Framed-IP-Address属性(即预分配给该用户的固定IP)下发给防火墙。Framed-IP-Address。# 1. 创建本地用户(实际中可能由AD域同步而来)
local-user username class network
password simple ...
service-type lan-access
# 2. 配置IP地址池
ip pool static-pool
static-bind ip-address 10.1.1.100 mask 255.255.255.0 hardware-address xxxx-xxxx-xxxx // 传统基于MAC,不适用于此场景
# 更佳方式:在用户认证策略或方案中指定
# 3. 在相关的接口或VPN实例下,应用基于用户的地址分配策略
interface GigabitEthernet1/0/1
ip address 10.1.1.1 255.255.255.0
portal enable method direct
portal domain my-domain
# 需要结合portal、domain和地址分配策略共同实现display access-user命令查看在线用户信息,确认该用户获取的IP地址是否符合预设的固定IP。
暂无评论
SSL-POOL10.200.0.0/24(和内网、深信服 AC 路由可达)10.200.0.1(F1000 内网口或虚拟网关)DOMAIN\user01)→ 编辑10.200.0.101(每个用户一个固定 IP)SSL-POOLSSL-POOL# 1. 建地址池
ssl-vpn address-pool SSL-POOL
network 10.200.0.0 mask 255.255.255.0
gateway 10.200.0.1
dns 192.168.1.100 # 你的域DNS
# 2. 域用户绑定静态IP(替换用户和IP)
user domain DOMAIN\user01
ssl-vpn static-ip 10.200.0.101 pool SSL-POOL
# 3. 虚拟网关应用地址池
ssl-vpn virtual-gateway iNode-GW
address-pool SSL-POOL
authentication domain AD-DOMAIN
# 4. 保存
save
10.200.0.100-10.200.0.199SSL-POOL10.200.0.0/24 路由指向深信服 AC(或内网网关)10.200.0.101(对应域用户)ipconfig 查看 VPN 网卡 IP 是否为设定值。
暂无评论
要实现域用户登录时获取固定IP,需要在 802.1X 认证体系的配合下进行。核心思路是,固定IP的分配策略和绑定信息不在 iNode 客户端配置,而是由核心的认证/授权服务器(H3C iMC EIA 或微软AD)或接入交换机来强制执行的。
802.1X协议主要负责身份认证,并不直接处理IP分配。因此,固定IP的实现通常是通过RADIUS服务器在认证过程中下发,或在接入设备上做静态绑定。您提到的“制作了inode”,通常意味着您使用的是H3C的整套方案,即使用iMC EIA作为RADIUS服务器。
适用场景:使用 iMC EIA 作为认证服务器。这是H3C方案中最直接、最推荐的方式。
操作路径:在 iMC 管理平台中将用户帐号与指定IP进行绑定。域用户在通过认证时,EIA会将该IP作为授权信息下发给交换机,交换机再强制执行。
接入用户配置:在 用户 > 接入用户 页面,为域用户建立或关联一个接入帐号。
绑定IP地址:
方法一(经典):在用户详情页的接入信息标签页,找到用户IP地址字段,直接填入指定IP即可。
方法二(IP管理):通过资源 > 终端准入管理 > IP地址分配预先规划IP池,然后在准入配置 > IP/MAC绑定中建立终端MAC地址与IP的绑定关系。
最终生效:认证成功后,交换机将强制该用户使用绑定的IP上网,如有冲突,iMC可以触发告警并阻止接入。
适用场景:不想依赖 iMC 平台,希望直接利用AD域控下发IP。
操作路径:利用AD域控中为每个域用户定义的标准RADIUS属性,来下发固定IP。
配置AD属性:在域用户的属性编辑器中,找到并编辑 msRADIUSFramedIPAddress 属性,填入要分配的固定IP地址。
认证服务器对接:需要确保你的RADIUS服务器(如 NPS)能读取此AD属性,并在 Access-Accept 报文中携带 Framed-IP-Address 属性返回给交换机。方案三:在交换机端口上静态绑定IP
适用场景:IP策略与物理位置(端口)强相关,对端口下的所有用户均生效。
操作路径:在连接终端的交换机接口下,直接进行静态绑定。
查询MAC地址:首先通过 display mac-address 命令,查看并记录终端的MAC地址。
进入接口并绑定:
确认AD对接:最后,确保交换机的RADIUS认证能正确指向AD域控进行用户验证。
无论选择哪种方案,以下与深信服 AC 配合的基础配置都是必须的,请务必提前完成并验证:
全局开启认证:
配置RADIUS方案并指向AC:
配置ISP域并应用:
接口启用802.1X:
IP地址管理:请确保分配的固定IP,在深信服AC和核心交换机上均已做好对应的放通策略。
避免冲突:分配的固定IP必须在VLAN网段内,且不能与其他设备冲突。建议将此IP地址在DHCP地址池中设为排除地址。
MAC地址获取:绑定操作前,务必准确获取终端的真实MAC地址。Windows系统可通过 ipconfig /all 命令查看。
同步数据:启动系统内置的数据同步工具,将原有配置和监控数据同步至所有新节点,并等待同步完成。
集群状态:查看集群状态页面,确认所有节点在线、心跳正常、数据同步进度为 100%。
业务功能:核对设备的告警、性能指标和拓扑视图是否与单机阶段一致。
故障切换:手动模拟主节点故障,验证从节点能否正常接管业务,且数据不中断
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论