所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-用户接入与认证

本文档介绍了用户接入与认证的配置,具体包括AAA配置、NAC配置和策略联动配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置MAC接入模板

配置MAC接入模板

创建MAC接入模板

背景信息

设备通过MAC接入模板统一管理MAC用户接入相关的所有配置。配置MAC认证之前,首先需要创建MAC接入模板。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令mac-access-profile name access-profile-name,创建MAC接入模板并进入MAC接入模板视图。

    缺省情况下,设备自带1个名称为mac_access_profile的MAC接入模板。

    说明:
    • 升级兼容转换的模板不占用配置规格。自带的1个MAC接入模板(mac_access_profile)可以修改和应用,但不能删除。
    • 删除某个MAC接入模板时,需要保证该MAC接入模板没有被任何认证模板绑定。

(可选)配置MAC认证用户的认证方式

背景信息

MAC认证时,接入设备和认证服务器之间通过RADIUS报文进行交互。有PAP和CHAP两种交互方式,区别如下:

  • PAP是一种两次握手认证协议,它采用明文方式加载到RADIUS报文中传送口令。
  • CHAP是一种三次握手认证协议,它只在RADIUS报文中传输用户名,而并不传输口令。相比之下,CHAP认证保密性较好,更为安全可靠。如果是基于安全性的考虑,建议采用该方式。

缺省情况下,MAC认证用户的认证方式为PAP认证。为了更加安全,可以修改为CHAP方式。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令mac-access-profile name access-profile-name,进入MAC接入模板视图。
  3. 执行命令mac-authen authentication-method { chap | pap },配置MAC认证用户的认证方式。

    缺省情况下,MAC认证用户认证方式为PAP认证。

配置MAC认证的用户名形式

背景信息

MAC用户采用的认证用户名有以下几种形式:
  • 采用MAC地址形式:用户使用MAC地址作为用户名进行认证,同时可以使用MAC地址或者自定义的字符串作为密码。
  • 采用固定用户名形式:不论用户的MAC地址为何值,所有用户均使用设备上管理员指定的一个固定用户名和密码替代用户的MAC地址作为身份信息进行认证。服务器端仅需要配置一个用户帐户即可满足所有认证用户的认证需求,适用于接入客户端比较可信的网络环境。
  • DHCP选项格式:设备将获取到的用户DHCP选项字段以及一个固定的密码代替用户的MAC地址作为身份信息进行认证。该方式需保证设备支持通过DHCP报文触发MAC认证,详细配置请参见(可选)配置能够触发MAC认证的报文类型

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令mac-access-profile name access-profile-name,进入MAC接入模板视图。
  3. 执行命令mac-authen username { fixed username [ password cipher password ] | macaddress [ format { with-hyphen [ normal ] [ colon ] | without-hyphen } [ uppercase ] [ password cipher password ] ] | dhcp-option option-code { circuit-id | remote-id } * [ separate separate ] [ format-hex ] password cipher password },配置MAC用户采用的用户名形式。

    缺省情况下,MAC认证的用户名和密码均为不带分隔符“-”或“:”的MAC地址。

    说明:
    • 配置MAC认证的用户名形式时,需要确保认证服务器支持该用户名形式。

    • VLANIF接口、Eth-Trunk接口、端口组或VAP模板下使能MAC认证时,若配置MAC认证用户采用固定用户名格式,则必须配置密码;端口组下使能MAC认证时,若配置MAC认证用户采用MAC地址格式,则不支持配置密码;VLANIF接口和VAP模板下使能MAC认证时,不支持将MAC认证用户的用户名配置为特定的DHCP选项信息。

    • 若MAC认证用户名采用DHCP选项形式,则在使用命令dhcp option82 format配置DHCP Option82选项格式时,不能指定其为extend格式或者非字符串的自定义格式。

(可选)配置能够触发MAC认证的报文类型

背景信息

使能MAC认证功能后,缺省情况下,设备在接收到DHCP/ARP/DHCPv6/ND报文后均能触发对用户进行MAC认证。根据实际网络中的用户情况,管理员可调整允许触发MAC认证的报文类型。譬如网络中的用户均为动态获取IPv4地址的用户,此时可配置仅允许通过DHCP报文触发MAC认证,这样能够有效的避免网络中存在非法用户配置静态IPv4地址后,不断发送ARP等报文触发MAC认证,占用设备CPU资源。

在进行MAC认证时,如果客户端配置了静态IPv4地址,此时客户端与设备间没有DHCP或ARP报文,因此可以执行命令authentication trigger-condition any-l2-packet,指定通过任意报文均能触发MAC认证。为防止非法用户恶意消耗设备用户表项,任意报文均能触发MAC认证功能建议配置在接入层设备上,并且在认证模板下执行命令authentication mode max-user max-user-number配置接口最多允许接入的用户数目,推荐值是10个。

当设备支持DHCP报文触发MAC认证时,可以借助DHCP报文完成对用户进行重认证、及时清除设备上保持的MAC用户表项以及将用户的终端信息上送到认证服务器等功能。

说明:
  • 仅ARP报文能触发VLANIF接口下的MAC认证。

  • 该功能仅对配置成功后新上线的用户生效。

  • 当设备支持DHCP报文触发MAC认证,并且用户采用DHCP选项作为MAC用户名时(配置MAC用户名形式请参见mac-authen username),如果通过认证服务器向设备授权华为RADIUS扩展属性HW-Forwarding-VLAN(属性号26-161),那么为使该属性功能生效,用户报文必须携带有双层VLAN Tag并且外层VLAN ID不能和HW-Forwarding-VLAN的ID相同。

  • 仅有线用户支持通过DHCP/ARP/DHCPv6/ND/任意报文触发MAC认证,无线用户通过关联报文触发MAC认证。

  • 执行命令authentication trigger-condition { dhcp | dhcpv6 | nd } *后,会导致静态用户无法上线。

  • 如果希望BPDU报文能够触发MAC认证,必须全局使能该BPDU报文对应的功能。例如,如果希望LLDPDU报文能够触发MAC认证,需要执行命令lldp enable(系统视图)全局使能LLDP功能。
  • 策略联动场景下,仅DHCP/ARP报文能触发MAC认证。

  • 混合认证场景,该功能不生效。
  • IP话机进行MAC认证时,如果执行命令authentication trigger-condition any-l2-packet,指定通过任意报文均能触发MAC认证,则需要执行命令authentication mac-move enableauthentication mac-move detect enable配置MAC迁移功能和MAC迁移前探测功能。
  • 配置了any-l2-packet参数时,如果接口下开启了802.1X认证功能,那么客户端发送的EAP报文将首先触发802.1X认证。
  • 接口下同时开启MAC认证和802.1X认证时,能够触发认证的报文类型为MAC接入模板和802.1X接入模板中配置的能够触发认证的报文类型合集。例如,如果MAC接入模板配置ARP报文不能触发认证,而802.1X接入模板配置ARP报文可以触发认证,则接口下同时开启MAC认证和802.1X认证时,ARP报文也可以触发MAC认证。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令mac-access-profile name access-profile-name,进入MAC接入模板视图。
  3. 执行命令authentication trigger-condition { dhcp | arp | dhcpv6 | nd | any-l2-packet } *,配置能够触发MAC认证的报文类型。

    缺省情况下,DHCP/ARP/DHCPv6/ND报文均能够触发MAC认证。

  4. (可选)Option82选项记录了DHCP用户的位置、业务(语音业务、数据业务)等信息。执行以下步骤后,设备在接收到DHCP报文触发对用户进行MAC认证时能够将Option82选项信息上送到认证服务器,认证服务器根据该选项记录的用户信息即可为不同位置、不同业务的用户分配不同的网络访问权限。这样能够实现对各个用户的网络访问权限进行精确控制。

    执行命令authentication trigger-condition dhcp dhcp-option option-code,使能DHCP报文触发MAC认证时将DHCP选项信息上送到认证服务器。

    缺省情况下,DHCP报文触发MAC认证时不会将DHCP选项信息上送到认证服务器。

  5. (可选)用户上线后,管理员可能在认证服务器上更改用户的认证参数或者网络访问权限。为了确保用户的合法性或者及时更新用户的网络访问权限,可以执行以下步骤。

    执行命令mac-authen reauthenticate dhcp-renew,使能设备在接收到MAC用户的DHCP续租报文后,对用户进行重认证。

    缺省情况下,设备在接收到MAC用户的DHCP续租报文后,不会对用户进行重认证。

  6. (可选)MAC用户发送DHCP Release报文下线后,设备上对应的用户表项并不能立刻删除,这将占用设备资源,可能导致其他用户无法上线。为了在MAC用户下线后及时清除对应的用户表项,可以执行以下步骤。

    执行命令mac-authen offline dhcp-release,使能设备在接收到MAC用户的DHCP Release报文后清除用户表项。

    缺省情况下,设备在接收到MAC用户的DHCP Release报文后不会清除用户表项。

(可选)配置允许用户进行认证的源MAC地址段

背景信息

使能MAC认证后,设备上默认只要产生新的MAC表项,该MAC地址就可以进行MAC认证。为了更精确的控制MAC认证的用户,可以配置设备允许用户进行MAC认证的MAC地址段。

说明:

仅VLANIF接口上线的MAC认证用户支持该功能。

VLANIF接口下允许用户进行MAC认证的MAC地址段最大数目为8个。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令mac-access-profile name access-profile-name,进入MAC接入模板视图。
  3. 执行命令mac-authen permit mac-address mac-address mask { mask | mask-length },配置设备允许用户进行MAC认证的MAC地址段。

    缺省情况下,未配置允许用户进行认证的源MAC地址段。

(可选)配置对在线MAC用户进行重认证

背景信息

若管理员在认证服务器上修改了某一用户的访问权限、授权属性等参数,此时如果用户已经在线,则需要及时对该用户进行重认证以确保用户的合法性。

配置对在线MAC用户进行重认证功能后,设备会把保存的在线用户的认证参数(用户上线后,设备上会保存有该用户的认证信息)发送到认证服务器进行重认证,若认证服务器上用户的认证信息没有变化,则用户正常在线;若用户的认证信息已更改,则用户将会被下线,此后用户需要重新进行认证。

说明:

VLANIF接口上线的MAC认证用户,不支持重认证功能。

设备与某服务器对接进行重认证时,如果服务器回复重认证拒绝消息导致已在线用户下线,则建议服务器侧定位重认证失败原因或者设备去使能重认证功能。

对MAC用户进行重认证的方式:
  • 对使用指定MAC接入模板的用户周期性自动进行重认证。
    说明:
    配置该功能后,会导致MAC认证的日志信息较多。
  • 接收到MAC用户的DHCP续租报文后,对用户进行重认证。该项必须保证设备已经配置了通过DHCP报文触发MAC认证的功能,详细配置请参见(可选)配置能够触发MAC认证的报文类型
  • 手动对指定MAC地址的用户进行单次重认证。

操作步骤

  • 周期性自动重认证
    1. 执行命令system-view,进入系统视图。
    2. 执行命令mac-access-profile name access-profile-name,进入MAC接入模板视图。
    3. 执行命令mac-authen reauthenticate,使能对在线MAC用户进行重认证的功能。

      缺省情况下,未使能对在线MAC用户进行重认证的功能。

    4. (可选)执行命令mac-authen timer reauthenticate-period reauthenticate-period-value,配置对在线MAC用户进行重认证的周期。

      缺省情况下,对在线MAC用户进行重认证的周期为1800秒。

      说明:

      一般情况下,重认证周期建议采用默认值。如果用户授权时需要下发多条ACL,为提高设备处理性能,建议关闭重认证功能或将重认证周期调长。

      在采用远端认证、授权的情况下,如果配置的重认证周期过短则可能导致CPU占用率较高。

      握手功能仅对有线用户生效。

      当用户数较多时,为减少对设备性能的影响,用户进行重认证的周期可能大于配置的重认证的周期。

  • DHCP续租报文触发重认证
    1. 执行命令system-view,进入系统视图。
    2. 执行命令mac-access-profile name access-profile-name,进入MAC接入模板视图。
    3. 执行命令mac-authen reauthenticate dhcp-renew,使能设备在接收到MAC用户的DHCP续租报文后,对用户进行重认证的功能。

      缺省情况下,未使能设备在接收到MAC用户的DHCP续租报文后,对用户进行重认证的功能。

  • 手动单次重认证
    1. 执行命令system-view,进入系统视图。
    2. 执行命令mac-authen reauthenticate mac-address mac-address,手动对指定MAC地址的用户进行单次重认证。

(可选)配置设备自动生成静态IP用户的DHCP Snooping绑定表

背景信息

网络中存在非法用户,将自己的MAC地址修改为合法用户的MAC地址,当合法用户通过MAC认证上线后,非法用户就可以获取与合法用户相同的身份认证,造成了认证和计费的漏洞。非法用户上线后,还可以发起ARP欺骗攻击,发送伪造合法用户的ARP报文,使设备记录错误的ARP表项,严重影响合法用户之间的正常通信。利用IPSG功能,可以预防以上非法用户的攻击。IPSG功能是基于绑定表实现的。对于静态IP用户,可以通过命令user-bind static配置静态绑定表。但是,如果静态IP用户较多,通过以上命令逐条配置静态绑定表的工作量较大。

为减少工作量,可以配置设备自动生成静态IP用户的DHCP Snooping绑定表功能。配置该功能后,对于MAC认证成功或处于预连接阶段的静态IP用户,设备根据用户的MAC地址、IP地址、接口等信息,自动生成对应的DHCP Snooping绑定表。

说明:

对于DHCP方式分配IP地址的用户,设备上无需配置命令mac-authen trigger dhcp-binding,直接通过DHCP Snooping功能就能够自动生成DHCP Snooping绑定表。

前置任务

要使该功能生效,还必须在绑定MAC接入模板的接口上,通过命令dhcp snooping enable使能全局和接口的DHCP Snooping功能。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令mac-access-profile name access-profile-name,进入MAC接入模板视图。
  3. 执行命令mac-authen trigger dhcp-binding,配置静态IP用户MAC认证成功后或处于预连接阶段时,设备自动生成对应的DHCP Snooping绑定表。

    缺省情况下,静态IP用户MAC认证成功后或处于预连接阶段时,设备不会自动生成对应的DHCP Snooping绑定表。

检查配置结果

执行命令display dhcp snooping user-bind,可以查看静态IP用户MAC认证成功后或处于预连接阶段时,设备自动生成的DHCP Snooping绑定表。该功能生成的DHCP Snooping绑定表在用户下线后会自动删除。

后续处理

DHCP Snooping绑定表生成之后,需要结合IPSG功能,防止非法用户攻击。
  • 接口视图下,执行命令ip source check user-bind enable,使能IPSG功能。

检查MAC接入模板配置结果

背景信息

完成MAC接入模板的配置后,执行以下命令查看配置信息。

操作步骤

  • 执行命令display mac-access-profile configuration [ name access-profile-name ],查看MAC接入模板的配置信息。
翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038441

浏览量:29793

下载量:1207

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页