最佳答案
以下是配置案例,请参考:
如图1所示,某公司对内网用户实行iMC联动Portal认证上网,认证网段是172.16.4.0/24。内网iMC服务器的IP地址为172.16.0.30/24。使用设备 设备的ge0和ge1接口透明桥模式部署在网络中,设备 设备的bvi1接口地址配置为172.16.5.100。在设备 设备上配置iMC联动Portal认证功能。具体要求如下:
· 设备 设备参与Portal认证和Radius认证,并把所有iMC联动Portal认证用户加入到用户组“2”中。
· 172.16.4.0/24网段中的认证用户在认证之前,只允许访问192.168.3.1的所有服务和iMC服务器,其它访问全部被禁止。
· 172.16.4.0/24网段中的认证用户在认证之后可以正常访问内网和互联网。
图1 IMC联动认证功能配置组网图
· 在设备 设备上配置iMC对应的Radius服务器。
· 在设备 设备上配置iMC对应的Portal服务器。
· 在设备 设备上配置地址对象,注意在认证目的地址中排除iMC服务器地址和192.168.3.1。
· 在设备 设备上配置用户策略。
· 在设备 设备上配置用户组。
· 配置iMC服务器。
iMC版本:iMC PLAT 7.2 (E0403P06)、iMC EIA 7.2 (E0408H01)和iMC EIP 7.2 (E0408H01)
· 当设备参与Portal和Radius认证时,iMC会自动同步用户组信息到设备上,此时iMC上无需进行额外配置,设备上需要配置用户组,并确保上述用户组的名称与iMC上接入策略中下发用户组的名称保持一致。
· 如果需要实现访问某些资源时免Portal认证,需要在对应用户策略的目的地址对象中配置排除地址,将需要免认证访问的IP地址排除,其中iMC服务器和Portal服务器的地址必须排除。目前仅支持排除IP地址,不支持排除域名。
(1) 配置iMC对应的Radius服务器
如图2所示,进入“用户管理 > 认证管理 > 认证服务器”,点击<新建>,选择<Radius服务器>,配置“服务器地址”为172.16.0.30,“服务器密码”和“端口”需要和iMC服务器的配置保持一致,点击<提交>。
图2 配置iMC对应的Radius服务器
如图3所示,添加完成的iMC服务器配置如下。
图3 iMC对应的Radius服务器配置完成
(2) 配置iMC对应的Portal服务器
如图4所示,进入“用户管理 > 认证管理 > 认证方式 > Portal Server”,“认证服务器”配置为IMC,“Portal服务器”配置为172.16.0.30,“超时时间”保持默认,“认证URL”将示例中的serverip替换为实际地址为:
http://172.16.0.30:8080/portal?userip=<USERIP>&usermac=<USERMAC>&origurl=<ORIGURL>&nasip=172.16.5.100,点击<提交>。
图4 配置iMC对应的Portal服务器
(3) 配置地址对象
如图5所示,进入“策略配置 > 对象管理 > 地址对象 > Ipv4 地址对象”,点击<新建>,命名为“认证用户网段”,“地址项目”选为子网地址,配置地址为172.16.4.0/24,点击<提交>。
如图6所示,进入“策略配置 > 对象管理 > 地址对象 > Ipv4 地址对象”,点击<新建>,命名为“认证目的地址”,“地址项目”选为子网地址,配置地址为0.0.0.0/0,“排除地址”配置为172.16.0.30和192.168.3.1,点击<提交>。
(4) 配置用户认证策略
如图7所示,进入“用户管理 > 认证管理 > 认证策略”,点击<新建>,源地址配置为“认证用户网段”,目的地址配置为“认证目的地址”,相关行为配置为“Portal Server认证”,其它选项保持默认,点击<提交>。
如图8所示,添加完成的用户策略配置如下。
(5) 配置用户组
如图9所示,进入“用户管理 > 用户组织结构”,点击<新建>,选择<用户组>,命名为“2”,点击<提交>。
如图10所示,添加完成的用户组配置如下。
(1) 配置接入策略
如图11所示,进入“用户 > 接入策略管理 > 接入策略管理 > 增加接入策略”,“接入策略名”配置为test,“下发用户组”配置为2,其它选项保持默认,点击<确定>。
如图12所示,添加完成的接入策略如下。
(2) 配置接入服务
如图13所示,进入“用户 > 接入策略管理 > 接入服务管理 > 增加接入服务”,“服务名”配置为test2,“服务后缀”配置为test2,“缺省接入策略”配置为test,其它选项保持默认,点击<确定>。
如图14所示,添加完成的接入服务配置如下。
(3) 配置用户和接入用户
如图15所示,进入“用户 > 增加用户”,“用户姓名”配置为user4,证件号码配置为123456789,其它选项保持默认,点击<确定>。
如图16所示,增加的用户配置如下。在此页面上点击<增加用户>。
如图17所示,进入“用户 > 接入用户 > 增加接入用户”,“账号名”配置为user4,“密码”和“密码确认”均配置为用户密码,“生效时间”和“失效时间”根据实际情况配置,“接入服务”选择test,其它选项保持默认,点击<确定>。
如图18所示,添加完成的接入用户配置如下。
(4) 配置接入设备
如图19所示,进入“用户 > 接入策略管理 > 接入设备管理 > 接入设备配置 > 增加接入设备”,点击<手工增加>,“共享密钥”和“确认共享密钥”均配置为和设备 A设备匹配的密码,“起始IP地址”和“结束IP地址”均配置为172.16.5.100(设备 A设备的bvi1接口地址),其它选项保持默认,点击<确定>。
如图20所示,添加完成的接入设备配置如下。
(5) 配置Portal服务器
如图21所示,进入“用户 > 接入策略管理 > Portal服务管理 > 服务器配置”,点击<增加>,“服务类型标识”和“服务类型”均配置为test,其它选项保持默认,点击<确定>。
图21 配置Portal服务器
(6) 配置IP地址组
如图22所示,进入“用户 > 接入策略管理 > Portal服务管理 > IP地址组配置 > 增加IP地址组”,“IP地址组名”配置为portal_ip_group,“起始地址”配置为172.16.4.1,“终止地址”配置为172.16.4.254,其它配置保持默认(如果是NAT组网,需要将“类型”配置为NAT,并配置转换后的起始地址和终止地址),点击<确定>。
图22 配置IP地址组
如图23所示,添加成功的IP地址组配置如下。
图23 IP地址组配置成功
(7) 配置设备信息和端口组信息
如图24所示,进入“用户 > 接入策略管理 > Portal服务管理 > 设备配置 > 增加设备”,“设备名”配置为设备1000,“IP地址”配置为172.16.5.100,“密钥”和“确认密钥”配置为和设备 A设备匹配的密码,其它选项保持默认(虽然设备 A透明部署,但“组网方式”仍保持为三层),点击<确定>。
如图25所示,添加完成的设备的信息配置如下,并在此页面上单击<端口组信息管理>。
如图26所示,进入“用户 > 接入策略管理 > Portal服务管理 > 设备配置 > 端口地址信息配置 > 增加端口组信息”,“端口组名”配置为group,“认证模式”配置为PAP认证(设备目前只支持PAP认证),“IP地址组”配置为portal_ip_group,其它选项保持默认,点击<确定>。
如图27所示,添加完成的端口组信息配置如下。
如图28所示,认证网段用户未进行认证时无法访问互联网,但是可以ping通192.168.3.1。
如图29所示,用户上网时会弹出Portal页面,在页面上输入用户名user4和密码,选择服务类型为test2,单击<上线>。
如图30所示,认证成功,弹出计时页面。
图30 iMC联动Portal认证成功
如图31所示,在设备上查看在线用户列表,发现user4已经被正确同步到用户组2中。
!
#配置iMC Radius服务器
radius-server IMC 172.16.0.30 secret Q0NUkwOilc2vLvLWPeQFTxwVj3qGRKHk2Lqncf1NMisZGuGGuG78y9acNNl+IBV 1812 chap
!
#配置桥接口
interface bvi1
ip address 172.16.5.100/24
allow access https
allow access http
allow access ping
allow access ssh
allow access telnet
allow access center-monitor
!
interface ge0
bridge-group 1
allow access https
allow access ping
!
interface ge1
bridge-group 1
allow access https
allow access ping
!
#配置地址对象
address 认证用户网段
ip subnet 172.16.4.0/24
!
#配置认证目的地址
address 认证目的地址
ip subnet 0.0.0.0/0
exclude ip address 172.16.0.30
exclude ip address 192.168.3.1
!
#配置用户组2
user-group 2 parent /organization
!
#配置用户策略
user-policy ge1 ge0 认证用户网段 认证目的地址 always portal-server-webauth enable portalauth /organization forever
q!
#配置默认策略为允许
policy default-action permit
!
#配置Portal服务器和认证URL
user-portal-server server ip 172.16.0.30
user-portal-server radius IMC
user-portal-server mac-sensitive disable
user-portal-server portal-url http://172.16.0.30:8080/portal?userip=<USERIP>&usermac=<USERMAC>&origurl=<ORIGURL>&nasip=172.16.5.100
!
如图32所示,某公司对内网用户实行iMC联动Portal认证上网,认证网段是172.16.4.0/24。内网iMC服务器的IP地址为172.16.0.30/24。使用设备的ge0口和出口路由器互连,配置ge0口的IP地址为10.8.8.1/24。在设备上配置iMC联动Portal认证功能。具体要求如下:
· 设备不参与Portal认证和Radius认证,只被动接收iMC发送的用户组同步消息,把所有iMC联动Portal认证用户加入到用户组“2”中。
· 在设备上配置用户组。
· 配置iMC服务器。
设备版本:R6616
iMC版本:iMC PLAT 7.2 (E0403P06)、iMC EIA 7.2 (E0408H01)和iMC EIP 7.2 (E0408H01)
· 当设备不参与Portal和Radius认证时,iMC必须配置用户上下线通知参数才会同步用户信息到设备上。
· 第三方用户同步的用户组只支持选择本地用户结构或者其子组。
· 第三方用户同步的同一用户支持同时使用IPv4和IPv6地址上线。
· 第三方用户同步成功后,录入本地的用户均为临时用户,下线后会进行删除。
· 第三方用户同步接口服务器1与服务器2共用一个用户组。
(1) 配置用户组
如图33所示,进入“用户管理 > 用户组织结构”,点击<新建>,命名为2,点击<提交>。
如图34所示,添加完成的用户组配置如下。
(2) 配置第三方用户同步接口
如图33所示,进入“用户管理 > 认证管理>高级选项>第三方用户同步>第三方用户同步接口”,配置IMC服务器地址为172.16.2.1,密钥为123456,点击<提交>。
图35 配置第三方用户同步接口
设备中的配置密钥要与服务器上配置密钥完全相同。
(1) 配置用户上下线通知参数
如图36所示,进入“用户 > 接入策略管理 > 业务参数配置 > 系统配置 > 用户通知参数配置 >增加用户通知”,“服务器IP”配置为10.8.8.1(设备的IP地址),“服务器端口”配置为9999,“共享密钥”和“确认共享密钥”配置为123456,点击<确定>。
如图37所示,在设备上查看在线用户列表,发现user4已经被正确同步到用户组2中且上线成功。
!
interface ge0
ip address 10.8.8.1/24
allow access https
allow access ping
!
#配置用户组2
user-group 2 parent /organization
!
!
#配置iMC服务器及录入组
imc-server1 test 172.16.2.1 secret kTgxl5p34DqlzzT+XZ0R14cv6Qal7urj9YogDjQGHYyVxSLYIpmOxTPwro4b0aN
user-imc group-path /organization/2
(0)
哥,你这个是啥啊。不是单点登录啊
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
哥,你这个是啥啊。不是单点登录啊