EIA对接企业微信和BARS路由器做IPOE认证

方案整体架构与流程

1. 认证触发：用户设备（PC/手机）连接到网络后，BARS作为BRAS设备，会要求其进行IPoE认证。
2. 认证联动：BARS将认证请求（通常使用RADIUS协议）转发给EIA服务器。
3. 身份验证：EIA支持与企业微信对接，因此它可以：
   • 方式一（推荐，无感知认证）：EIA根据终端IP或设备特征，与企业微信侧的用户-IP绑定信息进行匹配，实现无感知认证。
   • 方式二（Portal认证）：弹出Portal页面，用户可以选择“企业微信扫码”或“账号密码”登录。扫码后，EIA与企业微信服务器通信验证二维码合法性及用户身份。
4. 授权下发：认证成功后，EIA会根据该用户的身份（如部门、角色），在RADIUS响应报文中携带特定的授权参数（如Filter-ID、ACL编号、User-Profile名称）给BARS。
5. 策略执行：BARS收到授权参数后，会为这个用户会话动态下发相应的访问控制策略（ACL），从而实现不同级别的网络访问权限。

核心配置要点分解

一、 EIA侧配置

1. 对接企业微信：

   • 在企业微信管理后台创建自建应用，获取AgentId、Secret、CorpId。
   • 在EIA的【用户管理】>【外部数据源】中，添加“企业微信”数据源，填入上述信息。同步组织架构和用户账号。
   • 关键：确保企业微信中的用户账号能与EIA中的用户标识（如用户名、手机号、邮箱）对应起来。

2. 创建认证服务：

   • 选择“IPoE认证”或“Portal认证”（如果采用扫码）。
   • 绑定对应的接入设备（BARS）的IP地址作为RADIUS客户端。

3. 配置授权策略（核心）：
   这是实现“三个权限”的关键。您需要在EIA的【策略管理】>【授权策略】中创建三条规则，条件可以是“用户组”、“角色”或“终端类型”，结果是指定不同的Filter-ID或User-Profile。

   • 规则1（全通权限）： 例如，为“IT管理员”或“特定高权限组”设置，授权参数为 Filter-。
   • 规则2（仅内网）： 例如，为“财务部”、“研发部”设置，授权参数为 Filter-。
   • 规则3（仅互联网）： 例如，为“访客”或“临时员工”设置，授权参数为 Filter-。

二、 BARS（路由器）侧配置

1. 配置RADIUS服务器：

   bash

   复制
   radius scheme eia-scheme primary authentication 10.1.1.10 (EIA服务器IP) primary accounting 10.1.1.10 key authentication cipher h3c@12345 (与EIA侧配置的共享密钥一致) key accounting cipher h3c@12345 user-name-format without-domain (根据实际情况调整) ​

2. 配置认证域并应用RADIUS方案：

   bash

   复制
   domain h3c.com authentication ipoe radius-scheme eia-scheme authorization ipoe radius-scheme eia-scheme accounting ipoe radius-scheme eia-scheme ​

3. 定义IPSG（IPoE）接入：

   bash

   复制
   interface GigabitEthernet1/0/1 (连接用户侧的接口) ip subscriber l2-connected enable ip subscriber authentication-method bind ip subscriber dhcp domain h3c.com ​

4. 预定义授权策略（关键步骤）：
   在BARS上，需要将EIA下发的Filter-ID映射为本地可执行的ACL或QoS策略。

   • 创建ACL：
     bash

     复制
     # 定义内网网段 acl advanced 3000 rule 5 permit ip destination 10.0.0.0 0.255.255.255 (内网网段) rule 10 deny ip (默认拒绝其他) acl advanced 3001 rule 5 permit ip (允许所有，即互联网) acl advanced 3002 rule 5 permit ip destination 10.0.0.0 0.255.255.255 rule 10 permit ip (也允许互联网，实现内外网都通) ​
   • 创建User-Profile并与Filter-ID关联：
     bash

     复制
     user-profile Full-Access authorization-attribute acl 3002 id 3002 user-profile Intranet-Only authorization-attribute acl 3000 id 3000 user-profile Internet-Only authorization-attribute acl 3001 id 3001 ​注意：User-Profile的名称（如Full-Access）必须与EIA下发的Filter-ID值完全一致，BARS才能正确匹配并应用。

权限逻辑对应表

实施建议与注意事项

1. 测试顺序：建议先完成BARS与EIA的基础IPoE认证连通性测试，再配置复杂的授权策略。
2. 无感知认证：若希望员工企业微信在线即自动联网，需部署EIA的无感知代理或利用企业微信的API进行终端IP绑定，实现更佳体验。
3. 访客流程：对于“仅互联网”权限的访客，更适合采用Portal认证方式，让其扫码或获取临时密码，便于管理和审计。
4. 安全加固：仅互联网访问的ACL（3001）在实际部署中，建议将其修改为 允许访问除内网网段外的所有地址，以防止从互联网侧发起的对内网的攻击穿透。例如：
   bash

   复制
   acl advanced 3001 rule 5 deny ip destination 10.0.0.0 0.255.255.255 rule 10 permit ip ​
5. 日志审计：确保在EIA和BARS上开启相应的记账和日志功能，便于事后追溯。

一、整体组网与认证流程（先理清）
典型组网：
plaintext
终端 → DHCP → BARS(IPOE) → 重定向Portal → EIA → 企业微信授权 → EIA认证/授权 → BARS下发权限(ACL/用户组) → 内网/互联网
认证方式：IPOE（DHCP 触发）+ Web Portal + 企业微信扫码 / 一键授权
认证 / 授权 / 计费：BARS 用 RADIUS 对接 EIA
权限控制：EIA 根据用户组 / 部门下发不同 ACL 或用户组，BARS 动态绑定到用户会话
二、企业微信侧配置（固定 3 个参数）
企业微信后台 → 我的企业 → 复制 CorpID
应用管理 → 自建应用（如 “网络认证”）→ 复制 AgentID、Secret
网页授权 & 可信 IP：
可信 IP：EIA 服务器公网 / 出口 IP
网页授权域名：***.***（解析到 EIA）
三、EIA 侧配置（核心：对接企微 + Portal+RADIUS + 权限策略）
1）企业微信认证接入
EIA → 用户 → 接入策略管理 → 微信认证 → 企业微信 → 增加
名称：企业微信上网
CorpID / Secret / AgentID：填企业微信参数
网页授权域名：***.***
帐号名：建议用用户 ID（企业微信唯一）或手机号
接入服务：勾选你 IPOE 用的接入服务
2）Portal 服务（给 BARS 用）
EIA → 自动化 → 网络准入 → 准入管理 → 接入服务 → Portal 配置
开启 Portal，认证协议选RADIUS
认证页面：企业微信认证模板
重定向地址：企业微信授权链接
3）RADIUS 方案（对接 BARS）
共享密钥：与 BARS 一致
认证 / 授权 / 计费端口：1812/1813/1814
用户名格式：不带域名（BARS 侧也要配user-name-format without-domain）
4）三种权限策略（关键）
在 EIA 里做3 个用户组 + 3 个 ACL：
表格
用户组 权限 ACL 策略（示例）
Group_Full 内网 + 互联网 允许所有（permit ip any any）
Group_Intra 仅内网 允许内网段（如 10.0.0.0/8），拒绝外网
Group_Internet 仅互联网 拒绝内网段，允许外网
配置要点：
EIA → 接入策略 → 授权策略 → 下发 ACL（或下发用户组）
绑定关系：部门 / 角色 → 用户组 → ACL
例：研发→Full；财务→Intra；访客→Internet
四、BARS/BRAS 侧 IPOE+RADIUS + 权限下发配置
1）基础 IPOE（DHCP 触发）
bash
运行
# 1. 使能RADIUS方案
radius scheme rs_eia
primary authentication 1.1.1.1 key simple 123456 # EIA IP+密钥
primary accounting 1.1.1.1 key simple 123456
user-name-format without-domain
quit

# 2. 认证域绑定RADIUS
domain ipoe_domain
authentication ipoe radius-scheme rs_eia
authorization ipoe radius-scheme rs_eia
accounting ipoe radius-scheme rs_eia
quit

# 3. 接口使能IPOE（DHCP触发）
interface GigabitEthernet1/0/1
ip subscriber l2-connected enable
ip subscriber initiator dhcp enable
ip subscriber dhcp domain ipoe_domain
quit

# 4. 开启Portal重定向（认证前）
portal server eia_ip # EIA Portal IP
portal enable
2）权限下发（EIA 推 ACL/BARS 绑定）
两种方式（推荐动态 ACL 下发）：
方式 A：EIA 下发 ACL 编号（BARS 提前建好 ACL）
BARS 提前创建 3 个 ACL：
bash
运行
acl number 3000 # Full
permit ip any any
acl number 3001 # Intra
permit ip 10.0.0.0 0.255.255.255 any
deny ip any any
acl number 3002 # Internet
deny ip 10.0.0.0 0.255.255.255 any
permit ip any any
EIA 授权策略里：下发 ACL 3000/3001/3002
BARS 会自动把 ACL 绑定到用户会话
方式 B：EIA 下发用户组，BARS 做用户组→ACL 映射
bash
运行
user-group full
acl 3000
user-group intra
acl 3001
user-group internet
acl 3002
EIA 下发用户组名，BARS 匹配后绑定对应 ACL
五、认证流程走通后，权限控制关键点
认证前：BARS 只放行 DHCP+EIA + 企业微信服务器 IP，其他拒绝（避免未认证上网）
认证中：重定向到 EIA→企业微信授权→EIA 返回认证结果 + 权限
认证后：BARS 会话绑定对应 ACL，实现三种权限隔离
权限变更：EIA 改用户组 / ACL，用户重认证后生效；也可配 RADIUS session-control 动态更新
六、常见坑（避坑重点）
企业微信可信 IP / 域名错：授权回调失败，认证卡壳
BARS 与 EIA密钥 / 端口 / 用户名格式不一致：认证被拒
ACL 方向搞反：在 BARS 要绑定入方向或用户侧方向
内网路由：仅内网用户不能有默认路由，否则仍能上网
企业微信用户同步：EIA 要自动同步企业微信组织架构，否则用户找不到