Ejemplo para configurar la autorización de usuario basada en ACL o en la entrega de VLAN dinámica

59 0 0 0

Visión general

 

Una vez que un usuario de 802.1x se haya autenticado con éxito en un servidor RADIUS, el servidor envía información de autorización al dispositivo de acceso del usuario. Cuando el Agile Controller-Campus funciona como servidor RADIUS, puede entregar varios parámetros de autorización.

 

   La autorización basada en ACL se clasifica en la autorización basada en el número ACL (basada en ACL estática) y la autorización dinámica basada en ACL.

 

− Número de ACL: Si la entrega de números ACL está configurada en el servidor, la información de autorización enviada al dispositivo de acceso incluye el número ACL. El dispositivo de acceso coincide con las reglas ACL basadas en el número ACL entregado para controlar los derechos de usuario.

 

El atributo RADIUS utilizado para la entrega de números ACL es (011) Filter-Id

 

− ACL dinámico: El servidor ofrece reglas en un ACL al dispositivo. Los usuarios pueden acceder a los recursos de red controlados utilizando esta ACL. Las reglas ACL y ACL deben configurarse en el servidor. La ACL no necesita ser configurada en el dispositivo.


The RADIUS attribute used for dynamic ACL delivery is Huawei extended RADIUS attribute (26-82) HW-Data-Filter.

 

   VLAN dinámica: Si la entrega de VLAN dinámica se configura en el servidor, la información de autorización enviada al dispositivo de acceso incluye el atributo VLAN. Una vez que el dispositivo de acceso recibe la información de autorización, cambia la VLAN del usuario a la VLAN entregada.

 

La VLAN entregada no cambia ni afecta la configuración de la interfaz. Sin embargo, la VLAN entregada tiene prioridad sobre la VLAN configurada en la interfaz. Es decir, la VLAN entregada tiene efecto después de que la autenticación tiene éxito, y la VLAN configurada entra en efecto después de que el usuario se desconecta.

 

Los siguientes atributos RADIUS se utilizan para la entrega dinámica de VLAN:

 

− (064) Tipo de túnel (Debe estar configurado en VLAN o 13.)

− (065) Tunnel-Medium-Type (Debe estar configurado en 802 ó 6.)

− (081) tunnel-private-group-ID (it can be a VLAN ID or VLAN name.)

 

Para garantizar que el servidor RADIUS entrega la información de VLAN correctamente, se deben utilizar todos los tres atributos RADIUS.

 

Además, los atributos Tunnel-Type y Tunnel-Medium-Type deben ajustarse a los valores especificados.

 

Nota:

A continuación se utiliza el número ACL y la entrega dinámica de VLAN como ejemplo. Las diferencias de configuración entre la entrega de números ACL y la entrega dinámica de ACL se describen en notas.

 

Requerimientos de networking

 

Como se muestra en la Figura 1-1, un gran número de terminales de empleados en una empresa se conectan a la intranet a través de GE0/0 / 1 en SwitchA. Para garantizar la seguridad de la red, el administrador debe controlar los derechos de acceso a la red de los terminales. Los requerimientos son los siguientes:

 

n  Antes de pasar la autenticación, los terminales pueden acceder al servidor público (con la dirección IP 192.168.40.1) y descargar el cliente 802.1x o actualizar la base de datos antivirus.

 

n  Después de pasar la autenticación, los terminales pueden acceder al servidor de servicios (con la dirección IP 192.168.50.1) y a los dispositivos del laboratorio (con VLAN ID 20 y el segmento de direcciones IP 192.168.20.10-192.168.20.100).

 

Figura 1-1 Diagrama de networking de acceso Wired

 

124139b6pihb4gha88ezqz.png?13-1.png

 

Plan de datos

 

Tabla 1-1 Plan de datos de servicio para el switch de acceso

 

Item

Informacion           

Esquema   de radio

     Dirección IP del servidor de autenticación: 192.168.30.1

     Número de puerto del servidor de autenticación: 1812

     Dirección IP del servidor de contabilidad: 192.168.30.1

     Número de puerto del servidor de contabilidad: 1813

     Clave compartida para el servidor RADIUS: Huawei@123

     Intervalo de contabilidad: 15 minutos

     Dominio de autenticación: Huawei

Recursos   accesibles a los usuarios antes de la autenticación

Los   derechos de acceso al servidor público se configuran utilizando una regla sin   autenticación. El nombre del perfil de regla libre de autenticación es   default _ free _ rule.

Recursos   accesibles a los usuarios después de la autenticación

 

Los   derechos de acceso al laboratorio se otorgan utilizando una VLAN dinámica. La   ID de VLAN es 20.

 

Los   derechos de acceso al servidor de servicios se otorgan utilizando un número   ACL. El número de ACL es 3002

 

Tabla 1-2 Plan de Datos del Servicio para el Agile Controller-Campus

 

Item

Informacion           

Departamento

Departamento   de R&D

Usuario   de acceso

 

Nombre de   usuario: A

Cuenta de   acceso cableado: A-123

Contraseña:   Huawei123

Cambiar   dirección IP

SwitchA: 10.10.10.1

Clave de   autenticación RADIUS

Huawei@123

Clave de   contabilidad RADIUS

Huawei@123

 

 

Configuracion Roadmap.

 

1. Configure el switch de acceso, incluidas las interfaces VLANs, los parámetros para conectarse al servidor RADIUS, permitir NAC y los derechos de acceso a la red que los usuarios obtienen después de pasar la autenticación.

 

Nota

En este ejemplo, asegúrese de que existen rutas accesibles entre SwitchA y SwitchB, servidores, laboratorios y terminales de empleados.

 

2. Configure el Agile Controller-Campus

a. Log in the Agile Controller-Campus

b. Añadir una cuenta al Agile Controller-Campus

c. Añadir conmutadores al Agile Controller-Campus

d. Configure los resultados de autorización y las reglas de autorización en el Agile Controller-Campus

 

Procedimiento

 

Paso 1 Configure el switch de acceso SwitchA

 

1. Crear VLAN y configurar las VLAN permitidas en las interfaces para garantizar la conectividad de la red.

 

< HUAWEI > system-view.

[HUAWEI] sysname SwitchA.

[SwitchA] vlan lote 10 20

[SwitchA] interfaz gigabitethernet 0/0 / 1

[SwitchA-GigabitEthernet0/0 / 1] port link-type hybrid

[SwitchA-GigabitEthernet0/0 / 1] port hybrid pvid vlan 10

[SwitchA-GigabitEthernet0/0 / 1] port hybrid untagged vlan 10

[SwitchA-GigabitEthernet0/0 / 1] quit

[SwitchA] interface gigabitethernet 0/0 / 2

[SwitchA-GigabitEthernet0/0 / 2] port link-type hybrid

[SwitchA-GigabitEthernet0/0 / 2] puerto híbrido untagged vlan 20

[SwitchA-GigabitEthernet0/0 / 2] quit

[SwitchA] interfaz gigabitethernet 0/0 / 3

[SwitchA-GigabitEthernet0/0 / 3] port link-type trunk

[SwitchA-GigabitEthernet0/0 / 3] port trunk allow-pass vlan 10 20

[SwitchA-GigabitEthernet0/0 / 3] quit

[SwitchA] interface loopback 1

[SwitchA-LoopBack1] ip address 10.10.10.1 24

[SwitchA-LoopBack1] quit

 

2. Crear y configurar una plantilla de servidor RADIUS, un esquema de autenticación AAA y un dominio de autenticación.

 

# Crear y configurar la plantilla de servidor RADIUS Rd1.

 

[SwitchA] template radius-server template Rd1

[SwitchA-radio-Rd1] autenticación radius-server 192.168.30.1 1812

[SwitchA-radius-Rd1] radius-server accounting 192.168.30.1 1813

[SwitchA-radio-Rd1] cifrado de clave compartida Huawei @ 123

[SwitchA-radio-Rd1] quit

# Crear el esquema de autenticación AAA abc y configurar el modo de autenticación a RADIUS.

 

[SwitchA] aaa

[SwitchA-aaa] authentication-scheme abc

[SwitchA-aaa-authen-abc] radio-modo de autenticación

[SwitchA-aaa-authen-abc] quit

 

# Configure el esquema de contabilidad acco1 y establezca el modo de contabilidad a RADIUS.

 

[SwitchA-aaa] accounting-scheme acco1

[SwitchA-aaa-accounting-acco1] radio de modo contable

[Tiempo real de contabilidad SwitchA-aaa-accounting-acco1] 15

[SwitchA-aaa-accounting-acco1] quit

 

# Create the authentication domain huawei, and bind the AAA authentication scheme abc, accounting scheme acco1, and RADIUS server template Rd1 to the domain.

 

[SwitchA-aaa] domain huawei

[SwitchA-aaa-dominio-huawei] authentication-scheme abc

[SwitchA-aaa-dominio-huawei] accounting-scheme acco1

[SwitchA-aaa-dominio-huawei] radius-server Rd1

[SwitchA-aaa-dominio-huawei] quit

[SwitchA-aaa] quit

 

3. Configure un perfil de regla libre de autenticación.

 

[SwitchA] Nombre de la plantilla de reglas libres default _ free _ rule

[SwitchA-free-rule-default _ free _ rule] free-rule 10 destination ip 192.168.40.0 mask 24

[SwitchA-free-rule-default _ free _ rule] quit

 

 

4. Habilitar autenticación 802.1x.

 

# Set the NAC mode to unified.

 

[SwitchA] authentication unified mode

 

20170323112026784004.jpg

 

Por defecto, el modo unificado está habilitado. Antes de cambiar el modo NAC, debe guardar la configuración. Una vez que el modo se cambia y se reinicia el dispositivo, las funciones del modo recién confiado tienen efecto.

 

# Configure el perfil access 802.1x d1.

 

[SwitchA] dot1x-access-profile name d1

[SwitchA-dot1x-access-profile-d1] quit

 

# Configure el perfil de autenticación p1, bind el perfil de regla de autenticación 802.1x d1 de autenticación and por defecto _ free _ rule al perfil de autenticación, especifique el dominio huawei como el dominio de autenticación forzosa en el perfil de autenticación, y establezca el modo de acceso de usuario a multi-authen.

 

[SwitchA] Nombre del perfil de autenticación p1

[SwitchA-authen-profile-p1] dot1x-access-profile d1

[SwitchA-authen-profile-p1] free-rule-template default _ free _ rule

[SwitchA-authen-profile-p1] Access-domain huawei force

[SwitchA-authen-profile-p1] modo de autenticación multi-authen

[SwitchA-authen-profile-p1] quit

 

# Bind the authentication profile p1 to GE0/0 / 1 and enable 802.1x authentication on the interface

 

[SwitchA] interfaz gigabitethernet 0/0 / 1

[SwitchA-GigabitEthernet0/0 / 1] authentication-profile p1

[SwitchA-GigabitEthernet0/0 / 1] quit

 

5. Configure el parámetro de autorización ACL 3002 para los usuarios que pasen la autenticación.

 

Nota: En el modo ACL dinámico, este paso no necesita ser configurado en el dispositivo.

 

[SwitchA] acl 3002

[SwitchA-acl-adv-3002] Rule 1 permit ip destination 192.168.30.1 0

[SwitchA-acl-adv-3002] Rule 2 permit ip destination 192.168.50.1 0

[SwitchA-acl-adv-3002] rule 3 deny ip destination any

[SwitchA-acl-adv-3002] quit

 

Step 2: Configure el Agile Controller-Campus

 

1. Inicia en el Agile Controller-Campus

 

a. Abrir el Internet Explorer, introduzca la dirección de acceso Agile Controller-Campus en la barra de direcciones y presione Enter.

 

La siguiente tabla describe las direcciones para acceder al Agile Controller-Campus

 

Modo de   acceso

Descripción

Https: //Agile   Controller-Campus-IP: 8443

Agile   Controller-Campus-IP especifica la dirección IP del Agile Controller-Campus.

Dirección   IP del Agile Controller-Campus

Si el   puerto 80 está habilitado durante la instalación, puede acceder al Agile   Controller-Campus introduciendo su dirección IP sin el número de puerto. La   URL de Agile Controller-Campus cambiará automáticamente a https://Agile   Controller-Campus-IP: 8443.

 

b. Entrar el nombre de usuario y la contraseña del administrador.

Si inicia sesión en el Agile Controller-Campus por primera vez, utilice el administrador de nombres de usuario super administrador y la contraseña Changeme123. Cambie la contraseña inmediatamente después de iniciar sesión. De lo contrario, no se puede utilizar el Agile Controller-Campus.

 

2. Crear un departamento y una cuenta.

a. Elija Resource > User > User Management

b. Haga clic en la pestaña Departamento en el área de operación a la derecha, y luego haga clic en Agregar bajo la pestaña Departamento para agregar un departamento R&D.

 

124202n3bq31yz30ixc6n3.png?13-2.png


c. Haga clic en la pestaña User en el área de operación a la derecha y, a continuación, haga clic en Agregar bajo la pestaña Usuario para agregar un usuario A.

 

124213ujyr1yemokjwz1jw.png?13-3.png

 

d. Haga clic en  junto al usuario A en Operación para acceder a la gestión de cuentas. Haga clic en agregar. Cree una cuenta común A-123 y establezca la contraseña en Huawei123

 

124228wc35zgwqab3c41gu.png?13-4.png

 

e. En la pestaña Usuario, seleccione el usuario A. Haga clic en Transfer para agregar el usuario A al departamento R&D.

 

124333eh22hrqzhvjqtwor.png?13-5.png

 

3. Agregar switches al Agile Controller-Campus para que los switches se puedan comunicar con el Agile Controller-Campus.

 

Seleccione Resource > device > device management. Haga clic en Agregar en el área de operación a la derecha. Configure los parámetros de conexión en la página Agregar dispositivo.

 

124345sbpnz808wkpww98w.png?13-6.png

 

4. Añadir un resultado de autorización.

Nota:

Realice este paso para el número de ACL y la entrega de VLAN.

a. Elegir Policy > Permission Control > Authentication and Authorization > Authorization Result y haga clic en Agregar para crear un resultado de autorización.

b. Configure información básica para el resultado de la autorización.

 

Parámetro

Valor

Descripción

Nombre

Información   de autorización para usuarios autenticados

-

Tipo de   servicio

Servicio   de acceso

-

VLAN

20

La VLAN   debe ser la misma que la VLAN configurada para los empleados de R&D en el   switch.

Número de   ACL/Grupo de usuarios AAA

3002

El número   de ACL debe ser el mismo que el número de ACL configurado para los empleados   de R&D en el switch.

 

124358jja6z47n9xylx4l3.png?13-7.png

 

5. Añadir un resultado de autorización.

Nota: Realice este paso para la entrega dinámica de ACL y VLAN.

 

a. Añadir un ACL dinámico.

i. choose Policy > Permission Control > Policy Element > Dynamic ACL.

II. Haga clic en agregar.

III. Configure la información básica para la ACL dinámica y haga clic en Add in Rule List.

IV. Configure los atributos contenidos en la ACL dinámica.

 

124408aexgskgaj9ethfhg.png?13-8.png

 

b. Elegir Policy > Permission Control > Authentication and Authorization > Authorization Result y haga clic en Agregar para crear un resultado de autorización.

 

c. Configure información básica para el resultado de la autorización.

 

Parámetro

Valor

Descripción

Nombre

Información   de autorización para usuarios que pasan autenticación

-

Tipo de   servicio

Servicio   de acceso

-

VLAN

20

El VLAN   ID debe ser el mismo que el ID de VLAN configurado para los empleados de   R&D en el switch.

ACL   dinámico

3002

-

 

124419emfizoairr0lzofn.png?13-9.png

 

6. Añadir una regla de autorización.

 

Una vez que un usuario pasa la autenticación, comienza la fase de autorización. El Agile Controller-Campus otorga a los usuarios los derechos de acceso basados en la regla de autorización.

 

a. Elige Policy > Permission Control > Authentication and Authorization > Authorization Rule y haga clic en Add para crear una regla de autorización.

 

b. Configure información básica para la regla de autorización.

 

Parámetro

Valor

Descripción

Nombre

Regla de   autorización para usuarios autenticados

-

Tipo de   servicio

Servicio   de acceso

-

Departamento

Departamento   R&D

-

Resultado   de autorización

Información   de autorización para usuarios autenticados

-

 

124429jekytqeo58f5j39s.png?13-10.png

 

Step 3: Verifique la configuración.

 

   Un empleado sólo puede acceder al servidor Agile Controller-Campus y al servidor público antes de pasar la autenticación.

   Un empleado puede acceder al servidor Agile Controller-Campus, al servidor público, al servidor de servicios y al laboratorio después de pasar la autenticación.

   Después de que el empleado pase la autenticación, ejecute el comando display access-user en el switch. La salida del comando muestra información sobre el empleado en línea.

Fin

 

Cambiar archivo de configuración

#

sysname SwitchA

#

vlan batch 10 20

#

authentication-profile name p1

 dot1x-access-profile d1

 free-rule-template default_free_rule

 access-domain huawei force

#

radius-server template rd1

 radius-server shared-key cipher %^%#FP@&C(&{$F2HTlPxg^NLS~KqA/\^3Fex;T@Q9A](%^%#

 radius-server authentication 192.168.30.1 1812 weight 80

 radius-server accounting 192.168.30.1 1813 weight 80

#

acl number 3002

 rule 1 permit ip destination 192.168.30.1 0 

 rule 2 permit ip destination 192.168.50.1 0 

 rule 3 deny ip

#

free-rule-template name default_free_rule

 free-rule 10 destination ip 192.168.40.0 mask 255.255.255.0

aaa

 authentication-scheme abc

  authentication-mode radius

 accounting-scheme acco1

  accounting-mode radius

  accounting realtime 15

 domain huawei

  authentication-scheme abc

  accounting-scheme acco1

  radius-server rd1

#

interface GigabitEthernet0/0/1

 port link-type hybrid

 port hybrid pvid vlan 10 

 port hybrid untagged vlan 10

 authentication-profile p1

#

interface GigabitEthernet0/0/2

 port link-type hybrid

 port hybrid untagged vlan 20

#

interface GigabitEthernet0/0/3

 port link-type trunk

 port trunk allow-pass vlan 10 20

#

interface LoopBack1

 ip address 10.10.10.1 255.255.255.0

#  

dot1x-access-profile name d1

#

return


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje