【交换机在江湖】实战案例十二 HUAWEI S系列交换机802.1x特性&Portal特性对接与Agile Controller服务器对接指导

[复制链接]
发表于 : 2014-12-30 16:52:41 最新回复:2015-10-28 12:51:13
4940 7
交换机在江湖
交换机在江湖 官方号

 

1 背景

交换机提供用户的接入功能,用户分为管理员用户和接入用户两大类。如1-1所示,管理员用户需要接入交换机对其进行管理,接入用户需要接入交换机使用视频、语音、上网等网络应用业务。

图1-1 交换机的用户

当用户接入交换机时,交换机需要对这些用户进行接入控制管理。如对用户进行身份认证(Authentication),授权(Authorization)给用户接入后可进行的业务以及根据用户使用的业务进行计费(Accounting),即AAA管理机制。AAA提供对用户进行认证、授权和计费等安全功能,防止非法用户登录设备,增强设备系统安全性。

l   认证:验证用户是否可以获得网络访问权。

l   授权:授权用户可以使用哪些服务。

l   计费:记录用户使用网络资源的情况。

 

AAA常用在对安全性要求较高的网络环境中,例如金融、***和运营商等行业。交换机运用AAA管理机制时还需要在网络中部署AAA服务器,如1-2所示,通过各种方式接入交换机的用户的用户信息都由AAA服务器统一创建与维护,当用户输入的用户名和密码与AAA服务器上配置的一致时,才可以成功登录设备,再依据授权配置完成相应的授权,例如获取权限访问Internet

图1-2 AAA服务器管理交换机的用户

 

S系列交换机支持基于RADIUS协议或HWTACACS协议与AAA服务器通信,在实际应用中,最常使用RADIUS协议。 

进行S系列交换机的网络部署时,HUAWEI Agile Controller可以作为AAA服务器。


 

2 HUAWEI Agile Controller介绍

简介

Agile Controller是华为最新研制的基于用户和应用的网络资源自动化控制系统。该系统提供统一的策略引擎,在整个组织内实施统一访问策略,实现基于接入用户、接入时间、接入地点、设备类型、设备来源、接入方式(简称5W1H)的认证与授权,将接入用户和网络访问控制策略集中统一管理;同时实现全网访问策略的自动部署,确保全网策略一致,让用户自由移动时享受一致的业务访问权限。

 

同时,Agile Controller通过基于策略矩阵网络访问授权方式,管理员可以基于安全组进行双向的访问控制策略配置,大大减轻管理员的配置管理工作,解放管理员的重复劳动,使管理员将精力放在网络优化上。

【交换机在江湖】实战案例十二 HUAWEI S系列交换机802.1x特性&Portal特性对接与Agile Controller服务器对接指导-1316687-3 Agile Controller只支持通过RADIUS协议与S系列交换机实现AAA特性的对接。

 

HUAWEI Agile Controller的使用

完成交换机与Agile Controller的物理连接后,还需要在PC上安装AnyOffice Agent软件。安装完成后,管理员可以通过WEB界面登录到Agile Controller对其进行配置。

【交换机在江湖】实战案例十二 HUAWEI S系列交换机802.1x特性&Portal特性对接与Agile Controller服务器对接指导-1316687-4 本文以Agile Controller V100R001C00SPC200版本为例介绍相关界面和配置。

 

登录AnyOffice Agent后,可以查看和管理Agile Controller,同时也可以监控和输出日志。AnyOffice Agent分为“资源”、“策略”、“报表”和“系统”四大菜单, 2-1所示。

表2-1 AnyOffice Agent四大菜单介绍

【交换机在江湖】实战案例十二 HUAWEI S系列交换机802.1x特性&Portal特性对接与Agile Controller服务器对接指导-1316687-5

 

3 S系列交换机AAAAgile Controller对接方案

 

3.1 实现差异对比

S系列交换机和Agile Controller支持均采用标准协议,无对接风险。

 

3.2 适用型态及版本

表3-1 S系列交换机版本支持情况

【交换机在江湖】实战案例十二 HUAWEI S系列交换机802.1x特性&Portal特性对接与Agile Controller服务器对接指导-1316687-6

本文以版本V100R001C00SPC200为例介绍Agile Controller相关界面和配置。

 

3.3 对接介绍

交换机与Agile Controller对接组网如3-1所示。

图3-1 交换机与Agile Controller对接组网

进行对接配置之前,请先确保:

l   交换机与Agile Controller的物理连通性。

l   管理员可以通过WEB界面登录到Agile ControllerAgile Controller进行配置。

 

3.4 802.1x用户对接案例

3.4.1 组网需求及配置思路

组网需求

管理员和802.1x接入用户分别通过管理网络和接入网络接入交换机,企业使用Agile Controller统一创建与维护用户信息。其中管理员可以通过WEB界面登录到Agile ControllerAgile Controller进行配置。

 

为加强安全性,要求管理员和802.1x接入用户采用不同的账号,并且权限不一样。

具体需求:

1.         管理员输入正确的用户名和密码才能通过Telnet登录设备,并且登录设备成功后可以操作命令级别为015的所有命令行。

 

2.         802.1x用户在终端上启动802.1x客户端,输入用户名和密码,认证通过后可以接入交换机。

802.1x用户接入交换机后,

       只能操作命令级别为02的所有命令行。

       Agile Controller为其下发属性VLAN 100ACL 3000

 

3.         管理员登录设备时使用默认域认证,802.1x用户使用huawei.com域认证。

图3-2 接入用户通过802.1x接入交换机

 

配置准备

进行配置之前,请按照3-2准备数据,表中数据仅供参考。

表3-2 交换机与Agile Controller对接的数据准备

【交换机在江湖】实战案例十二 HUAWEI S系列交换机802.1x特性&Portal特性对接与Agile Controller服务器对接指导-1316687-9

 

3.4.2 配置S系列交换机

配置思路

1.         使能Telnet服务。

2.         创建VLANACL,用于Agile Controller下发时匹配。

3.         配置管理员用户通过Telnet登录的认证方式为AAA

4.         配置RADIUS认证:创建RADIUS服务器模板和AAA认证方案并分别在默认管理域default_admin和普通huawei.com下引用。

5.         802.1x用户接入的接口下使能802.1x认证。

 

操作步骤

1.         配置接口和IP地址,使SwitchAgile Controller网络互通。

<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 10 20 30
[Switch] interface vlanif 10
[Switch-Vlanif20] ip address 10.1.6.10 24
[Switch-Vlanif20] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 10.1.2.10 24
[Switch-Vlanif20] quit
[Switch] interface vlanif 30
[Switch-Vlanif30] ip address 10.1.3.10 24
[Switch-Vlanif30] quit
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan 10
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan 20
[Switch-GigabitEthernet0/0/2] quit

【交换机在江湖】实战案例十二 HUAWEI S系列交换机802.1x特性&Portal特性对接与Agile Controller服务器对接指导-1316687-10 当需要AAA服务器为接入用户下发VLAN属性或者ACL属性时,交换机的用户上线接口(使能认证的端口)必须为hybrid类型接口。

[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type hybrid
[Switch-GigabitEthernet0/0/3] port hybrid untagged vlan 30
[Switch-GigabitEthernet0/0/3] quit

 

2.         创建用户的VLANACL,用于Agile Controller为用户下发时匹配。

【交换机在江湖】实战案例十二 HUAWEI S系列交换机802.1x特性&Portal特性对接与Agile Controller服务器对接指导-1316687-11 设备上存在的VLANAAA服务器下发的VLAN相同时,VLAN才能成功下发。ACL下发时亦是。

[Switch] vlan 100
[Switch-vlan100] quit
[Switch] acl 3000
[Switch-acl-adv-3000] quit

 

3.         使能Telnet服务器功能。

[Switch] telnet server enable

 

4.         配置VTY用户界面的验证方式AAA

[Switch] user-interface maximum-vty 15  //配置VTY用户界面的登录用户最大数目为15(该数目在不同版本和不同形态间有差异,具体以设备为准),缺省情况下Telnet用户最大数目为5
[Switch] user-interface vty 0 14  //
进入014VTY用户界面视图
[Switch-ui-vty0-14] authentication-mode aaa  //
配置VTY用户界面的验证方式为AAA
[Switch-ui-vty0-14] protocol inbound telnet  //
配置VTY用户界面所支持的协议为TelnetV200R006及之前版本,默认配置为telnet,可以不配置该项;V200R007及之后版本,必须配置) 
[Switch-ui-vty0-14] quit

 

5.         配置RADIUS认证,实现用户通过RADIUS认证接入交换机。

# 配置RADIUS服务器模板,实现交换机与Agile Controller采用RADIUS方式通信。

[Switch] radius-server template 1
[Switch-radius-1] radius-server authentication 10.1.6.6 1812  //
指定Agile ControllerIP地址和端口号
[Switch-radius-1] radius-server shared-key cipher Hello@1234  //
指定Agile Controller的共享密钥,需要与Agile Controller上配置一致
[Switch-radius-1] quit

【交换机在江湖】实战案例十二 HUAWEI S系列交换机802.1x特性&Portal特性对接与Agile Controller服务器对接指导-1316687-12 如果AAA服务器上保存的用户名不包含域名,还需要配置命令undo radius-server user-name domain-included使设备向RADIUS服务器发送的报文中的用户名不包含域名。

 

# 配置AAA认证方案,指定认证方式为RADIUS

[Switch] aaa
[Switch-aaa] authentication-scheme sch1
[Switch-aaa-authen-sch1] authentication-mode radius
[Switch-aaa-authen-sch1] quit

 

# 在默认管理域下引用AAA认证方案和RADIUS服务器模板。

【交换机在江湖】实战案例十二 HUAWEI S系列交换机802.1x特性&Portal特性对接与Agile Controller服务器对接指导-1316687-13 管理员用户(通过TelnetSSHFTPHTTPTerminal等方式的接入用户)使用默认管理域认证。

缺省情况下,默认管理域为default_admin

[Switch-aaa] domain default_admin
[Switch-aaa-domain-huawei.com] radius-server 1
[Switch-aaa-domain-huawei.com] authentication-scheme sch1
[Switch-aaa-domain-huawei.com] quit
[Switch-aaa] quit

 

# huawei.com域下引用AAA认证方案和RADIUS服务器模板。

[Switch-aaa] domain huawei.com
[Switch-aaa-domain-huawei.com] radius-server 1
[Switch-aaa-domain-huawei.com] authentication-scheme sch1
[Switch-aaa-domain-huawei.com] quit
[Switch-aaa] quit

 

# V200R005及后续版本新增统一模式,V200R005之前版本可忽略该配置)将NAC配置模式切换成统一模式。

[Switch] authentication unified-mode

【交换机在江湖】实战案例十二 HUAWEI S系列交换机802.1x特性&Portal特性对接与Agile Controller服务器对接指导-1316687-14 传统模式与统一模式相互切换后,必须重启设备,新配置模式的各项功能才能生效。缺省情况下,NAC配置模式为统一模式。

 

# 在接口上使能802.1x认证。

[Switch] interface gigabitethernet0/0/3
[Switch-GigabitEthernet0/0/3] authentication dot1x
[Switch-GigabitEthernet0/0/3] dot1x authentication-method eap  //
由于大部分802.1x客户端采用EAP中继认证,建议配置
[Switch-GigabitEthernet0/0/3] quit

 

配置文件

#
sysname Switch
#
vlan batch 10 20 30 100
#
acl number 3000
#
radius-server template 1
 radius-server shared-key cipher %#%#9nP3;sDW-AN0f@H@S*l&\f{V=V_auKe|^YXy7}bU%#%#
 radius-server authentication 10.1.6.6 1812 weight 80
#
aaa
 authentication-scheme sch1    
  authentication-mode radius  
 domain default_admin            
  authentication-scheme sch1     
  radius-server 1      
 domain huawei.com            
  authentication-scheme sch1     
  radius-server 1      
# 
interface Vlanif10 
 ip address 10.1.6.10 255.255.255.0     
# 
interface Vlanif20 
 ip address 10.1.2.10 255.255.255.0     
# 
interface Vlanif30 
 ip address 10.1.3.10 255.255.255.0     
# 
interface GigabitEthernet0/0/1         
 port link-type access           
 port default vlan 10 
#
interface GigabitEthernet0/0/2         
 port link-type access           
 port default vlan 20 
#
interface GigabitEthernet0/0/3  
 port link-type hybrid           
 port hybrid untagged vlan 30    
 authentication dot1x 
 dot1x authentication-method eap
#
user-interface maximum-vty 15  
user-interface vty 0 14          
 authentication-mode aaa     
 protocol inbound telnet      
#
return

 

3.4.3 配置Agile Controller

1.         登录Agile Controller客户端AnyOffice Agent,输入用户名和密码,进入系统的主页面。

a.         在浏览器的地址栏输入Agile ControllerURLUniversal Resource Locator)地址,并按回车键“Enter”,进入Agile Controller登录页面,输入用户名和密码,并单击“Go”或按回车键“Enter”,如3-3所示。

Agile ControllerURL地址格式:“http://IP :8088/”或者“https://IP:8088/”。例如:“http://10.13.1.1/”或者“https://10.13.1.1:8088/”。

图3-3 Agile Controller登录页面

b.         成功登录Agile Controller后,会显示系统的主页面,如3-4所示。

图3-4 系统的主页面

【交换机在江湖】实战案例十二 HUAWEI S系列交换机802.1x特性&Portal特性对接与Agile Controller服务器对接指导-1316687-16

2.         添加接入设备。

a.         单击主菜单中的“资源 > 设备 > 设备管理”。

b.         进入设备管理页面后,单击“增加”,如3-5所示。

图3-5 增加设备

【交换机在江湖】实战案例十二 HUAWEI S系列交换机802.1x特性&Portal特性对接与Agile Controller服务器对接指导-1316687-17

c.         输入交换机名称、交换机IP地址,并勾选上“启用RADIUS”即选择交换机与ACS通信方式为RADIUS,选择设备系列,输入交换机与Agile Controller的共享密钥,如3-6所示。

图3-6 添加设备的认证参数页签

3.         添加接入用户。

a.         单击主菜单中的“资源 > 用户 > 用户管理”。

一个部门包括若干个终端用户,而一个终端用户允许使用若干个账号。终端用户和账号无法独立于部门而存在。

要按部门管理终端用户和账号,管理员必须先手工创建一级部门,然后执行如下的操作:

先创建终端用户,然后在终端用户的基础上创建账号。

从外部认证源将账号和子节点同步复制至业务管理器,子节点自动作为业务管理器目标部门的子部门,同时根据直属的节点将账号复制至对应的部门。

b.         增加部门。

在“部门”页签下方单击“增加”。 输入部门的参数如3-73-8所示,单击“确定”。

图3-7 增加管理员部门

图3-8 增加“802.1x用户部门

c.         增加用户。

在“用户”页签下方单击“增加”。 输入用户的参数如3-93-10所示,单击“确定”。

图3-9 增加管理员用户

图3-10 增加802.1x用户

d.         在需要创建普通账号的终端用户右侧单击 【交换机在江湖】实战案例十二 HUAWEI S系列交换机802.1x特性&Portal特性对接与Agile Controller服务器对接指导-1316687-23 ,进入账号管理页面,并单击“增加”,编辑账号参数分别如3-113-12所示。

图3-11 管理员账号

图3-12 802.1x账号

4.         添加策略元素。

a.         单击主菜单中的“策略 > 准入控制 > 策略元素 > 动态ACL”。

b.         增加动态ACL

单击“增加”。 输入ACL的参数如3-13所示,单击“确定”。

图3-13 增加动态ACL属性

5.         添加认证授权规则。

a.         增加认证规则。单击主菜单中的“策略 > 准入控制 > 认证授权 > 认证规则”。

3-14为添加管理员用户参数的配置页面,请根据管理员用户参数再自行添加802.1x用户。

图3-14 管理员的认证规则

【交换机在江湖】实战案例十二 HUAWEI S系列交换机802.1x特性&Portal特性对接与Agile Controller服务器对接指导-1316687-27

b.         增加授权结果。单击主菜单中的“策略 > 准入控制 > 认证授权 > 授权结果”。

分别配置授权结果如3-153-16所示。

图3-15 管理员对应的授权结果

【交换机在江湖】实战案例十二 HUAWEI S系列交换机802.1x特性&Portal特性对接与Agile Controller服务器对接指导-1316687-28

图3-16 802.1x用户对应的授权结果

【交换机在江湖】实战案例十二 HUAWEI S系列交换机802.1x特性&Portal特性对接与Agile Controller服务器对接指导-1316687-29

c.         添加授权规则。单击主菜单中的“策略 > 准入控制 > 认证授权 > 授权规则”。

分别配置授权规则如3-173-18所示。

图3-17 管理员对应的授权规则

【交换机在江湖】实战案例十二 HUAWEI S系列交换机802.1x特性&Portal特性对接与Agile Controller服务器对接指导-1316687-30 

图3-18 802.1x用户对应的授权规则

【交换机在江湖】实战案例十二 HUAWEI S系列交换机802.1x特性&Portal特性对接与Agile Controller服务器对接指导-1316687-31 

6.         配置完成。

 

3.4.4 检查配置结果

l   管理员通过RADIUS认证后成功Telnet交换机。

# 管理员在PC上单击“运行”->输入“cmd”,进入Windows的命令行提示符界面,执行telnet命令,并输入用户名admin1和密码Huawei@1234,通过Telnet方式登录交换机成功。

C:\Documents and Settings\Administrator> telnet 10.1.2.10
Username:admin1
Password:**********
<Switch>//
管理员登录设备成功

 

# 通过Telnet方式登录交换机成功后,执行命令display access-user username admin1查看管理用户获取的授权。

 

l   802.1x用户通过RADIUS认证后成功通过802.1x方式接入交换机。

# 在设备上执行命令test-aaa,测试该802.1x用户能否通过认证。

[Switch] test-aaa user1@huawei.com Huawei@1234 radius-template 1

 

# 802.1x用户在终端上启动802.1x客户端,输入用户名user1@huawei.com和密码Huawei@1234,开始认证。如果用户输入的用户名和密码验证正确,客户端页面会显示认证成功信息。用户即可访问网络。

 

# 802.1x用户上线后,管理员可在交换机上执行命令display access-user access-type dot1x查看在线的802.1x用户,同时通过查看“Dynamic VLAN”和“Dynamic ACL number(Effective)”字段可以看到802.1x用户成功获取RADIUS服务器下发的VLANACL属性。

 

# AnyOffice Agent上单击菜单“资源 > 用户 > RADIUS在线用户”,可以查看在线用户的用户信息。  

本帖被以下专题推荐:

  • x
  • 常规:

点评 回复

跳转到指定楼层
kmyd
kmyd  大师 发表于 2014-12-30 17:02:52 已赞(0) 赞(0)

好资料,学习了,感谢楼主!!
  • x
  • 常规:

点评 回复

交换机在江湖
交换机在江湖 官方号 发表于 2014-12-30 18:12:25 已赞(0) 赞(0)

 

3.5 Portal用户对接案例

3.5.1 组网需求及配置思路

组网需求

管理员和Portal用户分别通过管理网络和接入网络接入交换机,企业使用Agile Controller统一创建与维护用户信息。其中管理员可以通过WEB界面登录到Agile ControllerAgile Controller进行配置。

为加强安全性,要求管理员和Portal用户采用不同的账号,并且权限不一样。

具体需求:

1.         管理员输入正确的用户名和密码才能通过Telnet登录设备,并且登录设备成功后可以操作命令级别为015的所有命令行。

2.         Portal用户在上网过程中被强制访问Portal认证网站,输入用户名和密码,认证通过后可以接入交换机。

Portal用户接入交换机后,

       只能操作命令级别为02的所有命令行。

       Agile Controller为其下发属性VLAN 100ACL 3000

3.         管理员登录设备时使用默认域认证,Portal用户使用huawei.com域认证。

图3-19 接入用户通过Portal交换机

 

配置准备

进行配置之前,请按照3-3准备数据,表中数据仅供参考。

表3-3 交换机与Agile Controller对接的数据准备

Agile Controller客户端的管理员用户名、密码

admin

Admin_123

交换机的管理员用户名、密码

admin1

Admin@1234

Portal用户的用户名、密码

user1@huawei.com

Huawei@1234

交换机名称、与Agile Controller连接的端口IP地址

HUAWE_S

10.1.6.10

交换机与Agile Controller的共享密码

Hello@1234

交换机与Portal Server的共享密码

Huawei@123

3.5.2 配置S系列交换机

配置思路

1.         使能Telnet服务。

2.         创建VLANACL,用于Agile Controller下发时匹配。

3.         配置管理员用户通过Telnet登录的认证方式为AAA

4.         配置RADIUS认证:创建RADIUS服务器模板和AAA认证方案并分别在默认管理域default_admin和普通huawei.com下引用。

5.         配置Portal认证:创建Portal服务器模板并在Portal用户接入的接口下引用,同时在该接口下使能Portal认证。

操作步骤

1.         配置接口和IP地址,使SwitchAgile Controller网络互通。

<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 10 20 30
[Switch] interface vlanif 10
[Switch-Vlanif20] ip address 10.1.6.10 24
[Switch-Vlanif20] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 10.1.2.10 24
[Switch-Vlanif20] quit
[Switch] interface vlanif 30
[Switch-Vlanif30] ip address 10.1.3.10 24
[Switch-Vlanif30] quit
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan 10
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan 20
[Switch-GigabitEthernet0/0/2] quit

【交换机在江湖】实战案例十二 HUAWEI S系列交换机802.1x特性&Portal特性对接与Agile Controller服务器对接指导-1581901-2 当需要AAA服务器为接入用户下发VLAN属性或者ACL属性时,交换机的用户上线接口(使能认证的端口)必须为hybrid类型接口。

[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type hybrid
[Switch-GigabitEthernet0/0/3] port hybrid untagged vlan 30
[Switch-GigabitEthernet0/0/3] quit

2.         创建用户的VLANACL,用于Agile Controller为用户下发时匹配。

【交换机在江湖】实战案例十二 HUAWEI S系列交换机802.1x特性&Portal特性对接与Agile Controller服务器对接指导-1581901-3 设备上存在的VLANAAA服务器下发的VLAN相同时,VLAN才能成功下发。ACL下发时亦是。

[Switch] vlan 100
[Switch-vlan100] quit
[Switch] acl 3000
[Switch-acl-adv-3000] quit

3.         使能Telnet服务器功能。

[Switch] telnet server enable

4.         配置VTY用户界面的验证方式为AAA

[Switch] user-interface maximum-vty 15  //配置VTY用户界面的登录用户最大数目为15(该数目在不同版本和不同形态间有差异,具体以设备为准),缺省情况下Telnet用户最大数目为5
[Switch] user-interface vty 0 14  //
进入014VTY用户界面视图
[Switch-ui-vty0-14] authentication-mode aaa  //
配置VTY用户界面的验证方式为AAA
[Switch-ui-vty0-14] protocol inbound telnet  //
配置VTY用户界面所支持的协议为TelnetV200R006及之前版本,默认配置为telnet,可以不配置该项;V200R007及之后版本,必须配置) 
[Switch-ui-vty0-14] quit

5.         配置RADIUS认证,实现用户通过RADIUS认证接入交换机。

# 配置RADIUS服务器模板,实现交换机与Agile Controller采用RADIUS方式通信。

[Switch] radius-server template 1
[Switch-radius-1] radius-server authentication 10.1.6.6 1812  //
指定Agile ControllerIP地址和端口号
[Switch-radius-1] radius-server shared-key cipher Hello@1234  //
指定Agile Controller的共享密钥,需要与Agile Controller上配置一致
[Switch-radius-1] quit

【交换机在江湖】实战案例十二 HUAWEI S系列交换机802.1x特性&Portal特性对接与Agile Controller服务器对接指导-1581901-4 如果AAA服务器上保存的用户名不包含域名,还需要配置命令undo radius-server user-name domain-included使设备向RADIUS服务器发送的报文中的用户名不包含域名。

# 配置AAA认证方案,指定认证方式为RADIUS

[Switch] aaa
[Switch-aaa] authentication-scheme sch1
[Switch-aaa-authen-sch1] authentication-mode radius
[Switch-aaa-authen-sch1] quit

# 在默认管理域下引用AAA认证方案和RADIUS服务器模板。

【交换机在江湖】实战案例十二 HUAWEI S系列交换机802.1x特性&Portal特性对接与Agile Controller服务器对接指导-1581901-5 管理员用户(通过TelnetSSHFTPHTTPTerminal等方式的接入用户)使用默认管理域认证。 缺省情况下,默认管理域为default_admin

[Switch-aaa] domain default_admin
[Switch-aaa-domain-huawei.com] radius-server 1
[Switch-aaa-domain-huawei.com] authentication-scheme sch1
[Switch-aaa-domain-huawei.com] quit
[Switch-aaa] quit

# huawei.com域下引用AAA认证方案和RADIUS服务器模板。

[Switch-aaa] domain huawei.com
[Switch-aaa-domain-huawei.com] radius-server 1
[Switch-aaa-domain-huawei.com] authentication-scheme sch1
[Switch-aaa-domain-huawei.com] quit
[Switch-aaa] quit

6.         配置Portal认证。

# V200R005及后续版本新增统一模式,V200R005之前版本可忽略该配置)将NAC配置模式切换成统一模式。

[Switch] authentication unified-mode

【交换机在江湖】实战案例十二 HUAWEI S系列交换机802.1x特性&Portal特性对接与Agile Controller服务器对接指导-1581901-6 传统模式与统一模式相互切换后,必须重启设备,新配置模式的各项功能才能生效。缺省情况下,NAC配置模式为统一模式。

# 创建并配置Portal服务器模板。

[Switch] web-auth-server abc
[Switch-web-auth-server-abc] server-ip 10.1.6.8
[Switch-web-auth-server-abc] port 50200
[Switch-web-auth-server-abc] url http://10.1.6.8:8080/webagent
[Switch-web-auth-server-abc] shared-key cipher Huawei@123
[Switch-web-auth-server-abc] quit

# 在接口上使能Portal认证。

[Switch] interface gigabitethernet0/0/3
[Switch-GigabitEthernet0/0/3] authentication portal  //
接口上使能Portal认证
[Switch-GigabitEthernet0/0/3] web-auth-server abc direct  //
引用Portal服务器模板
[Switch-GigabitEthernet0/0/3] quit

配置文件

#
sysname Switch
#
vlan batch 10 20 30 100
#
acl number 3000
#
radius-server template 1
 radius-server shared-key cipher %#%#9nP3;sDW-AN0f@H@S*l&\f{V=V_auKe|^YXy7}bU%#%#
 radius-server authentication 10.1.6.6 1812 weight 80
#
web-auth-server abc
 server-ip 10.1.6.8
 port 50200
 shared-key cipher %#%#yV{\SVYgIU'Krp1#VA;2uY~y-Hhp#Znkf|,QE4$.%#%#
 url http://10.1.6.8:8080/webagent
#
aaa
 authentication-scheme sch1    
  authentication-mode radius  
 domain default_admin            
  authentication-scheme sch1     
  radius-server 1      
 domain huawei.com            
  authentication-scheme sch1     
  radius-server 1      
# 
interface Vlanif10 
 ip address 10.1.6.10 255.255.255.0     
# 
interface Vlanif20 
 ip address 10.1.2.10 255.255.255.0     
# 
interface Vlanif30 
 ip address 10.1.3.10 255.255.255.0     
# 
interface GigabitEthernet0/0/1         
 port link-type access           
 port default vlan 10 
#
interface GigabitEthernet0/0/2         
 port link-type access           
 port default vlan 20 
#
interface GigabitEthernet0/0/3  
 port link-type hybrid           
 port hybrid untagged vlan 30    
 authentication portal 
 web-auth-server abc direct
#
user-interface maximum-vty 15  
user-interface vty 0 14          
 authentication-mode aaa     
 protocol inbound telnet      
#
return

3.5.3 配置Agile Controller

1.         登录Agile Controller客户端AnyOffice Agent,输入用户名和密码,进入系统的主页面。

a.         在浏览器的地址栏输入Agile ControllerURLUniversal Resource Locator)地址,并按回车键“Enter”,进入Agile Controller登录页面,输入用户名和密码,并单击“Go”或按回车键“Enter”,如3-20所示。

Agile ControllerURL地址格式:“http://IP :8088/”或者“https://IP:8088/”。例如:“http://10.13.1.1/”或者“https://10.13.1.1:8088/”。

图3-20 Agile Controller登录页面

b.         成功登录Agile Controller后,会显示系统的主页面,如3-21所示。

图3-21 系统的主页面

【交换机在江湖】实战案例十二 HUAWEI S系列交换机802.1x特性&Portal特性对接与Agile Controller服务器对接指导-1581901-8

2.         添加接入设备。

a.         单击主菜单中的“资源 > 设备 > 设备管理”。

b.         进入设备管理页面后,单击“增加”,如3-22所示。

图3-22 增加设备

【交换机在江湖】实战案例十二 HUAWEI S系列交换机802.1x特性&Portal特性对接与Agile Controller服务器对接指导-1581901-9

c.         输入交换机名称、交换机IP地址,勾选上“启用RADIUS”和勾选上“启用Portal”,并配置参数如3-23所示。

图3-23 添加设备的认证参数页签

3.         添加接入用户。

a.         单击主菜单中的“资源 > 用户 > 用户管理”。

一个部门包括若干个终端用户,而一个终端用户允许使用若干个账号。终端用户和账号无法独立于部门而存在。

要按部门管理终端用户和账号,管理员必须先手工创建一级部门,然后执行如下的操作:

先创建终端用户,然后在终端用户的基础上创建账号。

从外部认证源将账号和子节点同步复制至业务管理器,子节点自动作为业务管理器目标部门的子部门,同时根据直属的节点将账号复制至对应的部门。

b.         增加部门。

在“部门”页签下方单击“增加”。 输入部门的参数如3-243-25所示,单击“确定”。

图3-24 增加管理员部门

图3-25 增加“Portal用户部门

c.         增加用户。

在“用户”页签下方单击“增加”。 输入用户的参数如3-263-27所示,单击“确定”。

图3-26 增加管理员用户

图3-27 增加Portal用户

d.         在需要创建普通账号的终端用户右侧单击,进入账号管理页面,并单击“增加”,编辑账号参数分别如3-283-29所示。

图3-28 管理员账号

图3-29 Portal账号

4.         添加策略元素。

a.         单击主菜单中的“策略 > 准入控制 > 策略元素 > 动态ACL”。

b.         增加动态ACL

单击“增加”。 输入ACL的参数如3-30所示,单击“确定”。

图3-30 增加动态ACL属性

5.         添加认证授权规则。

a.         增加认证规则。单击主菜单中的“策略 > 准入控制 > 认证授权 > 认证规则”。

3-31为添加管理员用户参数的配置页面,请根据管理员用户参数再自行添加Portal用户的认证规则。

图3-31 管理员的认证规则

【交换机在江湖】实战案例十二 HUAWEI S系列交换机802.1x特性&Portal特性对接与Agile Controller服务器对接指导-1581901-18

b.         增加授权结果。单击主菜单中的“策略 > 准入控制 > 认证授权 > 授权结果”。

分别配置授权结果如3-323-33所示。

图3-32 管理员对应的授权结果

【交换机在江湖】实战案例十二 HUAWEI S系列交换机802.1x特性&Portal特性对接与Agile Controller服务器对接指导-1581901-19

图3-33 Portal用户对应的授权结果

【交换机在江湖】实战案例十二 HUAWEI S系列交换机802.1x特性&Portal特性对接与Agile Controller服务器对接指导-1581901-20

c.         添加授权规则。单击主菜单中的“策略 > 准入控制 > 认证授权 > 授权规则”。

分别配置授权规则如3-343-35所示。

图3-34 管理员对应的授权规则

【交换机在江湖】实战案例十二 HUAWEI S系列交换机802.1x特性&Portal特性对接与Agile Controller服务器对接指导-1581901-21

图3-35 Portal用户对应的授权规则

【交换机在江湖】实战案例十二 HUAWEI S系列交换机802.1x特性&Portal特性对接与Agile Controller服务器对接指导-1581901-22

6.         配置完成。

3.5.4 检查配置结果

l   管理员通过RADIUS认证后成功Telnet交换机。

# 管理员在PC上单击“运行”->输入“cmd”,进入Windows的命令行提示符界面,执行telnet命令,并输入用户名admin1和密码Huawei@1234,通过Telnet方式登录交换机成功。

C:\Documents and Settings\Administrator> telnet 10.1.2.10
Username:admin1
Password:**********
<Switch>//
管理员登录设备成功

# 通过Telnet方式登录交换机成功后,执行命令display access-user username admin1查看管理用户获取的授权。

l   Portal用户通过RADIUS认证后成功通过Portal方式接入交换机。

# 在设备上执行命令test-aaa,测试该Portal用户能否通过认证。

[Switch] test-aaa user1@huawei.com Huawei@1234 radius-template 1

# Portal用户在上网过程中被强制访问Portal认证网站,输入用户名user1@huawei.com和密码Huawei@1234,认证通过后用户即可访问网络。

# Portal用户上线后,管理员可在交换机上执行命令display access-user access-type portal查看在线的Portal用户,同时通过查看“Dynamic VLAN”和“Dynamic ACL number(Effective)”字段可以看到Portal用户成功获取RADIUS服务器下发的VLANACL属性。

# AnyOffice Agent上单击菜单“资源 > 用户 > RADIUS在线用户”,可以查看在线用户的用户信息。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
  • x
  • 常规:

点评 回复

Paradise
Paradise  管理员 发表于 2015-3-4 15:04:11 已赞(0) 赞(0)

顶楼主,学习了,多谢分享。

  • x
  • 常规:

点评 回复

suname_
suname_   发表于 2015-9-30 14:56:13 已赞(0) 赞(0)

谢谢奉上的下载附件

  • x
  • 常规:

点评 回复

liuyang.liuyang
liuyang.liuyang   发表于 2015-9-30 23:27:39 已赞(0) 赞(0)

谢谢分享。。。
  • x
  • 常规:

点评 回复

仰望星空
仰望星空   发表于 2015-10-28 12:51:13 已赞(0) 赞(0)

请问下,为什么当需要AAA服务器为接入用户下发VLAN属性或者ACL属性时,交换机的用户上线接口(使能认证的端口)必须为hybrid类型接口?以本例为例,一般来说都在接入层交换机上部署dot1x认证,如果我以untag的方式加入到vlan 30,实际上客户所属的实际上vlan 1?

  • x
  • 常规:

点评 回复

ljglxwxl
ljglxwxl   发表于 2015-6-1 22:50:22 已赞(0) 赞(0)

谁有华为商标注册证复印件
  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录