S600-E系列交换机 典型配置案例
华为Agile Controller-Campus对认证成功的接入用户下发VLAN或ACL
简介
- 授权ACL分为两类:
ACL描述信息:服务器上配置了ACL描述信息授权功能,则授权信息中含有ACL的描述信息。设备端根据服务器授权的ACL描述信息匹配上相应的ACL规则,对用户权限进行控制。其中设备上需要配置ACL编号、对应的描述信息和ACL规则。
使用RADIUS标准属性:(011)Filter-Id。
动态ACL:服务器向设备授权该ACL中的规则,用户能够访问ACL所包括的网络资源,ACL及ACL规则需要在服务器上配置。设备上不需要配置对应的ACL。
使用华为RADIUS私有属性:(26-82)HW-Data-Filter。
动态VLAN:服务器上配置了动态VLAN下发功能,则授权信息中含有下发的VLAN属性,设备端在接收到下发的VLAN属性后,会将用户所属的VLAN修改为下发VLAN。
授权下发的VLAN并不改变接口的配置,也不影响接口的配置。但是,授权下发的VLAN的优先级高于用户配置的VLAN,即通过认证后起作用的VLAN是授权下发的VLAN,用户配置的VLAN在用户下线后生效。
动态VLAN下发,使用了以下RADIUS标准属性:- (064)Tunnel-Type(必须指定为VLAN,或数值13)
- (065)Tunnel-Medium-Type(必须指定为802,或数值6)
- (081)Tunnel-Private-Group-ID(对于V200R012C00之前版本的设备,可以是VLAN ID或VLAN描述。对于V200R012C00及之后版本设备,可以是VLAN ID、VLAN描述、VLAN名称或VLAN Pool)
要通过RADIUS服务器正确下发VLAN属性,以上三个属性必须同时使用,而且Tunnel-Type及Tunnel-Medium-Type两个属性的值必须是指定的值。
本案例以下发ACL号和动态VLAN为例。下发ACL号和动态ACL的配置差异以说明的形式给出。
组网需求
- 终端认证成功前能够访问公共服务器(IP地址为192.168.40.1),执行下载802.1X客户端或更新病毒库的操作。
- 终端认证成功后能够访问业务服务器(IP地址为192.168.50.1)和实验室内的设备(所属VLAN号为20,IP地址段为192.168.20.10-192.168.20.100)。
配置逻辑
配置项 |
说明 |
---|---|
添加部门及用户账号 |
- |
添加交换机 |
配置允许与Agile Controller-Campus对接的交换机的相关参数。 |
(可选)创建认证规则 |
配置用户通过认证需要满足的条件。如果未创建新的认证规则,则使用Agile Controller-Campus的缺省认证规则(允许所有用户通过认证)。 |
创建授权结果 |
授权结果,即网络访问权限模板,被授予不同模板的用户拥有不同的网络访问权限。 |
创建授权规则 |
在授权规则中可以选择网络访问权限模板与用户,从而将指定的网络访问权限授予指定用户。 |
配置注意事项
本举例适用于V200R009C00及之后版本的所有交换机,RADIUS服务器以V100R001版本的华为Agile Controller-Campus为例。Agile Controller-Campus的支持版本为V100R001、V100R002、V100R003。
当设备支持UCL组时,推荐使用UCL组的方式配置授权规则。详细配置请参见相应形态相应版本《配置指南-用户接入与认证》 AAA配置 中的“配置授权规则”。
执行命令access-user arp-detect将用户下线探测报文的源IP地址和源MAC地址配置为用户网关的IP地址和MAC地址时,请确保网关的MAC地址不变,尤其是主备切换场景,否则会导致终端ARP表项错误,造成终端与设备之间网络不通。
数据规划
项目 |
数据 |
---|---|
RADIUS方案 |
|
认证成功前可访问的资源 |
公共服务器的访问权限通过免认证规则设置,免认证规则模板名称:default_free_rule |
认证成功后可访问的资源 |
实验室的访问权限通过动态VLAN授权,VLAN号为:20 业务服务器的访问权限通过ACL号授权,ACL号为:3002 |
项目 |
数据 |
---|---|
部门 |
研发部 |
接入用户 |
用户名:A 有线接入帐号:A-123 密码:YsHsjx_202207 |
交换机IP地址 |
SwitchA:10.10.10.1 |
RADIUS认证密钥 |
YsHsjx_202206 |
RADIUS计费密钥 |
YsHsjx_202206 |
操作步骤
- 配置接入交换机SwitchA。
- Agile Controller-Campus侧配置。
- 检查配置结果
- 员工在没有认证的情况下只能访问Agile Controller-Campus服务器和公共服务器。
- 员工认证通过后,能够访问Agile Controller-Campus服务器、公共服务器、业务服务器和实验室。
- 认证通过后,在交换机上执行命令display access-user,可以看到员工的在线信息。
配置文件
# sysname SwitchA # vlan batch 10 20 # authentication-profile name p1 dot1x-access-profile d1 free-rule-template default_free_rule access-domain huawei force # access-user arp-detect vlan 10 ip-address 192.168.1.10 mac-address 00e0-fc12-3456 # radius-server template rd1 radius-server shared-key cipher %^%#FP@&C(&{$F2HTlPxg^NLS~KqA/\^3Fex;T@Q9A](%^%# radius-server authentication 192.168.30.1 1812 weight 80 radius-server accounting 192.168.30.1 1813 weight 80 # acl number 3002 rule 1 permit ip destination 192.168.30.1 0 rule 2 permit ip destination 192.168.50.1 0 rule 3 deny ip # free-rule-template name default_free_rule free-rule 10 destination ip 192.168.40.0 mask 255.255.255.0 # aaa authentication-scheme abc authentication-mode radius accounting-scheme acco1 accounting-mode radius accounting realtime 15 domain huawei authentication-scheme abc accounting-scheme acco1 radius-server rd1 # interface Vlanif10 ip address 192.168.1.10 255.255.255.0 # interface GigabitEthernet0/0/1 port link-type hybrid port hybrid pvid vlan 10 port hybrid untagged vlan 10 authentication-profile p1 # interface GigabitEthernet0/0/2 port link-type hybrid port hybrid untagged vlan 20 # interface GigabitEthernet0/0/3 port link-type trunk port trunk allow-pass vlan 10 20 # interface LoopBack1 ip address 10.10.10.1 255.255.255.0 # dot1x-access-profile name d1 # return