一、组网需求
H3C IMC 系统是一套认证管理系统,用户上网前必须通过 H3C IMC 系统的身份认证,用户通过 H3C IMC 系统的认证/注销后,自动在本设备上完成认证/注销。数据流的过程如下:
1. PC 通过 H3C IMC 系统认证服务器的认证/注销。
2. H3C IMC 系统通知本设备认证/注销用户,实现单点登录和注销。
公司内网PC 使用H3C IMC 智能管理中心认证,为不影响公司网络架构,UAC旁路模式部署,通过和H3C IMC联动,实现UAC 设备上用户的行为记录和H3C IMC用户名对应。
二、组网拓扑
拓扑图说明:将核心交换机出接口流量镜像到镜像口,镜像口直连UAC监控口,UAC任意接口都可设置为监控口
旁路部署只能做审计,不能做策略控制!
三、配置要点
步骤1:配置旁路模式,管理IP 及网关IP
步骤2:核心交换机配置数据镜像
步骤3:配置IMC SSO
步骤4:配置认证策略自动添加用户到组织结构
步骤5:静态路由设定(网管UAC 需要)
步骤6:保存配置
四、配置步骤
步骤1:配置旁路模式
进入系统配置> 工作模式,选中旁路模式,任选一个接口配置IP 地址作为管理Port,本案例在WAN1 配置管理ip 10.199.254.10/31,网关IP :10.199.254.126(网管UAC 需要)配置完成,点击“确定”,弹出成功提示,点击“确定”。
监控网段列表:默认监控全部,也可根据实际需要填写监控网段。
步骤2:核心交换机配置数据镜像
核心交换机数据镜像Port 和UAC LAN1 直连
步骤3:开启IMC SSO
进入用户认证>SSO,选择第三方服务器,启用H3C IMC
步骤4 :配置认证策略自动添加用户到组织结构
进入用户认证> 认证策略,新增,
认证方式,选择新用户以 SSO获取值作为用户名
勾选自动添加到组织结构。
步骤5:保存配置
WebUI 右上角,点击"保存配置",并确定,重启后配置仍可生效。
步骤:6:验证效果
进到菜单实时监控>物理接口,查看物理接口收发情况:
交换机镜像口接LAN1,LAN1只有接受方向的流量,没有发送方向的流量。这是由于交换机的镜像口一般不具备业务转发功能,只能做数据纯拷贝。
进入实时监控>在线用户,查看
更多日志,请到通过报表中心>内置报表中心查看:
附录:H3C IMC使用说明
(一) 准备工作
安装IMC 系统
1、iMC-PLAT-3.20-R2606L15 以上平台
2、iMC-UAM-3.60-E6301P04 以上平台
客户端
iNodeSetup3.60-6308.exe
(二) 配置信息
1、 与本设备配置结合的配置信息
服务器 IP:连接的本设备的 IP 地址;
服务器端口:本设备开启的 UDP 端口5850;
共享密钥:暂可忽略不计,无影响;
2、客户端配置
客户端 PC 安装 iNodeSetup3.60-6308.exe ,输入正确的用户名和密码后,需勾选:上传 IPv4地址;
(三)本设备单点登录实现原理:用户通过 H3C 的 IMC 系统认证后,IMC 系统向本设备发送一个 UDP 包(UDP包,Radius协议);本设备通过 authd 创建一个线程进行监听,如果收到 IMC 上线通知包,解析出上线用户名和 IP,走单点登录流程,将用户添加到组织结构,然后上线;
用户在IMC 系统认证成功后,IMC 系统发送的上线通知包结构(使用Radius协议):
code = 252 //上线通知报文号
属性:
1号属性:用户登录名
2号属性:用户姓名(iMC上开户时输入的用户全名)
3号属性:用户接入开始时间(上网开始时间)
8号属性:认证用户IP地址
31号属性:认证用户MAC地址