1 介绍
PC 绑定主要指将接入帐号与终端计算机名、IP 地址、域用户等身份信息绑定。该功能用于增强用户认证的安全性,防止接入帐号盗用和非法接入。
适用于要求接入帐号绑定设备或终端等信息的企业网或校园网。
终端用户必须使用 iNode 客户端连接网络。
本案例以 802.1X 认证为例,介绍接入帐号绑定终端 IP 地址和 MAC 地址的配置过程。
UAM服务器 IP地址为 192.168.40.139,接入设备 IP地址为 192.168.30.100。PC使用的是 Windows操作系统,并安装了 iNode 客户端。
注:本案例中各部分使用的版本如下:
• UAM 版本为 iMC UAM 7.2 (E0403)
• 接入设备为 H3C S3600V2-28TP-EI Comware Software, Version 5.20, Release 2103
• iNode 版本为 iNode PC 7.2 (E0403)
接入设备
• 接入策略
• 接入服务
• 增加接入用户
1. 接入设备
增加接入设备是为了建立 iMC 服务器和接入设备之间的联动关系。
增加接入设备的方法如下:
(1) 选择“用户”页签。单击导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项,进入接入设备配置页面,如 图 2 所示。
(2) 单击<增加>按钮,进入增加接入设备页面,如 图 3 所示。
(3) 配置接入设备。
配置接入设备有两种方法:
• 在设备列表中单击<选择>按钮从 iMC 平台中选择设备
• 在设备列表中单击<手工增加>按钮,手工配置接入设备。
无论采用哪种方式接入设备的 IP 地址都必须满意以下要求:
• 如果在接入设备上配置 radius scheme 时配置了 nas ip 命令,则 UAM 中接入设备的 IP 地址必须与 nas ip 的配置保持一致。
• 如果未配置 nas ip命令,则 UAM 中接入设备的 IP地址必须是设备连接 UAM 服务器的接口 IP地址(或接口所在 VLAN 的虚接口 IP 地址)。
从 iMC 平台中选择设备时,设备的 IP 地址无法修改。因此如果设备加入 iMC 平台时使用的 IP 地址不满足上述要求,则可以采用手工增加的方式增加接入设备。本例采用手工增加的方式进行说明。单击设备列表中的<手工增加>按钮,弹出手工增加接入设备窗口,如 图 4 所示。输入接入设备的IP地址,单击<确定>按钮,返回增加接入设备页面。
(4) 配置公共参数。
公共参数的配置要求如下:
• 认证端口:UAM监听 RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。UAM 和接入设备一般都会采用默认端口 1812。
• 计费端口:UAM监听 RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。UAM 和接入设备一般都会采用默认端口 1813。
说明:
目前仅支持将UAM同时作为认证和计费服务器,即不支持将UAM作为认证服务器,而其他服务器作为计费服务器的场景。
• 业务类型:在下拉框中选择该设备承载的业务,包括 LAN 接入业务和设备管理业务。前者用于用户接入和使用网络,后者用于设备管理员登录和管理设备。
• 接入设备类型:在下拉框中选择接入设备的厂商和类型。下拉框中包含了 Standard、UAM系统预定义和管理员自定义的厂商和类型。支持标准 RADIUS 协议的设备都可以选择Standard。系统预定义的厂商和类型有以下几种,包括 H3C(General)、3COM(General)、HUAWEI(General)、CISCO(General)、RG(General)、HP(MSM)、HP(Comware)、MICROSOFT(General)、JUNIPER(General)和 HP(ProCurve)。
• 业务分组:在下拉框中选择接入设备所属的业务分组。将接入设备加入不同的业务分组以便进行分权管理。
• 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与 UAM 配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果系统参数中的“密钥显示方式”设置为明文时,只需输入一次共享密钥即可。
• 接入设备分组:在下拉框中选择接入设备需要加入的接入设备分组。可选项包括UAM中已经存在的接入设备分组和“无”。接入设备分组是区分终端用户的接入条件之一。
本案例只需要配置共享密钥,其他参数采用系统默认值。增加接入设备的配置结果如 图 5 所示。
(5) 单击<确定>按钮,增加接入设备完毕,进入结果显示页面。点击“返回接入设备列表”链接,返回接入设备配置页面,可在接入设备列表中查看新增的接入设备,如 图 6 所示。
2. 接入策略
在接入策略中配置用户的 PC 认证绑定信息。
PC 绑定包括绑定用户 IP 地址、绑定用户 MAC 地址、绑定计算机名等,本案例以绑定用户 IP 地址和绑定用户 MAC 地址为例说明 PC 绑定的配置过程。
增加接入策略的方法如下:
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > 接入策略管理”菜单项,进入接入策略管理页面,如 图 7 所示。
(2) 单击<增加>按钮,进入增加接入策略页面。
a. 在基本信息区域,输入接入策略的名称并选择该策略所属的业务分组。
b. 在认证绑定信息区域,勾选绑定用户 IP 地址项和绑定用户 MAC 地址项。
c. 其它参数使用系统默认值。
配置结果如 图 8 所示。
(3) 单击<确定>按钮,接入策略增加完毕。返回接入策略管理页面,可在接入策略列表中查看新增的接入策略,如 图 9 所示。
3. 接入服务
接入服务是对用户进行认证授权的各种策略的集合。由于本案例对用户只进行 PC 绑定接入控制,因此只需要增加一条简单的接入服务即可。
增加接入服务的方法如下:
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > 接入服务管理”菜单项,进入接入服务管理页面,如 图 10 所示。
(2) 单击<增加>按钮,进入增加接入服务页面,如 图 11 所示
(3) 配置服务的基本参数。
• 服务名:输入服务名称,在 UAM 中必须唯一。
• 服务后缀:服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见 表 1。
• 缺省接入策略:选择之前新增的接入策略。
• 其他参数:保持缺省值。
(4) 单击<确定>按钮,接入服务增加完毕。返回接入服务管理页面,可 在接入服务列表中查看新增的接入服务,如 图 12 所示。
4. 接入用户
接入用户是用户接入网络时使用的身份证,包含帐号名、密码和使用的服务等信息。
增加接入用户的方法如下:
(1) 选择“用户”页签,单击导航树中的“接入用户管理 > 接入用户”菜单项,进入接入用户页面,如 图 13 所示。
(2) 单击<增加>按钮,进入增加接入用户页面,如 图 14 所示。
(3) 配置接入信息和接入服务:
• 用户姓名:单击<选择>或<增加用户>按钮,在 iMC 平台中选择或手动增加一个用户。
ú 单击<选择>按钮,弹出选择用户窗口,单击<查询>按钮,可以查询出所有已存在的平台用户,如 图 15 所示,选择一个用户后单击<确定>按钮。
ú 单击<增加用户>按钮,弹出增加用户窗口,如 图 16 所示,输入用户名、证件号码以及其他参数后单击<确定>按钮。
• 帐号名:输入用于认证的帐号名,在 UAM 中必须唯一。
• 密码/确认密码:输入两次相同的密码。
• 接入服务:选择之前增加的接入服务。
• 其他参数:保持缺省值。
参数设置完成后的效果图如 图 17 所示。
(4) 单击<确定>按钮,接入用户增加完毕。返回接入用户页面,可在接入用户列表中查看新增的接入用户,如 图 18 所示。
在接入用户列表中,点击帐号名链接,可以查看该接入用户的详细信息。新增接入用户的终端绑定信息为空,如 图 19 所示。
接入设备用于控制用户的接入。只有认证通过的用户才可以接入网络。
配置接入设备时,推荐按照以下顺序进行配置:
1. 创建RADIUS scheme
2. 创建Domain
3. 启用 802.1X认证功能
以下使用 Windows 的 CLI 窗口 Telnet 到接入设备并进行配置,具体的配置命令及其说明如下:
1.
<Device>system-view
[Device]radius scheme pcbind
[Device-radius-pcbind]primary authentication 192.168.40.139 1812
[Device-radius-pcbind]primary accounting 192.168.40.139 1813
//认证、计费服务器都指向 UAM,认证、计费端口与 UAM 中增加接入设备时的配置保持一致。
[Device-radius-pcbind]key authentication expert
[Device-radius-pcbind]key accounting expert
//认证、计费共享密钥与 UAM 中增加接入设备时的配置保持一致。
[Device-radius-pcbind]user-name-format with-domain
//本地采用携带Domain的认证方式。UAM、设备中配置的搭配关系请参见 3.2.1 3. (3)表 1。
[Device-radius-pcbind]quit
2. 创建Domain
[Device]domain 5315
//根据 3.2.1 3. (3)表 1 中的搭配,domain的名称必须与UAM中服务的后缀保持一致。
[Device-isp-5315]authentication lan-access radius-scheme pcbind
[Device-isp-5315]authorization lan-access radius-scheme pcbind
[Device-isp-5315]accounting lan-access radius-scheme pcbind
//认证、授权、计费都采用之前配置的 Radius scheme pcbind。
[Device-isp-5315]quit
3. 启用 802.1X认证功能
[Device]dot1x
802.1X is enabled globally.
[Device]dot1x interface GigabitEthernet1/0/14
802.1X is enabled on port GigabitEthernet1/0/14.
//只有在全局和接口上都启用 802.1X 认证,802.1X 认证才生效。
[Device]dot1x authentication-method chap
//802.1X 的认证方式包括 PAP、CHAP 和 EAP。如果进行证书认证,则必须设置为 EAP。
使用 iNode 客户端进行 802.1X 认证上网,认证成功表示配置正确,认证失败表示配置有误。
注意,iNode 客户端版本必须与当前使用的 iMC UAM 配套,具体的配套关系请参见 UAM 版本说明书
1. 使用iNode客户端进行 802.1X认证
(1) 在iNode PC客户端主页面,选择“802.1X连接”,展开 802.1X连接区域,如 图 20 所示。
(2) 输入正确的用户名和密码后,单击<连接>按钮,iNode客户端开始认证。认证成功的界面如 图21 所示。
注意:
为了使 UAM 获取到 iNode 客户端的 IP 地址,在 802.1X 连接的属性中,必须勾选“上传 IPv4 地址/上传 IPv6 地址”项。
2. 在UAM中查看在线用户
在UAM配置页面中,选择“用户”页签,单击导航树中的“接入用户管理 > 在线用户”菜单项,查看在线用户,如 图 22 所示。
2.
用户认证成功后,UAM对终端绑定的IP地址和MAC地址进行了自学习。接入用户信息页面的绑定信息区域显示了终端的IP地址和MAC地址,如 图 23 所示。
3.
认证成功后,修改终端的IP地址,然后再进行认证。认证失败,提示静态IP地址绑定检查失败,如图 24 所示。
认证失败原因分析:
接入用户的 IP 地址发生了变化,与 UAM 服务器中当前接入用户绑定的终端 IP 不一致,所以认证失败
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作