【交换机在江湖】交换机与华为Agile Controller-Campus对接典型案例(七)

digest [复制链接]
发表于 : 2016-12-16 15:21:17 最新回复:2018-01-10 17:06:58
3569 3
交换机在江湖
交换机在江湖 官方号

? 配置通过802.1X MAC认证控制企业内部用户访问网络示例(认证点部署在汇

聚交换机)(V200R009C00及其后续版本)

简介

NAC网络部署中,为了灵活地适应网络环境中的多种认证需求,设备支持在接入用户的接口上对802.1x认证、MAC认证、Portal认证进行同时部署,以使用户通过任意一种认证方式即可接入网络。

如果使能多种认证方式,那么各认证顺序的生效方式和配置先后顺序保持一致。另一方面,在部署多种认证方式后,设备默认允许用户能够先后通过不同方式的接入认证,以实现授予用户不同的网络权限的目的。

配置注意事项

本例适用于S系列交换机的所有产品。

说明

如需了解交换机软件配套详细信息,请参看华为以太网交换机版本配套速查

举例中的RADIUS服务器以华为公司V100R001版本的Agile Controller-Campus为例。Agile Controller-Campus的支持版本为V100R001V100R002V100R003

配置过程中有三个共享密钥(RADIUS认证和计费密钥、Portal密钥)交换机侧与服务器侧必须要配置一致。

交换机默认放行发往RADIUS服务器的报文,不需要针对其配置免认证规则。

如果接口使能了NAC认证功能,则不能在该接口下配置以下命令,反之亦然:

命令

功能

mac-limit

配置接口的最大MAC地址学习个数。

mac-address learning disable

关闭接口的MAC地址学习功能。

port link-type dot1q-tunnel

配置接口的链路类型为QinQ

port vlan-mapping vlan map-vlan

port vlan-mapping vlan inner-vlan

配置接口的VLAN Mapping功能。

port vlan-stacking

配置灵活QinQ功能。

port-security enable

配置接口安全功能。

mac-vlan enable

使能接口的MAC VLAN功能。

ip-subnet-vlan enable

使能接口基于IP子网划分VLAN的功能。

?

组网需求

由于企业对安全性要求很高,网络管理员为了防止非法人员和不安全的电脑接入到公司网络中,造成公司信息资源受到损失,希望员工的电脑在接入到公司网络之前进行身份验证和安全检查,只有身份合法的用户使用安全检查通过的电脑才可以接入到公司网络。

对于IP电话、打印机等哑终端,同样需要认证通过才允许接入网络。

根据公司现有网络设备的性能分析结果,企业具有如下特征:

l?? 因网络组建较早,现有接入交换机均不支持802.1X功能。

l?? 公司园区规模较小,且不存在分支机构,网络相对集中。

l?? 公司现有员工不超过1000人,包括访客日均终端接入量低于2000

l?? 公司网络中需要接入哑终端,如IP电话、打印机等。

同时,为了控制企业网络改造的投入成本,建议在公司现有网络的汇聚层交换机上部署802.1X认证控制点,认证服务器采用单服务器集中式部署方式并旁挂于汇聚层交换机侧;针对哑终端接入场景,需部署MAC认证。

有线接入组网图

20161216151736995002.png

?

数据准备

网络数据规划

项目

数据

Agile Controller-Campus

IP地址:192.168.100.100

认证后域服务器

IP地址:192.168.102.100

汇聚层交换机(SwitchA

l? 与服务器相连接口0/0/6所属的VLANVLAN 100

l? 下行接口GE0/0/1GE0/0/2所属VLANVLAN 200

接入层交换机(SwitchC

用户所属的VLAN ID200

接入层交换机(SwitchD

用户所属的VLAN ID200

?

汇聚交换机业务数据规划

项目

数据

RADIUS方案

l? 认证服务器IP地址:192.168.100.100

l? 认证服务器端口号:1812

l? 计费服务器IP地址:192.168.100.100

l? 计费服务器端口号:1813

l? RADIUS服务器共享密钥:Huawei@2014

l? 计费周期:15分钟

l? 认证域:isp

认证后域ACL编号

3002

?

Agile Controller-Campus业务数据规划

项目

数据

部门

研发部

接入用户

用户名:A

有线接入帐号:A-123

密码:Huawei123

设备组

有线设备组:Switch

交换机IP地址

SwitchA192.168.10.10

RADIUS认证密钥

Huawei@2014

RADIUS计费密钥

Huawei@2014

?

配置思路

1.???????? 配置汇聚交换机。包括配置接口所属VLAN、与RADIUS服务器的对接参数、使能NAC认证、认证后域的网络访问权限等。

说明

保证接入交换机SwitchCSwitchD、汇聚交换机SwitchAAgile Controller-Campus服务器之间网络互通。

2.???????? 配置接入交换机。包括配置接口所属VLAN802.1x报文透传功能。

3.???????? 配置Agile Controller-Campus

a.???????? 登录Agile Controller-Campus

b.???????? Agile Controller-Campus中添加用户账号。

c.???????? Agile Controller-Campus中添加交换机。

d.???????? Agile Controller-Campus中增加认证规则、授权结果和授权规则。

操作步骤

步骤一 汇聚交换机侧配置。

1.???????? 创建VLAN并配置接口允许通过的VLAN,保证网络通畅。

<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] vlan batch 100 200
[SwitchA] interface gigabitethernet 0/0/1??? //
配置与SwitchC连接的接口
[SwitchA-GigabitEthernet0/0/1] port link-type trunk
[SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 200
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchA] interface gigabitethernet 0/0/2??? //
配置与SwitchD连接的接口
[SwitchA-GigabitEthernet0/0/2] port link-type trunk
[SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 200
[SwitchA-GigabitEthernet0/0/2] quit
[SwitchA] interface gigabitethernet 0/0/6??? //
配置与服务器连接的接口
[SwitchA-GigabitEthernet0/0/6] port link-type trunk
[SwitchA-GigabitEthernet0/0/6] port trunk allow-pass vlan 100
[SwitchA-GigabitEthernet0/0/6] quit
[SwitchA] interface vlanif 100
[SwitchA-Vlanif100] ip address 192.168.10.10 24??? //
配置SwitchA的管理IP地址,Agile Controller-Campus添加SwitchA时使用管理IP地址
[SwitchA-Vlanif100] quit
[SwitchA] interface vlanif 200
[SwitchA-Vlanif200] ip address 192.168.200.1 24??? //
终端用户的网关地址
[SwitchA-Vlanif200] quit
[SwitchA] ip route-static 192.168.100.0 255.255.255.0 192.168.10.10??? //
配置到认证前域网段的路由
[SwitchA] ip route-static 192.168.102.0 255.255.255.0 192.168.10.10??? //
配置到认证后域网段的路由

2.???????? 创建并配置RADIUS服务器模板、AAA认证方案以及认证域。

# 创建并配置RADIUS服务器模板“rd1”。

[SwitchA] radius-server template rd1
[SwitchA-radius-rd1] radius-server authentication 192.168.100.100 1812
[SwitchA-radius-rd1] radius-server accounting 192.168.100.100 1813
[SwitchA-radius-rd1] radius-server shared-key cipher Huawei@2014
[SwitchA-radius-rd1] quit

# 创建AAA认证方案“abc”并配置认证方式为RADIUS

[SwitchA] aaa
[SwitchA-aaa] authentication-scheme abc
[SwitchA-aaa-authen-abc] authentication-mode radius
[SwitchA-aaa-authen-abc] quit

# 配置计费方案“acco1”。为了方便RADIUS服务器维护帐号的状态信息,例如上下线信息,强制帐号下线,计费模式必须配置为radius

[SwitchA-aaa] accounting-scheme acco1
[SwitchA-aaa-accounting-acco1] accounting-mode radius
[SwitchA-aaa-accounting-acco1] accounting realtime 15??? //
配置实时计费周期为15分钟
[SwitchA-aaa-accounting-acco1] quit

# 创建认证域“isp”,并在其上绑定AAA认证方案“abc”、计费方案acco1RADIUS服务器模板“rd1”。

[SwitchA-aaa] domain isp
[SwitchA-aaa-domain-isp] authentication-scheme abc
[SwitchA-aaa-domain-isp] accounting-scheme acco1
[SwitchA-aaa-domain-isp] radius-server rd1
[SwitchA-aaa-domain-isp] quit
[SwitchA-aaa] quit

# 配置全局默认域为“isp”。用户进行接入认证时,以格式“user@isp”输入用户名即可在isp域下进行aaa认证。如果用户名中不携带域名或携带的域名不存在,用户将会在默认域中进行认证。

[SwitchA] domain isp

3.???????? 使能802.1X认证和MAC认证。

# NAC配置模式切换成统一模式。

[SwitchA] authentication unified-mode

说明

设备默认为统一模式。传统模式与统一模式相互切换后,管理员必须保存配置后重启设备,新配置模式的各项功能才能生效。

# 配置MAC接入模板。

[SwitchA] mac-access-profile name m1
[SwitchA-mac-access-profile-m1] mac-authen username fixed A-123 password cipher Huawei123??? //
配置MAC认证用户采用固定用户名形式,用户名为A-123,密码为Huawei123
[SwitchA-mac-access-profile-m1] quit

# 配置802.1x接入模板。

说明

802.1x接入模板默认采用EAP认证方式。请确保RADIUS服务器支持EAP协议,否则无法处理802.1x认证请求。

[SwitchA] dot1x-access-profile name d1
[SwitchA-dot1x-access-profile-d1] quit

# 配置认证模板。

[SwitchA] authentication-profile name p1
[SwitchA-authen-profile-p1] mac-access-profile m1??? //
绑定MAC接入模板
[SwitchA-authen-profile-p1] dot1x-access-profile d1??? //
绑定802.1x接入模板
[SwitchA-authen-profile-p1] quit

# 在接口GE0/0/1GE0/0/2上同时使能802.1X认证和MAC认证。

[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-Gigabitethernet0/0/1] authentication-profile p1??? //
绑定认证模板,使能802.1xMAC的混合认证
[SwitchA-Gigabitethernet0/0/1] quit
[SwitchA] interface gigabitethernet 0/0/2
[SwitchA-Gigabitethernet0/0/2] authentication-profile p1??? //
绑定认证模板,使能802.1xMAC的混合认证
[SwitchA-Gigabitethernet0/0/2] quit

4.???????? 配置认证后域对应的ACL规则3002

[SwitchA] acl 3002
[SwitchA-acl-adv-3002] rule 1 permit ip destination 192.168.102.100 0
[SwitchA-acl-adv-3002] rule 2 deny ip destination any
[SwitchA-acl-adv-3002] quit

步骤二 接入交换机侧配置。

1.???????? 创建VLAN并配置接口允许通过的VLAN,保证网络通畅。以SwitchC配置为例,SwitchD和与SwitchC类似,这里不再赘述。

# 创建VLAN200

<HUAWEI> system-view
[HUAWEI] sysname SwitchC
[SwitchC] vlan batch 200

# 配置SwitchC与用户连接的接口为Access类型接口,并将其加入VLAN200

[SwitchC] interface gigabitethernet 0/0/1
[SwitchC-GigabitEthernet0/0/1] port link-type access
[SwitchC-GigabitEthernet0/0/1] port default vlan 200 ?
[SwitchC-GigabitEthernet0/0/1] quit
[SwitchC] interface gigabitethernet 0/0/2
[SwitchC-GigabitEthernet0/0/2] port link-type access
[SwitchC-GigabitEthernet0/0/2] port default vlan 200
[SwitchC-GigabitEthernet0/0/2] quit

# 配置SwitchC连接上行网络的接口为Trunk类型接口,并允许VLAN200通过。

[SwitchC] interface gigabitethernet 0/0/3
[SwitchC-GigabitEthernet0/0/3] port link-type trunk
[SwitchC-GigabitEthernet0/0/3] port trunk allow-pass vlan 200
[SwitchC-GigabitEthernet0/0/3] quit

2.???????? 配置802.1X报文透传功能。以SwitchC配置为例,SwitchD和与SwitchC相同,这里不再赘述。

说明

本举例中,由于认证交换机SwitchA与用户之间存在透传交换机SwitchCSwitchD,为保证用户能够通过802.1X认证,则务必在SwitchCSwitchD上配置EAP报文透传功能。

??????????? 方法一:

[SwitchC] l2protocol-tunnel user-defined-protocol 802.1X protocol-mac 0180-c200-0003 group-mac 0100-0000-0002
[SwitchC] interface gigabitethernet 0/0/1
[SwitchC-GigabitEthernet0/0/1] l2protocol-tunnel user-defined-protocol 802.1X enable
[SwitchC-GigabitEthernet0/0/1] bpdu enable
[SwitchC-GigabitEthernet0/0/1] quit
[SwitchC] interface gigabitethernet 0/0/2
[SwitchC-GigabitEthernet0/0/2] l2protocol-tunnel user-defined-protocol 802.1X enable
[SwitchC-GigabitEthernet0/0/2] bpdu enable
[SwitchC-GigabitEthernet0/0/2] quit
[SwitchC] interface gigabitethernet 0/0/3
[SwitchC-GigabitEthernet0/0/3] l2protocol-tunnel user-defined-protocol 802.1X enable
[SwitchC-GigabitEthernet0/0/3] bpdu enable
[SwitchC-GigabitEthernet0/0/3] quit

??????????? 方法二:当用户规模较大,或对网络性能要求较高时,建议采用该方法,此方法仅S5720EIS5720HIS6720EIS6720S-EI支持。

[SwitchC] undo bpdu mac-address 0180-c200-0000 ffff-ffff-fff0
[SwitchC] bpdu mac-address 0180-c200-0000 FFFF-FFFF-FFFE
[SwitchC] bpdu mac-address 0180-c200-0002 FFFF-FFFF-FFFF
[SwitchC] bpdu mac-address 0180-c200-0004 FFFF-FFFF-FFFC
[SwitchC] bpdu mac-address 0180-c200-0008 FFFF-FFFF-FFF8

从方法一切换到方法二时,如下步骤必须执行,否则不必执行。

[SwitchC] interface gigabitethernet 0/0/1
[SwitchC-GigabitEthernet0/0/1] undo l2protocol-tunnel user-defined-protocol 802.1X enable
[SwitchC-GigabitEthernet0/0/1] quit
[SwitchC] interface gigabitethernet 0/0/2
[SwitchC-GigabitEthernet0/0/2] undo l2protocol-tunnel user-defined-protocol 802.1X enable
[SwitchC-GigabitEthernet0/0/2] quit
[SwitchC] interface gigabitethernet 0/0/3
[SwitchC-GigabitEthernet0/0/3] undo l2protocol-tunnel user-defined-protocol 802.1X enable
[SwitchC-GigabitEthernet0/0/3] quit

步骤三 Agile Controller-Campus侧配置。

1.????? 登录Agile Controller-Campus

a.???????? 打开Internet Explorer浏览器,在地址栏输入Agile Controller-Campus的访问地址,单击“Enter”。

Agile Controller-Campus的访问地址支持以下形式:

访问方式

说明

https://Agile Controller-Campus-IP:8443

其中,“Agile Controller-Campus-IP”Agile Controller-CampusIP地址。

Agile Controller-CampusIP地址

如果在安装时启用了80端口,则允许不输入端口号。通过此种方式访问Agile Controller-CampusURL地址将自动跳转为“https://Agile Controller-Campus-IP:8443”

?

b.???????? 输入管理员帐号和密码。

首次登录Agile Controller-Campus,请使用超级管理员帐号admin和密码Changeme123。首次登录之后请立即修改密码,否则无法使用Agile Controller-Campus

2.????? 创建部门和账号。

a.???????? 选择“资源 > 用户 > 用户管理”。

b.???????? 在右侧操作区域内选择“部门”页签,并在“部门”页签下方单击“增加”,创建部门“研发部”。

20161216151737239004.jpg

20161216151738484005.png

c.???????? 在右侧操作区域内选择“用户”页签,并在“用户”页签下方单击“增加”,创建用户“A”。

20161216151739939006.jpg

20161216151740581007.png

d.???????? 在用户“A”右侧单击“操作”中的20161216151741598008.png,进入“账号管理”。单击“增加”,创建普通账号“A-123”,密码为“Huawei123”。

20161216151742842009.png

e.???????? 在“用户”页签内,选中用户“A”,单击“用户转移”,将用户“A”添加到部门“研发部”。

20161216151743129010.png

3.????? Agile Controller-Campus中添加交换机设备,以便Agile Controller-Campus能与交换机正常联动。

a.???????? 选择“资源 > 设备 > 设备管理”。

b.???????? 在左侧导航中选择“准入控制设备组”,分别单击20161216151743573011.png和“增加子组”,创建设备组“Switch”。

20161216151744613012.png

c.???????? 单击左侧导航中的设备组,选择“所有设备”,并单击“增加”,创建网络接入设备。

d.???????? 在“增加设备”页面,设置设备的连接参数。

参数

取值

说明

名称

SwitchA

-

IP地址

192.168.10.10

交换机上该接口必须与业务控制器互通。

设备系列

华为Quidway系列

-

RADIUS认证密钥

Huawei@2014

必须与交换机上配置的RADUIS认证密钥一致。

RADIUS计费密钥

Huawei@2014

必须与交换机上配置的RADUIS计费密钥一致。

实时计费周期

15

必须与交换机上配置的计费周期一致。

?

20161216151745863013.png

e.???????? 在左侧导航中选择“准入控制设备组”,选中上一步添加的SwithA,单击“移动”,将SwithA移动到Switch组。

4.????? 添加认证规则

a.???????? 选择“策略 > 准入控制 > 认证授权 > 认证规则”,并单击“增加”,分别创建认证规则。

b.???????? 设置认证规则的基本信息。

参数

取值

说明

名称

接入认证规则

-

业务类型

接入业务

-

认证条件

设备组“Switch”

可根据现网需求,定制认证规则。

允许使用的认证协议

EAP-PEAP-MSCHAPv2协议

-

?

20161216151746768014.png

20161216151747243015.png

5.????? 添加授权结果。

a.???????? 选择“策略 > 准入控制 > 认证授权 > 授权结果”,并单击“增加”,创建授权结果。

b.???????? 设置授权结果的基本信息。

参数

取值

说明

名称

认证后域

-

业务类型

接入业务

-

ACL/AAA用户组

3002

与交换机上配置的对研发部员工的访问控制规则一致。

?

20161216151748068016.png

6.????? 添加授权规则。

认证阶段的检查通过后,用户的接入过程将进入授权阶段。授权阶段,Agile Controller-Campus通过授权规则授予用户权限。

a.???????? 选择“策略 > 准入控制 > 认证授权 > 授权规则”,并单击“增加”,创建授权规则。

b.???????? 设置授权规则的基本信息。

参数

取值

说明

名称

研发部员工授权规则

-

业务类型

接入业务

-

接入设备

Switch

-

授权结果

认证后域

-

?

20161216151748090017.png

步骤四 检查配置结果

l?? 员工在没有认证的情况下只能访问Agile Controller-Campus服务器。

l?? 员工认证通过后,能够访问认证后域的网络资源。

l?? 认证通过后,在交换机上执行命令display access-user,可以看到员工的在线信息。

----结束

配置文件

l?? SwitchA的配置文件

#
sysname SwitchA
#
vlan batch 100 200
#
authentication-profile name p1
?dot1x-access-profile d1
?mac-access-profile m1
#
domain isp
#
radius-server template rd1
?radius-server shared-key cipher %#%#FP@&C(&{$F2HTlPxg^NLS~KqA/\^3Fex;T@Q9A](%#%#
?radius-server authentication 192.168.100.100 1812 weight 80
?radius-server accounting 192.168.100.100 1813 weight 80
#
dot1x-access-profile name d1
#
mac-access-profile name m1
?mac-authen username fixed A-123 password cipher %#%#'Fxw8E,G-81(A3U<^HH9Sj\:&hTdd>R>HILQYLtW%#%#
#
acl number 3002
?rule 1 permit ip destination 192.168.102.100 0
?rule 2 deny ip
#
aaa
?authentication-scheme abc
? authentication-mode radius
?accounting-scheme acco1
? accounting-mode radius
? accounting realtime 15
?domain isp
? authentication-scheme abc
? accounting-scheme acco1
? radius-server rd1
#
interface Vlanif100
?ip address 192.168.10.10 255.255.255.0
#
interface Vlanif200
?ip address 192.168.200.1 255.255.255.0
#
interface GigabitEthernet0/0/1
?port link-type trunk
?port trunk allow-pass vlan 200
?authentication-profile p1
#
interface GigabitEthernet0/0/2
?port link-type trunk
?port trunk allow-pass vlan 200
?authentication-profile p1
#
interface GigabitEthernet0/0/6
?port link-type trunk
?port trunk allow-pass vlan 100
#
ip route-static 192.168.100.0 255.255.255.0 192.168.10.10
ip route-static 192.168.102.0 255.255.255.0 192.168.10.10
#
return

l?? SwitchC的配置文件

#
sysname SwitchC
#
vlan batch 200
#
l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002
#
interface GigabitEthernet0/0/1
?port link-type access
?port default vlan 200
?l2protocol-tunnel user-defined-protocol 802.1x enable
#
interface GigabitEthernet0/0/2
?port link-type access
?port default vlan 200
?l2protocol-tunnel user-defined-protocol 802.1x enable
#
interface GigabitEthernet0/0/3
?port link-type trunk
?port trunk allow-pass vlan 200
?l2protocol-tunnel user-defined-protocol 802.1x enable
#
return

相关信息

技术论坛

一个门卫的故事(一)

一个门卫的故事(二)

?

?

?

???????????????????????

?????????????????????????????????????了解更多精彩内容,请猛戳我:交换机在江湖汇总贴

???????????????????

本帖最后由 交换机在江湖 于 2017-01-06 16:31 编辑

本帖被以下专题推荐:

  • x
  • 常规:

点评 回复

跳转到指定楼层
六月槎
六月槎   发表于 2016-12-16 15:22:54 已赞(0) 赞(0)

很详细。赞一个
  • x
  • 常规:

点评 回复

追分
追分   发表于 2016-12-28 10:36:08 已赞(0) 赞(0)

静态路由指向自己吗?没太理解,怎么会指向192.168.10.10呢?
  • x
  • 常规:

点评 回复

bluesea
bluesea   发表于 2018-1-10 17:06:58 已赞(0) 赞(0)

啥时候可以出一版汇总贴呀?
  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录