iMC UAM 哑终端认证配置举例
产品版本:iMC UAM (E0403)
Copyright © 2016 杭州华三通信技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,
并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。目 录
1 介绍··························································································································································1
1.1 特性简介···············································································································································1
1.2 特性关键技术点····································································································································1
2 特性使用指南···········································································································································1
2.1 使用场合···············································································································································1
2.2 配置前提···············································································································································1
3 配置举例 ··················································································································································1
3.1 组网需求···············································································································································1
3.2 配置步骤···············································································································································2
3.2.1 配置 UAM···································································································································2
3.2.2 配置接入设备·····························································································································6
3.2.3 配置哑终端·································································································································7
3.2.4 验证结果 ····································································································································8
4 相关资料 ··················································································································································8
4.1 相关协议和标准····································································································································8
4.2 其它相关资料········································································································································8
i1
1 介绍
1.1 特性简介
哑终端是指无法手工控制其发起认证的网络终端,常见的哑终端包括 IP 电话、打印机等。
哑终端认证是一种可以让哑终端顺利接入网络的自动认证方式。认证过程中不需要人为干预。哑终
端认证过程大致为:接入设备在首次检测到哑终端的 MAC 地址后,接入设备将作为 RADIUS 客户
端,将检测到的终端 MAC 地址作为用户名和密码发送给企业准入控制系统,并配合完成 MAC 地址
认证。认证通过的哑终端可以访问企业网络。
1.2 特性关键技术点
由于哑终端无通用操作系统,无法通过 802.1X 或 Web Portal 认证对其进行准入控制,因此只能通
过 MAC 地址进行网络接入认证,即把哑终端的 MAC 地址作为其身份标识到企业准入控制系统进行
统一认证。
2 特性使用指南
2.1 使用场合
该特性适用于对哑终端的网络接入权限进行控制的场景中。
2.2 配置前提
终端设备、接入设备、UAM 服务器之间路由可达。
3 配置举例
3.1 组网需求
某公司的网络管理员为财务部门的打印机配置哑终端认证。哑终端设备认证的典型组网如图 1 所示。
图1 哑终端认证2
3.2 配置步骤
为了实现哑终端设备的认证,需要在 UAM 服务器、接入设备中分别进行配置。
3.2.1 配置 UAM
推荐按照以下顺序配置 UAM 的 RADIUS 认证功能:
•
接入设备
•
接入策略
•
接入服务
•
哑终端用户
1. 接入设备
因为接入设备是配置接入条件中接入区域的先决条件,所以我们推荐首先配置接入设备。
在认证过程中,接入设备需要和 UAM 进行 RADIUS 报文交互。为了保证 UAM 与各个厂商、各种
类型的设备进行正常、安全的报文交互,必须在 UAM 中增加接入设备的信息(包括设备厂商、IP
地址、使用的端口、密钥等)。
(1) 在 iMC 配置台中选择“用户”页签,单击导航树中的“接入策略管理 > 接入设备管理 > 接入
设备配置”菜单项,进入接入设备配置页面,如图 2 所示。
图2 接入设备配置
(2) 在接入设备列表中,单击<增加>按钮,进入增加接入设备页面。
在该页面配置以下信息:
a. 在接入配置区域,输入 UAM 监听 RADIUS 报文的认证端口和计费端口。此处的配置必须
与接入设备命令行中配置的认证端口和计费保持一致。
b. 输入接入设备与 UAM 之间认证时,互相验证对方合法性的一个共享密钥。此处的配置必
须与接入设备命令行中配置的共享密钥保持一致。
c. 在设备列表中,单击<选择>按钮或<手工增加>按钮,在 iMC 平台中选择或手工增加接入设
备。
接入设备的配置信息如图 3 所示。配置完成后,单击<确定>按钮,接入设备增加完成。图3 增加接入设备
2. 接入策略
由于在服务中,需要配置接入策略,所以需要先配置接入策略。
(1) 进入接入策略配置页面的方法:在 iMC 配置台中选择“用户”页签,单击导航树中的“接入
策略管理 > 接入策略管理”菜单项,进入接入策略管理页面,如图 4 所示。
图4 接入策略管理页面
(2) 在接入策略列表中,单击<增加>按钮,进入增加接入策略页面。本案例对哑终端设备的接入
不做任何控制,所以在接入策略中不用配置任何控制信息,只需要输入接入策略的名称和选择
所属的业务分组即可。配置信息如图 8 所示。
3图5 增加接入策略
(3) 在增加接入策略页面,单击<确定>按钮,接入策略增加完成。
3. 接入服务
因为增加哑终端用户时需要为哑终端申请服务,所以先增加服务,后增加哑终端用户。
(1) 进入服务配置页面的方法:在 iMC 配置台中选择“用户”页签,单击导航树中的“接入策略
管理 > 接入服务管理”菜单项,进入接入服务管理页面,如图 9 所示。
图6 接入服务管理页面
(2) 在接入服务列表中,单击<增加>按钮,进入增加接入服务页面。
在该页面,配置以下信息:
a. 在接入服务的基本信息区域,输入服务的名称。
b. 除缺省接入策略配置为已存在的“打印机接入策略”外,其它参数保持系统缺省值。
增加服务的配置信息如图 7 所示。
4图7 增加接入服务
(3) 在增加接入服务页面,单击<确定>按钮,接入服务增加完成。
4. 哑终端用户
在UAM中,并不能将单个哑终端直接增加为哑终端用户,而是配置允许接入网络的MAC地址范围。
当网络中属于该 MAC 范围的哑终端接入网络后,会自动在 UAM 中生成哑终端用户。
(1) 进入哑终端用户配置页面的方法:在 iMC 配置台中选择“用户”页签,单击导航树中的“接
入用户管理 > 哑终端用户”菜单项,进入哑终端用户列表页面,如图 12 所示。
图8 哑终端用户列表
(2) 在哑终端用户列表中,单击<增加>按钮,进入增加哑终端用户配置页面。
在该页面配置以下信息:
a. 在哑终端用户配置区域输入配置名称和用户姓名前缀。
b. 选择业务分组和用户分组。
c. 在 MAC 地址段区域,单击增加按钮,增加允许接入网络的 MAC 地址范围。
d. 在接入服务区域,选择已配置的接入服务。
配置信息如图 13 所示。
5图9 哑终端用户配置信息
(3) 哑终端信息配置完成后,单击<确定>按钮,哑终端用户增加完成。
(4) 哑终端用户配置完成后,单击<立即生效>按钮使配置立即生效,如图 10 所示。
图10 配置立即生效
3.2.2 配置接入设备
配置接入设备时,推荐按照以下顺序进行配置:
1. 创建 RADIUS scheme
2. 创建 Domain
3. 启用 MAC 地址认证功能,并选择 MAC 地址认证适用的 Domain
本案例以二层交换机为例,介绍接入设备的的配置过程。
67
1. 创建 RADIUS scheme
接入设备依据配置的 RADIUS scheme 与 UAM 进行 RADIUS 报文交互。因此配置时需要注意以下
几点:
•
RADIUS scheme 中指定的认证和计费服务器的 IP 地址必须是 UAM 服务器的 IP 地址。
•
RADIUS scheme 中指定的共享密钥、认证/计费端口,必须与 UAM 中增加接入设备时的配置
保持一致。
#创建名称为 2000 的 RADIUS scheme
<Device> system-view
[Device] radius scheme 2000
[Device-radius-2000] primary authentication 192.168.40.238 1812
[Device-radius-2000] primary accounting 192.168.40.238 1813
[Device-radius-2000] key authentication expert
[Device-radius-2000] key accounting expert
[Device-radius-2000] user-name-format with-domain
[Device-radius-2000] quit
2. 创建 Domain
配置 Domain 时需要考虑以下几个要素:
•
终端用户采用的接入方式。MAC 地址认证时,通常选择 LAN 接入。
•
Domain 选择的 RADIUS scheme 必须指向保存了终端用户信息的 UAM 服务器。
#创建名为 print 的 Doamin
[Device] domain print
[Device-isp-bbb] authentication lan-acess radius-scheme 2000
[Device-isp-bbb] authorization lan-acess radius-scheme 2000
[Device-isp-bbb] accounting lan-acess radius-scheme 2000
[Device-isp-bbb] quit
3. 启用 MAC 地址认证功能,并选择 MAC 地址认证适用的 Domain
在全局和接口上同时启用 MAC 地址认证功能,并指定 MAC 地址认证时使用上一步中创建的
Domain。
#启用接口 MAC 地址认证
[Device] interface ethernet 1/0/4
[Device -Ethernet1/0/4] mac-authentication
[Device -Ethernet1/0/4] quit
#启用全局 MAC 地址认证
[Device] mac-authentication
#配置 MAC 地址认证适用的 Domain
[Device] mac-authentication domain print
3.2.3 配置哑终端
哑终端无需进行任何配置;认证将自动完成。8
3.2.4 验证结果
验证方法有两种:
•
验证哑终端是否能接入网络。
•
在 EIA 中的在线用户中查看哑终端设备是否在线。
1. 哑终端验证结果
本配置案例中的哑终端能够接入网络。
2. 在 EIA 中查看认证结果
接入设备中显示的 MAC 地址认证信息如图 14 所示。
图11 哑终端在线信息
4 相关资料
4.1 相关协议和标准
•
RADIUS 协议;
•
MAC 地址认证。
4.2 其它相关资料
用户接入联机帮助;
iMC UAM 管理员指导书。
无线技术中,MAC认证和Dot1x认证都属于同一个层面的控制接入的认证方式,所以MAC认证和传统的Dot1x无法同时存在然后区分先后认证。 建议采用不加密的Dot1x认证,通过INode方式来实现Dot1x认证,这样相当于和有线侧的Dot1x认证类似。