某公司的网络管理员为财务部门的打印机配置哑终端认证。哑终端设备认证的典型组网如图1所示。
图1 哑终端认证
为了实现哑终端设备的认证,需要在 UAM 服务器、接入设备中分别进行配置。
推荐按照以下顺序配置 UAM 的 RADIUS 认证功能:
• 接入设备
• 接入策略
• 接入服务
• 哑终端用户
1. 接入设备
因为接入设备是配置接入条件中接入区域的先决条件,所以我们推荐首先配置接入设备。
在认证过程中,接入设备需要和 UAM 进行 RADIUS 报文交互。为了保证 UAM 与各个厂商、各种类型的设备进行正常、安全的报文交互,必须在 UAM 中增加接入设备的信息(包括设备厂商、IP地址、使用的端口、密钥等)。
(1) 在iMC配置台中选择“用户”页签,单击导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项,进入接入设备配置页面,如 图 2 所示。
图2 接入设备配置
(2) 在接入设备列表中,单击<增加>按钮,进入增加接入设备页面。
在该页面配置以下信息:
a. 在接入配置区域,输入 UAM 监听 RADIUS 报文的认证端口和计费端口。此处的配置必须与接入设备命令行中配置的认证端口和计费保持一致。
b. 输入接入设备与 UAM 之间认证时,互相验证对方合法性的一个共享密钥。此处的配置必须与接入设备命令行中配置的共享密钥保持一致。
c. 在设备列表中,单击<选择>按钮或<手工增加>按钮,在 iMC 平台中选择或手工增加接入设备。
接入设备的配置信息如 图 3 所示。配置完成后,单击<确定>按钮,接入设备增加完成。
图3 增加接入设备
2. 接入策略
由于在服务中,需要配置接入策略,所以需要先配置接入策略。
(1) 进入接入策略配置页面的方法:在iMC配置台中选择“用户”页签,单击导航树中的“接入策略管理 > 接入策略管理”菜单项,进入接入策略管理页面,如 图 4 所示。
图4 接入策略管理页面
(2) 在接入策略列表中,单击<增加>按钮,进入增加接入策略页面。本案例对哑终端设备的接入不做任何控制,所以在接入策略中不用配置任何控制信息,只需要输入接入策略的名称和选择所属的业务分组即可。配置信息如 图 8 所示。
图5 增加接入策略
(3) 在增加接入策略页面,单击<确定>按钮,接入策略增加完成。
3. 接入服务
因为增加哑终端用户时需要为哑终端申请服务,所以先增加服务,后增加哑终端用户。
(1) 进入服务配置页面的方法:在iMC配置台中选择“用户”页签,单击导航树中的“接入策略管理 > 接入服务管理”菜单项,进入接入服务管理页面,如 图 9 所示。
图6 接入服务管理页面
(2) 在接入服务列表中,单击<增加>按钮,进入增加接入服务页面。
在该页面,配置以下信息:
a. 在接入服务的基本信息区域,输入服务的名称。
b. 除缺省接入策略配置为已存在的“打印机接入策略”外,其它参数保持系统缺省值。
增加服务的配置信息如 图 7 所示。
图7 增加接入服务
(3) 在增加接入服务页面,单击<确定>按钮,接入服务增加完成。
4. 哑终端用户
在UAM中,并不能将单个哑终端直接增加为哑终端用户,而是配置允许接入网络的MAC地址范围。当网络中属于该 MAC 范围的哑终端接入网络后,会自动在 UAM 中生成哑终端用户。
(1) 进入哑终端用户配置页面的方法:在iMC配置台中选择“用户”页签,单击导航树中的“接入用户管理 > 哑终端用户”菜单项,进入哑终端用户列表页面,如 图 12 所示。
图8 哑终端用户列表
(2) 在哑终端用户列表中,单击<增加>按钮,进入增加哑终端用户配置页面。
在该页面配置以下信息:
a. 在哑终端用户配置区域输入配置名称和用户姓名前缀。
b. 选择业务分组和用户分组。
c. 在 MAC 地址段区域,单击增加按钮,增加允许接入网络的 MAC 地址范围。
d. 在接入服务区域,选择已配置的接入服务。
配置信息如 图 13 所示。
图9 哑终端用户配置信息
(3) 哑终端信息配置完成后,单击<确定>按钮,哑终端用户增加完成。
(4) 哑终端用户配置完成后,单击<立即生效>按钮使配置立即生效,如 图 10 所示。
图10 配置立即生效
配置接入设备时,推荐按照以下顺序进行配置:
1. 创建RADIUS scheme
2. 创建Domain
3. 启用MAC地址认证功能,并选择MAC地址认证适用的Domain
本案例以二层交换机为例,介绍接入设备的的配置过程。
1. 创建RADIUS scheme
接入设备依据配置的 RADIUS scheme 与 UAM 进行 RADIUS 报文交互。因此配置时需要注意以下几点:
• RADIUS scheme 中指定的认证和计费服务器的 IP 地址必须是 UAM 服务器的 IP 地址。
• RADIUS scheme 中指定的共享密钥、认证/计费端口,必须与 UAM 中增加接入设备时的配置保持一致。
#创建名称为 2000 的 RADIUS scheme
[Device] radius scheme 2000
[Device-radius-2000] primary authentication 192.168.40.238 1812
[Device-radius-2000] primary accounting 192.168.40.238 1813
[Device-radius-2000] key authentication expert
[Device-radius-2000] key accounting expert
[Device-radius-2000] user-name-format with-domain
[Device-radius-2000] quit
2. 创建Domain
配置 Domain 时需要考虑以下几个要素:
• 终端用户采用的接入方式。MAC 地址认证时,通常选择 LAN 接入。
• Domain 选择的 RADIUS scheme 必须指向保存了终端用户信息的 UAM 服务器。
#创建名为 print 的 Doamin
[Device] domain print
[Device-isp-bbb] authentication lan-acess radius-scheme 2000
[Device-isp-bbb] authorization lan-acess radius-scheme 2000
[Device-isp-bbb] accounting lan-acess radius-scheme 2000
[Device-isp-bbb] quit
3. 启用MAC地址认证功能,并选择MAC地址认证适用的Domain
在全局和接口上同时启用 MAC 地址认证功能,并指定 MAC 地址认证时使用上一步中创建的Domain。
#启用接口 MAC 地址认证
[Device] interface ethernet 1/0/4
[Device -Ethernet1/0/4] mac-authentication
[Device -Ethernet1/0/4] quit
#启用全局 MAC 地址认证
[Device] mac-authentication
#配置 MAC 地址认证适用的 Domain
[Device] mac-authentication domain print
哑终端无需进行任何配置;认证将自动完成。
验证方法有两种:
• 验证哑终端是否能接入网络。
• 在 EIA 中的在线用户中查看哑终端设备是否在线。
1. 哑终端验证结果
本配置案例中的哑终端能够接入网络。
2. 在EIA中查看认证结果
接入设备中显示的MAC地址认证信息如 图 14 所示。
图11 哑终端在线信息
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作