- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
23-iMC EIA 通用802.1X认证(IPv6)典型配置举例
本章节下载: 23-iMC EIA 通用802.1X认证(IPv6)典型配置举例 (1.20 MB)
iMC EIA 通用802.1X认证(IPv6)
典型配置举例
资料版本:5W108-20221110
产品版本:EIA 7.3 (E0623)
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
通用802.1X认证,不包含任何接入控制和安全检查,仅进行身份验证。
适用于不要求进行接入控制和安全检查的企业网或校园网。
接入设备需支持802.1X协议。
某公司计划启用802.1X认证,用户接入网络需要进行身份验证。具体组网如图1所示。IPv4地址为172.19.202.241,IPv6地址为2020::202:241,接入设备IPv6地址为2021:252::2。PC安装了Windows操作系统,并准备安装iNode客户端。
注:本案例中各部分使用的版本如下:
· EIA版本为EIA 7.3 (EIA E0623)
· 接入设备为H3C S7502E-XS Comware Software, Version 7.1.070, Release 7536P05
· iNode版本为iNode PC 7.3 (E0589)
配置EIA服务器时,需要配置以下功能:
· 启用EIA系统参数配置IPv6
· 接入设备
· 接入策略
· 接入服务
· 接入用户
(1) 进入[用户>接入策略管理>业务参数配置>系统配置]页面,单击“系统参数配置”后面的<配置>按钮,进入系统参数配置页面,“启用IPv6”参数选择“是”,单击<确定>按钮,“如图2所示:
(2) 选择“用户”页签,单击左侧菜单栏的“接入策略管理 > 业务参数配置 > 系统配置”菜单项,进入系统配置页面。单击模板名称为“策略服务器参数配置”项对应“配置”列的配置图标
,进入策略服务器参数配置页面。勾选“在IPv6网络启用策略服务器”项,如图3所示。
增加接入设备是为了建立iMC服务器和接入设备之间的联动关系,增加接入设备的方法如下:
(1) 选择“用户”页签,单击左侧导航树中的[接入策略管理>接入设备管理>接入设备配置]菜单项,进入接入设备配置页面,如图4所示。
(2) 单击<增加>按钮,进入增加接入设备页面,如图5所示。
(3) 配置接入设备。
配置接入设备有两种方法:
¡ 在设备列表中单击<选择>按钮从iMC平台中选择设备。
¡ 在设备列表中单击<手工增加>按钮,手工配置接入设备。
无论采用哪种方式接入设备的IP地址都必须满足以下要求:
¡ 如果在接入设备上配置radius scheme时配置了nas-ip ipv6命令,则EIA中接入设备的IPv6地址必须与nas-ip ipv6的配置保持一致。
¡ 如果未配置nas-ip ipv6命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IPv6地址)。
从iMC平台中选择设备时,设备的IPv6地址无法修改。如果设备加入iMC平台时使用的IPv6地址不满足上述要求,则可以采用手工增加的方式增加IPv6接入设备。
本例采用从平台中选择设备的方式进行配置。
单击设备列表中的<选择>按钮,弹出选择设备或接口窗口。选择IPv6接入设备。单击<确定>按钮,返回增加接入设备页面。
(4) 配置公共参数。
公共参数的配置要求如下:
¡ 认证端口:EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。
¡ 计费端口:EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。
目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。
¡ 业务类型:接入设备所承载的业务类型。
¡ 强制下线方式:在下拉框中选择强制用户下线的方式,包括断开用户连接和Down-Up端口。前者表示EIA服务器向NAS设备下发Disconnect Message(DM)强制用户下线;后者表示EIA服务器向NAS设备下发Change-of-Authorization(CoA)消息强制用户下线,NAS设备收到CoA消息后先Down掉连接用户的端口,然后再重新UP该端口。
¡ 接入设备类型:在下拉框中选择接入设备的厂商和类型。下拉框中包含了Standard、EIA系统预定义和管理员自定义的厂商和类型。支持标准RADIUS协议的设备都可以选择Standard。系统预定义的厂商和类型有以下几种,包H3C(General)、3COM(General)、HUAWEI(General)、CISCO(General)、RG(General)、HP(MSM)、HP(Comware)、MICROSOFT(General)、JUNIPER(General)和HP(ProCurve)。
¡ 业务分组:在下拉框中选择接入设备所属的业务分组。将接入设备加入不同的业务分组以便进行分权管理。
¡ 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果[用户>接入策略管理>业务参数配置>系统配置>系统参数配置]中的密钥显示方式设置为明文时,只需输入一次共享密钥即可。
¡ 其他参数保持默认。
本例中公共参数只需要输入共享密钥\确认共享密钥“movie”,其他保持默认即可,如图6所示。
(5) 单击<确定>按钮,增加接入设备完毕,进入结果显示页面。点击“返回接入设备列表”链接,返回接入设备配置页面,可在接入设备列表中查看新增的接入设备,如图7所示。
图7 查看新增的IPv6接入设备
配置一个不进行任何接入控制的接入策略,增加接入策略的方法如下:
(1) 选择“用户”页签,单击导航树中的[接入策略管理>接入策略管理]菜单项,进入接入策略管理页面,如图8所示。
(2) 单击<增加>按钮,进入增加接入策略页面,如图9所示。由于不进行任何接入控制,因此只需输入接入策略名,其他参数均保持为空即可。
授权下发需要设备支持对应属性,认证绑定需要设备在RADIUS属性中上传对应信息。本例不对设备进行任何下发,因此保持默认。
(3) 单击<确定>按钮,接入策略增加完毕。返回接入策略管理页面,可在接入策略列表中查看新增的接入策略,如图10所示。
接入服务是对用户进行认证授权的各种策略的集合。本例不对用户进行任何接入控制,因此只需增加一个简单的接入服务即可。
增加接入服务的方法如下:
(1) 选择“用户”页签,单击导航树中的[接入策略管理>接入服务管理]菜单项,进入接入服务管理页面,如图11所示。
(2) 单击<增加>按钮,进入增加接入服务页面,如图12所示。
配置服务的各个参数:
¡ 服务名:输入服务名称,在EIA中必须唯一。
¡ 服务后缀:服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见表1。
¡ 业务分组:用于分权管理,使特定的人只能管理特性的业务,既职责分明,也不会互相越权。配置该服务所属的业务分组,用于该服务的分权管理。只有拥有该业务分组权限的管理员/维护员才能配置该业务分组。
¡ 缺省接入策略:选择之前新增的接入策略。
¡ 缺省安全策略:接入用户的接入场景与服务中的接入场景均不匹配时,会根据该安全策略指定的安全方案对用户的上网的计算机进行安全检查和监控,从而实现网络的自动防御。该选项只有安装了EAD安全策略组件后才会出现。
¡ 缺省内网外连策略:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省内网外连策略的控制。
¡ 缺省单账号最大绑定终端数:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单账号最大绑定终端数的控制。该参数只有在部署了EIP组件后才会显示。
¡ 缺省单账号在线数量限制:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单账号在线数量限制的控制。
¡ 单日累计在线最长时间(分钟):每天允许账号使用该服务接入网络的总时长,达到该时长后,账号将被强制下线,且当日不能再次接入。该参数单位是分钟,只支持输入整数,最小值是0,表示不限制每天在线时长,最大值是1440。
¡ 其他参数保持默认。
表1 iMC中服务后缀的选择
|
认证连接用户名 |
设备用于认证的Domain |
设备Radius scheme中的命令 |
iMC中服务的后缀 |
|
X@Y |
Y |
user-name-format with-domain |
Y |
|
user-name-format without-domain |
无后缀 |
||
|
X |
[Default Domain] 设备上指定的缺省域 |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
(3) 单击<确定>按钮,接入服务增加完毕。返回接入服务管理页面,可在接入服务列表中查看新增的接入服务,如图13所示。
接入用户是用户接入网络时使用的身份证,包含账号名、密码和使用的服务等信息。
增加接入用户的方法如下:
(1) 选择“用户”页签,单击导航树中的[接入用户管理>接入用户]菜单项,进入接入用户页面,如图14所示。
图14 接入用户页面
(2) 单击<增加>按钮,进入增加接入用户页面,如图15所示。
配置接入信息和接入服务:
¡ 用户姓名:接入用户所关联的iMC用户。有两种方式关联基本用户:
- 单击<选择基本用户>按钮,弹出选择基本用户窗口,单击<查询>按钮,可以查询出所有已存在的平用户,如图16所示,选择一个基本用户后单击<确定>按钮。
- 输入用户姓名、证件号码以及其他参数后单击<确定>按钮。
¡ 账号名:输入用于认证的账号名,在EIA中必须唯一。
¡ 密码/确认密码:输入两次相同的密码。
¡ 接入服务:选择之前增加的接入服务。
¡ 其他参数:保持缺省值。
参数设置完成后的效果图如图17所示。
(3) 单击<确定>按钮,接入用户增加完毕。返回接入用户页面,可在接入用户列表中查看新增的接入用户,如图18所示。
接入设备用于控制用户的接入。通过认证的用户可以接入网络,未通过认证的用户无法接入网络。
以下使用Windows的CLI窗口telnet到接入设备并进行配置,具体的命令及其说明如下:
(1) 进入系统视图。
<H3C>system-view
System View: return to User View with Ctrl+Z.
(2) 创建RADIUS方案1xallpermit。
[H3C]radius scheme 1xallpermit
New RADIUS scheme
//认证、计费服务器都指向EIA,认证、计费端口与3.2.1 2. 增加接入设备EIA中增加接入设备时的配置保持一致。
[H3C-radius-1xallpermit]primary authentication ipv6 2020::202:241 1812
[H3C-radius-1xallpermit]primary accounting ipv6 2020::202:241 1813
//认证、计费共享密钥与3.2.1 2. 增加接入设备EIA中增加接入设备时的配置保持一致。
[H3C-radius-1xallpermit]key authentication simple movie
[H3C-radius-1xallpermit]key accounting simple movie
//本地采用携带Domain的认证方式。EIA、设备中配置的搭配关系请参见表1。
[H3C-radius-1xallpermit]user-name-format with-domain
[H3C-radius-1xallpermit]quit
(3) 创建域ipv6,根据表1中的搭配,domain的名称必须与3.2.1 3. 增加接入策略EIA中服务的后缀保持一致。
[H3C]domain ipv6
//认证、授权、计费都采用之前配置的Radius scheme allpermit
[H3C-isp-391]authentication default radius-scheme allpermit
[H3C-isp-391]authorization default radius-scheme allpermit
[H3C-isp-391]accounting default lan-access radius-scheme allpermit
[H3C-isp-391]quit
(4) 启用802.1X认证,只有在全局和接口上都启用802.1X认证,802.1X认证才生效。
[H3C]dot1x
[H3C]interface Ten-GigabitEthernet 1/0/47
[H3C-Ten-GigabitEthernet 1/0/47]port link-mode bridge
[H3C-Ten-GigabitEthernet 1/0/47]port access vlan 180
[H3C-Ten-GigabitEthernet 1/0/47]dox1x
[H3C-Ten-GigabitEthernet 1/0/47]quit
//802.1X的认证方式包括PAP、CHAP和EAP。如果进行证书认证,则必须设置为EAP。
[H3C]dot1x authentication-method chap
用户使用iNode PC客户端和配置的账号名、密码进行802.1X认证,最终用户通过认证,完成802.1X接入。
验证步骤如下:
当前EIA适配所有版本的iNode,iNode的版本可以按需进行选择。
(1) 在iNode PC客户端主页面,选择“802.1X连接”,展开802.1X连接区域,如图19所示。
图19 iNode客户端主界面
(2) 单击右下角“更多”链接,单击弹出的“属性”链接,如图20所示。
(3) 切换至“网络”页签,进入网络页面。勾选“上传IPv6地址”项,单击<确定>按钮,保存配置,如图21所示。
(4) 设置完成后,输入用户名和密码后,单击<连接>按钮,如图22所示,开始认证。
认证成功的界面如图23所示,验证了本案例的配置正确。
在EIA配置页面中,选择“用户”页签,单击导航树中的[接入用户管理>在线用户]菜单项,默认进入本地在线用户页签页面,可查看在线用户,如图24所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
