• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

EAD的客户端ACL是在哪里调用的?

2024-10-29提问
  • 0关注
  • 0收藏,157浏览
粉丝:1人 关注:0人

问题描述:

EAD的客户端ACL是在哪里调用的?

 

接入策略里吗?

3 个回答
粉丝:227人 关注:8人

这里


暂无评论

粉丝:13人 关注:8人

您好,请知:

以下是配置案例,请参考:

3.1  组网需求

某公司计划启用客户端ACL控制,用户接入网络后对其访问的地址进行控制,具体的组网如2所示。

说明

部署EAD时依赖EIA组件,所以需要先部署EIA再部署EAD

 

·     EIA&EAD服务器IP地址为172.19.206.7。服务器IP地址查看方式如下:

说明

·     在集群部署环境中,会涉及EIA服务器IP地址使用北向业务虚IP还是所在实际节点IP的问题,该地址请务必填写为北向业务虚IP

·     下述步骤为查看EIA服务器IP地址的通用步骤,涉及到的IP地址与本文档无关。

 

a.     打开浏览器输入https://ip_address:8443/matrix/ui,打开matrix页面。其中,ip_address为北向业务虚IP或节点IP

b.     选择“部署”页签,单击“集群”菜单项,切换至“集群参数”页签,进入集群参数页面。

c.     该页面中的北向业务虚IP即为EIA服务器的IP地址,如1所示。

图1 查看EIA服务器IP地址

 

·     接入设备用户侧GigabitEthernet1/0/16所在VLAN的虚接口Vlan-interface 108IP地址为108.108.108.1

·     PCIP地址为108.108.108.3。其中,PC安装Windows操作系统,并准备iNode客户端。

图2 组网图

 

 

注:本案例中各部分使用的版本如下:

·     EIA&EAD版本AD-Campus EIA (E6204)AD-Campus EAD (E6204)

·     接入设备H3C S5820V2-54QS-GE

·     iNode版本iNode PC 7.3 (E0585)

3.2  配置步骤

3.2.1  配置客户端ACL

向客户端下发ACL功能里包含安全ACL和隔离ACL

·     安全ACL指当用户安全检查合格时,控制用户访问范围的ACL

·     隔离ACL指当用户安全检查不合格时,控制用户访问范围的ACL

1. 客户端ACL

(1)     选择“自动化”页签,单击导航树中的“终端业务 > 终端安全管理 配置检查项”菜单项,点击“访问控制”页签中的“客户端ACL”,如3所示。

图3 客户端ACL页面

 

(2)     单击<增加>按钮,进入增加客户端ACL页面,增加客户端ACL名称为“安全ACL”,默认动作为允许,如4所示。

图4 增加客户端ACL

 

参数说明:

¡     ACL规则默认动作:客户端在对除ACL中包括的规则集所控制的报文以外,其它报文的处理方式。包括允许拒绝两个选项。

¡     客户端ACL名称不能与已存在的客户端ACL名重复。每条ACL必须包含至少一条ACL规则。

¡     业务分组:在[终端业务/终端安全管理/业务参数]页面中,“EAD业务分权”参数为“允许”时,才会出现。用于分权管理,使特定的人只能管理特性的业务,既职责分明,也不会互相越权。配置该ACL所属的业务分组,用于ACL的分权管理。

(3)     在ACL规则信息栏目,单击<增加>按钮,增加客户端ACL规则,匹配动作为“拒绝”,输入目的IP地址和掩码,如5所示,点击<确定>按钮。客户端对符合该ACL规则条件的报文过滤,不允许其流出。

图5 增加客户端ACL规则页面

 

参数说明:

¡     匹配动作:表示对所控制报文所采取的动作,包括两种动作:允许和拒绝。

¡     协议:表示该规则控制的报文所属的协议。

¡     目的IP地址:报文流出的目的IP地址,本手册以10.10.10.2为例。

¡     掩码:目的IP地址的子网掩码。

¡     目的端口:报文流出的目的端口。

¡     源端口:报文流出的源端口。

¡     插入位置:该条规则在ACL规则列表中的位置。如输入1,就表示将该规则插在ACL规则列表中第一行,序号为1。当该值为空或输入的值大于ACL列表中的序号时,该规则将插入在ACL列表末尾。

(4)     单击<确定>按钮,可以在配置客户端ACL页面查看新增的“安全ACL”,如6所示。

图6 配置客户端ACL页面

 

(5)     按照上述的方法,同样操作,新增“隔离ACL”,如7所示。

注意

“隔离ACL”规则中的目的IP地址,可以结合实际需求进行配置。

 

图7 配置客户端ACL页面

 

3.2.2  配置终端安全管理

1. 增加准入安全策略

(1)     选择“自动化”页签,单击导航树中的“终端业务 > 终端安全管理 准入安全策略”菜单项,进入准入安全策略页面,如8所示。

图8 准入安全策略

 

(2)     单击<增加>按钮,进入增加安全策略页面。在基本信息栏目,增加安全策略名为test,安全级别为隔离模式。在隔离方式配置栏目,勾选“配置隔离方式”,如9所示。

图9 增加安全策略

 

(3)     在隔离方式配置栏目,选择“向客户端下发ACL”,向客户端下发ACL指的是向iNode客户端下发ACL,此处只选择客户端ACL,客户端ACL对应的ACL规则已在3.2.1  配置客户端ACL中配置。安全ACL选择配置的“安全ACL”,隔离ACL选择配置的“隔离ACL”,如10所示

图10 配置向客户端下发ACL

 

说明

向客户端下发ACL之前,请确认用户终端使用的iNode是否支持客户端ACL特性。如果不支持,会使用户强制下线。

 

(4)     单击<确定>按钮,增加准入安全策略完毕,如11所示。

图11 准入安全策略

 

3.2.3  配置EIA服务

1. 增加接入设备

增加接入设备是为了建立EIA服务器和接入设备之间的联动关系。增加接入设备的方法如下:

(1)     选择“自动化”页签,单击导航树中的“用户业务 > 接入服务”菜单项,进入接入服务页面。单击“接入设备”TAB页,进入接入设备配置页面,如12所示。

图12 接入设备配置页面

 

(2)     单击<增加>按钮,进入增加接入设备页面,如13所示。

图13 增加接入设备

 

(3)     单击“设备列表”区域中的<增加IPv4设备>按钮,弹出增加接入设备窗口,如14所示。输入接入设备的IP地址和名称,单击<确定>按钮,返回增加接入设备页面。其中,接入设备的IP地址必须满意以下要求:

¡     如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致。

¡     如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。

图14 手工增加接入设备

 

(4)     配置公共参数。公共参数的配置要求如下:

¡     认证端口:EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812

¡     计费端口:EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813

说明

目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。

 

¡     共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果系统参数中的“密钥显示方式”设置为明文时,只需输入一次共享密钥即可。

¡     其他参数保持默认。

本例以共享密钥\确认共享密钥“movie”为例进行介绍,其他保持默认即可,如15所示。

图15 配置公共参数

 

(5)     单击<确定>按钮,增加接入设备完毕,可在接入设备列表中查看新增的接入设备,如16所示。

图16 查看新增的接入设备

 

2. 增加接入策略

配置一个不进行任何接入控制的接入策略。增加接入策略的方法如下:

(1)     选择“自动化”页签,单击导航树中的“用户业务 > 接入服务”菜单项,进入接入服务页面。单击“接入策略”TAB页,进入接入策略页面,如17所示。

图17 接入策略管理

 

(2)     单击<增加>按钮,进入增加接入策略页面,如18所示。由于不需要任何接入控制,所以只需输入接入策略名,其他参数保持默认即可。

图18 增加接入策略

 

(3)     单击<确定>按钮,接入策略增加完毕。返回接入策略管理页面,可在接入策略列表中查看新增的接入策略,如19所示。

图19 查看新增的接入策略

 

3. 增加接入服务

(1)     选择“自动化”页签,单击导航树中的“用户业务 > 接入服务”菜单项,进入接入服务页面,如20所示。

图20 接入服务管理

 

(2)     单击<增加>按钮,进入增加接入服务页面,增加服务名并在缺省服务策略和缺省安全策略选择之前配置的接入策略和安全策略(本手册二者均为test,配置的安全策略名可在3.2.2  1. 增加准入安全策略章节查询),并配置服务后缀为portal,如21所示。

图21 增加接入服务

 

(3)     单击<确定>按钮,完成增加接入服务。返回接入服务管理页面,可在接入服务列表中查看新增的接入服务。

4. 增加接入用户

(1)     选择“自动化”页签,单击导航树中的“用户业务 > 接入用户”菜单项,进入接入用户页面,如22所示。

图22 接入用户

 

(2)     单击<增加>按钮,进入增加接入用户页面,如23所示。

参数说明:

¡     账号名:唯一标识帐号用户的名称,用户使用该名称申请和使用服务,该名称不能与已有名称相同,不能包含如下特殊字符:#+/?%&=*'@\"[]()<>`TAB,且最大长度为200字符。帐号名支持中间含空格的形式。帐号名在帐号创建成功后不能修改,因此在修改接入用户页面,该字段不可修改。

¡     密码:密码用于身份验证,不可为空,且最大长度为32字符。

¡     允许用户修改密码:是否允许接入用户自行修改密码。如果设置为不允许用户修改密码,则“启用用户密码控制策略”和“下次登录须修改密码”这两个选项不可用。

¡     启用用户密码控制策略:该参数决定了接入用户通过客户端或用户自助服务平台修改密码时是否受密码控制策略的限制。

¡     接入服务:根据用户所在的用户分组,显示用户可以申请的接入服务列表。选中服务对应的复选框即可申请该服务(本手册增加的接入服务名称为“测试服务”)。一个帐号可以申请多个服务,但是不能申请2个或2个以上服务后缀相同的服务。如果申请某个分配IP地址的服务,则选中该服务后需要设定用户IP地址。服务的更多说明请参见接入服务管理的联机帮助。

图23 增加接入用户

 

(3)     单击<确定>按钮,完成增加接入用户,返回接入用户页面。可在接入用户列表中查看新增的接入用户,如24所示。

图24 查看新增的接入用户

 

5. 配置Portal服务

说明

接入认证配置本手册采用Portal认证方式,配置内容不再进行介绍,请参见《EIA Portal认证(IPv4)典型配置举例》。

 

3.2.4  配置接入设备

接入设备用于控制用户的接入。通过认证的用户可以接入网络,未通过认证的用户无法接入网络。

以下使用WindowsCLI窗口telnet到接入设备并进行配置,具体的命令及其说明如下:

(1)     进入系统视图

<Device>system-view

System View: return to User View with Ctrl+Z.

(2)     配置RADIUS策略“allpermit”。认证、计费服务器均指向EIA。认证端口、计费端口、共享密钥要与EIA中增加接入设备时的配置保持一致。

[Device]radius scheme allpermit

New Radius scheme

[Device-radius-allpermit]primary authentication 172.19.206.7 1812

[Device-radius-allpermit]primary accounting 172.19.206.7 1813

[Device-radius-allpermit]key authentication simple movie

[Device-radius-allpermit]key accounting simple movie

[Device-radius-allpermit]user-name-format with-domain

[Device-radius-allpermit]nas-ip 172.19.254.177

[Device-radius-allpermit]quit

(3)     配置domainportal引用配置好的“allpermit”策略。domain的名称必须与EIA中服务的后缀保持一致(本手册以portal为例)。

[Device]domain portal

[Device-isp-portal]authentication portal radius-scheme allpermit

[Device-isp-portal]authorization portal radius-scheme allpermit

[Device-isp-portal]accounting portal radius-scheme allpermit

[Device-isp-portal]quit

(4)     配置Portal认证服务器:名称为myportalIP地址指向EIAkey要与EIA上的配置一致。

[Device]portal server myportal

New portal server added.

[Device-portal-server-myportal]ip 172.19.206.7 key simple movie

[Device-portal-server-myportal]quit

(5)     配置Portal Web服务器的URLhttp://172.19.206.7:9092/portal,要与EIA上的配置一致,可在服务器配置页面的“Portal主页”项中查看。

[Device]portal web-server myportal

New portal web-server added.

[Device-portal-websvr-myportal]url http://172.19.206.7:9092/portal

[Device-portal-websvr-myportal]quit

(6)     创建MAC绑定服务器。配置MAC绑定服务器的IP地址,服务器用来记录用户的Portal认证信息(用户名、密码)和用户终端MAC地址,并进行二者绑定,以便替代用户完成Portal认证。

配置命令

[Device]portal mac-trigger-server mstp

[Device-portal-mac-trigger-server mstp]ip 172.19.206.7 key simple movie

(7)     在接口GigabitEthernet1/0/16所在VLAN虚接口Vlan-interface 108上开启直接方式的Portal,引用Portal Web服务器myportal,设置发送给Portal认证服务器的Portal报文中的BAS-IP属性值

[Device]interface Vlan-interface 108

[Device-Vlan-interface108]portal enable method direct

[Device-Vlan-interface108]portal apply web-server myportal

[Device-Vlan-interface108]portal apply mac-trigger-server mstp

 [Device-Vlan-interface108]portal bas-ip 108.108.108.1

[Device-Vlan-interface108]Portal domain portal

3.3  配置验证

用户使用PC进行认证。

(1)     用户使用iNode客户端,输入用户名、密码等认证信息,进行上线认证。

(2)     身份认证和安全检查通过后,安全ACL策略生效。

(3)     用户访问10.10.10.2地址失败。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明