- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
手册下载
07-iMC EIA 802.1X认证+漫游认证典型配置举例-整本手册.pdf (806.91 KB)
iMC EIA 802.1X接入+漫游认证
典型配置举例
资料版本:5W108-20221110
产品版本:EIA 7.3 (E0628)
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
漫游认证是指用户离开帐户开户地到异地进行网络接入认证。帐户开户的AAA服务器称为本地服务器;漫游用户认证的AAA服务器称为漫游服务器。在漫游认证过程中,漫游服务器会将认证请求转发给本地服务器,由本地服务器对漫游用户进行验证。如果验证通过,则漫游用户可以接入网络。本案例介绍了在802.1X方式下的漫游认证配置。
用户离开帐户开户地,在异地进行网络接入认证。
网络中包含本地EIA服务器、漫游EIA服务器、接入设备和认证使用的主机,且各服务器、接入设备和主机之间网络互通。接入设备支持802.1X协议,PC安装了iNode客户端。
某公司有A和B两个分部,A和B的员工接入网络均采用802.1X方式进行认证。现通过配置漫游认证使开户地为A分部的员工到B分部时,原帐户仍然可以通过认证并接入网络。
具体的组网如图1所示。A分部的EIA1服务器IP地址为192.168.0.130。B分部的EIA2服务器IP地址为192.168.40.238,接入设备的IP地址为192.168.30.100。PC为Windows操作系统,并安装了iNode客户端。
注:本案例中各部分使用的版本如下:
· EIA版本为EIA 7.3 (E0628)
· 接入设备为H3C S3600V2-28TP-EI Comware Software, Version 5.20, Release 2103
· iNode版本为iNode PC 7.3 (E0585)
图2 配置流程图
配置A分部的EIA1服务器时,需要配置以下内容:
· 添加EIA2为接入设备
· 增加接入策略
· 增加接入服务
· 增加接入用户
(1) 选择“用户”页签,单击左侧航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项,进入接入设备配置页面,如图3所示。
(2) 单击<增加>按钮,进入增加接入设备页面。输入认证端口、计费端口及共享密钥,如图4所示。
接入配置参数如下:
· 认证端口/计费端口:此处的配置必须与接入设备命令行配置的端口保持一致。本例采用缺省值1812和1813。
· 共享密钥:此处的配置必须与EIA2服务器漫游配置的共享密钥保持一致。本例采用“world”做为共享密钥。如果[用户>接入策略管理>业务参数配置>系统配置>系统参数配置]中的“密钥显示方式”设置为密文时,需输入两次共享密钥。
· 其他参数,保持缺省值。
(3) 单击<手工增加>按钮,弹出手工增加接入设备窗口,输入EIA2服务器的IP地址,如图5所示。
(4) 单击<确定>按钮,返回增加接入设备页面。单击<确定>按钮,进入增加设备结果页面。
(5) 单击“返回接入设备列表”链接,返回接入设备配置页面。可以在列表中查看增加的接入设备,如图6所示。
配置一个不进行任何接入控制的接入策略。
(1) 选择“用户”页签。单击左侧导航树中的“接入策略管理 > 接入策略管理”菜单项,进入接入策略管理页面,如图7所示。
(2) 单击<增加>按钮,进入增加接入策略页面。输入接入策略名,本例为“漫游认证策略”,其他参数均保持缺省即可,如图8所示
(3) 单击<确定>按钮,接入策略增加完毕。返回接入策略列表,可在列表中查看新增的接入策略,如图9所示。
接入服务是对用户进行认证授权的各种策略的集合。本例不对用户进行任何接入控制,因此只需增加一个简单的接入服务即可。
(1) 选择“用户”页签。单击导航树中的“接入策略管理 > 接入服务管理”菜单项,进入接入服务管理页面,如图10所示。
(2) 单击<增加>按钮,进入增加接入服务页面,如图11所示。
参数说明:
· 服务名:输入服务名称,在EIA中必须唯一。
· 服务后缀:服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见表1。
· 缺省接入策略:选择之前新增的接入策略,本例为“漫游认证策略”。
· 缺省私有属性下发策略:接入用户的接入场景与服务中的接入场景均不匹配时,EIA会根据本参数指定的策略将私有属性下发到此用户连接的接入设备上。
· 缺省单帐号最大绑定终端数:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号最大绑定终端数的控制。该参数只有在部署了EIP组件后才会显示。
· 缺省单帐号在线数量限制:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号在线数量限制的控制。
· 单日累计在线最长时间(分钟):每天允许帐号使用该服务接入网络的总时长,达到该时长后,帐号将被强制下线,且当日不能再次接入。该参数单位是分钟,只支持输入整数,最小值是0,表示不限制每天在线时长,最大值是1440。
· 其他参数保持默认。
表1 iMC中服务后缀的选择
|
认证连接用户名 |
设备用于认证的Domain |
设备Radius scheme中的命令 |
iMC中服务的后缀 |
|
X@Y |
Y |
user-name-format with-domain |
Y |
|
user-name-format without-domain |
无后缀 |
||
|
X |
[Default Domain] 设备上指定的缺省域 |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
(3) 单击<确定>按钮,返回接入服务管理页面,可在列表中查看新增的接入服务,如图12所示。
(1) 选择“用户”页签,单击左侧导航树中的“接入用户管理 > 接入用户”菜单项,进入接入用户页面,如图13所示。
(2) 单击<增加>按钮,进入增加接入用户页面。输入用户姓名、证件号码、帐号名及密码,选择接入服务,如图14所示。
参数说明:
· 用户姓名:输入用户姓名的方式有如下两种:
¡ 方式一:单击“选择基本用户”图标,弹出选择用户窗口。单击<查询>按钮,可以查询出所有已存在的基本用户,选择用户后单击<确定>按钮。
¡ 方式二:在用户姓名后的输入框中输入用户名,输入证件号码以及其他参数后单击<确定>按钮。
¡ 帐号名:输入用于认证的帐号名,在EIA中必须唯一。
· 密码/确认密码:输入两次相同的密码。
· 接入服务:选择之前增加的接入服务。
· 其他参数:保持缺省值。
(3) 单击<确定>按钮,返回接入用户页面。可在列表中查看增加的接入用户,如图15所示。
配置B分部的EIA2服务器时,需要配置以下内容:
· 指定EIA1为本地服务器
· 增加接入设备
(1) 选择“用户”页签,单击左侧导航树中的“接入策略管理 > 业务参数配置 > 系统配置”菜单项,进入系统配置页面,如图16所示。
(2) 单击“漫游配置”对应配置列的“配置”图标,进入漫游配置页面,如图17所示。
(3) 单击<增加>按钮,进入增加漫游配置页面,增加认证配置,如图18所示。
参数说明:
· 域名:此处的域名为本地服务器EIA1中接入服务“漫游服务”的服务后缀。此处应为“roam”。
· IP地址:漫游帐号所属的EIA的IP地址。此处应为192.168.0.130。
· 端口:认证报文转发到目标EIA的端口号,认证端口的缺省设置为1812。此处应为1812。
· 密钥:表示约定的共享密钥,EIA2是EIA1的接入设备,密钥配置应与EIA1一致。此处应为“world”。
· 类型:认证表示到本地EIA进行认证。此处应选择类型为认证。
(4) 单击<确定>按钮,增加认证配置完成,并返回漫游配置页面。单击<增加>按钮,进入增加漫游配置页面,增加计费配置,如图19所示。
· 域名:此处的域名为本地服务器EIA1中服务“漫游服务”的服务后缀。此处应为“roam”。
· IP地址:漫游帐号所属的EIA的IP地址。此处应为192.168.0.130。
· 端口:计费报文转发到目标EIA的端口号,计费端口的缺省设置为1813。此处应为1813。
· 密钥:表示约定的共享密钥,EIA2是EIA1的接入设备,密钥配置应与EIA1一致。此处应为“world”。
· 类型:计费表示到本地EIA进行计费。此处应选择类型为计费。
(5) 单击<确定>按钮,返回漫游配置页面,可查看增加的漫游配置,如图20所示。
(1) 选择“用户”页签,单击左侧导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项,进入接入设备配置页面,如图21所示。
(2) 单击<增加>按钮,进入增加接入设备页面。输入认证端口、计费端口及共享密钥,如图22所示。
参数说明:
· 认证端口/计费端口:此处的配置必须与接入设备命令行配置的端口保持一致。本例采用缺省值1812和1813。
· 共享密钥:此处的配置必须与接入设备命令行配置的共享密钥保持一致。本例采用“hello”做为共享密钥。如果[用户>接入策略管理>业务参数配置>系统配置>系统参数配置]中的“密钥显示方式”设置为密文时,需输入两次共享密钥。
· 其他参数,保持缺省值。
(3) 单击<手工增加>按钮,弹出手工增加接入设备窗口,输入接入设备的IP地址,如图23所示。
(4) 单击<确定>按钮,返回增加接入设备页面。单击<确定>按钮,进入增加设备结果页面。
(5) 单击“返回接入设备列表”链接,返回接入设备配置页面。可以在列表中查看增加的接入设备,如图24所示。
以下使用Windows的CLI窗口Telnet到接入设备并进行配置,具体的命令及其说明如下:
(1) 进入系统视图
<H3C>system-view
System View: return to User View with Ctrl+Z.
(2) 配置RADIUS策略“2022”。认证、计费服务器均指向EIA2,认证端口、计费端口、共享密钥要与保持一致。
[H3C]radius scheme 2022
New Radius scheme
[H3C-radius-2022]primary authentication 192.168.40.238 1812
[H3C-radius-2022]primary accounting 192.168.40.238 1813
[H3C-radius-2022]key authentication hello
[H3C-radius-2022]key accounting hello
//采用用户名携带Domain的认证方式。
[H3C-radius-2022]user-name-format with-domain
[H3C-radius-2022]quit
(3) 配置domain域“roam”,引用配置好的“2022”策略。domain的名称必须与EIA1增加接入服务中配置的服务后缀保持一致。
[H3C]domain roam
New Domain added.
[H3C-isp-roam]authentication lan-access radius-scheme 2022
[H3C-isp-roam]authorization lan-access radius-scheme 2022
[H3C-isp-roam]accounting lan-access radius-scheme 2022
[H3C-isp-roam]quit
(4) 在全局和接口上启用802.1X认证,使802.1X认证生效。
[H3C]dot1x
[H3C]interface GigabitEthernet 1/0/39
[H3C-GigabitEthernet 1/0/39]dot1x
[H3C-GigabitEthernet 1/0/39]quit
//本例中,802.1X的认证方式采用CHAP方式。
[H3C]dot1x authentication-method chap
打开iNode客户端,单击“802.1X连接”项,展开802.1X认证窗口,如图25所示。
(2) 输入用户名及密码后,单击<连接>按钮,即可认证成功,认证成功后可在本地在线用户及漫游在线用户页面查看在线用户。
选择“用户”页签,单击左侧导航树中的“接入用户管理 > 在线用户”菜单项,进入在线用户页面。在本地在线用户列表中可以看到atest在EIA1中作为本地用户在线,如图26所示。
选择“用户”页签,单击左侧导航树中的“接入用户管理 > 在线用户”菜单项,进入在线用户页面。
切换至“漫游在线用户”页签,进入在漫游在线用户页面,可以看到在atest在EIA2中作为漫游用户在线,如图27所示。
支持
售前咨询
售后咨询
人工在线咨询
