• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C EAD终端智能接入典型配置举例-5W106

07-H3C EIA 802.1X认证+证书认证典型配置举例

本章节下载 07-H3C EIA 802.1X认证+证书认证典型配置举例  (1.42 MB)

07-H3C EIA 802.1X认证+证书认证典型配置举例

H3C EIA 802.1X认证+证书认证

典型配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

资料版本:5W105-20260427

产品版本:EIA (E7303)

 

Copyright © 2026 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。



1 简介

在802.1X认证结合证书认证的网络接入模式中,用户终端在连接到网络时,会首先通过802.1X 协议与认证服务器进行身份验证,确保只有合法用户才能进入网络。同时,该模式引入客户端与服务器的双向证书验证机制,双方在建立连接过程中会相互检查并确认对方的数字证书,验证其颁发机构与证书有效性,从而进一步确保通信双方的身份真实可信。

这种双重认证方式不仅能够有效防止未经授权的设备接入,还能在认证阶段建立加密的安全通道,防止数据在传输过程中被窃取或篡改。


2 使用指南

2.1  使用场合

802.1X认证结合双向证书认证的接入方式,适用于对网络访问控制和数据传输安全有严格要求的场景。该方案广泛应用于企业、政府机构、金融行业、医疗卫生、科研院所等关键业务网络环境中,可有效防止未经授权的终端设备接入内部网络,降低潜在的安全风险。

在这些场合中,网络通常承载着大量敏感信息和核心业务系统,任何未经验证的访问都可能带来严重的安全威胁。通过802.1X协议实现用户身份认证,并结合客户端与服务器的证书双向验证,可以确保接入方的身份合法可信,同时在认证阶段建立加密通信通道,防止数据在传输过程中被窃取或篡改。

这种双重认证机制尤其适合:

·     跨部门/跨地域的安全接入:确保远程办公、分支机构与总部之间的安全通信。

·     关键业务系统访问:如金融交易平台、政府内部管理系统、医疗数据平台等。

·     高合规性要求的环境:满足行业法规、信息安全管理体系、等级保护等标准的安全接入要求。

2.2  配置前提

本案例采用EAP-TLS证书认证方式,即在客户端与服务器建立通信之前,双方需相互验证对方数字证书的合法性,以确保身份可信。

在对EIA服务器和iNode客户端进行配置前,需先向证书颁发机构(CA)申请并安装相应的证书。

·     EIA服务器:需申请并安装根证书和服务器证书。

·     iNode客户端:需申请并安装根证书和客户端证书。

有关证书申请、安装及配置的详细步骤,请参见《H3C EIA证书使用指导》。

2.3  注意事项

如果客户端证书不是在证书服务器上直接安装,而是通过导入/导出方式进行安装,则导出的客户端证书格式必须与服务器证书格式一致,以避免兼容性问题。

 


3 配置举例

3.1  组网需求

某公司在用户接入网络时采用802.1X协议进行身份认证,并在建立通信前,通过客户端与服务器的双向证书验证机制,确保双方身份的合法性与可信度。具体组网拓扑如图3-1所示。

图3-1 组网图

·     EIA服务器IP地址:192.168.7.196

·     接入设备IP地址:192.168.71.11

·     连接用户PC的端口:Ten-GigabitEthernet 1/0/39(该端口用于执行接入认证)

·     用户PC的IP地址:192.168.70.140

注:本案例涉及的各部分版本信息如下:

·     EIA版本为EIA (E7303),EIA服务器IP地址查看方式如下:

说明

在集群部署环境中,会涉及EIA服务器IP地址使用北向业务虚IP还是所在实际节点IP的问题,该地址请务必填写为北向业务虚IP。

 

a.     打开浏览器输入https://ip_address:8443/matrix/ui,打开matrix页面。其中,ip_address为北向业务虚IP或节点IP。

b.     选择“部署”页签,单击“集群”菜单项,切换至“集群参数”页签,进入集群参数页面。

c.     该页面中的北向业务虚IP地址即为EIA服务器的IP地址。

·     接入设备为H3C S7502E-XS Comware Software, Version 7.1.070, Release 7536P05

·     iNode版本为iNode PC 7.3 (E0558)

3.2  配置步骤

3.2.1  配置EIA服务器

配置EIA服务器时,需要配置以下功能:

·     接入设备

·     接入策略

·     接入服务

·     接入用户

·     导入证书

1. 增加接入设备

增加接入设备是为了建立EIA服务器和接入设备之间的联动关系。增加接入设备的方法如下:

(1)     单击[自动化>网络准入>准入管理>接入设备>接入设备>设备配置]菜单项,进入设备配置页面。

图3-2 设备配置页面

 

(2)     在接入设备列表中,单击<增加>按钮,进入增加接入设备页面。

图3-3 增加接入设备

 

(3)     增加接入设备。

接入设备的IP地址必须满足以下要求:

¡     如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致。

¡     如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。

单击“设备列表”区域中的<增加IPv4设备>按钮,弹出增加接入设备窗口,如图3-4所示。输入接入设备的IP地址,单击<确定>按钮,返回增加接入设备页面。

图3-4 输入接入设备的IP地址

 

(4)     配置公共参数

¡     认证端口:EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致,一般都采用默认端口1812。

¡     计费端口:EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致,一般都采用默认端口1813。

说明

目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。

 

¡     共享密钥/确认共享密钥:接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。

¡     业务类型:接入设备所承载的业务类型,目前仅支持LAN接入业务和设备管理业务。如果设备的业务类型为“不限”,那么设备可以兼容“LAN接入业务”和“设备管理业务”两种类型;如果选择了“设备管理业务”,那么只能应用这一种类型。

¡     接入设备类型:可以选择各个厂商的设备或标准协议类型(标准协议类型是指要求RADIUS客户端和RADIUS服务器按照标准RADIUS协议(RFC 2865/2866或更新)的规程和报文格式进行交互)。EIA预定义了多个厂商,包括H3C、3Com、华为、思科、锐捷、惠普其他、惠普A系列、微软和Juniper。管理员也可以到接入设备类型配置中自定义厂商。

本例以共享密钥/确认共享密钥“fine”为例进行介绍,其他参数保持默认即可。

图3-5 公共参数配置

 

(5)     单击<确定>按钮,增加接入设备完毕,可在接入设备列表中查看新增的接入设备。

图3-6 查看新增的接入设备

 

2. 增加接入策略

为了验证接入用户及EIA服务器的证书,创建接入策略时必须选择证书认证。

(1)     单击[自动化>网络准入>准入管理>接入服务>接入策略]菜单项,进入接入策略页面。

图3-7 接入策略

 

(2)     单击<增加>按钮,进入增加接入策略页面。

图3-8 增加接入策略

 

接入策略参数配置如下:

¡     接入策略名:CA策略。

¡     认证类型:选择“EAP-TLS”。

¡     EAP自协商:选择“不启用”。

其他参数保持默认即可,部分参数说明如下。

¡     接入时段:选择了某一接入时段策略后,使用此规则的用户只能在接入时段策略中定制的时间段内允许接入。

¡     分配IP地址:是否下发用户IP地址。

¡     上行、下行速率:根据设定的上下行速率来限制用户使用该规则上网时的上传、下载速率。

¡     优先级:它的高低确定了在网络拥塞时转发报文的优先顺序,此参数应从设备支持的优先级中选取,数值越小优先级越高。配置错误可能导致用户无法上线。

¡     认证类型/子类型:进行EAP认证时,RADIUS服务器优先下发给客户端的EAP类型。包括:EAP-MD5、EAP-TLS、EAP-TTLS和EAP-PEAP。当首选EAP类型为EAP-TTLS和EAP-PEAP时,还需要首选EAP-MSCHAPv2,EAP-MD5和EAP-GTC其中的一种子类型。

-     EAP-MD5:一种EAP认证方式,使用CHAP方式进行认证。

-     EAP-TLS:是一种基于证书的身份认证,它需要PKI的部署来管理证书。它推荐进行服务器和客户端之间双向认证,认证双方是用证书来标识自己的身份。在认证通过之后,TLS的认证双方会协商出一个共享密钥、SessionId以及整套的加密套件(加密,压缩和数据完整性校验),这样认证双方就建立了一个安全可靠的数据传输通道。EAP-TLS是客户端和AAA服务器借助接入设备的透传,通过TLS协议进行的身份认证。EAP-TLS可以利用SessionId进行快速重认证,简化认证流程,加快认证速度,还对较大的TLS报文进行了分片处理。

-     EAP-TTLS:是一种基于证书的身份认证,利用TLS认证在客户端和AAA服务器之间建立起一个安全通道,在安全通道内部再承载子类型。它具有保护用户标识和EAP认证的协商过程的作用。隧道内的子类型可以是EAP类型,也可以是非EAP类型。目前EIA支持TTLS下三个EAP的子类型(EAP-MSCHAPv2,EAP-MD5,EAP-GTC)。EIA在配置接入策略指定首选EAP类型为EAP-TTLS时,也必须首选一种EAP的子类型。在实际认证过程中,如果终端采用非EAP的子类型,如PAP,则终端可以忽略EIA的配置,使用终端配置的子类型进行认证。

-     EAP-PEAP:是一种基于证书的身份认证,利用TLS认证在客户端和AAA服务器之间建立起一个安全通道,在安全通道上再发起EAP认证。它具有保护用户标识,保护EAP认证的协商过程的作用。目前EIA仅支持EAP-MSCHAPv2、EAP-MD5和EAP-GTC认证类型。

-     本地生物认证:是指客户端通过读取用户设置的PIN码或者人脸识别特征值加密服务器下发的随机值,从而达到脱敏以及不允许用户信息在网络中传递的认证方式。

¡     EAP自协商:当客户端配置的EAP类型与EIA中配置的首选EAP类型不同时的处理方式。配置为“启用”时,EIA完全适应由客户端中配置的EAP认证方式,即无论客户端中配置什么类型的EAP认证,EIA都允许客户端继续认证。配置为“禁用”时,如果客户端配置的EAP类型与EIA中配置的首选EAP类型不同,则EIA拒绝其认证。

¡     单次最大在线时长(分钟):使用该策略的接入账号认证成功后可在线的最长时间,单位为分钟。该参数缺省值为空,表示不限制;最小值为1,最大值为1440。如果账号在线时间超过该参数值,EIA则强制该用户下线。

¡     下发地址池:输入地址池名称。EIA将地址池名称下发给接入设备,接入设备根据下发的地址池名称寻找设备上对应的地址池,然后给用户分配该地址池中的IP地址。只有下发设备上配置了对应的地址池,该功能才生效。

¡     下发User Profile:将用户配置文件名称下发给设备,实现基于用户的QoS功能。只有下发设备上已经配置完成了User Profile,User Profile才生效。

¡     下发VSI名称:对于采用VxLAN组网的场景,Leaf设备作为接入设备时,可以下发VSI名称,将用户划分到相应的VxLAN中。

¡     下发用户组:用户认证通过后向设备下发该用户所属的用户组,可以输入多个组,每个组以分号分隔。只与SSL VPN设备配合时,该属性才有效。

¡     下发ACL:设置向用户下发的访问控制列表。ACL列表可以从以下几种方式选择:

-     手工输入(IPv4)

-     手工输入(IPv6)

-     接入ACL列表:其值可以在[接入ACL策略管理]页面配置

-     动态ACL:动态ACL根据厂商有不同的规则

¡     离线检查时长:根据设置的离线检查时长检测接入用户是否在线,在该设置时间内若没有收到在线用户的心跳报文,将切断在线用户的连接。

¡     认证密码方式:

-     如果选择“账号密码”,服务器只校验账号密码。

-     如果选择“动态密码”,服务器只校验动态密码,动态密码由短信、电子邮件、企业微信、钉钉应用和政务微信五种方式发送给用户。

-     如果选择“账号密码+动态密码”,服务器同时校验账号密码和动态密码,动态密码由短信方式发送给用户。

-     如果选择“账号密码+异步短信验证码”,服务器先校验账号密码,账号密码校验通过后再去校验短信验证码,验证码由短信方式发送给用户。

由于动态密码只支持PAPEAP-MD5EAP-PEAP/EAP-MD5 EAP-PEAP/EAP-GTCS四种认证方式,所以选择"动态密码""账号密码+动态密码"时,认证方式只能配置为以上四种方式。

¡     认证绑定信息

-     绑定信息:目前接入策略管理与接入设备配合可对接入设备IP地址、端口、VLAN、QinQ双VLAN、接入设备序列号、用户IP地址、MAC地址、IMSI、IMEI、无线用户SSID和硬盘序列号进行绑定检查。客户端与策略服务器配合可对用户IP地址、MAC地址、计算机名称、计算机域、用户登录域和硬盘序列号进行绑定检查。其中MAC地址绑定和IMSI绑定只能同时选择一个。当账号用户申请具有绑定策略的服务时,可以设置相关的绑定信息,如果不设置,绑定时将采用自学习策略。所谓自学习就是绑定用户首次上网时所使用的相关参数,比如用户使用的服务采用自学习绑定用户IP地址,用户首次使用该业务上网时的IP地址为10.100.10.10,则今后用户只能通过使用这个IP地址才能通过认证。当同时勾选绑定用户IP地址和绑定用户IPv6地址时,只上报IP地址(IPv6地址),该地址校验正确即可通过认证,另外一个没有上报的不做绑定检查。

-     启用终端IP/MAC地址控制:该设置启用后,使用该策略的接入用户上线时,用户使用的IP/MAC地址属于允许接入的IP/MAC地址范围则可以成功上线,否则不能成功上线。接入IP/MAC地址的详细配置请参见终端IP/MAC地址池。

-     启用终端硬盘序列号控制:该设置启用后,使用该策略的接入用户上线时,如果该用户的硬盘序列号在允许接入硬盘序列号列表中,则用户成功上线,否则用户不能上线。特殊的,如果无法获取硬盘序列号则认证通过。只有在使用PC客户端认证时该功能才生效。

-     启用无线SSID控制:启用该功能后,使用该策略的接入用户采用无线方式上线时,如果无线SSID列表中的接入控制类型为“禁止接入”,则禁止终端通过无线SSID列表中的SSID接入网络;如果接入控制类型为“允许接入”,则只允许终端通过无线SSID列表中的SSID接入网络。该功能必须和PC客户端配合使用,准入服务器一旦将无线SSID池下发给客户端,客户端就会在终端上保存该配置。后续无论使用客户端还是使用Windows自带客户端,不管是否到准入服务器中认证,该配置都一直生效。

-     启用终端BIOS序列号控制:启用该参数后,使用该策略的接入用户上线时,如果该用户的BIOS序列号在允许接入BIOS序列号列表中,则用户认证成功,否则认证失败。特殊情况下,如果无法获取到BIOS序列号则允许用户认证通过。只有在使用PC客户端认证时该功能才生效。

-     启用第三方联动检查:启用该参数后,使用该接入策略的接入用户认证上线时,会将其所用的终端MAC发给第三方服务器校验该终端。第三方联动检查配置相关参数在“网络准入>准入管理>参数管理>第三方联动检查配置”处配置。

¡     用户客户端配置

-     仅限客户端:此功能用来对用户认证客户端进行限制。如果选中“仅限客户端”,则最终用户只能使用客户端进行认证上网,同时可以通过禁用代理服务器、IE代理、修改IP地址、修改MAC地址等功能来对用户进行限制。具体说明如下:

-     禁用Windows可溶解客户端:当操作系统为Windows时禁止使用可溶解客户端。

-     禁用Linux/MacOS可溶解客户端:当操作系统为Linux或MacOS时禁止使用可溶解客户端。

-     禁止开设代理服务器:禁止用户的PC机作为其他用户的代理服务器。

-     禁止IE设置代理:禁止用户在访问网络时为IE浏览器设置代理。

-     禁用多网卡:禁止用户同时启用多个网卡。禁用多网卡时可以配置例外网卡,多个网卡以“;”分隔,例外网卡的特性依赖于策略服务器开启。

-     禁止多操作系统:禁止用户的PC安装多操作系统。

-     禁止认证网卡配置多IP地址:禁止用户为同一块认证网卡配置多个IP地址。

-     禁止修改MAC地址:禁止用户的PC机修改MAC地址。

-     禁止出现相同的MAC地址:用户使用客户端进行认证时,如果客户端检测到网络中存在与本机相同的MAC地址,则认证失败。

-     禁用VMWare NAT服务:禁止用户使用VMware NAT Service服务。选中该项可以防止终端用户在虚拟机中将虚拟网卡设置为NAT模式,从而防止未进行认证的虚拟机与宿主机共享网络。

-     禁用VMWare USB服务:禁止用户使用VMWareHostd和VMUSBArbService服务。选中该项可以防止终端用户在虚拟机中挂载宿主机上的USB设备来逃避客户端对USB设备的监控。如果同时选中该项和禁用VMWare NAT服务,则可以防止宿主机共享虚拟机中无线网卡创建的无线热点,逃避客户端代理检测。

-     IP地址获取方式:此功能用来对用户IP地址获取方式进行限制。如果选中“必须静态设置”,则最终用户只能使用静态设置的IP地址认证上网;选中“必须动态获取”,则用户只允许使用DHCP服务获取IP地址上网。

-     违规处理模式:此功能是对不符合检查项的终端用户所采用的处理方式。下线模式,将终端用户下线;监控模式,则保持终端用户在线。此项配置仅针对禁止开设代理服务器、禁止IE设置代理、禁用多网卡、禁用多操作系统、禁止网卡配置多IP地址、禁止修改MAC地址、禁用VMWare NAT/USB服务、禁止在虚拟机中运行、禁止显示最近登录用户名、禁止网络设备运行和IP地址获取方式的检测起作用,针对这些项的违规会记录终端违规检查日志。客户端配置中的其他检测项违规均采用下线模式,针对这些项的违规不记录终端违规日志。

-     网络故障时自动重连:该功能启用后,如果用户掉线,客户端会自动重连。该功能启用后才可以配置“自动重连间隔”和“自动重连次数”参数。如果自动重连间隔配置为30,自动重连次数配置为3,则表示用户掉线后客户端会每隔30分钟重连1次,共重连3次。为了保证系统正常运行,配置自动重连间隔时需要考虑在线用户数,具体的配套关系请参见下表。

在线用户数

自动重连间隔

<=1000

5分钟

<=2000

10分钟

<=3000

15分钟

<=5000

25分钟

>5000

当在线用户大于5000时,自动重连对服务器性能影响很大,不建议使用自动重连功能

 

-     客户端最低版本:限制使用PC客户端认证的最低版本号,版本号低于该值的客户端将不能通过认证。该参数仅对客户端有效,只有勾选了“仅限客户端”时才可配置。

-     多网络接入限制:禁止用户PC机指定网络(无线/有线),或根据连接状态智能切换。该参数仅对客户端有效,只有勾选了“仅限客户端”时才可配置。

-     禁止显示最近登录用户名:禁止用户PC机登录界面默认显示最近的登录用户名。该参数仅对客户端有效,只有勾选了“仅限客户端”时才可配置。

-     禁止网络设备运行:禁止用户PC机使用MODEM、ISDN、PPPOE和VPN四类网络设备。该参数仅对客户端有效,只有勾选了“仅限客户端”时才可配置。

-     客户端自动认证天数:这个参数可以设置为一定的时间间隔,用于决定用户在系统中的认证状态过多久后需要重新进行认证。

(3)     单击<确定>按钮,完成接入策略的配置。

3. 增加接入服务

接入服务是对用户进行认证授权的各种策略的集合,服务为用户提供了完善的接入策略,用户申请了特定的服务后,即可按照服务设定的属性访问网络。

(1)     单击[自动化>网络准入>准入管理>接入服务>接入服务]菜单项,进入接入服务页面。单击接入服务页面中的<增加>按钮,增加接入服务。

图3-9 增加接入服务

 

接入服务参数配置如下:

¡     服务名:CA服务。

¡     服务后缀:629。

¡     缺省接入策略:选择“CA策略”。

其他参数保持默认即可,部分参数说明如下。

¡     状态:服务的状态决定了该服务是否可被申请,包括可申请、不可申请、无效三种状态。

¡     服务后缀:用于在用户认证时标识用户申请的不同服务。如果用户申请的服务中设置了服务后缀,则用户上网时必须以“用户名@服务后缀”作为登录名进行认证。服务后缀必须与接入设备中的域名一致,且接入设备必须上传域名,才能使用户正常认证。服务后缀与认证连接的用户名、设备的Domain和设备Radius scheme中的命令这几个要素密切相关,具体的搭配关系请参见下表。

表3-1 服务后缀

认证连接用户名

设备用于认证的Domain

设备Radius scheme中的命令

准入服务器中服务的后缀

X@Y

Y

user-name-format with-domain

Y

user-name-format without-domain

无后缀

X

[Default Domain]
设备上指定的缺省域

user-name-format with-domain

[Default Domain]

user-name-format without-domain

无后缀

 

¡     服务描述:针对该服务的简单描述,以方便操作员的日常维护。

¡     单日累计在线最长时间(分钟):每天允许账号使用该服务接入网络的总时长,达到该时长后,账号将被强制下线,且当日不能再次接入。该参数单位是分钟,只支持输入整数,最小值是0,表示不限制每天在线时长,最大值是1440。

¡     缺省安全策略:不受接入位置分组限制的用户上网时,会根据该安全策略指定的安全方案对用户的上网的计算机进行安全检查和监控,从而实现网络的自动防御。该选项只有安装了EAD终端合规管理后才会出现。

¡     缺省内网外连策略:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省内网外连策略的控制。

¡     缺省接入策略:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省接入策略的控制。

¡     缺省私有属性下发策略:不受接入位置分组限制的用户上网时,EIA会根据本参数指定的策略将私有属性下发到此用户连接的接入设备上。

¡     单账号最大绑定终端数:用户在该接入场景下可以绑定的最大终端数。当用户在该接入场景下绑定的终端数目超过此处设定的值时,用户将无法上线。取值范围为:[0,999],值为0时表示不限制。

¡     缺省单账号最大绑定终端数:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单账号最大绑定终端数的控制。单账号最大绑定终端数的检查顺序如下:

-     匹配的接入场景:EIA检查该场景中用户已经绑定的终端数量是否已达到数量限制,如果已达到数量限制,则拒绝用户认证;

-     所有服务中包含的场景:检查用户申请的所有服务中(包括服务中的所有场景)已绑定的终端数量,如果用户绑定的所有终端数量已达到终端管理参数中定义的“单账号最大绑定终端数”数量限制,则EIA拒绝用户认证,否则允许用户继续认证。

¡     单账号在线数量限制:用户在该接入场景下被允许在线的最大终端数。当用户在该接入场景下在线的终端数目超过此处设定的值时,用户将无法上线。取值范围为:[0,999],值为0时表示不限制。

¡     缺省单账号在线数量限制:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单账号在线数量限制的控制。

¡     可申请:只有选中此项,用户在开户或修改账户信息时才可以申请该服务。当启用按用户分组申请服务时,如果该服务已经指定给用户分组,那么无论该服务是否为可申请状态,属于该用户分组的接入用户都会申请该服务。

¡     业务分组:用于分权管理,使特定的人只能管理特性的业务,既职责分明,也不会互相越权。配置该服务所属的业务分组,用于该服务的分权管理。只有拥有该业务分组权限的管理员/维护员才能配置该业务分组。

(2)     单击<确定>按钮完成接入服务的配置。

4. 增加接入用户

如果在[参数管理/系统参数]页面中启用了“检查账号名与证书中的属性”参数,且勾选了“主题-CN、主题-Email、主题备用名-DNS、主题备用名-UPN”中的一项或几项属性,则增加接入用户时,账号名至少要与选中的一项属性一致,否则认证失败;如果系统参数中没有启用“检查账号名与证书中的属性”参数,则没有该限制。本案例没有启用“检查账号名与证书中的属性”参数。

(1)     单击[自动化>网络准入>准入管理>接入用户>接入用户]菜单项,进入接入用户页面。

图3-10 接入用户

 

(2)     单击<增加>按钮,进入增加接入用户页面。

图3-11 增加接入用户页面

 

(3)     配置接入信息和接入服务:

¡     账号名:输入用于认证的账号名zana,不需选择用户类型。

¡     密码/密码确认:输入两次相同的密码。

¡     接入服务:选择“CA服务”。

其他参数保持默认即可,部分参数说明如下。

¡     预开户用户:在新增接入用户时,可设置该用户为预开户用户。预开户用户即使申请了服务,费用足够,也不能够上线,不会产生任何费用信息。

¡     用户类型-缺省BYOD用户:新增接入用户时,可设置该用户为缺省BYOD用户(系统中尚不存在缺省BYOD用户时,该选项才可见)。缺省BYOD用户的账号名固定为“byodanonymous”,且账号密码不用再设置。MAC认证方式下,如果相应MAC地址没有和任何账号名绑定,则使用缺省BYOD用户上线。用户上线后可以访问本系统注册页面注册一个访客账号或者使用一个已知账号与MAC地址绑定。MAC地址与账号绑定成功后,系统会强制用户下线,重新认证时就会使用该MAC地址新绑定的账号名。

¡     用户类型-MAC地址认证用户:新增接入用户时,勾选MAC地址认证用户选项,隐藏不需要的必填项(包括密码、密码确认、允许用户修改密码、启用密码控制策略、下次登录修改密码、在线数量限制、账号类型、终端绑定等信息)。

¡     用户类型-快速认证用户:在新增接入用户时,可设置该用户为快速认证用户(系统中尚不存在快速认证用户时,该选项才可见)。选择为快速认证用户后,账号名固定为“anonymous”,且账号密码不用再设置。快速认证用户占用的License数与其在线数相同。

¡     用户类型-主机名用户:新增接入用户时,可以增加主机名用户(系统中尚不存在主机名用户时,该选项才可见)。主机名用户的账号名固定为computer,接入网络的计算机都可以使用主机名用户直接进行认证。认证通过后,计算机接入网络,同时计算机名称将被记录为主机名用户的登录名,以示区别。主机名用户只能使用一个接入服务,因此即使启用了按用户分组申请服务,增加主机名用户时仍然必须手动选择服务。

¡     用户类型-设备状态探测用户:新增接入用户时,可设置该用户为设备状态探测用户(系统中尚不存在设备状态探测用户时,该选项才可见)。设备状态探测用户的账号名固定为“detector”,且账号密码不用再设置。该账号用于探测设备状态,不做任何认证操作。该用户类型需要在接入参数中“启用设备状态探测功能”开启后可见。

¡     生效时间:账号在指定的时间自动生效。如果不设置,表示该账号开户后立即生效。

¡     失效时间:账号在指定的时间自动失效。如果不设置,表示该账号不会自动失效。失效用户无法登录EIA(包括用户自助服务平台)。

¡     最大闲置时长:用户在线后连续闲置的最大时长,超过这个值后接入设备会强制该用户下线。如果不设置,表示用户不会因闲置而下线。

¡     在线数量限制:允许同时使用该账号上线的用户数。如果不设置,表示同时使用该账号上线的用户数不受限制。对于快速认证用户,此参数必须设置为1-255之间的整数。

¡     登录提示信息:用户使用该账号通过认证后在登录窗口中显示的提示信息。可以根据不同场景设置个性化的提示信息。

(4)     全部参数设置如下图所示。

图3-12 增加接入用户

 

(5)     单击<确定>按钮,完成接入用户的配置。

5. 证书配置

申请根证书和服务器证书的详细操作请参见《H3C EIA证书使用指导》。

(1)     单击[自动化>网络准入>准入管理>参数管理]菜单项,进入参数管理页面。然后单击证书管理下方“认证证书”菜单,进入证书配置页面,如下图所示。

图3-13 证书配置

 

(2)     在“根证书配置”菜单下,单击<导入>按钮,选择EAP根证书,进入根证书配置页面。

(3)     单击<上传文件>按钮,选择要导入的根证书,如下图所示。

图3-14 选择文件

 

(4)     单击<下一步>按钮,进入CRL配置页面,如下图所示。

图3-15 CRL配置

 

(5)     这里不进行CRL的配置,单击<确定>按钮,完成根证书的配置,如下图所示。

图3-16 根证书配置完成

 

(6)     在“非根证书配置”菜单下,单击<导入>按钮,选择EAP服务器证书,进入配置服务器证书页面。

图3-17 配置服务器证书页面

 

(7)     勾选“服务器证书和私钥在同一文件”,单击<上传文件>按钮,选择导出的服务器证书文件。

(8)     单击<下一步>按钮,输入服务器私钥密码,私钥密码为导出服务器证书时设置的。(如果没有私钥密码,请保持为空)。

(9)     单击<确定>按钮,服务器证书配置完成,如下图所示。

图3-18 服务器证书配置完成

 

 

(10)     单击<已导入证书校验>按钮,校验根证书和服务器证书的合法性,如下图所示。

图3-19 校验已导入证书

 

3.2.2  配置接入设备

1. RADIUS方案配置

<SWITCH>system-view

//配置RADIUS方案capolicy。

[SWITCH]radius scheme capolicy

//配置RADIUS认证服务器IP,端口(端口默认为1812,与EIA配置的认证端口保持一致)。

[SWITCH-radius-capolicy]primary authentication 192.168.7.196 1812

//配置RADIUS计费服务器IP,端口(端口默认为1813,与EIA配置的计费端口保持一致)。

[SWITCH-radius-capolicy]primary accounting 192.168.7.196 1813

//配置RADIUS认证和计费密钥,与EIA配置的共享密钥一致。

[SWITCH-radius-capolicy]key authentication simple fine

[SWITCH-radius-capolicy]key accounting simple fine

//指定设备发送RADIUS报文使用的源地址。

[SWITCH-radius-capolicy] nas-ip 192.168.71.11

//配置用户名格式,with-domain表示用户名后携带域名。

[SWITCH-radius-capolicy]user-name-format with-domain

[SWITCH-radius-capolicy]quit

2. Domain配置

//配置Domain 629。

[SWITCH]domain 629

//指定802.1X 关联的RADIUS方案。

[SWITCH-isp-629]authentication lan-access radius-scheme capolicy

[SWITCH-isp-629]authorization lan-access  radius-scheme capolicy

[SWITCH-isp-629]accounting lan-access radius-scheme capolicy

[SWITCH-isp-629]quit

3. 802.1X配置

//必须使能全局和接口的802.1X功能后,接口的802.1X功能才生效。

[SWITCH]dot1x

[SWITCH]interface GigabitEthernet1/0/39

[SWITCH-GigabitEthernet1/0/39]dot1x

[SWITCH-GigabitEthernet1/0/39]quit

//因为是证书认证,所以必须选择EAP认证方式。

[SWITCH]dot1x authentication-method eap

3.3  客户端配置

3.3.1  安装根证书

客户端根证书的申请和安装请参见《H3C EIA证书使用指导》。

3.3.2  申请并安装客户端证书

客户端证书的申请和安装请参见《H3C EIA证书使用指导》。

3.3.3  iNode PC客户端配置

1. 证书认证配置

(1)     打开iNode客户端,单击“802.1X连接”,如下图所示。

图3-20 iNode客户端

 

(2)     单击“更多”图标,选择“属性”菜单项,弹出属性设置窗口,如下图所示。

图3-21 属性设置

 

 

(3)     单击“高级”页签,配置高级认证,如下图所示。

图3-22 高级认证配置

 

 

(4)     勾选“启用高级认证”前的复选框,如下图所示。

图3-23 启用高级认证

 

 

(5)     配置证书认证,如下图所示。

a.     在下拉框中选择“证书认证”。

b.     证书类型选择“EAP-TLS”。

c.     单击<选择客户端证书…>按钮,在弹出的窗口中选择用于认证的客户端证书,如图3-24所示;单击<确定>按钮,证书选择完成。

d.     勾选“验证服务器证书”前的复选框。

图3-24 选择证书

 

图3-25 证书认证配置

 

 

(6)     单击<确定>按钮,证书认证配置完成。

2. iNode客户端认证

(1)     双击“我的802.1X连接”,弹出连接信息确认窗口,如下图所示。

图3-26 连接确认

(2)     输入用户名“zana@629”,单击<连接>按钮,iNode智能客户端开始请求身份验证,身份验证完成后,用户成功接入网络,如下图所示。

图3-27 身份验证成功

3.3.4  在EIA中查看在线用户

认证成功后,可以在EIA的在线用户列表中查看认证成功的在线用户。

单击[自动化>网络准入>准入管理>在线用户>本地在线用户]菜单项,进入本地在线用户页面,可查看认证成功的在线用户,在本地在线用户列表中可以看到zana@629在线。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们