35-用户身份识别与管理典型配置举例
本章节下载: 35-用户身份识别与管理典型配置举例 (1.68 MB)
本章包含如下内容:
· 简介
· 配置前提
· 使用限制
· 基于RADIUS单点登录的用户身份识别与管理典型配置举例
· 基于RADIUS认证本地接入的用户身份识别与管理典型配置举例
本文档介绍身份识别与管理的典型配置举例。
通过用户身份识别与管理功能,设备可以将网络流量的IP地址识别为用户,并基于用户进行网络访问控制。此功能便于网络管理员基于用户进行安全策略的部署,以及基于用户进行网络攻击行为以及流量的统计和分析,解决了用户IP地址变化带来的策略控制问题。
用户将用户名和密码发送给RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器进行认证,认证通过后RADIUS服务器将用户的身份信息(如用户名、IP地址等)同步给设备。设备获得用户名和IP地址的对应关系后,用户仅通过RADIUS服务器的认证即可直接访问网络资源,而无需再由安全设备进行认证,这种认证方式被称作“RADIUS单点登录”。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解Portal、AAA、身份识别与管理和安全策略等特性。
使用安全策略时,需要注意的是:当安全策略与包过滤策略同时配置时,因为安全策略对报文的处理在包过滤之前,报文与安全策略匹配成功后,不再进行包过滤处理,所以请合理配置安全策略和包过滤,否则可能会导致配置的包过滤不生效。
在下图网络环境中企业需要对Portal用户进行身份识别和访问控制,具体要求如下:
· 采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。
· 采用RADIUS服务器作为认证服务器。
· 配置RESTful服务器用于存储帐号信息。
· 用户通过静态方式配置IP地址,并在NAS设备上进行Portal认证后接入网络。
· 在Device上对所有Portal在线用户进行身份识别和基于用户的访问控制,具体要求如下:
¡ 用户user10001即不能访问FTP server,也不能访问Internet。
¡ 用户user10002仅能与FTP server互通,不能访问Internet。
¡ 用户user10003仅能访问Internet,不能访问FTP server。
¡ Internet上的用户不能主动访问Trust安全域和DMZ安全域中的主机。
图-1 基于RADIUS单点登录的身份识别与管理配置组网图
完成本配置举例需要在Host、Router、Device和iMC服务器上进行相关配置,具体配置思路如下图所示。
图-2 基于RADIUS单点登录的身份识别与管理配置思路图
本举例是在M9006的R9153版本上进行配置和验证的。
本举例是在MSR26-30的Version 7.1.064, ESS 0701版本上进行配置和验证的。
本举例以iMC为例(使用iMC版本为:iMC PLAT 7.3 (E0506)、iMC UAM 7.3 (E0503)、iMC CAMS 7.3 (E0501)、iMC SSM 7.3 (E0501),说明RADIUS server和Portal server的基本配置。
因为iMC服务器只有收到用户的计费停止报文后,才会将此用户下线。所以在此配置举例中即使不需要对Portal用户进行计费,仍然需要在Device的认证域中配置计费功能(iMC服务器上不需要配置计费策略),否则在Portal用户下线时虽然设备上已经下线,但iMC服务器不会将此用户下线。
# 配置接口GigabitEthernet0/0的IP地址为20.2.1.1。
<Router> system-view
[Router] interface gigabitethernet 0/0
[Router-GigabitEthernet0/0] ip address 20.2.1.1 255.255.255.0
[Router-GigabitEthernet0/0] quit
# 配置接口GigabitEthernet0/1的IP地址为192.168.100.90。
[Router] interface gigabitethernet 0/1
[Router-GigabitEthernet0/1] ip address 192.168.100.90 255.255.255.0
[Router-GigabitEthernet0/1] quit
# 配置缺省路由保证Router与FTP server和Internet路由可达。
[Router] ip route-static 0.0.0.0 0.0.0.0 192.168.100.88
# 开启设备的SNMP Agent功能。
[Router] snmp-agent
# 配置设备支持SNMP所有版本、只读团体名为public,读写团体名为private。
[Router] snmp-agent sys-info version all
[Router] snmp-agent community read public
[Router] snmp-agent community write private
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[Router] radius scheme rs1
# 配置RADIUS方案的主认证服务器及其通信密钥。
[Router-radius-rs1] primary authentication 192.168.100.244
[Router-radius-rs1] primary accounting 192.168.100.244
[Router-radius-rs1] key authentication simple admin
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Router-radius-rs1] user-name-format without-domain
[Router-radius-rs1] quit
# 创建并进入名称为dm1的认证域。
[Router] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[Router-isp-dm1] authentication portal radius-scheme rs1
[Router-isp-dm1] authorization portal radius-scheme rs1
[Router-isp-dm1] accounting portal radius-scheme rs1
[Router-isp-dm1] quit
# 配置Portal认证服务器:名称为newpt,IP地址为192.168.100.244,密钥为明文admin,监听Portal报文的端口为50100。
[Router] portal server newpt
[Router-portal-server-newpt] ip 192.168.100.244 key simple admin
[Router-portal-server-newpt] port 50100
[Router-portal-server-newpt] quit
# 配置Portal Web服务器的URL为http://192.168.100.244:8080/portal。
[Router] portal web-server newpt
[Router-portal-websvr-newpt] url http://192.168.100.244:8080/portal
[Router-portal-websvr-newpt] quit
# 在接口GigabitEthernet0/0上开启直接方式的Portal认证。
[Router] interface gigabitethernet 0/0
[Router–GigabitEthernet0/0] portal enable method direct
# 在接口GigabitEthernet0/0上引用Portal Web服务器为newpt。
[Router–GigabitEthernet0/0] portal apply web-server newpt
# 在接口GigabitEthernet0/0上配置Portal用户使用的认证域为dm1。
[Router–GigabitEthernet0/0] portal domain dm1
[Router–GigabitEthernet0/0] quit
# 开启设备的SNMP Agent功能。
<Device> system-view
[Device] snmp-agent
# 配置设备支持SNMP所有版本、只读团体名为public,读写团体名为private。
[Device] snmp-agent sys-info version all
[Device] snmp-agent community read public
[Device] snmp-agent community write private
# 开启基于HTTP的SOAP功能。
[Device] netconf soap http enable
# 开启基于HTTPS的SOAP功能。
[Device] netconf soap https enable
# 开启基于HTTP的RESTful功能。
[Device] restful http enable
# 开启基于HTTPS的RESTful功能。
[Device] restful https enable
1. 配置接口GigabitEthernet1/0/1的IP地址为192.168.100.88,并将此接口加入Trust安全域。
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 单击接口GE1/0/1右侧的<编辑>按钮,进入修改接口设置页面,配置如下。
¡ 安全域:Trust
¡ 选择“IPv4地址”页签,配置IP地址/掩码:192.168.100.88/24
# 其他配置项保持默认情况即可。
# 单击<确定>按钮,完成接口信息的配置。
2. 按照以上配置步骤继续完成如下两项配置:
¡ 配置接口GigabitEthernet1/0/2的IP地址为11.1.1.1,并将此接口加入DMZ安全域。
¡ 配置接口GigabitEthernet1/0/3的IP地址为12.1.1.1,并将此接口加入Untrust安全域。
1. 配置静态路由保证Device与user网络路由可达。
# 选择“网络 > 路由 > 静态路由”,选择IPv4静态路由页面。
# 在IPv4静态路由页面,单击<新建>按钮,进入新建IPv4静态路由页面。
# 在新建IPv4静态路由页面,配置目的IP地址为20.2.1.0,掩码长度为24,下一跳IP地址为192.168.100.90。其他配置项保持默认情况即可,如下图所示。
图-3 新建IPv4静态路由
# 其他配置项保持默认情况即可。
# 单击<确定>按钮,完成路由信息创建。
2. 配置缺省路由保证Device与Internet路由可达。(此处以Device连接Internet的下一条IP地址是12.1.1.2为例,实际组网中,请以运营商提供的实际IP地址为准)
# 选择“网络 > 路由 > 静态路由”,选择IPv4静态路由页面。
# 在IPv4静态路由页面,单击<新建>按钮,进入新建IPv4静态路由页面。
# 在新建IPv4静态路由页面,配置目的IP地址为0.0.0.0,掩码长度为0,下一跳IP地址为12.1.1.2。其他配置项保持默认情况即可,如下图所示。
图-4 新建IPv4静态路由
# 其他配置项保持默认情况即可。
# 单击<确定>按钮,完成缺省路由创建。
# 选择“系统 > 管理员 > 管理员”,管理员页面。
# 在管理员页面,单击admin用户右边的<编辑>按钮,进入修改管理员页面。
# 在修改管理员页面,配置其拥有HTTP服务。其他配置项保持默认情况即可,如下图所示。
图-5 修改管理员信息
# 其他配置项保持默认情况即可。
# 单击<确定>按钮,完成管理员信息修改。
1. 开启用户身份识别功能。
# 选择“对象 > 用户 > 用户管理 > 在线用户”,选择在线用户页签。
# 在在线用户页面,单击<开启身份识别功能>按钮,开启用户身份识别功能。如下图所示。
图-6 开启身份识别功能
2. 创建名称为rest1的RESTful服务器
# 选择“对象 > 用户 > 认证管理 > RESTful服务器”,进入RESTful服务器页面。
# 在RESTful服务器页面,单击<新建>按钮,进入新建RESTful服务器页面。
# 在新建RESTful服务器页面,配置相关参数信息,具体内容如下图所示。
图-7 新建RESTful服务器
# 其他配置项保持默认情况即可。
# 单击<确定>按钮,完成策略配置。
RESTful服务器的具体配置信息如下:
¡ 名称:rest1
¡ 用户名:admin
¡ 密码:admin。
¡ 获取用户账号的URI:http://192.168.100.244:8080/imcrs/ssm/imcuser/accessUser
¡ 获取在线用户的URI:http://192.168.100.244:8080/imcrs/ssm/imcuser/onlineUser
¡ 获取用户组的URI:http://192.168.100.244:8080/imcrs/ssm/imcuser/accessUserGroup
¡ 上传在线用户的URI:http://192.168.100.244:8080/imcrs/ssm/imcuser/uploadOnlineUser
¡ 上传下线用户的URI:http://192.168.100.244:8080/imcrs/ssm/imcuser/uploadOfflineUser
以上关于URI的部分,对于iMC服务器URI是如下固定的内容,其中仅IP地址可以被替换。
3. 创建名称为imc的用户导入策略
# 选择“对象 > 用户 > 用户管理 > 用户导入策略”,进入用户导入策略页面。
# 在用户导入策略页面,单击<新建>按钮,进入新建用户导入策略页面。
# 在新建用户导入策略页面,配置相关参数信息,具体内容如下图所示。
图-8 新建导入策略
# 其他配置项保持默认情况即可。
# 单击<确定>按钮,完成策略配置。
# 在设备与iMC正常通信后,在用户导入策略页面选择imc用户导入策略,单击<手工导入身份识别用户>和<手工导入在线用户>按钮,将iMC服务器上的账户信息和在线用户信息导入设备。如下图所示。
图-9 导入账户和在线用户
此步骤保证Device能够从iMC上同步身份识别用户信息。
1. 创建名称为trust-local的安全策略,使Trust安全域到Local安全域的报文可通。
# 选择“策略 > 安全策略 > 安全策略”,进入安全策略页面。
# 在安全策略页面,单击<新建>按钮,选择新建策略,进入新建安全策略页面。
# 在新建安全策略页面,配置相关信息,具体配置内容如下图所示。
图-10 新建trust-local安全策略
# 其他配置项保持默认情况即可。
# 单击<确定>按钮,完成安全策略创建。
2. 按照以上步骤,创建名称为local-trust的安全策略,使Local安全域到Trust安全域的报文可通。
1. 创建名称为user10002的安全策略,仅允许user10002与FTP server互通,但是禁止其他用户访问FTP server。
# 选择“策略 > 安全策略 > 安全策略”,进入安全策略页面。
# 在安全策略页面,单击<新建>按钮,选择新建策略,进入新建安全策略页面。
# 在新建安全策略页面,配置相关信息,具体配置内容如下图所示。
图-11 新建user10002安全策略
# 其他配置项保持默认情况即可。
# 单击<确定>按钮,完成安全策略创建。
2. 创建名称为user10003的安全策略,仅允许user10003主动访问Internet,但是禁止Internet用户主动访问内网。
# 选择“策略 > 安全策略 > 安全策略”,进入安全策略页面。
# 在安全策略页面,单击<新建>按钮,选择新建策略,进入新建安全策略页面。
# 在新建安全策略页面,配置相关信息,具体配置内容如下图所示。
图-12 新建user10003安全策略
# 其他配置项保持默认情况即可。
# 单击<确定>按钮,完成安全策略创建。
# 在iMC上增加设备保证iMC可以监控和管理设备,具体配置步骤如下。
1. 登录iMC管理平台
# 在浏览器地址栏中输入iMC管理平台的URL。本配置举例中iMC管理平台的URL为http://192.168.100.244:8080/imc/,用户名和密码均为admin,具体步骤略。
2. 增加设备
# 选择“资源”页签,单击导航树中的[资源管理/增加设备]菜单项,进入增加设备配置页面,其配置内容如下图所示,其中Telnet参数的用户名和密码均为admin;其他配置保持默认值即可,其中SNMP的只读团体字密码缺省值为public,读写团体字密码缺值省为private。
图-13 增加设备
# 单击<确定>按钮完成操作。
# 请参考以上步骤添加设备Router,IP地址为192.168.100.90,具体配置步骤略。
3. 修改NETCONF参数信息
# 选择“资源”页签,单击导航树中的[视图管理/设备视图]菜单项,进入设备视图列表页面,在此页面的设备标签列单击目标设备,进入某设备的详细信息页面,如下图所示。
图-14 设备视图列表
# 在设备详细信息页面的右侧,依次单击[配置/修改NETCONF参数],在弹出的对话框中单击加号添加协议,具体配置内容如下图所示,其中用户名和密码为admin。
# 单击<确定>按钮完成操作。
1. 在安全业务中同步设备,保证设备与iMC服务器上的配置信息和用户信息的同步
# 选择“业务”页签,单击导航树中的[安全业务管理/设备管理]菜单项,进入设备管理配置页面,在设备管理页签下的设备列表中可以看到添加成功的设备,如下图所示。
图-15 安全设备管理页面(未同步)
# 选中需要同步的设备单击<同步>按钮,进行设备同步。设备同步完成后同步状态一列会显示成功,如下图所示。(同步时间较长,请耐心等待)
图-16 安全设备管理页面(同步中)
图-17 安全设备管理页面(同步成功)
2. 配置用户认证系统参数和用户通知参数,保证iMC服务器将用户的上下线信息实时同步给设备
# 选择“业务”页签,单击导航树中的[安全业务管理/全局参数配置]菜单项,进入全局参数配置页面,在此页面配置用户认证系统参数,如下图所示。
请根据Portal认证服务器的协议类型,选择对应的协议类型。用户名和密码与登录iMC服务器的相同。
图-18 配置用户认证系统参数
# 选择“用户”页签,单击导航树中的[接入策略管理/业务参数配置/系统配置]菜单项,进入系统配置页面,在此页面选择用户通知参数配置进入修改用户通知页面,如下图所示。
此处的共享密钥没有用到,随意输入即可。
图-19 修改用户通知
1. 登录iMC管理平台
# 在浏览器地址栏中输入iMC管理平台的URL。本配置举例中iMC管理平台的URL为http://192.168.100.244:8080/imc/,用户名和密码均为admin,具体步骤略。
2. 增加接入设备
# 选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击<增加>按钮,进入增加接入设备页面。配置共享密钥为admin,其他配置如下图所示。
图-20 增加接入设备
# 单击<确定>按钮完成操作。
· 添加的接入设备IP地址要与Router发送RADIUS报文的源地址保持一致。缺省情况下,设备发送RADIUS报文的源地址是发送RADIUS报文的接口IP地址。
· 若设备上通过命令nas-ip或者radius nas-ip指定了发送RADIUS报文的源地址,则此处的接入设备IP地址就需要修改并与指定源地址保持一致。
· 若设备使用缺省的发送RADIUS报文的源地址,例如,本例中为接口GigabitEthernet0/1的IP地址192.168.100.90,则此处接入设备IP地址就选择192.168.100.90。
3. 增加接入策略
# 选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理配置页面,在该页面中单击<增加>按钮,进入增加接入策略页面。配置接入策略名为Portal,其他配置项使用缺省值即可,如下图所示。
图-21 增加接入策略
# 单击<确定>按钮完成操作。
4. 增加接入服务
# 选择“用户”页签,单击导航树中的[接入策略管理/接入服务管理]菜单项,进入接入服务管理配置页面,在该页面中单击<增加>按钮,进入增加接入服务页面。配置服务名为Portal,引用的缺省接入策略为Portal,其他配置项使用缺省值即可,如下图所示。
图-22 增加接入服务
# 单击<确定>按钮完成操作。
5. 增加接入用户
# 选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户配置页面,在该页面中单击<增加>按钮,进入增加接入用户页面。配置用户姓名为user,帐号名为user10001,密码为admin,接入服务选择Portal,其他配置项使用缺省值即可,如下图所示。
图-23 增加接入用户
# 单击<确定>按钮完成操作。
# 请参考上面的配置步骤,继续增加帐号user10002和user10003。
1. 登录iMC管理平台
# 在浏览器地址栏中输入iMC管理平台的URL。本配置举例中iMC管理平台的URL为http://192.168.100.244:8080/imc/,用户名和密码均为admin,具体步骤略。
2. 配置Portal服务器
# 选择“用户”页签,单击导航树中的[接入策略管理/Portal服务器管理/服务器配置]菜单项,进入服务器配置页面。根据实际组网情况调整以下参数,本例中使用缺省配置。
图-24 Portal服务器配置
3. 增加IP地址组
# 选择“用户”页签,单击导航树中的[接入策略管理/Portal服务器管理/IP地址组配置]菜单项,进入IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。配置内容如下图所示。
图-25 增加IP地址组
# 单击<确定>按钮完成操作。
4. 增加Portal设备
# 选择“用户”页签,单击导航树中的[接入策略管理/Portal服务器管理/设备配置]菜单项,进入设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。配置密钥为admin,其它配置内容如下图所示。
图-26 增加Portal设备配置
# 单击<确定>按钮完成操作。
5. Portal设备关联IP地址组
# 选择“用户”页签,单击导航树中的[接入策略管理/Portal服务器管理/设备配置]菜单项,进入设备配置页面,在设备配置页面中的设备信息列表中,点击Router设备操作中的<端口组信息管理>按钮,进入端口组信息配置页面。
图-27 设备信息列表
# 在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。配置内容如下图所示。
图-28 增加端口组信息配置
# 单击<确定>按钮完成操作。
# 在Host上配置IP地址、子网掩码、默认网关保证Host可以正常与外部通信,具体配置步骤略。
1. 在Host上验证Portal用户的接入认证
# 在浏览器地址栏中输入Portal Web服务器的URL:http://192.168.100.244:8080/portal,登录Portal认证页面,输入用户名和密码,单击<Log In>按钮,Portal用户认证成功后如下图所示。
图-29 Portal用户认证成功示意图
2. iMC上的本地在线用户
用户user10001、user10002和user10003进行Portal认证成功后,可以在iMC的本地在线用户列表中看到,如下图所示。
图-30 本地在线用户示意图
3. 在Device上查看身份识别用户信息
# 显示所有身份识别用户信息。
[Device] display user-identity all user
User ID Username
0x2 user10001
0x3 user10002
0x4 user10003
# 显示非域下名称为user10001的在线身份识别用户信息。
[Device] display user-identity online-user null-domain name user10001
User name: user10001
IP : 20.2.1.11
MAC : 0011-95e4-4aa9
Type: Dynamic
Total 1 records matched.
# 显示非域下名称为user10002的在线身份识别用户信息。
[Device] display user-identity online-user null-domain name user10002
User name: user10002
IP : 20.2.1.12
MAC : 0011-95e4-4aa3
Type: Dynamic
Total 1 records matched.
# 显示非域下名称为user10003的在线身份识别用户信息。
[Device] display user-identity online-user null-domain name user10003
User name: user10003
IP : 20.2.1.13
MAC : 0011-95e4-4aa2
Type: Dynamic
Total 1 records matched.
4. Device基于用户的访问控制效果
# 用户user10001不可Ping通FTP server。
C:\>ping 11.1.1.2
Pinging 11.1.1.2 with 32 bytes of data:
Request time out.
Request time out.
Request time out.
Request time out.
Ping statistics for 11.1.1.2:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
# 用户user10002可Ping通FTP server。
C:\>ping 11.1.1.2
Pinging 11.1.1.2 with 32 bytes of data:
Reply from 11.1.1.2: bytes=32 time=36ms TTL=253
Reply from 11.1.1.2: bytes=32 time<1ms TTL=253
Reply from 11.1.1.2: bytes=32 time<1ms TTL=253
Reply from 11.1.1.2: bytes=32 time<1ms TTL=253
Ping statistics for 11.1.1.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 36ms, Average = 9ms
# 当用户user10002Ping通FTP server时,Device上会生成如下日志信息。
[Device]%Nov 6 10:19:53:920 2017 H3C FILTER/6/FILTER_ZONE_EXECUTION_ICMP: -Context
=1; SrcZoneName(1025)=Trust;DstZoneName(1035)=DMZ;Type(1067)=ACL;SecurityPolicy(
1072)=user10002;RuleID(1078)=2;Protocol(1001)=ICMP;SrcIPAddr(1003)=20.2.1.12;Src
MacAddr(1021)=7425-8a37-b5f6;DstIPAddr(1007)=11.1.1.2;IcmpType(1062)=ECHO(8);Icm
pCode(1063)=0;MatchCount(1069)=1;Event(1048)=Permit;
# 用户user10003可Ping通Internet上的主机。(假设Internet上存在一个IP地址为12.1.1.2的主机,实际组网中请以实际情况为准)
C:\>ping 12.1.1.2
Pinging 12.1.1.2 with 32 bytes of data:
Reply from 12.1.1.2: bytes=32 time=37ms TTL=253
Reply from 12.1.1.2: bytes=32 time<1ms TTL=253
Reply from 12.1.1.2: bytes=32 time<1ms TTL=253
Reply from 12.1.1.2: bytes=32 time<1ms TTL=253
Ping statistics for 12.1.1.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 36ms, Average = 9ms
# 当用户user10003Ping通Internet上的主机时,Device上会生成如下日志信息。
[Device]%Nov 6 10:19:53:920 2017 H3C FILTER/6/FILTER_ZONE_EXECUTION_ICMP: -Context
=1; SrcZoneName(1025)=Trust;DstZoneName(1035)=Untrust;Type(1067)=ACL;SecurityPolicy(
1072)=user10003;RuleID(1078)=3;Protocol(1001)=ICMP;SrcIPAddr(1003)=20.2.1.13;Src
MacAddr(1021)=7425-8a37-b5f6;DstIPAddr(1007)=12.1.1.2;IcmpType(1062)=ECHO(8);Icm
pCode(1063)=0;MatchCount(1069)=1;Event(1048)=Permit;
[Router] display current-configuration
#
interface GigabitEthernet0/0
port link-mode route
ip address 20.2.1.1 255.255.255.0
portal enable method direct
portal domain dm1
portal apply web-server newpt
#
interface GigabitEthernet0/1
port link-mode route
ip address 192.168.100.90 255.255.255.0
#
interface GigabitEthernet3/0
port link-mode route
combo enable copper
#
ip route-static 0.0.0.0 0 192.168.100.88
#
snmp-agent
snmp-agent local-engineid 800063A28074258A37B5F500000001
snmp-agent community write private
snmp-agent community read public
snmp-agent sys-info version all
#
radius scheme rs1
primary authentication 192.168.100.244
primary accounting 192.168.100.244
key authentication cipher $c$3$hhbEbD5Ycvw7VWqljAoMoU7hQRgcUjtg
user-name-format without-domain
#
domain dm1
authentication portal radius-scheme rs1
authorization portal radius-scheme rs1
accounting portal radius-scheme rs1
#
domain system
#
domain default enable system
#
local-user admin class manage
password hash $h$6$UbIhNnPevyKUwfpm$LqR3+yg1IjNct39MkOR0H0iQXLkYB3jMqM4vbAeoXOh
babIIFnjJPEGR00YiYA1Sz4LiY3FmEdru2fOLMb1shQ==
service-type telnet http
authorization-attribute user-role network-admin
#
portal web-server newpt
url http://192.168.100.244:8080/portal
#
portal server newpt
ip 192.168.100.244 key cipher $c$3$+UmaGOco7eHsjOqlrp8lI4eYe0A8NpYU
#
return
[Device] display current-configuration
#
interface GigabitEthernet1/0/1
port link-mode route
ip address 192.168.100.88 255.255.255.0
#
interface GigabitEthernet1/0/2
port link-mode route
ip address 11.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/3
port link-mode route
ip address 12.1.1.1 255.255.255.0
#
security-zone name Trust
import interface GigabitEthernet1/0/1
#
security-zone name DMZ
import interface GigabitEthernet1/0/2
#
security-zone name Untrust
import interface GigabitEthernet1/0/3
#
line vty 0 63
authentication-mode scheme
user-role network-admin
#
ip route-static 0.0.0.0 0 12.1.1.2
ip route-static 20.2.1.0 24 192.168.100.90
#
snmp-agent
snmp-agent local-engineid 800063A280487ADA9593B700000001
snmp-agent community write private
snmp-agent community read public
snmp-agent sys-info version all
snmp-agent target-host trap address udp-domain 192.168.100.244 params securityn
ame public v2c
#
local-user admin class manage
password hash $h$6$UbIhNnPevyKUwfpm$LqR3+yg1IjNct39MkOR0H0iQXLkYB3jMqM4vbAeoXOh
babIIFnjJPEGR00YiYA1Sz4LiY3FmEdru2fOLMb1shQ==
service-type ssh telnet terminal http https
authorization-attribute user-role level-3
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
netconf soap http enable
netconf soap https enable
restful http enable
restful https enable
#
user-identity enable
user-identity user-account auto-import policy imc
#
user-identity restful-server rest1
login-name admin password cipher $c$3$phGy00HA6OP6pIpGI0KOKZEOPuLVbtt/
uri get-user-database http://192.168.100.244:8080/imcrs/ssm/imcuser/accessUser
uri get-user-group-database http://192.168.100.244:8080/imcrs/ssm/imcuser/acces
sUserGroup
uri get-online-user http://192.168.100.244:8080/imcrs/ssm/imcuser/onlineUser
uri put-online-user http://192.168.100.244:8080/imcrs/ssm/imcuser/uploadOnlineU
ser
uri put-offline-user http://192.168.100.244:8080/imcrs/ssm/imcuser/uploadOfflin
eUser
#
user-identity user-import-policy imc
account-update-interval 1
restful-server rest1
#
security-policy ip
rule 0 name trust-local
action pass
source-zone trust
destination-zone local
rule 1 name local-trust
action pass
source-zone local
destination-zone trust
rule 2 name user10002
action pass
logging enable
source-zone trust
source-zone dmz
destination-zone dmz
destination-zone trust
user user10002
rule 3 name user10003
action pass
logging enable
source-zone trust
destination-zone untrust
user user10003
#
return
在下图网络环境中企业需要对Portal用户进行身份识别和访问控制,具体要求如下:
· 采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。
· 采用RADIUS服务器作为认证服务器。
· 配置RESTful服务器用于存储帐号信息。
· 用户通过静态方式配置IP地址,并在NAS设备上进行Portal认证后接入网络。
· 在Device上对所有Portal在线用户进行身份识别和基于用户的访问控制,具体要求如下:
¡ 用户user10001和user10002不能访问Internet。
¡ 用户user10003可以访问Internet。
¡ Internet上的用户不能主动访问Trust安全域和DMZ安全域中的主机。
图-31 基于RADIUS认证本地接入的身份识别与管理配置组网图
完成本配置举例需要在Host、Router、Device和iMC服务器上进行相关配置,具体配置思路如下图所示。
图-32 基于RADIUS单点登录的身份识别与管理配置思路图
本举例是在M9006的R9153版本上进行配置和验证的。
本举例是在MSR26-30的Version 7.1.064, ESS 0701版本上进行配置和验证的。
本举例以iMC为例(使用iMC版本为:iMC PLAT 7.3 (E0506)、iMC UAM 7.3 (E0503)、iMC CAMS 7.3 (E0501)、iMC SSM 7.3 (E0501),说明RADIUS server和Portal server的基本配置。
因为iMC服务器只有收到用户的计费停止报文后,才会将此用户下线。所以在此配置举例中即使不需要对Portal用户进行计费,也然需要在Device的认证域中配置计费功能(iMC服务器上不需要配置计费策略),否则在Portal用户下线时虽然设备上已经下线,但iMC服务器不会将此用户下线。
配置接口IP地址和路由保证网络可达
# 配置接口GigabitEthernet0/0的IP地址为20.2.1.1。
<Router> system-view
[Router] interface gigabitethernet 0/0
[Router-GigabitEthernet0/0] ip address 20.2.1.1 255.255.255.0
[Router-GigabitEthernet0/0] quit
# 配置接口GigabitEthernet0/1的IP地址为20.2.2.1。
[Router] interface gigabitethernet 0/1
[Router-GigabitEthernet0/1] ip address 20.2.2.1 255.255.255.0
[Router-GigabitEthernet0/1] quit
# 配置缺省路由保证Router与Internet路由可达。
[Router] ip route-static 0.0.0.0 0.0.0.0 20.2.2.2
# 开启设备的SNMP Agent功能。
<Device> system-view
[Device] snmp-agent
# 配置设备支持SNMP所有版本、只读团体名为public,读写团体名为private。
[Device] snmp-agent sys-info version all
[Device] snmp-agent community read public
[Device] snmp-agent community write private
# 开启基于HTTP的SOAP功能。
[Device] netconf soap http enable
# 开启基于HTTPS的SOAP功能。
[Device] netconf soap https enable
# 开启基于HTTP的RESTful功能。
[Device] restful http enable
# 开启基于HTTPS的RESTful功能。
[Device] restful https enable
1. 配置接口GigabitEthernet1/0/1的IP地址为192.168.100.88,并将此接口加入DMZ安全域。
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 单击接口GE1/0/1右侧的<编辑>按钮,进入修改接口设置页面,配置如下。
¡ 安全域:DMZ
¡ 选择“IPv4地址”页签,配置IP地址/掩码:192.168.100.88/24
# 其他配置项保持默认情况即可。
# 单击<确定>按钮,完成接口信息的配置。
2. 按照以上配置步骤继续完成如下两项配置:
¡ 配置接口GigabitEthernet1/0/2的IP地址为20.2.2.2,并将此接口加入trust安全域。
¡ 配置接口GigabitEthernet1/0/3的IP地址为12.1.1.1,并将此接口加入Untrust安全域。
1. 配置静态路由保证Device与user网络路由可达。
# 选择“网络 > 路由 > 静态路由”,选择IPv4静态路由页面。
# 在IPv4静态路由页面,单击<新建>按钮,进入新建IPv4静态路由页面。
# 在新建IPv4静态路由页面,配置目的IP地址为20.2.1.0,掩码长度为24,下一跳IP地址为20.2.2.1。其他配置项保持默认情况即可,如下图所示。
图-33 新建IPv4静态路由
# 其他配置项保持默认情况即可。
# 单击<确定>按钮,完成路由信息创建。
2. 配置缺省路由保证Device与Internet路由可达。(此处以Device连接Internet的下一条IP地址是12.1.1.2为例,实际组网中,请以运营商提供的实际IP地址为准)
# 选择“网络 > 路由 > 静态路由”,选择IPv4静态路由页面。
# 在IPv4静态路由页面,单击<新建>按钮,进入新建IPv4静态路由页面。
# 在新建IPv4静态路由页面,配置目的IP地址为0.0.0.0,掩码长度为0,下一跳IP地址为12.1.1.2。其他配置项保持默认情况即可,如下图所示。
图-34 新建IPv4静态路由
# 其他配置项保持默认情况即可。
# 单击<确定>按钮,完成缺省路由创建。
# 选择“系统 > 管理员 > 管理员”,管理员页面。
# 在管理员页面,单击admin用户右边的<编辑>按钮,进入修改管理员页面。
# 在修改管理员页面,配置其拥有HTTP服务。其他配置项保持默认情况即可,如下图所示。
图-35 修改管理员信息
# 其他配置项保持默认情况即可。
# 单击<确定>按钮,完成管理员信息修改。
此步骤保证Device能够从iMC上同步身份识别用户信息。
1. 创建名称为dmz-local的安全策略,使DMZ安全域到Local安全域的报文可通。
# 选择“策略 > 安全策略 > 安全策略”,进入安全策略页面。
# 在安全策略页面,单击<新建>按钮,选择新建策略,进入新建安全策略页面。
# 在新建安全策略页面,配置相关信息,具体配置内容如下图所示。
图-36 新建dmz-local安全策略
# 其他配置项保持默认情况即可。
# 单击<确定>按钮,完成安全策略创建。
2. 按照以上步骤,创建名称为local-dmz的安全策略,使Local安全域到DMZ安全域的报文可通。
因为Portal认证报文穿越了Device,所以必须配置此步骤保证Portal用户能够在iMC上进行AAA认证和Portal认证。
创建名称为trust-dmz的安全策略,使Trust安全域与DMZ安全域之间的报文可互通。
# 选择“策略 > 安全策略 > 安全策略”,进入安全策略页面。
# 在安全策略页面,单击<新建>按钮,选择新建策略,进入新建安全策略页面。
# 在新建安全策略页面,配置相关信息,具体配置内容如下图所示。
图-37 新建trust-dmz安全策略
# 其他配置项保持默认情况即可。
# 单击<确定>按钮,完成安全策略创建。
创建名称为rs1的RADIUS方案。
# 选择“对象 > 用户 > 认证管理 > RADIUS”,进入RADIUS页面。
# 在RADIUS页面,单击<新建>按钮,进入新建RADIUS方案页面。
# 在新建RADIUS方案页面,配置相关参数信息,具体内容如下图所示。
图-38 新建RADIUS方案(认证服务器)
图-39 新建RADIUS方案(计费服务器)
图-40 新建RADIUS方案(显示高级设置)
# 其他配置项保持默认情况即可。
# 单击<确定>按钮,完成RADIUS方案创建。
创建名称为dm1的认证域。
# 选择“对象 > 用户 > 认证管理 > IPS域”,进入IPS域页面。
# 在IPS域页面,单击<新建>按钮,进入添加IPS域页面。
# 在添加IPS域页面,配置相关参数信息,具体内容如下图所示。
图-41 添加IPS域(接入方式)
图-42 添加IPS域(Portal AAA方案)
# 其他配置项保持默认情况即可。
# 单击<确定>按钮,完成ISP域创建。
1. 配置Portal认证服务器
# 选择“对象 > 用户 > 接入管理 > Portal”,选择Portal认证服务器页签。
# 在Portal认证服务器页面,单击<新建>按钮,进入创建Portal认证服务器页面。
# 在创建Portal认证服务器页面,配置名称为newpt,IP地址为192.168.100.244,密钥为明文admin,监听Portal报文的端口为50100。具体内容如下图所示。
图-43 创建Portal认证服务器
# 其他配置项保持默认情况即可。
# 单击<确定>按钮,完成Portal认证服务器创建。
2. 配置Portal Web服务器。
# 选择“对象 > 用户 > 接入管理 > Portal”,选择Portal Web服务器页签。
# 在Portal Web服务器页面,单击<新建>按钮,进入创建Portal Web服务器页面。
# 在创建Portal Web服务器页面,配置Portal Web服务器的URL为http://192.168.100.244:8080/portal。具体内容如下图所示。
图-44 创建Portal Web服务器
# 其他配置项保持默认情况即可。
# 单击<确定>按钮,完成Portal Web服务器创建。
3. 配置接口策略,在接口上开启Portal认证功能。
# 选择“对象 > 用户 > 接入管理 > Portal”,选择接口策略页签。
# 在接口策略页面,单击<新建>按钮,进入创建接口策略页面。
# 在接口策略页面,配置相关信息。具体内容如下图所示。
图-45 创建接口策略
# 其他配置项保持默认情况即可。
# 单击<确定>按钮,完成接口策略创建。
1. 开启用户身份识别功能。
# 选择“对象 > 用户 > 用户管理 > 在线用户”,选择在线用户页签。
# 在在线用户页面,单击<开启身份识别功能>按钮,开启用户身份识别功能。如下图所示。
图-46 开启身份识别功能
2. 创建名称为rest1的RESTful服务器
# 选择“对象 > 用户 > 认证管理 > RESTful服务器”,进入RESTful服务器页面。
# 在RESTful服务器页面,单击<新建>按钮,进入新建RESTful服务器页面。
# 在新建RESTful服务器页面,配置相关参数信息,具体内容如下图所示。
图-47 新建RESTful服务器
# 其他配置项保持默认情况即可。
# 单击<确定>按钮,完成策略配置。
RESTful服务器的具体配置信息如下:
¡ 名称:rest1
¡ 用户名:admin
¡ 密码:admin。
¡ 获取用户账号的URI:http://192.168.100.244:8080/imcrs/ssm/imcuser/accessUser
¡ 获取用户组的URI:http://192.168.100.244:8080/imcrs/ssm/imcuser/accessUserGroup
以上关于URI的部分,对于iMC服务器URI是如下固定的内容,其中仅IP地址可以被替换。
3. 创建名称为imc的用户导入策略
# 选择“对象 > 用户 > 用户管理 > 用户导入策略”,进入用户导入策略页面。
# 在用户导入策略页面,单击<新建>按钮,进入新建用户导入策略页面。
# 在新建用户导入策略页面,配置相关参数信息,具体内容如下图所示。
图-48 新建导入策略
# 其他配置项保持默认情况即可。
# 单击<确定>按钮,完成策略配置。
# 在设备与iMC正常通信后,在用户导入策略页面选择imc用户导入策略,单击<手工导入身份识别用户>按钮,将iMC服务器上的账户信息导入设备。如下图所示。
图-49 导入账户
创建名称为user10003的安全策略,仅允许user10003主动访问Internet,但是禁止Internet用户主动访问内网。
# 选择“策略 > 安全策略 > 安全策略”,进入安全策略页面。
# 在安全策略页面,单击<新建>按钮,选择新建策略,进入新建安全策略页面。
# 在新建安全策略页面,配置相关信息,具体配置内容如下图所示。
图-50 新建user10003安全策略
# 其他配置项保持默认情况即可。
# 单击<确定>按钮,完成安全策略创建。
# 在iMC上增加设备保证iMC可以监控和管理设备,具体配置步骤如下。
1. 登录iMC管理平台
# 在浏览器地址栏中输入iMC管理平台的URL。本配置举例中iMC管理平台的URL为http://192.168.100.244:8080/imc/,用户名和密码均为admin,具体步骤略。
2. 增加设备
# 选择“资源”页签,单击导航树中的[资源管理/增加设备]菜单项,进入增加设备配置页面,其配置内容如下图所示,其中Telnet参数的用户名和密码均为admin;其他配置保持默认值即可,其中SNMP的只读团体字密码缺省值为public,读写团体字密码缺值省为private。
图-51 增加设备
# 单击<确定>按钮完成操作。
3. 修改NETCONF参数信息
# 选择“资源”页签,单击导航树中的[视图管理/设备视图]菜单项,进入设备视图列表页面,在此页面的设备标签列单击目标设备,进入某设备的详细信息页面,如下图所示。
图-52 设备视图列表
# 在设备详细信息页面的右侧,依次单击[配置/修改NETCONF参数],在弹出的对话框中单击加号添加协议,具体配置内容如下图所示,其中用户名和密码为admin。
# 单击<确定>按钮完成操作。
1. 在安全业务中同步设备,保证设备与iMC服务器上的配置信息和用户信息的同步
# 选择“业务”页签,单击导航树中的[安全业务管理/设备管理]菜单项,进入设备管理配置页面,在设备管理页签下的设备列表中可以看到添加成功的设备,如下图所示。
图-53 安全设备管理页面(未同步)
# 选中需要同步的设备单击<同步>按钮,进行设备同步。设备同步完成后同步状态一列会显示成功,如下图所示。(同步时间较长,请耐心等待)
图-54 安全设备管理页面(同步中)
图-55 安全设备管理页面(同步成功)
2. 配置用户认证系统参数和用户通知参数,保证iMC服务器将用户的上下线信息实时同步给设备
# 选择“业务”页签,单击导航树中的[安全业务管理/全局参数配置]菜单项,进入全局参数配置页面,在此页面配置用户认证系统参数,如下图所示。
请根据Portal认证服务器的协议类型,选择对应的协议类型。用户名和密码与登录iMC服务器的相同。
图-56 配置用户认证系统参数
# 选择“用户”页签,单击导航树中的[接入策略管理/业务参数配置/系统配置]菜单项,进入系统配置页面,在此页面选择用户通知参数配置进入修改用户通知页面,如下图所示。
此处的共享密钥没有用到,随意输入即可。
图-57 修改用户通知
1. 登录iMC管理平台
# 在浏览器地址栏中输入iMC管理平台的URL。本配置举例中iMC管理平台的URL为http://192.168.100.244:8080/imc/,用户名和密码均为admin,具体步骤略。
2. 增加接入设备
# 选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击<增加>按钮,进入增加接入设备页面。配置共享密钥为admin,其他配置项如下图所示。
图-58 增加接入设备
# 单击<确定>按钮完成操作。
· 添加的接入设备IP地址要与Device发送RADIUS报文的源地址保持一致。缺省情况下,设备发送RADIUS报文的源地址是发送RADIUS报文的接口IP地址。
· 若设备上通过命令nas-ip或者radius nas-ip指定了发送RADIUS报文的源地址,则此处的接入设备IP地址就需要修改并与指定源地址保持一致。
· 若设备使用缺省的发送RADIUS报文的源地址,例如,本例中为接口GigabitEthernet0/1的IP地址192.168.100.88,则此处接入设备IP地址就选择192.168.100.88。
3. 增加接入策略
# 选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理配置页面,在该页面中单击<增加>按钮,进入增加接入策略页面。配置接入策略名为Portal,其他配置项使用缺省值即可,如下图所示。
图-59 增加接入策略
# 单击<确定>按钮完成操作。
4. 增加接入服务
# 选择“用户”页签,单击导航树中的[接入策略管理/接入服务管理]菜单项,进入接入服务管理配置页面,在该页面中单击<增加>按钮,进入增加接入服务页面。配置服务名为Portal,引用的缺省接入策略为Portal,其他配置项使用缺省值即可,如下图所示。
图-60 增加接入服务
# 单击<确定>按钮完成操作。
5. 增加接入用户
# 选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户配置页面,在该页面中单击<增加>按钮,进入增加接入用户页面。配置用户姓名为user,帐号名为user10001,密码为admin,接入服务选择Portal,其他配置项使用缺省值即可,如下图所示。
图-61 增加接入用户
# 单击<确定>按钮完成操作。
# 请参考上面的配置步骤,继续增加帐号user10002和user10003。
1. 登录iMC管理平台
# 在浏览器地址栏中输入iMC管理平台的URL。本配置举例中iMC管理平台的URL为http://192.168.100.244:8080/imc/,用户名和密码均为admin,具体步骤略。
2. 配置Portal服务器
# 选择“用户”页签,单击导航树中的[接入策略管理/Portal服务器管理/服务器配置]菜单项,进入服务器配置页面。根据实际组网情况调整以下参数,本例中使用缺省配置。
图-62 Portal服务器配置
3. 增加IP地址组
# 选择“用户”页签,单击导航树中的[接入策略管理/Portal服务器管理/IP地址组配置]菜单项,进入IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。配置内容如下图所示。
图-63 增加IP地址组
# 单击<确定>按钮完成操作。
4. 增加Portal设备
# 选择“用户”页签,单击导航树中的[接入策略管理/Portal服务器管理/设备配置]菜单项,进入设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。配置密钥为admin,其它配置内容如下图所示。
图-64 增加Portal设备配置
# 单击<确定>按钮完成操作。
5. Portal设备关联IP地址组
# 选择“用户”页签,单击导航树中的[接入策略管理/Portal服务器管理/设备配置]菜单项,进入设备配置页面,在设备配置页面中的设备信息列表中,点击Router设备操作中的<端口组信息管理>按钮,进入端口组信息配置页面。
图-65 设备信息列表
# 在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。配置内容如下图所示。
图-66 增加端口组信息配置
# 单击<确定>按钮完成操作。
# 在Host上配置IP地址、子网掩码、默认网关保证Host可以正常与外部通信,具体配置步骤略。
1. 在Host上验证Portal用户的接入认证
# 在浏览器地址栏中输入Portal Web服务器的URL:http://192.168.100.244:8080/portal,登录Portal认证页面,输入用户名和密码,单击<Log In>按钮,Portal用户认证成功后如下图所示。
图-67 Portal用户认证成功示意图
2. iMC上的本地在线用户
用户user10001、user10002和user10003进行Portal认证成功后,可以在iMC的本地在线用户列表中看到,如下图所示。
图-68 本地在线用户示意图
3. 在Device上查看在线的Portal用户
# 显示所有在线的Portal用户信息。
[Device] display portal user all
Total portal users: 3
Username: user10001
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0011-95e4-4aa9 20.2.1.13 -- GigabitEthernet1/0/2
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Username: user10002
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0011-95e4-4aa3 20.2.1.13 -- GigabitEthernet1/0/2
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Username: user10003
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0011-95e4-4aa2 20.2.1.13 -- GigabitEthernet1/0/2
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
4. 在Device上查看身份识别用户信息
# 显示所有身份识别用户信息。
[Device] display user-identity all user
User ID Username
0x2 user10001
0x3 user10002
0x4 user10003
# 显示非域下名称为user10001的在线身份识别用户信息。
[Device] display user-identity online-user null-domain name user10001
User name: user10001
IP : 20.2.1.11
MAC : 0011-95e4-4aa9
Type: Dynamic
Total 1 records matched.
# 显示非域下名称为user10002的在线身份识别用户信息。
[Device] display user-identity online-user null-domain name user10002
User name: user10002
IP : 20.2.1.12
MAC : 0011-95e4-4aa3
Type: Dynamic
Total 1 records matched.
# 显示非域下名称为user10003的在线身份识别用户信息。
[Device] display user-identity online-user null-domain name user10003
User name: user10003
IP : 20.2.1.13
MAC : 0011-95e4-4aa2
Type: Dynamic
Total 1 records matched.
5. Device基于用户的访问控制效果
# 用户user10001不可Ping通Internet上的主机。(假设Internet上存在一个IP地址为12.1.1.2的主机,实际组网中请以实际情况为准)
C:\>ping 12.1.1.2
Pinging 12.1.1.2 with 32 bytes of data:
Request time out.
Request time out.
Request time out.
Request time out.
Ping statistics for 12.1.1.2:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
# 用户user10003可Ping通Internet上的主机。(假设Internet上存在一个IP地址为12.1.1.2的主机,实际组网中请以实际情况为准)
C:\>ping 12.1.1.2
Pinging 12.1.1.2 with 32 bytes of data:
Reply from 12.1.1.2: bytes=32 time=36ms TTL=253
Reply from 12.1.1.2: bytes=32 time<1ms TTL=253
Reply from 12.1.1.2: bytes=32 time<1ms TTL=253
Reply from 12.1.1.2: bytes=32 time<1ms TTL=253
Ping statistics for 12.1.1.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 36ms, Average = 9ms
# 当用户user10003Ping通Internet上的主机时,Device上会生成如下日志信息。
[Device]%Nov 6 10:19:53:920 2017 H3C FILTER/6/FILTER_ZONE_EXECUTION_ICMP: -Context
=1; SrcZoneName(1025)=Trust;DstZoneName(1035)=Untrust;Type(1067)=ACL;SecurityPolicy(
1072)=user10003;RuleID(1078)=3;Protocol(1001)=ICMP;SrcIPAddr(1003)=20.2.1.13;Src
MacAddr(1021)=7425-8a37-b5f6;DstIPAddr(1007)=12.1.1.2;IcmpType(1062)=ECHO(8);Icm
pCode(1063)=0;MatchCount(1069)=1;Event(1048)=Permit;
[Router] display current-configuration
#
interface GigabitEthernet0/0
port link-mode route
ip address 20.2.1.1 255.255.255.0
#
interface GigabitEthernet0/1
port link-mode route
ip address 20.2.2.1 255.255.255.0
#
interface GigabitEthernet3/0
port link-mode route
combo enable copper
#
ip route-static 0.0.0.0 0 20.2.2.2
#
snmp-agent
snmp-agent local-engineid 800063A28074258A37B5F500000001
snmp-agent community write private
snmp-agent community read public
snmp-agent sys-info version all
#
local-user admin class manage
password hash $h$6$UbIhNnPevyKUwfpm$LqR3+yg1IjNct39MkOR0H0iQXLkYB3jMqM4vbAeoXOh
babIIFnjJPEGR00YiYA1Sz4LiY3FmEdru2fOLMb1shQ==
service-type telnet http
authorization-attribute user-role network-admin
#
return
[Device] display current-configuration
#
interface GigabitEthernet1/0/1
port link-mode route
ip address 192.168.100.88 255.255.255.0
#
interface GigabitEthernet1/0/2
port link-mode route
ip address 20.2.2.2 255.255.255.0
portal enable method direct
portal domain dm1
portal apply web-server newpt
#
interface GigabitEthernet1/0/3
port link-mode route
ip address 12.1.1.1 255.255.255.0
#
security-zone name Trust
import interface GigabitEthernet1/0/2
#
security-zone name DMZ
import interface GigabitEthernet1/0/1
#
security-zone name Untrust
import interface GigabitEthernet1/0/3
#
line vty 0 63
authentication-mode scheme
user-role network-admin
#
ip route-static 0.0.0.0 0 12.1.1.2
ip route-static 20.2.1.0 24 20.2.2.1
#
snmp-agent
snmp-agent local-engineid 800063A280487ADA9593B700000001
snmp-agent community write private
snmp-agent community read public
snmp-agent sys-info version all
snmp-agent target-host trap address udp-domain 192.168.100.244 params securityn
ame public v2c
#
radius scheme rs1
primary authentication 192.168.100.244
primary accounting 192.168.100.244
key authentication cipher $c$3$hhbEbD5Ycvw7VWqljAoMoU7hQRgcUjtg
user-name-format without-domain
#
domain dm1
authentication portal radius-scheme rs1
authorization portal radius-scheme rs1
accounting portal radius-scheme rs1
#
domain system
#
domain default enable system
#
local-user admin class manage
password hash $h$6$UbIhNnPevyKUwfpm$LqR3+yg1IjNct39MkOR0H0iQXLkYB3jMqM4vbAeoXOh
babIIFnjJPEGR00YiYA1Sz4LiY3FmEdru2fOLMb1shQ==
service-type ssh telnet terminal http https
authorization-attribute user-role level-3
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
portal web-server newpt
url http://192.168.100.244:8080/portal
#
portal server newpt
ip 192.168.100.244 key cipher $c$3$+UmaGOco7eHsjOqlrp8lI4eYe0A8NpYU
#
netconf soap http enable
netconf soap https enable
restful http enable
restful https enable
#
user-identity enable
user-identity user-account auto-import policy imc
#
user-identity restful-server rest1
login-name admin password cipher $c$3$phGy00HA6OP6pIpGI0KOKZEOPuLVbtt/
uri get-user-database http://192.168.100.244:8080/imcrs/ssm/imcuser/accessUser
uri get-user-group-database http://192.168.100.244:8080/imcrs/ssm/imcuser/acces
sUserGroup
uri get-online-user http://192.168.100.244:8080/imcrs/ssm/imcuser/onlineUser
uri put-online-user http://192.168.100.244:8080/imcrs/ssm/imcuser/uploadOnlineU
ser
uri put-offline-user http://192.168.100.244:8080/imcrs/ssm/imcuser/uploadOfflin
eUser
#
user-identity user-import-policy imc
account-update-interval 1
restful-server rest1
#
security-policy ip
rule 0 name dmz-local
action pass
source-zone dmz
destination-zone local
rule 1 name local-dmz
action pass
source-zone local
destination-zone dmz
rule 2 name trust-dmz
action pass
source-zone trust
source-zone dmz
destination-zone dmz
destination-zone trust
rule 3 name user10003
action pass
logging enable
source-zone trust
destination-zone untrust
user user10003
#
return
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!