技术支持文档中心交换机园区交换机S1800EC&S5800EC&S600E&E600配置调测配置案例

S600-E系列交换机 典型配置案例

华为Agile Controller-Campus对认证成功的接入用户下发VLAN或ACL

华为Agile Controller-Campus对认证成功的接入用户下发VLAN或ACL

本章节内容包括:

简介

802.1X用户在RADIUS服务器上通过认证后,RADIUS服务器会把授权信息下发给设备端。Agile Controller-Campus作为RADIUS服务器时,支持下发的授权参数有多种。其中:
  • 授权ACL分为两类:

    • ACL描述信息:服务器上配置了ACL描述信息授权功能,则授权信息中含有ACL的描述信息。设备端根据服务器授权的ACL描述信息匹配上相应的ACL规则,对用户权限进行控制。其中设备上需要配置ACL编号、对应的描述信息和ACL规则。

      使用RADIUS标准属性:(011)Filter-Id。

    • 动态ACL:服务器向设备授权该ACL中的规则,用户能够访问ACL所包括的网络资源,ACL及ACL规则需要在服务器上配置。设备上不需要配置对应的ACL。

      使用华为RADIUS私有属性:(26-82)HW-Data-Filter。

  • 动态VLAN:服务器上配置了动态VLAN下发功能,则授权信息中含有下发的VLAN属性,设备端在接收到下发的VLAN属性后,会将用户所属的VLAN修改为下发VLAN。

    授权下发的VLAN并不改变接口的配置,也不影响接口的配置。但是,授权下发的VLAN的优先级高于用户配置的VLAN,即通过认证后起作用的VLAN是授权下发的VLAN,用户配置的VLAN在用户下线后生效。

    动态VLAN下发,使用了以下RADIUS标准属性:
    • (064)Tunnel-Type(必须指定为VLAN,或数值13)
    • (065)Tunnel-Medium-Type(必须指定为802,或数值6)
    • (081)Tunnel-Private-Group-ID(对于V200R012C00之前版本的设备,可以是VLAN ID或VLAN描述。对于V200R012C00及之后版本设备,可以是VLAN ID、VLAN描述、VLAN名称或VLAN Pool)

    要通过RADIUS服务器正确下发VLAN属性,以上三个属性必须同时使用,而且Tunnel-Type及Tunnel-Medium-Type两个属性的值必须是指定的值。

本案例以下发ACL号和动态VLAN为例。下发ACL号和动态ACL的配置差异以说明的形式给出。

组网需求

图9-31所示,某公司内部大量员工终端通过SwitchA上的接口GE0/0/1接入网络。为确保网络的安全性,管理员需对终端的网络访问权限进行控制,要求如下:
  • 终端认证成功前能够访问公共服务器(IP地址为192.168.40.1),执行下载802.1X客户端或更新病毒库的操作。
  • 终端认证成功后能够访问业务服务器(IP地址为192.168.50.1)和实验室内的设备(所属VLAN号为20,IP地址段为192.168.20.10-192.168.20.100)。
图9-31 有线接入组网图

配置逻辑

图9-32 华为交换机的配置逻辑
表9-15 华为Agile Controller-Campus的配置逻辑

配置项

说明

添加部门及用户账号

-

添加交换机

配置允许与Agile Controller-Campus对接的交换机的相关参数。

(可选)创建认证规则

配置用户通过认证需要满足的条件。如果未创建新的认证规则,则使用Agile Controller-Campus的缺省认证规则(允许所有用户通过认证)。

创建授权结果

授权结果,即网络访问权限模板,被授予不同模板的用户拥有不同的网络访问权限。

创建授权规则

在授权规则中可以选择网络访问权限模板与用户,从而将指定的网络访问权限授予指定用户。

配置注意事项

本举例适用于V200R009C00及之后版本的所有交换机,RADIUS服务器以V100R001版本的华为Agile Controller-Campus为例。Agile Controller-Campus的支持版本为V100R001、V100R002、V100R003

当设备支持UCL组时,推荐使用UCL组的方式配置授权规则。详细配置请参见相应形态相应版本《配置指南-用户接入与认证》 AAA配置 中的“配置授权规则”。

执行命令access-user arp-detect将用户下线探测报文的源IP地址和源MAC地址配置为用户网关的IP地址和MAC地址时,请确保网关的MAC地址不变,尤其是主备切换场景,否则会导致终端ARP表项错误,造成终端与设备之间网络不通。

数据规划

表9-16 接入交换机业务数据规划

项目

数据

RADIUS方案

  • 认证服务器IP地址:192.168.30.1

  • 认证服务器端口号:1812

  • 计费服务器IP地址:192.168.30.1

  • 计费服务器端口号:1813

  • RADIUS服务器共享密钥:YsHsjx_202206

  • 计费周期:15分钟

  • 认证域:huawei

认证成功前可访问的资源

公共服务器的访问权限通过免认证规则设置,免认证规则模板名称:default_free_rule

认证成功后可访问的资源

实验室的访问权限通过动态VLAN授权,VLAN号为:20

业务服务器的访问权限通过ACL号授权,ACL号为:3002
表9-17 Agile Controller-Campus业务数据规划

项目

数据

部门

研发部

接入用户

用户名:A

有线接入帐号:A-123

密码:YsHsjx_202207

交换机IP地址

SwitchA:10.10.10.1

RADIUS认证密钥

YsHsjx_202206

RADIUS计费密钥

YsHsjx_202206

操作步骤

  1. 配置接入交换机SwitchA。
    1. 创建VLAN并配置接口允许通过的VLAN,保证网络通畅。

      <HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] vlan batch 10 20
[SwitchA] interface gigabitethernet 0/0/1    //配置与员工终端连接的接口
[SwitchA-GigabitEthernet0/0/1] port link-type hybrid
[SwitchA-GigabitEthernet0/0/1] port hybrid pvid vlan 10
[SwitchA-GigabitEthernet0/0/1] port hybrid untagged vlan 10
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchA] interface gigabitethernet 0/0/2    //配置与实验室连接的接口
[SwitchA-GigabitEthernet0/0/2] port link-type hybrid
[SwitchA-GigabitEthernet0/0/2] port hybrid untagged vlan 20
[SwitchA-GigabitEthernet0/0/2] quit
[SwitchA] interface gigabitethernet 0/0/3    //配置与SwitchB连接的接口
[SwitchA-GigabitEthernet0/0/3] port link-type trunk
[SwitchA-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20
[SwitchA-GigabitEthernet0/0/3] quit
[SwitchA] interface loopback 1
[SwitchA-LoopBack1] ip address 10.10.10.1 24    //配置与Controller通信的IP地址
[SwitchA-LoopBack1] quit
[SwitchA] interface vlanif 10
[SwitchA-Vlanif10] ip address 192.168.1.10 24
[SwitchA-Vlanif10] quit

    2. 配置用户认证成功后的网络访问权限。

      使用动态ACL方式时,设备上不需要配置此步骤。

      [SwitchA] acl 3002
[SwitchA-acl-adv-3002] rule 1 permit ip destination 192.168.30.1 0
[SwitchA-acl-adv-3002] rule 2 permit ip destination 192.168.50.1 0
[SwitchA-acl-adv-3002] rule 3 deny ip destination any
[SwitchA-acl-adv-3002] quit

    3. 创建并配置RADIUS服务器模板、AAA认证方案以及认证域。

      # 创建并配置RADIUS服务器模板“rd1”。
      [SwitchA] radius-server template rd1
[SwitchA-radius-rd1] radius-server authentication 192.168.30.1 1812
[SwitchA-radius-rd1] radius-server accounting 192.168.30.1 1813
[SwitchA-radius-rd1] radius-server shared-key cipher YsHsjx_202206
[SwitchA-radius-rd1] quit
      # 创建AAA认证方案“abc”并配置认证方式为RADIUS。
      [SwitchA] aaa
[SwitchA-aaa] authentication-scheme abc
[SwitchA-aaa-authen-abc] authentication-mode radius
[SwitchA-aaa-authen-abc] quit
      # 配置计费方案“acco1”并配置计费方式为RADIUS。
      [SwitchA-aaa] accounting-scheme acco1
[SwitchA-aaa-accounting-acco1] accounting-mode radius
[SwitchA-aaa-accounting-acco1] accounting realtime 15
[SwitchA-aaa-accounting-acco1] quit
      # 创建认证域“huawei”,并在其上绑定AAA认证方案“abc”、计费方案“acco1”与RADIUS服务器模板“rd1”。
      [SwitchA-aaa] domain huawei
[SwitchA-aaa-domain-huawei] authentication-scheme abc
[SwitchA-aaa-domain-huawei] accounting-scheme acco1
[SwitchA-aaa-domain-huawei] radius-server rd1
[SwitchA-aaa-domain-huawei] quit
[SwitchA-aaa] quit

    4. 使能802.1X认证。

      # 将NAC配置模式切换成统一模式。

      [SwitchA] authentication unified-mode

      设备默认为统一模式。模式切换前,管理员必须保存配置;模式切换后,设备重启,新配置模式的各项功能才能生效。

      # 配置802.1X接入模板“d1”。
      [SwitchA] dot1x-access-profile name d1
[SwitchA-dot1x-access-profile-d1] dot1x timer client-timeout 30
[SwitchA-dot1x-access-profile-d1] quit
      # 配置免认证规则模板。
      [SwitchA] free-rule-template name default_free_rule
[SwitchA-free-rule-default_free_rule] free-rule 10 destination ip 192.168.40.0 mask 24
[SwitchA-free-rule-default_free_rule] quit

      # 配置认证模板“p1”,并在其上绑定802.1X接入模板“d1”、绑定免认证规则模板“default_free_rule”、指定认证模板下用户的强制认证域为“huawei”、指定用户接入模式为多用户单独认证接入模式。

      [SwitchA] authentication-profile name p1
[SwitchA-authen-profile-p1] dot1x-access-profile d1
[SwitchA-authen-profile-p1] free-rule-template default_free_rule
[SwitchA-authen-profile-p1] access-domain huawei force
[SwitchA-authen-profile-p1] authentication mode multi-authen
[SwitchA-authen-profile-p1] quit

      # 在接口GE0/0/1上绑定认证模板“p1”,使能802.1X认证。

      [SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] authentication-profile p1
[SwitchA-GigabitEthernet0/0/1] quit

      # (推荐配置)配置指定VLAN内用户下线探测报文的源IP地址和源MAC地址。建议用户下线探测报文的源IP地址和源MAC地址配置为用户网关的IP地址和MAC地址。

      [SwitchA] access-user arp-detect vlan 10 ip-address 192.168.1.10 mac-address 00e0-fc12-3456

  2. Agile Controller-Campus侧配置。
    1. 登录Agile Controller-Campus

      1. 打开Internet Explorer浏览器,在地址栏输入Agile Controller-Campus的访问地址,单击“Enter”
        Agile Controller-Campus的访问地址支持以下形式:

        访问方式

        说明

        https://Agile Controller-Campus-IP:8443

        其中,“Agile Controller-Campus-IP”为Agile Controller-Campus的IP地址。

        Agile Controller-Campus的IP地址

        如果在安装时启用了80端口,则允许不输入端口号。通过此种方式访问Agile Controller-Campus,URL地址将自动跳转为“https://Agile Controller-Campus-IP:8443”。
      2. 输入管理员帐号和密码。

    2. 创建部门和账号。

      1. 选择“资源 > 用户 > 用户管理”。
      2. 在右侧操作区域内选择“部门”页签,并在“部门”页签下方单击“增加”,创建部门“研发部”。

      3. 在右侧操作区域内选择“用户”页签,并在“用户”页签下方单击“增加”,创建用户“A”。

      4. 在用户“A”右侧单击“操作”中的,进入“账号管理”。单击“增加”,创建普通账号“A-123”,密码为“YsHsjx_202207”。

      5. 在“用户”页签内,选中用户“A”,单击“用户转移”,将用户“A”添加到部门“研发部”。

    3. Agile Controller-Campus中添加交换机设备,以便Agile Controller-Campus能与交换机正常联动。

      选择资源 > 设备 > 设备管理。并在右侧操作区域内单击“增加”,在“增加设备”页面,设置设备的连接参数。

    4. 添加授权结果。

      下发ACL号和VLAN时,执行此步骤。

      1. 选择策略 > 准入控制 > 认证授权 > 授权结果,并单击“增加”,创建授权结果。

      2. 设置授权结果的基本信息。

        参数

        取值

        说明

        名称

        认证成功后的授权信息

        -

        业务类型

        接入业务

        -

        VLAN

        20

        与交换机上配置的对研发部员工的访问控制规则一致。

        ACL号/AAA用户组

        3002

        与交换机上配置的对研发部员工的访问控制规则一致。

    5. 添加授权结果。

      下发动态ACL和VLAN时,执行此步骤。

      1. 增加动态ACL:
        1. 选择“策略 > 准入控制 > 策略元素 > 动态ACL”。
        2. 单击“增加”。
        3. 设置动态ACL的基本信息,并在“属性列表”中单击“增加”。
        4. 设置动态ACL包含的属性。

      2. 选择策略 > 准入控制 > 认证授权 > 授权结果,并单击“增加”,创建授权结果。

      3. 设置授权结果的基本信息。

        参数

        取值

        说明

        名称

        认证成功后的授权信息

        -

        业务类型

        接入业务

        -

        VLAN

        20

        与交换机上配置的对研发部员工的访问控制规则一致。

        动态ACL

        3002

        -

    6. 添加授权规则。

      认证阶段的检查通过后,用户的接入过程将进入授权阶段。授权阶段,Agile Controller-Campus通过授权规则授予用户权限。

      1. 选择策略 > 准入控制 > 认证授权 > 授权规则,并单击“增加”,创建授权规则。

      2. 设置授权规则的基本信息。

        参数

        取值

        说明

        名称

        认证成功后的授权规则

        -

        业务类型

        接入业务

        -

        部门

        研发部

        -

        授权结果

        认证成功后的授权信息

        -

  3. 检查配置结果

    • 员工在没有认证的情况下只能访问Agile Controller-Campus服务器和公共服务器。
    • 员工认证通过后,能够访问Agile Controller-Campus服务器、公共服务器、业务服务器和实验室。
    • 认证通过后,在交换机上执行命令display access-user,可以看到员工的在线信息。

配置文件

#
sysname SwitchA
#
vlan batch 10 20
#
authentication-profile name p1
 dot1x-access-profile d1
 free-rule-template default_free_rule
 access-domain huawei force
#
access-user arp-detect vlan 10 ip-address 192.168.1.10 mac-address 00e0-fc12-3456
#
radius-server template rd1
 radius-server shared-key cipher %^%#FP@&C(&{$F2HTlPxg^NLS~KqA/\^3Fex;T@Q9A](%^%#
 radius-server authentication 192.168.30.1 1812 weight 80
 radius-server accounting 192.168.30.1 1813 weight 80
#
acl number 3002
 rule 1 permit ip destination 192.168.30.1 0 
 rule 2 permit ip destination 192.168.50.1 0 
 rule 3 deny ip
#
free-rule-template name default_free_rule
 free-rule 10 destination ip 192.168.40.0 mask 255.255.255.0
# 
aaa
 authentication-scheme abc
  authentication-mode radius
 accounting-scheme acco1
  accounting-mode radius
  accounting realtime 15
 domain huawei
  authentication-scheme abc
  accounting-scheme acco1
  radius-server rd1
#
interface Vlanif10
 ip address 192.168.1.10 255.255.255.0
#
interface GigabitEthernet0/0/1
 port link-type hybrid
 port hybrid pvid vlan 10 
 port hybrid untagged vlan 10
 authentication-profile p1
#
interface GigabitEthernet0/0/2
 port link-type hybrid
 port hybrid untagged vlan 20
#
interface GigabitEthernet0/0/3
 port link-type trunk
 port trunk allow-pass vlan 10 20
#
interface LoopBack1
 ip address 10.10.10.1 255.255.255.0
#  
dot1x-access-profile name d1
#
return
翻译
收藏
下载文档
更新时间:2024-03-14
文档编号:EDOC1000141427
浏览量:436826
下载量:2026
平均得分:4.3

相关文档

数字签名

数字签名校验工具