02-H3C EIA SSL VPN认证(IPv6)典型配置举例
本章节下载: 02-H3C EIA SSL VPN认证(IPv6)典型配置举例 (1.13 MB)
H3C EIA SSL VPN认证(IPv6)
典型配置举例
资料版本:5W100-20260424
产品版本:EIA (E7301)
Copyright © 2026 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
SSL VPN是以SSL(Secure Sockets Layer,安全套接字层)为安全基础的远程接入VPN技术,可以提供远程的安全连接服务。
传统的VPN技术如IPsec、L2TP等,虽然能够满足基本的远程接入需求,但随着企业网络资源日益多样化,针对特定资源进行用户管理和访问权限控制的需求不断提升,传统VPN已难以完全胜任。为此,SSL VPN技术应运而生。同时,SSL VPN还具有丰富的资源访问控制功能,可以基于用户进行管理,并为用户提供不同类型的资源访问需求。传统VPN技术和SSL VPN技术的区别如下表所示:
表1 对比
|
对比项 |
传统VPN |
SSL VPN |
|
用户管理 |
以网络层为主,管理粒度较粗,通常按IP或网段 |
基于用户身份,支持精细化用户和分组管理 |
|
访问权限控制 |
主要通过路由和策略,灵活性有限 |
可针对用户或用户组分配细粒度访问权限,灵活度高 |
本文介绍了使用iNode PC客户端SSL VPN接入方式,并通过用户名密码认证上线的配置过程。
适用于使用iNode PC客户端采用SSL VPN接入方式,并通过用户名密码认证上网的情景,例如:
· 远程办公:员工在家或出差时,通过iNode PC客户端以SSL VPN方式安全接入公司内网,使用用户名密码认证保障账号安全,实现对企业资源的远程访问。
· 移动办公/临时接入:临时外出办公人员或合作伙伴,需要用自己的笔记本,通过SSL VPN和用户名密码认证方式,临时访问公司业务系统或文件服务。
· 校园网安全接入:校园内师生通过iNode客户端和SSL VPN方式,用学工号和密码进行认证,安全访问教学资源和内部系统。
在配置前,网络必须路由可达。
本案例主要介绍了在iNode PC客户端中使用SSL VPN接入方式。配置案例的组网环境如下图所示。
· EIA版本:EIA (E7301)
· iNode版本:iNode PC 7.3 (E0634)
· VPN网关:H3C Comware Software,Version 7.1.064,ESS 9308
EIA认证配置
· 启用EIA系统参数配置IPv6
· 增加IPv4接入设备
· 增加接入策略
· 增加接入服务
· 增加接入用户
(1) 进入[自动化>网络准入>准入管理>参数管理>接入认证>系统参数]页面,将“用户数据管理参数”区域的“启用IPv6”项置为“是”,如下图所示。
(2) 配置完成后,单击<确定>按钮,保存配置。
(1) 进入[自动化>网络准入>准入管理>参数管理>接入认证>系统参数]页面,勾选“在IPv6网络启用策略服务器”项,如下图所示。
(2) 配置完成后,单击<确定>按钮,保存配置。
在组网中,用户与设备之间通过IPv6地址进行通信,而设备与服务器之间则采用IPv4地址通信,因此需要新增IPv4接入设备。
(1) 单击[自动化>网络准入>准入管理>接入设备]菜单项,进入设备配置页面,如下图所示。
(2) 单击<增加>按钮,进入增加接入设备页面,如下图所示。
(3) 配置公共参数。
公共参数的配置要求如下:
¡ 认证端口:EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。
¡ 计费端口:EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。
目前仅支持同时将EIA作为认证和计费服务器,不支持将EIA作为认证服务器、其他服务器作为计费服务器的配置。
¡ 业务类型:在下拉框中选择该设备承载的业务,包括不限和设备管理业务。前者用于用户接入和使用网络,后者用于设备管理员登录和管理设备。
¡ 强制下线方式:在下拉框中选择强制用户下线的方式,包括断开用户连接和Down-Up端口。前者表示EIA服务器向NAS设备下发Disconnect Message(DM)强制用户下线;后者表示EIA服务器向NAS设备下发Change-of-Authorization(CoA)消息强制用户下线,NAS设备收到CoA消息后先Down掉连接用户的端口,然后再重新UP该端口。
¡ 接入设备类型:在下拉框中选择接入设备的厂商和类型。
¡ 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果[自动化>网络准入>准入管理>参数管理>接入认证>系统参数]中的密钥显示方式设置为明文时,只需输入一次共享密钥即可。
¡ 接入位置分组:在下拉框中选择接入设备需要加入的接入位置分组。可选项包括EIA中已经存在的接入位置分组和“无”。接入位置分组是区分终端用户的接入条件之一。
本例中公共参数只需要输入共享密钥\确认共享密钥“movie”,其他保持默认即可。
(4) 单击<增加IPv4设备>按钮,增加设备起始IP地址“1.2.4.199”的设备,如下图所示。
(5) 单击<确认>按钮,增加接入设备完成,如下图所示。
图7 增加接入设备完成
(1) 单击[自动化>网络准入>准入管理>接入服务>接入策略]菜单项,进入接入策略页面,如下图所示。
(2) 单击<增加>按钮,进入增加接入策略页面,如下图所示。由于不需要任何接入控制,所以只需输入接入策略名,其他参数保持默认即可。
参数说明:
¡ 接入时段:选择了某一接入时段策略后,使用此规则的用户只能在接入时段策略中定制的时间段内允许接入。
¡ 分配IP地址:是否下发用户IP地址。
¡ 上行、下行速率:根据设定的上下行速率来限制用户使用该规则上网时的上传、下载速率。
¡ 优先级:它的高低确定了在网络拥塞时转发报文的优先顺序,此参数应从设备支持的优先级中选取,数值越小优先级越高。配置错误可能导致用户无法上线。
¡ 首选EAP类型/子类型:进行EAP认证时,RADIUS服务器优先下发给客户端的EAP类型。包括:EAP-MD5、EAP-TLS、EAP-TTLS和EAP-PEAP。当首选EAP类型为EAP-TTLS和EAP-PEAP时,还需要首选EAP-MSCHAPv2、EAP-MD5和EAP-GTC其中的一种子类型。
- EAP-MD5:一种EAP认证方式,使用CHAP方式进行认证。
- EAP-TLS:是一种基于证书的身份认证,它需要PKI的部署来管理证书。它推荐进行服务器和客户端之间双向认证,认证双方是用证书来标识自己的身份。在认证通过之后,TLS的认证双方会协商出一个共享密钥、SessionId以及整套的加密套件(加密,压缩和数据完整性校验),这样认证双方就建立了一个安全可靠的数据传输通道。EAP-TLS是客户端和AAA服务器借助接入设备的透传,通过TLS协议进行的身份认证。EAP-TLS可以利用SessionId进行快速重认证,简化认证流程,加快认证速度,还对较大的TLS报文进行了分片处理。
- EAP-TTLS:是一种基于证书的身份认证,利用TLS认证在客户端和AAA服务器之间建立起一个安全通道,在安全通道内部再承载子类型。它具有保护用户标识和EAP认证的协商过程的作用。隧道内的子类型可以是EAP类型,也可以是非EAP类型。目前EIA支持TTLS下三个EAP的子类型(EAP-MSCHAPv2、EAP-MD5、EAP-GTC)。EIA在配置接入策略指定首选EAP类型为EAP-TTLS时,也必须首选一种EAP的子类型。在实际认证过程中,如果终端采用非EAP的子类型,如PAP,则终端可以忽略EIA的配置,使用终端配置的子类型进行认证。
- EAP-PEAP:是一种基于证书的身份认证,利用TLS认证在客户端和AAA服务器之间建立起一个安全通道,在安全通道上再发起EAP认证。它具有保护用户标识,保护EAP认证的协商过程的作用。目前EIA仅支持EAP-MSCHAPv2、EAP-MD5和EAP-GTC认证类型。
¡ EAP自协商:当客户端配置的EAP类型与EIA中配置的首选EAP类型不同时的处理方式。配置为“启用”时,EIA完全适应由客户端中配置的EAP认证方式,即无论客户端中配置什么类型的EAP认证,EIA都允许客户端继续认证。配置为“禁用”时,如果客户端配置的EAP类型与EIA中配置的首选EAP类型不同,则EIA拒绝其认证。
¡ 单次最大在线时长(分钟):使用该策略的接入账号认证成功后可在线的最长时间,单位为分钟。该参数默认值为空,表示不限制;最小值为1,最大值为1440。如果账号在线时间超过该参数值,EIA则强制该用户下线。
¡ 下发地址池:输入地址池名称。EIA将地址池名称下发给接入设备,接入设备根据下发的地址池名称寻找设备上对应的地址池,然后给用户分配该地址池中的IP地址。只有下发设备上配置了对应的地址池,该功能才生效。
¡ 下发VLAN:设置向用户下发的VLAN,当接入设备类型为H3C(General)、Huawei(General)、HP(Comware)、3Com(General)时,如果配置的VLAN为1~4094,接入业务以整型的VLAN ID下发给设备,设备上的VLAN分配模式应为整型;所有其他值都以字符型VLAN NAME下发给设备,设备上VLAN分配模式应为字符型。其他设备类型都以字符型VLAN NAME下发给设备,设备上VLAN分配模式应为字符型,用户认证通过后将只能访问该VLAN的内部资源。
¡ 下发User Profile:将用户配置文件名称下发给设备,实现基于用户的QoS功能。只有下发设备上已经配置完成了User Profile,User Profile才生效。
¡ 下发用户组:用户认证通过后向设备下发该用户所属的用户组,可以输入多个组,每个组以分号分隔。与ACG1000联动或与SSL VPN设备配合时,该属性才有效 。
¡ 下发ACL:设置向用户下发的访问控制列表。ACL列表可以从以下两种方式选择:
- 手工输入。
- 接入ACL列表:其值可以在接入ACL策略管理配置。
¡ 离线检查时长(小时):哑终端认证通过后向设备下发该参数,设备以该参数作为时间间隔,周期性检测哑终端是否已离线。该参数为空时,表示不检测;时长必须为整数,范围为[0,596523]。该参数只适用于哑终端。
¡ 认证绑定信息:目前接入策略管理与接入设备配合可对接入设备IP地址、端口、VLAN、QinQ双VLAN、接入设备序列号、用户IP地址、MAC地址、IMSI、IMEI、无线用户SSID和硬盘序列号进行绑定检查。iNode客户端与策略服务器配合可对用户IP地址、MAC地址、计算机名称、计算机域、用户登录域和硬盘序列号进行绑定检查。其中MAC地址绑定和IMSI绑定只能同时选择一个。当账号用户申请具有绑定策略的服务时,可以设置相关的绑定信息,如果不设置,绑定时将采用自学习策略。所谓自学习就是绑定用户首次上网时所使用的相关参数,比如用户使用的服务采用自学习绑定用户IP地址,用户首次使用该业务上网时的IP地址为10.100.10.10,则今后用户只能通过使用这个IP地址才能通过认证。
- 启用终端MAC地址控制:该设置启用后,使用该服务的接入用户上线时,用户使用的MAC地址属于允许接入的接入MAC地址范围则可以成功上线,否则不能成功上线。接入MAC地址的详细配置请参见终端MAC地址池。
- 启用终端硬盘序列号控制:该设置启用后,使用该服务的接入用户上线时,如果该用户的硬盘序列号在允许接入硬盘序列号列表中,则用户成功上线,否则用户不能上线。特殊的,如果无法获取硬盘序列号则认证通过。只有在使用iNode PC客户端认证时该功能才生效。
- 启用无线SSID控制:启用该功能后,使用该服务的接入用户采用无线方式上线时,如果无线SSID列表中的接入控制类型为“禁止接入”,则禁止终端通过无线SSID列表中的SSID接入网络;如果接入控制类型为“允许接入”,则只允许终端通过无线SSID列表中的SSID接入网络。该功能必须和iNode PC客户端配合使用,EIA一旦将无线SSID池下发给iNode客户端,iNode就会在终端上保存该配置。后续无论使用iNode客户端还是使用Windows自带客户端,不管是否到EIA中认证,该配置都一直生效。
- 启用终端主板序列号控制:启用该参数后,使用该服务的接入用户上线时,如果该用户的主板序列号在允许接入主板序列号列表中,则用户认证成功,否则认证失败。特殊情况下,如果无法获取到主板序列号则允许用户认证通过。只有在使用iNode PC客户端认证时该功能才生效。
授权下发需要设备支持对应属性,认证绑定需要设备在RADIUS属性中上传对应信息。本例不对设备进行任何下发,因此保持默认。
(3) 配置完成后,单击<确定>按钮,接入策略增加完成,如下图所示。
图10 增加接入策略完成
(1) 单击[自动化>网络准入>准入管理>接入策略管理>接入服务管理]菜单项,进入接入服务页面,如下图所示。
(2) 单击<增加>按钮,进入增加接入服务页面。
配置服务的各个参数:
¡ 服务名:本案例中配置为“VPN网关接入服务”。
¡ 缺省接入策略:选择增加接入策略配置的“VPN网关接入策略”。
¡ 服务后缀:服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见下表。
¡ 安全组:资源访问控制的规则集合,本例保持缺省值。
¡ 安全子组:是安全组的细分,本例保持缺省值。
¡ 缺省私有属性下发策略:不受接入位置分组限制的用户上网时,EIA会根据本参数指定的策略将私有属性下发到此用户连接的接入设备上。
¡ 缺省单账号最大绑定终端数:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单账号最大绑定终端数的控制。
- 匹配的接入场景:EIA检查该场景中用户已经绑定的终端数量是否已达到数量限制,如果已达到数量限制,则拒绝用户认证;
- 所有服务中包含的场景:检查用户申请的所有服务中(包括服务中的所有场景)已绑定的终端数量,如果用户绑定的所有终端数量已达到终端管理参数中定义的“单账号最大绑定终端数”数量限制,则EIA拒绝用户认证,否则允许用户继续认证。
¡ 缺省单账号在线数量限制:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单账号在线数量限制的控制。
¡ 单日累计在线最长时间(分钟):每天允许账号使用该服务接入网络的总时长,达到该时长后,账号将被强制下线,且当日不能再次接入。该参数单位是分钟,只支持输入整数,最小值是0,表示不限制每天在线时长,最大值是1440。
¡ 服务描述:针对该服务的简单描述,以方便操作员的日常维护。
表2 EIA中服务后缀的选择
|
认证连接用户名 |
设备用于认证的Domain |
设备Radius scheme中的命令 |
EIA中服务的后缀 |
|
X@Y |
Y |
user-name-format with-domain |
Y |
|
user-name-format without-domain |
无后缀 |
||
|
X |
[Default Domain] 设备上指定的缺省域 |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
(3) 配置完成,单击<确定>按钮,增加接入服务完成,如下图所示。
图13 增加接入服务完成
(1) 单击[自动化>网络准入>准入管理>接入用户]菜单项,进入接入用户页面,如下图所示。
(2) 单击<增加>按钮,进入增加接入用户页面,配置如下参数,如下图所示。
¡ 用户姓名:本例设置为“wang”。
¡ 证件号码:本例设置为“111”。
¡ 账号名:本例设置为“wang”。
¡ 密码/密码确认:设置接入用户的密码。
¡ 接入服务:勾选增加接入服务的“VPN网关接入服务”。
图16 接入服务
(1) 进入系统视图。
<VSR>system-view
System View: return to User View with Ctrl+Z.
[VSR]interface GigabitEthernet1/0/11
[VSR-GigabitEthernet1/0/11]port link-mode bridge
[VSR-GigabitEthernet1/0/11]quit
(2) 配置GigabitEthernet1/0/11所属VLAN 1接口地址。
[VSR]interface Vlan-interface1
[VSR-Vlan-interface1]ipv6 address 2020:4c7::10/64
[VSR-Vlan-interface1]undo ipv6 nd ra halt
[VSR-Vlan-interface1]quit
(3) 创建RADIUS策略market。
[VSR]radius scheme market
[VSR-radius-market]primary authentication 1.2.4.159
[VSR-radius-market]primary accounting 1.2.4.159
[VSR-radius-market]key authentication simple movie
[VSR-radius-market]key accounting simple movie
[VSR-radius-market]user-name-format without-domain
[VSR-radius-market]quit
(4) 创建domain。
[VSR]domain market
[VSR-isp-market]authorization default radius-scheme market
[VSR-isp-market]authentication portal radius-scheme allpermit
[VSR-isp-market]accounting default radius-scheme market
[VSR-isp-market]quit
(5) 配置虚接口网关地址,EIA服务器与此虚接口网段路由可达。
[VSR]interface SSLVPN-AC1
[VSR-SSLVPN-AC1]ip address 192.168.2.1 255.255.255.0
(6) 创建安全域并将接口加入安全域。
[VSR]security-zone name Trust
[VSR-security-zone-Trust]import interface GigabitEthernet1/0/1
[VSR-security-zone-Trust]import interface GigabitEthernet1/0/11
[VSR-security-zone-Trust]import interface SSLVPN-AC1
[VSR-security-zone-Trust]import interface Vlan-interface1
[VSR-security-zone-Trust]quit
(7) 配置安全策略。
[VSR]security-policy ip
[VSR-security-policy-ip]rule 0 name 0
[VSR-security-policy-ip]action pass
[VSR-security-policy-ip]quit
[VSR]security-policy ipv6
[VSR-security-policy-ipv6]rule 0 name test
[VSR-security-policy-ipv6]action pass
(8) 配置ACL。
[VSR]acl advanced 3000
[VSR-acl-ipv4-adv-3000]rule 0 permit ip
[VSR-acl-ipv6-adv-3000]quit
[VSR]acl ipv6 advanced 3000
[VSR-acl-ipv6-adv-3000]rule 0 permit ipv6
[VSR-acl-ipv6-adv-3000]quit
(9) 创建源安全域到目的安全域的域间实例,并应用ACL。
[VSR]zone-pair security source Any destination Any
[VSR-zone-pair-security-Any-Any]packet-filter 3000
[VSR-zone-pair-security-Any-Any]packet-filter ipv6 3000
[VSR-zone-pair-security-Any-Any]quit
[VSR]zone-pair security source Any destination Trust
[VSR-zone-pair-security-Any-Trust]packet-filter 3000
[VSR-zone-pair-security-Any-Trust]packet-filter ipv6 3000
[VSR-zone-pair-security-Any-Trust]quit
[VSR]zone-pair security source Local destination Trust
[VSR-zone-pair-security-Local-Trust]quit
[VSR]zone-pair security source Trust destination Any
[VSR-zone-pair-security-Trust-Any]packet-filter 3000
[VSR-zone-pair-security-Trust-Any]packet-filter ipv6 3000
[VSR-zone-pair-security-Trust-Any]quit
[VSR]zone-pair security source Trust destination Local
(10) 配置安全域内部报文默认为允许。
[VSR]security-zone intra-zone default permit
(11) 配置PKI域cert。
[VSR]pki domain cert
[VSR-pki-domain-cert]public-key rsa general name cert length 2048
[VSR-pki-domain-cert]undo crl check enable
(12) 配置SSL服务器端策略cert,引用配置的kpi domain cert。
[VSR]ssl server-policy cert
[VSR-ssl-server-policy-cert]pki-domain cert
[VSR-ssl-server-policy-cert]session cachesize 1000
(13) 配置SSL VPN网关的IP地址,引用SSL VPN策略,开启SSL VPN网关。
[VSR]sslvpn gateway ipv6c
[VSR-sslvpn-gateway-ipv6c]ipv6 address 2020:4C7::10
[VSR-sslvpn-gateway-ipv6c]ssl server-policy cert
[VSR-sslvpn-gateway-ipv6c]service enable
(14) 创建地址池。
[VSR]sslvpn ip address-pool ippool 192.168.2.100 192.168.2.200
[VSR]sslvpn ipv6 address-pool poo_v6 2020:4C7::200 2020:4C7::800
(15) 配置SSL VPN访问实例,配置SSL VPN访问实例使用ISP域market进行AAA认证。
[VSR]sslvpn context market
[VSR-sslvpn-context-market]gateway ipv6c domain market
[VSR-sslvpn-context-market]aaa domain market
[VSR-sslvpn-context-market]ip-tunnel interface SSLVPN-AC1 //配置SSL VPN访问实例使用虚接口SSLVPN-AC1,用于PC客户端认证。
(16) 配置路由表信息,确保到EIA服务器路由可达。
[VSR-sslvpn-context-market]ip-route-list iplist
[VSR-sslvpn-context-market-route-list-iplist]include 1.2.4.0 255.255.255.0
[VSR-sslvpn-context-market-route-list-iplist]include 192.168.2.0 255.255.255.0
[VSR-sslvpn-context-market-route-list-iplist]quit
(17) 创建SSL VPN策略组pg1,对IP/Web/TCP接入方式进行ACL过滤。
[VSR-sslvpn-context-market]policy-group pg1
[VSR-sslvpn-context-market-policy-group-pg1]filter ip-tunnel acl 3000
[VSR-sslvpn-context-market-policy-group-pg1]filter web-access acl 3000
[VSR-sslvpn-context-market-policy-group-pg1]filter tcp-access acl 3000
[VSR-sslvpn-context-market-policy-group-pg1]ip-tunnel access-route ip-route-list iplist //应用路由策略
[VSR-sslvpn-context-market-policy-group-pg1]quit
(18) 引用地址池并配置缺省策略组。
[VSR-sslvpn-context-market]ip-tunnel address-pool ippool mask 255.255.255.0 //引用地址池ippool
[VSR-sslvpn-context-market]ip-tunnel ipv6 address-pool poo_v6 prefix 64 //引用地址池poo_v6
[VSR-sslvpn-context-market]default-policy-group pg1
(1) SSL VPN属性设置完成后,打开SSL VPN连接,如下图所示。
(2) 输入网关IPv6地址,单击刷新
图标;输入用户名和密码,并选择域market,如下图所示。
(3) 单击<连接>按钮,连接成功,如下图所示。
图19 连接成功
认证成功后,可以在EIA中的在线用户列表中查看认证成功的在线用户。
单击[自动化>网络准入>准入管理>在线用户>本地在线用户]菜单项,进入本地在线用户页面,可查看认证成功的在线用户,如下图所示。
图20 在线用户
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
