- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
02-iMC EAD IPsec策略典型配置举例
本章节下载: 02-iMC EAD IPsec策略典型配置举例 (2.14 MB)
iMC EAD IPsec策略
典型配置举例
资料版本:5W100-20231127
产品版本:EAD (E0631)
Copyright © 2025 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
IPsec策略管理用于配置客户端操作系统的IPsec策略,包括IPsec和Hosts文件。其中XP系统和其他Windows系统配置不同,需单独配置。
适用于在企业、学校或者其他需要配置IP安全策略的网络环境。
用户终端、接入设备、EIA/EAD服务器之间路由可达,使用iNode客户端进行身份验证(以802.1x认证为例,接入设备需支持802.1X协议)。
某公司计划在接入用户身份验证基础上进行安全认证。组网如图1所示。EIA和EAD服务器IP地址为192.168.0.87,接入设备IP地址为192.168.30.50。PC安装了Windows操作系统,并安装iNode客户端。
配置步骤包括对EIA和EAD、接入设备、iNode客户端等的配置,同时建议您按照本文章节顺序进行配置。
如果已有IPsec安全策略及hosts文件,可直接跳转至“3.2.3 配置EIA/EAD服务器”章节开始进行配置。
请按实际需求创建相应的IPsec安全策略,本例以禁止访问IP为例进行介绍,创建IPsec安全策略的方法如下:
(1) 在本地计算机单击[控制面板>管理工具>本地安全策略>IP安全策略]菜单项进入相应页面。菜单路径因操作系统版本版本差异而可能有所不同。
(2) 鼠标右键后选择“创建IP安全策略”,如图2所示。
(3) 开始IP安全策略向导,本例填写策略名称“TEST”,不勾选“激活默认响应规则”,安装流程如图3、图4、图5所示。
(4) 单击<完成>按钮后,编辑IP策略“TEST”属性,不勾选“使用“添加向导””,如图6所示。
(5) 单击<添加>按钮,弹出新规则属性窗口后,如图7所示。
(6) 在“IP筛选器列表”页签中单击<添加>按钮,配置“TEST”IP筛选器属性,如地址和协议等,本例配置参数“源地址”为“我的IP地址”,配置参数“目标地址”为“一个特定的IP或子网”,配置参数“IP地址或地址子网”为“192.1679.15”,其他参数保持默认配置,如图8所示。
(7) 配置完成后,点击<确定>按钮返回,一直返回到新规则属性页面,如图9所示。
(8) 新规则属性页面出现了刚才配置的新IP筛选器列表,选中后切换到“筛选器操作”页签。在筛选器操作页面,同样不勾选“使用“添加向导””,如图10所示。
(9) 点击<添加>按钮,进行属性配置,本例将“安全方法”配置为“阻止”,如图11所示。
(10) 配置完成后单击<确定>按钮,回到新规则属性页面,出现了刚才配置的新筛选器操作,选中它后将出现黑点提示,如图12所示。
(11) 配置完成后,回到本地安全策略窗口,鼠标右键“TEST”,选择“分配”会将策略分配给此计算机,如图13所示。
(12) 如果分配失败,可能是IPsec Policy Agent服务被禁用,需要将其启用,本例给出参考启用方法如下,具体请以实际操作系统为准。
a. 打开“控制面板”:可以通过单击[开始]菜单,然后选择“控制面板”打开。
b. 进入“管理工具”:在控制面板界面中,找到并单击“管理工具”选项。
c. 打开“服务”:在“管理工具”界面中,找到并单击“服务”选项。
d. 找到“IPsec Policy Agent”服务:在“服务”窗口中,滚动查找,直到找到“IPsec Policy Agent”服务,如图14所示。
e. 启动服务:鼠标双击打开服务,将“启动类型”选择为“自动”,如图15所示,单击<应用>按钮后,单击<启动>按钮。
· Windows 7操作系统导出:
执行以下命令,命令的最后是导出文件的全路径,可以随意指定。
netsh ipsec static exportpolicy c:\policy.ipsec
· Windows XP操作系统导出:
a) 将IpSecInstall\IPSec\ipseccmd.exe文件拷贝到XP系统下,如没有该文件请至网络搜索下载。
b) 执行以下导出命令:ipseccmd exportpolicy c:\policy_xp.ipsec。
如上述导出方式无法满足您的要求或您无法按上述步骤导出IPsec策略,请您尝试以下方法。
(1) 打开“本地组策略编辑器”。您可以按下“Windows + R”组合键,输入“gpedit.msc”,然后按回车键打开。
(2) 在“本地组策略编辑器”窗口中,依次展开[计算机配置>Windows设置>安全设置>IP安全筛选器]。
(3) 在“IP安全筛选器”下找到您要导出的IPsec策略。
(4) 右键单击该策略,选择“所有任务”,然后选择“导出策略”。
(5) 在弹出的“导出策略”窗口中,选择保存策略文件的位置和文件名,并单击<保存>按钮。
不同操作系统的导出方式可能存在差异,请以实际情况为准。
图16 导出IPsec策略举例示意图
(1) 新建名为“hosts”的.txt格式文件。
(2) 新建后进行文件编辑,配置完成效果如图17所示。
图17 编辑hosts.txt文件
EIA/EAD具体环境界面等因版本不同而有差异,配置时请以实际情况为准,同时建议您按照本文章节顺序进行相关配置。
(1) 单击[用户>安全策略管理>IPsec策略管理]菜单项,进入IPsec策略管理页面。
图18 修改IPsec配置
(2) 上传“3.2.1 配置IPsec策略”章节导出的policy.ipsec、policy_xp.ipsec文件。
(3) 上传“3.2.1 配置IPsec策略”章节创建的hosts.txt文件,单击<确定>按钮。
安全策略是各种检查策略和监控策略的集合。在增加安全策略时,配置需要的策略即可。具体方法如下:
(1) 选择“用户”页签。单击导航树中的[安全策略管理>安全策略管理]菜单项,进入安全策略管理页面,如图19所示。
(2) 单击<增加>按钮,进入增加安全策略页面。此处请按实际需求进行配置,本例参考配置如下:
¡ 安全策略名:输入安全策略名称。本例为“test_EAD”。
¡ 安全级别:如果之前安全级别已配置,此处选择相应的安全级别。如果没有单独配置安全级别,则根据需要选择系统定义的安全级别即可,部分系统定义的安全级别说明如下,本例选择“监控模式”:
- 加入黑名单并下线模式:安全检查不合格时,系统将用户加入黑名单,然后对用户执行下线操作,并记录安全日志。
- 访客模式:安全检查不合格时,系统对用户进行先提醒,后下线操作,并记录安全日志。
- 下线模式:安全检查不合格时,系统对用户进行下线操作,并记录安全日志。
- 隔离模式:安全检查不合格时,系统对用户进行隔离操作和提醒/修复操作,并记录安全日志。
- VIP模式:安全检查不合格时,系统对用户进行提醒/修复操作,并记录安全日志,但不进行隔离操作。
- 监控模式:安全检查不合格时,系统仅记录安全日志,不进行隔离操作和提醒操作。
¡ 在“PC”区段勾选“下发IPsec配置”。
图21 安全策略“PC”区段
(3) 配置完成后单击<确定>按钮完成增加安全策略操作,返回安全策略管理页面,如图22所示。
(1) 选择“用户”页签。单击导航树中的[接入策略管理>接入策略管理]菜单项,进入接入策略管理页面,如图23所示。
(2) 单击<增加>按钮,进入增加接入策略页面。按实际需求进行相关配置,本例配置接入策略名为“test-access-policy”,其他参数保持默认配置即可,配置完成效果如图24所示。
(3) 单击<确定>按钮完成增加接入策略操作,返回接入管理页面,如图25所示。
(1) 选择“用户”页签。单击导航树中[接入策略管理>接入服务管理]菜单项,进入接入服务管理页面,如图26所示。
(2) 单击<增加>按钮,进入增加接入服务页面,如图27所示。
(3) 按需进行参数配置。本例参考配置如下,其他参数保持默认配置即可,配置完成效果如图28所示:
¡ 服务名:输入服务名称。本例为“test_service”。
¡ 服务后缀:输入服务后缀。iMC EIA和设备配合对接入用户进行认证时,两者的配置必须符合表1的约束关系,本例采用第一种组合,服务后缀为“391”。
¡ 缺省接入策略:选择之前配置的接入策略“test-access-policy”。
¡ 缺省安全策略:选择之前配置的安全策略“test_EAD”,表示使用该接入服务的用户将使用此安全策略。
|
登录名 |
设备用于认证的Domain |
设备配置的相关命令 |
iMC中设备管理用户的账号名 |
|
X@Y |
Y |
With-domain |
X@Y |
|
Without-domain |
X |
||
|
X |
[Default Domain](缺省域) |
With-domain |
X@[Default Domain] |
|
Without-domain |
X |
(4) 配置完成后单击<确定>按钮,返回接入服务管理页面,如图29所示。
(1) 选择“用户”页签。单击导航树中的[接入用户管理>接入用户]菜单项,进入接入用户页面,如图30所示。
(2) 单击<增加>按钮,进入增加接入用户页面。按需进行参数配置,本例参考配置如下,配置完成效果如图31、图32所示。
¡ 用户姓名:接入用户所关联的用户姓名,可配置为用户的真实姓名。
¡ 证件号码:用户的证件号码,可配置为用户的身份证等信息。
¡ 账号名:输入用户进行认证的帐号,在EIA中唯一。本例为“qwert001”。
¡ 密码:输入用户进行认证的密码。
¡ 确认密码:再次输入用户进行认证的密码。
¡ 接入服务:在接入服务列表中勾选之前配置的接入服务。
(3) 配置完成后单击<确定>按钮,完成增加接入用户操作,返回接入用户页面,如图33所示。
(1) 选择“用户”页签,单击导航树中的[接入策略管理>接入设备管理>接入设备配置]菜单项,进入接入设备配置页面,如图34所示。
(2) 单击<增加>按钮,进入增加接入设备页面,如图35所示。
(3) 进行参数配置,本例中“接入配置”区段参考配置如下,该区段其他参数保持默认配置即可,配置完成效果如图36所示。
¡ 认证端口:输入认证端口,默认为1812。
¡ 计费端口:输入计费端口,默认为1813。
¡ 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果系统参数中的“密钥显示方式”设置为明文时,只需输入一次共享密钥即可。本例的密钥设置为“123”。
(4) 配置“设备列表”区段参数,有以下两种方法:
¡ 在设备列表中单击<选择>按钮选择设备。
¡ 在设备列表中单击<手工增加>按钮,手工配置接入设备。
无论采用哪种方式接入设备的IP地址都必须满意以下要求:
¡ 如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致。
¡ 如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。
本例采用手工增加的方式进行说明。单击<手工增加>按钮,弹出手工增加接入设备窗口,如图37所示。输入接入设备的IP地址,本例为“192.168.30.50”,单击<确定>按钮,返回增加接入设备页面。
(5) 参数全部配置完成效果如图38所示。
(6) 单击<确定>按钮,完成增加接入设备操作,返回接入设备配置页面,可查看到新增的接入设备如图39所示。
配置用户登录时完成身份验证、安全认证的服务器,以及简单的ACL控制策略。这里将iMC指定为AAA服务器和安全检查服务器。
以下使用Windows的CLI窗口telnet到接入设备并进行配置,具体方法如下:
(1) 以Telnet方式登录接入设备,并进入系统视图。
(2) 配置RADIUS scheme。IP地址指向iMC EIA服务器,监听端口、共享密钥需与iMC中接入设备的配置保持一致。
[Device]radius scheme 390
New Radius scheme
[Device-radius-390]primary authentication 192.168.0.87 1812
[Device-radius-390]primary accounting 192.168.0.87 1813
[Device-radius-390]key authentication 123
[Device-radius-390]key accounting 123
[Device-radius-390]nas-ip 192.168.30.50
[Device-radius-390]server-type extended
[Device-radius-390]user-name-format with-domain
[Device-radius-390]quit
Server-type extended配置设备的服务类型为extended,可以更好的支持H3C扩展的RADIUS属性,V7版本默认为extended。
(3) 创建domain,设置用户登录设备时都要经过RADIUS方案390的认证/授权/计费。iMC EIA和设备配合对接入用户进行认证时,两者的配置必须符合表1的约束关系。
[Device]domain 391
New Domain added
[Device-isp-391]authentication lan-access radius-scheme 390
[Device-isp-391]authorization lan-access radius-scheme 390
[Device-isp-391]accounting lan-access radius-scheme 390
[Device-isp-391]quit
(4) 配置802.1X。在全局和接口上使能802.1X认证,才能开启接口的认证功能。
[Device]dot1x
802.1x is enabled globally
[Device]dot1x interface Ethernet 1/0/3
802.1x is enabled on port Ethernet1/0/3
iNode客户端版本必须与iMC EIA/EAD配套,具体的配套关系请参见EIA版本说明书和EAD版本说明书。
在iNode 802.1X认证界面输入帐号和密码,单击<连接>按钮进行认证。通过身份认证和安全认证后,在界面上会显示身份认证和安全认证的状态,如图40、图41所示。
(1) 查看客户端IPsec策略下发结果。
图42 IPsec策略下发成功
(2) 命令行Ping IPsec策略设置的禁止访问的IP地址,无法Ping通,验证本例配置成功。
图43 Ping失败
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
