• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

802.1X 认证+PC 绑定配置案例

2022-06-02 发表
  • 1关注
  • 1收藏 710浏览
粉丝:4人 关注:1人

配置步骤

1 介绍

PC 绑定主要指将接入帐号与终端计算机名、IP 地址、域用户等身份信息绑定。该功能用于增强用户认证的安全性,防止接入帐号盗用和非法接入。

2 特性使用指南

2.1 使用场合

适用于要求接入帐号绑定设备或终端等信息的企业网或校园网。

2.2 配置前提

终端用户必须使用 iNode 客户端连接网络。

3 配置举例

3.1 组网需求

本案例以 802.1X 认证为例,介绍接入帐号绑定终端 IP 地址和 MAC 地址的配置过程。

UAM服务器 IP地址为 192.168.40.139,接入设备 IP地址为 192.168.30.100PC使用的是 Windows操作系统,并安装了 iNode 客户端。

注:本案例中各部分使用的版本如下:

UAM 版本为 iMC UAM 7.2 (E0403)

接入设备为 H3C S3600V2-28TP-EI Comware Software, Version 5.20, Release 2103

iNode 版本为 iNode PC 7.2 (E0403)


3.2 配置步骤


3.2.1 配置UAM服务器

配置 UAM 服务器时,需要配置以下功能:

接入设备

接入策略

接入服务

增加接入用户

 

1. 接入设备

增加接入设备是为了建立 iMC 服务器和接入设备之间的联动关系。

增加接入设备的方法如下:

(1) 选择“用户”页签。单击导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项,进入接入设备配置页面,如 2 所示。


(2) 单击<增加>按钮,进入增加接入设备页面,如 3 所示。


(3) 配置接入设备。

配置接入设备有两种方法:

在设备列表中单击<选择>按钮从 iMC 平台中选择设备

在设备列表中单击<手工增加>按钮,手工配置接入设备。

无论采用哪种方式接入设备的 IP 地址都必须满意以下要求:

如果在接入设备上配置 radius scheme 时配置了 nas ip 命令,则 UAM 中接入设备的 IP 地址必须与 nas ip 的配置保持一致。

如果未配置 nas ip命令,则 UAM 中接入设备的 IP地址必须是设备连接 UAM 服务器的接口 IP地址(或接口所在 VLAN 的虚接口 IP 地址)。

iMC 平台中选择设备时,设备的 IP 地址无法修改。因此如果设备加入 iMC 平台时使用的 IP 地址不满足上述要求,则可以采用手工增加的方式增加接入设备。本例采用手工增加的方式进行说明。单击设备列表中的<手工增加>按钮,弹出手工增加接入设备窗口,如 4 所示。输入接入设备的IP地址,单击<确定>按钮,返回增加接入设备页面。


(4) 配置公共参数。

公共参数的配置要求如下:

认证端口:UAM监听 RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。UAM 和接入设备一般都会采用默认端口 1812

计费端口:UAM监听 RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。UAM 和接入设备一般都会采用默认端口 1813

 

说明:

目前仅支持将UAM同时作为认证和计费服务器,即不支持将UAM作为认证服务器,而其他服务器作为计费服务器的场景。

 

业务类型:在下拉框中选择该设备承载的业务,包括 LAN 接入业务和设备管理业务。前者用于用户接入和使用网络,后者用于设备管理员登录和管理设备。

接入设备类型:在下拉框中选择接入设备的厂商和类型。下拉框中包含了 StandardUAM系统预定义和管理员自定义的厂商和类型。支持标准 RADIUS 协议的设备都可以选择Standard。系统预定义的厂商和类型有以下几种,包括 H3C(General)3COM(General)HUAWEI(General)CISCO(General)RG(General)HP(MSM)HP(Comware)MICROSOFT(General)JUNIPER(General) HP(ProCurve)

业务分组:在下拉框中选择接入设备所属的业务分组。将接入设备加入不同的业务分组以便进行分权管理。

共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与 UAM 配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果系统参数中的“密钥显示方式”设置为明文时,只需输入一次共享密钥即可。

接入设备分组:在下拉框中选择接入设备需要加入的接入设备分组。可选项包括UAM中已经存在的接入设备分组和“无”。接入设备分组是区分终端用户的接入条件之一。

 

本案例只需要配置共享密钥,其他参数采用系统默认值。增加接入设备的配置结果如 5 所示。


(5) 单击<确定>按钮,增加接入设备完毕,进入结果显示页面。点击“返回接入设备列表”链接,返回接入设备配置页面,可在接入设备列表中查看新增的接入设备,如 6 所示。

 


2. 接入策略

在接入策略中配置用户的 PC 认证绑定信息。

PC 绑定包括绑定用户 IP 地址、绑定用户 MAC 地址、绑定计算机名等,本案例以绑定用户 IP 地址和绑定用户 MAC 地址为例说明 PC 绑定的配置过程。

增加接入策略的方法如下:

(1) 选择“用户”页签,单击导航树中的“接入策略管理 > 接入策略管理”菜单项,进入接入策略管理页面,如 7 所示。


(2) 单击<增加>按钮,进入增加接入策略页面。

a. 在基本信息区域,输入接入策略的名称并选择该策略所属的业务分组。

b. 在认证绑定信息区域,勾选绑定用户 IP 地址项和绑定用户 MAC 地址项。

c. 其它参数使用系统默认值。

配置结果如 8 所示。


(3) 单击<确定>按钮,接入策略增加完毕。返回接入策略管理页面,可在接入策略列表中查看新增的接入策略,如 9 所示。

 

3. 接入服务

接入服务是对用户进行认证授权的各种策略的集合。由于本案例对用户只进行 PC 绑定接入控制,因此只需要增加一条简单的接入服务即可。

增加接入服务的方法如下:

(1) 选择“用户”页签,单击导航树中的“接入策略管理 > 接入服务管理”菜单项,进入接入服务管理页面,如 10 所示。


(2) 单击<增加>按钮,进入增加接入服务页面,如 11 所示


(3) 配置服务的基本参数。

服务名:输入服务名称,在 UAM 中必须唯一。

服务后缀:服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见 1

缺省接入策略:选择之前新增的接入策略。

其他参数:保持缺省值。


(4) 单击<确定>按钮,接入服务增加完毕。返回接入服务管理页面,可 在接入服务列表中查看新增的接入服务,如 12 所示。

 

4. 接入用户

接入用户是用户接入网络时使用的身份证,包含帐号名、密码和使用的服务等信息。

增加接入用户的方法如下:

(1) 选择“用户”页签,单击导航树中的“接入用户管理 > 接入用户”菜单项,进入接入用户页面,如 13 所示。


(2) 单击<增加>按钮,进入增加接入用户页面,如 14 所示。


(3) 配置接入信息和接入服务:

用户姓名:单击<选择><增加用户>按钮,在 iMC 平台中选择或手动增加一个用户。

ú   单击<选择>按钮,弹出选择用户窗口,单击<查询>按钮,可以查询出所有已存在的平台用户,如 15 所示,选择一个用户后单击<确定>按钮。

ú   单击<增加用户>按钮,弹出增加用户窗口,如 16 所示,输入用户名、证件号码以及其他参数后单击<确定>按钮。



帐号名:输入用于认证的帐号名,在 UAM 中必须唯一。

密码/确认密码:输入两次相同的密码。

接入服务:选择之前增加的接入服务。

其他参数:保持缺省值。

参数设置完成后的效果图如 17 所示。


(4) 单击<确定>按钮,接入用户增加完毕。返回接入用户页面,可在接入用户列表中查看新增的接入用户,如 18 所示。


在接入用户列表中,点击帐号名链接,可以查看该接入用户的详细信息。新增接入用户的终端绑定信息为空,如 19 所示。



3.2.2 配置接入设备

接入设备用于控制用户的接入。只有认证通过的用户才可以接入网络。

配置接入设备时,推荐按照以下顺序进行配置:

1. 创建RADIUS scheme

2. 创建Domain

3. 启用 802.1X认证功能

以下使用 Windows CLI 窗口 Telnet 到接入设备并进行配置,具体的配置命令及其说明如下:

1.      创建RADIUS scheme

<Device>system-view

[Device]radius scheme pcbind

[Device-radius-pcbind]primary authentication 192.168.40.139 1812

[Device-radius-pcbind]primary accounting 192.168.40.139 1813

//认证、计费服务器都指向 UAM,认证、计费端口与 UAM 中增加接入设备时的配置保持一致。

[Device-radius-pcbind]key authentication expert

[Device-radius-pcbind]key accounting expert

//认证、计费共享密钥与 UAM 中增加接入设备时的配置保持一致。

[Device-radius-pcbind]user-name-format with-domain

//本地采用携带Domain的认证方式。UAM、设备中配置的搭配关系请参见 3.2.1 3. (3) 1

[Device-radius-pcbind]quit

2. 创建Domain

[Device]domain 5315

//根据 3.2.1 3. (3) 1 中的搭配,domain的名称必须与UAM中服务的后缀保持一致。

[Device-isp-5315]authentication lan-access radius-scheme pcbind

[Device-isp-5315]authorization lan-access radius-scheme pcbind

[Device-isp-5315]accounting lan-access radius-scheme pcbind

//认证、授权、计费都采用之前配置的 Radius scheme pcbind

[Device-isp-5315]quit

3. 启用 802.1X认证功能

[Device]dot1x

802.1X is enabled globally.

[Device]dot1x interface GigabitEthernet1/0/14

802.1X is enabled on port GigabitEthernet1/0/14.

//只有在全局和接口上都启用 802.1X 认证,802.1X 认证才生效。

[Device]dot1x authentication-method chap

//802.1X 的认证方式包括 PAPCHAP EAP。如果进行证书认证,则必须设置为 EAP

3.2.3 验证结果

使用 iNode 客户端进行 802.1X 认证上网,认证成功表示配置正确,认证失败表示配置有误。

注意,iNode 客户端版本必须与当前使用的 iMC UAM 配套,具体的配套关系请参见 UAM 版本说明书

1. 使用iNode客户端进行 802.1X认证

(1) iNode PC客户端主页面,选择“802.1X连接”,展开 802.1X连接区域,如 20 所示。


(2) 输入正确的用户名和密码后,单击<连接>按钮,iNode客户端开始认证。认证成功的界面如 21 所示。

 


注意:

为了使 UAM 获取到 iNode 客户端的 IP 地址,在 802.1X 连接的属性中,必须勾选“上传 IPv4 地址/上传 IPv6 地址”项。

 

2. UAM中查看在线用户

UAM配置页面中,选择“用户”页签,单击导航树中的“接入用户管理 > 在线用户”菜单项,查看在线用户,如 22 所示。

2.      查看接入用户的终端绑定信息

用户认证成功后,UAM对终端绑定的IP地址和MAC地址进行了自学习。接入用户信息页面的绑定信息区域显示了终端的IP地址和MAC地址,如 23 所示。

 

3.      不符合绑定条件时进行认证

认证成功后,修改终端的IP地址,然后再进行认证。认证失败,提示静态IP地址绑定检查失败,如图 24 所示。

认证失败原因分析:

接入用户的 IP 地址发生了变化,与 UAM 服务器中当前接入用户绑定的终端 IP 不一致,所以认证失败



该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作