Visión general
Una vez que un usuario de 802.1x se haya autenticado con éxito en un servidor RADIUS, el servidor envía información de autorización al dispositivo de acceso del usuario. Cuando el Agile Controller-Campus funciona como servidor RADIUS, puede entregar varios parámetros de autorización.
La autorización basada en ACL se clasifica en la autorización basada en el número ACL (basada en ACL estática) y la autorización dinámica basada en ACL.
− Número de ACL: Si la entrega de números ACL está configurada en el servidor, la información de autorización enviada al dispositivo de acceso incluye el número ACL. El dispositivo de acceso coincide con las reglas ACL basadas en el número ACL entregado para controlar los derechos de usuario.
El atributo RADIUS utilizado para la entrega de números ACL es (011) Filter-Id
− ACL dinámico: El servidor ofrece reglas en un ACL al dispositivo. Los usuarios pueden acceder a los recursos de red controlados utilizando esta ACL. Las reglas ACL y ACL deben configurarse en el servidor. La ACL no necesita ser configurada en el dispositivo.
The RADIUS attribute used for dynamic ACL delivery is Huawei extended RADIUS attribute (26-82) HW-Data-Filter.
VLAN dinámica: Si la entrega de VLAN dinámica se configura en el servidor, la información de autorización enviada al dispositivo de acceso incluye el atributo VLAN. Una vez que el dispositivo de acceso recibe la información de autorización, cambia la VLAN del usuario a la VLAN entregada.
La VLAN entregada no cambia ni afecta la configuración de la interfaz. Sin embargo, la VLAN entregada tiene prioridad sobre la VLAN configurada en la interfaz. Es decir, la VLAN entregada tiene efecto después de que la autenticación tiene éxito, y la VLAN configurada entra en efecto después de que el usuario se desconecta.
Los siguientes atributos RADIUS se utilizan para la entrega dinámica de VLAN:
− (064) Tipo de túnel (Debe estar configurado en VLAN o 13.)
− (065) Tunnel-Medium-Type (Debe estar configurado en 802 ó 6.)
− (081) tunnel-private-group-ID (it can be a VLAN ID or VLAN name.)
Para garantizar que el servidor RADIUS entrega la información de VLAN correctamente, se deben utilizar todos los tres atributos RADIUS.
Además, los atributos Tunnel-Type y Tunnel-Medium-Type deben ajustarse a los valores especificados.
Nota:
A continuación se utiliza el número ACL y la entrega dinámica de VLAN como ejemplo. Las diferencias de configuración entre la entrega de números ACL y la entrega dinámica de ACL se describen en notas.
Requerimientos de networking
Como se muestra en la Figura 1-1, un gran número de terminales de empleados en una empresa se conectan a la intranet a través de GE0/0 / 1 en SwitchA. Para garantizar la seguridad de la red, el administrador debe controlar los derechos de acceso a la red de los terminales. Los requerimientos son los siguientes:
n Antes de pasar la autenticación, los terminales pueden acceder al servidor público (con la dirección IP 192.168.40.1) y descargar el cliente 802.1x o actualizar la base de datos antivirus.
n Después de pasar la autenticación, los terminales pueden acceder al servidor de servicios (con la dirección IP 192.168.50.1) y a los dispositivos del laboratorio (con VLAN ID 20 y el segmento de direcciones IP 192.168.20.10-192.168.20.100).
Figura 1-1 Diagrama de networking de acceso Wired
Plan de datos
Tabla 1-1 Plan de datos de servicio para el switch de acceso
Item | Informacion |
Esquema de radio | Dirección IP del servidor de autenticación: 192.168.30.1 Número de puerto del servidor de autenticación: 1812 Dirección IP del servidor de contabilidad: 192.168.30.1 Número de puerto del servidor de contabilidad: 1813 Clave compartida para el servidor RADIUS: Huawei@123 Intervalo de contabilidad: 15 minutos Dominio de autenticación: Huawei |
Recursos accesibles a los usuarios antes de la autenticación | Los derechos de acceso al servidor público se configuran utilizando una regla sin autenticación. El nombre del perfil de regla libre de autenticación es default _ free _ rule. |
Recursos accesibles a los usuarios después de la autenticación
| Los derechos de acceso al laboratorio se otorgan utilizando una VLAN dinámica. La ID de VLAN es 20.
Los derechos de acceso al servidor de servicios se otorgan utilizando un número ACL. El número de ACL es 3002 |
Tabla 1-2 Plan de Datos del Servicio para el Agile Controller-Campus
Item | Informacion |
Departamento | Departamento de R&D |
Usuario de acceso
| Nombre de usuario: A Cuenta de acceso cableado: A-123 Contraseña: Huawei123 |
Cambiar dirección IP | SwitchA: 10.10.10.1 |
Clave de autenticación RADIUS | Huawei@123 |
Clave de contabilidad RADIUS | Huawei@123 |
Configuracion Roadmap.
1. Configure el switch de acceso, incluidas las interfaces VLANs, los parámetros para conectarse al servidor RADIUS, permitir NAC y los derechos de acceso a la red que los usuarios obtienen después de pasar la autenticación.
Nota
En este ejemplo, asegúrese de que existen rutas accesibles entre SwitchA y SwitchB, servidores, laboratorios y terminales de empleados.
2. Configure el Agile Controller-Campus
a. Log in the Agile Controller-Campus
b. Añadir una cuenta al Agile Controller-Campus
c. Añadir conmutadores al Agile Controller-Campus
d. Configure los resultados de autorización y las reglas de autorización en el Agile Controller-Campus
Procedimiento
Paso 1 Configure el switch de acceso SwitchA
1. Crear VLAN y configurar las VLAN permitidas en las interfaces para garantizar la conectividad de la red.
< HUAWEI > system-view.
[HUAWEI] sysname SwitchA.
[SwitchA] vlan lote 10 20
[SwitchA] interfaz gigabitethernet 0/0 / 1
[SwitchA-GigabitEthernet0/0 / 1] port link-type hybrid
[SwitchA-GigabitEthernet0/0 / 1] port hybrid pvid vlan 10
[SwitchA-GigabitEthernet0/0 / 1] port hybrid untagged vlan 10
[SwitchA-GigabitEthernet0/0 / 1] quit
[SwitchA] interface gigabitethernet 0/0 / 2
[SwitchA-GigabitEthernet0/0 / 2] port link-type hybrid
[SwitchA-GigabitEthernet0/0 / 2] puerto híbrido untagged vlan 20
[SwitchA-GigabitEthernet0/0 / 2] quit
[SwitchA] interfaz gigabitethernet 0/0 / 3
[SwitchA-GigabitEthernet0/0 / 3] port link-type trunk
[SwitchA-GigabitEthernet0/0 / 3] port trunk allow-pass vlan 10 20
[SwitchA-GigabitEthernet0/0 / 3] quit
[SwitchA] interface loopback 1
[SwitchA-LoopBack1] ip address 10.10.10.1 24
[SwitchA-LoopBack1] quit
2. Crear y configurar una plantilla de servidor RADIUS, un esquema de autenticación AAA y un dominio de autenticación.
# Crear y configurar la plantilla de servidor RADIUS Rd1.
[SwitchA] template radius-server template Rd1
[SwitchA-radio-Rd1] autenticación radius-server 192.168.30.1 1812
[SwitchA-radius-Rd1] radius-server accounting 192.168.30.1 1813
[SwitchA-radio-Rd1] cifrado de clave compartida Huawei @ 123
[SwitchA-radio-Rd1] quit
# Crear el esquema de autenticación AAA abc y configurar el modo de autenticación a RADIUS.
[SwitchA] aaa
[SwitchA-aaa] authentication-scheme abc
[SwitchA-aaa-authen-abc] radio-modo de autenticación
[SwitchA-aaa-authen-abc] quit
# Configure el esquema de contabilidad acco1 y establezca el modo de contabilidad a RADIUS.
[SwitchA-aaa] accounting-scheme acco1
[SwitchA-aaa-accounting-acco1] radio de modo contable
[Tiempo real de contabilidad SwitchA-aaa-accounting-acco1] 15
[SwitchA-aaa-accounting-acco1] quit
# Create the authentication domain huawei, and bind the AAA authentication scheme abc, accounting scheme acco1, and RADIUS server template Rd1 to the domain.
[SwitchA-aaa] domain huawei
[SwitchA-aaa-dominio-huawei] authentication-scheme abc
[SwitchA-aaa-dominio-huawei] accounting-scheme acco1
[SwitchA-aaa-dominio-huawei] radius-server Rd1
[SwitchA-aaa-dominio-huawei] quit
[SwitchA-aaa] quit
3. Configure un perfil de regla libre de autenticación.
[SwitchA] Nombre de la plantilla de reglas libres default _ free _ rule
[SwitchA-free-rule-default _ free _ rule] free-rule 10 destination ip 192.168.40.0 mask 24
[SwitchA-free-rule-default _ free _ rule] quit
4. Habilitar autenticación 802.1x.
# Set the NAC mode to unified.
[SwitchA] authentication unified mode
20170323112026784004.jpg
Por defecto, el modo unificado está habilitado. Antes de cambiar el modo NAC, debe guardar la configuración. Una vez que el modo se cambia y se reinicia el dispositivo, las funciones del modo recién confiado tienen efecto.
# Configure el perfil access 802.1x d1.
[SwitchA] dot1x-access-profile name d1
[SwitchA-dot1x-access-profile-d1] quit
# Configure el perfil de autenticación p1, bind el perfil de regla de autenticación 802.1x d1 de autenticación and por defecto _ free _ rule al perfil de autenticación, especifique el dominio huawei como el dominio de autenticación forzosa en el perfil de autenticación, y establezca el modo de acceso de usuario a multi-authen.
[SwitchA] Nombre del perfil de autenticación p1
[SwitchA-authen-profile-p1] dot1x-access-profile d1
[SwitchA-authen-profile-p1] free-rule-template default _ free _ rule
[SwitchA-authen-profile-p1] Access-domain huawei force
[SwitchA-authen-profile-p1] modo de autenticación multi-authen
[SwitchA-authen-profile-p1] quit
# Bind the authentication profile p1 to GE0/0 / 1 and enable 802.1x authentication on the interface
[SwitchA] interfaz gigabitethernet 0/0 / 1
[SwitchA-GigabitEthernet0/0 / 1] authentication-profile p1
[SwitchA-GigabitEthernet0/0 / 1] quit
5. Configure el parámetro de autorización ACL 3002 para los usuarios que pasen la autenticación.
Nota: En el modo ACL dinámico, este paso no necesita ser configurado en el dispositivo.
[SwitchA] acl 3002
[SwitchA-acl-adv-3002] Rule 1 permit ip destination 192.168.30.1 0
[SwitchA-acl-adv-3002] Rule 2 permit ip destination 192.168.50.1 0
[SwitchA-acl-adv-3002] rule 3 deny ip destination any
[SwitchA-acl-adv-3002] quit
Step 2: Configure el Agile Controller-Campus
1. Inicia en el Agile Controller-Campus
a. Abrir el Internet Explorer, introduzca la dirección de acceso Agile Controller-Campus en la barra de direcciones y presione Enter.
La siguiente tabla describe las direcciones para acceder al Agile Controller-Campus
Modo de acceso | Descripción |
Https: //Agile Controller-Campus-IP: 8443 | Agile Controller-Campus-IP especifica la dirección IP del Agile Controller-Campus. |
Dirección IP del Agile Controller-Campus | Si el puerto 80 está habilitado durante la instalación, puede acceder al Agile Controller-Campus introduciendo su dirección IP sin el número de puerto. La URL de Agile Controller-Campus cambiará automáticamente a https://Agile Controller-Campus-IP: 8443. |
b. Entrar el nombre de usuario y la contraseña del administrador.
Si inicia sesión en el Agile Controller-Campus por primera vez, utilice el administrador de nombres de usuario super administrador y la contraseña Changeme123. Cambie la contraseña inmediatamente después de iniciar sesión. De lo contrario, no se puede utilizar el Agile Controller-Campus.
2. Crear un departamento y una cuenta.
a. Elija Resource > User > User Management
b. Haga clic en la pestaña Departamento en el área de operación a la derecha, y luego haga clic en Agregar bajo la pestaña Departamento para agregar un departamento R&D.
c. Haga clic en la pestaña User en el área de operación a la derecha y, a continuación, haga clic en Agregar bajo la pestaña Usuario para agregar un usuario A.
d. Haga clic en junto al usuario A en Operación para acceder a la gestión de cuentas. Haga clic en agregar. Cree una cuenta común A-123 y establezca la contraseña en Huawei123
e. En la pestaña Usuario, seleccione el usuario A. Haga clic en Transfer para agregar el usuario A al departamento R&D.
3. Agregar switches al Agile Controller-Campus para que los switches se puedan comunicar con el Agile Controller-Campus.
Seleccione Resource > device > device management. Haga clic en Agregar en el área de operación a la derecha. Configure los parámetros de conexión en la página Agregar dispositivo.
4. Añadir un resultado de autorización.
Nota:
Realice este paso para el número de ACL y la entrega de VLAN.
a. Elegir Policy > Permission Control > Authentication and Authorization > Authorization Result y haga clic en Agregar para crear un resultado de autorización.
b. Configure información básica para el resultado de la autorización.
Parámetro | Valor | Descripción |
Nombre | Información de autorización para usuarios autenticados | - |
Tipo de servicio | Servicio de acceso | - |
VLAN | 20 | La VLAN debe ser la misma que la VLAN configurada para los empleados de R&D en el switch. |
Número de ACL/Grupo de usuarios AAA | 3002 | El número de ACL debe ser el mismo que el número de ACL configurado para los empleados de R&D en el switch. |
5. Añadir un resultado de autorización.
Nota: Realice este paso para la entrega dinámica de ACL y VLAN.
a. Añadir un ACL dinámico.
i. choose Policy > Permission Control > Policy Element > Dynamic ACL.
II. Haga clic en agregar.
III. Configure la información básica para la ACL dinámica y haga clic en Add in Rule List.
IV. Configure los atributos contenidos en la ACL dinámica.
b. Elegir Policy > Permission Control > Authentication and Authorization > Authorization Result y haga clic en Agregar para crear un resultado de autorización.
c. Configure información básica para el resultado de la autorización.
Parámetro | Valor | Descripción |
Nombre | Información de autorización para usuarios que pasan autenticación | - |
Tipo de servicio | Servicio de acceso | - |
VLAN | 20 | El VLAN ID debe ser el mismo que el ID de VLAN configurado para los empleados de R&D en el switch. |
ACL dinámico | 3002 | - |
6. Añadir una regla de autorización.
Una vez que un usuario pasa la autenticación, comienza la fase de autorización. El Agile Controller-Campus otorga a los usuarios los derechos de acceso basados en la regla de autorización.
a. Elige Policy > Permission Control > Authentication and Authorization > Authorization Rule y haga clic en Add para crear una regla de autorización.
b. Configure información básica para la regla de autorización.
Parámetro | Valor | Descripción |
Nombre | Regla de autorización para usuarios autenticados | - |
Tipo de servicio | Servicio de acceso | - |
Departamento | Departamento R&D | - |
Resultado de autorización | Información de autorización para usuarios autenticados | - |
Step 3: Verifique la configuración.
Un empleado sólo puede acceder al servidor Agile Controller-Campus y al servidor público antes de pasar la autenticación.
Un empleado puede acceder al servidor Agile Controller-Campus, al servidor público, al servidor de servicios y al laboratorio después de pasar la autenticación.
Después de que el empleado pase la autenticación, ejecute el comando display access-user en el switch. La salida del comando muestra información sobre el empleado en línea.
Fin
Cambiar archivo de configuración
#
sysname SwitchA
#
vlan batch 10 20
#
authentication-profile name p1
dot1x-access-profile d1
free-rule-template default_free_rule
access-domain huawei force
#
radius-server template rd1
radius-server shared-key cipher %^%#FP@&C(&{$F2HTlPxg^NLS~KqA/\^3Fex;T@Q9A](%^%#
radius-server authentication 192.168.30.1 1812 weight 80
radius-server accounting 192.168.30.1 1813 weight 80
#
acl number 3002
rule 1 permit ip destination 192.168.30.1 0
rule 2 permit ip destination 192.168.50.1 0
rule 3 deny ip
#
free-rule-template name default_free_rule
free-rule 10 destination ip 192.168.40.0 mask 255.255.255.0
#
aaa
authentication-scheme abc
authentication-mode radius
accounting-scheme acco1
accounting-mode radius
accounting realtime 15
domain huawei
authentication-scheme abc
accounting-scheme acco1
radius-server rd1
#
interface GigabitEthernet0/0/1
port link-type hybrid
port hybrid pvid vlan 10
port hybrid untagged vlan 10
authentication-profile p1
#
interface GigabitEthernet0/0/2
port link-type hybrid
port hybrid untagged vlan 20
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 10 20
#
interface LoopBack1
ip address 10.10.10.1 255.255.255.0
#
dot1x-access-profile name d1
#
return