- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
01-EPS 联动EIA实现准入控制典型配置举例-整本手册.pdf (1.97 MB)
EPS联动EIA实现准入控制
典型配置举例
资料版本:5W101-20230509
产品版本:EIA (E6204)、EPS (E6203)
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍EPS联动EIA实现对探测到的端点进行准入控制。当存在非法接入时,EPS联动EIA组件将该端点加入黑名单,强制将非法设备下线。将非法设备替换成合法设备后,管理员审批为合法,合法设备上线。
适用于需要EPS联动EIA实现对探测到的端点进行准入控制的企业网。
· 部署了EIA及EPS组件。
· 至少准备两款不同类型终端,支持MAC地址仿冒。
· 安装了扫描器,并将扫描器纳管至EPS中。
公司计划启用EPS联动EIA实现对探测到的端点进行准入控制,具体的组网如图2所示。
· EIA/EPS服务器IP地址为172.19.202.24。查看方式如下:
· 在集群部署环境中,会涉及EIA/EPS服务器IP地址使用北向业务虚IP还是所在实际节点IP的问题,该地址请务必填写为北向业务虚IP。
· 下述步骤为查看EIA/EPS服务器IP地址的通用步骤,涉及到的IP地址与本文档无关,以查看EIA/EPS服务器IP地址“10.114.117.164”为例进行介绍。
a. 打开浏览器输入https://ip_address:8443/matrix/ui,打开matrix页面。其中,ip_address为北向业务虚IP或节点IP。
b. 选择“部署”页签,单击“集群”菜单项,切换至“集群参数”页签,进入集群参数页面。
c. 该页面中的北向业务虚IP即为EIA/EPS服务器的IP地址,如图1所示。
图1 查看EIA服务器IP地址
注:本案例中各部分使用的版本如下:
· EIA版本:EIA (E6204)
· EPS版本:EPS (E6203)
· 接入设备:H3C S5500
(1) 配置Radius策略“eps1”。认证、计费服务器均指向EIA,密钥需要与3.2.2 1. 增加接入设备中的配置保持一致。“user-name-format without-domain”命令表示不携带服务后缀。
[H3C]radius scheme eps1
[H3C-radius-test]primary authentication 172.19.202.24
[H3C-radius-test]primary accounting 172.19.202.24
[H3C-radius-test]key authentication simple expert
[H3C-radius-test]key accounting simple expert
[H3C-radius-test]user-name-format without-domain
(2) 在ISP中引用Radius策略。“lan-access”表示802.1x/MAC认证方式。
[H3C]domain test
[H3C-isp-test]authentication lan-access radius-scheme eps1
[H3C-isp-test]authorization lan-access radius-scheme eps1
[H3C-isp-test]accounting lan-access radius-scheme eps1
(3) 开启MAC认证。
#系统视图-开启全局MAC认证。
[H3C]mac-authentication
#指定MAC认证使用的ISP域名。
[H3C]mac-authentication domain test
#设置MAC认证失败后重试间隔。
[H3C]mac-authentication timer quiet 1
(4) 进入接口开启MAC认证。
[H3C]interface g1/0/19
[H3C-GigabitEthernet1/0/19]mac-authentication
增加接入设备是为了建立EIA服务器和接入设备之间的联动关系。增加接入设备的方法如下:
(1) 选择“自动化”页签,单击导航树中的“用户业务 > 接入服务”菜单项,进入接入服务页面。切换至“接入设备 > 接入设备配置”页签,进入接入设备配置页面,如图3所示。
(2) 单击<增加>按钮,进入增加接入设备页面,如图4所示。
(3) 单击“设备列表”区域中的<增加IPv4设备>按钮,弹出增加接入设备窗口,如图5所示。输入接入设备的IP地址,单击<确定>按钮,返回增加接入设备页面。其中,接入设备的IP地址必须满意以下要求:
¡ 如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致。
¡ 如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。
图5 手工增加接入设备
(4) 配置公共参数。公共参数的配置要求如下:
¡ 认证端口:EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。
¡ 计费端口:EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。
目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。
¡ 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果在[自动化>用户业务>业务参数>接入参数>系统配置>系统参数配置]中的“密钥显示方式”设置为明文时,只需输入一次共享密钥即可。
¡ 其他参数保持默认。
本例以共享密钥\确认共享密钥“export”为例进行介绍,其他保持默认即可,如图6所示。
(5) 单击<确定>按钮,增加接入设备完毕,可在接入设备列表中查看新增的接入设备,如图7所示。
配置一个不进行任何接入控制的接入策略。增加接入策略的方法如下:
(1) 选择“自动化”页签,单击导航树中的“用户业务 > 接入服务”菜单项,进入接入服务页面。切换至“接入策略 > 接入策略”页签,进入接入策略页面,如图8所示。
(2) 单击<增加>按钮,进入增加接入策略页面,如图9所示。由于不需要任何接入控制,所以只需输入接入策略名,其他参数保持默认即可。
授权下发需要设备支持对应属性,认证绑定需要设备在RADIUS属性中上传对应信息。本例不对设备进行任何下发,因此保持默认。
(3) 单击<确定>按钮,接入策略增加完毕。返回接入策略管理页面,可在接入策略列表中查看新增的接入策略,如图10所示。
接入服务是对用户进行认证授权的各种策略的集合。本例不对用户进行任何接入控制,因此只需增加一个简单的接入服务即可。增加接入服务的方法如下:
(1) 选择“自动化”页签,单击导航树中的“用户业务 > 接入服务”菜单项,进入接入服务页面,如图11所示。
(2) 单击<增加>按钮,进入增加接入服务页面,配置服务名、服务后缀、缺省接入策略,其他参数保持默认,如图12所示。
配置服务的各个参数:
¡ 服务名:输入服务名称,在EIA中必须唯一。
¡ 服务后缀:服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见表1。
¡ 缺省接入策略:选择之前新增的接入策略。
¡ 安全组:选择的安全组。
¡ 安全子组:选择的安全子组。
¡ 缺省私有属性下发策略:不受接入位置分组限制的用户上网时,EIA会根据本参数指定的策略将私有属性下发到此用户连接的接入设备上。
¡ 缺省单帐号最大绑定终端数:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号最大绑定终端数的控制。该参数只有在部署了EIP组件后才会显示。
- 匹配的接入场景:EIA检查该场景中用户已经绑定的终端数量是否已达到数量限制,如果已达到数量限制,则拒绝用户认证;
- 所有服务中包含的场景:检查用户申请的所有服务中(包括服务中的所有场景)已绑定的终端数量,如果用户绑定的所有终端数量已达到终端管理参数中定义的“单帐号最大绑定终端数”数量限制,则EIA拒绝用户认证,否则允许用户继续认证。
¡ 缺省单帐号在线数量限制:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号在线数量限制的控制。
¡ 单日累计在线最长时间(分钟):每天允许帐号使用该服务接入网络的总时长,达到该时长后,帐号将被强制下线,且当日不能再次接入。该参数单位是分钟,只支持输入整数,最小值是0,表示不限制每天在线时长,最大值是1440。
¡ 服务描述:针对该服务的简单描述,以方便操作员的日常维护。
表1 EIA中服务后缀的选择
|
认证连接用户名 |
设备用于认证的Domain |
设备Radius scheme中的命令 |
iMC中服务的后缀 |
|
X@Y |
Y |
user-name-format with-domain |
Y |
|
user-name-format without-domain |
无后缀 |
||
|
X |
[Default Domain] 设备上指定的缺省域 |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
(3) 单击<确定>按钮,完成增加接入服务。返回接入服务管理页面,可在接入服务列表中查看新增的接入服务,如图13所示。
(1) 选择“自动化”页签,单击左侧导航栏的“用户业务 > 接入用户”页签,切换至“哑终端用户配置”页签,进入哑终端配置页面,如图14所示。
(2) 单击<增加>按钮,在弹出的菜单项中选择“基于MAC段”项,进入基于MAC段增加哑终端用户页面,如图15所示。
(3) 在MAC地址段区域按需增加或批量导入设备,选择之前配置的接入服务,单击<确定>按钮,保存配置,如图16所示。
(4) 单击<立即生效>按钮,使配置生效。
将终端用户上线,并查看上线信息。
选择“监控”页签,单击左侧导航树中的“监控列表 > 在线用户”菜单项,切换至“本地在线用户”页签,进入本地在线用户页面,查看本地在线的用户及终端信息,如图17所示。
启用EPS联动EIA实现对探测到的端点进行准入控制,需对EPS中的系统参数进行配置。
选择“自动化”页签,单击左侧导航栏中的“终端业务 > 鹰视管理 > 业务参数”,进入系统参数页面。
将关联服务器参数配置区域的“联动EIA组件”项选择为“启用”,如图18所示。
将加入黑名单参数配置区域的“加入黑名单方式”项选择为“EIA联动”、“业务场景”项选择为“安全优先”,并将“非法端点自动加入黑名单”项选择为“启用”,如图19所示。
参数说明:
¡ 加入黑名单方式:选择加入黑名单方式。
- 扫描器联动:EPS下发端点接入交换机端口信息给扫描器,由扫描器对其接入端口进行阻断操作。
- EIA联动:联动EIA组件对端点上的用户进行下线操作,并加入EIA黑名单。该功能需要启用“关联服务器”和“联动EIA组件”功能。
- 安全网关联动:联动安全网关将端点从网关认证白名单中移除。
¡ 业务场景:加入黑名单操作的工作场景,可选项有“业务优先”和“安全优先”,默认为“业务优先”。
- 业务优先:仅支持手工加入黑名单操作。
- 安全优先:允许设置是否将端点自动加入黑名单。
¡ 非法端点自动加入黑名单:启用后,系统将扫描到的非法端点上的在线用户立即强制下线,并加入黑名单。
(1) 扫描器手动扫描,扫描到设备信息后,管理员可以手动将该端点审批非法端点,如图20所示。
(2) 系统参数中设置了“EIA联动”及“非法端点自动加入黑名单”项,因此手动审批为非法的端点将自动加入到EIA组件的黑名单用户中,如图21所示,EPS联动EIA组件将端点强制下线。
(3) 端点下线后,端点状态在下一次通断检测后由在线状态变为离线状态,且端点无法Ping通,如图22所示。
开启扫描器扫描端点,扫描器扫描到设备信息后,管理员可以手动将该端点审批为合法端点,形成该端点的基线信息,端点详情中可以查看端点的基线信息,如图23所示。
扫描器定时自动扫描,扫描到端点类型等信息发生变化时,端点自动变为非法端点并加入黑名单,EPS联动EIA将端点下线。端点下线后,端点状态在下一次通断检测后由在线状态变为离线状态,端点无法ping通,如图24所示。
将非法端点替换为合法设备后,管理员可以手动审批端点为合法端点,EPS联动EIA组件使端点重新上线,端点状态在下一次通断检测后由离线状态变为在线状态。
支持
