Обзор аутентификации MAC-адресов
Как один из режимов аутентификации NAC, аутентификация MAC-адресов управляет правами доступа к сети у пользователя на основе пользовательского интерфейса и MAC-адреса. Пользователю не нужно устанавливать какое-либо клиентское программное обеспечение. Аутентификация MAC-адресов обеспечивает безопасность корпоративной интрасети.
При аутентификации MAC-адресов клиентское программное обеспечение не требуется устанавливать на пользовательских терминалах, но MAC-адреса должны быть зарегистрированы на серверах, что приводит к сложному управлению. Еще два метода аутентификации NAC имеют свои преимущества и недостатки: Аутентификация 802.1X обеспечивает высокую безопасность, но для этого требуется, чтобы клиентское программное обеспечение 802.1X устанавливалось на пользовательских терминалах, что приводит к негибкому развертыванию сети. Аутентификация Portal также не требует установки клиентского программного обеспечения и обеспечивает гибкое развертывание, но имеет низкую безопасность.
Аутентификация MAC-адреса применяется для доступа к сценариям аутентификации простых терминалов, таких как принтеры.
Требования к сети
Как показано на схеме, терминалы в отделе физического контроля компании подключены к внутренней сети компании через Switch. Несанкционированный доступ во внутреннюю сеть может повредить сервисную систему компании и вызвать утечку ключевой информации. Поэтому администратор требует, чтобы коммутатор контролировал права доступа к сети для обеспечения безопасности внутренней сети.
Поскольку простые терминалы (например, принтеры) в отделе физического контроля доступа не могут установить и запустить клиент аутентификации, на коммутаторе должна быть настроена аутентификация MAC-адреса. MAC-адреса терминалов используются в качестве информации пользователя и отправляются на RADIUS-сервер для аутентификации. Когда пользователи подключаются к сети, аутентификация не требуется.
Схема настройки
Схема настройки выглядит следующим образом:
1. Настройте сетевые соединения.
2. Настройте AAA на Switch, чтобы выполнять аутентификацию для пользователей доступа через RADIUS-сервер. Конфигурация включает в себя настройку шаблона RADIUS-сервера, схемы AAA, домена аутентификации, также привязки шаблона RADIUS-сервера и схемы AAA к домену аутентификации.
3. Настройте аутентификацию MAC-адресов, чтобы Switch мог контролировать права доступа к сети для немых терминалов в отделе физического контроля доступа.
Конфигурация включает в себя:
a. Настройте профиль доступа MAC.
b. Настройте профиль аутентификации.
c. Включите аутентификацию MAC-адреса на интерфейсе.
ПРИМЕЧАНИЕ
- Перед выполнением операций в этом примере убедитесь, что пользовательские терминалы доступа и сервер могут обмениваться данными.
- Этот пример обеспечивает только конфигурацию Switch. Конфигурации коммутатора LAN и сервера здесь не указаны.
Процедура
Шаг 1 Создайте VLAN и настройте VLAN, разрешенные интерфейсами, чтобы пересылать пакеты.
# Создать VLAN 10 и VLAN 20. <HUAWEI> system-view [HUAWEI] sysname Switch [Switch] vlan batch 10 20 # Настроить GE1/0/1, подключающий Switch к пользователям в качестве интерфейса доступа и добавьте интерфейс к VLAN 10. [Switch] interface gigabitethernet1/0/1 [Switch-GigabitEthernet1/0/1] port link-type access [Switch-GigabitEthernet1/0/1] port default vlan 10 [Switch-GigabitEthernet1/0/1] quit [Switch] interface vlanif 10 [Switch-Vlanif10] ip address 192.168.1.10 24 [Switch-Vlanif10] quit # Настроить GE1/0/2, подключающий Switch к RADIUS-серверу в качестве интерфейса доступа и добавьте интерфейс к VLAN 20. [Switch] interface gigabitethernet1/0/2 [Switch-GigabitEthernet1/0/2] port link-type access [Switch-GigabitEthernet1/0/2] port default vlan 20 [Switch-GigabitEthernet1/0/2] quit [Switch] interface vlanif 20 [Switch-Vlanif20] ip address 192.168.2.10 24 [Switch-Vlanif20] quit
Шаг 2 Настройте AAA.
# Создать и настроить шаблон RADIUS-сервера rd1. [Switch] radius-server template rd1 [Switch-radius-rd1] radius-server authentication 192.168.2.30 1812 [Switch-radius-rd1] radius-server shared-key cipher Huawei@2012 [Switch-radius-rd1] quit # Создать схему аутентификации AAA abc и установить режим аутентификации на RADIUS. [Switch] aaa [Switch-aaa] authentication-scheme abc [Switch-aaa-authen-abc] authentication-mode radius [Switch-aaa-authen-abc] quit # Создать домен аутентификации huawei.com, привязать схему аутентификации AAA abc и шаблон RADIUS-сервера rd1 к домену. [Switch-aaa] domain huawei.com [Switch-aaa-domain-huawei.com] authentication-scheme abc [Switch-aaa-domain-huawei.com] radius-server rd1 [Switch-aaa-domain-huawei.com] quit [Switch-aaa] quit # Проверить прохождения пользователем аутентификации RADIUS. На RADIUS- сервере были настроены тестовый пользователь test и пароль Huawei2012. [Switch] test-aaa test Huawei2012 radius-template rd1 Info: Account test succeed.
Шаг 3 Настройте аутентификацию MAC-адресов.
# Установить режим NAC на унифицированный. [Switch] authentication unified-mode
ПРИМЕЧАНИЕ
- По умолчанию используется унифицированный режим.
- После изменения режима NAC из общего в унифицированный сохраните конфигурацию и перезагрузите устройство, чтобы настройка вступила в силу.
# Настроить профиль доступа MAC m1.
ПРИМЕЧАНИЕ
MAC-адрес без дефиса (-) используется как имя пользователя и пароль для аутентификации MAC-адреса в профиле доступа MAC. Убедитесь, что форматы имени пользователя и пароля для аутентификации MAC-адреса, настроенные на сервере RADIUS, такие же, как те на устройстве доступа.
[Switch] mac-access-profile name m1 [Switch-mac-access-profile-m1] quit # Настроить профиль аутентификации p1, привязать профиль доступа MAC m1 к профилю аутентификации, в профиле аутентификации указать домен huawei.com в качестве домена принудительной аутентификации, установить режим доступа пользователя на multi-authen и установите максимальное количество пользователей доступа на 100. [Switch] authentication-profile name p1 [Switch-authen-profile-p1] mac-access-profile m1 [Switch-authen-profile-p1] access-domain huawei.com force [Switch-authen-profile-p1] authentication mode multi-authen max-user 100 [Switch-authen-profile-p1] quit # Привязать профиль аутентификации p1 к GE1/0/1 и включить аутентификацию MAC- адреса на интерфейсе. [Switch] interface gigabitethernet1/0/1 [Switch-GigabitEthernet1/0/1] authentication-profile p1 [Switch-GigabitEthernet1/0/1] quit # (Рекомендуется) Настроить исходные IP-адрес и MAC-адрес для автономных пакетов обнаружения в указанной VLAN. Рекомендуется указать IP-адрес шлюза пользователя и соответствующий ему MAC-адрес в качестве исходных IP-адреса и MAC-адреса автономных пакетов обнаружения. [Switch] access-user arp-detect vlan 10 ip-address 192.168.1.10 mac-address 2222-1111-1234
Шаг 4 Проверьте конфигурацию.
1. После того, как пользователь запустит терминал, устройство автоматически получит MAC-адрес пользовательского терминала в качестве имени пользователя и пароля для аутентификации.
2. Пользователи могут получить доступ к сети после успешной аутентификации.
3. После того, как пользователи входят в сеть, запустите команду display access-user access-type mac-authen на устройстве для просмотра информации о пользователях аутентификации MAC-адресов.