11-認證
本章節下載: 11-認證 (1.33 MB)
目 錄
本章節主要描述了802.1X的相關概念及配置步驟。由於通過配置端口安全特性也可以為用戶提供802.1X認證服務,且還可以提供802.1X和MAC地址認證的擴展和組合應用,因此在需要靈活使用以上兩種認證方式的組網環境下,推薦使用端口安全特性。無特殊組網要求的情況下,無線環境中通常使用端口安全特性。而在僅需要802.1X特性來完成接入控製的組網環境下,推薦單獨使用802.1X特性。關於端口安全特性的詳細介紹和具體配置請參見“安全配置指導”中的“端口安全”。
最初,IEEE 802 LAN/WAN委員會為解決無線局域網網絡安全問題,提出了802.1X協議。後來,802.1X協議作為局域網端口的一個普通接入控製機製在以太網中被廣泛應用,主要解決以太網內認證和安全方麵的問題。
802.1X協議是一種基於端口的網絡接入控製協議,即在局域網接入設備的端口上對所接入的用戶設備進行認證,以便控製用戶設備對網絡資源的訪問。
圖1-1 802.1X體係結構
如上圖所示,802.1X係統中包括以下三個實體:
· 客戶端(Client):是請求接入局域網的用戶終端設備,由局域網中的設備端對其進行認證。客戶端上必須安裝支持802.1X認證的客戶端軟件。
· 設備端(Device):是局域網中控製客戶端接入的網絡設備,位於客戶端和認證服務器之間,為客戶端提供接入局域網的端口(物理端口或邏輯端口),並通過與服務器的交互來對所連接的客戶端進行認證。
· 認證服務器(Authenticaton server):用於對客戶端進行認證、授權和計費,通常為RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)服務器。認證服務器根據設備端發送來的客戶端認證信息來驗證客戶端的合法性,並將驗證結果通知給設備端,由設備端決定是否允許客戶端接入。在一些規模較小的網絡環境中,認證服務器的角色也可以由設備端來代替,即由設備端對客戶端進行本地認證、授權和計費。
關於802.1X協議的詳細介紹請參見“安全配置指導”中的“802.1X”。
802.1X需要AAA的配合才能實現對用戶的身份認證。因此,需要首先完成以下配置任務:
· 配置802.1X用戶所屬的ISP認證域及及其使用的AAA方案,即本地認證方案或RADIUS方案。詳細配置請參見“AAA”和“RADIUS”。
· 如果需要通過RADIUS服務器進行認證,則應該在RADIUS服務器上配置相應的用戶名和密碼。
· 如果需要本地認證,則應該在設備上手動添加認證的用戶名和密碼。配置本地認證時,用戶俄使用的服務類型必須為LAN-Access。詳細配置請參見“用戶”。
802.1X特性主要用於有線口的配置,無線口隻支持配置端口安全,且默認情況下端口安全功能開啟。
表1-1 802.1X配置步驟
步驟 |
配置任務 |
說明 |
1 |
必選 在全局啟用802.1X認證,配置認證方法和高級參數 缺省情況下,全局802.1X認證處於關閉狀態 |
|
2 |
必選 在指定的端口上啟用802.1X認證,配置端口的802.1X參數 缺省情況下,端口802.1X認證處於關閉狀態 |
(1) 在導航欄中選擇“認證 > 802.1X”,進入如下圖所示的頁麵。在“802.1X認證設置”中可以顯示和配置全局的802.1X特性。
(2) 選中“啟用802.1X認證”前的複選框。
(3) 設置802.1X係統的認證方法,包括:CHAP、PAP、EAP。
802.1X係統采用的認證方法與設備對於EAP報文的處理機製有關,具體如下:
· EAP中繼方式下,設備端對客戶端發送的EAP報文進行中繼處理,設備上需指定認證方法為“EAP”來啟用EAP中繼方式,並支持客戶端與RADIUS服務器之間所有類型的EAP認證方法。
· EAP終結方式下,設備端對客戶端發送的EAP報文進行本地終結,設備上需指定認證方法為“CHAP”或“PAP”來啟用EAP終結方式,並支持客戶端與RADIUS服務器之間采用CHAP或PAP類型的認證方法。
(4) 單擊“高級設置”前的擴展按鈕,展開高級參數的配置內容,如下圖所示。
圖1-3 高級設置
(5) 根據需要修改高級參數的配置,詳細配置如下表所示。
(6) 單擊<確定>按鈕完成操作。
表1-2 全局802.1X高級參數的詳細配置
配置項 |
說明 |
|||
靜默功能 |
設置是否啟用靜默定時器功能以及設置靜默定時器的值 當802.1X用戶認證失敗以後,設備需要靜默一段時間(通過 “靜默時長”設定)。靜默期間,設備不對該用戶進行802.1X認證的相關處理 |
|
||
靜默時長 |
|
|||
報文重傳次數 |
設置設備向接入用戶發送認證請求報文的最大次數 在規定的時間裏(通過 “重傳間隔”或者“客戶端超時時間”設定)沒有收到用戶的響應,則設備將根據報文重傳次數決定是否再次向用戶發送該認證請求報文 報文重傳次數設置為1時表示隻允許向用戶發送一次認證請求報文,如果沒有收到響應,不再重複發送;設置為2時表示在首次向用戶發送請求又沒有收到響應後,將重複發送1次;……依次類推 |
|
||
重傳間隔 |
設置重傳定時器的值 重傳定時器定義了兩個時間間隔: · 其一,當設備端向客戶端發送EAP-Request/Identity請求報文後,設備端啟動該定時器,若在該定時器設置的時間間隔內,設備端沒有收到客戶端的響應,則設備端將重發認證請求報文 · 其二,為了兼容不主動發送EAPOL-Start連接請求報文的客戶端,設備會定期組播EAP-Request/Identity請求報文來檢測客戶端。重傳間隔定義了該組播報文的發送時間間隔 |
|
||
用戶握手周期 |
設置用戶握手定時器的值 當端口上啟用了用戶握手功能(具體配置請參見“1.4 配置端口的802.1X特性”)時,設備端會在用戶認證成功後啟動用戶握手定時器,並以此定時器的值為周期發送握手請求報文,以定期檢測用戶的在線情況。如果配置報文重傳次數為N,則當設備端連續N次沒有收到客戶端的響應報文,就認為用戶已經下線 |
|
||
重認證周期 |
設置周期性重認證定時器的值 當端口上啟用了周期性重認證功能(具體配置請參見“1.4 配置端口的802.1X特性”)時,設備端會在用戶認證成功後啟動周期性重認證定時器,用於周期性的對在線用戶發起重認證,以便定時更新服務器對用戶的授權信息 |
|
||
客戶端超時時間 |
設置客戶端超時定時器的值 當設備端向客戶端發送了EAP-Request/MD5 Challenge請求報文後,設備端啟動此定時器,若在該定時器設置的時長內,設備端沒有收到客戶端的響應,設備端將重發該報文 |
一般情況下,無需改變客戶端超時定時器和服務器超時定時器的值,除非在一些特殊或惡劣的網絡環境下,才需要通過命令來調節。例如,用戶網絡狀況比較差的情況下,可以適當地將客戶端超時定時器值調大一些;還可以通過調節服務器超時定時器的值來適應不同認證服務器的性能差異 |
|
|
服務器超時時間 |
設置服務器超時定時器的值 當設備端向認證服務器發送了RADIUS Access-Request請求報文後,設備端啟動服務器超時定時器,若在該定時器設置的時長內,設備端沒有收到認證服務器的響應,設備端將重發認證請求報文 |
|
||
(1) 在導航欄中選擇“認證 > 802.1X”,進入如圖1-2所示的頁麵。
(2) 在“802.1X認證啟用端口”中單擊<新建>按鈕,進入新啟用端口802.1X認證的配置頁麵,如下圖所示。
(3) 配置端口802.1X特性,詳細配置如下表所示。
(4) 單擊<確定>按鈕完成操作。
表1-3 端口802.1X特性的詳細配置
配置項 |
說明 |
端口 |
設置要啟用802.1X認證的端口,隻能選擇未啟用802.1X認證的端口 端口啟動802.1X與端口加入聚合組互斥 |
端口控製方式 |
設置802.1X在端口上進行接入控製的方式,可選的方式及其含義說明如下: · MAC Based:表示采用基於MAC的接入控製方式,此時端口下的所有接入用戶均需要單獨認證,當某個用戶下線時,也隻有該用戶無法使用網絡 · Port Based:表示采用基於端口的接入控製方式,此時端口下的第一個用戶認證成功後,其他接入用戶無須認證就可使用網絡資源,但是當第一個用戶下線後,其他用戶也會被拒絕使用網絡 若端口上同時啟用了802.1X和Portal認證功能,則端口控製方式必須為MAC Based |
控製模式 |
設置802.1X在端口上進行接入控製的模式,可選的模式及其含義說明如下: · Auto:自動識別模式。表示端口初始狀態為非授權狀態,僅允許EAPOL報文收發,不允許用戶訪問網絡資源;如果認證通過,則端口切換到授權狀態,允許用戶訪問網絡資源。這也是最常見的情況 · Force-Authorized:強製授權模式。表示端口始終處於授權狀態,允許用戶不經認證即可訪問網絡資源 · Force-Unauthorized:強製非授權模式。表示端口始終處於非授權狀態,不允許用戶進行認證,設備端不為通過該端口接入的客戶端提供認證服務 |
最大用戶數 |
設置802.1X在端口上可容納接入用戶數量的最大值 |
啟用用戶握手功能 |
設置是否在端口上啟用用戶握手功能 啟用用戶握手功能後,設備會定期(用戶握手周期)向通過802.1X認證的在線用戶發送握手報文,以定期檢測用戶的在線情況。如果設備連續多次(報文重傳次數)沒有收到客戶端的響應報文,則會將用戶置為下線狀態。用戶握手周期和報文重傳次數的具體配置請參見“1.3 配置全局的802.1X特性” 部分802.1X客戶端不支持與設備進行握手報文的交互,因此建議在這種情況下,關閉設備的用戶握手功能,避免該類型的在線用戶因沒有回應握手報文而被強製下線 |
啟用周期性重認證 |
設置是否在端口上啟用周期性重認證功能 啟用周期性重認證功能後,設備會根據指定的重認證周期(具體配置請參見“1.3 配置全局的802.1X特性”)定期向該端口在線802.1X用戶發起重認證,以檢測用戶連接狀態的變化、確保用戶的正常在線,並及時更新服務器下發的授權屬性(例如:ACL、VLAN) · 認證服務器可以通過下發RADIUS屬性(session-timeout)來指定用戶的重認證周期,且該功能不需要設備上開啟周期性重認證功能來配合,屬性下發成功即可生效。802.1X用戶認證通過後,如果認證服務器對該用戶下發了重認證周期,則設備上配置的周期性重認證時間無效,服務器下發的重認證周期生效。認證服務器下發重認證時間的具體配置以及是否可以下發重認證周期的情況與服務器類型有關,請參考具體的認證服務器實現 · 在用戶名不改變的情況下,端口允許重認證前後服務器向該用戶下發不同內容的VLAN;但是,若重認證前端口下發了VLAN,而重認證後未下發VLAN,則重認證失敗,用戶下線,反之同樣處理 |
Guest VLAN |
設置端口的Guest VLAN。配置Guest VLAN之前,需要進行以下配置準備: 創建需要配置為Guest VLAN的VLAN · 在接入控製方式為Por Based的端口上,保證802.1X的組播觸發功能處於開啟狀態(缺省情況下,此功能處於開啟狀態) · 在接入控製方式為MAC Based的端口上,保證端口類型為Hybrid,且端口上必須啟用MAC VLAN功能 · 對於Hybrid端口,不建議將指定的Guest VLAN修改為攜帶Tag的方式 · 如果用戶端設備發出的是攜帶Tag的數據流,且接入端口上啟用了802.1X認證並配置了Guest VLAN,為保證各種功能的正常使用,請為端口的缺省VLAN和802.1X的Guest VLAN分配不同的VLAN ID · 在接入控製方式為MAC Based的端口上同時配置了802.1X認證的Guest VLAN與MAC地址認證的Guest VLAN時,則僅802.1X認證的Guest VLAN有效,即用戶觸發MAC地址認證且失敗後,不會加入MAC地址認證的Guest VLAN,若之後未觸發或者未成功通過802.1X認證,則會加入802.1X認證的Guest VLAN中(若端口上還配置了802.1X認證的認證失敗VLAN,則用戶認證失敗後加入認證失敗VLAN) · 在接入控製方式為MAC Based的端口上生成的Guest VLAN表項會覆蓋已生成的阻塞MAC表項,但如果端口因檢測到非法報文而關閉,則802.1X的Guest VLAN功能無法生效 |
啟用MAC VLAN功能 |
設置是否啟用端口的MAC VLAN功能 當要在接入控製方式為MAC-based的端口上配置Guest VLAN時,必須啟用端口的MAC VLAN功能 隻有Hybird口支持此功能 |
認證失敗VLAN |
設置認證失敗的用戶被授權訪問的VLAN。配置認證失敗VLAN之前,需要進行以下配置準備: · 創建需要配置為認證失敗VLAN的VLAN · 在接入控製方式為Por Based的端口上,保證802.1X的組播觸發功能處於開啟狀態(缺省情況下,此功能處於開啟狀態) · 在接入控製方式為MAC Based的端口上,保證端口類型為Hybrid,且端口上必須啟用MAC VLAN功能 · 對於Hybrid端口,不建議將指定的認證失敗VLAN修改為攜帶Tag的方式 · 如果用戶端設備發出的是攜帶Tag的數據流,且接入端口上啟用了802.1X認證並配置了認證失敗VLAN,為保證各種功能的正常使用,請為端口的缺省VLAN和802.1X的認證失敗VLAN分配不同的VLAN ID · 在接入控製方式為MAC-based的端口上同時配置了802.1X認證的認證失敗VLAN與MAC地址認證的Guest VLAN時,若用戶首先進行MAC地址認證且失敗,則加入MAC地址認證的Guest VLAN中,之後若該用戶再進行802.1X認證且失敗,則會離開MAC地址認證的Guest VLAN而加入802.1X認證的認證失敗VLAN中;若用戶首先進行802.1X認證且失敗,之後除非成功通過MAC地址認證或者802.1X認證,否則會一直位於802.1X認證的認證失敗VLAN中 · 在接入控製方式為MAC-based的端口上生成的認證失敗VLAN表項會覆蓋已生成的阻塞MAC表項,但如果端口因檢測到非法報文而關閉,則802.1X的認證失敗VLAN功能無法生效 |
Portal在英語中是入口的意思。Portal認證通常也稱為Web認證,一般將Portal認證網站稱為門戶網站。
未認證用戶上網時,設備強製用戶登錄到特定站點,用戶可以免費訪問其中的服務。當用戶需要使用互聯網中的其它信息時,必須在門戶網站進行認證,隻有認證通過後才可以使用互聯網資源。
用戶可以主動訪問已知的Portal認證網站,輸入用戶名和密碼進行認證,這種開始Portal認證的方式稱作主動認證。反之,如果用戶試圖通過HTTP訪問其他外網,將被強製訪問Portal認證網站,從而開始Portal認證過程,這種方式稱作強製認證。
Portal業務可以為運營商提供方便的管理功能,門戶網站可以開展廣告、社區服務、個性化的業務等,使寬帶運營商、設備提供商和內容服務提供商形成一個產業生態係統。
圖2-1 Portal係統組成示意圖
Portal的典型組網方式如上圖所示,它由五個基本要素組成:認證客戶端、接入設備、Portal服務器、認證/計費服務器和安全策略服務器。五個基本要素的交互過程為:
(1) 未認證用戶訪問網絡時,在Web瀏覽器地址欄中輸入一個互聯網的地址,那麼此HTTP請求在經過接入設備時會被重定向到Portal服務器的Web認證主頁上;若需要使用Portal的擴展認證功能,則用戶必須使用Portal客戶端。
(2) 用戶在認證主頁/認證對話框中輸入認證信息後提交,Portal服務器會將用戶的認證信息傳遞給接入設備。
(3) 然後接入設備再與認證/計費服務器通信進行認證和計費。
(4) 認證通過後,如果未對用戶采用安全策略,則接入設備會打開用戶與互聯網的通路,允許用戶訪問互聯網;如果對用戶采用了安全策略,則客戶端、接入設備與安全策略服務器交互,對用戶的安全檢測通過之後,安全策略服務器根據用戶的安全性授權用戶訪問非受限資源。
· 無線設備的Web頁麵隻支持在三層接口上開啟Portal認證。
· 關於Portal的詳細介紹請參見“安全配置指導”中的“Portal”。
Portal提供了一個用戶身份認證和安全認證的實現方案,但是僅僅依靠Portal不足以實現該方案。接入設備的管理者需選擇使用RADIUS認證方法,以配合Portal完成用戶的身份認證。Portal認證的配置前提:
· 應用Portal的接口已配置或者獲取了合法的IP地址。
· Portal服務器、RADIUS服務器已安裝並配置成功。本地Portal認證無需單獨安裝Portal服務器。
· 若采用二次地址分配認證方式,接入設備需啟動DHCP中繼的安全地址匹配檢查功能,另外需要安裝並配置好DHCP服務器。
· 如果通過遠端RADIUS服務器進行認證,則需要在RADIUS服務器上配置相應的用戶名和密碼,然後在接入設備端進行RADIUS客戶端的相關設置。RADIUS客戶端的具體配置請參見“RADIUS”。
· 如果需要支持Portal的擴展功能,需要安裝並配置CAMS EAD/iMC EAD。同時保證在接入設備上的ACL配置和安全策略服務器上配置的受限資源ACL號、非受限資源ACL號對應。接入設備上的安全策略服務器配置請參見“RADIUS”。
表2-1 Portal認證配置步驟
步驟 |
配置任務 |
說明 |
1 |
必選 配置Portal服務器,並在三層接口上應用Portal服務器,以及配置Portal認證的相關參數 缺省情況下,不存在任何Portal服務器 |
|
2 |
可選 配置認證成功後自動跳轉的目的URL和等待時長,配置Web代理服務器端口 |
|
3 |
可選 配置Portal的免認證策略,指定源過濾條件或目的過濾條件 通過配置免認證策略可以讓特定的用戶訪問外網特定資源,這是由免認證策略中配置的源信息以及目的信息決定的。符合免認證策略的報文不會觸發Portal認證,而是直接訪問網絡資源 缺省情況下,不存在任何免認證策略 |
(1) 在導航欄中選擇“認證 > Portal認證”,默認進入“配置Portal服務器”頁簽的頁麵,如下圖所示。
上圖所示的頁麵中,三層接口上應用Portal服務有以下兩種狀態:
· 運行:表示接口上的Portal認證已生效。
· 已啟動:表示接口上的Portal認證已啟用,但未生效。
(2) 單擊<新建>按鈕,進入應用Portal服務的配置頁麵,如下圖所示。
(3) 配置應用Portal服務的信息,詳細配置如下表所示。
(4) 單擊<確定>按鈕完成操作。
表2-2 Portal服務的詳細配置
配置項 |
說明 |
接口名稱 |
設置要應用Portal認證的三層接口 |
Portal服務器 |
設置要在接口上應用的Portal服務器 · 使用已有服務器:可以在下拉框中選擇一個已經存在的Portal服務器 · 新建服務器:選擇此項時,頁麵下方顯示如圖2-4所示的內容,可以新建一個遠程Portal服務器,並應用到該接口,詳細配置如表2-3所示 · 使能本地服務:選擇此項時,頁麵下方顯示如圖2-5所示的內容,可以配置本地Portal服務的相關參數,詳細配置如表2-4所示 |
認證方式 |
設置Portal認證的方式 · Direct:直接認證方式 · Layer3:可跨三層認證方式 · ReDHCP:二次地址分配認證方式 · 對於跨三層設備支持Portal認證的應用隻能配置Layer3方式,但Layer3方式不要求接入設備和Portal用戶之間必需跨越三層設備 · 在ReDHCP方式下,允許用戶在未通過Portal認證時以公網地址向外發送報文,但相應的回應報文則受限製 · 使用本地Portal服務器時,ReDHCP方式可以配置但不生效 |
認證網段IP地址 |
當認證方式選擇“Layer3”時,設置認證網段的IP地址和掩碼 通過配置認證網段實現隻允許源IP地址在認證網段範圍內的用戶HTTP報文才能觸發Portal強製認證;如果未認證用戶的HTTP報文既不滿足免認證策略又不在認證網段內,則將被接入設備丟棄 Direct方式的認證網段為任意源IP,ReDHCP方式的認證網段為由接口私網IP決定的私網網段 |
認證網段掩碼 |
|
認證域 |
設置三層Portal用戶使用的認證域 通過在三層接口上配置Portal用戶使用的認證域,使得所有從該接口接入的Portal用戶被強製使用指定的認證域來進行認證、授權和計費。即使Portal用戶輸入的用戶名中攜帶的域名相同,接入設備的管理員也可以通過該配置對不同接口指定不同的認證域,從而增加了管理員部署Portal接入策略的靈活性 可選的認證域在“認證 > AAA”中配置,詳細配置請參見“AAA” |
表2-3 新建Portal服務器的詳細配置
配置項 |
說明 |
服務器名稱 |
設置遠程Portal服務器的名稱 |
服務器IP地址 |
設置遠程Portal服務器的IP地址 |
共享密鑰 |
設置與遠程Portal服務器通信需要的共享密鑰 |
端口號 |
設置設備向遠程Portal服務器主動發送報文時使用的目的端口號,必須與遠程Portal服務器實際使用的端口號保持一致 |
重定向URL |
設置遠程Portal服務器的HTTP報文重定向URL地址,地址格式為http://ip-address 缺省的重定向URL地址中的ip-address為指定的Portal服務器IP地址 重定向URL支持域名解析,但需要配置免認證策略,將DNS服務器地址加入Portal的免認證地址範圍內 |
圖2-5 本地Portal服務配置
表2-4 本地Portal服務的詳細配置
配置項 |
說明 |
|
服務器名稱 |
設置本地Portal服務器的名稱 |
|
服務器IP地址 |
設置本地Portal服務器的IP地址,必須為應用該Portal服務器的接口的IP地址 |
|
重定向URL |
設置本地Portal服務器的HTTP報文重定向URL地址,地址格式為http://ip-address/portal/logon.htm或https://ip-address/portal/logon.htm,其中協議類型為指定的“認證頁麵傳輸協議” 缺省的重定向URL地址中的ip-address為指定的本地Portal服務器IP地址 · 在無線環境下使用本地Portal服務器進行雙機熱備時,必須配置重定向URL,且ip-address為VRRP下行鏈路所在備份組的虛擬IP地址 · 重定向URL支持域名解析,但需要配置免認證策略,將DNS服務器地址加入Portal的免認證地址範圍內 |
|
認證頁麵傳輸協議 |
設置本地Portal服務器與客戶端交互認證信息所使用的協議類型,包括HTTP和HTTPS |
|
PKI域 |
當認證頁麵傳輸協議選擇“HTTPS”時,設置HTTPS協議所使用的PKI域 可選的PKI域在“認證 > 證書管理”中配置,詳細配置請參見“證書管理” 服務管理、Portal認證、本地EAP服務三個模塊中引用的PKI域是相互關聯的,在任何一個模塊進行了修改,另外兩個模塊中引用的PKI域也會隨之改變 |
|
配置頁麵定製 |
SSID |
設置相應SSID要綁定的認證頁麵文件的名稱 配置SSID與認證頁麵文件的綁定後,當有用戶訪問Portal頁麵時,本地Portal服務器會根據用戶登錄接口的SSID及其綁定的配置推出對應的認證頁麵 缺省情況下,SSID未與任何認證頁麵文件綁定,此時將推出係統缺省的認證頁麵 認證頁麵文件由用戶編輯,保存在設備根目錄下或根目錄下的portal目錄下,認證頁麵文件的定製規範請參見“2.6 定製認證頁麵文件” |
頁麵文件 |
(1) 在導航欄中選擇“認證 > Portal認證”,進入“配置Portal服務器”頁簽的頁麵,如圖2-2所示。
(2) 單擊頁麵下方的“高級設置”前的擴展按鈕,展開Portal認證高級參數的配置內容,如下圖所示。
(3) 配置Portal認證的高級參數,詳細配置如下表所示。
(4) 單擊<確定>按鈕完成操作。
表2-5 Portal認證高級參數的詳細配置
配置項 |
說明 |
Web代理服務器端口 |
設置Web代理服務器端口號,以允許使用Web代理服務器的用戶瀏覽器發起的HTTP請求也可以觸發Portal認證;否則,隻有未配置Web代理服務器的用戶瀏覽器發起的HTTP請求才能觸發Portal認證 為保證使用Web代理服務器的客戶端可以成功觸發Portal認證,除了在設備上配置Web代理服務器端口,還需要完成相關的配置準備。若使用iMC Portal服務器,則: · 對於未將Portal服務器IP地址配置為Web代理服務器的例外地址的客戶端,要想使用Web代理服務器上網,則Portal服務器上與Portal設備關聯的IP地址組類型應選擇支持NAT,轉換後的IP地址應指定為代理服務器的IP地址,相應的端口組也應選擇支持NAT,並且Portal服務器與Web代理服務器必須路由可達 · 對於已將Portal服務器IP地址配置為Web代理服務器的例外地址的客戶端,要想使用Web代理服務器上網,則Portal服務器上與Portal設備關聯的IP地址組和端口組類型都應該選擇不支持NAT · 如果用戶瀏覽器采用WPAD方式自動配置Web代理,則設備上不僅需要配置Web代理服務器端口,還需要配置免認證策略,允許目的IP為WPAD主機IP地址的用戶報文免認證 · 如果設備上配置了80端口為Web代理服務器端口,則未使用代理服務器上網的客戶端隻有通過訪問開啟了HTTP服務的可達主機,才能觸發Portal認證 · 如果需要對認證成功的Portal用戶下發授權ACL,則該ACL必須包含一條允許Web代理服務器IP地址的規則,否則用戶上線後,無法接收遠程Portal服務器發送的心跳檢測報文 |
認證成功後跳轉到URL |
設置Portal用戶認證成功後認證頁麵的自動跳轉目的網站地址 未認證用戶上網時,首先會主動或被強製登錄到Portal認證頁麵進行認證,當用戶輸入正確的認證信息且認證成功後,若設備上指定了認證頁麵的自動跳轉目的網站地址,則認證成功的用戶將在一定的時間間隔之後被強製登錄到該指定的目的網站頁麵 |
等待時長 |
設置Portal用戶認證成功後認證頁麵等待進行跳轉的時間間隔 |
(1) 在導航欄中選擇“認證 > Portal認證”。
(2) 單擊“免認證策略配置”頁簽,進入如下圖所示的頁麵。
圖2-7 免認證策略配置
(3) 單擊<新建>按鈕,進入新建免認證策略的配置頁麵,如下圖所示。
(5) 單擊<確定>按鈕完成操作。
表2-6 免認證策略的詳細配置
配置項 |
說明 |
序號 |
設置免認證策略的序號 |
源接口 |
設置免認證策略的源接口 下拉框中的SSID為無線ESS口對應的SSID |
源IP地址 |
設置免認證策略的源IP地址和網絡掩碼 |
網絡掩碼 |
|
源MAC地址 |
設置免認證策略的源MAC地址 如果同時配置了源IP地址和源MAC地址,則必須保證源IP地址的網絡掩碼為255.255.255.255,否則配置的MAC地址無效 |
源VLAN |
設置免認證策略的源VLAN編號 如果同時配置了源VLAN和源接口,則要求源接口必須屬於該VLAN,否則該策略無效 |
目的IP地址 |
設置免認證策略的目的IP地址和網絡掩碼 |
網絡掩碼 |
使用本地Portal服務器進行認證時,本地Portal服務器負責向用戶推出認證頁麵。認證頁麵的內容和樣式可由用戶定製,若用戶未定製認證頁麵,則向用戶推出係統提供的缺省認證頁麵。
用戶定製的認證頁麵為HTML文件的形式,壓縮後發送至本地設備的存儲設備中。每套定製頁麵可包括六個主索引頁麵(登錄頁麵、登錄成功頁麵、登錄失敗頁麵、在線頁麵、係統忙頁麵、下線成功頁麵)及其頁麵元素(認證頁麵需要應用的各種文件,如Logon.htm頁麵中的back.jpg),每個主索引頁麵可以引用若幹頁麵元素。若用戶隻定製了部分主索引頁麵,則其餘未定製的頁麵使用係統提供的缺省認證頁麵。
用戶在定製這些頁麵時需要遵循一定的規範,否則會影響本地Portal服務器功能的正常使用和係統運行的穩定性。
主索引頁麵文件名不能自定義,必須使用下表中所列的固定文件名:
主索引頁麵 |
文件名 |
登錄頁麵 |
logon.htm |
登錄成功頁麵 |
logonSuccess.htm |
登錄失敗頁麵 |
logonFail.htm |
在線頁麵 用於提示用戶已經在線 |
online.htm |
係統忙頁麵 用於提示係統忙或者該用戶正在登錄過程中 |
busy.htm |
下線成功頁麵 |
logoffSuccess.htm |
主索引頁麵文件之外的其他文件名可由用戶自定義,但需注意文件名和文件目錄名中不能含有中文且不區分大小寫。
本地Portal服務器隻能接受Get請求和Post請求。
· Get請求用於獲取認證頁麵中的靜態文件,其內容不能為遞歸內容。例如,Logon.htm文件中包含了Get ca.htm文件的內容,但ca.htm文件中又包含了對Logon.htm的引用,這種遞歸引用是不允許的。
· Post請求用於用戶提交用戶名和密碼以及用戶執行登錄、下線操作。
(1) 認證頁麵中表單(Form)的編輯必須符合以下原則:
· 認證頁麵可以含有多個Form,但是必須有且隻有一個Form的action=logon.cgi,否則無法將用戶信息送到本地Portal服務器。
· 用戶名屬性固定為”PtUser”,密碼屬性固定為”PtPwd”。
· 需要有用於標記用戶登錄還是下線的屬性”PtButton”,取值為"Logon"表示登錄,取值為"Logoff"表示下線。
· 登錄Post請求必須包含”PtUser”,”PtPwd”和"PtButton"三個屬性。
· 下線Post請求必須包含”PtButton”這個屬性。
(2) 需要包含登錄Post請求的頁麵有logon.htm和logonFail.htm。
logon.htm頁麵腳本內容的部分示例:
<form action=logon.cgi method = post >
<p>User name:<input type="text" name = "PtUser" style="width:160px;height:22px" maxlength=64>
<p>Password :<input type="password" name = "PtPwd" style="width:160px;height:22px" maxlength=32>
<p><input type=SUBMIT value="Logon" name = "PtButton" style="width:60px;" onclick="form.action=form.action+location.search;>
</form>
(3) 需要包含下線Post請求的頁麵有logonSuccess.htm和online.htm。
online.htm頁麵腳本內容的部分示例:
<form action=logon.cgi method = post >
<p><input type=SUBMIT value="Logoff" name="PtButton" style="width:60px;">
</form>
· 完成所有認證頁麵的編輯之後,必須按照標準Zip格式將其壓縮到一個Zip文件中,該Zip文件的文件名隻能包含字母、數字和下劃線。缺省認證頁麵文件必須以defaultfile.zip為文件名保存。
· 壓縮後的Zip文件中必須直接包含認證頁麵,不允許存在間接目錄。
· 壓縮生成的Zip文件可以通過FTP或TFTP的方式上傳至設備,並保存在設備的指定目錄下。缺省認證頁麵文件必須保存在設備的根目錄下,非缺省認證頁麵文件可以保存在設備根目錄下或者根目錄的portal目錄下。
為了方便係統推出定製的認證頁麵,認證頁麵在文件大小和內容上需要有如下限製:
· 每套頁麵(包括主索引頁麵文件和其頁麵元素)壓縮後的Zip文件大小不能超過500K字節。
· 每個單獨頁麵(包括單個主索引頁麵文件及其頁麵元素)壓縮前的文件大小不能超過50K字節。
· 頁麵元素隻能包含HTML、JS、CSS和圖片之類的靜態內容。
用戶認證成功後,係統會推出登錄成功頁麵(文件名為logonSuccess.htm),認證通過後再次通過登錄頁麵進行認證操作,係統會推出在線頁麵(文件名為online.htm)。若希望用戶關閉這兩個頁麵的同時,觸發設備執行強製當前在線用戶下線的操作,就需要按照如下要求在這兩個頁麵文件的腳本文件中增加如下內容。
(1) 添加對JS文件“pt_private.js”的引用;
(2) 添加觸發頁麵卸載的函數“pt_unload()”;
(3) 添加Form的提交事件處理函數“pt_submit()”;
(4) 添加頁麵加載的初始化函數“pt_init()”。
需要在logonSuccess.htm和online.htm頁麵腳本中增加的內容如示例中突出顯示部分:
<html>
<head>
<script type="text/javascript" language="javascript" src="pt_private.js"></script>
</head>
<body onload="pt_init();" onbeforeunload="return pt_unload();">
... ...
<form action=logon.cgi method = post onsubmit="pt_submit()">
... ...
</body>
</html>
若要支持認證成功後自定義認證頁麵的自動跳轉功能,即認證頁麵會在用戶認證成功後自動跳轉到設備指定的網站頁麵,則需要按照如下要求在認證頁麵logon.htm和logonSuccess.htm的腳本文件中做如下改動。
(1) 將logon.htm文件中的Form的target值設置為“blank”。
修改的腳本內容如下突出顯示部分所示:
<form method=post action=logon.cgi target="blank">
(2) logonSucceess.htm文件添加頁麵加載的初始化函數“pt_init()”。
增加的腳本內容如下突出顯示部分所示:
<html>
<head>
<title>LogonSuccessed</title>
<script type="text/javascript" language="javascript" src="pt_private.js"></script>
</head>
<body onload="pt_init();" onbeforeunload="return pt_unload();">
... ...
</body>
</html>
· 推薦使用IE6.0版本以上的瀏覽器。
· 需要用戶瀏覽器設置為允許彈出窗口,或者將設備的IP地址設置為允許彈出的網站地址。若瀏覽器禁止彈出窗口,則關閉登錄成功或在線頁麵時會提示用戶無法下線,用戶可以點擊<取消>回到原頁麵。
· Chrome瀏覽器不支持關閉登錄成功/在線頁麵後的強製用戶下線功能。
· 刷新登錄成功/在線頁麵或者使該頁麵跳轉到別的網站上時都會觸發強製用戶下線事件。
· 無線客戶端(屬於VLAN 2)通過AP(型號為WA2100、序列號為210235A29G007C00002、屬於VLAN 3)接入網絡。
· AC支持運行HTTPS協議的本地Portal服務器。本地Portal服務器可以根據用戶登錄接口的SSID推出其對應的定製頁麵。
· 采用RADIUS服務器作為認證/計費服務器,RADIUS服務器使用CAMS/iMC服務器。
· 客戶端采用直接方式進行Portal認證,在通過Portal認證前,隻能訪問本地Portal服務器;在通過Portal認證後,可以訪問非受限的互聯網資源。
圖2-9 使用本地Portal服務器的直接認證方式組網圖
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 完成PKI域“test”的配置,並成功申請本地證書和CA證書,具體配置請參見“證書管理”。
· 完成客戶端SSID綁定的認證頁麵文件的編輯。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
(1) 配置RADIUS方案system
步驟1:在導航欄中選擇“認證 > RADIUS”。
步驟2:單擊<新建>按鈕。
步驟3:進行如下配置。
· 輸入方案名稱為“system”。
· 選擇服務類型為“Extended”。
· 選擇用戶名格式為“不帶域名”。
步驟4:單擊RADIUS服務器列表下的<添加>按鈕。
步驟5:在彈出的頁麵上進行如下配置:
· 選擇服務器類型為“主認證服務器”。
· 輸入IP地址為“1.1.1.2”。
· 輸入端口為“1812”。
· 輸入密鑰為“expert”。
· 輸入確認密鑰為“expert”。
步驟6:單擊<確定>按鈕向RADIUS方案中添加一個主認證服務器。
步驟7:再次單擊RADIUS服務器列表下的<添加>按鈕。
步驟8:在彈出的頁麵上進行如下配置:
· 選擇服務器類型為“主計費服務器”。
· 輸入IP地址為“1.1.1.2”。
· 輸入端口為“1813”。
· 輸入密鑰為“expert”。
· 輸入確認密鑰為“expert”。
步驟9:單擊<確定>按鈕向RADIUS方案中添加一個主計費服務器。
步驟10:完成上述配置後的新建RADIUS方案頁麵如下圖所示,單擊<確定>按鈕完成操作。
圖2-10 配置RADIUS方案system
(2) 創建ISP域test,並配置其為缺省域。
步驟1:在導航欄中選擇“認證 > AAA”,默認進入“域設置”頁簽的頁麵。
步驟2:進行如下配置,如下圖所示。
· 輸入域名為“test”。
· 選擇缺省域為“Enable”。
步驟3:單擊<應用>按鈕完成操作。
圖2-11 創建ISP域
(3) 配置ISP域的AAA認證方案。
步驟1:單擊“認證”頁簽。
步驟2:進行如下配置,如下圖所示。
· 選擇域名為“test”。
· 選中“Default認證”前的複選框,選擇認證方式為“RADIUS”。
· 選擇認證方案名稱為“system”。
步驟3:單擊<應用>按鈕,彈出配置進度對話框
步驟4:看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。
圖2-12 配置ISP域的AAA認證方案
(4) 配置ISP域的AAA授權方案。
步驟1:單擊“授權”頁簽。
步驟2:進行如下配置,如下圖所示。
· 選擇域名為“test”。
· 選中“Default授權”前的複選框,選擇授權方式為“RADIUS”。
· 選擇授權方案名稱為“system”。
步驟3:單擊<應用>按鈕,彈出配置進度對話框。
步驟4:看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。
圖2-13 配置ISP域的AAA授權方案
(5) 配置ISP域的AAA計費方案,並配置用戶計費可選。
步驟1:單擊“計費”頁簽。
步驟2:進行如下配置,如下圖所示。
· 選擇域名為“test”。
· 選中“計費可選開關”前的複選框,選擇“Enable”。
· 選中“Default計費”前的複選框,選擇計費方式為“RADIUS”。
· 選擇計費方案名稱為“system”。
步驟3:單擊<應用>按鈕,彈出配置進度對話框。
步驟4:看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。
圖2-14 配置ISP域的AAA計費方案
(6) 創建AP
步驟1:在導航欄中選擇“AP > AP設置”。
步驟2:單擊<新建>按鈕。
步驟3:進行如下配置,如下圖所示。
· 輸入AP名稱為“ap1”。
· 選擇型號為“WA2100”。
· 選擇序列號方式為“手動”,並輸入AP的序列號“210235A29G007C00002”。
步驟4:單擊<確定>按鈕完成操作。
圖2-15 創建AP
(7) 創建無線服務
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊<新建>按鈕。
步驟3:進行如下配置,如下圖所示。
· 輸入無線服務名稱為“abc”。
· 選擇無線服務類型為“clear”。
步驟4:單擊<確定>按鈕完成操作,頁麵跳轉到新創建無線服務的具體參數配置頁麵。
圖2-16 創建無線服務
步驟5:進行如下配置,如下圖所示。
· 輸入VLAN(Untagged)為“2”。
· 輸入缺省VLAN為“2”。
步驟6:單擊<確定>按鈕,彈出配置進度對話框。
步驟7:看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。
圖2-17 配置無線服務的安全參數
(8) 開啟無線服務
步驟1:如下圖所示,選中無線服務“abc”前的複選框,
步驟2:單擊<開啟>按鈕完成操作,彈出配置進度對話框。
步驟3:看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。
圖2-18 開啟無線服務
(9) 綁定AP的射頻
步驟1:在接入服務列表中單擊無線服務“abc”的圖標。
步驟2:如下圖所示,選中AP名稱為“ap1”、射頻模式為“802.11g”的表項前的複選框。
步驟3:單擊<綁定>按鈕完成操作,彈出配置進度對話框。
步驟4:看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。
圖2-19 綁定AP的射頻
(10) 開啟802.11g射頻
步驟1:在導航欄中選擇“射頻 > 射頻設置”。
步驟2:如下圖所示,選中AP名稱為“ap1”、射頻模式為“802.11g”的表項前的複選框。
步驟3:單擊<開啟>按鈕完成操作。
圖2-20 開啟802.11g射頻
(11) 配置Portal認證
步驟1:在導航欄中選擇“認證 > Portal認證”,默認進入“配置Portal服務器”頁簽的頁麵。
步驟2:單擊<新建>按鈕。
步驟3:進行如下配置,如下圖所示。
· 選擇接口名稱為“Vlan-interface2”。
· 選擇Portal服務器為“使能本地服務器”。
· 選擇認證方式為“Direct”。
· 選擇認證域為“test”。
· 輸入服務器IP地址“192.168.1.1”。
· 選中認證頁麵傳輸協議“HTTPS”前的單選按鈕。
· 選擇PKI域為“test”。
· 選中“配置頁麵定製”前的複選框。
· 選擇SSID abc對應的頁麵文件為“ssid1.zip”。
步驟4:單擊<確定>按鈕完成操作。
圖2-21 應用Portal服務
(12) 對以太網接口GigabitEthernet1/0/1配置免認證策略。
步驟1:單擊“免認證策略配置”頁簽。
步驟2:單擊<新建>按鈕。
步驟3:進行如下配置,如下圖所示。
· 輸入序號為“0”。
· 選擇源接口為“GigabitEthernet1/0/1”。
步驟4:單擊<確定>按鈕完成操作。
圖2-22 對以太網接口GigabitEthernet1/0/1配置免認證策略
用戶通過Web瀏覽器訪問1.1.1.0/24網段,能夠被重定向到https://192.168.1.1/portal/logon.htm。用戶根據網頁提示輸入正確的用戶名密碼後,能夠成功通過認證。
Web頁麵提供了配置ISP(Internet Service Provider,Internet服務提供者)域,以及配置ISP域的AAA認證、授權、計費方法的功能。
AAA是Authentication、Authorization、Accounting(認證、授權、計費)的簡稱,是網絡安全的一種管理機製,提供了認證、授權、計費三種安全功能。
· 認證:確認遠端訪問用戶的身份,判斷訪問者是否為合法的網絡用戶;
· 授權:對不同用戶賦予不同的權限,限製用戶可以使用的服務。例如用戶成功登錄服務器後,管理員可以授權用戶對服務器中的文件進行訪問和打印操作;
· 計費:記錄用戶使用網絡服務中的所有操作,包括使用的服務類型、起始時間、數據流量等,它不僅是一種計費手段,也對網絡安全起到了監視作用。
AAA一般采用客戶機/服務器結構,客戶端運行於NAS(Network Access Server,網絡接入服務器)上,服務器上則集中管理用戶信息。NAS對於用戶來講是服務器端,對於服務器來說是客戶端。AAA的基本組網結構如下圖所示。
圖3-1 AAA基本組網結構示意圖
AAA可以通過多種協議來實現,目前設備支持基於RADIUS協議來實現AAA,在實際應用中,最常使用RADIUS協議也是的。RADIUS的詳細介紹請參見“RADIUS”。
關於AAA及ISP域的詳細介紹請參見“安全配置指導”中的“AAA”。
進行AAA配置前要做如下準備:
· 要進行本地認證,需要配置本地用戶,具體配置請參見“用戶”。
· 要進行遠端認證、授權或計費時,需要已經創建RADIUS方案,通過引用已配置的RADIUS方案來實現認證、授權、計費。有關RADIUS方案的配置請參見“RADIUS”。
步驟 |
配置任務 |
說明 |
|
1 |
可選 配置ISP域,並指定其中一個為缺省ISP域 缺省情況下,係統存在名為system的缺省ISP域 |
||
2 |
可選 配置對ISP域中不同類型的用戶所使用的認證方法 缺省情況下,所有類型的用戶采用Local認證方法 |
AAA將用戶類型分為:LAN-access用戶(如802.1x認證、MAC地址認證用戶)、Login用戶(如SSH、Telnet、FTP、終端接入用戶)、PPP用戶、Portal用戶、Command用戶 |
|
3 |
可選 配置對ISP域中不同類型的用戶所使用的授權方法 缺省情況下,所有類型的用戶采用Local授權方法 |
||
4 |
必選 配置對ISP域中不同類型的用戶所使用的計費方法 缺省情況下,所有類型的用戶采用Local計費方法 |
(1) 在導航欄中選擇“認證 > AAA”,默認進入“域設置”頁簽的頁麵,如下圖所示。
(2) 配置ISP域的信息,詳細配置如下表所示。
(3) 單擊<應用>按鈕完成操作。
表3-2 ISP域的詳細配置
配置項 |
說明 |
域名 |
設置ISP域的名稱,用於標識域 可以輸入新的域名來創建域,也可以選擇已有域來配置其是否為缺省域 |
缺省域 |
設置該ISP域是否為缺省域 · Enable:設置為缺省域 · Disable:設置為非缺省域 同時隻能存在一個缺省域,當某個域被設置為缺省域時,原來的缺省域自動被設置為非缺省域 |
(1) 在導航欄中選擇“認證 > AAA”。
(2) 單擊“認證”頁簽,進入如下圖所示的頁麵。
(3) 配置ISP域中不同類型用戶所使用的認證方法,詳細配置如下表所示。
(4) 單擊<應用>按鈕,彈出配置進度對話框。
(5) 看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。
表3-3 ISP域AAA認證方法的詳細配置
配置項 |
說明 |
選擇一個域名 |
設置要配置的ISP域 |
Default認證 |
設置所有類型用戶的缺省認證方法和備選方法 · HWTACACS:HWTACACS認證,此時需要設置具體選用的HWTACACS方案 · Local:本地認證 · None:不認證,即對用戶非常信任,不進行合法性檢查,一般情況下不采用此方法 · RADIUS:RADIUS認證,此時需要設置具體選用的RADIUS方案 · Not Set:不設置Default認證,即恢複缺省情況(本地認證) |
方案名稱 |
|
備選方法 |
|
LAN-access認證 |
設置LAN-access用戶的認證方法和備選方法 · Local:本地認證 · None:不認證,即對用戶非常信任,不進行合法性檢查,一般情況下不采用此方法 · RADIUS:RADIUS認證,此時需要設置具體選用的RADIUS方案 · Not Set:不設置LAN-access認證,此時缺省使用Default認證的配置 |
方案名稱 |
|
備選方法 |
|
Login認證 |
設置Login用戶的認證方法和備選方法 · HWTACACS:HWTACACS認證,此時需要設置具體選用的HWTACACS方案 · Local:本地認證 · None:不認證,即對用戶非常信任,不進行合法性檢查,一般情況下不采用此方法 · RADIUS:RADIUS認證,此時需要設置具體選用的RADIUS方案 · Not Set:不設置Login認證,此時缺省使用Default認證的配置 |
方案名稱 |
|
備選方法 |
|
PPP認證 |
設置PPP用戶的認證方法和備選方法 · HWTACACS:HWTACACS認證,此時需要設置具體選用的HWTACACS方案 · Local:本地認證 · None:不認證,即對用戶非常信任,不進行合法性檢查,一般情況下不采用此方法 · RADIUS:RADIUS認證,此時需要設置具體選用的RADIUS方案 · Not Set:不設置PPP認證,此時缺省使用Default認證的配置 |
方案名稱 |
|
備選方法 |
|
Portal認證 |
設置Portal用戶的認證方法 · Local:本地認證 · None:不認證,即對用戶非常信任,不進行合法性檢查,一般情況下不采用此方法 · RADIUS:RADIUS認證,此時需要設置具體選用的RADIUS方案 · Not Set:不設置Portal認證,此時缺省使用Default認證的配置 |
方案名稱 |
(1) 在導航欄中選擇“認證 > AAA”。
(2) 單擊“授權”頁簽,進入如下圖所示的頁麵。
(3) 配置ISP域AAA中不同類型用戶所使用的授權方法,詳細配置如下表所示。
(4) 單擊<應用>按鈕,彈出配置進度對話框。
(5) 看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。
表3-4 ISP域AAA授權方法的詳細配置
配置項 |
說明 |
選擇一個域名 |
設置要配置的ISP域 |
Default授權 |
設置所有類型用戶的缺省授權方法和備選方法 · HWTACACS:HWTACACS授權,此時需要設置具體選用的HWTACACS方案 · Local:本地授權 · None:直接授權,即對用戶非常信任,直接授權通過,此時用戶權限為係統默認權限 · RADIUS:RADIUS授權,此時需要設置具體選用的RADIUS方案 · Not Set:不設置Default授權,即恢複缺省情況(本地授權) |
方案名稱 |
|
備選方法 |
|
LAN-access授權 |
設置LAN-access用戶的授權方法和備選方法 · Local:本地授權 · None:直接授權,即對用戶非常信任,直接授權通過,此時用戶權限為係統默認權限 · RADIUS:RADIUS授權,此時需要設置具體選用的RADIUS方案 · Not Set:不設置LAN-access授權,此時缺省使用Default授權的配置 |
方案名稱 |
|
備選方法 |
|
Login授權 |
設置Login用戶的授權方法和備選方法 · HWTACACS:HWTACACS授權,此時需要設置具體選用的HWTACACS方案 · Local:本地授權 · None:直接授權,即對用戶非常信任,直接授權通過,此時用戶權限為係統默認權限 · RADIUS:RADIUS授權,此時需要設置具體選用的RADIUS方案 · Not Set:不設置Login授權,此時缺省使用Default授權的配置 |
方案名稱 |
|
備選方法 |
|
PPP授權 |
設置PPP用戶的授權方法和備選方法 · HWTACACS:HWTACACS授權,此時需要設置具體選用的HWTACACS方案 · Local:本地授權 · None:直接授權,即對用戶非常信任,直接授權通過,此時用戶權限為係統默認權限 · RADIUS:RADIUS授權,此時需要設置具體選用的RADIUS方案 · Not Set:不設置PPP授權,此時缺省使用Default授權的配置 |
方案名稱 |
|
備選方法 |
|
Portal授權 |
設置Portal用戶的授權方法 · Local:本地授權 · None:直接授權,即對用戶非常信任,直接授權通過,此時用戶權限為係統默認權限 · RADIUS:RADIUS授權,此時需要設置具體選用的RADIUS方案 · Not Set:不設置Portal授權,此時缺省使用Default授權的配置 |
方案名稱 |
|
Command授權 |
設置Command用戶的授權方法 · HWTACACS:HWTACACS授權,此時需要設置具體選用的HWTACACS方案 · Not Set:不設置Portal授權,此時缺省使用Default授權的配置 |
方案名稱 |
(1) 在導航欄中選擇“認證 > AAA”。
(2) 單擊“計費”頁簽,進入如下圖所示的頁麵。
(3) 配置ISP域中不同類型用戶所使用的計費方法,詳細配置如下表所示。
(4) 單擊<應用>按鈕,彈出配置進度對話框。
(5) 看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。
表3-5 ISP域AAA計費方法的詳細配置
配置項 |
說明 |
選擇一個域名 |
設置要配置的ISP域 |
計費可選開關 |
設置是否開啟計費可選功能 · 對上線用戶計費時,如果發現沒有可用的計費服務器或與計費服務器通信失敗時,若開啟計費可選功能,則用戶可以繼續使用網絡資源,否則用戶連接將被切斷 · 對於計費過程失敗但因計費可選功能上線的用戶,係統不再對其發送實時計費更新報文 |
Default計費 |
設置所有類型用戶的缺省計費方法和備選方法 · HWTACACS:HWTACACS計費,此時需要設置具體選用的HWTACACS方案 · Local:本地計費 · None:不計費 · RADIUS:RADIUS計費,此時需要設置具體選用的RADIUS方案 · Not Set:不設置Default計費,即恢複缺省情況(本地計費) |
方案名稱 |
|
備選方法 |
|
LAN-access計費 |
設置LAN-access用戶的計費方法和備選方法 · Local:本地計費 · None:不計費 · RADIUS:RADIUS計費,此時需要設置具體選用的RADIUS方案 · Not Set:不設置LAN-access計費,此時缺省使用Default計費的配置 |
方案名稱 |
|
備選方法 |
|
Login計費 |
設置Login用戶的計費方法和備選方法 · HWTACACS:HWTACACS計費,此時需要設置具體選用的HWTACACS方案 · Local:本地計費 · None:不計費 · RADIUS:RADIUS計費,此時需要設置具體選用的RADIUS方案 · Not Set:不設置Login計費,此時缺省使用Default計費的配置 |
方案名稱 |
|
備選方法 |
|
PPP計費 |
設置PPP用戶的計費方法和備選方法 · HWTACACS:HWTACACS計費,此時需要設置具體選用的HWTACACS方案 · Local:本地計費 · None:不計費 · RADIUS:RADIUS計費,此時需要設置具體選用的RADIUS方案 · Not Set:不設置PPP計費,此時缺省使用Default計費的配置 |
方案名稱 |
|
備選方法 |
|
Portal計費 |
設置Portal用戶的計費方法 · Local:本地計費 · None:不計費 · RADIUS:RADIUS計費,此時需要設置具體選用的RADIUS方案 · Not Set:不設置Portal計費,此時缺省使用Default計費的配置 |
方案名稱 |
如下圖所示,配置AC,實現對登錄AC的Telnet用戶進行本地認證和授權。
圖3-6 AAA配置組網圖
(1) 配置本地用戶
步驟1:在導航欄中選擇“認證 > 用戶”,默認進入“本地用戶”頁簽的頁麵。
步驟2:單擊<新建>按鈕。
步驟3:進行如下配置,如下圖所示。
· 輸入用戶名為“telnet”。
· 輸入用戶密碼為“abcd”。
· 輸入確認密碼為“abcd”。
· 選中用戶類型為“普通用戶”。
· 選中授權等級為“Configure”。
· 選擇服務類型為“Telnet”。
步驟4:單擊<確定>按鈕完成操作。
圖3-7 創建本地用戶
(2) 配置ISP域test
步驟1:在導航欄中選擇“認證 > AAA”,默認進入“域設置”頁簽的頁麵。
步驟2:如下圖所示,輸入域名為“test”。
步驟3:單擊<應用>按鈕完成操作。
圖3-8 配置ISP域test
(3) 配置ISP域的AAA方案為本地認證。
步驟1:在導航欄中選擇“認證 > AAA”。
步驟2:單擊“認證”頁簽。
步驟3:進行如下配置,如下圖所示。
· 選擇域名為“test”。
· 選中“Login認證”前的複選框,選擇認證方法為“Local”。
步驟4:單擊<應用>按鈕,彈出配置進度對話框。
步驟5:看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。
圖3-9 配置ISP域test中Login用戶的AAA方案為本地認證
(4) 配置ISP域的AAA方案為本地授權。
步驟1:在導航欄中選擇“認證 > AAA”。
步驟2:單擊“授權”頁簽。
步驟3:進行如下配置,如下圖所示。
· 選擇域名為“test”。
· 選中“Login授權”前的複選框,選擇授權方法為“Local”。
步驟4:單擊<應用>按鈕,彈出配置進度對話框。
步驟5:看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。
圖3-10 配置ISP域test中Login用戶的AAA方案為本地授權
(5) 通過命令行開啟Telnet服務器功能,並配置Telnet用戶登錄采用AAA認證方式。
<AC> system-view
[AC] telnet server enable
[AC] user-interface vty 0 4
[AC-ui-vty0-4] authentication-mode scheme
[AC-ui-vty0-4] quit
使用Telnet登錄時輸入用戶名為telnet@test(密碼為abcd),以使用test域進行認證。
RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)是一種用於實現AAA(Authentication, Authorization and Accounting,認證、授權和計費)的協議,是一種分布式的、客戶端/服務器結構的信息交互協議,能保護網絡不受未授權訪問的幹擾,常應用在既要求較高安全性、又允許遠程用戶訪問的各種網絡環境中。該協議定義了RADIUS的報文格式及其消息傳輸機製,並規定使用UDP作為封裝RADIUS報文的傳輸層協議(UDP端口1812、1813分別作為認證、計費端口)。
RADIUS最初僅是針對撥號用戶的AAA協議,後來隨著用戶接入方式的多樣化發展,RADIUS也適應多種用戶接入方式,如以太網接入、ADSL接入。它通過認證授權來提供接入服務,通過計費來收集、記錄用戶對網絡資源的使用。
關於RADIUS和AAA協議的詳細介紹請參見“安全配置指導”中的“AAA”。
RADIUS方案中定義了設備和RADIUS服務器之間進行信息交互所必須的一些參數。當創建一個新的RADIUS方案之後,需要對屬於此方案的RADIUS服務器的IP地址、UDP端口號和報文共享密鑰進行設置,這些服務器包括認證和計費服務器,而每種服務器又有主服務器和從服務器的區別。每個RADIUS方案的屬性包括:主服務器的IP地址、從服務器的IP地址、共享密鑰以及RADIUS服務器類型等。缺省情況下,不存在任何RADIUS方案。
(1) 在導航欄中選擇“認證 > RADIUS”,進入如下圖所示的頁麵。
圖4-1 RADIUS
(2) 單擊<新建>按鈕,進入新建RADIUS方案的配置頁麵,如下圖所示。
(3) 配置RADIUS方案的名稱。
(4) 配置RADIUS方案的通用參數,詳細配置如下表所示。
配置項 |
說明 |
服務類型 |
設置設備支持的RADIUS服務器類型: · Standard:指定Standard類型的RADIUS服務器,即要求RADIUS客戶端和RADIUS服務器按照標準RADIUS協議(RFC 2865/2866或更新)的規程和報文格式進行交互 · Extended:指定Extended類型的RADIUS服務器(一般為CAMS/iMC),即要求RADIUS客戶端和RADIUS服務器按照私有RADIUS協議的規程和報文格式進行交互 |
用戶名格式 |
設置發送給RADIUS服務器的用戶名格式 接入用戶通常以“userid@isp-name”的格式命名,“@”後麵的部分為域名,如果RADIUS服務器不接受帶域名的用戶名時,可以配置將用戶名的域名去除後再傳送給RADIUS服務器 · 保持用戶原始輸入:表示發送給RADIUS服務器的用戶名保持用戶原始的輸入,不做任何修改 · 帶域名:表示發送給RADIUS服務器的用戶名帶域名 · 不帶域名:表示發送給RADIUS服務器的用戶名不帶域名 |
(5) 單擊“高級”前的擴展按鈕,可以展開通用參數中的高級配置,如下圖所示。
(6) 配置高級通用參數,詳細配置如下表所示。
配置項 |
說明 |
|
認證服務器共享密鑰 |
設置RADIUS認證報文的共享密鑰和RADIUS計費報文的共享密鑰 RADIUS客戶端與RADIUS服務器使用MD5算法來加密RADIUS報文,雙方通過設置共享密鑰來驗證報文的合法性。隻有在密鑰一致的情況下,彼此才能接收對方發來的報文並作出響應 · 必須保證設備上設置的共享密鑰與RADIUS服務器上的完全一致 · 設備優先采用“RADIUS服務器信息”中指定的共享密鑰,此處指定的共享密鑰僅在“RADIUS服務器信息”中未指定相應共享密鑰的情況下使用 |
|
確認認證服務器共享密鑰 |
||
計費服務器共享密鑰 |
||
確認計費服務器共享密鑰 |
||
靜默時間間隔 |
設置RADIUS服務器恢複激活狀態的時間 當靜默時間間隔設置為0時,若當前用戶使用的認證或計費服務器不可達,則設備並不會切換它的狀態,而是保持其為active,並且將使用該服務器的用戶認證或計費的報文發送給下一個狀態為active的服務器,而後續其它用戶的認證請求報文仍然可以發送給該服務器進行處理 若判斷主服務器不可達是網絡端口短暫中斷或者服務器忙碌造成的,則可以結合網絡的實際運行狀況,將靜默時間間隔設置為0,使得用戶盡可能的集中在主服務器上進行認證和計費 |
|
服務器應答超時時間 |
設置RADIUS服務器應答超時時間 如果在RADIUS請求報文(認證請求或計費請求)傳送出去一段時間後,設備還沒有得到RADIUS服務器的應答,則有必要重傳RADIUS請求報文,以保證用戶確實能夠得到RADIUS服務,這段時間被稱為RADIUS服務器應答超時時間。根據網絡狀況,合理地設置這個超時時間,有利於提高係統性能 |
服務器應答超時時間和RADIUS報文最大嚐試發送次數的乘積不能大於75 |
RADIUS報文最大嚐試發送次數 |
設置發送RADIUS報文的最大嚐試次數,即由於某RADIUS服務器未響應或未及時響應設備發送的RAIUDS報文,設備嚐試向該服務器發送RADIUS報文的最大次數 |
|
實時計費間隔 |
設置實時計費的時間間隔,取值必須為3的整數倍 為了對用戶實施實時計費,有必要設置實時計費的時間間隔。設置了該屬性以後,每隔設定的時間,設備會向RADIUS服務器發送一次在線用戶的計費信息 實時計費間隔的取值對NAS和RADIUS服務器的性能有一定的相關性要求,取值越小,對NAS和RADIUS服務器的性能要求越高。建議當用戶量比較大(≥1000)時,盡量把該間隔的值設置得大一些 |
|
實時計費報文最大發送次數 |
設置允許實時計費請求無響應的最大次數 |
|
流量數據的單位 |
設置發送到RADIUS服務器的流量數據的單位 · Byte:表示流量數據的單位為字節 · Kilo-byte:表示流量數據的單位為千字節 · Mega-byte:表示流量數據的單位為兆字節 · Giga-byte:表示流量數據的單位為千兆字節 |
|
數據包的單位 |
設置發送到RADIUS服務器的數據包的單位 · One-packet:表示數據包的單位為包 · Kilo-packet:表示數據包的單位為千包 · Mega-packet:表示數據包的單位為兆包 · Giga-packet:表示數據包的單位為千兆包 |
|
啟用EAP Offload功能 |
設置是否啟用EAP Offload功能 由於某些RADIUS服務器不支持EAP認證,即不支持對EAP報文的處理,因此需要將客戶端發送的EAP報文在接入設備上進行一些預處理,我們將這種EAP報文的預處理稱之為RADIUS的EAP Offload功能 啟用了EAP Offload功能的接入設備在接收到EAP報文後,首先會由本地EAP服務器將其中的認證信息轉換為對應的RADIUS屬性,然後將其封裝在RADIUS認證請求報文中發送給RADIUS服務器進行認證。RADIUS服務器收到請求報文後,會解析其中的認證信息,並將認證結果封裝在RADIUS報文中發送給接入設備上的本地EAP服務器進行後續與客戶端之間的交互 |
|
安全策略服務器IP地址 |
設置安全策略服務器的IP地址 |
|
RADIUS報文源IP地址 |
設備向RADIUS服務器發送RADIUS報文時使用的源IP地址 為了避免物理接口故障時從服務器返回的報文不可達,推薦使用Loopback接口地址 |
|
RADIUS報文備份源IP地址 |
設備向RADIUS服務器發送RADIUS報文時使用的備份源IP地址 在雙機熱備運行的環境下,此地址必須指定為對端設備上的RADIUS報文源IP地址 指定RADIUS報文備份源IP地址,可以保證雙機熱備環境中主設備發生故障時,服務器發送的報文可以被備份設備收到並進行處理 |
|
緩存未得到響應的停止計費報文 |
設置是否在設備上緩存沒有得到響應的停止計費請求報文 |
|
停止計費報文最大發送次數 |
設置當出現沒有得到響應的停止計費請求時,將該報文存入設備緩存後,允許停止計費請求無響應的最大次數 |
|
啟用accounting-on報文發送功能 |
設置是否啟用accounting-on報文發送功能 在啟用accounting-on報文發送功能的情況下,設備重啟後,會發送accounting-on報文通知RADIUS服務器該設備已經重啟,要求RADIUS服務器強製該設備的用戶下線 設備啟動後,如果當前係統中沒有啟用accounting-on報文發送功能的RADIUS方案,則啟用此功能後,必須保存配置,這樣設備重啟後此功能才能生效。但是,如果當前係統中已經有RADIUS方案啟用了accounting-on報文發送功能,則對未啟用此功能的RADIUS方案啟用此功能後,功能會立即生效 |
|
accounting-on發送間隔 |
當啟用accounting-on報文發送功能時,設置accounting-on報文重發時間間隔 |
|
accounting-on發送次數 |
當啟用accounting-on報文發送功能時,設置accounting-on報文的最大發送次數 |
|
屬性 |
設置開啟RADIUS Attribute 25的CAR參數解析功能 |
|
屬性值類型 |
(7) 在“RADIUS服務器配置”中單擊<添加>按鈕,彈出如下圖所示的頁麵。
(8) 配置RADIUS服務器的信息,詳細配置如下表所示。
(9) 單擊<確定>按鈕向RADIUS方案中添加一個RADIUS服務器。
(10) 重複步驟(7)~(9)向RADIUS方案中添加多個RADIUS服務器。
(11) 在新建RADIUS方案頁麵單擊<確定>按鈕完成操作。
表4-3 RADIUS服務器的詳細配置
配置項 |
說明 |
服務器類型 |
設置要添加的RADIUS服務器類型,包括:主認證服務器、主計費服務器、備份認證服務器、備份計費服務器 |
IP地址 |
設置RADSIU服務器的IP地址 |
端口 |
設置RADSIU服務器的UDP端口號 |
密鑰 |
設置RADSIU服務器的共享密鑰 當RADSIU服務器中未指定共享密鑰時,使用RADIUS方案的通用配置中指定的共享密鑰 |
確認密鑰 |
如下圖所示,Telnet用戶主機與AC直接相連,AC與一台RADIUS服務器相連,需要實現RADIUS服務器對登錄AC的Telnet用戶進行認證、授權和計費。
(1) 由一台CAMS/iMC服務器(IP地址為10.1.1.1/24)擔當認證/授權、計費RADIUS服務器的職責。
(2) AC與認證/授權、計費RADIUS服務器交互報文時的共享密鑰均為expert,認證/授權、計費的端口號分別為1812和1813。
(3) AC向RADIUS服務器發送的用戶名不攜帶域名。
(4) Telnet用戶登錄AC時使用RADIUS服務器上配置的用戶名hello@bbb以及密碼abc進行認證,認證通過後的用戶級別為3。
圖4-5 RADIUS配置組網圖
開啟Telnet服務器功能,並配置Telnet用戶登錄采用AAA認證方式。具體配置略。
(1) 配置RADIUS方案system。
步驟1:在導航欄中選擇“認證 > RADIUS”。
步驟2:單擊<新建>按鈕。
步驟3:進行如下配置:
· 輸入方案名稱為“system”。
· 選擇服務類型為“Extended”。
· 選擇用戶名格式為“不帶域名”。
步驟4:在RADIUS服務器配置中單擊<添加>按鈕。
步驟5:在彈出的頁麵上進行如下配置,如下圖所示。
· 選擇服務器類型為“主認證服務器”。
· 輸入IP地址為“10.1.1.1”。
· 輸入端口為“1812”。
· 輸入密鑰為“expert”。
· 輸入確認密鑰為“expert”。
步驟6:單擊<確定>按鈕向system方案中添加一個主認證服務器。
圖4-6 配置RADIUS認證服務器
步驟7:再次在RADIUS服務器配置中單擊<添加>按鈕。
步驟8:在彈出的頁麵上進行如下配置,如下圖所示。
· 選擇服務器類型為“主計費服務器”。
· 輸入IP地址為“10.1.1.1”。
· 輸入端口為“1813”。
· 輸入密鑰為“expert”。
· 輸入確認密鑰為“expert”。
步驟9:單擊<確定>按鈕向system方案中添加一個主計費服務器。
圖4-7 配置RADIUS計費服務器
步驟10:完成上述配置後的新建RADIUS方案的頁麵如下圖所示,單擊<確定>按鈕完成操作。
圖4-8 新建RADIUS方案system
步驟1:在導航欄中選擇“認證 > AAA”,默認進入“域設置”頁簽的頁麵。
步驟2:如下圖所示,輸入域名為“bbb”。
步驟3:單擊<應用>按鈕完成操作。
圖4-9 創建ISP域
(3) 配置ISP域的AAA認證方案。
步驟1:單擊“認證”頁簽。
步驟2:進行如下配置,如下圖所示。
· 選擇域名為“bbb”。
· 選中“Default認證”前的複選框,選擇認證方式為“RADIUS”。
· 選擇認證方案名稱為“system”。
步驟3:單擊<應用>按鈕,彈出配置進度對話框。
步驟4:看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。
圖4-10 配置ISP域的AAA認證方案
(4) 配置ISP域的AAA授權方案。
步驟1:單擊“授權”頁簽。
步驟2:進行如下配置,如下圖所示。
· 選擇域名為“bbb”。
· 選中“Default授權”前的複選框,選擇授權方式為“RADIUS”。
· 選擇授權方案名稱為“system”。
步驟3:單擊<應用>按鈕,彈出配置進度對話框。
步驟4:看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。
圖4-11 配置ISP域的AAA授權方案
(5) 配置ISP域的AAA計費方案,並配置用戶計費可選。
步驟1:單擊“計費”頁簽。
步驟2:進行如下配置,如下圖所示。
· 選擇域名為“bbb”。
· 選中“計費可選開關”前的複選框,選擇“Enable”。
· 選中“Default計費”前的複選框,選擇計費方式為“RADIUS”。
· 選擇計費方案名稱為“system”。
步驟3:單擊<應用>按鈕,彈出配置進度對話框。
步驟4:看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。
圖4-12 配置ISP域的AAA計費方案
(6) 開啟AC的Telnet服務器功能。
步驟1:在導航欄中選擇“網絡 > 服務管理”。
步驟2:如下圖所示,選中“啟用Telnet服務”前的複選框。
步驟3:單擊<確定>按鈕完成操作。
圖4-13 啟用Telnet服務
(7) 通過命令行配置Telnet用戶登錄采用AAA認證方式。
<AC> system-view
[AC] user-interface vty 0 4
[AC-ui-vty0-4] authentication-mode scheme
[AC-ui-vty0-4] quit
在Telnet客戶端按照提示輸入用戶名hello@bbb及密碼abc,即可進入AC的用戶界麵,並可以使用級別為0、1、2、3的命令。
配置RADIUS客戶端時,需要注意如下事項:
(1) 目前RADIUS不支持對FTP用戶進行計費。
(2) 如果在線用戶正在使用的計費服務器被刪除,則設備將無法發送用戶的實時計費請求和停止計費請求,且停止計費報文不會被緩存到本地。
(3) RADIUS方案中各服務器的狀態(active、block)決定了設備向哪個服務器發送請求報文,以及設備在與當前服務器通信中斷的情況下,如何轉而與另外一個服務器進行交互。在實際組網環境中,可指定一個主RADIUS服務器和多個從RADIUS服務器,由從服務器作為主服務器的備份。通常情況下,設備上主從服務器的切換遵從以下原則:
· 當主服務器狀態為active時,設備首先嚐試與主服務器通信,若主服務器不可達,設備更改主服務器的狀態為block,並啟動該服務器的靜默定時器,然後按照從服務器的配置先後順序依次查找狀態為active的從服務器進行認證或者計費。如果狀態為active的從服務器也不可達,則將該從服務器的狀態置為block,同時啟動該服務器的靜默定時器,並繼續查找狀態為active的從服務器。當服務器的靜默定時器超時,或者設備收到該服務器的認證/計費應答報文時,該服務器將恢複為active狀態。在一次認證或計費過程中,如果設備在嚐試與從服務器通信時,主服務器狀態由block恢複為active,則設備並不會立即恢複與主服務器的通信,而是繼續查找從服務器。如果所有已配置的服務器都不可達,則認為本次認證或計費失敗。
· 一個用戶的計費流程開始之後,設備就不會再與其它的計費服務器通信,即該用戶的實時計費報文和停止計費報文隻會發往當前使用的計費服務器。如果當前使用的計費服務器被刪除,則實時計費和停止計費報文都將無法發送。
· 如果在認證或計費過程中刪除了服務器,則設備在與當前服務器通信超時後,將會重新從主服務器開始依次查找狀態為active的服務器進行通信。
· 當主/從服務器的狀態均為block時,設備僅與主服務器通信,若主服務器可達,則主服務器狀態變為active,否則保持不變。
· 隻要存在狀態為active的服務器,設備就僅與狀態為active的服務器通信,即使該服務器不可達,設備也不會嚐試與狀態為block的服務器通信。
· 設備收到服務器的認證或計費應答報文後會將與報文源IP地址相同且狀態為block的認證或計費服務器的狀態更改為active。
(4) 實時計費間隔與用戶量之間的推薦比例關係如下表所示。
用戶數 |
實時計費間隔(分鍾) |
1~99 |
3 |
100~499 |
6 |
500~999 |
12 |
≥1000 |
≥15 |
在一些簡單的應用環境下,用戶不希望部署AAA服務器實現認證功能,而是采用接入設備來進行本地認證。在這種情況下,若用戶的接入認證方法為EAP(Extensible Authentication Portocal,可擴展認證協議)方式,則需要在接入設備上配置本地EAP認證服務器來配合AAA的Local認證方案為接入用戶提供本地EAP認證服務。AAA的詳細介紹請參見“AAA”。
(1) 在導航欄中選擇“認證 > 本地EAP服務”,進入如下圖所示的頁麵。
(2) 配置本地EAP服務的信息,詳細配置如下表所示。
(3) 單擊<確定>按鈕完成操作。
表5-1 本地EAP服務的詳細配置
配置項 |
說明 |
EAP服務器狀態 |
設置開啟或關閉EAP服務器 當開啟EAP服務器時,可以進行下麵的配置 |
認證方法列表 |
設置EAP認證方法,包括: · MD5:表示MD5質詢認證方法 · TLS:表示TLS(Transport Layer Security,傳輸層安全)認證方法 · PEAP-MSCHAPV2(Protected Extensible Authentication Portocol-Microsoft Challenge Handshake Authentication Protocol v2,受保護的擴展認證協議- Microsoft質詢握手身份驗證協議版本2):表示PEAP認證方法,且在建立的TLS隧道內部使用MSCHAPV2方法進行認證 · PEAP-GTC(Protected Extensible Authentication Portocol-Microsoft Generic Token Card,受保護的擴展認證協議-通用令牌卡):表示PEAP認證方法,且在建立的TLS隧道內部使用GTC方法進行認證 當EAP客戶端與本地服務器進行EAP認證時,首先需要進行EAP認證方法的協商:本地服務器在配置生成的EAP認證方法列表中選取第一個認證方法,若客戶端的配置也支持服務器選定的認證方法,則協商成功,可繼續後續的認證過程;若客戶端不支持,則本地服務器重新發起認證,選用第二個認證方法;若當前的認證方法列表中沒有客戶端支持的方法,本地服務器向客戶端發送EAP-Failure報文,通知用戶認證失敗 · 可以同時配置多個認證方法,在已選擇的認證方法列表中排在前麵的認證方法在本地EAP認證時優先選用 · PEAP-MSCHAPV2和PEAP-GTC兩種認證方法不能同時配置 |
PKI域 |
設置用於EAP認證的PKI域 可選的PKI域在“認證 > 證書管理”中配置,詳細配置請參見“證書管理” 服務管理、Portal認證、本地EAP服務三個模塊中引用的PKI域是相互關聯的,在任何一個模塊進行了修改,另外兩個模塊中引用的PKI域也會隨之改變 |
配置本地EAP服務,實現對登錄AC的802.1X用戶進行本地EAP認證和授權,認證方式為EAP-TLS。
圖5-2 本地EAP服務配置組網圖
· 要實現對802.1X用戶進行本地EAP認證和授權,必須保證端口安全功能處於開啟狀態,並且802.1X認證的認證方式為EAP認證。
· 要使用EAP-TLS認證方式,必須在客戶端上正確配置連接的網絡屬性和客戶端證書。
· 完成PKI域“test”的配置,並成功申請本地證書和CA證書,具體配置請參見“證書管理”。
(1) 創建本地用戶usera。
步驟1:在導航欄中選擇“認證 > 用戶”,默認進入“本地用戶”頁簽的頁麵。
步驟2:單擊<新建>按鈕。
步驟3:進行如下配置,如下圖所示。
· 輸入用戶名為“usera”。
· 輸入用戶密碼為“1234”。
· 輸入確認密碼為“1234”。
· 選擇服務類型為“LAN-Access”。
步驟4:單擊<確定>按鈕完成操作。
圖5-3 創建本地用戶
(2) 配置缺省ISP域system的AAA方案為本地認證、授權(缺省情況下即存在名為system的缺省ISP域,且AAA方案為本地認證、授權,因此本步驟可省略,具體配置請參見“AAA”,此處不再贅述)。
(3) 開啟EAP服務器,配置認證方法為TLS,PKI域為test。
步驟1:在導航欄中選擇“認證 > 本地EAP服務”。
步驟2:進行如下配置,如下圖所示。
· 選擇EAP服務狀態為“開啟”。
· 在“可用認證方法”列表中選中“TLS”,單擊“<<”按鈕,將其添加到“認證方法”列表框中。
· 選擇PKI域為“test”。
步驟3:單擊<確定>按鈕完成操作。
圖5-4 配置本地EAP服務
(4) 創建AP
步驟1:在導航欄中選擇“AP > AP設置”。
步驟2:單擊<新建>按鈕。
步驟3:進行如下配置,如下圖所示。
· 輸入AP名稱為“ap1”。
· 選擇型號為“WA2620-AGN”。
· 選擇序列號方式為“手動”,並輸入AP的序列號。
步驟4:單擊<確定>按鈕完成操作。
圖5-5 創建AP
(5) 配置無線服務
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊<新建>按鈕。
步驟3:進行如下配置,如下圖所示。
· 輸入無線服務名稱為“802.1x-auth”。
· 選擇無線服務類型為“crypto”。
步驟4:單擊<確定>按鈕完成操作,頁麵跳轉到新創建無線服務的具體參數配置頁麵。
圖5-6 創建無線服務
步驟5:進行如下配置,如下圖所示。
· 單擊“安全設置”前的擴展按鈕。
· 選擇認證方式為“Open-System”。
· 選中“加密類型”前的複選框,選擇加密類型為“AES-CCMP and TKIP”(請根據實際情況,選擇需要的加密類型),選擇安全IE為“WPA”。
· 單擊“端口安全”前的擴展按鈕。
· 選中“端口設置”前的複選框。
· 選擇端口模式為“userlogin-secure-ext”。
· 選中“域名”前的複選框,選擇域名為“system”。
· 選擇認證方法為“EAP”。
· 選擇用戶握手為“Disable”。
· 選擇多播觸發為“Disable”。
步驟6:單擊<確定>按鈕,彈出配置進度對話框。
步驟7:看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。(中途會彈出確認配置EAP認證的對話框,單擊<確定>按鈕即可)
圖5-7 配置無線服務的安全參數
(6) 開啟無線服務
步驟1:如下圖所示,選中無線服務選中“802.1x-auth”前的複選框,
步驟2:單擊<開啟>按鈕完成操作,彈出配置進度對話框。
步驟3:看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。
圖5-8 開啟無線服務
(7) 綁定AP的射頻
步驟1:在接入服務列表中單擊無線服務“802.1x-auth”的圖標。
步驟2:如下圖所示, 選中AP名稱為“ap1”、射頻模式為“802.11n(2.4GHz)”的表項前的複選框。
步驟3:單擊<綁定>按鈕完成操作,彈出配置進度對話框。
步驟4:看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。
圖5-9 綁定AP的射頻
(8) 開啟802.11n(2.4GHz)射頻
步驟1:在導航欄中選擇“射頻 > 射頻設置”。
步驟2:如下圖所示,選中AP名稱為“ap1”、射頻模式為“802.11n(2.4GHz)”的表項前的複選框。
步驟3:單擊<開啟>按鈕完成操作。
圖5-10 使能802.11n(2.4GHz)射頻
完成上述配置後,客戶端可以成功通過EAP認證,並訪問無線網絡,在AC上可以ping通客戶端。
用戶模塊提供了本地用戶、用戶組、來賓用戶和用戶方案的配置功能。
本地用戶是本地設備上設置的一組用戶屬性的集合。該集合以用戶名為用戶的唯一標識,可配置多種屬性,比如用戶密碼、用戶類型、服務類型、授權屬性等。為使某個請求網絡服務的用戶可以通過本地認證,需要在設備上的本地用戶數據庫中添加相應的表項。本地認證的詳細介紹請參見“AAA”。
用戶組是一個本地用戶屬性的集合,某些需要集中管理的授權屬性可在用戶組中統一配置和管理,用戶組內的所有本地用戶都可以繼承這些屬性。
每個新增的本地用戶都默認屬於一個係統自動創建的用戶組system,且繼承該組的所有屬性,但本地用戶的屬性比用戶組的屬性優先級高。
來賓用戶是一種有特殊應用環境的本地用戶。在有Portal或LAN-Access用戶臨時需要接入網絡的情況下,設備管理員或來賓管理員可以為用戶建立臨時使用的來賓用戶帳戶,並置對來賓用戶帳戶進行生效時間的控製。
用戶方案提供一個配置模板,能夠保存預設配置(一係列配置的集合)。用戶可以根據不同的應用場景為用戶方案配置不同的內容,比如QoS(Quality of Service,服務質量)策略、限速速率、無線服務、AP組等。
用戶訪問設備時,需要先進行身份認證。在認證過程中,認證服務器會將用戶方案名稱下發給設備,設備會立即啟用用戶方案裏配置的具體內容。當用戶通過認證訪問設備時,設備將通過這些具體內容限製用戶的訪問行為。當用戶下線時,係統會自動禁用用戶方案下的配置項,從而取消用戶方案對用戶的限定。因此,用戶方案適用於限製上線用戶的訪問行為,沒有用戶上線(可能是沒有用戶接入、或者用戶沒有通過認證、或者用戶下線)時,用戶方案是預設配置,並不生效。
使用用戶方案之後,可以:
· 更精確地利用係統資源。比如,使用用戶方案之後,可以基於用戶應用QoS策略,這個QoS策略針對的是單個用戶。
· 更靈活地限製用戶的訪問瀏覽。比如,使用用戶方案之後,可以基於用戶進行流量監管,隻要用戶上線,認證服務器會自動下發相應的用戶方案(配置了限速速率),當用戶下線,係統會自動取消相應的配置,不需要再進行手工調整。
· 更具體的限製用戶接入控製。比如,使用用戶方案之後,可以基於無線接入服務來進行用戶接入控製,即限製用戶隻能在指定的SSID登錄;使用用戶方案之後,還可以基於AP來進行用戶接入控製,即限製用戶隻能通過指定AP組中的AP訪問網絡資源。
(1) 在導航欄中選擇“認證 > 用戶”,默認進入“本地用戶”頁簽的頁麵,如下圖所示,頁麵顯示的是所有本地用戶的信息,包括:普通用戶、安全日誌管理員、來賓管理員和來賓用戶。
在“本地用戶”頁簽的頁麵中可以修改用戶類型為來賓用戶的本地用戶,但是修改後的用戶類型不能再為來賓用戶。
(2) 單擊<新建>按鈕,進入新建本地用戶的配置頁麵,如下圖所示,可以新建除來賓用戶外其他類型的本地用戶。
(3) 配置本地用戶的信息,詳細配置如下表所示。
(4) 單擊<確定>按鈕完成操作。
配置項 |
說明 |
用戶名 |
設置本地用戶的名稱 |
用戶密碼 |
設置本地用戶的密碼和確認密碼 用戶密碼和確認密碼必須一致 輸入的密碼如果以空格開頭,則開頭的空格將被忽略 |
確認密碼 |
|
用戶組 |
設置本地用戶所屬的用戶組 |
用戶類型 |
設置本地用戶的類型,包括: · 普通用戶 · 安全日誌管理員:該類型的用戶僅能通過Web對安全日誌文件進行管理,並且隻有安全日誌管理員可以對安全日誌文件進行管理 · 來賓管理員:該類型的用戶僅能通過Web對來賓用戶的賬戶進行管理,訪問“認證 > 用戶 [來賓用戶]”的頁麵,新建、修改、刪除來賓用戶 |
授權等級 |
設置本地用戶的授權等級,由低到高依次為Visitor、Monitor、Configure、Management,高級別用戶具有低級別用戶的所有操作權限 · Visitor:處於該級別的用戶可以進行Ping和Trace Route操作,但不能從設備讀取任何數據,也不能對設備進行任何設置 · Monitor:隻能從設備讀取數據,而不能對設備進行任何設置 · Configure:可以從設備讀取數據,並對設備進行配置,但是不能對設備進行軟件升級、添加/刪除/修改用戶、備份/恢複配置文件等操作 · Management:可以對設備進行任何操作 授權等級隻對服務類型為Web、FTP、Telnet和SSH的用戶有效 |
服務類型 |
設置本地用戶可以使用的服務類型,包括Web、FTP、Telnet、PPP、Portal、LAN-Access(主要指以太網接入用戶,比如802.1x用戶)和SSH · 服務類型是本地認證的檢測項,如果沒有用戶可以使用的服務類型,則該用戶無法正常認證通過 · 來賓管理員和安全日誌管理員的服務類型為Web · 來賓用戶的服務類型為Portal和LAN-Access |
過期時間 |
設置本地用戶的有效截止時間 當指定了過期時間的用戶進行本地認證時,接入設備檢查當前係統時間是否在用戶的過期時間內,若在過期時間內則允許用戶登錄,否則拒絕用戶登錄 |
授權VLAN |
設置本地用戶的授權VLAN ID 授權VLAN隻對服務類型為Portal和LAN-Access的用戶有效 |
授權ACL |
設置本地用戶的授權ACL序號 授權ACL隻對服務類型為PPP、Portal和LAN-Access的用戶有效 |
用戶方案 |
設置本地用戶的授權用戶方案名稱 授權用戶方案隻對服務類型為PPP、Portal和LAN-Access的用戶有效 |
(1) 在導航欄中選擇“認證 > 用戶”。
(2) 單擊“用戶組”頁簽,進入用戶組的顯示頁麵,如下圖所示。
圖6-3 用戶組
(3) 單擊<新建>按鈕,進入新建用戶組的配置頁麵,如下圖所示。
(4) 配置用戶組的信息,詳細配置如下表所示。
(5) 單擊<確定>按鈕完成操作。
配置項 |
說明 |
用戶組名稱 |
設置用戶組的名稱 |
訪問等級 |
設置用戶組的訪問等級,由低到高依次為Visitor、Monitor、Configure、Management |
授權VLAN |
設置用戶組的授權VLAN ID |
授權ACL |
設置用戶組的授權ACL序號 |
用戶方案 |
設置用戶組的授權用戶方案名稱 |
來賓用戶可選 |
設置是否允許來賓用戶加入該用戶組 用戶組system默認為來賓用戶可選組,不可修改 |
有兩種用戶可以配置來賓用戶:Management級別的普通用戶和來賓管理員。
關於用戶類型和授權等級的詳細介紹請參見表6-1。
(1) 在導航欄中選擇“認證 > 用戶”。
(2) 單擊“來賓用戶”頁簽,進入來賓用戶的顯示頁麵,如下圖所示。
圖6-5 來賓用戶(一)
(3) 單擊<新建>按鈕,進入新建來賓用戶的配置頁麵,如下圖所示。
圖6-6 新建來賓用戶(一)
(4) 配置來賓用戶的信息,詳細配置如下表所示。
(5) 單擊<確定>按鈕完成操作。
配置項 |
說明 |
批量創建用戶 |
設置是否批量創建來賓用戶 |
用戶名 |
當非批量創建用戶時,設置來賓用戶的名稱 |
用戶名前綴 |
當批量創建用戶時,設置要批量創建的來賓用戶的用戶名前綴和數量 例如:設置用戶名前綴為abc,用戶數量為50,則會創建50個來賓用戶,用戶名分別為abc0~abc49 |
用戶數量 |
|
用戶密碼 |
設置來賓用戶的密碼 當選中“和用戶名一致”前的複選框時,不需要再輸入具體的用戶密碼和確認密碼,來賓用戶的密碼將與其用戶名一致 當未選中“和用戶名一致”前的複選框時,需要輸入具體的用戶密碼和確認密碼,且二者必須一致 輸入的密碼如果以空格開頭,則開頭的空格將被忽略 |
和用戶名一致 |
|
確認密碼 |
|
所屬用戶組 |
設置來賓用戶所屬的用戶組 |
生效時間 |
設置來賓用戶的生效時間段,包括起始時間和終止時間 當指定了生效時間的來賓用戶進行本地認證時,接入設備檢查當前係統時間是否在用戶的生效時間內,若在生效時間內則允許用戶登錄,否則拒絕用戶登錄 |
來賓管理員僅能通過Web對來賓用戶的賬戶進行管理。
(1) 來賓管理員登錄設備後,在導航欄中選擇“認證 > 用戶”,進入如下圖所示的頁麵。
圖6-7 來賓用戶(二)
(2) 單擊<新建>按鈕,進入新建來賓用戶的配置頁麵,如下圖所示頁麵。
(3) 配置來賓用戶的信息,詳細配置如表6-3所示。
(4) 單擊<確定>按鈕完成操作。
(1) 在導航欄中選擇“認證 > 用戶”。
(2) 單擊“用戶方案”頁簽,進入用戶方案的顯示頁麵,如下圖所示。
圖6-9 用戶方案
(3) 單擊<新建>按鈕,進入新建用戶方案名稱的配置頁麵,如下圖所示。
(4) 輸入用戶方案的名稱。
(5) 單擊<確定>按鈕,頁麵會提交新建用戶方案的配置,同時跳轉到該用戶方案具體信息的配置頁麵,如下圖所示。
(6) 配置用戶方案的具體信息,詳細配置如下表所示。
(7) 單擊<確定>按鈕完成操作。
配置項 |
說明 |
用戶方案名稱 |
顯示用戶方案的名稱 |
出方向策略 |
設置用戶方案中對上線用戶在出方向上應用QoS策略 |
入方向策略 |
設置用戶方案中對上線用戶在入方向上應用QoS策略 |
出限速速率 |
設置用戶方案中對上線用戶在出方向上的最大速率限製 |
入限速速率 |
設置用戶方案中對上線用戶在入方向上的最大速率限製 |
允許無線服務列表 |
設置用戶方案中所允許的無線服務 在“無線服務列表”中選擇要配置為允許的無線服務,單擊“<”按鈕將其添加到“選中無線服務列表”中即可 可選的無線服務在“無線服務 > 接入服務”中配置,詳細配置請參見“無線服務” |
允許AP組列表 |
設置用戶方案中所允許的AP組 在“AP列表”中選擇要配置為允許AP組,單擊“<”按鈕將其添加到“選中AP列表”中即可 可選的AP組在“AP > AP組管理”中配置,詳細配置請參見“AP” |
(8) 在用戶方案的顯示頁麵中點擊選中用戶方案前的複選框。
(9) 單擊<使能>按鈕即可將選中的用戶方案使能。
· 缺省情況下,新建的用戶方案處於去使能狀態。
· 用戶方案使能後才生效,認證服務器才會通知用戶認證成功。所以,如果不使能用戶方案,會導致引用該用戶方案的用戶不能上線,
· 使能後的用戶方案才能被用戶引用,去使能用戶方案將導致引用該用戶方案用戶被強製下線。
· 使能後的用戶方案不允許修改或刪除,去使能後才可以修改或刪除。
PKI(Public Key Infrastructure,公鑰基礎設施)是一個利用公共密鑰理論和技術來實現並提供信息安全服務的具有通用性的安全基礎設置。我司的PKI可為安全協議IPsec(IP security,IP安全)、SSL(Secure Sockets Layer,安全套接層)、WAPI(WLAN Authentication and Privacy Infrastructure,無線局域網鑒別與保密基礎結構)提供證書管理機製。
公共密鑰體製也稱為非對稱密鑰體製,是目前應用最廣泛的一種加密體製。這一體製使用一個非對稱的密鑰對,分別是一個公開的加密密鑰(公鑰)和一個保密的解密密鑰(私鑰),用公鑰加密的信息隻能用私鑰解密,反之亦然。由於公鑰是公開的,需要在網上傳送,故公鑰的管理問題就是公共密鑰體製所需要解決的關鍵問題。
目前,PKI係統中引出的數字證書機製就是一個很好的解決方案。基於公共密鑰技術的數字證書是一個用戶的身份和他所持有的公鑰的結合,是使用PKI係統的用戶建立安全通信的信任基礎。
基於數字證書的PKI係統,能夠為網絡通信和網絡交易,特別是電子政務和電子商務業務,透明地提供一整套安全服務,主要包括身份認證、保密、數據完整性和不可否認性。
PKI技術的廣泛應用能滿足人們對網絡交易安全保障的需求。作為一種基礎設施,PKI的應用範圍非常廣泛,並且在不斷發展之中,下麵給出幾個應用實例。
· 安全電子郵件:電子郵件的安全也要求機密、完整、認證和不可否認,而這些都可以利用PKI技術來實現。目前發展很快的安全電子郵件協議S/MIME(Secure/Multipurpose Internet Mail Extensions,安全/多用途Internet郵件擴充協議),是一個允許發送加密和有簽名郵件的協議。該協議的實現需要依賴於PKI技術。
· Web安全:為了透明地解決Web的安全問題,在兩個實體進行通信之前,先要建立SSL連接,以此實現對應用層透明的安全通信。利用PKI技術,SSL協議允許在瀏覽器和服務器之間進行加密通信。此外,服務器端和瀏覽器端通信時雙方可以通過數字證書確認對方的身份。
關於PKI的詳細介紹請參見“安全配置指導”中的“PKI”。
PKI證書的申請方式有兩種:
· 手動申請證書方式:需要手工完成獲取CA證書、生成密鑰對、申請本地證書的工作。
· 自動申請證書方式:在沒有本地證書時實體自動通過SCEP(Simple Certification Enrollment Protocol,簡單證書注冊協議,專門用於與認證機構進行通信)協議進行申請,而且在證書即將過期時自動申請新的證書並獲取至本地。
證書申請的方式可在PKI域中進行配置。根據證書申請方式的不同,PKI的配置步驟也不同。
手動申請證書方式下PKI配置的推薦步驟如下表所示。
表7-1 PKI配置步驟(手動申請證書方式)
步驟 |
配置任務 |
說明 |
1 |
必選 新建實體並配置實體的身份信息參數 一份證書是一個公開密鑰與一個身份的綁定,而身份必須與一個特定的PKI實體相關聯,CA根據實體提供的身份信息來唯一標識證書申請者 實體身份信息的配置必須與CA證書頒發策略相匹配,申請者的身份信息必須符合CA證書頒發策略,否則證書申請可能會失敗 |
|
2 |
必選 新建PKI域,配置證書申請方式為“Manual” 實體在進行PKI證書申請操作之前需要配置一些注冊信息來配合完成申請的過程,這些信息的集合就是一個實體的PKI域 PKI域是一個本地概念,因此創建PKI域的目的是便於其它應用引用PKI的配置,比如IKE、SSL等,一個設備上配置的PKI域對CA和其它設備是不可見的,每一個PKI域有單獨的域參數配置信息 |
|
3 |
必選 配置生成本地RSA密鑰對 缺省情況下,本地沒有RSA密鑰對 密鑰對的產生是證書申請過程中重要的一步。申請過程使用了一對主機密鑰:私鑰和公鑰。私鑰由用戶保留,公鑰和其他信息則交由CA中心進行簽名,從而產生證書 若本地證書已存在,為保證密鑰對與現存證書的一致性,必須在刪除本地證書後,再生成新的密鑰對 |
|
4 |
獲取CA證書 |
必選 將CA證書獲取至本地,詳細配置請參見“7.6 獲取和查看證書” 獲取證書的目的是: · 將CA簽發的與實體所在安全域有關的證書存放到本地,以提高證書的查詢效率,減少向PKI證書存儲庫查詢的次數 · 為證書的驗證做好準備 如果本地已有CA證書存在,則不允許再執行獲取CA證書的操作,避免因相關配置的修改使得證書與注冊信息不匹配。請先刪除存儲於本地的CA證書與本地證書後,再重新獲取 |
5 |
必選 證書申請就是實體向CA自我介紹的過程,實體向CA提供身份信息和相應的公鑰,這些信息將成為頒發給該實體證書的主要組成部分 申請本地證書有在線和離線兩種方式: · 在線申請成功後,會自動將本地證書獲取至本地 · 離線申請成功後,需要用戶通過離線方式將本地證書獲取至本地 如果本地已有本地證書存在,則不允許再執行申請本地證書的操作,避免因相關配置的修改使得證書與注冊信息不匹配。請先刪除存儲於本地的CA證書與本地證書,再重新申請 |
|
6 |
可選 如果要獲取的證書中含有RSA密鑰對,則必須先將設備上已有的密鑰對銷毀,否則無法成功獲取證書。銷毀RSA密鑰對的同時,也會銷毀對應的本地證書 |
|
7 |
當采用離線方式申請證書時必選 將已存在的證書獲取至本地,獲取後可以查看證書的詳細信息 · 在線獲取本地證書之前必須完成LDAP服務器的配置 · 當采用離線方式申請證書時,必須通過離線方式將下載到的CA證書和本地證書獲取至本地 |
|
8 |
可選 獲取CRL至本地,獲取後可以查看CRL的內容 |
自動申請證書方式下PKI配置的推薦步驟如下表所示。
表7-2 PKI配置步驟(自動申請證書方式)
步驟 |
配置任務 |
說明 |
1 |
必選 新建實體並配置實體的身份信息參數 一份證書是一個公開密鑰與一個身份的綁定,而身份必須與一個特定的PKI實體相關聯,CA根據實體提供的身份信息來唯一標識證書申請者 實體身份信息的配置必須與CA證書頒發策略相匹配,申請者的身份信息必須符合CA證書頒發策略,否則證書申請可能會失敗 |
|
2 |
必選 新建PKI域,配置證書申請方式為“Auto” 實體在進行PKI證書申請操作之前需要配置一些注冊信息來配合完成申請的過程,這些信息的集合就是一個實體的PKI域 PKI域是一個本地概念,因此創建PKI域的目的是便於其它應用引用PKI的配置,比如IKE、SSL等,一個設備上配置的PKI域對CA和其它設備是不可見的,每一個PKI域有單獨的域參數配置信息 |
|
3 |
可選 如果要獲取的證書中含有RSA密鑰對,則必須先將設備上已有的密鑰對銷毀,否則無法成功獲取證書。銷毀RSA密鑰對的同時,也會銷毀對應的本地證書 |
|
4 |
可選 將已存在的證書獲取至本地,獲取後可以查看證書的詳細信息 · 在線獲取本地證書之前必須完成LDAP服務器的配置 · 如果本地已有CA證書存在,則不允許再執行獲取CA證書的操作,避免因相關配置的修改使得證書與注冊信息不匹配。請先刪除存儲於本地的CA證書與本地證書後,再重新獲取 |
|
5 |
可選 獲取CRL至本地,獲取後可以查看CRL的內容 |
(1) 在導航欄中選擇“認證 > 證書管理”,默認進入“PKI實體”頁簽的頁麵,如下圖所示。
圖7-1 PKI實體
(2) 單擊<新建>按鈕,進入新建PKI實體的配置頁麵,如下圖所示。
(3) 配置新建PKI實體的信息,詳細配置如下表所示。
(4) 單擊<確定>按鈕完成操作。
表7-3 新建PKI實體的詳細配置
配置項 |
說明 |
PKI實體名稱 |
設置要新建的PKI實體的名稱 |
通用名 |
設置實體的通用名,比如用戶名稱 |
實體IP地址 |
設置實體的IP地址 |
FQDN |
設置實體的FQDN(Fully Qualified Domain Name,合格域名) FQDN是實體在網絡中的唯一標識,由一個主機名和域名組成,可被解析為IP地址。例如,www是一個主機名,whatever.com是一個域名,則www.whatever.com就是一個FQDN |
國家/地區 |
設置實體所屬的國家或地區代碼 |
州省 |
設置實體所屬的州省 |
地理區域 |
設置實體所在地理區域的名稱 |
組織 |
設置實體所屬組織的名稱 |
部門 |
設置實體所屬部門的名稱 |
(1) 在導航欄中選擇“認證 > 證書管理”。
(2) 單擊“PKI域”頁簽,進入PKI域的顯示頁麵,如下圖所示。
圖7-3 PKI域
(3) 單擊<新建>按鈕,進入新建PKI域的配置頁麵,如下圖所示。
(4) 配置PKI域的信息,詳細配置如下表所示。
(5) 單擊<確定>按鈕完成操作。
表7-4 新建PKI域的詳細配置
配置項 |
說明 |
PKI域名稱 |
設置要新建的PKI域的名稱 |
CA標識符 |
設置設備信任的CA標識符 在申請證書時,是通過一個可信實體認證機構,來完成實體證書的注冊頒發,因此必須指定一個信任的CA名稱,將設備與該CA進行綁定,該設備證書的申請、獲取、廢除及查詢均通過該CA執行 當采用離線方式申請證書時,此項可以不配置,否則必須配置 |
本地實體 |
設置本地PKI實體名稱 向CA發送證書申請請求時,必須指定所使用的實體名,以向CA表明自己的身份 可選的PKI實體名稱需通過新建PKI實體來配置 |
注冊機構 |
設置證書申請的注冊審理機構 · CA:表示由CA來完成注冊機構的功能 · RA:表示有獨立的RA作為注冊審理機構 PKI推薦獨立使用RA作為注冊審理機構 |
證書申請URL |
設置注冊服務器的URL 證書申請之前必須指定注冊服務器的URL,隨後實體可通過簡單證書注冊協議(SCEP,Simple Certification Enrollment Protocol)向該服務器提出證書申請,SCEP是專門用於與認證機構進行通信的協議 當采用離線方式申請證書時,此項可以不配置,否則必須配置 目前,注冊服務器URL的配置不支持域名解析 |
LDAP服務器IP地址 |
設置LDAP服務器的IP地址、端口號和版本號 要獲取本地證書,必須正確配置LDAP服務器 |
端口 |
|
版本 |
|
證書申請方式 |
設置在線證書申請的方式,有手動和自動兩種方式 |
挑戰碼加密 |
設置是否對挑戰碼進行密文顯示 “證書申請方式”選擇“Auto”時可配置 |
挑戰碼 |
設置挑戰碼,即撤銷證書時使用的密碼 “證書申請方式”選擇“Auto”時可配置 |
根證書指紋散列算法 |
設置驗證CA根證書時所使用的指紋 當設備從CA獲得根證書時,需要驗證CA根證書的指紋,即根證書內容的散列值,該值對於每一個證書都是唯一的。如果CA根證書的指紋與在PKI域中配置的指紋不同,則設備將拒絕接收根證書 · 當根證書指紋散列算法選擇“MD5”時,使用MD5指紋驗證CA根證書,輸入的根證書指紋必須為32個字符,並且以16進製的形式輸入 · 當根證書指紋散列算法選擇“SHA1”時,使用SHA1指紋驗證CA根證書,輸入的根證書指紋必須為40個字符,並且以16進製的形式輸入 · 當根證書指紋散列算法選擇空時,將不對根證書指紋進行驗證,需要用戶自行確認CA服務器是否可信 當證書申請方式選擇“Auto”時,必須設置驗證根證書時所使用的指紋;當證書申請方式選擇“Manual”時,可以不設置驗證根證書時所使用的指紋,則在獲取CA證書時將不對根證書指紋進行驗證,需要用戶自行確認CA服務器是否可信 |
根證書指紋 |
|
證書查詢次數 |
設置客戶端發送證書申請狀態查詢的周期和每個周期內發送查詢的次數 實體在發送證書申請後,如果CA采用手工驗證申請,證書的發布會需要很長時間。在此期間,客戶端需要定期發送狀態查詢,以便在證書簽發後能及時獲取到證書 |
證書查詢間隔 |
|
啟用CRL查詢 |
設置在證書驗證時是否進行CRL檢查 |
CRL更新間隔 |
設置CRL更新間隔,即使用證書的PKI實體從CRL存儲服務器下載CRL的時間間隔 選中“啟用CRL查詢”時可配置 缺省情況下,CRL的更新間隔由CRL文件中的下次更新域決定 |
獲取CRL的URL |
設置CRL發布點的URL 選中“啟用CRL查詢”時可配置 需要注意的是,未配置CRL發布點的URL時,通過SCEP協議獲取CRL,該操作在獲取CA證書和本地證書之後進行 目前,CRL發布點URL的配置不支持域名解析 |
(1) 在導航欄中選擇“認證 > 證書管理”。
(2) 單擊“證書”頁簽,進入PKI證書的顯示頁麵,如下圖所示。
(3) 單擊頁麵上的<創建密鑰>按鈕,進入生成RSA密鑰對的配置頁麵,如下圖所示。
(4) 設置RSA密鑰的長度。
(5) 單擊<確定>按鈕完成操作。
(1) 在導航欄中選擇“認證 > 證書管理”。
(2) 單擊“證書”頁簽,進入PKI證書的顯示頁麵,如圖7-5所示。
(3) 單擊頁麵上的<銷毀密鑰>按鈕,進入銷毀RSA密鑰對的配置頁麵,如下圖所示。
(4) 單擊<確定>按鈕將銷毀設備上已存在的RSA密鑰對和對應的本地證書。
用戶通過此配置可以將已存在的CA證書或本地證書獲取至本地。獲取證書有兩種方式:離線方式和在線方式。離線方式下獲取證書需要通過帶外方式(如FTP、磁盤、電子郵件等)取得證書,然後將其導入至本地。
(1) 在導航欄中選擇“認證 > 證書管理”。
(2) 單擊“證書”頁簽,進入PKI證書的顯示頁麵,如圖7-5所示。
(3) 單擊頁麵上的<獲取證書>按鈕,進入獲取PKI證書的配置頁麵,如下圖所示。
(4) 配置獲取PKI證書所需的信息,詳細配置如下表所示。
(5) 單擊<確定>按鈕完成操作。
表7-5 獲取PKI證書的詳細配置
配置項 |
說明 |
PKI域名稱 |
設置證書所在的PKI域 |
證書類型 |
設置要獲取的證書的為CA證書或Local證書 |
啟用離線方式 |
設置是否啟用離線方式(如FTP、磁盤、電子郵件等)獲取證書 |
從設備取得文件 |
當啟用離線方式時,設置要導入的證書文件的存放路徑和文件名 · 當證書文件保存在設備上時,選擇“從設備取得文件”,並選擇證書文件在設備上的存放路徑和文件名 · 當證書文件保存在本地主機上時,選擇“從PC取得文件”,並設置證書文件在PC上的存放路徑和文件名,以及文件上傳到設備後存放在哪個分區 |
從PC取得文件 |
|
口令 |
當啟用離線方式時,設置導入證書的口令,該口令在導出證書時指定,用於保護私鑰的口令 |
(6) 獲取證書後,在PKI證書顯示頁麵中單擊某證書對應的<查看證書>按鈕,查看該證書的詳細信息,如下圖所示。
(1) 在導航欄中選擇“認證 > 證書管理”。
(2) 單擊“證書”頁簽,進入PKI證書的顯示頁麵,如圖7-5所示。
(3) 單擊頁麵上的<申請證書>按鈕,進入申請本地證書的配置頁麵,如下圖所示。
(4) 配置申請本地證書所需的信息,詳細配置如下表所示。
表7-6 申請本地證書的詳細配置
配置項 |
說明 |
PKI域名稱 |
設置證書所在的PKI域 |
挑戰碼 |
設置挑戰碼,即撤銷證書時使用的密碼 |
啟用離線方式 |
設置是否啟用離線方式(如電話、磁盤、電子郵件等)申請本地證書 |
(5) 單擊<確定>按鈕。此時,如果采用在線方式申請證書,則會彈出提示框“證書申請已提交。”,再次單擊<確定>按鈕完成操作;如果采用離線方式申請證書,則頁麵上將顯示離線申請證書的信息,如下圖所示,用戶可以將這些信息通過帶外方式發送給CA進行證書申請。
(1) 在導航欄中選擇“認證 > 證書管理”。
(2) 單擊“CRL”頁簽,進入CRL的顯示頁麵,如下圖所示。
(3) 在列表中單擊某PKI域對應的操作列的<獲取CRL>按鈕,可將其CRL獲取到本地。
(4) 獲取CRL後,在列表中單擊該PKI域對應的<查看CRL>按鈕,可查看其CRL的詳細信息,如下圖所示。
圖7-13 查看CRL的詳細信息
在作為PKI實體的設備AC上進行相關配置,實現以下需求:
· AC向CA服務器申請本地證書,CA服務器上采用RSA Keon軟件。
· 獲取CRL為證書驗證做準備。
圖7-14 PKI實體向CA申請證書配置組網圖
(1) 創建CA服務器myca。
在本例中,CA服務器上首先需要進行基本屬性Nickname和Subject DN的配置。其它屬性選擇默認值。其中,Nickname為可信任的CA名稱,Subject DN為CA的DN屬性,包括CN、OU、O和C。
(2) 配置擴展屬性。
基本屬性配置完畢之後,還需要在生成的CA服務器管理頁麵上對“Jurisdiction Configuration”進行配置,主要內容包括:根據需要選擇合適的擴展選項;啟動自動頒發證書功能;添加可以自動頒發證書的地址範圍。
(3) 配置CRL發布
CA服務器的基本配置完成之後,需要進行CRL的相關配置。
本例中選擇CRL的發布方式為HTTP,自動生成CRL發布點的URL為http://4.4.4.133:447/myca.crl。
以上配置完成之後,還需要保證設備的係統時鍾與CA的時鍾同步才可以正常使用設備來申請證書和獲取CRL。
(1) 新建PKI實體。
步驟1:在導航欄中選擇“認證 > 證書管理”,默認進入“PKI實體”頁簽的頁麵。
步驟2:單擊<新建>按鈕。
步驟3:進行如下配置,如下圖所示。
· 輸入PKI實體名稱為“aaa”。
· 輸入通用名為“ac”。
步驟4:單擊<確定>按鈕完成操作。
圖7-15 新建PKI實體
(2) 新建PKI域。
步驟1:單擊“PKI域”頁簽。
步驟2:單擊<新建>按鈕。
步驟3:進行如下配置,如下圖所示。
· 輸入PKI域名稱為“torsa”。
· 輸入CA標識符為“myca”。
· 選擇本端實體為“aaa”。
· 選擇注冊機構為“CA”。
· 以“http://host:port/Issuing Jurisdiction ID”(其中的Issuing Jurisdiction ID為CA服務器上生成的16進製字符串)的格式輸入證書申請URL為“http://4.4.4.133:446/c95e970f632d27be5e8cbf80e971d9c4a9a93337”。
· 選擇證書申請方式為“Manual”。
· 單擊“高級設置”前的擴展按鈕。
· 選中“啟用CRl查詢”前的複選框。
· 輸入獲取CRL的URL為“http://4.4.4.133:447/myca.crl”。
步驟4:單擊<確定>按鈕,頁麵彈出對話框提示“未指定根證書指紋,在獲取CA證書時將不對根證書指紋進行驗證,確認要繼續嗎?”
步驟5:單擊對話框中的<確定>按鈕完成操作。
圖7-16 新建PKI域
(3) 生成RSA密鑰對。
步驟1:單擊“證書”頁簽。
步驟2:單擊<創建密鑰>按鈕。
步驟3:如下圖所示,輸入密鑰長度為“1024”。
步驟4:單擊<確定>按鈕開始生成RSA密鑰對。
圖7-17 生成RSA密鑰對
(4) 獲取CA證書至本地。
步驟1:生成密鑰對成功後,在“證書”頁簽的頁麵單擊<獲取證書>按鈕。
步驟2:進行如下配置,如下圖所示。
· 選擇PKI域為“torsa”。
· 選擇證書類型為“CA”。
步驟3:單擊<確定>按鈕開始獲取CA證書。
圖7-18 獲取CA證書至本地
(5) 申請本地證書。
步驟1:獲取CA證書成功後,在“證書”頁簽的頁麵單擊<申請證書>按鈕。
步驟2:進行如下配置,如下圖所示。
· 選擇PKI域為“torsa”。
· 選中“挑戰碼”前的單選按鈕,輸入挑戰碼為“challenge-word”。
步驟3:單擊<確定>按鈕開始申請本地證書,彈出“證書申請已提交”的提示框。
步驟4:單擊提示框中的<確定>按鈕完成操作。
圖7-19 申請證書設置
(6) 獲取CRL至本地
步驟1:單擊“CRL”頁簽。
步驟2:如下圖所示,單擊PKI域“torsa”對應的<獲取CRL>按鈕開始獲取CRL。
圖7-20 獲取CRL至本地
完成上述配置後,可以在“證書”頁簽的頁麵中查看獲取的CA證書和本地證書的詳細信息;可以在“CRL”頁簽的頁麵中查看獲取的CRL文件的詳細信息。
配置PKI時需要注意如下事項:
(1) 申請本地證書時,必須保證實體時鍾與CA的時鍾同步,否則申請證書的有效期會出現異常。
(2) Windows 2000 CA服務器對證書申請的數據長度有一定的限製。PKI實體身份信息配置項超過一定數據長度時,申請證書沒有回應。
(3) 當采用Windows Server作為CA時,需要安裝SCEP插件。此時,配置PKI域時,需要指定注冊機構為RA。
(4) 當采用RSA Keon軟件作為CA時,不需要安裝SCEP插件。此時,配置PKI domain時,需要指定注冊機構為CA。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!