华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置认证控制点
配置有线接入认证控制点(通过命令行配置)
背景信息
在大中型园区非虚拟化场景中,有线认证控制点推荐部署在核心交换机,核心交换机与接入交换机间在部署策略联动。此时,由于策略联动需要通过命令行配置,有线认证控制点的模板配置、模板与端口的绑定也需要登录有线认证控制点的命令行界面进行配置。
如图5-7所示,Core作为有线认证控制点,Core与Access-a间需要部署策略联动,将认证执行点下移到Access-a,配置有线接入认证控制点的过程如下。
在大中型园区非虚拟化场景中,有线接入认证采用iMaster NCE-Campus内置的认证服务器,并且认证控制点通过命令行配置时,iMaster NCE-Campus需要添加准入控制点设备,在“准入设备”页签配置。
操作步骤
- 在Core与Access-a间配置策略联动
- 配置接口以Trunk方式加入VLAN,确保Core与Access-a在策略联动管理VLAN内二层互通。以Core配置为例。
[Core] vlan batch 20 [Core] interface xgigabitethernet 0/0/1 [Core-XGigabitEthernet0/0/1] port link-type trunk [Core-XGigabitEthernet0/0/1] port trunk allow-pass vlan 10 [Core-XGigabitEthernet0/0/1] quit
在Core和Access上建立CAPWAP隧道。
在Core上创建VLANIF10,并配置其作为接口地址池以及CAPWAP隧道的源接口。
[Core] interface vlanif 10 [Core-Vlanif10] ip address 10.1.1.1 24 [Core-Vlanif10] dhcp select interface [Core-Vlanif10] dhcp server option 43 ip-address 10.1.1.1 [Core-Vlanif10] quit [Core] capwap source interface vlanif 10 [Core] as-auth [Core-as-auth] auth-mode none [Core-as-auth] quit
在Access-a上创建VLANIF10,其IP地址通过DHCP方式获取,并设置VLANIF10为CAPWAP隧道的接入接口。
[Access-a] interface vlanif 10 [Access-a-Vlanif10] ip address dhcp-alloc [Access-a-Vlanif10] quit [Access-a] as access interface vlanif 10
- 配置接口以Trunk方式加入VLAN,确保Core与Access-a在策略联动管理VLAN内二层互通。以Core配置为例。
- 在Core配置AAA
- 创建并配置RADIUS服务器模板“rd1”。
[Core] radius-server template rd1 [Core-radius-rd1] radius-server authentication 192.168.1.1 1812 [Core-radius-rd1] radius-server shared-key cipher Admin@1234 [Core-radius-rd1] quit
- 创建AAA认证方案“abc”并配置认证方式为RADIUS。
[Core] aaa [Core-aaa] authentication-scheme abc [Core-aaa-authen-abc] authentication-mode radius [Core-aaa-authen-abc] quit
- 创建认证域“company1.com”,并在其上绑定AAA认证方案“abc”与RADIUS服务器模板“rd1”。
[Core-aaa] domain company1.com [Core-aaa-domain-company1.com] authentication-scheme abc [Core-aaa-domain-company1.com] radius-server rd1 [Core-aaa-domain-company1.com] quit [Core-aaa] quit
- 测试用户是否能够通过RADIUS模板的认证。(已在RADIUS服务器上配置了测试用户test,用户密码Admin123)
[Core] test-aaa test Admin123 radius-template rd1 Info: Account test succeeded.
- 创建并配置RADIUS服务器模板“rd1”。
- 在Core配置Portal服务器模板
[Core] web-auth-server abc [Core-web-auth-server-abc] server-ip 192.168.1.1 [Core-web-auth-server-abc] port 50100 [Core-web-auth-server-abc] url http://192.168.1.1:19008/portal [Core-web-auth-server-abc] shared-key cipher Admin@1234 [Core-web-auth-server-abc] quit
- 在Core配置认证模板,并将其绑定到用户接入端口
- 如果XGE0/0/1需要绑定MAC认证模板,配置如下。
[Core] mac-access-profile name m1 //配置MAC接入模板m1 [Core-mac-access-profile-m1] quit [Core] authentication-profile name p1 //配置认证模板p1 [Core-authen-profile-p1] mac-access-profile m1 //绑定MAC接入模板m1 [Core-authen-profile-p1] access-domain company1.com force //指定强制认证域为“company1.com” [Core-authen-profile-p1] quit [Core] interface xgigabitethernet 0/0/1 [Core-XGigabitEthernet0/0/1] authentication-profile p1 //在用户接入端口绑定认证模板p1 [Core-XGigabitEthernet0/0/1] quit
- 如果XGE0/0/1需要绑定802.1X认证模板,配置如下。
[Core] dot1x-access-profile name d1 //配置802.1X接入模板d1 [Core-dot1x-access-profile-d1] dot1x authentication-method eap //指定802.1X用户认证方式为EAP。 [Core-dot1x-access-profile-d1] dot1x timer client-timeout 30 //指定802.1X用户认证超时时间为30秒 [Core-dot1x-access-profile-d1] quit [Core] authentication-profile name p1 //配置认证模板p1 [Core-authen-profile-p1] dot1x-access-profile d1 //绑定802.1X接入模板d1 [Core-authen-profile-p1] access-domain company1.com force //指定强制认证域为“company1.com” [Core-authen-profile-p1] quit [Core] interface xgigabitethernet 0/0/1 [Core-XGigabitEthernet0/0/1] authentication-profile p1 //在用户接入端口绑定认证模板p1 [Core-XGigabitEthernet0/0/1] quit
- 如果XGE0/0/1需要绑定Portal认证模板,配置如下。
[Core] portal-access-profile name web1 //配置Portal接入模板web1 [Core-portal-access-profile-web1] web-auth-server abc direct //绑定Portal服务器模板abc。 [Core-portal-access-profile-web1] quit [Core] authentication-profile name p1 //配置认证模板p1 [Core-authen-profile-p1] portal-access-profile web1 //绑定Portal接入模板web1 [Core-authen-profile-p1] access-domain company1.com force //指定强制认证域为“company1.com” [Core-authen-profile-p1] quit [Core] interface xgigabitethernet 0/0/1 [Core-XGigabitEthernet0/0/1] authentication-profile p1 //在用户接入端口绑定认证模板p1 [Core-XGigabitEthernet0/0/1] quit
- 如果XGE0/0/1需要绑定MAC认证模板,配置如下。
配置有线接入认证控制点(通过iMaster NCE-Campus配置)
背景信息
在大中型园区非虚拟化场景中,也支持通过iMaster NCE-Campus配置有线认证控制点,但仅适用于未部署策略联动的组网场景。而且,如果有线认证控制点在核心交换机或者汇聚交换机,对于802.1X认证,由于其认证过程中的EAP协议报文是一种BPDU报文,当前交换机缺省不做二层转发,还需要在有线认证控制点与用户终端间透传协议报文的交换机上进行如下配置:
全局视图执行命令:l2protocol-tunnel user-defined-protocol dot1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002
在连接上行网络接口以及连接用户的下行接口执行命令:l2protocol-tunnel user-defined-protocol dot1x enable与bpdu enable
规划样例
表5-26 RADIUS服务器模板数据规划表
名称 |
使用内置服务器 |
实时计费 |
密钥 |
|---|---|---|---|
iMaster_RADIUS |
是 |
关 |
Admin@1234 |
表5-27 Portal服务器模板数据规划表
模板名 |
使用内置服务器 |
密钥 |
|---|---|---|
iMaster_Portal |
是 |
Admin@1234 |
表5-28 有线接入认证控制点规划表
名称 |
认证方式 |
RADIUS服务器 |
选择设备及接口 |
|---|---|---|---|
Wire_Access |
安全网络 |
iMaster_RADIUS |
Access-a及其所有接口 |
