- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
手册下载
11-iMC EIA Portal认证典型配置举例-整本手册.pdf (1.12 MB)
iMC EIA Portal认证
典型配置举例
资料版本:5W109-20230803
产品版本:EIA 7.3 (E0623)
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
通用Portal认证不包含任何接入控制和安全检查。用户身份验证成功后便可接入网络。
适用于需要Portal认证的企业网或校园网。
接入设备需支持Portal协议。
某公司计划启用Portal认证,用户接入网络时需要进行身份验证,具体的组网如图1所示。EIA服务器IP地址为192.168.40.139,接入设备用户侧GigabitEthernet1/0/2所在VLAN的虚接口Vlan-interface 108的IP地址为192.168.75.2。PC的IP地址为192.168.75.9,安装了Windows操作系统,并准备安装iNode客户端。
注:本案例中各部分使用的版本如下:
· EIA版本为EIA 7.3 (E0623)
· 接入设备为H3C S5820V2-54QS-GE Comware Software, Version 7.1.045, ESS 2415
· iNode版本为iNode PC 7.3 (E0585)
配置EIA服务器时,需要配置以下功能:
· 接入设备
· 接入策略
· 接入服务
· 接入用户
· Portal服务
增加接入设备是为了建立iMC服务器和接入设备之间的联动关系。增加接入设备的方法如下:
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项,进入接入设备配置页面,如图2所示。
(2) 单击<增加>按钮,进入增加接入设备页面,如图3所示。
(3) 配置接入设备。配置接入设备有两种方法:
¡ 在设备列表中单击<选择>按钮选择设备。
¡ 在设备列表中单击<手工增加>按钮,手工配置接入设备。
无论采用哪种方式接入设备的IP地址都必须满意以下要求:
¡ 如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致。
¡ 如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。
本例采用手工增加的方式进行说明。单击<手工增加>按钮,弹出手工增加接入设备窗口,如图4所示。输入接入设备的IP地址,单击<确定>按钮,返回增加接入设备页面。
图4 手工增加接入设备
(4) 配置公共参数。公共参数的配置要求如下:
¡ 认证端口:EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。
¡ 计费端口:EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。
目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。
¡ 业务分组:在下拉框中选择接入设备所属的业务分组。将接入设备加入不同的业务分组以便进行分权管理。
¡ 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果[用户>接入策略管理>业务参数配置>系统配置>系统参数配置]中的“密钥显示方式”设置为明文时,只需输入一次共享密钥即可。
¡ 接入设备分组:在下拉框中选择接入设备需要加入的接入设备分组。可选项包括EIA中已经存在的接入设备分组和“无”。接入设备分组是区分终端用户的接入条件之一。
本例中公共参数只需要输入共享密钥\确认共享密钥“movie”,其他保持默认即可,如图5所示。
(5) 单击<确定>按钮,增加接入设备完毕,进入结果显示页面。点击“返回接入设备列表”链接,返回接入设备配置页面,可在接入设备列表中查看新增的接入设备,如图6所示。
配置一个不进行任何接入控制的接入策略。增加接入策略的方法如下:
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > 接入策略管理”菜单项,进入接入策略管理页面,如图7所示。
(2) 单击<增加>按钮,进入增加接入策略页面,如图8所示。由于不需要任何接入控制,所以只需输入接入策略名,其他参数保持默认即可。
授权下发需要设备支持对应属性,认证绑定需要设备在RADIUS属性中上传对应信息。本例不对设备进行任何下发,因此保持默认。
(3) 单击<确定>按钮,接入策略增加完毕。返回接入策略管理页面,可在接入策略列表中查看新增的接入策略,如图9所示。
接入服务是对用户进行认证授权的各种策略的集合。本例不对用户进行任何接入控制,因此只需增加一个简单的接入服务即可。
增加接入服务的方法如下:
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > 接入服务管理”菜单项,进入接入服务管理页面,如图10所示。
(2) 单击<增加>按钮,进入增加接入服务页面,如图11所示。
配置服务的各个参数:
¡ 服务名:输入服务名称,在EIA中必须唯一。
¡ 服务后缀:服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见表1。
¡ 缺省接入策略:选择之前新增的接入策略。
¡ 其他参数:保持缺省值。
表1 iMC中服务后缀的选择
|
认证连接用户名 |
设备用于认证的Domain |
设备Radius scheme中的命令 |
iMC中服务的后缀 |
|
X@Y |
Y |
user-name-format with-domain |
Y |
|
user-name-format without-domain |
无后缀 |
||
|
X |
[Default Domain] 设备上指定的缺省域 |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
(3) 单击<确定>按钮,完成增加接入服务。返回接入服务管理页面,可在接入服务列表中查看新增的接入服务,如图12所示。
(1) 选择“用户”页签,单击导航树中的“接入用户管理 > 接入用户”菜单项,进入接入用户页面,如图13所示。
(2) 单击<增加>按钮,进入增加接入用户页面,如图14所示。
· 帐号名:输入用于认证的帐号名,在EIA中必须唯一。
· 密码/确认密码:输入两次相同的密码。
· 接入服务:选择之前增加的接入服务。
· 其他参数:保持缺省值。
(3) 单击<确定>按钮,完成增加接入用户,返回接入用户页面。可在接入用户列表中查看新增的接入用户,如图15所示。
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > Portal服务管理 > 服务器配置”菜单项,进入服务器配置页面,如图16所示。
(2) 在服务类型列表中,单击<增加>按钮,弹出增加服务类型窗口,如图17所示。
(3) 输入服务类型标识和服务类型。
¡ 服务类型标识必须与之前增加服务的服务后缀相同。
¡ 服务类型是对服务类型标识的说明和区分。
(4) 单击<确定>按钮,完成增加服务类型。返回服务器配置页面。可在服务类型列表中查看新增的服务类型,如图18所示。
(5) 单击<确定>按钮,完成Portal服务器配置。
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > Portal服务管理 > IP地址组配置”菜单项,进入IP地址组配置页面,如图19所示。
图19 IP地址组配置
(2) 单击<增加>按钮,进入增加IP地址组页面,如图20所示。
图20 增加IP地址组
(3) 输入IP地址组名“portal_address”,起始地址192.168.75.3和终止地址192.168.75.254。IP地址属于该地址段的终端都要进行认证。
(4) 单击<确定>按钮,完成增加IP地址组,返回IP地址组配置页面。可在IP地址组列表中查看新增的IP地址组,如图21所示。
图21 查看新增的IP地址组
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > Portal服务管理 > 设备配置”菜单项,进入设备配置页面,如图22所示。
(2) 单击<增加>按钮,进入增加设备信息页面,如图23所示。
(3) 配置如下信息:
¡ 设备名:输入设备名称“device_Portal”。
¡ IP地址:输入设备的IP地址“192.168.75.2”。
¡ 密钥\确认密钥:输入“expert”。密钥要与设备上配置的Portal服务器密钥保持一致。
¡ 组网方式:在下拉框中选择“直连”。
¡ 其他参数:保持默认值。
(4) 单击<确定>按钮,完成增加设备信息。返回设备配置页面,可在列表中查看新增的设备信息,如图24所示。
(5) 在设备信息列表中,单击操作列的端口组信息管理图标
,进入端口组信息配置页面,如图25所示。
(6) 单击<增加>按钮,进入增加端口组信息页面,如图26所示。
(7) 配置端口组信息:
¡ 端口组名:输入端口组的名称“port_portal”。
¡ 认证方式:在下拉框中选择“CHAP认证”。
¡ IP地址组:选择之前配置的“portal_address”。
¡ 其他参数:保持默认值。
(8) 单击<确定>按钮,完成增加端口组信息。返回端口组信息配置页面,可在端口组信息配置列表中查看新增的端口组信息,如图27所示。
接入设备用于控制用户的接入。通过认证的用户可以接入网络,未通过认证的用户无法接入网络。
以下使用Windows的CLI窗口telnet到接入设备并进行配置,具体的命令及其说明如下:
(1) 进入系统视图。
<Device>system-view
System View: return to User View with Ctrl+Z.
(2) 配置RADIUS策略“allpermit”。认证、计费服务器均指向EIA。认证端口、计费端口、共享密钥要与3.2.1 1. 增加接入设备的配置保持一致。
[Device]radius scheme allpermit
New Radius scheme
[Device-radius-allpermit]primary authentication 192.168.40.139 1812
[Device-radius-allpermit]primary accounting 192.168.40.139 1813
[Device-radius-allpermit]key authentication simple movie
[Device-radius-allpermit]key accounting simple movie
[Device-radius-allpermit]user-name-format with-domain
[Device-radius-allpermit]nas-ip 192.168.40.138
[Device-radius-allpermit]quit
(3) 配置domain域“wh”,引用配置好的“allpermit”策略。domain的名称必须与3.2.1 3. 增加接入服务中服务的后缀保持一致。
[Device]domain wh
New Domain added.
[Device-isp-portal]authentication portal radius-scheme allpermit
[Device-isp-portal]authorization portal radius-scheme allpermit
[Device-isp-portal]accounting portal radius-scheme allpermit
[Device-isp-portal]quit
(4) 配置Portal认证服务器:名称为myportal,IP地址指向EIA,key要与3.2.2 3. 设备配置的配置一致。
[Device]portal server myportal
[Device-portal-server-myportal]ip 192.168.40.139 key simple expert
[Device-portal-server-myportal]quit
(5) 配置Portal Web服务器的URL为http://192.168.40.139:8080/portal,要与3.2.2 1. 服务器配置上的配置一致。
[Device]portal web-server myportal
[Device-portal-websvr-myportal]url http://192.168.40.139:8080/portal
[Device-portal-websvr-myportal]quit
(6) 将接口GigabitEthernet 1/0/2划分至VLAN。
[Device]interface GigabitEthernet 1/0/2
[Device-GigabitEthernet1/0/2]port access vlan 108
[Device-GigabitEthernet1/0/2]port link-mode bridge
(7) 在接口GigabitEthernet1/0/2所在VLAN虚接口Vlan-interface 108上开启直接方式的Portal,引用Portal Web服务器myportal,设置发送给Portal认证服务器的Portal报文中的BAS-IP属性值。
[Device]interface Vlan-interface 108
[Device-Vlan-interface108]portal enable method direct
[Device-Vlan-interface108]portal apply web-server myportal
[Device-Vlan-interface108]portal bas-ip 192.168.75.2
[Device-Vlan-interface108]Portal domain wh
[Device-Vlan-interface108]quit
用户使用iNode PC客户端和配置的帐号名、密码进行Portal认证,最终用户通过认证,完成Portal接入。验证步骤如下:
安装具有Portal接入功能的iNode客户端。
当前EIA适配所有版本的iNode,iNode的版本可以按需进行选择。
(1) 在iNode PC客户端主页面,选择“Portal连接”,展开Portal连接区域,点击服务器文本框右侧的“刷新”图标,自动获取Portal服务器信息。
(2) 输入用户名和密码,选择服务类型为office后,单击<连接>按钮,如图28所示,开始进行Portal认证。
图28 Portal认证页面
认证成功的界面如图29所示,验证了本案例的配置正确。
图29 Portal认证成功
支持
售前咨询
售后咨询
人工在线咨询
