Visión general
Después de que un usuario 802.1x se autentifique con éxito en un servidor RADIUS, el servidor envía información de autorización al dispositivo de acceso del usuario. Cuando el Controlador-Campus Agile funciona como el servidor RADIUS, puede entregar múltiples parámetros de autorización.
· La autorización basada en ACL se clasifica en autorización basada en número de ACL (basada en ACL estática) y dinámica basada en ACL.
- Número de ACL: si la entrega del número de ACL está configurada en el servidor, la información de autorización enviada al dispositivo de acceso incluye el número de ACL. El dispositivo de acceso coincide con las reglas de ACL basadas en el número de ACL entregado para controlar los derechos de usuario.
El atributo RADIUS utilizado para la entrega del número de ACL es (011) Filter-Id.
- ACL dinámica: el servidor entrega reglas en una ACL al dispositivo. Los usuarios pueden acceder a los recursos de red controlados mediante esta ACL. Las reglas de ACL y ACL se deben configurar en el servidor. La ACL no necesita configurarse en el dispositivo.
El atributo RADIUS utilizado para la entrega dinámica de ACL es el atributo RADIUS extendido de Huawei (26-82) HW-Data-Filter.
· VLAN dinámica: si la entrega dinámica de VLAN está configurada en el servidor, la información de autorización enviada al dispositivo de acceso incluye el atributo VLAN. Una vez que el dispositivo de acceso recibe la información de autorización, cambia la VLAN del usuario a la VLAN entregada.
La VLAN entregada no cambia o afecta la configuración de la interfaz. La VLAN entregada, sin embargo, tiene prioridad sobre la VLAN configurada en la interfaz. Es decir, la VLAN entregada entra en vigor después de que la autenticación se realiza correctamente, y la VLAN configurada entra en vigencia una vez que el usuario se desconecta.
Los siguientes atributos de RADIUS se utilizan para la entrega dinámica de VLAN:
- (064) Tipo de túnel (debe configurarse en VLAN o 13).
- (065) Tunnel-Medium-Type (Se debe establecer en 802 o 6.)
- (081) ID de grupo-túnel-privado (puede ser una ID de VLAN o un nombre de VLAN).
Para garantizar que el servidor RADIUS entregue la información de VLAN correctamente, se deben usar los tres atributos de RADIUS. Además, los atributos Tunnel-Type y Tunnel-Medium-Type deben establecerse en los valores especificados.
NOTA:
Lo siguiente usa el número de ACL y la entrega dinámica de VLAN como ejemplo. Las diferencias de configuración entre la entrega del número de ACL y la entrega dinámica de ACL se describen en las notas.
Notas de configuración:
Este ejemplo se aplica a todos los conmutadores de la serie S.
NOTA:
Para conocer detalles sobre las asignaciones de software, consulte búsqueda de mapas de versión para los switches de campus de Huawei.
Hacer que la autorización basada en VLAN tenga efecto tiene los siguientes requisitos en el tipo de enlace y el modo de control de acceso de la interfaz de autenticación:
· Si el tipo de enlace de la interfaz es híbrido y la interfaz se ha agregado a una VLAN en modo no etiquetado, el modo de control de acceso puede estar basado en la dirección MAC o en la interfaz.
· Si el tipo de enlace de la interfaz es acceso o troncal, el modo de control de acceso solo puede estar basado en la interfaz.
Requisitos de red
Como se muestra en la Figura 1-1, un gran número de terminales de empleados en una empresa se conectan a la intranet a través de GE0/0/1 en SwitchA. Para garantizar la seguridad de la red, el administrador debe controlar los derechos de acceso a la red de los terminales. Los requisitos son los siguientes:
· Antes de pasar la autenticación, los terminales pueden acceder al servidor público (con la dirección IP 192.168.40.1) y descargar el cliente 802.1x o actualizar la base de datos antivirus.
· Después de pasar la autenticación, los terminales pueden acceder al servidor de servicio (con la dirección IP 192.168.50.1) y a los dispositivos en el laboratorio (con ID de VLAN 20 y segmento de dirección IP 192.168.20.10-192.168.20.100).
Figura 1-1 Diagrama de redes de acceso por cable.
Plan de datos
Tabla 1-1 Plan de datos de servicio para el switch de acceso
Item | Datos |
RADIUS scheme | · Dirección IP del servidor de autenticación: 192.168.30.1 · Número de puerto del servidor de autenticación: 1812 · IP Dirección IP del servidor de contabilidad: 192.168.30.1 · Número de puerto del servidor de contabilidad: 1813 · Clave compartida para el servidor RADIUS: Huawei @ 123 · Interval contable: 15 minutos · Dominio de autenticación: huawei |
Recursos accesibles a los usuarios antes de la autenticación | Los derechos de acceso al servidor público se configuran mediante una regla sin autenticación. El nombre del perfil de regla sin autenticación es default_free_rule. |
Recursos accesibles para los usuarios después de la autenticación | Los derechos de acceso al laboratorio se otorgan mediante una VLAN dinámica. El ID de VLAN es 20. Los derechos de acceso al servidor de servicio se otorgan utilizando un número de ACL. El número de ACL es 3002. |
Table 1-2 Service data plan for the Agile Controller-Campus
Item | Datos |
Departamento | Departamento de R&D |
Usuario | User name: A Wired access account: A-123 Password: Huawei123 |
Dirección IP del switch | SwitchA: 10.10.10.1 |
Clave de autenticacion RADIUS | Huawei@123 |
Clave de contabilidad RADIUS | Huawei@123 |
Mapa de configuración
1. Configure el conmutador de acceso, incluidas las interfaces VLAN, parámetros para conectarse al servidor RADIUS, habilitación de NAC y derechos de acceso a la red que los usuarios obtienen después de pasar la autenticación.
NOTA:
En este ejemplo, asegúrese de que existan rutas accesibles entre SwitchA, SwitchB, servidores, laboratorio y terminales de empleados.
2. Configurar el controlador-campus ágil.
A. Inicia sesión en el controlador-campus ágil.
B. Agrega una cuenta al controlador-campus ágil.
C. Añadir interruptores al controlador-campus ágil.
D. Configure los resultados de la autorización y las reglas de autorización en el controlador-campus ágil.
Procedimiento
Paso 1 Configurar el interruptor de acceso SwitchA.
1. Cree VLANs y configure las VLANs permitidas en las interfaces para garantizar la conectividad de la red.
<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] vlan batch 10 20
[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] port link-type hybrid
[SwitchA-GigabitEthernet0/0/1] port hybrid pvid vlan 10
[SwitchA-GigabitEthernet0/0/1] port hybrid untagged vlan 10
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchA] interface gigabitethernet 0/0/2
[SwitchA-GigabitEthernet0/0/2] port link-type hybrid
[SwitchA-GigabitEthernet0/0/2] port hybrid untagged vlan 20
[SwitchA-GigabitEthernet0/0/2] quit
[SwitchA] interface gigabitethernet 0/0/3
[SwitchA-GigabitEthernet0/0/3] port link-type trunk
[SwitchA-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20
[SwitchA-GigabitEthernet0/0/3] quit
[SwitchA] interface loopback 1
[SwitchA-LoopBack1] ip address 10.10.10.1 24
[SwitchA-LoopBack1] quit
2. Cree y configure una plantilla de servidor RADIUS, un esquema de autenticación AAA y un dominio de autenticación.
# Cree y configure la plantilla de servidor RADIUS rd1.
[SwitchA] radius-server template rd1
[SwitchA-radius-rd1] radius-server authentication 192.168.30.1 1812
[SwitchA-radius-rd1] radius-server accounting 192.168.30.1 1813
[SwitchA-radius-rd1] radius-server shared-key cipher Huawei@123
[SwitchA-radius-rd1] quit
# Cree el abc del esquema de autenticación AAA y configure el modo de autenticación en RADIUS.
[SwitchA] aaa
[SwitchA-aaa] authentication-scheme abc
[SwitchA-aaa-authen-abc] authentication-mode radius
[SwitchA-aaa-authen-abc] quit
# Configure el esquema de contabilidad acco1 y configure el modo de contabilidad en RADIUS.
[SwitchA-aaa] accounting-scheme acco1
[SwitchA-aaa-accounting-acco1] accounting-mode radius
[SwitchA-aaa-accounting-acco1] accounting realtime 15
[SwitchA-aaa-accounting-acco1] quit
# Cree el huawei del dominio de autenticación y enlace el esquema de autenticación AAA abc, el esquema de contabilidad acco1 y la plantilla del servidor RADIUS rd1 al dominio.
[SwitchA-aaa] domain huawei
[SwitchA-aaa-domain-huawei] authentication-scheme abc
[SwitchA-aaa-domain-huawei] accounting-scheme acco1
[SwitchA-aaa-domain-huawei] radius-server rd1
[SwitchA-aaa-domain-huawei] quit
[SwitchA-aaa] quit
3. Configure un perfil de regla sin autenticación.
[SwitchA] free-rule-template name default_free_rule
[SwitchA-free-rule-default_free_rule] free-rule 10 destination ip 192.168.40.0 mask 24
[SwitchA-free-rule-default_free_rule] quit
4. Habilitar la autenticación 802.1x.
# Establece el modo NAC en unificado.
[SwitchA] authentication unified-mode
Por defecto, el modo unificado está habilitado. Antes de cambiar el modo NAC, debe guardar la configuración. Una vez que se cambia el modo y se reinicia el dispositivo, las funciones del modo recién configurado se activan.
# Configurar el perfil de acceso 802.1x d1.
[SwitchA] dot1x-access-profile name d1
[SwitchA-dot1x-access-profile-d1] quit
# Configure el perfil de autenticación p1, vincule el perfil de acceso 802.1x d1 y el perfil de regla sin autenticación default_free_rule al perfil de autenticación, especifique el dominio huawei como el dominio de autenticación forzado en el perfil de autenticación, y configure el modo de acceso de usuario a multi-autenticación. .
[SwitchA] authentication-profile name p1
[SwitchA-authen-profile-p1] dot1x-access-profile d1
[SwitchA-authen-profile-p1] free-rule-template default_free_rule
[SwitchA-authen-profile-p1] access-domain huawei force
[SwitchA-authen-profile-p1] authentication mode multi-authen
[SwitchA-authen-profile-p1] quit
# Enlace el perfil de autenticación p1 a GE0 / 0/1 y habilite la autenticación 802.1x en la interfaz.
[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] authentication-profile p1
[SwitchA-GigabitEthernet0/0/1] quit
5. Configure the authorization parameter ACL 3002 for users who pass authentication.
En modo ACL dinámico, este paso no necesita configurarse en el dispositivo.
[SwitchA] acl 3002
[SwitchA-acl-adv-3002] rule 1 permit ip destination 192.168.30.1 0
[SwitchA-acl-adv-3002] rule 2 permit ip destination 192.168.50.1 0
[SwitchA-acl-adv-3002] rule 3 deny ip destination any
[SwitchA-acl-adv-3002] quit
Paso 2 Configurar el controlador del Aguile Controller.
1. Inicia sesión en el controlador Aguile Controller.
a. Abra Internet Explorer, ingrese la dirección de acceso de Agile Controller-Campus en la barra de direcciones y presione Entrar.
La siguiente tabla describe las direcciones para acceder a Agile Controller-Campus.
Modo de acceso | Descripcion |
https://Agile Controller-Campus-IP:8443 | Agile Controller-Campus-IP especifica la dirección IP de Agile Controller-Campus. |
IP address of the Agile Controller-Campus | Si el uerto 80 está habilitado durante la instalación, puede acceder al Agile Controller-Campus ingresando su dirección IP sin el número de uerto. La URL de Agile Controller-Campus cambiará automáticamente a https: // Agile Controller-Campus-IP: 8443. |
b. Introduzca el nombre de usuario y la contraseña del administrador.
Si inicia sesión en Agile Controller-Campus por primera vez, use el nombre de usuario administrador super y la contraseña Changeme123. Cambie la contraseña inmediatamente después de iniciar sesión. De lo contrario, no se puede utilizar Agile Controller-Campus.
2. Crear un departamento y una cuenta.
a. Seleccione Recurso> Usuario> Gestión de usuarios.
b. Haga clic en la pestaña Departamento en el área de operación a la derecha, y luego haga clic en Agregar debajo de la pestaña Departamento para agregar un departamento de I + D.
c. Haga clic en la pestaña Usuario en el área de operación a la derecha y luego haga clic en Agregar debajo de la pestaña Usuario para agregar un usuario A.
d. Haga clic en junto al usuario A en Operación para acceder a Administración de cuentas. Haga clic en Agregar. Cree una cuenta común A-123 y establezca la contraseña en Huawei123.
e. En la pestaña Usuario, seleccione el usuario A. Haga clic en Transferir para agregar el usuario A al departamento de I + D.
3. Agregue el switch al controlador-campus ágil para que los switches puedan comunicarse con el controlador-campus ágil.
Elija Recurso> Dispositivo> Administración de dispositivos. Haga clic en Agregar en el área de operación a la derecha. Establezca los parámetros de conexión en la página Agregar dispositivo.
4. Añadir un resultado de autorización.
NOTA:
Realice este paso para el número de ACL y la entrega de VLAN.
a. Seleccione Política> Control de permisos> Autenticación y autorización> Resultado de autorización y haga clic en Agregar para crear un resultado de autorización.
b. Configurar información básica para el resultado de la autorización.
Parametro | Valor | Descripcion |
Nombre | Información de autorización para usuarios autenticados. | - |
Tipo de servicio | Servicio de acceso | - |
VLAN | 20 | La VLAN debe ser la misma que la VLAN configurada para los empleados de I + D en el switch. |
Número de ACL / grupo de usuarios AAA | 3002 | El número de ACL debe ser el mismo que el número de ACL configurado para los empleados de I + D en el conmutador. |
Añadir un resultado de autorización.
NOTA:
Realice este paso para la entrega dinámica de ACL y VLAN.
a. Añadir un ACL dinámico.
i. Elija Política> Control de permisos> Elemento de política> ACL dinámica.
ii. Haga clic en Agregar.
iii. Configure la información básica para la ACL dinámica y haga clic en Agregar en la lista de reglas.
iv. Configurar atributos contenidos en la ACL dinámica.
b. Seleccione Política> Control de permisos> Autenticación y autorización> Resultado de autorización y haga clic en Agregar para crear un resultado de autorización.
c. Configurar información básica para el resultado de la autorización.
Parámetros | Valor | Descripción |
Nombre | Información de autorización para usuarios que pasan autenticación | - |
Tipo de servicio | Servicio de acceso | - |
VLAN | 20 | La ID de VLAN debe ser la misma que la ID de VLAN configurada para los empleados de I + D en el switch. |
ACL dinámico | 3002 | - |
6. Añadir una regla de autorización.
Después de que un usuario pasa la autenticación, se inicia la fase de autorización. Agile Controller-Campus otorga al usuario derechos de acceso basados en la regla de autorización.
a. Elija Política> Control de permisos> Autenticación y autorización> Regla de autorización y haga clic en Agregar para crear una regla de autorización.
b. Configurar información básica para la regla de autorización.
Parámetros | Valor | Descripción |
Nombre | Regla de autorización para usuarios autenticados | - |
Tipo de servicio | Servicio de acceso | - |
Departamento | Departamento de I + D | - |
Resultado de la autorización | Información de autorización para usuarios autenticados. | - |
Paso 3 Verificar la configuración.
· Un empleado solo puede acceder al servidor Agile Controller-Campus y al servidor público antes de pasar la autenticación.
· Un empleado puede acceder al servidor Agile Controller-Campus, al servidor público, al servidor de servicios y al laboratorio después de pasar la autenticación.
· Después de que el empleado pase la autenticación, ejecute el comando de acceso a la pantalla en el conmutador. El resultado del comando muestra información sobre el empleado en línea.
Archivo de configuración del switch.
#
sysname SwitchA
#
vlan batch 10 20
#
authentication-profile name p1
dot1x-access-profile d1
free-rule-template default_free_rule
access-domain huawei force
#
radius-server template rd1
radius-server shared-key cipher %^%#FP@&C(&{$F2HTlPxg^NLS~KqA/\^3Fex;T@Q9A](%^%#
radius-server authentication 192.168.30.1 1812 weight 80
radius-server accounting 192.168.30.1 1813 weight 80
#
acl number 3002
rule 1 permit ip destination 192.168.30.1 0
rule 2 permit ip destination 192.168.50.1 0
rule 3 deny ip
#
free-rule-template name default_free_rule
free-rule 10 destination ip 192.168.40.0 mask 255.255.255.0
#
aaa
authentication-scheme abc
authentication-mode radius
accounting-scheme acco1
accounting-mode radius
accounting realtime 15
domain huawei
authentication-scheme abc
accounting-scheme acco1
radius-server rd1
#
interface GigabitEthernet0/0/1
port link-type hybrid
port hybrid pvid vlan 10
port hybrid untagged vlan 10
authentication-profile p1
#
interface GigabitEthernet0/0/2
port link-type hybrid
port hybrid untagged vlan 20
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 10 20
#
interface LoopBack1
ip address 10.10.10.1 255.255.255.0
#
dot1x-access-profile name d1
#
return