- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
05-iMC EIA 802.1X认证+接入设备绑定典型配置举例
本章节下载: 05-iMC EIA 802.1X认证+接入设备绑定典型配置举例 (858.27 KB)
iMC EIA 802.1X认证+接入设备绑定限制
典型配置举例
资料版本:5W112-20230608
产品版本:EIA 7.3 (E0623)
Copyright © 2025 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
用户接入网络时进行802.1X认证,第一次认证通过后绑定该用户所属接入设备及所属VLAN,再次认证时对用户进行接入检查。
适用于要求进行接入控制的企业网或校园网。
· 接入设备需支持802.1X协议。
· 用户PC已安装了iNode客户端。
某公司计划启用802.1X认证,用户接入网络时需要进行身份验证。具体的组网如图1所示,EIA服务器IP地址为192.168.1.200,接入设备IP地址为192.168.30.100,连接PC的端口为Interface Eth1/0/9,属于VLAN1。
本案例中各部分使用的版本如下:
· EIA版本为iMC EIA 7.3 (E0623);
· 接入设备为H3C S3600-28TP-EI Comware Software, Version 5.20, Release 2103;
· iNode版本为iNode PC 7.2 (E0402)。
配置EIA服务器时,需要配置以下功能:
· 接入设备
· 接入策略
· 接入服务
· 接入用户
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项,进入接入设备配置页面,如图2所示。
图2 接入设备配置
(2) 在接入设备列表中,单击<增加>按钮,进入增加接入设备页面,如图3所示。
(3) 增加接入设备。
增加接入设备有两种方法:
· 在设备列表中单击<选择>按钮从iMC平台中选择设备。
· 在设备列表中单击<手工增加>按钮,手工配置接入设备。
本例采用手工增加的方式进行说明。
a. 单击页面下方设备列表中的<手工增加>按钮,弹出手工增加接入设备窗口,如图4所示。
b. 输入接入设备的IP地址,单击<确定>按钮,页面返回增加接入设备页面。
图4 手工输入接入设备的IP地址
(4) 配置公共参数。
· 认证端口:EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致,一般都会采用默认端口1812。
· 计费端口:EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致,一般都会采用默认端口1813。
目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。
· 业务类型:在下拉框中选择该设备承载的业务,支持LAN接入业务和设备管理业务。如果设备的业务类型为“不限”,那么设备可以兼容“LAN接入业务”和“设备管理业务”两种类型;如果选择了“设备管理业务”,那么只能应用这一种类型。
· 强制下线方式:当服务器强制终端用户下线时为用户选择的下线方式。
¡ 断开用户连接:NAS设备通过Disconnect消息断开用户连接。
¡ Down-Up端口:NAS设备通过先Down掉连接用户端口,然后再重新UP端口使用户下线。
· 接入设备类型:在下拉框中选择接入设备的厂商和类型。
· 接入设备分组:在下拉框中选择接入设备需要加入的接入设备分组。接入设备分组是区分终端用户的接入条件之一。
· 共享密钥/确认共享密钥:接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。
· 业务分组:在下拉框中选择接入设备所属的业务分组。
· 下发User-Notify属性:通过User-Notify属性下发产品配置给终端,终端收到这些属性可以完成一些功能,比如发起安全检查。H3C的设备一般模式是下发;早期的设备标注是华为和3com的,配置为下发;其他设备比如思科,锐捷,配置为不下发;还有一些华为的新设备,设备自身重用了User-Notify属性不下发。
在本配置案例中,只需输入接入设备与EIA认证时使用的共享密钥,其他参数采用缺省值。
图5 公共参数配置
(5) 单击<确定>按钮,增加接入设备完毕,进入结果显示页面。点击“返回接入设备列表”链接,返回接入设备列表,在列表中查看新增的接入设备,如图6所示。
配置一个接入策略进行接入设备绑定,设备绑定限制包括绑定接入设备IP、绑定接入设备端口号、绑定VLAN等,本配置案例以绑定接入设备IP和绑定VLAN为例。
增加接入策略的方法如下:
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > 接入策略管理”菜单项,进入接入策略管理页面。
(2) 在接入策略列表中,单击<增加>按钮,进入增加接入策略页面,如图7所示。输入接入策略名,在认证绑定信息处选择绑定接入设备IP地址,绑定VLAN,其他项使用默认值。
(3) 单击<确定>按钮,接入策略增加完毕。页面返回接入策略列表,在列表中查看新增的接入策略,如图8所示。
接入服务是对用户进行认证授权的各种策略的集合,增加接入服务的方法如下。
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > 接入服务管理”菜单项,进入接入服务管理页面。
(2) 在接入服务列表中,单击<增加>按钮,进入增加接入服务页面,如图9所示。
配置服务的各个参数:
· 服务名:输入服务名称,在EIA中必须唯一。
· 服务后缀:服务后缀、认证连接的用户名、设备的Domain和设备RADIUS scheme中的命令这四个要素密切相关,具体的搭配关系请参见表1。
· 缺省接入策略:选择之前新增的接入策略。
其他参数保持缺省值。
表1 iMC中服务后缀的选择
|
认证连接用户名 |
设备用于认证的Domain |
设备Radius scheme中的命令 |
iMC中服务的后缀 |
|
X@Y |
Y |
user-name-format with-domain |
Y |
|
user-name-format without-domain |
无后缀 |
||
|
X |
[Default Domain] 设备上指定的缺省域 |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
(3) 单击<确定>按钮,接入服务增加完毕。页面返回接入服务列表,在列表中查看新增的接入服务,如图10所示。
接入用户是用户接入网络时使用的身份证,包含帐号名、密码和接入服务等信息。
增加接入用户的方法如下:
(1) 选择“用户”页签,单击导航树中的“接入用户管理 > 接入用户”菜单项,进入接入用户页面。
(2) 在接入用户列表中,单击<增加>按钮,进入增加接入用户页面。
(3) 配置接入信息和接入服务:
· 用户姓名:接入用户所关联的iMC平台用户。
· 帐号名:输入用于认证的帐号名,在EIA中必须唯一。
· 密码/密码确认:输入两次相同的密码。
· 接入服务:选择之前增加的接入服务。
参数设置完成后的效果图如图11所示。
(4) 单击<确定>按钮,接入用户增加完毕。页面返回接入用户列表,在列表中查看新增的接入用户,如图12所示。
(5) 单击帐号名“test”,可以查看接入用户的详细信息,新增加的接入用户绑定接入设备IP和设备VLAN的信息为空,如图13所示。
接入设备用于控制用户的接入,通过认证的用户才可以接入网络。
以下使用Windows的CLI窗口Telnet到接入设备并进行配置,具体的命令及其说明如下。
//认证、计费服务器都指向EIA,认证、计费端口与EIA中增加接入设备时的配置保持一致。
<AccDevice>system-view
System View: return to User View with Ctrl+Z.
[AccDevice]radius scheme devicebind
New Radius scheme
[AccDevice-radius-devicebind]primary authentication 192.168.1.200 1812
[AccDevice-radius-devicebind]primary accounting 192.168.1.200 1813
//认证、计费共享密钥与EIA中增加接入设备时的配置保持一致。
[AccDevice-radius-devicebind]key authentication iMC123
[AccDevice-radius-devicebind]key accounting iMC123
//在接入设备上使用nas ip命令配置IP地址,如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址。
[Device-radius-devicebind] nas-ip 192.168.30.100
//H3C设备可以将服务类型配置为Extended,这样设备可以更好的支持EAD功能。
[AccDevice-radius-devicebind]server-type extended
//本例采用携带Domain的认证方式。EIA、设备中配置的搭配关系请参见3.2.1 3. (2)表1。[AccDevice-radius-devicebind]user-name-format with-domain
//根据3.2.1 3. (2)表1中的搭配,Domain的名称必须与EIA中服务的后缀保持一致。
[AccDevice-radius-devicebind]quit
[AccDevice]domain h3c
New Domain added.
//认证、授权、计费都采用之前配置的Radius scheme devicebind。
[AccDevice-isp-h3c]authentication lan-access radius-scheme devicebind
[AccDevice-isp-h3c]authorization lan-access radius-scheme devicebind
[AccDevice-isp-h3c]accounting lan-access radius-scheme devicebind
//只有在全局和接口上都启用802.1X认证,802.1X认证才生效。
[AccDevice-isp-h3c]quit
[AccDevice]dot1x
802.1X is enabled globally.
[AccDevice]dot1x interface Ethernet1/0/9
802.1X is enabled on port Ethernet1/0/9.
//802.1X的认证方式包括PAP、CHAP和EAP。如果进行证书认证,则必须设置为EAP;如果使用Windows自带的客户端进行认证,则不能设置为PAP。
[AccDevice]dot1x authentication-method chap
//如果使用Windows自带的客户端进行802.1X认证,必须在接入设备上关闭端口的握手功能,否则可能导致Windows客户端掉线。如果使用iNode客户端,则没有此限制,关闭握手功能的方法如下。
[AccDevice]interface Ethernet 1/0/9
[AccDevice-Ethernet1/0/9]undo dot1x handshake
在iNode认证窗口中,选择“802.1X连接”,如图14所示。输入用户名/密码正确后,单击<连接>按钮,开始认证。认证成功后,如图15所示。
在EIA配置页面中,选择“用户”页签,单击导航树中的“接入用户管理 > 在线用户”菜单项,查看在线用户,如图16所示。
认证成功后,iMC系统对用户所属的接入设备IP地址和所属的VLAN进行自学习,如图17所示。
图17 查看PC绑定自学习结果
在EIA服务器上修改用户绑定的接入设备IP地址或所属的VLAN,将导致用户认证失败,本案例将演示修改服务器绑定的接入设备IP地址。
(1) 选择“用户”页签,单击导航树中的“接入用户管理 > 接入用户”菜单项,进入接入用户列表页面。
图18 接入用户列表
(2) 单击test用户的修改图标
,进入接入用户信息修改页面。
图19 接入用户信息修改
(3) 将服务器绑定的接入设备IP修改为192.168.30.40。
图20 修改接入设备IP地址
(4) 再次用iNode客户端进行认证,认证失败,原因是设备IP绑定检查失败,如图21所示。
图21 IP地址绑定检查
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
