07-认证
本章节下载: 07-认证 (1.27 MB)
目 录
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码。若该用户认证成功,则允许其通过端口访问网络资源,否则该用户的MAC地址就被添加为静默MAC。在静默时间内(可通过静默定时器配置),来自此MAC地址的用户报文到达时,设备直接做丢弃处理,以防止非法MAC短时间内的重复认证。
关于MAC地址认证的详细介绍请参见《H3C WX3000E系列有线无线一体化交换机交换引擎 配置指导》的“安全配置指导”中的“MAC地址认证”。
通过使用MAC地址认证,可以对用户的网络访问权限进行控制。
· 关闭全局的端口安全功能。
· 创建并配置ISP域。
· 若采用本地认证方式,需要创建本地用户并设置其密码,且本地用户的服务类型应设置为LAN-Access。
· 若采用远程RADIUS认证方式,需要确保设备与RADIUS服务器之间的路由可达,并添加MAC地址认证用户账号。
创建本地用户或添加远程用户账号时,需要注意这些用户的用户名必须与设备上指定的MAC地址认证用户名格式保持一致。
MAC地址认证配置的推荐步骤如下表所示。
表1-1 MAC地址认证配置步骤
步骤 |
配置任务 |
说明 |
1 |
必选 在全局启用MAC地址认证,并配置高级参数 缺省情况下,全局的MAC地址认证处于关闭状态 |
|
2 |
必选 在指定的端口上启用MAC地址认证 在全局MAC地址认证未启用时,可以启用端口的MAC地址认证,但不起作用;只有在全局MAC地址认证启用后,各端口的MAC地址认证配置才会生效 缺省情况下,端口的MAC地址认证处于关闭状态 |
(1) 在导航栏中选择“认证 > MAC认证”。
(2) 在“MAC地址认证设置”中单击展开“高级设置”前的扩展按钮,页面如下图所示。
图1-1 MAC认证
(3) 在“MAC地址认证设置”中可以显示和配置全局的MAC地址认证信息。配置全局MAC地址认证,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表1-2 全局MAC地址认证的详细配置
配置项 |
说明 |
||
启用MAC地址认证 |
设置是否在全局启用MAC地址认证功能 |
||
离线检测时间 |
设置离线检测定时器的值 离线检测定时器用来设置用户空闲超时的时间间隔。如果在两个时间间隔之内,没有来自用户的流量通过,设备将切断用户的连接,同时通知RADIUS服务器,停止对该用户的计费 |
||
静默时间 |
设置静默定时器的值 静默定时器用来设置用户认证失败以后,设备需要等待的时间间隔。在静默期间,设备不处理该用户的认证功能,静默之后设备再重新对用户发起认证 |
||
认证超时时间 |
设置认证超时定时器的值 认证超时定时器用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果服务器超时定时器超,设备将在相应的端口上禁止此用户访问网络 |
||
认证ISP域 |
设置MAC地址认证用户所使用的ISP域 不指定认证ISP域时,MAC地址认证用户使用缺省ISP域 |
||
认证信息格式 |
使用不带连字符MAC |
设置MAC地址认证的用户名和密码 · 使用不带连字符MAC:表示使用用户的源MAC地址做用户名和密码,MAC地址的格式为“xxxxxxxxxxxx” · 使用带连字符MAC:表示使用用户的源MAC地址做用户名和密码,MAC地址的格式为“xx-xx-xx-xx-xx-xx” · 使用固定值:表示采用固定的用户名和密码,此时需要手动指定发送给RADIUS服务器进行认证或者在本地进行认证的用户名和密码 |
|
使用带连字符MAC |
|||
使用固定值 |
用户名 |
||
密码 |
(1) 在导航栏中选择“认证 > MAC认证”,页面如图1-1所示。
(2) 在“MAC地址认证启用端口”中显示的是已启用MAC地址认证的端口,单击<新建>按钮,进入如下图所示的页面。
图1-2 启用MAC地址认证
(3) 配置端口MAC地址认证,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表1-3 端口MAC地址认证的详细配置
配置项 |
说明 |
端口 |
设置启用MAC地址认证的端口 |
启用MAC VLAN功能 |
设置是否启用端口的MAC VLAN功能 只有Hybird口支持此功能 |
认证失败VLAN |
当启用MAC VLAN功能时,设置认证失败的用户被授权访问的VLAN · MAC地址认证中认证失败VLAN功能的优先级高于静默MAC功能 · MAC地址认证中认证失败VLAN功能的优先级高于端口安全中报文入侵控制的阻塞MAC功能,低于报文入侵控制的关闭端口功能。关于报文入侵控制功能的具体介绍请参见端口安全 |
如下图所示,某用户的工作站与交换机的端口GigabitEthernet2/01相连接。
· 管理者希望在交换机的各端口上对用户接入进行MAC地址认证,以控制其对Internet的访问。
· 要求设备每隔180秒就对用户是否下线进行检测;并且当用户认证失败时,需等待3分钟后才能对用户再次发起认证。
· 所有用户都属于域:example.com,认证时使用本地认证的方式。使用用户的源MAC地址做用户名和密码。
图1-3 MAC地址认证配置组网图
(1) 配置本地接入用户,用户名和密码均为接入用户的MAC地址“00-e0-fc-12-34-56”,服务类型为“lan-access”(略)
(2) 创建ISP域
步骤1:在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面。
步骤2:输入域名为“example.com”,如下图所示。
步骤3:单击<应用>按钮完成操作。
(3) 配置ISP域的AAA认证方案
步骤1:单击“认证”页签,进入AAA认证方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“example.com”。
· 选中“LAN-access认证”前的复选框,选择认证方式为“Local”。
步骤3:单击<应用>按钮,弹出配置进度对话框,如下图所示。
图1-5 配置ISP域的AAA认证方案
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(4) 配置MAC地址认证
步骤1:在导航栏中选择“认证 > MAC认证”。
步骤2:在“MAC地址认证设置”中进行如下配置,如下图所示。
· 选中“启用MAC地址认证”前的复选框。
· 单击展开“高级设置”前的扩展按钮。
· 输入离线检测时间为“180”。
· 输入静默时间为“180”。
· 选择认证ISP域为“example.com”。
· 选择认证信息格式为“使用带连字符MAC”。
步骤3:单击<确定>按钮完成操作。
图1-7 配置全局的MAC地址认证
(5) 启用端口GigabitEthernet2/0/1的MAC地址认证。
步骤1:在“MAC认证启用端口”中单击<新建>按钮,进行如下配置,如下图所示。
步骤2:选择端口为“GigabitEthernet2/0/1”。
步骤3:单击<确定>按钮完成操作。
图1-8 启用端口GigabitEthernet2/0/1的MAC地址认证
如下图所示,主机Host通过MAC地址认证接入网络,认证服务器为RADIUS服务器。Internet网络中有一台FTP服务器,IP地址为10.0.0.1。
· 认证时使用用户的源MAC地址做用户名和密码。
· 在认证服务器上配置授权下发ACL 3000。
· 在Switch的GigabitEthernet2/0/1上开启MAC地址认证,并配置ACL 3000。
· 当用户认证成功上线,认证服务器下发ACL 3000。此时ACL 3000在GigabitEthernet2/0/1上生效,Host可以访问Internet,但不能访问FTP服务器。
图1-9 下发ACL典型配置组网图
· 确保RADIUS服务器与Switch路由可达。
· 由于该例中使用了MAC地址认证的缺省用户名和密码,即使用用户的源MAC地址做用户名与密码,因此还要保证RADIUS服务器上正确添加了接入用户的用户名和密码。
· 指定RADIUS服务器上的授权ACL为设备上配置的ACL 3000。
(1) 配置RADIUS方案system
步骤1:在导航栏中选择“认证 > RADIUS”,默认进入“RADIUS服务器配置”页签的页面。
步骤2:进行如下配置,如下图所示。
· 选择服务类型为“认证服务器”。
· 输入主服务器IP地址为“10.1.1.1”。
· 输入主UDP端口为“1812”。
· 选择主服务器状态为“active”。
步骤3:单击<确定>按钮完成操作。
图1-10 配置RADIUS认证服务器
步骤4:进行如下配置,如下图所示。
· 如下图所示,选择服务类型为“计费服务器”。
· 输入主服务器IP地址为“10.1.1.2”。
· 输入主UDP端口为“1813”。
· 选择主服务器状态为“active”。
步骤5:单击<确定>按钮完成操作。
图1-11 配置RADIUS计费服务器
步骤6:单击“RADIUS参数设置”页签,进行如下配置,如下图所示。
步骤7:进行如下配置,如下图所示。
· 选择服务器类型为“extended”。
· 选中“认证服务器共享密钥”前的复选框,输入认证密钥为“abc”。
· 输入确认认证密钥为“abc”。
· 选中“计费服务器共享密钥”前的复选框,输入计费密钥为“abc”。
· 输入确认计费密钥为“abc”。
· 选择用户名格式为“without-domain”。
步骤8:单击<确定>按钮完成操作。
图1-12 配置RADIUS方案参数
(2) 创建ISP域
步骤1:在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面。
步骤2:输入域名为“test”,如下图所示。
步骤3:单击<应用>按钮完成操作。
(3) 配置ISP域的AAA认证方案
步骤1:单击“认证”页签,进入AAA认证方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Default认证”前的复选框,选择认证方式为“RADIUS”。
· 选择认证方案名称为“system”。
图1-14 配置ISP域的AAA认证方案
步骤3:单击<应用>按钮,弹出配置进度对话框,如下图所示。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图1-15 配置进度对话框
(4) 配置ISP域的AAA授权方案
步骤1:单击“授权”页签,进入AAA授权方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Default授权”前的复选框,选择授权方式为“RADIUS”。
· 选择授权方案名称为“system”。
步骤3:单击<应用>按钮弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图1-16 配置ISP域的AAA授权方案
(5) 配置ISP域的AAA计费方案
步骤1:单击“计费”页签,进入AAA计费方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Default计费”前的复选框,选择计费方式为“RADIUS”。
· 选择计费方案名称为“system”。
步骤3:单击<应用>按钮弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图1-17 配置ISP域的AAA计费方案
(6) 配置ACL
步骤1:在导航栏中选择“QoS > ACL IPv4”。
步骤2:单击“创建”页签,进入创建ACL的配置页面。
步骤3:输入访问控制列表ID为“3000”,如下图所示。
步骤4:单击<应用>按钮完成操作。
步骤5:单击“高级配置”页签,进入ACL的高级配置页面。
步骤6:进行如下配置,如下图所示。
· 选择访问控制列表为“3000”。
· 选中“规则ID”前的复选框,输入规则ID为“0”。
· 选择操作为“禁止”。
· 选中“目的IP地址”前的复选框,输入目的IP地址为“10.0.0.1”。
· 输入目的地址通配符为“0.0.0.0”。
步骤7:单击<添加>按钮完成操作。
图1-19 配置ACL规则拒绝目的IP地址为10.0.0.1的报文通过
(7) 配置MAC地址认证
步骤1:在导航栏中选择“认证 > MAC认证”。
步骤2:在“MAC地址认证设置”中进行如下配置,如下图所示。
· 选中“启用MAC地址认证”前的复选框。
· 单击展开“高级设置”前的扩展按钮。
· 选择认证ISP域为“test”。
· 选择认证信息格式为“使用不带连字符MAC”。
步骤3:单击<确定>按钮完成操作。
图1-20 配置全局的MAC地址认证
步骤4:在“MAC认证启用端口”中单击<新建>按钮,进入启用MAC地址认证的配置页面。
步骤5:选择端口为“GigabitEthernet2/0/1”,如下图所示。
步骤6:单击<确定>按钮完成操作。
图1-21 启用端口GigabitEthernet2/0/1的MAC地址认证
用户Host认证成功后,通过ping FTP服务器,可以验证认证服务器下发的ACL 3000是否生效。
C:\>ping 10.0.0.1
Pinging 10.0.0.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 10.0.0.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
由于端口安全特性通过多种安全模式提供了802.1X和MAC地址认证的扩展和组合应用,因此在需要灵活使用以上两种认证方式的组网环境下,推荐使用端口安全特性。无特殊组网要求的情况下,无线环境中通常使用端口安全特性。而在仅需要802.1X特性来完成接入控制的组网环境下,推荐单独使用802.1X特性,配置过程简洁明了。关于端口安全特性的详细介绍和具体配置请参见端口安全 。
最初,IEEE 802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1X协议。后来,802.1X协议作为局域网的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。
802.1X协议是一种基于端口的网络接入控制协议,即在局域网接入设备的端口上对所接入的用户设备进行认证,以便用户设备控制对网络资源的访问。
图2-1 802.1X体系结构
如上图所示,802.1X系统中包括以下三个实体:
· 客户端(Client):是请求接入局域网的用户终端设备,由局域网中的设备端对其进行认证。客户端上必须安装支持802.1X认证的客户端软件。
· 设备端(Device):是局域网中控制客户端接入的网络设备,位于客户端和认证服务器之间,为客户端提供接入局域网的端口(物理端口或逻辑端口),并通过与服务器的交互来对所连接的客户端进行认证。
· 认证服务器(Authenticaton server):用于对客户端进行认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。认证服务器根据设备端发送来的客户端认证信息来验证客户端的合法性,并将验证结果通知给设备端,由设备端决定是否允许客户端接入。在一些规模较小的网络环境中,认证服务器的角色也可以由设备端来代替,即由设备端对客户端进行本地认证、授权和计费。
关于802.1X协议的详细介绍请参见《H3C WX3000E系列有线无线一体化交换机交换引擎 配置指导》的“安全配置指导”中的“802.1X”。
802.1X提供了一个用户身份认证的实现方案,但是仅仅依靠802.1X是不足以实现该方案的。接入设备的管理者选择使用RADIUS或本地认证方法,以配合802.1X完成用户的身份认证。因此,需要首先完成以下配置任务:
· 配置802.1X用户所属的ISP认证域及及其使用的AAA方案,即本地认证方案或RADIUS方案。
· 如果需要通过RADIUS服务器进行认证,则应该在RADIUS服务器上配置相应的用户名和密码。
· 如果需要本地认证,则应该在设备上手动添加认证的用户名和密码。配置本地认证时,用户使用的服务类型必须为LAN-Access。
802.1X配置的推荐步骤如下表所示。
表2-1 802.1X配置步骤
步骤 |
配置任务 |
说明 |
1 |
必选 在全局启用802.1X认证,配置认证方法和高级参数 缺省情况下,全局802.1X认证处于关闭状态 |
|
2 |
必选 在指定的端口上启用802.1X认证,配置端口的802.1X参数 缺省情况下,端口802.1X认证处于关闭状态 |
(1) 在导航栏中选择“认证 > 802.1X”,进入802.1X的配置页面。
(2) 单击“高级设置”前的扩展按钮,进入如下图所示页面。
图2-2 802.1X
(3) 在“802.1X认证设置”中可以显示和配置全局的802.1X特性。配置全局802.1X特性,详细配置如下表所示。
表2-2 全局802.1X特性的详细配置
配置项 |
说明 |
|
启用802.1X认证 |
设置是否启用全局的802.1X认证 |
|
认证方法 |
设置802.1X用户的认证方式,包括CHAP、PAP和EAP |
|
高级设置 |
静默功能 |
设置是否启用静默定时器功能 当802.1X用户认证失败以后,设备需要静默一段时间(可通过配置项“静默时长”设定)。静默期间,设备不对该用户进行802.1X认证的相关处理 |
静默时长 |
设置静默定时器的值 |
|
报文重传次数 |
设置设备向接入用户发送认证请求报文的最大次数 在规定的时间里(可通过配置项“重传间隔”或者“客户端超时时间”设定)没有收到用户的响应,则设备将根据报文重传次数决定是否再次向用户发送该认证请求报文 报文重传次数设置为1时表示只允许向用户发送一次认证请求报文,如果没有收到响应,不再重复发送;设置为2时表示在首次向用户发送请求又没有收到响应后,将重复发送1次;……依次类推 |
|
重传间隔 |
设置重传定时器的值 |
|
用户握手周期 |
设置用户握手定时器的值 |
|
重认证周期 |
设置周期性重认证定时器的值 |
|
客户端超时时间 |
设置客户端超时定时器的值 |
|
服务器超时时间 |
设置服务器超时定时器的值 |
(1) 在导航栏中选择“认证 > 802.1X”,进入802.1X的配置页面。
(2) 单击“高级设置”前的扩展按钮,进入如下图所示页面。
(3) 在“802.1X认证启用端口”中显示的是端口802.1X特性的配置信息。单击<新建>按钮,进入新启用端口802.1X认证的配置页面,如下图所示。
(4) 配置端口802.1X特性,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
表2-3 端口802.1X特性的详细配置
配置项 |
说明 |
端口 |
设置要启用802.1X认证的端口 只能选择未启用802.1X认证的端口 |
端口控制方式 |
设置802.1X在端口上进行接入控制的方式,可选的方式及其含义说明如下: · MAC Based:表示采用基于MAC方式 · Port Based:表示采用基于端口方式 |
控制模式 |
设置802.1X在端口上进行接入控制的模式,可选的模式及其含义说明如下: · Auto:自动识别模式。指示端口初始状态为非授权状态;如果认证流程通过,则端口切换到授权状态。这也是最常见的情况 · Force-Authorized:强制授权模式。指示端口始终处于授权状态 · Force-Unauthorized:强制非授权模式。指示端口始终处于非授权状态 |
最大用户数 |
设置802.1X在端口上可容纳接入用户数量的最大值 |
启用用户握手功能 |
设置是否在端口上启用用户握手定时器 |
启用周期性重认证 |
设置是否在端口上启用周期性重认证定时器 |
Guest VLAN |
设置端口的Guest VLAN,指定的VLAN ID必须已经存在 如果用户端设备发出的是携带Tag的数据流,且接入端口上启用了802.1X认证并配置了Guest VLAN,为保证各种功能的正常使用,请为语音VLAN、端口的缺省VLAN和802.1X的Guest VLAN分配不同的VLAN ID |
启用MAC VLAN功能 |
设置是否启用端口的MAC VLAN功能 只有Hybird口支持此功能 |
认证失败VLAN |
设置认证失败的用户被授权访问的VLAN · 要配置PAFV,则端口控制方式应设置为Port Based · 要配置MAFV,则端口控制方式应设置为MAC Based,并且启用MAC VLAN功能 · 若端口上同时配置了802.1X认证的MAFV(MAC-based Auth-Fail VLAN)与MAC地址认证的认证失败VLAN,则后生成的802.1X认证MAFV表项会覆盖先生成的MAC地址认证失败VLAN表项,但后生成的MAC地址认证失败VLAN表项不能覆盖先生成的802.1X认证MAFV表项 · 如果用户端设备发出的是携带Tag的数据流,且接入端口上启用了802.1X认证并配置了认证失败VLAN,为保证各种功能的正常使用,请为语音VLAN、端口的缺省VLAN和802.1X的认证失败VLAN分配不同的VLAN ID |
· 要求在端口GigabitEthernet1/0/1上对接入用户进行认证,以控制其访问Internet;接入控制方式要求是基于MAC地址的接入控制;对在线用户启用周期性重认证,以便定时更新服务器对用户的授权信息。
· 所有接入用户都属于一个缺省的域:test。认证时,采用RADIUS认证方式;计费时,如果RADIUS计费失败则切断用户连接使其下线。RADIUS服务器使用CAMS/iMC服务器。
· 由两台RADIUS服务器组成的服务器组与Switch相连,其IP地址分别为10.1.1.1和10.1.1.2,使用前者作为主认证/备份计费服务器,使用后者作为备份认证/主计费服务器。
· 设置系统与认证RADIUS服务器交互报文时的共享密钥为name、与计费RADIUS服务器交互报文时的共享密钥为money。
· 设置系统在向RADIUS服务器发送报文后5秒种内如果没有得到响应就向其重新发送报文,发送报文的次数总共为5次;设置系统每15分钟就向RADIUS服务器发送一次实时计费报文。
· 设置系统从用户名中去除用户域名后再将之传给RADIUS服务器。
图2-4 802.1X配置组网图
下述各配置步骤包含了很多RADIUS客户端的配置,请参见RADIUS。RADIUS服务器上的配置略。
(1) 配置各接口的IP地址(略)
(2) 配置802.1X
步骤1:在导航栏中选择“认证 > 802.1X”。
步骤2:进行如下配置,如下图所示。
· 选中“启用802.1X认证”前的复选框。
· 选择认证方法“CHAP”。
步骤3:单击<确定>按钮完成操作。
图2-5 配置全局的802.1X特性
步骤4:在“802.1X认证启用端口”中单击<新建>按钮,进入新启用802.1X认证的配置页面。
步骤5:进行如下配置,如下图所示。
· 选择端口为“GigabitEthernet1/0/1”。
· 选中“启用周期性重认证”前的复选框。
步骤6:单击<确定>按钮完成操作。
图2-6 配置端口GigabitEthernet1/0/1的802.1X特性
(3) 配置RADIUS方案system
步骤1:在导航栏中选择“认证 > RADIUS”,默认进入“RADIUS服务器配置”页签的页面。
步骤2:进行如下配置,如下图所示。
· 选择服务类型为“认证服务器”。
· 输入主服务器IP地址为“10.1.1.1”。
· 选择主服务器状态为“active”。
· 输入备份服务器IP地址为“10.1.1.2”。
· 选择备份服务器状态为“active”。
· 单击<确定>按钮完成操作。
图2-7 配置RADIUS认证服务器的信息
步骤3:配置RADIUS计费服务器的信息,如下图所示。
· 如下图所示,选择服务类型为“计费服务器”。
· 输入主服务器IP地址为“10.1.1.2”。
· 选择主服务器状态为“active”。
· 输入备份服务器IP地址为“10.1.1.1”。
· 选择备份服务器状态为“active”。
步骤4:单击<确定>按钮完成操作。
图2-8 配置RADIUS计费服务器的信息
步骤5:单击“RADIUS参数设置”页签,进行如下配置,如下图所示。
· 选择服务器类型为“extended”。
· 选中“认证服务器共享密钥”前的复选框,输入认证密钥为“name”。
· 输入确认认证密钥为“name”。
· 选中“计费服务器共享密钥”前的复选框,输入计费密钥为“money”。
· 输入确认计费密钥为“money”。
· 输入超时时间为“5”。
· 输入超时重发次数为“5”。
· 输入实时计费间隔为“15”。
步骤6:单击<确定>按钮完成操作。
图2-9 配置与RADIUS服务器交互的方案
(4) 创建ISP域
步骤1:在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面。
步骤2:进行如下配置,如下图所示。
· 输入域名为“test”。
· 选择缺省域为“Enable”。
步骤3:单击<应用>按钮完成操作。
图2-10 创建ISP域
(5) 配置ISP域的AAA认证方案
步骤1:单击“认证”页签,进入AAA认证方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Default认证”前的复选框,选择认证方式为“RADIUS”。
· 选择认证方案名称为“system”。
图2-11 配置ISP域的AAA认证方案
步骤3:单击<应用>按钮,弹出配置进度对话框,如下图所示。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图2-12 配置进度对话框
(6) 配置ISP域的AAA授权方案
步骤1:单击“授权”页签,进入AAA授权方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Default授权”前的复选框,选择授权方式为“RADIUS”。
· 选择授权方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图2-13 配置ISP域的AAA授权方案
(7) 配置ISP域的AAA计费方案
步骤1:单击“计费”页签,进入AAA计费方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Default计费”前的复选框,选择计费方式为“RADIUS”。
· 选择计费方案名称为“system”。
步骤3:单击<应用>按钮完成操作,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图2-14 配置ISP域的AAA计费方案
如下图所示,主机Host通过802.1X认证接入网络,认证服务器为RADIUS服务器(使用CAMS/iMC服务器)。Internet网络中有一台FTP服务器,IP地址为10.0.0.1。
· 在认证服务器上配置授权下发ACL 3000。
· 在Switch的GigabitEthernet1/0/1上开启802.1X认证,并配置ACL 3000。
当用户认证成功上线,认证服务器下发ACL 3000。此时ACL 3000在GigabitEthernet1/0/1上生效,Host可以访问Internet,但不能访问FTP服务器。
图2-15 下发ACL配置组网图
(1) 配置各接口的IP地址(略)
(2) 配置RADIUS方案system
步骤1:在导航栏中选择“认证 > RADIUS”,默认进入“RADIUS服务器配置”页签的页面。
步骤2:进行如下配置,如下图所示。
· 输入主服务器IP地址为“10.1.1.1”。
· 输入主UDP端口为“1812”。
· 选择主服务器状态为“active”。
· 单击<确定>按钮完成操作。
图2-16 配置RADIUS认证服务器
步骤3:配置RADIUS计费服务器。
· 如下图所示,选择服务类型为“认证服务器”。
· 选择服务类型为“计费服务器”。
· 输入主服务器IP地址为“10.1.1.2”。
· 输入主UDP端口为“1813”。
· 选择主服务器状态为“active”。
· 单击<确定>按钮完成操作。
图2-17 配置RADIUS计费服务器
步骤4:单击“RADIUS参数设置”页签。
步骤5:进行如下配置,如下图所示。
· 选择服务器类型为“extended”。
· 选中“认证服务器共享密钥”前的复选框,输入认证密钥为“abc”。
· 输入确认认证密钥为“abc”。
· 选中“计费服务器共享密钥”前的复选框,输入计费密钥为“abc”。
· 输入确认计费密钥为“abc”。
· 选择用户名格式为“without-domain”。
步骤6:单击<确定>按钮完成操作。
图2-18 配置设备与RADIUS服务器交互的方案
(3) 创建ISP域
步骤1:在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面。
步骤2:进行如下配置,如下图所示。
· 输入域名为“test”。
· 选择缺省域为“Enable”。
步骤3:单击<应用>按钮完成操作。
图2-19 创建ISP域
(4) 配置ISP域的AAA认证方案
步骤1:单击“认证”页签,进入AAA认证方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Default认证”前的复选框,选择认证方式为“RADIUS”。
· 选择认证方案名称为“system”。
图2-20 配置ISP域的AAA认证方案
步骤3:单击<应用>按钮,弹出配置进度对话框,如下图所示。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图2-21 配置进度对话框
(5) 配置ISP域的AAA授权方案
步骤1:单击“授权”页签,进入AAA授权方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Default授权”前的复选框,选择授权方式为“RADIUS”。
· 选择授权方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图2-22 配置ISP域的AAA授权方案
(6) 配置ISP域的AAA计费方案
步骤1:单击“计费”页签,进入AAA计费方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“计费可选开关”前的复选框,选择“Enable”。
· 选中“Default计费”前的复选框,选择计费方式为“RADIUS”。
· 选择计费方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图2-23 配置ISP域的AAA计费方案
(7) 配置ACL
步骤1:在导航栏中选择“QoS > ACL IPv4”。
步骤2:单击“创建”页签,进入创建ACL的配置页面。,
步骤3:输入访问控制列表ID为“3000”,如下图所示。
步骤4:单击<应用>按钮完成操作。
步骤5:单击“高级配置”页签,进入ACL的高级配置页面。
步骤6:进行如下配置,如下图所示。
· 选择访问控制列表为“3000”。
· 选中“规则ID”前的复选框,输入规则ID为“0”。
· 选择操作为“禁止”。
· 选中“目的IP地址”前的复选框,输入目的IP地址为“10.0.0.1”。
· 输入目的地址通配符为“0.0.0.0”。
步骤7:单击<添加>按钮完成操作。
图2-25 配置ACL规则
(8) 配置802.1X
步骤1:在导航栏中选择“认证 > 802.1X”,进入802.1X的配置页面。
步骤2:进行如下配置,如下图所示。
· 选中“启用802.1X认证”前的复选框。
· 选择认证方法“CHAP”。
步骤3:单击<确定>按钮完成操作。
图2-26 配置全局的802.1x特性
步骤4:在“802.1X认证启用端口”中单击<新建>按钮,进入新启用802.1X认证的配置页面。
步骤5:选择端口为“GigabitEthernet1/0/1”,如下图所示。
步骤6:单击<确定>按钮完成操作。
图2-27 配置端口GigabitEthernet1/0/1的802.1X特性
当用户认证成功上线后,通过Ping操作可以验证认证服务器下发的ACL 3000是否生效。
步骤1:在导航栏中选择“网络 > 诊断工具”,默认进入“Ping”页签的页面。
步骤2:输入目的IP地址为“10.0.0.1”。
步骤3:单击<开始>按钮,执行Ping操作。
在概要信息栏中看到如下图所示的信息。
图2-28 Ping操作结果
配置802.1X时需要注意如下事项:
只有同时开启全局和端口的802.1X特性后,802.1X的配置才能在端口上生效。
一般情况下,用户无需改变全局802.1X特性中的定时器的相关参数值,除非在一些特殊或恶劣的网络环境下,可以改变定时器值来调节交互进程。
如果端口启动了802.1X,则不能配置该端口加入聚合组。反之,如果该端口已经加入到某个聚合组中,则禁止在该端口上启动802.1X。
对于802.1X用户,如果采用EAP认证方式,则设备会把客户端输入的内容直接封装后发给服务器,这种情况下设备对用户名格式的设置无效,关于用户名格式的配置请参见RADIUS。
在用户端设备发送不携带Tag数据流的情况下,接入端口的Voice VLAN功能与802.1X功能互斥。
端口安全是一种基于MAC地址对网络接入进行控制的安全机制,是对已有的802.1X认证和MAC地址认证的扩充。这种机制通过检测端口收到的数据帧中的源MAC地址来控制非授权设备对网络的访问,通过检测从端口发出的数据帧中的目的MAC地址来控制对非授权设备的访问。
端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源MAC地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时,系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高了系统的安全性。这里的非法报文是指:
· MAC地址未被端口学习到的用户报文;
· 未通过认证的用户报文。
· 由于端口安全特性通过多种安全模式提供了802.1X和MAC地址认证的扩展和组合应用,因此在需要灵活使用以上两种认证方式的组网环境下,推荐使用端口安全特性。无特殊组网要求的情况下,无线环境中通常使用端口安全特性。而在仅需要802.1X、MAC地址认证特性来完成接入控制的组网环境下,推荐单独使用以上两个特性,配置过程简洁明了。关于802.1X、MAC地址认证特性的详细介绍和具体配置请参见802.1X、MAC认证。
· 关于端口安全的详细介绍请参见《H3C WX3000E系列有线无线一体化交换机交换引擎 配置指导》的“安全配置指导”中的“端口安全”。
· 在配置端口安全之前,需要关闭全局的802.1X和MAC地址认证功能
· 一个端口只能选择配置基本控制模式和高级控制模式中的一种。已进行了基本控制模式配置的端口,不能再配置为高级控制模式;反之亦然。
基本控制模式端口安全配置的推荐步骤如下表所示。
步骤 |
配置任务 |
说明 |
1 |
必选 在全局启用端口安全功能,并配置高级参数 缺省情况下,全局的端口安全处于关闭状态 |
|
2 |
必选 配置端口采用基本控制模式和端口的最大安全MAC数、报文入侵控制、出方向报文控制特性 缺省情况下,端口的安全功能关闭,端口处于无限制状态 |
|
3 |
可选 安全MAC地址是一种特殊的MAC地址,不会被老化,保存后重启设备,不会丢失。在同一个VLAN内,一个安全MAC地址只能被添加到一个端口上,利用该特点,可以实现同一VLAN内MAC地址与端口的绑定 安全MAC地址可以由使能端口安全基本控制功能的端口自动学习,也可以通过Web手动配置 当端口下的安全MAC地址数目超过端口允许学习的最大安全MAC地址数后,该端口不会再添加新的安全MAC地址,仅接收并允许数据帧中的源MAC地址为安全MAC地址的报文访问网络设备 缺省情况下,没有配置安全MAC地址 |
高级控制模式端口安全配置的推荐步骤如下表所示。
步骤 |
配置任务 |
说明 |
1 |
必选 在全局启用端口安全功能,并配置高级参数 缺省情况下,全局的端口安全处于关闭状态 |
|
2 |
必选 配置端口的高级控制模式和报文入侵控制、出方向报文控制、忽略授权信息特性 缺省情况下,端口的安全功能关闭,端口处于无限制状态 |
|
3 |
可选 授权OUI只对安全模式配置为802.1X MAC Based Or OUI的端口有效。在端口安全模式为802.1X MAC Based Or OUI时,端口除了可以允许一个802.1x的接入用户通过认证之外,还可以允许一个指定OUI值的源MAC地址的用户通过认证 可以配置多个允许通过认证的用户OUI值,最多可以配置16个 缺省情况下,没有配置允许通过认证的用户OUI值 |
(1) 在导航栏中选择“认证 > 端口安全”,进入如下图所示的页面。
(2) “端口安全设置”中可以显示和配置全局端口安全功能的启用状态,单击“高级设置”前的扩展按钮可以显示和配置全局端口安全的高级参数信息,如下图所示。
(3) 配置全局端口安全,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
配置项 |
说明 |
|
启用端口安全 |
设置是否启用全局的端口安全功能 缺省情况下,全局的端口安全处于关闭状态 |
|
高级设置 |
暂时关闭端口时间 |
设置系统暂时关闭端口连接的时间 |
Trap信息发送 |
设置打开指定Trap信息的发送开关 Trap信息发送特性是指当端口有特定的数据包(由非法入侵,用户上下线等原因引起)传送时,设备将会发送Trap信息,便于网络管理员对这些特殊的行为进行监控 Trap信息的发送开关包括: · 学到新安全MAC · 802.1X认证失败 · 802.1X用户下线 · 802.1X用户上线 · 报文入侵 · MAC地址认证失败 · MAC地址认证用户下线 · MAC地址认证用户上线 |
(1) 在导航栏中选择“认证 > 端口安全”,进入如图3-1所示的页面。
(2) “配置端口安全功能和安全MAC表项”中的上半部分显示端口安全功能的信息,如下图所示。
图3-3 配置端口安全功能和安全MAC表项
(3) 单击<新建>按钮,进入新启用端口安全功能的配置页面,如下图所示。
(4) 配置端口的安全功能,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
配置项 |
说明 |
端口 |
设置要启用端口安全基本控制的端口 缺省情况下,端口的安全功能关闭,端口处于无限制状态 |
最大安全MAC数 |
设置端口允许的最大安全MAC地址数 端口安全允许某个端口下有多个用户通过认证,但是允许的用户数不能超过规定的最大值。配置最大安全MAC数有两个作用: · 控制能够通过某端口接入网络的最大用户数 · 控制端口安全能够添加的安全MAC地址数 该配置与MAC地址管理中配置的端口最多可以学习到的MAC地址数无关 |
启用报文入侵控制 |
设置启用报文入侵控制特性,并指定对接收非法报文的端口所采取的安全策略 报文入侵控制特性指通过检测从端口收到的数据帧的源MAC地址,对接收非法报文的端口采取相应的安全策略,包括暂时关闭端口、永久关闭端口或阻塞MAC地址(默认3分钟,不可配),以保证端口的安全性 · 暂时关闭端口:表示将收到非法报文的端口暂时关闭一段时间,关闭时长在“3.3 配置全局的端口安全”中配置 · 永久关闭端口:表示将收到非法报文的端口永久关闭 · 阻塞MAC地址:表示将非法报文的源MAC地址加入阻塞MAC地址列表中,源MAC地址为阻塞MAC地址的报文将被丢弃。此MAC地址在被阻塞3分钟(系统默认,不可配)后恢复正常 |
启用出方向报文控制 |
设置启用出方向报文控制特性,并指定控制方式 出方向报文控制特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据 出方向报文控制方式包括: · 仅允许已知MAC单播报文:表示仅允许目的MAC地址为已通过认证的MAC地址的单播报文通过 · 仅允许广播和已知MAC单播报文:表示允许目的MAC地址为已通过认证的MAC地址的单播报文或广播地址的报文通过 · 仅允许广播组播和已知MAC单播报文:表示允许目的MAC地址为已通过认证的MAC地址的单播报文,广播地址或组播地址的报文通过 |
(1) 在导航栏中选择“认证 > 端口安全”,进入如图3-1所示的页面。
(2) 在“配置端口安全功能和安全MAC表项”中单击“安全MAC列表”前的扩展按钮,展开如下图所示的页面,显示所有自动学习到的和手动配置的安全MAC地址。
图3-5 安全MAC列表
(3) 单击<新建>按钮,进入新建安全MAC表项的配置页面,如下图所示。
(4) 配置安全MAC表项,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
表3-5 安全MAC表项的详细配置
配置项 |
说明 |
端口 |
设置要配置安全MAC表项的端口 |
安全MAC地址 |
设置安全MAC地址 |
VLAN ID |
设置安全MAC地址所属的VLAN 指定的VLAN必须为该端口允许的VLAN |
(1) 在导航栏中选择“认证 > 端口安全”,进入如图3-1所示的页面。
(2) 在“高级控制设置”中单击“高级控制端口”前的扩展按钮,展开如下图所示的页面,显示高级控制端口的信息。
图3-7 高级控制端口
(3) 单击<新建>按钮,进入新启用高级控制端口的配置页面,如下图所示。
图3-8 新启用高级控制端口
(4) 配置高级控制端口,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
配置项 |
说明 |
端口 |
设置要启用端口安全高级控制的端口 缺省情况下,端口的安全功能关闭,端口处于无限制状态 |
安全模式 |
设置端口安全高级控制模式 可选的模式及其具体描述请参见《H3C WX3000E系列有线无线一体化交换机交换引擎 配置指导》的“安全配置指导”中的“端口安全” |
启用报文入侵控制 |
设置启用报文入侵控制特性,并指定对接收非法报文的端口所采取的安全策略 报文入侵控制特性指通过检测从端口收到的数据帧的源MAC地址,对接收非法报文的端口采取相应的安全策略,包括暂时关闭端口、永久关闭端口或阻塞MAC地址(默认3分钟,不可配),以保证端口的安全性 · 暂时关闭端口:表示将收到非法报文的端口暂时关闭一段时间,关闭时长在“3.3 配置全局的端口安全”中配置 · 永久关闭端口:表示将收到非法报文的端口永久关闭 · 阻塞MAC地址:表示将非法报文的源MAC地址加入阻塞MAC地址列表中,源MAC地址为阻塞MAC地址的报文将被丢弃。此MAC地址在被阻塞3分钟(系统默认,不可配)后恢复正常 |
启用出方向报文控制 |
设置启用出方向报文控制特性,并指定控制方式 出方向报文控制特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据 出方向报文控制方式包括: · 仅允许已知MAC单播报文:表示仅允许目的MAC地址为已通过认证的MAC地址的单播报文通过 · 仅允许广播和已知MAC单播报文:表示允许目的MAC地址为已通过认证的MAC地址的单播报文或广播地址的报文通过 · 仅允许广播组播和已知MAC单播报文:表示允许目的MAC地址为已通过认证的MAC地址的单播报文,广播地址或组播地址的报文通过 |
忽略授权信息 |
设置端口不应用RADIUS服务器下发的授权信息 802.1x用户或MAC地址认证用户在RADIUS服务器上通过认证时,服务器会把授权信息下发给设备端。通过此配置可实现基于端口是否忽略RADIUS服务器下发的授权信息 |
(1) 在导航栏中选择“认证 > 端口安全”,进入如图3-1所示的页面。
(2) 在“高级控制设置”中单击“授权OUI列表”前的扩展按钮,展开如下图所示的页面,显示授权OUI的信息。
图3-9 授权OUI列表
(3) 配置授权OUI时,在“OUI值”文本框中输入格式为H-H-H的48位MAC地址。
(4) 单击<添加>按钮完成操作,系统会自动取输入的前24位做为OUI值,忽略后24位。
在交换机的端口GigabitEthernet1/0/1上对接入用户做如下的限制:
· 允许3个用户自由接入,不进行认证,将学习到的用户MAC地址添加为安全MAC地址。
· 当安全MAC地址数量达到3后,停止学习;当再有新的MAC地址接入时,触发入侵检测,并将此端口关闭30秒。
图3-10 端口安全基本控制模式配置组网图
步骤1:在导航栏中选择“认证 > 端口安全”,进入端口安全的配置页面。
步骤2:在“端口安全设置”中进行如下配置,如下图所示。
· 选中“启用端口安全”前的复选框。
· 单击“高级设置”前的扩展按钮。
· 输入暂时关闭端口时间为“30”秒。
· 选中Trap信息发送“报文入侵”前的复选框。
步骤3:单击<确定>按钮完成操作。
图3-11 端口安全设置
步骤4:单击“配置端口安全功能和安全MAC表项”中端口安全功能列表下面的<新建>按钮,进入对应的配置页面。
步骤5:进行如下配置,如下图所示。
· 选择端口为“GigabitEthernet1/0/1”。
· 输入最大安全MAC数为“3”。
· 选中“启用报文入侵控制”前的复选框,选择控制方式为“暂时关闭端口”。
步骤6:单击<确定>按钮完成操作。
图3-12 新启用端口安全功能
配置完成后,在Web上可以查看学习到的MAC地址。如学习到3个,那么存储的安全MAC地址数就为3,在端口安全页面的“配置端口安全功能和安全MAC表项”中单击“安全MAC列表”前的扩展按钮,查看到如下图所示的信息。
当学习到的MAC地址数达到3后,再有新的MAC地址到达将触发入侵保护,可以通过在导航栏中选择“设备 > 端口管理”,单击“详情”页签,选中端口GigabitEthernet1/0/1,看到端口安全使此端口不可用,如下图所示。
图3-14 端口管理——端口关闭
30秒后再次选中端口GigabitEthernet1/0/1刷新页面,可以看到端口恢复为可用,如下图所示。
此时,如手动删除几条安全MAC地址后,可以继续学习MAC地址。
客户端通过端口GigabitEthernet1/0/1连接到交换机上,交换机通过RADIUS服务器对客户端进行身份认证,如果认证成功,客户端被授权允许访问Internet资源。
· IP地址为192.168.1.2的RADIUS服务器作为主认证/主计费服务器。认证共享密钥为name,计费共享密钥为money。
· 所有接入用户都使用ISP域system的缺省认证/授权/计费方案。
· 系统向RADIUS服务器发送的用户名不带域名。
交换机的管理者希望对接入用户的端口GigabitEthernet1/0/1做如下限制:
· 允许一个802.1x用户上线。
· 还允许端口上有一个与OUI值匹配的MAC地址用户通过。
图3-16 端口安全高级控制模式配置组网图
接入用户和RADIUS服务器上的配置略。
(1) 配置RADIUS方案system
步骤1:在导航栏中选择“认证 > RADIUS”,默认进入“RADIUS服务器配置”页签的页面。
步骤2:进行如下配置,如下图所示。
· 选择服务类型为“认证服务器”。
· 输入主服务器IP地址为“192.168.1.2”。
· 输入主UDP端口为“1812”。
· 选择主服务器状态为“active”。
步骤3:单击<确定>按钮完成操作。
图3-17 配置RADIUS认证服务器
步骤4:配置RADIUS认证服务器
· 如下图所示,选择服务类型为“计费服务器”。
· 输入主服务器IP地址为“192.168.1.2”。
· 输入主UDP端口为“1813”。
· 选择主服务器状态为“active”。
· 单击<确定>按钮完成操作。
图3-18 配置RADIUS计费服务器
步骤5:单击“RADIUS参数设置”页签,进入“RADIUS参数设置”页签的页面。
步骤6:进行如下配置,如下图所示。
· 选择服务器类型为“extended”。
· 选中“认证服务器共享密钥”前的复选框,输入认证密钥为“name”。
· 输入确认认证密钥为“name”。
· 选中“计费服务器共享密钥”前的复选框,输入计费密钥为“money”。
· 输入确认计费密钥为“money”。
· 选择用户名格式为“without-domain”。
步骤7:单击<确定>按钮完成操作。
图3-19 配置RADIUS方案参数
(2) 配置ISP域的AAA认证方案
步骤1:在导航栏中选择“认证 > AAA”。
步骤2:单击“认证”页签,进入AAA认证方案的配置页面方案。
步骤3:进行如下配置,如下图所示。
· 选择域名为“system”。
· 选中“Default认证”前的复选框,选择认证方式为“RADIUS”。
· 选择认证方案名称为“system”。
图3-20 配置缺省ISP域system的AAA认证方案
步骤4:单击<应用>按钮,弹出配置进度对话框,如下图所示。
步骤5:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图3-21 配置进度对话框
(3) 配置ISP域的AAA授权方案
步骤1:单击“授权”页签,进入AAA授权方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“system”。
· 选中“Default授权”前的复选框,选择授权方式为“RADIUS”。
· 选择授权方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图3-22 配置缺省ISP域system的AAA授权方案
(4) 配置ISP域的AAA计费方案
步骤1:单击“计费”页签,进入AAA计费方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“system”。
· 选中“Default计费”前的复选框,选择计费方式为“RADIUS”。
· 选择计费方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图3-23 配置缺省ISP域system的AAA计费方案
(5) 配置端口安全
步骤1:在导航栏中选择“认证 > 端口安全” ,进入端口安全的配置页面。
步骤2:在“端口安全设置”中选中“启用端口安全”前的复选框,如下图所示。
步骤3:单击<确定>按钮完成操作。
步骤4:在“高级控制设置”中单击“高级控制端口”前的扩展按钮。
步骤5:单击展开的列表下的<新建>按钮,进入新启用高级控制端口的配置页面。
步骤6:进行如下配置,如下图所示。
· 选择端口为“GigabitEthernet1/0/1”。
· 选择安全模式为“802.1X MAC Based Or OUI”。
步骤7:单击<确定>按钮完成操作。
图3-25 配置端口GigabitEthernet1/0/1的高级控制功能
步骤8:在“高级控制设置”中单击“授权OUI列表”前的扩展按钮。
步骤9:输入OUI值为“1234-0100-0000”,如下图所示。
步骤10:单击<添加>按钮完成操作。
步骤11:在“高级控制设置”中单击“授权OUI列表”前的扩展按钮。
步骤12:输入OUI值为“1234-0200-0000”。
步骤13:单击<添加>按钮完成操作。
步骤14:在“高级控制设置”中单击“授权OUI列表”前的扩展按钮。
步骤15:输入OUI值为“1234-0300-0000”。
步骤16:单击<添加>按钮完成操作。
Web页面提供了配置ISP(Internet Service Provider,Internet服务提供者)域,以及配置ISP域的AAA认证、授权、计费方法的功能。
AAA是Authentication、Authorization、Accounting(认证、授权、计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。
· 认证:确认远端访问用户的身份,判断访问者是否为合法的网络用户。
· 授权:对不同用户赋予不同的权限,限制用户可以使用的服务。例如用户成功登录服务器后,管理员可以授权用户对服务器中的文件进行访问和打印操作。
· 计费:记录用户使用网络服务中的所有操作,包括使用的服务类型、起始时间、数据流量等,它不仅是一种计费手段,也对网络安全起到了监视作用。
AAA一般采用客户机/服务器结构,客户端运行于NAS(Network Access Server,网络接入服务器)上,服务器上则集中管理用户信息。NAS对于用户来讲是服务器端,对于服务器来说是客户端。AAA的基本组网结构如下图所示。
图4-1 AAA基本组网结构示意图
AAA可以通过多种协议来实现,目前设备支持基于RADIUS协议来实现AAA,在实际应用中,RADIUS协议也是最常使用的。RADIUS的详细介绍请参见RADIUS。
关于AAA及ISP域的详细介绍请参见《H3C WX3000E系列有线无线一体化交换机交换引擎 配置指导》的“安全配置指导”中的“AAA”。
· 进行远端认证、授权或计费时,需要已经创建RADIUS方案,通过引用已配置的RADIUS方案来实现认证、授权、计费。有关RADIUS方案的配置请参见RADIUS。
表4-1 AAA配置步骤
步骤 |
配置任务 |
说明 |
|
1 |
可选 配置ISP域,并指定其中一个为缺省ISP域 缺省情况下,系统存在名为system的缺省ISP域 |
||
2 |
可选 配置对ISP域中不同类型的用户所使用的认证方法 缺省情况下,所有类型的用户采用Local认证方法 |
AAA将用户类型分为:LAN-access用户(如802.1X认证、MAC地址认证用户)、Login用户(如SSH、Telnet、FTP、终端接入用户)、PPP用户、Command用户 |
|
3 |
可选 配置对ISP域中不同类型的用户所使用的授权方法 缺省情况下,所有类型的用户采用Local授权方法 |
||
4 |
必选 配置对ISP域中不同类型的用户所使用的计费方法 缺省情况下,所有类型的用户采用Local计费方法 |
(1) 在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面,如下图所示。
(2) 配置ISP域,详细配置如下表所示。
(3) 单击<应用>按钮完成操作。
表4-2 ISP域的详细配置
配置项 |
说明 |
域名 |
设置ISP域的名称,用于标识域 可以输入新的域名来创建域,也可以选择已有域来配置其是否为缺省域 |
缺省域 |
设置该ISP域是否为缺省域 · Enable:设置为缺省域 · Disable:设置为非缺省域 同时只能存在一个缺省域,当某个域被设置为缺省域时,原来的缺省域自动被设置为非缺省域 |
(1) 在导航栏中选择“认证 > AAA”。
(2) 单击“认证”页签,进入如下图所示的页面。
(3) 配置ISP域AAA认证方法,详细配置如下表所示。
(4) 单击<应用>按钮完成操作。
表4-3 ISP域AAA认证方法的详细配置
配置项 |
说明 |
选择一个域名 |
设置要配置的ISP域 |
Default认证 |
设置所有类型用户的缺省认证方法和备选方法 · HWTACACS:HWTACACS认证,此时需要设置具体选用的HWTACACS方案 · Local:本地认证 · None:不认证,即对用户非常信任,不进行合法性检查,一般情况下不采用此方法 · RADIUS:RADIUS认证,此时需要设置具体选用的RADIUS方案 · Not Set:不设置Default认证,即恢复缺省情况(本地认证) |
方案名称 |
|
备选方法 |
|
LAN-access认证 |
设置LAN-access用户的认证方法和备选方法 · Local:本地认证 · None:不认证,即对用户非常信任,不进行合法性检查,一般情况下不采用此方法 · RADIUS:RADIUS认证,此时需要设置具体选用的RADIUS方案 · Not Set:不设置LAN-access认证,此时缺省使用Default认证的配置 |
方案名称 |
|
备选方法 |
|
Login认证 |
设置Login用户的认证方法和备选方法 · HWTACACS:HWTACACS认证,此时需要设置具体选用的HWTACACS方案 · Local:本地认证 · None:不认证,即对用户非常信任,不进行合法性检查,一般情况下不采用此方法 · RADIUS:RADIUS认证,此时需要设置具体选用的RADIUS方案 · Not Set:不设置Login认证,此时缺省使用Default认证的配置 |
方案名称 |
|
备选方法 |
|
PPP认证 |
设置PPP用户的认证方法和备选方法 · HWTACACS:HWTACACS认证,此时需要设置具体选用的HWTACACS方案 · Local:本地认证 · None:不认证,即对用户非常信任,不进行合法性检查,一般情况下不采用此方法 · RADIUS:RADIUS认证,此时需要设置具体选用的RADIUS方案 · Not Set:不设置PPP认证,此时缺省使用Default认证的配置 |
方案名称 |
|
备选方法 |
(1) 在导航栏中选择“认证 > AAA”。
(2) 单击“授权”页签,进入如下图所示的页面。
(3) 配置ISP域AAA授权方法,详细配置如下表所示。
(4) 单击<应用>按钮完成操作。
表4-4 ISP域AAA授权方法的详细配置
配置项 |
说明 |
选择一个域名 |
设置要配置的ISP域 |
Default授权 |
设置所有类型用户的缺省授权方法和备选方法 · HWTACACS:HWTACACS授权,此时需要设置具体选用的HWTACACS方案 · Local:本地授权 · None:直接授权,即对用户非常信任,直接授权通过,此时用户权限为系统默认权限 · RADIUS:RADIUS授权,此时需要设置具体选用的RADIUS方案 · Not Set:不设置Default授权,即恢复缺省情况(本地授权) |
方案名称 |
|
备选方法 |
|
LAN-access授权 |
设置LAN-access用户的授权方法和备选方法 · Local:本地授权 · None:直接授权,即对用户非常信任,直接授权通过,此时用户权限为系统默认权限 · RADIUS:RADIUS授权,此时需要设置具体选用的RADIUS方案 · Not Set:不设置LAN-access授权,此时缺省使用Default授权的配置 |
方案名称 |
|
备选方法 |
|
Login授权 |
设置Login用户的授权方法和备选方法 · HWTACACS:HWTACACS授权,此时需要设置具体选用的HWTACACS方案 · Local:本地授权 · None:直接授权,即对用户非常信任,直接授权通过,此时用户权限为系统默认权限 · RADIUS:RADIUS授权,此时需要设置具体选用的RADIUS方案 · Not Set:不设置Login授权,此时缺省使用Default授权的配置 |
方案名称 |
|
备选方法 |
|
PPP授权 |
设置PPP用户的授权方法和备选方法 · HWTACACS:HWTACACS授权,此时需要设置具体选用的HWTACACS方案 · Local:本地授权 · None:直接授权,即对用户非常信任,直接授权通过,此时用户权限为系统默认权限 · RADIUS:RADIUS授权,此时需要设置具体选用的RADIUS方案 · Not Set:不设置PPP授权,此时缺省使用Default授权的配置 |
方案名称 |
|
备选方法 |
|
Command授权 |
设置Command用户的授权方法 · HWTACACS:HWTACACS授权,此时需要设置具体选用的HWTACACS方案 · Not Set:不设置Command授权,此时缺省使用Default授权的配置 |
方案名称 |
(1) 在导航栏中选择“认证 > AAA”。
(2) 单击“计费”页签,进入如下图所示的页面。
(3) 配置ISP域AAA计费方法,详细配置如下表所示。
(4) 单击<应用>按钮完成操作。
表4-5 ISP域AAA计费方法的详细配置
配置项 |
说明 |
选择一个域名 |
设置要配置的ISP域 |
计费可选开关 |
设置是否开启计费可选功能 · 对上线用户计费时,如果发现没有可用的计费服务器或与计费服务器通信失败时,若开启计费可选功能,则用户可以继续使用网络资源,否则用户连接将被切断 · 对于计费过程失败但因计费可选功能上线的用户,系统不再对其发送实时计费更新报文 |
Default计费 |
设置所有类型用户的缺省计费方法和备选方法 · HWTACACS:HWTACACS计费,此时需要设置具体选用的HWTACACS方案 · Local:本地计费 · None:不计费 · RADIUS:RADIUS计费,此时需要设置具体选用的RADIUS方案 · Not Set:不设置Default计费,即恢复缺省情况(本地计费) |
方案名称 |
|
备选方法 |
|
LAN-access计费 |
设置LAN-access用户的计费方法和备选方法 · Local:本地计费 · None:不计费 · RADIUS:RADIUS计费,此时需要设置具体选用的RADIUS方案 · Not Set:不设置LAN-access计费,此时缺省使用Default计费的配置 |
方案名称 |
|
备选方法 |
|
Login计费 |
设置Login用户的计费方法和备选方法 · HWTACACS:HWTACACS计费,此时需要设置具体选用的HWTACACS方案 · Local:本地计费 · None:不计费 · RADIUS:RADIUS计费,此时需要设置具体选用的RADIUS方案 · Not Set:不设置Login计费,此时缺省使用Default计费的配置 |
方案名称 |
|
备选方法 |
|
PPP计费 |
设置PPP用户的计费方法和备选方法 · HWTACACS:HWTACACS计费,此时需要设置具体选用的HWTACACS方案 · Local:本地计费 · None:不计费 · RADIUS:RADIUS计费,此时需要设置具体选用的RADIUS方案 · Not Set:不设置PPP计费,此时缺省使用Default计费的配置 |
方案名称 |
|
备选方法 |
如下图所示,配置Switch实现对登录Switch的Telnet用户进行本地认证、授权和计费。
图4-6 AAA配置组网图
开启Telnet服务器功能,并配置Telnet用户登录采用AAA认证方式。具体配置略。
(1) 配置各接口的IP地址。(略)
(2) 配置本地用户。
步骤1:在导航栏中选择“设备 > 用户管理”。
步骤2:单击“创建用户”页签,进入创建用户的配置页面。
步骤3:进行如下配置,如下图所示。
· 输入用户名为“telnet”。
· 选择访问等级为“Management”。
· 输入密码为“abcd”。
· 输入确认密码为“abcd”。
· 选中服务类型“Telnet服务”前的复选框。
步骤4:单击<应用>按钮完成操作。
图4-7 创建用户
(3) # 配置ISP域test。
步骤1:在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面。
步骤2:输入域名为“test”,如下图所示。
步骤3:单击<应用>按钮完成操作。
图4-8 配置ISP域test
(4) 配置ISP域的AAA方案为本地认证。
步骤1:在导航栏中选择“认证 > AAA”。
步骤2:单击“认证”页签,进入AAA认证方案的配置页面。
步骤3:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Login认证”前的复选框,选择认证方法为“Local”。
图4-9 配置ISP域的AAA方案为本地认证
步骤4:单击<应用>按钮,弹出配置进度对话框,如下图所示。
步骤5:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图4-10 配置进度对话框
(5) 配置ISP域的AAA方案为本地授权。
步骤1:在导航栏中选择“认证 > AAA”。
步骤2:单击“授权”页签,进入AAA授权方案的配置页面。
步骤3:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Login授权”前的复选框,选择授权方法为“Local”。
步骤4:单击<应用>按钮,弹出配置进度对话框。
步骤5:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图4-11 配置ISP域的AAA方案为本地授权
(6) 配置ISP域的AAA方案为本地计费。
步骤1:在导航栏中选择“认证 > AAA”。
步骤2:单击“计费”页签,进入AAA计费方案的配置页面。
步骤3:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Login计费”前的复选框,选择计费方法为“Local”。
步骤4:单击<应用>按钮,弹出配置进度对话框。
步骤5:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图4-12 配置ISP域的AAA方案为本地计费
使用Telnet登陆时输入用户名为telnet@test,以使用test域进行认证。
RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种用于实现AAA(Authentication, Authorization and Accounting,认证、授权和计费)的协议,是分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。该协议定义了RADIUS的报文格式及其消息传输机制,并规定使用UDP作为封装RADIUS报文的传输层协议(UDP端口1812、1813分别作为认证、计费端口)。
RADIUS最初仅是针对拨号用户的AAA协议,后来随着用户接入方式的多样化发展,RADIUS也适应多种用户接入方式,如以太网接入、ADSL接入。它通过认证授权来提供接入服务,通过计费来收集、记录用户对网络资源的使用。
关于RADIUS和AAA协议的详细介绍请参见《H3C WX3000E系列有线无线一体化交换机交换引擎 配置指导》的“安全配置指导”中的“AAA”。
· 通过Web配置的RADIUS方案的方案名为system。
· 如果系统当前不存在名为system的RADIUS方案,则当用户选择“认证 > RADIUS”菜单进入RADIUS模块的页面时,系统会自动创建一个名为system的RADIUS方案。
RADIUS配置的推荐步骤如下表所示。
表5-1 RADIUS配置步骤
步骤 |
配置任务 |
说明 |
|
1 |
配置认证服务器 |
必选 配置RADIUS主/备份认证服务器的相关信息 缺省情况下,不存在任何认证服务器 |
详细配置请参见“5.3 配置RADIUS服务器” |
2 |
配置计费服务器 |
可选 配置RADIUS主/备份计费服务器的相关信息 缺省情况下,不存在任何计费服务器 |
|
3 |
必选 配置设备和RADIUS服务器之间进行信息交互所需的一些参数 |
(1) 在导航栏中选择“认证 > RADIUS”,默认进入“RADIUS服务器配置”页签的页面,如下图所示。
图5-1 RADIUS服务器配置
(2) 配置RADIUS服务器,详细配置如下表所示。
(3) 单击<确定>按钮完成操作。
表5-2 RADIUS服务器的详细配置
配置项 |
说明 |
服务类型 |
设置要配置的RADIUS服务器的类型,包括:认证服务器、计费服务器 |
主服务器IP地址 |
设置主服务器的IP地址 未配置该主服务器时,文本框的值显示0.0.0.0 并且文本框为0.0.0.0时,表示删除配置的主服务器 主服务器与备份服务器的IP地址不能相同,否则将提示错误 |
主UDP端口 |
设置主服务器的UDP端口号 当未配置主服务器IP地址或者删除主服务器IP地址时,认证服务器端口号为1812,计费服务器端口号为1813 |
主服务器状态 |
设置主服务器的状态: · active:处于正常工作状态 · block:处于宕机状态 当未配置主服务器IP地址或者删除主服务器IP地址时,状态为block |
备份服务器IP地址 |
设置备份服务器的IP地址 未配置该备份服务器时,文本框的值显示0.0.0.0 并且文本框为0.0.0.0时,表示删除配置的备份服务器 主服务器与备份服务器不能相同,否则将提示错误 |
备份UDP端口 |
设置备份服务器的UDP端口号 当未配置备份服务器IP地址或者删除备份服务器IP地址时,认证服务器端口号为1812,计费服务器端口号为1813 |
备份服务器状态 |
设置备份服务器的状态: · active:处于正常工作状态 · block:处于宕机状态 当未配置备份服务器IP地址或者删除备份服务器IP地址时,状态为block |
(1) 在导航栏中选择“认证 > RADIUS”,单击“RADIUS参数设置”页签,进入如下图所示的页面。
图5-2 RADIUS参数设置
(2) 配置RADIUS参数,详细设置如下表所示。
(3) 单击<确定>按钮完成操作。
表5-3 设置RADIUS参数详细信息
配置项 |
说明 |
服务类型 |
设置设备支持的RADIUS服务器类型: · extended:指定extended的RADIUS服务器(一般为CAMS/iMC),即要求RADIUS客户端和RADIUS服务器按照私有RADIUS协议的规程和报文格式进行交互 · standard:指定Standard类型的RADIUS服务器,即要求RADIUS客户端和RADIUS服务器按照标准RADIUS协议(RFC 2138/2139或更新)的规程和报文格式进行交互 |
认证服务器共享密钥 |
设置认证服务器的共享密钥和确认密钥,确认密钥必须与共享密钥保持一致 |
确认认证密钥 |
|
计费服务器共享密钥 |
设置计费服务器的共享密钥和确认密钥,确认密钥必须与共享密钥保持一致 |
确认计费密钥 |
|
NAS-IP |
设备向RADIUS服务器发送RADIUS报文时使用的源IP地址 为了避免物理接口故障时从服务器返回的报文不可达,推荐使用Loopback接口地址 |
超时时间 |
设置RADIUS服务器应答超时时间 |
超时重发次数 |
设置最大传送次数 超时时间和超时重发次数的乘积不能超过75 |
实时计费间隔 |
设置实时计费的时间间隔,取值必须为3的整数倍 为了对用户实施实时计费,有必要设置实时计费的时间间隔。设置了该属性以后,每隔设定的时间,设备会向RADIUS服务器发送一次在线用户的计费信息 实时计费间隔的取值对NAS和RADIUS服务器的性能有一定的相关性要求,取值越小,对NAS和RADIUS服务器的性能要求越高。建议当用户量比较大(¦1000)时,尽量把该间隔的值设置得大一些。实时计费间隔与用户量之间的推荐比例关系如表5-4所示 |
实时计费报文重发次数 |
设置允许实时计费请求无响应的最大次数 |
停止计费缓存 |
设置允许/禁止在设备上缓存没有得到响应的停止计费请求报文 · enable:表示允许缓存报文 · disable:表示禁止该功能 |
停止计费报文重发次数 |
设置当出现没有得到响应的停止计费请求时,将该报文存入设备缓存后,允许停止计费请求无响应的最大次数 |
Quiet时间间隔 |
设置RADIUS服务器恢复激活状态的时间 |
用户名格式 |
设置发送给RADIUS服务器的用户名格式 接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为域名,如果RADIUS服务器不接受带域名的用户名时,可以配置将用户名的域名去除后再传送给RADIUS服务器 · without-domain:表示发送给RADIUS服务器的用户名不带域名 · with-domain:表示发送给RADIUS服务器的用户名带域名 |
流量数据的单位 |
设置发送到RADIUS服务器的流量数据的单位 · byte:表示流量数据的单位为字节 · kilo-byte:表示流量数据的单位为千字节 · mega-byte:表示流量数据的单位为兆字节 · giga-byte:表示流量数据的单位为千兆字节 |
数据包的单位 |
设置发送到RADIUS服务器的数据包的单位 · one-packet:表示数据包的单位为包 · kilo-packet:表示数据包的单位为千包 · mega-packet:表示数据包的单位为兆包 · giga-packet:表示数据包的单位为千兆包 |
如下图所示,配置Switch实现RADIUS服务器对登录设备的Telnet用户进行认证、计费(Telnet用户在线时长统计)。
RADIUS服务器使用CAMS/iMC服务器。在RADIUS服务器上已经添加了Telnet用户的用户名和密码,同时设置了与Switch交互报文时的共享密钥为“expert”。
根据以上情况,只需设置Switch与IP地址为10.110.91.146的RADIUS服务器(其担当认证、计费服务器的职责,采用缺省端口进行认证和计费)进行报文交互时的共享密钥为“expert”。同时可以设置Switch向RADIUS服务器发送用户名时不带域名。
图5-3 RADIUS配置组网图
开启Telnet服务器功能,并配置Telnet用户登录采用AAA认证方式。具体配置略。
(1) 配置各接口IP地址(略)
(2) 配置RADIUS方案system
步骤1:在导航栏中选择“认证 > RADIUS”,默认进入“RADIUS服务器配置”页签的页面。
步骤2:进行如下配置,如下图所示。
· 选择服务类型为“认证服务器”。
· 输入主服务器IP地址为“10.110.91.146”。
· 输入主UDP端口为“1812”。
· 选择主服务器状态为“active”。
步骤3:单击<确定>按钮完成操作。
图5-4 配置RADIUS认证服务器
步骤4:配置RADIUS计费服务器。
· 如下图所示,选择服务类型为“计费服务器”。
· 输入主服务器IP地址为“10.110.91.146”。
· 输入主UDP端口为“1813”。
· 选择主服务器状态为“active”。
步骤5:单击<确定>按钮完成操作。
图5-5 配置RADIUS计费服务器
步骤6:配置RADIUS方案参数。单击“RADIUS参数设置”页签,进行如下配置,如下图所示。
· 选择服务器类型为“extended”。
· 选中“认证服务器共享密钥”前的复选框,输入认证密钥为“abc”。
· 输入确认认证密钥为“abc”。
· 选中“计费服务器共享密钥”前的复选框,输入计费密钥为“abc”。
· 输入确认计费密钥为“abc”。
· 选择用户名格式为“without-domain”。
· 单击<确定>按钮完成操作。
图5-6 配置RADIUS方案参数
(3) 创建ISP域
步骤1:在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面。
步骤2:进行如下配置,如下图所示。
· 输入域名为“test”。
· 选择缺省域为“Enable”。
步骤3:单击<应用>按钮完成操作。
图5-7 创建ISP域
(4) 配置ISP域的AAA认证方案
步骤1:单击“认证”页签,进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Default认证”前的复选框,选择认证方式为“RADIUS”。
· 选择认证方案名称为“system”。
· 单击<应用>按钮,弹出配置进度对话框,如下图所示。
图5-8 配置ISP域的AAA认证方案
步骤2:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图5-9 配置进度对话框
(5) 配置ISP域的AAA授权方案
步骤1:单击“授权”页签,进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Default授权”前的复选框,选择授权方式为“RADIUS”。
· 选择授权方案名称为“system”。
步骤2:单击<应用>按钮,弹出配置进度对话框。
步骤3:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图5-10 配置ISP域的AAA授权方案
(6) 配置ISP域的AAA计费方案
步骤1:单击“计费”页签,进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“计费可选开关”前的复选框,选择“Enable”。
· 选中“Default计费”前的复选框,选择计费方式为“RADIUS”。
· 选择计费方案名称为“system”。
步骤2:单击<应用>按钮,弹出配置进度对话框。
步骤3:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图5-11 配置ISP域的AAA计费方案
配置RADIUS客户端时需要注意如下事项:
目前RADIUS不支持对FTP用户进行计费。
如果在线用户正在使用的计费服务器被删除,则设备将无法发送用户的实时计费请求和停止计费请求,且停止计费报文不会被缓存到本地。
RADIUS方案中各服务器的状态(active、block)决定了设备向哪个服务器发送请求报文,以及设备在与当前服务器通信中断的情况下,如何转而与另外一个服务器进行交互。在实际组网环境中,可指定一个主RADIUS服务器和多个从RADIUS服务器,由从服务器作为主服务器的备份。通常情况下,设备上主从服务器的切换遵从以下原则:
· 当主服务器状态为active时,设备首先尝试与主服务器通信,若主服务器不可达,设备更改主服务器的状态为block,并启动该服务器的静默定时器,然后按照从服务器的配置先后顺序依次查找状态为active的从服务器进行认证或者计费。如果状态为active的从服务器也不可达,则将该从服务器的状态置为block,同时启动该服务器的静默定时器,并继续查找状态为active的从服务器。当服务器的静默定时器超时,或者设备收到该服务器的认证/计费应答报文时,该服务器将恢复为active状态。在一次认证或计费过程中,如果设备在尝试与从服务器通信时,主服务器状态由block恢复为active,则设备并不会立即恢复与主服务器的通信,而是继续查找从服务器。如果所有已配置的服务器都不可达,则认为本次认证或计费失败。
· 一个用户的计费流程开始之后,设备就不会再与其它的计费服务器通信,即该用户的实时计费报文和停止计费报文只会发往当前使用的计费服务器。如果当前使用的计费服务器被删除,则实时计费和停止计费报文都将无法发送。
· 如果在认证或计费过程中删除了服务器,则设备在与当前服务器通信超时后,将会重新从主服务器开始依次查找状态为active的服务器进行通信。
· 当主/从服务器的状态均为block时,设备仅与主服务器通信,若主服务器可达,则主服务器状态变为active,否则保持不变。
· 只要存在状态为active的服务器,设备就仅与状态为active的服务器通信,即使该服务器不可达,设备也不会尝试与状态为block的服务器通信。
· 设备收到服务器的认证或计费应答报文后会将与报文源IP地址相同且状态为block的认证或计费服务器的状态更改为active。
实时计费间隔与用户量之间的推荐比例关系如下表所示。
用户数 |
实时计费间隔(分钟) |
1~99 |
3 |
100~499 |
6 |
500~999 |
12 |
¦1000 |
¦15 |
用户模块提供了本地用户、用户组的配置功能。
本地用户是本地设备上设置的一组用户属性的集合。该集合以用户名为用户的唯一标识,可配置多种属性,比如用户密码、用户类型、服务类型、授权属性等。为使某个请求网络服务的用户可以通过本地认证,需要在设备上的本地用户数据库中添加相应的表项。本地认证的详细介绍请参见AAA。
用户组是一个本地用户属性的集合,某些需要集中管理的授权属性可在用户组中统一配置和管理,用户组内的所有本地用户都可以继承这些属性。
每个新增的本地用户都默认属于一个系统自动创建的用户组system,且继承该组的所有属性,但本地用户的属性比用户组的属性优先级高。
(1) 在导航栏中选择“认证 > 用户”,默认进入“本地用户”页签的页面,页面显示的是所有本地用户和来宾用户,如下图所示。
图6-1 本地用户
(2) 单击<新建>按钮,进入新建本地用户的配置页面,如下图所示。
(3) 配置本地用户,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
配置项 |
说明 |
用户名 |
设置本地用户的名称 |
用户密码 |
设置本地用户的密码和确认密码 用户密码和确认密码必须一致 输入的密码如果以空格开头,则开头的空格将被忽略 |
确认密码 |
|
用户组 |
设置本地用户所属的用户组 |
服务类型 |
设置本地用户可以使用的服务类型,包括FTP、Telnet、LAN-Access(主要指以太网接入用户,比如802.1x用户)和SSH · 用户类型是本地认证的检测项,如果没有用户可以使用的服务类型,则该用户无法正常认证通过 · 要想该用户可以通过Web登录设备,其可以使用的服务类型必须包括Telnet |
过期时间 |
设置本地用户的有效截止时间,格式为HH:MM:SS-YYYY/MM/DD(时:分:秒-年/月/日) 当指定了过期时间的用户进行本地认证时,接入设备检查当前系统时间是否在用户的过期时间内,若在过期时间内则允许用户登录,否则拒绝用户登录 |
授权等级 |
设置本地用户的授权属性,包括: · 授权等级:由底到高依次为Visitor、Monitor、Configure、Management · 授权VLAN · 授权ACL · 授权用户方案 可配置的授权属性都有其明确的使用环境和用途,因此配置授权属性时要考虑该用户是否需要某些属性: · FTP、Telnet和SSH用户支持授权等级 · PPP用户支持授权ACL和用户方案 · LAN-Access用户支持授权VLAN、授权ACL和用户方案 |
授权VLAN |
|
授权ACL |
|
用户方案 |
(1) 在导航栏中选择“认证 > 用户”。
(2) 单击“用户组”页签,进入用户组的显示页面,如下图所示。
图6-3 用户组
(3) 单击<新建>按钮,进入新建用户组的配置页面,如下图所示。
(4) 配置用户组,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
配置项 |
说明 |
用户组名称 |
设置用户组的名称 |
访问等级 |
设置用户组的访问等级,由低到高依次为Visitor、Monitor、Configure、Management |
授权VLAN |
设置用户组的授权VLAN ID |
授权ACL |
设置用户组的授权ACL序号 |
用户方案 |
设置用户组的授权用户方案名称 |
PKI(Public Key Infrastructure,公钥基础设施)是一个利用公共密钥理论和技术来实现并提供信息安全服务的具有通用性的安全基础设置。我司的PKI可为安全协议IPsec(IP security,IP安全)、SSL(Secure Sockets Layer,安全套接层)、WAPI(WLAN Authentication and Privacy Infrastructure,无线局域网鉴别与保密基础结构)提供证书管理机制。
公共密钥体制也称为非对称密钥体制,是目前应用最广泛的一种加密体制。这一体制使用一个非对称的密钥对,分别是一个公开的加密密钥(公钥)和一个保密的解密密钥(私钥),用公钥加密的信息只能用私钥解密,反之亦然。由于公钥是公开的,需要在网上传送,故公钥的管理问题就是公共密钥体制所需要解决的关键问题。
目前,PKI系统中引出的数字证书机制就是一个很好的解决方案。基于公共密钥技术的数字证书是一个用户的身份和他所持有的公钥的结合,是使用PKI系统的用户建立安全通信的信任基础。
基于数字证书的PKI系统,能够为网络通信和网络交易,特别是电子政务和电子商务业务,透明地提供一整套安全服务,主要包括身份认证、保密、数据完整性和不可否认性。
PKI技术的广泛应用能满足人们对网络交易安全保障的需求。作为一种基础设施,PKI的应用范围非常广泛,并且在不断发展之中,下面给出几个应用实例。
· VPN:VPN(Virtual Private Network,虚拟专用网络)是一种构建在公用通信基础设施上的专用数据通信网络,利用网络层安全协议(如IPSec)和建立在PKI上的加密与数字签名技术来获得机密性保护。
· 安全电子邮件:电子邮件的安全也要求机密、完整、认证和不可否认,而这些都可以利用PKI技术来实现。目前发展很快的安全电子邮件协议S/MIME(Secure/Multipurpose Internet Mail Extensions,安全/多用途Internet邮件扩充协议),是一个允许发送加密和有签名邮件的协议。该协议的实现需要依赖于PKI技术。
· Web安全:为了透明地解决Web的安全问题,在两个实体进行通信之前,先要建立SSL连接,以此实现对应用层透明的安全通信。利用PKI技术,SSL协议允许在浏览器和服务器之间进行加密通信。此外,服务器端和浏览器端通信时双方可以通过数字证书确认对方的身份。
关于PKI的详细介绍请参见《H3C WX3000E系列有线无线一体化交换机交换引擎 配置指导》的“安全配置指导”中的“PKI”。
PKI证书的申请方式有两种:
· 手动申请证书方式:需要手工完成获取CA证书、生成密钥对、申请本地证书的工作。
· 自动申请证书方式:在没有本地证书时实体自动通过SCEP协议进行申请,而且在证书即将过期时自动申请新的证书并获取至本地。
证书申请的方式可在PKI域中进行配置。根据证书申请方式的不同,PKI的配置步骤也不同。
手动申请证书方式下PKI配置的推荐步骤如下表所示。
表7-1 PKI配置步骤(手动申请证书方式)
步骤 |
配置任务 |
说明 |
1 |
必选 新建实体并配置实体的身份信息参数 一份证书是一个公开密钥与一个身份的绑定,而身份必须与一个特定的PKI实体相关联,CA根据实体提供的身份信息来唯一标识证书申请者 实体身份信息的配置必须与CA证书颁发策略相匹配,申请者的身份信息必须符合CA证书颁发策略,否则证书申请可能会失败 |
|
2 |
必选 (配置“证书申请方式”为“手动”) 实体在进行PKI证书申请操作之前需要配置一些注册信息来配合完成申请的过程,这些信息的集合就是一个实体的PKI域 PKI域是一个本地概念,因此创建PKI域的目的是便于其它应用引用PKI的配置,比如IKE、SSL等,一个设备上配置的PKI域对CA和其它设备是不可见的,每一个PKI域有单独的域参数配置信息 |
|
3 |
必选 配置生成本地RSA密钥对 缺省情况下,本地没有RSA密钥对 密钥对的产生是证书申请过程中重要的一步。申请过程使用了一对主机密钥:私钥和公钥。私钥由用户保留,公钥和其他信息则交由CA中心进行签名,从而产生证书 若本地证书已存在,为保证密钥对与现存证书的一致性,必须在删除本地证书后,再生成新的密钥对 |
|
4 |
获取CA证书 |
必选 获取证书的目的是: · 将CA签发的与实体所在安全域有关的证书存放到本地,以提高证书的查询效率,减少向PKI证书存储库查询的次数 · 为证书的验证做好准备 如果本地已有CA证书存在,则不允许再执行获取CA证书的操作,避免因相关配置的修改使得证书与注册信息不匹配。请先删除存储于本地的CA证书与本地证书后,再重新获取 |
5 |
必选 证书申请就是实体向CA自我介绍的过程,实体向CA提供身份信息和相应的公钥,这些信息将成为颁发给该实体证书的主要组成部分 申请本地证书有在线和离线两种方式: · 在线申请成功后,会自动将本地证书获取至本地 · 离线申请成功后,需要用户通过离线方式将本地证书获取至本地 如果本地已有本地证书存在,则不允许再执行申请本地证书的操作,避免因相关配置的修改使得证书与注册信息不匹配。请先删除存储于本地的CA证书与本地证书,再重新申请 |
|
6 |
可选 销毁设备上已存在的RSA密钥对和对应的本地证书 如果要获取的证书中含有RSA密钥对,则必须先将设备上已有的密钥对销毁,否则无法成功获取证书 |
|
7 |
可选 将已存在的证书获取至本地 |
|
8 |
可选 获取CRL至本地,获取后可以查看CRL的内容 |
自动申请证书方式下PKI配置的推荐步骤如下表所示。
表7-2 PKI配置步骤(自动申请证书方式)
步骤 |
配置任务 |
说明 |
1 |
必选 新建实体并配置实体的身份信息参数 一份证书是一个公开密钥与一个身份的绑定,而身份必须与一个特定的PKI实体相关联,CA根据实体提供的身份信息来唯一标识证书申请者 实体身份信息的配置必须与CA证书颁发策略相匹配,申请者的身份信息必须符合CA证书颁发策略,否则证书申请可能会失败 |
|
2 |
必选 (配置“证书申请方式”为“自动”) 实体在进行PKI证书申请操作之前需要配置一些注册信息来配合完成申请的过程,这些信息的集合就是一个实体的PKI域 PKI域是一个本地概念,因此创建PKI域的目的是便于其它应用引用PKI的配置,比如IKE、SSL等,一个设备上配置的PKI域对CA和其它设备是不可见的,每一个PKI域有单独的域参数配置信息 |
|
3 |
可选 销毁设备上已存在的RSA密钥对和对应的本地证书 如果要获取的证书中含有RSA密钥对,则必须先将设备上已有的密钥对销毁,否则无法成功获取证书 |
|
4 |
可选 将已存在的证书获取至本地 |
|
5 |
可选 获取CRL至本地,获取后可以查看CRL的内容 |
(1) 在导航栏中选择“认证 > PKI”,默认进入“PKI实体”页签的页面,如下图所示。
图7-1 PKI实体
(2) 单击<新建>按钮,进入新建PKI实体的配置页面,如下图所示。
(3) 进行新建PKI实体的配置,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表7-3 新建PKI实体的详细配置
配置项 |
说明 |
PKI实体名称 |
设置要新建的PKI实体的名称 |
通用名 |
设置实体的通用名,比如用户名称 |
实体IP地址 |
设置实体的IP地址 |
FQDN |
设置实体的FQDN(Fully Qualified Domain Name,合格域名) FQDN是实体在网络中的唯一标识,由一个主机名和域名组成,可被解析为IP地址。例如,www是一个主机名,whatever.com是一个域名,则www.whatever.com就是一个FQDN |
国家/地区 |
设置实体所属的国家或地区代码 |
州省 |
设置实体所属的州省 |
地理区域 |
设置实体所在地理区域的名称 |
组织 |
设置实体所属组织的名称 |
部门 |
设置实体所属部门的名称 |
(1) 在导航栏中选择“认证 > PKI”。
(2) 单击“PKI域”页签,进入PKI域的显示页面,如下图所示。
图7-3 PKI域
(3) 单击<新建>按钮,进入新建PKI域的配置页面,单击<显示高级>按钮,展开隐藏的高级配置项,如下图所示。
(4) 进行新建PKI域的配置,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
表7-4 新建PKI域的详细配置
配置项 |
说明 |
PKI域名称 |
设置要新建的PKI域的名称 |
CA标识符 |
设置设备信任的CA标识符 在申请证书时,是通过一个可信实体认证机构,来完成实体证书的注册颁发,因此必须指定一个信任的CA名称,将设备与该CA进行绑定,该设备证书的申请、获取、废除及查询均通过该CA执行 当采用离线方式申请证书时,此项可以不配置,否则必须配置 |
本端实体 |
设置本端PKI实体名称 向CA发送证书申请请求时,必须指定所使用的实体名,以向CA表明自己的身份 可选的PKI实体名称需通过新建PKI实体来配置 |
注册机构 |
设置证书申请的注册审理机构 · CA:表示由CA来完成注册机构的功能 · RA:表示有独立的RA作为注册审理机构 PKI推荐独立使用RA作为注册审理机构 |
证书申请URL |
设置注册服务器的URL 证书申请之前必须指定注册服务器的URL,随后实体可通过简单证书注册协议(SCEP,Simple Certification Enrollment Protocol)向该服务器提出证书申请,SCEP是专门用于与认证机构进行通信的协议 当采用离线方式申请证书时,此项可以不配置,否则必须配置 目前,注册服务器URL的配置不支持域名解析 |
LDAP服务器IP地址 |
设置LDAP服务器的IP地址、端口号和版本号 要获取本地证书,必须正确配置LDAP服务器 |
端口 |
|
版本 |
|
证书申请方式 |
设置在线证书申请的方式,有手动和自动两种方式 |
挑战码加密 |
设置是否对挑战码进行密文显示 “证书申请方式”选择“Auto”时可配置 |
挑战码 |
设置挑战码,即撤销证书时使用的密码 “证书申请方式”选择“Auto”时可配置 |
根证书指纹散列算法 |
设置验证CA根证书时所使用的指纹 当设备从CA获得根证书时,需要验证CA根证书的指纹,即根证书内容的散列值,该值对于每一个证书都是唯一的。如果CA根证书的指纹与在PKI域中配置的指纹不同,则设备将拒绝接收根证书 · 当根证书指纹散列算法选择“MD5”时,使用MD5指纹验证CA根证书,输入的根证书指纹必须为32个字符,并且以16进制的形式输入 · 当根证书指纹散列算法选择“SHA1”时,使用SHA1指纹验证CA根证书,输入的根证书指纹必须为40个字符,并且以16进制的形式输入 · 当根证书指纹散列算法选择空时,将不对根证书指纹进行验证,需要用户自行确认CA服务器是否可信 当证书申请方式选择“Auto”时,必须设置验证根证书时所使用的指纹;当证书申请方式选择“Manual”时,可以不设置验证根证书时所使用的指纹,则在获取CA证书时将不对根证书指纹进行验证,需要用户自行确认CA服务器是否可信 |
根证书指纹 |
|
证书查询次数 |
设置客户端发送证书申请状态查询的周期和每个周期内发送查询的次数 实体在发送证书申请后,如果CA采用手工验证申请,证书的发布会需要很长时间。在此期间,客户端需要定期发送状态查询,以便在证书签发后能及时获取到证书 |
证书查询间隔 |
|
启用CRL查询 |
设置在证书验证时是否进行CRL检查 |
CRL更新间隔 |
设置CRL更新间隔,即使用证书的PKI实体从CRL存储服务器下载CRL的时间间隔 选中“启用CRL查询”时可配置 缺省情况下,CRL的更新间隔由CRL文件中的下次更新域决定 |
获取CRL的URL |
设置CRL发布点的URL 选中“启用CRL查询”时可配置 需要注意的是,未配置CRL发布点的URL时,通过SCEP协议获取CRL,该操作在获取CA证书和本地证书之后进行 目前,CRL发布点URL的配置不支持域名解析 |
(1) 在导航栏中选择“认证 > PKI”,单击“证书”页签,进入PKI证书的显示页面,如下图所示。
(2) 单击页面上的<创建密钥>按钮,进入生成RSA密钥对的配置页面,如下图所示。
(3) 进行生成RSA密钥对的配置,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表7-5 生成RSA密钥对的详细配置
配置项 |
说明 |
密钥长度 |
设置RSA密钥的长度 |
(1) 在导航栏中选择“认证 > PKI”。
(2) 单击“证书”页签,进入PKI证书的显示页面,如图7-5所示。
(3) 单击页面上的<销毁密钥>按钮,进入销毁RSA密钥对的配置页面,如下图所示。
(4) 单击<确定>按钮将销毁设备上已存在的RSA密钥对和对应的本地证书。
用户通过此配置可以将已存在的CA证书或本地证书获取至本地。获取证书有两种方式:离线方式和在线方式。离线方式下获取证书需要通过带外方式(如FTP、磁盘、电子邮件等)取得证书,然后将其导入至本地。
(1) 在导航栏中选择“认证 > PKI”。
(2) 单击“证书”页签,进入PKI证书的显示页面,如图7-5所示。
(3) 单击页面上的<获取证书>按钮,进入获取PKI证书的配置页面,如下图所示。
(4) 进行获取PKI证书的配置,详细配置如下表所示。
表7-6 获取PKI证书的详细配置
配置项 |
说明 |
PKI域名称 |
设置证书所在的PKI域 |
证书类型 |
设置要获取的证书的为CA证书或Local证书 |
启用离线方式 |
设置是否启用离线方式(如FTP、磁盘、电子邮件等)取得证书,然后将其导入至本地 选中“启用离线方式”前的复选框后,可以显示下面的配置项 |
从设备取得文件 |
设置要导入的证书文件的存放路径和文件名 · 当证书文件保存在设备上时,选择“从设备取得文件”,并选择证书文件在设备上的存放路径和文件名 · 当证书文件保存在本地主机上时,选择“从PC取得文件”,并设置证书文件在PC上的存放路径和文件名,以及文件上传到设备后存放在哪个分区 |
从PC取得文件 |
|
口令 |
设置导入证书的口令,该口令在导出证书时指定,用于保护私钥的口令 |
(5) 获取证书后,可以在PKI证书的显示页面,单击指定证书对应的<查看证书>按钮,查看证书的详细信息,如下图所示,证书详细信息各字段的说明如下表所示。。
字段 |
说明 |
Version |
证书版本号 |
Serial Number |
证书序列号 |
Signature Algorithm |
签名算法 |
Issuer |
证书颁发者 |
Validity |
证书有效期 |
Subject |
证书申请实体 |
Subject Public Key Info |
申请实体公钥信息 |
X509v3 extensions |
X509版本3格式证书扩展属性 |
X509v3 CRL Distribution Points |
X509版本3格式CRL发布点 |
(1) 在导航栏中选择“认证 > PKI”,单击“证书”页签。
(2) 进入PKI证书的显示页面,如图7-5所示。
(3) 单击页面上的<申请证书>按钮,进入申请本地证书的配置页面,如下图所示。
(4) 进行申请本地证书的配置,详细配置如下表所示。
配置项 |
说明 |
PKI域名称 |
设置证书所在的PKI域 |
挑战码 |
设置挑战码,即撤销证书时使用的密码 |
启用离线方式 |
设置是否启用离线方式(如电话、磁盘、电子邮件等)申请本地证书 |
(5) 若选择使用离线方式申请本地证书,在完成上述配置后,单击<确定>按钮,页面会显示离线申请证书的信息,如下图所示。将这些信息通过离线方式提交给CA以申请本地证书。
(1) 在导航栏中选择“认证 > PKI”。
(2) 单击“CRL”页签,进入CRL的显示页面,如下图所示。
(3) 在列表中单击指定PKI域对应的操作列的<获取CRL>按钮,可将CRL获取到本地。
(4) 获取CRL后,在列表中单击指定PKI域对应的操作列的<查看CRL>按钮,可查看CRL的详细信息,如下图所示。CRL详细信息各字段的说明如下表所示。
图7-13 查看CRL的详细信息
表7-9 CRL详细信息的说明
字段 |
说明 |
Version |
CRL版本号 |
Signature Algorithm |
CRL采用的签名算法 |
Issuer |
颁发该CRL的CA |
Last Update |
上次更新时间 |
Next Update |
下次更新时间 |
CRL extensions |
CRL扩展属性 |
X509v3 Authority Key Identifier |
发布该无效证书的CA标识符,证书版本为X509v3 |
keyid |
公钥标识符 一个CA可能有多个密钥对,该字段用于标识该CRL的签名使用哪个密钥对 |
No Revoked Certificates. |
没有被撤销的证书 |
Revoked Certificates |
被撤销的证书的信息 |
Serial Number |
被撤销证书的序列号 |
Revocation Date |
撤销的日期 |
在作为PKI实体的设备Switch上进行相关配置,实现以下需求:
· Switch向CA服务器申请本地证书,CA服务器上采用RSA Keon软件。
· 获取CRL为证书验证做准备。
图7-14 PKI实体向CA申请证书组网图
配置CA服务器
(1) 创建CA服务器myca。
在本例中,CA服务器上首先需要进行基本属性Nickname和Subject DN的配置。其它属性选择默认值。其中,Nickname为可信任的CA名称,Subject DN为CA的DN属性,包括CN、OU、O和C。
(2) 配置扩展属性。
基本属性配置完毕之后,还需要在生成的CA服务器管理页面上对“Jurisdiction Configuration”进行配置,主要内容包括:根据需要选择合适的扩展选项;启动自动颁发证书功能;添加可以自动颁发证书的地址范围。
(3) 配置CRL发布
CA服务器的基本配置完成之后,需要进行CRL的相关配置。
本例中选择CRL的发布方式为HTTP,自动生成CRL发布点的URL为http://4.4.4.133:447/myca.crl。
以上配置完成之后,还需要保证设备的系统时钟与CA的时钟同步才可以正常使用设备来申请证书和获取CRL。
(1) 新建PKI实体。
步骤1:在导航栏中选择“认证 > PKI”,默认进入“PKI实体”页签的页面。
步骤2:单击<新建>按钮,进入新建PKI实体的配置页面。
步骤3:进行如下配置,如下图所示。
· 输入PKI实体名称为“aaa”。
· 输入通用名为“ac”。
步骤4:单击<确定>按钮完成操作。
图7-15 新建PKI实体
(2) 新建PKI域。
步骤1:单击“PKI域”页签。
步骤2:单击<新建>按钮,进入新建PKI域的配置页面。
步骤3:进行如下配置,如下图所示。
· 输入PKI域名称为“torsa”。
· 输入CA标识符为“myca”。
· 选择本端实体为“aaa”。
· 选择注册机构为“CA”。
· 以“http://host:port/Issuing Jurisdiction ID”(其中的Issuing Jurisdiction ID为CA服务器上生成的16进制字符串)的格式输入证书申请URL为“http://4.4.4.133:446/c95e970f632d27be5e8cbf80e971d9c4a9a93337”。
· 选择证书申请方式为“Manual”。
· 单击“高级设置”前的扩展按钮。
· 选中“启用CRl查询”前的复选框。
· 输入获取CRL的URL为“http://4.4.4.133:447/myca.crl”。
步骤4:单击<确定>按钮,页面弹出对话框提示“未指定根证书指纹,在获取CA证书时将不对根证书指纹进行验证,确认要继续吗?”。
步骤5:单击<确定>按钮,关闭弹出的对话框,完成操作。
图7-16 新建PKI域
(3) 生成RSA密钥对。
步骤1:单击“证书”页签,进入证书的配置页面。
步骤2:单击<创建密钥>按钮。
步骤3:输入密钥长度为“1024”,如下图所示。
步骤3:单击<确定>按钮开始生成RSA密钥对。
图7-17 生成RSA密钥对
(4) 获取CA证书至本地。
步骤1:生成密钥对成功后,在“证书”页签的页面单击<获取证书>按钮。
步骤2:进行如下配置,如下图所示。
· 选择PKI域为“torsa”。
· 选择证书类型为“CA”。
步骤3:单击<确定>按钮开始获取CA证书。
图7-18 获取CA证书至本地
(5) 申请本地证书。
步骤1:获取CA证书成功后,在“证书”页签的页面单击<申请证书>按钮。
步骤1:进行如下配置,如下图所示。
· 选择PKI域为“torsa”。
· 选中“挑战码”前的单选按钮,输入挑战码为“challenge-word”。
步骤3:单击<确定>按钮开始申请本地证书,弹出“证书申请已提交”的提示框。
步骤4:单击提示框中的<确定>按钮完成操作。
图7-19 申请证书设置
(6) 获取CRL至本地。
步骤1:单击“CRL”页签。
步骤2:单击PKI域“torsa”对应的<获取CRL>按钮开始获取CRL,如下图所示。
图7-20 获取CRL至本地
完成上述配置后,可以在“证书”页签的页面中查看获取的CA证书和本地证书的详细信息;可以在“CRL”页签的页面中查看获取的CRL文件的详细信息。
配置PKI时需要注意如下事项:
申请本地证书时,必须保证实体时钟与CA的时钟同步,否则申请证书的有效期会出现异常。
Windows 2000 CA服务器对证书申请的数据长度有一定的限制。PKI实体身份信息配置项超过一定数据长度时,申请证书没有回应。
当采用Windows Server作为CA时,需要安装SCEP插件。此时,配置PKI域时,需要指定注册机构为RA。
当采用RSA Keon软件作为CA时,不需要安装SCEP插件。此时,配置PKI 域时,需要指定注册机构为CA。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!