iMC EIA网络接入管理方案介绍

EAPol
802.1x 客户端 认证设备
RADIUS
RADIUS
EIA
12
用户接入认证－Portal方式（用户名/密码方式）
Portal认证支持PAP/CHAP/EAP三种方式 EAP方式必须是iNode客户端。 客户端可以采用iNode或网页方式 支持快速认证 认证设备需要配置RADIUS 网页认证时可以根据终端的无线SSID，操作系统,接入AP及 三者的组合弹出不同的认证页面
H3C iMC-用户接入管理组件license费用-管理1000认证用户
LIS-IMC-EIAB3130A31G CN-2K
H3C iMC-用户接入管理组件License费用-管理2000认证用户
3130A31H
LIS-IMC-EIACCN-5K
H3C iMC-用户接入管理组件License费用-管理5000认证用户
目录
EIA产品概述 EIA产品的主要功能
EIA产品概述
EIA全称终端用户智能接入管理（End user Intelligent Access），是由H3C针对企业网、校园网和运营商等多 种网络运营环境开发的一套基于Radius的集中网络接入认 证管理系统，EIA由原UAM和BYOD两部分组成； EIA本身除了是一个扩展的3A服务器，完成对终端用户的 认证与授权外，同时也是EAD/CAMS组件的基础
接入请求
合法用户
网络
不同用户享 受不同的网 络使用权限
非法用户 拒绝入网
你是谁？
4
EIA产品系统架构
HTTP/UDP
BYOD LDAP管理
LDAP协议
用户自助服务
LDAP服务器
Portal
Portal proxy
Portal Server
DB
身份认证协议
EAD
策略服务 策略服务器 器代理 智能策略代理
6
EIA配套操作系统/数据库及服务器情况
由于EIA基于iMC平台运行，所以配套的操作系统及数据库情况同iMC平台 一般EIA用户接入管理需要和iMC PLAT分布式部署，如果平台管理的设备小 于100个，可以将EIA用户接入管理与iMC平台部署在一台服务器上
在存在大量用户访问用户自助的场景（特别是教育网计费局点），需要将用 户自助服务分布式部署在一台单独的服务器上
tom@beijing 123 xxxxxxxxx
身份认证协议
用户名 tom@beijing 密码 iNode 客户端（南京） 123
认证设备 (南京)
Radius
User_name User-password tom@beijing 123
EIA(南京)
第三方3A(北京)
用户名 密码
tom＠beijing 123
EIA支持标准的Radius Proxy-state方式将认证/计费报文 漫游到上级EIA或第三方的3A服务器上 EIA根据终端认证用户的域名来判断漫游到哪个3A服务器 支持记录漫游用户的漫游上网明细
domain:beiing
Portal Portal Server RADIUS
User_name User-password Proxy-state
Access Accept hw_Input_Peak_Rate＝1024 hw_Input_Average_Rate=1024 hw_Input_Basic_Rate=1024 hw_Output_Peak_Rate=2048 hw_Output_Average_Rate=2048 hw_Output_Basic_Rate=2048
iMC V500
3130A0XH
-EIP终端智能识别功能-5000在线并发终端License
iMC V500
3130A0XE
-EIP终端智能识别功能-500在线并发终端License
iMC V500
10
目录
EIA产品概述
EIA产品的主要功能
用户身份认证方式 用户接入授权 认证绑定检查 客户端类功能
HTTP
Portal RADIUS 客户端 认证设备 EIA Portal Portal Server
13
用户接入认证－VPN认证
客户端采用定制了VPN功能的iNode PC 支持L2tp over IPSec/L2tp 认证设备LNS需要增加配置RADIUS相关配置 支持终端用户分配IP地址（PPP协议）
23
用户接入授权－下发VLAN
EIA license详细细节请参阅公告
《关于iMC EIA License控制策略变更的公告》
8
EIA license
项目编码 产品代码
SWP-IMCEIAN-CN
对外中文描述
H3C iMC-用户接入管理组件(不含认证用户)-纯软件(CD)中文 版
备注
0231A99U
必配
3130A209
LIS-IMC-EIAACN-1K
9
BYOD license
Item编码 3130A0XF 产品描述 EIP终端智能识别功能-1000在线并发终端License V版本 iMC V500
3130A0XG
-EIP终端智能识别功能-2000在线并发终端License
iMC V500
3130A0XD
-EIP终端智能识别功能-200在线并发终端License
PortalN
selfservice
7
EIA License策略
1. EIA license分为基本包与扩容包； 2. V7版本开始，UAM更名EIA，EIA License的计数方式从管理用户数 切 换为在线用户数,即每在线一个用户才会占用一个License节点。 3. V7版本开始，TAM的License控制策略融合到EIA组件，V7 EIA统一 控 制认证用户在线用户数和TAM设备数，即V7版本EIA License ＝ 在线 用户数 （包括访客）+ TAM设备数。 4.V7版本开始，访客License控制策略融合到EIA组件，按在线用户数计 算。 5. V7版本开始，BYOD功能需要购买EIP（终端智能识别管理）授权。
22
用户接入授权－上下行速率限制
账号对应的接入策略配置上行速率与下行速率 终端用户认证时，EIA下发上，下行速率给接入设备，由 接入设备对终端用户的上，下行速率进行控制（需要设备 同时支持该特性）
终端 认证设备
EIA
tom 服务 上行速率1K 下行速率2K
Access Request
身份认证协议 UserName=tom
终端
认证设备
Radius
uam.exe
5
EIA在iMC中的位置
功 功能组件 功能组件 能 组 件 EIA
功能组件 EAD CAMS NTA UBA WSM 功 功 功 能 能 能 组 组 组 件 件 件 QoS 功 能 … 组 件
产品 平台
iMC平台 （专业版）
iMC平台 （标准版）
EIA作为iMC的一个组件基于iMC平台运行，同时也是EAD与CAMS组件的 基础 用户接入管理提供对EIA组件的配置管理界面及Radius协议报文处理功能 Portal服务器，Portal web／代理支持多次部署，可以部署在多个iMC从机 上分担性能 用户自助服务提供EIA组件的用户自助功能 策略服务器及代理负责处理EAD报文，同时也是EAD组件的基础 从v5 UAM升级至V7 EIA后，在关于里仍显示名称为UAM，除非是升级后 扩容EIA license，或者全新安装EIA。
domain:h3c
Portal Portal Server
身份认证协议
iNode客户端
用户名 密码 域 tom 123 h3c
用户名 密码
tom@h3c 123
认证设备
RADIUS
tom@h3c 123
LDAP EIA LDAP Server
User_name User-password
17
用户接入认证－漫游认证方式
终端识别
接入场景管理 用户管理及其他
用户接入认证－802.1x（用户名/密码方式）
802.1x认证支持PAP/CHAP/EAP三种方式 支持有线、无线（必须是PEAP或者TLS方式认证） 客户端一般采用iNode 支持快速认证 认证设备需要增加RADIUS相关配置 所有基于radius的认证，EIA均支持
对应接入用户管理用户管理81如果平台账号默认的信息项不能满足管理要求可以定制附加信息来进一步平台账号的信息项用户管理用户附加信息82该功能用于批量导入用户信息用户管理导入用户83如果平台账号默认的信息项不能满足管理要求可以定制附加信息来进一步平台账号的信息项用户管理群组管理84提供常用的计算机安全检查远程桌面连接加入黑名单资产详细信息等功能的快捷入口接入用户管理在线用户85管理员可以手工将账号解除黑名单状态接入用户管理黑名单用户87支持用户访客预注册接入用户管理用户自助88支持批量导出导入账号批量账号维护批量导出接入明细接入用户管理批量操作89设备认证请求中的用户名为mac地址时eia先匹配接入账号再匹配哑终端用户哑终端用户不支持计费90接入用户管理哑终端用户为了保证系统数据的可维护性imc提供了任务定时导出功能
Portal
身份认证协议
客户端证书 根证书
Portal Server RADIUS
根证书 服务器证书 服务器证书私钥
iNode 客户端
认证设备
EIA
15
用户接入认证－LDAP认证方式
EIA支持与微软AD等多种LDAP服务器对接，可以定期或手工将LDAP 服务器上的用户信息同步到EIA中，大大减轻了管理员创建账号的工 作量 认证方式分为在EIA本地认证与送到LDAP服务器上认证两种方式 EIA支持主备LDAP服务器，支持主备切换 EIA的LDAP同步策略支持过滤条件，支持自动同步,按需同步,新增用 户及接入账号，为已存在的用户新增接入账号，仅同步某节点下的账 号等多个选项 支持将LDAP服务器上的用户信息导出为文件
用户身份认证方式 用户接入授权
认证绑定检查
客户端类功能 终端识别 接入场景管理 用户管理及其他
用户接入授权
EIA支持对终端用户进行多种授权信息的下发
接入时段 限速 ACL下发 控制接入时间 控制终端上下行速 率 向设备下发ACL，由 设备执行 向设备下发VLAN， portal不支持vlan下 发
不同场景的EIA对服务器的数量及硬件要求不一样.主要考虑因素有：管理用 户数，在线用户数，是否启用用户自助，是否启动Portal认证，Portal认证是 否包含网页认证 Windows+MS SQL 详细内容请见《iMC部署和硬件配置方案》
Linux+oracle
PLA T
EIA/Portal
Access Request（00:01:00）
tom 服务
接入时段（01:00:0002:00:00）
身份认证协议 UserName=tom
Access Reject
Access Request（01:59:00）
Access accept
Code = 2 Session-Timeout(27) = 60
Portal
身份认证协议
Portal Server
RADIUS LDAP EIA LDAP Server
iNode 客户端
认证设备
16
用户接入认证－域统一认证
域统一认证采用Windows Gina技术，支持802.1x/portal 认证场景 终端需要安装iNode PC客户端并配置域统一认证连接 终端用户在登陆域时iNode自动发起采用终端登陆时使用 的用户名＠域名/密码作为身份认证协议使用的认证用户 名/密码进行认证 认证设备上需要添加与终端用户域名相同的domain name 域统一认证完成后进行正常的域认证
H3C iMC EIA(UAM+EIP)网络接入管理
技术创新 变革未来
引入
随着IT应用的不断发展，人们开始意识到对内网终端进行控制
和管理的必要性，实施网络接入控制，确保企业网络安全，成 为企业网客户的迫切需求
课程目标
学习完本课程，您应该能够：
掌握EIA产品的系统架构
掌握EIA产品的主要功能
EIA UAM.EXE
授权信息 Vlan下发
User-profile
向设备下发
User-group
SSL VPN支持
21
用户接入授权－接入时段控制
EIA侧对账号配置灵活的接入时段 终端用户认证时，如果认证时间不在接入时段内，则认证 被拒绝 超过设置的时间后，EIA会强制用户下线；
终端 认证设备 EIA
l2tp 客户端 认证设备 LNS
RADIUSБайду номын сангаас
EIA
14
用户接入认证－证书认证方式
证书认证支持基于EAP和WAPI二种方式 基于EAP的证书认证可以选择802.1x/portal/l2tp三种身份 认证协议，支持EAP-TLS、EAP-PEAP和EAP-TTLS三种 认证类型 客户端一般采用iNode Portal方式下的证书认证需要设备支持Portal EAP
18
用户接入认证－设备管理用户认证
支持Telnet/SSH/FTP/Terminal四种认证方式 终端账号认证成功后可以下账号对应的发权限级别给H3C 设备 认证账号支持绑定用户IP及设备IP 设备管理用户认证日志
telnet/ssh……
RADIUS
终端
认证设备
EIA
19
目录
EIA产品概述 EIA产品的主要功能