- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
18-iMC EIA 通用802.1X认证典型配置案例
本章节下载: 18-iMC EIA 通用802.1X认证典型配置案例 (990.00 KB)
iMC EIA通用802.1X认证
典型配置案例
资料版本:5W110-20241219
产品版本:iMC EIA 7.3 (E0630)
Copyright © 2025 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
EIA 通用802.1X认证是指通过802.1X协议进行用户身份验证,不包含任何接入控制和安全检查,仅进行身份验证。以下是有关EIA通用802.1X认证的一些关键点:
· 身份验证重点:EIA通用802.1X认证专注于身份验证过程,而不包含其他的接入控制和安全检查。这意味着,它的主要功能是验证用户或设备的身份,以确认其可被允许访问网络资源。
· 适用场景:这种认证方式适用于那些不需要严格接入控制和安全检查的网络环境,比如某些企业网或校园网。这样,尽管网络上可能存在多种设备和用户,认证过程仍能简化并专注于确认身份。
· 协议基础:802.1X是一种基于网络的访问控制协议,通常使用EAP(可扩展认证协议)进行认证。在这个框架中,客户端(称为“请求者”)、接入设备(通常是交换机或无线接入点,称为“验证者”)和身份验证服务器之间进行协作,以完成身份验证过程。
· 简化管理:由于不涉及复杂的安全策略和接入控制,EIA通用802.1X认证可以简化管理和配置过程,使网络管理人员更容易维护和运行认证系统。
EIA通用802.1X认证通常适用于那些需要身份验证但对接入控制和安全检查要求不高的网络环境。以下是一些典型的使用场景:
· 校园网:在大学或学校的网络中,EIA通用802.1X认证可以用于验证学生和教职工身份,使其能快速连接到校园网,而不需要复杂的安全检查。
· 中小型企业网:对于中小型企业,EIA通用802.1X认证可以为员工提供简化的网络访问验证,减少管理复杂性,同时满足基本的身份验证需求。
· 公开网络访问区域:例如在图书馆、公共机构或咖啡馆的Wi-Fi网络中,使用EIA通用802.1X认证可以在提供用户访问便利的同时进行基本身份确认。
· 访客网络:适用于不对访客网络施加严格接入控制的场所,提供基础的身份验证以便控制网络资源的使用。
这些场景的共同特点是网络环境相对开放,对安全检查的要求较低,但仍需要保证用户或设备的基本身份确认,以确保网络资源的合理使用和管理。
接入设备需支持802.1X协议。
某公司计划启用802.1X认证,用户接入网络时需要进行身份验证。具体的组网如图1所示。EIA服务器IP地址为192.168.40.237,接入设备IP地址为192.168.30.100。PC安装了Windows操作系统,并安装iNode客户端。
注:本案例中各部分使用的版本如下:
· EIA版本为iMC EIA 7.3 (E0630)
· 接入设备为H3C S3600V2-28TP-EI Comware Software, Version 5.20, Release 2103
· iNode版本为iNode PC 7.3 (E0585)
配置EIA服务器时,需要配置以下功能:
· 接入设备
· 接入策略
· 接入服务
· 接入用户
增加接入设备是为了建立iMC服务器和接入设备之间的联动关系。
增加接入设备的方法如下:
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项,进入接入设备配置页面,如图2所示。
(2) 单击<增加>按钮,进入增加接入设备页面,如图3所示。
(3) 配置接入设备。
配置接入设备有两种方法:
· 在设备列表中单击<选择>按钮从iMC平台中选择设备
· 在设备列表中单击<手工增加>按钮,手工配置接入设备。
无论采用哪种方式接入设备的IP地址都必须满足以下要求:
· 如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致。
· 如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。
从iMC平台中选择设备时,设备的IP地址无法修改。因此如果设备加入iMC平台时使用的IP地址不满足上述要求,则可以采用手工增加的方式增加接入设备。本例采用手工增加的方式进行说明。
单击设备列表中的<手工增加>按钮,弹出手工增加接入设备窗口,如图4所示。输入接入设备的IP地址,单击<确定>按钮,返回增加接入设备页面。
图4 手工输入接入设备的IP地址
(4) 配置公共参数。
公共参数的配置要求如下:
· 认证端口:EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。
· 计费端口:EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。
目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。
· 业务类型:在下拉框中选择该设备承载的业务,支持LAN接入业务和设备管理业务。如果设备的业务类型为“不限”,那么设备可以兼容“LAN接入业务”和“设备管理业务”两种类型;如果选择了“设备管理业务”,那么只能应用这一种类型。
· 强制下线方式:当服务器强制终端用户下线时为用户选择的下线方式。
¡ 断开用户连接:NAS设备通过Disconnect消息断开用户连接。
¡ Down-Up端口:NAS设备通过先Down掉连接用户端口,然后再重新UP端口使用户下线。
· 接入设备类型:在下拉框中选择接入设备的厂商和类型。下拉框中包含了Standard、EIA系统预定义和管理员自定义的厂商和类型。支持标准RADIUS协议的设备都可以选择Standard。系统预定义的厂商和类型有以下几种,包括H3C(General)、3COM(General)、HUAWEI(General)、CISCO(General)、RG(General)、HP(MSM)、HP(Comware)、MICROSOFT(General)、JUNIPER(General)和HP(ProCurve)。
· 业务分组:在下拉框中选择接入设备所属的业务分组。将接入设备加入不同的业务分组以便进行分权管理。
· 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果系统参数中的“密钥显示方式”设置为明文时,只需输入一次共享密钥即可。
· 接入设备分组:在下拉框中选择接入设备需要加入的接入设备分组。可选项包括EIA中已经存在的接入设备分组和“无”。接入设备分组是区分终端用户的接入条件之一。
· 下发User-Notify属性:通过User-Notify属性下发产品配置给终端,终端收到这些属性可以完成一些功能,比如发起安全检查。H3C的设备一般模式是下发;早期的设备标注是华为和3com的,配置为下发;其他设备比如思科,锐捷,配置为不下发;还有一些华为的新设备,设备自身重用了User-Notify属性不下发。
图5 公共参数配置
(5) 单击<确定>按钮,增加接入设备完毕,进入结果显示页面。单击“返回接入设备列表”链接,返回接入设备配置页面,可在接入设备列表中查看新增的接入设备,如图6所示。
配置一个不进行任何接入控制的接入策略。
增加接入策略的方法如下:
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > 接入策略管理”菜单项,进入接入策略管理页面,如图7所示。
(2) 单击<增加>按钮,进入增加接入策略页面,如图8所示。由于不进行任何接入控制,因此只需输入接入策略名,其他参数均保持为空即可。
(3) 单击<确定>按钮,接入策略增加完毕。返回接入策略管理页面,可在接入策略列表中查看新增的接入策略,如图9所示。
接入服务是对用户进行认证授权的各种策略的集合。本例不对用户进行任何接入控制,因此只需增加一个简单的接入服务即可。
增加接入服务的方法如下:
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > 接入服务管理”菜单项,进入接入服务管理页面,如图10所示。
(2) 单击<增加>按钮,进入增加接入服务页面,如图11所示。
配置服务的各个参数:
· 服务名:输入服务名称,在EIA中必须唯一。
· 服务后缀:服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见表1。
· 缺省接入策略:选择之前新增的接入策略。
· 其他参数:保持缺省值。
表1 iMC中服务后缀的选择
|
认证连接用户名 |
设备用于认证的Domain |
设备Radius scheme中的命令 |
iMC中服务的后缀 |
|
X@Y |
Y |
user-name-format with-domain |
Y |
|
user-name-format without-domain |
无后缀 |
||
|
X |
[Default Domain] 设备上指定的缺省域 |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
(3) 单击<确定>按钮,接入服务增加完毕。返回接入服务管理页面,可在接入服务列表中查看新增的接入服务,如图12所示。
接入用户是用户接入网络时使用的身份证,包含账号名、密码和使用的服务等信息。
增加接入用户的方法如下:
(1) 选择“用户”页签,单击导航树中的“接入用户管理 > 接入用户”菜单项,进入接入用户页面,如图13所示。
图13 接入用户页面
(2) 单击<增加>按钮,进入增加接入用户页面,如图14所示。
配置接入信息和接入服务:
· 用户姓名:
¡ 选择基本用户方式:单击“选择基本用户”图标,弹出选择基本用户窗口,输入基本用户姓名后单击<查询>按钮,可以查询出已存在的基本用户,勾选基本用户后单击<确定>按钮。若需为EIA中已存在的基本用户添加接入用户可选择此配置方式,一个基本用户下可存在多个接入用户,基本用户通过用户姓名和证件号码构成唯一标识。
¡ 直接配置方式:直接进行用户姓名填写。本例选择直接配置方式。
· 账号名:输入用于认证的账号名,在EIA中必须唯一。
· 密码/确认密码:输入两次相同的密码。
· 接入服务:选择之前增加的接入服务。
· 其他参数:保持缺省值。
参数设置完成后的效果图如图15所示。
(3) 单击<确定>按钮,接入用户增加完毕。返回接入用户页面,可在接入用户列表中查看新增的接入用户,如图16所示。
接入设备用于控制用户的接入。通过认证的用户可以接入网络,未通过认证的用户无法接入网络。
以下使用Windows的CLI窗口telnet到接入设备并进行配置,具体的命令及其说明如下:
<H3C>system-view
System View: return to User View with Ctrl+Z.
//创建RADIUS方案1xallpermit
[H3C]radius scheme 1xallpermit
New Radius scheme
//认证、计费服务器都指向EIA,认证、计费端口与EIA中增加接入设备时的配置保持一致。
[H3C-radius-1xallpermit]primary authentication 192.168.40.237 1812
[H3C-radius-1xallpermit]primary accounting 192.168.40.237 1813
//认证、计费共享密钥与EIA中增加接入设备时的配置保持一致。
[H3C-radius-1xallpermit]key authentication movie
[H3C-radius-1xallpermit]key accounting movie
//本地采用携带Domain的认证方式。EIA、设备中配置的搭配关系请参见3. (2)图11表1。
[H3C-radius-1xallpermit]user-name-format with-domain
[H3C-radius-1xallpermit]quit
//创建域391,根据3. (2)图11表1中的搭配,domain的名称必须与EIA中服务的后缀保持一致。
[H3C]domain 391
New Domain added.
//认证、授权、计费都采用之前配置的Radius scheme 1xallpermit。
[H3C-isp-391]authentication lan-access radius-scheme 1xallpermit
[H3C-isp-391]authorization lan-access radius-scheme 1xallpermit
[H3C-isp-391]accounting lan-access radius-scheme 1xallpermit
[H3C-isp-391]quit
//只有在全局和接口上都启用802.1X认证,802.1X认证才生效。
[H3C]dot1x
802.1X is enabled globally.
[H3C]dot1x interface Ethernet 1/0/1
802.1X is enabled on port Ethernet 1/0/1.
//802.1X的认证方式包括PAP、CHAP和EAP。如果进行证书认证,则必须设置为EAP。
[H3C]dot1x authentication-method chap
用户使用iNode PC客户端和配置的账号名、密码进行802.1X认证,最终用户通过认证,完成802.1X接入。
验证步骤如下:
注意,iNode客户端版本必须与iMC EIA配套,具体的配套关系请参见EIA版本说明书。
(1) 在iNode PC客户端主页面,选择“802.1X连接”,展开802.1X连接区域,如图17所示。
图17 iNode客户端主界面
(2) 输入用户名和密码后,单击<连接>按钮,开始认证。
(3) 认证成功的界面中连接状态会显示“已连接”,验证了本案例的配置正确。
在EIA配置页面中,选择“用户”页签,单击导航树中的“接入用户管理 > 在线用户”菜单项,默认进入本地在线用户页签页面,可查看在线用户,如图18所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
