• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

iMC UAM 哑终端认证配置举例

2021-09-08 发表
  • 0关注
  • 10收藏 4797浏览
粉丝:4人 关注:1人

组网及说明

某公司的网络管理员为财务部门的打印机配置哑终端认证。哑终端设备认证的典型组网如图1所示。

1 哑终端认证


配置步骤

为了实现哑终端设备的认证,需要在 UAM 服务器、接入设备中分别进行配置。

推荐按照以下顺序配置 UAM RADIUS 认证功能:

接入设备

接入策略

接入服务

哑终端用户

1. 接入设备

因为接入设备是配置接入条件中接入区域的先决条件,所以我们推荐首先配置接入设备。

在认证过程中,接入设备需要和 UAM 进行 RADIUS 报文交互。为了保证 UAM 与各个厂商、各种类型的设备进行正常、安全的报文交互,必须在 UAM 中增加接入设备的信息(包括设备厂商、IP地址、使用的端口、密钥等)。

(1)   iMC配置台中选择“用户”页签,单击导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项,进入接入设备配置页面,如 2 所示。

2 接入设备配置


(2)   在接入设备列表中,单击<增加>按钮,进入增加接入设备页面。

在该页面配置以下信息:

a. 在接入配置区域,输入 UAM 监听 RADIUS 报文的认证端口和计费端口。此处的配置必须与接入设备命令行中配置的认证端口和计费保持一致。

b. 输入接入设备与 UAM 之间认证时,互相验证对方合法性的一个共享密钥。此处的配置必须与接入设备命令行中配置的共享密钥保持一致。

c. 在设备列表中,单击<选择>按钮或<手工增加>按钮,在 iMC 平台中选择或手工增加接入设备。

接入设备的配置信息如 3 所示。配置完成后,单击<确定>按钮,接入设备增加完成。

3 增加接入设备


2. 接入策略

由于在服务中,需要配置接入策略,所以需要先配置接入策略。

(1)   进入接入策略配置页面的方法:在iMC配置台中选择“用户”页签,单击导航树中的“接入策略管理 > 接入策略管理”菜单项,进入接入策略管理页面,如 4 所示。

4 接入策略管理页面


(2)   在接入策略列表中,单击<增加>按钮,进入增加接入策略页面。本案例对哑终端设备的接入不做任何控制,所以在接入策略中不用配置任何控制信息,只需要输入接入策略的名称和选择所属的业务分组即可。配置信息如 8 所示。

5 增加接入策略


(3) 在增加接入策略页面,单击<确定>按钮,接入策略增加完成。

3. 接入服务

因为增加哑终端用户时需要为哑终端申请服务,所以先增加服务,后增加哑终端用户。

(1)   进入服务配置页面的方法:在iMC配置台中选择“用户”页签,单击导航树中的“接入策略管理 > 接入服务管理”菜单项,进入接入服务管理页面,如 9 所示。

6 接入服务管理页面


(2) 在接入服务列表中,单击<增加>按钮,进入增加接入服务页面。

在该页面,配置以下信息:

a. 在接入服务的基本信息区域,输入服务的名称。

b. 除缺省接入策略配置为已存在的“打印机接入策略”外,其它参数保持系统缺省值。

增加服务的配置信息如 7 所示。

7 增加接入服务


(3) 在增加接入服务页面,单击<确定>按钮,接入服务增加完成。

4. 哑终端用户

UAM中,并不能将单个哑终端直接增加为哑终端用户,而是配置允许接入网络的MAC地址范围。当网络中属于该 MAC 范围的哑终端接入网络后,会自动在 UAM 中生成哑终端用户。

(1)   进入哑终端用户配置页面的方法:在iMC配置台中选择“用户”页签,单击导航树中的“接入用户管理 > 哑终端用户”菜单项,进入哑终端用户列表页面,如 12 所示。

8 哑终端用户列表


(2) 在哑终端用户列表中,单击<增加>按钮,进入增加哑终端用户配置页面。

在该页面配置以下信息:

a. 在哑终端用户配置区域输入配置名称和用户姓名前缀。

b. 选择业务分组和用户分组。

c. MAC 地址段区域,单击增加按钮,增加允许接入网络的 MAC 地址范围。

d. 在接入服务区域,选择已配置的接入服务。

配置信息如 13 所示。

9 哑终端用户配置信息


(3) 哑终端信息配置完成后,单击<确定>按钮,哑终端用户增加完成。

(4) 哑终端用户配置完成后,单击<立即生效>按钮使配置立即生效,如 10 所示。

10 配置立即生效


3.2.2 配置接入设备

配置接入设备时,推荐按照以下顺序进行配置:

1. 创建RADIUS scheme

2. 创建Domain

3. 启用MAC地址认证功能,并选择MAC地址认证适用的Domain

本案例以二层交换机为例,介绍接入设备的的配置过程。

1. 创建RADIUS scheme

接入设备依据配置的 RADIUS scheme UAM 进行 RADIUS 报文交互。因此配置时需要注意以下几点:

RADIUS scheme 中指定的认证和计费服务器的 IP 地址必须是 UAM 服务器的 IP 地址。

RADIUS scheme 中指定的共享密钥、认证/计费端口,必须与 UAM 中增加接入设备时的配置保持一致。

#创建名称为 2000 RADIUS scheme

system-view

[Device] radius scheme 2000

[Device-radius-2000] primary authentication 192.168.40.238 1812

[Device-radius-2000] primary accounting 192.168.40.238 1813

[Device-radius-2000] key authentication expert

[Device-radius-2000] key accounting expert

[Device-radius-2000] user-name-format with-domain

[Device-radius-2000] quit

2. 创建Domain

配置 Domain 时需要考虑以下几个要素:

终端用户采用的接入方式。MAC 地址认证时,通常选择 LAN 接入。

Domain 选择的 RADIUS scheme 必须指向保存了终端用户信息的 UAM 服务器。

#创建名为 print Doamin

[Device] domain print

[Device-isp-bbb] authentication lan-acess radius-scheme 2000

[Device-isp-bbb] authorization lan-acess radius-scheme 2000

[Device-isp-bbb] accounting lan-acess radius-scheme 2000

[Device-isp-bbb] quit

3. 启用MAC地址认证功能,并选择MAC地址认证适用的Domain

在全局和接口上同时启用 MAC 地址认证功能,并指定 MAC 地址认证时使用上一步中创建的Domain

#启用接口 MAC 地址认证

[Device] interface ethernet 1/0/4

[Device -Ethernet1/0/4] mac-authentication

[Device -Ethernet1/0/4] quit

#启用全局 MAC 地址认证

[Device] mac-authentication

#配置 MAC 地址认证适用的 Domain

[Device] mac-authentication domain print

3.2.3 配置哑终端

哑终端无需进行任何配置;认证将自动完成。

 

3.2.4 验证结果

验证方法有两种:

验证哑终端是否能接入网络。

EIA 中的在线用户中查看哑终端设备是否在线。

1. 哑终端验证结果

本配置案例中的哑终端能够接入网络。

2. EIA中查看认证结果

接入设备中显示的MAC地址认证信息如 14 所示。

11 哑终端在线信息



配置关键点

该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

作者在2021-10-18对此案例进行了修订
0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作