【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导

digest [复制链接]
发表于 : 2015-3-12 14:26:53 最新回复:2018-05-26 12:55:26
6951 12
交换机在江湖
交换机在江湖 官方号

 

1 背景

交换机提供用户的接入功能,用户分为管理员用户和接入用户两大类。如1-1所示,管理员用户需要接入交换机对其进行管理,接入用户需要接入交换机使用视频、语音、上网等网络应用业务。

图1-1 交换机的用户

【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导-1259485-1

 

当用户接入交换机时,交换机需要对这些用户进行接入控制管理。如对用户进行身份认证(Authentication),授权(Authorization)给用户接入后可进行的业务以及根据用户使用的业务进行计费(Accounting),即AAA管理机制。AAA提供对用户进行认证、授权和计费等安全功能,防止非法用户登录设备,增强设备系统安全性。

l   认证:验证用户是否可以获得网络访问权。

l   授权:授权用户可以使用哪些服务。

l   计费:记录用户使用网络资源的情况。

AAA常用在对安全性要求较高的网络环境中,例如金融、***和运营商等行业。交换机运用AAA管理机制时还需要在网络中部署AAA服务器,如1-2所示,通过各种方式接入交换机的用户的用户信息都由AAA服务器统一创建与维护,当用户输入的用户名和密码与AAA服务器上配置的一致时,才可以成功登录设备,再依据授权配置完成相应的授权,例如获取权限访问Internet

图1-2 AAA服务器管理交换机的用户

【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导-1259485-2

 

目前S系列交换机支持基于RADIUS协议或HWTACIMC协议与AAA服务器通信,在实际应用中,最常使用RADIUS协议。


2 H厂商 IMC介绍

简介

H厂商智能管理中心(Intelligence Management CenterIMC)服务器以下简称IMC服务器。

本文主要以配置实例的形式介绍IMC服务器与华为交换机对接时的配置方法以及注意事项。

IMC的使用

完成交换机与H厂商 IMC的物理连接后,还需要在PC上安装H厂商 IMC软件。安装完成后,管理员可以通过WEB界面登录到H厂商 IMC对其进行配置。

登录H厂商 IMC要求浏览器为Microsoft Internet Explorer 6.0 SP1 Mozilla Firefox 3.6及其后续版本。登录客户端后,可以查看和管理IMC,同时也可以监控和输出日志,这些日志用来跟踪用户连接,可以显示哪些用户当前登录,列出失败的身份验证和授权尝试等等。


3 S系列交换机(802.1x认证)与H厂商 IMC对接方案

3.1  实现差异对比

3.2  适用形态及版本

3.3  对接介绍

3.4  对接案例

3.1 实现差异对比

IMC服务器一些功能为私有协议实现,以下命令行是为了华为交换机为兼容这些功能开发,需要配置如下命令,确保双网卡检查、病毒库检查等功能的正常使用。如果不配置四条兼容性命令,则会出现安全检查通过后,无法先发安全ACL

#

dot1x eap-notify-packet eap-code 10 data-type 25

radius-server attribute translate

radius-attribute translate HW-Up-Priority HW-User-Informantion receive

#

authorization-modify mode modify

注意:以上兼容命名不能完全解决所有H3C私有协议功能,例如ARP网关绑定功能暂时不支持。

3.2 适用形态及版本

表3-1 S系列交换机版本支持情况

产品型态

支持情况

S系列交换机

V100R006C03以后版本支持。

 

本文以IMC 5.2.0.26版本为例介绍H厂商 IMC相关界面和配置。

3.3 对接介绍

交换机与H厂商 IMC对接组网如3-1所示。

图3-1 交换机与H厂商 IMC对接组网

【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导-1259485-3

 

进行对接配置之前,请先确保:

l   交换机与H厂商 IMC的物理连通性。

l   管理员可以通过WEB界面登录到H厂商 IMC服务器对IMC进行配置。

3.4 对接案例

3.4.1 组网需求及配置思路

组网需求

802.1x接入用户通过接入网络接入交换机,企业使用IMC统一创建与维护用户信息。其中管理员可以通过WEB界面登录到IMC服务器对IMC进行配置。

具体需求:

1.         802.1x用户在终端上启动802.1x客户端,输入用户名和密码,认证通过后可以接入交换机。

802.1x用户接入交换机后,

?       只能操作命令级别为02的所有命令行。

?       IMC为其下发属性VLAN 100ACL 3000

2.         802.1x用户使用huawei.com域认证。

图3-2 接入用户通过802.1x接入交换机

【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导-1259485-4

 

配置准备

进行配置之前,请按照3-2准备数据,表中数据仅供参考。

表3-2 交换机与IMC对接的数据准备

IMC客户端的管理员用户名、密码

imcdmin

Admin_123

交换机的管理员用户名、密码

admin1

Admin@1234

802.1x用户的用户名、密码

huawei@huawei.com

Huawei@1234

交换机名称、与IMC连接的端口IP地址

HuaweiA

10.1.6.10

交换机与IMC的共享密码

Hello@1234

 

3.4.2 配置S系列交换机

配置思路

1.         使能Telnet服务。

2.         创建VLANACL,用于IMC下发时匹配。

3.         配置管理员用户通过Telnet登录的认证方式为AAA

4.         配置RADIUS认证:创建RADIUS服务器模板和AAA认证方案并分别在默认管理域default_admin和普通huawei.com下引用。

5.         802.1x用户接入的接口下使能802.1x认证。

操作步骤

1.         配置接口和IP地址,使SwitchIMC网络互通。

<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 10 30
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.1.6.10 24
[Switch-Vlanif10] quit
[Switch] interface vlanif 30
[Switch-Vlanif30] ip address 10.1.3.10 24
[Switch-Vlanif30] quit
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan 10
[Switch-GigabitEthernet0/0/1] quit

【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导-1259485-5

当需要IMC为接入用户下发VLAN属性或者ACL属性时,交换机的用户上线接口(使能认证的端口)必须为hybrid类型接口。

[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type hybrid
[Switch-GigabitEthernet0/0/3] port hybrid untagged vlan 30
[Switch-GigabitEthernet0/0/3] quit

2.         创建用户的VLANACL,用于IMC为用户下发时匹配。

【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导-1259485-6

设备上存在的VLANIMC下发的VLAN相同时,VLAN才能成功下发。ACL下发时亦是。

[Switch] vlan 100
[Switch-vlan100] quit
[Switch] acl 3000
[Switch-acl-adv-3000] quit
[Switch] acl number 3001
[Switch-acl-adv-3001] rule 5 permit ip destination 10.1.6.0 0.0.0.255  
[Switch-acl-adv-3001] quit

3.         使能Telnet服务器功能。

[Switch] telnet server enable

4.         配置VTY用户界面的验证方式为AAA

[Switch] user-interface maximum-vty 15  //配置VTY用户界面的登录用户最大数目为15(该数目在不同版本和不同形态间有差异,具体以设备为准),缺省情况下Telnet用户最大数目为5
[Switch] user-interface vty 0 14  //
进入014VTY用户界面视图
[Switch-ui-vty0-14] authentication-mode aaa  //
配置VTY用户界面的验证方式为AAA
[Switch-ui-vty0-14] protocol inbound telnet  //
配置VTY用户界面所支持的协议为TelnetV200R006及之前版本,默认配置为telnet,可以不配置该项;V200R007及之后版本,必须配置) 
[Switch-ui-vty0-14] quit

5.         配置RADIUS认证,实现用户通过RADIUS认证接入交换机。

# 配置RADIUS服务器模板,实现交换机与IMC采用RADIUS方式通信。

[Switch] radius-server template 1
[Switch-radius-1] radius-server authentication 10.1.6.6 1812  //
指定IMCIP地址和端口号
[Switch-radius-1]  radius-server accounting 10.1.6.6 1813 weight 80    //
交换机计费功能
[Switch-radius-1] radius-server shared-key cipher Hello@1234  //
指定IMC的共享密钥,需要与IMC上配置一致
[Switch-radius-1] radius-server attribute translate  //
使能属性转换
[Switch-radius-1]radius-attribute translate HW-Up-Priority HW-User-Informantion receive   //
将接收到的H厂商私有61号属性转换为HWEAP-User-Notify26-142)属性,使HW设备能够解析H厂商私钥属性。
[Switch-radius-1] quit

【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导-1259485-7

如果IMC上保存的用户名不包含域名,还需要配置命令undo radius-server user-name domain-included使设备向RADIUS服务器发送的报文中的用户名不包含域名。

通过上面配置,使华为交换机能够解析和处理iMC下发的H厂商私有属性EAP-Notify(属性号:26-61)。

# 配置AAA认证方案,指定认证方式为RADIUS,动态授权模式为修改式。

[Switch] aaa
[Switch-aaa] authorization-modify mode modify//aaa
视图配置动态授权模式为修改式。
[Switch-aaa] authentication-scheme sch1
[Switch-aaa-authen-sch1] authentication-mode radius
[Switch-aaa-authen-sch1] quit

# 配置AAA计费方案,指定计费方式为RADIUS,计费策略为:如果开始计费失败允许用户上线。

[Switch-aaa] accounting-scheme account1

[Switch-aaa-accounting-account1] accounting-mode radius

[Switch-aaa-accounting-account1] accounting start-fail online
[Switch-aaa-accounting-account1] quit

image013

IMC并不具备对终端用户的计费功能,配置计费功能是为了通过计费报文管理在线用户信息。

# huawei.com域下引用AAA认证方案和RADIUS服务器模板。

[Switch-aaa] domain huawei.com
[Switch-aaa-domain-huawei.com] radius-server 1
[Switch-aaa-domain-huawei.com] authentication-scheme sch1
[Switch-aaa-domain-huawei.com] accounting-scheme account1

[Switch-aaa-domain-huawei.com] quit
[Switch-aaa] quit

# V200R005及后续版本新增统一模式,V200R005之前版本可忽略该配置)将NAC配置模式切换成统一模式。

[Switch] authentication unified-mode

【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导-1259485-9

传统模式与统一模式相互切换后,必须重启设备,新配置模式的各项功能才能生效。缺省情况下,NAC配置模式为统一模式。

# 在接口上使能802.1x认证。

[Switch] interface gigabitethernet0/0/3
[Switch-GigabitEthernet0/0/3] authentication dot1x
[Switch-GigabitEthernet0/0/3] dot1x authentication-method eap  //
由于大部分802.1x客户端采用EAP中继认证,建议配置
[Switch-GigabitEthernet0/0/3] quit

# 使能EAP-Notify

[Switch] dot1x eap-notify-packet eap-code 10 data-type 25 //配置设备使能构造Code=10EAP-Notify报文,其中SecureDataType=25.

配置文件

#
sysname Switch
#
dot1x eap-notify-packet eap-code 10 data-type 25
#
vlan batch 10  30 100
#
acl number 3000
#
acl number 3001
rule 5 permit ip destination 10.1.6.0 0.0.0.255 
#
radius-server template 1                                              
 radius-server shared-key cipher %#%#9nP3;sDW-AN0f@H@S*l&\f{V=V_auKe|^YXy7}bU%#%#
 radius-server authentication 10.1.6.6 1812 weight 80 
 radius-server accounting 10.1.6.6 1813 weight 80 
 radius-server attribute translate 
 radius-attribute translate HW-Up-Priority HW-User-Informantion recei ve               
#
aaa
  authentication-scheme sch1    
    authentication-mode radius  
    authorization-modify mode modify     

accounting-scheme account1

  accounting-mode radius

  accounting start-fail online
 domain huawei.com            
  authentication-scheme sch1     

accounting-scheme account1
  radius-server 1      
# 
interface Vlanif10 
 ip address 10.1.6.10 255.255.255.0         
# 
interface Vlanif30 
 ip address 10.1.3.10 255.255.255.0     
# 
interface GigabitEthernet0/0/1         
 port link-type access           
 port default vlan 10 
#
interface GigabitEthernet0/0/3  
 port link-type hybrid           
 port hybrid untagged vlan 30    
 authentication dot1x 
 dot1x authentication-method eap
#
user-interface maximum-vty 15  
user-interface vty 0 14          
 authentication-mode aaa     
 protocol inbound telnet      
#
return

3.4.3 配置H厂商 IMC

1.         登录IMC客户端

在浏览器的地址栏输入IMCURLUniversal Resource Locator)地址,并按“Enter”键,进入IMC登录页面,输入用户名和密码,单击“登录”。

【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导-1259485-10

IMCURL地址格式:“http:// IP /”或者“https:// IP /”。例如:“http://10.1.6.6/”或者“https://10.1.6.6/”。

2.         添加接入设备

a.         单击导航树中的“业务>用户接入管理>接入设备管理>接入设备配置”菜单,点击“接入设备列表”下方的“增加”,如下图所示。

图3-3 添加接入设备配置页面

【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导-1259485-11

 

b.         填写“共享密码”为“Hello@1234与设备侧一致。点击“手工增加”如下图所示。

图3-4 手工增加

【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导-1259485-12

 

c.         在弹出窗口的“起始IP地址”一栏填写设备上连接服务器的管理地址,如下图所示。本例中交换机连接设备的管理IP地址为10.1.6.10

图3-5 服务器的管理地址

【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导-1259485-13

 

d.         点击“确定”完成接入设备添加。此时看到添加的设备型号为“Unknown Product”,主要是由于IMC的数据库中没有huawei产品造成的,这个库需要手动添加,此部分不影响用户认证。如下图所示。

图3-6 接入设备列表

【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导-1259485-14

 

e.         点击“系统管理>资源管理>设备系列”,点击“增加”。如下图所示。

图3-7 增加设备系列

【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导-1259485-15

 

f.          点击“系统管理>资源管理>设备型号”,点击“增加”。如下图所示。完成后点击“确定”。

图3-8 增加设备型号

【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导-1259485-16

 

g.         点击“业务>用户接入管理>接入设备管理>接入设备配置”,点击“刷新”能够显示设备型号。显示交换机与服务器连接的管理IP地址10.1.6.10对应设备名称变为HuweiA

图3-9 刷新显示接入设备

【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导-1259485-17

3.         配置防病毒软件管理

在“业务>EAD安全管理>终端安全软件策略管理->防病毒软件策略管理视图”,点击“防病毒软件策略列表”下面的“增加”按钮,根据实际需求设定要求的杀毒引擎版本以及病毒库检查方法。如下图所示。

图3-10 防病毒软件策略管理

【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导-1259485-18

 

4.         配置安全策略管理

a.点击“业务>EAD安全管理>安全策略管理”,点击“安全策略列表”下方的“增加”。

图3-11 增加安全策略管理

【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导-1259485-19

 

b.在安全策略配置页面中,按照下图所示的配置启用各安全检查项,例如启用病毒软件检查和配置隔离方式(隔离方式分为三种,可以选择其中一种,常用向设备(交换机)下发ACL,如下图所示。点击最下面的“确定”,完成安全策略配置。

图3-12 配置安全策略

【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导-1259485-20

 

5.         配置接入规则管理

点击“业务>用户接入管理>接入规则管理”, 点击接入规则列表中的“增加”

图3-13 增加接入规则

【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导-1259485-21

 

6.         进入“增加接入规则”界面,配置动态下发VLAN 100。点击最下方的“确定”完成接入规则配置。

图3-14 配置下发VLAN

【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导-1259485-22

 

7.         配置服务配置管理

a.点击“业务>用户接入管理>服务配置管理”, 点击服务列表中的“增加”。

图3-15 增加服务配置管理

【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导-1259485-23

 

b.在“增加服务配置”页面,引用已创建的安全策略和接入规则。点击最下面的“确定”,完成服务配置管理的配置。

图3-16 服务配置管理

【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导-1259485-24

 

8.         创建平台用户和接入用户

a.点击“用户>增加用户”,创建用户。

图3-17 增加用户

【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导-1259485-25

 

b.点击“确定”后,选择“增加用户账号”。

图3-18 查看增加用户结果

【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导-1259485-26

 

c.配置账号名、密码以及接入服务。

图3-19 增加用户相关配置

【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导-1259485-27

 

d.点击最下面的“确定”,完成接入用户和接入策略的绑定的配置。

3.4.4 检查配置结果

l   交换机上执行命令display access-user显示认证通过结果,交换机可以看到安全检查通过后VLANACL下发成功

【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导-1259485-28

l   IMC服务器显示认证通过结果

图3-20 IMC服务器显示认证

【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导-1259485-29

 

l   Inode客户端显示认证通过结果

图3-21 Inode客户端显示认证

【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导-1259485-30

 

3.4.5 注意事项

在本用例中隔离域配置为ACL3001,但是需要注意的是,隔离域中同样需要放开IMC地址的访问权限,其原因是iNode客户端与IMC服务器之间有EAD报文的定期交互,如果不允许客户端访问IMC服务器,客户端将会被下线。

acl number 3001

rule 5 permit ip destination 10.1.6.0 0.0.0.255

在配置8021x认证过程中即使不进行计费,也要开启交换机计费功能。

想要了解更多精彩内容,请猛戳我:交换机在江湖汇总贴

 

 

猛戳我:交换机在江湖汇总贴

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x

本帖被以下专题推荐:

  • x
  • 常规:

点评 回复

跳转到指定楼层
fcm
fcm  精英 发表于 2015-3-12 14:39:58 已赞(0) 赞(0)

学习了解一下!

  • x
  • 常规:

点评 回复

难得糊涂_河北
难得糊涂_河北   发表于 2015-6-12 16:20:20 已赞(0) 赞(0)

好贴,当时搞了半天才搞定
  • x
  • 常规:

点评 回复

六连长
六连长   发表于 2016-5-26 10:48:32 已赞(0) 赞(0)

有搞过的吗

【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导-1798401-1

  • x
  • 常规:

点评 回复

li yue
li yue   发表于 2016-5-26 13:50:25 已赞(0) 赞(0)

多谢楼主分享!


  • x
  • 常规:

点评 回复

六连长
六连长   发表于 2016-5-23 09:22:42 已赞(0) 赞(0)

严格按照这个配置做的,不行

  • x
  • 常规:

点评 回复

六连长
六连长   发表于 2016-5-29 09:22:29 已赞(0) 赞(0)

搞定。楼主文档有问题,只上图 不说话
【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导-1806803-1
  • x
  • 常规:

点评 回复

交换机在江湖
交换机在江湖 官方号 发表于 2016-5-30 09:36:08 已赞(0) 赞(0)

回复 8 楼

哎,这个真有点对不住了。26号安排人人答复,结果她没分析出来。您能说说你那边是什么情况吗?可能是不同版本的差异导致,我们加到说明中。:)

【交换机在江湖】实战案例十三 HUAWEI S系列交换机802.1x特性对接H厂商IMC服务器配置指导-1808093-1

  • x
  • 常规:

点评 回复

六连长
六连长   发表于 2016-5-30 10:21:56 已赞(0) 赞(0)

S9306,VRP (R) software, Version 5.130 (S9300 V200R003C00SPC500)

接口配置:

interface GigabitEthernet3/0/18
port link-type access
port default vlan 100
dot1x enable
dot1x authentication-method eap


domain huawei.com
  authentication-scheme sch1
  accounting-scheme sch1-----必配项,否则错误如6楼提示。scheme 的配置如下
  radius-server 1


accounting-scheme sch1
  accounting-mode radius
  accounting start-fail online


IMC版本:iMC PLAT 7.1 (E0303)

iNode版本:iNode PC 7.1(E0313)

  • x
  • 常规:

点评 回复

交换机在江湖
交换机在江湖 官方号 发表于 2016-5-30 11:15:19 已赞(0) 赞(0)

回复 10 楼

OK,感谢分享,我来看看怎么补充进去。

  • x
  • 常规:

点评 回复

12
返回列表
发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录