USG5000与H3C IMC-CAMS对接案例

发布时间:  2012-07-17 浏览次数:  336 下载次数:  0
问题描述
H3C的IMC-CAMS做计费认证服务器,我司USG做网关设备提供认证点。故障原因最后很简单,一是USG5000配置问题,二是CAMS上的配置问题,对接起来的配置并不是非常繁琐,但需要注意的事项还是很多的,所以写一篇案例供大家分享。
告警信息
处理过程

1.确认USG5000与IMC服务器的通信正常。

2.通过debug radius pascket查看USG5000与IMC服务器的报文交互。

3.确认IMC、USG5000配置问题。

根因

1.默认域修改

我司设备端的配置,一定要指定好认证域,一般华为风格的设备都存在默认域system,一定确认我们所走的配置是默认域system或者将默认域改成我们设置的域。否则会导致用户认证时提示用户名不存在或密码错误等提示。

2.NAS-IP

配置radius时,一定要指定nas-ip,设备将用户发过来的账号、密码封装成radius报文发送给radius服务器进行认证,其所带的源地址就是nas-ip,radius服务器上会配置接入设备,如果接入设备上送的nas-ip不是raiuds服务器上配置的ip,则该报文会被服务器丢弃,导致设备上报radius server no response的错误。所以我们一定要保证设备上nas-ip与radius服务上的接入设备ip一致。

3.radius报文类型

在配置radius type时,我们可以发现不同厂商的type除掉standard外,都有一个自己厂商私有的类型,华为的为huawei,H3C的为extend,我司的为portal,为什么会有这样的类型呢?
实际上我上面所介绍的这三家厂商华为、H3C、华赛都有自己的端点准入系统,用来做用户接入的认证、安全检查、桌面资产管理,这时就需要在用户进行认证后向安全策略服务器再发起请求,那么用户是如何知道安全策略服务器地址的呢?这就需要在radius报文上一些未用的标志位上做一些操作,即将一些特殊的信息(如安全策略服务器地址)加载到radius报文中,此时就产生了不同于standard的radius报文,而又由于各个厂商具体实现不相同,就诞生了不同的radius类型。
不过比较庆幸的是,由于上面三家公司原都是华为,所以在平台版本中的实现应该是一样的(未确认,但实验验证可以通过),只是名称不一致,只要大家对应好,就应该没有问题了。华为的huawei、H3C的extend、华赛的portal是一样的,所以在IMC上添加接入设备时,如果用户选择了H3C的接入设备类型,那么我司设备上就应该配置portal类型,如果配置了standard,我司设备上就应该配置standard。
建议与总结
此案例是一个比较典型的设备与radius服务器进行配合的案例,实际上与L2TP的配置关系并不是很大,只是发现这个问题是在L2TP的应用中,所以此案例同样可以适合我司设备与H3C的业软、我司设备与其它友商radius的对接。在配置过程中,只需要大家把握好几点就可以成功对接。下面我简单总结几点供大家借鉴。

1.默认域修改

我司设备端的配置,一定要指定好认证域,一般华为风格的设备都存在默认域system,一定确认我们所走的配置是默认域system或者将默认域改成我们设置的域。否则会导致用户认证时提示用户名不存在或密码错误等提示。

2.NAS-IP

配置radius时,一定要指定nas-ip,设备将用户发过来的账号、密码封装成radius报文发送给radius服务器进行认证,其所带的源地址就是nas-ip,radius服务器上会配置接入设备,如果接入设备上送的nas-ip不是raiuds服务器上配置的ip,则该报文会被服务器丢弃,导致设备上报radius server no response的错误。所以我们一定要保证设备上nas-ip与radius服务上的接入设备ip一致。

3.radius报文类型

在配置radius type时,我们可以发现不同厂商的type除掉standard外,都有一个自己厂商私有的类型,华为的为huawei,H3C的为extend,我司的为portal,为什么会有这样的类型呢?
实际上我上面所介绍的这三家厂商华为、H3C、华赛都有自己的端点准入系统,用来做用户接入的认证、安全检查、桌面资产管理,这时就需要在用户进行认证后向安全策略服务器再发起请求,那么用户是如何知道安全策略服务器地址的呢?这就需要在radius报文上一些未用的标志位上做一些操作,即将一些特殊的信息(如安全策略服务器地址)加载到radius报文中,此时就产生了不同于standard的radius报文,而又由于各个厂商具体实现不相同,就诞生了不同的radius类型。
不过比较庆幸的是,由于上面三家公司原都是华为,所以在平台版本中的实现应该是一样的(未确认,但实验验证可以通过),只是名称不一致,只要大家对应好,就应该没有问题了。华为的huawei、H3C的extend、华赛的portal是一样的,所以在IMC上添加接入设备时,如果用户选择了H3C的接入设备类型,那么我司设备上就应该配置portal类型,如果配置了standard,我司设备上就应该配置standard。
以上三点基本上可以解决大部分设备与radius服务器对接问题,根据在一线的多年经验,80%比较常见的问题都归咎于以上原因。当然我们这里是忽略用户名、密码错误、链路不通、服务器故障等等低级问题的了。

END