【正文】 3c accounting ppp radiusscheme h3c accesslimit disable state active idlecut disable selfserviceurl disable43 / 56 accounting optional ip pool 1 址池ike peer remote IKE對等體名稱 exchangemode aggressive野蠻模式，適用于分部地址不固定情況 presharedkey simple 123456 idtype name remotename local nat traversalnat穿越，試用 LNS和 LAC之間有 nat設備的情況ipsec proposal 1定義 ipsec安全提議，采用默認封裝格式和加密類型ipsec policytemplate 1 1關聯(lián) ike對等體和安全提議 ikepeer remote proposal 1ipsec policy h3c 1 isakmp template 1dhcp server ippool 1 work mask gatewaylist dnslist usergroup systemcwmp undo cwmp enablel2tpgroup 1啟用L2TPGROUP組，取消隧道驗證，強制 LCP階段協(xié)商 undo tunnel authentication mandatorylcp allow l2tp virtualtemplate 1interface Aux0 async mode flow linkprotocol ppp44 / 56interface Cellular0/0 async mode protocol linkprotocol pppinterface Ether0/0連接內網接口，連接 IMC服務器 port linkmode route ip address undo ipv6 fastforwardinginterface Serial0/0 linkprotocol ppp undo ipv6 fastforwardinginterface VirtualTemplate1新建虛擬模版，驗證模式和 Inode客戶端中的驗證模式保持一致，關聯(lián)域 ppp authenticationmode chap domain remote address pool 1 ip address ，做為分配地址池的虛擬網關interface NULL0interface Vlaninterface1 ip address ipsec policy h3c undo ipv6 fastforwarding ip routestatic dhcp enable load xmlconfiguration load tr069configurationuserinterface tty 12userinterface aux 0userinterface vty 0 4Return45 / 56說明：1. L2TP階段 PC和 Lns設備通信，只要配置 L2TP/IPSEC參數正確就能獲取到地址池的地址，但是獲取到地址后所做的 EAD安全檢查是以獲得的地址和 IMC服務器通信，如果不通，EAD 安全檢查無法繼續(xù)同時提示“未收到服務器回應，您的計算機可能只能訪問隔離區(qū)的網絡資源，請檢查終端能否正常訪問網絡或者與管理員聯(lián)系” ，因此地址池的網段一定要發(fā)布到內網中，保證 PC和 IMC直接通信。 2. 如果是防火墻做 LNS，則還要考慮將虛擬模版加入到安全區(qū)域中，不然不通；5 Radius服務器配置說明：這里的 radius服務器以 H3C公司推出的 IMC（智能管理中心）為例 802．1x 認證配置在服務器端分為如下步驟 1．接入設備配置； 2．EAD 安全策略配置 3．服務創(chuàng)建，關聯(lián)創(chuàng)建的 EAD安全策略； 4．創(chuàng)建接入用戶，關聯(lián)服務下面結合截圖說明配置流程 接入設備配置 增加設備，路徑：資源－增加設備46 / 56增加接入設備，選擇前期增加設備，路徑：業(yè)務－接入業(yè)務－接入設備配置增加接入設備，在上截圖基礎上，點擊設備列表中的選擇，在設備視圖中選擇前面增加的設備，點擊確定點擊確定，增加接入設備完成，這里的共享密鑰需要和接入設備上配置的驗證/計費密碼保持一致 EAD安全策略創(chuàng)建47 / 56說明：由于 EAD功能強大，涉及功能較多，有系統(tǒng)補丁檢查，病毒檢查，流量監(jiān)控，系統(tǒng)密碼強度檢查，注冊表監(jiān)控檢查。目錄共享功能檢查，可控軟件檢查等等，這里只介紹工程中使用最多的系統(tǒng)補丁檢查和病毒檢查兩項，以截圖說明。系統(tǒng)補丁檢查按照操作平臺類型增加補丁，補丁名稱為 KB開頭的 6位數字，在補丁服務器（WSUS，目前 2022系統(tǒng)中 WSUS必須打 P01的補?。┲锌梢圆榈剑挥脩籼崾拘畔⒖梢圆粚?，默認為該補丁的說明；補丁級別分重要，緊急，一般，提示等，安全級別中根據補丁的級別配置補丁安全模式。路徑：業(yè)務－EAD 業(yè)務－軟件補丁管理－增加軟件補丁查看補丁列表病毒檢查配置48 / 56默認病毒都是啟用的，也就是 EAD客戶端進行所有殺毒軟件的檢查。路徑：業(yè)務－EAD 業(yè)務－防病毒業(yè)務軟件管理點擊每個軟件后面的修改，可以設置檢查病毒軟件的殺毒引擎版本和病毒庫版本，默認為自適應說明：實際應用中，有可能用戶使用病毒為定制版本或者專用版，這個時候需要在病毒列表中添加定制版或者專用版本的名字。并且同一個病毒軟件下可以添加多個定制版本名稱，均使用“；”分隔。客戶使用病毒版本具體名稱以“控制面板”“添加刪除程序”中名稱為準。下面結合截圖說明 EAD策略如何設置，引用剛才修改的病毒軟件和系統(tǒng)補丁檢查49 / 56病毒服務器的地址需要添加實際安裝病毒服務器的服務器地址補丁服務器的地址需要添加實際安裝 windows WSUS服務器的地址路徑：業(yè)務－EAD 業(yè)務－安全策略管理－增加安全策略 創(chuàng)建服務，關聯(lián)創(chuàng)建的 EAD安全策略50 / 56配置名為“測試使用服務”關聯(lián)上面新建的 EAD安全策略“測試用 EAD安全策略” ，限制上下行速率分別為 1Mbps，2Mbps；下發(fā) vlan20，做相應的綁定項；禁止多網卡使用環(huán)境，禁用 windows自帶驗證客戶端。 創(chuàng)建接入用戶，關聯(lián)服務增加用戶，注意這里增加的不是接入用戶，用戶類型要在后面部分指定路徑：用戶－增加用戶增加接入用戶，點擊“選擇”選擇剛新建的用戶“h3c”,如下圖路徑：用戶－接入用戶視圖－所有接入用戶－增加點擊確定，增加接入用戶51 / 56增加接入用戶，關聯(lián)上面創(chuàng)建的服務 Portal環(huán)境下 IMC(智能管理中心)端相應配置 Portal環(huán)境下的配置基本步驟和 8021x是一樣的,依次介紹如下 包括添加設備,增加接入設備,增加安全策略,新建服務關聯(lián)安全策略,新建接入 用戶并關聯(lián)相應服務,portal 設備的配置等幾部分,前幾部分和 1x認證是一樣 的, portal設備配置部分. portal部分操作配置認證的地址組 h3c,如下對 新建端口組,關聯(lián)剛新建的地址組 h3c 增加 portal設備,如圖地址,密鑰和接入設備上的”portal server”相關參數 V3平臺的設備中,該地址和添加接入設備的地址保持一致,在52 / 56V5平臺,需要添加離用戶最近的地址”,一般來說就是用戶的網關.增加 portal環(huán)境下的接入設備,這個地址應為發(fā)送 radius報文給 IMC的地址,并且應為離服務器“最近”的地址 增加安全策略可以增加軟件檢查,病毒檢查,補丁檢查,系統(tǒng)密碼檢查,共享檢查等多種功能,在此只過簡單的病毒軟件檢查,其它功能參考 imc的相應配置部分,不再贅述53 / 56 增加服務,并關聯(lián)安全策略 創(chuàng)建接入用戶，關聯(lián)服務創(chuàng)建用戶分組一(路徑:管理分組管理用戶分組)54 / 56建立用戶分組”地方稅務局”增加用戶”test”,在用戶分組處選擇上圖建立的用戶分組 增加接入用戶一 增加接入用戶二,關聯(lián)新建的服務55 / 56至此，portal 認證方式接入賬號申請完成 在 XPE 安裝環(huán)境下，定制了“防內網外聯(lián)功能”和“下發(fā) acl 功能”時，安裝過程中會有報錯，如下圖。需要采用手動指定安裝路徑：開啟防內網外連功能選擇C:\Program Files\iNode\iNode Client\wancontrol\xp\56 / 56如，未開啟防內網外連功能選擇C:\Program Files\iNode\iNode Client\arp\xp\名詞解釋：XPE 系統(tǒng)，在內嵌系統(tǒng)中安裝的精簡版 XP 系統(tǒng)，俗稱瘦客戶端。 . 客戶端提示“策略服務器沒有響應”問題的解決方法 出現(xiàn)這種情況通常都是因為沒有配置正確。通常的原因有兩種： 代理服務器 IP 地址配置錯誤。請檢查 “業(yè)務 ”頁簽中[接入業(yè)務][業(yè)務參數配置][策略服務器參數配置]中的“代理服務器 IP”是否配置正確。尤其注意不要配置為回環(huán)地址。 客戶端身份認證成功后，客戶端無法 ping 通代理服務器，通常是因為交換機上的路由有問題，或者隔離 ACL 設置錯誤，可訪問的目的地址中沒有包含代理服務器的 IP 地址。