Exemple pour configurer l'autorisation d'utilisateur sur la base d'ACL ou de VLAN dynamique (V200R005C00-V200R008C00)

36 0 0 0


Vue d'ensemble

L'exemple suivant utilise l'autorisation basée sur ACL et VLAN dynamique pour décrire comment mettre en œuvre l'autorisation pour les utilisateurs terminaux via le serveur Cisco Identity Services Engine (ISE).

l L'autorisation basée sur ACL est classée comme suit :

Autorisation basée sur la description ACL : Si l'autorisation basée sur la description ACL est configurée sur le serveur, les informations d'autorisation comprennent la description ACL. Le dispositif correspond aux règles ACL sur la base de la description ACL autorisée par le serveur pour contrôler les droits de l'utilisateur. Le numéro ACL, la description correspondante et la règle ACL doivent être configurés sur le dispositif.

L'attribut RADIUS standard (011) Filtre-Id est used

Autorisation dynamique basée sur ACL : Le serveur autorise des règles dans un ACL au dispositif. Les utilisateurs peuvent accéder à des ressources de réseau contrôlées à l'aide de cette ACL. Les règles ACL et ACL doivent être configurées sur le serveur. L'ACL n'a pas besoin d'être configurée sur le dispositif.

L'attribut RADIUS propriétaire Huawei (26-82) HW-Data-Filter est utilisé.

l VLAN dynamique : Si la livraison VLAN dynamique est configurée sur le serveur, les informations d'autorisation comprennent l'attribut VLAN livré. Après que le dispositif reçoit l'attribut VLAN livré, il modifie le VLAN de l'utilisateur vers le VLAN livré. Le VLAN dynamique peut être livré par l'ID VLAN et la description VLAN.

Le VLAN livré ne change pas ou n'affecte pas la configuration de l'interface. Cependant, le VLAN livré a priorité sur le VLAN configuré sur l'interface. C'est-à-dire que le VLAN livré prend effet après la réussite de l'authentification, et que le VLAN configuré prend effet après que l'utilisateur soit hors ligne.

Les attributs RADIUS standards suivants sont utilisés pour la livraison VLAN dynamique :

(064) Type de tunnel (Il doit être réglé à VLAN ou 13.)

(065) Tunnel-Medium-Type (Il doit être fixé à 802 ou 6.)

(081) tunnel-private-group-ID (il peut s'agir d'un ID VLAN ou d'un nom VLAN.)

Pour s'assurer que le serveur RADIUS fournit correctement les informations VLAN, tous les trois attributs RADIUS doivent être utilisés. En outre, les attributs Tunnel-Type et Tunnel-Medium-Type doivent être réglés aux valeurs spécifiées.

Notes de configuration

La version du serveur ISE Cisco dans cet exemple est 1.4.0.253.

Lors de la configuration du serveur Cisco ISE pour fonctionner comme le serveur RADIUS et se connecter au dispositif pour mettre en œuvre l'autorisation, faites attention aux points suivants :

l L'autorisation peut être mise en œuvre à l'aide des attributs RADIUS standards et des attributs RADIUS exclusifs Huawei, et ne peut pas être mise en oeuvre à l'aide des attributs RADIUS exclusifs Cisco. Si un attribut RADIUS propriétaire Huawei est utilisé pour l'autorisation, vous devez ajouter manuellement la valeur d'attribut RADIUS propriétaire sur le serveur Cisco ISE.

· Si l'autorisation basée sur la description ACL est utilisée et que la zone de texte de ACL (Filter-ID) est suivie du suffixe .in après la sélection de ACL (Filter-ID) et que la description est ajoutée au serveur Cisco ISE, configurez la description de l'ACL. comme abc.in sur les commutateurs Huawei.

l L'autorisation dynamique basée sur ACL utilise l'attribut RADIUS propriétaire Huawei HW-Data-Filter pour l'autorisation, et ne supporte pas l'autorisation par l'intermédiaire d'un attribut RADIUS propriétaire de Cisco.

l Après l'ajout de l'attribut RADIUS propriétaire de Huawei HW-Data-Filter sur le serveur Cisco ISE, les deux identifiants Filter et HW-Data-Filter existent in le profile d'autorisation, seul Filter-ID peut être livré, et HW-Data-Filter ne peut être delivered

l Si l'autorisation basée sur la description ACL est utilisée, la description configurée sur le serveur Cisco ISE et configurée sur le dispositif ne peut dépasser 127 octets car la longueur de description maximale supportée par le serveur Cisco ISE est de 252 octets et celle supportée par le dispositif est de 127 octets.

l Si une autorisation basée sur VLAN dynamique est utilisée par la description VLAN, la description configurée sur le serveur ISE Cisco et configurée sur le dispositif ne peut dépasser 32 octets car la longueur de description maximale supportée par le serveur Cisco ISE est de 32 octets et celle supportée par le dispositif est de 80 octets.

Exigences en matière de réseaux

Dans la figure 1-1 un grand nombre de terminaux d'employés dans une entreprise se connectent à l'intranet par l'intermédiaire de GE1/0 / 1 sur SwitchA. Pour assurer la sécurité du réseau, l'administrateur doit contrôler les droits d'accès au réseau des terminaux. Les exigences sont les suivantes :

l Avant de passer l'authentification, les terminaux peuvent accéder au serveur public (avec l'adresse IP 192.168.40.1), et télécharger le client 802.1x ou mettre à jour la base de données antivirus.

l Après l'authentification, les terminaux peuvent accéder au serveur de service (avec l'adresse IP 192.168.50.1) et les dispositifs en laboratoire (avec le segment d'adresse IP VLAN ID 20 and 192.168.20.10-192.168.20.100).

Figure 1-1 Diagramme de mise en réseau d'accès Wired

20170323142950388004.png

Plan de données

Tableau 1-1 Plan de données de service pour le commutateur d'accès

Article

Données

Schéma de rayon

l Adresse IP du serveur d'authentification : 192.168.30.1

l Numéro de port du serveur d'authentification : 1812

l Adresse IP du serveur comptable : 192.168.30.1

l Numéro de port du serveur comptable : 1813

l Clé partagée pour le serveur RADIUS : Huawei @ 123

l Authentication domain : Huawei

Ressources accessibles aux utilisateurs avant l'authentification

Les droits d'accès au serveur public sont configurés à l'aide d'une règle sans authentification.

Ressources accessibles aux utilisateurs après authentification

Les droits d'accès au laboratoire sont accordés à l'aide d'un VLAN dynamique. L'ID VLAN est de 20.

Les droits d'accès au serveur de service sont accordés à l'aide d'un ACL. Le numéro ACL est 3002 et la description est 3002.in.

Plan de données de service table 1-2pour le serveur Cisco ISE

Article

Données

Département

Département de R&D

Utilisateur d'accès

Nom de l'utilisateur : A-123

Mot de passe Huawei123

Activer l'adresse IP

SwitchA 10.10.10.1

Clé d'authentification radius

Huawei @ 123

Clé de comptabilité radius

Huawei @ 123

Plan de configuration

1.Configurer le commutateur d'accès, y compris les interfaces VLAN, appartiennent à des paramètres de connexion au serveur RADIUS, permettant aux NAC et aux utilisateurs de droits d'accès au réseau d'obtenir après l'authentification.

20170323142951172005.jpg

Dans cet exemple, assurez-vous qu'il existe des itinéraires accessibles entre SwitchA et SwitchB, les serveurs, les laboratoires et les terminaux des employés.

2.Configurer le serveur ISE Cisco.

A. Log dans le serveur ISE de Cisco.

B. Ajouter des utilisateurs sur le serveur ISE de Cisco.

C. Ajouter des commutateurs sur le serveur ISE Cisco.

D. Configurer le protocole d'authentification de mot de passe sur le serveur ISE de Cisco.

E. Configurer la politique d'authentification sur le serveur ISE Cisco.

F. Configurer la politique d'autorisation sur le serveur ISE Cisco.

Procédure

Etape 1 : Configurer le commutateur d'accès A

1.Créer des VLAN et configurer les VLAN autorisés sur les interfaces pour assurer la connectivité réseau.

<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] vlan batch 10 20
[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] port link-type hybrid
[SwitchA-GigabitEthernet0/0/1] port hybrid pvid vlan 10
[SwitchA-GigabitEthernet0/0/1] port hybrid untagged vlan 10
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchA] interface gigabitethernet 0/0/2
[SwitchA-GigabitEthernet0/0/2] port link-type hybrid
[SwitchA-GigabitEthernet0/0/2] port hybrid untagged vlan 20
[SwitchA-GigabitEthernet0/0/2] quit
[SwitchA] interface gigabitethernet 0/0/3
[SwitchA-GigabitEthernet0/0/3] port link-type trunk
[SwitchA-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20
[SwitchA-GigabitEthernet0/0/3] quit
[SwitchA] interface loopback 1
[SwitchA-LoopBack1] ip address 10.10.10.1 24
[SwitchA-LoopBack1] quit

2.Créer et configurer un modèle de serveur RADIUS, un système d'authentification AAA et un domaine d'authentification.

# Créer et configurer le serveur RADIUS templaterd1.

[SwitchA] radius-server template rd1
[SwitchA-radius-rd1] radius-server authentication 192.168.30.1 1812
[SwitchA-radius-rd1] radius-server accounting 192.168.30.1 1813
[SwitchA-radius-rd1] radius-server shared-key cipher Huawei@123
[SwitchA-radius-rd1] quit

# Créez le schéma d'authentification AAA abc et définissez le mode d'authentification à RADIUS.

[SwitchA] aaa
[SwitchA-aaa] authentication-scheme abc
[SwitchA-aaa-authen-abc] authentication-mode radius
[SwitchA-aaa-authen-abc] quit

# Configurer le schéma comptable acco1 et définir le mode comptable à RADIUS.

[[SwitchA-aaa] accounting-scheme acco1
[SwitchA-aaa-accounting-acco1] accounting-mode radius
[SwitchA-aaa-accounting-acco1] quit

# Créer un domaine d’authentification huawei, et lier le schéma d'authentification AAA, le schéma comptable 1 et le serveur RADIUS templaterd1au domaine.

[SwitchA-aaa] domain huawei
[SwitchA-aaa-domain-huawei] authentication-scheme abc
[SwitchA-aaa-domain-huawei] accounting-scheme acco1
[SwitchA-aaa-domain-huawei] radius-server rd1
[SwitchA-aaa-domain-huawei] quit
[SwitchA-aaa] quit

3.Activer l'authentification 802.1x.

# Set le mode NAC à unifier.

[SwitchA] authentication unified-mode

20170323142951172005.jpg

Par défaut, le mode unifié est activé. Avant de changer le mode NAC, vous devez enregistrer la configuration. Après avoir modifié le mode NAC, redémarrez le dispositif pour que la configuration prenne effet.

# Configurer une règle sans authentification pour permettre aux utilisateurs d'accéder au serveur public avant de passer l'authentification.

[SwitchA] authentication free-rule 10 destination ip 192.168.40.1 mask 32

# Activer l'authentification 802.1x sur GE0/0 / 1. Spécifiez le domaine d'authentification huawei pour les utilisateurs qui vont online sur l'interface, et définissez le protocole d'authentification à EAP.

[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] domain name huawei force
[SwitchA-GigabitEthernet0/0/1] authentication dot1x
[SwitchA-GigabitEthernet0/0/1] dot1x authentication-method eap
[SwitchA-GigabitEthernet0/0/1] quit

4.Configurer le paramètre d'autorisation ACL 3002 pour les utilisateurs qui passent l'authentification.

[SwitchA] acl 3002
[SwitchA-acl-adv-3002] description 3002.in
[SwitchA-acl-adv-3002] rule 1 permit ip destination 192.168.30.1 0
[SwitchA-acl-adv-3002] rule 2 permit ip destination 192.168.50.1 0
[SwitchA-acl-adv-3002] rule 3 deny ip destination any
[SwitchA-acl-adv-3002] quit

Etape 2 : Configurer le serveur Step 2 de Cisco.

1.Log dans le serveur ISE Cisco.

A.Ouvrir l'Internet Explorer, entrez l'adresse d'accès du serveur ISE Cisco dans la barre d'adresse et pressEnter.

Mode d'accès

Description

https://Cisco ISE-IP

/Cisco ISE-IP spécifie l'adresse IP du Cisco ISE de Cisco ISE.

B.Inscrivez le nom d'utilisateur et le mot de passe de l'administrateur pour se connecter au serveur Cisco server.

20170323142952068006.png

2.Créer un groupe d'utilisateurs et un utilisateur.

A.Choisir Administration > Identity Management > Groups. Cliquer Add dans la zone d'opération à droite, et créer le groupe d'utilisateurs R&D.

20170323142953802007.jpg

20170323142954576008.jpg

B. Choisir Administration > Identity Management > Identities. Cliquer Add dans la zone d'opération à droite, créer un utilisateur avec le nom d'utilisateur A-123 et mot de passe Huawei123 et ajouter l'utilisateur au groupe d'utilisateurs R&D.

20170323142955935009.jpg

20170323142956022010.png

3.Ajouter des commutateurs sur le serveur Cisco de sorte que le serveur Cisco ISE puisse s'associer correctement aux commutateurs.

Choisir Administration > Network Resources > Network Devices. Cliquer Add dans la zone d'opération sur le droit d'accéder à la page New Network Device. Ajoutez des périphériques d'accès au réseau et définissez les paramètres de connexion du dispositif sur la page.

Paramètre

Valeur

Description

Nom

SwitchA

-

Adresse IP

10.10.10.1/32

L'interface sur le commutateur doit communiquer avec le serveur Cisco ISE.

Secret partagé

Huawei@123

La clé partagée doit être la même que la clé partagée configurée pour les employés de R&D sur le commutateur.

20170323142956571011.png

20170323142957762012.png

4.Configurer le protocole d'authentification de mot de passe.

Choisir Policy > Policy Elements > Result. Choisir Authentication > Allowed Protocols dans la zone d'opération à gauche pour accéder à la page Allowed Protocols Services. Cliquer Add dans la zone d'opération à droite, créer un mode d'accès au réseau et sélectionner le protocole d'authentification de mot de passe autorisé.

Lors de la connexion à un serveur ISE Cisco, le commutateur prend en charge les modes d'authentification EAP, PAP et CHAP. Si le commutateur est configuré avec le mode d'authentification EAP et se connecte au serveur ISE Cisco, le commutateur ne prend pas en charge les modes EAP-LEAP et EAP-FAST.

20170323142958768013.jpg

20170323142959380014.png

5.Configurer la politique d'authentification.

Choisir Policy > Authentication. Les politiques d'authentification sont classées en politiques d'authentification simples et basées sur des règles. Par rapport au mode simple, le mode basé sur les règles peut correspondre à plusieurs modes d'accès au réseau (c'est-à-dire les protocoles autorisés). Le mode simple est utilisé dans cet exemple. Sélectionner 802.1X qui est le mode d'accès au réseau configuré à l'étape précédente, à partir de la boîte de liste déroulante Network Access Service, et utilise les paramètres par défaut d'autres champs.

20170323143000974015.png

6.Configurer la politique d'autorisation.

A.Ajouter une règle d'autorisation.

Choisir Policy > Authorization. Cliquez sur le triangle suivant pour Edit et choisissez Insert New Rule Above. Ajouter la règle d'autorisation Authorization rule for authenticated users et le groupe d'utilisateurs autorisé est groupe R&D.

20170323143001569016.jpg

B.Ajouter des droits d'accès.

I. Dans la column Permissions, cliquer Add New Standard Profile pour accéder la page Add New Standard Profile.

20170323143001283017.jpg

Ii.Dans la page Add New Standard Profile permet de configurer les droits d'accès.

Paramètre

Valeur

Description

Nom

VLAN20&ACL3002

-

Type d'accès

ACCESS _ ACCEPT

Droits d'accès pour les utilisateurs qui passent l'authentification

Tâches communes

Huawei@123

VLAN : Identification VLAN autorisée ou description VLAN

Filtre -ID : Autoriser la description ACL

20170323143002974018.png

20170323143003938019.jpg

Etape 3 : Vérifier la configuration

l Un employé ne peut accéder qu'au serveur Step 3 et au serveur public avant de passer l'authentification.

l Un employé peut accéder au serveur Cisco ISE, au serveur public, au serveur de service et au laboratoire après avoir réussi l'authentification.

· Une fois l’authentification validée par un employé, exécutez la commande display access-user sur le commutateur. La sortie de la commande affiche des informations sur l'employé en ligne.

----FIN

Basculer le fichier de configuration

#
sysname SwitchA
#
vlan batch 10 20
#
radius-server template rd1
radius-server shared-key cipher %^%#FP@&C(&{$F2HTlPxg^NLS~KqA/\^3Fex;T@Q9A](%^%#
radius-server authentication 192.168.30.1 1812 weight 80
radius-server accounting 192.168.30.1 1813 weight 80
#
acl number 3002
description 3002.in
rule 1 permit ip destination 192.168.30.1 0
rule 2 permit ip destination 192.168.50.1 0
rule 3 deny ip
#
aaa
authentication-scheme abc
authentication-mode radius
accounting-scheme acco1
accounting-mode radius
domain huawei
authentication-scheme abc
accounting-scheme acco1
radius-server rd1
#
interface GigabitEthernet0/0/1
port link-type hybrid
port hybrid pvid vlan 10
port hybrid untagged vlan 10
authentication dot1x
#
interface GigabitEthernet0/0/2
port link-type hybrid
port hybrid untagged vlan 20
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 10 20
#
interface LoopBack1
ip address 10.10.10.1 255.255.255.0
#
authentication free-rule 10 destination ip 192.168.40.1 mask 255.255.255.255
#
return

  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

Connectez-vous pour participer à la communication et au partage

S'identifier
Réponse rapide Accéder au haut de page