- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
手册下载
04-iMC EIA 802.1X认证+防代理典型配置举例-整本手册.pdf (1.18 MB)
iMC EIA 802.1X认证+防代理
典型配置举例
资料版本:5W112-20230608
产品版本:EIA 7.3 (E0623)
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
防IE代理和防服务器代理功能用于防止接入用户非法获取网络的访问权限。例如,某台电脑具有特殊的接入访问权限(例如访问互联网、使用通讯软件QQ、MSN等),而其它电脑则没有这种权限。但是其它电脑可以通过将这台电脑作为代理服务器来非法获取这种特殊的接入权限。通过iNode客户端、智能管理中心与接入设备可以实现防代理功能。
适用于需要限制接入用户使用IE代理或者代理服务器的网络场景。
终端用户必须使用iNode客户端连接网络。
某公司计划利用iMC EIA的防IE代理和防代理服务器功能,限制用户上网时使用代理的行为。
本案例以802.1X认证为例,介绍使用EIA防IE代理和防代理服务器的配置过程。
其中iMC和EIA为集中式部署,IP地址为:192.168.40.139,接入设备的IP地址为:192.168.30.111;终端用户主机中安装的是iNode客户端,使用的是IE浏览器,代理服务器软件为CCProxy。组网方式如图1所示。
注:本案例中使用的软件或硬件版本如下:
· EIA版本为iMC EIA 7.3 (E0623)
· 接入设备为H3C S5500-28C-SI Comware Software, Version 5.20, Release 2215
· iNode版本为iNode PC 7.2 (E0403)
配置iMC服务器时,需要配置以下功能:
· 接入设备
· 接入策略
· 接入服务
· 接入用户
· 代理服务器检测参数
增加接入设备是为了建立iMC服务器和接入设备之间的联动关系。
增加接入设备的方法如下:
(1) 选择“用户”页签。单击导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项,进入接入设备配置页面,如图2所示。
(2) 单击<增加>按钮,进入增加接入设备页面,如图3所示。
(3) 增加接入设备。
增加接入设备有两种方法:
· 在设备列表中单击<选择>按钮从iMC平台中选择设备
· 在设备列表中单击<手工增加>按钮,手工配置接入设备。
无论采用哪种方式接入设备的IP地址都必须满足以下要求:
· 如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致。
· 如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。
从iMC平台中选择设备时,设备的IP地址无法修改。因此如果设备加入iMC平台时使用的IP地址不满足上述要求,则可以采用手工增加的方式增加接入设备。
本例采用手工增加的方式进行说明。
单击设备列表中的<手工增加>按钮,弹出手工增加接入设备窗口,如图4所示。输入接入设备的IP地址,单击<确定>按钮,返回增加接入设备页面。
(4) 配置公共参数。
公共参数的配置要求如下:
· 认证端口:EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。
· 计费端口:EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。
目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。
· 业务类型:在下拉框中选择该设备承载的业务,支持LAN接入业务和设备管理业务。如果设备的业务类型为“不限”,那么设备可以兼容“LAN接入业务”和“设备管理业务”两种类型;如果选择了“设备管理业务”,那么只能应用这一种类型。
· 强制下线方式:当服务器强制终端用户下线时为用户选择的下线方式。
¡ 断开用户连接:NAS设备通过Disconnect消息断开用户连接。
¡ Down-Up端口:NAS设备通过先Down掉连接用户端口,然后再重新UP端口使用户下线。
· 接入设备类型:在下拉框中选择接入设备的厂商和类型。下拉框中包含了Standard、EIA系统预定义和管理员自定义的厂商和类型。支持标准RADIUS协议的设备都可以选择Standard。系统预定义的厂商和类型有以下几种,包括H3C(General)、3COM(General)、HUAWEI(General)、CISCO(General)、RG(General)、HP(MSM)、HP(Comware)、MICROSOFT(General)、JUNIPER(General)和HP(ProCurve)。
· 业务分组:在下拉框中选择接入设备所属的业务分组。可将接入设备加入不同的业务分组以便进行分权管理。
· 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果系统参数中的“密钥显示方式”设置为明文时,只需输入一次共享密钥即可。
· 接入设备分组:在下拉框中选择接入设备需要加入的接入设备分组。可选项包括EIA中已经存在的接入设备分组和“无”。接入设备分组是区分终端用户的接入条件之一。
· 下发User-Notify属性:通过User-Notify属性下发产品配置给终端,终端收到这些属性可以完成一些功能,比如发起安全检查。H3C的设备一般模式是下发;早期的设备标注是华为和3com的,配置为下发;其他设备比如思科,锐捷,配置为不下发;还有一些华为的新设备,设备自身重用了User-Notify属性不下发。
在本配置案例中,只需输入接入设备与EIA认证时使用的共享密钥,其他参数采用缺省值,如图5所示。
(5) 单击<确定>按钮,增加接入设备完成。在列表中查看新增的接入设备,如图6所示。
本案例中防IE代理和防代理服务器需要在接入策略中配置。
增加接入策略的方法如下:
(1) 选择“用户”页签。单击导航树中的“接入策略管理 > 接入策略管理”菜单项,如图7所示。
(2) 单击<增加>按钮,进入增加接入策略页面。
· 在基本信息区域,输入接入策略的名称。
· 在用户客户端配置区域:
¡ 勾选“仅限iNode客户端”。
¡ 勾选“禁止开设代理服务器”和“禁止IE设置代理”。
¡ 其他参数保持缺省值即可。
配置完成的界面效果如图8所示。
(3) 单击<确定>按钮,接入策略增加完成。页面返回接入策略列表,在列表中查看新增的接入策略,如图9所示。
接入服务是对用户进行认证授权的各种策略的集合。本配置案例不对用户进行任何接入控制,因此增加一个简单的接入服务即可。
增加接入服务的方法如下:
(1) 选择“用户”页签。单击导航树中的“接入策略管理 > 接入服务管理”菜单项,如图10所示。
(2) 单击<增加>按钮,进入增加接入服务页面。
配置服务的各个参数:
· 服务名:输入服务名称,在EIA中必须唯一。
· 服务后缀:服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见表1。
· 缺省接入策略:选择之前新增的接入策略。
其他参数保持缺省值,如图11所示。
表1 iMC中服务后缀的选择
|
认证连接用户名 |
设备用于认证的Domain |
设备Radius scheme中的命令 |
iMC中服务的后缀 |
|
X@Y |
Y |
user-name-format with-domain |
Y |
|
user-name-format without-domain |
无后缀 |
||
|
X |
[Default Domain] 设备上指定的缺省域 |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
(3) 单击<确定>按钮,接入服务增加完成。返回接入服务管理页面,可在接入服务列表中查看新增的接入服务,如图12所示。
接入用户是用户接入网络时使用的身份证,包含帐号名、密码和使用的服务等信息。
增加接入用户的方法如下:
(1) 选择“用户”页签。单击导航树中的“接入用户管理 > 接入用户”菜单项,进入接入用户页面,如图13所示。
(2) 单击<增加>按钮,进入增加接入用户页面,如图14所示。
配置接入信息和接入服务:
· 用户姓名:单击<选择>按钮,选择接入用户所关联的一个iMC平台用户,自动关联出证件号码。
· 帐号名:输入用于认证的帐号名,在EIA中必须唯一。
· 密码/确认密码:输入两次相同的密码。
· 接入服务:选择之前新增的接入服务。
· 其他参数:保持缺省值。
配置完成的界面如图15所示。
(3) 单击<确定>按钮,接入用户增加完成。页面返回接入用户列表,在列表中查看新增的接入用户,如图16所示。
通常情况下,一台主机开设代理服务后,会给其他主机转发大量报文。EIA定义了检测代理服务器的参数,并将这些参数下发给iNode客户端,并由iNode客户端来判断主机是否开启了代理服务器。
在本案例中,有其他用户通过代理服务器发送非本地网段的内网报文,因此需要配置待检测的内网IP段。
配置代理服务器检测参数的方法如下:
(1) 选择“用户”页签。单击导航树中的“接入策略管理 > 业务参数配置 > 系统配置”菜单项,进入系统配置页面,如图17所示。
(2) 在系统配置列表里,单击“代理服务器检测参数”右侧的
链接,进入代理服务器检测参数页面,如图18所示。
代理服务器检测参数具体包括:报文转发率、不进行检测的外网IP段、待检测的内网IP段。参数说明如下:
¡ 缺省情况下,不配置任何IP网段,iNode客户端统计认证网卡上所有来自外网的报文,以及经过此网卡发往本机网段的报文。例如,iNode客户端所在主机的IP地址为192.168.1.1/24,所有来自外网的报文以及发送到192.168.1.0/24网段的报文都会被iNode客户端统计。
¡ 如果配置了不进行检查的外网IP段,则来自于这些网段的报文不被统计。
¡ 如果配置了待检测的内网IP段,则发往这些网段的报文也一并统计。
(3) 单击“待检测的内网IP段”中的<增加>按钮,进入增加IP段页面,输入IP地址并选择掩码长度,如图19所示。
图19 增加IP段页面
(4) 单击<确定>按钮,待检测的内网IP段增加完成。返回代理服务器检测参数页面,可在列表中查看新增的内网IP段,如图20所示。
接入设备用于控制用户的接入。通过认证的用户可以接入网络,未通过认证的用户无法接入网络。
本案例使用Windows的CLI窗口Telnet到接入设备并进行配置,具体的命令及其说明如下:
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C]radius scheme 238
New Radius scheme
[H3C-radius-238]primary authentication 192.168.40.139 1812
[H3C-radius-238]primary accounting 192.168.40.139 1813
//认证、计费服务器都指向EIA,认证、计费端口与EIA中增加接入设备时的配置保持一致。
[H3C-radius-238]key authentication expert
[H3C-radius-238]key accounting expert
//认证、计费共享密钥与EIA中增加接入设备时的配置保持一致。
[H3C-radius-test1]server-type extended
//配置服务器类型,extended表示支持H3C扩展属性。
[H3C-radius-238]user-name-format with-domain
//本地采用携带Domain的认证方式。EIA、设备中配置的搭配关系请参见3. (2)表1。
[H3C-radius-238]quit
[H3C]domain 238
New Domain added.
//根据3. (2)表1中的搭配,domain的名称必须与EIA中服务的后缀保持一致。
[H3C-isp-238]authentication lan-access radius-scheme 238
[H3C-isp-238]authorization lan-access radius-scheme 238
[H3C-isp-238]accounting lan-access radius-scheme 238
//认证、授权、计费都采用之前配置的Radius scheme 238。
[H3C-isp-238]quit
[H3C]dot1x
802.1X is enabled globally.
[H3C]dot1x interface Ethernet 1/0/1
802.1X is enabled on port Ethernet1/0/1.
//只有在全局和接口上都启用802.1X认证,802.1X认证才生效。
本案例使用iNode客户端中的802.1X认证连接进行验证。
注意,iNode客户端版本必须与iMC EIA配套,具体的配套关系请参见EIA版本说明书。
iNode客户端认证上线后,会自动检测用户是否设置了IE代理,并一直监控用户的行为。一旦检测到用户设置了IE代理,即使没有使用,用户也会被强制下线。
(1) 开启IE代理功能。
(2) 打开iNode客户端,在802.1X连接区域输入用户名和密码后,单击<连接>按钮,开始认证,如图21所示。
图21 802.1X连接区域
认证成功的页面如图22所示。
(3) iNode客户端检测到用户设置了IE代理,用户被强制下线,如图23所示。
图23 禁用IE设置代理检测不通过
iNode客户端认证上线后,会自动检测用户是否对外提供代理服务,并一直监控用户的行为。一旦检测到用户对外提供代理服务,就会强制用户下线。
注意,如果启用代理服务器,但不对外提供代理服务,则EIA不会强制该用户下线。
(1) 使用iNode的802.1X连接发起认证,并成功上线。
(2) 开启代理服务器,并对外提供代理服务。
在认证信息栏中可以看到,iNode客户端检测到用户对外提供代理服务,用户被强制下线。如图24所示。
RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。RADIUS协议合并了认证和授权的过程,它定义了RADIUS的报文格式及其消息传输机制,并规定使用UDP作为封装RADIUS报文的传输层协议,UDP端口1812、1813分别作为认证/授权、计费端口。
RADIUS最初仅是针对拨号用户的AAA协议,后来随着用户接入方式的多样化发展,RADIUS也适应多种用户接入方式,如以太网接入、ADSL接入。它通过认证授权来提供接入服务,通过计费来收集、记录用户对网络资源的使用。
802.1X协议:是一种基于端口的网络接入控制协议(Port based networkaccess control protocol)。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级验证用户身份并控制其访问权限。802.1X系统为典型的Client/Server结构,包括三个实体:客户端、接入设备和认证服务器。
支持
售前咨询
售后咨询
人工在线咨询
