1 介绍

PC 绑定主要指将接入帐号与终端计算机名、IP 地址、域用户等身份信息绑定。该功能用于增强用户认证的安全性，防止接入帐号盗用和非法接入。

2 特性使用指南

2.1 使用场合

适用于要求接入帐号绑定设备或终端等信息的企业网或校园网。

2.2 配置前提

终端用户必须使用 iNode 客户端连接网络。

3 配置举例

3.1 组网需求

本案例以 802.1X 认证为例，介绍接入帐号绑定终端 IP 地址和 MAC 地址的配置过程。

UAM服务器 IP地址为 192.168.40.139，接入设备 IP地址为 192.168.30.100。PC使用的是 Windows操作系统，并安装了 iNode 客户端。

注：本案例中各部分使用的版本如下：

• UAM 版本为 iMC UAM 7.2 (E0403)

• 接入设备为 H3C S3600V2-28TP-EI Comware Software, Version 5.20, Release 2103

• iNode 版本为 iNode PC 7.2 (E0403)

3.2 配置步骤

3.2.1 配置UAM服务器

配置 UAM 服务器时，需要配置以下功能：

接入设备

• 接入策略

• 接入服务

• 增加接入用户

1. 接入设备

增加接入设备是为了建立 iMC 服务器和接入设备之间的联动关系。

增加接入设备的方法如下：

(1) 选择“用户”页签。单击导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项，进入接入设备配置页面，如 图 2 所示。

(2) 单击<增加>按钮，进入增加接入设备页面，如 图 3 所示。

(3) 配置接入设备。

配置接入设备有两种方法：

• 在设备列表中单击<选择>按钮从 iMC 平台中选择设备

• 在设备列表中单击<手工增加>按钮，手工配置接入设备。

无论采用哪种方式接入设备的 IP 地址都必须满意以下要求：

• 如果在接入设备上配置 radius scheme 时配置了 nas ip 命令，则 UAM 中接入设备的 IP 地址必须与 nas ip 的配置保持一致。

• 如果未配置 nas ip命令，则 UAM 中接入设备的 IP地址必须是设备连接 UAM 服务器的接口 IP地址（或接口所在 VLAN 的虚接口 IP 地址）。

从 iMC 平台中选择设备时，设备的 IP 地址无法修改。因此如果设备加入 iMC 平台时使用的 IP 地址不满足上述要求，则可以采用手工增加的方式增加接入设备。本例采用手工增加的方式进行说明。单击设备列表中的<手工增加>按钮，弹出手工增加接入设备窗口，如 图 4 所示。输入接入设备的IP地址，单击<确定>按钮，返回增加接入设备页面。

(4) 配置公共参数。

公共参数的配置要求如下：

• 认证端口：UAM监听 RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。UAM 和接入设备一般都会采用默认端口 1812。

• 计费端口：UAM监听 RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。UAM 和接入设备一般都会采用默认端口 1813。

说明：

目前仅支持将UAM同时作为认证和计费服务器，即不支持将UAM作为认证服务器，而其他服务器作为计费服务器的场景。

• 业务类型：在下拉框中选择该设备承载的业务，包括 LAN 接入业务和设备管理业务。前者用于用户接入和使用网络，后者用于设备管理员登录和管理设备。

• 接入设备类型：在下拉框中选择接入设备的厂商和类型。下拉框中包含了 Standard、UAM系统预定义和管理员自定义的厂商和类型。支持标准 RADIUS 协议的设备都可以选择Standard。系统预定义的厂商和类型有以下几种，包括 H3C(General)、3COM(General)、HUAWEI(General)、CISCO(General)、RG(General)、HP(MSM)、HP(Comware)、MICROSOFT(General)、JUNIPER(General)和 HP(ProCurve)。

• 业务分组：在下拉框中选择接入设备所属的业务分组。将接入设备加入不同的业务分组以便进行分权管理。

• 共享密钥/确认共享密钥：输入两次相同的共享密钥。接入设备与 UAM 配合进行认证时，使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果系统参数中的“密钥显示方式”设置为明文时，只需输入一次共享密钥即可。

• 接入设备分组：在下拉框中选择接入设备需要加入的接入设备分组。可选项包括UAM中已经存在的接入设备分组和“无”。接入设备分组是区分终端用户的接入条件之一。

本案例只需要配置共享密钥，其他参数采用系统默认值。增加接入设备的配置结果如 图 5 所示。

(5) 单击<确定>按钮，增加接入设备完毕，进入结果显示页面。点击“返回接入设备列表”链接，返回接入设备配置页面，可在接入设备列表中查看新增的接入设备，如 图 6 所示。

2. 接入策略

在接入策略中配置用户的 PC 认证绑定信息。

PC 绑定包括绑定用户 IP 地址、绑定用户 MAC 地址、绑定计算机名等，本案例以绑定用户 IP 地址和绑定用户 MAC 地址为例说明 PC 绑定的配置过程。

增加接入策略的方法如下：

(1) 选择“用户”页签，单击导航树中的“接入策略管理 > 接入策略管理”菜单项，进入接入策略管理页面，如 图 7 所示。

(2) 单击<增加>按钮，进入增加接入策略页面。

a. 在基本信息区域，输入接入策略的名称并选择该策略所属的业务分组。

b. 在认证绑定信息区域，勾选绑定用户 IP 地址项和绑定用户 MAC 地址项。

c. 其它参数使用系统默认值。

配置结果如 图 8 所示。

(3) 单击<确定>按钮，接入策略增加完毕。返回接入策略管理页面，可在接入策略列表中查看新增的接入策略，如 图 9 所示。

3. 接入服务

接入服务是对用户进行认证授权的各种策略的集合。由于本案例对用户只进行 PC 绑定接入控制，因此只需要增加一条简单的接入服务即可。

增加接入服务的方法如下：

(1) 选择“用户”页签，单击导航树中的“接入策略管理 > 接入服务管理”菜单项，进入接入服务管理页面，如 图 10 所示。

(2) 单击<增加>按钮，进入增加接入服务页面，如 图 11 所示

(3) 配置服务的基本参数。

• 服务名：输入服务名称，在 UAM 中必须唯一。

• 服务后缀：服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关，具体的搭配关系请参见 表 1。

• 缺省接入策略：选择之前新增的接入策略。

• 其他参数：保持缺省值。

(4) 单击<确定>按钮，接入服务增加完毕。返回接入服务管理页面，可 在接入服务列表中查看新增的接入服务，如 图 12 所示。

4. 接入用户

接入用户是用户接入网络时使用的身份证，包含帐号名、密码和使用的服务等信息。

增加接入用户的方法如下：

(1) 选择“用户”页签，单击导航树中的“接入用户管理 > 接入用户”菜单项，进入接入用户页面，如 图 13 所示。

(2) 单击<增加>按钮，进入增加接入用户页面，如 图 14 所示。

(3) 配置接入信息和接入服务：

• 用户姓名：单击<选择>或<增加用户>按钮，在 iMC 平台中选择或手动增加一个用户。

ú   单击<选择>按钮，弹出选择用户窗口，单击<查询>按钮，可以查询出所有已存在的平台用户，如 图 15 所示，选择一个用户后单击<确定>按钮。

ú   单击<增加用户>按钮，弹出增加用户窗口，如 图 16 所示，输入用户名、证件号码以及其他参数后单击<确定>按钮。

• 帐号名：输入用于认证的帐号名，在 UAM 中必须唯一。

• 密码/确认密码：输入两次相同的密码。

• 接入服务：选择之前增加的接入服务。

• 其他参数：保持缺省值。

参数设置完成后的效果图如 图 17 所示。

(4) 单击<确定>按钮，接入用户增加完毕。返回接入用户页面，可在接入用户列表中查看新增的接入用户，如 图 18 所示。

在接入用户列表中，点击帐号名链接，可以查看该接入用户的详细信息。新增接入用户的终端绑定信息为空，如 图 19 所示。

3.2.2 配置接入设备

接入设备用于控制用户的接入。只有认证通过的用户才可以接入网络。

配置接入设备时，推荐按照以下顺序进行配置：

1. 创建RADIUS scheme

2. 创建Domain

3. 启用 802.1X认证功能

以下使用 Windows 的 CLI 窗口 Telnet 到接入设备并进行配置，具体的配置命令及其说明如下：

1.      创建RADIUS scheme

<Device>system-view

[Device]radius scheme pcbind

[Device-radius-pcbind]primary authentication 192.168.40.139 1812

[Device-radius-pcbind]primary accounting 192.168.40.139 1813

//认证、计费服务器都指向 UAM，认证、计费端口与 UAM 中增加接入设备时的配置保持一致。

[Device-radius-pcbind]key authentication expert

[Device-radius-pcbind]key accounting expert

//认证、计费共享密钥与 UAM 中增加接入设备时的配置保持一致。

[Device-radius-pcbind]user-name-format with-domain

//本地采用携带Domain的认证方式。UAM、设备中配置的搭配关系请参见 3.2.1 3. (3)表 1。

[Device-radius-pcbind]quit

2. 创建Domain

[Device]domain 5315

//根据 3.2.1 3. (3)表 1 中的搭配，domain的名称必须与UAM中服务的后缀保持一致。

[Device-isp-5315]authentication lan-access radius-scheme pcbind

[Device-isp-5315]authorization lan-access radius-scheme pcbind

[Device-isp-5315]accounting lan-access radius-scheme pcbind

//认证、授权、计费都采用之前配置的 Radius scheme pcbind。

[Device-isp-5315]quit

3. 启用 802.1X认证功能

[Device]dot1x

802.1X is enabled globally.

[Device]dot1x interface GigabitEthernet1/0/14

802.1X is enabled on port GigabitEthernet1/0/14.

//只有在全局和接口上都启用 802.1X 认证，802.1X 认证才生效。

[Device]dot1x authentication-method chap

//802.1X 的认证方式包括 PAP、CHAP 和 EAP。如果进行证书认证，则必须设置为 EAP。

3.2.3 验证结果

使用 iNode 客户端进行 802.1X 认证上网，认证成功表示配置正确，认证失败表示配置有误。

注意，iNode 客户端版本必须与当前使用的 iMC UAM 配套，具体的配套关系请参见 UAM 版本说明书

1. 使用iNode客户端进行 802.1X认证

(1) 在iNode PC客户端主页面，选择“802.1X连接”，展开 802.1X连接区域，如 图 20 所示。

(2) 输入正确的用户名和密码后，单击<连接>按钮，iNode客户端开始认证。认证成功的界面如 图21 所示。

注意：

为了使 UAM 获取到 iNode 客户端的 IP 地址，在 802.1X 连接的属性中，必须勾选“上传 IPv4 地址/上传 IPv6 地址”项。

2. 在UAM中查看在线用户

在UAM配置页面中，选择“用户”页签，单击导航树中的“接入用户管理 > 在线用户”菜单项，查看在线用户，如 图 22 所示。

2.      查看接入用户的终端绑定信息

用户认证成功后，UAM对终端绑定的IP地址和MAC地址进行了自学习。接入用户信息页面的绑定信息区域显示了终端的IP地址和MAC地址，如 图 23 所示。

3.      不符合绑定条件时进行认证

认证成功后，修改终端的IP地址，然后再进行认证。认证失败，提示静态IP地址绑定检查失败，如图 24 所示。

认证失败原因分析：

接入用户的 IP 地址发生了变化，与 UAM 服务器中当前接入用户绑定的终端 IP 不一致，所以认证失败