Exemple de configuration de l'autorisation utilisateur basée sur ACL ou la livraison dynamique de VLAN

194 0 0 0

Vue d'ensemble

Une fois qu'un utilisateur 802.1x est authentifié avec succès sur un serveur RADIUS, le serveur envoie des informations d'autorisation au périphérique d'accès de l'utilisateur. Lorsque Agile Controller-Campus fonctionne comme un serveur RADIUS, il peut fournir plusieurs paramètres d'autorisation.

l    Les autorisations basées sur les ACL sont classées en autorisations basées sur les numéros d'ACL (basées sur les ACL statiques) et en autorisations basées sur les ACL dynamiques.

-            Numéro ACL: si la livraison du numéro ACL est configurée sur le serveur, les informations d'autorisation envoyées au périphérique d'accès incluent le numéro ACL. Le dispositif d'accès correspond aux règles ACL basées sur le numéro ACL fourni pour contrôler les droits de l'utilisateur.

L'attribut RADIUS utilisé pour la remise du numéro de liste de contrôle d'accès est (011) ID filtre.

-            ACL dynamique: le serveur fournit des règles dans une ACL au périphérique. Les utilisateurs peuvent accéder aux ressources réseau contrôlées à l'aide de cette liste de contrôle d'accès. Les règles ACL et ACL doivent être configurées sur le serveur. La liste de contrôle d'accès n'a pas besoin d'être configurée sur le périphérique.

L'attribut RADIUS utilisé pour la livraison de la liste de contrôle d'accès dynamique est l'attribut RADIUS étendu Huawei (26-82) HW-Data-Filter.

l    VLAN dynamique: si la livraison dynamique de VLAN est configurée sur le serveur, les informations d'autorisation envoyées au périphérique d'accès incluent l'attribut VLAN. Une fois que le périphérique d'accès a reçu les informations d'autorisation, il change le VLAN de l'utilisateur en VLAN livré.

Le VLAN fourni ne change ni n'affecte la configuration de l'interface. Cependant, le VLAN fourni a priorité sur le VLAN configuré sur l'interface. C'est-à-dire que le VLAN livré prend effet après l'authentification et que le VLAN configuré prend effet après que l'utilisateur se soit déconnecté.

Les attributs RADIUS suivants sont utilisés pour la livraison dynamique de VLAN:

-            (064) Type de tunnel (doit être défini sur VLAN ou 13.)

-            (065) Tunnel-Medium-Type (Il doit être réglé sur 802 ou 6).

-            (081) ID de groupe de tunnels privés (il peut s'agir d'un ID de VLAN ou d'un nom de VLAN.)

Pour vous assurer que le serveur RADIUS fournit correctement les informations de VLAN, vous devez utiliser les trois attributs RADIUS. De plus, les attributs Type de tunnel et Type de tunnel doivent être définis sur les valeurs spécifiées.

20170323112026784004.jpg

Ce qui suit utilise le numéro ACL et la livraison dynamique de VLAN comme exemple. Les différences de configuration entre la livraison du numéro de LCA et la livraison de la LCA dynamique sont décrites dans les remarques.

Notes de configuration

Cet exemple s’applique à tous les commutateurs de la série S.

20170323112026784004.jpg

Pour en savoir plus sur les mappages de logiciels, voir Recherche de mappage de versions pour les commutateurs Huawei Campus.

Pour que l'autorisation basée sur un VLAN prenne effet, le type de lien et le mode de contrôle d'accès de l'interface d'authentification sont les suivants:

l    Si le type de lien d'interface est hybride et que l'interface a été ajoutée à un VLAN en mode untagged, le mode de contrôle d'accès peut être basé sur une adresse MAC ou sur une interface.

l    Si le type de lien d'interface est access ou trunk, le mode de contrôle d'accès peut uniquement être interface-based.

Exigences de mise en réseau

Comme le montre la figure 1-1 , un grand nombre de terminaux d'employés d'une entreprise se connectent à l'intranet via GE0/0/1 sur SwitchA. Pour assurer la sécurité du réseau, l'administrateur doit contrôler les droits d'accès au réseau des terminaux.Les exigences sont les suivantes:

l    Avant de passer l'authentification, les terminaux peuvent accéder au serveur public (avec l'adresse IP 192.168.40.1), télécharger le client 802.1x ou mettre à jour la base antivirus.

l    Une fois l'authentification réussie, les terminaux peuvent accéder au serveur de service (avec l'adresse IP 192.168.50.1) et aux périphériques du laboratoire (avec l'ID de VLAN 20 et le segment d'adresse IP 192.168.20.10 à 192.168.20.100).

Figure 1-1 Schéma de réseau d'accès filaire

20170323112027645005.png

 

Plan de données

Tableau 1-1 Plan de données de service pour le commutateur d'accès

Article

Les données

Schéma RADIUS

l   Adresse IP du serveur d'authentification: 192.168.30.1

l   Numéro de port du serveur d'authentification: 1812

l   Adresse IP du serveur de comptabilité: 192.168.30.1

l   Numéro de port du serveur de comptabilité: 1813

l   Clé partagée pour le serveur RADIUS: Huawei@123

l   Intervalle de comptabilisation: 15 minutes

l   Domaine d'authentification: huawei

Ressources accessibles aux utilisateurs avant l'authentification

Les droits d'accès au serveur public sont configurés à l'aide d'une règle sans authentification. Le nom du profil de règle sans authentification est default_free_rule.

Ressources accessibles aux utilisateurs après authentification

Les droits d'accès au laboratoire sont accordés à l'aide d'un VLAN dynamique. L'ID de VLAN est 20.

Les droits d'accès au serveur de service sont attribués à l'aide d'un numéro de liste de contrôle d'accès. Le numéro ACL est 3002.

 

Tableau 1-2 Plan de données de service pour le contrôleur agile-campus agile

Article

Les données

département

Département R & D

Accéder à l'utilisateur

Nom d'utilisateur: A

Compte d'accès filaire: A-123

Mot de passe: Huawei123

Changer d'adresse IP

SwitchA: 10.10.10.1

Clé d'authentification RADIUS

Huawei@123

Clé de comptabilité RADIUS

Huawei@123

 

 Configuration Roadmap

1.          Configurez le commutateur d'accès, y compris les interfaces des VLAN, les paramètres de connexion au serveur RADIUS, l'activation de NAC et les droits d'accès réseau que les utilisateurs obtiennent après avoir réussi l'authentification.

20170323112026784004.jpg

Dans cet exemple, assurez-vous qu'il existe des itinéraires accessibles entre SwitchA, SwitchB, les serveurs, le laboratoire et les terminaux des employés.

2          Configurez le contrôleur-campus agile.

une.          Connectez-vous à Agile Controller-Campus.

b.          Ajoutez un compte au contrôleur agile-campus.

c.          Ajoutez des commutateurs au contrôleur-campus agile.

ré.          Configurez les résultats et les règles d'autorisation sur Agile Controller-Campus.

Procédure

                               Étape 1      Configurez le commutateur d'accès SwitchA.

1.          Créez des VLAN et configurez les VLAN autorisés sur les interfaces pour assurer la connectivité du réseau.

<HUAWEI> system-view 
[HUAWEI] sysname SwitchA 
[SwitchA] vlan batch 10 20 
[SwitchA] interface gigabitethernet 0/0/1     
[SwitchA-GigabitEthernet0/0/1] port link-type hybrid 
[SwitchA-GigabitEthernet0/0/1] port hybrid pvid vlan 10 
[SwitchA-GigabitEthernet0/0/1] port hybrid untagged vlan 10 
[SwitchA-GigabitEthernet0/0/1] quit 
[SwitchA] interface gigabitethernet 0/0/2     
[SwitchA-GigabitEthernet0/0/2] port link-type hybrid 
[SwitchA-GigabitEthernet0/0/2] port hybrid untagged vlan 20 
[SwitchA-GigabitEthernet0/0/2] quit 
[SwitchA] interface gigabitethernet 0/0/3     
[SwitchA-GigabitEthernet0/0/3] port link-type trunk 
[SwitchA-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20 
[SwitchA-GigabitEthernet0/0/3] quit 
[SwitchA] interface loopback 1 
[SwitchA-LoopBack1] ip address 10.10.10.1 24     
[SwitchA-LoopBack1] quit 

2          Créez et configurez un modèle de serveur RADIUS, un schéma d'authentification AAA et un domaine d'authentification.

# Créez et configurez le modèle de serveur RADIUS rd1 .

[SwitchA] radius-server template rd1 
[SwitchA-radius-rd1] radius-server authentication 192.168.30.1 1812 
[SwitchA-radius-rd1] radius-server accounting 192.168.30.1 1813 
[SwitchA-radius-rd1] radius-server shared-key cipher Huawei@123 
[SwitchA-radius-rd1] quit 

# Créez le schéma d'authentification AAA abc et définissez le mode d'authentification sur RADIUS.

[SwitchA] aaa 
[SwitchA-aaa] authentication-scheme abc 
[SwitchA-aaa-authen-abc] authentication-mode radius 
[SwitchA-aaa-authen-abc] quit

# Configurez le schéma de comptabilisation acco1 et définissez le mode de comptabilisation sur RADIUS.

[SwitchA-aaa] accounting-scheme acco1 
[SwitchA-aaa-accounting-acco1] accounting-mode radius 
[SwitchA-aaa-accounting-acco1] accounting realtime 15 
[SwitchA-aaa-accounting-acco1] quit

# Créez le domaine d'authentification huawei et liez le schéma d'authentification AAA abc , le schéma de comptabilisation acco1 et le modèle de serveur RADIUS rd1 au domaine.

[SwitchA-aaa] domain huawei 
[SwitchA-aaa-domain-huawei] authentication-scheme abc 
[SwitchA-aaa-domain-huawei] accounting-scheme acco1 
[SwitchA-aaa-domain-huawei] radius-server rd1 
[SwitchA-aaa-domain-huawei] quit 
[SwitchA-aaa] quit

3          Configurez un profil de règle sans authentification.

[SwitchA] free-rule-template name default_free_rule 
[SwitchA-free-rule-default_free_rule] free-rule 10 destination ip 192.168.40.0 mask 24 
[SwitchA-free-rule-default_free_rule] quit 

4          Activer l'authentification 802.1x.

# Définissez le mode NAC sur unifié.

[SwitchA] authentication unified-mode

20170323112026784004.jpg

Par défaut, le mode unifié est activé. Avant de changer le mode NAC, vous devez enregistrer la configuration. Une fois le mode modifié et le périphérique redémarré, les fonctions du mode nouvellement configuré prennent effet.

# Configurez le profil d'accès 802.1x d1 .

[SwitchA] dot1x-access-profile name d1 
[SwitchA-dot1x-access-profile-d1] quit

# Configurez le profil d’authentification p1 , liez le profil d’accès 802.1x d1 et le profil de règles sans authentification default_free_rule au profil d’authentification, spécifiez le domaine huawei comme domaine d’authentification forcée dans le profil d’authentification et définissez le mode d’accès utilisateur sur multi-authen. .

[SwitchA] authentication-profile name p1 
[SwitchA-authen-profile-p1] dot1x-access-profile d1 
[SwitchA-authen-profile-p1] free-rule-template default_free_rule 
[SwitchA-authen-profile-p1] access-domain huawei force 
[SwitchA-authen-profile-p1] authentication mode multi-authen 
[SwitchA-authen-profile-p1] quit

# Liez le profil d’authentification p1 à GE0 / 0/1 et activez l’authentification 802.1x sur l’interface.

[SwitchA] interface gigabitethernet 0/0/1 
[SwitchA-GigabitEthernet0/0/1] authentication-profile p1 
[SwitchA-GigabitEthernet0/0/1] quit 


5          Configurez le paramètre d'autorisation ACL 3002 pour les utilisateurs qui ont réussi l'authentification.

20170323112026784004.jpg

En mode ACL dynamique, cette étape n'a pas besoin d'être configurée sur le périphérique.

[SwitchA] acl 3002 
[SwitchA-acl-adv-3002] rule 1 permit ip destination 192.168.30.1 0 
[SwitchA-acl-adv-3002] rule 2 permit ip destination 192.168.50.1 0 
[SwitchA-acl-adv-3002] rule 3 deny ip destination any 
[SwitchA-acl-adv-3002] quit

                               Étape 2      Configurez le contrôleur-campus agile.

1.          Connectez-vous à Agile Controller-Campus.

a.          Ouvrez Internet Explorer, entrez l'adresse d'accès Agile Controller-Campus dans la barre d'adresse, puis appuyez sur Entrée .

Le tableau suivant décrit les adresses permettant d’accéder à Agile Controller-Campus.

Mode d'accès

La description

https://Agile Controller-Campus-IP:8443

Agile Controller-Campus-IP spécifie l'adresse IP d'Agile Controller-Campus.

Adresse IP du contrôleur agile-campus

Si le port 80 est activé lors de l'installation, vous pouvez accéder à Agile Controller-Campus en entrant son adresse IP sans le numéro de port. L'URL Agile Controller-Campus passera automatiquement à https://Agile Controller-Campus-IP:8443.

 

b.          Entrez le nom d'utilisateur et le mot de passe de l'administrateur.

Si vous vous connectez à Agile Controller-Campus pour la première fois, utilisez le nom d'utilisateur du super administrateur admin et le mot de passe Changeme123 . Modifiez le mot de passe immédiatement après vous être connecté. Sinon, Agile Controller-Campus ne peut pas être utilisé.

2          Créez un département et un compte.

a.          Choisissez Resource > User > User Management .

b.          Cliquez sur l'onglet Department dans la zone des opérations à droite, puis cliquez sur Add sous l'onglet Department pour ajouter un département R&D.

20170323112028886006.png

c.          Cliquez sur l'onglet User dans la zone d'opération à droite, puis cliquez sur Add sous l'onglet user pour ajouter un utilisateur A.

20170323112028053007.png

ré.          Cliquez sur 20170323112029363008.png à côté de l'utilisateur A en Operation pour accéder à la Account Management . Cliquez sur Add .Créez un compte commun A-123 et définissez le mot de passe sur Huawei123 .

20170323112030081009.png

e.          Dans l'onglet User , sélectionnez l'utilisateur A. Cliquez sur Transfer pour ajouter l'utilisateur A au département R&D.

20170323112031726010.png

3          Ajoutez des commutateurs à Agile Controller-Campus afin qu'ils puissent communiquer avec Agile Controller-Campus.

Choisissez Resource > Device > Device Management. Cliquez sur Add dans la zone d'opération à droite. Définissez les paramètres de connexion sur la page Add Device.

20170323112032957011.png

4          Ajouter un résultat d'autorisation.

20170323112026784004.jpg

Effectuez cette étape pour le numéro ACL et la livraison du VLAN.

a.          Choisissez Policy > Permission Control > Authentication and Authorization > Authorization Result, puis cliquez sur Add pour créer un résultat d'autorisation.

b.          Configurez les informations de base pour le résultat de l'autorisation.

Paramètre

Valeur

La description

prénom

Informations d'autorisation pour les utilisateurs authentifiés

-

Type de service

Service d'accès

-

VLAN

20

Le VLAN doit être identique à celui configuré pour les employés de R & D sur le commutateur.

Numéro ACL / groupe d'utilisateurs AAA

3002

Le numéro de la liste de contrôle d'accès doit être identique à celui de la liste de contrôle d'accès configurée pour les employés de recherche et développement du commutateur.

 

20170323112033943012.png

5          Ajouter un résultat d'autorisation.

20170323112026784004.jpg

Effectuez cette étape pour la remise dynamique de listes de contrôle d'accès et de VLAN

a.          Ajoutez une liste de contrôle d'accès dynamique.

i.           Choisissez Policy > Permission Control > Policy Element > Dynamic ACL .

ii.         Cliquez sur Add .

iii.       Configurez les informations de base pour la liste de contrôle d'accès dynamique, puis cliquez sur Add dans Rule List.

iv.        Configurez les attributs contenus dans la liste de contrôle d'accès dynamique.

20170323112034227013.png

b.          Choisissez Policy > Permission Control > Authentication and Authorization > Authorization Result, puis cliquez sur Add pour créer un résultat d'autorisation.

c.          Configurez les informations de base pour le résultat de l'autorisation.

Paramètre

Valeur

La description

prénom

Informations d'autorisation pour les utilisateurs qui ont réussi l'authentification

-

Type de service

Service d'accès

-

VLAN

20

L'ID de VLAN doit être identique à l'ID de VLAN configuré pour les employés de R & D sur le commutateur.

ACL dynamique

3002

-

 

20170323112035030014.png

6          Ajoutez une règle d'autorisation.

Une fois l’authentification réussie, la phase d’autorisation commence. Agile Controller-Campus accorde à l'utilisateur des droits d'accès basés sur la règle d'autorisation.

une.          Choisissez Policy > Permission Control > Authentication and Authorization > Authorization Rulepuis cliquez sur Add pour créer une règle d'autorisation.

b.          Configurez les informations de base pour la règle d'autorisation.

Paramètre

Valeur

La description

prénom

Règle d'autorisation pour les utilisateurs authentifiés

-

Type de service

Service d'accès

-

département

Département R & D

-

Résultat de l'autorisation

Informations d'autorisation pour les utilisateurs authentifiés

-

 

20170323112035528015.png

                               Étape 3      Vérifiez la configuration.

l    Un employé peut uniquement accéder au serveur Agile Controller-Campus et au serveur public avant de passer à l'authentification.

l    Un employé peut accéder au serveur Agile Controller-Campus, au serveur public, au serveur de service et au laboratoire après avoir réussi l'authentification.

l    Une fois l'authentification réussie, exécutez la commande display access-user sur le commutateur. La sortie de la commande affiche des informations sur l'employé en ligne.

----Fin

le fichier de configuration du commutateur

# 
sysname SwitchA 
# 
vlan lot 10 20 
# 
Nom du profil d'authentification p1 
dot1x-access-profile d1 
free-rule-template default_free_rule 
domaine d'accès force Huawei 
# 
modèle de serveur radius rd1 
chiffrement à clé partagée du serveur Radius% ^% # FP @ & C (& {$ F2HTlPxg ^ NLS ~ KqA / \ ^ 3Fex; T @ Q9A] (% ^% # 
authentification serveur radius 192.168.30.1 1812 poids 80 
comptabilité par serveur radius 192.168.30.1 1813 poids 80 
# 
acl numéro 3002 
règle 1 permis ip destination 192.168.30.1 0 
règle 2 autorisation ip destination 192.168.50.1 0 
règle 3 refuser ip 
# 
nom de modèle de règle libre default_free_rule 
adresse libre de destination de l'adresse 192 192.168.40.0 masque 255.255.255.0 
# 
aaa 
schéma d'authentification abc 
rayon de mode d'authentification 
schéma comptable 
rayon de mode de comptabilité 
comptabilité en temps réel 15 
domaine huawei 
schéma d'authentification abc 
schéma comptable 
radius-server rd1 
# 
interface GigabitEthernet0 / 0/1 
hybride de type liaison de port 
port hybride pvid vlan 10 
port hybride sans étiquette vlan 10 
profil d'authentification p1 
# 
interface GigabitEthernet0 / 0/2 
hybride de type liaison de port 
port hybride sans étiquette vlan 20 
# 
interface GigabitEthernet0 / 0/3 
coffre de type liaison de port 
port trunk allow-pass vlan 10 20 
# 
interface LoopBack1 
adresse ip 10.10.10.1 255.255.255.0 
# 
nom de profil d'accès-dot1x d1 
# 
revenir


  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier