• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

09-典型配置举例

目录

17-用户身份识别与管理典型配置举例

本章节下载 17-用户身份识别与管理典型配置举例  (1.38 MB)

17-用户身份识别与管理典型配置举例

用户身份识别与管理典型配置举例

本章包含如下内容:

·     简介

·     配置前提

·     使用限制

·     基于RADIUS单点登录的用户身份识别与管理典型配置举例

·     基于RADIUS认证本地接入的用户身份识别与管理典型配置举例

·     基于城市热点服务器单点登录的用户身份识别与管理典型配置举例

 

本文档介绍身份识别与管理的典型配置举例。

通过用户身份识别与管理功能,设备可以将网络流量的IP地址识别为用户,并基于用户进行网络访问控制。此功能便于网络管理员基于用户进行安全策略的部署,以及基于用户进行网络攻击行为以及流量的统计和分析,解决了用户IP地址变化带来的策略控制问题。

用户将用户名和密码发送给RADIUSRemote Authentication Dial-In User Service,远程认证拨号用户服务)服务器进行认证,认证通过后RADIUS服务器将用户的身份信息(如用户名、IP地址等)同步给设备。设备获得用户名和IP地址的对应关系后,用户仅通过RADIUS服务器的认证即可直接访问网络资源,而无需再由安全设备进行认证,这种认证方式被称作“RADIUS单点登录”。

 

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解PortalAAA、身份识别与管理和安全策略等特性。

使用安全策略时,需要注意的是:当安全策略与包过滤策略同时配置时,因为安全策略对报文的处理在包过滤之前,报文与安全策略匹配成功后,不再进行包过滤处理,所以请合理配置安全策略和包过滤,否则可能会导致配置的包过滤不生效。

基于RADIUS单点登录的用户身份识别与管理典型配置举例

组网需求

在下图网络环境中企业需要对Portal用户进行身份识别和访问控制,具体要求如下:

·     采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。

·     采用RADIUS服务器作为认证服务器。

·     配置RESTful服务器用于存储帐号信息。

·     用户通过静态方式配置IP地址,并在NAS设备上进行Portal认证后接入网络。

·     Device上对所有Portal在线用户进行身份识别和基于用户的访问控制,具体要求如下:

     用户user10001即不能访问FTP server,也不能访问Internet

     用户user10002仅能与FTP server互通,不能访问Internet

     用户user10003仅能访问Internet,不能访问FTP server

     Internet上的用户不能主动访问Trust安全域和DMZ安全域中的主机。

图-1 基于RADIUS单点登录的身份识别与管理配置组网图

 

配置思路

完成本配置举例需要在HostRouterDeviceiMC服务器上进行相关配置,具体配置思路如下图所示。

图-2 基于RADIUS单点登录的身份识别与管理配置思路图

 

使用版本

本举例是在F1000-AI-55R8860版本上进行配置和验证的。

本举例是在MSR26-30Version 7.1.064, ESS 0701版本上进行配置和验证的。

本举例以iMC为例(使用iMC版本为:iMC PLAT 7.3 (E0606)iMC UAM 7.3 (E0503)iMC CAMS 7.3 (E0501)iMC EIA 7.3 (E0512),说明RADIUS serverPortal server的基本配置。

配置限制和指导

因为iMC服务器只有收到用户的计费停止报文后,才会将此用户下线。所以在此配置举例中即使不需要对Portal用户进行计费,仍然需要在Device的认证域中配置计费功能(iMC服务器上不需要配置计费策略),否则在Portal用户下线时虽然设备上已经下线,但iMC服务器不会将此用户下线。

配置步骤

配置Router

配置接口IP地址和路由保证网络可达

# 配置接口GigabitEthernet0/0IP地址为20.2.1.1

<Router> system-view

[Router] interface gigabitethernet 0/0

[Router-GigabitEthernet0/0] ip address 20.2.1.1 255.255.255.0

[Router-GigabitEthernet0/0] quit

# 配置接口GigabitEthernet0/1IP地址为192.168.100.90

[Router] interface gigabitethernet 0/1

[Router-GigabitEthernet0/1] ip address 192.168.100.90 255.255.255.0

[Router-GigabitEthernet0/1] quit

# 配置缺省路由保证RouterFTP serverInternet路由可达。

[Router] ip route-static 0.0.0.0 0.0.0.0 192.168.100.88

配置SNMP功能保证iMC可以监控管理Router

# 开启设备的SNMP Agent功能。

[Router] snmp-agent

# 配置设备支持SNMP所有版本、只读团体名为public,读写团体名为private

[Router] snmp-agent sys-info version all

[Router] snmp-agent community read public

[Router] snmp-agent community write private

配置RADIUS方案

# 创建名称为rs1RADIUS方案并进入该方案视图。

[Router] radius scheme rs1

# 配置RADIUS方案的主认证服务器及其通信密钥。

[Router-radius-rs1] primary authentication 192.168.100.244

[Router-radius-rs1] primary accounting 192.168.100.244

[Router-radius-rs1] key authentication simple admin

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[Router-radius-rs1] user-name-format without-domain

[Router-radius-rs1] quit

配置认证域

# 创建并进入名称为dm1的认证域。

[Router] domain dm1

# 配置ISP域使用的RADIUS方案rs1

[Router-isp-dm1] authentication portal radius-scheme rs1

[Router-isp-dm1] authorization portal radius-scheme rs1

[Router-isp-dm1] accounting portal radius-scheme rs1

[Router-isp-dm1] quit

配置Portal认证

# 配置Portal认证服务器:名称为newptIP地址为192.168.100.244,密钥为明文admin,监听Portal报文的端口为50100

[Router] portal server newpt

[Router-portal-server-newpt] ip 192.168.100.244 key simple admin

[Router-portal-server-newpt] port 50100

[Router-portal-server-newpt] quit

# 配置Portal Web服务器的URLhttp://192.168.100.244:8080/portal

[Router] portal web-server newpt

[Router-portal-websvr-newpt] url http://192.168.100.244:8080/portal

[Router-portal-websvr-newpt] quit

# 在接口GigabitEthernet0/0上开启直接方式的Portal认证。

[Router] interface gigabitethernet 0/0

[Router–GigabitEthernet0/0] portal enable method direct

# 在接口GigabitEthernet0/0上引用Portal Web服务器为newpt

[Router–GigabitEthernet0/0] portal apply web-server newpt

# 在接口GigabitEthernet0/0上配置Portal用户使用的认证域为dm1

[Router–GigabitEthernet0/0] portal domain dm1

[Router–GigabitEthernet0/0] quit

配置Device

配置SNMP功能保证iMC可以监控管理Device

# 开启设备的SNMP Agent功能。

<Device> system-view

[Device] snmp-agent

# 配置设备支持SNMP所有版本、只读团体名为public,读写团体名为private

[Device] snmp-agent sys-info version all

[Device] snmp-agent community read public

[Device] snmp-agent community write private

配置NETCONF over SOAP功能保证iMC可以向Device下发配置

# 开启基于HTTPSOAP功能。

[Device] netconf soap http enable

# 开启基于HTTPSSOAP功能。

[Device] netconf soap https enable

开启RESTful功能保证设备上的RESTful服务器与iMC可通

# 开启基于HTTPRESTful功能。

[Device] restful http enable

# 开启基于HTTPSRESTful功能。

[Device] restful https enable

配置接口IP地址

# 选择“网络 > 接口 > 接口”,进入接口配置页面。

# 单击接口GE1/0/1右侧的<编辑>按钮,配置如下。

·     安全域:Trust

·     选择“IPv4地址”页签,配置IP地址/掩码:192.168.100.88/24

·     其他配置项使用缺省值

# 单击<确定>按钮,完成接口IP地址和安全域的配置。

# 按照同样的步骤配置接口GE1/0/2,配置如下。

·     安全域:DMZ

·     IP地址/掩码:11.1.1.1/24

·     其他配置项使用缺省值

# 按照同样的步骤配置接口GE1/0/3,配置如下。

·     安全域:Untrust

·     IP地址/掩码:12.1.1.1/24

·     其他配置项使用缺省值

配置路由

1.     配置静态路由保证Deviceuser网络路由可达。

本举例仅以静态路由为例,若实际组网中需采用动态路由,请配置对应的动态路由协议。

# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”,单击<新建>按钮,进入新建IPv4静态路由页面。

# 新建IPv4静态路由,并进行如下配置:

     目的IP地址:20.2.1.0

     掩码长度:24

     下一跳IP地址: 192.168.100.90

     其他配置项使用缺省值

# 单击<确定>按钮,完成静态路由的配置。

2.     配置缺省路由保证DeviceInternet路由可达。(此处以Device连接Internet的下一条IP地址是12.1.1.2为例,实际组网中,请以运营商提供的实际IP地址为准)

本举例仅以静态路由为例,若实际组网中需采用动态路由,请配置对应的动态路由协议。

# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”,单击<新建>按钮,进入新建IPv4静态路由页面。

# 新建IPv4静态路由,并进行如下配置:

     目的IP地址:0.0.0.0

     掩码长度:0

     下一跳IP地址:12.1.1.2

     其他配置项使用缺省值

# 单击<确定>按钮,完成静态路由的配置。

为管理员用户admin授权HTTP服务

# 选择“系统 > 管理员 > 管理员”,管理员页面。

# 在管理员页面,单击admin用户右边的<编辑>按钮,进入修改管理员页面。

# 在修改管理员页面,配置其拥有HTTP服务。其他配置项保持默认情况即可,如下图所示。

图-3 修改管理员信息

 

# 其他配置项保持默认情况即可。

# 单击<确定>按钮,完成管理员信息修改。

配置用户身份识别与管理功能

1.     开启用户身份识别功能。

# 选择“对象 > 用户 > 用户管理 > 在线用户”,选择在线用户页签。

# 在在线用户页面,单击<开启身份识别功能>按钮,开启用户身份识别功能。如下图所示。

图-4 开启身份识别功能

 

2.     创建名称为rest1RESTful服务器

# 选择“对象 > 用户 > 认证管理 > RESTful服务器”,进入RESTful服务器页面。

# RESTful服务器页面,单击<新建>按钮,进入新建RESTful服务器页面。

# 在新建RESTful服务器页面,配置相关参数信息,具体内容如下图所示。

图-5 新建RESTful服务器

 

# 其他配置项保持默认情况即可。

# 单击<确定>按钮,完成策略配置。

RESTful服务器的具体配置信息如下:

     名称:rest1

     用户名:admin

     密码:admin

     获取用户账号的URIhttp://192.168.100.244:8080/imcrs/uam/acmUser/acmUserList

     获取在线用户的URIhttp://192.168.100.244:8080/imcrs/uam/online

     获取用户组的URIhttp://192.168.100.244:8080/imcrs/uam/acmUser/userGroup

说明

以上关于URI的部分,对于iMC服务器URI是如下固定的内容,其中仅IP地址可以被替换。

 

3.     创建名称为imc的用户导入策略

# 选择“对象 > 用户 > 用户管理 > 用户导入策略”,进入用户导入策略页面。

# 在用户导入策略页面,单击<新建>按钮,进入新建导入策略页面。

# 在新建导入策略页面,配置相关参数信息,具体内容如下图所示。

图-6 新建导入策略

 

# 其他配置项保持默认情况即可。

# 单击<确定>按钮,完成策略配置。

# 在设备与iMC正常通信后,在用户导入策略页面选择imc用户导入策略,单击<手工导入身份识别用户><手工导入在线用户>按钮,将iMC服务器上的账户信息和在线用户信息导入设备。如下图所示。

图-7 导入账户和在线用户

 

配置安全策略保证DeviceiMC互通

此步骤保证Device能够从iMC上同步身份识别用户信息。

# 创建名称为trust-local的安全策略,使Trust安全域到Local安全域的报文可通。

# 选择“策略 > 安全策略 > 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。

# 新建安全策略,并进行如下配置:

·     名称:trust-local

·     源安全域:trust

·     目的安全域:local

·     类型:IPv4

·     动作:允许

·     其他配置项使用缺省值

# 单击<确定>按钮,完成安全策略的配置。

# 按照同样的步骤配置名称为local-trust的安全策略,使Local安全域到Trust安全域的报文可通,配置如下。

·     名称:local-trust

·     源安全域:local

·     目的安全域:trust

·     类型:IPv4

·     动作:允许

·     其他配置项使用缺省值

# 按照同样的步骤配置名称为user10002的安全策略,仅允许user10002FTP server互通,但是禁止其他用户访问FTP server,配置如下。

·     名称:user10002

·     源安全域:trustdmz

·     目的安全域:trustdmz

·     类型:IPv4

·     动作:允许

·     用户:user10002

·     其他配置项使用缺省值

# 按照同样的步骤配置名称为user10003的安全策略,仅允许user10003主动访问Internet,但是禁止Internet用户主动访问内网。

·     名称:user10003

·     源安全域:trust

·     目的安全域:untrust

·     类型:IPv4

·     动作:允许

·     用户:user10003

·     其他配置项使用缺省值

iMC上增加设备(iMC

# iMC上增加设备保证iMC可以监控和管理设备,具体配置步骤如下。

1.     登录iMC管理平台

# 在浏览器地址栏中输入iMC管理平台的URL。本配置举例中iMC管理平台的URLhttp://192.168.100.244:8080/imc/,用户名和密码均为admin,具体步骤略。

2.     增加设备

# 选择“资源”页签,单击导航树中的[资源管理/增加设备]菜单项,进入增加设备配置页面,其配置内容如下图所示,其中Telnet参数的用户名和密码均为admin;其他配置保持默认值即可,其中SNMP的只读团体字密码缺省值为public,读写团体字密码缺值省为private

图-8 增加设备

 

# 单击<确定>按钮完成操作。

# 请参考以上步骤添加设备RouterIP地址为192.168.100.90,具体配置步骤略。

3.     修改NETCONF参数信息

# 选择“资源”页签,单击导航树中的[视图管理/设备视图]菜单项,进入设备视图列表页面,在此页面的设备标签列单击目标设备,进入某设备的详细信息页面,如下图所示。

图-9 设备视图列表

 

# 在设备详细信息页面的右侧,依次单击[配置/修改NETCONF参数],在弹出的对话框中单击加号添加协议,具体配置内容如下图所示,其中用户名和密码为admin

 

# 单击<确定>按钮完成操作。

配置安全业务(iMC

1.     在安全业务中同步设备,保证设备与iMC服务器上的配置信息和用户信息的同步

# 选择“业务”页签,单击导航树中的[安全业务管理/设备管理]菜单项,进入设备管理配置页面,在设备管理页签下的设备列表中可以看到添加成功的设备,如下图所示。

图-10 安全设备管理页面(未同步)

 

# 选中需要同步的设备单击<同步>按钮,进行设备同步。设备同步完成后同步状态一列会显示成功,如下图所示。(同步时间较长,请耐心等待)

图-11 安全设备管理页面(同步中)

 

图-12 安全设备管理页面(同步成功)

 

2.     配置用户认证系统参数和用户通知参数,保证iMC服务器将用户的上下线信息实时同步给设备

# 选择“业务”页签,单击导航树中的[安全业务管理/全局参数配置]菜单项,进入全局参数配置页面,在此页面配置用户认证系统参数,如下图所示。

请根据Portal认证服务器的协议类型,选择对应的协议类型。用户名和密码与登录iMC服务器的相同。

图-13 配置用户认证系统参数

 

# 选择“用户”页签,单击导航树中的[接入策略管理/业务参数配置/系统配置]菜单项,进入系统配置页面,在此页面选择用户通知参数配置进入修改用户通知页面,如下图所示。

此处的共享密钥没有用到,随意输入即可。

图-14 修改用户通知

 

配置RADIUS serveriMC

1.     登录iMC管理平台

# 在浏览器地址栏中输入iMC管理平台的URL。本配置举例中iMC管理平台的URLhttp://192.168.100.244:8080/imc/,用户名和密码均为admin,具体步骤略。

2.     增加接入设备

# 选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击<增加>按钮,进入增加接入设备页面。配置共享密钥为admin,其他配置如下图所示。

图-15 增加接入设备

 

# 单击<确定>按钮完成操作。

说明

·     添加的接入设备IP地址要与Router发送RADIUS报文的源地址保持一致。缺省情况下,设备发送RADIUS报文的源地址是发送RADIUS报文的接口IP地址。

·     若设备上通过命令nas-ip或者radius nas-ip指定了发送RADIUS报文的源地址,则此处的接入设备IP地址就需要修改并与指定源地址保持一致。

·     若设备使用缺省的发送RADIUS报文的源地址,例如,本例中为接口GigabitEthernet0/1的IP地址192.168.100.90,则此处接入设备IP地址就选择192.168.100.90。

 

3.     增加接入策略

# 选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理配置页面,在该页面中单击<增加>按钮,进入增加接入策略页面。配置接入策略名为Portal,其他配置项使用缺省值即可,如下图所示。

图-16 增加接入策略

 

# 单击<确定>按钮完成操作。

4.     增加接入服务

# 选择“用户”页签,单击导航树中的[接入策略管理/接入服务管理]菜单项,进入接入服务管理配置页面,在该页面中单击<增加>按钮,进入增加接入服务页面。配置服务名为Portal,引用的缺省接入策略为Portal,其他配置项使用缺省值即可,如下图所示。

图-17 增加接入服务

 

# 单击<确定>按钮完成操作。

5.     增加接入用户

# 选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户配置页面,在该页面中单击<增加>按钮,进入增加接入用户页面。配置用户姓名为user,帐号名为user10001,密码为admin,接入服务选择Portal,其他配置项使用缺省值即可,如下图所示。

图-18 增加接入用户

 

# 单击<确定>按钮完成操作。

# 请参考上面的配置步骤,继续增加帐号user10002user10003

配置Portal serveriMC

1.     登录iMC管理平台

# 在浏览器地址栏中输入iMC管理平台的URL。本配置举例中iMC管理平台的URLhttp://192.168.100.244:8080/imc/,用户名和密码均为admin,具体步骤略。

2.     配置Portal服务器

# 选择“用户”页签,单击导航树中的[接入策略管理/Portal服务器管理/服务器配置]菜单项,进入服务器配置页面。根据实际组网情况调整以下参数,本例中使用缺省配置。

图-19 Portal服务器配置

 

3.     增加IP地址组

# 选择“用户”页签,单击导航树中的[接入策略管理/Portal服务器管理/IP地址组配置]菜单项,进入IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。配置内容如下图所示。

图-20 增加IP地址组

 

# 单击<确定>按钮完成操作。

4.     增加Portal设备

# 选择“用户”页签,单击导航树中的[接入策略管理/Portal服务器管理/设备配置]菜单项,进入设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。配置密钥为admin,其它配置内容如下图所示。

图-21 增加Portal设备配置

 

# 单击<确定>按钮完成操作。

5.     Portal设备关联IP地址组

# 选择“用户”页签,单击导航树中的[接入策略管理/Portal服务器管理/设备配置]菜单项,进入设备配置页面,在设备配置页面中的设备信息列表中,点击Router设备操作中的<端口组信息管理>按钮,进入端口组信息配置页面。

图-22 设备信息列表

 

# 在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。配置内容如下图所示。

图-23 增加端口组信息配置

 

# 单击<确定>按钮完成操作。

配置Host

# Host上配置IP地址、子网掩码、默认网关保证Host可以正常与外部通信,具体配置步骤略。

验证配置

1.     Host上验证Portal用户的接入认证

# 在浏览器地址栏中输入Portal Web服务器的URLhttp://192.168.100.244:8080/portal,登录Portal认证页面,输入用户名和密码,单击<Log In>按钮,Portal用户认证成功后如下图所示。

图-24 Portal用户认证成功示意图

 

2.     iMC上的本地在线用户

用户user10001user10002user10003进行Portal认证成功后,可以在iMC的本地在线用户列表中看到,如下图所示。

图-25 本地在线用户示意图

 

3.     Device上查看身份识别用户信息

# 显示所有身份识别用户信息。

[Device] display user-identity all user

  User ID     Username

  0x2         user10001

  0x3         user10002

  0x4         user10003

# 显示非域下名称为user10001的在线身份识别用户信息。

[Device] display user-identity online-user null-domain name user10001

User name: user10001

  IP  : 20.2.1.11

  MAC : 0011-95e4-4aa9

  Type: Dynamic

 

Total 1 records matched.

# 显示非域下名称为user10002的在线身份识别用户信息。

[Device] display user-identity online-user null-domain name user10002

User name: user10002

  IP  : 20.2.1.12

  MAC : 0011-95e4-4aa3

  Type: Dynamic

 

Total 1 records matched.

# 显示非域下名称为user10003的在线身份识别用户信息。

[Device] display user-identity online-user null-domain name user10003

User name: user10003

  IP  : 20.2.1.13

  MAC : 0011-95e4-4aa2

  Type: Dynamic

 

Total 1 records matched.

4.     Device基于用户的访问控制效果

# 用户user10001不可PingFTP server

C:\>ping 11.1.1.2

 

Pinging 11.1.1.2 with 32 bytes of data:

Request time out.

Request time out.

Request time out.

Request time out.

 

Ping statistics for 11.1.1.2:

    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

# 用户user10002PingFTP server

C:\>ping 11.1.1.2

 

Pinging 11.1.1.2 with 32 bytes of data:

Reply from 11.1.1.2: bytes=32 time=36ms TTL=253

Reply from 11.1.1.2: bytes=32 time<1ms TTL=253

Reply from 11.1.1.2: bytes=32 time<1ms TTL=253

Reply from 11.1.1.2: bytes=32 time<1ms TTL=253

 

Ping statistics for 11.1.1.2:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 36ms, Average = 9ms

# 当用户user10002PingFTP server时,Device上会生成日志信息。

# 用户user10003PingInternet上的主机。(假设Internet上存在一个IP地址为12.1.1.2的主机,实际组网中请以实际情况为准)

C:\>ping 12.1.1.2

 

Pinging 12.1.1.2 with 32 bytes of data:

Reply from 12.1.1.2: bytes=32 time=37ms TTL=253

Reply from 12.1.1.2: bytes=32 time<1ms TTL=253

Reply from 12.1.1.2: bytes=32 time<1ms TTL=253

Reply from 12.1.1.2: bytes=32 time<1ms TTL=253

 

Ping statistics for 12.1.1.2:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 36ms, Average = 9ms

# 当用户user10003PingInternet上的主机时,Device上会生成日志信息。

配置文件

Router

[Router] display current-configuration

#

interface GigabitEthernet0/0

 port link-mode route

 ip address 20.2.1.1 255.255.255.0

 portal enable method direct

 portal domain dm1

 portal apply web-server newpt

#

interface GigabitEthernet0/1

 port link-mode route

 ip address 192.168.100.90 255.255.255.0

#

interface GigabitEthernet3/0

 port link-mode route

 combo enable copper

#

 ip route-static 0.0.0.0 0 192.168.100.88

#

 snmp-agent

 snmp-agent local-engineid 800063A28074258A37B5F500000001

 snmp-agent community write private

 snmp-agent community read public

 snmp-agent sys-info version all

#

radius scheme rs1

 primary authentication 192.168.100.244

 primary accounting 192.168.100.244

 key authentication cipher $c$3$hhbEbD5Ycvw7VWqljAoMoU7hQRgcUjtg

 user-name-format without-domain

#

domain dm1

 authentication portal radius-scheme rs1

 authorization portal radius-scheme rs1

 accounting portal radius-scheme rs1

#

domain system

#

 domain default enable system

#

local-user admin class manage

 password hash $h$6$UbIhNnPevyKUwfpm$LqR3+yg1IjNct39MkOR0H0iQXLkYB3jMqM4vbAeoXOh

babIIFnjJPEGR00YiYA1Sz4LiY3FmEdru2fOLMb1shQ==

 service-type telnet http

 authorization-attribute user-role network-admin

#

portal web-server newpt

 url http://192.168.100.244:8080/portal

#

portal server newpt

 ip 192.168.100.244 key cipher $c$3$+UmaGOco7eHsjOqlrp8lI4eYe0A8NpYU

#

return

Device

[Device] display current-configuration

#

interface GigabitEthernet1/0/1

 port link-mode route

 ip address 192.168.100.88 255.255.255.0

#

interface GigabitEthernet1/0/2

 port link-mode route

 ip address 11.1.1.1 255.255.255.0

#

interface GigabitEthernet1/0/3

 port link-mode route

 ip address 12.1.1.1 255.255.255.0

#

security-zone name Trust

 import interface GigabitEthernet1/0/1

#

security-zone name DMZ

 import interface GigabitEthernet1/0/2

#

security-zone name Untrust

 import interface GigabitEthernet1/0/3

#

line vty 0 63

 authentication-mode scheme

 user-role network-admin

#

 ip route-static 0.0.0.0 0 12.1.1.2

 ip route-static 20.2.1.0 24 192.168.100.90

#

 snmp-agent

 snmp-agent local-engineid 800063A280487ADA9593B700000001

 snmp-agent community write private

 snmp-agent community read public

 snmp-agent sys-info version all

 snmp-agent target-host trap address udp-domain 192.168.100.244 params securityn

ame public v2c

#

local-user admin class manage

 password hash $h$6$UbIhNnPevyKUwfpm$LqR3+yg1IjNct39MkOR0H0iQXLkYB3jMqM4vbAeoXOh

babIIFnjJPEGR00YiYA1Sz4LiY3FmEdru2fOLMb1shQ==

 service-type ssh telnet terminal http https

 authorization-attribute user-role level-3

 authorization-attribute user-role network-admin

 authorization-attribute user-role network-operator

#

 netconf soap http enable

 netconf soap https enable

 restful http enable

 restful https enable

#

 user-identity enable

 user-identity user-account auto-import policy imc

#

user-identity restful-server rest1

 login-name admin password cipher $c$3$phGy00HA6OP6pIpGI0KOKZEOPuLVbtt/

 uri get-user-database http://192.168.100.244:8080/imcrs/uam/acmUser/acmUserList

 uri get-user-group-database http://192.168.100.244:8080/imcrs/uam/acmUser/userGroup

 uri get-online-user http://192.168.100.244:8080/imcrs/uam/online

#

user-identity user-import-policy imc

 account-update-interval 1

 restful-server rest1

#

security-policy ip

 rule 0 name trust-local

  action pass

  source-zone trust

  destination-zone local

 rule 1 name local-trust

  action pass

  source-zone local

  destination-zone trust

 rule 2 name user10002

  action pass

  logging enable

  source-zone trust

  source-zone dmz

  destination-zone dmz

  destination-zone trust

  user user10002

 rule 3 name user10003

  action pass

  logging enable

  source-zone trust

  destination-zone untrust

  user user10003

#

return

基于RADIUS认证本地接入的用户身份识别与管理典型配置举例

组网需求

在下图网络环境中企业需要对Portal用户进行身份识别和访问控制,具体要求如下:

·     采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。

·     采用RADIUS服务器作为认证服务器。

·     配置RESTful服务器用于存储帐号信息。

·     用户通过静态方式配置IP地址,并在NAS设备上进行Portal认证后接入网络。

·     Device上对所有Portal在线用户进行身份识别和基于用户的访问控制,具体要求如下:

     用户user10001user10002不能访问Internet

     用户user10003可以访问Internet

     Internet上的用户不能主动访问Trust安全域和DMZ安全域中的主机。

图-26 基于RADIUS认证本地接入的身份识别与管理配置组网图

 

配置思路

完成本配置举例需要在HostRouterDeviceiMC服务器上进行相关配置,具体配置思路如下图所示。

图-27 基于RADIUS单点登录的身份识别与管理配置思路图

 

使用版本

本举例是在F1000-AI-55R8860版本上进行配置和验证的。

本举例是在MSR26-30Version 7.1.064, ESS 0701版本上进行配置和验证的。

本举例以iMC为例(使用iMC版本为:iMC PLAT 7.3 (E0606)iMC UAM 7.3 (E0503)iMC CAMS 7.3 (E0501)iMC EIA 7.3 (E0512),说明RADIUS serverPortal server的基本配置。

配置限制和指导

因为iMC服务器只有收到用户的计费停止报文后,才会将此用户下线。所以在此配置举例中即使不需要对Portal用户进行计费,也然需要在Device的认证域中配置计费功能(iMC服务器上不需要配置计费策略),否则在Portal用户下线时虽然设备上已经下线,但iMC服务器不会将此用户下线。

配置步骤

配置Router

配置接口IP地址和路由保证网络可达

# 配置接口GigabitEthernet0/0IP地址为20.2.1.1

<Router> system-view

[Router] interface gigabitethernet 0/0

[Router-GigabitEthernet0/0] ip address 20.2.1.1 255.255.255.0

[Router-GigabitEthernet0/0] quit

# 配置接口GigabitEthernet0/1IP地址为20.2.2.1

[Router] interface gigabitethernet 0/1

[Router-GigabitEthernet0/1] ip address 20.2.2.1 255.255.255.0

[Router-GigabitEthernet0/1] quit

# 配置缺省路由保证RouterInternet路由可达。

[Router] ip route-static 0.0.0.0 0.0.0.0 20.2.2.2

配置Device

配置SNMP功能保证iMC可以监控管理Device

# 开启设备的SNMP Agent功能。

<Device> system-view

[Device] snmp-agent

# 配置设备支持SNMP所有版本、只读团体名为public,读写团体名为private

[Device] snmp-agent sys-info version all

[Device] snmp-agent community read public

[Device] snmp-agent community write private

配置NETCONF over SOAP功能保证iMC可以向Device下发配置

# 开启基于HTTPSOAP功能。

[Device] netconf soap http enable

# 开启基于HTTPSSOAP功能。

[Device] netconf soap https enable

开启RESTful功能保证设备上的RESTful服务器与iMC可通

# 开启基于HTTPRESTful功能。

[Device] restful http enable

# 开启基于HTTPSRESTful功能。

[Device] restful https enable

配置接口IP地址

# 选择“网络 > 接口 > 接口”,进入接口配置页面。

# 单击接口GE1/0/1右侧的<编辑>按钮,配置如下。

·     安全域:DMZ

·     选择“IPv4地址”页签,配置IP地址/掩码:192.168.100.88/24

·     其他配置项使用缺省值

# 单击<确定>按钮,完成接口IP地址和安全域的配置。

# 按照同样的步骤配置接口GE1/0/2,配置如下。

·     安全域:trust

·     IP地址/掩码:20.2.2.2/24

·     其他配置项使用缺省值

# 按照同样的步骤配置接口GE1/0/3,配置如下。

·     安全域:Untrust

·     IP地址/掩码:12.1.1.1/24

·     其他配置项使用缺省值

配置路由

1.     配置静态路由保证Deviceuser网络路由可达。

本举例仅以静态路由为例,若实际组网中需采用动态路由,请配置对应的动态路由协议。

# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”,单击<新建>按钮,进入新建IPv4静态路由页面。

# 新建IPv4静态路由,并进行如下配置:

     目的IP地址:20.2.1.0

     掩码长度:24

     下一跳IP地址:20.2.2.1

     其他配置项使用缺省值

# 单击<确定>按钮,完成静态路由的配置。

2.     配置缺省路由保证DeviceInternet路由可达。(此处以Device连接Internet的下一条IP地址是12.1.1.2为例,实际组网中,请以运营商提供的实际IP地址为准)

本举例仅以静态路由为例,若实际组网中需采用动态路由,请配置对应的动态路由协议。

# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”,单击<新建>按钮,进入新建IPv4静态路由页面。

# 新建IPv4静态路由,并进行如下配置:

     目的IP地址:0.0.0.0

     掩码长度:0

     下一跳IP地址:12.1.1.2

     其他配置项使用缺省值

# 单击<确定>按钮,完成静态路由的配置。

为管理员用户admin授权HTTP服务

# 选择“系统 > 管理员 > 管理员”,管理员页面。

# 在管理员页面,单击admin用户右边的<编辑>按钮,进入修改管理员页面。

# 在修改管理员页面,配置其拥有HTTP服务。其他配置项保持默认情况即可,如下图所示。

图-28 修改管理员信息

 

# 其他配置项保持默认情况即可。

# 单击<确定>按钮,完成管理员信息修改。

配置安全策略保证DeviceiMC互通

此步骤保证Device能够从iMC上同步身份识别用户信息。

# 创建名称为dmz-local的安全策略,使DMZ安全域到Local安全域的报文可通。

# 选择“策略 > 安全策略 > 安全策略”,进入安全策略页面。

# 新建安全策略,并进行如下配置:

·     名称:dmz-local

·     源安全域:dmz

·     目的安全域:local

·     类型:IPv4

·     动作:允许

·     其他配置项使用缺省值

# 单击<确定>按钮,完成安全策略的配置。

# 按照同样的步骤配置名称为local-dmz的安全策略,使Local安全域到DMZ安全域的报文可通,配置如下。

·     名称:local-dmz

·     源安全域:local

·     目的安全域:dmz

·     类型:IPv4

·     动作:允许

·     其他配置项使用缺省值

# 按照同样的步骤配置名称为trust-dmz的安全策略,保证用户网络(Trust)与iMCDMZ)互通。因为Portal认证报文穿越了Device,所以必须配置此步骤保证Portal用户能够在iMC上进行AAA认证和Portal认证。配置如下。

·     名称:trust-dmz

·     源安全域:trustdmz

·     目的安全域:trustdmz

·     类型:IPv4

·     动作:允许

·     其他配置项使用缺省值

配置RADIUS方案

创建名称为rs1RADIUS方案。

# 选择“对象 > 用户 > 认证管理 > RADIUS”,进入RADIUS页面。

# RADIUS页面,单击<新建>按钮,进入新建RADIUS方案页面。

# 在新建RADIUS方案页面,配置相关参数信息,具体内容如下图所示。

图-29 新建RADIUS方案(认证服务器)

 

图-30 新建RADIUS方案(计费服务器)

 

图-31 新建RADIUS方案(显示高级设置)

 

# 其他配置项保持默认情况即可。

# 单击<确定>按钮,完成RADIUS方案创建。

配置认证域

创建名称为dm1的认证域。

# 选择“对象 > 用户 > 认证管理 > ISP域”,进入ISP域页面。

# ISP域页面,单击<新建>按钮,进入添加ISP域页面。

# 在添加ISP域页面,配置相关参数信息,具体内容如下图所示。

图-32 添加ISP域(接入方式)

 

图-33 添加ISP域(Portal AAA方案)

 

# 其他配置项保持默认情况即可。

# 单击<确定>按钮,完成ISP域创建。

配置Portal认证

1.     配置Portal认证服务器

# 选择“对象 > 用户 > 接入管理 > Portal”,选择Portal认证服务器页签。

# Portal认证服务器页面,单击<新建>按钮,进入创建Portal认证服务器页面。

# 在创建Portal认证服务器页面,配置服务器名称为newptIP地址为192.168.100.244,密钥为明文admin,监听Portal报文的端口为50100。具体内容如下图所示。

图-34 创建Portal认证服务器

 

# 其他配置项保持默认情况即可。

# 单击<确定>按钮,完成Portal认证服务器创建。

2.     配置Portal Web服务器。

# 选择“对象 > 用户 > 接入管理 > Portal”,选择Portal Web服务器页签。

# Portal Web服务器页面,单击<新建>按钮,进入创建Portal Web服务器页面。

# 在创建Portal Web服务器页面,配置Portal Web服务器的URLhttp://192.168.100.244:8080/portal。具体内容如下图所示。

图-35 创建Portal Web服务器

 

# 其他配置项保持默认情况即可。

# 单击<确定>按钮,完成Portal Web服务器创建。

3.     配置接口策略,在接口上开启Portal认证功能。

# 选择“对象 > 用户 > 接入管理 > Portal”,选择接口策略页签。

# 在接口策略页面,单击<新建>按钮,进入创建接口策略页面。

# 在接口策略页面,配置相关信息。具体内容如下图所示。

图-36 创建接口策略

 

# 其他配置项保持默认情况即可。

# 单击<确定>按钮,完成接口策略创建。

配置用户身份识别与管理功能

1.     开启用户身份识别功能。

# 选择“对象 > 用户 > 用户管理 > 在线用户”,选择在线用户页签。

# 在在线用户页面,单击<开启身份识别功能>按钮,开启用户身份识别功能。如下图所示。

图-37 开启身份识别功能

 

2.     创建名称为rest1RESTful服务器

# 选择“对象 > 用户 > 认证管理 > RESTful服务器”,进入RESTful服务器页面。

# RESTful服务器页面,单击<新建>按钮,进入新建RESTful服务器页面。

# 在新建RESTful服务器页面,配置相关参数信息,具体内容如下图所示。

图-38 新建RESTful服务器

 

# 其他配置项保持默认情况即可。

# 单击<确定>按钮,完成策略配置。

RESTful服务器的具体配置信息如下:

     名称:rest1

     用户名:admin

     密码:admin

     获取用户账号的URIhttp://192.168.100.244:8080/imcrs/uam/acmUser/acmUserList

     获取在线用户的URIhttp://192.168.100.244:8080/imcrs/uam/online

     获取用户组的URIhttp://192.168.100.244:8080/imcrs/uam/acmUser/userGroup

说明

以上关于URI的部分,对于iMC服务器URI是如下固定的内容,其中仅IP地址可以被替换。

 

3.     创建名称为imc的用户导入策略

# 选择“对象 > 用户 > 用户管理 > 用户导入策略”,进入用户导入策略页面。

# 在用户导入策略页面,单击<新建>按钮,进入新建导入策略页面。

# 在新建导入策略页面,配置相关参数信息,具体内容如下图所示。

图-39 新建导入策略

 

# 其他配置项保持默认情况即可。

# 单击<确定>按钮,完成策略配置。

# 在设备与iMC正常通信后,在用户导入策略页面选择imc用户导入策略,单击<手工导入身份识别用户>按钮,将iMC服务器上的账户信息导入设备。如下图所示。

图-40 导入账户

 

配置安全策略仅允许user10003访问Internet

创建名称为user10003的安全策略,仅允许user10003主动访问Internet,但是禁止Internet用户主动访问内网。

# 选择“策略 > 安全策略 > 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。

# 新建安全策略,并进行如下配置:

·     名称:user10003

·     源安全域:trust

·     目的安全域:untrust

·     类型:IPv4

·     动作:允许

·     用户:user10003

·     其他配置项使用缺省值

# 单击<确定>按钮,完成安全策略的配置。

iMC上增加设备(iMC

# iMC上增加设备保证iMC可以监控和管理设备,具体配置步骤如下。

1.     登录iMC管理平台

# 在浏览器地址栏中输入iMC管理平台的URL。本配置举例中iMC管理平台的URLhttp://192.168.100.244:8080/imc/,用户名和密码均为admin,具体步骤略。

2.     增加设备

# 选择“资源”页签,单击导航树中的[资源管理/增加设备]菜单项,进入增加设备配置页面,其配置内容如下图所示,其中Telnet参数的用户名和密码均为admin;其他配置保持默认值即可,其中SNMP的只读团体字密码缺省值为public,读写团体字密码缺值省为private

图-41 增加设备

 

# 单击<确定>按钮完成操作。

3.     修改NETCONF参数信息

# 选择“资源”页签,单击导航树中的[视图管理/设备视图]菜单项,进入设备视图列表页面,在此页面的设备标签列单击目标设备,进入某设备的详细信息页面,如下图所示。

图-42 设备视图列表

 

# 在设备详细信息页面的右侧,依次单击[配置/修改NETCONF参数],在弹出的对话框中单击加号添加协议,具体配置内容如下图所示,其中用户名和密码为admin

 

# 单击<确定>按钮完成操作。

配置安全业务(iMC

1.     在安全业务中同步设备,保证设备与iMC服务器上的配置信息和用户信息的同步

# 选择“业务”页签,单击导航树中的[安全业务管理/设备管理]菜单项,进入设备管理配置页面,在设备管理页签下的设备列表中可以看到添加成功的设备,如下图所示。

图-43 安全设备管理页面(未同步)

 

# 选中需要同步的设备单击<同步>按钮,进行设备同步。设备同步完成后同步状态一列会显示成功,如下图所示。(同步时间较长,请耐心等待)

图-44 安全设备管理页面(同步中)

 

图-45 安全设备管理页面(同步成功)

 

2.     配置用户认证系统参数和用户通知参数,保证iMC服务器将用户的上下线信息实时同步给设备

# 选择“业务”页签,单击导航树中的[安全业务管理/全局参数配置]菜单项,进入全局参数配置页面,在此页面配置用户认证系统参数,如下图所示。

请根据Portal认证服务器的协议类型,选择对应的协议类型。用户名和密码与登录iMC服务器的相同。

图-46 配置用户认证系统参数

 

# 选择“用户”页签,单击导航树中的[接入策略管理/业务参数配置/系统配置]菜单项,进入系统配置页面,在此页面选择用户通知参数配置进入修改用户通知页面,如下图所示。

此处的共享密钥没有用到,随意输入即可。

图-47 修改用户通知

 

配置RADIUS serveriMC

1.     登录iMC管理平台

# 在浏览器地址栏中输入iMC管理平台的URL。本配置举例中iMC管理平台的URLhttp://192.168.100.244:8080/imc/,用户名和密码均为admin,具体步骤略。

2.     增加接入设备

# 选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击<增加>按钮,进入增加接入设备页面。配置共享密钥为admin,其他配置项如下图所示。

图-48 增加接入设备

 

# 单击<确定>按钮完成操作。

说明

·     添加的接入设备IP地址要与Device发送RADIUS报文的源地址保持一致。缺省情况下,设备发送RADIUS报文的源地址是发送RADIUS报文的接口IP地址。

·     若设备上通过命令nas-ip或者radius nas-ip指定了发送RADIUS报文的源地址,则此处的接入设备IP地址就需要修改并与指定源地址保持一致。

·     若设备使用缺省的发送RADIUS报文的源地址,例如,本例中为接口GigabitEthernet0/1的IP地址192.168.100.88,则此处接入设备IP地址就选择192.168.100.88。

 

3.     增加接入策略

# 选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理配置页面,在该页面中单击<增加>按钮,进入增加接入策略页面。配置接入策略名为Portal,其他配置项使用缺省值即可,如下图所示。

图-49 增加接入策略

 

# 单击<确定>按钮完成操作。

4.     增加接入服务

# 选择“用户”页签,单击导航树中的[接入策略管理/接入服务管理]菜单项,进入接入服务管理配置页面,在该页面中单击<增加>按钮,进入增加接入服务页面。配置服务名为Portal,引用的缺省接入策略为Portal,其他配置项使用缺省值即可,如下图所示。

图-50 增加接入服务

 

# 单击<确定>按钮完成操作。

5.     增加接入用户

# 选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户配置页面,在该页面中单击<增加>按钮,进入增加接入用户页面。配置用户姓名为user,帐号名为user10001,密码为admin,接入服务选择Portal,其他配置项使用缺省值即可,如下图所示。

图-51 增加接入用户

 

# 单击<确定>按钮完成操作。

# 请参考上面的配置步骤,继续增加帐号user10002user10003

配置Portal serveriMC

1.     登录iMC管理平台

# 在浏览器地址栏中输入iMC管理平台的URL。本配置举例中iMC管理平台的URLhttp://192.168.100.244:8080/imc/,用户名和密码均为admin,具体步骤略。

2.     配置Portal服务器

# 选择“用户”页签,单击导航树中的[接入策略管理/Portal服务器管理/服务器配置]菜单项,进入服务器配置页面。根据实际组网情况调整以下参数,本例中使用缺省配置。

图-52 Portal服务器配置

 

3.     增加IP地址组

# 选择“用户”页签,单击导航树中的[接入策略管理/Portal服务器管理/IP地址组配置]菜单项,进入IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。配置内容如下图所示。

图-53 增加IP地址组

 

# 单击<确定>按钮完成操作。

4.     增加Portal设备

# 选择“用户”页签,单击导航树中的[接入策略管理/Portal服务器管理/设备配置]菜单项,进入设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。配置密钥为admin,其它配置内容如下图所示。

图-54 增加Portal设备配置

 

# 单击<确定>按钮完成操作。

5.     Portal设备关联IP地址组

# 选择“用户”页签,单击导航树中的[接入策略管理/Portal服务器管理/设备配置]菜单项,进入设备配置页面,在设备配置页面中的设备信息列表中,点击Router设备操作中的<端口组信息管理>按钮,进入端口组信息配置页面。

图-55 设备信息列表

 

# 在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。配置内容如下图所示。

图-56 增加端口组信息配置

 

# 单击<确定>按钮完成操作。

配置Host

# Host上配置IP地址、子网掩码、默认网关保证Host可以正常与外部通信,具体配置步骤略。

验证配置

1.     Host上验证Portal用户的接入认证

# 在浏览器地址栏中输入Portal Web服务器的URLhttp://192.168.100.244:8080/portal,登录Portal认证页面,输入用户名和密码,单击<Log In>按钮,Portal用户认证成功后如下图所示。

图-57 Portal用户认证成功示意图

 

2.     iMC上的本地在线用户

用户user10001user10002user10003进行Portal认证成功后,可以在iMC的本地在线用户列表中看到,如下图所示。

图-58 本地在线用户示意图

 

3.     Device上查看在线的Portal用户

# 显示所有在线的Portal用户信息。

[Device] display portal user all

Total portal users: 3

Username: user10001

  Portal server: newpt

  State: Online

  VPN instance: N/A

  MAC             IP                    VLAN    Interface

  0011-95e4-4aa9  20.2.1.13             --      GigabitEthernet1/0/2

  Authorization information:

    DHCP IP pool: N/A

    User profile: N/A

    Session group profile: N/A

    ACL number: N/A

    Inbound CAR: N/A

Outbound CAR: N/A

 

Username: user10002

  Portal server: newpt

  State: Online

  VPN instance: N/A

  MAC             IP                    VLAN    Interface

  0011-95e4-4aa3  20.2.1.13             --      GigabitEthernet1/0/2

  Authorization information:

    DHCP IP pool: N/A

    User profile: N/A

    Session group profile: N/A

    ACL number: N/A

    Inbound CAR: N/A

    Outbound CAR: N/A

 

Username: user10003

  Portal server: newpt

  State: Online

  VPN instance: N/A

  MAC             IP                    VLAN    Interface

  0011-95e4-4aa2  20.2.1.13             --      GigabitEthernet1/0/2

  Authorization information:

    DHCP IP pool: N/A

    User profile: N/A

    Session group profile: N/A

    ACL number: N/A

    Inbound CAR: N/A

    Outbound CAR: N/A

4.     Device上查看身份识别用户信息

# 显示所有身份识别用户信息。

[Device] display user-identity all user

  User ID     Username

  0x2         user10001

  0x3         user10002

  0x4         user10003

# 显示非域下名称为user10001的在线身份识别用户信息。

[Device] display user-identity online-user null-domain name user10001

User name: user10001

  IP  : 20.2.1.11

  MAC : 0011-95e4-4aa9

  Type: Dynamic

 

Total 1 records matched.

# 显示非域下名称为user10002的在线身份识别用户信息。

[Device] display user-identity online-user null-domain name user10002

User name: user10002

  IP  : 20.2.1.12

  MAC : 0011-95e4-4aa3

  Type: Dynamic

 

Total 1 records matched.

# 显示非域下名称为user10003的在线身份识别用户信息。

[Device] display user-identity online-user null-domain name user10003

User name: user10003

  IP  : 20.2.1.13

  MAC : 0011-95e4-4aa2

  Type: Dynamic

 

Total 1 records matched.

5.     Device基于用户的访问控制效果

# 用户user10001不可PingInternet上的主机。(假设Internet上存在一个IP地址为12.1.1.2的主机,实际组网中请以实际情况为准)

C:\>ping 12.1.1.2

 

Pinging 12.1.1.2 with 32 bytes of data:

Request time out.

Request time out.

Request time out.

Request time out.

 

Ping statistics for 12.1.1.2:

    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

# 用户user10003PingInternet上的主机。(假设Internet上存在一个IP地址为12.1.1.2的主机,实际组网中请以实际情况为准)

C:\>ping 12.1.1.2

 

Pinging 12.1.1.2 with 32 bytes of data:

Reply from 12.1.1.2: bytes=32 time=36ms TTL=253

Reply from 12.1.1.2: bytes=32 time<1ms TTL=253

Reply from 12.1.1.2: bytes=32 time<1ms TTL=253

Reply from 12.1.1.2: bytes=32 time<1ms TTL=253

 

Ping statistics for 12.1.1.2:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 36ms, Average = 9ms

# 当用户user10003PingInternet上的主机时,Device上会生成日志信息。

配置文件

Router

[Router] display current-configuration

#

interface GigabitEthernet0/0

 port link-mode route

 ip address 20.2.1.1 255.255.255.0

#

interface GigabitEthernet0/1

 port link-mode route

 ip address 20.2.2.1 255.255.255.0

#

interface GigabitEthernet3/0

 port link-mode route

 combo enable copper

#

 ip route-static 0.0.0.0 0 20.2.2.2

#

 snmp-agent

 snmp-agent local-engineid 800063A28074258A37B5F500000001

 snmp-agent community write private

 snmp-agent community read public

 snmp-agent sys-info version all

#

local-user admin class manage

 password hash $h$6$UbIhNnPevyKUwfpm$LqR3+yg1IjNct39MkOR0H0iQXLkYB3jMqM4vbAeoXOh

babIIFnjJPEGR00YiYA1Sz4LiY3FmEdru2fOLMb1shQ==

 service-type telnet http

 authorization-attribute user-role network-admin

#

return

Device

[Device] display current-configuration

#

interface GigabitEthernet1/0/1

 port link-mode route

 ip address 192.168.100.88 255.255.255.0

#

interface GigabitEthernet1/0/2

 port link-mode route

 ip address 20.2.2.2 255.255.255.0

 portal enable method direct

 portal domain dm1

 portal apply web-server newpt

#

interface GigabitEthernet1/0/3

 port link-mode route

 ip address 12.1.1.1 255.255.255.0

#

security-zone name Trust

 import interface GigabitEthernet1/0/2

#

security-zone name DMZ

 import interface GigabitEthernet1/0/1

#

security-zone name Untrust

 import interface GigabitEthernet1/0/3

#

line vty 0 63

 authentication-mode scheme

 user-role network-admin

#

 ip route-static 0.0.0.0 0 12.1.1.2

 ip route-static 20.2.1.0 24 20.2.2.1

#

 snmp-agent

 snmp-agent local-engineid 800063A280487ADA9593B700000001

 snmp-agent community write private

 snmp-agent community read public

 snmp-agent sys-info version all

 snmp-agent target-host trap address udp-domain 192.168.100.244 params securityn

ame public v2c

#

radius scheme rs1

 primary authentication 192.168.100.244

 primary accounting 192.168.100.244

 key authentication cipher $c$3$hhbEbD5Ycvw7VWqljAoMoU7hQRgcUjtg

 user-name-format without-domain

#

domain dm1

 authentication portal radius-scheme rs1

 authorization portal radius-scheme rs1

 accounting portal radius-scheme rs1

#

domain system

#

 domain default enable system

#

local-user admin class manage

 password hash $h$6$UbIhNnPevyKUwfpm$LqR3+yg1IjNct39MkOR0H0iQXLkYB3jMqM4vbAeoXOh

babIIFnjJPEGR00YiYA1Sz4LiY3FmEdru2fOLMb1shQ==

 service-type ssh telnet terminal http https

 authorization-attribute user-role level-3

 authorization-attribute user-role network-admin

 authorization-attribute user-role network-operator

#

portal web-server newpt

 url http://192.168.100.244:8080/portal

#

portal server newpt

 ip 192.168.100.244 key cipher $c$3$+UmaGOco7eHsjOqlrp8lI4eYe0A8NpYU

#

 netconf soap http enable

 netconf soap https enable

 restful http enable

 restful https enable

#

 user-identity enable

 user-identity user-account auto-import policy imc

#

user-identity restful-server rest1

 login-name admin password cipher $c$3$phGy00HA6OP6pIpGI0KOKZEOPuLVbtt/

 uri get-user-database http://192.168.100.244:8080/imcrs/uam/acmUser/acmUserList

 uri get-user-group-database http://192.168.100.244:8080/imcrs/uam/acmUser/userGroup

 uri get-online-user http://192.168.100.244:8080/imcrs/uam/online

#

user-identity user-import-policy imc

 account-update-interval 1

 restful-server rest1

#

security-policy ip

 rule 0 name dmz-local

  action pass

  source-zone dmz

  destination-zone local

 rule 1 name local-dmz

  action pass

  source-zone local

  destination-zone dmz

 rule 2 name trust-dmz

  action pass

  source-zone trust

  source-zone dmz

  destination-zone dmz

  destination-zone trust

 rule 3 name user10003

  action pass

  logging enable

  source-zone trust

  destination-zone untrust

  user user10003

#

return

组网需求

目前在一些校园网组网方案中,采用了城市热点服务器(Dr.Com server)对校园网用户进行认证、授权及计费,设备(Device)作为网关部署在校园网与外网之间进行网络访问控制。现Device需要从Server同步用户信息,实现基于用户对内外网之间的报文进行访问控制。具体要求如下:

·     Device获取Server配置的所有用户信息所有在线用户信息推送的用户上/下线信息

·     Device上基于Server同步来的信息,对所有在线用户进行身份识别和基于用户的访问控制,具体要求如下:

     用户user10001即不能访问FTP server,也不能访问Internet

     用户user10002仅能访问FTP server,不能访问Internet

     用户user10003仅能访问Internet,不能访问FTP server

     Internet上的用户不能主动访问Trust安全域和DMZ安全域中的主机。

图-59 基于城市热点服务器单点登录的用户身份识别与管理配置举例组网图

 

Dr.Com server的需要有两个IP地址:184.79.0.12地址用来与user通信,进行用户身份认证和授权等;184.79.0.11地址用来与设备通信,进行用户信息的同步。

使用版本

本举例是在F1000-AI-55R8860版本上进行配置和验证的。

配置准备

配置本典型配置举例前,需要您已在城市热点服务器上创建好用户信息,中间网络设备上已配置相关接入认证功能。最终可以保证用户能够在城市热点服务器上进行认证授权。

配置步骤

配置城市热点服务器Dr.Com server

1.     在服务器上添加DeviceIP地址及端口号

# ssh184.79.0.11/24,输入用户名及密码,登录到城市热点服务器的CLI界面,cd/usr/local/drcom/dronline/ac0。配置dronline.ini文件中action标题下的ip1地址为184.69.0.161(防火墙Device的地址),端口号为61440,具体配置如下图所示。

图-60 添加设备DeviceIP地址及端口号

 

2.     打开服务器的UDP接口进程及Get接口进程

# 在服务器的CLI界面上,配置如下命令,用来打开UDP接口进程,用于推送用户上下线的消息。

cd /usr/local/drcom/dronline/ac0

./dronline

# 在服务器的CLI界面上,配置如下命令,打开get接口进程,用于响应FW批量导入配置用户和在线用户的请求。

cd /usr/local/drcom/DrcomSup

java -jar DrcomSup.jar --server.port=8003

配置完成后,服务器能够将用户上下线的消息推送给Device,并响应Device的请求信息。

配置Device

1.     配置接口的IP地址

# 选择“网络 > 接口 > 接口”,进入接口配置页面。

# 单击接口GE1/0/1右侧的<编辑>按钮,配置如下。

     安全域:Trust

     选择“IPv4地址”页签,配置IP地址/掩码:184.69.0.161/24

     其他配置项使用缺省值

# 单击<确定>按钮,完成接口IP地址和安全域的配置。

# 按照同样的步骤配置接口GE1/0/2,配置如下。

     安全域:Untrust

     选择“IPv4地址”页签,配置IP地址/掩码:184.69.1.1/24

     其他配置项使用缺省值

# 单击<确定>按钮,完成接口IP地址和安全域的配置。

请参考以上配置步骤,配置接口GE1/0/3IP地址,具体步骤略。

2.     配置路由

本举例仅以静态路由为例,若实际组网中需采用动态路由,请配置对应的动态路由协议。

# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”,单击<新建>按钮,进入新建IPv4静态路由页面。

# 新建IPv4静态路由,并进行如下配置:

     目的IP地址:184.79.0.0

     掩码长度:24

     下一跳IP地址:184.69.0.1

     其他配置项使用缺省值

# 单击<确定>按钮,完成静态路由的配置。

请参考以上配置步骤,添加到10.1.1.0/24网段的静态路由,具体步骤略。

请参考以上配置步骤,添加到Internet的静态路由,具体步骤略。

3.     配置安全策略放行城市热点服务器与设备之间的流量

# 选择“策略 > 安全策略> 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。

# 新建安全策略放行城市热点服务器与设备之间的流量,用于用户信息同步,并进行如下配置:

创建名称为trust-local的安全策略。

     名称:trust-local

     源安全域:Trust

     目的安全域:Local

     类型:IPv4

     动作:允许

     IPv4地址:184.79.0.0/24

     其他配置项使用缺省值

# 单击<确定>按钮,完成安全策略的配置。

创建名称为local-trust的安全策略。

     名称:local-trust

     源安全域:local

     目的安全域:Trust

     类型:IPv4

     动作:允许

     目的IPv4地址:184.79.0.0/24

     其他配置项使用缺省值

# 单击<确定>按钮,完成安全策略的配置。

4.     开启用户身份识别功能。

# 选择“对象 > 用户 > 用户管理 > 在线用户”,选择在线用户页签。

# 在在线用户页面,单击<开启身份识别功能>按钮,开启用户身份识别功能。如下图所示。

图-61 开启身份识别功能

 

5.     配置RESTful服务器

配置RESTful服务器,用来从城市热点服务器同步用户账户信息和在线用户信息。

# 选择“对象 > 用户 > 认证管理 > RESTful服务器”,进入RESTful服务器页面。

# 单击<新建>按钮,进入新建RESTful服务器页面,配置如下:

     名称:drcom

     用户名设置为城市热点服务器的登录账户

     密码设置为城市热点服务器的登录密码

     获取用户账户的URL设置为:http://184.79.0.11:8003/DrcomSup/accessUser

     获取在线用户的URL设置为:http://184.79.0.11:8003/DrcomSup/onlineUser

     开启探测功能

     其它配置均使用缺省值

单击<确定>按钮,完成配置Restful服务器

图-62 配置RESTful服务器

 

6.     配置Sec Manage服务器

配置Sec Manage服务器用来接收城市热点服务器推送的用户上下线信息。

# 选择“对象 > 用户 > 认证管理 > Sec Manage服务器”,进入Sec Manage服务器页面。

# 单击<新建>按钮,进入新建Sec Manage服务器页面,配置如下:

     名称:drcom1

     服务器地址:184.79.0.11

     监听端口:61440

     其它配置均使用缺省值

单击<确定>按钮,完成配置Sec Manage服务器

图-63 配置Sec Manage服务器

 

7.     配置用户导入策略

# 选择“对象 > 用户 > 用户管理 > 用户导入策略”,进入用户导入策略页面。

# 单击<新建>按钮,进入新建导入策略页面,配置如下:

     名称:drcom

     RESTful服务器:drcom

     导入类型:用户和用户组

     开启自动导入功能

     其它配置均使用缺省值

图-64 配置用户导入策略

 

8.     手动导入用户账户信息和在线用户信息

配置完成后,在用户导入策略页面,单击<手动导入身份识别用户><手动导入在线用户>,手动导入城市热点服务器上已经存在的用户账户信息和在线用户信息。

9.     配置安全策略对用户流量进行访问控制

# 选择“策略 > 安全策略> 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。

# 新建安全策略根据权限控制需求对用户进行不同的访问控制,配置如下。

创建名称为user10002的安全策略,仅允许user10002访问FTP server,但是禁止其他用户访问FTP server,配置如下。

     名称:user10002

     源安全域:trust

     目的安全域:dmz

     类型:IPv4

     动作:允许

     用户:user10002

     其他配置项使用缺省值

单击<确定>按钮,完成安全策略的配置。

创建名称为user10003的安全策略,仅允许user10003主动访问Internet,但是禁止Internet用户主动访问内网。

     名称:user10003

     源安全域:trust

     目的安全域:untrust

     类型:IPv4

     动作:允许

     用户:user10003

     其他配置项使用缺省值

# 单击<确定>按钮,完成安全策略的配置。

验证配置

1.     选择“对象 > 用户 > 用户管理 > 身份识别用户”,查看从城市热点服务器导入的用户信息。

2.     选择“对象 > 用户 > 用户管理 > 在线用户”,查看从城市热点服务器推送的在线用户信息。

3.     用户user10001不可PingFTP server

C:\>ping 184.69.2.2

 

Pinging 184.69.2.2 with 32 bytes of data:

Request time out.

Request time out.

Request time out.

Request time out.

 

Ping statistics for 184.69.2.2:

    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

4.     用户user10002PingFTP server

C:\>ping 184.69.2.2

 

Pinging 184.69.2.2 with 32 bytes of data:

Reply from 184.69.2.2: bytes=32 time=36ms TTL=253

Reply from 184.69.2.2: bytes=32 time<1ms TTL=253

Reply from 184.69.2.2: bytes=32 time<1ms TTL=253

Reply from 184.69.2.2: bytes=32 time<1ms TTL=253

 

Ping statistics for 184.69.2.2:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 36ms, Average = 9ms

5.     用户user10003PingInternet上的主机。(假设Internet上存在一个IP地址为12.1.1.2的主机,实际组网中请以实际情况为准)

C:\>ping 12.1.1.2

 

Pinging 12.1.1.2 with 32 bytes of data:

Reply from 12.1.1.2: bytes=32 time=37ms TTL=253

Reply from 12.1.1.2: bytes=32 time<1ms TTL=253

Reply from 12.1.1.2: bytes=32 time<1ms TTL=253

Reply from 12.1.1.2: bytes=32 time<1ms TTL=253

 

Ping statistics for 12.1.1.2:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 36ms, Average = 9ms

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们