Ejemplo para configurar la autorización del usuario en función de la entrega de ACL o VLAN dinámica (V200R009C00 y versiones posteriores)

Pubilicado 2019-1-27 16:09:29 64 0 0 0

Visión general

 

Después de que un usuario 802.1x se autentifique con éxito en un servidor RADIUS, el servidor envía información de autorización al dispositivo de acceso del usuario. Cuando el Controlador-Campus Agile funciona como el servidor RADIUS, puede entregar múltiples parámetros de autorización.

 

·         La autorización basada en ACL se clasifica en autorización basada en número de ACL (basada en ACL estática) y dinámica basada en ACL.

 

- Número de ACL: si la entrega del número de ACL está configurada en el servidor, la información de autorización enviada al dispositivo de acceso incluye el número de ACL. El dispositivo de acceso coincide con las reglas de ACL basadas en el número de ACL entregado para controlar los derechos de usuario.

 

El atributo RADIUS utilizado para la entrega del número de ACL es (011) Filter-Id.

 

- ACL dinámica: el servidor entrega reglas en una ACL al dispositivo. Los usuarios pueden acceder a los recursos de red controlados mediante esta ACL. Las reglas de ACL y ACL se deben configurar en el servidor. La ACL no necesita configurarse en el dispositivo.

 

El atributo RADIUS utilizado para la entrega dinámica de ACL es el atributo RADIUS extendido de Huawei (26-82) HW-Data-Filter.

 

·         VLAN dinámica: si la entrega dinámica de VLAN está configurada en el servidor, la información de autorización enviada al dispositivo de acceso incluye el atributo VLAN. Una vez que el dispositivo de acceso recibe la información de autorización, cambia la VLAN del usuario a la VLAN entregada.

 

La VLAN entregada no cambia o afecta la configuración de la interfaz. La VLAN entregada, sin embargo, tiene prioridad sobre la VLAN configurada en la interfaz. Es decir, la VLAN entregada entra en vigor después de que la autenticación se realiza correctamente, y la VLAN configurada entra en vigencia una vez que el usuario se desconecta.

 

Los siguientes atributos de RADIUS se utilizan para la entrega dinámica de VLAN:

 

- (064) Tipo de túnel (debe configurarse en VLAN o 13).

 

- (065) Tunnel-Medium-Type (Se debe establecer en 802 o 6.)

 

- (081) ID de grupo-túnel-privado (puede ser una ID de VLAN o un nombre de VLAN).

 

Para garantizar que el servidor RADIUS entregue la información de VLAN correctamente, se deben usar los tres atributos de RADIUS. Además, los atributos Tunnel-Type y Tunnel-Medium-Type deben establecerse en los valores especificados.

 

NOTA:

Lo siguiente usa el número de ACL y la entrega dinámica de VLAN como ejemplo. Las diferencias de configuración entre la entrega del número de ACL y la entrega dinámica de ACL se describen en las notas.

 

Notas de configuración:

 

Este ejemplo se aplica a todos los conmutadores de la serie S.

 

NOTA:

 

Para conocer detalles sobre las asignaciones de software, consulte búsqueda de mapas de versión para los switches de campus de Huawei.

 

Hacer que la autorización basada en VLAN tenga efecto tiene los siguientes requisitos en el tipo de enlace y el modo de control de acceso de la interfaz de autenticación:

 

·         Si el tipo de enlace de la interfaz es híbrido y la interfaz se ha agregado a una VLAN en modo no etiquetado, el modo de control de acceso puede estar basado en la dirección MAC o en la interfaz.

 

·         Si el tipo de enlace de la interfaz es acceso o troncal, el modo de control de acceso solo puede estar basado en la interfaz.

 

Requisitos de red

 

Como se muestra en la Figura 1-1, un gran número de terminales de empleados en una empresa se conectan a la intranet a través de GE0/0/1 en SwitchA. Para garantizar la seguridad de la red, el administrador debe controlar los derechos de acceso a la red de los terminales. Los requisitos son los siguientes:

 

·         Antes de pasar la autenticación, los terminales pueden acceder al servidor público (con la dirección IP 192.168.40.1) y descargar el cliente 802.1x o actualizar la base de datos antivirus.

 

·         Después de pasar la autenticación, los terminales pueden acceder al servidor de servicio (con la dirección IP 192.168.50.1) y a los dispositivos en el laboratorio (con ID de VLAN 20 y segmento de dirección IP 192.168.20.10-192.168.20.100).

 

Figura 1-1 Diagrama de redes de acceso por cable.

 

060548r9eoojn9ojf9i02f.png?image.png

Plan de datos

 

Tabla 1-1 Plan de datos de servicio para el switch de acceso

Item

Datos

RADIUS scheme

·           Dirección IP del servidor de   autenticación: 192.168.30.1

·           Número de puerto del servidor de   autenticación: 1812

·           IP Dirección IP del servidor de contabilidad:   192.168.30.1

·           Número de puerto del servidor de   contabilidad: 1813

·           Clave compartida para el servidor   RADIUS: Huawei @ 123

·           Interval   contable: 15 minutos

·           Dominio de autenticación: huawei

Recursos   accesibles a los usuarios antes de la autenticación

Los derechos de acceso al servidor público se configuran mediante una   regla sin autenticación. El nombre del perfil de regla sin autenticación es   default_free_rule.

Recursos   accesibles para los usuarios después de la autenticación

Los derechos de acceso al laboratorio se otorgan mediante una VLAN   dinámica. El ID de VLAN es 20.

Los derechos de acceso al servidor de servicio se otorgan utilizando   un número de ACL. El número de ACL es   3002.

 

Table 1-2 Service data plan for the Agile Controller-Campus

Item

Datos

Departamento

Departamento de   R&D

Usuario

User name: A

Wired access   account: A-123

Password: Huawei123

Dirección   IP del switch

SwitchA: 10.10.10.1

Clave de autenticacion   RADIUS

Huawei@123

Clave de   contabilidad RADIUS

Huawei@123

 

Mapa de configuración

 

1. Configure el conmutador de acceso, incluidas las interfaces VLAN, parámetros para conectarse al servidor RADIUS, habilitación de NAC y derechos de acceso a la red que los usuarios obtienen después de pasar la autenticación.

NOTA:

En este ejemplo, asegúrese de que existan rutas accesibles entre SwitchA, SwitchB, servidores, laboratorio y terminales de empleados.

 

2. Configurar el controlador-campus ágil.

 

A. Inicia sesión en el controlador-campus ágil.

 

B. Agrega una cuenta al controlador-campus ágil.

 

C. Añadir interruptores al controlador-campus ágil.

 

D. Configure los resultados de la autorización y las reglas de autorización en el controlador-campus ágil.

 

Procedimiento

 

 Paso 1 Configurar el interruptor de acceso SwitchA.

 

1.       Cree VLANs y configure las VLANs permitidas en las interfaces para garantizar la conectividad de la red.

<HUAWEI> system-view 
[HUAWEI] sysname SwitchA 
[SwitchA] vlan batch 10 20 
[SwitchA] interface gigabitethernet 0/0/1     
[SwitchA-GigabitEthernet0/0/1] port link-type hybrid 
[SwitchA-GigabitEthernet0/0/1] port hybrid pvid vlan 10 
[SwitchA-GigabitEthernet0/0/1] port hybrid untagged vlan 10 
[SwitchA-GigabitEthernet0/0/1] quit 
[SwitchA] interface gigabitethernet 0/0/2     
[SwitchA-GigabitEthernet0/0/2] port link-type hybrid 
[SwitchA-GigabitEthernet0/0/2] port hybrid untagged vlan 20 
[SwitchA-GigabitEthernet0/0/2] quit 
[SwitchA] interface gigabitethernet 0/0/3     
[SwitchA-GigabitEthernet0/0/3] port link-type trunk 
[SwitchA-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20 
[SwitchA-GigabitEthernet0/0/3] quit 
[SwitchA] interface loopback 1 
[SwitchA-LoopBack1] ip address 10.10.10.1 24     
[SwitchA-LoopBack1] quit 

2.       Cree y configure una plantilla de servidor RADIUS, un esquema de autenticación AAA y un dominio de autenticación.

 

# Cree y configure la plantilla de servidor RADIUS rd1.

[SwitchA] radius-server template rd1 
[SwitchA-radius-rd1] radius-server authentication 192.168.30.1 1812 
[SwitchA-radius-rd1] radius-server accounting 192.168.30.1 1813 
[SwitchA-radius-rd1] radius-server shared-key cipher Huawei@123 
[SwitchA-radius-rd1] quit 

# Cree el abc del esquema de autenticación AAA y configure el modo de autenticación en RADIUS.

[SwitchA] aaa 
[SwitchA-aaa] authentication-scheme abc 
[SwitchA-aaa-authen-abc] authentication-mode radius 
[SwitchA-aaa-authen-abc] quit

# Configure el esquema de contabilidad acco1 y configure el modo de contabilidad en RADIUS.

[SwitchA-aaa] accounting-scheme acco1 
[SwitchA-aaa-accounting-acco1] accounting-mode radius 
[SwitchA-aaa-accounting-acco1] accounting realtime 15 
[SwitchA-aaa-accounting-acco1] quit

# Cree el huawei del dominio de autenticación y enlace el esquema de autenticación AAA abc, el esquema de contabilidad acco1 y la plantilla del servidor RADIUS rd1 al dominio.

[SwitchA-aaa] domain huawei 
[SwitchA-aaa-domain-huawei] authentication-scheme abc 
[SwitchA-aaa-domain-huawei] accounting-scheme acco1 
[SwitchA-aaa-domain-huawei] radius-server rd1 
[SwitchA-aaa-domain-huawei] quit 
[SwitchA-aaa] quit

3.       Configure un perfil de regla sin autenticación.

[SwitchA] free-rule-template name default_free_rule 
[SwitchA-free-rule-default_free_rule] free-rule 10 destination ip 192.168.40.0 mask 24 
[SwitchA-free-rule-default_free_rule] quit 

4.       Habilitar la autenticación 802.1x.

# Establece el modo NAC en unificado.

[SwitchA] authentication unified-mode

 

Por defecto, el modo unificado está habilitado. Antes de cambiar el modo NAC, debe guardar la configuración. Una vez que se cambia el modo y se reinicia el dispositivo, las funciones del modo recién configurado se activan.

# Configurar el perfil de acceso 802.1x d1.

[SwitchA] dot1x-access-profile name d1 
[SwitchA-dot1x-access-profile-d1] quit

# Configure el perfil de autenticación p1, vincule el perfil de acceso 802.1x d1 y el perfil de regla sin autenticación default_free_rule al perfil de autenticación, especifique el dominio huawei como el dominio de autenticación forzado en el perfil de autenticación, y configure el modo de acceso de usuario a multi-autenticación. .

[SwitchA] authentication-profile name p1 
[SwitchA-authen-profile-p1] dot1x-access-profile d1 
[SwitchA-authen-profile-p1] free-rule-template default_free_rule 
[SwitchA-authen-profile-p1] access-domain huawei force 
[SwitchA-authen-profile-p1] authentication mode multi-authen 
[SwitchA-authen-profile-p1] quit

# Enlace el perfil de autenticación p1 a GE0 / 0/1 y habilite la autenticación 802.1x en la interfaz.

[SwitchA] interface gigabitethernet 0/0/1 
[SwitchA-GigabitEthernet0/0/1] authentication-profile p1 
[SwitchA-GigabitEthernet0/0/1] quit 

5.       Configure the authorization parameter ACL 3002 for users who pass authentication.

En modo ACL dinámico, este paso no necesita configurarse en el dispositivo.

[SwitchA] acl 3002 
[SwitchA-acl-adv-3002] rule 1 permit ip destination 192.168.30.1 0 
[SwitchA-acl-adv-3002] rule 2 permit ip destination 192.168.50.1 0 
[SwitchA-acl-adv-3002] rule 3 deny ip destination any 
[SwitchA-acl-adv-3002] quit

Paso 2 Configurar el controlador del Aguile Controller.

1. Inicia sesión en el controlador Aguile Controller.

a. Abra Internet Explorer, ingrese la dirección de acceso de Agile Controller-Campus en la barra de direcciones y presione Entrar.

La siguiente tabla describe las direcciones para acceder a Agile Controller-Campus.

Modo de acceso

Descripcion

https://Agile Controller-Campus-IP:8443

Agile   Controller-Campus-IP especifica la dirección IP de Agile Controller-Campus.

IP address of the   Agile Controller-Campus

Si el uerto   80 está habilitado durante la instalación, puede acceder al Agile   Controller-Campus ingresando su dirección IP sin el número de uerto. La URL   de Agile Controller-Campus cambiará automáticamente a https: // Agile   Controller-Campus-IP: 8443.

 

b. Introduzca el nombre de usuario y la contraseña del administrador.

 

Si inicia sesión en Agile Controller-Campus por primera vez, use el nombre de usuario administrador super y la contraseña Changeme123. Cambie la contraseña inmediatamente después de iniciar sesión. De lo contrario, no se puede utilizar Agile Controller-Campus.

 

2. Crear un departamento y una cuenta.

 

a. Seleccione Recurso> Usuario> Gestión de usuarios.

 

b. Haga clic en la pestaña Departamento en el área de operación a la derecha, y luego haga clic en Agregar debajo de la pestaña Departamento para agregar un departamento de I + D.

060612qf1r44rydiscfrgt.png?image.png

c. Haga clic en la pestaña Usuario en el área de operación a la derecha y luego haga clic en Agregar debajo de la pestaña Usuario para agregar un usuario A.

060625wy41o4i4sd12d42r.png?image.png

 

d. Haga clic en 060637o1232762q70aqo6t.png?image.png junto al usuario A en Operación para acceder a Administración de cuentas. Haga clic en Agregar. Cree una cuenta común A-123 y establezca la contraseña en Huawei123.

060646vaags3by2bvgdyud.png?image.png

 

e. En la pestaña Usuario, seleccione el usuario A. Haga clic en Transferir para agregar el usuario A al departamento de I + D.

060658j162j2gn0oxme2xg.png?image.png

3. Agregue el switch al controlador-campus ágil para que los switches puedan comunicarse con el controlador-campus ágil.

Elija Recurso> Dispositivo> Administración de dispositivos. Haga clic en Agregar en el área de operación a la derecha. Establezca los parámetros de conexión en la página Agregar dispositivo.

060710qtszbyr5y4tm5b6b.png?image.png

 

4. Añadir un resultado de autorización.

 

NOTA:

Realice este paso para el número de ACL y la entrega de VLAN.

 

a. Seleccione Política> Control de permisos> Autenticación y autorización> Resultado de autorización y haga clic en Agregar para crear un resultado de autorización.

 

b. Configurar información básica para el resultado de la autorización.

Parametro

Valor

Descripcion

Nombre

Información   de autorización para usuarios autenticados.

-

Tipo de servicio

Servicio de acceso

-

VLAN

20

La VLAN debe   ser la misma que la VLAN configurada para los empleados de I + D en el   switch.

Número de   ACL / grupo de usuarios AAA

3002

El número de   ACL debe ser el mismo que el número de ACL configurado para los empleados de   I + D en el conmutador.

 

060722ff163x398zg6n118.png?image.png

Añadir un resultado de autorización.

 

NOTA:

Realice este paso para la entrega dinámica de ACL y VLAN.

 

a. Añadir un ACL dinámico.

 

i. Elija Política> Control de permisos> Elemento de política> ACL dinámica.

 

ii. Haga clic en Agregar.

 

iii. Configure la información básica para la ACL dinámica y haga clic en Agregar en la lista de reglas.

 

iv. Configurar atributos contenidos en la ACL dinámica.

060734zri82shhh8z25h9y.png?image.png

b. Seleccione Política> Control de permisos> Autenticación y autorización> Resultado de autorización y haga clic en Agregar para crear un resultado de autorización.

 

c. Configurar información básica para el resultado de la autorización.

Parámetros

Valor

Descripción

Nombre

Información   de autorización para usuarios que pasan autenticación

-

Tipo de   servicio

Servicio de   acceso

-

VLAN

20

La ID de   VLAN debe ser la misma que la ID de VLAN configurada para los empleados de I   + D en el switch.

ACL dinámico

3002

-

 

060747pzate3iut4339tkm.png?image.png

6.       Añadir una regla de autorización.

 

Después de que un usuario pasa la autenticación, se inicia la fase de autorización. Agile Controller-Campus otorga al usuario derechos de acceso basados en la regla de autorización.

 

a. Elija Política> Control de permisos> Autenticación y autorización> Regla de autorización y haga clic en Agregar para crear una regla de autorización.

 

b. Configurar información básica para la regla de autorización.

Parámetros

Valor

Descripción

Nombre

Regla de   autorización para usuarios autenticados

-

Tipo de   servicio

Servicio de   acceso

-

Departamento

Departamento   de I + D

-

Resultado de   la autorización

Información   de autorización para usuarios autenticados.

-

 

060804ix1hp2rxelal9h1e.png?image.png

 

Paso 3 Verificar la configuración.

 

·         Un empleado solo puede acceder al servidor Agile Controller-Campus y al servidor público antes de pasar la autenticación.

 

·         Un empleado puede acceder al servidor Agile Controller-Campus, al servidor público, al servidor de servicios y al laboratorio después de pasar la autenticación.

 

·         Después de que el empleado pase la autenticación, ejecute el comando de acceso a la pantalla en el conmutador. El resultado del comando muestra información sobre el empleado en línea.

 

Archivo de configuración del switch.


sysname SwitchA 

vlan batch 10 20 

authentication-profile name p1 
 dot1x-access-profile d1 
 free-rule-template default_free_rule 
 access-domain huawei force 

radius-server template rd1 
 radius-server shared-key cipher %^%#FP@&C(&{$F2HTlPxg^NLS~KqA/\^3Fex;T@Q9A](%^%# 
 radius-server authentication 192.168.30.1 1812 weight 80 
 radius-server accounting 192.168.30.1 1813 weight 80 

acl number 3002 
 rule 1 permit ip destination 192.168.30.1 0  
 rule 2 permit ip destination 192.168.50.1 0  
 rule 3 deny ip 

free-rule-template name default_free_rule 
 free-rule 10 destination ip 192.168.40.0 mask 255.255.255.0 
#  
aaa 
 authentication-scheme abc 
  authentication-mode radius 
 accounting-scheme acco1 
  accounting-mode radius 
  accounting realtime 15 
 domain huawei 
  authentication-scheme abc 
  accounting-scheme acco1 
  radius-server rd1 

interface GigabitEthernet0/0/1 
 port link-type hybrid 
 port hybrid pvid vlan 10  
 port hybrid untagged vlan 10 
 authentication-profile p1 

interface GigabitEthernet0/0/2 
 port link-type hybrid 
 port hybrid untagged vlan 20 

interface GigabitEthernet0/0/3 
 port link-type trunk 
 port trunk allow-pass vlan 10 20 

interface LoopBack1 
 ip address 10.10.10.1 255.255.255.0 
#   
dot1x-access-profile name d1 

return

 


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba