【正文】 3c accounting ppp radiusscheme h3c accesslimit disable state active idlecut disable selfserviceurl disable43 / 56 accounting optional ip pool 1 址池ike peer remote IKE對等體名稱 exchangemode aggressive野蠻模式，適用于分部地址不固定情況 presharedkey simple 123456 idtype name remotename local nat traversalnat穿越，試用 LNS和 LAC之間有 nat設(shè)備的情況ipsec proposal 1定義 ipsec安全提議，采用默認封裝格式和加密類型ipsec policytemplate 1 1關(guān)聯(lián) ike對等體和安全提議 ikepeer remote proposal 1ipsec policy h3c 1 isakmp template 1dhcp server ippool 1 work mask gatewaylist dnslist usergroup systemcwmp undo cwmp enablel2tpgroup 1啟用L2TPGROUP組，取消隧道驗證，強制 LCP階段協(xié)商 undo tunnel authentication mandatorylcp allow l2tp virtualtemplate 1interface Aux0 async mode flow linkprotocol ppp44 / 56interface Cellular0/0 async mode protocol linkprotocol pppinterface Ether0/0連接內(nèi)網(wǎng)接口，連接 IMC服務(wù)器 port linkmode route ip address undo ipv6 fastforwardinginterface Serial0/0 linkprotocol ppp undo ipv6 fastforwardinginterface VirtualTemplate1新建虛擬模版，驗證模式和 Inode客戶端中的驗證模式保持一致，關(guān)聯(lián)域 ppp authenticationmode chap domain remote address pool 1 ip address ，做為分配地址池的虛擬網(wǎng)關(guān)interface NULL0interface Vlaninterface1 ip address ipsec policy h3c undo ipv6 fastforwarding ip routestatic dhcp enable load xmlconfiguration load tr069configurationuserinterface tty 12userinterface aux 0userinterface vty 0 4Return45 / 56說明：1. L2TP階段 PC和 Lns設(shè)備通信，只要配置 L2TP/IPSEC參數(shù)正確就能獲取到地址池的地址，但是獲取到地址后所做的 EAD安全檢查是以獲得的地址和 IMC服務(wù)器通信，如果不通，EAD 安全檢查無法繼續(xù)同時提示“未收到服務(wù)器回應(yīng)，您的計算機可能只能訪問隔離區(qū)的網(wǎng)絡(luò)資源，請檢查終端能否正常訪問網(wǎng)絡(luò)或者與管理員聯(lián)系” ，因此地址池的網(wǎng)段一定要發(fā)布到內(nèi)網(wǎng)中，保證 PC和 IMC直接通信。 2. 如果是防火墻做 LNS，則還要考慮將虛擬模版加入到安全區(qū)域中，不然不通；5 Radius服務(wù)器配置說明：這里的 radius服務(wù)器以 H3C公司推出的 IMC（智能管理中心）為例 802．1x 認證配置在服務(wù)器端分為如下步驟 1．接入設(shè)備配置； 2．EAD 安全策略配置 3．服務(wù)創(chuàng)建，關(guān)聯(lián)創(chuàng)建的 EAD安全策略； 4．創(chuàng)建接入用戶，關(guān)聯(lián)服務(wù)下面結(jié)合截圖說明配置流程 接入設(shè)備配置 增加設(shè)備，路徑：資源－增加設(shè)備46 / 56增加接入設(shè)備，選擇前期增加設(shè)備，路徑：業(yè)務(wù)－接入業(yè)務(wù)－接入設(shè)備配置增加接入設(shè)備，在上截圖基礎(chǔ)上，點擊設(shè)備列表中的選擇，在設(shè)備視圖中選擇前面增加的設(shè)備，點擊確定點擊確定，增加接入設(shè)備完成，這里的共享密鑰需要和接入設(shè)備上配置的驗證/計費密碼保持一致 EAD安全策略創(chuàng)建47 / 56說明：由于 EAD功能強大，涉及功能較多，有系統(tǒng)補丁檢查，病毒檢查，流量監(jiān)控，系統(tǒng)密碼強度檢查，注冊表監(jiān)控檢查。目錄共享功能檢查，可控軟件檢查等等，這里只介紹工程中使用最多的系統(tǒng)補丁檢查和病毒檢查兩項，以截圖說明。系統(tǒng)補丁檢查按照操作平臺類型增加補丁，補丁名稱為 KB開頭的 6位數(shù)字，在補丁服務(wù)器（WSUS，目前 2022系統(tǒng)中 WSUS必須打 P01的補丁）中可以查到；用戶提示信息可以不寫，默認為該補丁的說明；補丁級別分重要，緊急，一般，提示等，安全級別中根據(jù)補丁的級別配置補丁安全模式。路徑：業(yè)務(wù)－EAD 業(yè)務(wù)－軟件補丁管理－增加軟件補丁查看補丁列表病毒檢查配置48 / 56默認病毒都是啟用的，也就是 EAD客戶端進行所有殺毒軟件的檢查。路徑：業(yè)務(wù)－EAD 業(yè)務(wù)－防病毒業(yè)務(wù)軟件管理點擊每個軟件后面的修改，可以設(shè)置檢查病毒軟件的殺毒引擎版本和病毒庫版本，默認為自適應(yīng)說明：實際應(yīng)用中，有可能用戶使用病毒為定制版本或者專用版，這個時候需要在病毒列表中添加定制版或者專用版本的名字。并且同一個病毒軟件下可以添加多個定制版本名稱，均使用“；”分隔?？蛻羰褂貌《景姹揪唧w名稱以“控制面板”“添加刪除程序”中名稱為準。下面結(jié)合截圖說明 EAD策略如何設(shè)置，引用剛才修改的病毒軟件和系統(tǒng)補丁檢查49 / 56病毒服務(wù)器的地址需要添加實際安裝病毒服務(wù)器的服務(wù)器地址補丁服務(wù)器的地址需要添加實際安裝 windows WSUS服務(wù)器的地址路徑：業(yè)務(wù)－EAD 業(yè)務(wù)－安全策略管理－增加安全策略 創(chuàng)建服務(wù)，關(guān)聯(lián)創(chuàng)建的 EAD安全策略50 / 56配置名為“測試使用服務(wù)”關(guān)聯(lián)上面新建的 EAD安全策略“測試用 EAD安全策略” ，限制上下行速率分別為 1Mbps，2Mbps；下發(fā) vlan20，做相應(yīng)的綁定項；禁止多網(wǎng)卡使用環(huán)境，禁用 windows自帶驗證客戶端。 創(chuàng)建接入用戶，關(guān)聯(lián)服務(wù)增加用戶，注意這里增加的不是接入用戶，用戶類型要在后面部分指定路徑：用戶－增加用戶增加接入用戶，點擊“選擇”選擇剛新建的用戶“h3c”,如下圖路徑：用戶－接入用戶視圖－所有接入用戶－增加點擊確定，增加接入用戶51 / 56增加接入用戶，關(guān)聯(lián)上面創(chuàng)建的服務(wù) Portal環(huán)境下 IMC(智能管理中心)端相應(yīng)配置 Portal環(huán)境下的配置基本步驟和 8021x是一樣的,依次介紹如下 包括添加設(shè)備,增加接入設(shè)備,增加安全策略,新建服務(wù)關(guān)聯(lián)安全策略,新建接入 用戶并關(guān)聯(lián)相應(yīng)服務(wù),portal 設(shè)備的配置等幾部分,前幾部分和 1x認證是一樣 的, portal設(shè)備配置部分. portal部分操作配置認證的地址組 h3c,如下對 新建端口組,關(guān)聯(lián)剛新建的地址組 h3c 增加 portal設(shè)備,如圖地址,密鑰和接入設(shè)備上的”portal server”相關(guān)參數(shù) V3平臺的設(shè)備中,該地址和添加接入設(shè)備的地址保持一致,在52 / 56V5平臺,需要添加離用戶最近的地址”,一般來說就是用戶的網(wǎng)關(guān).增加 portal環(huán)境下的接入設(shè)備,這個地址應(yīng)為發(fā)送 radius報文給 IMC的地址,并且應(yīng)為離服務(wù)器“最近”的地址 增加安全策略可以增加軟件檢查,病毒檢查,補丁檢查,系統(tǒng)密碼檢查,共享檢查等多種功能,在此只過簡單的病毒軟件檢查,其它功能參考 imc的相應(yīng)配置部分,不再贅述53 / 56 增加服務(wù),并關(guān)聯(lián)安全策略 創(chuàng)建接入用戶，關(guān)聯(lián)服務(wù)創(chuàng)建用戶分組一(路徑:管理分組管理用戶分組)54 / 56建立用戶分組”地方稅務(wù)局”增加用戶”test”,在用戶分組處選擇上圖建立的用戶分組 增加接入用戶一 增加接入用戶二,關(guān)聯(lián)新建的服務(wù)55 / 56至此，portal 認證方式接入賬號申請完成 在 XPE 安裝環(huán)境下，定制了“防內(nèi)網(wǎng)外聯(lián)功能”和“下發(fā) acl 功能”時，安裝過程中會有報錯，如下圖。需要采用手動指定安裝路徑：開啟防內(nèi)網(wǎng)外連功能選擇C:\Program Files\iNode\iNode Client\wancontrol\xp\56 / 56如，未開啟防內(nèi)網(wǎng)外連功能選擇C:\Program Files\iNode\iNode Client\arp\xp\名詞解釋：XPE 系統(tǒng)，在內(nèi)嵌系統(tǒng)中安裝的精簡版 XP 系統(tǒng)，俗稱瘦客戶端。 . 客戶端提示“策略服務(wù)器沒有響應(yīng)”問題的解決方法 出現(xiàn)這種情況通常都是因為沒有配置正確。通常的原因有兩種： 代理服務(wù)器 IP 地址配置錯誤。請檢查 “業(yè)務(wù) ”頁簽中[接入業(yè)務(wù)][業(yè)務(wù)參數(shù)配置][策略服務(wù)器參數(shù)配置]中的“代理服務(wù)器 IP”是否配置正確。尤其注意不要配置為回環(huán)地址。 客戶端身份認證成功后，客戶端無法 ping 通代理服務(wù)器，通常是因為交換機上的路由有問題，或者隔離 ACL 設(shè)置錯誤，可訪問的目的地址中沒有包含代理服務(wù)器的 IP 地址。