1 概述
1.1 功能描述
CAMS整合了策略服务机制后,同
华为三康认证客户端实现了脱离设备特性(即设备无关功能),可以实现下述功能:
a、客户端版本检测;
b、用户消息下发(包括登录提示信息、用户余额/欠费信息、
系统自定义提示信息和在线用户下发消息);
c、 防代理;
d、防多网卡;
e、防IE设置代理;
f、
IP获取方式限制;
g、客户端弹出式广告;
h、在线修改密码;
i、
实时强制踢用户下线;
j、
客户端在线升级。
这些功能特性均不需要接入设备有特殊的配置(但必须支持EAP透传的802.1x认证方式),需要CAMS(整合策略服务器)、客户端管理代理及客户端配合实现。
1.2 使用限制
1.必须使用支持802.1X协议信息透传功能(即EAP-MD5认证方式)的
以太网交换机(包括我司S2008以上支持802.1x认证的交换机,
思科交换机如cisco3750等,实达交换机如Star-S2126G等)
2.H3C 认证客户端的版本:V2.30-0221及以上版本
3.CAMS的版本:V1.20-0388及以上版本(Windows版本)
2 典型组网及配置
2.1 组网图
图1 CAMS与交换机配合实现设备无关相关功能特性组网示意图
本文假设两者安装在不同的服务器上并做如下假设,实际参数请根据实际组网变化:
CAMS IP : 192.168.4.26
Client Proxy Server IP :192.168.4.44
LanSwitch IP :192.168.4.100
3 配置步骤:
3.1 事先检查项
检查项
|
检查项说明
|
CAMS
版本
|
安装
Windows
版本
V1.20-0388
以上版本
|
1X
客户端版本
|
V2.30-0221
版本及以后版本
|
接入设备版本
|
支持
802.1X
协议信息透传功能(即
EAP-MD5
认证方式)的以太网交换机,详见上文描述
|
服务
|
在
[
服务管理
/
服务配置
]
中增加一条服务。
|
用户
|
在
[
用户管理
/
帐号用户
]
中增加一个帐号并申请上面的服务
|
3.2 交换机配置
以下以我司交换机S3026E作为NAS接入设备做配置介绍,思科和实达设备由于配置较为简单,后面会给出配置案例文件以及说明,详见5.3节。
3.2.1 配置IP地址及路由
<S3026E> --
登录
<S3026E>sys --
进入系统视图(以下配置均在系统配置视图下,后略)
[S3026E]quit --
退出系统配置视图
(
以下退出某项配置均要用
quit
命令
)
[S3026E]interface Vlan-interface1
[S3026E-Vlan-interface1]]ip address 192.168.4.100 255.255.255.0 --
配置
IP
地址掩码
配置
缺省路由:
[S3026E ]ip route-static 0.0.0.0 0.0.0.0 192.168.4.1 preference 60
上述IP、掩码、路由等需要根据实际情况修改配置,达到接入设备与CAMS三层可达(即可以ping通)的目的。
3.2.2 步骤一:配置Radius认证策略及域
配置Radius认证策略
:
[S3026E]
radius scheme cams
[S3026E-radius-cams]server-type huawei --
认证协议
[S3026E-radius-cams]primary authentication 192.168.4.26 1812 --CAMS
认证
IP
、端口
[S3026E-radius-cams]primary accounting 192.168.4.26 1813 --CAMS
计费
IP
、端口
[S3026E-radius-cams]key authentication expert --
认证密钥
[S3026E-radius-cams]key accounting expert --
计费密钥
(
必须与认证密钥相同
)
[S3026E-radius-cams]user-name-format with-domain –
用户名格式(有域名)
[S3026E-radius-cams]session-control-server 192.168.4.26 --
安全策略服务器地址
(
选配
)
配置认证域:
[S3026E]domain cams
[S3026E-isp-cams] radius-scheme cams --
应用上面配置的
Radius
认证策略
配置缺省域生效:
[S3026E]domain default enable cams --
配置
cams
域为缺省认证域
(
注意
:如果需要给用户申请使用具有不同后缀的多个服务,则需要在我司交换机上配置不同的域,如下:
[S3026E]domain huawei-3com
[S3026E-isp-huawei-3com] radius-scheme cams --
应用
Radius
认证策略
用户申请了带后缀的服务后,在客户端用该服务认证时必须输入格式如下:用户名
@
域名,如
camsservice@huawei-3com
)
3.2.3 配置802.1x认证
[S3026E]dot1x --
全局启动
802.1x
认证
[S3026E]dot1x authentication-method eap --
配置
EAP
透传模式的认证方式
[S3026E]dot1x interface Ethernet 0/1 to Ethernet 0/10 --
在端口
0/1
~
0/10
启动
802.1x
认证
3.3 CAMS配置
以
下配置(
3.3.1-3.3.3
)均需要以系统管理员
admin
的权限登录
CAMS
配置台
(%CAMSIP%/cams
,本文为
http://192.168.4.26/cams/ )
,缺省密码为
Admin
。
3.3.1 接入设备信息配置
在
CAMS
的
[
系统管理
/
系统配置
/
接入设备配置
]
中增加接入交换机设备的
IP
、认证端口、共享密钥、业务类型(
LAN
),确定并返回到系统配置页面点击
<
立即生效
>
按钮,使这些信息生效。如下图所示:
图2 增加接入设备信息配置示意图
3.3.2 策略服务系统参数配置
在
CAMS
的
[
系统管理
/
系统配置
]
中修改“策略服务参数配置”,如图
3
所示红色方框部分,将“策略服务器
IP
”修改为
CAMS
的
IP
地址(由于安全策略服务器与
CAMS
安装在同一台服务器上),“代理服务器
IP
”修改为图
1
中的客户端管理代理服务器(即
Client Proxy Server
)的
IP
地址,“自助服务平台主机地址”填入安装的用户自助服务器的地址和端口信息(一般用户自助服务与客户端管理代理安装在同一台服务器上);最后启用“设备独立特性”,点击确定按钮,并且返回到系统配置页面点击
<
立即生效
>
按钮使得策略服务配置生效。
(
其他的参数建议保留初始值,有必要可以参考在线帮助进行修改
)
图3 策略服务参数配置示意图
3.3.3 运行参数配置
在
CAMS
的
[
系统管理
/
系统配置
]
中查看并修改“运行参数配置”,如图
4
所示,确认“是否启用
EAP
认证”的标志已经启用
EAP
认证方式
(CAMS
缺省是打开该开关的
)
,如果没有启用则必须使之启用,确定修改退出后返回到系统配置页面点击
<
立即生效
>
按钮使配置生效。
图4 运行参数配置示意图
3.3.4 策略服务器配置
在CAMS服务器上以管理员身份登录,在CAMS安装路径的server/bin/路径下执行config.bat脚本,会弹出策略服务器配置窗口,如图5所示。
图5 安全策略服务器配置初始界面示意图
此配置工具可以对安全策略服务器及客户端管理代理服务器进行向导式或详细(高级)配置,并且可以进行初步测试,如图6为策略服务器的
数据库相关向导式配置界面。
强烈建议不需要修改缺省的通讯与监听端口信息。
图6 安全策略服务器数据库配置界面示意图
如果需要更改设备的认证和计费密钥或端口,则需要进入高级配置界面,如图6点击<高级配置>按钮,确认进入高级配置,在弹出的配置界面上选择“策略服务器”>>“接入设备配置”标签页,如图7所示,在其中更改或增加接入设备的IP地址以及端口、密钥信息(建议用*来通配标识接入设备IP,注意此处密钥和端口要与设备上配置的相一致)。
修改完安全策略服务器配置或者客户端管理
代理服务器配置后,需要重新启动服务,重启CAMS服务器上的安全策略服务器对应的服务“Huawei-3Com CAMS Strategy Center”(在控制面板>>管理工具>>服务中查看);如果安全策略客户端管理代理服务器与用户自助安装在不同于CAMS的服务器上,也需要在修改配置后重启服务,控制面板>>管理工具>>服务中查找客户端管理代理对应的服务“Huawei-3Com CAMS Endpoint Proxy”,请重新启动该服务。
图7 安全策略服务器的接入设备信息配置界面示意图
3.4 客户端配置
Huawei-3Com V2.30-0221
及以上版本的客户端显示界面有很大的改进,其管理界面可以按照不同的网络通讯协议创建连接,每个连接对应独立的用户名密码以及网络配置,本文所描述的均为
802.1x
认证协议下的连接配置和用法。
3.4.1 创建连接时启用设备独立特性
在客户端安装后的显示界面上右键点击窗口左侧的“
802.1x
认证”按钮,“创建一个新的连接”,输入连接名称、初始创建的用户名(如果申请的服务有后缀必须加上如
camsservice@huawei-3com
)、密码后选择需要认证的网卡,点击“下一步”后如图
8
所示配置连接的“认证协议方式”为华为
3Com
扩展,即启用了连接的设备独立特性。其他连接的配置可根据具体情况配置。
图8 创建802.1x连接时设置认证协议方式为华为3Com扩展即设备独立属性
3.4.2 修改已存在连接的配置为设备独立特性
图9 已存在连接的属性配置示意图
如果已经存在连接需要修改它的配置为设备独立特性(即选择华为
3Com
扩展的认证方式),则在已经禁用的连接图标上右键菜单中选择“配置”,在弹出的如图
9
所示的“
802.1x
连接属性配置”对话框中修改认证方式和其他配置。
至此设备无关特性实现
802.1x
认证的脱离设备特定功能的配置结束,可以将客户端
PC
接到已经配置好的需要认证的接口,启用已经配置的连接认证上网了。
4 相关功能及结果测试
4.1 客户端版本检测
CAMS
配置台侧服务管理
>>
服务配置
页面中,修改用户申请的服务,设置“屏蔽非华为客户端”,即图
10
中红线圈定的部分。
图10 服务的认证客户端相关属性配置示意图
在CAMS的服务管理 >> 系统配置 >> 业务参数配置中修改需要检测的最低客户端版本号(注意设定版本的型号格式),修改后点击“立即生效”使配置生效。
客户端启用连接认证上网,如果客户端版本号(可以通过点击客户端的帮助菜单关于对话框查看)低于配置的客户端版本,则认证失败并且客户端显示“E2591: 检查客户端版本太低”的信息。否则可以认证通过。
4.2 用户消息下发
可以下发给认证成功用户的消息包括:
1、用户的登录提示信息(在开户时或者帐号维护的修改页面进行设置);
2、用户余额/欠费信息(需要在CAMS的系统管理>>用户提示信息 页面使能“是否提示用户余额”和“是否提示用户欠费金额”);
3、系统自定义提示信息(需要在CAMS的系统管理>>用户提示信息 页面中配置自定义提示信息);
4、在线用户消息(针对在线用户查询页面的用户单个或者批量下发消息,与非设备独立特性不同的是在线用户消息下发是实时下发的,不需要等待)。
配置了这些消息下发后用户启用连接认证通过后客户端会弹出对话框提示用户收到信息,并且在右下方的log显示窗口会分别显示。如图11所示:
图11 客户端侧log窗口显示用户消息界面示意图
4.3 防代理、防多网卡、防IE设置代理、IP获取方式限制
如图
7
所示在
CAMS
配置台侧服务管理
>>
服务配置
页面中,修改用户申请的服务,选中“屏蔽非华为客户端”并配置禁用代理,
IE
设置代理或者多网卡检测以及限制客户端
IP
获取方式,确定后客户端连接重新启用认证,如果客户端不符合上述配置的规定则认证不通过,并且客户端会提示明确的认证失败信息(如“
IP
地址获取方式检查不通过,将强制用户下线”等)。
4.4 弹出式广告和修改密码
在
CAMS
配置台侧系统管理
>>
弹出式广告
页面中配置需要弹出的广告内容,确认后客户端连接重新启用认证。客户端软件会以单独的
web
页面弹出配置的广告内容。在连接启用的状态下选择右键菜单中的“弹出式广告”也可以调出广告。如图
12
所示:
图12 客户端侧启用连接的右键菜单示意图
在认证通过连接图标的右键菜单中选择“更改密码”,会弹出“用户密码修改”对话框,用户可以不必登录自助平台方便的更改本连接所对应的用户密码,还可以在更改成功后更新本地保存的密码(需要连接配置自动保存密码属性)。修改密码成功后客户端会提示“用户密码修改成功”
4.5 强制下线
使用强制下线功能管理员可以实时使在线用户下线,在CAMS配置台的在线用户管理页面,选择需要踢下线的用户,点击后面的“下线”或者使用批量下线功能,可以立即使该上网用户下线。客户端侧会提示“服务器要求用户下线”。
4.6 客户端自动和在线升级
客户端升级支持强制升级以及可选升级,在CAMS配置台侧的系统管理>>客户端升级 页面配置客户端升级信息,升级包是包含客户端版本信息的zip格式文件,并使某一条升级配置生效。在客户端侧认证上网成功后,如果配置生效的是“强制升级”则如果客户端版本低于配置的版本号,客户端会提示用户需要升级版本信息,用户点击确定后客户端自动在线下载升级文件进行升级;如果CAMS侧配置的是“可选升级”,则客户端在认证成功后可以点击帮助菜单中的“在线升级”进行升级操作。
5 案例配置FAQ
5.1 启用连接认证后,客户端提示“E3137: 无效的客户端版本号”?
这个原因是配置引起,CAMS与接入设备以及客户端均需要启用设备无关的功能特性才能配合完成上述功能。
1、
首先检查接入设备是否全局并在认证端口启用了802.1x认证,并且采用的认证方式是EAP透传方式,具体请参照3.2节。
2、
检查CAMS是否启用了EAP认证,并且打开了设备独立特性开关;
3、
检查客户端侧的连接配置是否为设置为华为3Com扩展的认证方式。
注意:设备配置注意保存,CAMS的参数配置后均需要点击系统管理>>系统配置 的<立即生效>按钮使之即时生效。
5.2 客户端认证后提示“策略服务器没有回应,即将强行下线”即断开连接?
此问题发生原因是客户端发往客户端管理代理的交互报文没有回应,客户端在尝试重发后主动断开连接。检查和解决方法如下:
1、
确认CAMS配置台侧的策略服务参数配置是否配置了正确的客户端管理代理地址、端口(9019)以及策略服务器地址和端口信息(9013);(建议不要私自修改这两个端口,并且如果客户端管理代理与CAMS没有安装在同一台机器上的话,两个地址是不同的)
2、
确认接入设备、CAMS的接入设备参数、安全策略服务器的接入设备参数中认证、计费密钥和端口信息是否配置一致,详见3.2和3.3节;
3、
检查CAMS服务器上的策略服务器对应的服务“Huawei-3Com CAMS Strategy Center”(在控制面板>>管理工具>>服务中查看)是否运行正常,如果未启用请重新启动该服务。
4、
在客户端连接启用后ping 客户端管理代理地址,如果在启用后(如果配置了自动获取IP地址则需要等到其获得IP地址)ping不通代理服务器,则需要检查客户端PC的地址配置是否可以直接访问该地址(接入设备上
网关和路由等是否配置,VLAN、ACL划分是否合理等)需要保证配置时代理服务器与客户端能保持正常的TCP/IP通讯。
5、
如果客户端PC的
操作系统为Windows XPSP02查看是否启用了
防火墙,如果安装并启用了其他防火墙软件禁止所有端口的通讯则客户端就无法正常通讯。建议设置防火墙使能客户端配置的通讯端口(具体见客户端的网络通讯配置)。
注意:CAMS的参数配置修改后均需要点击系统管理>>系统配置 的“立即生效”按钮使之即时生效。
5.3 思科和实达交换机的配置文件及说明
建议采用我司交换机接入设备,如果采用非我司设备如思科、实达等交换机则由于没有认证策略和“认证域”的概念,若用户申请使用带有域名的服务,则必须配置为
EAP
透传认证方式。
如下给出的是针对图
1
的组网,思科
3750
和实达
S2126G
交换机设备的配置文件:
思科
3750
交换机设备的配置文件
cisco3750#show run
Building configuration...
Current configuration : 1870 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname cisco3750
!
!
aaa new-model
aaa authentication dot1x default group radius --------
配置
802.1X
用户的认证方案为
RADIUS
aaa accounting update periodic 1
aaa accounting dot1x default start-stop group radius --------
配置
802.1X
用户的计费方案为
RADIUS
以及计费方式
!
aaa session-id common
switch 1 provision ws-c3750g-24ts
ip subnet-zero
!
!
!
!
!
!
dot1x system-auth-control --------
启动全局下的
802.1X
认证
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
interface GigabitEthernet1/0/1
!
interface GigabitEthernet1/0/2
!
interface GigabitEthernet1/0/3
!
interface GigabitEthernet1/0/4
!
interface GigabitEthernet1/0/5
!
interface GigabitEthernet1/0/6
!
interface GigabitEthernet1/0/7
!
interface GigabitEthernet1/0/8
!
interface GigabitEthernet1/0/9
!
interface GigabitEthernet1/0/10
!
interface GigabitEthernet1/0/11
!
interface GigabitEthernet1/0/12
!
interface GigabitEthernet1/0/13
!
interface GigabitEthernet1/0/14
!
interface GigabitEthernet1/0/15
switchport mode access -------Access
模式的端口
dot1x port-control auto -------
端口下启动
802.1X
认证
spanning-tree portfast
!
interface GigabitEthernet1/0/16
!
interface GigabitEthernet1/0/17
!
interface GigabitEthernet1/0/18
!
interface GigabitEthernet1/0/19
!
interface GigabitEthernet1/0/20
!
interface GigabitEthernet1/0/21
!
interface GigabitEthernet1/0/22
!
interface GigabitEthernet1/0/23
!
interface GigabitEthernet1/0/24
!
interface GigabitEthernet1/0/25
!
interface GigabitEthernet1/0/26
!
interface GigabitEthernet1/0/27
!
interface GigabitEthernet1/0/28
!
interface Vlan1
ip address 192.168.4.100 255.255.255.0 --------
配置能与
CAMS
通信的
IP
地址和网关
!
ip default-gateway 192.168.4.1
ip classless
ip http server
ip http secure-server
!
!
radius-server host 192.168.4.26 auth-port 1812 acct-port 1813 retransmit 3
--------
配置
RADIUS
服务器的
IP
、端口
radius-server source-ports 1645-1646
radius-server key expert --------
配置
RADIUS
服务器的共享密钥
!
control-plane
!
!
line con 0
line vty 5 15
!
!
end
实达
S2126G
交换机设备的配置文件
shida#more flash:
Display filename []?config.text
version 1.0
!
hostname shida
radius-server host 192.168.4.26 ------
配置
RADIUS
服务器(
CAMS
)地址和端口号(缺省
1812
)
aaa authentication dot1x ------
配置
802.1X
用户认证方案(缺省
RADIUS
远端认证)
aaa accounting server 192.168.4.26 ------
配置计费服务器(
CAMS
)地址和端口号(缺省
1813
)
aaa accounting ------
配置计费方案(缺省
RADIUS
远端计费)
key chain expert ------
配置计费服务器的共享密钥
!
interface fastEthernet 0/1
switchport access vlan 500
!
interface fastEthernet 0/2
switchport access vlan 500
!
interface fastEthernet 0/3
dot1x port-control auto ------
端口下启动
802.1X
认证
!
interface fastEthernet 0/5
switchport access vlan 500
dot1x port-control auto
!
interface fastEthernet 0/9
switchport access vlan 10
!
interface fastEthernet 0/10
switchport access vlan 10
!
interface fastEthernet 0/16
switchport access vlan 2
!
interface fastEthernet 0/24
switchport access vlan 3
!
interface vlan 1
!
interface vlan 500
no shutdown
ip address 192.168.4.100 255.255.255.0 ------
配置可以与
RADIUS
服务器(
CAMS
)通讯的
IP
地址
!
(dot1x auth-mode eap-md5 ------
全局模式下启动
802.1X
认证并配置认证方式为
EAP,
此条命令需要在
config
模式下配置
)
radius-server key expert ------
配置
RADIUS
服务器(
CAMS
)的共享密钥
ip default-gateway 192.168.4.1 ------
配置网关地址
end