- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
14-H3C EIA 802.1X认证+防代理典型配置举例-整本手册.pdf (1.94 MB)
H3C EIA 802.1X认证+防代理
典型配置举例
资料版本:5W117-20240515
产品版本:EIA (E6203)
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
防IE代理和防服务器代理用于防止接入用户非法获取网络的访问权限。例如,某台电脑具有特殊的接入访问权限(例如访问互联网、使用通讯软件QQ、MSN等),而其它电脑则没有这种权限。但是其它电脑可以通过这台电脑装的代理服务器来非法获取这种特殊的接入权限。通过iNode客户端、智能管理中心与接入设备可以实现防代理功能。
适用于需要限制接入用户使用IE代理或者代理服务器的网络。
终端用户必须使用iNode客户端连接网络。
某公司计划利用EIA的防IE代理和防代理服务器功能,限制用户上网时使用代理的行为。
本案例以802.1X认证为例,介绍使用EIA防IE代理和防代理服务器的配置过程。组网方式如图1所示。
· EIA服务器IP地址192.168.7.196,在集群部署环境中,会涉及EIA服务器IP地址使用北向业务虚IP还是所在实际节点IP的问题,该地址请务必填写为北向业务虚IP,查看方式如下:
a. 打开浏览器输入https://ip_address:8443/matrix/ui,打开matrix页面。其中,ip_address为北向业务虚IP或节点IP。
b. 选择“部署”页签,单击[集群]菜单项,切换至“集群参数”页签,进入集群参数页面。
c. 该页面中的北向业务虚IP即为EIA服务器的IP地址。
· 接入设备的IP地址为:172.19.254.177。
· 终端用户主机中安装的是iNode客户端,使用的是IE浏览器,代理服务器软件为CCProxy。
注:本案例中使用的软件或硬件版本如下:
· EIA版本:EIA (E6203)
· 接入设备为H3C S5560-54C-PWR-EI Comware Software, Version 7.1.045, Release 1122P01
· iNode版本为iNode PC 7.3 (E0558)
配置EIA服务器时,需要配置以下功能:
· 接入设备
· 接入策略
· 接入服务
· 接入用户
· 代理服务器检测参数
增加接入设备是为了建立EIA服务器和接入设备之间的联动关系。
增加接入设备的方法如下:
(1) 选择“自动化”页签。
(2) 在左导航树中单击[用户业务>接入服务>接入设备]菜单项,进入接入设备配置页面,如图2所示。
(3) 单击<增加>按钮,进入增加接入设备页面,如图3所示。
接入配置参数
¡ 认证端口/计费端口:此处的配置必须与接入设备命令行配置的端口保持一致。本例采用缺省值1812和1813。
目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。
¡ 接入设备类型:在下拉框中选择接入设备的厂商和类型。下拉框中包含了Standard、EIA系统预定义和管理员自定义的厂商和类型。支持标准RADIUS协议的设备都可以选择Standard。系统预定义的厂商和类型有以下几种,包括H3C(General)、3COM(General)、HUAWEI(General)、CISCO(General)、RG(General)、HP(MSM)、HP(Comware)、MICROSOFT(General)、JUNIPER(General)、HP(ProCurve)和ARUBA(General),本例以“H3C(General)”为例。
¡ 业务类型:在下拉框中选择接入设备所属的业务分组。将接入设备加入不同的业务分组以便进行分权管理。
¡ 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果在[自动化>用户业务>接入参数>系统配置>系统参数配置]中的“密钥显示方式”设置为明文时,只需输入一次共享密钥即可,本例以“expert”为例。
¡ 接入位置分组:在下拉框中选择接入设备需要加入的接入位置分组。可选项包括EIA中已经存在的接入位置分组和“无”。接入位置分组是区分终端用户的接入条件之一。
(4) 在设备列表中单击<增加IPv4设备>按钮,手工配置接入设备。无论采用哪种方式接入设备的IP地址都必须满足以下要求:
¡ 如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致。
¡ 如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。
填入接入设备信息,如图4所示。
(5) 单击<确定>按钮,返回增加接入设备页面,参数设置完成后的效果图如图5所示。
(6) 单击<确定>按钮,增加接入设备完成。在列表中查看新增的接入设备,如图6所示。
本案例中防IE代理和防代理服务器需要在接入策略中配置。
增加接入策略的方法如下:
(1) 选择“自动化”页签。
(2) 在左导航树中点击[用户业务>接入服务>接入策略]菜单项,进入接入策略页面,如图7所示。
(3) 单击<增加>按钮,进入增加接入策略页面。
¡ 在基本信息区域,输入接入策略的名称。
¡ 在用户客户端配置区域:
- 勾选“仅限iNode客户端”。
- 勾选“禁止开设代理服务器”和“禁止IE设置代理”。
- 其他参数保持缺省值即可。
配置完成的界面效果如图8所示。
参数说明:
¡ 接入时段:选择了某一接入时段策略后,使用此规则的用户只能在接入时段策略中定制的时间段内允许接入。
¡ 分配IP地址:是否下发用户IP地址。
¡ 上行、下行速率:根据设定的上下行速率来限制用户使用该规则上网时的上传、下载速率。
¡ 优先级:它的高低确定了在网络拥塞时转发报文的优先顺序,此参数应从设备支持的优先级中选取,数值越小优先级越高。配置错误可能导致用户无法上线。
¡ 首选EAP类型/子类型:进行EAP认证时,RADIUS服务器优先下发给客户端的EAP类型。包括:EAP-MD5、EAP-TLS、EAP-TTLS和EAP-PEAP。当首选EAP类型为EAP-TTLS和EAP-PEAP时,还需要首选EAP-MSCHAPv2,EAP-MD5和EAP-GTC其中的一种子类型。
- EAP-MD5:一种EAP认证方式,使用CHAP方式进行认证。
- EAP-TLS:是一种基于证书的身份认证,它需要PKI的部署来管理证书。它推荐进行服务器和客户端之间双向认证,认证双方是用证书来标识自己的身份。在认证通过之后,TLS的认证双方会协商出一个共享密钥、SessionId以及整套的加密套件(加密,压缩和数据完整性校验),这样认证双方就建立了一个安全可靠的数据传输通道。EAP-TLS是客户端和AAA服务器借助接入设备的透传,通过TLS协议进行的身份认证。EAP-TLS可以利用SessionId进行快速重认证,简化认证流程,加快认证速度,还对较大的TLS报文进行了分片处理。
- EAP-TTLS:是一种基于证书的身份认证,利用TLS认证在客户端和AAA服务器之间建立起一个安全通道,在安全通道内部再承载子类型。它具有保护用户标识和EAP认证的协商过程的作用。隧道内的子类型可以是EAP类型,也可以是非EAP类型。目前EIA支持TTLS下三个EAP的子类型(EAP-MSCHAPv2,EAP-MD5,EAP-GTC)。EIA在配置接入策略指定首选EAP类型为EAP-TTLS时,也必须首选一种EAP的子类型。在实际认证过程中,如果终端采用非EAP的子类型,如PAP,则终端可以忽略EIA的配置,使用终端配置的子类型进行认证。
- EAP-PEAP:是一种基于证书的身份认证,利用TLS认证在客户端和AAA服务器之间建立起一个安全通道,在安全通道上再发起EAP认证。它具有保护用户标识,保护EAP认证的协商过程的作用。目前EIA仅支持EAP-MSCHAPv2、EAP-MD5和EAP-GTC认证类型。
¡ EAP自协商:当客户端配置的EAP类型与EIA中配置的首选EAP类型不同时的处理方式。配置为“启用”时,EIA完全适应由客户端中配置的EAP认证方式,即无论客户端中配置什么类型的EAP认证,EIA都允许客户端继续认证。配置为“禁用”时,如果客户端配置的EAP类型与EIA中配置的首选EAP类型不同,则EIA拒绝其认证。
¡ 单次最大在线时长(分钟):使用该策略的接入帐号认证成功后可在线的最长时间,单位为分钟。该参数默认值为空,表示不限制;最小值为1,最大值为1440。如果帐号在线时间超过该参数值,EIA则强制该用户下线。
¡ 下发VLAN:设置向用户下发的VLAN,当接入设备类型为H3C(General)、Huawei(General)、HP(Comware)、3Com(General)时,如果配置的VLAN为1~4094,接入业务以整型的VLAN ID下发给设备,设备上的VLAN分配模式应为整型;所有其他值都以字符型VLAN NAME下发给设备,设备上VLAN分配模式应为字符型。其他设备类型都以字符型VLAN NAME下发给设备,设备上VLAN分配模式应为字符型,用户认证通过后将只能访问该VLAN的内部资源。
¡ 下发地址池:输入地址池名称。EIA将地址池名称下发给接入设备,接入设备根据下发的地址池名称寻找设备上对应的地址池,然后给用户分配该地址池中的IP地址。只有下发设备上配置了对应的地址池,该功能才生效。
¡ 下发User Profile:将用户配置文件名称下发给设备,实现基于用户的QoS功能。只有下发设备上已经配置完成了User Profile,User Profile才生效。
¡ 下发用户组:用户认证通过后向设备下发该用户所属的用户组,可以输入多个组,每个组以分号分隔。与ACG1000联动或与SSL VPN设备配合时,该属性才有效 。
¡ 下发ACL:设置向用户下发的访问控制列表。ACL列表可以从以下两种方式选择:
(1)手工输入。
(2)接入ACL列表:其值可以在接入ACL策略管理配置。
¡ 离线检查时长(小时):哑终端认证通过后向设备下发该参数,设备以该参数作为时间间隔,周期性检测哑终端是否已离线。该参数为空时,表示不检测;时长必须为整数,范围为[0,596523]。该参数只适用于哑终端。
¡ 认证绑定信息:目前接入策略管理与接入设备配合可对接入设备IP地址、端口、VLAN、QinQ双VLAN、接入设备序列号、用户IP地址、MAC地址、IMSI、IMEI、无线用户SSID和硬盘序列号进行绑定检查。iNode客户端与策略服务器配合可对用户IP地址、MAC地址、计算机名称、计算机域、用户登录域和硬盘序列号进行绑定检查。其中MAC地址绑定和IMSI绑定只能同时选择一个。当帐号用户申请具有绑定策略的服务时,可以设置相关的绑定信息,如果不设置,绑定时将采用自学习策略。所谓自学习就是绑定用户首次上网时所使用的相关参数,比如用户使用的服务采用自学习绑定用户IP地址,用户首次使用该业务上网时的IP地址为10.100.10.10,则今后用户只能通过使用这个IP地址才能通过认证。
- 启用终端MAC地址控制:该设置启用后,使用该服务的接入用户上线时,用户使用的MAC地址属于允许接入的接入MAC地址范围则可以成功上线,否则不能成功上线。接入MAC地址的详细配置请参见终端MAC地址池。
- 启用终端硬盘序列号控制:该设置启用后,使用该服务的接入用户上线时,如果该用户的硬盘序列号在允许接入硬盘序列号列表中,则用户成功上线,否则用户不能上线。特殊的,如果无法获取硬盘序列号则认证通过。只有在使用iNode PC客户端认证时该功能才生效。
- 启用无线SSID控制:启用该功能后,使用该服务的接入用户采用无线方式上线时,如果无线SSID列表中的接入控制类型为“禁止接入”,则禁止终端通过无线SSID列表中的SSID接入网络;如果接入控制类型为“允许接入”,则只允许终端通过无线SSID列表中的SSID接入网络。该功能必须和iNode PC客户端配合使用,EIA一旦将无线SSID池下发给iNode客户端,iNode就会在终端上保存该配置。后续无论使用iNode客户端还是使用Windows自带客户端,不管是否到EIA中认证,该配置都一直生效。
- 启用终端主板序列号控制:启用该参数后,使用该服务的接入用户上线时,如果该用户的主板序列号在允许接入主板序列号列表中,则用户认证成功,否则认证失败。特殊情况下,如果无法获取到主板序列号则允许用户认证通过。只有在使用iNode PC客户端认证时该功能才生效。
授权下发需要设备支持对应属性,认证绑定需要设备在RADIUS属性中上传对应信息。本例不对设备进行任何下发,因此保持默认。
(4) 单击<确定>按钮,接入策略增加完成。页面返回接入策略列表,在列表中查看新增的接入策略,如图9所示。
接入服务是对用户进行认证授权的各种策略的集合。本配置案例不对用户进行任何接入控制,因此增加一个简单的接入服务即可。
增加接入服务的方法如下:
(1) 选择“自动化”页签。
(2) 在左导航树中点击[用户业务>接入服务]菜单项,进入接入服务页面,如图10所示。
(3) 单击<增加>按钮,进入增加接入服务页面,如图11所示,配置参数如下:
¡ 服务名:本案例中配置为“防代理服务”。
¡ 服务后缀:服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见表1。
¡ 缺省接入策略:选择2. 接入策略配置的的“防代理策略”。
¡ 无感知认证:本案例中勾选“无感知认证”。勾选无感知认证后,用户在终端老化时间内首次上线需要认证,以后下线再次上线不需要重新认证;如果不勾选该项,用户下线后,再次上线都要重新认证。
¡ 缺省私有属性下发策略:不受接入位置分组限制的用户上网时,EIA会根据本参数指定的策略将私有属性下发到此用户连接的接入设备上。
¡ 缺省单帐号最大绑定终端数:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号最大绑定终端数的控制。该参数只有在部署了EIP组件后才会显示。
- 匹配的接入场景:EIA检查该场景中用户已经绑定的终端数量是否已达到数量限制,如果已达到数量限制,则拒绝用户认证;
- 所有服务中包含的场景:检查用户申请的所有服务中(包括服务中的所有场景)已绑定的终端数量,如果用户绑定的所有终端数量已达到终端管理参数中定义的“单帐号最大绑定终端数”数量限制,则EIA拒绝用户认证,否则允许用户继续认证。
¡ 缺省单帐号在线数量限制:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号在线数量限制的控制。
¡ 单日累计在线最长时间(分钟):每天允许帐号使用该服务接入网络的总时长,达到该时长后,帐号将被强制下线,且当日不能再次接入。该参数单位是分钟,只支持输入整数,最小值是0,表示不限制每天在线时长,最大值是1440。
¡ 服务描述:针对该服务的简单描述,以方便操作员的日常维护。
表1 EIA中服务后缀的选择
|
认证连接用户名 |
设备用于认证的Domain |
设备Radius scheme中的命令 |
EIA中服务的后缀 |
|
X@Y |
Y |
user-name-format with-domain |
Y |
|
user-name-format without-domain |
无后缀 |
||
|
X |
[Default Domain] 设备上指定的缺省域 |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
(4) 接入服务增加完成。返回接入服务页面,可在接入服务列表中查看新增的接入服务,如图12所示。
接入用户是用户接入网络时使用的身份证,包含帐号名、密码和使用的服务等信息。
增加接入用户的方法如下:
(1) 选择“自动化”页签。
(2) 在左导航树中单击[用户业务>接入用户]菜单项,进入接入用户页面,如图13所示。
(3) 在接入用户列表中单击<增加>按钮,进入增加接入用户页面,配置如下参数:
¡ 用户姓名、证件号码:用户的姓名及证件号码,本例分别以“user”和“111111”为例。
¡ 帐号名:唯一标识帐号用户的名称,用户使用该名称申请和使用服务,该名称不能与已有名称相同,不能包含如下特殊字符:#+/?%&=*'@\"[]()<>`和TAB键,且最大长度为200字符,本例以“user”为例。
¡ 密码/确认密码:输入两次相同的密码。
¡ 其他参数:保持缺省值。
配置完成的界面如图14所示。
(4) 单击<确定>按钮,接入用户增加完成。页面返回接入用户列表,在列表中查看新增的接入用户,如图15所示。
通常情况下,一台主机开设代理服务后,会给其他主机转发大量报文。EIA定义了检测代理服务器的参数,并将这些参数下发给iNode客户端,并由iNode客户端来判断主机是否开启了代理服务器。
在本案例中,有其他用户通过代理服务器发送非本地网段的内网报文,因此需要配置待检测的内网IP段。
配置代理服务器检测参数的方法如下:
(1) 选择“自动化”页签。
(2) 单击导航树中的[用户业务>业务参数>接入参数>系统配置]菜单项,进入系统配置页面,如图16所示。
(3) 在系统配置列表里,单击“代理服务器检测参数”右侧的
链接,进入代理服务器检测参数页面,如图17所示。
代理服务器检测参数具体包括:报文转发率、不进行检测的外网IP段、待检测的内网IP段。参数说明如下:
¡ 缺省情况下,不配置任何IP网段,iNode客户端统计认证网卡上所有来自外网的报文,以及经过此网卡发往本机网段的报文。例如,iNode客户端所在主机的IP地址为192.168.1.1/24,所有来自外网的报文以及发送到192.168.1.0/24网段的报文都会被iNode客户端统计。
¡ 如果配置了不进行检查的外网IP段,则来自于这些网段的报文不被统计。
¡ 如果配置了待检测的内网IP段,则发往这些网段的报文也一并统计。
(4) 单击待检测的内网IP段区域的<增加>按钮,进入增加IP段页面,输入IP地址并选择掩码长度,如图18所示。
图18 增加IP段页面
(5) 单击<确定>按钮,待检测的内网IP段增加完成。返回代理服务器检测参数页面,可在列表中查看新增的内网IP段,如图19所示。
接入设备用于控制用户的接入。通过认证的用户可以接入网络,未通过认证的用户无法接入网络。
本案例使用Windows的CLI窗口Telnet到接入设备并进行配置,具体的命令及其说明如下:
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C]radius scheme zz
New RADIUS scheme
[H3C-radius-zz]primary authentication 192.168.7.196 1812
[H3C-radius-zz]primary accounting 192.168.7.196 1813
//认证、计费服务器都指向EIA,认证、计费端口与EIA中3.2.1 1. 接入设备增加接入设备时的配置保持一致。
[H3C-radius-zz]key authentication simple movie
[H3C-radius-zz]key accounting simple movie
//认证、计费共享密钥与EIA中3.2.1 1. 接入设备增加接入设备时的配置保持一致。
[H3C-radius-zz]user-name-format with-domain
//本地采用携带Domain的认证方式。EIA、设备中配置的搭配关系请参见表1。
[H3C-radius-zz]quit
[H3C]domain 811
New Domain added.
//根据表1中的搭配,domain的名称必须与EIA中服务的后缀保持一致。
[H3C-isp-811]authentication lan-access radius-scheme zz
[H3C-isp-811]authorization lan-access radius-scheme zz
[H3C-isp-811]accounting lan-access radius-scheme zz
//认证、授权、计费都采用之前配置的Radius scheme zz。
[H3C-isp-811]quit
[H3C]dot1x
[H3C]interface GigabitEthernet 1/0/39
[H3C-GigabitEthernet 1/0/39]dot1x
[H3C-GigabitEthernet 1/0/39]quit
[H3C]dot1x authentication-method chap
//只有在全局和接口上都启用802.1X认证,802.1X认证才生效。
本案例使用iNode客户端中的802.1X认证连接进行验证。
当前EIA适配所有版本的iNode,iNode的版本可以按需进行选择。
iNode客户端认证上线后,会自动检测用户是否设置了IE代理,并一直监控用户的行为。一旦检测到用户设置了IE代理,即使没有使用,用户也会被强制下线。
(1) 开启IE代理功能。
(2) 打开iNode客户端,在802.1X连接区域输入用户名和密码后,单击<连接>按钮,开始认证,如图20所示。
图20 802.1X连接区域
(3) 认证通过后,当iNode客户端检测到用户设置了IE代理,用户被强制下线,如图21所示。
图21 禁用IE设置代理检测不通过
iNode客户端认证上线后,会自动检测用户是否对外提供代理服务,并一直监控用户的行为。一旦检测到用户对外提供代理服务,就会强制用户下线。
如果启用代理服务器,但不对外提供代理服务,则EIA不会强制该用户下线。
(1) 使用iNode的802.1X连接发起认证,并成功上线。
(2) 开启代理服务器,并对外提供代理服务。
在认证信息栏中可以看到,iNode客户端检测到用户对外提供代理服务,用户被强制下线。如图22所示。
支持
