Пример настройки аутентификации MAC-адресов для управления доступом пользователе

Последний ответ янв 24, 2020 15:52:41 63 2 2 1

Обзор аутентификации MAC-адресов

Как один из режимов аутентификации NAC, аутентификация MAC-адресов управляет правами доступа к сети у пользователя на основе пользовательского интерфейса и MAC-адреса. Пользователю не нужно устанавливать какое-либо клиентское программное обеспечение. Аутентификация MAC-адресов обеспечивает безопасность корпоративной интрасети.

При аутентификации MAC-адресов клиентское программное обеспечение не требуется устанавливать на пользовательских терминалах, но MAC-адреса должны быть зарегистрированы на серверах, что приводит к сложному управлению. Еще два метода аутентификации NAC имеют свои преимущества и недостатки: Аутентификация 802.1X обеспечивает высокую безопасность, но для этого требуется, чтобы клиентское программное обеспечение 802.1X устанавливалось на пользовательских терминалах, что приводит к негибкому развертыванию сети. Аутентификация Portal также не требует установки клиентского программного обеспечения и обеспечивает гибкое развертывание, но имеет низкую безопасность.

Аутентификация MAC-адреса применяется для доступа к сценариям аутентификации простых терминалов, таких как принтеры.

 

Требования к сети

Как показано на схеме, терминалы в отделе физического контроля компании подключены к внутренней сети компании через Switch. Несанкционированный доступ во внутреннюю сеть может повредить сервисную систему компании и вызвать утечку ключевой информации. Поэтому администратор требует, чтобы коммутатор контролировал права доступа к сети для обеспечения безопасности внутренней сети.

Поскольку простые терминалы (например, принтеры) в отделе физического контроля доступа не могут установить и запустить клиент аутентификации, на коммутаторе должна быть настроена аутентификация MAC-адреса. MAC-адреса терминалов используются в качестве информации пользователя и отправляются на RADIUS-сервер для аутентификации. Когда пользователи подключаются к сети, аутентификация не требуется.

1

Схема настройки

Схема настройки выглядит следующим образом:

1. Настройте сетевые соединения.

2. Настройте AAA на Switch, чтобы выполнять аутентификацию для пользователей доступа через RADIUS-сервер. Конфигурация включает в себя настройку шаблона RADIUS-сервера, схемы AAA, домена аутентификации, также привязки шаблона RADIUS-сервера и схемы AAA к домену аутентификации.

3. Настройте аутентификацию MAC-адресов, чтобы Switch мог контролировать права доступа к сети для немых терминалов в отделе физического контроля доступа.

Конфигурация включает в себя:

a. Настройте профиль доступа MAC.

b. Настройте профиль аутентификации.

c. Включите аутентификацию MAC-адреса на интерфейсе.

 

ПРИМЕЧАНИЕ

- Перед выполнением операций в этом примере убедитесь, что пользовательские терминалы доступа и сервер могут обмениваться данными.

- Этот пример обеспечивает только конфигурацию Switch. Конфигурации коммутатора LAN и сервера здесь не указаны.

Процедура

Шаг 1 Создайте VLAN и настройте VLAN, разрешенные интерфейсами, чтобы пересылать пакеты.

# Создать VLAN 10 и VLAN 20.
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 10 20
# Настроить GE1/0/1, подключающий Switch к пользователям в качестве интерфейса доступа и добавьте интерфейс к VLAN 10.
[Switch] interface gigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access
[Switch-GigabitEthernet1/0/1] port default vlan 10
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 192.168.1.10 24
[Switch-Vlanif10] quit
# Настроить GE1/0/2, подключающий Switch к RADIUS-серверу в качестве интерфейса доступа и добавьте интерфейс к VLAN 20.
[Switch] interface gigabitethernet1/0/2
[Switch-GigabitEthernet1/0/2] port link-type access
[Switch-GigabitEthernet1/0/2] port default vlan 20
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 192.168.2.10 24
[Switch-Vlanif20] quit

 

Шаг 2 Настройте AAA.

# Создать и настроить шаблон RADIUS-сервера rd1.
[Switch] radius-server template rd1
[Switch-radius-rd1] radius-server authentication 192.168.2.30 1812
[Switch-radius-rd1] radius-server shared-key cipher Huawei@2012
[Switch-radius-rd1] quit
# Создать схему аутентификации AAA abc и установить режим аутентификации на RADIUS.
[Switch] aaa
[Switch-aaa] authentication-scheme abc
[Switch-aaa-authen-abc] authentication-mode radius
[Switch-aaa-authen-abc] quit
# Создать домен аутентификации huawei.com, привязать схему аутентификации AAA abc и шаблон RADIUS-сервера rd1 к домену.
[Switch-aaa] domain huawei.com
[Switch-aaa-domain-huawei.com] authentication-scheme abc
[Switch-aaa-domain-huawei.com] radius-server rd1
[Switch-aaa-domain-huawei.com] quit
[Switch-aaa] quit
# Проверить прохождения пользователем аутентификации RADIUS. На RADIUS- сервере были настроены тестовый пользователь test и пароль Huawei2012.
[Switch] test-aaa test Huawei2012 radius-template rd1
Info: Account test succeed.

 

Шаг 3 Настройте аутентификацию MAC-адресов.

# Установить режим NAC на унифицированный.
[Switch] authentication unified-mode

 

ПРИМЕЧАНИЕ

- По умолчанию используется унифицированный режим.

- После изменения режима NAC из общего в унифицированный сохраните конфигурацию и перезагрузите устройство, чтобы настройка вступила в силу.

 

# Настроить профиль доступа MAC m1.

 

ПРИМЕЧАНИЕ

MAC-адрес без дефиса (-) используется как имя пользователя и пароль для аутентификации MAC-адреса в профиле доступа MAC. Убедитесь, что форматы имени пользователя и пароля для аутентификации MAC-адреса, настроенные на сервере RADIUS, такие же, как те на устройстве доступа.

[Switch] mac-access-profile name m1
[Switch-mac-access-profile-m1] quit
# Настроить профиль аутентификации p1, привязать профиль доступа MAC m1 к профилю аутентификации, в профиле аутентификации указать домен huawei.com в качестве домена принудительной аутентификации, установить режим доступа пользователя на multi-authen и установите максимальное количество пользователей доступа на 100.
[Switch] authentication-profile name p1
[Switch-authen-profile-p1] mac-access-profile m1
[Switch-authen-profile-p1] access-domain huawei.com force
[Switch-authen-profile-p1] authentication mode multi-authen max-user 100
[Switch-authen-profile-p1] quit
# Привязать профиль аутентификации p1 к GE1/0/1 и включить аутентификацию MAC- адреса на интерфейсе.
[Switch] interface gigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1] authentication-profile p1
[Switch-GigabitEthernet1/0/1] quit
# (Рекомендуется) Настроить исходные IP-адрес и MAC-адрес для автономных пакетов обнаружения в указанной VLAN. Рекомендуется указать IP-адрес шлюза пользователя и соответствующий ему MAC-адрес в качестве исходных IP-адреса и MAC-адреса автономных пакетов обнаружения.
[Switch] access-user arp-detect vlan 10 ip-address 192.168.1.10 mac-address 2222-1111-1234

Шаг 4 Проверьте конфигурацию.

1. После того, как пользователь запустит терминал, устройство автоматически получит MAC-адрес пользовательского терминала в качестве имени пользователя и пароля для аутентификации.

2. Пользователи могут получить доступ к сети после успешной аутентификации.

3. После того, как пользователи входят в сеть, запустите команду display access-user access-type mac-authen на устройстве для просмотра информации о пользователях аутентификации MAC-адресов.


  • x

user_2909167
Модератор Опубликовано 2020-1-23 10:16:43 Полезно(0) Полезно(0)

Файл конфигурации коммутатора

#
sysname Switch
#
vlan batch 10 20
#
authentication-profile name p1
mac-access-profile m1
authentication mode multi-authen max-user 100
access-domain huawei.com force
#
access-user arp-detect vlan 10 ip-address 192.168.1.10 mac-address 2222-1111-1234
#
radius-server template rd1
radius-server shared-key cipher %#%#4*SO-2u,Q.\1C~%[eiB77N/^2wME;6t%6U@qAJ9:%#%#
radius-server authentication 192.168.2.30 1812 weight 80
#
mac-access-profile name m1
#
aaa
authentication-scheme abc
authentication-mode radius
domain huawei.com
authentication-scheme abc
radius-server rd1
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
authentication-profile p1
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 20
#
interface Vlanif10
ip address 192.168.1.10 255.255.255.0
#
interface Vlanif20
ip address 192.168.2.10 255.255.255.0
#
return


  • x

KKV
Опубликовано 2020-1-24 15:52:41 Полезно(0) Полезно(0)
Спасибо. Надо будет протестировать данную конфигурацию.
  • x

Комментарий

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.
Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход