- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
13-iMC EIA 穿越NAT的Portal认证典型配置举例
本章节下载: 13-iMC EIA 穿越NAT的Portal认证典型配置举例 (1.77 MB)
iMC EIA 穿越NAT的Portal认证
典型配置举例
资料版本:5W109-20221121
产品版本:EIA 7.3 (E0623)
Copyright © 2022新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本案例介绍了接入用户穿越NAT进行Portal认证的配置。
认证服务器(EIA)部署在公网中,内网用户穿越运营商(ISP)的NAT设备进行Portal认证。
· 接入设备需支持Portal协议。
· iMC服务器安装部署有EIA组件。
· 接入设备及NAT设备上的相关配置请以设备实际情况为准。
· NAT保护内网用户安全的特性使得EIA的消息下发功能无法使用,其他功能不受影响。
某企业的EIA服务器位于运营商(ISP)提供的公网中,包含Portal服务器和AAA服务器,企业内部网络与EIA服务器连接需要经过NAT转换。内部用户的PC上安装iNode智能客户端,通过Portal认证接入网络。开启认证服务的设备是与PC端最近的接入交换机。组网图如图1所示。
各部分使用的版本如下:
· EIA版本为EIA 7.3 (E0623),接入设备为H3C S5820V2-54QS-GE Comware Software, Version 7.1.045, ESS 2415
· NAT设备为H3C S5820V2-54QS-GE Comware Software, Version 7.1.045, ESS 2415
· iNode智能客户端版本为iNode PC 7.2 (E0403)
iNode客户端通过Portal方式认证上线,需要配置Portal服务。Portal服务需要配置下列内容:
· 服务器配置
· IP地址组配置
· 设备配置
(1) 选择“用户”页签,在左导航树中选择[接入策略管理/Portal服务管理/服务器配置]菜单项,进入Portal服务器配置页面,如图2所示。
图2 Portal服务器配置
(2) 接入设备上配置的Portal服务器URL与此处的Portal主页保持一致。根据实际情况配置各参数,本例采用默认值,单击页面下方的<确定>按钮,Portal服务器配置完成。
(1) 选择“用户”页签,在左导航树中选择[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入IP地址组配置页面,如图3所示。
图3 IP地址组配置页面
(2) 单击<增加>按钮,进入增加IP地址组页面,如图4所示。配置如下信息:
¡ IP地址组名:输入IP地址组的名称“natip”。
¡ 起始/终止地址:输入起始地址192.168.0.0和终止192.168.255.255。IP地址属于该地址段的终端都要进行认证。
¡ 类型:选择“NAT”。
¡ 转换后起始/终止地址:输入转换后起始地址“200.1.1.10”和转换后终止地址“200.1.1.29”。
图4 增加IP地址组
(3) 单击<确定>按钮,完成增加IP地址组,返回IP地址组配置页面。可在IP地址组列表中查看新增的IP地址组,如图5所示。
图5 查看新增的IP地址组
· 增加/修改IP地址组时,终止地址必须大于或等于起始地址。
· 起始/终止地址与NAT设备上配置的内网地址保持一致。
· 转换后起始/终止地址与NAT设备上配置的NAT地址池保持一致。
(1) 选择“用户”页签,在左导航树中选择[接入策略管理/Portal服务管理/设备配置]菜单项,进入设备配置页面,如图6所示。
图6 设备配置页面
(2) 单击<增加>按钮,进入增加设备信息页面,如图7所示。
图7 增加设备信息
(3) 配置如下信息:
¡ 设备名:输入设备的名称“accessdev”。
¡ IP地址:输入“200.1.1.51”,此处IP地址为接入设备连接用户的IP映射的静态IP。
¡ 密钥/确认密钥:输入“world”,密钥必须和接入设备上配置的Portal服务器的共享密钥一致。
¡ 组网方式:选择“直连”。组网方式选择直连时,用户在认证前通过手工配置或DHCP直接获取一个IP地址,只能访问Portal服务器,以及设定的免费访问地址。认证通过后即可访问网络资源。
¡ 其他参数:保持默认。
(4) 单击<确定>按钮,增加Portal接入设备完成。返回设备配置页面,可在Portal设备列表中查看新增的设备,如图8所示。
(5) 在新增的Portal设备对应的操作列中,点击“端口组信息管理”图标
,进入端口组信息配置页面,如图9所示。
(6) 单击<增加>按钮,进入增加端口组信息页面,如图10所示。配置如下信息:
¡ 端口组名:输入端口组的名称“natport”。
¡ 是否NAT:选择“是”。
¡ 认证方式:选择“CHAP认证”。
¡ IP地址组:选择之前增加的IP地址组“natip”。
¡ 其他参数:保持默认。
(7) 单击<确定>按钮,完成增加端口组信息。返回端口组信息配置页面,可在端口组列表中查看新增的端口组,如图11所示。
增加接入设备是为了建立iMC服务器和接入设备之间的联动关系。
增加接入设备的方法如下:
(1) 选择“用户”页签,在左导航树中选择[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,如图12所示。
(2) 单击<增加>按钮,进入增加接入设备页面,如图13所示。
(3) 配置接入设备。
增加接入设备有两种方法:
¡ 在设备列表中单击<选择>按钮,从iMC中选择设备。
¡ 在设备列表中单击<手工增加>按钮,手工增加接入设备。
无论采用哪种方式接入设备的IP地址都必须满意以下要求:
¡ 如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致。
¡ 如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。
从iMC中选择设备时,设备的IP地址无法修改。因此如果设备加入iMC时使用的IP地址不满足上述要求,则可以采用手工增加的方式增加接入设备。
本例采用手工增加的方式进行说明。单击设备列表中的<手工增加>按钮,弹出手工增加接入设备窗口,如图14所示。
(4) 输入接入设备的IP地址,单击<确定>按钮,返回增加接入设备页面。
(5) 配置公共参数,如图15所示。
公共参数的配置要求如下:
¡ 认证端口:EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。
¡ 计费端口:EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。
目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。
¡ 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果[用户>接入策略管理>业务参数配置>业务参数配置]系统参数中的“密钥显示方式”设置为明文时,只需输入一次共享密钥即可。
¡ 共享密钥/确认共享密钥配置为“hello”。
¡ 其他参数:保持默认。
(6) 单击<确定>按钮,增加接入设备完毕,进入结果显示页面。点击“返回接入设备列表”链接,返回接入设备配置页面,可在接入设备列表中查看新增的接入设备,如图16所示。
配置一个不进行任何接入控制的接入策略,因为接入策略是接入服务的必要条件。
增加接入策略的方法如下:
(1) 选择“用户”页签,在左导航树中选择[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面,如图17所示。
(2) 单击<增加>按钮,进入增加接入策略页面,如图18所示。由于不进行任何接入控制,此处只需输入接入策略名,其他参数保持默认即可。
(3) 单击<确定>按钮,接入策略增加完毕。返回接入策略管理页面,可在接入策略列表中查看新增的接入策略,如图19所示。
接入服务是对用户进行认证授权的各种策略的集合。
增加接入服务的方法如下:
(1) 选择“用户”页签,在左导航树中选择[接入策略管理/接入服务管理]菜单项,进入接入服务管理页面,如图20所示。
(2) 单击<增加>按钮,进入增加接入服务页面,如图21所示。配置服务的各个参数:
¡ 服务名:输入服务名称,在EIA中必须唯一。
¡ 服务后缀:服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见表1。
¡ 缺省接入策略:选择之前新增的接入策略。
¡ 其他参数:保持缺省值。
表1 iMC中服务后缀的选择
|
认证连接用户名 |
设备用于认证的Domain |
设备Radius scheme中的命令 |
iMC中服务的后缀 |
|
X@Y |
Y |
user-name-format with-domain |
Y |
|
user-name-format without-domain |
无后缀 |
||
|
X |
[Default Domain] 设备上指定的缺省域 |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
(3) 单击<确定>按钮,完成增加接入服务。返回接入服务管理页面,可在接入服务列表中查看新增的接入服务,如图22所示。
接入用户是用户接入网络时使用的身份证,包含帐号名、密码和使用的服务等信息。
增加接入用户的方法如下:
(1) 选择“用户”页签,在左导航树中选择[接入用户管理/接入用户]菜单项,进入接入用户页面,如图23所示。
图23 接入用户页面
(2) 单击<增加>按钮,进入增加接入用户页面,如图24所示。
(3) 配置接入信息和接入服务:
单击<选择基本用户>按钮,弹出选择用户窗口。单击<查询>按钮,可以查询出所有已存在的用户,如图25所示,选择一个用户后单击<确定>按钮。
¡ 用户姓名:输入认证用户名。
¡ 证件号码:输入证件号码。
¡ 帐号名:输入用于认证的帐号名,在EIA中必须唯一。
¡ 密码/确认密码:输入两次相同的密码。
¡ 接入服务:选择之前增加的接入服务。
¡ 其他参数:保持缺省值。
参数设置完成后的效果图如图26所示。
(4) 单击<确定>按钮,完成增加接入用户,返回接入用户页面。可在接入用户列表中查看新增的接入用户,如图27所示。
接入设备主要负责与Portal服务器和AAA服务器交互,因此必须配置RADIUS Scheme、Domain以及Portal特性。
(1) 创建RADIUS方案eia。
[AccessDev]radius scheme eia
(2) 将认证/计费服务器指向AAA服务器,监听端口与3.2.2 接入设备中配置保持一致。
[AccessDev-radius-eia]primary authentication 200.2.2.100 1812
[AccessDev-radius-eia]primary accounting 200.2.2.100 1813
(3) 配置认证/计费密钥,与3.2.2 接入设备中配置保持一致。
[AccessDev-radius-eia]key authentication hello
[AccessDev-radius-eia]key accounting hello
(4) iNode认证时的用户名、设备的Domain、iMC中服务后缀的配置约束关系参见表1,本例采用第一种搭配。
[AccessDev-radius-eia]user-name-format with-domain
[AccessDev-radius-eia]quit
(5) 新建Domain nat,Domain名称与3.2.4 接入服务中服务的后缀保持一致。
[AccessDev]domain nat
(6) 用户进行Portal接入时,认证/授权/计费都是用RADIUS方案eia。
[AccessDev-isp-nat]authentication portal radius-scheme eia
[AccessDev-isp-nat]authorization portal radius-scheme eia
[AccessDev-isp-nat]accounting portal radius-scheme eia
[AccessDev-isp-nat]quit
(1) 配置Portal认证服务器:名称为imc,IP地址指向EIA,key与3.2.1 3. 设备配置中配置Portal设备时的密钥保持一致。
[AccessDev]portal server imc
[AccessDev-portal-server-imc]ip 200.2.2.100 key simple world
[AccessDev-portal-server-imc]quit
(2) 配置Portal Web服务器的URL为http://200.2.2.100:8080/portal,要与3.2.1 1. 服务器配置中配置Portal服务器时的Portal主页保持一致。
[AccessDev]portal web-server imc
[AccessDev-portal-websvr-imc] url http://200.2.2.100:8080/portal
[AccessDev-portal-websvr-imc]quit
(3) 在接口Ethernet1/0/23上启用直接方式的Portal认证,从该接口接入的用户都要通过Portal认证后才能正常使用网络资源。
[AccessDev]interface Ethernet1/0/23
[AccessDev-Ethernet1/0/23]portal enable method direct
[AccessDev-Ethernet1/0/23]portal apply web-server imc
[AccessDev-Ethernet1/0/23]quit
接入设备要透过NAT设备与iMC交互报文,因此需要配置并应用NAT地址池;配置内网服务器,将接入设备的一些IP映射到公网上。
(1) NAT地址池需要限定进行NAT转换的内网地址的范围,因此先配置ACL来确定这一范围。
[NATDev]acl number 3000
(2) 本例中属于192.168.0.0/16的内网地址可以进行NAT转换。
[NATDev-acl-adv-3000]rule 0 permit ip source 192.168.0.0 0.0.255.255
[NATDev-acl-adv-3000]rule 1 deny ip
[NATDev-acl-adv-3000]quit
(3) 配置NAT地址池的公网地址。
[NATDev]nat address-group 0 200.1.1.10 200.1.1.29
(4) 在连接公网的接口上配置NAT地址池和ACL,配置完成后,192.168.0.0/16这一网段的机器访问公网时,报文都要进行NAT转换。
[NATDev]interface GigabitEthernet 0/1
[NATDev-GigabitEthernet0/1]nat outbound 3000 address-group 0
(5) 由于Portal认证使用UDP报文,因此开放UDP映射;将接入设备连接NAT设备的接口IP映射成静态地址。
[NATDev-GigabitEthernet0/1]nat static outbound 192.168.2.1 200.1.1.50
(6) 同样的方法将接入设备连接用户的IP地址进行静态映射。
[NATDev-GigabitEthernet0/1]nat static outbound 192.168.1.254 200.1.1.51
[NATDev-GigabitEthernet0/1]quit
(7) 进入GigabitEthernet0/1接口,开启接口上的NAT静态地址转换功能。
[NATDev]interface GigabitEthernet 0/1
[NATDev-GigabitEthernet0/1]nat static enable
用户使用iNode PC客户端进行Portal认证,验证认证是否成功。同时在iMC中查看在线用户的详细信息,确认用户穿越了NAT。
(1) 在iNode PC客户端主页面,选择“Portal连接”,展开Portal连接区域,点击服务器文本框右侧的“刷新”图标
,iNode客户端会获取Portal服务器信息,获取成功后服务器信息自动填充在文本框中,如图28所示。
(2) 输入用户名和密码后,单击<连接>按钮,如图29所示,开始进行Portal认证。
图29 Portal认证页面
(3) 认证成功的界面如图30所示。
图30 Portal认证成功
(1) 登录iMC,选择“用户”页签,在左导航树中选择[接入用户管理/在线用户]菜单项,进入在线用户页面。查看当前的在线用户,如图31所示。
(2) 点击natuser用户对应的操作列图标
,在弹出的下拉列表中选择“详细信息”项,进入在线用户详细信息页面,如图32所示。可以看到虽然Portal认证穿越了NAT,iMC仍然可以获取用户真实的IP。iMC可以获取接入设备的真实IP地址,同时可以获取接入设备进行NAT转换后的IP地址。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
