- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
手册下载
25-iMC EIA SSL VPN认证(IPv6)典型配置举例-整本手册.pdf (783.44 KB)
iMC EIA SSL VPN认证(IPv6)
典型配置举例
资料版本:5W108-20221110
产品版本:EIA 7.3 (E0623)
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本文介绍了使用iNode PC客户端SSL VPN接入方式,并通过用户名密码认证上线的配置过程。
适用于使用iNode PC客户端采用SSL VPN接入方式,并通过用户名密码认证上网的情景。
在配置前,网络必须路由可达。
本案例主要介绍了在iNode PC客户端中使用SSL VPN接入方式。配置案例的组网环境如图1所示。
该功能建议使用的iNode版本为iNode PC 7.3 (E0574) ~ iNode PC 7.3 (E0582)版本,其他版本不推荐使用。
· iMC服务器版本:
¡ iMC PLAT 7.3 (E0706)
¡ iMC EIA 7.3 (E0623)
· iNode版本:iNode PC 7.3 (E0577)
· VPN网关:H3C Comware Software,Version 7.1.064,ESS 9308
EIA认证配置
· 启用EIA系统参数配置IPv6
· 增加IPv4接入设备
· 增加接入策略
· 增加接入服务
· 增加接入用户
(1) 选择“用户”页签,单击左侧菜单栏的“接入策略管理 > 业务参数配置 > 系统配置”菜单项,进入系统配置页面。单击模板名称为“系统参数配置”项对应“配置”列的配置图标
,进入系统参数配置页面。将“用户数据管理参数”区域的“启用IPv6”项置为“是”,如图2所示。
(2) 配置完成后,单击<确定>按钮,保存配置。
(1) 选择“用户”页签,单击左侧菜单栏的“接入策略管理 > 业务参数配置 > 系统配置”菜单项,进入系统配置页面。单击模板名称为“策略服务器参数配置”项对应“配置”列的配置图标
,进入策略服务器参数配置页面。勾选“在IPv6网络启用策略服务器”项,如图3所示。
(2) 配置完成后,单击<确定>按钮,保存配置。
组网中用户与设备之间使用IPv6地址通信,设备与服务器之间使用IPv4地址通信,因此需要增加IPv4接入设备。
(1) 选择“用户”页签。
(2) 在左导航树中点击[接入策略管理>接入设备管理>接入设备配置]菜单项,进入接入设备配置页面,如图4所示。
(3) 单击<增加>按钮,进入增加接入设备页面,如图5所示。
(4) 配置公共参数。
公共参数的配置要求如下:
¡ 认证端口:EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。
¡ 计费端口:EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。
目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。
¡ 业务类型:在下拉框中选择该设备承载的业务,包括不限和设备管理业务。前者用于用户接入和使用网络,后者用于设备管理员登录和管理设备。
¡ 强制下线方式:在下拉框中选择强制用户下线的方式,包括断开用户连接和Down-Up端口。前者表示EIA服务器向NAS设备下发Disconnect Message(DM)强制用户下线;后者表示EIA服务器向NAS设备下发Change-of-Authorization(CoA)消息强制用户下线,NAS设备收到CoA消息后先Down掉连接用户的端口,然后再重新UP该端口。
¡ 接入设备类型:在下拉框中选择接入设备的厂商和类型。下拉框中包含了Standard、EIA系统预定义和管理员自定义的厂商和类型。支持标准RADIUS协议的设备都可以选择Standard。系统预定义的厂商和类型有以下几种,包H3C(General)、3COM(General)、HUAWEI(General)、CISCO(General)、RG(General)、HP(MSM)、HP(Comware)、MICROSOFT(General)、JUNIPER(General)和HP(ProCurve)。
¡ 业务分组:在下拉框中选择接入设备所属的业务分组。将接入设备加入不同的业务分组以便进行分权管理。
¡ 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果[用户>接入策略管理>业务参数配置>系统配置>系统参数配置]中的密钥显示方式设置为明文时,只需输入一次共享密钥即可。
¡ 接入位置分组:在下拉框中选择接入设备需要加入的接入位置分组。可选项包括EIA中已经存在的接入位置分组和“无”。接入位置分组是区分终端用户的接入条件之一。
本例中公共参数只需要输入共享密钥\确认共享密钥“movie”,其他保持默认即可。
(5) 单击<手工增加>按钮,增加地址“1.2.4.199”的设备,如图6所示。
(6) 单击<确认>按钮,增加接入设备完成。
(1) 选择“用户”页签。
(2) 在左导航树中点击[接入策略管理>接入策略管理]菜单项,进入接入策略管理页面,如图7所示。
(3) 单击<增加>按钮,进入增加接入策略页面,如图8所示。由于不需要任何接入控制,所以只需输入接入策略名,其他参数保持默认即可。
(4) 配置完成后,单击<确定>按钮,接入策略增加完成。
(1) 选择“用户”页签。
(2) 在左导航树中点击[接入策略管理>接入服务管理]菜单项,进入接入服务管理页面,如图9所示。
(3) 单击<增加>按钮,进入增加接入服务页面。
¡ 服务名:本案例中配置为“VPN网关接入服务”。
¡ 缺省接入策略:选择4.1.3 增加接入策略配置的“VPN网关接入策略”。
其它参数保持缺省值即可,如图10所示。
(4) 配置完成,单击<确定>按钮,增加接入服务完成。
(1) 选择“用户”页签。
(2) 在左导航树中点击[接入用户管理>接入用户]菜单项,进入接入用户管理页面,如图11所示。
(3) 单击<增加>按钮,进入增加接入用户页面,配置如下参数,如图12所示。
¡ 用户姓名:选择已存在的基本用户“wang”。
¡ 帐号名:设置为“wang”。
¡ 密码/密码确认:设置接入用户的密码。
¡ 接入服务:勾选4.1.4 增加接入服务的“VPN网关接入服务”。
(1) 进入系统视图。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[h3c]interface GigabitEthernet1/0/11
[h3c-GigabitEthernet1/0/11]port link-mode bridge
[h3c-GigabitEthernet1/0/11]quit
(2) 配置GigabitEthernet1/0/11所属VLAN 1接口地址
[h3c]interface Vlan-interface1
[h3c-Vlan-interface1]ipv6 address 2020:4c::10/64
[h3c-Vlan-interface1]undo ipv6 nd ra halt
[h3c-Vlan-interface1]quit
(3) 创建RADIUS策略market
[h3c]radius scheme market
[h3c-radius-market]primary authentication 1.2.4.159
[h3c-radius-market]primary accounting 1.2.4.159
[h3c-radius-market]key authentication simple expert
[h3c-radius-market]key accounting simple expert
[h3c-radius-market]user-name-format without-domain
[h3c-radius-market]quit
(4) 创建domain
[h3c]domain market
[h3c-isp-market]authorization default radius-scheme market
[h3c-isp-market]authorization default radius-scheme market
[h3c-isp-market]accounting default radius-scheme market
[h3c-isp-market]quit
(5) 配置虚接口网关地址,EIA服务器与此虚接口网段路由可达
[h3c]interface SSLVPN-AC1
[h3c-SSLVPN-AC1]ip address 192.168.2.1 255.255.255.0
(6) 创建安全域并将接口加入安全域。
[h3c]security-zone name Trust
[h3c-security-zone-Trust]import interface GigabitEthernet1/0/1
[h3c-security-zone-Trust]import interface GigabitEthernet1/0/11
[h3c-security-zone-Trust]import interface SSLVPN-AC1
[h3c-security-zone-Trust]import interface Vlan-interface1
[h3c-security-zone-Trust]import ipv6 2020:4C7::64
[h3c-security-zone-Trust]quit
(7) 配置安全策略
[h3c]security-policy ip
[h3c-security-policy-ip]rule 0 name 0
[h3c-security-policy-ip]action pass
[h3c-security-policy-ip]quit
[h3c]security-policy ipv6
[h3c-security-policy-ipv6]rule 0 name test
[h3c-security-policy-ipv6]action pass
(8) 配置ACL
[h3c]acl advanced 3000
[h3c-acl-ipv4-adv-3000]rule 0 permit ip
[h3c-acl-ipv6-adv-3000]quit
[h3c]acl ipv6 advanced 3000
[h3c-acl-ipv6-adv-3000]rule 0 permit ipv6
[h3c-acl-ipv6-adv-3000]quit
(9) 创建源安全域到目的安全域的域间实例,并应用ACL。
[h3c]zone-pair security source Any destination Any
[h3c-zone-pair-security-Any-Any]packet-filter 3000
[h3c-zone-pair-security-Any-Any]packet-filter ipv6 3000
[h3c-zone-pair-security-Any-Any]quit
[h3c]zone-pair security source Any destination Trust
[h3c-zone-pair-security-Any-Trust]packet-filter 3000
[h3c-zone-pair-security-Any-Trust]packet-filter ipv6 3000
[h3c-zone-pair-security-Any-Trust]quit
[h3c]zone-pair security source Local destination Trust
[h3c-zone-pair-security-Local-Trust]quit
[h3c]zone-pair security source Trust destination Any
[h3c-zone-pair-security-Trust-Any]packet-filter 3000
[h3c-zone-pair-security-Trust-Any]packet-filter ipv6 3000
[h3c-zone-pair-security-Trust-Any]quit
[h3c]zone-pair security source Trust destination Local
(10) 配置安全域内部报文默认为允许
[h3c]security-zone intra-zone default permit
(11) 配置PKI域cert
[h3c]pki domain cert
[h3c-pki-domain-cert]public-key rsa general name cert length 2048
[h3c-pki-domain-cert]undo crl check enable
(12) 配置SSL服务器端策略cert,引用配置的kpi domain cert
[h3c]ssl server-policy cert
[h3c-ssl-server-policy-cert]pki-domain cert
[h3c-ssl-server-policy-cert]session cachesize 1000
(13) 配置SSL VPN网关的IP地址,引用SSL VPN策略,开启SSL VPN网关
[h3c]sslvpn gateway ipv6c
[h3c-sslvpn-gateway-ipv6c]ipv6 address 2020:4C7::10
[h3c-sslvpn-gateway-ipv6c]ssl server-policy cert
[h3c-sslvpn-gateway-ipv6c]service enable
(14) 创建地址池
[h3c]sslvpn ip address-pool ippool 192.168.2.100 192.168.2.200
[h3c]sslvpn ipv6 address-pool poo_v6 2020:4C7::200 2020:4C7::800
(15) 配置SSL VPN访问实例,配置SSL VPN访问实例使用ISP域market进行AAA认证
[h3c]sslvpn context market
[h3c-sslvpn-context-market]geteway ipv6c domin market
[h3c-sslvpn-context-market]aaa domin market
[h3c-sslvpn-context-market]ip-tunnel interface SSLVPN-AC1 //配置SSL VPN访问实例使用虚接口SSLVPN-AC1,用于PC客户端认证。
(16) 配置路由表信息,确保到EIA服务器路由可达
[h3c-sslvpn-context-market]ip-route-list iplist
[h3c-sslvpn-context-market-route-list-iplist]include 1.2.4.0 255.255.255.0
[h3c-sslvpn-context-market-route-list-iplist]include 192.168.2.0 255.255.255.0
[h3c-sslvpn-context-market-route-list-iplist]quit
(17) 创建SSL VPN策略组pg1,对IP/Web/TCP接入方式进行ACL过滤
[h3c-sslvpn-context-market]policy-group pg1
[h3c-sslvpn-context-market-policy-group-pg1]filter ip-tunnel ac1 3000
[h3c-sslvpn-context-market-policy-group-pg1]filter web-access ac1 3000
[h3c-sslvpn-context-market-policy-group-pg1]filter tcp-access ac1 3000
[h3c-sslvpn-context-market-policy-group-pg1]ip-tunnel access-route ip-route-list iplist //应用路由表策略表
[h3c-sslvpn-context-market-policy-group-pg1]quit
(18) 引用地址池并配置缺省策略组
[h3c-sslvpn-context-market]ip-tunnel address-pool ippool mask 255.255.255.0 //引用地址池ippool
[h3c-sslvpn-context-market]ip-tunnel ipv6 address-pool poo_v6 prefix 64 //引用地址池poo_v6
[h3c-sslvpn-context-market]default-policy-group pg1
(1) SSL VPN属性设置完成后,打开SSL VPN连接,如图13所示。
(2) 输入网关IPv6地址,点击刷新
图标;输入用户名和密码,并选择域market,如图14所示。
图15 连接成功
认证成功后,可以在EIA中的在线用户列表中查看认证成功的在线用户。
(1) 选择“用户”页签。
(2) 在左导航树中点击[接入用户管理>在线用户]菜单项,进入本地在线用户页面,可查看认证成功的在线用户。
支持
售前咨询
售后咨询
人工在线咨询
