S7700使用UCL方式配置有线用户Portal认证逃生功能

发布时间:  2017-01-21 浏览次数:  193 下载次数:  0
问题描述
NAC统一模式下,S7700配置有线Portal认证功能,当Portal服务器故障时,或Radius认证服务器故障时,用户逃生可继续访问网络资源。
解决方案

# 配置RADIUS服务器认证、计费和授权模板。

[Switch] radius-server template radius_template 
[Switch-radius-radius_template] radius-server authentication 10.100.100.26 1812 source ip-address 10.10.10.254 
[Switch-radius-radius_template] radius-server accounting 10.100.100.26 1813 source ip-address 10.10.10.254
[Switch-radius-radius_template] radius-server shared-key cipher Admin@123
[Switch-radius-radius_template] quit
[Switch] radius-server authorization 10.100.100.26 shared-key cipher Admin@123 
[Switch] aaa 
[Switch-aaa] authentication-scheme auth_scheme  //认证方案
[Switch-aaa-authen-auth_scheme] authentication-mode radius  //认证方案必须为RADIUS
[Switch-aaa-authen-auth_scheme] quit
[Switch-aaa] accounting-scheme acco_scheme  //计费方案
[Switch-aaa-accounting-acco_scheme] accounting-mode radius  //计费方案为RADIUS
[Switch-aaa-accounting-acco_scheme] accounting realtime 15 
[Switch-aaa-accounting-acco_scheme] quit
创建用户接入认证域,绑定认证、计费方案、Radius模板。
[Switch-aaa]domain portal
[Switch-aaa-domain-portal]authentication-scheme auth_scheme
[Switch-aaa-domain-portal]accounting-scheme acco_scheme
[Switch-aaa-domain-portal]radius-server radius_template
[Switch-aaa-domain-portal]quit
[Switch-aaa] quit


# 配置Portal认证功能。

1)创建Portal器认证模板
[Switch] web-auth-server portal_huawei
[Switch-web-auth-server-portal_huawei] server-ip 10.100.100.26  //配置Portal服务器的IP地址
[Switch-web-auth-server-portal_huawei] source-ip 172.16.254.2   //配置设备和Portal服务器通信的IP地址
[Switch-web-auth-server-portal_huawei] port 50200               //配置向Portal服务器主动发送报文时使用的目的端口号为50200
[Switch-web-auth-server-portal_huawei] shared-key cipher Admin@123  //配置与Portal服务器通信的共享密钥
[Switch-web-auth-server-portal_huawei] url http://10.100.100.26:8080/portal  //配置与Portal服务器推送URL
[Switch-web-auth-server-portal_huawei] server-detect interval 100 max-times 5 critical-num 0 action log  //在服务器与设备同时使能与Portal服务器探测功能,注意critical-num设置,如Portal服务器只有一台SC,当其故障时需要逃生,critical-num需要设置为0
[Switch-web-auth-server-portal_huawei] user-sync interval 100 max-times 5 //使能用户信息同步功能
[Switch-web-auth-server-portal_huawei] quit

2)使能Portal认证静默功能,认证用户在60秒内认证失败的次数超过设定值,则在设置的一定时间内,丢弃认证用户的报文,防止用户频繁认证对系统造成冲击。
[Switch] portal quiet-period
[Switch] portal quiet-times 5  //配置Portal认证用户被静默前60秒内允许认证失败的次数
[Switch] portal timer quiet-period 240  //配置Portal认证静默周期为240秒

3)在用户接入业务接口下绑定Portal认证模板以及使能Portal认证功能
[Switch]interface Vlanif80
[Switch-Vlanif80]ip address 172.16.80.1 255.255.255.0
[Switch-Vlanif80]web-auth-server portal_web direct
[Switch-Vlanif80]authentication portal
[Switch-Vlanif80]quit

 

# 配置UCL方式逃生方案

1)执行命令ucl-group 创建UCL组,在业务方案下绑定UCL组。
[Switch] ucl-group 1 name huawei
[Switch] aaa
[Switch-aaa] service-scheme server_down
[Switch-aaa-service-server_down] ucl-group name huawei
[Switch-aaa-service-server_down] quit
[Switch-aaa] quit
2)在系统视图下创建用户ACL(编号6000~9999),并在ACL视图下通过rule指定ucl-group用户可以访问的业务资源。
[Switch] acl 6000
[Switch-acl-ucl-6000] rule permit ip source ucl-group name huawei   //表示用户逃生通道启用后允许访问所有资源
[Switch-acl-ucl-6000] quit
3)在系统视图下执行命令traffic-filter inbound acl acl-number,配置基于ACL对报文进行过滤。只有配置该命令后基于ucl-group的规则才能生效。
[Switch] traffic-filter inbound acl 6000

 

#配置逃生场景
[Switch] authentication event authen-server-down action authorize service-scheme server_down  //配置Portal服务器故障,用户通过业务方案server_down改变用户UCL-Group属性进行逃生
[Switch] authentication event portal-server-down action authorize service-scheme server_down  //配置Radius认证服务器故障,用户通过业务方案server_down改变用户UCL-Group属性进行逃生

 

#测试用户Portal认证逃生功能
当Portal服务正常时,查询服务器探测状态显示Normal。
[Switch]display server-detect state
  Web-auth-server     :    portal_huawei
  Total-servers       :    1
  Live-servers        :    1
  Critical-num        :    0
  Status              :    Normal
  Ip-address               Status
  10.100.100.26            UP  

用户正常认证接入,显示认证方式为WEB authentication。 
[Switch]display access-user ip-address 172.16.80.254

Basic:
  User ID                         : 16670
  User name                       : tom
  Domain-name                     : portal                         
  User MAC                        : b8ee-6517-8c85
  User IP address                 : 172.16.80.254
  User vpn-instance               : -
  User access Interface           : GigabitEthernet1/0/28
  User vlan event                 : Success       
  QinQVlan/UserVlan               : 0/80
  User access time                : 2016/11/09 18:04:37
  User accounting session ID      : hsz-77001028000000080fefd8c016670
  Option82 information            : -
  User access type                : WEB  
  Terminal Device Type            : Data Terminal 
  Web-server IP address           : 10.100.100.26

AAA:
  User authentication type        : WEB authentication
  Current authentication method   : RADIUS
  Current authorization method    : -
  Current accounting method       : RADIUS
 
当Portal服务器故障时,查询服务器探测状态显示Abnormal。
[Switch]display  server-detect state
  Web-auth-server     :    portal_huawei
  Total-servers       :    1
  Live-servers        :    0
  Critical-num        :    0
  Status              :    Abnormal
  Ip-address               Status
  10.100.100.26            DOWN

设备到Portal服务器故障,通过业务方案server_down改变用户UCL-Group属性为huawei,进行逃生,此时用户认证状态显示No authentication。 
[Switch]display access-user ip-address  172.16.80.254

Basic:
  User ID                         : 16671
  Domain-name                     : -                              
  User MAC                        : b8ee-6517-8c85
  User IP address                 : 172.16.80.254
  User vpn-instance               : -
  User access Interface           : GigabitEthernet2/1/16
  User vlan event                 : Web-server-down
  QinQVlan/UserVlan               : 0/80
  User access time                : 2016/11/09 18:09:30
  Option82 information            : -
  User access type                : None
  Terminal Device Type            : Data Terminal 
  Dynamic group index(Effective)  : 1
  Dynamic group name(Effective)   : huawei
  Dynamic service scheme          : server_down

AAA:
  User authentication type        : No authentication
  Current authentication method   : None
  Current authorization method    : Local
  Current accounting method       : None

END