1X时需要注意如下事项:

(1)        只有同时开启全局和端口的802.1X特性后,802.1X的配置才能在端口上生效。

(2)        一般情况下,用户无需改变全局802.1X特性中的定时器的相关参数值,除非在一些特殊或恶劣的网络环境下,可以改变定时器值来调节交互进程。

(3)        如果端口启动了802.1X,则不能配置该端口加入聚合组。反之,如果该端口已经加入到某个聚合组中,则禁止在该端口上启动802.1X。

(4)        对于802.1X用户,如果采用EAP认证方式,则设备会把客户端输入的内容直接封装后发给服务器,这种情况下设备对用户名格式的设置无效,关于用户名格式的配置请参见“RADIUS”。

(5)        在用户端设备发送不携带Tag数据流的情况下,接入端口的Voice VLAN功能与802.1X功能互斥。

 


2 Portal认证

2.1  概述

2.1.1  Portal简介

Portal在英语中是入口的意思。Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。

未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时,必须在门户网站进行认证,只有认证通过后才可以使用互联网资源。

用户可以主动访问已知的Portal认证网站,输入用户名和密码进行认证,这种开始Portal认证的方式称作主动认证。反之,如果用户试图通过HTTP访问其他外网,将被强制访问Portal认证网站,从而开始Portal认证过程,这种方式称作强制认证。

Portal业务可以为运营商提供方便的管理功能,门户网站可以开展广告、社区服务、个性化的业务等,使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。

2.1.2  Portal扩展功能

Portal的扩展功能主要是指通过强制接入终端实施补丁和防病毒策略,加强网络终端对病毒攻击的主动防御能力。具体扩展功能如下:

l              Portal身份认证的基础上增加了安全认证机制,可以检测接入终端上是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等;

l              用户通过身份认证后仅仅获得访问部分互联网资源(受限资源)的权限,如病毒服务器、操作系统补丁更新服务器等;当用户通过安全认证后便可以访问更多的互联网资源(非受限资源)。

2.1.3  Portal的系统组成

Portal的典型组网方式如图2-1所示,它由五个基本要素组成:认证客户端、接入设备、Portal服务器、认证/计费服务器和安全策略服务器。

由于Portal服务器可以是接入设备之外的独立实体,也可以是存在于接入设备之内的内嵌实体,本文称之为“本地Portal服务器”,因此下文中除对本地支持的Portal服务器做特殊说明之外,其它所有Portal服务器均指独立的Portal服务器,请勿混淆。

 

图2-1 Portal系统组成示意图

 

1. 认证客户端

安装于用户终端的客户端系统,为运行HTTP协议的浏览器或运行Portal客户端软件的主机。对接入终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息交流完成的。

2. 接入设备

交换机、路由器等宽带接入设备的统称,主要有三方面的作用:

l              在认证之前,将认证网段内用户的所有HTTP请求都重定向到Portal服务器。

l              在认证过程中,与Portal服务器、安全策略服务器、认证/计费服务器交互,完成身份认证/安全认证/计费的功能。

l              在认证通过后,对于Portal认证,允许用户访问被管理员授权的互联网资源。

3. Portal服务器

接受Portal客户端认证请求的服务器端系统,提供免费门户服务和基于Web认证的界面,与接入设备交互认证客户端的认证信息。

4. 认证/计费服务器

与接入设备进行交互,完成对用户的认证和计费。

5. 安全策略服务器

与Portal客户端、接入设备进行交互,完成对用户的安全认证,并对用户进行授权操作。

以上五个基本要素的交互过程为:

(1)        未认证用户访问网络时,在IE地址栏中输入一个互联网的地址,那么此HTTP请求在经过接入设备时会被重定向到Portal服务器的Web认证主页上;若需要使用Portal的扩展认证功能,则用户必须使用Portal客户端。

(2)        用户在认证主页/认证对话框中输入认证信息后提交,Portal服务器会将用户的认证信息传递给接入设备;

(3)        然后接入设备再与认证/计费服务器通信进行认证和计费;

(4)        认证通过后,如果用户未采用安全策略,则接入设备会打开用户与互联网的通路,允许用户访问互联网;如果用户采用了安全策略,则客户端、接入设备与安全策略服务器交互,对用户的安全检测通过之后,安全策略服务器根据用户的安全性授权用户访问非受限资源。

l          由于Portal客户端以IP地址为身份标识,因此使用Portal业务时,在认证客户端、接入设备、Portal服务器、认证/计费服务器之间不能有配置NAT(Network Address Translation,网络地址转换)特性的设备,避免地址转换导致认证失败。

l          目前支持Portal认证的远端认证/计费服务器为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。

l          目前通过访问IE页面进行的Portal认证不能对用户实施安全策略检查,安全检查功能的实现需要使用H3C iNode客户端的配合。

 

2.1.4  使用本地Portal服务器的Portal认证系统

1. 系统组成

本地Portal服务器功能是指,Portal认证系统中不采用外部独立的Portal服务器,而由接入设备实现Portal服务器功能。这种情况下,Portal认证系统仅包括三个基本要素:认证客户端、接入设备和认证/计费服务器,如图2-2所示。由于设备支持Web用户直接认证,因此就不需要部署额外的Portal服务器,增强了Portal认证的通用性。

图2-2 使用本地Portal服务器的Portal系统组成示意图

 

l          使用本地Portal服务器的Portal认证系统不支持Portal扩展功能,因此不需要部署安全策略服务器。

l          本地Portal服务器的接入设备实现了简单的Portal服务器功能,仅能给用户提供通过Web方式登录、下线的基本功能,并不能完全替代独立的Portal服务器。

l          当去使能接口下Portal功能成功时候,如果为本地Portal服务器功能,该本地Portal服务器已经无效,请将本地Portal服务器一并删除。

 

2. 认证客户端和本地Portal服务器之间的交互协议

认证客户端和内嵌本地Portal服务器的接入设备之间可支持HTTP、HTTPS协议的交互。若客户端和接入设备之间交互HTTP协议,则报文以明文形式传输,安全性无法保证;若客户端和接入设备之间交互HTTPS协议,则报文基于SSL提供的安全机制以密文的形式传输,数据的安全性有保障。

3. 本地Portal服务器支持用户定制认证页面

本地Portal服务器支持由用户定制认证页面内容,即允许用户编辑一套认证页面的HTML文件,并在压缩之后保存至设备的存储设备中。每套定制页面中包括六个认证页面:登录页面、登录成功页面、在线页面、下线成功页面、登录失败页面和系统忙页面。本地Portal服务器可根据不同的认证阶段向客户端推出对应的认证页面。

l          定制认证页面功能仅适用于无线组网环境。关于认证页面文件的定制规范请参见2.2.5  定制认证页面文件

l          由于无线三层组网模式下AC(Access Controller,接入控制器)无法获得用户接入的SSID,所以只能推出系统提供的默认页面。

 

2.1.5  Portal的认证方式

Portal的认证方式分为两种:非三层认证方式和三层认证方式。

1. 非三层认证方式

非三层认证方式分为两种:直接认证方式和二次地址分配认证方式。

l              直接认证方式

用户在认证前通过手工配置或DHCP直接获取一个IP地址,只能访问Portal服务器,以及设定的免费访问地址;认证通过后即可访问网络资源。认证流程相对二次地址较为简单。

l              二次地址分配认证方式

用户在认证前通过DHCP获取一个私网IP地址,只能访问Portal服务器,以及设定的免费访问地址;认证通过后,用户会申请到一个公网IP地址,即可访问网络资源。该认证方式解决了IP地址规划和分配问题,对未认证通过的用户不分配公网IP地址。例如运营商对于小区宽带用户只在访问小区外部资源时才分配公网IP。

使用本地Portal服务器的Portal认证不支持二次地址分配认证方式。

 

2. 三层认证方式

和直接认证方式基本相同,但是这种认证方式允许认证客户端和接入设备之间跨越三层转发设备。

3. 两者的区别

l              组网方式不同

三层认证方式的认证客户端和接入设备之间可以跨接三层转发设备;非三层认证方式则要求认证客户端和接入设备之间没有三层转发。

l              用户标识不同

由于三层认证可以跨接三层设备,而接入设备不会学习认证客户端的MAC地址信息,所以是以IP地址唯一标识用户;而非三层认证方式中的接入设备则可以学习到认证客户端的MAC地址,所以是以IP和MAC地址的组合来唯一标识用户。

以上不同的组网方式和用户标识特点使得认证客户端的MAC地址不变、IP地址改变时,在三层认证方式下会激发新的Portal认证,而在非三层认证方式下不会激发新的Portal认证。只有认证客户端的MAC地址和IP地址同时改变时,非三层认证方式下才会激发新的Portal认证。

2.1.6  Portal认证过程

直接认证和三层Portal认证流程相同。二次地址分配认证流程因为有两次地址分配过程,所以其认证流程和另外两种认证方式有所不同。

1. 直接认证和三层Portal认证的流程

图2-3 直接认证/三层Portal认证流程图

 

直接认证/三层Portal认证流程:

(1)        Portal用户通过HTTP协议发起认证请求。HTTP报文经过接入设备时,对于访问Portal服务器或设定的免费访问地址的HTTP报文,接入设备允许其通过;对于访问其它地址的HTTP报文,接入设备将其重定向到Portal服务器。Portal服务器提供Web页面供用户输入用户名和密码来进行认证。

(2)        Portal服务器与接入设备之间进行CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)认证交互。若采用PAP(Password Authentication Protocol,密码验证协议)认证则直接进入下一步骤。

(3)        Portal服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备,同时开启定时器等待认证应答报文。

(4)        接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。

(5)        接入设备向Portal服务器发送认证应答报文。

(6)        Portal服务器向客户端发送认证通过报文,通知客户端认证(上线)成功。

(7)        Portal服务器向接入设备发送认证应答确认。

(8)        客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全性是否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。

(9)        安全策略服务器根据用户的安全性授权用户访问非受限资源,授权信息保存到接入设备中,接入设备将使用该信息控制用户的访问。

步骤(8)、(9)为Portal认证扩展功能的交互过程。

2. 二次地址分配认证方式的流程

图2-4 二次地址分配认证方式流程图

 

二次地址分配认证流程:

(1)~(6)同直接/三层Portal认证中步骤(1)~(6)。

(7)        客户端收到认证通过报文后,通过DHCP请求获得新的公网IP地址,并通知Portal服务器用户已获得新IP地址。

(8)        Portal服务器通知接入设备客户端获得新公网IP地址。

(9)        接入设备通过检测ARP协议报文发现了用户IP变化,并通告Portal服务器已检测到用户IP变化。

(10)    Portal服务器通知客户端上线成功。

(11)    Portal服务器向接入设备发送IP变化确认报文。

(12)    客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全性是否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。

(13)    安全策略服务器根据用户的安全性授权用户访问非受限资源,授权信息保存到接入设备中,接入设备将使用该信息控制用户的访问。

步骤(12)、(13)为Portal认证扩展功能的交互过程。

3. 使用本地Portal服务器的认证流程

图2-5 使用本地Portal服务器的认证流程图

 

直接/三层Portal认证流程:

(1)        Portal用户访问某网站页面,认证客户端通过HTTP或HTTPS协议发起认证请求。HTTP或HTTPS报文经过配置了本地Portal服务器的接入设备的接口时会被重定向到本地Portal服务器,本地Portal服务器提供Web页面供用户输入用户名和密码来进行认证。

(2)        接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。

(3)        接入设备中的本地Portal服务器向客户端发送登录成功页面,通知客户端认证(上线)成功。

若认证客户端和接入设备之间使用HTTPS协议,则Portal用户通过HTTPS协议发起认证请求后,认证客户端和接入设备之间会首先进行SSL协商,建立一个加密的安全通道。

 

2.2  配置Portal认证

2.2.1  配置准备

Portal提供了一个用户身份认证和安全认证的实现方案,但是仅仅依靠Portal不足以实现该方案。接入设备的管理者需选择使用RADIUS认证方法,以配合Portal完成用户的身份认证。Portal认证的配置前提:

l              使能Portal的接口已配置或者获取了合法的IP地址。

l              Portal服务器、RADIUS服务器已安装并配置成功。本地Portal服务器方式下无需单独安装Portal服务器。

l              若采用二次地址分配认证方式,接入设备需启动DHCP中继的安全地址匹配检查功能,另外需要安装并配置好DHCP服务器。

l              如果通过远端RADIUS服务器进行认证,则需要在RADIUS服务器上配置相应的用户名和密码,然后在接入设备端进行RADIUS客户端的相关设置。RADIUS客户端的具体配置请参见“RADIUS”。

2.2.2  配置概述

Portal配置的推荐步骤如表2-1所示。

表2-1 Portal配置步骤

步骤

配置任务

说明

1

2.2.3  配置Portal服务

必选

配置Portal服务器,并在接口上应用Portal服务器,以及配置Portal认证的相关参数

缺省情况下,不存在任何Portal服务器

2

2.2.4  配置免认证策略

可选

配置Portal的免认证策略,指定源过滤条件或目的过滤条件

通过配置免认证策略可以让特定的用户访问外网特定资源,这是由免认证策略中配置的源信息以及目的信息决定的。符合免认证策略的报文不会触发Portal认证,而是直接访问网络资源。

缺省情况下,不存在任何免认证策略

 

2.2.3  配置Portal服务

在导航栏中选择“认证 > Portal认证”,默认进入“配置Portal服务器”页签的页面,如图2-6所示。单击<新建>按钮,进入应用Portal服务的配置页面,如图2-7所示。

图2-6 配置Portal服务器

 

图2-7 应用Portal服务

 

Portal服务的详细配置如表2-2所示。

表2-2 Portal服务的详细配置

配置项

说明

接口名称

设置要使能Portal认证的接口

Portal服务器

设置要在接口上应用的Portal服务器

l      使用已有服务器:可以在下来框中选择一个已经存在的Portal服务器

l      新建服务器:选择此项时,页面下方显示如图2-8所示的内容,可以新建一个Portal服务器,并应用到该接口,详细配置如表2-3所示

l      使能本地服务:选择此项时,页面下方显示如图2-9所示的内容,可以配置本地Portal服务的相关参数,详细配置如表2-4所示

认证方式

设置Portal认证的方式

l      Direct:直接认证方式

l      Layer3:三层认证方式

l      ReDHCP:二次地址分配认证方式

l      对于跨三层设备支持Portal认证的应用只能配置Layer3方式,但Layer3方式不要求接入设备和Portal用户之间必需跨越三层设备

l      在ReDHCP方式下,允许用户在未通过Portal认证时以公网地址向外发送报文,但相应的回应报文则受限制

l      使用本地Portal服务器时,ReDHCP方式可以配置但不生效

认证网段IP地址

设置Layer3认证方式的认证网段的IP地址和掩码

通过配置认证网段只允许在认证网段范围内的用户IP才会触发Portal强制认证;如果非主动认证的用户IP既不满足免认证策略又不在认证网段内,则丢弃该报文

认证网段仅在认证方式选择Layer3时可以配置

Direct方式的认证网段为任意源IP,ReDHCP方式的认证网段为由接口私网IP决定的私网网段

认证网段掩码

强制认证域

设置强制认证域

通过在指定接口上配置强制认证域,使得所有从该接口接入的Portal用户被强制使用指定的认证域来进行认证、授权和计费。即使Portal用户输入的用户名中携带的域名相同,接入设备的管理员也可以通过配置强制认证域对不同接口指定不同的认证域,从而增加了管理员部署Portal接入策略的灵活性

可选的ISP域可以在“认证 > AAA”中配置,详细配置请参见“AAA”

 

图2-8 新建Portal服务器

 

表2-3 新建Portal服务器的详细配置

配置项

说明

服务器名称

设置Portal服务器的名称

服务器IP地址

设置外部Portal服务器的IP地址

共享密钥

设置与Portal服务器通信需要的共享密钥

使用本地Portal服务器时,共享密钥可以配置但不生效

端口号

设置设备向Portal服务器主动发送报文时使用的目的端口号,必须与远程Portal服务器实际使用的端口号保持一致

使用本地Portal服务器时,端口号可以配置但不生效

重定向URL

设置HTTP报文重定向URL地址

l      支持DNS,但需要配置免认证策略,将DNS服务器地址加入Portal的免认证地址范围内

l      使用本地Portal服务器时,重定向URL可以配置但不生效

 

图2-9 本地Portal服务配置

 

表2-4 本地Portal服务的详细配置

配置项

说明

服务器名称

设置本地Portal服务器的名称

服务器IP地址

设置本地Portal服务器的IP地址,必须为应用该Portal服务器的接口的IP地址

认证页面传输协议

设置本地Portal服务器与客户端交互认证信息所使用的协议类型,包括HTTP和HTTPS

当选择HTTPS时,需要配置PKI域信息

PKI域

设置HTTPS协议所使用的PKI域

可选的PKI域在“认证 > PKI”中配置,详细配置请参见“PKI”

服务管理、Portal认证、本地EAP服务三个模块中引用的PKI域是相互关联的,在任何一个模块进行了修改,另外两个模块中引用的PKI域也会随之改变

配置页面定制

SSID

设置相应SSID要绑定的认证页面文件的名称

配置SSID与认证页面文件的绑定后,当有用户访问Portal页面时,本地Portal服务器会根据用户登录接口的SSID及其绑定的配置推出对应的认证页面

缺省情况下,SSID未与任何认证页面文件绑定,此时将推出系统缺省的认证页面

认证页面文件由用户编辑,保存在设备根目录下或者根目录下的portal目录下,认证页面文件的定制规范请参见“2.2.5  定制认证页面文件

页面文件

 

可点击返回“表2-1 Portal配置步骤”。

2.2.4  配置免认证策略

在导航栏中选择“认证 > Portal认证”,单击“免认证策略配置”页签,进入如图2-10所示的页面。单击<新建>按钮,进入新建免认证策略的配置页面,如图2-11所示。

图2-10 免认证策略配置

 

图2-11 新建免认证策略

 

免认证策略的详细配置如表2-5所示。

表2-5 免认证策略的详细配置

配置项

说明

序号

设置免认证策略的序号

源接口

设置免认证策略的源接口

下拉框中的SSID为无线ESS口对应的SSID

源IP地址

设置免认证策略的源IP地址和网络掩码

网络掩码

源MAC地址

设置免认证策略的源MAC地址

如果同时配置了源IP地址和源MAC地址,则必须保证源IP地址的网络掩码为255.255.255.255,否则配置的MAC地址无效

源VLAN

设置免认证策略的源VLAN编号

如果同时配置了源VLAN和源接口,则要求源接口必须属于该VLAN,否则该策略无效

目的IP地址

设置免认证策略的目的IP地址和网络掩码

网络掩码

 

可点击返回“表2-1 Portal配置步骤”。

2.2.5  定制认证页面文件

使用本地Portal服务器进行认证时,本地Portal服务器负责向用户推出认证页面,认证页面的内容可由用户定制。用户定制的认证页面以HTML文件的形式被压缩后发送至本地设备的存储设备中。每套定制页面可包括登录页面、登录成功页面、登录失败页面、在线页面、系统忙页面、下线成功页面,共六个主索引页面。若用户只定制了部分主索引页面,则其余未定制的页面使用系统缺省的认证页面。

用户在定制这些页面时需要遵循一定的定制规范,否则会影响本地Portal服务器功能的正常使用和系统运行的稳定性。

1. 定制文件名规范

用户定制的主索引页面文件名不能自定义,必须使用表2-6中所列的固定文件名:

表2-6 认证页面文件名

主索引页面

文件名

登录页面

logon.htm

登录成功页面

logonSuccess.htm

登录失败页面

logonFail.htm

在线页面

用于提示用户已经在线

online.htm

系统忙页面

用于提示系统忙或者该用户正在登录过程中

busy.htm

下线成功页面

logoffSuccess.htm

 

除主索引页面文件之外的其他页面的文件名可由用户自定义,但需注意文件名和文件目录名中不能含有中文。

 

2. 页面请求规范

本地Portal服务器只能接受Get请求和Post请求。

l              Post请求用于用户提交用户名和密码以及用户执行登录、下线操作。

l              Get请求的内容不可为递归内容。例如,Logon.htm文件中包含了Get ca.htm文件的内容,但ca.htm文件中又包含了对Logon.htm的引用,这种递归引用就不允许。

3. Post请求中的属性规范

(1)        认证页面中表单(Form)的编辑必须符合以下原则:

l              认证页面可以含有多个Form,但是必须有且只有一个Form的action=logon.cgi,否则无法将用户信息送到本地Portal服务器。

l              用户名属性固定为”PtUser”,密码属性固定为”PtPwd”。

l              需要有用于标记用户登录还是下线的属性”PtButton”,取值为"Logon"表示登录,取值为"Logoff"表示下线。

l              登录Post请求必须包含”PtUser”,”PtPwd”和"PtButton"三个属性。

l              下线Post请求必须包含”PtButton”这个参数。

(2)        需要包含登录Post请求的页面有logon.htm和logonFail.htm。

logon.htm页面脚本内容的部分示例:

<form action=logon.cgi method = post >

<p>User name:<input type="text" name = "PtUser" style="width:160px;height:22px" maxlength=64>

<p>Password :<input type="password" name = "PtPwd" style="width:160px;height:22px" maxlength=32>

<p><input type=SUBMIT value="Logon" name = "PtButton" style="width:60px;">

</form>

(3)        需要包含下线Post请求的页面有logonSuccess.htm和online.htm。

online.htm页面脚本内容的部分示例:

<form action=logon.cgi method = post >

<p><input type=SUBMIT value="Logoff" name="PtButton" style="width:60px;">

</form>

4. 页面文件压缩及保存规范

l              完成所有认证页面的编辑之后,必须按照标准Zip格式将其压缩到一个Zip文件中,该Zip文件的文件名只能包含字母、数字和下划线。

l              压缩生成的Zip文件可以通过FTP或TFTP的方式上传至设备,且必须保存在设备根目录下或者根目录下的portal目录下。

5. 页面文件大小和内容规范

为了方便系统推出定制的认证页面,认证页面在文件大小和内容上需要有如下限制:

l              每套页面(包括主索引页面文件和其页面元素)压缩后的Zip文件大小总和不能超过500K字节。

l              每个单独页面(包括单个主索引页面文件及其页面元素)压缩前的文件大小不能超过50K字节(含页面文件和图片信息)。

l              页面元素(认证页面需要应用的各种文件,如Logon.htm页面中的back.jpg)只能包含HTML、JS、CSS和图片之类的静态内容。

2.3  Portal认证典型配置举例

1. 组网需求

l              无线客户端(属于VLAN 2)通过AP(序列号为210235A29G007C000020、属于VLAN 3)接入网络。

l              AC支持运行HTTPS协议的本地Portal服务器。本地Portal服务器可以根据用户登录接口的SSID推出其对应的定制页面。

l              采用RADIUS服务器作为认证/计费服务器,RADIUS服务器使用CAMS/iMC服务器。

l              客户端采用直接方式进行Portal认证,在通过Portal认证前,只能访问本地Portal服务器;在通过Portal认证后,可以访问非受限的互联网资源。

图2-12 使用本地Portal服务器的直接认证方式组网图

 

2. 配置步骤

l          按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。

l          完成PKI域“test”的配置,并成功申请本地证书和CA证书,具体配置请参见“PKI”。

l          完成客户端SSID绑定的认证页面文件的编辑。

l          完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。

l          建议不要将无线客户端与AP置于同一个网段中,否则在该网段启动Portal认证后,AP无法进行注册,除非配置针对AP的免认证策略。

 

在AC上进行以下配置:

(1)        配置RADIUS方案system

# 配置RADIUS认证服务器。

l              在导航栏中选择“认证 > RADIUS”,默认进入“RADIUS服务器配置”页签的页面,进行如下配置,如图2-13所示。

图2-13 配置RADIUS认证服务器

 

l              选择服务类型为“认证服务器”。

l              输入主服务器IP地址为“1.1.1.2”。

l              输入主UDP端口为“1812”。

l              选择主服务器状态为“active”。

l              单击<确定>按钮完成操作。

# 配置RADIUS计费服务器。

图2-14 配置RADIUS计费服务器

 

l              图2-14所示,选择服务类型为“计费服务器”。

l              输入主服务器IP地址为“1.1.1.2”。

l              输入主UDP端口为“1813”。

l              选择主服务器状态为“active”。

l              单击<确定>按钮完成操作

# 配置设备与RADIUS服务器交互的方案。

l              单击“RADIUS参数设置”页签,进行如下配置,如图2-15所示。

图2-15 配置设备与RADIUS服务器交互的方案

 

l              选择服务器类型为“extended”。

l              选中“认证服务器共享密钥”前的复选框,输入认证密钥为“expert”。

l              输入确认认证密钥为“expert”。

l              选中“计费服务器共享密钥”前的复选框,输入计费密钥为“expert”。

l              输入确认计费密钥为“expert”。

l              选择用户名格式为“without-domain”。

l              单击<确定>按钮完成操作。

(2)        配置AAA

# 创建ISP域。

l              在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面,进行如下配置,如图2-16所示。

图2-16 创建ISP

 

l              输入域名为“test”。

l              选择缺省域为“Enable”。

l              单击<应用>按钮完成操作。

# 配置ISP域的AAA认证方案。

l              单击“认证”页签,进行如下配置,如图2-17所示。

图2-17 配置ISP域的AAA认证方案

 

l              选择域名为“test”。

l              选中“Default认证”前的复选框,选择认证方式为“RADIUS”。

l              选择认证方案名称为“system”。

l              单击<应用>按钮,弹出配置进度对话框,如图2-18所示。

图2-18 配置进度对话框

 

l              看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

# 配置ISP域的AAA授权方案。

l              单击“授权”页签,进行如下配置,如图2-19所示。

图2-19 配置ISP域的AAA授权方案

 

l              选择域名为“test”。

l              选中“Default授权”前的复选框,选择授权方式为“RADIUS”。

l              选择授权方案名称为“system”。

l              单击<应用>按钮,弹出配置进度对话框。

l              看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

# 配置ISP域的AAA计费方案,并配置用户计费可选。

l              单击“计费”页签,进行如下配置,如图2-20所示。

图2-20 配置ISP域的AAA计费方案

 

l              选择域名为“test”。

l              选中“计费可选开关”前的复选框,选择“Enable”。

l              选中“Default计费”前的复选框,选择计费方式为“RADIUS”。

l              选择计费方案名称为“system”。

l              单击<应用>按钮,弹出配置进度对话框。

l              看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

(3)        配置WLAN服务

# 创建AP。

l              在导航栏中选择“AP > AP设置”,单击<新建>按钮,进行如下配置,如图2-21所示。

图2-21 创建AP

 

l              输入AP名称为“ap1”。

l              选择型号为“WA2100”。

l              选择序列号方式为“手动”,并输入AP的序列号“210235A29G007C000020”。

l              单击<确定>按钮完成操作。

# 创建无线服务。

l              在导航栏中选择“无线服务 > 接入服务”,单击<新建>按钮,进行如下配置,如图2-22所示。

图2-22 创建无线服务

 

l              输入无线服务名称为“1”。

l              选择无线服务类型为“Clear”。

l              单击<确定>按钮完成操作。

l              页面跳转到新创建无线服务的具体参数配置页面,进行如下配置,如图2-23所示。

图2-23 配置无线服务的其他参数

 

l              输入VLAN(Untagged)为“2”。

l              输入缺省VLAN为“2”。

l              单击<确定>按钮,弹出配置进度对话框,如图2-24所示。

图2-24 配置进度对话框

 

l              看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

# 使能无线服务。

l              完成上述配置后,页面会跳转到接入服务的显示页面,进行如下配置,如图2-25所示。

图2-25 使能无线服务

 

l              选中“1”前的复选框,

l              单击<开启>按钮完成操作,弹出配置进度对话框。

l              看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

# 绑定AP的射频

l              图2-25中单击无线服务“1”旁边的<绑定>按钮,进入图2-26所示页面。

图2-26 绑定AP的射频

 

l              选中AP名称为“ap1”、射频模式为“802.11g”的表项前的复选框。

l              单击<绑定>按钮完成操作。

# 使能802.11g射频。

l              在导航栏中选择“射频 > 射频设置”,进行如下配置,如图2-27所示。

图2-27 使能802.11g射频

 

l              选中AP名称为“ap1”、射频模式为“802.11g”的表项前的复选框。

l              单击<开启>按钮完成操作,弹出配置进度对话框。

l              看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

(4)        配置Portal认证

# 配置Portal服务。

l              在导航栏中选择“认证 > Portal认证”,默认进入“配置Portal服务器”页签的页面,如图2-28所示。单击<新建>按钮进行如下配置,如图2-29所示。

图2-28 配置Portal服务器

 

图2-29 应用Portal服务

 

l              选择接口名称为“Vlan-interface2”。

l              选择Portal服务器为“使能本地服务器”。

l              选择认证方式为“Direct”。

l              输入服务器IP地址“192.168.1.1”。

l              选中认证页面传输协议“HTTPS”前的单选按钮。

l              选择PKI域为“test”。

l              选中“配置页面定制”前的复选框。

l              选择SSID abc对应的页面文件为“ssid1.zip”。

l              单击<确定>按钮完成操作。

3. 验证配置结果

用户通过Web浏览器访问1.1.1.0/24网段,能够被重定向到https://192.168.1.1/portal/logon.htm。用户根据网页提示输入正确的用户名密码后,能够成功通过认证。

 


3 AAA

3.1  概述

3.1.1  AAA简介

AAA是Authentication、Authorization、Accounting(认证、授权、计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。

AAA一般采用客户机/服务器结构,客户端运行于NAS(Network Access Server,网络接入服务器)上,服务器上则集中管理用户信息。NAS对于用户来讲是服务器端,对于服务器来说是客户端。AAA的基本组网结构如图3-1

图3-1 AAA基本组网结构示意图

 

当用户想要通过某网络与NAS建立连接,从而获得访问其它网络的权利或取得某些网络资源的权利时,NAS起到了验证用户或对应连接的作用。NAS负责把用户的认证、授权、计费信息透传给服务器(如RADIUS服务器),RADIUS协议规定了NAS与服务器之间如何传递用户信息。

图3-1的AAA基本组网结构中有两台服务器,用户可以根据实际组网需求来决定认证、授权、计费功能分别由哪台服务器来承担。例如,可以选择RADIUS server 1实现认证和授权,RADIUS server 2实现计费。

这三种安全服务功能的具体作用如下:

l              认证:确认远端访问用户的身份,判断访问者是否为合法的网络用户;

l              授权:对不同用户赋予不同的权限,限制用户可以使用的服务。例如用户成功登录服务器后,管理员可以授权用户对服务器中的文件进行访问和打印操作;

l              计费:记录用户使用网络服务中的所有操作,包括使用的服务类型、起始时间、数据流量等,它不仅是一种计费手段,也对网络安全起到了监视作用。

当然,用户可以只使用AAA提供的一种或两种安全服务。例如,公司仅仅想让员工在访问某些特定资源的时候进行身份认证,那么网络管理员只要配置认证服务器就可以了。但是若希望对员工使用网络的情况进行记录,那么还需要配置计费服务器。

如上所述,AAA是一种管理框架,它提供了授权部分实体去访问特定资源,同时可以记录这些实体操作行为的一种安全机制,因其具有良好的可扩展性,并且容易实现用户信息的集中管理而被广泛使用。

AAA可以通过多种协议来实现,目前设备支持基于RADIUS协议来实现AAA,在实际应用中,RADIUS协议也是最常使用的。RADIUS的详细介绍请参见“RADIUS”。

3.1.2  ISP域简介

一个ISP(Internet Service Provider,Internet服务提供者)域是由属于同一个ISP的用户构成的群体。

在“userid@isp-name”形式的用户名中,“userid”为用于身份认证的用户名,“isp-name”为域名。

在多ISP的应用环境中,不同ISP域的用户有可能接入同一台设备。而且各ISP用户的用户属性(例如用户名及密码构成、服务类型/权限等)有可能不相同,因此有必要通过设置ISP域把它们区分开,并为每个ISP域单独配置包括AAA策略(一组不同的认证/授权/计费方案)在内的属性集。

对于设备来说,每个接入用户都属于一个ISP域。如果某个用户在登录时没有提供ISP域名,系统将把它归于缺省的ISP域。

3.2  配置AAA

3.2.1  配置准备

l              进行本地认证时,需要配置本地用户,具体配置请参见“用户”。

l              进行远端认证、授权或计费时,需要已经创建RADIUS方案,通过引用已配置的RADIUS方案来实现认证、授权、计费。有关RADIUS方案的配置请参见“RADIUS”。

3.2.2  配置概述

AAA配置的推荐步骤如表3-1所示。

表3-1 AAA配置步骤

步骤

配置任务

说明

1

3.2.3  配置ISP域

可选

配置ISP域,并指定其中一个为缺省ISP域

缺省情况下,系统存在名为system的缺省ISP域

2

3.2.4  配置ISP域的AAA认证方法

可选

配置对ISP域中不同类型的用户所使用的认证方法

缺省情况下,所有类型的用户采用Local认证方法

AAA将用户类型分为:LAN-access用户(如802.1x认证、MAC地址认证用户)、Login用户(如SSH、Telnet、FTP、终端接入用户)、PPP用户、Portal用户、Command用户

3

3.2.5  配置ISP域的AAA授权方法

可选

配置对ISP域中不同类型的用户所使用的授权方法

缺省情况下,所有类型的用户采用Local授权方法

4

3.2.6  配置ISP域的AAA计费方法

必选

配置对ISP域中不同类型的用户所使用的计费方法

缺省情况下,所有类型的用户采用Local计费方法

 

3.2.3  配置ISP

在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面,如图3-2所示。

图3-2 域设置

 

ISP域的详细配置如表3-2所示。

表3-2 ISP域的详细配置

配置项

说明

域名

设置ISP域的名称,用于标识域

可以输入新的域名来创建域,也可以选择已有域来配置其是否为缺省域

缺省域

设置该ISP域是否为缺省域

l      Enable:设置为缺省域

l      Disable:设置为非缺省域

同时只能存在一个缺省域,当某个域被设置为缺省域时,原来的缺省域自动被设置为非缺省域

 

可点击返回“表3-1 AAA配置步骤”。

3.2.4  配置ISP域的AAA认证方法

在导航栏中选择“认证 > AAA”,单击“认证”页签,进入如图3-3所示的页面。

图3-3 认证

 

ISP域AAA认证方法的详细配置如表3-3所示。

表3-3 ISP域AAA认证方法的详细配置

配置项

说明

选择一个域名

设置要配置的ISP域

Default认证

设置所有类型用户的缺省认证方法和备选方法

l      HWTACACS:HWTACACS认证,此时需要设置具体选用的HWTACACS方案

l      Local:本地认证

l      None:不认证,即对用户非常信任,不进行合法性检查,一般情况下不采用此方法

l      RADIUS:RADIUS认证,此时需要设置具体选用的RADIUS方案

l      Not Set:不设置Default认证,即恢复缺省情况(本地认证)

方案名称

备选方法

LAN-access认证

设置LAN-access用户的认证方法和备选方法

l      Local:本地认证

l      None:不认证,即对用户非常信任,不进行合法性检查,一般情况下不采用此方法

l      RADIUS:RADIUS认证,此时需要设置具体选用的RADIUS方案

l      Not Set:不设置LAN-access认证,此时缺省使用Default认证的配置

方案名称

备选方法

Login认证

设置Login用户的认证方法和备选方法

l      HWTACACS:HWTACACS认证,此时需要设置具体选用的HWTACACS方案

l      Local:本地认证

l      None:不认证,即对用户非常信任,不进行合法性检查,一般情况下不采用此方法

l      RADIUS:RADIUS认证,此时需要设置具体选用的RADIUS方案

l      Not Set:不设置Login认证,此时缺省使用Default认证的配置

方案名称

备选方法

PPP认证

设置PPP用户的认证方法和备选方法

l      HWTACACS:HWTACACS认证,此时需要设置具体选用的HWTACACS方案

l      Local:本地认证

l      None:不认证,即对用户非常信任,不进行合法性检查,一般情况下不采用此方法

l      RADIUS:RADIUS认证,此时需要设置具体选用的RADIUS方案

l      Not Set:不设置PPP认证,此时缺省使用Default认证的配置

方案名称

备选方法

Portal认证

设置Portal用户的认证方法

l      None:不认证,即对用户非常信任,不进行合法性检查,一般情况下不采用此方法

l      RADIUS:RADIUS认证,此时需要设置具体选用的RADIUS方案

l      Not Set:不设置Portal认证,此时缺省使用Default认证的配置

方案名称

 

可点击返回“表3-1 AAA配置步骤”。

3.2.5  配置ISP域的AAA授权方法

在导航栏中选择“认证 > AAA”,单击“授权”页签,进入如图3-4所示的页面。

图3-4 授权

 

ISP域AAA授权方法的详细配置如表3-4所示。

表3-4 ISP域AAA授权方法的详细配置

配置项

说明

选择一个域名

设置要配置的ISP域

Default授权

设置所有类型用户的缺省授权方法和备选方法

l      HWTACACS:HWTACACS授权,此时需要设置具体选用的HWTACACS方案

l      Local:本地授权

l      None:直接授权,即对用户非常信任,直接授权通过,此时用户权限为系统默认权限

l      RADIUS:RADIUS授权,此时需要设置具体选用的RADIUS方案

l      Not Set:不设置Default授权,即恢复缺省情况(本地授权)

方案名称

备选方法

LAN-access授权

设置LAN-access用户的授权方法和备选方法

l      Local:本地授权

l      None:直接授权,即对用户非常信任,直接授权通过,此时用户权限为系统默认权限

l      RADIUS:RADIUS授权,此时需要设置具体选用的RADIUS方案

l      Not Set:不设置LAN-access授权,此时缺省使用Default授权的配置

方案名称

备选方法

Login授权

设置Login用户的授权方法和备选方法

l      HWTACACS:HWTACACS授权,此时需要设置具体选用的HWTACACS方案

l      Local:本地授权

l      None:直接授权,即对用户非常信任,直接授权通过,此时用户权限为系统默认权限

l      RADIUS:RADIUS授权,此时需要设置具体选用的RADIUS方案

l      Not Set:不设置Login授权,此时缺省使用Default授权的配置

方案名称

备选方法

PPP授权

设置PPP用户的授权方法和备选方法

l      HWTACACS:HWTACACS授权,此时需要设置具体选用的HWTACACS方案

l      Local:本地授权

l      None:直接授权,即对用户非常信任,直接授权通过,此时用户权限为系统默认权限

l      RADIUS:RADIUS授权,此时需要设置具体选用的RADIUS方案

l      Not Set:不设置PPP授权,此时缺省使用Default授权的配置

方案名称

备选方法

Portal授权

设置Portal用户的授权方法

l      None:直接授权,即对用户非常信任,直接授权通过,此时用户权限为系统默认权限

l      RADIUS:RADIUS授权,此时需要设置具体选用的RADIUS方案

l      Not Set:不设置Portal授权,此时缺省使用Default授权的配置

方案名称

Command授权

设置Command用户的授权方法

l      HWTACACS:HWTACACS授权,此时需要设置具体选用的HWTACACS方案

l      Not Set:不设置Portal授权,此时缺省使用Default授权的配置

方案名称

 

可点击返回“表3-1 AAA配置步骤”。

3.2.6  配置ISP域的AAA计费方法

在导航栏中选择“认证 > AAA”,单击“计费”页签,进入如图3-5所示的页面。

图3-5 计费

 

ISP域AAA计费方法的详细配置如表3-5所示。

表3-5 ISP域AAA计费方法的详细配置

配置项

说明

选择一个域名

设置要配置的ISP域

计费可选开关

设置是否开启计费可选功能

l      对上线用户计费时,如果发现没有可用的计费服务器或与计费服务器通信失败时,若开启计费可选功能,则用户可以继续使用网络资源,否则用户连接将被切断

l      对于计费过程失败但因计费可选功能上线的用户,系统不再对其发送实时计费更新报文

Default计费

设置所有类型用户的缺省计费方法和备选方法

l      HWTACACS:HWTACACS计费,此时需要设置具体选用的HWTACACS方案

l      Local:本地计费

l      None:不计费

l      RADIUS:RADIUS计费,此时需要设置具体选用的RADIUS方案

l      Not Set:不设置Default计费,即恢复缺省情况(本地计费)

方案名称

备选方法

LAN-access计费

设置LAN-access用户的计费方法和备选方法

l      Local:本地计费

l      None:不计费

l      RADIUS:RADIUS计费,此时需要设置具体选用的RADIUS方案

l      Not Set:不设置LAN-access计费,此时缺省使用Default计费的配置

方案名称

备选方法

Login计费

设置Login用户的计费方法和备选方法

l      HWTACACS:HWTACACS计费,此时需要设置具体选用的HWTACACS方案

l      Local:本地计费

l      None:不计费

l      RADIUS:RADIUS计费,此时需要设置具体选用的RADIUS方案

l      Not Set:不设置Login计费,此时缺省使用Default计费的配置

方案名称

备选方法

PPP计费

设置PPP用户的计费方法和备选方法

l      HWTACACS:HWTACACS计费,此时需要设置具体选用的HWTACACS方案

l      Local:本地计费

l      None:不计费

l      RADIUS:RADIUS计费,此时需要设置具体选用的RADIUS方案

l      Not Set:不设置PPP计费,此时缺省使用Default计费的配置

方案名称

备选方法

Portal计费

设置Portal用户的计费方法

l      None:不计费

l      RADIUS:RADIUS计费,此时需要设置具体选用的RADIUS方案

l      Not Set:不设置Portal计费,此时缺省使用Default计费的配置

方案名称

 

可点击返回“表3-1 AAA配置步骤”。

3.3  AAA典型配置举例

1. 组网需求

图3-6所示,配置AC,实现对登录AC的Telnet用户进行本地认证、授权和计费。

图3-6 AAA配置组网图

 

2. 配置步骤

开启Telnet服务器功能,并配置Telnet用户登录采用AAA认证方式。具体配置略。

 

# 配置各接口的IP地址。(略)

# 配置本地用户。

l              在导航栏中选择“认证 > 用户”,默认进入“本地用户”页签的页面,单击<新建>按钮,如图3-7所示。在创建本地用户的页面中进行如下配置,如图3-8所示。

图3-7 本地用户

 

图3-8 创建本地用户

 

l              输入用户名为“telnet”。

l              输入密码为“abcd”。

l              输入确认密码为“abcd”。

l              选择服务类型为“Telnet”。

l              单击<确定>按钮完成操作。

# 配置ISP域test。

l              在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面,进行如下配置,如图3-9所示。

图3-9 配置ISP域test

 

l              输入域名为“test”。

l              单击<应用>按钮完成操作。

# 配置ISP域的AAA方案为本地认证。

l              在导航栏中选择“认证 > AAA”,单击“认证”页签,进行如下配置,如图3-10所示。

图3-10 配置ISP域的AAA方案为本地认证

 

l              选择域名为“test”。

l              选中“Login认证”前的复选框,选择认证方法为“Local”。

l              单击<应用>按钮,弹出配置进度对话框,如图3-11所示。

图3-11 配置进度对话框

 

看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

# 配置ISP域的AAA方案为本地授权。

l              在导航栏中选择“认证 > AAA”,单击“授权”页签,进行如下配置,如图3-12所示。

图3-12 配置ISP域的AAA方案为本地授权

 

l              选择域名为“test”。

l              选中“Login授权”前的复选框,选择授权方法为“Local”。

l              单击<应用>按钮,弹出配置进度对话框。

l              看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

# 配置ISP域的AAA方案为本地计费。

l              在导航栏中选择“认证 > AAA”,单击“计费”页签,进行如下配置,如图3-13所示。

图3-13 配置ISP域的AAA方案为本地计费

 

l              选择域名为“test”。

l              选中“Login计费”前的复选框,选择计费方法为“Local”。

l              单击<应用>按钮,弹出配置进度对话框。

l              看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

使用Telnet登陆时输入用户名为telnet@test,以使用test域进行认证。

 


4 RADIUS

4.1  概述

RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种用于实现AAA(Authentication, Authorization and Accounting,认证、授权和计费)的协议。AAA的详细介绍请参见“AAA”。

4.1.1  RADIUS简介

RADIUS是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。该协议定义了基于UDP的RADIUS帧格式及其消息传输机制,并规定UDP端口1812、1813分别作为认证、计费端口。

RADIUS最初仅是针对拨号用户的AAA协议,后来随着用户接入方式的多样化发展,RADIUS也适应多种用户接入方式,如以太网接入、ADSL接入。它通过认证授权来提供接入服务,通过计费来收集、记录用户对网络资源的使用。

4.1.2  客户端/服务器模式

l              客户端:RADIUS客户端一般位于NAS设备上,可以遍布整个网络,负责传输用户信息到指定的RADIUS服务器,然后根据从服务器返回的信息进行相应处理(如接受/拒绝用户接入)。

l              服务器:RADIUS服务器运行在中心计算机或工作站上,维护相关的用户认证和网络服务访问信息,负责接收用户连接请求并认证用户,然后给客户端返回所有需要的信息(如接受/拒绝认证请求)。

RADIUS服务器通常要维护三个数据库,如图4-1所示。

图4-1 RADIUS服务器的组成

 

l              “Users”:用于存储用户信息(如用户名、口令以及使用的协议、IP地址等配置信息)。

l              “Clients”:用于存储RADIUS客户端的信息(如接入设备的共享密钥、IP地址等)。

l              “Dictionary”:用于存储RADIUS协议中的属性和属性值含义的信息。

4.1.3  安全和认证机制

RADIUS客户端和RADIUS服务器之间认证消息的交互是通过共享密钥的参与来完成的,并且共享密钥不能通过网络来传输,增强了信息交互的安全性。另外,为防止用户密码在不安全的网络上传递时被窃取,在传输过程中对密码进行了加密。

RADIUS服务器支持多种方法来认证用户,如基于PPP的PAP、CHAP认证。另外,RADIUS服务器还可以为其它类型的认证服务器提供代理客户端的功能,向其提出认证请求。

4.1.4  RADIUS的基本消息交互流程

用户、RADIUS客户端和RADIUS服务器之间的交互流程如图4-2所示。

图4-2 RADIUS的基本消息交互流程

 

消息交互流程如下:

(1)        用户发起连接请求,向RADIUS客户端发送用户名和密码。

(2)        RADIUS客户端根据获取的用户名和密码,向RADIUS服务器发送认证请求包(Access-Request),其中的密码在共享密钥的参与下由MD5算法进行加密处理。

(3)        RADIUS服务器对用户名和密码进行认证。如果认证成功,RADIUS服务器向RADIUS客户端发送认证接受包(Access-Accept);如果认证失败,则返回认证拒绝包(Access-Reject)。由于RADIUS协议合并了认证和授权的过程,因此认证接受包中也包含了用户的授权信息。

(4)        RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入,则RADIUS客户端向RADIUS服务器发送计费开始请求包(Accounting-Request)。

(5)        RADIUS服务器返回计费开始响应包(Accounting-Response),并开始计费。

(6)        用户开始访问网络资源;

(7)        用户请求断开连接,RADIUS客户端向RADIUS服务器发送计费停止请求包(Accounting-Request)。

(8)        RADIUS服务器返回计费结束响应包(Accounting-Response),并停止计费。

(9)        用户结束访问网络资源。

4.1.5  RADIUS报文结构

RADIUS采用UDP报文来传输消息,通过定时器管理机制、重传机制、备用服务器机制,确保RADIUS服务器和客户端之间交互消息的正确收发。RADIUS报文结构如图4-3所示。

图4-3 RADIUS报文结构

 

各字段的解释如下:

(1)        Code域

长度为1个字节,用于说明RADIUS报文的类型,如表4-1所示。

表4-1 Code域的主要取值说明

Code

报文类型

报文说明

1

Access-Request认证请求包

方向Client->Server,Client将用户信息传输到Server,由Server判断是否接入该用户。该报文中必须包含User-Name属性,可选包含NAS-IP-Address、User-Password、NAS-Port等属性

2

Access-Accept认证接受包

方向Server->Client,如果Access-Request报文中的所有Attribute值都可以接受(即认证通过),则传输该类型报文

3

Access-Reject认证拒绝包

方向Server->Client,如果Access-Request报文中存在任何无法被接受的Attribute值(即认证失败),则传输该类型报文

4

Accounting-Request计费请求包

方向Client->Server,Client将用户信息传输到Server,请求Server开始/停止计费,由该报文中的Acct-Status-Type属性区分计费开始请求和计费结束请求

5

Accounting-Response计费响应包

方向Server->Client,Server通知Client已经收到Accounting-Request报文,并且已经正确记录计费信息

 

(2)        Identifier域

长度为1个字节,用于匹配请求包和响应包,以及检测在一段时间内重发的请求包。类型一致的请求包和响应包的Identifier值相同。

(3)        Length域

长度为2个字节,表示RADIUS数据包(包括Code、Identifier、Length、Authenticator和Attribute)的长度,范围从20~4096。超过Length域的字节将作为填充字符被忽略。如果接收到的包的实际长度小于Length域的值时,则包会被丢弃。

(4)        Authenticator域

长度为16个字节,用于验证RADIUS服务器的应答,另外还用于用户密码的加密。Authenticator包括两种类型:Request Authenticator和Response Authenticator。

(5)        Attribute域

不定长度,用于携带专门的认证、授权和计费信息,提供请求和响应报文的配置细节。Attribute可包括多个属性,每一个属性都采用(Type、Length、Value)三元组的结构来表示。

l              类型(Type),1个字节,取值为1~255,用于表示属性的类型,表4-2列出了RADIUS认证、授权、计费常用的属性。

l              长度(Length),表示该属性(包括类型、长度和属性)的长度,单位为字节。

l              属性值(Value),表示该属性的信息,其格式和内容由类型和长度决定,最大长度为253字节。

表4-2 RADIUS属性

属性编号

属性名称

属性编号

属性名称

1

User-Name

45

Acct-Authentic

2

User-Password

46

Acct-Session-Time

3

CHAP-Password

47

Acct-Input-Packets

4

NAS-IP-Address

48

Acct-Output-Packets

5

NAS-Port

49

Acct-Terminate-Cause

6

Service-Type

50

Acct-Multi-Session-Id

7

Framed-Protocol

51

Acct-Link-Count

8

Framed-IP-Address

52

Acct-Input-Gigawords

9

Framed-IP-Netmask

53

Acct-Output-Gigawords

10

Framed-Routing

54

(unassigned)

11

Filter-ID

55

Event-Timestamp

12

Framed-MTU

56-59

(unassigned)

13

Framed-Compression

60

CHAP-Challenge

14

Login-IP-Host

61

NAS-Port-Type

15

Login-Service

62

Port-Limit

16

Login-TCP-Port

63

Login-LAT-Port

17

(unassigned)

64

Tunnel-Type

18

Reply_Message

65

Tunnel-Medium-Type

19

Callback-Number

66

Tunnel-Client-Endpoint

20

Callback-ID

67

Tunnel-Server-Endpoint

21

(unassigned)

68

Acct-Tunnel-Connection

22

Framed-Route

69

Tunnel-Password

23

Framed-IPX-Network

70

ARAP-Password

24

State

71

ARAP-Features

25

Class

72

ARAP-Zone-Access

26

Vendor-Specific

73

ARAP-Security

27

Session-Timeout

74

ARAP-Security-Data

28

Idle-Timeout

75

Password-Retry

29

Termination-Action

76

Prompt

30

Called-Station-Id

77

Connect-Info

31

Calling-Station-Id

78

Configuration-Token

32

NAS-Identifier

79

EAP-Message

33

Proxy-State

80

Message-Authenticator

34

Login-LAT-Service

81

Tunnel-Private-Group-id

35

Login-LAT-Node

82

Tunnel-Assignment-id

36

Login-LAT-Group

83

Tunnel-Preference

37

Framed-AppleTalk-Link

84

ARAP-Challenge-Response

38

Framed-AppleTalk-Network

85

Acct-Interim-Interval

39

Framed-AppleTalk-Zone

86

Acct-Tunnel-Packets-Lost

40

Acct-Status-Type

87

NAS-Port-Id

41

Acct-Delay-Time

88

Framed-Pool

42

Acct-Input-Octets

89

(unassigned)

43

Acct-Output-Octets

90

Tunnel-Client-Auth-id

44

Acct-Session-Id

91

Tunnel-Server-Auth-id

 

表4-2中所列的属性由RFC 2865、RFC 2866、RFC2867和RFC2568分别定义。

 

4.1.6  RADIUS扩展属性

RADIUS协议具有良好的可扩展性,协议(RFC 2865)中定义的26号属性(Vendor-Specific)用于设备厂商对RADIUS进行扩展,以实现标准RADIUS没有定义的功能。

设备厂商可以封装多个自定义的“(Type、Length、Value)”子属性来扩展RADIUS。如图4-4所示,26号属性报文内封装的子属性包括以下四个部分:

l              Vendor-ID域占4字节,表示厂商代号,最高字节为0,其余3字节的编码见RFC 1700。H3C公司的Vendor-ID2011

l              Vendor-Type,表示扩展属性的子属性类型。

l              Vendor-Length,表示该子属性长度。

l              Vendor-Data,表示该子属性的内容。

图4-4 包括扩展属性的RADIUS报文片断

 

4.1.7  协议规范

与RADIUS相关的协议规范有:

l              RFC 2865:Remote Authentication Dial In User Service (RADIUS)

l              RFC 2866:RADIUS Accounting

l              RFC 2867:RADIUS Accounting Modifications for Tunnel Protocol Support

l              RFC 2868:RADIUS Attributes for Tunnel Protocol Support

l              RFC 2869:RADIUS Extensions

4.2  配置RADIUS

4.2.1  配置概述

l          通过Web配置的RADIUS方案的方案名为system。

l          如果系统当前不存在名为system的RADIUS方案,则当用户选择“认证 > RADIUS”菜单进入RADIUS模块的页面时,系统会自动创建一个名为system的RADIUS方案。

 

RADIUS配置的推荐步骤如表4-3所示。

表4-3 RADIUS配置步骤

步骤

配置任务

说明

1

配置认证服务器

必选

配置RADIUS主/备份认证服务器的相关信息

缺省情况下,不存在任何认证服务器

详细配置请参见“1.2.2  配置全局的802.1X特性

2

配置计费服务器

可选

配置RADIUS主/备份计费服务器的相关信息

缺省情况下,不存在任何计费服务器

3

4.2.3  配置RADIUS参数

必选

配置设备和RADIUS服务器之间进行信息交互所需的一些参数

 

4.2.2  配置RADIUS服务器

在导航栏中选择“认证 > RADIUS”,默认进入“RADIUS服务器配置”页签的页面,如图4-5所示。

图4-5 RADIUS服务器配置

 

RADIUS服务器的详细配置如表4-4所示。

表4-4 RADIUS服务器的详细配置

配置项

说明

服务类型

设置要配置的RADIUS服务器的类型,包括:认证服务器、计费服务器

主服务器IP地址

设置主服务器的IP地址

未配置该主服务器时,文本框的值显示0.0.0.0

并且文本框为0.0.0.0时,表示删除配置的主服务器

主服务器与备份服务器的IP地址不能相同,否则将提示错误

主服务器共享密钥

设置主服务器的共享密钥,主服务器共享密钥和备服务器共享密钥可以不一致

主UDP端口

设置主服务器的UDP端口号

当未配置主服务器IP地址或者删除主服务器IP地址时,认证服务器端口号为1812,计费服务器端口号为1813

主服务器状态

设置主服务器的状态:

l      active:处于正常工作状态

l      block:处于宕机状态

当未配置主服务器IP地址或者删除主服务器IP地址时,状态为block

备份服务器IP地址

设置备份服务器的IP地址

未配置该备份服务器时,文本框的值显示0.0.0.0

并且文本框为0.0.0.0时,表示删除配置的备份服务器

主服务器与备份服务器不能相同,否则将提示错误

备服务器共享密钥

设置备被服务器的共享密钥,主服务器共享密钥和备服务器共享密钥可以不一致

备份UDP端口

设置备份服务器的UDP端口号

当未配置备份服务器IP地址或者删除备份服务器IP地址时,认证服务器端口号为1812,计费服务器端口号为1813

备份服务器状态

设置备份服务器的状态:

l      active:处于正常工作状态

l      block:处于宕机状态

当未配置备份服务器IP地址或者删除备份服务器IP地址时,状态为block

 

可点击返回“表4-3 RADIUS配置步骤”。

4.2.3  配置RADIUS参数

在导航栏中选择“认证 > RADIUS”,单击“RADIUS参数设置”页签,进入如图4-6所示的页面。

图4-6 RADIUS参数设置

 

RADIUS参数的详细设置如表4-5所示。

表4-5 设置RADIUS参数详细信息

配置项

说明

服务类型

设置设备系统支持的RADIUS服务器类型:

l      extended:指定extended的RADIUS服务器(一般为CAMS/iMC),即要求RADIUS客户端(设备系统)和RADIUS服务器按照私有RADIUS协议的规程和报文格式进行交互

l      standard:指定Standard类型的RADIUS服务器,即要求RADIUS客户端(设备系统)和RADIUS服务器按照标准RADIUS协议(RFC 2138/2139或更新)的规程和报文格式进行交互

认证服务器共享密钥

设置认证服务器的共享密钥和确认密钥,确认密钥必须与共享密钥保持一致

确认认证密钥

计费服务器共享密钥

设置计费服务器的共享密钥和确认密钥,确认密钥必须与共享密钥保持一致

确认计费密钥

NAS-IP

设备向RADIUS服务器发送RADIUS报文时使用的源IP地址

为了避免物理接口故障时从服务器返回的报文不可达,推荐使用Loopback接口地址

超时时间

设置RADIUS服务器应答超时时间

超时重发次数

设置最大传送次数

超时时间和超时重发次数的乘积不能超过75

实时计费间隔

设置实时计费的时间间隔,取值必须为3的整数倍

为了对用户实施实时计费,有必要设置实时计费的时间间隔。设置了该属性以后,每隔设定的时间,设备会向RADIUS服务器发送一次在线用户的计费信息

实时计费间隔的取值对NAS和RADIUS服务器的性能有一定的相关性要求,取值越小,对NAS和RADIUS服务器的性能要求越高。建议当用户量比较大(¦1000)时,尽量把该间隔的值设置得大一些。实时计费间隔与用户量之间的推荐比例关系如表4-6所示

实时计费报文重发次数

设置允许实时计费请求无响应的最大次数

停止计费缓存

设置允许/禁止在设备上缓存没有得到响应的停止计费请求报文

l      enable:表示允许缓存报文

l      disable:表示禁止该功能

停止计费报文重发次数

设置当出现没有得到响应的停止计费请求时,将该报文存入设备缓存后,允许停止计费请求无响应的最大次数

Quiet时间间隔

设置主服务器恢复激活状态的时间

用户名格式

设置发送给RADIUS服务器的用户名格式

接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为域名,如果RADIUS服务器不接受带域名的用户名时,可以配置将用户名的域名去除后再传送给RADIUS服务器

l      without-domain:表示发送给RADIUS服务器的用户名不带域名

l      with-domain:表示发送给RADIUS服务器的用户名带域名

流量数据的单位

设置发送到RADIUS服务器的流量数据的单位

l      byte:表示流量数据的单位为字节

l      kilo-byte:表示流量数据的单位为千字节

l      mega-byte:表示流量数据的单位为兆字节

l      giga-byte:表示流量数据的单位为千兆字节

数据包的单位

设置发送到RADIUS服务器的数据包的单位

l      one-packet:表示数据包的单位为包

l      kilo-packet:表示数据包的单位为千包

l      mega-packet:表示数据包的单位为兆包

l      giga-packet:表示数据包的单位为千兆包

EAP Offload功能

设置使能或禁止EAP Offload功能

由于某些RADIUS服务器不支持EAP认证,即不支持对EAP报文的处理,因此需要将客户端发送的EAP报文在接入设备上进行一些预处理,我们将这种EAP报文的预处理称之为RADIUS的EAP Offload功能

配置了EAP Offload功能的接入设备在接收到EAP报文后,首先会由本地EAP服务器将其中的认证信息转换为对应的RADIUS属性,然后将其封装在RADIUS认证请求报文中发送给RADIUS服务器进行认证。RADIUS服务器收到请求报文后,会解析其中的认证信息,并将认证结果封装在RADIUS报文中发送给接入设备上的本地EAP服务器进行后续与客户端之间的交互

由于EAP Offload的本地预处理需要本地EAP认证服务器来协助实现,因此还必须配置本地EAP认证服务器,且指定其中的EAP认证方式为PEAP-MSCHAPv2,详细配置请参见“本地EAP服务”

 

表4-6 实时计费间隔与用户量之间的推荐比例关系

用户数

实时计费间隔(分钟)

1~99

3

100~499

6

500~999

12

¦1000

¦15

 

可点击返回“表4-3 RADIUS配置步骤”。

4.3  RADIUS典型配置举例

1. 组网需求

图4-7所示,配置AC,实现RADIUS服务器对登录设备的Telnet用户进行认证、计费(Telnet用户在线时长统计)。

RADIUS服务器使用CAMS/iMC服务器。在RADIUS服务器上已经添加了Telnet用户的用户名和密码,同时设置了与AC交互报文时的共享密钥为“expert”。

根据以上情况,只需设置AC与IP地址为10.110.91.146的RADIUS服务器(其担当认证、计费服务器的职责,采用缺省端口进行认证和计费)进行报文交互时的共享密钥为“expert”。同时可以设置AC向RADIUS服务器发送用户名时不带域名。

图4-7 RADIUS服务器配置组网图

 

2. 配置步骤

开启Telnet服务器功能,并配置Telnet用户登录采用AAA认证方式。具体配置略。

 

(1)        配置各接口IP地址(略)

(2)        配置RADIUS方案system

# 配置RADIUS认证服务器。

l              在导航栏中选择“认证 > RADIUS”,默认进入“RADIUS服务器配置”页签的页面,进行如下配置,如图4-8所示。

图4-8 配置RADIUS认证服务器

 

l              选择服务类型为“认证服务器”。

l              输入主服务器IP地址为“10.110.91.146”。

l              输入主UDP端口为“1812”。

l              选择主服务器状态为“active”。

l              单击<确定>按钮完成操作。

# 配置RADIUS计费服务器。

图4-9 配置RADIUS计费服务器

 

l              图4-9所示,选择服务类型为“计费服务器”。

l              输入主服务器IP地址为“10.110.91.146”。

l              输入主UDP端口为“1813”。

l              选择主服务器状态为“active”。

l              单击<确定>按钮完成操作

# 配置设备与RADIUS服务器交互的方案。

l              单击“RADIUS参数设置”页签,进行如下配置,如图4-10所示。

图4-10 配置设备与RADIUS服务器交互的方案

 

l              选择服务器类型为“extended”。

l              选中“认证服务器共享密钥”前的复选框,输入认证密钥为“expert”。

l              输入确认认证密钥为“expert”。

l              选中“计费服务器共享密钥”前的复选框,输入计费密钥为“expert”。

l              输入确认计费密钥为“expert”。

l              选择用户名格式为“without-domain”。

l              单击<确定>按钮完成操作。

(3)        配置AAA

# 创建ISP域。

l              在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面,进行如下配置,如图4-11所示。

图4-11 创建ISP

 

l              输入域名为“test”。

l              选择缺省域为“Enable”。

l              单击<应用>按钮完成操作。

# 配置ISP域的AAA认证方案。

l              单击“认证”页签,进行如下配置,如图4-12所示。

图4-12 配置ISP域的AAA认证方案

 

l              选择域名为“test”。

l              选中“Default认证”前的复选框,选择认证方式为“RADIUS”。

l              选择认证方案名称为“system”。

l              单击<应用>按钮,弹出配置进度对话框,如图4-13所示。

图4-13 配置进度对话框

 

l              看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

# 配置ISP域的AAA授权方案。

l              单击“授权”页签,进行如下配置,如图4-14所示。

图4-14 配置ISP域的AAA授权方案

 

l              选择域名为“test”。

l              选中“Default授权”前的复选框,选择授权方式为“RADIUS”。

l              选择授权方案名称为“system”。

l              单击<应用>按钮,弹出配置进度对话框。

l              看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

# 配置ISP域的AAA计费方案,并配置用户计费可选。

l              单击“计费”页签,进行如下配置,如图4-15所示。

图4-15 配置ISP域的AAA计费方案

 

l              选择域名为“test”。

l              选中“计费可选开关”前的复选框,选择“Enable”。

l              选中“Default计费”前的复选框,选择计费方式为“RADIUS”。

l              选择计费方案名称为“system”。

l              单击<应用>按钮,弹出配置进度对话框。

l              看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

4.4  注意事项

配置RADIUS客户端时需要注意如下事项:

(1)        RADIUS的大部分属性在改变配置时都不检查当前是否有用户在使用此方案。

(2)        在计费成功后,计费更新以及计费停止报文都会发往计费成功时使用的服务器上,即使此服务器不可用,也不会发生主备切换。只有在最开始的认证、授权、计费过程中才会发生切换,成功后将不再切换。

(3)        只有当没有活跃、用于发送计费报文的TCP连接使用认证/授权/计费服务器时,才允许删除该服务器。

(4)        RADIUS协议不支持对FTP用户进行计费。

(5)        使用CAMS/iMC服务器做RADIUS服务器时,必须在ISP域中配置用户计费可选,因为CAMS/iMC服务器不对计费报文作回应。

 


5 本地EAP服务

5.1  概述

在一些简单的应用环境下,用户不希望部署AAA服务器实现认证功能,而是采用接入设备来进行本地认证。在这种情况下,若用户的接入认证方法为EAP(Extensible Authentication Portocal,可扩展认证协议)方式,则需要在接入设备上配置本地EAP认证服务器来配合AAA的Local认证方案为接入用户提供本地EAP认证服务。AAA的详细介绍请参见“AAA”。

5.2  配置本地EAP服务

在导航栏中选择“认证 > 本地EAP服务”,进入如图5-1所示的页面。

图5-1 本地EAP服务

 

本地EAP服务的详细配置如表5-1所示。

表5-1 本地EAP服务的详细配置

配置项

说明

EAP服务器状态

设置开启或关闭EAP服务器

当开启EAP服务器时,可以进行下面的配置

认证方法列表

设置EAP认证方法,包括:

l      MD5:表示MD5质询认证方法

l      PEAP-MSCHAPV2:表示PEAP认证方法,且在建立的TLS隧道内部使用MSCHAPV2方法进行认证

l      TLS:表示TLS认证方法

可以同时配置多个认证方法,在已选择的认证方法列表中排在前面的认证方法在本地EAP认证时优先选用

当EAP客户端与本地服务器进行EAP认证时,首先需要进行EAP认证方法的协商:本地服务器在配置生成的EAP认证方法列表中选取第一个认证方法,若客户端的配置也支持服务器选定的认证方法,则协商成功,可继续后续的认证过程;若客户端不支持,则本地服务器重新发起认证,选用第二个认证方法;若当前的认证方法列表中没有客户端支持的方法,本地服务器向客户端发送EAP-Failure报文,通知用户认证失败

PKI域

设置用于EAP认证的PKI域

可选的PKI域在“认证 > PKI”中配置,详细配置请参见“PKI”

服务管理、Portal认证、本地EAP服务三个模块中引用的PKI域是相互关联的,在任何一个模块进行了修改,另外两个模块中引用的PKI域也会随之改变

 

5.3  本地EAP服务典型配置举例

1. 组网需求

配置本地EAP服务,实现对登录AC的802.1X用户进行本地EAP认证和授权,认证方式为EAP-TLS。

图5-2 本地EAP服务配置组网图

 

2. 配置步骤

l          要使用EAP-TLS认证方式,必须在客户端上正确配置连接的网络属性和客户端证书。

l          完成PKI域“test”的配置,并成功申请本地证书和CA证书,具体配置请参见“PKI”。

 

(1)        配置本地用户

# 创建本地用户usera。

l              在导航栏中选择“认证 > 用户”,默认进入“本地用户”页签的页面,单击<新建>按钮,进行如下配置,如图5-3所示。

图5-3 创建本地用户

 

l              输入用户名为“usera”。

l              输入用户密码为“1234”。

l              输入确认密码为“1234”。

l              选择服务类型为“LAN-Access”。

l              单击<确定>按钮完成操作。

(2)        配置ISP域

# 配置缺省ISP域system的AAA方案为本地认证、授权。(缺省情况下即为本地认证、授权,详细配置略)

(3)        配置本地EAP服务

# 开启EAP服务器,配置认证方法为TLS,PKI域为test。

l              在导航栏中选择“认证 > 本地EAP服务”,进行如下配置,如图5-4所示。

图5-4 配置本地EAP服务

 

l              选择EAP服务状态为“开启”。

l              在可供选择的认证方法列表中选中“TLS”,单击“<<”按钮,将其添加到已选择的认证方法列表中。

l              选择PKI域为“test”。

l              单击<确定>按钮完成操作。

(4)        配置AP

# 创建AP。

l              在导航栏中选择“AP > AP设置”,单击<新建>按钮,进行如下配置,如图5-5所示。

图5-5 创建AP

 

l              输入AP名称为“wa2200”。

l              选择型号为“WA2220X-AG”。

l              选择序列号方式为“手动”,并输入AP的序列号。

l              单击<确定>按钮完成操作。

(5)        配置无线服务

# 创建无线服务。

l              在导航栏中选择“无线服务 > 接入服务”,单击<新建>按钮,进行如下配置,如图5-6所示。

图5-6 创建无线服务

 

l              输入无线服务名称为“802.1x-auth”。

l              选择无线服务类型为“crypto”。

l              单击<确定>按钮完成操作。

l              页面跳转到新创建无线服务的具体参数配置页面,进行如下配置,如图5-7所示。

图5-7 配置无线服务的安全参数

 

l              单击“安全设置”前的扩展按钮。

l              选择认证方式为“Open-System”。

l              选中“加密类型”前的复选框,选择加密类型为“CCMP and TKIP”(请根据实际情况,选择需要的加密类型),选择安全IE为“WPA”。

l              单击“端口安全”前的扩展按钮。

l              选中“端口设置”前的复选框。

l              选择端口模式为“userlogin-secure-ext”。

l              选中“域名”前的复选框,选择域名为“system”。

l              选择认证方法为“EAP”。

l              选择用户握手为“Disable”。

l              选择多播触发为“Disable”。

l              单击<确定>按钮,弹出配置进度对话框,如图5-8所示。

图5-8 配置进度对话框

 

l              看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。(中途会弹出确认配置EAP认证的对话框,单击<确定>按钮即可)

# 使能无线服务。

l              完成上述配置后,页面会跳转到接入服务的显示页面,进行如下配置,如图5-9所示。

图5-9 使能无线服务

 

l              选中“802.1x-auth”前的复选框,

l              单击<使能>按钮完成操作。

(6)        绑定AP的射频

l              在接入服务列表中单击“802.1x-auth”右边的“绑定”按钮,进行如下配置,如图5-10所示。

图5-10 绑定AP的射频

 

l              选中AP名称为“wa2200”、射频模式为“802.11g”的表项前的复选框。

l              单击<绑定>按钮完成操作。

(7)        使能802.11g射频

l              在导航栏中选择“射频 > 射频设置”,进行如下配置,如图5-11所示。

图5-11 使能802.11g射频

 

l              选中AP名称为“wa2200”、射频模式为“802.11g”的表项前的复选框。

l              单击<使能>按钮完成操作。

3. 配置结果验证

l              完成上述配置后,客户端可以成功通过EAP认证,并访问无线网络。

l              在AC上可以ping通客户端。

 


6 用户

6.1  概述

用户模块提供了本地用户、用户组、来宾用户和用户方案的配置功能。

1. 本地用户

本地用户是本地设备上设置的一组用户属性的集合。该集合以用户名为用户的唯一标识,可配置多种属性,比如用户密码、服务类型、授权属性等。为使某个请求网络服务的用户可以通过本地认证,需要在设备上的本地用户数据库中添加相应的表项。本地认证的详细介绍请参见“AAA”。

2. 用户组

用户组是一个本地用户属性的集合,某些需要集中管理的授权属性可在用户组中统一配置和管理,用户组内的所有本地用户都可以继承这些属性。

每个新增的本地用户都默认属于一个系统自动创建的用户组system,且继承该组的所有属性,但本地用户的属性比用户组的属性优先级高。

3. 来宾用户

来宾用户是一种有特殊应用环境的本地用户。在有用户临时需要接入网络的情况下,设备管理员可以为用户建立临时使用的来宾用户帐户,并置对来宾用户帐户进行有效期的控制。

4. 用户方案

用户方案提供一个配置模板,能够保存预设配置(一系列配置的集合)。用户可以根据不同的应用场景为用户方案配置不同的内容,比如QoS(Quality of Service,服务质量)策略、限速速率、无线服务、AP组等。

用户访问设备时,需要先进行身份认证。在认证过程中,认证服务器会将用户方案名称下发给设备,设备会立即启用用户方案里配置的具体内容。当用户通过认证访问设备时,设备将通过这些具体内容限制用户的访问行为。当用户下线时,系统会自动禁用用户方案下的配置项,从而取消用户方案对用户的限定。因此,用户方案适用于限制上线用户的访问行为,没有用户上线(可能是没有用户接入、或者用户没有通过认证、或者用户下线)时,用户方案是预设配置,并不生效。

使用用户方案之后,可以:

l              更精确地利用系统资源。比如,使用用户方案之后,可以基于用户应用QoS策略,这个QoS策略针对的是单个用户。

l              更灵活地限制用户的访问浏览。比如,使用用户方案之后,可以基于用户进行流量监管,只要用户上线,认证服务器会自动下发相应的用户方案(配置了限速速率),当用户下线,系统会自动取消相应的配置,不需要再进行手工调整。

l              更具体的限制用户接入控制。比如,使用用户方案之后,可以基于无线接入服务来进行用户接入控制,即限制用户只能在指定的SSID登录;使用用户方案之后,还可以基于AP来进行用户接入控制,即限制用户只能通过指定AP组中的AP访问网络资源。

6.2  配置用户

6.2.1  配置本地用户

在导航栏中选择“认证 > 用户”,默认进入“本地用户”页签的页面,页面显示的是所有本地用户和来宾用户,如图6-1所示。单击<新建>按钮,进入新建本地用户的配置页面,如图6-2所示。

图6-1 本地用户

 

图6-2 创建本地用户

 

本地用户的详细配置如表6-1所示。

表6-1 本地用户的详细配置

配置项

说明

用户名

设置本地用户的名称

用户密码

设置本地用户的密码和确认密码

用户密码和确认密码必须一致

输入的密码如果以空格开头,则开头的空格将被忽略

确认密码

用户组

设置本地用户所属的用户组

用户组的配置请参见“6.2.2  配置用户组

服务类型

设置本地用户可以使用的服务类型,包括FTP、Telnet、PPP、Portal、LAN-Access(主要指以太网接入用户,比如802.1x用户)和SSH

l      用户类型是本地认证的检测项,如果没有用户可以使用的服务类型,则该用户无法正常认证通过

l      要想该用户可以通过Web登录设备,其可以使用的服务类型必须包括Telnet

过期时间

设置本地用户的有效截止时间,格式为HH:MM:SS-YYYY/MM/DD(时:分:秒-年/月/日)

当指定了过期时间的用户进行本地认证时,接入设备检查当前系统时间是否在用户的过期时间内,若在过期时间内则允许用户登录,否则拒绝用户登录

授权等级

设置本地用户的授权等级,等级由底到高依次为Visitor、Monitor、Configure、Management

本地用户的各种授权属性都有其明确的使用环境和用途,因此配置授权属性时要考虑该用户是否需要某些属性

授权VLAN

设置本地用户的授权VLAN ID

授权ACL

设置本地用户的授权ACL序号

用户方案

设置本地用户的授权用户方案名称

用户方案的配置请参见“6.2.4  配置用户方案

 

6.2.2  配置用户组

在导航栏中选择“认证 > 用户”,单击“用户组”页签,进入用户组的显示页面,如图6-3所示。单击<新建>按钮,进入新建用户组的配置页面,如图6-4所示。

图6-3 用户组

 

图6-4 新建用户组

 

用户组的详细配置如表6-2所示。

表6-2 用户组的详细配置

配置项

说明

用户组名称

设置用户组的名称

访问等级

设置用户组的访问等级,等级由底到高依次为Visitor、Monitor、Configure、Management

授权VLAN

设置用户组的授权VLAN ID

授权ACL

设置用户组的授权ACL序号

用户方案

设置本地用户的授权用户方案名称

用户方案的配置请参见“6.2.4  配置用户方案

 

6.2.3  配置来宾用户

在导航栏中选择“认证 > 用户”,单击“来宾用户”页签,进入来宾用户的显示页面,如图6-5所示。单击<新建>按钮,进入新建来宾用户的配置页面,如图6-6所示。

图6-5 来宾用户

 

图6-6 新建来宾用户

 

来宾用户的详细配置如表6-3所示。

表6-3 来宾用户的详细配置

配置项

说明

用户名

设置来宾用户的名称

用户密码

设置来宾用户的密码

所属用户组

设置来宾用户所属的用户组

用户组的配置请参见“6.2.2  配置用户组

过期时间

设置来宾用户的有效截止时间,格式为HH:MM:SS-YYYY/MM/DD(时:分:秒-年/月/日)

当指定了过期时间的用户进行本地认证时,接入设备检查当前系统时间是否在用户的过期时间内,若在过期时间内则允许用户登录,否则拒绝用户登录

 

来宾用户在“本地用户”页签的列表中也有显示,通过在该列表中单击来宾用户对应的图标,可以对来宾用户信息进行修改,配置来宾用户的授权属性。

 

6.2.4  配置用户方案

在导航栏中选择“认证 > 用户”,单击“用户方案”页签,进入用户方案的显示页面,如图6-7所示。单击<新建>按钮,进入新建用户方案名称的配置页面,如图6-8所示。

图6-7 用户方案

 

图6-8 设置用户方案名称

 

用户方案名称的详细配置如表6-4所示。

表6-4 新建用户方案的详细配置

配置项

说明

用户方案名称

设置用户方案的名称

 

完成上述配置后,单击<确定>按钮,页面会提交新建用户方案的配置,同时跳转到该用户方案具体信息的配置页面,如图6-9所示。

图6-9 设置用户方案信息

 

用户方案具体信息的详细配置如表6-5所示。

表6-5 新建用户方案的详细配置

配置项

说明

用户方案名称

显示用户方案的名称

出方向策略

设置用户方案中对上线用户在出方向上应用QoS策略

入方向策略

设置用户方案中对上线用户在入方向上应用QoS策略

出限速速率

设置用户方案中对上线用户在出方向上的最大速率限制

入限速速率

设置用户方案中对上线用户在入方向上的最大速率限制

允许无线服务列表

设置用户方案中所允许的无线服务

在“无线服务列表”中选择要配置为允许的无线服务,单击“<”按钮将其添加到“选中无线服务列表”中即可

可选的无线服务在“无线服务 > 接入服务”中配置,详细配置请参见“无线服务”

允许AP组列表

设置用户方案中所允许的AP组

在“AP列表”中选择要配置为允许AP组,单击“<”按钮将其添加到“选中AP列表”中即可

可选的AP组在“AP > AP组管理”中配置,详细配置请参见“AP”

 

缺省情况下,新建的用户方案处于去使能状态,需要再手动配置使其使能。详细配置如下:

(1)        在用户方案的显示页面中点击选中用户方案前的复选框。

(2)        单击<使能>按钮即可将选中的用户方案使能。

l          用户方案使能后才生效,认证服务器才会通知用户认证成功。所以,如果不使能用户方案,会导致引用该用户方案的用户不能上线,

l          使能后的用户方案才能被用户引用,去使能用户方案将导致引用该用户方案用户被强制下线。

l          使能后的用户方案不允许修改或删除,去使能后才可以修改或删除。

 


7 PKI配置

7.1  概述

PKI(Public Key Infrastructure,公钥基础设施)是通过使用公开密钥技术和数字证书来确保系统信息安全,并负责验证数字证书持有者身份的一种体系。

PKI的功能是通过签发数字证书来绑定证书持有者的身份和相关的公开密钥,为用户获取证书、访问证书和宣告证书作废提供了方便的途径。同时利用数字证书及相关的各种服务(证书发布、黑名单发布等)实现通信过程中各实体的身份认证,保证了通信数据的机密性、完整性和不可否认性。

7.1.1  相关术语

1. 数字证书

数字证书是一个经证书授权中心数字签名的、包含公开密钥及相关的用户身份信息的文件。最简单的数字证书包含一个公开密钥、名称及证书授权中心的数字签名。一般情况下数字证书中还包括密钥的有效时间、发证机关(证书授权中心)的名称和该证书的序列号等信息,证书的格式遵循ITU-T X.509国际标准。本手册中涉及两类证书:本地(local)证书和CA(Certificate Authority)证书。本地证书为CA签发给实体的数字证书;CA证书也称为根证书,为CA“自签”的数字证书。

2. 证书废除列表(CRL,Certificate Revocation List)

由于用户姓名的改变、私钥泄漏或业务中止等原因,需要存在一种方法将现行的证书撤消,即撤消公开密钥及相关的用户身份信息的绑定关系。在PKI中,所使用的这种方法为证书废除列表。任何一个证书被废除以后,CA就要发布CRL来声明该证书是无效的,并列出所有被废除的证书的序列号。CRL提供了一种检验证书有效性的方式。

当一个CRL的撤消信息过多时会导致CRL的发布规模变得非常庞大,且随着CRL大小的增加,网络资源的使用性能也会随之下降。为了避免这种情况,允许一个CA的撤消信息通过多个CRL发布出来。CRL片断也称为CRL发布点。

3. CA策略

CA在受理证书请求、颁发证书、吊销证书和发布CRL时所采用的一套标准被称为CA策略。通常,CA以一种叫做证书惯例声明(CPS,Certification Practice Statement)的文档发布其策略,CA策略可以通过带外(如电话、磁盘、电子邮件等)或其他方式获取。由于不同的CA使用不同的方法验证公开密钥与实体之间的绑定,所以在选择信任的CA进行证书申请之前,必须理解CA策略,从而指导对实体进行相应的配置。

7.1.2  体系结构

一个PKI体系由终端实体、证书机构、注册机构和PKI存储库四类实体共同组成,如图7-1所示。

图7-1 PKI体系结构图

 

1. 终端实体

终端实体是PKI产品或服务的最终使用者,可以是个人、组织、设备(如路由器、交换机)或计算机中运行的进程。

2. 证书机构(CA,Certificate Authority)

CA是PKI的信任基础,是一个用于签发并管理数字证书的可信实体。其作用包括:发放证书、规定证书的有效期和通过发布CRL确保必要时可以废除证书。

3. 注册机构(RA,Registration Authority)

证书申请的受理一般由一个独立的注册机构(即RA)来承担。RA功能包括:审查用户的申请资格,并决定是否同意CA给其签发数字证书;管理CRL;产生和备份密钥对等。注册机构并不给用户签发证书,而只是对用户进行资格审查。有时PKI把注册管理的职能交给CA来完成,而不设立独立运行的RA,但这并不是取消了PKI的注册功能,而只是将其作为CA的一项功能而已。PKI国际标准推荐由一个独立的RA来完成注册管理的任务,这样可以增强应用系统的安全性。

4. PKI存储库

PKI存储库包括LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)服务器和普通数据库,用于对用户申请、证书、密钥、CRL和日志等信息进行存储和管理,并提供一定的查询功能。

LDAP提供了一种访问PKI存储库的方式,通过该协议来访问并管理PKI信息。LDAP服务器负责将RA服务器传输过来的用户信息以及数字证书进行存储,并提供目录浏览服务。用户通过访问LDAP服务器获取自己和其他用户的数字证书。

7.1.3  主要应用

PKI技术的广泛应用能满足人们对网络交易安全保障的需求。作为一种基础设施,PKI的应用范围非常广泛,并且在不断发展之中,下面给出几个应用实例。

1. 虚拟专用网络(VPN,Virtual Private Network)

VPN是一种构建在公用通信基础设施上的专用数据通信网络,利用网络层安全协议(如IPSec)和建立在PKI上的加密与数字签名技术来获得机密性保护。

2. 安全电子邮件

电子邮件的安全也要求机密、完整、认证和不可否认,而这些都可以利用PKI技术来实现。目前发展很快的安全电子邮件协议S/MIME(Secure/Multipurpose Internet Mail Extensions,安全/多用途Internet邮件扩充协议),是一个允许发送加密和有签名邮件的协议。该协议的实现需要依赖于PKI技术。

3. Web安全

为了透明地解决Web的安全问题,在两个实体进行通信之前,先要建立SSL(Secure Sockets Layer,安全套接字层)连接,以此实现对应用层透明的安全通信。利用PKI技术,SSL协议允许在浏览器和服务器之间进行加密通信。此外,服务器端和浏览器端通信时双方可以通过数字证书确认对方的身份。

7.1.4  PKI的工作过程

针对一个使用PKI的网络,配置PKI的目的就是为指定的实体向CA申请一个本地证书,并由设备对证书的有效性进行验证。下面是PKI的工作过程:

(1)        实体向CA提出证书申请;

(2)        RA审核实体身份,将实体身份信息和公开密钥以数字签名的方式发送给CA;

(3)        CA验证数字签名,同意实体的申请,颁发证书;

(4)        RA接收CA返回的证书,发送到LDAP服务器以提供目录浏览服务,并通知实体证书发行成功;

(5)        实体获取证书,利用该证书可以与其它实体使用加密、数字签名进行安全通信;

(6)        实体希望撤消自己的证书时,向CA提交申请。CA批准实体撤消证书,并更新CRL,发布到LDAP服务器。

7.2  配置PKI

7.2.1  配置概述

PKI证书的申请方式有两种:

l              手动申请证书方式:需要手工完成获取CA证书、生成密钥对、申请本地证书的工作。

l              自动申请证书方式:在没有本地证书时实体自动通过SCEP协议进行申请,而且在证书即将过期时自动申请新的证书并获取至本地。

证书申请的方式可在PKI域中进行配置。根据证书申请方式的不同,PKI的配置步骤也不同。

1. 手动申请证书方式

手动申请证书方式下PKI配置的推荐步骤如表7-1所示。

表7-1 PKI配置步骤(手动申请证书方式)

步骤

配置任务

说明

1

1.2.2  配置全局的802.1X特性

必选

新建实体并配置实体的身份信息参数

一份证书是一个公开密钥与一个身份的绑定,而身份必须与一个特定的PKI实体相关联,CA根据实体提供的身份信息来唯一标识证书申请者

实体身份信息的配置必须与CA证书颁发策略相匹配,申请者的身份信息必须符合CA证书颁发策略,否则证书申请可能会失败

2

7.2.3  新建PKI域

必选

(配置“证书申请方式”为“手动”)

实体在进行PKI证书申请操作之前需要配置一些注册信息来配合完成申请的过程,这些信息的集合就是一个实体的PKI域

PKI域是一个本地概念,因此创建PKI域的目的是便于其它应用引用PKI的配置,比如IKE、SSL等,一个设备上配置的PKI域对CA和其它设备是不可见的,每一个PKI域有单独的域参数配置信息

3

7.2.4  生成RSA密钥对

必选

配置生成本地RSA密钥对

缺省情况下,本地没有RSA密钥对

密钥对的产生是证书申请过程中重要的一步。申请过程使用了一对主机密钥:私钥和公钥。私钥由用户保留,公钥和其他信息则交由CA中心进行签名,从而产生证书

若本地证书已存在,为保证密钥对与现存证书的一致性,必须在删除本地证书后,再生成新的密钥对

4

获取CA证书

必选

将CA证书获取至本地,详细配置请参见“7.2.6  获取证书

获取证书的目的是:

l      将CA签发的与实体所在安全域有关的证书存放到本地,以提高证书的查询效率,减少向PKI证书存储库查询的次数

l      为证书的验证做好准备

如果本地已有CA证书存在,则不允许再执行获取CA证书的操作,避免因相关配置的修改使得证书与注册信息不匹配。请先删除存储于本地的CA证书与本地证书后,再重新获取

5

7.2.7  申请本地证书

必选

证书申请就是实体向CA自我介绍的过程,实体向CA提供身份信息和相应的公钥,这些信息将成为颁发给该实体证书的主要组成部分

申请本地证书有在线和离线两种方式:

l      在线申请成功后,会自动将本地证书获取至本地

l      离线申请成功后,需要用户通过离线方式将本地证书获取至本地

如果本地已有本地证书存在,则不允许再执行申请本地证书的操作,避免因相关配置的修改使得证书与注册信息不匹配。请先删除存储于本地的CA证书与本地证书,再重新申请

6

7.2.5  销毁RSA密钥对

可选

销毁设备上已存在的RSA密钥对和对应的本地证书

如果要获取的证书中含有RSA密钥对,则必须先将设备上已有的密钥对销毁,否则无法成功获取证书

7

7.2.6  获取证书

可选

将已存在的证书获取至本地

8

7.2.8  获取和查看CRL

可选

获取CRL至本地,获取后可以查看CRL的内容

 

2. 自动申请证书方式

自动申请证书方式下PKI配置的推荐步骤如表7-2所示。

表7-2 PKI配置步骤(自动申请证书方式)

步骤

配置任务

说明

1

1.2.2  配置全局的802.1X特性

必选

新建实体并配置实体的身份信息参数

一份证书是一个公开密钥与一个身份的绑定,而身份必须与一个特定的PKI实体相关联,CA根据实体提供的身份信息来唯一标识证书申请者

实体身份信息的配置必须与CA证书颁发策略相匹配,申请者的身份信息必须符合CA证书颁发策略,否则证书申请可能会失败

2

7.2.3  新建PKI域

必选

(配置“证书申请方式”为“自动”)

实体在进行PKI证书申请操作之前需要配置一些注册信息来配合完成申请的过程,这些信息的集合就是一个实体的PKI域

PKI域是一个本地概念,因此创建PKI域的目的是便于其它应用引用PKI的配置,比如IKE、SSL等,一个设备上配置的PKI域对CA和其它设备是不可见的,每一个PKI域有单独的域参数配置信息

3

7.2.5  销毁RSA密钥对

可选

销毁设备上已存在的RSA密钥对和对应的本地证书

如果要获取的证书中含有RSA密钥对,则必须先将设备上已有的密钥对销毁,否则无法成功获取证书

4

7.2.6  获取证书

可选

将已存在的证书获取至本地

5

7.2.8  获取和查看CRL

可选

获取CRL至本地,获取后可以查看CRL的内容

 

7.2.2  新建PKI实体

在导航栏中选择“认证 > PKI”,默认进入“PKI实体”页签的页面,如图7-2所示。单击<新建>按钮,进入新建PKI实体的配置页面,如图7-3所示。

图7-2 PKI实体

 

图7-3 新建PKI实体

 

新建PKI实体的详细配置如表7-3所示。

表7-3 新建PKI实体的详细配置

配置项

说明

PKI实体名称

设置要新建的PKI实体的名称

通用名

设置实体的通用名,比如用户名称

实体IP地址

设置实体的IP地址

FQDN

设置实体的FQDN(Fully Qualified Domain Name,合格域名)

FQDN是实体在网络中的唯一标识,由一个主机名和域名组成,可被解析为IP地址。例如,www是一个主机名,whatever.com是一个域名,则www.whatever.com就是一个FQDN

国家/地区

设置实体所属的国家或地区代码

州省

设置实体所属的州省

地理区域

设置实体所在地理区域的名称

组织

设置实体所属组织的名称

部门

设置实体所属部门的名称

 

可点击返回“表7-1 PKI配置步骤(手动申请证书方式)”。

可点击返回“表7-2 PKI配置步骤(自动申请证书方式)”。

7.2.3  新建PKI

在导航栏中选择“认证 > PKI”,单击“PKI域”页签,进入PKI域的显示页面,如图7-4所示。单击<新建>按钮,进入新建PKI域的配置页面,如图7-5所示。

图7-4 PKI

 

图7-5 新建PKI

 

新建PKI域的详细配置如表7-4所示。

表7-4 新建PKI域的详细配置

配置项

说明

PKI域名称

设置要新建的PKI域的名称

CA标识符

设置设备信任的CA标识符

在申请证书时,是通过一个可信实体认证机构,来完成实体证书的注册颁发,因此必须指定一个信任的CA名称,将设备与该CA进行绑定,该设备证书的申请、获取、废除及查询均通过该CA执行

当采用离线方式申请证书时,此项可以不配置,否则必须配置

本地实体

设置本地PKI实体名称

向CA发送证书申请请求时,必须指定所使用的实体名,以向CA表明自己的身份

可选的PKI实体名称需通过新建PKI实体来配置

注册机构

设置证书申请的注册审理机构

l      CA:表示由CA来完成注册机构的功能

l      RA:表示有独立的RA作为注册审理机构

PKI推荐独立使用RA作为注册审理机构

证书申请URL

设置注册服务器的URL

证书申请之前必须指定注册服务器的URL,随后实体可通过简单证书注册协议(SCEP,Simple Certification Enrollment Protocol)向该服务器提出证书申请,SCEP是专门用于与认证机构进行通信的协议

当采用离线方式申请证书时,此项可以不配置,否则必须配置

目前,注册服务器URL的配置不支持域名解析

LDAP服务器IP地址

设置LDAP服务器的IP地址、端口号和版本号

要获取本地证书,必须正确配置LDAP服务器

端口

版本

证书申请方式

设置在线证书申请的方式,有手动和自动两种方式

挑战码加密

设置是否对挑战码进行密文显示

“证书申请方式”选择“Auto”时可配置

挑战码

设置挑战码,即撤销证书时使用的密码

“证书申请方式”选择“Auto”时可配置

根证书散列算法

设置验证CA根证书时所使用的散列算法和指纹

当设备从CA获得根证书时,需要验证CA根证书的指纹,即根证书内容的散列值,该值对于每一个证书都是唯一的。如果CA根证书的指纹与在PKI域中配置的指纹不同,则设备将拒绝接收根证书

当“证书申请方式”选择“Auto”时,根证书指纹必须设置;当“证书申请方式”选择“Manual”时,根证书指纹可以不设置,则在获取CA证书时将不对根证书指纹进行验证,需要用户自行确认CA服务器是否可信

根证书指纹

证书查询次数

设置客户端发送正数申请状态查询的周期和每个周期内发送查询的次数

实体在发送证书申请后,如果CA采用手工验证申请,证书的发布会需要很长时间。在此期间,客户端需要定期发送状态查询,以便在证书签发后能及时获取到证书

证书查询间隔

启用CRL查询

设置在证书验证时是否进行CRL检查

CRL更新间隔

设置CRL更新间隔,即使用证书的PKI实体从CRL存储服务器下载CRL的时间间隔

选中“启用CRL查询”时可配置

缺省情况下,CRL的更新间隔由CRL文件中的下次更新域决定

获取CRL的URL

设置CRL发布点的URL

选中“启用CRL查询”时可配置

需要注意的是,未配置CRL发布点的URL时,通过SCEP协议获取CRL,该操作在获取CA证书和本地证书之后进行

目前,CRL发布点URL的配置不支持域名解析

 

可点击返回“表7-1 PKI配置步骤(手动申请证书方式)”。

可点击返回“表7-2 PKI配置步骤(自动申请证书方式)”。

7.2.4  生成RSA密钥对

在导航栏中选择“认证 > PKI”,单击“证书”页签,进入PKI证书的显示页面,如图7-6所示。单击页面上的<生成密钥>按钮,进入生成RSA密钥对的配置页面,如图7-7所示。

图7-6 证书

 

图7-7 生成密钥

 

生成RSA密钥对的详细配置如表7-5所示。

表7-5 生成RSA密钥对的详细配置

配置项

说明

密钥长度

设置RSA密钥的长度

 

可点击返回“表7-1 PKI配置步骤(手动申请证书方式)”。

7.2.5  销毁RSA密钥对

在导航栏中选择“认证 > PKI”,单击“证书”页签,进入PKI证书的显示页面,如图7-6所示。单击页面上的<销毁密钥>按钮,进入销毁RSA密钥对的配置页面,如图7-8所示。单击<确定>按钮将销毁设备上已存在的RSA密钥对和对应的本地证书。

图7-8 销毁密钥

 

可点击返回“表7-1 PKI配置步骤(手动申请证书方式)”。

可点击返回“表7-2 PKI配置步骤(自动申请证书方式)”。

7.2.6  获取证书

用户通过此配置可以将已存在的CA证书或本地证书获取至本地。获取证书有两种方式:离线方式和在线方式。离线方式下获取证书需要通过带外方式(如FTP、磁盘、电子邮件等)取得证书,然后将其导入至本地。

在导航栏中选择“认证 > PKI”,单击“证书”页签,进入PKI证书的显示页面,如图7-6所示。单击页面上的<获取证书>按钮,进入获取PKI证书的配置页面,如图7-9所示。

图7-9 获取证书设置

 

获取PKI证书的详细配置如表7-6所示。

表7-6 获取PKI证书的详细配置

配置项

说明

PKI域名称

设置证书所在的PKI域

证书类型

设置要获取的证书的为CA证书或Local证书

启用离线方式

设置是否启用离线方式(如FTP、磁盘、电子邮件等)取得证书,然后将其导入至本地

从设备取得文件

设置要导入的证书文件的存放路径和文件名

l      当证书文件保存在设备上时,选择“从设备取得文件”,并选择证书文件在设备上的存放路径和文件名

l      当证书文件保存在本地主机上时,选择“从PC取得文件”,并设置证书文件在PC上的存放路径和文件名,以及文件上传到设备后存放在哪个分区

从PC取得文件

口令

设置导入证书的口令,该口令在导出证书时指定,用于保护私钥的口令

 

获取证书后,可以在PKI证书的显示页面,单击指定证书对应的<查看证书>按钮,查看证书的详细信息,如图7-10所示。

图7-10 查看证书的详细信息

 

可点击返回“表7-1 PKI配置步骤(手动申请证书方式)”。

可点击返回“表7-2 PKI配置步骤(自动申请证书方式)”。

7.2.7  申请本地证书

在导航栏中选择“认证 > PKI”,单击“证书”页签,进入PKI证书的显示页面,如图7-6所示。单击页面上的<申请证书>按钮,进入申请本地证书的配置页面,如图7-11所示。

图7-11 申请证书设置

 

申请本地证书的详细配置如表7-7所示。

表7-7 申请本地证书的详细配置

配置项

说明

PKI域名称

设置证书所在的PKI域

挑战码

设置挑战码,即撤销证书时使用的密码

启用离线方式

设置是否启用离线方式(如电话、磁盘、电子邮件等)申请本地证书

 

若选择使用离线方式申请本端证书,在完成上述配置后,单击<确定>按钮,页面会显示离线申请证书的信息,如图7-12所示。将这些信息通过离线方式提交给CA以申请本地证书。

图7-12 离线申请证书的信息

 

可点击返回“表7-1 PKI配置步骤(手动申请证书方式)”。

7.2.8  获取和查看CRL

在导航栏中选择“认证 > PKI”,单击“CRL”页签,进入CRL的显示页面,如图7-13所示。

图7-13 CRL

 

l              在列表中单击指定PKI域对应的操作列的<获取CRL>按钮,可将CRL获取到本地。

l              获取CRL后,在列表中单击指定PKI域对应的操作列的<查看CRL>按钮,可查看CRL的详细信息,如图7-14所示。

图7-14 查看CRL的详细信息

 

可点击返回“表7-1 PKI配置步骤(手动申请证书方式)”。

可点击返回“表7-2 PKI配置步骤(自动申请证书方式)”。

7.3  PKI典型配置举例

7.3.1  PKI实体向CA申请证书

1. 组网需求

在作为PKI实体的设备AC上进行相关配置,实现以下需求:

l              AC向CA服务器申请本地证书,CA服务器上采用RSA Keon软件。

l              获取CRL为证书验证做准备。

图7-15 PKI实体向CA申请证书组网图

 

2. 配置步骤

(1)        配置CA服务器

# 创建CA服务器myca。

在本例中,CA服务器上首先需要进行基本属性Nickname和Subject DN的配置。其它属性选择默认值。其中,Nickname为可信任的CA名称,Subject DN为CA的DN属性,包括CN、OU、O和C。

# 配置扩展属性。

基本属性配置完毕之后,还需要在生成的CA服务器管理页面上对“Jurisdiction Configuration”进行配置,主要内容包括:根据需要选择合适的扩展选项;启动自动颁发证书功能;添加可以自动颁发证书的地址范围。

# 配置CRL发布

CA服务器的基本配置完成之后,需要进行CRL的相关配置。

本例中选择CRL的发布方式为HTTP,自动生成CRL发布点的URL为http://4.4.4.133:447/myca.crl。

以上配置完成之后,还需要保证设备的系统时钟与CA的时钟同步才可以正常使用设备来申请证书和获取CRL。

(2)        配置AC

# 新建PKI实体。

l              在导航栏中选择“认证 > PKI”,默认进入“PKI实体”页签的页面,单击<新建>按钮,如图7-16所示。在新建PKI实体的页面进行如下配置,如图7-17所示。

图7-16 PKI实体

 

图7-17 新建PKI实体

 

l              输入PKI实体名称为“aaa”。

l              输入通用名为“ac”。

l              单击<确定>按钮完成操作。

# 新建PKI域。

l              单击“PKI域”页签,单击<新建>按钮,如图7-18所示。在新建PKI域的页面进行如下配置,如图7-19所示。

图7-18 PKI

 

图7-19 新建PKI

 

l              输入PKI域名称为“torsa”。

l              输入CA标识符为“myca”。

l              选择本端实体为“aaa”。

l              选择注册机构为“CA”。

l              以“http://host:port/Issuing Jurisdiction ID”(其中的Issuing Jurisdiction ID为CA服务器上生成的16进制字符串)的格式输入证书申请URL为“http://4.4.4.133:446/c95e970f632d27be5e8cbf80e971d9c4a9a93337”。

l              选择证书申请方式为“Manual”。

l              单击<显示高级>按钮,打开隐藏的高级配置项。

l              选中“启用CRl查询”前的复选框。

l              输入获取CRL的URL为“http://4.4.4.133:447/myca.crl”。

l              单击<确定>按钮,页面弹出对话框提示“未指定根证书指纹,在获取CA证书时将不对根证书指纹进行验证,确认要继续吗?”,单击<确定>按钮完成操作。

# 生成RSA密钥对。

l              单击“证书”页签,单击<生成密钥>按钮,如图7-20所示。在生成密钥的页面进行如下配置,如图7-21所示。

图7-20 证书

 

图7-21 生成RSA密钥对

 

l              单击<确定>按钮开始生成RSA密钥对。

# 获取CA证书至本地。

l              生成密钥对成功后,在“证书”页签的页面单击<获取证书>按钮,如图7-22所示。在获取证书设置的页面进行如下配置,如图7-23所示。

图7-22 证书

 

图7-23 获取CA证书至本地

 

l              选择PKI域为“torsa”。

l              选择证书类型为“CA”。

l              单击<确定>按钮开始获取CA证书。

# 申请本地证书。

l              获取CA证书成功后,在“证书”页签的页面单击<申请证书>按钮,如图7-24所示。在申请证书设置的页面进行如下配置,如图7-25所示。

图7-24 证书

 

图7-25 申请证书设置

 

l              选择PKI域为“torsa”。

l              选中“挑战码”前的单选按钮,输入挑战码为“challenge-word”。

l              单击<确定>按钮开始申请本地证书。

# 获取CRL至本地。

l              申请本地证书成功后,单击“CRL”页签。

l              单击PKI域“torsa”对应的<获取CRL>按钮开始获取CRL,如图7-26所示。

图7-26 获取CRL至本地

 

7.4  注意事项

配置PKI时需要注意如下事项:

(1)        申请本地证书时,必须保证实体时钟与CA的时钟同步,否则申请证书的有效期会出现异常。

(2)        Windows 2000 CA服务器对证书申请的数据长度有一定的限制。PKI实体身份信息配置项超过一定数据长度时,申请证书没有回应。

(3)        当采用Windows Server作为CA时,需要安装SCEP插件。此时,配置PKI域时,需要指定注册机构为RA。

(4)        当采用RSA Keon软件作为CA时,不需要安装SCEP插件。此时,配置PKI domain时,需要指定注册机构为CA。

 


不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!