您好,请知:
以下是配置案例,请参考:
某公司计划启用客户端ACL控制,用户接入网络后对其访问的地址进行控制,具体的组网如图2所示。
部署EAD时依赖EIA组件,所以需要先部署EIA再部署EAD。
· EIA&EAD服务器IP地址为172.19.206.7。服务器IP地址查看方式如下:
· 在集群部署环境中,会涉及EIA服务器IP地址使用北向业务虚IP还是所在实际节点IP的问题,该地址请务必填写为北向业务虚IP。
· 下述步骤为查看EIA服务器IP地址的通用步骤,涉及到的IP地址与本文档无关。
a. 打开浏览器输入https://ip_address:8443/matrix/ui,打开matrix页面。其中,ip_address为北向业务虚IP或节点IP。
b. 选择“部署”页签,单击“集群”菜单项,切换至“集群参数”页签,进入集群参数页面。
c. 该页面中的北向业务虚IP即为EIA服务器的IP地址,如图1所示。
图1 查看EIA服务器IP地址
· 接入设备用户侧GigabitEthernet1/0/16所在VLAN的虚接口Vlan-interface 108的IP地址为108.108.108.1。
· PC的IP地址为108.108.108.3。其中,PC上安装Windows操作系统,并准备iNode客户端。
注:本案例中各部分使用的版本如下:
· EIA&EAD版本:AD-Campus EIA (E6204)、AD-Campus EAD (E6204)
· 接入设备:H3C S5820V2-54QS-GE
· iNode版本:iNode PC 7.3 (E0585)
向客户端下发ACL功能里包含安全ACL和隔离ACL。
· 安全ACL指当用户安全检查合格时,控制用户访问范围的ACL。
· 隔离ACL指当用户安全检查不合格时,控制用户访问范围的ACL。
(1) 选择“自动化”页签,单击导航树中的“终端业务 > 终端安全管理 > 配置检查项”菜单项,点击“访问控制”页签中的“客户端ACL”,如图3所示。
(2) 单击<增加>按钮,进入增加客户端ACL页面,增加客户端ACL名称为“安全ACL”,默认动作为允许,如图4所示。
图4 增加客户端ACL
参数说明:
¡ ACL规则默认动作:客户端在对除ACL中包括的规则集所控制的报文以外,其它报文的处理方式。包括允许和拒绝两个选项。
¡ 客户端ACL名称不能与已存在的客户端ACL名重复。每条ACL必须包含至少一条ACL规则。
¡ 业务分组:在[终端业务/终端安全管理/业务参数]页面中,“EAD业务分权”参数为“允许”时,才会出现。用于分权管理,使特定的人只能管理特性的业务,既职责分明,也不会互相越权。配置该ACL所属的业务分组,用于ACL的分权管理。
(3) 在ACL规则信息栏目,单击<增加>按钮,增加客户端ACL规则,匹配动作为“拒绝”,输入目的IP地址和掩码,如图5所示,点击<确定>按钮。客户端对符合该ACL规则条件的报文过滤,不允许其流出。
图5 增加客户端ACL规则页面
参数说明:
¡ 匹配动作:表示对所控制报文所采取的动作,包括两种动作:允许和拒绝。
¡ 协议:表示该规则控制的报文所属的协议。
¡ 目的IP地址:报文流出的目的IP地址,本手册以10.10.10.2为例。
¡ 掩码:目的IP地址的子网掩码。
¡ 目的端口:报文流出的目的端口。
¡ 源端口:报文流出的源端口。
¡ 插入位置:该条规则在ACL规则列表中的位置。如输入1,就表示将该规则插在ACL规则列表中第一行,序号为1。当该值为空或输入的值大于ACL列表中的序号时,该规则将插入在ACL列表末尾。
(4) 单击<确定>按钮,可以在配置客户端ACL页面查看新增的“安全ACL”,如图6所示。
(5) 按照上述的方法,同样操作,新增“隔离ACL”,如图7所示。
“隔离ACL”规则中的目的IP地址,可以结合实际需求进行配置。
(1) 选择“自动化”页签,单击导航树中的“终端业务 > 终端安全管理 > 准入安全策略”菜单项,进入准入安全策略页面,如图8所示。
(2) 单击<增加>按钮,进入增加安全策略页面。在基本信息栏目,增加安全策略名为test,安全级别为隔离模式。在隔离方式配置栏目,勾选“配置隔离方式”,如图9所示。
(3) 在隔离方式配置栏目,选择“向客户端下发ACL”,向客户端下发ACL指的是向iNode客户端下发ACL,此处只选择客户端ACL,客户端ACL对应的ACL规则已在3.2.1 配置客户端ACL中配置。安全ACL选择配置的“安全ACL”,隔离ACL选择配置的“隔离ACL”,如图10所示
图10 配置向客户端下发ACL
向客户端下发ACL之前,请确认用户终端使用的iNode是否支持客户端ACL特性。如果不支持,会使用户强制下线。
(4) 单击<确定>按钮,增加准入安全策略完毕,如图11所示。
增加接入设备是为了建立EIA服务器和接入设备之间的联动关系。增加接入设备的方法如下:
(1) 选择“自动化”页签,单击导航树中的“用户业务 > 接入服务”菜单项,进入接入服务页面。单击“接入设备”TAB页,进入接入设备配置页面,如图12所示。
(2) 单击<增加>按钮,进入增加接入设备页面,如图13所示。
(3) 单击“设备列表”区域中的<增加IPv4设备>按钮,弹出增加接入设备窗口,如图14所示。输入接入设备的IP地址和名称,单击<确定>按钮,返回增加接入设备页面。其中,接入设备的IP地址必须满意以下要求:
¡ 如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致。
¡ 如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。
图14 手工增加接入设备
(4) 配置公共参数。公共参数的配置要求如下:
¡ 认证端口:EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。
¡ 计费端口:EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。
目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。
¡ 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果系统参数中的“密钥显示方式”设置为明文时,只需输入一次共享密钥即可。
¡ 其他参数保持默认。
本例以共享密钥\确认共享密钥“movie”为例进行介绍,其他保持默认即可,如图15所示。
(5) 单击<确定>按钮,增加接入设备完毕,可在接入设备列表中查看新增的接入设备,如图16所示。
配置一个不进行任何接入控制的接入策略。增加接入策略的方法如下:
(1) 选择“自动化”页签,单击导航树中的“用户业务 > 接入服务”菜单项,进入接入服务页面。单击“接入策略”TAB页,进入接入策略页面,如图17所示。
(2) 单击<增加>按钮,进入增加接入策略页面,如图18所示。由于不需要任何接入控制,所以只需输入接入策略名,其他参数保持默认即可。
(3) 单击<确定>按钮,接入策略增加完毕。返回接入策略管理页面,可在接入策略列表中查看新增的接入策略,如图19所示。
(1) 选择“自动化”页签,单击导航树中的“用户业务 > 接入服务”菜单项,进入接入服务页面,如图20所示。
(2) 单击<增加>按钮,进入增加接入服务页面,增加服务名并在缺省服务策略和缺省安全策略选择之前配置的接入策略和安全策略(本手册二者均为test,配置的安全策略名可在3.2.2 1. 增加准入安全策略章节查询),并配置服务后缀为portal,如图21所示。
(3) 单击<确定>按钮,完成增加接入服务。返回接入服务管理页面,可在接入服务列表中查看新增的接入服务。
(1) 选择“自动化”页签,单击导航树中的“用户业务 > 接入用户”菜单项,进入接入用户页面,如图22所示。
(2) 单击<增加>按钮,进入增加接入用户页面,如图23所示。
参数说明:
¡ 账号名:唯一标识帐号用户的名称,用户使用该名称申请和使用服务,该名称不能与已有名称相同,不能包含如下特殊字符:#+/?%&=*'@\"[]()<>`和TAB键,且最大长度为200字符。帐号名支持中间含空格的形式。帐号名在帐号创建成功后不能修改,因此在修改接入用户页面,该字段不可修改。
¡ 密码:密码用于身份验证,不可为空,且最大长度为32字符。
¡ 允许用户修改密码:是否允许接入用户自行修改密码。如果设置为不允许用户修改密码,则“启用用户密码控制策略”和“下次登录须修改密码”这两个选项不可用。
¡ 启用用户密码控制策略:该参数决定了接入用户通过客户端或用户自助服务平台修改密码时是否受密码控制策略的限制。
¡ 接入服务:根据用户所在的用户分组,显示用户可以申请的接入服务列表。选中服务对应的复选框即可申请该服务(本手册增加的接入服务名称为“测试服务”)。一个帐号可以申请多个服务,但是不能申请2个或2个以上服务后缀相同的服务。如果申请某个分配IP地址的服务,则选中该服务后需要设定用户IP地址。服务的更多说明请参见接入服务管理的联机帮助。
(3) 单击<确定>按钮,完成增加接入用户,返回接入用户页面。可在接入用户列表中查看新增的接入用户,如图24所示。
接入认证配置本手册采用Portal认证方式,配置内容不再进行介绍,请参见《EIA Portal认证(IPv4)典型配置举例》。
接入设备用于控制用户的接入。通过认证的用户可以接入网络,未通过认证的用户无法接入网络。
以下使用Windows的CLI窗口telnet到接入设备并进行配置,具体的命令及其说明如下:
(1) 进入系统视图。
<Device>system-view
System View: return to User View with Ctrl+Z.
(2) 配置RADIUS策略“allpermit”。认证、计费服务器均指向EIA。认证端口、计费端口、共享密钥要与EIA中增加接入设备时的配置保持一致。
[Device]radius scheme allpermit
New Radius scheme
[Device-radius-allpermit]primary authentication 172.19.206.7 1812
[Device-radius-allpermit]primary accounting 172.19.206.7 1813
[Device-radius-allpermit]key authentication simple movie
[Device-radius-allpermit]key accounting simple movie
[Device-radius-allpermit]user-name-format with-domain
[Device-radius-allpermit]nas-ip 172.19.254.177
[Device-radius-allpermit]quit
(3) 配置domain域“portal”,引用配置好的“allpermit”策略。domain的名称必须与EIA中服务的后缀保持一致(本手册以portal为例)。
[Device]domain portal
[Device-isp-portal]authentication portal radius-scheme allpermit
[Device-isp-portal]authorization portal radius-scheme allpermit
[Device-isp-portal]accounting portal radius-scheme allpermit
[Device-isp-portal]quit
(4) 配置Portal认证服务器:名称为myportal,IP地址指向EIA,key要与EIA上的配置一致。
[Device]portal server myportal
New portal server added.
[Device-portal-server-myportal]ip 172.19.206.7 key simple movie
[Device-portal-server-myportal]quit
(5) 配置Portal Web服务器的URL为http://172.19.206.7:9092/portal,要与EIA上的配置一致,可在服务器配置页面的“Portal主页”项中查看。
[Device]portal web-server myportal
New portal web-server added.
[Device-portal-websvr-myportal]url http://172.19.206.7:9092/portal
[Device-portal-websvr-myportal]quit
(6) 创建MAC绑定服务器。配置MAC绑定服务器的IP地址,服务器用来记录用户的Portal认证信息(用户名、密码)和用户终端MAC地址,并进行二者绑定,以便替代用户完成Portal认证。
配置命令
[Device]portal mac-trigger-server mstp
[Device-portal-mac-trigger-server mstp]ip 172.19.206.7 key simple movie
(7) 在接口GigabitEthernet1/0/16所在VLAN虚接口Vlan-interface 108上开启直接方式的Portal,引用Portal Web服务器myportal,设置发送给Portal认证服务器的Portal报文中的BAS-IP属性值。
[Device]interface Vlan-interface 108
[Device-Vlan-interface108]portal enable method direct
[Device-Vlan-interface108]portal apply web-server myportal
[Device-Vlan-interface108]portal apply mac-trigger-server mstp
[Device-Vlan-interface108]portal bas-ip 108.108.108.1
[Device-Vlan-interface108]Portal domain portal
用户使用PC进行认证。
(1) 用户使用iNode客户端,输入用户名、密码等认证信息,进行上线认证。
(2) 身份认证和安全检查通过后,安全ACL策略生效。
(3) 用户访问10.10.10.2地址失败。
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论