配置认证控制设备
背景信息
在大型园区网中,为了解决园区网策略强度与复杂度之间的矛盾,部署策略联动时将认证网关作为认证控制设备并用于用户认证以及访问策略的控制。为实现策略联动方案,需要在认证控制设备上配置策略联动相关功能。
操作步骤
- 建立CAPWAP隧道。
认证控制设备和认证接入设备之间使用CAPWAP隧道建立连接。并且,通过CAPWAP隧道完成认证控制设备和认证接入设备之间的用户关联、消息通信、用户授权策略下发、用户同步等处理。
- 创建管理VLAN:
CAPWAP隧道的管理VLAN与被iMaster NCE-Campus纳管的交换机的管理VLAN或PnP VLAN不能是同一个VLAN。
策略联动中,CAPWAP隧道的管理VLAN用于认证接入设备上线,除基本配置外,不建议在管理VLAN及其对应的VLANIF下配置其他业务,以免造成认证接入设备无法正常上线。
执行命令system-view,进入系统视图。
执行命令vlan batch vlan-id,创建管理VLAN。
执行命令interface vlanif vlan-id,创建VLANIF接口并进入VLANIF接口视图。
执行命令ip address ip-address { mask | mask-length },配置VLANIF接口的IP地址。
执行命令quit,返回到系统视图。
指定CAPWAP隧道的源接口:
设备支持使用VLANIF接口或Loopback接口作为CAPWAP隧道的源接口。- VLANIF接口:适用于所有关联这个认证控制设备的认证接入设备都在一个管理VLAN的场景。
- Loopback接口:适用于所有关联这个认证控制设备的认证接入设备属于不同管理VLAN的场景。多个管理VLAN时,控制上需配置多个VLANIF接口,如果使用某个VLANIF接口作为源接口,则该接口故障后,所有的认证接入设备都不能继续工作。而Loopback接口创建后一直保持UP状态,此时,如果某个VLANIF接口故障,则只有该VLANIF接口关联的认证接入设备不能正常工作,提高了网络可靠性。
配置多个源接口和SVF功能互斥,如果SVF功能开启,则只能配置一个源接口。
配置多个源接口,不同源接口加入不同的VPN实例时,源接口下配置的IP地址不能相同。
指定VLANIF接口作为CAPWAP隧道的源接口:
执行命令capwap source interface vlanif vlan-id,在认证控制设备上指定建立CAPWAP隧道的源接口。
缺省情况下,认证控制设备上未指定建立CAPWAP隧道的源接口。
源接口对应的VLAN ID即管理VLAN ID。
- 指定Loopback接口作为CAPWAP隧道的源接口:
执行命令interface loopback loopback-number,创建Loopback接口并进入Loopback接口视图。
执行命令ip address ip-address { mask | mask-length },配置Loopback接口的IP地址。
执行命令quit,返回到系统视图。
执行命令capwap source interface loopback loopback-number,在认证控制设备上指定建立CAPWAP隧道的源接口。
缺省情况下,认证控制设备上未指定建立CAPWAP隧道的源接口。
Loopback接口作为CAPWAP隧道的源接口时,需要指定管理VLAN对应的VLANIF接口到Loopback接口的路由。
如果认证控制设备作为DHCP服务器为认证接入设备分配IP地址,还需要在管理VLAN对应的VLANIF接口上配置DHCP服务器功能。详细配置请根据实际使用的认证控制设备参见其对应形态《配置指南-IP业务》中的DHCP配置。
- 配置接口作为控制点。
控制点可以在二层物理接口或VLANIF接口下配置。当NAC认证接口为VLANIF接口时,要求VLANIF接口以及其对应的物理接口都要配置为控制点;并且对应的物理接口下不能再配置NAC认证。
- 执行命令interface interface-type interface-number,进入接口视图。
执行命令authentication control-point [ open ],配置接口作为控制点。
缺省情况下,未配置接口作为控制点。
配置参数open时,控制点直接转发用户流量。不配置参数open时,控制点通过NAC认证对用户流量进行转发权限管理。
VLANIF接口不支持配置参数open。
如下接口作为控制点时,仅支持直接转发用户流量,即仅支持配置命令authentication control-point open。- 非LE1D2S04SEC0单板、LE1D2X32SEC0单板、LE1D2H02QEC0单板、X系列单板上的接口
- 包含非LE1D2S04SEC0单板、LE1D2X32SEC0单板、LE1D2H02QEC0单板、X系列单板接口的Eth-Trunk接口
- S6720-SI、S6720S-SI、S6720-EI或S6720S-EI上的接口
- 包含S6720-SI、S6720S-SI、S6720-EI或S6720S-EI接口的Eth-Trunk接口
(可选)执行命令authentication open ucl-policy enable,配置直接转发用户流量的控制点在转发用户流量之前,基于用户ACL对用户流量进行过滤。
缺省情况下,已执行authentication control-point open命令的控制点直接转发用户流量。
仅S5720-HI、S5730-HI、S6720-HI、S5732-H-K、S5732-H、S6730-H、S6730-H-K、S6730S-H、S6730-S、S6730S-S、S5731-H、S5731-H-K、S5731S-H、LE1D2S04SEC0单板、LE1D2X32SEC0单板、LE1D2H02QEC0单板和X系列单板支持该命令。
执行命令quit,返回到系统视图。
- 配置认证接入设备接入认证。
缺省情况下,认证接入设备需要经过认证才可以接入到认证控制设备。认证控制设备通过黑、白名单对认证接入设备进行认证,在黑名单中的认证接入设备不可以接入到认证控制设备,在白名单中的认证接入设备可以接入到认证控制设备。对于既不在黑名单中也不在白名单中的认证接入设备,不能通过认证,需要用户手动确认哪些认证接入设备允许通过认证。用户也可以设置不对认证接入设备进行认证,这样无论认证接入设备是否在黑、白名单中都可以接入到认证控制设备。
此功能的配置与SVF场景下Parent设备上配置的AS接入认证类似。详细配置请根据实际使用的认证控制设备参见其对应形态《配置指南-设备管理》 SVF配置 中的“配置AS接入认证”。
- 配置下发到认证控制设备和认证接入设备的用户授权信息。
- 执行命令aaa,进入AAA视图。
- 执行命令service-scheme service-scheme-name,创建一个业务方案并进入业务方案视图。
执行命令remote-authorize { acl | car | ucl-group } *,指定下发到认证接入设备的用户授权信息。
缺省情况下,所有的用户授权信息均不能下发到认证接入设备。
在授权ACL或UCL组时,为了保证授权信息在认证接入设备能够正常生效,则需要在认证接入设备上配置相应的ACL或UCL组。
执行命令local-authorize { none | { acl | car | priority | ucl-group | vlan } * },指定下发到认证控制设备的用户授权信息。
在授权ACL或UCL组时,为了保证授权信息在认证控制设备能够正常生效,则需要在认证控制设备上配置相应的ACL或UCL组。
缺省情况下,所有的用户授权信息均能下发到认证控制设备。
执行命令quit,返回到AAA视图。
执行命令quit,返回到系统视图。
- 配置扩展功能与可选参数。
执行命令interface interface-type interface-number,进入接口视图。
- 根据网络需求,可以选择以下配置:
执行命令user-sync { interval interval-value | retry retry-value } *,使能在线用户与认证接入设备上的用户之间的同步功能并配置用户同步周期及尝试次数。
缺省情况下,用户同步功能处于使能状态,用户同步周期为60秒,尝试次数为10次。
为使同步功能正常,认证接入设备和认证控制设备需要同时打开用户同步功能,且认证接入设备上配置的用户同步间隔要小于等于认证控制设备上配置的用户同步间隔,避免用户被同步误下线。
执行命令control-down offline delay { delay-value | unlimited },配置CAPWAP隧道故障后认证控制设备上的用户下线延时的时间。
缺省情况下,CAPWAP隧道故障后认证控制设备上的用户立即下线。
执行命令access-user arp-detect control-point mac-ip enable,配置将认证控制设备探测时使用的源IP地址和源MAC地址作为认证接入设备的探测报文源地址。
缺省情况下,未配置将认证控制设备探测时使用的源IP地址和源MAC地址作为认证接入设备的探测报文源地址。
