H3C EAD 防内网外连

典型配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

资料版本：5W104-20230511

产品版本：EAD (E6204)

 

目  录

1 介绍··· 1

2 特性使用指南··· 1

2.1 使用场合·· 1

3 配置举例··· 1

3.1 组网需求·· 1

3.2 配置步骤·· 3

3.2.1 配置内网外连策略·· 3

3.2.2 配置EIA服务·· 11

3.2.3 配置接入设备·· 17

3.3 配置验证·· 18

1  介绍

EAD内网外连策略功能用于定义内网外连配置。服务配置可以在其接入服务中引用本配置。

防内网外连表示不允许终端用户访问外网的功能。可以根据用户在线或离线的情况通过不同的ACL规则进行控制。如果用户认证时使用的iNode客户端不包含防内网外连功能，用户将无法通过认证。

2  特性使用指南

2.1  使用场合

在企业、学校或者其他需要对终端用户内网外连，进行允许或禁止等控制的环境。

3  配置举例

3.1  组网需求

某公司计划启用防内网外连控制，用户接入网络后对其访问的地址进行控制，具体的组网如图2所示。

 

·     EIA&EAD服务器IP地址为172.19.206.7。服务器IP地址查看方式如下：

 

a.     打开浏览器输入https://ip_address:8443/matrix/ui，打开matrix页面。其中，ip_address为北向业务虚IP或节点IP。

b.     选择“部署”页签，单击“集群”菜单项，切换至“集群参数”页签，进入集群参数页面。

c.     该页面中的北向业务虚IP即为EIA服务器的IP地址，如图1所示。

图1 查看EIA服务器IP地址

 

·     接入设备用户侧GigabitEthernet1/0/16所在VLAN的虚接口Vlan-interface 108的IP地址为108.108.108.1。

·     PC的IP地址为108.108.108.3。其中，PC上安装Windows操作系统，并准备iNode客户端。

图2 组网图

 

 

注：本案例中各部分使用的版本如下：

·     EIA&EAD版本：EIA (E6204)、EAD (E6204)

·     接入设备：H3C S5820V2-54QS-GE

·     iNode版本：iNode PC 7.3 (E0585)

3.2  配置步骤

3.2.1  配置内网外连策略

内网外连策略主要包含在线非认证网卡ACL、离线ACL等。内网外连策略可以通过安全策略下发给iNode客户端。iNode客户端根据策略，允许或禁止终端用户的网络访问行为。

本例以禁止用户访问10.10.10.2外网地址为例，进行配置介绍。

1. 客户端ACL

(1)     选择“自动化”页签，单击导航树中的“终端业务 > 终端安全管理 > 配置检查项”菜单项，点击“访问控制”页签中的“客户端ACL”，如图3所示。

图3 客户端ACL页面

 

(2)     单击<增加>按钮，进入增加客户端ACL页面，增加客户端ACL名称为“在线ACL”，默认动作为允许，如图4所示。

图4 增加客户端ACL

 

参数说明：

¡     ACL规则默认动作：客户端在对除ACL中包括的规则集所控制的报文以外，其它报文的处理方式。包括允许和拒绝两个选项。

¡     客户端ACL名称不能与已存在的客户端ACL名重复。每条ACL必须包含至少一条ACL规则。

¡     业务分组：在[终端业务/终端安全管理/业务参数]页面中，“EAD业务分权”参数为“允许”时，才会出现。用于分权管理，使特定的人只能管理特性的业务，既职责分明，也不会互相越权。配置该ACL所属的业务分组，用于ACL的分权管理。

(3)     在ACL规则信息栏目，单击<增加>按钮，增加客户端ACL规则，匹配动作为“拒绝”，输入目的IP地址和掩码，如图5所示，点击<确定>按钮。客户端对符合该ACL规则条件的报文过滤，不允许其流出。

图5 增加客户端ACL规则页面

 

参数说明：

¡     匹配动作：表示对所控制报文所采取的动作，包括两种动作：允许和拒绝。

¡     协议：表示该规则控制的报文所属的协议。

¡     目的IP地址：报文流出的目的IP地址。

¡     掩码：目的IP地址的子网掩码。

¡     目的端口：报文流出的目的端口。

¡     源端口：报文流出的源端口。

¡     插入位置：该条规则在ACL规则列表中的位置。如输入1，就表示将该规则插在ACL规则列表中第一行，序号为1。当该值为空或输入的值大于ACL列表中的序号时，该规则将插入在ACL列表末尾。

(4)     单击<确定>按钮，可以在配置客户端ACL页面查看新增的“在线ACL”，如图6所示。

图6 配置客户端ACL页面

 

(5)     按照上述的方法，同样操作，新增“离线ACL”、“Ping通ACL”、“Ping不通ACL”，如图7所示。

图7 配置客户端ACL页面

 

2. 内网外连审计策略（可选）

(1)     选择“自动化”页签，单击导航树中的“终端业务 > 终端安全管理 > 配置检查项”菜单项，点击“访问控制”页签中的“内网外连审计策略”，如图8所示。

图8 内网外连审计策略页面

 

(2)     单击<增加>按钮，进入增加内网外连审计策略页面，如图9所示。

图9 增加内网外连审计策略

 

(3)     增加名称为“内网外连审计1”的内网外连审计策略。审计策略默认动作为不审计，在审计ACL规则信息栏目，增加一个目的IP地址为“10.10.11.12”的ACL规则信息（此目的IP地址为允许访问的外网IP地址），如图10所示。

图10 增加内网外连审计策略

 

参数说明：

¡     审计策略默认动作：客户端对除策略中包括的规则集所控制报文以外的其它报文的处理方式。包括审计和不审计两个选项。

¡     审计ACL规则列表：表示该策略所包括的规则集合。

-     协议：表示报文使用的协议。如果选择“所有IP协议”，则表示对所有IP报文进行控制。

-     是否审计：表示对报文所采取的动作，包括两种动作：审计和不审计。

-     目的IP地址：报文的目的IP地址。

-     掩码：目的IP地址的子网掩码。

-     目的端口：报文的目的端口。“目的端口”只有在“协议”为“TCP”或者“UDP”两种情况下才允许配置，“目的端口”缺省为0，表示任意端口。

 

(4)     单击<确定>按钮，增加审计ACL规则信息完毕。

(5)     单击<确定>按钮，增加内网外连审计策略完毕，可在内网外连审计策略列表中查看新增的内网外连审计策略，如图11所示。

图11 内网外连审计策略页面

 

3. 内网外连策略

(1)     选择“自动化”页签，单击导航树中的“终端业务 > 终端安全管理 > 配置检查项”菜单项，点击“访问控制”页签中的“内网外连策略”，如图12所示。

图12 内网外连策略页面

 

(2)     单击<增加>按钮，进入增加内网外连策略页面，增加名称为“内网外连1”的内网外连策略，如图13所示。

图13 增加内网外连策略页面

 

参数说明（部分参数需要勾选对应选框后才会出现）：

¡     根据用户是否在线配置防内网外连：防内网外连表示不允许iNode客户端访问外网的功能。仅关注用户是否在线，是指仅根据用户在线或离线的情况进行控制。选中该项后，如果用户认证时使用的iNode客户端不包含防内网外连功能，用户将无法通过认证。

-     在线非认证网卡ACL：用户在线时，非认证网卡生效的ACL。只有勾选了防内网外连才能配置该ACL，ACL对应的ACL规则在客户端ACL管理中配置。

-     离线ACL：用户离线时，所有网卡生效的ACL。只有勾选了防内网外连才能配置该ACL，ACL对应的ACL规则在客户端ACL管理中配置。

¡     根据能否Ping通特定IP配置防内网外连：该方式是对根据用户是否在线配置防内网外连的一种扩展，适合于区分内外网进行灵活配置的情形。选中该项后，如果用户认证时使用的iNode客户端不包含防内网外连功能，用户将无法通过认证。

-     目的IP地址一：Ping命令的目的IP地址，该IP地址必须输入。

-     目的IP地址二：Ping命令的目的IP地址，该IP地址可以保持为空。

-     Ping通离线ACL：用户离线时，如果能够Ping通目的IP地址中的任何一个，则该ACL生效。ACL对应的ACL规则在客户端ACL管理中配置。

-     Ping不通离线ACL：用户离线时，如果Ping不通所有的目的IP地址，则该ACL生效。ACL对应的ACL规则在客户端ACL管理中配置。

¡     Ping监控服务器来监控内网外连：启用该项后，iNode客户端在离线的情况下也会定时Ping监控服务器。如果能Ping通，则进行记录；并在iNode下次接入网络后，将记录上报给服务器，以供审计。

-     监控服务器IP：iNode客户端在离线情况下Ping的IP地址。该项只有选中“离线Ping监控服务器来监控内网外连”时才可见。

-     最大记录数：防内网外连配置离线监控最大记录数，超出的将自动覆盖旧的记录。该项功能只有选中“离线Ping监控服务器来监控内网外连”时才可见。

-     Ping间隔：iNode客户端Ping监控服务器的周期。该项功能只有选中“离线Ping监控服务器来监控内网外连”时才可见。

¡     启用内网外连访问审计：该设置启用后，使用该配置的接入用户上线后，iNode客户端将对用户访问外网的行为进行审计，并上报审计日志。如果用户认证时使用的iNode客户端不包含内网外连审计功能，用户将无法通过认证。

-     审计策略：此处的策略在内网外连访问审计策略管理中定义，审计策略将下发给客户端。客户端将根据策略对用户的外网访问进行审计。该选项只有选中“启用内网外连访问审计”时才可见。

-     审计日志上报周期：启用内网外连访问审计后，客户端根据该项参数，周期性上报审计日志。该项功能只有选中“启用内网外连访问审计”时才可见。

(3)     勾选“根据用户是否在线配置防内网外连”，“在线非认证网卡ACL”选择1. 客户端ACL章节客户端ACL列表里新增的“在线ACL”规则，“离线ACL”也选择之前新增的“离线ACL”规则，如图14所示。

图14 选择根据用户是否在线配置防内网外连

 

(4)     勾选“根据能否Ping通特定IP配置防内网外连”，设置目的IP地址一192.168.1.1，和目的IP地址二192.168.2.1（举例：目的IP可以是内网网关地址，用以判断终端是否在内网环境），“Ping通离线ACL”选择1. 客户端ACL章节客户端ACL列表里新增的“Ping通ACL”规则，“Ping不通离线ACL”也选择之前新增的“Ping不通ACL”规则，如图15所示。

图15 选择根据能否Ping通特定IP配置防内网外连

 

(5)     勾选“Ping监控服务器来监控内网外连”，启用该项后，iNode客户端在离线的情况下也会定时Ping监控服务器。如果能Ping通，则进行记录；并在iNode下次接入网络后，将记录上报给服务器，以供审计。“监控服务器IP”输入IP“114.114.114.114”，“最大记录数”为1000，“Ping间隔”为10分钟（保持默认值即可，也可结合具体需求更改），如图16所示。

图16 Ping监控服务器来监控内网外连

 

(6)     勾选“启用内网外连访问审计”后，使用该配置的接入用户上线后，iNode客户端将对用户访问外网的行为进行审计，并上报审计日志。如果用户认证时使用的iNode客户端不包含内网外连审计功能，用户将无法通过认证。“审计策略”选择之前在2. 内网外连审计策略章节内网外连审计策略列表里新增的“内网外联审计1”策略，“审计日志上报周期”为30分钟，如图17所示。

图17 启用内网外连访问审计

 

(7)     单击<确定>按钮，增加内网外连策略完毕，可以在内网外连策略页面，查看新增的“内网外连1”策略，如图18所示。

图18 内网外连策略列表页面

 

3.2.2  配置EIA服务

1. 增加接入设备

增加接入设备是为了建立EIA服务器和接入设备之间的联动关系。增加接入设备的方法如下：

(1)     选择“自动化”页签，单击导航树中的“用户业务 > 接入服务”菜单项，进入接入服务页面。单击“接入设备”TAB页，进入接入设备配置页面，如图19所示。

图19 接入设备配置页面

 

(2)     单击<增加>按钮，进入增加接入设备页面，如图20所示。

图20 增加接入设备

 

(3)     单击“设备列表”区域中的<增加IPv4设备>按钮，弹出增加接入设备窗口，如图21所示。输入接入设备的IP地址和名称，单击<确定>按钮，返回增加接入设备页面。其中，接入设备的IP地址必须满意以下要求：

¡     如果在接入设备上配置radius scheme时配置了nas ip命令，则EIA中接入设备的IP地址必须与nas ip的配置保持一致。

¡     如果未配置nas ip命令，则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址（或接口所在VLAN的虚接口IP地址）。

图21 手工增加接入设备

 

(4)     配置公共参数。公共参数的配置要求如下：

¡     认证端口：EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。

¡     计费端口：EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。

 

¡     共享密钥/确认共享密钥：输入两次相同的共享密钥。接入设备与EIA配合进行认证时，使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果系统参数中的“密钥显示方式”设置为明文时，只需输入一次共享密钥即可。

¡     其他参数保持默认。

本例以共享密钥\确认共享密钥“movie”为例进行介绍，其他保持默认即可，如图22所示。

图22 配置公共参数

 

(5)     单击<确定>按钮，增加接入设备完毕，可在接入设备列表中查看新增的接入设备，如图23所示。

图23 查看新增的接入设备

 

2. 增加接入策略

配置一个不进行任何接入控制的接入策略。增加接入策略的方法如下：

(1)     选择“自动化”页签，单击导航树中的“用户业务 > 接入服务”菜单项，进入接入服务页面。单击“接入策略”TAB页，进入接入策略页面，如图24所示。

图24 接入策略管理

 

(2)     单击<增加>按钮，进入增加接入策略页面，如图25所示。由于不需要任何接入控制，所以只需输入接入策略名，其他参数保持默认即可。

图25 增加接入策略

 

(3)     单击<确定>按钮，接入策略增加完毕。返回接入策略管理页面，可在接入策略列表中查看新增的接入策略，如图26所示。

图26 查看新增的接入策略

 

3. 增加接入服务

(1)     选择“自动化”页签，单击导航树中的“用户业务 > 接入服务”菜单项，进入接入服务页面，如图27所示。

图27 接入服务管理

 

(2)     单击<增加>按钮，进入增加接入服务页面，增加服务名并在缺省服务策略和缺省内网外连策略选择之前配置的接入策略“test”和内网外连策略“内网外连1”，并配置服务后缀为portal，如图28所示。

图28 增加接入服务

 

(3)     单击<确定>按钮，完成增加接入服务。返回接入服务管理页面，可在接入服务列表中查看新增的接入服务。

4. 增加接入用户

(1)     选择“自动化”页签，单击导航树中的“用户业务 > 接入用户”菜单项，进入接入用户页面，如图29所示。

图29 接入用户

 

(2)     单击<增加>按钮，进入增加接入用户页面，如图30所示。

参数说明

¡     账号名：唯一标识帐号用户的名称，用户使用该名称申请和使用服务，该名称不能与已有名称相同，不能包含如下特殊字符：#+/?%&=*'@\"[]()<>`和TAB键,且最大长度为200字符。帐号名支持中间含空格的形式。帐号名在帐号创建成功后不能修改，因此在修改接入用户页面，该字段不可修改。

¡     密码：密码用于身份验证，不可为空，且最大长度为32字符。

¡     允许用户修改密码：是否允许接入用户自行修改密码。如果设置为不允许用户修改密码，则“启用用户密码控制策略”和“下次登录须修改密码”这两个选项不可用。

¡     启用用户密码控制策略：该参数决定了接入用户通过客户端或用户自助服务平台修改密码时是否受密码控制策略的限制。

¡     接入服务：根据用户所在的用户分组，显示用户可以申请的接入服务列表。选中服务对应的复选框即可申请该服务（本手册增加的接入服务名称为“测试服务”）。一个帐号可以申请多个服务，但是不能申请2个或2个以上服务后缀相同的服务。如果申请某个分配IP地址的服务，则选中该服务后需要设定用户IP地址。服务的更多说明请参见接入服务管理的联机帮助。

图30 增加接入用户

 

(3)     单击<确定>按钮，完成增加接入用户，返回接入用户页面。可在接入用户列表中查看新增的接入用户，如图31所示。

图31 查看新增的接入用户

 

5. 配置Portal服务

 

3.2.3  配置接入设备

接入设备用于控制用户的接入。通过认证的用户可以接入网络，未通过认证的用户无法接入网络。

以下使用Windows的CLI窗口telnet到接入设备并进行配置，具体的命令及其说明如下：

(1)     进入系统视图。

<Device>system-view

System View: return to User View with Ctrl+Z.

(2)     配置RADIUS策略“allpermit”。认证、计费服务器均指向EIA。认证端口、计费端口、共享密钥要与EIA中增加接入设备时的配置保持一致。

[Device]radius scheme allpermit

New Radius scheme

[Device-radius-allpermit]primary authentication 172.19.206.7 1812

[Device-radius-allpermit]primary accounting 172.19.206.7 1813

[Device-radius-allpermit]key authentication simple movie

[Device-radius-allpermit]key accounting simple movie

[Device-radius-allpermit]user-name-format with-domain

[Device-radius-allpermit]nas-ip 172.19.254.177

[Device-radius-allpermit]quit

(3)     配置domain域“portal”，引用配置好的“allpermit”策略。domain的名称必须与EIA中服务的后缀保持一致（本手册以portal为例）。

[Device]domain portal

[Device-isp-portal]authentication portal radius-scheme allpermit

[Device-isp-portal]authorization portal radius-scheme allpermit

[Device-isp-portal]accounting portal radius-scheme allpermit

[Device-isp-portal]quit

(4)     配置Portal认证服务器：名称为myportal，IP地址指向EIA，key要与EIA上的配置一致。

[Device]portal server myportal

New portal server added.

[Device-portal-server-myportal]ip 172.19.206.7 key simple movie

[Device-portal-server-myportal]quit

(5)     配置Portal Web服务器的URL为http://172.19.206.7:9092/portal，要与EIA上的配置一致，可在服务器配置页面的“Portal主页”项中查看。

[Device]portal web-server myportal

New portal web-server added.

[Device-portal-websvr-myportal]url http://172.19.206.7:9092/portal

[Device-portal-websvr-myportal]quit

(6)     创建MAC绑定服务器。配置MAC绑定服务器的IP地址，服务器用来记录用户的Portal认证信息（用户名、密码）和用户终端MAC地址，并进行二者绑定，以便替代用户完成Portal认证。

配置命令

[Device]portal mac-trigger-server mstp

[Device-portal-mac-trigger-server mstp]ip 172.19.206.7 key simple movie

(7)     在接口GigabitEthernet1/0/16所在VLAN虚接口Vlan-interface 108上开启直接方式的Portal，引用Portal Web服务器myportal，设置发送给Portal认证服务器的Portal报文中的BAS-IP属性值。

[Device]interface Vlan-interface 108

[Device-Vlan-interface108]portal enable method direct

[Device-Vlan-interface108]portal apply web-server myportal

[Device-Vlan-interface108]portal apply mac-trigger-server mstp

 [Device-Vlan-interface108]portal bas-ip 108.108.108.1

[Device-Vlan-interface108]Portal domain portal

3.3  配置验证

用户使用PC接入内网进行iNode认证。

(1)     用户使用iNode客户端，输入用户名、密码等认证信息，进行上线认证。

(2)     身份认证通过后，iNode对用户内网外连行为进行控制。

(3)     用户访问10.10.10.2外网地址失败。