- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
02-iMC EIA 802.1X认证+PC绑定配置案例
本章节下载: 02-iMC EIA 802.1X认证+PC绑定配置案例 (1.74 MB)
802.1X认证+PC绑定
典型配置举例
资料版本:5W109-20230706
产品版本:EIA 7.3 (E0630)
Copyright © 2025 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
PC绑定主要指将接入帐号与终端计算机名、IP地址、域用户等身份信息绑定。该功能用于增强用户认证的安全性,防止接入帐号盗用和非法接入。
适用于要求接入帐号绑定设备或终端等信息的企业网或校园网。
终端用户必须使用iNode客户端连接网络。
本案例以802.1X认证为例,介绍接入帐号绑定终端IP地址和MAC地址的配置过程。
EIA服务器IP地址为192.168.40.139,接入设备IP地址为192.168.30.100。PC使用的是Windows操作系统,并安装了iNode客户端。
注:本案例中各部分使用的版本如下:
· EIA版本为iMC EIA 7.3 (E0630)
· 接入设备为H3C S3600V2-28TP-EI Comware Software, Version 5.20, Release 2103
· iNode版本为iNode PC 7.3 (E0585)
图1 PC绑定认证
配置EIA服务器时,需要配置以下功能:
· 接入设备
· 接入策略
· 接入服务
· 接入用户
增加接入设备是为了建立iMC服务器和接入设备之间的联动关系。
增加接入设备的方法如下:
(1) 选择“用户”页签。
(2) 单击导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项,进入接入设备配置页面,如图2所示。
(3) 单击<增加>按钮,进入增加接入设备页面,如图3所示。
(4) 配置接入设备。
配置接入设备有两种方法:
¡ 在设备列表中单击<选择>按钮从iMC平台中选择设备
¡ 在设备列表中单击<手工增加>按钮,手工配置接入设备。
无论采用哪种方式接入设备的IP地址都必须满意以下要求:
¡ 如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致。
¡ 如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。
从iMC平台中选择设备时,设备的IP地址无法修改。因此如果设备加入iMC平台时使用的IP地址不满足上述要求,则可以采用手工增加的方式增加接入设备。本例采用手工增加的方式进行说明。
单击设备列表中的<手工增加>按钮,弹出手工增加接入设备窗口,如图4所示。输入接入设备的IP地址,单击<确定>按钮,返回增加接入设备页面。
图4 手工输入接入设备的IP地址
(5) 配置公共参数。
公共参数的配置要求如下:
· 认证端口:EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。
· 计费端口:EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。
目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。
· 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果[用户>接入策略管理>业务参数配置>业务参数配置]系统参数中的“密钥显示方式”设置为明文时,只需输入一次共享密钥即可,本例配置为“fine”。
¡ 其他参数:保持默认。
本例只需要配置共享密钥,其他参数采用系统默认值。增加接入设备的配置结果如图5所示。
图5 增加接入设备配置信息
(6) 单击<确定>按钮,增加接入设备完毕,进入结果显示页面。单击“返回接入设备列表”链接,返回接入设备配置页面,可在接入设备列表中查看新增的接入设备,如图6所示。
在接入策略中配置用户的PC认证绑定信息。
PC绑定包括绑定用户IP地址、绑定用户MAC地址、绑定计算机名等,本案例以绑定用户IP地址和绑定用户MAC地址为例说明PC绑定的配置过程。
增加接入策略的方法如下:
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > 接入策略管理”菜单项,进入接入策略管理页面,如图7所示。
(2) 单击<增加>按钮,进入增加接入策略页面,如图8所示。
¡ 接入策略名:输入接入策略的名称。
¡ 认证绑定信息:勾选“绑定用户IP地址”选项和“绑定用户MAC地址”选项。
¡ 其它参数使用系统默认值。
(3) 单击<确定>按钮,接入策略增加完毕。返回接入策略管理页面,可在接入策略列表中查看新增的接入策略,如图9所示。
接入服务是对用户进行认证授权的各种策略的集合。由于本案例对用户只进行PC绑定接入控制,因此只需要增加一条简单的接入服务即可。
增加接入服务的方法如下:
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > 接入服务管理”菜单项,进入接入服务管理页面,如图10所示。
(2) 单击<增加>按钮,进入增加接入服务页面,如图11所示。配置服务的基本参数。
¡ 服务名:输入服务名称,在EIA中必须唯一。
¡ 服务后缀:服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见表1。
¡ 缺省接入策略:选择之前新增的接入策略。
¡ 其他参数:保持缺省值。
表1 iMC中服务后缀的选择
|
认证连接用户名 |
设备用于认证的Domain |
设备Radius scheme中的命令 |
iMC中服务的后缀 |
|
X@Y |
Y |
user-name-format with-domain |
Y |
|
user-name-format without-domain |
无后缀 |
||
|
X |
[Default Domain] 设备上指定的缺省域 |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
(3) 单击<确定>按钮,接入服务增加完毕。返回接入服务管理页面,可在接入服务列表中查看新增的接入服务,如图12所示。
接入用户是用户接入网络时使用的身份证,包含帐号名、密码和使用的服务等信息。
增加接入用户的方法如下:
(1) 选择“用户”页签,单击导航树中的“接入用户管理 > 接入用户”菜单项,进入接入用户页面,如图13所示。
图13 接入用户页面
(2) 单击<增加>按钮,进入增加接入用户页面。输入用户姓名、证件号码、帐号名及密码,选择接入服务,如图14所示。
参数说明:
· 用户姓名:输入用户姓名的方式有如下两种:
¡ 方式一:单击“选择基本用户”图标,弹出选择用户窗口。单击<查询>按钮,可以查询出所有已存在的基本用户,选择用户后单击<确定>按钮。
¡ 方式二:在用户姓名后的输入框中输入用户名,输入证件号码以及其他参数后单击<确定>按钮。
¡ 帐号名:输入用于认证的帐号名,在EIA中必须唯一。
· 密码/确认密码:输入两次相同的密码。
· 接入服务:选择之前增加的接入服务。
· 其他参数:保持缺省值。
(3) 单击<确定>按钮,返回接入用户页面。可在列表中查看增加的接入用户,如图15所示。
(4) 在接入用户列表中,单击帐号名链接,可以查看该接入用户的详细信息。新增接入用户的终端绑定信息为空,如图16所示。
接入设备用于控制用户的接入。只有认证通过的用户才可以接入网络。
配置接入设备时,推荐按照以下顺序进行配置:
以下使用Windows的CLI窗口Telnet到接入设备并进行配置,具体的配置命令及其说明如下:
认证、计费服务器都指向EIA,认证、计费端口与EIA中增加3.2.1 1. 接入设备时的配置保持一致。
<Device>system-view
[Device]radius scheme pcbind
[Device-radius-pcbind]primary authentication 192.168.40.139 1812
[Device-radius-pcbind]primary accounting 192.168.40.139 1813
认证、计费共享密钥与EIA中增加3.2.1 1. 接入设备时的配置保持一致。
[Device-radius-pcbind]key authentication fine
[Device-radius-pcbind]key accounting fine
本地采用携带Domain的认证方式。EIA、设备中配置的搭配关系请参见表1。
[Device-radius-pcbind]user-name-format with-domain
[Device-radius-pcbind]quit
根据表1中的搭配,domain的名称必须与EIA中3.2.1 3. 接入服务的后缀保持一致。
[Device]domain 5315
认证、授权、计费都采用之前配置的Radius scheme pcbind。
[Device-isp-5315]authentication lan-access radius-scheme pcbind
[Device-isp-5315]authorization lan-access radius-scheme pcbind
[Device-isp-5315]accounting lan-access radius-scheme pcbind
[Device-isp-5315]quit
只有在全局和接口上都启用802.1X认证,802.1X认证才生效。
[Device]dot1x
802.1X is enabled globally.
[Device]dot1x interface GigabitEthernet1/0/14
802.1X is enabled on port GigabitEthernet1/0/14.
802.1X的认证方式包括PAP、CHAP和EAP。如果进行证书认证,则必须设置为EAP。
[Device]dot1x authentication-method chap
当前EIA适配所有版本的iNode,iNode的版本可以按需进行选择。
(1) 在iNode PC客户端主页面,选择“802.1X连接”,展开802.1X连接区域,如图17所示。
(2) 输入正确的用户名和密码后,单击<连接>按钮,iNode客户端开始认证。认证成功可在EIA在线用户页面查看在线用户。
为了使EIA获取到iNode客户端的IP地址,在802.1X连接的属性中,必须勾选“上传IPv4地址/上传IPv6地址”项。
在EIA配置页面中,选择“用户”页签,单击导航树中的“接入用户管理 > 在线用户”菜单项,查看在线用户,如图18所示。
用户认证成功后,EIA对终端绑定的IP地址和MAC地址进行了自学习。接入用户信息页面的绑定信息区域显示了终端的IP地址和MAC地址,如图19所示。
图19 查看PC绑定自学习结果
认证成功后,修改终端的IP地址,然后再进行认证。认证失败,提示IP地址绑定检查失败。
认证失败原因分析:
接入用户的IP地址发生了变化,与EIA服务器中当前接入用户绑定的终端IP不一致,所以认证失败。
图20 IP地址绑定检查
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
