• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
案例类型
搜索
取消
产品线
关键字
发布者
发布时间

inode管理中心防破解功能未生效

L
2017-06-03提问
  • 0关注
  • 0收藏,1540浏览
0

问题描述:

管理中心能够连通IMC平台,且关闭了防火墙。

系统提示:iNode管理中主机中的防火墙阻止了生效报文或网络故障

最佳答案

0


参考下下面的案例,如果不能解决您的问题或者操作过程中报错,请在问题中添加详细的操作步骤截图及报错信息截图。

 

 

iNode防破解特性配合禁用多网卡功能实现禁止WiFi共享的配置案例

一、组网需求

一般情况下,终端用户必须通过身份认证/安全认证,才能正常访问网络。但是在学校很大一部分都是学生在使用网络,由于绝大部分学校对学生使用网络是需要收费的,学生为了节省这一部分费用,经常会使用代理软件等,只要有一个帐号通过UAM认证,其他人就可以使用网络,为了阻止此类非法用户使用网络,iMC UAM提供了客户端防破解方案,通过iNodeiMC UAMH3C的设备相互配合阻止非法的客户端接入网络。在此方案中,需要在UAM中配置客户端管理中心。

二、组网图

无。

三、配置步骤

1iMC侧配置

1.1 选择用户页签,单击左侧导航树中的接入策略管理>>业务参数配置>>系统配置>>业务参数配置菜单项,进入业务参数配置页面,启用“客户端防破解”

·         客户端防破解:该参数启用后,用户使用配置了仅限iNode客户端的服务进行认证时,用户只能使用iNode PC客户端认证接入,使用其他客户端将认证失败或不能正常在线。进行客户端防破解时,需要在用户>>接入策略管理>>业务参数配置>>系统配置>>客户端防破解配置增加客户端管理中心并生效。该功能仅限与HP A seriesH3C设备配合。

如果是portal认证方式,需要同时进入用户>>接入策略管理>>Portal服务管理>>设备配置>>端口组信息配置页面,portal端口组下开启“客户端防破解”。

1.2 接入策略选择“仅限iNode客户端”、“禁用多网卡”,同时根据需要选择“禁止开设代理服务器”,“禁止IE设置代理”等功能。违规处理模式根据需要选择下线或监控。

1.3 配置iNode管理中心

(1)   在一台独立的服务器(或者PC,不建议直接在UAM服务器上)安装iNode管理中心 ,IP地址172.16.0.20,需要与UAM服务器(172.16.0.22)正常通信。

(2)    选择用户页签,单击左侧导航树中的接入策略管理>>业务参数配置>>系统配置菜单项,进入系统配置页面。

(3)   点击客户端防破解配置对应的配置链接,进入客户端防破解配置页面。

(4)   单击<增加>按钮,进入客户端管理中心增加页面,填写iNode管理中心IP地址和备注,单击<确定>按钮保存设置。

(5)   此时状态是未生效,需要点击生效。

(6)   点击客户端管理中心IP列表中的生效图标,生效成功后客户端管理中心的状态更新为已生效。在使用防破解功能前,应确保对应客户端管理中心为已生效状态。

2、接入设备配置

正确配置radius方案后,要实现防破解功能,接入设备的认证方案对应的服务类型必须为eatended,如果是802.1x认证,则必须开启握手报文的安全扩展功能。下面(2)和(3)仅仅是针对802.1x认证进行的配置。

(1)   接入设备上配置认证方案(Radius Scheme)对应的服务类型必须为extended

<Sysname> system-view

[Sysname] radius scheme test

[Sysname-radius-test] server-type extended

(2)   在正确配置了802.1x认证的情况下,开启握手报文的安全扩展功能

假设用户连接设备的Ethernet1/0/5,则需要在以太网端口视图下配置如下命令。

<Sysname> system-view

[Sysname] interface Ethernet 1/0/5

[Sysname-Ethernet1/0/5] dot1x handshake secure

如果要关闭防破解功能,只需在以太网端口视图下执行如下命令。

[Sysname-Ethernet1/0/5] undo dot1x handshake secure

(3)   在正确配置了802.1x认证的情况下,部分设备需要在全局配置视图启用握手(如果设备支持该命令请启用,如果设备不支持不需要配置该命令),执行如下命令。

[Sysname] dot1x handshake enable

     如果要关闭防破解功能,只需在全局视图执行如下命令。

[Sysname] undo dot1x handshake enable

四、测试结果:

1、使用未经破解的客户端测试

1)查看计算机管理>>设备管理器>>网络适配器,除认证网卡Intel(R) Centrino(R) Advanced-N 6205 #2之外还有3个网卡。

2)为避免影响多网卡检测,定制iNode客户端时,将这三个网卡忽略。

3)新建portal连接,认证成功上线

4)启动WIFI共享精灵,设置热点名称和热点密码。

5)查看计算机管理>>设备管理器>>网络适配器,多出一个虚拟网卡:Microsoft Virtual WiFi Miniport Adapter

6)经过十几秒,提示禁用多网卡检测不通过,强制下线。此时,禁用多网卡成功。

2、使用破解后的客户端测试

1)本案例使用的破解客户端是平顶山学院提供的iNode5.2一键破解版,iNode 5.1 E0301破解后版本变成了iNode PC 5.2 E0408

2)破解客户端认证时,提示:无效的客户端版本,请使用管理员指定版本的客户端认证,并在连接属性中选择“上传客户端版本”。

3)查看连接属性,“上传客户端版本”是灰选的。此时,客户端防破解成功。

五、注意事项

1)防破解功能需要iMC、接入设备和iNode客户端三方配合实现,有一方不支持防破解功能,就不能实现防破解。因此请注意iMC、接入设备和iNode客户端的防破解版本。具体支持防破解特性的设备请向设备侧确认。

2多网卡检测功能的实现需要iMC、设备和客户端三方面同时配合,有一方不支持多网卡检测功能,就不能实现多网卡检测功能。

3iNode管理中心版本要与iNode客户端版本一致。

 

未安装,原先已经有生效的,需要添加新的,设置后原先的也不能生效

L 发表时间:2017-06-03

IMC(192.168.15.2)------PC(inode智能客户端:192.168.15.1) 抓包: 平凡出现192.168.15.2 192.168.15.1 TCP 1514 [TCP segment of a reassembled PDU]

L 发表时间:2017-06-03
0 个回答

该问题暂时没有网友解答

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明