用户身份识别与管理典型配置举例

 

本文档介绍身份识别与管理的典型配置举例。

通过用户身份识别与管理功能，设备可以将网络流量的IP地址识别为用户，并基于用户进行网络访问控制。此功能便于网络管理员基于用户进行安全策略的部署，以及基于用户进行网络攻击行为以及流量的统计和分析，解决了用户IP地址变化带来的策略控制问题。

用户将用户名和密码发送给RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）服务器进行认证，认证通过后RADIUS服务器将用户的身份信息（如用户名、IP地址等）同步给设备。设备获得用户名和IP地址的对应关系后，用户仅通过RADIUS服务器的认证即可直接访问网络资源，而无需再由安全设备进行认证，这种认证方式被称作“RADIUS单点登录”。

 

本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解Portal、AAA、身份识别与管理和安全策略等特性。

使用安全策略时，需要注意的是：当安全策略与包过滤策略同时配置时，因为安全策略对报文的处理在包过滤之前，报文与安全策略匹配成功后，不再进行包过滤处理，所以请合理配置安全策略和包过滤，否则可能会导致配置的包过滤不生效。

组网需求

在下图网络环境中企业需要对Portal用户进行身份识别和访问控制，具体要求如下：

·     采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。

·     采用RADIUS服务器作为认证服务器。

·     配置RESTful服务器用于存储帐号信息。

·     用户通过静态方式配置IP地址，并在NAS设备上进行Portal认证后接入网络。

·     在Device上对所有Portal在线用户进行身份识别和基于用户的访问控制，具体要求如下：

¡     用户user10001即不能访问FTP server，也不能访问Internet。

¡     用户user10002仅能与FTP server互通，不能访问Internet。

¡     用户user10003仅能访问Internet，不能访问FTP server。

¡     Internet上的用户不能主动访问Trust安全域和DMZ安全域中的主机。

图-1 基于RADIUS单点登录的身份识别与管理配置组网图

 

配置思路

完成本配置举例需要在Host、Router、Device和iMC服务器上进行相关配置，具体配置思路如下图所示。

图-2 基于RADIUS单点登录的身份识别与管理配置思路图

 

使用版本

本举例是在F1060的F9345版本上进行配置和验证的。

本举例是在MSR26-30的Version 7.1.064, ESS 0701版本上进行配置和验证的。

本举例以iMC为例（使用iMC版本为：iMC PLAT 7.3 (E0506)、iMC UAM 7.3 (E0503)、iMC CAMS 7.3 (E0501)、iMC SSM 7.3 (E0501)，说明RADIUS server和Portal server的基本配置。

配置限制和指导

因为iMC服务器只有收到用户的计费停止报文后，才会将此用户下线。所以在此配置举例中即使不需要对Portal用户进行计费，仍然需要在Device的认证域中配置计费功能（iMC服务器上不需要配置计费策略），否则在Portal用户下线时虽然设备上已经下线，但iMC服务器不会将此用户下线。

配置步骤

配置Router

配置接口IP地址和路由保证网络可达

# 配置接口GigabitEthernet0/0的IP地址为20.2.1.1。

<Router> system-view

[Router] interface gigabitethernet 0/0

[Router-GigabitEthernet0/0] ip address 20.2.1.1 255.255.255.0

[Router-GigabitEthernet0/0] quit

# 配置接口GigabitEthernet0/1的IP地址为192.168.100.90。

[Router] interface gigabitethernet 0/1

[Router-GigabitEthernet0/1] ip address 192.168.100.90 255.255.255.0

[Router-GigabitEthernet0/1] quit

# 配置缺省路由保证Router与FTP server和Internet路由可达。

[Router] ip route-static 0.0.0.0 0.0.0.0 192.168.100.88

配置SNMP功能保证iMC可以监控管理Router

# 开启设备的SNMP Agent功能。

[Router] snmp-agent

# 配置设备支持SNMP所有版本、只读团体名为public，读写团体名为private。

[Router] snmp-agent sys-info version all

[Router] snmp-agent community read public

[Router] snmp-agent community write private

配置RADIUS方案

# 创建名称为rs1的RADIUS方案并进入该方案视图。

[Router] radius scheme rs1

# 配置RADIUS方案的主认证服务器及其通信密钥。

[Router-radius-rs1] primary authentication 192.168.100.244

[Router-radius-rs1] primary accounting 192.168.100.244

[Router-radius-rs1] key authentication simple admin

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[Router-radius-rs1] user-name-format without-domain

[Router-radius-rs1] quit

配置认证域

# 创建并进入名称为dm1的认证域。

[Router] domain dm1

# 配置ISP域使用的RADIUS方案rs1。

[Router-isp-dm1] authentication portal radius-scheme rs1

[Router-isp-dm1] authorization portal radius-scheme rs1

[Router-isp-dm1] accounting portal radius-scheme rs1

[Router-isp-dm1] quit

配置Portal认证

# 配置Portal认证服务器：名称为newpt，IP地址为192.168.100.244，密钥为明文admin，监听Portal报文的端口为50100。

[Router] portal server newpt

[Router-portal-server-newpt] ip 192.168.100.244 key simple admin

[Router-portal-server-newpt] port 50100

[Router-portal-server-newpt] quit

# 配置Portal Web服务器的URL为http://192.168.100.244:8080/portal。

[Router] portal web-server newpt

[Router-portal-websvr-newpt] url http://192.168.100.244:8080/portal

[Router-portal-websvr-newpt] quit

# 在接口GigabitEthernet0/0上开启直接方式的Portal认证。

[Router] interface gigabitethernet 0/0

[Router–GigabitEthernet0/0] portal enable method direct

# 在接口GigabitEthernet0/0上引用Portal Web服务器为newpt。

[Router–GigabitEthernet0/0] portal apply web-server newpt

# 在接口GigabitEthernet0/0上配置Portal用户使用的认证域为dm1。

[Router–GigabitEthernet0/0] portal domain dm1

[Router–GigabitEthernet0/0] quit

配置Device

配置SNMP功能保证iMC可以监控管理Device

# 开启设备的SNMP Agent功能。

<Device> system-view

[Device] snmp-agent

# 配置设备支持SNMP所有版本、只读团体名为public，读写团体名为private。

[Device] snmp-agent sys-info version all

[Device] snmp-agent community read public

[Device] snmp-agent community write private

配置NETCONF over SOAP功能保证iMC可以向Device下发配置

# 开启基于HTTP的SOAP功能。

[Device] netconf soap http enable

# 开启基于HTTPS的SOAP功能。

[Device] netconf soap https enable

开启RESTful功能保证设备上的RESTful服务器与iMC可通

# 开启基于HTTP的RESTful功能。

[Device] restful http enable

# 开启基于HTTPS的RESTful功能。

[Device] restful https enable

配置接口IP地址

# 选择“网络 > 接口 > 接口”，进入接口配置页面。

# 单击接口GE1/0/1右侧的<编辑>按钮，配置如下。

·     安全域：Trust

·     选择“IPv4地址”页签，配置IP地址/掩码：192.168.100.88/24

·     其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

# 按照同样的步骤配置接口GE1/0/2，配置如下。

·     安全域：DMZ

·     IP地址/掩码：11.1.1.1/24

·     其他配置项使用缺省值

# 按照同样的步骤配置接口GE1/0/3，配置如下。

·     安全域：Untrust

·     IP地址/掩码：12.1.1.1/24

·     其他配置项使用缺省值

配置路由

1.     配置静态路由保证Device与user网络路由可达。

本举例仅以静态路由为例，若实际组网中需采用动态路由，请配置对应的动态路由协议。

# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”，单击<新建>按钮，进入新建IPv4静态路由页面。

# 新建IPv4静态路由，并进行如下配置：

¡     目的IP地址：20.2.1.0

¡     掩码长度：24

¡     下一跳IP地址： 192.168.100.90

¡     其他配置项使用缺省值

# 单击<确定>按钮，完成静态路由的配置。

2.     配置缺省路由保证Device与Internet路由可达。（此处以Device连接Internet的下一条IP地址是12.1.1.2为例，实际组网中，请以运营商提供的实际IP地址为准）

本举例仅以静态路由为例，若实际组网中需采用动态路由，请配置对应的动态路由协议。

# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”，单击<新建>按钮，进入新建IPv4静态路由页面。

# 新建IPv4静态路由，并进行如下配置：

¡     目的IP地址：0.0.0.0

¡     掩码长度：0

¡     下一跳IP地址：12.1.1.2

¡     其他配置项使用缺省值

# 单击<确定>按钮，完成静态路由的配置。

为管理员用户admin授权HTTP服务

# 选择“系统 > 管理员 > 管理员”，管理员页面。

# 在管理员页面，单击admin用户右边的<编辑>按钮，进入修改管理员页面。

# 在修改管理员页面，配置其拥有HTTP服务。其他配置项保持默认情况即可，如下图所示。

图-3 修改管理员信息

 

# 其他配置项保持默认情况即可。

# 单击<确定>按钮，完成管理员信息修改。

配置用户身份识别与管理功能

1.     开启用户身份识别功能。

# 选择“对象 > 用户 > 用户管理 > 在线用户”，选择在线用户页签。

# 在在线用户页面，单击<开启身份识别功能>按钮，开启用户身份识别功能。如下图所示。

图-4 开启身份识别功能

 

2.     创建名称为rest1的RESTful服务器

# 选择“对象 > 用户 > 认证管理 > RESTful服务器”，进入RESTful服务器页面。

# 在RESTful服务器页面，单击<新建>按钮，进入新建RESTful服务器页面。

# 在新建RESTful服务器页面，配置相关参数信息，具体内容如下图所示。

图-5 新建RESTful服务器

 

# 其他配置项保持默认情况即可。

# 单击<确定>按钮，完成策略配置。

RESTful服务器的具体配置信息如下：

¡     名称：rest1

¡     用户名：admin

¡     密码：admin。

¡     获取用户账号的URI：http://192.168.100.244:8080/imcrs/ssm/imcuser/accessUser

¡     获取在线用户的URI：http://192.168.100.244:8080/imcrs/ssm/imcuser/onlineUser

¡     获取用户组的URI：http://192.168.100.244:8080/imcrs/ssm/imcuser/accessUserGroup

¡     上传在线用户的URI：http://192.168.100.244:8080/imcrs/ssm/imcuser/uploadOnlineUser

¡     上传下线用户的URI：http://192.168.100.244:8080/imcrs/ssm/imcuser/uploadOfflineUser

 

3.     创建名称为imc的用户导入策略

# 选择“对象 > 用户 > 用户管理 > 用户导入策略”，进入用户导入策略页面。

# 在用户导入策略页面，单击<新建>按钮，进入新建导入策略页面。

# 在新建导入策略页面，配置相关参数信息，具体内容如下图所示。

图-6 新建导入策略

 

# 其他配置项保持默认情况即可。

# 单击<确定>按钮，完成策略配置。

# 在设备与iMC正常通信后，在用户导入策略页面选择imc用户导入策略，单击<手工导入身份识别用户>和<手工导入在线用户>按钮，将iMC服务器上的账户信息和在线用户信息导入设备。如下图所示。

图-7 导入账户和在线用户

 

配置安全策略保证Device与iMC互通

此步骤保证Device能够从iMC上同步身份识别用户信息。

# 创建名称为trust-local的安全策略，使Trust安全域到Local安全域的报文可通。

# 选择“策略 > 安全策略 > 安全策略”，单击<新建>按钮，选择新建策略，进入新建安全策略页面。

# 新建安全策略，并进行如下配置：

·     名称：trust-local

·     源安全域：trust

·     目的安全域：local

·     类型：IPv4

·     动作：允许

·     其他配置项使用缺省值

# 单击<确定>按钮，完成安全策略的配置。

# 按照同样的步骤配置名称为local-trust的安全策略，使Local安全域到Trust安全域的报文可通，配置如下。

·     名称：local-trust

·     源安全域：local

·     目的安全域：trust

·     类型：IPv4

·     动作：允许

·     其他配置项使用缺省值

# 按照同样的步骤配置名称为user10002的安全策略，仅允许user10002与FTP server互通，但是禁止其他用户访问FTP server，配置如下。

·     名称：user10002

·     源安全域：trust、dmz

·     目的安全域：trust、dmz

·     类型：IPv4

·     动作：允许

·     用户：user10002

·     其他配置项使用缺省值

# 按照同样的步骤配置名称为user10003的安全策略，仅允许user10003主动访问Internet，但是禁止Internet用户主动访问内网。

·     名称：user10003

·     源安全域：trust

·     目的安全域：untrust

·     类型：IPv4

·     动作：允许

·     用户：user10003

·     其他配置项使用缺省值

在iMC上增加设备（iMC）

# 在iMC上增加设备保证iMC可以监控和管理设备，具体配置步骤如下。

1.     登录iMC管理平台

# 在浏览器地址栏中输入iMC管理平台的URL。本配置举例中iMC管理平台的URL为http://192.168.100.244:8080/imc/，用户名和密码均为admin，具体步骤略。

2.     增加设备

# 选择“资源”页签，单击导航树中的[资源管理/增加设备]菜单项，进入增加设备配置页面，其配置内容如下图所示，其中Telnet参数的用户名和密码均为admin；其他配置保持默认值即可，其中SNMP的只读团体字密码缺省值为public，读写团体字密码缺值省为private。

图-8 增加设备

 

# 单击<确定>按钮完成操作。

# 请参考以上步骤添加设备Router，IP地址为192.168.100.90，具体配置步骤略。

3.     修改NETCONF参数信息

# 选择“资源”页签，单击导航树中的[视图管理/设备视图]菜单项，进入设备视图列表页面，在此页面的设备标签列单击目标设备，进入某设备的详细信息页面，如下图所示。

图-9 设备视图列表

 

# 在设备详细信息页面的右侧，依次单击[配置/修改NETCONF参数]，在弹出的对话框中单击加号添加协议，具体配置内容如下图所示，其中用户名和密码为admin。

 

# 单击<确定>按钮完成操作。

配置安全业务（iMC）

1.     在安全业务中同步设备，保证设备与iMC服务器上的配置信息和用户信息的同步

# 选择“业务”页签，单击导航树中的[安全业务管理/设备管理]菜单项，进入设备管理配置页面，在设备管理页签下的设备列表中可以看到添加成功的设备，如下图所示。

图-10 安全设备管理页面（未同步）

 

# 选中需要同步的设备单击<同步>按钮，进行设备同步。设备同步完成后同步状态一列会显示成功，如下图所示。（同步时间较长，请耐心等待）

图-11 安全设备管理页面（同步中）

 

图-12 安全设备管理页面（同步成功）

 

2.     配置用户认证系统参数和用户通知参数，保证iMC服务器将用户的上下线信息实时同步给设备

# 选择“业务”页签，单击导航树中的[安全业务管理/全局参数配置]菜单项，进入全局参数配置页面，在此页面配置用户认证系统参数，如下图所示。

请根据Portal认证服务器的协议类型，选择对应的协议类型。用户名和密码与登录iMC服务器的相同。

图-13 配置用户认证系统参数

 

# 选择“用户”页签，单击导航树中的[接入策略管理/业务参数配置/系统配置]菜单项，进入系统配置页面，在此页面选择用户通知参数配置进入修改用户通知页面，如下图所示。

此处的共享密钥没有用到，随意输入即可。

图-14 修改用户通知

 

配置RADIUS server（iMC）

1.     登录iMC管理平台

# 在浏览器地址栏中输入iMC管理平台的URL。本配置举例中iMC管理平台的URL为http://192.168.100.244:8080/imc/，用户名和密码均为admin，具体步骤略。

2.     增加接入设备

# 选择“用户”页签，单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项，进入接入设备配置页面，在该页面中单击<增加>按钮，进入增加接入设备页面。配置共享密钥为admin，其他配置如下图所示。

图-15 增加接入设备

 

# 单击<确定>按钮完成操作。

 

3.     增加接入策略

# 选择“用户”页签，单击导航树中的[接入策略管理/接入策略管理]菜单项，进入接入策略管理配置页面，在该页面中单击<增加>按钮，进入增加接入策略页面。配置接入策略名为Portal，其他配置项使用缺省值即可，如下图所示。

图-16 增加接入策略

 

# 单击<确定>按钮完成操作。

4.     增加接入服务

# 选择“用户”页签，单击导航树中的[接入策略管理/接入服务管理]菜单项，进入接入服务管理配置页面，在该页面中单击<增加>按钮，进入增加接入服务页面。配置服务名为Portal，引用的缺省接入策略为Portal，其他配置项使用缺省值即可，如下图所示。

图-17 增加接入服务

 

# 单击<确定>按钮完成操作。

5.     增加接入用户

# 选择“用户”页签，单击导航树中的[接入用户管理/接入用户]菜单项，进入接入用户配置页面，在该页面中单击<增加>按钮，进入增加接入用户页面。配置用户姓名为user，帐号名为user10001，密码为admin，接入服务选择Portal，其他配置项使用缺省值即可，如下图所示。

图-18 增加接入用户

 

# 单击<确定>按钮完成操作。

# 请参考上面的配置步骤，继续增加帐号user10002和user10003。

配置Portal server（iMC）

1.     登录iMC管理平台

# 在浏览器地址栏中输入iMC管理平台的URL。本配置举例中iMC管理平台的URL为http://192.168.100.244:8080/imc/，用户名和密码均为admin，具体步骤略。

2.     配置Portal服务器

# 选择“用户”页签，单击导航树中的[接入策略管理/Portal服务器管理/服务器配置]菜单项，进入服务器配置页面。根据实际组网情况调整以下参数，本例中使用缺省配置。

图-19 Portal服务器配置

 

3.     增加IP地址组

# 选择“用户”页签，单击导航树中的[接入策略管理/Portal服务器管理/IP地址组配置]菜单项，进入IP地址组配置页面，在该页面中单击<增加>按钮，进入增加IP地址组配置页面。配置内容如下图所示。

图-20 增加IP地址组

 

# 单击<确定>按钮完成操作。

4.     增加Portal设备

# 选择“用户”页签，单击导航树中的[接入策略管理/Portal服务器管理/设备配置]菜单项，进入设备配置页面，在该页面中单击<增加>按钮，进入增加设备信息配置页面。配置密钥为admin，其它配置内容如下图所示。

图-21 增加Portal设备配置

 

# 单击<确定>按钮完成操作。

5.     Portal设备关联IP地址组

# 选择“用户”页签，单击导航树中的[接入策略管理/Portal服务器管理/设备配置]菜单项，进入设备配置页面，在设备配置页面中的设备信息列表中，点击Router设备操作中的<端口组信息管理>按钮，进入端口组信息配置页面。

图-22 设备信息列表

 

# 在端口组信息配置页面中点击<增加>按钮，进入增加端口组信息配置页面。配置内容如下图所示。

图-23 增加端口组信息配置

 

# 单击<确定>按钮完成操作。

配置Host

# 在Host上配置IP地址、子网掩码、默认网关保证Host可以正常与外部通信，具体配置步骤略。

验证配置

1.     在Host上验证Portal用户的接入认证

# 在浏览器地址栏中输入Portal Web服务器的URL：http://192.168.100.244:8080/portal，登录Portal认证页面，输入用户名和密码，单击<Log In>按钮，Portal用户认证成功后如下图所示。

图-24 Portal用户认证成功示意图

 

2.     iMC上的本地在线用户

用户user10001、user10002和user10003进行Portal认证成功后，可以在iMC的本地在线用户列表中看到，如下图所示。

图-25 本地在线用户示意图

 

3.     在Device上查看身份识别用户信息

# 显示所有身份识别用户信息。

[Device] display user-identity all user

  User ID     Username

  0x2         user10001

  0x3         user10002

  0x4         user10003

# 显示非域下名称为user10001的在线身份识别用户信息。

[Device] display user-identity online-user null-domain name user10001

User name: user10001

  IP  : 20.2.1.11

  MAC : 0011-95e4-4aa9

  Type: Dynamic

 

Total 1 records matched.

# 显示非域下名称为user10002的在线身份识别用户信息。

[Device] display user-identity online-user null-domain name user10002

User name: user10002

  IP  : 20.2.1.12

  MAC : 0011-95e4-4aa3

  Type: Dynamic

 

Total 1 records matched.

# 显示非域下名称为user10003的在线身份识别用户信息。

[Device] display user-identity online-user null-domain name user10003

User name: user10003

  IP  : 20.2.1.13

  MAC : 0011-95e4-4aa2

  Type: Dynamic

 

Total 1 records matched.

4.     Device基于用户的访问控制效果

# 用户user10001不可Ping通FTP server。

C:\>ping 11.1.1.2

 

Pinging 11.1.1.2 with 32 bytes of data:

Request time out.

Request time out.

Request time out.

Request time out.

 

Ping statistics for 11.1.1.2:

    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

# 用户user10002可Ping通FTP server。

C:\>ping 11.1.1.2

 

Pinging 11.1.1.2 with 32 bytes of data:

Reply from 11.1.1.2: bytes=32 time=36ms TTL=253

Reply from 11.1.1.2: bytes=32 time<1ms TTL=253

Reply from 11.1.1.2: bytes=32 time<1ms TTL=253

Reply from 11.1.1.2: bytes=32 time<1ms TTL=253

 

Ping statistics for 11.1.1.2:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 36ms, Average = 9ms

# 当用户user10002Ping通FTP server时，Device上会生成如下日志信息。

[Device]%Nov  6 10:19:53:920 2017 H3C FILTER/6/FILTER_ZONE_EXECUTION_ICMP: -Context

=1; SrcZoneName(1025)=Trust;DstZoneName(1035)=DMZ;Type(1067)=ACL;SecurityPolicy(

1072)=user10002;RuleID(1078)=2;Protocol(1001)=ICMP;SrcIPAddr(1003)=20.2.1.12;Src

MacAddr(1021)=7425-8a37-b5f6;DstIPAddr(1007)=11.1.1.2;IcmpType(1062)=ECHO(8);Icm

pCode(1063)=0;MatchCount(1069)=1;Event(1048)=Permit;

# 用户user10003可Ping通Internet上的主机。（假设Internet上存在一个IP地址为12.1.1.2的主机，实际组网中请以实际情况为准）

C:\>ping 12.1.1.2

 

Pinging 12.1.1.2 with 32 bytes of data:

Reply from 12.1.1.2: bytes=32 time=37ms TTL=253

Reply from 12.1.1.2: bytes=32 time<1ms TTL=253

Reply from 12.1.1.2: bytes=32 time<1ms TTL=253

Reply from 12.1.1.2: bytes=32 time<1ms TTL=253

 

Ping statistics for 12.1.1.2:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 36ms, Average = 9ms

# 当用户user10003Ping通Internet上的主机时，Device上会生成如下日志信息。

[Device]%Nov  6 10:19:53:920 2017 H3C FILTER/6/FILTER_ZONE_EXECUTION_ICMP: -Context

=1; SrcZoneName(1025)=Trust;DstZoneName(1035)=Untrust;Type(1067)=ACL;SecurityPolicy(

1072)=user10003;RuleID(1078)=3;Protocol(1001)=ICMP;SrcIPAddr(1003)=20.2.1.13;Src

MacAddr(1021)=7425-8a37-b5f6;DstIPAddr(1007)=12.1.1.2;IcmpType(1062)=ECHO(8);Icm

pCode(1063)=0;MatchCount(1069)=1;Event(1048)=Permit;

配置文件

Router

[Router] display current-configuration

#

interface GigabitEthernet0/0

 port link-mode route

 ip address 20.2.1.1 255.255.255.0

 portal enable method direct

 portal domain dm1

 portal apply web-server newpt

#

interface GigabitEthernet0/1

 port link-mode route

 ip address 192.168.100.90 255.255.255.0

#

interface GigabitEthernet3/0

 port link-mode route

 combo enable copper

#

 ip route-static 0.0.0.0 0 192.168.100.88

#

 snmp-agent

 snmp-agent local-engineid 800063A28074258A37B5F500000001

 snmp-agent community write private

 snmp-agent community read public

 snmp-agent sys-info version all

#

radius scheme rs1

 primary authentication 192.168.100.244

 primary accounting 192.168.100.244

 key authentication cipher $c$3$hhbEbD5Ycvw7VWqljAoMoU7hQRgcUjtg

 user-name-format without-domain

#

domain dm1

 authentication portal radius-scheme rs1

 authorization portal radius-scheme rs1

 accounting portal radius-scheme rs1

#

domain system

#

 domain default enable system

#

local-user admin class manage

 password hash $h$6$UbIhNnPevyKUwfpm$LqR3+yg1IjNct39MkOR0H0iQXLkYB3jMqM4vbAeoXOh

babIIFnjJPEGR00YiYA1Sz4LiY3FmEdru2fOLMb1shQ==

 service-type telnet http

 authorization-attribute user-role network-admin

#

portal web-server newpt

 url http://192.168.100.244:8080/portal

#

portal server newpt

 ip 192.168.100.244 key cipher $c$3$+UmaGOco7eHsjOqlrp8lI4eYe0A8NpYU

#

return

Device

[Device] display current-configuration

#

interface GigabitEthernet1/0/1

 port link-mode route

 ip address 192.168.100.88 255.255.255.0

#

interface GigabitEthernet1/0/2

 port link-mode route

 ip address 11.1.1.1 255.255.255.0

#

interface GigabitEthernet1/0/3

 port link-mode route

 ip address 12.1.1.1 255.255.255.0

#

security-zone name Trust

 import interface GigabitEthernet1/0/1

#

security-zone name DMZ

 import interface GigabitEthernet1/0/2

#

security-zone name Untrust

 import interface GigabitEthernet1/0/3

#

line vty 0 63

 authentication-mode scheme

 user-role network-admin

#

 ip route-static 0.0.0.0 0 12.1.1.2

 ip route-static 20.2.1.0 24 192.168.100.90

#

 snmp-agent

 snmp-agent local-engineid 800063A280487ADA9593B700000001

 snmp-agent community write private

 snmp-agent community read public

 snmp-agent sys-info version all

 snmp-agent target-host trap address udp-domain 192.168.100.244 params securityn

ame public v2c

#

local-user admin class manage

 password hash $h$6$UbIhNnPevyKUwfpm$LqR3+yg1IjNct39MkOR0H0iQXLkYB3jMqM4vbAeoXOh

babIIFnjJPEGR00YiYA1Sz4LiY3FmEdru2fOLMb1shQ==

 service-type ssh telnet terminal http https

 authorization-attribute user-role level-3

 authorization-attribute user-role network-admin

 authorization-attribute user-role network-operator

#

 netconf soap http enable

 netconf soap https enable

 restful http enable

 restful https enable

#

 user-identity enable

 user-identity user-account auto-import policy imc

#

user-identity restful-server rest1

 login-name admin password cipher $c$3$phGy00HA6OP6pIpGI0KOKZEOPuLVbtt/

 uri get-user-database http://192.168.100.244:8080/imcrs/ssm/imcuser/accessUser

 uri get-user-group-database http://192.168.100.244:8080/imcrs/ssm/imcuser/acces

sUserGroup

 uri get-online-user http://192.168.100.244:8080/imcrs/ssm/imcuser/onlineUser

 uri put-online-user http://192.168.100.244:8080/imcrs/ssm/imcuser/uploadOnlineU

ser

 uri put-offline-user http://192.168.100.244:8080/imcrs/ssm/imcuser/uploadOfflin

eUser

#

user-identity user-import-policy imc

 account-update-interval 1

 restful-server rest1

#

security-policy ip

 rule 0 name trust-local

  action pass

  source-zone trust

  destination-zone local

 rule 1 name local-trust

  action pass

  source-zone local

  destination-zone trust

 rule 2 name user10002

  action pass

  logging enable

  source-zone trust

  source-zone dmz

  destination-zone dmz

  destination-zone trust

  user user10002

 rule 3 name user10003

  action pass

  logging enable

  source-zone trust

  destination-zone untrust

  user user10003

#

return

组网需求

在下图网络环境中企业需要对Portal用户进行身份识别和访问控制，具体要求如下：

·     采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。

·     采用RADIUS服务器作为认证服务器。

·     配置RESTful服务器用于存储帐号信息。

·     用户通过静态方式配置IP地址，并在NAS设备上进行Portal认证后接入网络。

·     在Device上对所有Portal在线用户进行身份识别和基于用户的访问控制，具体要求如下：

¡     用户user10001和user10002不能访问Internet。

¡     用户user10003可以访问Internet。

¡     Internet上的用户不能主动访问Trust安全域和DMZ安全域中的主机。

图-26 基于RADIUS认证本地接入的身份识别与管理配置组网图

 

配置思路

完成本配置举例需要在Host、Router、Device和iMC服务器上进行相关配置，具体配置思路如下图所示。

图-27 基于RADIUS单点登录的身份识别与管理配置思路图

 

使用版本

本举例是在F1060的F9345版本上进行配置和验证的。

本举例是在MSR26-30的Version 7.1.064, ESS 0701版本上进行配置和验证的。

本举例以iMC为例（使用iMC版本为：iMC PLAT 7.3 (E0506)、iMC UAM 7.3 (E0503)、iMC CAMS 7.3 (E0501)、iMC SSM 7.3 (E0501)，说明RADIUS server和Portal server的基本配置。

配置限制和指导

因为iMC服务器只有收到用户的计费停止报文后，才会将此用户下线。所以在此配置举例中即使不需要对Portal用户进行计费，也然需要在Device的认证域中配置计费功能（iMC服务器上不需要配置计费策略），否则在Portal用户下线时虽然设备上已经下线，但iMC服务器不会将此用户下线。

配置步骤

配置Router

配置接口IP地址和路由保证网络可达

# 配置接口GigabitEthernet0/0的IP地址为20.2.1.1。

<Router> system-view

[Router] interface gigabitethernet 0/0

[Router-GigabitEthernet0/0] ip address 20.2.1.1 255.255.255.0

[Router-GigabitEthernet0/0] quit

# 配置接口GigabitEthernet0/1的IP地址为20.2.2.1。

[Router] interface gigabitethernet 0/1

[Router-GigabitEthernet0/1] ip address 20.2.2.1 255.255.255.0

[Router-GigabitEthernet0/1] quit

# 配置缺省路由保证Router与Internet路由可达。

[Router] ip route-static 0.0.0.0 0.0.0.0 20.2.2.2

配置Device

配置SNMP功能保证iMC可以监控管理Device

# 开启设备的SNMP Agent功能。

<Device> system-view

[Device] snmp-agent

# 配置设备支持SNMP所有版本、只读团体名为public，读写团体名为private。

[Device] snmp-agent sys-info version all

[Device] snmp-agent community read public

[Device] snmp-agent community write private

配置NETCONF over SOAP功能保证iMC可以向Device下发配置

# 开启基于HTTP的SOAP功能。

[Device] netconf soap http enable

# 开启基于HTTPS的SOAP功能。

[Device] netconf soap https enable

开启RESTful功能保证设备上的RESTful服务器与iMC可通

# 开启基于HTTP的RESTful功能。

[Device] restful http enable

# 开启基于HTTPS的RESTful功能。

[Device] restful https enable

配置接口IP地址

# 选择“网络 > 接口 > 接口”，进入接口配置页面。

# 单击接口GE1/0/1右侧的<编辑>按钮，配置如下。

·     安全域：DMZ

·     选择“IPv4地址”页签，配置IP地址/掩码：192.168.100.88/24

·     其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

# 按照同样的步骤配置接口GE1/0/2，配置如下。

·     安全域：trust

·     IP地址/掩码：20.2.2.2/24

·     其他配置项使用缺省值

# 按照同样的步骤配置接口GE1/0/3，配置如下。

·     安全域：Untrust

·     IP地址/掩码：12.1.1.1/24

·     其他配置项使用缺省值

配置路由

1.     配置静态路由保证Device与user网络路由可达。

本举例仅以静态路由为例，若实际组网中需采用动态路由，请配置对应的动态路由协议。

# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”，单击<新建>按钮，进入新建IPv4静态路由页面。

# 新建IPv4静态路由，并进行如下配置：

¡     目的IP地址：20.2.1.0

¡     掩码长度：24

¡     下一跳IP地址：20.2.2.1

¡     其他配置项使用缺省值

# 单击<确定>按钮，完成静态路由的配置。

2.     配置缺省路由保证Device与Internet路由可达。（此处以Device连接Internet的下一条IP地址是12.1.1.2为例，实际组网中，请以运营商提供的实际IP地址为准）

本举例仅以静态路由为例，若实际组网中需采用动态路由，请配置对应的动态路由协议。

# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”，单击<新建>按钮，进入新建IPv4静态路由页面。

# 新建IPv4静态路由，并进行如下配置：

¡     目的IP地址：0.0.0.0

¡     掩码长度：0

¡     下一跳IP地址：12.1.1.2

¡     其他配置项使用缺省值

# 单击<确定>按钮，完成静态路由的配置。

为管理员用户admin授权HTTP服务

# 选择“系统 > 管理员 > 管理员”，管理员页面。

# 在管理员页面，单击admin用户右边的<编辑>按钮，进入修改管理员页面。

# 在修改管理员页面，配置其拥有HTTP服务。其他配置项保持默认情况即可，如下图所示。

图-28 修改管理员信息

 

# 其他配置项保持默认情况即可。

# 单击<确定>按钮，完成管理员信息修改。

配置安全策略保证Device与iMC互通

此步骤保证Device能够从iMC上同步身份识别用户信息。

# 创建名称为dmz-local的安全策略，使DMZ安全域到Local安全域的报文可通。

# 选择“策略 > 安全策略 > 安全策略”，进入安全策略页面。

# 新建安全策略，并进行如下配置：

·     名称：dmz-local

·     源安全域：dmz

·     目的安全域：local

·     类型：IPv4

·     动作：允许

·     其他配置项使用缺省值

# 单击<确定>按钮，完成安全策略的配置。

# 按照同样的步骤配置名称为local-dmz的安全策略，使Local安全域到DMZ安全域的报文可通，配置如下。

·     名称：local-dmz

·     源安全域：local

·     目的安全域：dmz

·     类型：IPv4

·     动作：允许

·     其他配置项使用缺省值

# 按照同样的步骤配置名称为trust-dmz的安全策略，保证用户网络（Trust）与iMC（DMZ）互通。因为Portal认证报文穿越了Device，所以必须配置此步骤保证Portal用户能够在iMC上进行AAA认证和Portal认证。配置如下。

·     名称：trust-dmz

·     源安全域：trust、dmz

·     目的安全域：trust、dmz

·     类型：IPv4

·     动作：允许

·     其他配置项使用缺省值

配置RADIUS方案

创建名称为rs1的RADIUS方案。

# 选择“对象 > 用户 > 认证管理 > RADIUS”，进入RADIUS页面。

# 在RADIUS页面，单击<新建>按钮，进入新建RADIUS方案页面。

# 在新建RADIUS方案页面，配置相关参数信息，具体内容如下图所示。

图-29 新建RADIUS方案（认证服务器）

 

图-30 新建RADIUS方案（计费服务器）

 

图-31 新建RADIUS方案（显示高级设置）

 

# 其他配置项保持默认情况即可。

# 单击<确定>按钮，完成RADIUS方案创建。

配置认证域

创建名称为dm1的认证域。

# 选择“对象 > 用户 > 认证管理 > IPS域”，进入IPS域页面。

# 在IPS域页面，单击<新建>按钮，进入添加IPS域页面。

# 在添加IPS域页面，配置相关参数信息，具体内容如下图所示。

图-32 添加IPS域（接入方式）

 

图-33 添加IPS域（Portal AAA方案）

 

# 其他配置项保持默认情况即可。

# 单击<确定>按钮，完成ISP域创建。

配置Portal认证

1.     配置Portal认证服务器

# 选择“对象 > 用户 > 接入管理 > Portal”，选择Portal认证服务器页签。

# 在Portal认证服务器页面，单击<新建>按钮，进入创建Portal认证服务器页面。

# 在创建Portal认证服务器页面，配置服务器名称为newpt，IP地址为192.168.100.244，密钥为明文admin，监听Portal报文的端口为50100。具体内容如下图所示。

图-34 创建Portal认证服务器

 

# 其他配置项保持默认情况即可。

# 单击<确定>按钮，完成Portal认证服务器创建。

2.     配置Portal Web服务器。

# 选择“对象 > 用户 > 接入管理 > Portal”，选择Portal Web服务器页签。

# 在Portal Web服务器页面，单击<新建>按钮，进入创建Portal Web服务器页面。

# 在创建Portal Web服务器页面，配置Portal Web服务器的URL为http://192.168.100.244:8080/portal。具体内容如下图所示。

图-35 创建Portal Web服务器

 

# 其他配置项保持默认情况即可。

# 单击<确定>按钮，完成Portal Web服务器创建。

3.     配置接口策略，在接口上开启Portal认证功能。

# 选择“对象 > 用户 > 接入管理 > Portal”，选择接口策略页签。

# 在接口策略页面，单击<新建>按钮，进入创建接口策略页面。

# 在接口策略页面，配置相关信息。具体内容如下图所示。

图-36 创建接口策略

 

# 其他配置项保持默认情况即可。

# 单击<确定>按钮，完成接口策略创建。

配置用户身份识别与管理功能

1.     开启用户身份识别功能。

# 选择“对象 > 用户 > 用户管理 > 在线用户”，选择在线用户页签。

# 在在线用户页面，单击<开启身份识别功能>按钮，开启用户身份识别功能。如下图所示。

图-37 开启身份识别功能

 

2.     创建名称为rest1的RESTful服务器

# 选择“对象 > 用户 > 认证管理 > RESTful服务器”，进入RESTful服务器页面。

# 在RESTful服务器页面，单击<新建>按钮，进入新建RESTful服务器页面。

# 在新建RESTful服务器页面，配置相关参数信息，具体内容如下图所示。

图-38 新建RESTful服务器

 

# 其他配置项保持默认情况即可。

# 单击<确定>按钮，完成策略配置。

RESTful服务器的具体配置信息如下：

¡     名称：rest1

¡     用户名：admin

¡     密码：admin。

¡     获取用户账号的URI：http://192.168.100.244:8080/imcrs/ssm/imcuser/accessUser

¡     获取用户组的URI：http://192.168.100.244:8080/imcrs/ssm/imcuser/accessUserGroup

 

3.     创建名称为imc的用户导入策略

# 选择“对象 > 用户 > 用户管理 > 用户导入策略”，进入用户导入策略页面。

# 在用户导入策略页面，单击<新建>按钮，进入新建导入策略页面。

# 在新建导入策略页面，配置相关参数信息，具体内容如下图所示。

图-39 新建导入策略

 

# 其他配置项保持默认情况即可。

# 单击<确定>按钮，完成策略配置。

# 在设备与iMC正常通信后，在用户导入策略页面选择imc用户导入策略，单击<手工导入身份识别用户>按钮，将iMC服务器上的账户信息导入设备。如下图所示。

图-40 导入账户

 

配置安全策略仅允许user10003访问Internet

创建名称为user10003的安全策略，仅允许user10003主动访问Internet，但是禁止Internet用户主动访问内网。

# 选择“策略 > 安全策略 > 安全策略”，单击<新建>按钮，选择新建策略，进入新建安全策略页面。

# 新建安全策略，并进行如下配置：

·     名称：user10003

·     源安全域：trust

·     目的安全域：untrust

·     类型：IPv4

·     动作：允许

·     用户：user10003

·     其他配置项使用缺省值

# 单击<确定>按钮，完成安全策略的配置。

在iMC上增加设备（iMC）

# 在iMC上增加设备保证iMC可以监控和管理设备，具体配置步骤如下。

1.     登录iMC管理平台

# 在浏览器地址栏中输入iMC管理平台的URL。本配置举例中iMC管理平台的URL为http://192.168.100.244:8080/imc/，用户名和密码均为admin，具体步骤略。

2.     增加设备

# 选择“资源”页签，单击导航树中的[资源管理/增加设备]菜单项，进入增加设备配置页面，其配置内容如下图所示，其中Telnet参数的用户名和密码均为admin；其他配置保持默认值即可，其中SNMP的只读团体字密码缺省值为public，读写团体字密码缺值省为private。

图-41 增加设备

 

# 单击<确定>按钮完成操作。

3.     修改NETCONF参数信息

# 选择“资源”页签，单击导航树中的[视图管理/设备视图]菜单项，进入设备视图列表页面，在此页面的设备标签列单击目标设备，进入某设备的详细信息页面，如下图所示。

图-42 设备视图列表

 

# 在设备详细信息页面的右侧，依次单击[配置/修改NETCONF参数]，在弹出的对话框中单击加号添加协议，具体配置内容如下图所示，其中用户名和密码为admin。

 

# 单击<确定>按钮完成操作。

配置安全业务（iMC）

1.     在安全业务中同步设备，保证设备与iMC服务器上的配置信息和用户信息的同步

# 选择“业务”页签，单击导航树中的[安全业务管理/设备管理]菜单项，进入设备管理配置页面，在设备管理页签下的设备列表中可以看到添加成功的设备，如下图所示。

图-43 安全设备管理页面（未同步）

 

# 选中需要同步的设备单击<同步>按钮，进行设备同步。设备同步完成后同步状态一列会显示成功，如下图所示。（同步时间较长，请耐心等待）

图-44 安全设备管理页面（同步中）

 

图-45 安全设备管理页面（同步成功）

 

2.     配置用户认证系统参数和用户通知参数，保证iMC服务器将用户的上下线信息实时同步给设备

# 选择“业务”页签，单击导航树中的[安全业务管理/全局参数配置]菜单项，进入全局参数配置页面，在此页面配置用户认证系统参数，如下图所示。

请根据Portal认证服务器的协议类型，选择对应的协议类型。用户名和密码与登录iMC服务器的相同。

图-46 配置用户认证系统参数

 

# 选择“用户”页签，单击导航树中的[接入策略管理/业务参数配置/系统配置]菜单项，进入系统配置页面，在此页面选择用户通知参数配置进入修改用户通知页面，如下图所示。

此处的共享密钥没有用到，随意输入即可。

图-47 修改用户通知

 

配置RADIUS server（iMC）

1.     登录iMC管理平台

# 在浏览器地址栏中输入iMC管理平台的URL。本配置举例中iMC管理平台的URL为http://192.168.100.244:8080/imc/，用户名和密码均为admin，具体步骤略。

2.     增加接入设备

# 选择“用户”页签，单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项，进入接入设备配置页面，在该页面中单击<增加>按钮，进入增加接入设备页面。配置共享密钥为admin，其他配置项如下图所示。

图-48 增加接入设备

 

# 单击<确定>按钮完成操作。

 

3.     增加接入策略

# 选择“用户”页签，单击导航树中的[接入策略管理/接入策略管理]菜单项，进入接入策略管理配置页面，在该页面中单击<增加>按钮，进入增加接入策略页面。配置接入策略名为Portal，其他配置项使用缺省值即可，如下图所示。

图-49 增加接入策略

 

# 单击<确定>按钮完成操作。

4.     增加接入服务

# 选择“用户”页签，单击导航树中的[接入策略管理/接入服务管理]菜单项，进入接入服务管理配置页面，在该页面中单击<增加>按钮，进入增加接入服务页面。配置服务名为Portal，引用的缺省接入策略为Portal，其他配置项使用缺省值即可，如下图所示。

图-50 增加接入服务

 

# 单击<确定>按钮完成操作。

5.     增加接入用户

# 选择“用户”页签，单击导航树中的[接入用户管理/接入用户]菜单项，进入接入用户配置页面，在该页面中单击<增加>按钮，进入增加接入用户页面。配置用户姓名为user，帐号名为user10001，密码为admin，接入服务选择Portal，其他配置项使用缺省值即可，如下图所示。

图-51 增加接入用户

 

# 单击<确定>按钮完成操作。

# 请参考上面的配置步骤，继续增加帐号user10002和user10003。

配置Portal server（iMC）

1.     登录iMC管理平台

# 在浏览器地址栏中输入iMC管理平台的URL。本配置举例中iMC管理平台的URL为http://192.168.100.244:8080/imc/，用户名和密码均为admin，具体步骤略。

2.     配置Portal服务器

# 选择“用户”页签，单击导航树中的[接入策略管理/Portal服务器管理/服务器配置]菜单项，进入服务器配置页面。根据实际组网情况调整以下参数，本例中使用缺省配置。

图-52 Portal服务器配置

 

3.     增加IP地址组

# 选择“用户”页签，单击导航树中的[接入策略管理/Portal服务器管理/IP地址组配置]菜单项，进入IP地址组配置页面，在该页面中单击<增加>按钮，进入增加IP地址组配置页面。配置内容如下图所示。

图-53 增加IP地址组

 

# 单击<确定>按钮完成操作。

4.     增加Portal设备

# 选择“用户”页签，单击导航树中的[接入策略管理/Portal服务器管理/设备配置]菜单项，进入设备配置页面，在该页面中单击<增加>按钮，进入增加设备信息配置页面。配置密钥为admin，其它配置内容如下图所示。

图-54 增加Portal设备配置

 

# 单击<确定>按钮完成操作。

5.     Portal设备关联IP地址组

# 选择“用户”页签，单击导航树中的[接入策略管理/Portal服务器管理/设备配置]菜单项，进入设备配置页面，在设备配置页面中的设备信息列表中，点击Router设备操作中的<端口组信息管理>按钮，进入端口组信息配置页面。

图-55 设备信息列表

 

# 在端口组信息配置页面中点击<增加>按钮，进入增加端口组信息配置页面。配置内容如下图所示。

图-56 增加端口组信息配置

 

# 单击<确定>按钮完成操作。

配置Host

# 在Host上配置IP地址、子网掩码、默认网关保证Host可以正常与外部通信，具体配置步骤略。

验证配置

1.     在Host上验证Portal用户的接入认证

# 在浏览器地址栏中输入Portal Web服务器的URL：http://192.168.100.244:8080/portal，登录Portal认证页面，输入用户名和密码，单击<Log In>按钮，Portal用户认证成功后如下图所示。

图-57 Portal用户认证成功示意图

 

2.     iMC上的本地在线用户

用户user10001、user10002和user10003进行Portal认证成功后，可以在iMC的本地在线用户列表中看到，如下图所示。

图-58 本地在线用户示意图

 

3.     在Device上查看在线的Portal用户

# 显示所有在线的Portal用户信息。

[Device] display portal user all

Total portal users: 3

Username: user10001

  Portal server: newpt

  State: Online

  VPN instance: N/A

  MAC             IP                    VLAN    Interface

  0011-95e4-4aa9  20.2.1.13             --      GigabitEthernet1/0/2

  Authorization information:

    DHCP IP pool: N/A

    User profile: N/A

    Session group profile: N/A

    ACL number: N/A

    Inbound CAR: N/A

Outbound CAR: N/A

 

Username: user10002

  Portal server: newpt

  State: Online

  VPN instance: N/A

  MAC             IP                    VLAN    Interface

  0011-95e4-4aa3  20.2.1.13             --      GigabitEthernet1/0/2

  Authorization information:

    DHCP IP pool: N/A

    User profile: N/A

    Session group profile: N/A

    ACL number: N/A

    Inbound CAR: N/A

    Outbound CAR: N/A

 

Username: user10003

  Portal server: newpt

  State: Online

  VPN instance: N/A

  MAC             IP                    VLAN    Interface

  0011-95e4-4aa2  20.2.1.13             --      GigabitEthernet1/0/2

  Authorization information:

    DHCP IP pool: N/A

    User profile: N/A

    Session group profile: N/A

    ACL number: N/A

    Inbound CAR: N/A

    Outbound CAR: N/A

4.     在Device上查看身份识别用户信息

# 显示所有身份识别用户信息。

[Device] display user-identity all user

  User ID     Username

  0x2         user10001

  0x3         user10002

  0x4         user10003

# 显示非域下名称为user10001的在线身份识别用户信息。

[Device] display user-identity online-user null-domain name user10001

User name: user10001

  IP  : 20.2.1.11

  MAC : 0011-95e4-4aa9

  Type: Dynamic

 

Total 1 records matched.

# 显示非域下名称为user10002的在线身份识别用户信息。

[Device] display user-identity online-user null-domain name user10002

User name: user10002

  IP  : 20.2.1.12

  MAC : 0011-95e4-4aa3

  Type: Dynamic

 

Total 1 records matched.

# 显示非域下名称为user10003的在线身份识别用户信息。

[Device] display user-identity online-user null-domain name user10003

User name: user10003

  IP  : 20.2.1.13

  MAC : 0011-95e4-4aa2

  Type: Dynamic

 

Total 1 records matched.

5.     Device基于用户的访问控制效果

# 用户user10001不可Ping通Internet上的主机。（假设Internet上存在一个IP地址为12.1.1.2的主机，实际组网中请以实际情况为准）

C:\>ping 12.1.1.2

 

Pinging 12.1.1.2 with 32 bytes of data:

Request time out.

Request time out.

Request time out.

Request time out.

 

Ping statistics for 12.1.1.2:

    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

# 用户user10003可Ping通Internet上的主机。（假设Internet上存在一个IP地址为12.1.1.2的主机，实际组网中请以实际情况为准）

C:\>ping 12.1.1.2

 

Pinging 12.1.1.2 with 32 bytes of data:

Reply from 12.1.1.2: bytes=32 time=36ms TTL=253

Reply from 12.1.1.2: bytes=32 time<1ms TTL=253

Reply from 12.1.1.2: bytes=32 time<1ms TTL=253

Reply from 12.1.1.2: bytes=32 time<1ms TTL=253

 

Ping statistics for 12.1.1.2:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 36ms, Average = 9ms

# 当用户user10003Ping通Internet上的主机时，Device上会生成如下日志信息。

[Device]%Nov  6 10:19:53:920 2017 H3C FILTER/6/FILTER_ZONE_EXECUTION_ICMP: -Context

=1; SrcZoneName(1025)=Trust;DstZoneName(1035)=Untrust;Type(1067)=ACL;SecurityPolicy(

1072)=user10003;RuleID(1078)=3;Protocol(1001)=ICMP;SrcIPAddr(1003)=20.2.1.13;Src

MacAddr(1021)=7425-8a37-b5f6;DstIPAddr(1007)=12.1.1.2;IcmpType(1062)=ECHO(8);Icm

pCode(1063)=0;MatchCount(1069)=1;Event(1048)=Permit;

配置文件

Router

[Router] display current-configuration

#

interface GigabitEthernet0/0

 port link-mode route

 ip address 20.2.1.1 255.255.255.0

#

interface GigabitEthernet0/1

 port link-mode route

 ip address 20.2.2.1 255.255.255.0

#

interface GigabitEthernet3/0

 port link-mode route

 combo enable copper

#

 ip route-static 0.0.0.0 0 20.2.2.2

#

 snmp-agent

 snmp-agent local-engineid 800063A28074258A37B5F500000001

 snmp-agent community write private

 snmp-agent community read public

 snmp-agent sys-info version all

#

local-user admin class manage

 password hash $h$6$UbIhNnPevyKUwfpm$LqR3+yg1IjNct39MkOR0H0iQXLkYB3jMqM4vbAeoXOh

babIIFnjJPEGR00YiYA1Sz4LiY3FmEdru2fOLMb1shQ==

 service-type telnet http

 authorization-attribute user-role network-admin

#

return

Device

[Device] display current-configuration

#

interface GigabitEthernet1/0/1

 port link-mode route

 ip address 192.168.100.88 255.255.255.0

#

interface GigabitEthernet1/0/2

 port link-mode route

 ip address 20.2.2.2 255.255.255.0

 portal enable method direct

 portal domain dm1

 portal apply web-server newpt

#

interface GigabitEthernet1/0/3

 port link-mode route

 ip address 12.1.1.1 255.255.255.0

#

security-zone name Trust

 import interface GigabitEthernet1/0/2

#

security-zone name DMZ

 import interface GigabitEthernet1/0/1

#

security-zone name Untrust

 import interface GigabitEthernet1/0/3

#

line vty 0 63

 authentication-mode scheme

 user-role network-admin

#

 ip route-static 0.0.0.0 0 12.1.1.2

 ip route-static 20.2.1.0 24 20.2.2.1

#

 snmp-agent

 snmp-agent local-engineid 800063A280487ADA9593B700000001

 snmp-agent community write private

 snmp-agent community read public

 snmp-agent sys-info version all

 snmp-agent target-host trap address udp-domain 192.168.100.244 params securityn

ame public v2c

#

radius scheme rs1

 primary authentication 192.168.100.244

 primary accounting 192.168.100.244

 key authentication cipher $c$3$hhbEbD5Ycvw7VWqljAoMoU7hQRgcUjtg

 user-name-format without-domain

#

domain dm1

 authentication portal radius-scheme rs1

 authorization portal radius-scheme rs1

 accounting portal radius-scheme rs1

#

domain system

#

 domain default enable system

#

local-user admin class manage

 password hash $h$6$UbIhNnPevyKUwfpm$LqR3+yg1IjNct39MkOR0H0iQXLkYB3jMqM4vbAeoXOh

babIIFnjJPEGR00YiYA1Sz4LiY3FmEdru2fOLMb1shQ==

 service-type ssh telnet terminal http https

 authorization-attribute user-role level-3

 authorization-attribute user-role network-admin

 authorization-attribute user-role network-operator

#

portal web-server newpt

 url http://192.168.100.244:8080/portal

#

portal server newpt

 ip 192.168.100.244 key cipher $c$3$+UmaGOco7eHsjOqlrp8lI4eYe0A8NpYU

#

 netconf soap http enable

 netconf soap https enable

 restful http enable

 restful https enable

#

 user-identity enable

 user-identity user-account auto-import policy imc

#

user-identity restful-server rest1

 login-name admin password cipher $c$3$phGy00HA6OP6pIpGI0KOKZEOPuLVbtt/

 uri get-user-database http://192.168.100.244:8080/imcrs/ssm/imcuser/accessUser

 uri get-user-group-database http://192.168.100.244:8080/imcrs/ssm/imcuser/acces

sUserGroup

 uri get-online-user http://192.168.100.244:8080/imcrs/ssm/imcuser/onlineUser

 uri put-online-user http://192.168.100.244:8080/imcrs/ssm/imcuser/uploadOnlineU

ser

 uri put-offline-user http://192.168.100.244:8080/imcrs/ssm/imcuser/uploadOfflin

eUser

#

user-identity user-import-policy imc

 account-update-interval 1

 restful-server rest1

#

security-policy ip

 rule 0 name dmz-local

  action pass

  source-zone dmz

  destination-zone local

 rule 1 name local-dmz

  action pass

  source-zone local

  destination-zone dmz

 rule 2 name trust-dmz

  action pass

  source-zone trust

  source-zone dmz

  destination-zone dmz

  destination-zone trust

 rule 3 name user10003

  action pass

  logging enable

  source-zone trust

  destination-zone untrust

  user user10003

#

return