所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S7700, S7900, S9700 V200R012(C00&C10) 配置指南(Web网管)

本文档介绍了如何通过Web网管客户端配置和维护设备,主要包括设备状态统计、SVF配置、接口配置、以太网交换配置、IP业务配置、IP路由配置、安全配置、ACL管理、AAA配置、系统管理配置、QoS管理、WLAN配置、诊断业务配置、EasyDeploy配置等。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
用户接入控制

用户接入控制

通过对用户接入进行控制,以实现网络安全管理。

背景信息

说明:

本节点仅在NAC传统模式下可见。

认证配置

提供用户认证的配置步骤和操作指导。

背景信息

认证配置包括采用本地和RADIUS两种认证方式的配置。采用本地认证方式时,需要在交换机上创建用户账号并设置密码。采用RADIUS方式时,需要配置RADIUS服务器的IP地址、端口号和共享密钥。在创建或者修改本地用户时,如果配置的密码与缺省密码相同时,则存在一定的安全风险。

说明:

账号管理中显示了接入类型包含802.1X、Bind、PPP和Web中任意一种或者没有配置接入类型的用户,新建用户包含802.1X、Bind、PPP和Web接入类型。

操作步骤

  • 配置采用本地方式进行认证

    1. 单击功能选择区中配置菜单,进入“配置”界面。

    2. 单击导航栏中安全业务管理 > 用户接入控制菜单,进入“用户接入控制”界面。

    3. 单击认证配置页签,进入“认证配置”界面。

    4. 在认证配置区,选择相应的“用户域名称”

    5. 选择“认证方式”为本地认证。图5-186所示。

      图5-186  采用本地方式进行认证的认证配置

    6. 单击“应用”,完成认证配置。

    7. 在账号管理区,配置本地认证的用户账号信息。

      • 新建用户账号

        1. 单击“新建”,进入“新建用户”界面。图5-187所示。

          图5-187  新建用户

          界面信息含义如表5-107所示。

          表5-107  新建/修改用户

          配置项

          说明

          用户名

          输入新建的用户名。

          用户名中不能出现“\”、“/”、“:”、“*”、“?”、“"”、“<”、“>”、“|”、“'”和“%”等字符,且@不能在首位。

          密码

          输入密码。

          为提升密码安全性,密码至少同时包含小写字母、大写字母、数字、特殊符号(例如!、$、#和%)这四种形式中的两种,并且不能包括空格和单引号。

          确认密码

          再次输入密码。格式:与密码输入一致。

          状态

          选择用户状态。

          包括正常和锁定两种状态。如果选择锁定状态,设备将拒绝该用户的认证请求,也不允许该用户修改自己的密码。

          说明:

          本配置项只出现在修改用户信息时的界面。

          接入类型

          选择用户的接入类型。

          强制下线

          选择是否强制让用户下线。

          说明:

          本配置项只出现在修改用户信息时的界面。

        2. 填写相应的配置项。单击“确定”,完成配置。

      • 修改用户账号

        1. 单击需要修改的用户账号记录右侧的“修改”,进入“修改用户”界面。图5-188所示。
          图5-188  修改用户
          说明:
          • 界面信息含义如表5-107所示。

          • 用户名是固定的,不允许修改。

        2. 填写相应的配置项。单击“确定”,完成配置。

      • 删除用户账号

        1. 通过以下两种方式可以删除用户账号:

          • 单击需要删除的用户账号记录右侧的“删除”

          • 选中需要删除的用户账号记录,单击“新建”右侧的“删除”,可以批量删除用户账号。

        2. 单击“删除”后,系统提示是否确认删除。单击“确定”,完成配置。

  • 配置采用RADIUS方式进行认证

    1. 单击功能选择区中配置菜单,进入“配置”界面。

    2. 单击导航栏中安全业务管理 > 用户接入控制菜单,进入“用户接入控制”界面。

    3. 单击认证配置页签,进入“认证配置”界面。

    4. 在认证配置区,选择相应的“用户域名称”

    5. 选择“认证方式”为RADIUS认证。图5-189所示。

      图5-189  采用RADIUS方式进行认证的认证配置
      界面信息含义如表5-108所示。
      表5-108  采用RADIUS方式进行认证的认证配置

      配置项

      说明

      服务器IP地址

      输入RADIUS服务器IP地址。如:10.10.10.1。

      该地址必须为与交换机路由可通的RADIUS服务器IP地址。

      端口号

      输入RADIUS服务器的UDP端口号。

      共享密钥

      输入交换机与RADIUS服务器通信时使用的共享密钥。

      在与RADIUS服务器通信时,交换机使用共享密钥对用户的密码信息进行加密,保证传输过程中密码的安全性。

      格式为字符串形式,不支持空格、单引号和问号,区分大小写,长度1~128位。

      确认共享密钥

      再次输入交换机与RADIUS服务器通信时使用的共享密钥。

      格式:与共享密钥输入一致。

    6. 填写或修改相应的配置项。

    7. 单击“应用”,完成配置。

Portal服务器

Portal认证可使用户不经过特定客户端即可进行接入认证,Portal服务器为用户提供免费门户服务和基于Portal认证的页面。

背景信息

为保证交换机与Portal服务器之间能够进行通信,需要配置Portal服务器的IP地址,以及交换机与Portal服务器信息交互参数(包括Portal服务器的端口号和共享密钥),最后需要将接口与Portal认证进行绑定。

说明:

Portal认证必须结合认证配置才能共同完成用户身份的认证。

操作步骤

  • 配置Portal服务器。
    1. 单击功能选择区中配置菜单,进入“配置”界面。
    2. 单击导航栏中安全业务管理 > 用户接入控制菜单,进入“用户接入控制”界面。
    3. 单击Portal服务器页签,进入“Portal服务器”界面。图5-190所示。

      图5-190  Portal服务器

    4. 单击,选择服务器名称。
    5. 单击“应用”,完成配置。
  • 新建Portal认证服务器。
    1. 单击功能选择区中配置菜单,进入“配置”界面。
    2. 单击导航栏中安全业务管理 > 用户接入控制菜单,进入“用户接入控制”界面。
    3. 单击Portal服务器页签,进入“Portal服务器”界面。
    4. 单击,进入“Portal认证服务器列表”界面。
    5. 单击“新建”按钮,进入“Portal认证服务器列表”界面。图5-191所示。

      图5-191  新建Portal服务器

      界面信息含义如表5-109所示。

      表5-109  新建Portal服务器参数

      配置项

      说明

      服务器名称

      自定义Portal服务器名称,用来标识认证服务器。

      服务器IP地址

      配置指向Portal服务器的IP地址。

      源IP

      配置设备与Portal服务器通信的源IP地址。

      共享密钥

      设置设备与Portal服务器信息交互的共享密钥。

      确认共享密钥

      再次输入设备与Portal服务器信息交互的共享密钥。

      报文端口号

      设备检测Portal协议报文的端口号。

      URL

      设置指向Portal服务器的URL。

      URL模板

      勾选“URL模板”时,下列参数有效。

      URL

      配置指向Portal服务器的重定向URL或强制推送的URL。

      用户访问URL

      指定在URL中携带接入用户访问的原始URL地址。

      用户MAC

      指定在URL中携带接入用户的MAC地址。

      用户IP地址

      指定在URL中携带接入用户的IP地址。

      系统名称

      指定在URL中携带接入设备的系统名称。

      MAC地址格式

      • 无分隔符。
      • normal:指定MAC地址的格式为XXXX-XXXX-XXXX,可自定义分隔符。
      • compact:指定MAC地址的格式为XX-XX-XX-XX-XX-XX,可自定义分隔符。

      分隔符

      指定分隔符,范围是1个字符。

    6. 单击“确定”,完成配置
  • 修改Portal认证服务器。
    1. 单击功能选择区中配置菜单,进入“配置”界面。
    2. 单击导航栏中安全业务管理 > 用户接入控制菜单,进入“用户接入控制”界面。
    3. 单击Portal服务器页签,进入“Portal服务器”界面。
    4. 单击,进入“Portal认证服务器列表”界面。
    5. 单击需要修改的认证服务器名称,进入修改认证服务器页面。
    6. 修改认证服务器的各项参数。具体参数说明请参见表5-109
    7. 单击“确定”,完成配置。
  • 删除Portal认证服务器。
    1. 单击功能选择区中配置菜单,进入“配置”界面。
    2. 单击导航栏中安全业务管理 > 用户接入控制菜单,进入“用户接入控制”界面。
    3. 单击Portal服务器页签,进入“Portal服务器”界面。
    4. 单击,进入“Portal认证服务器列表”界面。
    5. 选择需要删除的认证服务器名称,单击“删除”,系统提示是否确认删除。

      说明:
      • 选择的方式是在该条数据前的复选框中打勾。
      • 系统支持批量删除。批量删除是在多个复选框中打勾。

    6. 单击“确定”,完成配置。

接入配置

通过接入配置,可以使交换机从接口这一级对所接入的用户进行认证和控制,从而保护企业网络的安全。

背景信息

设备支持两种NAC配置模式,默认模式为统一模式,用户可通过命令undo authentication unified-mode切换为传统模式。

  • 传统模式下,接入配置包括不认证、802.1X认证、MAC认证,以及802.1X认证、MAC认证两种认证方式组合起来使用的MAC旁路认证的配置。

    • 不认证:用户无需经过认证即可接入网络。

    • 802.1X认证:是一种基于802.1X协议的二层认证方式,用户终端需要安装802.1X客户端软件,客户端和服务器之间通过EAP(Extensible Authentication Protocol)协议进行用户身份认证。

    • MAC认证:以用户的MAC地址作为身份凭据进行认证,用户终端无需安装802.1X客户端软件。

    • MAC旁路认证:用户首先会进行802.1X认证,同时启动MAC旁路认证延迟定时器,如果MAC旁路认证延迟时间到达而802.1X认证仍未成功,再进行MAC认证。

    进行接入配置时,需要先打开认证功能开关,再选择应用认证功能的接口,最后选择接口认证方式。

  • 统一模式下,接入配置包括不认证、802.1X认证、MAC认证,以及Portal认证的配置。

说明:

接入配置必须结合认证配置才能共同完成用户身份认证。

如果配置认证方式为不认证,则当用户上线时,用户输入任意的用户名和密码后都会认证成功。因此,为保护设备或网络安全,建议开启认证方式,保证用户经过认证后才可以访问设备或网络。

操作步骤

  • 传统模式。
    1. 单击功能选择区中配置菜单,进入“配置”界面。
    2. 单击导航栏中安全业务管理 > 用户接入控制菜单,进入“用户接入控制”界面。
    3. 单击接入配置页签,进入“接入配置”界面。图5-192所示。

      图5-192  接入配置

    4. 单击“”图标右侧后再单击“确定”,打开认证功能开关。
    5. 选中需要开启认证功能的接口。根据需要可在接口选择区域中执行以下操作:

      • 单击接口图标选中单个或多个接口
      • 拖动鼠标批量选中连续接口
      • 勾选接口板名称前的选框,同时选中该接口板上所有接口

    6. 选择接口认证方式。图5-193所示。

      图5-193  接口认证方式

    7. 单击“应用”,完成配置。

      如果存在应用认证失败的接口,将会弹出“错误”页面,图5-194所示。

      图5-194  应用接口认证

      “执行成功”对应的次数,表示接口认证应用成功的接口数量;“执行失败”对应的次数,表示接口认证应用失败的接口数量。

  • 统一模式。
    1. 单击功能选择区中配置菜单,进入“配置”界面。
    2. 单击导航栏中安全业务管理 > 用户接入控制菜单,进入“用户接入控制”界面。
    3. 单击接入配置页签,进入“接入配置”界面。图5-195所示。

      图5-195  接入配置

    4. 选中需要开启认证功能的接口。根据需要可在接口选择区域中执行以下操作:

      • 单击接口图标选中单个或多个接口
      • 拖动鼠标批量选中连续接口
      • 勾选接口板名称前的选框,同时选中该接口板上所有接口

    5. 选择接口认证方式,包括“MAC认证”“802.1X认证”“Portal认证”。单击“应用”,完成接口认证方式配置。

      说明:

      当认证方式1选择802.1X认证,认证方式2选择MAC认证时,表示开启了MAC旁路认证功能。

      当认证方式1选择MAC认证,认证方式2选择802.1X认证时,表示开启了MAC旁路认证过程中优先进行MAC认证功能。

    6. 单击添加接口,选择接口认证方式。单击“应用”,完成VLAN认证设置。
翻译
下载文档
更新时间:2018-09-04

文档编号:EDOC1100038911

浏览量:4988

下载量:496

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页