- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
06-iMC EIA 802.1X认证+接入时间策略典型配置
本章节下载: 06-iMC EIA 802.1X认证+接入时间策略典型配置 (1.88 MB)
iMC EIA 802.1X+接入时间策略
典型配置
资料版本:5W109-20230706
产品版本:iMC EIA 7.3 (E0623)
Copyright © 2025 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
接入时段策略使接入用户可以在不同的接入时间使用不同的接入策略。本案例实现接入用户只能在特定时段通过802.1X认证接入网络的场景。
适用于需要控制认证上网时段的场合。
接入设备需支持802.1X协议。
某公司计划启用802.1X认证,用户在工作日工作时间(09:00~18:00)接入网络时需要进行802.1X认证,其他时间不允许接入网络。具体的组网如图1所示。EIA服务器IP地址为192.168.40.237,接入设备IP地址为192.168.30.100。PC安装了Windows操作系统、iNode客户端。本案例中各部分使用的版本如下:
· EIA版本为iMC EIA 7.3 (E0623)
· 接入设备为H3C S3600V2-28TP-EI Comware Software,Version 5.20,Release 2103
· iNode版本为iNode PC 7.3 (E0601)
配置EIA服务器时,需要完成以下操作:
· 增加接入设备
· 配置接入策略
· 增加接入条件-接入时段策略
· 增加接入服务
· 增加接入用户
(1) 选择“用户”页签,单击导航树中的[接入策略管理>接入设备管理>接入设备配置]菜单项,进入接入设备配置页面,如图2所示。
(2) 单击<增加>按钮,进入增加接入设备页面,如图3所示。
(3) 配置接入设备。配置接入设备有两种方法:
¡ 在设备列表中单击<选择>按钮从iMC平台中选择设备。
¡ 在设备列表中单击<手工增加>按钮,手工配置接入设备。
无论采用哪种方式,接入设备的IP地址都必须满足以下要求:
¡ 如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致。
¡ 如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。
从iMC平台中选择设备时,设备的IP地址无法修改。因此如果设备加入iMC平台时使用的IP地址不满足上述要求,则可以采用手工增加的方式增加接入设备。本例采用手工增加的方式进行说明。
单击设备列表中的<手工增加>按钮,弹出手工增加接入设备窗口,输入接入设备的IP地址,如图4所示。
图4 手工输入接入设备的IP地址
(4) 单击<确定>按钮,返回增加接入设备页面。
(5) 配置公共参数。公共参数的配置如表1所示,配置完成效果如图5所示。
|
参数 |
说明 |
|
认证端口 |
EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。 |
|
计费端口 |
EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。 |
|
业务类型 |
在下拉框中选择该设备承载的业务,包括LAN接入业务和设备管理业务。前者用于用户接入和使用网络,后者用于设备管理员登录和管理设备。支持的具体业务类型请以实际版本为准,本例选择“不限”。 |
|
接入设备类型 |
在下拉框中选择接入设备的厂商和类型。下拉框中包含了Standard、EIA系统预定义和管理员自定义的厂商和类型。支持标准RADIUS协议的设备都可以选择Standard。系统预定义的厂商和类型有以下几种,包括H3C(General)、3COM(General)、HUAWEI(General)、CISCO(General)、RG(General)、HP(MSM)、HP(Comware)、MICROSOFT(General)、JUNIPER(General)和HP(ProCurve)。 |
|
业务分组 |
在下拉框中选择接入设备所属的业务分组。将接入设备加入不同的业务分组以便进行分权管理。 |
|
共享密钥/确认共享密钥 |
输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果系统参数中的“密钥显示方式”设置为明文时,只需输入一次共享密钥即可。 |
|
接入位置分组 |
为接入设备指定接入位置分组。一个接入设备只能属于一个接入位置分组。 |
目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。
(6) 单击<确定>按钮,增加接入设备完毕,进入结果显示页面,如图6所示。
(7) 单击“返回接入设备列表”链接,返回接入设备配置页面,可在接入设备列表中查看新增的接入设备,如图7所示。
(1) 选择“用户”页签,单击导航树中的[接入策略管理>接入策略管理]菜单项,进入接入策略管理页面,如图8所示。
(2) 单击<增加>按钮,进入增加接入策略页面,配置参数说明如表2所示。本例因为不需要任何接入控制,所以输入接入策略名“access permit”后,其他参数保持默认即可,配置完成效果如图9所示。
增加接入策略时涉及配置参数较多,请按实际需求进行配置。如仅需体验或验证相关功能,可参考本例配置。
|
参数 |
参数说明 |
|
接入策略名 |
接入策略在接入业务中的唯一标识。 |
|
业务分组 |
用于分权管理,使特定的人只能管理特定的业务,既职责分明,也不会互相越权。配置该接入策略所属的业务分组,用于接入策略的分权管理。只有拥有该业务分组权限的管理员/维护员才能配置接入策略。 |
|
描述 |
针对该接入策略的描述,方便操作员的日常维护。 |
|
接入时段 |
选择了某一接入时段策略后,使用此规则的用户只能在接入时段策略中定制的时间段内允许接入。 |
|
分配IP地址 |
是否下发用户IP地址。当选择“是”时,则为用户选择使用此接入策略的服务时须填写要下发的IP地址,用户在使用此接入策略上线时,RADIUS服务器会把填写的IP地址下发给客户端,客户端会将此IP应用到所在终端并进行重认证。此外接入策略“用户客户端配置”区域的“IP地址获取方式”不要选择“必须动态获取”;如果接入策略勾选了“绑定用户IP地址”,需把下发给用户的IP地址加入该用户的绑定的IP地址中或保证可以通过自学习的方式绑定此IP地址,已使得用户可通过IP地址检查。 |
|
上行、下行速率 |
根据设定的上下行速率来限制用户使用该规则上网时的上传、下载速率。 |
|
优先级 |
其值高低确定了在网络拥塞时转发报文的优先顺序,此参数应从设备支持的优先级中选取,数值越小优先级越高。配置错误可能导致用户无法上线。 |
|
首选EAP类型/子类型 |
进行EAP认证时,RADIUS服务器优先下发给客户端的EAP类型。包括:EAP-MD5、EAP-TLS、EAP-TTLS和EAP-PEAP。当首选EAP类型为EAP-TTLS和EAP-PEAP时,还需要首选EAP-MSCHAPv2,EAP-MD5和EAP-GTC其中的一种子类型。 · EAP-MD5:一种EAP认证方式,使用CHAP方式进行认证。 · EAP-TLS:是一种基于证书的身份认证,它需要PKI的部署来管理证书。它推荐进行服务器和客户端之间双向认证,认证双方是用证书来标识自己的身份。在认证通过之后,TLS的认证双方会协商出一个共享密钥、SessionID以及整套的加密套件(加密,压缩和数据完整性校验),这样认证双方就建立了一个安全可靠的数据传输通道。EAP-TLS是客户端和AAA服务器借助接入设备的透传,通过TLS协议进行的身份认证。EAP-TLS可以利用SessionID进行快速重认证,简化认证流程,加快认证速度,可对较大的TLS报文进行分片处理。 · EAP-TTLS:是一种基于证书的身份认证,利用TLS认证在客户端和AAA服务器之间建立起一个安全通道,在安全通道内部再承载子类型。它具有保护用户标识和EAP认证的协商过程的作用。隧道内的子类型可以是EAP类型,也可以是非EAP类型。目前EIA支持TTLS下三个EAP的子类型(EAP-MSCHAPv2,EAP-MD5,EAP-GTC)和两个非EAP的子类型(MSCHAPv2,PAP)。EIA在配置接入策略指定首选EAP类型为EAP-TTLS时,也必须首选一种EAP的子类型。在实际认证过程中,如果终端采用非EAP的子类型,如PAP,则终端可以忽略EIA的配置,使用终端配置的子类型进行认证 · EAP-PEAP:是一种基于证书的身份认证,利用TLS认证在客户端和AAA服务器之间建立起一个安全通道,在安全通道上再发起EAP认证。它具有保护用户标识,保护EAP认证的协商过程的作用。目前EIA仅支持EAP-MSCHAPv2、EAP-MD5和EAP-GTC认证类型。 · EAP-SIM:是一种基于GSM-SIM卡的身份认证,EAP-SIM提供了双向认证,即服务器端认证客户端,客户端认证服务器端,只有双向认证通过之后,服务器端才发送EAP-Success消息至客户端,客户端才可以接入网络。同时,EAP-SIM认证机制还通过多次挑战响应机制,生成更强的会话密钥。 |
|
EAP自协商 |
当客户端配置的EAP类型与EIA中配置的首选EAP类型不同时的处理方式。 · 配置为“启用”时,EIA完全适应由客户端中配置的EAP认证方式,即无论客户端中配置什么类型的EAP认证,EIA都允许客户端继续认证。 · 配置为“禁用”时,如果客户端配置的EAP类型与EIA中配置的首选EAP类型不同,则EIA拒绝其认证。 |
|
单次最大在线时长(分钟) |
使用该策略的接入帐号认证成功后可在线的最长时间,单位为分钟。该参数默认值为空,表示不限制;最小值为1,最大值为1440。如果帐号在线时间超过该参数值,EIA则强制该用户下线。 |
|
在线最大时长预警阀值(分钟) |
达到最大在线时长下线提前预警,适用于使用iNode认证。该参数取值范围为1~1440,单位为分钟;默认值为20,表示将达到最大在线时长时提前20分钟预警。此功能必须启用策略服务器心跳,且心跳周期需要小于该参数值。 |
|
下发地址池 |
输入地址池名称。EIA将地址池名称下发给接入设备,接入设备根据下发的地址池名称寻找设备上对应的地址池,然后给用户分配该地址池中的IP地址。只有下发设备上配置了对应的地址池,该功能才生效。 |
|
下发VLAN |
设置向用户下发的VLAN。 · 当接入设备类型为H3C(General)、Huawei(General)、HP(Comware)、3Com(General)时,如果配置的VLAN为1~4094,接入业务将以整型的VLAN ID下发给设备,设备上的VLAN分配模式应为整型;所有其他值都以字符型VLAN NAME下发给设备,设备上VLAN分配模式应为字符型。 · 其他设备类型都以字符型VLAN NAME下发给设备,设备上VLAN分配模式应为字符型。 |
|
下发User Profile |
将用户配置文件名称下发给设备,实现基于用户的QoS功能。只有下发设备上已经配置完成了User Profile,User Profile才生效。 |
|
下发VSI名称 |
对于采用VXLAN组网的场景,Leaf设备作为接入设备时,可以下发VSI名称,将用户划分到相应的VXLAN中。 |
|
下发ACL |
设置向用户下发的访问控制列表。 |
|
离线检查时长 |
哑终端用户认证通过后向设备下发该参数,设备以该参数作为时间间隔周期性检测哑终端,如果在周期内未收到哑终端的报文,则断开该哑终端的连接并通知RADIUS服务器该哑终端用户已下线。该参数为空时,表示不检测;时长必须为整数,范围为[0,596523]。该参数只适用于哑终端。 |
|
认证密码方式 |
· 如果选择“帐号密码”,服务器只校验帐号密码。 · 如果选择“动态密码”,服务器只校验动态密码,动态密码可由短信、电子邮件两种方式发送给用户。 · 如果选择“帐号密码+动态密码”,服务器同时校验帐号密码和动态密码,动态密码由短信方式发送给用户。 · 如果选择“帐号密码+异步短信验证码”,服务器先校验帐号密码,帐号密码校验通过后再去校验短信验证码,验证码由短信方式发送给用户。 由于动态密码只支持PAP、EAP-MD5、EAP-PEAP/EAP-MD5和EAP-PEAP/EAP-GTCS四种认证方式,所以选择“动态密码”或“帐号密码+动态密码”时,认证方式只能配置为以上四种方式,“帐号密码+动态密码”仅适用于客户端认证。 |
(3) 单击<确定>按钮,返回接入策略管理页面,新增的接入策略显示在列表中,如图10所示。
(1) 选择“用户”页签,单击导航树中的[接入策略管理>接入条件管理>接入时段策略]菜单项,进入接入时段策略页面,如图11所示。
(2) 单击<增加>按钮,进入增加接入时段策略页面。
(3) 如图12所示,配置接入时段策略基本信息。
¡ 接入时段策略名:输入策略名称,在EIA中必须唯一,本例为“permit time”。
¡ 缺省接入类型:勾选“禁止接入”项。
¡ 其他参数:保持缺省值。
(4) 在接入时段列表区域单击<增加>按钮,弹出增加接入时段窗口,如图13所示。
a. 接入时段类型选择“周为周期”。
b. 接入类型选择“允许接入/匹配”项。
c. 接入时间段设置为星期一09:00:00~18:00:00。
d. 单击<确定>按钮,返回接入时段策略页面。
(5) 重复步骤(4)增加其他工作日09:00:00~18:00:00时间段。
(6) 单击<确定>按钮,完成增加接入时段策略,返回接入时段策略页面。可在列表中查看新增的接入时段策略,如图14所示。
(1) 选择“用户”页签,单击导航树中的[接入策略管理>接入服务管理]菜单项,进入接入服务管理页面,如图15所示。
(2) 单击<增加>按钮,进入增加接入服务页面,配置参数说明如表3所示。本例参考配置如下,配置完成效果如图16所示。
¡ 服务名:输入“802.1X service”。
¡ 服务后缀:输入“391”。
¡ 缺省接入策略:选择“禁止接入”。
¡ 其他参数:保持缺省值。
|
参数 |
参数说明 |
|
服务名 |
输入服务名称,其为特定服务在接入业务中的唯一标识。 |
|
服务后缀 |
服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见表4。 |
|
缺省接入策略 |
当接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省接入策略的控制。 |
|
缺省私有属性下发策略 |
不受接入位置分组限制的用户上网时,EIA会根据本参数指定的策略将私有属性下发到此用户连接的接入设备上。 |
|
缺省单帐号最大绑定终端数 |
接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号最大绑定终端数的控制。该参数只有在部署了EIP组件后才会显示。取值范围为0~999,值为0时表示不限制。 |
|
缺省单帐号在线数量限制 |
接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号在线数量限制的控制。取值范围为0~999,值为0时表示不限制。 |
|
服务描述 |
针对该服务的描述,以方便操作员的日常维护。 |
|
可申请 |
只有选中此项,用户在开户或修改帐户信息时才可以申请该服务。当系统启用按用户分组申请服务时,如果该服务已经指定给用户分组,那么无论该服务是否为可申请状态,属于该用户分组的接入用户都会申请该服务。 |
|
无感知认证 |
决定服务是否支持无感知认证功能。无感知认证是指终端通过网页方式进行认证,第一次认证时会强制推出认证页面,用户需要输入用户名和密码进行认证,第一次认证成功后,RADIUS服务器会将该终端的MAC地址和接入用户绑定(如果是Portal认证方式,还会和服务绑定),之后如果该智能终端再次接入网络,RADIUS服务器会根据终端的MAC地址自动匹配绑定的接入用户和服务,并自动进行认证,不会再强制推出认证页面,无需再次输入用户名和密码。 |
表4 iMC中服务后缀的选择
|
认证连接用户名 |
设备用于认证的Domain |
设备Radius scheme中的命令 |
iMC中服务的后缀 |
|
X@Y |
Y |
user-name-format with-domain |
Y |
|
user-name-format without-domain |
无后缀 |
||
|
X |
[Default Domain] 设备上指定的缺省域 |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
(3) 配置接入场景。单击<增加>按钮,进入增加接入场景页面。输入接入场景名称“允许接入时段”,选择之前配置的接入时段策略“permit time”和接入策略“access permit”。其他参数保持默认即可。配置完成效果如图17所示。
(4) 单击<确定>按钮,完成增加接入场景,返回增加接入服务页面。在接入场景列表中查看新增的接入场景,如图18所示。
(5) 单击<确定>按钮,完成增加接入服务,返回接入服务管理页面。在列表中查看新增的接入服务,如图19所示。
(1) 选择“用户”页签,单击导航树中的[接入用户管理>接入用户]菜单项,进入接入用户页面,如图20所示。
图20 接入用户页面
(2) 单击<增加>按钮,进入增加接入用户页面,如图21所示。
(3) 配置基本信息。用户姓名有以下两种配置方式:
¡ 选择基本用户方式:单击“选择基本用户”图标,弹出选择基本用户窗口,如图22所示,输入基本用户姓名后单击<查询>按钮,可以查询出已存在的基本用户,勾选基本用户后单击<确定>按钮。若需为EIA中已存在的基本用户添加接入用户可选择此配置方式,一个基本用户下可存在多个接入用户,基本用户通过用户姓名和证件号码构成唯一标识。
¡ 直接配置方式:在如图21所示中直接进行用户姓名填写,完成效果如图23所示。本例选择直接配置方式。
(4) 配置接入信息及接入服务。
¡ 帐号名:输入用于认证的帐号名,在EIA中必须唯一。
¡ 密码/确认密码:输入两次相同的密码。
¡ 接入服务:选择之前增加的接入服务。
¡ 其他参数:保持缺省值。
配置完成后的效果如图24所示。
(5) 单击<确定>按钮,接入用户增加完毕,返回接入用户页面。可在接入用户列表中查看新增的接入用户,如图25所示。
接入设备用于控制用户的接入。通过认证的用户可以接入网络,未通过认证的用户无法接入网络。
以下使用Windows的CLI窗口telnet到接入设备并进行配置,具体的命令及其说明如下:
(1) 进入系统视图。
<Device>system-view
System View: return to User View with Ctrl+Z.
(2) 配置RADIUS策略。认证、计费服务器均指向EIA。认证端口、计费端口、共享密钥要与EIA中增加接入设备时的配置保持一致。
[Device]radius scheme 1xallpermit
New Radius scheme
[Device-radius-1xallpermit]primary authentication 192.168.40.237 1812
[Device-radius-1xallpermit]primary accounting 192.168.40.237 1813
[Device-radius-1xallpermit]key authentication movie
[Device-radius-1xallpermit]key accounting movie
[Device-radius-1xallpermit]user-name-format with-domain
[Device-radius-1xallpermit]quit
(3) 配置domain域,引用上一步配置的RADIUS策略。domain的名称必须与EIA中服务的后缀保持一致。
[Device]domain 391
New Domain added.
[Device-isp-391]authentication lan-access radius-scheme 1xallpermit
[Device-isp-391]authorization lan-access radius-scheme 1xallpermit
[Device-isp-391]accounting lan-access radius-scheme 1xallpermit
[Device-isp-391]quit
(4) 全局和接口上都启用802.1X认证且采用CHAP认证方式。
[Device]dot1x
802.1X is enabled globally.
[Device]dot1x interface Ethernet 1/0/1
802.1X is enabled on port Ethernet1/0/1.
[Device]dot1x authentication-method chap
iNode客户端版本需与iMC EIA配套,具体配套关系请参见EIA相关版本说明书。
(1) 在iNode PC客户端主页面,选择“802.1X连接”,展开802.1X连接区域,如图26所示。
图26 802.1X连接主界面
(2) 输入用户名和密码后,单击<连接>按钮,如图27所示,开始认证。
¡ 用户在工作日09:00~18:00内进行认证时可以成功,如图28所示。
¡ 用户在工作日09:00~18:00外或非工作日进行认证时失败,认证信息打印在iNode客户端主窗口中,如图29所示。
在EIA配置页面中,选择“用户”页签,单击导航树中的[接入用户管理>在线用户]菜单项,查看在线用户,如图30所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
