Ejemplo para la configuración de 802.1x y la autenticación de la dirección MAC para controlar el acceso de usuarios internos a la red empresarial

Pubilicado 2019-1-23 16:21:37 33 0 0 0

Ejemplo para la configuración de 802.1x y la autenticación de la dirección MAC para controlar el acceso del usuario interno a la red empresarial (punto de autenticación en el Switch de acceso) (V200R005 a V200R008)

 

Visión general

 

La autenticación 802.1x y la autenticación de la dirección MAC son dos métodos utilizados para el Control de admisión a la red (NAC). La autenticación 802.1x se implementa según las interfaces y la autenticación de la dirección MAC se implementa según las interfaces y las direcciones MAC. Ambos protocolos pueden proteger la seguridad de las redes empresariales.

 

La autenticación 802.1x es más segura que la autenticación de la dirección MAC; sin embargo, requiere que el software cliente 802.1x esté instalado en todos los terminales de usuario, lo que permite una baja flexibilidad de red. La autenticación 802.1x es aplicable a las redes que requieren alta seguridad de la información.

 

La autenticación de la dirección MAC no necesita el software cliente 802.1x, pero las direcciones MAC de los terminales de usuario deben registrarse en el servidor de autenticación. La configuración y gestión de la red es compleja. La autenticación de la dirección MAC se aplica a terminales simples, como impresoras y máquinas de fax.

 

Notas de configuración

 

Este ejemplo se aplica a todos los Switches de la serie S.

 

NOTA:

Para conocer detalles sobre las asignaciones de software, consulte Búsqueda de mapas de versión para los Switches de campus de Huawei.

 

El controlador-campus Agile de Huawei en V100R001 funciona como el servidor RADIUS en este ejemplo. Para el controlador-campus Agile, la versión requerida es V100R001; V100R002; V100R003.

 

La autenticación RADIUS y las claves compartidas de contabilidad y la clave compartida de Portal en el Switch deben ser las mismas que las del servidor Agile Controller-Campus.

 

De forma predeterminada, el Switch permite que los paquetes del servidor RADIUS se transfieran. No es necesario configurar reglas sin autenticación para el servidor en el Switch.

 

Requisitos de red

 

Las empresas tienen altos requisitos en seguridad de red. Para evitar el acceso no autorizado y proteger la seguridad de la información, una empresa solicita a los usuarios que pasen la autenticación de identidad y la verificación de seguridad antes de acceder a la red de la empresa. Solo los usuarios autorizados pueden acceder a la red de la empresa.

 

Además, los terminales tontos, como los teléfonos IP y las impresoras, pueden acceder a la red de la empresa solo después de pasar la autenticación.

 

La red empresarial tiene las siguientes características:

 

l  Todos los Switches de acceso admiten la autenticación 802.1x.

l  La red de la empresa tiene un tamaño pequeño y no tiene redes de sucursales.

l  La empresa no tiene más de 1000 empleados. Un máximo de 2000 usuarios, incluidos los invitados, acceden a la red todos los días.

l  Los terminales inestables, como los teléfonos IP y las impresoras, están conectados a la red de la empresa.

 

Para proporcionar una alta seguridad para la red, se recomienda configurar la función de autenticación 802.1x en los Switches de acceso y conectar un único servidor de autenticación centralizado al Switch de agregación en modo bypass. La autenticación de la dirección MAC debe configurarse para terminales simples.

 

 

Figura 1-1 Diagrama de redes de acceso por cable

061649eg0waa5gz08pk1ql.png?image.png

Plan de datos

 

Tabla 1-1 plan de datos de red

Equipo

Datos

Agile Controller-Campus

Dirección IP: 192.168.100.100

Servidor de dominio post-autenticación

Dirección IP: 192.168.102.100

Switch de Agregacion (SwitchA)

Dirección IP de gestión:   192.168.10.10

Switch de acceso (SwitchC)

ID VLAN de usuario: 10

Dirección IP de gestión:   192.168.30.30

Access switch (SwitchD)

ID VLAN de usuario: 20

Dirección IP de gestión:   192.168.40.40

        

 


  Tabla 1-2 Plan de datos del servicio de switch de acceso

Equipos

Datos

Esquema RADIUS

Dirección IP del servidor de   autenticación: 192.168.100.100

Número de puerto del servidor   de autenticación: 1812

Dirección IP del servidor de   contabilidad: 192.168.100.100

Número de puerto del servidor   de contabilidad: 1813

Clave compartida para el   servidor RADIUS: Huawei @ 2014

Intervalo de contabilidad: 15 minutos

Dominio de autenticación: isp


  Número de ACL del dominio de post-autenticación

3002

 

Tabla 1-3 Plan de datos del servicio Agile Controller-Campus

Equipos

Datos

Departamento

Departamento R&D

Acceso del usuario

Nombre de usuario: A

Cuanta de acceso cableado:   A-123

Contraseña: Huawei123

Grupo del dispositivo

Grupo de dispositivos cableados: Switch

Direccion IP del switch

  SwitchC: 192.168.30.30

  SwitchD: 192.168.40.40

Clave de autenticacion RADIUS

Huawei@2014

Clave de contablilidad RADIUS

Huawei@2014

Mapa de configuración

 

1. Configure los Switches de acceso, incluidas las interfaces de VLAN, los parámetros para conectarse al servidor RADIUS, habilitar la autenticación NAC y el derecho de acceso al dominio posterior a la autenticación.

 

NOTA:

Asegure las rutas accesibles entre los Switches de acceso (SwitchC y SwitchD), el Switch de agregación (SwitchA) y el servidor Agile Controller-Campus.

 

2. Configurar el Agile Controller-Campus:

a. Inicia sesión en el Agile Controller-Campus.

b. Agrega una cuenta al Agile Controller-Campus.

c. Añadir los switch al Agile Controller-Campus.

d. Configure las reglas de autenticación, los resultados de autorización y las reglas de autorización en el Agile Controller-Campus.

 


Procedimiento      

 

Paso 1 Configure los Switches de acceso. Este ejemplo utiliza SwitchC para describir la configuración. La configuración del dominio en SwitchD es la misma que en SwitchC.

 

1.       Cree VLAN y configure las VLAN permitidas por las interfaces para que los paquetes puedan reenviarse.

<HUAWEI> system-view

[HUAWEI] sysname SwitchC

[SwitchC] vlan batch 10

[SwitchC] interface gigabitethernet 0/0/1     

[SwitchC-GigabitEthernet0/0/1] port link-type access

[SwitchC-GigabitEthernet0/0/1] port default vlan 10 

[SwitchC-GigabitEthernet0/0/1] quit

[SwitchC] interface gigabitethernet 0/0/2     

[SwitchC-GigabitEthernet0/0/2] port link-type access

[SwitchC-GigabitEthernet0/0/2] port default vlan 10

[SwitchC-GigabitEthernet0/0/2] quit

[SwitchC] interface gigabitethernet 0/0/3     

[SwitchC-GigabitEthernet0/0/3] port link-type trunk

[SwitchC-GigabitEthernet0/0/3] port trunk allow-pass vlan 10

[SwitchC-GigabitEthernet0/0/3] quit

[SwitchC] interface vlanif 10

[SwitchC-Vlanif10] ip address 192.168.30.30 24   


 

2.       Cree y configure una plantilla de servidor RADIUS, un esquema de autenticación AAA y un dominio de autenticación. # Crear y configurar la plantilla de servidor RADIUS rd1.

[SwitchC] radius-server template rd1

[SwitchC-radius-rd1] radius-server authentication 192.168.100.100 1812

[SwitchC-radius-rd1] radius-server accounting 192.168.100.100 1813

[SwitchC-radius-rd1] radius-server shared-key cipher Huawei@2014

[SwitchC-radius-rd1] quit

 

 


# Cree un abc de esquema de autenticación AAA y configure el modo de autenticación en RADIUS.

[SwitchC] radius-server template rd1

[SwitchC-radius-rd1] radius-server authentication 192.168.100.100 1812

[SwitchC-radius-rd1] radius-server accounting 192.168.100.100 1813

[SwitchC-radius-rd1] radius-server shared-key cipher Huawei@2014

[SwitchC-radius-rd1] quit

 


# Configure el esquema de contabilidad acco1 y configure el modo de contabilidad en RADIUS.

[SwitchC-aaa] accounting-scheme acco1

[SwitchC-aaa-accounting-acco1] accounting-mode radius

[SwitchC-aaa-accounting-acco1] accounting realtime 15     

[SwitchC-aaa-accounting-acco1] quit

 


# Cree un dominio de autenticación isp y enlace el esquema de autenticación AAA abc, el esquema de contabilidad acco1 y la plantilla de servidor RADIUS rd1 al dominio.

[SwitchC-aaa] domain isp

[SwitchC-aaa-domain-isp] authentication-scheme abc

[SwitchC-aaa-domain-isp] accounting-scheme acco1

[SwitchC-aaa-domain-isp] radius-server rd1

[SwitchC-aaa-domain-isp] quit

[SwitchC-aaa] quit

 

# Configurar isp como el dominio predeterminado global. Durante la autenticación de acceso, ingrese un nombre de usuario en el formato usuario@isp para realizar la autenticación AAA en la isp del dominio. Si el nombre de usuario no contiene un nombre de dominio o contiene un nombre de dominio no válido, el usuario se autentica en el dominio predeterminado.

 

[SwitchC] domain isp


 

3. Habilite la autenticación 802.1x y la dirección MAC.

 

# Establece el modo NAC en unificado.

[SwitchC] authentication unified-mode

 

NOTA:

 

Por defecto, el modo unificado está habilitado. Después de cambiar el modo NAC, el dispositivo se reinicia automáticamente.

 

# Habilitar la autenticación 802.1x en GE0 / 0/1.

[SwitchC] interface gigabitEthernet 0/0/1

[SwitchC-GigabitEthernet0/0/1] authentication dot1x

[SwitchC-GigabitEthernet0/0/1] quit

 

# Habilitar la autenticación de la dirección MAC en GE0 / 0/2.

[SwitchC] interface gigabitEthernet 0/0/2

[SwitchC-GigabitEthernet0/0/2] authentication mac-authen

[SwitchC-GigabitEthernet0/0/2] mac-authen username fixed A-123 password cipher Huawei123     

[SwitchC-GigabitEthernet0/0/2] quit

 

 

4. Configure ACL 3002 para el dominio posterior a la autenticación.

[SwitchC] acl 3002

[SwitchC-acl-adv-3002] rule 1 permit ip destination 192.168.102.100 0

[SwitchC-acl-adv-3002] rule 2 deny ip destination any

[SwitchC-acl-adv-3002] quit


 

Paso 2

Configurar el Agile Controller-Campus.

1. Inicia sesión en el Agile Controller-Campus.

a. Abra Internet Explorer, ingrese la dirección de Agile Controller-Campus en el cuadro de dirección y presione Entrar. La siguiente tabla proporciona dos tipos de direcciones Agile Controller-Campus.

Formato de direccion

Description

https://Agile Controller-Campus-IP:8443

En la dirección, Agile   Controller-Campus-IP indica la dirección IP de Agile Controller-Campus.

Dirección IP del Agile   Controller-Campus

Si el puerto 80 está habilitado   durante la instalación, puede acceder a Agile Controller-Campus simplemente   ingresando su dirección IP sin el número de puerto. La dirección de Agile   Controller-Campus cambiará automáticamente a https: // Agile   Controller-Campus-IP: 8443.

 

b. Ingrese la cuenta de administrador y la contraseña.

 

Si inicia sesión en Agile Controller-Campus por primera vez, use la cuenta de administrador admin y la contraseña Changeme123. Cambie la contraseña inmediatamente después de iniciar sesión. De lo contrario, no se puede utilizar Agile Controller-Campus.

 

2. Crear un departamento y una cuenta.

a. Seleccione Resource > User > User Management.

b. Haga clic en la pestaña Departamento en el área de operación a la derecha. Luego haga clic en Add en la pestaña Department y agregue el departamento de R&D.

061724r5r10sy8555sanya.png?image.png

061735s96vy3827fd8ck73.png?image.png

c. Haga clic en la pestaña User en el área de operación a la derecha. Luego haga clic en Add debajo de la pestaña Usuario, y agregue el usuario A

061746x***zng2n97yzn97.png?image.png


061759skt4rme6tkkcz4e1.png?image.png

d. Haga clic en 061811sn60fmksbym5s2fh.png?image.pngque se encuentra en la columna Operation a la derecha del usuario A. Se muestra la página Account Management. Haga clic en Add y cree una cuenta común A-123 con la contraseña Huawei123.


061858s4xkalqvzi9as9hx.png?image.png


e. En la página de la pestaña User, seleccione el usuario A y haga clic en Transfer para agregar el usuario A al departamento de R&D.

061910qe99uxhq9hhsx95q.png?image.png


3. Agregue Switches al controlador-campus ágil para que los Switches puedan comunicarse con el controlador-campus ágil.

a.        Elija Resource > Device > Device Management.

b.       Haga clic en Permission Control Device Group en el árbol de navegación y haga clic en 061930mckbhkolyzmhhmck.png?image.pngy Add SubGroup para crear un Switch de grupo de dispositivos.

061943jgj6ovo667y7dcjj.png?image.png

c. Haga clic en el grupo de dispositivos en el árbol de navegación y seleccione ALL Device. Haga clic en Add para agregar dispositivos de acceso a la red.

a.        Establezca los parámetros de conexión en la página Add Device.

Este ejemplo utiliza SwitchC para describir el procedimiento de configuración. La configuración en SwitchD es la misma que en SwitchC, excepto que las direcciones IP son diferentes.

 

Parametros

Valores

Descripcion

Nombre

SwitchC

-

Direccion IP

192.168.30.30

La interfaz en el Switch debe   comunicarse con el controlador-campus ágil.


 
Serie de dispositivos

Huawei Quidway series switch

-


  Clave de autentificación

Huawei@2014

Debe ser la misma que la clave   compartida del servidor de autenticación RADIUS configurado en el Switch.


 
Llave de carga

Huawei@2014

Debe ser la misma que la clave   compartida del servidor de contabilidad RADIUS configurado en el Switch.

Intervalo de carga en tiempo   real (minuto)

15

Debe ser el mismo que el   intervalo de contabilidad en tiempo real configurado en el Switch.


062008o05kyvs62x5t6dsz.png?image.png

e. Haga clic en Permission Control Device Group en el árbol de navegación, seleccione SwitchC y haga clic en Move para mover SwitchC al grupo Cambiar. La configuración en SwitchD es la misma que en SwitchC.

 

4. Agregue una regla de autenticación.

a. Elija Policy > Permission Control > Authentication and Authorization > Authentication Rule y haga clic en Add para crear una regla de autenticación.

b. Configurar información básica para la regla de autenticación.


 

Parametro

Valor

Descripcion

Nombre

Regla de autenticacion de   acceso

-

Tipo de servicio

Servicio de acceso

-

Condicion de autenticacion

Grupo de los dispositivos Switch

Personalice las reglas de   autenticación según los requisitos de su red.

Por favor seleccione el   protocolo de autenticación permitido

EAP-PEAP-MSCHAPv2

-


062023iato0azk0x00opxp.png?image.png

062029zodqond3iu0ssh0s.png?image.png


5. Añadir un resultado de autorización.

a.        Seleccione Policy > Permission Control > Authentication and Authorization > Authorization Result y haga clic en Add para crear un resultado de autorización.

b.       Configurar información básica para el resultado de la autorización.

Parametro

Varlos

Descripcion

Nombre

Post-authentication domain

-

Tipo de servicio

Servicio de acceso

-

Número de ACL / Grupo de   usuarios

3002

El número de ACL debe ser el   mismo que el número de ACL configurado para los empleados de R&D en el Switch.

062055z5kjeza9okwowkeu.png?image.png


6. Añadir una regla de autorización.

Después de que un usuario pasa la autenticación, se inicia la fase de autorización. Agile Controller-Campus otorga al usuario derechos de acceso basados en la regla de autorización.

a.        Elija Policy > Permission Control > Authentication and Authorization > Authorization Rule y haga clic en Add para crear una regla de autorización.

b.       Configurar información básica para la regla de autorización

 

Parametro

Varlos

Descripcion

Nombre

Regla de autorización para   empleados de R&D

-

Tipo de servicio

Servicio de acceso

-

Grupo de dispositivos de acceso

Switch

-

Resultado de la autorización


  Dominio post-autenticación

-


062114d5hn0zb5nm6367z7.png?image.png


Paso 3 Verificar la configuración.

l  Un empleado solo puede acceder al servidor Agile Controller-Campus antes de pasar la autenticación.

l  Después de pasar la autenticación, el empleado puede acceder a los recursos en el dominio posterior a la autenticación.

l  Una vez que el empleado haya pasado la autenticación, ejecute el comando display access-user en el Switch. El resultado del comando muestra información sobre el empleado en línea.

 ----Fin.



Archivo de configuración del switch

 

#

sysname SwitchC

#

vlan batch 10

#

domain isp

#

radius-server template rd1

 radius-server shared-key cipher %^%#FP@&C(&{$F2HTlPxg^NLS~KqA/\^3Fex;T@Q9A](%^%#

 radius-server authentication 192.168.100.100 1812 weight 80

 radius-server accounting 192.168.100.100 1813 weight 80

#

acl number 3002

 rule 1 permit ip destination 192.168.102.100 0

 rule 2 deny ip

#

aaa

 authentication-scheme abc

  authentication-mode radius

 accounting-scheme acco1

  accounting-mode radius

  accounting realtime 15

 domain isp

  authentication-scheme abc

  accounting-scheme acco1

  radius-server rd1

#

interface Vlanif10

 ip address 192.168.30.30 255.255.255.0

#

interface GigabitEthernet0/0/1

 port link-type access

 port default vlan 10

 authentication dot1x

#

interface GigabitEthernet0/0/2

 port link-type access

 port default vlan 10

 authentication mac-authen

 mac-authen username fixed A-123 password cipher %^%#7JxKWaX6c0\X4RHfJ$M6|duQ*k{7uXu{J{S=zx-3%^%#

#

interface GigabitEthernet0/0/3

 port link-type trunk

 port trunk allow-pass vlan 10

#

return

 




  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba