• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

SSLVPN使用radius认证,是否支持给用户下发指定IP

11小时前提问
  • 0关注
  • 0收藏,51浏览
xyy
xyy 零段
粉丝:0人 关注:1人

问题描述:

SSLVPN使用radius认证,是否支持给用户下发指定IP

组网及组网描述:

SSLVPN使用radius认证,是否支持给用户下发指定IP

4 个回答
按时间 按赞数
zhiliao_Gixe
zhiliao_Gixe 六段
粉丝:10人 关注:9人

H3C SSLVPN使用Radius认证支持给用户下发指定IP,实现方式:
1. Radius服务器侧:为对应SSL VPN用户配置标准Radius属性Framed-IP-Address(属性8),值为指定IP;
2. 设备侧:在SSL VPN关联的认证域下,配置命令radius attribute framed-ip enable,确保设备识别并应用Radius返回的IP属性,即可完成指定IP下发。

radius attribute framed-ip enable 没有这个命令

xyy 发表时间:11小时前 更多>>

radius attribute framed-ip enable 没有这个命令

xyy 发表时间:11小时前
zhiliao_sEUyB
zhiliao_sEUyB 九段
粉丝:116人 关注:11人

支持的

刘浩存
刘浩存 九段
粉丝:17人 关注:1人

H3C SecPath系列的SSLVPN在使用RADIUS认证时,是支持给用户下发指定IP地址的,但这需要启用特定的功能,与常规的本地认证配置有所不同。主要支持以下两种方式:


1.方式一:专用IP地址绑定(H3C推荐,细粒度控制)

2.方式二:标准RADIUS属性(依赖认证服务器)

zhiliao_GeOM0O
zhiliao_GeOM0O 八段
粉丝:10人 关注:2人

支持,但不是默认行为,需要 RADIUS 下发标准属性 + 防火墙开启授权解析

一、结论

H3C Comware 7 防火墙(含 F1020/F1000-AI 系列)SSLVPN 在IP 接入模式下,支持 RADIUS 服务器通过Framed-IP-Address (8 号属性) 给用户下发固定 IP;同时支持Framed-IP-Netmask (9 号属性) 下发子网掩码H3C。
  • 只支持IP 接入(虚拟网卡)Web 接入不支持下发 IPH3C。
  • 下发 IP 必须与防火墙配置的SSLVPN 地址池同网段,且不能与地址池范围重叠H3C。

二、RADIUS 侧配置(IMC / 第三方 RADIUS)

给用户绑定以下 RADIUS 标准属性:
plaintext
Framed-IP-Address (8) :10.1.1.88 (要分配的固定IP) Framed-IP-Netmask (9) :255.255.255.0 Framed-Protocol (7) :1 (PPP,必填)
  • IMC:用户管理→用户→认证授权→RADIUS 属性→添加上述属性。
  • 第三方 RADIUS(如 Windows NPS):配置 “IP 地址分配” 或 “供应商特定属性”。

三、防火墙侧关键配置(Comware7)

  1. 开启 RADIUS 授权解析
bash
运行
radius scheme sslvpn-radius authorization-attribute accept framed-ip-address // 允许接收RADIUS下发IP authorization-attribute accept framed-ip-netmask
  1. 配置 SSLVPN 地址池(与下发 IP 同网段)
bash
运行
sslvpn ip address-pool sslvpn-pool 10.1.1.1 10.1.1.100 // 地址池范围不含88 interface sslvpn-ac 1 ip address 10.1.1.254 255.255.255.0
  1. 域间绑定 RADIUS 方案
bash
运行
domain sslvpn-domain authentication sslvpn radius-scheme sslvpn-radius authorization sslvpn radius-scheme sslvpn-radius // 授权走RADIUS

四、两种实现方式对比

  • 方式 1(推荐):RADIUS 下发 Framed-IP-Address
    优点:用户集中在 RADIUS 管理,统一权限与 IP 绑定;适合多设备场景。
    缺点:需 RADIUS 服务器支持属性配置。
  • 方式 2:防火墙本地固定 IP 绑定
bash
运行
sslvpn fixed-ip user user1@local ip 10.1.1.88
优点:配置简单,无需改 RADIUS;适合少量用户。
缺点:分散配置,多设备不同步H3C。

五、常见问题

  1. 下发不生效:
    • 检查 RADIUS 响应报文中是否携带 8/9 号属性(抓包确认)。
    • 防火墙是否配置authorization-attribute accept
    • 下发 IP不在地址池范围内同网段
  2. 冲突报错:
    • 同用户在多终端登录:关闭 “允许多处登录”H3C。
    • IP 已被占用:检查地址池与静态绑定表。

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +
网站相关
关于我们
服务条款
隐私政策
帮助中心
经验与权限
积分规则
联系我们
联系我们
建议反馈
常用链接
标杆的神器下载
关注我们
H3C官网
新华三服务公众号
安仔远程运维服务
新华三商城
内容许可
除特别说明外,用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2026新华三集团保留一切权利 当前呈现版本 NO.1

本图标版权归新华三集团所有,仅限本社区使用,切勿用做商业目的,违者必究

浙ICP备09064986号-1   浙公网安备 33010802004416号

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明