j'ai compris

Configuration de l'authentification 802.1x pour contrôler l'accès des terminaux câblés

publié il y a  2020-4-28 13:36:31 9 0 0 0

Cet article souligne un exemple de configuration de l'authentification 802.1x pour contrôler l'accès des terminaux câblés (point d'authentification sur le commutateur d'agrégation) (V200R008C00). Veuillez voir ci-dessous pour plus de détails.

Présentation de l'authentification 802.1x

802.1x est un protocole de contrôle d'accès réseau basé sur les ports et l'authentification 802.1x est l'un des modes d'authentification NAC. L'authentification 802.1x garantit la sécurité des intranets d'entreprise.

L'authentification 802.1x garantit une sécurité élevée; cependant, il nécessite que le logiciel client 802.1x soit installé sur les terminaux des utilisateurs, ce qui entraîne un déploiement réseau rigide. Deux autres modes d'authentification NAC ont leurs avantages et leurs inconvénients: l'authentification de l'adresse MAC ne nécessite pas l'installation du logiciel client, mais les adresses MAC doivent être enregistrées sur un serveur d'authentification. L'authentification du portail ne nécessite pas non plus d'installation de logiciel client et offre un déploiement flexible, mais sa sécurité est faible.

Par conséquent, l'authentification 802.1x est appliquée aux scénarios avec de nouveaux réseaux, une distribution centralisée des utilisateurs et des exigences strictes de sécurité des informations.

Notes de configuration

   Le moteur Cisco Identity Services Engine (ISE) dans 2.0.0.306 fonctionne comme le serveur RADIUS dans cet exemple.

   Actuellement, le périphérique prend en charge les modes d'authentification CHAP, PAP, EAP-PEAP, EAP-FAST, EAP-TLS et EAP-MD5 pour les clients 802.1x.

   Les clés partagées d'authentification et de comptabilité RADIUS sur le commutateur doivent être les mêmes que celles sur l'ISE.

   Par défaut, le commutateur permet aux paquets du serveur RADIUS de passer. Vous n'avez pas besoin de configurer des règles sans authentification pour le serveur sur le commutateur.

Exigences de mise en réseau

Les entreprises ont des exigences élevées en matière de sécurité réseau. Pour empêcher tout accès non autorisé et protéger la sécurité des informations, une entreprise demande aux utilisateurs de réussir l'authentification d'identité et le contrôle de sécurité avant d'accéder au réseau de l'entreprise. Seuls les utilisateurs autorisés sont autorisés à accéder au réseau d'entreprise. Pour réduire l'investissement de reconstruction du réseau, il est conseillé de configurer la fonction d'authentification 802.1x sur le commutateur d'agrégation et de connecter un serveur d'authentification centralisé unique au commutateur d'agrégation en mode bypass.

Figure 1-1 Schéma de réseau pour configurer l'authentification 802.1x pour contrôler l'accès utilisateur interne

20170323112814693004.png

 

Plan de données

Tableau 1-1 Plan de données réseau

Article

Les données

ISE

Adresse IP: 192.168.100.100

Serveur de domaine post-authentification

Adresse IP: 192.168.102.100

Commutateur d'agrégation (SwitchA)

  VLAN auquel appartient 0/0/6 connecté au serveur: VLAN 100

  VLAN auquel appartiennent les interfaces aval GE0 / 0/1 et GE0 / 0/2: VLAN 200

Commutateur d'accès (SwitchC)

ID VLAN utilisateur: 200

Commutateur d'accès (SwitchD)

ID VLAN utilisateur: 200

 

Tableau 1-2 Plan de données du service de commutateur d'agrégation

Article

Les données

Schéma RADIUS

  Adresse IP du serveur d'authentification: 192.168.100.100

  Numéro de port du serveur d'authentification: 1812

  Adresse IP du serveur de comptabilité: 192.168.100.100

  Numéro de port du serveur de comptabilité: 1813

  Clé partagée pour le serveur RADIUS: Huawei @ 2014

  Intervalle comptable: 15 minutes

  Domaine d'authentification: isp

Numéro ACL du domaine de post-authentification

3002

 

Tableau 1-3 Plan de données de service ISE

Article

Les données

département

Département R & D

Accéder à l'utilisateur

Compte d'accès: A-123

Mot de passe: Huawei123

Groupe d'appareils

Groupe d'appareils câblés: commutateur

Changer d'adresse IP

SwitchA: 192.168.10.10

Clé d'authentification RADIUS

Huawei @ 2014

Clé de comptabilité RADIUS

Huawei @ 2014

 

Feuille de route de configuration

1.          Configurez le commutateur d'agrégation, y compris les interfaces des VLAN, les paramètres de connexion au serveur RADIUS, l'activation de l'authentification NAC et le droit d'accès au domaine de post-authentification.

20170323112815803005.jpg

Vérifiez les routes accessibles entre les commutateurs d'accès (SwitchC et SwitchD), le commutateur d'agrégation (SwitchA) et ISE.

2.          Configurez les commutateurs d'accès, y compris les VLAN et la transmission transparente 802.1x.

3.          Configurez l'ISE:

une.          Connectez-vous à l'ISE.

b.          Ajoutez un compte à l'ISE.

c.          Ajoutez des commutateurs à l'ISE.

ré.          Configurez les règles d'authentification, les résultats d'autorisation et les règles d'autorisation sur l'ISE.

Procédure

                               Étape 1     Configurez le commutateur d'agrégation.

1.          Créez des VLAN et configurez les VLAN autorisés par les interfaces afin que les paquets puissent être transférés.

<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] vlan batch 100 200
[SwitchA] interface gigabitethernet 0/0/1    
[SwitchA-GigabitEthernet0/0/1] port link-type trunk
[SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 200
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchA] interface gigabitethernet 0/0/2    
[SwitchA-GigabitEthernet0/0/2] port link-type trunk
[SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 200
[SwitchA-GigabitEthernet0/0/2] quit
[SwitchA] interface gigabitethernet 0/0/6    
[SwitchA-GigabitEthernet0/0/6] port link-type trunk
[SwitchA-GigabitEthernet0/0/6] port trunk allow-pass vlan 100
[SwitchA-GigabitEthernet0/0/6] quit
[SwitchA] interface vlanif 100
[SwitchA-Vlanif100] ip address 192.168.10.10 24    
[SwitchA-Vlanif100] quit
[SwitchA] interface vlanif 200
[SwitchA-Vlanif200] ip address 192.168.200.1 24    
[SwitchA-Vlanif200] quit
[SwitchA] ip route-static 192.168.100.0 255.255.255.0 192.168.10.11    
[SwitchA] ip route-static 192.168.102.0 255.255.255.0 192.168.10.11 

2.          Créez et configurez un modèle de serveur RADIUS, un schéma d'authentification AAA et un domaine d'authentification.

# Créez et configurez le modèle de serveur RADIUS rd1 .

[SwitchA] radius-server template rd1
[SwitchA-radius-rd1] radius-server authentication 192.168.100.100 1812
[SwitchA-radius-rd1] radius-server accounting 192.168.100.100 1813
[SwitchA-radius-rd1] radius-server shared-key cipher Huawei@2014
[SwitchA-radius-rd1] quit

# Créez un schéma d'authentification AAA abc et définissez le mode d'authentification sur RADIUS.

[SwitchA] aaa
[SwitchA-aaa] authentication-scheme abc
[SwitchA-aaa-authen-abc] authentication-mode radius
[SwitchA-aaa-authen-abc] quit

# Configurer un schéma comptable selon acco1 . Définissez le mode de comptabilité sur RADIUS afin que le serveur RADIUS puisse conserver l'état du compte, comme la connexion, la déconnexion et la déconnexion forcée.

[SwitchA-aaa] accounting-scheme acco1
[SwitchA-aaa-accounting-acco1] accounting-mode radius
[SwitchA-aaa-accounting-acco1] accounting realtime 15    
[SwitchA-aaa-accounting-acco1] quit

# Créez un domaine d'authentification isp et liez le schéma d'authentification AAA abc , le schéma de comptabilité acco1 et le modèle de serveur RADIUS rd1 au domaine.

[SwitchA-aaa] domain isp
[SwitchA-aaa-domain-isp] authentication-scheme abc
[SwitchA-aaa-domain-isp] accounting-scheme acco1
[SwitchA-aaa-domain-isp] radius-server rd1
[SwitchA-aaa-domain-isp] quit
[SwitchA-aaa] quit

# Configurez l' ISP de domaine par défaut global Pendant l'authentification d'accès, entrez un nom d'utilisateur au format utilisateur @ isp pour effectuer l'authentification AAA dans le domaine isp . Si le nom d'utilisateur ne contient pas de nom de domaine ou contient un nom de domaine non valide, l'utilisateur est authentifié dans le domaine par défaut.

[SwitchA] domain isp

3.          Activez l'authentification 802.1x.

# Réglez le mode NAC sur unifié.

[SwitchA] authentication unified-mode

20170323112815803005.jpg

Par défaut, le mode unifié est activé. Une fois le mode NAC modifié, enregistrez la configuration et redémarrez le périphérique pour que la configuration prenne effet.

# Activez l'authentification 802.1x sur GE0 / 0/1 et GE0 / 0/2.

[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-Gigabitethernet0/0/1] authentication dot1x    
[SwitchA-Gigabitethernet0/0/1] quit
[SwitchA] interface gigabitethernet 0/0/2
[SwitchA-Gigabitethernet0/0/2] authentication dot1x    
[SwitchA-Gigabitethernet0/0/2] quit

4.          Configurez ACL 3002 pour le domaine de post-authentification.

[SwitchA] acl 3002
[SwitchA-acl-adv-3002] description 3002.in   
[SwitchA-acl-adv-3002] rule 1 permit ip destination 192.168.102.100 0
[SwitchA-acl-adv-3002] rule 2 deny ip destination any
[SwitchA-acl-adv-3002] quit

                               Étape 2     Configurez les commutateurs d'accès.

1.          Créez des VLAN et configurez les VLAN autorisés par les interfaces afin que les paquets puissent être transférés. Cet exemple utilise SwitchC pour décrire la configuration. La configuration sur SwitchD est la même que celle sur SwitchC.

# Créez le VLAN 200.

<HUAWEI> system-view
[HUAWEI] sysname SwitchC
[SwitchC] vlan batch 200

# Configurez l'interface connectée aux utilisateurs comme interface d'accès et ajoutez l'interface au VLAN 200.

[SwitchC] interface gigabitethernet 0/0/1
[SwitchC-GigabitEthernet0/0/1] port link-type access
[SwitchC-GigabitEthernet0/0/1] port default vlan 200  
[SwitchC-GigabitEthernet0/0/1] quit
[SwitchC] interface gigabitethernet 0/0/2
[SwitchC-GigabitEthernet0/0/2] port link-type access
[SwitchC-GigabitEthernet0/0/2] port default vlan 200
[SwitchC-GigabitEthernet0/0/2] quit

# Configurez l'interface connectée au réseau en amont en tant qu'interface de jonction et configurez le pour autoriser le VLAN 200.

[SwitchC] interface gigabitethernet 0/0/3
[SwitchC-GigabitEthernet0/0/3] port link-type trunk
[SwitchC-GigabitEthernet0/0/3] port trunk allow-pass vlan 200
[SwitchC-GigabitEthernet0/0/3] quit

2.          Configurez le périphérique pour transmettre de manière transparente les paquets 802.1x. Cet exemple utilise SwitchC pour décrire la configuration. La configuration sur SwitchD est la même que celle sur SwitchC.

20170323112815803005.jpg

Dans cet exemple, SwitchC et SwitchD sont déployés entre le commutateur d'authentification SwitchA et les utilisateurs. La transmission transparente des paquets EAP doit être configurée sur SwitchC et SwitchD afin que SwitchA puisse effectuer une authentification 802.1x pour les utilisateurs.

           Méthode 1: les S5720EI, S5720HI et S6720EI ne prennent pas en charge cette méthode.

[SwitchC] l2protocol-tunnel user-defined-protocol 802.1X protocol-mac 0180-c200-0003 group-mac 0100-0000-0002
[SwitchC] interface gigabitethernet 0/0/1
[SwitchC-GigabitEthernet0/0/1] l2protocol-tunnel user-defined-protocol 802.1X enable
[SwitchC-GigabitEthernet0/0/1] bpdu enable
[SwitchC-GigabitEthernet0/0/1] quit
[SwitchC] interface gigabitethernet 0/0/2
[SwitchC-GigabitEthernet0/0/2] l2protocol-tunnel user-defined-protocol 802.1X enable
[SwitchC-GigabitEthernet0/0/2] bpdu enable
[SwitchC-GigabitEthernet0/0/2] quit
[SwitchC] interface gigabitethernet 0/0/3
[SwitchC-GigabitEthernet0/0/3] l2protocol-tunnel user-defined-protocol 802.1X enable
[SwitchC-GigabitEthernet0/0/3] bpdu enable
[SwitchC-GigabitEthernet0/0/3] quit

           Méthode 2: seuls les S5720EI, S5720HI et S6720EI prennent en charge cette méthode.

[SwitchC] undo bpdu mac-address 0180-c200-0000 FFFF-FFFF-FFF0
[SwitchC] bpdu mac-address 0180-c200-0000 FFFF-FFFF-FFFE
[SwitchC] bpdu mac-address 0180-c200-0002 FFFF-FFFF-FFFF
[SwitchC] bpdu mac-address 0180-c200-0004 FFFF-FFFF-FFFC
[SwitchC] bpdu mac-address 0180-c200-0008 FFFF-FFFF-FFF8

                               Étape 3     Configurez l'ISE.

1.          Connectez-vous à l'ISE.

une.          Ouvrez Internet Explorer, entrez l'adresse ISE dans la zone d'adresse et appuyez sur Entrée .

Le tableau suivant décrit les adresses pour accéder à l'ISE.

Format d'adresse

La description

https: // ISE-IP

Dans l'adresse, ISE-IP indique l'adresse ISE.

 

b.          Saisissez le nom d'utilisateur et le mot de passe configurés pour vous connecter à Cisco ISE.

2.          Créez un service et un compte.

une.          Choisissez Administration > Gestion des identités > Groupes . Dans la zone de navigation sur la gauche, choisissez Groupes d'identité utilisateur . Cliquez sur l' onglet Ajouter dans la zone d'opération à droite et ajoutez le RD du service .

20170323112816749006.jpg

20170323112817512007.jpg

b.          Choisissez Administration > Gestion des identités > Identités . Dans la zone de navigation à gauche, choisissez Utilisateurs . Cliquez sur l' onglet Ajouter dans la zone d'opération à droite, créez un compte A-123 avec le mot de passe Huawei123 et ajoutez l'utilisateur A au service RD .

20170323112818336008.jpg

20170323112818379009.png

3.          Ajoutez un commutateur à l'ISE et configurez les paramètres associés pour assurer une communication normale entre l'ISE et le commutateur.

une.          Dans la zone de navigation supérieure, choisissez Administration > Ressources réseau > Profils de périphériques réseau , cliquez sur l' onglet Ajouter . Créez le profil de périphérique d'accès HUAWEI , définissez le fournisseur sur Autre et sélectionnez RADIUS sous Protocoles pris en charge .

20170323112819704010.png

b.          Configurez l' authentification / autorisation et les autorisations conformément aux figures suivantes. Une fois la configuration terminée, cliquez sur Soumettre .

20170323112820687011.png

20170323112821153012.jpg

c.          Choisissez Administration > Ressources réseau > Périphériques réseau . Cliquez sur Ajouter dans la zone d'opération à droite, ajoutez le périphérique d'accès SwitchA et configurez les paramètres de SwitchA conformément au tableau suivant. Une fois la configuration terminée, cliquez sur Soumettre .

20170323112822255013.jpg

Paramètre

Valeur

La description

Nom

SwitchA

-

Adresse IP

192.168.10.10

L'interface sur le commutateur doit communiquer avec l'ISE.

Clé partagée RADIUS

Huawei @ 2014

Elle doit être identique à la clé d'authentification RADIUS et à la clé de comptabilité RADIUS configurées sur le commutateur.

 

20170323112823626014.png

4.          Configurez le protocole d'authentification par mot de passe.

           Dans la zone de navigation supérieure, choisissez Stratégie > Éléments de stratégie > Résultats . Dans la zone de navigation à gauche, choisissez Authentification > Protocoles autorisés . Cliquez sur Ajouter dans la zone d'opération à droite.

20170323112815803005.jpg

L'ISE fournit le profil de protocole d'authentification par défaut Accès réseau par défaut . Si le profil répond aux exigences réelles, vous n'avez pas besoin de créer un profil.

20170323112824535015.png

           Créez le profil de protocole Authentification pour l'authentification des utilisateurs. Sélectionnez les protocoles d'authentification appropriés en fonction des besoins réels. Une fois la configuration terminée, cliquez sur Soumettre .

20170323112824550016.png

5.          Configurez la stratégie d'authentification.

une.          Choisissez la stratégie > l' authentification . Les politiques d'authentification sont classées en politiques d'authentification simples et basées sur des règles. Une politique d'authentification simple est utilisée dans cet exemple.

b.          Cliquez sur la zone de liste déroulante Service d'accès au réseau . La boîte de dialogue Services d'accès réseau s'affiche. Cliquez sur Protocoles autorisés et choisissez Authentification .

20170323112825010017.png

6.          Ajoutez une règle d'autorisation.

une.          Dans la zone de navigation supérieure, choisissez Stratégie > Autorisation . Cliquez sur le triangle à côté de la première stratégie d'authentification et choisissez Insérer une nouvelle règle ci-dessus .

20170323112826195018.jpg

b.          Ajoutez un résultat d'autorisation et liez une règle d'autorisation au résultat d'autorisation.

20170323112827729019.jpg

c.          Cliquez sur l' onglet Enregistrer à droite. Cliquez sur Terminé .

20170323112828123020.png

                               Étape 4     Vérifiez la configuration.

   Un employé peut uniquement accéder à l'ISE avant de passer l'authentification.

   Après avoir réussi l'authentification, l'employé peut accéder aux ressources du domaine de post-authentification.

l Une    fois que l'employé a réussi l'authentification, exécutez la commande display access-user sur le commutateur. La sortie de la commande affiche des informations sur l'employé en ligne.

----Fin

Fichiers de configuration

   Fichier de configuration SwitchA

#
sysname SwitchA
#
vlan batch 100 200
#
domain isp
#
radius-server template rd1
 radius-server shared-key cipher %^%#FP@&C(&{$F2HTlPxg^NLS~KqA/\^3Fex;T@Q9A](%^%#
 radius-server authentication 192.168.100.100 1812 weight 80
 radius-server accounting 192.168.100.100 1813 weight 80
#
acl number 3002
 description 3002.in
 rule 1 permit ip destination 192.168.102.100 0
 rule 2 deny ip
#
aaa
 authentication-scheme abc
  authentication-mode radius
 accounting-scheme acco1
  accounting-mode radius
  accounting realtime 15
 domain isp
  authentication-scheme abc
  accounting-scheme acco1
  radius-server rd1
#
interface Vlanif100
 ip address 192.168.10.10 255.255.255.0
#
interface Vlanif200
 ip address 192.168.200.1 255.255.255.0
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 200
 authentication dot1x
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 200
 authentication dot1x
#
interface GigabitEthernet0/0/6
 port link-type trunk
 port trunk allow-pass vlan 100
#
ip route-static 192.168.100.0 255.255.255.0 192.168.10.11
ip route-static 192.168.102.0 255.255.255.0 192.168.10.11
#
return

   Fichier de configuration SwitchC

#
sysname SwitchC
#
vlan batch 200
#
l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 200
 l2protocol-tunnel user-defined-protocol 802.1x enable
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 200
 l2protocol-tunnel user-defined-protocol 802.1x enable
#
interface GigabitEthernet0/0/3
 port link-type trunk
 port trunk allow-pass vlan 200
 l2protocol-tunnel user-defined-protocol 802.1x enable
#
return




  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Communauté de Support de Huawei Entreprise
Communauté de Support de Huawei Entreprise
Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.