- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
22-iMC EIA Portal认证(IPv6)典型配置举例
本章节下载: 22-iMC EIA Portal认证(IPv6)典型配置举例 (1.94 MB)
iMC EIA Portal认证(IPv6)
典型配置举例
资料版本:5W108-20221110
产品版本:EIA 7.3 (E0623)
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
通用Portal认证不包含任何接入控制和安全检查。用户身份验证成功后便可接入网络。
适用于需要Portal认证的企业网或校园网。
接入设备需支持Portal协议。
某公司计划启用Portal认证,用户接入网络时需要进行身份验证,具体的组网如图1所示,地址规划如下:
· EIA服务器IPv4地址为172.19.202.241,IPv6地址为2020::202:241。
· 接入设备用户侧GigabitEthernet1/0/47接口所属VLAN180口的IPv6地址为2021:180::1,EIA服务器侧GigabitEthernet1/0/1接口的IPv6地址为2021:252::2。
· PC的IPv6地址为DHCP方式获取,需安装Windows操作系统,并准备安装iNode客户端。
注:本案例中各部分使用的版本如下:
· EIA版本为EIA 7.3 (E623)
· 接入设备为H3C S5820V2-52Q Comware Software Version 7.1.059, ESS 0322
· iNode版本为iNode PC 7.3 (E0589)
配置步骤概述如下:
· 启用IPv6选项
· 配置EIA服务器
¡ 增加接入设备
¡ 增加接入策略
¡ 增加接入服务
¡ 增加接入用户
· 配置Portal服务
¡ 服务器配置
¡ IP地址组配置
¡ 设备配置
· 配置接入设备
(1) 选择“用户”页签,单击左侧菜单栏的“接入策略管理 > 业务参数配置 > 系统配置”菜单项,进入系统配置页面。单击模板名称为“系统参数配置”项对应“配置”列的配置图标
,进入系统参数配置页面。将“用户数据管理参数”区域的“启用IPv6”项置为“是”,如图2所示。
(2) 配置完成后,单击<确定>按钮,保存配置。
(1) 选择“用户”页签,单击左侧菜单栏的“接入策略管理 > 业务参数配置 > 系统配置”菜单项,进入系统配置页面。单击模板名称为“策略服务器参数配置”项对应“配置”列的配置图标
,进入策略服务器参数配置页面。勾选“在IPv6网络启用策略服务器”项,如图3所示。
(2) 配置完成后,单击<确定>按钮,保存配置。
增加接入设备是为了建立iMC服务器和接入设备之间的联动关系。增加接入设备的方法如下:
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项,进入接入设备配置页面,如图4所示。
(2) 单击<增加>按钮,进入增加接入设备页面,如图5所示。
图5 增加接入设备页面。
(3) 配置IPv6接入设备。
配置接入设备有两种方法:
· 在“设备列表”区域中单击<选择>按钮,从iMC选择IPv6设备。
· 在设备列表中单击<增加IPv6设备>按钮,手工配置IPv6接入设备。
无论采用哪种方式接入设备的IPv6地址都必须满意以下要求:
· 如果在接入设备上配置radius scheme时配置了nas-ip ipv6命令,则EIA中接入设备的IPv6地址必须与nas-ip ipv6的配置保持一致。
· 如果未配置nas-ip ipv6命令,则EIA中接入设备的IPv6地址必须是设备连接EIA服务器的接口IPv6地址(或接口所在VLAN的虚接口IPv6地址)。
从iMC中选择设备时,设备的IPv6地址无法修改。因此如果设备加入iMC时使用的IPv6地址不满足上述要求,则可以采用“增加IPv6设备”的方式增加接入设备。本例采用手工增加的方式进行说明。
单击设备列表中的<增加IPv6设备>按钮,弹出手工增加接入设备窗口,如图6所示。输入接入设备的IPv6地址,单击<确定>按钮,返回增加接入设备页面。
图6 手工增加IPv6接入设备
(4) 配置公共参数。公共参数的配置要求如下:
· 认证端口:EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。
· 计费端口:EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。
目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。
· 业务类型:接入设备所承载的业务类型。
· 强制下线方式:在下拉框中选择强制用户下线的方式,包括断开用户连接和Down-Up端口。前者表示EIA服务器向NAS设备下发Disconnect Message(DM)强制用户下线;后者表示EIA服务器向NAS设备下发Change-of-Authorization(CoA)消息强制用户下线,NAS设备收到CoA消息后先Down掉连接用户的端口,然后再重新UP该端口。
· 接入设备类型:在下拉框中选择接入设备的厂商和类型。下拉框中包含了Standard、EIA系统预定义和管理员自定义的厂商和类型。支持标准RADIUS协议的设备都可以选择Standard。系统预定义的厂商和类型有以下几种,包括H3C(General)、3COM(General)、HUAWEI(General)、CISCO(General)、RG(General)、HP(MSM)、HP(Comware)、MICROSOFT(General)、JUNIPER(General)、HP(ProCurve)和ARUBA(General)。
· 业务分组:在下拉框中选择接入设备所属的业务分组。将接入设备加入不同的业务分组以便进行分权管理。
· 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果“用户 > 接入策略管理 > 业务参数配置 > 系统配置 > 系统参数配置”中的密钥显示方式设置为明文,只需输入一次共享密钥即可。
· 其他参数保持默认。
本例中公共参数只需要输入共享密钥\确认共享密钥“movie”,其他保持默认即可,如图7所示。
(5) 单击<确定>按钮,增加接入设备完毕,进入结果显示页面。点击“返回接入设备列表”链接,返回接入设备配置页面,可在接入设备列表中查看新增的接入设备,如图8所示。
配置一个不进行任何接入控制的接入策略。增加接入策略的方法如下:
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > 接入策略管理”菜单项,进入接入策略管理页面,如图9所示。
(2) 单击<增加>按钮,进入增加接入策略页面,如图10所示。由于不需要任何接入控制,所以只需输入接入策略名,其他参数保持默认即可。
授权下发需要设备支持对应属性,认证绑定需要设备在RADIUS属性中上传对应信息。本例不对设备进行任何下发,因此保持默认。
(3) 单击<确定>按钮,接入策略增加完毕。返回接入策略管理页面,可在接入策略列表中查看新增的接入策略,如图11所示。
接入服务是对用户进行认证授权的各种策略的集合。本例不对用户进行任何接入控制,因此只需增加一个简单的接入服务即可。增加接入服务的方法如下:
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > 接入服务管理”菜单项,进入接入服务管理页面,如图12所示。
(2) 单击<增加>按钮,进入增加接入服务页面,如图13所示。
配置服务的各个参数:
· 服务名:输入服务名称,在EIA中必须唯一。
· 服务后缀:服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见表1。
· 业务分组:用于分权管理,使特定的人只能管理特性的业务,既职责分明,也不会互相越权。配置该服务所属的业务分组,用于该服务的分权管理。只有拥有该业务分组权限的管理员/维护员才能配置该业务分组。
· 缺省接入策略:选择之前新增的接入策略。
· 缺省安全策略:接入用户的接入场景与服务中的接入场景均不匹配时,会根据该安全策略指定的安全方案对用户的上网的计算机进行安全检查和监控,从而实现网络的自动防御。该选项只有安装了EAD安全策略组件后才会出现。
· 缺省内网外连策略:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省内网外连策略的控制。
· 缺省单帐号最大绑定终端数:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号最大绑定终端数的控制。该参数只有在部署了EIP组件后才会显示。
· 缺省单帐号在线数量限制:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号在线数量限制的控制。
· 业务分组:用于分权管理,使特定的人只能管理特性的业务,既职责分明,也不会互相越权。配置该服务所属的业务分组,用于该服务的分权管理。只有拥有该业务分组权限的管理员/维护员才能配置该业务分组。
· 单日累计在线最长时间(分钟):每天允许帐号使用该服务接入网络的总时长,达到该时长后,帐号将被强制下线,且当日不能再次接入。该参数单位是分钟,只支持输入整数,最小值是0,表示不限制每天在线时长,最大值是1440。
· 其他参数保持默认。
表1 iMC中服务后缀的选择
|
认证连接用户名 |
设备用于认证的Domain |
设备Radius scheme中的命令 |
iMC中服务的后缀 |
|
X@Y |
Y |
user-name-format with-domain |
Y |
|
user-name-format without-domain |
无后缀 |
||
|
X |
[Default Domain] 设备上指定的缺省域 |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
(3) 单击<确定>按钮,完成增加接入服务。返回接入服务管理页面,可在接入服务列表中查看新增的接入服务,如图14所示。
(1) 选择“用户”页签,单击导航树中的“接入用户管理 > 接入用户”菜单项,进入接入用户页面,如图15所示。
(2) 单击<增加>按钮,进入增加接入用户页面,配置接入信息和接入服务:
· 用户姓名:输入用户姓名的方式有如下两种:
¡ 方式一:单击“选择基本用户”图标,弹出选择用户窗口。单击<查询>按钮,可以查询出所有已存在的基本用户,选择用户后单击<确定>按钮。
¡ 方式二:在用户姓名后的输入框中输入用户名,输入证件号码以及其他参数后单击<确定>按钮。
· 帐号名:输入用于认证的帐号名,在EIA中必须唯一。
· 密码/确认密码:输入两次相同的密码。
· 接入服务:选择之前增加的接入服务。
· 其他参数:保持缺省值。
参数设置完成后的效果图如图16所示。
(3) 单击<确定>按钮,完成增加接入用户,返回接入用户页面。可在接入用户列表中查看新增的接入用户,如图17所示。
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > Portal服务管理 > 服务器配置”菜单项,进入服务器配置页面,如图18所示。
(2) 在服务类型列表中,单击<增加>按钮,弹出增加服务类型窗口,如图19所示。
输入服务类型标识和服务类型。
· 服务类型标识必须与之前增加服务的服务后缀相同。
· 服务类型是对服务类型标识的说明和区分。
(3) 单击<确定>按钮,完成增加服务类型。返回服务器配置页面。可在服务类型列表中查看新增的服务类型,如图20所示。
(4) 单击<确定>按钮,完成Portal服务器配置。
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > Portal服务管理 > IP地址组配置”菜单项,进入IP地址组配置页面,如图21所示。
图21 IP地址组配置
(2) 单击<增加>按钮,进入增加IP地址组页面,如图22所示。
图22 增加IPv6地址组
(3) 输入IP地址组名“portal_Jinice”,“IPv6”参数值选择“是”,起始地址2021:180::2和终止地址2021:180:ffff::255。IPv6地址属于该地址段的终端都可以进行认证。
(4) 单击<确定>按钮,完成增加地址组,返回IP地址组配置页面。可在IP地址组列表中查看新增的IPv6地址组,如图23所示。
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > Portal服务管理 > 设备配置”菜单项,进入设备配置页面,如图24所示。
(2) 单击<增加>按钮,进入增加设备信息页面,如图25所示。
配置如下信息:
· 设备名:输入设备名称“Jinice-Switch”。
· 版本:选择“Portal 3.0”。仅Portal 3.0版本支持IPv6。
· IP地址:输入设备的IPv6地址“2021:180::1”。
· 密钥\确认密钥:输入“iMC123”。密钥要与设备上配置的Portal服务器密钥保持一致。
· 组网方式:在下拉框中选择“直连”。
· 其他参数:保持默认值。
(3) 单击<确定>按钮,完成增加设备信息。返回设备配置页面,可在列表中查看新增的设备信息,如图26所示。
(4) 在设备信息列表中,单击操作列的端口组信息管理图标
,进入端口组信息配置页面,如图27所示。
(5) 单击<增加>按钮,进入增加端口组信息页面,如图28所示。
配置端口组信息:
· 端口组名:输入端口组的名称“port_portal”。
· IP地址组:选择之前配置的“portal_Jinice”。
· 其他参数:保持默认值。
(6) 单击<确定>按钮,完成增加端口组信息。返回端口组信息配置页面,可在端口组信息配置列表中查看新增的端口组信息,如图29所示。
接入设备用于控制用户的接入。通过认证的用户可以接入网络,未通过认证的用户无法接入网络。
以下使用Windows的CLI窗口telnet到接入设备并进行配置,具体的命令及其说明如下:
(1) 进入系统视图。
<Device>system-view
System View: return to User View with Ctrl+Z.
(2) 配置RADIUS策略“allpermit”。认证、计费服务器均指向EIA。认证端口、计费端口、共享密钥要与3.2.2 1. 增加接入设备中的配置保持一致。
[Device]radius scheme allpermit
New Radius scheme
[Device-radius-allpermit]primary authentication ipv6 2020::202:241 1812
[Device-radius-allpermit]primary accounting ipv6 2020::202:241 1813
[Device-radius-allpermit]key authentication simple movie
[Device-radius-allpermit]key accounting simple movie
[Device-radius-allpermit]user-name-format with-domain
[Device-radius-allpermit]nas-ip ipv6 2021:252::2
[Device-radius-allpermit]quit
(3) 配置domain域“ipv6”,引用配置好的“allpermit”策略。domain的名称必须与3.2.2 3. 增加接入服务中服务后缀保持一致。
[Device]domain ipv6
New Domain added.
[Device-isp-portal]authentication default radius-scheme allpermit
[Device-isp-portal]authorization default radius-scheme allpermit
[Device-isp-portal]accounting default radius-scheme allpermit
[Device-isp-portal]quit
(4) 配置Portal认证服务器:名称为portal,IP地址指向EIA,key要与3.2.3 3. 设备配置中的配置一致。
[Device]portal server portal
New portal server added.
[Device-portal-server-myportal]ipv6 2020::202:241 key simple iMC123
[Device-portal-server-myportal]quit
(5) 配置Portal Web服务器的URL为http://[2020::202:241]:8080/portal/,要与3.2.3 1. 服务器配置中的“Portal主页”项的配置一致,具体配置项如图18所示。
[Device]portal web-server portal
New portal web-server added.
[Device-portal-websvr-myportal]url http://[2020::202:241]:8080/portal/
[Device-portal-websvr-myportal]quit
(6) 将GigabitEthernet 1/0/47接口划分至VALN 180。
[Device-Gigabitethernet1/0/47]portal link-mode bridge
[Device-Gigabitethernet1/0/47]portal access vlan 180
[Device-Gigabitethernet1/0/47]quit
(7) 在VLAN180接口上开启直接方式的Portal,引用Portal Web服务器portal,设置发送给Portal认证服务器的Portal报文中的BAS-IP属性值,该BAS-IP需和3.2.3 3. 设备配置中的IP地址保持一致。
[Device]interface Vlan-interface 180
[Device-Vlan-interface180]ipv6 dhcp select relay
[Device-Vlan-interface180]ipv6 dhcp relay server-address 2021:207::50
[Device-Vlan-interface180]ipv6 address 2021:180::1/64
[Device-Vlan-interface180]portal ipv6 enable method direct
[Device-Vlan-interface180]portal bas-ipv6 2021:180::1
[Device-Vlan-interface180]portal ipv6 apply web-server portal
[Device-Vlan-interface180]quit
用户使用iNode PC客户端和配置的帐号名、密码进行Portal认证,最终用户通过认证,完成Portal接入。
验证步骤如下:
安装具有Portal接入功能的iNode客户端。
当前EIA适配所有版本的iNode,iNode的版本可以按需进行选择。
(1) 打开iNode客户端,选择Portal连接,单击右下角“更多”链接,单击弹出的“属性”链接,进入Portal认证属性配置页面,如图30所示。
图30 Portal认证属性配置
(2) 切换至“网络”页签,进入网络页面。使能“使用IPv6协议认证”项,单击<确定>按钮,保存配置,如图31所示。
用户登录成功后,若需在“在线用户”页面查看用户IPv6地址信息,需要对页面进行定制,定制步骤如下:
(1) 选择“用户”页签,单击左侧导航树中的“接入用户管理 > 在线用户”菜单项,进入在线用户页面,如图32所示。
(2) 单击<定制界面>按钮,进入界面显示项目列表页面,如图33所示。
(3) 选中“可选择项列表”中的“用户IPv6地址”项,单击右侧<复制>按钮
,将该项加入至“输出列表”中,如图34所示。
(4) 单击<确定>按钮,在页面中即可查看用户的IPv6地址,如图35所示。
(1) 在iNode PC客户端主页面,选择“Portal连接”,展开Portal连接区域。单击服务器文本框右侧的“刷新”图标
,iNode客户端会获取Portal服务器信息,获取成功后服务器信息自动填充在文本框中,如图36所示。
(2) 输入用户名和密码,选择服务类型为office-IPv6后,单击<连接>按钮,如图37所示,开始进行Portal认证。
图37 Portal认证页面
(3) 认证成功的界面如图38所示,验证了本案例的配置正确。
图38 Portal认证成功
(4) 选择“用户”页签,单击左侧导航树中的“接入用户管理 > 在线用户”菜单项,进入在线用户页面。在该页面中可以查看上线用户,如图39所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
