Ejemplo para configurar la autorización del usuario según ACL o VLAN dinámica (V200R005C00-V200R008C00)

Pubilicado 2019-1-11 12:11:22 49 0 0 0

Visión general

El siguiente ejemplo utiliza la autorización basada en ACL y VLAN dinámica para describir cómo implementar la autorización para usuarios de terminales a través del servidor de Cisco Identity Services Engine (ISE).

·         La autorización basada en ACL se clasifica en:

- Autorización basada en descripción de ACL: si la autorización basada en descripción de ACL está configurada en el servidor, la información de autorización incluye la descripción de ACL. El dispositivo coincide con las reglas de la ACL según la descripción de la ACL autorizada por el servidor para controlar los derechos de los usuarios. El número de ACL, la descripción correspondiente y la regla de ACL se deben configurar en el dispositivo.

Se utiliza el atributo RADIUS estándar (011) Filter-Id.

- Autorización dinámica basada en ACL: el servidor autoriza reglas en una ACL para el dispositivo. Los usuarios pueden acceder a los recursos de red controlados mediante esta ACL. Las reglas de ACL y ACL se deben configurar en el servidor. La ACL no necesita configurarse en el dispositivo.

Se utiliza el atributo de RADIUS (26-82) propietario de Huawei HW-Data-Filter.

·         VLAN dinámica: si la entrega dinámica de VLAN está configurada en el servidor, la información de autorización incluye el atributo VLAN entregado. Una vez que el dispositivo recibe el atributo VLAN entregado, cambia la VLAN del usuario a la VLAN entregada. La VLAN dinámica se puede entregar a través de la ID de VLAN y la descripción de la VLAN.

La VLAN entregada no cambia o afecta la configuración de la interfaz. La VLAN entregada, sin embargo, tiene prioridad sobre la VLAN configurada en la interfaz. Es decir, la VLAN entregada entra en vigor después de que la autenticación se realiza correctamente, y la VLAN configurada entra en vigencia una vez que el usuario se desconecta.

Los siguientes atributos de RADIUS estándar se utilizan para la entrega dinámica de VLAN:

- (064) Tunnel-Type (debe configurarse en VLAN o 13).

- (065) Tunnel-Medium-Type (Se debe establecer en 802 o 6.)

- (081) Tunnel-Private-Group-ID (puede ser una ID de VLAN o un nombre de VLAN).

Para garantizar que el servidor RADIUS entregue la información de VLAN correctamente, se deben usar los tres atributos de RADIUS. Además, los atributos Tunnel-Type y Tunnel-Medium-Type deben establecerse en los valores especificados.

Notas de configuración

La versión del servidor ISE de Cisco en este ejemplo es 1.4.0.253.

Al configurar el servidor ISE de Cisco para que funcione como el servidor RADIUS y se conecte al dispositivo para implementar la autorización, preste atención a los siguientes puntos:

·         La autorización se puede implementar utilizando los atributos RADIUS estándar y los atributos RADIUS patentados de Huawei, y no se puede implementar utilizando los atributos RADIUS propietarios de Cisco. Si se utiliza un atributo RADIUS propietario de Huawei para la autorización, debe agregar manualmente el valor del atributo RADIUS propietario en el servidor Cisco ISE.

·         Si se utiliza la autorización basada en la descripción de ACL y el cuadro de texto de ACL (Filter-ID) va seguido de un sufijo .in después de seleccionar ACL (Filter-ID) y la descripción abc se agrega en el servidor Cisco ISE, configure el Descripción de la ACL como abc.in en los conmutadores de Huawei.

·         La autorización basada en ACL dinámica utiliza el atributo de RADIUS propietario de Huawei HW-Data-Filter para la autorización, y no admite la autorización a través de un atributo de RADIUS propietario de Cisco.

·         Después de agregar el atributo de RADIUS propietario HW-Data-Filter de Huawei en el servidor ISE de Cisco, tanto el ID de filtro como el Filtro de datos HW existen en el perfil de autorización, solo se puede entregar la ID de filtro y el Filtro de datos HW no puede ser entregado

·         Si se usa la autorización basada en la descripción de la ACL, la descripción configurada en el servidor Cisco ISE y la configurada en el dispositivo no puede exceder los 127 bytes porque la longitud máxima de descripción admitida por el servidor Cisco ISE es de 252 bytes y la admitida por el dispositivo es 127 bytes

·         Si la autorización basada en VLAN dinámica se utiliza a través de la descripción de VLAN, la descripción configurada en el servidor ISE de Cisco y la configurada en el dispositivo no puede exceder los 32 bytes porque la longitud máxima de descripción admitida por el servidor ISE de Cisco es de 32 bytes y la admitida por El dispositivo es de 80 bytes.

Requisitos de red

En la Figura 1-1, un gran número de terminales de empleados en una empresa se conectan a la intranet a través de GE1 / 0/1 en SwitchA. Para garantizar la seguridad de la red, el administrador debe controlar los derechos de acceso a la red de los terminales. Los requisitos son los siguientes:

·         Antes de pasar la autenticación, los terminales pueden acceder al servidor público (con la dirección IP 192.168.40.1) y descargar el cliente 802.1x o actualizar la base de datos antivirus.

·         Después de pasar la autenticación, los terminales pueden acceder al servidor de servicio (con la dirección IP 192.168.50.1) y a los dispositivos en el laboratorio (con ID de VLAN 20 y segmento de dirección IP 192.168.20.10-192.168.20.100).

Figura 1-1 Diagrama de redes de acceso por cable


120715gttev5txtv5l8ebx.png


Plan de datos

Tabla 1-1 Plan de datos de servicio para el conmutador de acceso

Objeto

Datos

Esquema   RADIUS

l Dirección   IP del servidor de autenticación: 192.168.30.1

l  Número   de puerto del servidor de autenticación: 1812

l  IP   Dirección IP del servidor de contabilidad: 192.168.30.1

l  Número   de puerto del servidor de contabilidad: 1813

l  Clave   compartida para el servidor RADIUS: Huawei@123

l  Dominio   de autenticación: huawei

Recursos   accesibles a los usuarios antes de la autenticación

Los   derechos de acceso al servidor público se configuran mediante una regla sin   autenticación.

Recursos   accesibles para los usuarios después de la autenticación

Los   derechos de acceso al laboratorio se otorgan mediante una VLAN dinámica. El   ID de VLAN es 20.

Los   derechos de acceso al servidor de servicio se otorgan mediante una ACL. El   número de ACL es 3002 y la descripción es 3002.in.

 

Tabla 1-2 Plan de datos de servicio para el servidor Cisco ISE

Objeto

Datos

Departamento

Departamento R&D

Usuario de acceso

Nombre de usuario: A-123

Contraseña: Huawei123

Dirección Ip del Switch

SwitchA: 10.10.10.1

Clave de autenticación RADIUS

Huawei@123

Clave contable RADIUS

Huawei@123

 

Mapa de configuración

 

1. Configure el conmutador de acceso, incluidas las interfaces VLAN, parámetros para conectarse al servidor RADIUS, habilitación de NAC y derechos de acceso a la red que los usuarios obtienen después de pasar la autenticación.

 

Nota

En este ejemplo, asegúrese de que existan rutas accesibles entre SwitchA, SwitchB, servidores, laboratorio y terminales de empleados.

 

2. Configure el servidor Cisco ISE.

 

a. Inicie sesión en el servidor ISE de Cisco.

b. Agregue usuarios en el servidor ISE de Cisco.

c. Agregue interruptores en el servidor ISE de Cisco.

d. Configure el protocolo de autenticación de contraseña en el servidor Cisco ISE.

e. Configure la política de autenticación en el servidor ISE de Cisco.

f. Configure la política de autorización en el servidor ISE de Cisco.

 

Procedimiento

 

     Paso 1 Configurar el interruptor de acceso SwitchA.

 

1. Cree VLAN y configure las VLAN permitidas en las interfaces para garantizar la conectividad de la red.

<HUAWEI> system-view 
[HUAWEI] sysname SwitchA 
[SwitchA] vlan batch 10 20 
[SwitchA] interface gigabitethernet 0/0/1     
[SwitchA-GigabitEthernet0/0/1] port link-type hybrid 
[SwitchA-GigabitEthernet0/0/1] port hybrid pvid vlan 10 
[SwitchA-GigabitEthernet0/0/1] port hybrid untagged vlan 10 
[SwitchA-GigabitEthernet0/0/1] quit 
[SwitchA] interface gigabitethernet 0/0/2     
[SwitchA-GigabitEthernet0/0/2] port link-type hybrid 
[SwitchA-GigabitEthernet0/0/2] port hybrid untagged vlan 20 
[SwitchA-GigabitEthernet0/0/2] quit 
[SwitchA] interface gigabitethernet 0/0/3     
[SwitchA-GigabitEthernet0/0/3] port link-type trunk 
[SwitchA-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20 
[SwitchA-GigabitEthernet0/0/3] quit 
[SwitchA] interface loopback 1 
[SwitchA-LoopBack1] ip address 10.10.10.1 24     
[SwitchA-LoopBack1] quit 

2. Cree y configure una plantilla de servidor RADIUS, un esquema de autenticación AAA y un dominio de autenticación.

# Cree y configure la plantilla de servidor RADIUS rd1.

[SwitchA] radius-server template rd1 
[SwitchA-radius-rd1] radius-server authentication 192.168.30.1 1812 
[SwitchA-radius-rd1] radius-server accounting 192.168.30.1 1813 
[SwitchA-radius-rd1] radius-server shared-key cipher Huawei@123 
[SwitchA-radius-rd1] quit

# Cree el esquema abc de autenticación AAA y configure el modo de autenticación en RADIUS.

[SwitchA] aaa 
[SwitchA-aaa] authentication-scheme abc 
[SwitchA-aaa-authen-abc] authentication-mode radius 
[SwitchA-aaa-authen-abc] quit

# Configure el esquema de contabilidad acco1 y configure el modo de contabilidad en RADIUS.

[SwitchA-aaa] accounting-scheme acco1 
[SwitchA-aaa-accounting-acco1] accounting-mode radius 
[SwitchA-aaa-accounting-acco1] quit

# Cree un dominio de autenticación Huawei y enlace el esquema abc de autenticación AAA, el esquema de contabilidad acco1 y la plantilla de servidor RADIUS rd1 al dominio.

[SwitchA-aaa] domain huawei 
[SwitchA-aaa-domain-huawei] authentication-scheme abc 
[SwitchA-aaa-domain-huawei] accounting-scheme acco1 
[SwitchA-aaa-domain-huawei] radius-server rd1 
[SwitchA-aaa-domain-huawei] quit 
[SwitchA-aaa] quit

3. Habilitar la autenticación 802.1x.

# Establece el modo NAC en unificado.

[SwitchA] authentication unified-mode

Nota

Por defecto, el modo unificado está habilitado. Antes de cambiar el modo NAC, debe guardar la configuración. Después de cambiar el modo NAC, reinicie el dispositivo para que la configuración tenga efecto.

# Configure una regla libre de autenticación para permitir que los usuarios accedan al servidor público antes de pasar la autenticación.

[SwitchA] authentication free-rule 10 destination ip 192.168.40.1 mask 32

# Habilite la autenticación 802.1x en GE0/0/1, especifique el dominio huawei de autenticación forzada para los usuarios que se conectan en línea en la interfaz y configure el protocolo de autenticación en EAP.

[SwitchA] interface gigabitethernet 0/0/1 
[SwitchA-GigabitEthernet0/0/1] domain name huawei force 
[SwitchA-GigabitEthernet0/0/1] authentication dot1x 
[SwitchA-GigabitEthernet0/0/1] dot1x authentication-method eap 
[SwitchA-GigabitEthernet0/0/1] quit

4. Configure el parámetro de autorización ACL 3002 para los usuarios que pasan la autenticación.

[SwitchA] acl 3002 
[SwitchA-acl-adv-3002] description 3002.in    
[SwitchA-acl-adv-3002] rule 1 permit ip destination 192.168.30.1 0 
[SwitchA-acl-adv-3002] rule 2 permit ip destination 192.168.50.1 0 
[SwitchA-acl-adv-3002] rule 3 deny ip destination any 
[SwitchA-acl-adv-3002] quit

Paso 2 Configure el servidor Cisco ISE.

1. Inicie sesión en el servidor ISE de Cisco.

a. Abra Internet Explorer, ingrese la dirección de acceso del servidor Cisco ISE en la barra de direcciones y presione Entrar.

Modo de Acceso

Descripción

https://Cisco ISE-IP

Cisco ISE-IP especifica la dirección IP del servidor   Cisco ISE.

 

b. Ingrese el nombre de usuario y la contraseña del administrador para iniciar sesión en el servidor ISE de Cisco.



120729do7kc6f61z30rp7r.png


2. Crea un grupo de usuarios y un usuario.

a.         Elija Administration > Identity Management > Groups. Clic Add en el área de operación a la derecha, y cree el grupo de usuarios de R&D.


120742po7o27qlmm2m2i24.png


                            b. Elija Administration > Identity Management > Identities. Clic Add en el área de operación a la derecha, cree un usuario con el nombre de usuario A-123 y la contraseña Huawei123, y agregue el usuario al grupo de usuarios R&D.



120814kmj82nwym2yl3cjt.png


120817zc48po2skmbktlkf.png


3.         Agregue conmutadores en el servidor ISE de Cisco para que el servidor ISE de Cisco pueda asociarse correctamente con los conmutadores.

Elija Administration > Network Resources > Network Devices. Clic Add en el área de operación a la derecha para acceder a la página New Network Device. Agregue dispositivos de acceso a la red y configure los parámetros de conexión del dispositivo en la página.

Parámetro

Valor

Descripción

Nombre

SwitchA

-

Dirección IP

10.10.10.1/32

La interfaz en el conmutador debe   comunicarse con el servidor Cisco ISE.

Secreto compartido

Huawei@123

La clave compartida debe ser la misma   que la clave compartida configurada para los empleados de R&D en el   conmutador.



120833yryl4ro1l1zr6l4r.png


120844esysy0csopprh5ec.png



4. Configure el protocolo de autenticación de contraseña.

Elija Policy > Policy Elements > Result. Choose Authentication > Allowed Protocols en el área de operación a la izquierda para acceder a la página de Allowed Protocols Services. Clic Add en el área de operación a la derecha, cree un modo de acceso a la red y seleccione el protocolo de autenticación de contraseña permitido.

Cuando se conecta a un servidor ISE de Cisco, el conmutador admite los modos de autenticación EAP, PAP y CHAP. Si el conmutador está configurado con el modo de autenticación EAP y se conecta al servidor ISE de Cisco, el conmutador no admite los modos EAP-LEAP y EAP-FAST.


120857cjiiee8qjnewdofe.png

120900lygucibshmghcybh.png


5. Configure la política de autenticación.

Elija Policy > Authentication. Las políticas de autenticación se clasifican en políticas de autenticación simples y basadas en reglas. En comparación con el modo simple, el modo basado en reglas puede coincidir con múltiples modos de acceso a la red (es decir, protocolos permitidos). El modo simple se utiliza en este ejemplo. Seleccione 802.1X, que es el modo de acceso a la red configurado en el paso anterior, en el cuadro de lista desplegable de Network Access Service, y use la configuración predeterminada de otros campos.


120908xkyczyfnlykgc0ac.png


6. Configure la política de autorización.

 

a.       Añadir una regla de autorización.

Seleccione Policy> Authorization. Haga clic en el triángulo junto a Edit y elija Insert New Rule Above. Agregue la regla de Authorization rule for authenticated users y el grupo de usuarios autorizado es un grupo de R&D.


120921pyzmyjtlwmam3zmw.png


b. Añadir derechos de acceso.

i. En la columna Permissions, haga clic en Add New Standard Profile para acceder a la página Add New Standard Profile.


120931hw3lopf47dlba4ke.png


ii. En la página Add New Standard Profile, configure los derechos de acceso.

Parámetro

Valor

Descripción

Nombre

VLAN20&ACL3002

-

Tipo de Acceso

ACCESS_ACCEPT

Derechos de acceso para los usuarios   que pasan autenticación

Tareas comunes

Huawei@123

VLAN: ID de VLAN autorizada o   descripción de VLAN

Filter-ID: autoriza la descripción de   ACL

120944yrcccppjrtlgxgpj.png


120948jd1lfhr4u5b44h44.png


Paso 3 Verificar la configuración.

·         Un empleado solo puede acceder al servidor ISE de Cisco y al servidor público antes de pasar la autenticación.

·         Un empleado puede acceder al servidor ISE de Cisco, al servidor público, al servidor de servicio y al laboratorio después de pasar la autenticación.

·         Después de que un empleado pase la autenticación, ejecute el comando display access-user en el conmutador. El resultado del comando muestra información sobre el empleado en línea.

----Fin

Archivo de Configuración del Switch

 


sysname SwitchA 

vlan batch 10 20 

radius-server template rd1 
 radius-server shared-key cipher %^%#FP@&C(&{$F2HTlPxg^NLS~KqA/\^3Fex;T@Q9A](%^%# 
 radius-server authentication 192.168.30.1 1812 weight 80 
 radius-server accounting 192.168.30.1 1813 weight 80 

acl number 3002 
 description 3002.in  
 rule 1 permit ip destination 192.168.30.1 0  
 rule 2 permit ip destination 192.168.50.1 0  
 rule 3 deny ip 

aaa 
 authentication-scheme abc 
  authentication-mode radius 
 accounting-scheme acco1 
  accounting-mode radius 
 domain huawei 
  authentication-scheme abc 
  accounting-scheme acco1 
  radius-server rd1 

interface GigabitEthernet0/0/1 
 port link-type hybrid 
 port hybrid pvid vlan 10 
 port hybrid untagged vlan 10 
 authentication dot1x 

interface GigabitEthernet0/0/2 
 port link-type hybrid 
 port hybrid untagged vlan 20 

interface GigabitEthernet0/0/3 
 port link-type trunk 
 port trunk allow-pass vlan 10 20 

interface LoopBack1 
 ip address 10.10.10.1 255.255.255.0 
#   
authentication free-rule 10 destination ip 192.168.40.1 mask 255.255.255.255 

return



  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba