• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

imc联动,认证是之前做的portal的版本是portal2.0现在需要给ACG同步用户,但是做完以后上不去网数据也没同步

2021-03-11提问
  • 0关注
  • 2收藏,1665浏览
粉丝:2人 关注:8人

问题描述:

imc联动,认证是之前做的portal的版本是portal2.0现在需要给ACG同步用户,但是做完以后上不去网数据也没同步

最佳答案

粉丝:103人 关注:0人

1  简介

本文档介绍ACG1000设备iMC联动Portal认证配置举例。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解iMC联动Portal认证特性。

3  使用限制

·     iMC下发用户组信息到ACG1000设备时,只支持下发“接入策略”模块中的“下发用户组”参数,而不能支持“用户”模块中的“用户分组”参数。

·     在ACG1000设备不参与Portal认证的组网模式中,iMC仅支持将用户组信息发送到一个第三方设备(一个IP地址),不支持发送到多个第三方设备。

·     ACG1000设备参与iMC联动portal认证时,只支持认证,不能支持计费相关特性。

4  IMC联动认证配置举例

4.1  组网需求

图1所示,某公司对内网用户实行iMC联动Portal认证上网,认证网段是172.16.4.0/24。内网iMC服务器的IP地址为172.16.0.30/24。使用ACG 设备的ge0和ge1接口透明桥模式部署在网络中,ACG 设备的bvi1接口地址配置为172.16.5.100。在ACG 设备设备上配置iMC联动Portal认证功能。具体要求如下:

·     ACG 设备参与Portal认证和Radius认证,并把所有iMC联动Portal认证用户加入到用户组“2”中。

·     172.16.4.0/24网段中的认证用户在认证之前,只允许访问192.168.3.1的所有服务和iMC服务器,其它访问全部被禁止。

·     172.16.4.0/24网段中的认证用户在认证之后可以正常访问内网和互联网。

图1 ACG参与认证功能配置组网图

 

4.2  配置思路

·     在ACG 设备上配置iMC对应的Radius服务器。

·     在ACG 设备上配置iMC对应的Portal服务器。

·     在ACG 设备上配置地址对象,注意在认证目的地址中排除iMC服务器地址和192.168.3.1。

·     在ACG 设备上配置用户策略。

·     在ACG 设备上配置用户组。

·     配置iMC服务器。

4.3  使用版本

本举例是在ACG1000 R6608、iMC PLAT 7.1 (E0303)、iMC EIA 7.1(E0302P13)和iMC EIP 7.1 (E0302P13)版本上进行配置和验证的。

4.4  配置注意事项

·     当ACG设备参与Portal和Radius认证时,iMC会自动同步用户组信息到ACG上,此时iMC上无需进行额外配置,ACG上需要配置用户组,并确保上述用户组的名称与iMC上接入策略中下发用户组的名称保持一致。

·     如果需要实现访问某些资源时免Portal认证,需要在对应用户策略的目的地址对象中配置排除地址,将需要免认证访问的IP地址排除,其中iMC服务器和Portal服务器的地址必须排除。目前仅支持排除IP地址,不支持排除域名。

4.5  配置步骤

4.5.1  配置ACG 产品

1. 登录Web网管

图2所示,使用http或https的方式登录ACG1000设备的Web网管,默认的用户名和密码是admin/admin,输入验证码,并点击<登录>按钮。

图2 登录H3C ACG Web网管

 

2. 配置iMC对应的Radius服务器

图3所示,进入“用户管理 > 认证服务器 > Radius”,点击<新建>,配置“服务器地址”为172.16.0.30,“服务器密码”和“端口”需要和iMC服务器的配置保持一致,点击<提交>。

图3 配置iMC对应的Radius服务器

 

图4所示,添加完成的iMC服务器配置如下。

图4 iMC对应的Radius服务器配置完成

 

3. 配置iMC对应的Portal服务器

图5所示,进入“用户管理 > 认证设置 > Portal Server”,“认证服务器”配置为IMC,“Portal服务器”配置为172.16.0.30,“超时时间”保持默认,“认证URL”将示例中的serverip替换为实际地址为:

http://172.16.0.30:8080/portal?userip=<USERIP>&usermac=<USERMAC>&origurl=<ORIGURL>&nasip=172.16.5.100,点击<提交>。

图5 配置iMC对应的Portal服务器

 

4. 配置地址对象

图6所示,进入“对象管理 > 地址”,点击<新建>,命名为“认证用户网段”,“地址项目”选为子网地址,配置地址为172.16.4.0/24,点击<提交>。

图6 配置认证用户网段地址对象

 

图7所示,进入“对象管理 > 地址”,点击<新建>,命名为“认证目的地址”,“地址项目”选为子网地址,配置地址为0.0.0.0/0,“排除地址”配置为172.16.0.30和192.168.3.1,点击<提交>。

图7 配置认证目的地址对象

 

图8所示,添加完成的地址对象配置如下。

图8 地址对象配置完成

 

5. 配置用户策略

图9所示,进入“用户管理 > 认证策略”,点击<新建>,源地址配置为“认证用户网段”,目的地址配置为“认证目的地址”,相关行为配置为“Portal Server认证”,其它选项保持默认,点击<提交>。

图9 配置认证策略

 

图10所示,添加完成的用户策略配置如下。

图10 用户策略配置完成

 

6. 配置用户组

图11所示,进入“用户管理 > 用户 > 用户组”,点击<新建>,命名为2,点击<提交>。

图11 配置用户组

 

图12所示,添加完成的用户组配置如下。

图12 用户组配置完成

 

4.5.2  配置iMC服务器

1. 登录Web网管

图13所示,使用http的方式登录iMC服务器的Web网管,默认的用户名和密码是admin/admin,点击<登录>按钮。

图13 登录Web网管

 

2. 配置接入策略

图14所示,进入“用户 > 接入策略管理 > 接入策略管理 > 增加接入策略”,“接入策略名”配置为test,“下发用户组”配置为2,其它选项保持默认,点击<确定>。

图14 配置接入策略

 

图15所示,添加完成的接入策略如下。

图15 接入策略配置完成

 

3. 配置接入服务

图16所示,进入“用户 > 接入策略管理 > 接入服务管理 > 增加接入服务”,“服务名”配置为test2,“服务后缀”配置为test2,“缺省接入策略”配置为test,其它选项保持默认,点击<确定>。

图16 配置接入服务

 

图17所示,添加完成的接入服务配置如下。

图17 接入服务配置完成

 

4. 配置用户和接入用户

图18所示,进入“用户 > 增加用户”,“用户姓名”配置为user4,证件号码配置为123456789,其它选项保持默认,点击<确定>。

图18 增加用户

 

图19所示,增加的用户配置如下。在此页面上点击<增加用户>。

图19 增加用户配置完成

 

图20所示,进入“用户 > 接入用户 > 增加接入用户”,“账号名”配置为user4,“密码”和“密码确认”均配置为用户密码,“生效时间”和“失效时间”根据实际情况配置,“接入服务”选择test,其它选项保持默认,点击<确定>。

图20 配置接入用户

 

图21所示,添加完成的接入用户配置如下。

图21 接入用户配置完成

 

5. 配置接入设备

图22所示,进入“用户 > 接入策略管理 > 接入设备管理 > 接入设备配置 > 增加接入设备”,点击<手工增加>,“共享密钥”和“确认共享密钥”均配置为和ACG A设备匹配的密码,“起始IP地址”和“结束IP地址”均配置为172.16.5.100(ACG A设备的bvi1接口地址),其它选项保持默认,点击<确定>。

图22 配置接入设备

 

图23所示,添加完成的接入设备配置如下。

图23 接入设备配置完成

 

6. 配置Portal服务器

图24所示,进入“用户 > 接入策略管理 > Portal服务管理 > 服务器配置”,点击<增加>,“服务类型标识”和“服务类型”均配置为test,其它选项保持默认,点击<确定>。

图24 配置Portal服务器

 

7. 配置IP地址组

图25所示,进入“用户 > 接入策略管理 > Portal服务管理 > IP地址组配置 > 增加IP地址组”,“IP地址组名”配置为portal_ip_group,“起始地址”配置为172.16.4.1,“终止地址”配置为172.16.4.254,其它配置保持默认(如果是NAT组网,需要将“类型”配置为NAT,并配置转换后的起始地址和终止地址),点击<确定>。

图25 配置IP地址组

 

图26所示,添加成功的IP地址组配置如下。

图26 IP地址组配置成功

 

8. 配置设备信息和端口组信息

图27所示,进入“用户 > 接入策略管理 > Portal服务管理 > 设备配置 > 增加设备”,“设备名”配置为ACG1000,“IP地址”配置为172.16.5.100,“密钥”和“确认密钥”配置为和ACG A设备匹配的密码,其它选项保持默认(虽然ACG A透明部署,但“组网方式”仍保持为三层),点击<确定>。

图27 增加设备信息

 

图28所示,添加完成的ACG1000设备信息配置如下,并在此页面上单击<端口组信息管理>。

图28 ACG1000设备信息添加配置完成

 

图29所示,进入“用户 > 接入策略管理 > Portal服务管理 > 设备配置 > 端口地址信息配置 > 增加端口组信息”,“端口组名”配置为group,“认证模式”配置为PAP认证(ACG目前只支持PAP认证),“IP地址组”配置为portal_ip_group,其它选项保持默认,点击<确定>。

图29 配置端口组信息

 

图30所示,添加完成的端口组信息配置如下。

图30 端口组信息配置完成

 

4.6  验证配置

图31所示,认证网段用户未进行认证时无法访问互联网,但是可以ping通192.168.3.1。

图31 认证网段用户未认证前测试

 

图32所示,用户上网时会弹出Portal页面,在页面上输入用户名user4和密码,选择服务类型为test2,单击<上线>。

图32 用户上网弹出Portal页面

 

图33所示,认证成功,弹出计时页面。

图33 iMC联动Portal认证成功

 

图34所示,在ACG设备上查看在线用户列表,发现user4已经被正确同步到用户组2中,同时也处在imc用户组中。

图34 用户组同步成功

 

暂无评论

0 个回答

该问题暂时没有网友解答

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明