iMC EIA 802.1X认证+证书认证

典型配置

资料版本：5W109-20230706

产品版本：iMC EIA 7.3 (E0630)

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

除新华三技术有限公司的商标外，本手册中出现的其它公司的商标、产品标识及商品名称，由各自权利人拥有。

本文档中的信息可能变动，恕不另行通知。

3.3.2 申请并安装客户端证书·· 17

3.3.3 iNode PC客户端配置·· 17

3.3.4 在EIA中查看在线用户·· 23

1 介绍

用户接入网络时进行802.1X认证，同时客户端和服务器相互验证对方的证书，确保对方身份合法

及通信安全。

2 特性使用指南

2.1 使用场合

适用于接入认证时需要验证证书的企业网或校园网。

2.2 配置前提

本案例中采用的是EAP-TLS证书认证方式，即客户端与服务器通信前需要相互验证对方证书的合法性，在对EIA服务器和iNode客户端进行配置之前，必须先到证书颁发机构申请证书。其中EIA服务器需要申请根证书和服务器证书，iNode客户端需要申请根证书和客户端证书。证书申请和安装的详细步骤请参见“iMC EIA证书使用指导”。

2.3 注意事项

不同版本的EIA，导入证书时操作会略有不同，本案例中采用的EIA版本为iMC EIA 7.3 (E0630)，其他版本的使用请参见“iMC EIA证书使用指导”。

3 配置举例

3.1 组网需求

某公司用户接入网络时采用802.1X进行身份验证，同时在通信前用户客户端相互验证对方的证书。具体的组网如图1所示。EIA服务器IP地址为192.168.40.239，接入设备IP地址为192.168.30.100，连接PC的端口为Eth1/0/9，此端口进行接入认证，用户PC使用的IP地址为192.168.30.235。

本案例中各部分使用的版本如下：

· EIA版本为iMC EIA 7.3 (E0630)

· 接入设备为H3C S3600V2-28TP-EI Comware Software，Version 5.20，Release 2103

· iNode版本为iNode PC 7.3 (E0601)

图1 组网图

3.2 配置步骤

3.2.1 配置EIA服务器

配置EIA服务器时，需要配置以下功能：

· 接入设备

· 接入策略

· 接入服务

· 接入用户

· 导入证书

1. 增加接入设备

(1) 选择“用户”页签，单击导航树中的[接入策略管理>接入设备管理>接入设备配置]菜单项，进入接入设备列表页面，如图2所示。

图2 进入接入设备列表

(2) 在接入设备列表中，单击<增加>按钮，进入增加接入设备页面，如图3所示。

图3 增加接入设备页面

(3) 增加接入设备。增加接入设备有两种方法：

¡ 在设备列表中单击<选择>按钮从iMC平台中选择设备。

¡ 在设备列表中单击<手工增加>按钮，手工配置接入设备。

本例采用手工增加的方式进行说明。

a. 单击页面下方设备列表中的<手工增加>按钮，弹出手工增加接入设备窗口，如图4所示。

图4 手工增加接入设备窗口

b. 输入接入设备的IP地址，本例为“192.168.30.100”，完成效果如图5所示。

图5 手工输入接入设备的IP地址

c. 单击<确定>按钮，页面返回增加接入设备页面。

(4) 配置接入配置参数，参数说明如表1所示，配置完成效果如图6所示。

表1 接入配置参数

参数	说明
认证端口	EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致，一般采用默认端口1812。
计费端口	EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致，一般采用默认端口1813。
共享密钥/确认共享密钥	接入设备与EIA配合进行认证时，使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致，本例为“hello”。

目前仅支持将EIA同时作为认证和计费服务器，即不支持将EIA作为认证服务器，而其他服务器作为计费服务器的场景。

图6 公共参数配置

(5) 单击<确定>按钮，增加接入设备完毕，进入结果显示页面，如图7所示。

图7 结果显示页面

(6) 单击“返回接入设备列表”链接，返回接入设备列表，在列表中查看新增的接入设备，如图8所示。

图8 查看新增的接入设备

2. 增加接入策略

为了验证接入用户及EIA服务器的证书，创建接入策略时需选择证书认证。

(1) 单击导航树中的[接入策略管理>接入策略管理]菜单项，进入接入策略管理页面，如图9所示。

图9 接入策略管理

(2) 单击<增加>按钮，增加接入策略，配置参数说明如表2所示。本例参考配置如下，配置完成效果如图10所示。

¡ 接入策略名：输入CA策略。

¡ 首选EAP类型：选择“EAP-TLS”。

¡ EAP自协商：选择“不启用”。

¡ 其他参数保持默认即可。

增加接入策略时涉及配置参数较多，请按实际需求进行配置。如仅需体验或验证相关功能，可参考本例配置。

表2 接入策略参数说明

参数	参数说明
接入策略名	接入策略在接入业务中的唯一标识。
业务分组	用于分权管理，使特定的人只能管理特定的业务，既职责分明，也不会互相越权。配置该接入策略所属的业务分组，用于接入策略的分权管理。只有拥有该业务分组权限的管理员/维护员才能配置接入策略。
描述	针对该接入策略的描述，方便操作员的日常维护。
接入时段	选择了某一接入时段策略后，使用此规则的用户只能在接入时段策略中定制的时间段内允许接入。
分配IP地址	是否下发用户IP地址。当选择“是”时，则为用户选择使用此接入策略的服务时须填写要下发的IP地址，用户在使用此接入策略上线时，RADIUS服务器会把填写的IP地址下发给客户端，客户端会将此IP应用到所在终端并进行重认证。此外接入策略“用户客户端配置”区域的“IP地址获取方式”不要选择“必须动态获取”；如果接入策略勾选了“绑定用户IP地址”，需把下发给用户的IP地址加入该用户的绑定的IP地址中或保证可以通过自学习的方式绑定此IP地址，已使得用户可通过IP地址检查。
上行、下行速率	根据设定的上下行速率来限制用户使用该规则上网时的上传、下载速率。
优先级	其值高低确定了在网络拥塞时转发报文的优先顺序，此参数应从设备支持的优先级中选取，数值越小优先级越高。配置错误可能导致用户无法上线。
首选EAP类型/子类型	进行EAP认证时，RADIUS服务器优先下发给客户端的EAP类型。包括：EAP-MD5、EAP-TLS、EAP-TTLS和EAP-PEAP。当首选EAP类型为EAP-TTLS和EAP-PEAP时，还需要首选EAP-MSCHAPv2，EAP-MD5和EAP-GTC其中的一种子类型。 · EAP-MD5：一种EAP认证方式，使用CHAP方式进行认证。 · EAP-TLS：是一种基于证书的身份认证，它需要PKI的部署来管理证书。它推荐进行服务器和客户端之间双向认证，认证双方是用证书来标识自己的身份。在认证通过之后，TLS的认证双方会协商出一个共享密钥、SessionID以及整套的加密套件（加密，压缩和数据完整性校验），这样认证双方就建立了一个安全可靠的数据传输通道。EAP-TLS是客户端和AAA服务器借助接入设备的透传，通过TLS协议进行的身份认证。EAP-TLS可以利用SessionID进行快速重认证，简化认证流程，加快认证速度，可对较大的TLS报文进行分片处理。 · EAP-TTLS：是一种基于证书的身份认证，利用TLS认证在客户端和AAA服务器之间建立起一个安全通道，在安全通道内部再承载子类型。它具有保护用户标识和EAP认证的协商过程的作用。隧道内的子类型可以是EAP类型，也可以是非EAP类型。目前EIA支持TTLS下三个EAP的子类型（EAP-MSCHAPv2，EAP-MD5，EAP-GTC）和两个非EAP的子类型（MSCHAPv2，PAP）。EIA在配置接入策略指定首选EAP类型为EAP-TTLS时，也必须首选一种EAP的子类型。在实际认证过程中，如果终端采用非EAP的子类型，如PAP，则终端可以忽略EIA的配置，使用终端配置的子类型进行认证。 · EAP-PEAP：是一种基于证书的身份认证，利用TLS认证在客户端和AAA服务器之间建立起一个安全通道，在安全通道上再发起EAP认证。它具有保护用户标识，保护EAP认证的协商过程的作用。目前EIA仅支持EAP-MSCHAPv2、EAP-MD5和EAP-GTC认证类型。 · EAP-SIM：是一种基于GSM-SIM卡的身份认证，EAP-SIM提供了双向认证，即服务器端认证客户端，客户端认证服务器端，只有双向认证通过之后，服务器端才发送EAP-Success消息至客户端，客户端才可以接入网络。同时，EAP-SIM认证机制还通过多次挑战响应机制，生成更强的会话密钥。
EAP自协商	当客户端配置的EAP类型与EIA中配置的首选EAP类型不同时的处理方式。 · 配置为“启用”时，EIA完全适应由客户端中配置的EAP认证方式，即无论客户端中配置什么类型的EAP认证，EIA都允许客户端继续认证。 · 配置为“禁用”时，如果客户端配置的EAP类型与EIA中配置的首选EAP类型不同，则EIA拒绝其认证。
单次最大在线时长（分钟）	使用该策略的接入帐号认证成功后可在线的最长时间，单位为分钟。该参数默认值为空，表示不限制；最小值为1，最大值为1440。如果帐号在线时间超过该参数值，EIA则强制该用户下线。
在线最大时长预警阀值（分钟）	达到最大在线时长下线提前预警，适用于使用iNode认证。该参数取值范围为1~1440，单位为分钟；默认值为20，表示将达到最大在线时长时提前20分钟预警。此功能必须启用策略服务器心跳，且心跳周期需要小于该参数值。
下发地址池	输入地址池名称。EIA将地址池名称下发给接入设备，接入设备根据下发的地址池名称寻找设备上对应的地址池，然后给用户分配该地址池中的IP地址。只有下发设备上配置了对应的地址池，该功能才生效。
下发VLAN	设置向用户下发的VLAN。 · 当接入设备类型为H3C(General)、Huawei(General)、HP(Comware)、3Com(General)时，如果配置的VLAN为1～4094，接入业务将以整型的VLAN ID下发给设备，设备上的VLAN分配模式应为整型；所有其他值都以字符型VLAN NAME下发给设备，设备上VLAN分配模式应为字符型。 · 其他设备类型都以字符型VLAN NAME下发给设备，设备上VLAN分配模式应为字符型。
下发User Profile	将用户配置文件名称下发给设备，实现基于用户的QoS功能。只有下发设备上已经配置完成了User Profile，User Profile才生效。
下发VSI名称	对于采用VXLAN组网的场景，Leaf设备作为接入设备时，可以下发VSI名称，将用户划分到相应的VXLAN中。
下发ACL	设置向用户下发的访问控制列表。
离线检查时长	哑终端用户认证通过后向设备下发该参数，设备以该参数作为时间间隔周期性检测哑终端，如果在周期内未收到哑终端的报文，则断开该哑终端的连接并通知RADIUS服务器该哑终端用户已下线。该参数为空时，表示不检测；时长必须为整数，范围为[0，596523]。该参数只适用于哑终端。
认证密码方式	· 如果选择“帐号密码”，服务器只校验帐号密码。 · 如果选择“动态密码”，服务器只校验动态密码，动态密码可由短信、电子邮件两种方式发送给用户。 · 如果选择“帐号密码+动态密码”，服务器同时校验帐号密码和动态密码，动态密码由短信方式发送给用户。 · 如果选择“帐号密码+异步短信验证码”，服务器先校验帐号密码，帐号密码校验通过后再去校验短信验证码，验证码由短信方式发送给用户。由于动态密码只支持PAP、EAP-MD5、EAP-PEAP/EAP-MD5和EAP-PEAP/EAP-GTCS四种认证方式，所以选择“动态密码”或“帐号密码＋动态密码”时，认证方式只能配置为以上四种方式，“帐号密码＋动态密码”仅适用于客户端认证。

图10 增加接入策略

(3) 单击<确定>按钮，完成接入策略的配置。

3. 增加接入服务

(1) 选择“用户”页签，单击导航树中的[接入策略管理>接入服务管理]菜单项，进入接入服务管理页面，如图11所示。

图11 接入服务管理

(2) 单击接入服务管理页面中的<增加>按钮，增加接入服务，配置参数说明如表3所示。本例参考配置如下，配置完成如图12所示。

¡ 服务名：输入“CA服务”。

¡ 服务后缀：输入“cert”。

¡ 缺省接入策略：选择“CA策略”。

¡ 其他参数保持默认即可。

表3 接入服务参数说明

参数	参数说明
服务名	输入服务名称，其为特定服务在接入业务中的唯一标识。
服务后缀	服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关，具体的搭配关系请参见表4。
缺省接入策略	当接入用户的接入场景与服务中的接入场景均不匹配时，用户受到缺省接入策略的控制。
缺省私有属性下发策略	不受接入位置分组限制的用户上网时，EIA会根据本参数指定的策略将私有属性下发到此用户连接的接入设备上。
缺省单帐号最大绑定终端数	接入用户的接入场景与服务中的接入场景均不匹配时，用户受到缺省单帐号最大绑定终端数的控制。该参数只有在部署了EIP组件后才会显示。取值范围为0~999，值为0时表示不限制。
缺省单帐号在线数量限制	接入用户的接入场景与服务中的接入场景均不匹配时，用户受到缺省单帐号在线数量限制的控制。取值范围为0~999，值为0时表示不限制。
服务描述	针对该服务的描述，以方便操作员的日常维护。
可申请	只有选中此项，用户在开户或修改帐户信息时才可以申请该服务。当系统启用按用户分组申请服务时，如果该服务已经指定给用户分组，那么无论该服务是否为可申请状态，属于该用户分组的接入用户都会申请该服务。
无感知认证	决定服务是否支持无感知认证功能。无感知认证是指终端通过网页方式进行认证，第一次认证时会强制推出认证页面，用户需要输入用户名和密码进行认证，第一次认证成功后，RADIUS服务器会将该终端的MAC地址和接入用户绑定（如果是Portal认证方式，还会和服务绑定），之后如果该智能终端再次接入网络，RADIUS服务器会根据终端的MAC地址自动匹配绑定的接入用户和服务，并自动进行认证，不会再强制推出认证页面，无需再次输入用户名和密码。

表4 iMC中服务后缀的选择

认证连接用户名	设备用于认证的Domain	设备Radius scheme中的命令	iMC中服务的后缀
X@Y	Y	user-name-format with-domain	Y
X@Y	Y	user-name-format without-domain	无后缀
X	[Default Domain] 设备上指定的缺省域	user-name-format with-domain	[Default Domain]
X	[Default Domain] 设备上指定的缺省域	user-name-format without-domain	无后缀

图12 增加接入服务

(3) 单击<确定>按钮完成接入服务的配置。

4. 增加接入用户

如果系统参数中启用了“检查帐号名与证书中的属性”参数，且勾选了“主题-CN、主题-Email、主题备用名-DNS、主题备用名-UPN”中的一项或几项属性，则增加接入用户时，帐号名至少要与选中的一项属性一致，否则认证失败；如果系统参数中没有启用“检查帐号名与证书中的属性”参数，则没有该限制。本例没有启用“检查帐号名与证书中的属性”参数，如图13所示。

图13 检查帐号名与证书中的属性

(1) 选择“用户”页签，单击导航树中的[接入用户管理>接入用户]菜单项，进入接入用户列表页面，如图14所示。

图14 接入用户

(2) 单击<增加>按钮，进入增加接入用户页面，如图15所示。

图15 增加接入用户页面

(3) 配置基本信息。用户姓名有以下两种配置方式：

¡ 选择基本用户方式：单击“选择基本用户”图标，弹出选择基本用户窗口，如图16所示，输入基本用户姓名后单击<查询>按钮，可以查询出已存在的基本用户，勾选基本用户后单击<确定>按钮。若需为EIA中已存在的基本用户添加接入用户可选择此配置方式，一个基本用户下可存在多个接入用户，基本用户通过用户姓名和证件号码构成唯一标识。

¡ 直接配置方式：在如图15所示中直接进行用户姓名填写，完成效果如图17所示。本例选择直接配置方式。

图16 选择基本用户