用戶身份識別與管理典型配置舉例

 

本文檔介紹身份識別與管理的典型配置舉例。

通過用戶身份識別與管理功能，設備可以將網絡流量的IP地址識別為用戶，並基於用戶進行網絡訪問控製。此功能便於網絡管理員基於用戶進行安全策略的部署，以及基於用戶進行網絡攻擊行為以及流量的統計和分析，解決了用戶IP地址變化帶來的策略控製問題。

用戶將用戶名和密碼發送給RADIUS（Remote Authentication Dial-In User Service，遠程認證撥號用戶服務）服務器進行認證，認證通過後RADIUS服務器將用戶的身份信息（如用戶名、IP地址等）同步給設備。設備獲得用戶名和IP地址的對應關係後，用戶僅通過RADIUS服務器的認證即可直接訪問網絡資源，而無需再由安全設備進行認證，這種認證方式被稱作“RADIUS單點登錄”。

 

本文檔不嚴格與具體軟、硬件版本對應，如果使用過程中與產品實際情況有差異，請以設備實際情況為準。

本文檔中的配置均是在實驗室環境下進行的配置和驗證，配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置，為了保證配置效果，請確認現有配置和以下舉例中的配置不衝突。

本文檔假設您已了解Portal、AAA、身份識別與管理和安全策略等特性。

使用安全策略時，需要注意的是：當安全策略與包過濾策略同時配置時，因為安全策略對報文的處理在包過濾之前，報文與安全策略匹配成功後，不再進行包過濾處理，所以請合理配置安全策略和包過濾，否則可能會導致配置的包過濾不生效。

組網需求

在下圖網絡環境中企業需要對Portal用戶進行身份識別和訪問控製，具體要求如下：

·     采用一台Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。

·     采用RADIUS服務器作為認證服務器。

·     配置RESTful服務器用於存儲帳號信息。

·     用戶通過靜態方式配置IP地址，並在NAS設備上進行Portal認證後接入網絡。

·     在Device上對所有Portal在線用戶進行身份識別和基於用戶的訪問控製，具體要求如下：

¡     用戶user10001即不能訪問FTP server，也不能訪問Internet。

¡     用戶user10002僅能與FTP server互通，不能訪問Internet。

¡     用戶user10003僅能訪問Internet，不能訪問FTP server。

¡     Internet上的用戶不能主動訪問Trust安全域和DMZ安全域中的主機。

圖-1 基於RADIUS單點登錄的身份識別與管理配置組網圖

 

配置思路

完成本配置舉例需要在Host、Router、Device和iMC服務器上進行相關配置，具體配置思路如下圖所示。

圖-2 基於RADIUS單點登錄的身份識別與管理配置思路圖

 

使用版本

本舉例是在F1060的F9345版本上進行配置和驗證的。

本舉例是在MSR26-30的Version 7.1.064, ESS 0701版本上進行配置和驗證的。

本舉例以iMC為例（使用iMC版本為：iMC PLAT 7.3 (E0506)、iMC UAM 7.3 (E0503)、iMC CAMS 7.3 (E0501)、iMC SSM 7.3 (E0501)，說明RADIUS server和Portal server的基本配置。

配置限製和指導

因為iMC服務器隻有收到用戶的計費停止報文後，才會將此用戶下線。所以在此配置舉例中即使不需要對Portal用戶進行計費，仍然需要在Device的認證域中配置計費功能（iMC服務器上不需要配置計費策略），否則在Portal用戶下線時雖然設備上已經下線，但iMC服務器不會將此用戶下線。

配置步驟

配置Router

配置接口IP地址和路由保證網絡可達

# 配置接口GigabitEthernet0/0的IP地址為20.2.1.1。

<Router> system-view

[Router] interface gigabitethernet 0/0

[Router-GigabitEthernet0/0] ip address 20.2.1.1 255.255.255.0

[Router-GigabitEthernet0/0] quit

# 配置接口GigabitEthernet0/1的IP地址為192.168.100.90。

[Router] interface gigabitethernet 0/1

[Router-GigabitEthernet0/1] ip address 192.168.100.90 255.255.255.0

[Router-GigabitEthernet0/1] quit

# 配置缺省路由保證Router與FTP server和Internet路由可達。

[Router] ip route-static 0.0.0.0 0.0.0.0 192.168.100.88

配置SNMP功能保證iMC可以監控管理Router

# 開啟設備的SNMP Agent功能。

[Router] snmp-agent

# 配置設備支持SNMP所有版本、隻讀團體名為public，讀寫團體名為private。

[Router] snmp-agent sys-info version all

[Router] snmp-agent community read public

[Router] snmp-agent community write private

配置RADIUS方案

# 創建名稱為rs1的RADIUS方案並進入該方案視圖。

[Router] radius scheme rs1

# 配置RADIUS方案的主認證服務器及其通信密鑰。

[Router-radius-rs1] primary authentication 192.168.100.244

[Router-radius-rs1] primary accounting 192.168.100.244

[Router-radius-rs1] key authentication simple admin

# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。

[Router-radius-rs1] user-name-format without-domain

[Router-radius-rs1] quit

配置認證域

# 創建並進入名稱為dm1的認證域。

[Router] domain dm1

# 配置ISP域使用的RADIUS方案rs1。

[Router-isp-dm1] authentication portal radius-scheme rs1

[Router-isp-dm1] authorization portal radius-scheme rs1

[Router-isp-dm1] accounting portal radius-scheme rs1

[Router-isp-dm1] quit

配置Portal認證

# 配置Portal認證服務器：名稱為newpt，IP地址為192.168.100.244，密鑰為明文admin，監聽Portal報文的端口為50100。

[Router] portal server newpt

[Router-portal-server-newpt] ip 192.168.100.244 key simple admin

[Router-portal-server-newpt] port 50100

[Router-portal-server-newpt] quit

# 配置Portal Web服務器的URL為http://192.168.100.244:8080/portal。

[Router] portal web-server newpt

[Router-portal-websvr-newpt] url http://192.168.100.244:8080/portal

[Router-portal-websvr-newpt] quit

# 在接口GigabitEthernet0/0上開啟直接方式的Portal認證。

[Router] interface gigabitethernet 0/0

[Router–GigabitEthernet0/0] portal enable method direct

# 在接口GigabitEthernet0/0上引用Portal Web服務器為newpt。

[Router–GigabitEthernet0/0] portal apply web-server newpt

# 在接口GigabitEthernet0/0上配置Portal用戶使用的認證域為dm1。

[Router–GigabitEthernet0/0] portal domain dm1

[Router–GigabitEthernet0/0] quit

配置Device

配置SNMP功能保證iMC可以監控管理Device

# 開啟設備的SNMP Agent功能。

<Device> system-view

[Device] snmp-agent

# 配置設備支持SNMP所有版本、隻讀團體名為public，讀寫團體名為private。

[Device] snmp-agent sys-info version all

[Device] snmp-agent community read public

[Device] snmp-agent community write private

配置NETCONF over SOAP功能保證iMC可以向Device下發配置

# 開啟基於HTTP的SOAP功能。

[Device] netconf soap http enable

# 開啟基於HTTPS的SOAP功能。

[Device] netconf soap https enable

開啟RESTful功能保證設備上的RESTful服務器與iMC可通

# 開啟基於HTTP的RESTful功能。

[Device] restful http enable

# 開啟基於HTTPS的RESTful功能。

[Device] restful https enable

配置接口IP地址

# 選擇“網絡 > 接口 > 接口”，進入接口配置頁麵。

# 單擊接口GE1/0/1右側的<編輯>按鈕，配置如下。

·     安全域：Trust

·     選擇“IPv4地址”頁簽，配置IP地址/掩碼：192.168.100.88/24

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成接口IP地址和安全域的配置。

# 按照同樣的步驟配置接口GE1/0/2，配置如下。

·     安全域：DMZ

·     IP地址/掩碼：11.1.1.1/24

·     其他配置項使用缺省值

# 按照同樣的步驟配置接口GE1/0/3，配置如下。

·     安全域：Untrust

·     IP地址/掩碼：12.1.1.1/24

·     其他配置項使用缺省值

配置路由

1.     配置靜態路由保證Device與user網絡路由可達。

本舉例僅以靜態路由為例，若實際組網中需采用動態路由，請配置對應的動態路由協議。

# 選擇“網絡 > 路由 > 靜態路由 > IPv4靜態路由”，單擊<新建>按鈕，進入新建IPv4靜態路由頁麵。

# 新建IPv4靜態路由，並進行如下配置：

¡     目的IP地址：20.2.1.0

¡     掩碼長度：24

¡     下一跳IP地址： 192.168.100.90

¡     其他配置項使用缺省值

# 單擊<確定>按鈕，完成靜態路由的配置。

2.     配置缺省路由保證Device與Internet路由可達。（此處以Device連接Internet的下一條IP地址是12.1.1.2為例，實際組網中，請以運營商提供的實際IP地址為準）

本舉例僅以靜態路由為例，若實際組網中需采用動態路由，請配置對應的動態路由協議。

# 選擇“網絡 > 路由 > 靜態路由 > IPv4靜態路由”，單擊<新建>按鈕，進入新建IPv4靜態路由頁麵。

# 新建IPv4靜態路由，並進行如下配置：

¡     目的IP地址：0.0.0.0

¡     掩碼長度：0

¡     下一跳IP地址：12.1.1.2

¡     其他配置項使用缺省值

# 單擊<確定>按鈕，完成靜態路由的配置。

為管理員用戶admin授權HTTP服務

# 選擇“係統 > 管理員 > 管理員”，管理員頁麵。

# 在管理員頁麵，單擊admin用戶右邊的<編輯>按鈕，進入修改管理員頁麵。

# 在修改管理員頁麵，配置其擁有HTTP服務。其他配置項保持默認情況即可，如下圖所示。

圖-3 修改管理員信息

 

# 其他配置項保持默認情況即可。

# 單擊<確定>按鈕，完成管理員信息修改。

配置用戶身份識別與管理功能

1.     開啟用戶身份識別功能。

# 選擇“對象 > 用戶 > 用戶管理 > 在線用戶”，選擇在線用戶頁簽。

# 在在線用戶頁麵，單擊<開啟身份識別功能>按鈕，開啟用戶身份識別功能。如下圖所示。

圖-4 開啟身份識別功能

 

2.     創建名稱為rest1的RESTful服務器

# 選擇“對象 > 用戶 > 認證管理 > RESTful服務器”，進入RESTful服務器頁麵。

# 在RESTful服務器頁麵，單擊<新建>按鈕，進入新建RESTful服務器頁麵。

# 在新建RESTful服務器頁麵，配置相關參數信息，具體內容如下圖所示。

圖-5 新建RESTful服務器

 

# 其他配置項保持默認情況即可。

# 單擊<確定>按鈕，完成策略配置。

RESTful服務器的具體配置信息如下：

¡     名稱：rest1

¡     用戶名：admin

¡     密碼：admin。

¡     獲取用戶賬號的URI：http://192.168.100.244:8080/imcrs/ssm/imcuser/accessUser

¡     獲取在線用戶的URI：http://192.168.100.244:8080/imcrs/ssm/imcuser/onlineUser

¡     獲取用戶組的URI：http://192.168.100.244:8080/imcrs/ssm/imcuser/accessUserGroup

¡     上傳在線用戶的URI：http://192.168.100.244:8080/imcrs/ssm/imcuser/uploadOnlineUser

¡     上傳下線用戶的URI：http://192.168.100.244:8080/imcrs/ssm/imcuser/uploadOfflineUser

 

3.     創建名稱為imc的用戶導入策略

# 選擇“對象 > 用戶 > 用戶管理 > 用戶導入策略”，進入用戶導入策略頁麵。

# 在用戶導入策略頁麵，單擊<新建>按鈕，進入新建導入策略頁麵。

# 在新建導入策略頁麵，配置相關參數信息，具體內容如下圖所示。

圖-6 新建導入策略

 

# 其他配置項保持默認情況即可。

# 單擊<確定>按鈕，完成策略配置。

# 在設備與iMC正常通信後，在用戶導入策略頁麵選擇imc用戶導入策略，單擊<手工導入身份識別用戶>和<手工導入在線用戶>按鈕，將iMC服務器上的賬戶信息和在線用戶信息導入設備。如下圖所示。

圖-7 導入賬戶和在線用戶

 

配置安全策略保證Device與iMC互通

此步驟保證Device能夠從iMC上同步身份識別用戶信息。

# 創建名稱為trust-local的安全策略，使Trust安全域到Local安全域的報文可通。

# 選擇“策略 > 安全策略 > 安全策略”，單擊<新建>按鈕，選擇新建策略，進入新建安全策略頁麵。

# 新建安全策略，並進行如下配置：

·     名稱：trust-local

·     源安全域：trust

·     目的安全域：local

·     類型：IPv4

·     動作：允許

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成安全策略的配置。

# 按照同樣的步驟配置名稱為local-trust的安全策略，使Local安全域到Trust安全域的報文可通，配置如下。

·     名稱：local-trust

·     源安全域：local

·     目的安全域：trust

·     類型：IPv4

·     動作：允許

·     其他配置項使用缺省值

# 按照同樣的步驟配置名稱為user10002的安全策略，僅允許user10002與FTP server互通，但是禁止其他用戶訪問FTP server，配置如下。

·     名稱：user10002

·     源安全域：trust、dmz

·     目的安全域：trust、dmz

·     類型：IPv4

·     動作：允許

·     用戶：user10002

·     其他配置項使用缺省值

# 按照同樣的步驟配置名稱為user10003的安全策略，僅允許user10003主動訪問Internet，但是禁止Internet用戶主動訪問內網。

·     名稱：user10003

·     源安全域：trust

·     目的安全域：untrust

·     類型：IPv4

·     動作：允許

·     用戶：user10003

·     其他配置項使用缺省值

在iMC上增加設備（iMC）

# 在iMC上增加設備保證iMC可以監控和管理設備，具體配置步驟如下。

1.     登錄iMC管理平台

# 在瀏覽器地址欄中輸入iMC管理平台的URL。本配置舉例中iMC管理平台的URL為http://192.168.100.244:8080/imc/，用戶名和密碼均為admin，具體步驟略。

2.     增加設備

# 選擇“資源”頁簽，單擊導航樹中的[資源管理/增加設備]菜單項，進入增加設備配置頁麵，其配置內容如下圖所示，其中Telnet參數的用戶名和密碼均為admin；其他配置保持默認值即可，其中SNMP的隻讀團體字密碼缺省值為public，讀寫團體字密碼缺值省為private。

圖-8 增加設備

 

# 單擊<確定>按鈕完成操作。

# 請參考以上步驟添加設備Router，IP地址為192.168.100.90，具體配置步驟略。

3.     修改NETCONF參數信息

# 選擇“資源”頁簽，單擊導航樹中的[視圖管理/設備視圖]菜單項，進入設備視圖列表頁麵，在此頁麵的設備標簽列單擊目標設備，進入某設備的詳細信息頁麵，如下圖所示。

圖-9 設備視圖列表

 

# 在設備詳細信息頁麵的右側，依次單擊[配置/修改NETCONF參數]，在彈出的對話框中單擊加號添加協議，具體配置內容如下圖所示，其中用戶名和密碼為admin。

 

# 單擊<確定>按鈕完成操作。

配置安全業務（iMC）

1.     在安全業務中同步設備，保證設備與iMC服務器上的配置信息和用戶信息的同步

# 選擇“業務”頁簽，單擊導航樹中的[安全業務管理/設備管理]菜單項，進入設備管理配置頁麵，在設備管理頁簽下的設備列表中可以看到添加成功的設備，如下圖所示。

圖-10 安全設備管理頁麵（未同步）

 

# 選中需要同步的設備單擊<同步>按鈕，進行設備同步。設備同步完成後同步狀態一列會顯示成功，如下圖所示。（同步時間較長，請耐心等待）

圖-11 安全設備管理頁麵（同步中）

 

圖-12 安全設備管理頁麵（同步成功）

 

2.     配置用戶認證係統參數和用戶通知參數，保證iMC服務器將用戶的上下線信息實時同步給設備

# 選擇“業務”頁簽，單擊導航樹中的[安全業務管理/全局參數配置]菜單項，進入全局參數配置頁麵，在此頁麵配置用戶認證係統參數，如下圖所示。

請根據Portal認證服務器的協議類型，選擇對應的協議類型。用戶名和密碼與登錄iMC服務器的相同。

圖-13 配置用戶認證係統參數

 

# 選擇“用戶”頁簽，單擊導航樹中的[接入策略管理/業務參數配置/係統配置]菜單項，進入係統配置頁麵，在此頁麵選擇用戶通知參數配置進入修改用戶通知頁麵，如下圖所示。

此處的共享密鑰沒有用到，隨意輸入即可。

圖-14 修改用戶通知

 

配置RADIUS server（iMC）

1.     登錄iMC管理平台

# 在瀏覽器地址欄中輸入iMC管理平台的URL。本配置舉例中iMC管理平台的URL為http://192.168.100.244:8080/imc/，用戶名和密碼均為admin，具體步驟略。

2.     增加接入設備

# 選擇“用戶”頁簽，單擊導航樹中的[接入策略管理/接入設備管理/接入設備配置]菜單項，進入接入設備配置頁麵，在該頁麵中單擊<增加>按鈕，進入增加接入設備頁麵。配置共享密鑰為admin，其他配置如下圖所示。

圖-15 增加接入設備

 

# 單擊<確定>按鈕完成操作。

 

3.     增加接入策略

# 選擇“用戶”頁簽，單擊導航樹中的[接入策略管理/接入策略管理]菜單項，進入接入策略管理配置頁麵，在該頁麵中單擊<增加>按鈕，進入增加接入策略頁麵。配置接入策略名為Portal，其他配置項使用缺省值即可，如下圖所示。

圖-16 增加接入策略

 

# 單擊<確定>按鈕完成操作。

4.     增加接入服務

# 選擇“用戶”頁簽，單擊導航樹中的[接入策略管理/接入服務管理]菜單項，進入接入服務管理配置頁麵，在該頁麵中單擊<增加>按鈕，進入增加接入服務頁麵。配置服務名為Portal，引用的缺省接入策略為Portal，其他配置項使用缺省值即可，如下圖所示。

圖-17 增加接入服務

 

# 單擊<確定>按鈕完成操作。

5.     增加接入用戶

# 選擇“用戶”頁簽，單擊導航樹中的[接入用戶管理/接入用戶]菜單項，進入接入用戶配置頁麵，在該頁麵中單擊<增加>按鈕，進入增加接入用戶頁麵。配置用戶姓名為user，帳號名為user10001，密碼為admin，接入服務選擇Portal，其他配置項使用缺省值即可，如下圖所示。

圖-18 增加接入用戶

 

# 單擊<確定>按鈕完成操作。

# 請參考上麵的配置步驟，繼續增加帳號user10002和user10003。

配置Portal server（iMC）

1.     登錄iMC管理平台

# 在瀏覽器地址欄中輸入iMC管理平台的URL。本配置舉例中iMC管理平台的URL為http://192.168.100.244:8080/imc/，用戶名和密碼均為admin，具體步驟略。

2.     配置Portal服務器

# 選擇“用戶”頁簽，單擊導航樹中的[接入策略管理/Portal服務器管理/服務器配置]菜單項，進入服務器配置頁麵。根據實際組網情況調整以下參數，本例中使用缺省配置。

圖-19 Portal服務器配置

 

3.     增加IP地址組

# 選擇“用戶”頁簽，單擊導航樹中的[接入策略管理/Portal服務器管理/IP地址組配置]菜單項，進入IP地址組配置頁麵，在該頁麵中單擊<增加>按鈕，進入增加IP地址組配置頁麵。配置內容如下圖所示。

圖-20 增加IP地址組

 

# 單擊<確定>按鈕完成操作。

4.     增加Portal設備

# 選擇“用戶”頁簽，單擊導航樹中的[接入策略管理/Portal服務器管理/設備配置]菜單項，進入設備配置頁麵，在該頁麵中單擊<增加>按鈕，進入增加設備信息配置頁麵。配置密鑰為admin，其它配置內容如下圖所示。

圖-21 增加Portal設備配置

 

# 單擊<確定>按鈕完成操作。

5.     Portal設備關聯IP地址組

# 選擇“用戶”頁簽，單擊導航樹中的[接入策略管理/Portal服務器管理/設備配置]菜單項，進入設備配置頁麵，在設備配置頁麵中的設備信息列表中，點擊Router設備操作中的<端口組信息管理>按鈕，進入端口組信息配置頁麵。

圖-22 設備信息列表

 

# 在端口組信息配置頁麵中點擊<增加>按鈕，進入增加端口組信息配置頁麵。配置內容如下圖所示。

圖-23 增加端口組信息配置

 

# 單擊<確定>按鈕完成操作。

配置Host

# 在Host上配置IP地址、子網掩碼、默認網關保證Host可以正常與外部通信，具體配置步驟略。

驗證配置

1.     在Host上驗證Portal用戶的接入認證

# 在瀏覽器地址欄中輸入Portal Web服務器的URL：http://192.168.100.244:8080/portal，登錄Portal認證頁麵，輸入用戶名和密碼，單擊<Log In>按鈕，Portal用戶認證成功後如下圖所示。

圖-24 Portal用戶認證成功示意圖

 

2.     iMC上的本地在線用戶

用戶user10001、user10002和user10003進行Portal認證成功後，可以在iMC的本地在線用戶列表中看到，如下圖所示。

圖-25 本地在線用戶示意圖

 

3.     在Device上查看身份識別用戶信息

# 顯示所有身份識別用戶信息。

[Device] display user-identity all user

  User ID     Username

  0x2         user10001

  0x3         user10002

  0x4         user10003

# 顯示非域下名稱為user10001的在線身份識別用戶信息。

[Device] display user-identity online-user null-domain name user10001

User name: user10001

  IP  : 20.2.1.11

  MAC : 0011-95e4-4aa9

  Type: Dynamic

 

Total 1 records matched.

# 顯示非域下名稱為user10002的在線身份識別用戶信息。

[Device] display user-identity online-user null-domain name user10002

User name: user10002

  IP  : 20.2.1.12

  MAC : 0011-95e4-4aa3

  Type: Dynamic

 

Total 1 records matched.

# 顯示非域下名稱為user10003的在線身份識別用戶信息。

[Device] display user-identity online-user null-domain name user10003

User name: user10003

  IP  : 20.2.1.13

  MAC : 0011-95e4-4aa2

  Type: Dynamic

 

Total 1 records matched.

4.     Device基於用戶的訪問控製效果

# 用戶user10001不可Ping通FTP server。

C:\>ping 11.1.1.2

 

Pinging 11.1.1.2 with 32 bytes of data:

Request time out.

Request time out.

Request time out.

Request time out.

 

Ping statistics for 11.1.1.2:

    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

# 用戶user10002可Ping通FTP server。

C:\>ping 11.1.1.2

 

Pinging 11.1.1.2 with 32 bytes of data:

Reply from 11.1.1.2: bytes=32 time=36ms TTL=253

Reply from 11.1.1.2: bytes=32 time<1ms TTL=253

Reply from 11.1.1.2: bytes=32 time<1ms TTL=253

Reply from 11.1.1.2: bytes=32 time<1ms TTL=253

 

Ping statistics for 11.1.1.2:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 36ms, Average = 9ms

# 當用戶user10002Ping通FTP server時，Device上會生成如下日誌信息。

[Device]%Nov  6 10:19:53:920 2017 H3C FILTER/6/FILTER_ZONE_EXECUTION_ICMP: -Context

=1; SrcZoneName(1025)=Trust;DstZoneName(1035)=DMZ;Type(1067)=ACL;SecurityPolicy(

1072)=user10002;RuleID(1078)=2;Protocol(1001)=ICMP;SrcIPAddr(1003)=20.2.1.12;Src

MacAddr(1021)=7425-8a37-b5f6;DstIPAddr(1007)=11.1.1.2;IcmpType(1062)=ECHO(8);Icm

pCode(1063)=0;MatchCount(1069)=1;Event(1048)=Permit;

# 用戶user10003可Ping通Internet上的主機。（假設Internet上存在一個IP地址為12.1.1.2的主機，實際組網中請以實際情況為準）

C:\>ping 12.1.1.2

 

Pinging 12.1.1.2 with 32 bytes of data:

Reply from 12.1.1.2: bytes=32 time=37ms TTL=253

Reply from 12.1.1.2: bytes=32 time<1ms TTL=253

Reply from 12.1.1.2: bytes=32 time<1ms TTL=253

Reply from 12.1.1.2: bytes=32 time<1ms TTL=253

 

Ping statistics for 12.1.1.2:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 36ms, Average = 9ms

# 當用戶user10003Ping通Internet上的主機時，Device上會生成如下日誌信息。

[Device]%Nov  6 10:19:53:920 2017 H3C FILTER/6/FILTER_ZONE_EXECUTION_ICMP: -Context

=1; SrcZoneName(1025)=Trust;DstZoneName(1035)=Untrust;Type(1067)=ACL;SecurityPolicy(

1072)=user10003;RuleID(1078)=3;Protocol(1001)=ICMP;SrcIPAddr(1003)=20.2.1.13;Src

MacAddr(1021)=7425-8a37-b5f6;DstIPAddr(1007)=12.1.1.2;IcmpType(1062)=ECHO(8);Icm

pCode(1063)=0;MatchCount(1069)=1;Event(1048)=Permit;

配置文件

Router

[Router] display current-configuration

#

interface GigabitEthernet0/0

 port link-mode route

 ip address 20.2.1.1 255.255.255.0

 portal enable method direct

 portal domain dm1

 portal apply web-server newpt

#

interface GigabitEthernet0/1

 port link-mode route

 ip address 192.168.100.90 255.255.255.0

#

interface GigabitEthernet3/0

 port link-mode route

 combo enable copper

#

 ip route-static 0.0.0.0 0 192.168.100.88

#

 snmp-agent

 snmp-agent local-engineid 800063A28074258A37B5F500000001

 snmp-agent community write private

 snmp-agent community read public

 snmp-agent sys-info version all

#

radius scheme rs1

 primary authentication 192.168.100.244

 primary accounting 192.168.100.244

 key authentication cipher $c$3$hhbEbD5Ycvw7VWqljAoMoU7hQRgcUjtg

 user-name-format without-domain

#

domain dm1

 authentication portal radius-scheme rs1

 authorization portal radius-scheme rs1

 accounting portal radius-scheme rs1

#

domain system

#

 domain default enable system

#

local-user admin class manage

 password hash $h$6$UbIhNnPevyKUwfpm$LqR3+yg1IjNct39MkOR0H0iQXLkYB3jMqM4vbAeoXOh

babIIFnjJPEGR00YiYA1Sz4LiY3FmEdru2fOLMb1shQ==

 service-type telnet http

 authorization-attribute user-role network-admin

#

portal web-server newpt

 url http://192.168.100.244:8080/portal

#

portal server newpt

 ip 192.168.100.244 key cipher $c$3$+UmaGOco7eHsjOqlrp8lI4eYe0A8NpYU

#

return

Device

[Device] display current-configuration

#

interface GigabitEthernet1/0/1

 port link-mode route

 ip address 192.168.100.88 255.255.255.0

#

interface GigabitEthernet1/0/2

 port link-mode route

 ip address 11.1.1.1 255.255.255.0

#

interface GigabitEthernet1/0/3

 port link-mode route

 ip address 12.1.1.1 255.255.255.0

#

security-zone name Trust

 import interface GigabitEthernet1/0/1

#

security-zone name DMZ

 import interface GigabitEthernet1/0/2

#

security-zone name Untrust

 import interface GigabitEthernet1/0/3

#

line vty 0 63

 authentication-mode scheme

 user-role network-admin

#

 ip route-static 0.0.0.0 0 12.1.1.2

 ip route-static 20.2.1.0 24 192.168.100.90

#

 snmp-agent

 snmp-agent local-engineid 800063A280487ADA9593B700000001

 snmp-agent community write private

 snmp-agent community read public

 snmp-agent sys-info version all

 snmp-agent target-host trap address udp-domain 192.168.100.244 params securityn

ame public v2c

#

local-user admin class manage

 password hash $h$6$UbIhNnPevyKUwfpm$LqR3+yg1IjNct39MkOR0H0iQXLkYB3jMqM4vbAeoXOh

babIIFnjJPEGR00YiYA1Sz4LiY3FmEdru2fOLMb1shQ==

 service-type ssh telnet terminal http https

 authorization-attribute user-role level-3

 authorization-attribute user-role network-admin

 authorization-attribute user-role network-operator

#

 netconf soap http enable

 netconf soap https enable

 restful http enable

 restful https enable

#

 user-identity enable

 user-identity user-account auto-import policy imc

#

user-identity restful-server rest1

 login-name admin password cipher $c$3$phGy00HA6OP6pIpGI0KOKZEOPuLVbtt/

 uri get-user-database http://192.168.100.244:8080/imcrs/ssm/imcuser/accessUser

 uri get-user-group-database http://192.168.100.244:8080/imcrs/ssm/imcuser/acces

sUserGroup

 uri get-online-user http://192.168.100.244:8080/imcrs/ssm/imcuser/onlineUser

 uri put-online-user http://192.168.100.244:8080/imcrs/ssm/imcuser/uploadOnlineU

ser

 uri put-offline-user http://192.168.100.244:8080/imcrs/ssm/imcuser/uploadOfflin

eUser

#

user-identity user-import-policy imc

 account-update-interval 1

 restful-server rest1

#

security-policy ip

 rule 0 name trust-local

  action pass

  source-zone trust

  destination-zone local

 rule 1 name local-trust

  action pass

  source-zone local

  destination-zone trust

 rule 2 name user10002

  action pass

  logging enable

  source-zone trust

  source-zone dmz

  destination-zone dmz

  destination-zone trust

  user user10002

 rule 3 name user10003

  action pass

  logging enable

  source-zone trust

  destination-zone untrust

  user user10003

#

return

組網需求

在下圖網絡環境中企業需要對Portal用戶進行身份識別和訪問控製，具體要求如下：

·     采用一台Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。

·     采用RADIUS服務器作為認證服務器。

·     配置RESTful服務器用於存儲帳號信息。

·     用戶通過靜態方式配置IP地址，並在NAS設備上進行Portal認證後接入網絡。

·     在Device上對所有Portal在線用戶進行身份識別和基於用戶的訪問控製，具體要求如下：

¡     用戶user10001和user10002不能訪問Internet。

¡     用戶user10003可以訪問Internet。

¡     Internet上的用戶不能主動訪問Trust安全域和DMZ安全域中的主機。

圖-26 基於RADIUS認證本地接入的身份識別與管理配置組網圖

 

配置思路

完成本配置舉例需要在Host、Router、Device和iMC服務器上進行相關配置，具體配置思路如下圖所示。

圖-27 基於RADIUS單點登錄的身份識別與管理配置思路圖

 

使用版本

本舉例是在F1060的F9345版本上進行配置和驗證的。

本舉例是在MSR26-30的Version 7.1.064, ESS 0701版本上進行配置和驗證的。

本舉例以iMC為例（使用iMC版本為：iMC PLAT 7.3 (E0506)、iMC UAM 7.3 (E0503)、iMC CAMS 7.3 (E0501)、iMC SSM 7.3 (E0501)，說明RADIUS server和Portal server的基本配置。

配置限製和指導

因為iMC服務器隻有收到用戶的計費停止報文後，才會將此用戶下線。所以在此配置舉例中即使不需要對Portal用戶進行計費，也然需要在Device的認證域中配置計費功能（iMC服務器上不需要配置計費策略），否則在Portal用戶下線時雖然設備上已經下線，但iMC服務器不會將此用戶下線。

配置步驟

配置Router

配置接口IP地址和路由保證網絡可達

# 配置接口GigabitEthernet0/0的IP地址為20.2.1.1。

<Router> system-view

[Router] interface gigabitethernet 0/0

[Router-GigabitEthernet0/0] ip address 20.2.1.1 255.255.255.0

[Router-GigabitEthernet0/0] quit

# 配置接口GigabitEthernet0/1的IP地址為20.2.2.1。

[Router] interface gigabitethernet 0/1

[Router-GigabitEthernet0/1] ip address 20.2.2.1 255.255.255.0

[Router-GigabitEthernet0/1] quit

# 配置缺省路由保證Router與Internet路由可達。

[Router] ip route-static 0.0.0.0 0.0.0.0 20.2.2.2

配置Device

配置SNMP功能保證iMC可以監控管理Device

# 開啟設備的SNMP Agent功能。

<Device> system-view

[Device] snmp-agent

# 配置設備支持SNMP所有版本、隻讀團體名為public，讀寫團體名為private。

[Device] snmp-agent sys-info version all

[Device] snmp-agent community read public

[Device] snmp-agent community write private

配置NETCONF over SOAP功能保證iMC可以向Device下發配置

# 開啟基於HTTP的SOAP功能。

[Device] netconf soap http enable

# 開啟基於HTTPS的SOAP功能。

[Device] netconf soap https enable

開啟RESTful功能保證設備上的RESTful服務器與iMC可通

# 開啟基於HTTP的RESTful功能。

[Device] restful http enable

# 開啟基於HTTPS的RESTful功能。

[Device] restful https enable

配置接口IP地址

# 選擇“網絡 > 接口 > 接口”，進入接口配置頁麵。

# 單擊接口GE1/0/1右側的<編輯>按鈕，配置如下。

·     安全域：DMZ

·     選擇“IPv4地址”頁簽，配置IP地址/掩碼：192.168.100.88/24

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成接口IP地址和安全域的配置。

# 按照同樣的步驟配置接口GE1/0/2，配置如下。

·     安全域：trust

·     IP地址/掩碼：20.2.2.2/24

·     其他配置項使用缺省值

# 按照同樣的步驟配置接口GE1/0/3，配置如下。

·     安全域：Untrust

·     IP地址/掩碼：12.1.1.1/24

·     其他配置項使用缺省值

配置路由

1.     配置靜態路由保證Device與user網絡路由可達。

本舉例僅以靜態路由為例，若實際組網中需采用動態路由，請配置對應的動態路由協議。

# 選擇“網絡 > 路由 > 靜態路由 > IPv4靜態路由”，單擊<新建>按鈕，進入新建IPv4靜態路由頁麵。

# 新建IPv4靜態路由，並進行如下配置：

¡     目的IP地址：20.2.1.0

¡     掩碼長度：24

¡     下一跳IP地址：20.2.2.1

¡     其他配置項使用缺省值

# 單擊<確定>按鈕，完成靜態路由的配置。

2.     配置缺省路由保證Device與Internet路由可達。（此處以Device連接Internet的下一條IP地址是12.1.1.2為例，實際組網中，請以運營商提供的實際IP地址為準）

本舉例僅以靜態路由為例，若實際組網中需采用動態路由，請配置對應的動態路由協議。

# 選擇“網絡 > 路由 > 靜態路由 > IPv4靜態路由”，單擊<新建>按鈕，進入新建IPv4靜態路由頁麵。

# 新建IPv4靜態路由，並進行如下配置：

¡     目的IP地址：0.0.0.0

¡     掩碼長度：0

¡     下一跳IP地址：12.1.1.2

¡     其他配置項使用缺省值

# 單擊<確定>按鈕，完成靜態路由的配置。

為管理員用戶admin授權HTTP服務

# 選擇“係統 > 管理員 > 管理員”，管理員頁麵。

# 在管理員頁麵，單擊admin用戶右邊的<編輯>按鈕，進入修改管理員頁麵。

# 在修改管理員頁麵，配置其擁有HTTP服務。其他配置項保持默認情況即可，如下圖所示。

圖-28 修改管理員信息

 

# 其他配置項保持默認情況即可。

# 單擊<確定>按鈕，完成管理員信息修改。

配置安全策略保證Device與iMC互通

此步驟保證Device能夠從iMC上同步身份識別用戶信息。

# 創建名稱為dmz-local的安全策略，使DMZ安全域到Local安全域的報文可通。

# 選擇“策略 > 安全策略 > 安全策略”，進入安全策略頁麵。

# 新建安全策略，並進行如下配置：

·     名稱：dmz-local

·     源安全域：dmz

·     目的安全域：local

·     類型：IPv4

·     動作：允許

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成安全策略的配置。

# 按照同樣的步驟配置名稱為local-dmz的安全策略，使Local安全域到DMZ安全域的報文可通，配置如下。

·     名稱：local-dmz

·     源安全域：local

·     目的安全域：dmz

·     類型：IPv4

·     動作：允許

·     其他配置項使用缺省值

# 按照同樣的步驟配置名稱為trust-dmz的安全策略，保證用戶網絡（Trust）與iMC（DMZ）互通。因為Portal認證報文穿越了Device，所以必須配置此步驟保證Portal用戶能夠在iMC上進行AAA認證和Portal認證。配置如下。

·     名稱：trust-dmz

·     源安全域：trust、dmz

·     目的安全域：trust、dmz

·     類型：IPv4

·     動作：允許

·     其他配置項使用缺省值

配置RADIUS方案

創建名稱為rs1的RADIUS方案。

# 選擇“對象 > 用戶 > 認證管理 > RADIUS”，進入RADIUS頁麵。

# 在RADIUS頁麵，單擊<新建>按鈕，進入新建RADIUS方案頁麵。

# 在新建RADIUS方案頁麵，配置相關參數信息，具體內容如下圖所示。

圖-29 新建RADIUS方案（認證服務器）

 

圖-30 新建RADIUS方案（計費服務器）

 

圖-31 新建RADIUS方案（顯示高級設置）

 

# 其他配置項保持默認情況即可。

# 單擊<確定>按鈕，完成RADIUS方案創建。

配置認證域

創建名稱為dm1的認證域。

# 選擇“對象 > 用戶 > 認證管理 > IPS域”，進入IPS域頁麵。

# 在IPS域頁麵，單擊<新建>按鈕，進入添加IPS域頁麵。

# 在添加IPS域頁麵，配置相關參數信息，具體內容如下圖所示。

圖-32 添加IPS域（接入方式）

 

圖-33 添加IPS域（Portal AAA方案）

 

# 其他配置項保持默認情況即可。

# 單擊<確定>按鈕，完成ISP域創建。

配置Portal認證

1.     配置Portal認證服務器

# 選擇“對象 > 用戶 > 接入管理 > Portal”，選擇Portal認證服務器頁簽。

# 在Portal認證服務器頁麵，單擊<新建>按鈕，進入創建Portal認證服務器頁麵。

# 在創建Portal認證服務器頁麵，配置服務器名稱為newpt，IP地址為192.168.100.244，密鑰為明文admin，監聽Portal報文的端口為50100。具體內容如下圖所示。

圖-34 創建Portal認證服務器

 

# 其他配置項保持默認情況即可。

# 單擊<確定>按鈕，完成Portal認證服務器創建。

2.     配置Portal Web服務器。

# 選擇“對象 > 用戶 > 接入管理 > Portal”，選擇Portal Web服務器頁簽。

# 在Portal Web服務器頁麵，單擊<新建>按鈕，進入創建Portal Web服務器頁麵。

# 在創建Portal Web服務器頁麵，配置Portal Web服務器的URL為http://192.168.100.244:8080/portal。具體內容如下圖所示。

圖-35 創建Portal Web服務器

 

# 其他配置項保持默認情況即可。

# 單擊<確定>按鈕，完成Portal Web服務器創建。

3.     配置接口策略，在接口上開啟Portal認證功能。

# 選擇“對象 > 用戶 > 接入管理 > Portal”，選擇接口策略頁簽。

# 在接口策略頁麵，單擊<新建>按鈕，進入創建接口策略頁麵。

# 在接口策略頁麵，配置相關信息。具體內容如下圖所示。

圖-36 創建接口策略

 

# 其他配置項保持默認情況即可。

# 單擊<確定>按鈕，完成接口策略創建。

配置用戶身份識別與管理功能

1.     開啟用戶身份識別功能。

# 選擇“對象 > 用戶 > 用戶管理 > 在線用戶”，選擇在線用戶頁簽。

# 在在線用戶頁麵，單擊<開啟身份識別功能>按鈕，開啟用戶身份識別功能。如下圖所示。

圖-37 開啟身份識別功能

 

2.     創建名稱為rest1的RESTful服務器

# 選擇“對象 > 用戶 > 認證管理 > RESTful服務器”，進入RESTful服務器頁麵。

# 在RESTful服務器頁麵，單擊<新建>按鈕，進入新建RESTful服務器頁麵。

# 在新建RESTful服務器頁麵，配置相關參數信息，具體內容如下圖所示。

圖-38 新建RESTful服務器

 

# 其他配置項保持默認情況即可。

# 單擊<確定>按鈕，完成策略配置。

RESTful服務器的具體配置信息如下：

¡     名稱：rest1

¡     用戶名：admin

¡     密碼：admin。

¡     獲取用戶賬號的URI：http://192.168.100.244:8080/imcrs/ssm/imcuser/accessUser

¡     獲取用戶組的URI：http://192.168.100.244:8080/imcrs/ssm/imcuser/accessUserGroup

 

3.     創建名稱為imc的用戶導入策略

# 選擇“對象 > 用戶 > 用戶管理 > 用戶導入策略”，進入用戶導入策略頁麵。

# 在用戶導入策略頁麵，單擊<新建>按鈕，進入新建導入策略頁麵。

# 在新建導入策略頁麵，配置相關參數信息，具體內容如下圖所示。

圖-39 新建導入策略

 

# 其他配置項保持默認情況即可。

# 單擊<確定>按鈕，完成策略配置。

# 在設備與iMC正常通信後，在用戶導入策略頁麵選擇imc用戶導入策略，單擊<手工導入身份識別用戶>按鈕，將iMC服務器上的賬戶信息導入設備。如下圖所示。

圖-40 導入賬戶

 

配置安全策略僅允許user10003訪問Internet

創建名稱為user10003的安全策略，僅允許user10003主動訪問Internet，但是禁止Internet用戶主動訪問內網。

# 選擇“策略 > 安全策略 > 安全策略”，單擊<新建>按鈕，選擇新建策略，進入新建安全策略頁麵。

# 新建安全策略，並進行如下配置：

·     名稱：user10003

·     源安全域：trust

·     目的安全域：untrust

·     類型：IPv4

·     動作：允許

·     用戶：user10003

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成安全策略的配置。

在iMC上增加設備（iMC）

# 在iMC上增加設備保證iMC可以監控和管理設備，具體配置步驟如下。

1.     登錄iMC管理平台

# 在瀏覽器地址欄中輸入iMC管理平台的URL。本配置舉例中iMC管理平台的URL為http://192.168.100.244:8080/imc/，用戶名和密碼均為admin，具體步驟略。

2.     增加設備

# 選擇“資源”頁簽，單擊導航樹中的[資源管理/增加設備]菜單項，進入增加設備配置頁麵，其配置內容如下圖所示，其中Telnet參數的用戶名和密碼均為admin；其他配置保持默認值即可，其中SNMP的隻讀團體字密碼缺省值為public，讀寫團體字密碼缺值省為private。

圖-41 增加設備

 

# 單擊<確定>按鈕完成操作。

3.     修改NETCONF參數信息

# 選擇“資源”頁簽，單擊導航樹中的[視圖管理/設備視圖]菜單項，進入設備視圖列表頁麵，在此頁麵的設備標簽列單擊目標設備，進入某設備的詳細信息頁麵，如下圖所示。

圖-42 設備視圖列表

 

# 在設備詳細信息頁麵的右側，依次單擊[配置/修改NETCONF參數]，在彈出的對話框中單擊加號添加協議，具體配置內容如下圖所示，其中用戶名和密碼為admin。

 

# 單擊<確定>按鈕完成操作。

配置安全業務（iMC）

1.     在安全業務中同步設備，保證設備與iMC服務器上的配置信息和用戶信息的同步

# 選擇“業務”頁簽，單擊導航樹中的[安全業務管理/設備管理]菜單項，進入設備管理配置頁麵，在設備管理頁簽下的設備列表中可以看到添加成功的設備，如下圖所示。

圖-43 安全設備管理頁麵（未同步）

 

# 選中需要同步的設備單擊<同步>按鈕，進行設備同步。設備同步完成後同步狀態一列會顯示成功，如下圖所示。（同步時間較長，請耐心等待）

圖-44 安全設備管理頁麵（同步中）

 

圖-45 安全設備管理頁麵（同步成功）

 

2.     配置用戶認證係統參數和用戶通知參數，保證iMC服務器將用戶的上下線信息實時同步給設備

# 選擇“業務”頁簽，單擊導航樹中的[安全業務管理/全局參數配置]菜單項，進入全局參數配置頁麵，在此頁麵配置用戶認證係統參數，如下圖所示。

請根據Portal認證服務器的協議類型，選擇對應的協議類型。用戶名和密碼與登錄iMC服務器的相同。

圖-46 配置用戶認證係統參數

 

# 選擇“用戶”頁簽，單擊導航樹中的[接入策略管理/業務參數配置/係統配置]菜單項，進入係統配置頁麵，在此頁麵選擇用戶通知參數配置進入修改用戶通知頁麵，如下圖所示。

此處的共享密鑰沒有用到，隨意輸入即可。

圖-47 修改用戶通知

 

配置RADIUS server（iMC）

1.     登錄iMC管理平台

# 在瀏覽器地址欄中輸入iMC管理平台的URL。本配置舉例中iMC管理平台的URL為http://192.168.100.244:8080/imc/，用戶名和密碼均為admin，具體步驟略。

2.     增加接入設備

# 選擇“用戶”頁簽，單擊導航樹中的[接入策略管理/接入設備管理/接入設備配置]菜單項，進入接入設備配置頁麵，在該頁麵中單擊<增加>按鈕，進入增加接入設備頁麵。配置共享密鑰為admin，其他配置項如下圖所示。

圖-48 增加接入設備

 

# 單擊<確定>按鈕完成操作。

 

3.     增加接入策略

# 選擇“用戶”頁簽，單擊導航樹中的[接入策略管理/接入策略管理]菜單項，進入接入策略管理配置頁麵，在該頁麵中單擊<增加>按鈕，進入增加接入策略頁麵。配置接入策略名為Portal，其他配置項使用缺省值即可，如下圖所示。

圖-49 增加接入策略

 

# 單擊<確定>按鈕完成操作。

4.     增加接入服務

# 選擇“用戶”頁簽，單擊導航樹中的[接入策略管理/接入服務管理]菜單項，進入接入服務管理配置頁麵，在該頁麵中單擊<增加>按鈕，進入增加接入服務頁麵。配置服務名為Portal，引用的缺省接入策略為Portal，其他配置項使用缺省值即可，如下圖所示。

圖-50 增加接入服務

 

# 單擊<確定>按鈕完成操作。

5.     增加接入用戶

# 選擇“用戶”頁簽，單擊導航樹中的[接入用戶管理/接入用戶]菜單項，進入接入用戶配置頁麵，在該頁麵中單擊<增加>按鈕，進入增加接入用戶頁麵。配置用戶姓名為user，帳號名為user10001，密碼為admin，接入服務選擇Portal，其他配置項使用缺省值即可，如下圖所示。

圖-51 增加接入用戶

 

# 單擊<確定>按鈕完成操作。

# 請參考上麵的配置步驟，繼續增加帳號user10002和user10003。

配置Portal server（iMC）

1.     登錄iMC管理平台

# 在瀏覽器地址欄中輸入iMC管理平台的URL。本配置舉例中iMC管理平台的URL為http://192.168.100.244:8080/imc/，用戶名和密碼均為admin，具體步驟略。

2.     配置Portal服務器

# 選擇“用戶”頁簽，單擊導航樹中的[接入策略管理/Portal服務器管理/服務器配置]菜單項，進入服務器配置頁麵。根據實際組網情況調整以下參數，本例中使用缺省配置。

圖-52 Portal服務器配置

 

3.     增加IP地址組

# 選擇“用戶”頁簽，單擊導航樹中的[接入策略管理/Portal服務器管理/IP地址組配置]菜單項，進入IP地址組配置頁麵，在該頁麵中單擊<增加>按鈕，進入增加IP地址組配置頁麵。配置內容如下圖所示。

圖-53 增加IP地址組

 

# 單擊<確定>按鈕完成操作。

4.     增加Portal設備

# 選擇“用戶”頁簽，單擊導航樹中的[接入策略管理/Portal服務器管理/設備配置]菜單項，進入設備配置頁麵，在該頁麵中單擊<增加>按鈕，進入增加設備信息配置頁麵。配置密鑰為admin，其它配置內容如下圖所示。

圖-54 增加Portal設備配置

 

# 單擊<確定>按鈕完成操作。

5.     Portal設備關聯IP地址組

# 選擇“用戶”頁簽，單擊導航樹中的[接入策略管理/Portal服務器管理/設備配置]菜單項，進入設備配置頁麵，在設備配置頁麵中的設備信息列表中，點擊Router設備操作中的<端口組信息管理>按鈕，進入端口組信息配置頁麵。

圖-55 設備信息列表

 

# 在端口組信息配置頁麵中點擊<增加>按鈕，進入增加端口組信息配置頁麵。配置內容如下圖所示。

圖-56 增加端口組信息配置

 

# 單擊<確定>按鈕完成操作。

配置Host

# 在Host上配置IP地址、子網掩碼、默認網關保證Host可以正常與外部通信，具體配置步驟略。

驗證配置

1.     在Host上驗證Portal用戶的接入認證

# 在瀏覽器地址欄中輸入Portal Web服務器的URL：http://192.168.100.244:8080/portal，登錄Portal認證頁麵，輸入用戶名和密碼，單擊<Log In>按鈕，Portal用戶認證成功後如下圖所示。

圖-57 Portal用戶認證成功示意圖

 

2.     iMC上的本地在線用戶

用戶user10001、user10002和user10003進行Portal認證成功後，可以在iMC的本地在線用戶列表中看到，如下圖所示。

圖-58 本地在線用戶示意圖

 

3.     在Device上查看在線的Portal用戶

# 顯示所有在線的Portal用戶信息。

[Device] display portal user all

Total portal users: 3

Username: user10001

  Portal server: newpt

  State: Online

  VPN instance: N/A

  MAC             IP                    VLAN    Interface

  0011-95e4-4aa9  20.2.1.13             --      GigabitEthernet1/0/2

  Authorization information:

    DHCP IP pool: N/A

    User profile: N/A

    Session group profile: N/A

    ACL number: N/A

    Inbound CAR: N/A

Outbound CAR: N/A

 

Username: user10002

  Portal server: newpt

  State: Online

  VPN instance: N/A

  MAC             IP                    VLAN    Interface

  0011-95e4-4aa3  20.2.1.13             --      GigabitEthernet1/0/2

  Authorization information:

    DHCP IP pool: N/A

    User profile: N/A

    Session group profile: N/A

    ACL number: N/A

    Inbound CAR: N/A

    Outbound CAR: N/A

 

Username: user10003

  Portal server: newpt

  State: Online

  VPN instance: N/A

  MAC             IP                    VLAN    Interface

  0011-95e4-4aa2  20.2.1.13             --      GigabitEthernet1/0/2

  Authorization information:

    DHCP IP pool: N/A

    User profile: N/A

    Session group profile: N/A

    ACL number: N/A

    Inbound CAR: N/A

    Outbound CAR: N/A

4.     在Device上查看身份識別用戶信息

# 顯示所有身份識別用戶信息。

[Device] display user-identity all user

  User ID     Username

  0x2         user10001

  0x3         user10002

  0x4         user10003

# 顯示非域下名稱為user10001的在線身份識別用戶信息。

[Device] display user-identity online-user null-domain name user10001

User name: user10001

  IP  : 20.2.1.11

  MAC : 0011-95e4-4aa9

  Type: Dynamic

 

Total 1 records matched.

# 顯示非域下名稱為user10002的在線身份識別用戶信息。

[Device] display user-identity online-user null-domain name user10002

User name: user10002

  IP  : 20.2.1.12

  MAC : 0011-95e4-4aa3

  Type: Dynamic

 

Total 1 records matched.

# 顯示非域下名稱為user10003的在線身份識別用戶信息。

[Device] display user-identity online-user null-domain name user10003

User name: user10003

  IP  : 20.2.1.13

  MAC : 0011-95e4-4aa2

  Type: Dynamic

 

Total 1 records matched.

5.     Device基於用戶的訪問控製效果

# 用戶user10001不可Ping通Internet上的主機。（假設Internet上存在一個IP地址為12.1.1.2的主機，實際組網中請以實際情況為準）

C:\>ping 12.1.1.2

 

Pinging 12.1.1.2 with 32 bytes of data:

Request time out.

Request time out.

Request time out.

Request time out.

 

Ping statistics for 12.1.1.2:

    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

# 用戶user10003可Ping通Internet上的主機。（假設Internet上存在一個IP地址為12.1.1.2的主機，實際組網中請以實際情況為準）

C:\>ping 12.1.1.2

 

Pinging 12.1.1.2 with 32 bytes of data:

Reply from 12.1.1.2: bytes=32 time=36ms TTL=253

Reply from 12.1.1.2: bytes=32 time<1ms TTL=253

Reply from 12.1.1.2: bytes=32 time<1ms TTL=253

Reply from 12.1.1.2: bytes=32 time<1ms TTL=253

 

Ping statistics for 12.1.1.2:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 36ms, Average = 9ms

# 當用戶user10003Ping通Internet上的主機時，Device上會生成如下日誌信息。

[Device]%Nov  6 10:19:53:920 2017 H3C FILTER/6/FILTER_ZONE_EXECUTION_ICMP: -Context

=1; SrcZoneName(1025)=Trust;DstZoneName(1035)=Untrust;Type(1067)=ACL;SecurityPolicy(

1072)=user10003;RuleID(1078)=3;Protocol(1001)=ICMP;SrcIPAddr(1003)=20.2.1.13;Src

MacAddr(1021)=7425-8a37-b5f6;DstIPAddr(1007)=12.1.1.2;IcmpType(1062)=ECHO(8);Icm

pCode(1063)=0;MatchCount(1069)=1;Event(1048)=Permit;

配置文件

Router

[Router] display current-configuration

#

interface GigabitEthernet0/0

 port link-mode route

 ip address 20.2.1.1 255.255.255.0

#

interface GigabitEthernet0/1

 port link-mode route

 ip address 20.2.2.1 255.255.255.0

#

interface GigabitEthernet3/0

 port link-mode route

 combo enable copper

#

 ip route-static 0.0.0.0 0 20.2.2.2

#

 snmp-agent

 snmp-agent local-engineid 800063A28074258A37B5F500000001

 snmp-agent community write private

 snmp-agent community read public

 snmp-agent sys-info version all

#

local-user admin class manage

 password hash $h$6$UbIhNnPevyKUwfpm$LqR3+yg1IjNct39MkOR0H0iQXLkYB3jMqM4vbAeoXOh

babIIFnjJPEGR00YiYA1Sz4LiY3FmEdru2fOLMb1shQ==

 service-type telnet http

 authorization-attribute user-role network-admin

#

return

Device

[Device] display current-configuration

#

interface GigabitEthernet1/0/1

 port link-mode route

 ip address 192.168.100.88 255.255.255.0

#

interface GigabitEthernet1/0/2

 port link-mode route

 ip address 20.2.2.2 255.255.255.0

 portal enable method direct

 portal domain dm1

 portal apply web-server newpt

#

interface GigabitEthernet1/0/3

 port link-mode route

 ip address 12.1.1.1 255.255.255.0

#

security-zone name Trust

 import interface GigabitEthernet1/0/2

#

security-zone name DMZ

 import interface GigabitEthernet1/0/1

#

security-zone name Untrust

 import interface GigabitEthernet1/0/3

#

line vty 0 63

 authentication-mode scheme

 user-role network-admin

#

 ip route-static 0.0.0.0 0 12.1.1.2

 ip route-static 20.2.1.0 24 20.2.2.1

#

 snmp-agent

 snmp-agent local-engineid 800063A280487ADA9593B700000001

 snmp-agent community write private

 snmp-agent community read public

 snmp-agent sys-info version all

 snmp-agent target-host trap address udp-domain 192.168.100.244 params securityn

ame public v2c

#

radius scheme rs1

 primary authentication 192.168.100.244

 primary accounting 192.168.100.244

 key authentication cipher $c$3$hhbEbD5Ycvw7VWqljAoMoU7hQRgcUjtg

 user-name-format without-domain

#

domain dm1

 authentication portal radius-scheme rs1

 authorization portal radius-scheme rs1

 accounting portal radius-scheme rs1

#

domain system

#

 domain default enable system

#

local-user admin class manage

 password hash $h$6$UbIhNnPevyKUwfpm$LqR3+yg1IjNct39MkOR0H0iQXLkYB3jMqM4vbAeoXOh

babIIFnjJPEGR00YiYA1Sz4LiY3FmEdru2fOLMb1shQ==

 service-type ssh telnet terminal http https

 authorization-attribute user-role level-3

 authorization-attribute user-role network-admin

 authorization-attribute user-role network-operator

#

portal web-server newpt

 url http://192.168.100.244:8080/portal

#

portal server newpt

 ip 192.168.100.244 key cipher $c$3$+UmaGOco7eHsjOqlrp8lI4eYe0A8NpYU

#

 netconf soap http enable

 netconf soap https enable

 restful http enable

 restful https enable

#

 user-identity enable

 user-identity user-account auto-import policy imc

#

user-identity restful-server rest1

 login-name admin password cipher $c$3$phGy00HA6OP6pIpGI0KOKZEOPuLVbtt/

 uri get-user-database http://192.168.100.244:8080/imcrs/ssm/imcuser/accessUser

 uri get-user-group-database http://192.168.100.244:8080/imcrs/ssm/imcuser/acces

sUserGroup

 uri get-online-user http://192.168.100.244:8080/imcrs/ssm/imcuser/onlineUser

 uri put-online-user http://192.168.100.244:8080/imcrs/ssm/imcuser/uploadOnlineU

ser

 uri put-offline-user http://192.168.100.244:8080/imcrs/ssm/imcuser/uploadOfflin

eUser

#

user-identity user-import-policy imc

 account-update-interval 1

 restful-server rest1

#

security-policy ip

 rule 0 name dmz-local

  action pass

  source-zone dmz

  destination-zone local

 rule 1 name local-dmz

  action pass

  source-zone local

  destination-zone dmz

 rule 2 name trust-dmz

  action pass

  source-zone trust

  source-zone dmz

  destination-zone dmz

  destination-zone trust

 rule 3 name user10003

  action pass

  logging enable

  source-zone trust

  destination-zone untrust

  user user10003

#

return