Хорошо

Пример настройки нескольких режимов аутентификации для управления доступом поль

Последний ответ янв 30, 2020 15:50:04 267 3 1 0

Обзор нескольких режимов аутентификации

В развертывании сети NAC для обеспечения гибкой аутентификации устройство поддерживает одновременное развертывание аутентификации 802.1X, аутентификацию MAC-адресов и аутентификацию Portal на интерфейсах, подключенных к пользователям. В этом случае пользователи могут получить доступ к сети, используя любой режим аутентификации.

Если включено несколько режимов аутентификации, режимы аутентификации вступают в силу в той последовательности, в которой они настроены. Кроме того, после развертывания нескольких режимов аутентификации пользователи могут быть аутентифицированы в разных режимах по умолчанию и соответственно получить разные сетевые права через устройство.

Требования к сети

Как показано на схеме, терминалы в компании подключены к внутренней сети компании через Switch. Несанкционированный доступ во внутреннюю сеть может повредить сервисную систему компании и вызвать утечку ключевой информации. Поэтому администратор требует, чтобы Switch контролировал права доступа пользователей к сети для обеспечения внутренней безопасности сети.

1

Схема настройки

Схема настройки выглядит следующим образом:

1. Создайте и настройте шаблон RADIUS-сервера, схему AAA и домен аутентификации. Привяжите шаблон RADIUS-сервера и схему AAA к домену аутентификации, чтобы Switch могло аутентифицировать пользователей доступа через RADIUS-сервер.

2. Включите аутентификацию 802.1X, аутентификацию MAC-адресов и аутентификацию Portal, чтобы Switch могло контролировать права доступа к сети у внутренних сотрудников, немых терминалов и посетителей. Кроме того, настройте аутентификацию 802.1X, чтобы иметь приоритет, потому что существует больше сотрудников, чем немые терминалы и посетители.

3. Настройте режим доступа пользователя на multi-authen и установите максимальное количество пользователей доступа на 100, чтобы устройство могло самостоятельно контролировать права доступа к сети у каждого пользователя.

4. Настройте шаблон сервера Portal, чтобы устройство могло связываться с сервером Portal.

Процедура

 

Шаг 1 Создайте VLAN и настройте VLAN, разрешенные интерфейсом, чтобы обеспечить сетевую связь.

# Создать VLAN 10 и VLAN 20.
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 10 20
# На Switch настроить интерфейсGE1/0/1, подключенный к пользователям, в качестве интерфейса доступа и добавить интерфейс к VLAN 10.
[Switch] interface gigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access
[Switch-GigabitEthernet1/0/1] port default vlan 10
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 192.168.1.10 24
[Switch-Vlanif10] qui

t

ПРИМЕЧАНИЕ

Настройте тип интерфейса и VLAN на основе требований к сайту. В этом примере пользователи добавляются к VLAN 10.

# На Switch настроить интерфейс GE1/0/2, подключенный к RADIUS-серверу, в качестве интерфейса доступа и добавьте интерфейс к VLAN 20.
[Switch] interface gigabitethernet1/0/2
[Switch-GigabitEthernet1/0/2] port link-type access
[Switch-GigabitEthernet1/0/2] port default vlan 20
[Switch-GigabitEthernet1/0/2] quit

 

Шаг 2 Создайте и настройте шаблон RADIUS-сервера, схему AAA и домен аутентификации.

# Создать и настроить шаблон RADIUS-сервера rd1.
[Switch] radius-server template rd1
[Switch-radius-rd1] radius-server authentication 192.168.2.30 1812
[Switch-radius-rd1] radius-server shared-key cipher Huawei@2012
[Switch-radius-rd1] quit
# Создать схему аутентификации AAA abc и настроить режим аутентификации на RADIUS.
[Switch] aaa
[Switch-aaa] authentication-scheme abc
[Switch-aaa-authen-abc] authentication-mode radius
[Switch-aaa-authen-abc] quit
# Создать домен аутентификации isp1, привязать схему AAA abc и шаблон RADIUS- сервера rd1 к домену isp1.
[Switch-aaa] domain isp1
[Switch-aaa-domain-isp1] authentication-scheme abc
[Switch-aaa-domain-isp1] radius-server rd1
[Switch-aaa-domain-isp1] quit
[Switch-aaa] quit
# Настроить isp1 как глобальный домен по умолчанию. Во время аутентификации доступа введите имя пользователя в формате user@isp1, чтобы выполнить аутентификацию AAA в домене isp1. Если имя пользователя не содержит имя домена или содержит недопустимое имя домена, пользователь аутентифицируется в домене по умолчанию.
[Switch] domain isp1

 

Шаг 3 Настройте аутентификацию 802.1X, аутентификацию MAC-адресов и аутентификацию Portal на Switch.

# Переключить режим NAC в унифицированный режим.
[Switch] authentication unified-mode

ПРИМЕЧАНИЕ

После переключения общего режима и унифицированного режима устройство автоматически перезагружается.

# Включить аутентификацию 802.1X, аутентификацию MAC-адресов и
аутентификацию Portal на интерфейсе GE1/0/1.
[Switch] interface gigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1] authentication dot1x mac-authen portal
[Switch-GigabitEthernet1/0/1] authentication mode multi-authen max-user 100
[Switch-GigabitEthernet1/0/1] quit
# Создать и настроить шаблон сервера Portal abc.
[Switch] web-auth-server abc
[Switch-web-auth-server-abc] server-ip 192.168.2.20
[Switch-web-auth-server-abc] port 50200
[Switch-web-auth-server-abc] url http://192.168.2.20:8080/webagent
[Switch-web-auth-server-abc] shared-key cipher Huawei@123
[Switch-web-auth-server-abc] quit

ПРИМЕЧАНИЕ

Убедитесь, что номер порта, настроенный на устройстве, совпадает с номером порта, который используется сервером Portal.

# Привязать шаблон сервера Portal abc к интерфейсу GE1/0/1.
[Switch] interface gigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1] web-auth-server abc direct
[Switch-GigabitEthernet1/0/1] quit
# (Рекомендуется) Настроить исходные IP-адрес и MAC-адрес для автономных пакетов обнаружения в указанной VLAN. Рекомендуется указать IP-адрес шлюза пользователя и соответствующий ему MAC-адрес в качестве исходных IP-адреса и MAC-адреса автономных пакетов обнаружения. Эта функция не действует для пользователей, использующих аутентификацию Portal уровня 3.
[Switch] access-user arp-detect vlan 10 ip-address 192.168.1.10 mac-address 2222-1111-1234


Шаг 4 Проверьте конфигурацию.

1. Запустите команды display dot1x, display mac-authen, display portal и display web-auth-server configuration. Вывод команды показывает, что аутентификация

802.1X, аутентификация MAC-адреса и аутентификация Portal включены на интерфейсе GE1/0/1.

2. Пользователь может получить доступ к сети после прохождения аутентификации 802.1X, аутентификации MAC-адресов или аутентификации Portal.

3. После того, как пользователь вошел в сеть, запустите команду display access-user interface gigabitethernet1/0/1 на устройстве, чтобы проверить всю информацию о онлайн-пользователе.


  • x

user_2909167
Модератор Опубликовано 2020-1-28 10:06:19 Полезно(0) Полезно(0)

Файл конфигурации Switch

#
sysname Switch
#
vlan batch 10 20
#
domain isp1
#
radius-server template rd1
radius-server shared-key cipher %^%#Q75cNQ6IF(e#L4WMxP~%^7'u17,]D87GO{"[o]`D%^%#
radius-server authentication 192.168.2.30 1812 weight 80
#
web-auth-server abc
server-ip 192.168.2.20
port 50200
shared-key cipher %^%#t:hJ@gD7<+G&,"Y}Y[VP4\foQ&og/Gg(,J4#\!gD%^%#
url http://192.168.2.20:8080/webagent
#
aaa
authentication-scheme abc
authentication-mode radius
domain isp1
authentication-scheme abc
radius-server rd1
#
interface Vlanif10
ip address 192.168.1.10 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
authentication dot1x mac-authen portal
authentication mode multi-authen max-user 100
web-auth-server abc direct
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 20
#
return


Развернуть
  • x

Guamokolatokint
Опубликовано 2020-1-30 15:49:02 Полезно(0) Полезно(0)
Очень хорошие примечания, благодарю!
Развернуть
  • x

user_2909167
Модератор Опубликовано 2020-1-30 15:50:04 Полезно(0) Полезно(0)
Действительно, затьронутая тема весьма интересна, и более того - востребована
Развернуть
  • x

Комментарий

Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация
Отправить

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”

My Followers

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход

Заблокировать
Вы уверены, что хотите заблокировать этого пользователя?
Пользователи из вашего черного списка не могут комментировать ваши посты, не могут упоминать вас, не могут отправлять личные сообщения.
Напоминание
Пожалуйста, привяжите свой мобильный номер чтобы получить бонус за приглашение.