H3C EIA 802.1X认证+PC绑定

典型配置举例

资料版本：5W117-20240515

产品版本：EIA (E6604)

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

除新华三技术有限公司的商标外，本手册中出现的其它公司的商标、产品标识及商品名称，由各自权利人拥有。

本文档中的信息可能变动，恕不另行通知。

1 介绍

PC绑定主要指将接入帐号与终端计算机名、IP地址、域用户等身份信息绑定。该功能用于增强用户认证的安全性，防止接入帐号盗用和非法接入。

2 特性使用指南

3 配置举例

3.1 组网需求

本案例以802.1X认证为例，介绍接入帐号绑定终端IP地址和MAC地址的配置过程，具体组网图如图2所示。

· EIA服务器IP地址为192.168.7.196。查看方式如下：

· 在集群部署环境中，会涉及EIA服务器IP地址使用北向业务虚IP还是所在实际节点IP的问题，该地址请务必填写为北向业务虚IP。

· 下述步骤为查看EIA服务器IP地址的通用步骤，涉及到的IP地址与本文档无关，以查看EIA服务器IP地址“10.114.117.164”为例进行介绍。

a. 打开浏览器输入https://ip_address:8443/matrix/ui，打开matrix页面。其中，ip_address为北向业务虚IP或节点IP。

b. 选择“部署”页签，单击“集群”菜单项，切换至“集群参数”页签，进入集群参数页面。

c. 该页面中的北向业务虚IP即为EIA服务器的IP地址，如图1所示。

图1 查看EIA服务器IP地址

· 接入设备IP地址为192.168.71.11。

· PC使用的是Windows操作系统，并安装了iNode客户端。

图2 PC绑定认证组网图

注：本案例中各部分使用的版本如下：

· EIA版本为EIA (E6604)

· 接入设备为H3C S5560-54C-PWR-EI Comware Software,Version 7.1.045,Release 1122P01

· iNode版本为iNode PC 7.3 (E0585)

3.2 配置步骤

3.2.1 配置EIA服务器

配置EIA服务器时，需要配置以下功能：

1. 接入设备

增加接入设备是为了建立EIA服务器和接入设备之间的联动关系。

增加接入设备的方法如下：

(1) 选择“自动化”页签。单击导航树中的[用户业务 > 接入服务 > 接入设备]菜单项，进入接入设备配置页面，如图3所示。

图3 接入设备配置页面

(2) 单击<增加>按钮，进入增加接入设备页面，如图4所示。

图4 增加接入设备页面

(3) 配置接入设备。

无论采用哪种方式接入设备的IP地址都必须满足以下要求：

· 如果在接入设备上配置radius scheme时配置了nas ip命令，则EIA中接入设备的IP地址必须与nas ip的配置保持一致。

· 如果未配置nas ip命令，则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址（或接口所在VLAN的虚接口IP地址）。

配置接入设备方法：

单击设备列表中的<增加IPv4设备>按钮，弹出增加接入设备窗口，如图5所示，填写接入设备信息。单击<确定>按钮，返回增加接入设备页面。

图5 增加接入设备

(4) 配置公共参数。

公共参数的配置要求如下：

· 认证端口：EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。

· 计费端口：EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。

目前仅支持将EIA同时作为认证和计费服务器，即不支持将EIA作为认证服务器，而其他服务器作为计费服务器的场景。

· 业务类型：在下拉框中选择该设备承载的业务，包括不限和设备管理业务。前者用于用户接入和使用网络，后者用于设备管理员登录和管理设备。

· 接入设备类型：在下拉框中选择接入设备的厂商和类型。下拉框中包含了Standard、EIA系统预定义和管理员自定义的厂商和类型。支持标准RADIUS协议的设备都可以选择Standard。系统预定义的厂商和类型有以下几种，包括H3C(General)、3COM(General)、HUAWEI(General)、CISCO(General)、RG(General)、HP(MSM)、HP(Comware)、MICROSOFT(General)、JUNIPER(General)、HP(ProCurve)和ARUBA(General)。

· 共享密钥/确认共享密钥：输入两次相同的共享密钥。接入设备与EIA配合进行认证时，使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果在[自动化>用户业务>业务参数>接入参数>系统配置>系统参数配置]中的“密钥显示方式”设置为明文时，只需输入一次共享密钥即可。

· 接入位置分组：在下拉框中选择接入设备需要加入的接入位置分组。可选项包括EIA中已经存在的接入位置分组和“无”。接入位置分组是区分终端用户的接入条件之一。

· 业务分组：用于分权管理，使特定的人只能管理特性的业务，既职责分明，也不会互相越权。此处配置该接入设备所属的业务分组，用于分权管理不同的接入设备。只有拥有该业务分组权限的管理员/维护员才能配置接入设备。

· 下发User-Notify属性：通过User-Notify属性下发产品配置给终端，终端收到这些属性可以完成一些功能，比如发起安全检查。H3C的设备一般模式是下发；早期的设备标注是华为和3com的，配置为下发；其他设备比如思科，锐捷等，配置为不下发，还有一些华为的新设备，设备自身重用了User-Notify属性不下发。

本案例只需要配置共享密钥，其他参数采用系统默认值。增加接入设备的配置结果如图6所示。

图6 增加接入设备配置信息

(5) 单击<确定>按钮，增加接入设备完毕，进入结果显示页面。点击“返回接入设备列表”链接，返回接入设备配置页面，可在接入设备列表中查看新增的接入设备，如图7所示。

图7 查看新增的接入设备

2. 接入策略

在接入策略中配置用户的PC认证绑定信息。

PC绑定包括绑定用户IP地址、绑定用户MAC地址、绑定计算机名等，本案例以绑定用户IP地址和绑定用户MAC地址为例说明PC绑定的配置过程。

增加接入策略的方法如下：

(1) 选择“自动化”页签，单击导航树中的[用户业务 > 接入服务 > 接入策略]菜单项，进入接入策略管理页面，如图8所示。

图8 进入接入策略列表

(2) 单击<增加>按钮，进入增加接入策略页面。

a. 在基本信息区域，输入接入策略的名称并选择该策略所属的业务分组。

b. 在认证绑定信息区域，勾选“绑定用户IP地址”项和“绑定用户MAC地址”项。

c. 其它参数使用系统默认值。

配置结果如图9所示。

图9 增加接入策略页面

(3) 单击<确定>按钮，接入策略增加完毕。返回接入策略管理页面，可在接入策略列表中查看新增的接入策略。

3. 接入服务

接入服务是对用户进行认证授权的各种策略的集合。由于本案例对用户只进行PC绑定接入控制，因此只需要增加一条简单的接入服务即可。

增加接入服务的方法如下：

(1) 选择“自动化”页签，单击导航树中的[用户业务 > 接入服务]菜单项，进入接入服务管理页面，如图10所示。

图10 接入服务列表

(2) 单击<增加>按钮，进入增加接入服务页面，如图11所示。

图11 增加接入服务

(3) 配置服务的基本参数。

· 服务名：输入服务名称，在EIA中必须唯一。

· 服务后缀：服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关，具体的搭配关系请参见表1。

· 缺省接入策略：选择之前新增的接入策略。

· 其他参数：保持缺省值。

表1 EIA中服务后缀的选择

认证连接用户名	设备用于认证的Domain	设备Radius scheme中的命令	EIA中服务的后缀
X@Y	Y	user-name-format with-domain	Y
X@Y	Y	user-name-format without-domain	无后缀
X	[Default Domain] 设备上指定的缺省域	user-name-format with-domain	[Default Domain]
X	[Default Domain] 设备上指定的缺省域	user-name-format without-domain	无后缀