当前位置: 首页 > 各厂家 > 华为 > Agile Controller
cjhcjh Agile Controller   此文章访问量   489

5.2 华为敏捷控制器:准入控制:汇聚层部署802.1x认证配置示例(非模拟器)配置终端用户认证前和认证后允许访问的资源

5.2 华为敏捷控制器:准入控制:汇聚层部署802.1x认证配置示例(非模拟器)配置终端用户认证前和认证后允许访问的资源

1)拓扑图

1.png

2)基础配置

sw1:

vlan2

interface GigabitEthernet0/0/1           

 port link-type access

 port default vlan 2

#

interface GigabitEthernet0/0/2

 port link-type trunk

 port trunk allow-pass vlan 2

sw2:

interface Vlanif1

 ip address 10.12.160.254 255.255.0.0

#

interface Vlanif2

 ip address 192.168.2.254 255.255.255.0

#                                        

interface Vlanif3

 ip address 192.168.0.1 255.255.255.0

#

interface GigabitEthernet0/0/1

 port link-type access

#

interface GigabitEthernet0/0/2

 port link-type trunk

 port trunk allow-pass vlan 2

#

interface GigabitEthernet0/0/3

 port link-type access

 port default vlan 3

#

sw2配置dhcp中继:

dhcp enable

dhcp server group dhcpgroup1

   dhcp-server 10.12.12.231 0

interface Vlanif2

   ip address 192.168.2.254 255.255.255.0

   dhcp select relay

   dhcp relay server-select dhcpgroup1

pc1测试获取ip地址:成功获取ip地址,在没有开启802.1x认证前,网络是全通了。

1.png

2.png

dhcp服务器上查看ip租用记录:

1.png

3sw1: 在Switch上配置802.1X报文透传功能:配置EAP报文透传,将EAP报文从终端用户透传到认证控制设备。(汇聚层认证场景)

除下面特殊情况外,protocol-mac和group-mac可以随意取值:

    保留的组播MAC地址:0180-C200-0000~0180-C200-002F。

    特殊的组播MAC地址:0100-0CCC-CCCC和0100-0CCC-CCCD。

    Smart Link协议报文的目的MAC地址:010F-E200-0004。

    设备上已经使用过的普通组播MAC地址。

    在接入交换机上定义二层透明传输EAP报文。

[SW1]l2protocol-tunnel user-defined-protocol dot1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002

 

    设置接入交换机上行和下行接口使能二层协议透明传输功能。

sw1:

interface GigabitEthernet0/0/1

   port link-type access

   port default vlan 2

   l2protocol-tunnel user-defined-protocol dot1x enable

   bpdu enable

#

interface GigabitEthernet0/0/2

   port link-type trunk

   port trunk allow-pass vlan 2

   l2protocol-tunnel user-defined-protocol dot1x enable

   bpdu enable

 

sw2:配置802.1X认证参数,实现终端用户802.1X方式接入认证。

4.1配置RADIUS服务器模板和认证计费方案。

[sw2]authentication unified-mode   # //缺省是unified-mode,如未更改可无需执行该命令

[sw2]radius-server template radius1

[sw2-radius-radius1]radius-server authentication 10.12.160.41 1812 source ip-address 10.12.160.254

[sw2-radius-radius1]radius-server accounting 10.12.160.41 1813 source ip-address 10.12.160.254

[sw2-radius-radius1]radius-server shared-key cipher www.zh-cjh.com

[sw2-radius-radius1]quit

[sw2]radius-server authorization 10.12.160.41 shared-key cipher www.zh-cjh.com

 

[sw2]aaa

[sw2-aaa]authentication-scheme auth_scheme1

[sw2-aaa-authen-auth_scheme1]authentication-mode radius

[sw2-aaa-authen-auth_scheme1]quit

 

[sw2]aaa

[sw2-aaa]accounting-scheme acco_scheme1

[sw2-aaa-accounting-acco_scheme1]accounting-mode radius

[sw2-aaa-accounting-acco_scheme1]accounting realtime 15    #配置实时计费周期为15分钟

配置实时计费是为了认证控制设备与Agile Controller-Campus之间定期发送计费报文,确保在线状态信息一致。实时计费间隔的取值对设备和RADIUS服务器的性能有要求,实时计费间隔的取值越小,对设备和RADIUS服务器的性能就越高。请根据用户数设置计费间隔。

1.png

4.2全局默认域内引用RADIUS服务器模板和认证计费方案。

[sw2]aaa

[sw2-aaa]domain default

[sw2-aaa-domain-default]authentication-scheme auth_scheme1

[sw2-aaa-domain-default]accounting-scheme acco_scheme1

[sw2-aaa-domain-default]radius-server radius1

[sw2-aaa-domain-default]quit

4.3配置全局默认域。

[sw2]domain default  //配置全局默认域

Info: Set the default domain success.

全局默认域为default,如果需要修改,请先在AAA视图下创建域,再将此域设置为全局默认域。

4.4启用802.1x认证

[sw2]int GigabitEthernet 0/0/2

[sw2-GigabitEthernet0/0/2]authentication  dot1x

 

interface GigabitEthernet0/0/2

 port link-type trunk

 port trunk allow-pass vlan 2

 authentication dot1x

 

启用dot1x认证后,则PC1就ping不通了。(虽然ping不通,但是还是可以正常从dhcp服务器10.12.160.231那获取ip地址)

1.png

4.5定义认证前与认证后允许访问的资源

配置终端用户认证前和认证后允许访问的资源。

认证前域即配置认证用户可以免认证访问服务器区域的资源。

[sw2]authentication free-rule 1 destination ip 10.12.12.231 mask 255.255.255.255

1.png

[sw2]authentication free-rule 2  destination ip 10.12.160.41 mask 255.255.255.255

认证后域即通过ACL定义认证后允许访问的资源。

1.png

#acl 3001 

acl number 3001

 rule 5 permit ip source any destination any

 

5.1)添加帐号

1.png

2.png

3.png

5.2)添加交换机

【Agile Controller-Campus】添加认证控制设备,与认证控制设备实现RADIUS对接。

选择“资源 > 设备 > 设备管理”,添加交换机。

1.png

2.png

3.png

测试交换机与AgileContoller之间的通信。

[sw2]test-aaa u3 密码 radius-template radius1

[sw2]

Info: Account test succeed.

[sw2]

1.png

2.png

4.3)配置认证规则

【Agile Controller-Campus】配置认证授权,终端用户根据条件匹配认证授权规则。

    选择“策略 > 准入控制 > 认证授权 > 认证规则”,修改缺省认证规则或新建认证规则

    将AD服务器加入“数据源”。缺省认证规则只针对本地数据源,如不将AD服务器加入,AD帐号认证失败。

1.png

2.png

此次实验不使用ad域帐号测试,这一步可以不添加AD域帐号。

1.png

2.png

3.png

4.png

5.png

4.4)配置授权结果

选择“策略 > 准入控制 > 认证授权 > 授权结果”,添加授权ACL。

ACL编号与认证控制设备配置一致。

1.png

2.png

3.png

4.5)配置授权规则

选择“策略 > 准入控制 > 认证授权 > 授权规则”,关联授权结果,指定用户认证通过后允许访问的资源。

1.png

2.png

3.png

把优先级调到第1.

1.png

6.1)测试,失败,但是在AgileController查看没有相关日志。之前可以ping通,现在都ping不通了。

1.png

之前可以ping通,现在都ping不通了的原因为网络需要重启识别,禁用下网卡或者重启下电脑就可以ping通"authentication free-rule "资源了。

1.png

 

解决上面认证失败原因(radius server上也没日志):

1.png

解决:重新配置下,还不行的话,重启下交换机,就以下这个链接,配置都没有问题,重启下设备就好了。

配置Client-Initiated场景下的L2TP VPNAgile Controller作为radius server

http://www.zh-cjh.com/wangluoanquan/3012.html

 

全局默认域内引用RADIUS服务器模板和认证计费方案。

[sw2]aaa

[sw2-aaa]domain default

[sw2-aaa-domain-default]authentication-scheme auth_scheme1

[sw2-aaa-domain-default]accounting-scheme acco_scheme1

[sw2-aaa-domain-default]radius-server radius1

[sw2-aaa-domain-default]quit

测试:认证成功

1.png

2.png

3.png

4.png

如果接入交换机上没有定义二层透明传输EAP报文会怎样?

 

[sw1]int GigabitEthernet 0/0/1

[sw1-GigabitEthernet0/0/1]undo l2protocol-tunnel user-defined-protocol dot1x enable

[sw1]int GigabitEthernet 0/0/2

[sw1-GigabitEthernet0/0/2]undo l2protocol-tunnel user-defined-protocol dot1x enable

[sw1]undo l2protocol-tunnel user-defined-protocol dot1x

接入层交换机不透传eap报文:

接入层交换机不透传eap报文的pap方式:

[sw2]dot1x authentication-method pap

1.png

接入层交换机不透传eap报文的chap方式:

[sw2]dot1x authentication-method chap

1.png

接入层交换机不透传eap报文的eap方式:(认证失败日志不会显来,只显示成功的

[sw2]dot1x authentication-method eap

1.png

恢复透传:

[SW1]l2protocol-tunnel user-defined-protocol dot1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002

    设置接入交换机上行和下行接口使能二层协议透明传输功能。

sw1:

interface GigabitEthernet0/0/1

   port link-type access

   port default vlan 2

   l2protocol-tunnel user-defined-protocol dot1x enable

   bpdu enable

#

interface GigabitEthernet0/0/2

   port link-type trunk

   port trunk allow-pass vlan 2

   l2protocol-tunnel user-defined-protocol dot1x enable

   bpdu enable

 

接入层交换机透传eap报文:

接入层交换机透传eap报文的pap方式:

[sw2]dot1x authentication-method pap 可以看到终端IP地址

1.png

接入层交换机透传eap报文的chap方式:

[sw2]dot1x authentication-method chap

1.png

接入层交换机透传eap报文的eap方式:(认证失败日志不会显来,只显示成功的

[sw2]dot1x authentication-method eap

1.png

结果:如果不透传eap报文,则AgileController上的日志里面就收集不到终端的IP


Huawei Agile Controller(列表、list、全)华为AClist、敏捷控制器list

http://www.zh-cjh.com/wenzhangguilei/3224.html

文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html


1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 5.2 华为敏捷控制器:准入控制:汇聚层部署802.1x认证配置示例(非模拟器)配置终端用户认证前和认证后允许访问的资源

作者: cjh


手机扫一扫,手机上查看此文章:

相关推荐

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!