< Home

配置通过ACL和动态VLAN为用户授权示例

简介

802.1x用户在RADIUS服务器上通过认证后,RADIUS服务器会把授权信息下发给设备端。Agile Controller-Campus作为RADIUS服务器时,支持下发的授权参数有多种。其中:
  • ACL授权分为ACL号(又称为静态ACL)和动态ACL。

    • ACL号:服务器上配置了ACL号下发功能,则授权信息中含有下发的ACL号,设备端根据下发的ACL号匹配相应的ACL规则,对用户权限进行控制。

      ACL号下发,使用的RADIUS属性为:(011)Filter-Id。

    • 动态ACL:服务器向设备下发该ACL中的规则,用户能够访问ACL所包括的网络资源,ACL及ACL规则需要在服务器上配置。设备上不需要配置对应的ACL。

      动态ACL下发,使用的RADIUS属性为:华为RADIUS扩展属性(26-82)HW-Data-Filter。

  • 动态VLAN:服务器上配置了动态VLAN下发功能,则授权信息中含有下发的VLAN属性,设备端在接收到下发的VLAN属性后,会将用户所属的VLAN修改为下发VLAN。

    授权下发的VLAN并不改变接口的配置,也不影响接口的配置。但是,授权下发的VLAN的优先级高于用户配置的VLAN,即通过认证后起作用的VLAN是授权下发的VLAN,用户配置的VLAN在用户下线后生效。

    动态VLAN下发,使用了以下RADIUS属性:
    • (064)Tunnel-Type(必须指定为VLAN,或数值13)
    • (065)Tunnel-Medium-Type(必须指定为802,或数值6)
    • (081)Tunnel-Private-Group-ID(可以是VLAN ID或VLAN名称)

    要通过RADIUS服务器正确下发VLAN属性,以上三个属性必须同时使用,而且Tunnel-Type及Tunnel-Medium-Type两个属性的值必须是指定的值。

说明:

本案例以下发ACL号和动态VLAN为例。下发ACL号和动态ACL的配置差异以说明的形式给出。

配置注意事项

本例适用于S系列交换机的所有产品。

说明:

如需了解交换机软件配套详细信息,请参看华为交换机版本配套速查

VLAN授权功能生效,对认证接口的链路类型和接入控制方式有如下要求:
  • 接口链路类型是Untagged的Hybrid类型时,其接入控制方式可以为基于MAC地址或基于接口的。
  • 接口链路类型是Access或Trunk类型时,其接入控制方式只能是基于接口的。

组网需求

图1所示,某公司内部大量员工终端通过SwitchA上的接口GE0/0/1接入网络。为确保网络的安全性,管理员需对终端的网络访问权限进行控制,要求如下:
  • 终端认证成功前能够访问公共服务器(IP地址为192.168.40.1),执行下载802.1x客户端或更新病毒库的操作。
  • 终端认证成功后能够访问业务服务器(IP地址为192.168.50.1)和实验室内的设备(所属VLAN号为20,IP地址段为192.168.20.10–192.168.20.100)。
图1 有线接入组网图

数据准备

表1 接入交换机业务数据规划

项目

数据

RADIUS方案

  • 认证服务器IP地址:192.168.30.1

  • 认证服务器端口号:1812

  • 计费服务器IP地址:192.168.30.1

  • 计费服务器端口号:1813

  • RADIUS服务器共享密钥:Huawei@123

  • 计费周期:15分钟

  • 认证域:huawei

认证成功前可访问的资源

公共服务器的访问权限通过免认证规则设置,免认证规则模板名称:default_free_rule

认证成功后可访问的资源

实验室的访问权限通过动态VLAN授权,VLAN号为:20

业务服务器的访问权限通过ACL号授权,ACL号为:3002
表2 Agile Controller-Campus业务数据规划

项目

数据

部门

研发部

接入用户

用户名:A

有线接入帐号:A-123

密码:Huawei123
交换机IP地址

SwitchA:10.10.10.1

RADIUS认证密钥

Huawei@123

RADIUS计费密钥

Huawei@123

配置思路

  1. 配置接入交换机。包括配置接口所属VLAN、与RADIUS服务器的对接参数、使能NAC认证、认证成功后的网络访问权限等。
    说明:
    本实例需保证SwitchA、SwitchB、各个服务器、实验室以及员工区域之间路由互通。
  2. 配置Agile Controller-Campus
    1. 登录Agile Controller-Campus
    2. Agile Controller-Campus中添加用户账号。
    3. Agile Controller-Campus中添加交换机。
    4. Agile Controller-Campus中增加授权结果和授权规则。

操作步骤

  1. 配置接入交换机SwitchA。
    1. 创建VLAN并配置接口允许通过的VLAN,保证网络通畅。 

      <Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] vlan batch 10 20
[SwitchA] interface gigabitethernet 0/0/1    //配置与员工终端连接的接口
[SwitchA-GigabitEthernet0/0/1] port link-type hybrid
[SwitchA-GigabitEthernet0/0/1] port hybrid pvid vlan 10
[SwitchA-GigabitEthernet0/0/1] port hybrid untagged vlan 10
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchA] interface gigabitethernet 0/0/2    //配置与实验室连接的接口
[SwitchA-GigabitEthernet0/0/2] port link-type hybrid
[SwitchA-GigabitEthernet0/0/2] port hybrid untagged vlan 20
[SwitchA-GigabitEthernet0/0/2] quit
[SwitchA] interface gigabitethernet 0/0/3    //配置与SwitchB连接的接口
[SwitchA-GigabitEthernet0/0/3] port link-type trunk
[SwitchA-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20
[SwitchA-GigabitEthernet0/0/3] quit
[SwitchA] interface loopback 1
[SwitchA-LoopBack1] ip address 10.10.10.1 24    //配置与Controller通信的IP地址
[SwitchA-LoopBack1] quit

    2. 创建并配置RADIUS服务器模板、AAA认证方案以及认证域。

      # 创建并配置RADIUS服务器模板“rd1”。
      [SwitchA] radius-server template rd1
[SwitchA-radius-rd1] radius-server authentication 192.168.30.1 1812
[SwitchA-radius-rd1] radius-server accounting 192.168.30.1 1813
[SwitchA-radius-rd1] radius-server shared-key cipher Huawei@123
[SwitchA-radius-rd1] quit
      # 创建AAA认证方案“abc”并配置认证方式为RADIUS。
      [SwitchA] aaa
[SwitchA-aaa] authentication-scheme abc
[SwitchA-aaa-authen-abc] authentication-mode radius
[SwitchA-aaa-authen-abc] quit
      # 配置计费方案“acco1”并配置计费方式为RADIUS。
      [SwitchA-aaa] accounting-scheme acco1
[SwitchA-aaa-accounting-acco1] accounting-mode radius
[SwitchA-aaa-accounting-acco1] accounting realtime 15
[SwitchA-aaa-accounting-acco1] quit
      # 创建认证域“huawei”,并在其上绑定AAA认证方案“abc”、计费方案“acco1”与RADIUS服务器模板“rd1”。
      [SwitchA-aaa] domain huawei
[SwitchA-aaa-domain-huawei] authentication-scheme abc
[SwitchA-aaa-domain-huawei] accounting-scheme acco1
[SwitchA-aaa-domain-huawei] radius-server rd1
[SwitchA-aaa-domain-huawei] quit
[SwitchA-aaa] quit

    3. 配置免认证规则模板。 

      [SwitchA] free-rule-template name default_free_rule
[SwitchA-free-rule-default_free_rule] free-rule 10 destination ip 192.168.40.0 mask 24
[SwitchA-free-rule-default_free_rule] quit

    4. 使能802.1X认证。

      # 将NAC配置模式切换成统一模式。

      [SwitchA] authentication unified-mode
      说明:
      设备默认为统一模式。模式切换前,管理员必须保存配置;模式切换后,设备重启,新配置模式的各项功能才能生效。
      # 配置802.1x接入模板“d1”。
      [SwitchA] dot1x-access-profile name d1
[SwitchA-dot1x-access-profile-d1] quit

      # 配置认证模板“p1”,并在其上绑定802.1x接入模板“d1”、绑定免认证规则模板“default_free_rule”、指定认证模板下用户的强制认证域为“huawei”、指定用户接入模式为多用户单独认证接入模式。

      [SwitchA] authentication-profile name p1
[SwitchA-authen-profile-p1] dot1x-access-profile d1
[SwitchA-authen-profile-p1] free-rule-template default_free_rule
[SwitchA-authen-profile-p1] access-domain huawei force
[SwitchA-authen-profile-p1] authentication mode multi-authen
[SwitchA-authen-profile-p1] quit

      # 在接口GE0/0/1上绑定认证模板“p1”,使能802.1x认证。

      [SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] authentication-profile p1
[SwitchA-GigabitEthernet0/0/1] quit

    5. 配置认证成功后的授权参数ACL3002。

      说明:

      使用动态ACL方式时,设备上不需要配置此步骤。

      [SwitchA] acl 3002
[SwitchA-acl-adv-3002] rule 1 permit ip destination 192.168.30.1 0
[SwitchA-acl-adv-3002] rule 2 permit ip destination 192.168.50.1 0
[SwitchA-acl-adv-3002] rule 3 deny ip destination any
[SwitchA-acl-adv-3002] quit

  2. Agile Controller-Campus侧配置。
    1. 登录Agile Controller-Campus

      1. 打开Internet Explorer浏览器,在地址栏输入Agile Controller-Campus的访问地址,单击“Enter”
        Agile Controller-Campus的访问地址支持以下形式:

        访问方式

        说明

        https://Agile Controller-Campus-IP:8443

        其中,“Agile Controller-Campus-IP”为Agile Controller-Campus的IP地址。

        Agile Controller-Campus的IP地址

        如果在安装时启用了80端口,则允许不输入端口号。通过此种方式访问Agile Controller-Campus,URL地址将自动跳转为“https://Agile Controller-Campus-IP:8443”。
      2. 输入管理员帐号和密码。

        首次登录Agile Controller-Campus,请使用超级管理员帐号admin和密码Changeme123。首次登录之后请立即修改密码,否则无法使用Agile Controller-Campus

    2. 创建部门和账号。

      1. 选择“资源 > 用户 > 用户管理”。
      2. 在右侧操作区域内选择“部门”页签,并在“部门”页签下方单击“增加”,创建部门“研发部”。

      3. 在右侧操作区域内选择“用户”页签,并在“用户”页签下方单击“增加”,创建用户“A”。

      4. 在用户“A”右侧单击“操作”中的,进入“账号管理”。单击“增加”,创建普通账号“A-123”,密码为“Huawei123”。

      5. 在“用户”页签内,选中用户“A”,单击“用户转移”,将用户“A”添加到部门“研发部”。

    3. Agile Controller-Campus中添加交换机设备,以便Agile Controller-Campus能与交换机正常联动。

      选择资源 > 设备 > 设备管理。并在右侧操作区域内单击“增加”,在“增加设备”页面,设置设备的连接参数。

    4. 添加授权结果。

      说明:
      下发ACL号和VLAN时,执行此步骤。

      1. 选择策略 > 准入控制 > 认证授权 > 授权结果,并单击“增加”,创建授权结果。

      2. 设置授权结果的基本信息。

        参数

        取值

        说明

        名称

        认证成功后的授权信息

        -

        业务类型

        接入业务

        -

        VLAN

        20

        与交换机上配置的对研发部员工的访问控制规则一致。

        ACL号/AAA用户组

        3002

        与交换机上配置的对研发部员工的访问控制规则一致。

    5. 添加授权结果。

      说明:
      下发动态ACL和VLAN时,执行此步骤。
      1. 增加动态ACL:
        1. 选择“策略 > 准入控制 > 策略元素 > 动态ACL”。
        2. 单击“增加”。
        3. 设置动态ACL的基本信息,并在“属性列表”中单击“增加”。
        4. 设置动态ACL包含的属性。

      2. 选择策略 > 准入控制 > 认证授权 > 授权结果,并单击“增加”,创建授权结果。

      3. 设置授权结果的基本信息。

        参数

        取值

        说明

        名称

        认证成功后的授权信息

        -

        业务类型

        接入业务

        -

        VLAN

        20

        与交换机上配置的对研发部员工的访问控制规则一致。

        动态ACL

        3002

        -

    6. 添加授权规则。

      认证阶段的检查通过后,用户的接入过程将进入授权阶段。授权阶段,Agile Controller-Campus通过授权规则授予用户权限。

      1. 选择策略 > 准入控制 > 认证授权 > 授权规则,并单击“增加”,创建授权规则。

      2. 设置授权规则的基本信息。

        参数

        取值

        说明

        名称

        认证成功后的授权规则

        -

        业务类型

        接入业务

        -

        部门

        研发部

        -

        授权结果

        认证成功后的授权信息

        -

  3. 检查配置结果

    • 员工在没有认证的情况下只能访问Agile Controller-Campus服务器和公共服务器。
    • 员工认证通过后,能够访问Agile Controller-Campus服务器、公共服务器、业务服务器和实验室。
    • 认证通过后,在交换机上执行命令display access-user,可以看到员工的在线信息。

交换机的配置文件

#
sysname SwitchA
#
vlan batch 10 20
#
authentication-profile name p1
 dot1x-access-profile d1
 free-rule-template default_free_rule
 access-domain huawei force
#
radius-server template rd1
 radius-server shared-key cipher %^%#FP@&C(&{$F2HTlPxg^NLS~KqA/\^3Fex;T@Q9A](%^%#
 radius-server authentication 192.168.30.1 1812 weight 80
 radius-server accounting 192.168.30.1 1813 weight 80
#
acl number 3002
 rule 1 permit ip destination 192.168.30.1 0 
 rule 2 permit ip destination 192.168.50.1 0 
 rule 3 deny ip
#
free-rule-template name default_free_rule
 free-rule 10 destination ip 192.168.40.0 mask 255.255.255.0
# 
aaa
 authentication-scheme abc
  authentication-mode radius
 accounting-scheme acco1
  accounting-mode radius
  accounting realtime 15
 domain huawei
  authentication-scheme abc
  accounting-scheme acco1
  radius-server rd1
#
interface GigabitEthernet0/0/1
 port link-type hybrid
 port hybrid pvid vlan 10 
 port hybrid untagged vlan 10
 authentication-profile p1
#
interface GigabitEthernet0/0/2
 port link-type hybrid
 port hybrid untagged vlan 20
#
interface GigabitEthernet0/0/3
 port link-type trunk
 port trunk allow-pass vlan 10 20
#
interface LoopBack1
 ip address 10.10.10.1 255.255.255.0
#  
dot1x-access-profile name d1
#
return
父主题: 配置NAC(统一模式)(认证服务器是Agile Controller-Campus)(V200R009C00及其后续版本)
华为专有和保密信息 版权所有 © 华为技术有限公司
华为专有和保密信息
版权所有 © 华为技术有限公司
< 上一节