1.1 Descripción de NAC
El control de admisión a la red (NAC) es un marco de acceso seguro de extremo a extremo e incluye la autenticación 802.1x, la autenticación de la dirección MAC y la autenticación del portal. El protocolo 802.1x es un protocolo de control de acceso a la red basado en la interfaz que autentica los dispositivos de acceso conectados a las interfaces de los dispositivos de control de acceso LAN, para controlar el acceso a los recursos de la red.
Los modos de autenticación NAC se clasifican en modo común y modo unificado. Los conmutadores en versiones anteriores a V200R005C00 solo admiten el modo común. Los conmutadores en V200R005C00 y versiones posteriores admiten ambos modos. El modo por defecto es el modo unificado.
1.2 Versión y modelo aplicables
Versión y modelo de Switch | Modelo de teléfono IP |
Todos los modelos de todas las versiones. | Los teléfonos IP que admiten el protocolo 802.1x, como los teléfonos IP de Avaya y el protocolo de descubrimiento de capa de enlace (LLDP), deben estar habilitados en el conmutador |
La configuración en este ejemplo se realiza en un interruptor en V200R006C00. Las diferencias entre las versiones se describen en la sección 1.8 Resumen.
1.3 Requisitos de red.
Los flujos de datos de voz de los servicios HSI, VoIP e IPTV se transmiten en una red. Los usuarios requieren alta calidad del servicio de VoIP. Los usuarios requieren alta calidad del servicio de voz. Por lo tanto, los flujos de datos de voz deben transmitirse con una alta prioridad para garantizar la calidad del servicio de voz. Los usuarios tienen altos requisitos de seguridad. Por lo tanto, solo los dispositivos de voz autenticados pueden acceder a la red.
Como se muestra en la siguiente figura, el teléfono IP admite la autenticación 802.1x y reenvía los paquetes 802.1p de voz con la prioridad predeterminada de 5. El conmutador utiliza la autenticación 802.1x para autenticar el teléfono IP y obtiene la ID de VLAN de voz configurada en el servidor de Servicio de usuario de marcación remota (RADIUS) de autenticación. Luego, el conmutador utiliza LLDP para asignar la ID de VLAN de voz al teléfono IP. La prioridad predeterminada de 802.1p en los paquetes de voz enviados por el teléfono IP es 5. El conmutador mantiene y confía en la prioridad de 802.1p de los paquetes de voz.
1.4 Flujo de datos
Plan de VLAN: los flujos de voz (VoIP) se transmiten en VLAN 300 y los flujos de datos (HIS e IPTV) se transmiten en VLAN 500.
1.5 Mapa de configuración
La ruta de configuración es la siguiente:
l Crear VLAN en las que se transmiten flujos de voz y flujos de datos.
l Configure la autenticación 802.1x para autenticar el teléfono IP.
l Configure el conmutador para utilizar LLDP para asignar una ID de VLAN de voz al teléfono IP.
1.6 Procedimiento
Paso 1 Cree UN VLAN en los flujos de voz y en los flujos de datos que se transmitirán en el Switch.
<HUAWEI> system-view [HUAWEI] vlan batch 300 500 |
Paso 2 Configure el tipo de interfaz y la ID de la VLAN predeterminada del puerto (PVID) para el reenvío de flujo de datos. Agregue una interfaz de la VLAN de voz para el reenvío de flujo de voz.
[HUAWEI] interface gigabitethernet 1/0/1 [HUAWEI-GigabitEthernet1/0/1] port link-type hybrid //Configure the interface connecting the Switch to the IP phone to a hybrid interface so that it can forward both voice and data flows. [HUAWEI-GigabitEthernet1/0/1] port hybrid pvid vlan 500 //Set the default VLAN ID of the interface to 500. This configuration enables GE1/0/1 to tag received untagged packets with VLAN 500 and forward the packets in VLAN 500. This configuration is usually used for data packet forwarding. [HUAWEI-GigabitEthernet1/0/1] port hybrid untagged vlan 500 //Configure GE1/0/1 to remove the VLAN tag from a packet whose VLAN ID is 500 before sending the packet so that downstream users receive untagged packets. [HUAWEI-GigabitEthernet1/0/1] port hybrid tagged vlan 300 //Add the interface to the voice VLAN so that the interface can forward voice flows. [HUAWEI-GigabitEthernet1/0/1] quit |
Paso 3 Configure la autenticación 802.1x para autenticar el teléfono IP.
1. Configure the RADIUS server. [HUAWEI] radius-server template cmn //Create the RADIUS server template cmn. [HUAWEI-radius-cmn] radius-server authentication 10.1.1.6 1812 //Configure the IP address and port number for the RADIUS server. [HUAWEI-radius-cmn] quit 2. Configure AAA authentication domain. [HUAWEI] aaa //Enter the AAA view. [HUAWEI-aaa] authentication-scheme cmn //Create an AAA authentication scheme cmn. [HUAWEI-aaa-authen-cmn] authentication-mode radius //Set the authentication mode to RADIUS. [HUAWEI-aaa-authen-cmn] quit [HUAWEI-aaa] domain default //Use the default authentication domain. [HUAWEI-aaa-domain-default] authentication-scheme cmn //Bind the configured authentication scheme cmn to the domain. [HUAWEI-aaa-domain-default] radius-server cmn //Bind the configured RADIUS server template cmn to the domain. [HUAWEI-aaa-domain-default] quit [HUAWEI-aaa] quit 3. Enable 802.1x authentication. [HUAWEI] interface gigabitethernet 1/0/1 [HUAWEI-GigabitEthernet1/0/1] authentication dot1x [HUAWEI-GigabitEthernet1/0/1] quit If the switch runs a version earlier than V200R005C00 or uses common mode, run the following command to enable 802.1x authentication. Run the display authentication mode command to check NAC mode. [HUAWEI] dot1x enable [HUAWEI] interface gigabitethernet 1/0/1 [HUAWEI-GigabitEthernet1/0/1] dot1x enable [HUAWEI-GigabitEthernet1/0/1] quit |
Step 4 Configurar el servidor Radius.
Nota: Configure el atributo device-traffic-class de la VLNA de voz en el servidor RADIUS. Cambien la VLAN sin etiquetar a VLAN etiquetada y configure ID de la VLAN en 300.
Paso 5 Habilite el LLDP para que el Switch pueda asignar la VLAN ID de voz que obtu****l teléfono IP.
[HUAWEI] lldp enable |
Paso 6 Configure la interfaz en trust y mantenga la prioridad de los paquetes en 802.1p.
[HUAWEI] interface gigabitethernet 1/0/1 HUAWEI-GigabitEthernet1/0/1] trust 8021p //Configure GE1/0/1 to trust the 802.1p priority carried in packets. Run the trust 8021p inner command on modular switches. [HUAWEI-GigabitEthernet1/0/1] quit |
Paso 7 Configure la interfaz del enlace para transmitir libremente los flujos de datos y de voz de la VLAN 300 a la VLAN 500.
[HUAWEI] interface gigabitethernet 1/0/2 [HUAWEI-GigabitEthernet1/0/2] port link-type trunk //Configure the interface as a trunk interface to transparently transmit VLAN packets. [HUAWEI-GigabitEthernet1/0/2] port trunk allow-pass vlan 300 500 [HUAWEI-GigabitEthernet1/0/2] quit |
Paso 8 Verificar la configuración.
l Corra el comando display dot1x para verificar que la configuración de la autenticación 802.1x sea la correcta.
[HUAWEI] display dot1x Global 802.1x is Enabled Authentication method is CHAP Max users: 16384 Current users: 0 DHCP-trigger is Disabled Handshake is Disabled Quiet function is Disabled Parameter set:Dot1x Handshake Period 60s Reauthen Period 3600s Arp Handshake Period 0s Client Timeout 5s Quiet Period 60s Quiet-times 3 Eth-Trunk Handshake Period 120s dot1x URL: Not configed. Dropped EAPOL Access Flow Control : 0 EAPOL Check Sysmac Error : 0 EAPOL Get Vlan ID Error : 0 EAPOL Packet Flow Control : 0 EAPOL Online User Reach Max : 0 EAPOL Static or BlackHole Mac : 0 EAPOL Get Vlan Mac Error : 0 Free-ip configuration(IP/mask): Not configed.
GigabitEthernet1/0/1 status: UP 802.1x protocol is Enabled Port control type is Auto Authentication mode is MAC-based Authentication method is CHAP Reauthentication is disabled Maximum users: 8192 Current users: 0
Authentication Success: 0 Failure: 0 EAPOL Packets: TX : 0 RX : 0 Sent EAPOL Request/Identity Packets : 0 EAPOL Request/Challenge Packets : 0 Multicast Trigger Packets : 0 EAPOL Success Packets : 0 EAPOL Failure Packets : 0 Received EAPOL Start Packets : 0 EAPOL Logoff Packets : 0 EAPOL Response/Identity Packets : 0 EAPOL Response/Challenge Packets: 0 |
l El Teléfono IP puede ser usado para hacer llamadas. Revise la dirección MAC en el teléfono IP. Podrá darse cuenta que el ID de la VLAN es 300.
[HUAWEI] display mac-address 00e0-bb00-1234 ------------------------------------------------------------------------------- MAC Address VLAN/VSI Learned-From Type ------------------------------------------------------------------------------- 00e0-bb00-1234 300/- GE0/0/1 dynamic
------------------------------------------------------------------------------- Total items displayed = 1 |
1.7 Archivos de configuración.
Common mode # sysname HUAWEI # vlan batch 300 500 # dot1x enable # lldp enable # radius-server template cmn radius-server authentication 10.1.1.6 1812 weight 80 # aaa authentication-scheme cmn authentication-mode radius domain default authentication-scheme cmn radius-server cmn # interface GigabitEthernet1/0/1 port link-type hybrid port hybrid pvid vlan 500 port hybrid tagged vlan 300 port hybrid untagged vlan 500 dot1x enable trust 8021p # interface GigabitEthernet1/0/2 port link-type trunk port trunk allow-pass vlan 300 500 # return |
Unified mode # sysname HUAWEI # vlan batch 300 500 # lldp enable # radius-server template cmn radius-server authentication 10.1.1.6 1812 weight 80 # aaa authentication-scheme cmn authentication-mode radius domain default authentication-scheme cmn radius-server cmn # interface GigabitEthernet1/0/1 port link-type hybrid port hybrid pvid vlan 500 port hybrid tagged vlan 300 port hybrid untagged vlan 500 authentication dot1x trust 8021p # interface GigabitEthernet1/0/2 port link-type trunk port trunk allow-pass vlan 300 500 # return |
1.8 Resumen.
l En este ejemplo, el modelo de teléfono IP es Avaya 9620 y el modelo de servidor RADIUS es CiscoSecure ACS. Si el temporizador del teléfono IP de Avaya se agota, es posible que el teléfono IP no pueda acceder a la red. Por lo tanto, aumente el valor del tiempo en el teléfono IP. Configure el temporizador de prueba VLAN en el siguiente procedimiento:
1. Presione * e ingrese la contraseña para acceder al menú.
2. Seleccione VLAN test y cambie el valor predeterminado (60 s) a 0 para que el temporizador no se agote.
l Si el dominio de autenticación AAA no es el dominio predeterminado, ejecute el comando domain test para crear el dominio test.
[HUAWEI] domain test //Create the domain test. |
l Este ejemplo utiliza la autenticación 802.1x. También se puede utilizar la autenticación de la dirección MAC. Cambie el comando para habilitar la autenticación 802.1x en el paso 3 al siguiente formato para configurar la autenticación de la dirección MAC.
l
Common mode: [HUAWEI] vlan batch 100 //Configure VLAN 100 as the guest VLAN for MAC address authentication. [HUAWEI] interface gigabitethernet 1/0/1 [HUAWEI-GigabitEthernet1/0/1] mac-authen [HUAWEI-GigabitEthernet1/0/1] authentication guest-vlan 100 [HUAWEI-GigabitEthernet1/0/1] mac-authen domain default //Configure the default domain as the default authentication domain for MAC address authenticaiton. Unified mode: [HUAWEI] interface gigabitethernet 1/0/1 [HUAWEI-GigabitEthernet1/0/1] authentication mac-authen |