iMC EIA 802.1X+接入时间策略

典型配置

资料版本：5W109-20230706

产品版本：iMC EIA 7.3 (E0623)

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

除新华三技术有限公司的商标外，本手册中出现的其它公司的商标、产品标识及商品名称，由各自权利人拥有。

本文档中的信息可能变动，恕不另行通知。

3.2.3 使用iNode PC客户端完成802.1X接入验证·· 16

1 介绍

接入时段策略使接入用户可以在不同的接入时间使用不同的接入策略。本案例实现接入用户只能在特定时段通过802.1X认证接入网络的场景。

2 特性使用指南

2.1 使用场合

适用于需要控制认证上网时段的场合。

2.2 配置前提

接入设备需支持802.1X协议。

3 配置举例

3.1 组网需求

某公司计划启用802.1X认证，用户在工作日工作时间（09:00~18:00）接入网络时需要进行802.1X认证，其他时间不允许接入网络。具体的组网如图1所示。EIA服务器IP地址为192.168.40.237，接入设备IP地址为192.168.30.100。PC安装了Windows操作系统、iNode客户端。本案例中各部分使用的版本如下：

· EIA版本为iMC EIA 7.3 (E0623)

· 接入设备为H3C S3600V2-28TP-EI Comware Software,Version 5.20,Release 2103

· iNode版本为iNode PC 7.3 (E0601)

图1 组网图

3.2 配置步骤

3.2.1 配置EIA服务器

配置EIA服务器时，需要完成以下操作：

· 增加接入设备

· 配置接入策略

· 增加接入条件-接入时段策略

· 增加接入服务

· 增加接入用户

1. 增加接入设备

(1) 选择“用户”页签，单击导航树中的[接入策略管理>接入设备管理>接入设备配置]菜单项，进入接入设备配置页面，如图2所示。

图2 接入设备配置

(2) 单击<增加>按钮，进入增加接入设备页面，如图3所示。

图3 增加接入设备

(3) 配置接入设备。配置接入设备有两种方法：

¡ 在设备列表中单击<选择>按钮从iMC平台中选择设备。

¡ 在设备列表中单击<手工增加>按钮，手工配置接入设备。

无论采用哪种方式，接入设备的IP地址都必须满足以下要求：

¡ 如果在接入设备上配置radius scheme时配置了nas ip命令，则EIA中接入设备的IP地址必须与nas ip的配置保持一致。

¡ 如果未配置nas ip命令，则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址（或接口所在VLAN的虚接口IP地址）。

从iMC平台中选择设备时，设备的IP地址无法修改。因此如果设备加入iMC平台时使用的IP地址不满足上述要求，则可以采用手工增加的方式增加接入设备。本例采用手工增加的方式进行说明。

单击设备列表中的<手工增加>按钮，弹出手工增加接入设备窗口，输入接入设备的IP地址，如图4所示。

图4 手工输入接入设备的IP地址

(4) 单击<确定>按钮，返回增加接入设备页面。

(5) 配置公共参数。公共参数的配置如表1所示，配置完成效果如图5所示。

表1 公共参数

参数	说明
认证端口	EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。
计费端口	EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。
业务类型	在下拉框中选择该设备承载的业务，包括LAN接入业务和设备管理业务。前者用于用户接入和使用网络，后者用于设备管理员登录和管理设备。支持的具体业务类型请以实际版本为准，本例选择“不限”。
接入设备类型	在下拉框中选择接入设备的厂商和类型。下拉框中包含了Standard、EIA系统预定义和管理员自定义的厂商和类型。支持标准RADIUS协议的设备都可以选择Standard。系统预定义的厂商和类型有以下几种，包括H3C(General)、3COM(General)、HUAWEI(General)、CISCO(General)、RG(General)、HP(MSM)、HP(Comware)、MICROSOFT(General)、JUNIPER(General)和HP(ProCurve)。
业务分组	在下拉框中选择接入设备所属的业务分组。将接入设备加入不同的业务分组以便进行分权管理。
共享密钥/确认共享密钥	输入两次相同的共享密钥。接入设备与EIA配合进行认证时，使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果系统参数中的“密钥显示方式”设置为明文时，只需输入一次共享密钥即可。
接入位置分组	为接入设备指定接入位置分组。一个接入设备只能属于一个接入位置分组。

图5 公共参数配置

目前仅支持将EIA同时作为认证和计费服务器，即不支持将EIA作为认证服务器，而其他服务器作为计费服务器的场景。

(6) 单击<确定>按钮，增加接入设备完毕，进入结果显示页面，如图6所示。

图6 结果显示页面

(7) 单击“返回接入设备列表”链接，返回接入设备配置页面，可在接入设备列表中查看新增的接入设备，如图7所示。

图7 查看新增的接入设备

2. 接入策略

(1) 选择“用户”页签，单击导航树中的[接入策略管理>接入策略管理]菜单项，进入接入策略管理页面，如图8所示。

图8 接入策略管理

(2) 单击<增加>按钮，进入增加接入策略页面，配置参数说明如表2所示。本例因为不需要任何接入控制，所以输入接入策略名“access permit”后，其他参数保持默认即可，配置完成效果如图9所示。

增加接入策略时涉及配置参数较多，请按实际需求进行配置。如仅需体验或验证相关功能，可参考本例配置。

表2 接入策略参数说明

参数	参数说明
接入策略名	接入策略在接入业务中的唯一标识。
业务分组	用于分权管理，使特定的人只能管理特定的业务，既职责分明，也不会互相越权。配置该接入策略所属的业务分组，用于接入策略的分权管理。只有拥有该业务分组权限的管理员/维护员才能配置接入策略。
描述	针对该接入策略的描述，方便操作员的日常维护。
接入时段	选择了某一接入时段策略后，使用此规则的用户只能在接入时段策略中定制的时间段内允许接入。
分配IP地址	是否下发用户IP地址。当选择“是”时，则为用户选择使用此接入策略的服务时须填写要下发的IP地址，用户在使用此接入策略上线时，RADIUS服务器会把填写的IP地址下发给客户端，客户端会将此IP应用到所在终端并进行重认证。此外接入策略“用户客户端配置”区域的“IP地址获取方式”不要选择“必须动态获取”；如果接入策略勾选了“绑定用户IP地址”，需把下发给用户的IP地址加入该用户的绑定的IP地址中或保证可以通过自学习的方式绑定此IP地址，已使得用户可通过IP地址检查。
上行、下行速率	根据设定的上下行速率来限制用户使用该规则上网时的上传、下载速率。
优先级	其值高低确定了在网络拥塞时转发报文的优先顺序，此参数应从设备支持的优先级中选取，数值越小优先级越高。配置错误可能导致用户无法上线。
首选EAP类型/子类型	进行EAP认证时，RADIUS服务器优先下发给客户端的EAP类型。包括：EAP-MD5、EAP-TLS、EAP-TTLS和EAP-PEAP。当首选EAP类型为EAP-TTLS和EAP-PEAP时，还需要首选EAP-MSCHAPv2，EAP-MD5和EAP-GTC其中的一种子类型。 · EAP-MD5：一种EAP认证方式，使用CHAP方式进行认证。 · EAP-TLS：是一种基于证书的身份认证，它需要PKI的部署来管理证书。它推荐进行服务器和客户端之间双向认证，认证双方是用证书来标识自己的身份。在认证通过之后，TLS的认证双方会协商出一个共享密钥、SessionID以及整套的加密套件（加密，压缩和数据完整性校验），这样认证双方就建立了一个安全可靠的数据传输通道。EAP-TLS是客户端和AAA服务器借助接入设备的透传，通过TLS协议进行的身份认证。EAP-TLS可以利用SessionID进行快速重认证，简化认证流程，加快认证速度，可对较大的TLS报文进行分片处理。 · EAP-TTLS：是一种基于证书的身份认证，利用TLS认证在客户端和AAA服务器之间建立起一个安全通道，在安全通道内部再承载子类型。它具有保护用户标识和EAP认证的协商过程的作用。隧道内的子类型可以是EAP类型，也可以是非EAP类型。目前EIA支持TTLS下三个EAP的子类型（EAP-MSCHAPv2，EAP-MD5，EAP-GTC）和两个非EAP的子类型（MSCHAPv2，PAP）。EIA在配置接入策略指定首选EAP类型为EAP-TTLS时，也必须首选一种EAP的子类型。在实际认证过程中，如果终端采用非EAP的子类型，如PAP，则终端可以忽略EIA的配置，使用终端配置的子类型进行认证 · EAP-PEAP：是一种基于证书的身份认证，利用TLS认证在客户端和AAA服务器之间建立起一个安全通道，在安全通道上再发起EAP认证。它具有保护用户标识，保护EAP认证的协商过程的作用。目前EIA仅支持EAP-MSCHAPv2、EAP-MD5和EAP-GTC认证类型。 · EAP-SIM：是一种基于GSM-SIM卡的身份认证，EAP-SIM提供了双向认证，即服务器端认证客户端，客户端认证服务器端，只有双向认证通过之后，服务器端才发送EAP-Success消息至客户端，客户端才可以接入网络。同时，EAP-SIM认证机制还通过多次挑战响应机制，生成更强的会话密钥。
EAP自协商	当客户端配置的EAP类型与EIA中配置的首选EAP类型不同时的处理方式。 · 配置为“启用”时，EIA完全适应由客户端中配置的EAP认证方式，即无论客户端中配置什么类型的EAP认证，EIA都允许客户端继续认证。 · 配置为“禁用”时，如果客户端配置的EAP类型与EIA中配置的首选EAP类型不同，则EIA拒绝其认证。
单次最大在线时长（分钟）	使用该策略的接入帐号认证成功后可在线的最长时间，单位为分钟。该参数默认值为空，表示不限制；最小值为1，最大值为1440。如果帐号在线时间超过该参数值，EIA则强制该用户下线。
在线最大时长预警阀值（分钟）	达到最大在线时长下线提前预警，适用于使用iNode认证。该参数取值范围为1~1440，单位为分钟；默认值为20，表示将达到最大在线时长时提前20分钟预警。此功能必须启用策略服务器心跳，且心跳周期需要小于该参数值。
下发地址池	输入地址池名称。EIA将地址池名称下发给接入设备，接入设备根据下发的地址池名称寻找设备上对应的地址池，然后给用户分配该地址池中的IP地址。只有下发设备上配置了对应的地址池，该功能才生效。
下发VLAN	设置向用户下发的VLAN。 · 当接入设备类型为H3C(General)、Huawei(General)、HP(Comware)、3Com(General)时，如果配置的VLAN为1～4094，接入业务将以整型的VLAN ID下发给设备，设备上的VLAN分配模式应为整型；所有其他值都以字符型VLAN NAME下发给设备，设备上VLAN分配模式应为字符型。 · 其他设备类型都以字符型VLAN NAME下发给设备，设备上VLAN分配模式应为字符型。
下发User Profile	将用户配置文件名称下发给设备，实现基于用户的QoS功能。只有下发设备上已经配置完成了User Profile，User Profile才生效。
下发VSI名称	对于采用VXLAN组网的场景，Leaf设备作为接入设备时，可以下发VSI名称，将用户划分到相应的VXLAN中。
下发ACL	设置向用户下发的访问控制列表。
离线检查时长	哑终端用户认证通过后向设备下发该参数，设备以该参数作为时间间隔周期性检测哑终端，如果在周期内未收到哑终端的报文，则断开该哑终端的连接并通知RADIUS服务器该哑终端用户已下线。该参数为空时，表示不检测；时长必须为整数，范围为[0，596523]。该参数只适用于哑终端。
认证密码方式	· 如果选择“帐号密码”，服务器只校验帐号密码。 · 如果选择“动态密码”，服务器只校验动态密码，动态密码可由短信、电子邮件两种方式发送给用户。 · 如果选择“帐号密码+动态密码”，服务器同时校验帐号密码和动态密码，动态密码由短信方式发送给用户。 · 如果选择“帐号密码+异步短信验证码”，服务器先校验帐号密码，帐号密码校验通过后再去校验短信验证码，验证码由短信方式发送给用户。由于动态密码只支持PAP、EAP-MD5、EAP-PEAP/EAP-MD5和EAP-PEAP/EAP-GTCS四种认证方式，所以选择“动态密码”或“帐号密码＋动态密码”时，认证方式只能配置为以上四种方式，“帐号密码＋动态密码”仅适用于客户端认证。

图9 增加接入策略页面

(3) 单击<确定>按钮，返回接入策略管理页面，新增的接入策略显示在列表中，如图10所示。

图10 查看新增的接入策略

3. 接入条件-接入时段策略

(1) 选择“用户”页签，单击导航树中的[接入策略管理>接入条件管理>接入时段策略]菜单项，进入接入时段策略页面，如图11所示。

图11 接入时段策略

(2) 单击<增加>按钮，进入增加接入时段策略页面。

(3) 如图12所示，配置接入时段策略基本信息。

¡ 接入时段策略名：输入策略名称，在EIA中必须唯一，本例为“permit time”。

¡ 缺省接入类型：勾选“禁止接入”项。

¡ 其他参数：保持缺省值。

图12 增加接入时段策略

(4) 在接入时段列表区域单击<增加>按钮，弹出增加接入时段窗口，如图13所示。

a. 接入时段类型选择“周为周期”。

b. 接入类型选择“允许接入/匹配”项。

c. 接入时间段设置为星期一09:00:00~18:00:00。

d. 单击<确定>按钮，返回接入时段策略页面。

图13 增加接入时段

(5) 重复步骤(4)增加其他工作日09:00:00~18:00:00时间段。

(6) 单击<确定>按钮，完成增加接入时段策略，返回接入时段策略页面。可在列表中查看新增的接入时段策略，如图14所示。

图14 查看增加的接入时段策略

4. 接入服务

(1) 选择“用户”页签，单击导航树中的[接入策略管理>接入服务管理]菜单项，进入接入服务管理页面，如图15所示。

图15 接入服务管理

(2) 单击<增加>按钮，进入增加接入服务页面，配置参数说明如表3所示。本例参考配置如下，配置完成效果如图16所示。

¡ 服务名：输入“802.1X service”。

¡ 服务后缀：输入“391”。

¡ 缺省接入策略：选择“禁止接入”。

¡ 其他参数：保持缺省值。

表3 接入服务参数说明

参数	参数说明
服务名	输入服务名称，其为特定服务在接入业务中的唯一标识。
服务后缀	服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关，具体的搭配关系请参见表4。
缺省接入策略	当接入用户的接入场景与服务中的接入场景均不匹配时，用户受到缺省接入策略的控制。
缺省私有属性下发策略	不受接入位置分组限制的用户上网时，EIA会根据本参数指定的策略将私有属性下发到此用户连接的接入设备上。
缺省单帐号最大绑定终端数	接入用户的接入场景与服务中的接入场景均不匹配时，用户受到缺省单帐号最大绑定终端数的控制。该参数只有在部署了EIP组件后才会显示。取值范围为0~999，值为0时表示不限制。
缺省单帐号在线数量限制	接入用户的接入场景与服务中的接入场景均不匹配时，用户受到缺省单帐号在线数量限制的控制。取值范围为0~999，值为0时表示不限制。
服务描述	针对该服务的描述，以方便操作员的日常维护。
可申请	只有选中此项，用户在开户或修改帐户信息时才可以申请该服务。当系统启用按用户分组申请服务时，如果该服务已经指定给用户分组，那么无论该服务是否为可申请状态，属于该用户分组的接入用户都会申请该服务。
无感知认证	决定服务是否支持无感知认证功能。无感知认证是指终端通过网页方式进行认证，第一次认证时会强制推出认证页面，用户需要输入用户名和密码进行认证，第一次认证成功后，RADIUS服务器会将该终端的MAC地址和接入用户绑定（如果是Portal认证方式，还会和服务绑定），之后如果该智能终端再次接入网络，RADIUS服务器会根据终端的MAC地址自动匹配绑定的接入用户和服务，并自动进行认证，不会再强制推出认证页面，无需再次输入用户名和密码。

表4 iMC中服务后缀的选择

认证连接用户名	设备用于认证的Domain	设备Radius scheme中的命令	iMC中服务的后缀
X@Y	Y	user-name-format with-domain	Y
X@Y	Y	user-name-format without-domain	无后缀
X	[Default Domain] 设备上指定的缺省域	user-name-format with-domain	[Default Domain]
X	[Default Domain] 设备上指定的缺省域	user-name-format without-domain	无后缀

图16 增加接入服务

(3) 配置接入场景。单击<增加>按钮，进入增加接入场景页面。输入接入场景名称“允许接入时段”，选择之前配置的接入时段策略“permit time”和接入策略“access permit”。其他参数保持默认即可。配置完成效果如图17所示。

图17 增加接入场景

(4) 单击<确定>按钮，完成增加接入场景，返回增加接入服务页面。在接入场景列表中查看新增的接入场景，如图18所示。

图18 新增接入场景

(5) 单击<确定>按钮，完成增加接入服务，返回接入服务管理页面。在列表中查看新增的接入服务，如图19所示。

图19 查看增加的接入服务

5. 增加接入用户

(1) 选择“用户”页签，单击导航树中的[接入用户管理>接入用户]菜单项，进入接入用户页面，如图20所示。

图20 接入用户页面

(2) 单击<增加>按钮，进入增加接入用户页面，如图21所示。

图21 增加接入用户页面

(3) 配置基本信息。用户姓名有以下两种配置方式：

¡ 选择基本用户方式：单击“选择基本用户”图标，弹出选择基本用户窗口，如图22所示，输入基本用户姓名后单击<查询>按钮，可以查询出已存在的基本用户，勾选基本用户后单击<确定>按钮。若需为EIA中已存在的基本用户添加接入用户可选择此配置方式，一个基本用户下可存在多个接入用户，基本用户通过用户姓名和证件号码构成唯一标识。

¡ 直接配置方式：在如图21所示中直接进行用户姓名填写，完成效果如图23所示。本例选择直接配置方式。

图22 选择基本用户