评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置用户组功能示例
组网需求
如图3-21所示,某公司内部大量用户终端通过Switch(作为接入设备)的接口GE0/0/1接入网络。为了更有效的管理用户,该公司决定控制用户接入网络,要求只有通过认证的用户才能接入网络。同时,公司决定根据各部门的工作性质授予用户不同的网络访问权限。其中:
- 市场部人员在接入网络后,仅能访问网段为172.16.104.0/24内的资源。
- 行政部人员在接入网络后,仅能访问网段为172.16.105.0/24内的资源。
- 研发部人员在接入网络后,仅能访问网段为172.16.106.0/24内的资源。
配置思路
采用如下思路配置用户组功能:
- 创建并配置RADIUS服务器模板、AAA方案以及认证域,并在认证域下绑定RADIUS服务器模板与AAA方案。保证了Switch与RADIUS服务器之间的信息交互。
- 配置用户组功能,保证对用户网络访问权限进行分类管理。
- 创建ACL访问控制列表。
- 创建用户组并绑定ACL。
- 使能用户组功能。
- 配置802.1X认证,保证用户终端只有通过认证后才能够访问网络资源。
- 使能全局与接口的802.1X认证功能。
- 使能MAC旁路认证功能,保证了无法安装和使用802.1X客户端的终端(如打印机)能够进行认证。
配置本举例之前,需确保网络中各设备之间已能互通。
操作步骤
- 创建VLAN并配置接口允许通过的VLAN,保证网络通畅。
# 创建VLAN10、VLAN20、VLAN30和VLAN40。
<HUAWEI> system-view [HUAWEI] sysname Switch [Switch] vlan batch 10 20 30 40
# 配置Switch与用户连接的接口GE0/0/1为trunk类型接口,并将GE0/0/1加入VLAN10、VLAN20、VLAN30。
[Switch] interface gigabitethernet 0/0/1 [Switch-GigabitEthernet0/0/1] port link-type trunk [Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 20 30 [Switch-GigabitEthernet0/0/1] quit
# 配置Switch连接RADIUS服务器的接口GE0/0/2为Access类型接口,并将GE0/0/2加入VLAN40。
[Switch] interface gigabitethernet 0/0/2 [Switch-GigabitEthernet0/0/2] port link-type access [Switch-GigabitEthernet0/0/2] port default vlan 40 [Switch-GigabitEthernet0/0/2] quit
- 创建并配置RADIUS服务器模板、AAA方案以及认证域。
# 创建并配置RADIUS服务器模板“rd1”。
[Switch] radius-server template rd1 [Switch-radius-rd1] radius-server authentication 192.168.2.30 1812 [Switch-radius-rd1] radius-server shared-key cipher Example@2012 [Switch-radius-rd1] quit
# 创建AAA方案“abc”并配置认证方式为RADIUS。
[Switch] aaa [Switch-aaa] authentication-scheme abc [Switch-aaa-authen-abc] authentication-mode radius [Switch-aaa-authen-abc] quit
# 创建认证域“abc11”、“abc22”、“abc33”,并在认证域其上绑定AAA方案“abc”与RADIUS服务器模板“rd1”。
[Switch-aaa] domain abc11 [Switch-aaa-domain-abc11] authentication-scheme abc [Switch-aaa-domain-abc11] radius-server rd1 [Switch-aaa-domain-abc11] quit [Switch-aaa] domain abc22 [Switch-aaa-domain-abc22] authentication-scheme abc [Switch-aaa-domain-abc22] radius-server rd1 [Switch-aaa-domain-abc22] quit [Switch-aaa] domain abc33 [Switch-aaa-domain-abc33] authentication-scheme abc [Switch-aaa-domain-abc33] radius-server rd1 [Switch-aaa-domain-abc33] quit [Switch-aaa] quit
- 配置用户组功能。
# 将NAC配置模式切换成传统模式。
[Switch] undo authentication unified-mode Warning: Switching the authentication mode will take effect after system restart . Some configurations are invalid after the mode is switched. For the invalid co mmands, see the user manual. Save the configuration file and reboot now? [Y/N] y- 缺省情况下,NAC配置模式为统一模式。
- 统一模式切换到传统模式后,管理员必须保存配置并重启设备,新配置模式的各项功能才能生效。
# 创建ACL访问控制列表。
<Switch> system-view [Switch] acl 3001 [Switch-acl-adv-3001] rule permit ip source 10.164.1.0 0.0.0.255 destination 172.16.104.0 0.0.0.255 [Switch-acl-adv-3001] rule deny ip source 10.164.1.0 0.0.0.255 destination any [Switch-acl-adv-3001] quit [Switch] acl 3002 [Switch-acl-adv-3002] rule permit ip source 10.164.2.0 0.0.0.255 destination 172.16.105.0 0.0.0.255 [Switch-acl-adv-3002] rule deny ip source 10.164.2.0 0.0.0.255 destination any [Switch-acl-adv-3002] quit [Switch] acl 3003 [Switch-acl-adv-3003] rule permit ip source 10.164.3.0 0.0.0.255 destination 172.16.106.0 0.0.0.255 [Switch-acl-adv-3003] rule deny ip source 10.164.3.0 0.0.0.255 destination any [Switch-acl-adv-3003] quit
# 创建用户组并绑定ACL。其中市场部人员划分到用户组abc1中;行政部人员划分到用户组abc2中;研发部人员划分到用户组abc3中。
[Switch] user-group abc1 [Switch-user-group-abc1] acl-id 3001 [Switch-user-group-abc1] quit [Switch] user-group abc2 [Switch-user-group-abc2] acl-id 3002 [Switch-user-group-abc2] quit [Switch] user-group abc3 [Switch-user-group-abc3] acl-id 3003 [Switch-user-group-abc3] quit
# 使能用户组。[Switch] user-group abc1 enable [Switch] user-group abc2 enable [Switch] user-group abc3 enable
# 在认证域下绑定用户组。其中市场部人员在abc11域中进行认证;行政部人员在abc22域中进行认证;研发部人员在abc33域中进行认证。
[Switch] aaa [Switch-aaa] domain abc11 [Switch-aaa-domain-abc11] user-group abc1 [Switch-aaa-domain-abc11] quit [Switch-aaa] domain abc22 [Switch-aaa-domain-abc22] user-group abc2 [Switch-aaa-domain-abc22] quit [Switch-aaa] domain abc33 [Switch-aaa-domain-abc33] user-group abc3 [Switch-aaa-domain-abc33] quit [Switch-aaa] quit
- 配置802.1X认证。
# 在全局和接口下使能802.1X认证。
[Switch] dot1x enable [Switch] interface gigabitethernet 0/0/1 [Switch-GigabitEthernet0/0/1] dot1x enable
# 配置MAC旁路认证。
[Switch-GigabitEthernet0/0/1] dot1x mac-bypass [Switch-GigabitEthernet0/0/1] quit [Switch] quit
- 验证配置结果。
- 执行命令display user-group、display domain name和display dot1x查看配置的用户组,认证域以及802.1X认证配置信息。
- 当行政部用户A(用户名为userA@abc22)接入网络时,Switch在接收到认证请求报文后,即会将该用户在认证域abc22内进行认证。由于认证域abc22内绑定有用户组abc2,故用户A继承了用户组abc2内设定的网络访问权限。在用户A接入网络成功后,可发现其仅能访问172.16.105.0/24内的网络资源。同理,研发部人员在接入网络后,仅能访问网段为172.16.106.0/24内的资源;市场部人员在接入网络后,仅能访问网段为172.16.104.0/24内的资源。
配置文件
Switch的配置文件
# sysname Switch # vlan batch 10 20 30 40 undo authentication unified-mode # dot1x enable # radius-server template rd1 radius-server shared-key cipher %^%#t67cDelRvAQg;*"4@P/3~q_31Sn{ST\V8'Ci633)%^%# radius-server authentication 192.168.2.30 1812 weight 80 # acl number 3001 rule 5 permit ip source 10.164.1.0 0.0.0.255 destination 172.16.104.0 0.0.0.255 rule 10 deny ip source 10.164.1.0 0.0.0.255 acl number 3002 rule 5 permit ip source 10.164.2.0 0.0.0.255 destination 172.16.105.0 0.0.0.255 rule 10 deny ip source 10.164.2.0 0.0.0.255 acl number 3003 rule 5 permit ip source 10.164.3.0 0.0.0.255 destination 172.16.106.0 0.0.0.255 rule 10 deny ip source 10.164.3.0 0.0.0.255 # aaa authentication-scheme abc authentication-mode radius domain abc11 authentication-scheme abc radius-server rd1 user-group abc1 domain abc22 authentication-scheme abc radius-server rd1 user-group abc2 domain abc33 authentication-scheme abc radius-server rd1 user-group abc3 # interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 10 20 30 dot1x mac-bypass # interface GigabitEthernet0/0/2 port link-type access port default vlan 40 # user-group abc1 acl-id 3001 user-group abc1 enable # user-group abc2 acl-id 3002 user-group abc2 enable # user-group abc3 acl-id 3003 user-group abc3 enable # return
