cjh 7.2 华为敏捷控制器:准入控制:使用思科交换机做MAC旁路认证(如果使用AD域帐号做MSCHAPv2协议的802.1X认证,则需要将SC服务器加入AD域)
7.2 华为敏捷控制器:准入控制:使用思科交换机做MAC旁路认证(如果使用AD域帐号做MSCHAPv2协议的802.1X认证,则需要将SC服务器加入AD域)
以Cisco Catalyst 3750为例说明思科交换机做MAC旁路认证的配置。
举例产品和版本
本举例只关注Cisco Catalyst 3750作为认证控制设备做MAC旁路的配置,其他网络设备未规划,请以实际为准。
组网需求
某企业用户的PC通过IP电话连接到接入交换机,为确保网络接入安全,需要对接入网络的PC和IP电话做认证,只有认证通过才能接入网络。
图1 组网图
数据规划
配置思路
普通用户和IP电话同时需要接入网络认证,普通用户使用AD帐号做802.1X认证。IP电话做MAC旁路认证,IP电话接入时将IP电话归到voice域,通过自定义RADIUS属性实现。
操作步骤
(1)【设备】在接口配置MAC旁路认证。
Switch> enable
Switch # config terminal
Switch(config)# interface gigabitethernet 1/0/1
Switch(config-if)# no switchport
Switch(config-if)# ip address 192.168.10.5 255.255.255.0
Switch(config-if)# exit
Switch(config)# interface gigabitethernet 1/0/3
Switch(config-if)# description test_mab_ipphone_pc
Switch(config-if)# switchport access vlan 220
Switch(config-if)# switchport mode access
Switch(config-if)# switchport voice vlan 222
Switch(config-if)# authentication event fail action next-method
Switch(config-if)# authentication event server dead action authorize
Switch(config-if)# authentication event server alive action reinitialize
Switch(config-if)# authentication host-mode multi-domain
Switch(config-if)# authentication open
Switch(config-if)# authentication order mab dot1x
Switch(config-if)# authentication priority dot1x mab
Switch(config-if)# authentication port-control auto
Switch(config-if)# authentication periodic
Switch(config-if)# authentication violation restrict
Switch(config-if)# mab
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# spanning-tree portfast
Switch(config-if)# exit
(2)【设备】激活AAA并配置认证、计费和授权。
Switch(config)# aaa new-model
Switch(config)# aaa authentication dot1x default group radius
Switch(config)# aaa authorization network default group radius
Switch(config)# aaa accounting dot1x default start-stop group radius
(3)【设备】启用802.1X。
Switch(config)# dot1x system-auth-control
(4)【设备】指定RADIUS服务器。
Switch(config)# radius-server host 192.168.11.10 auth-port 1812 acct-port 1813 key Admin@123
(5)【设备】通过ACL指定认证后允许访问的资源。
Switch(config)# access-list 102 permit ip any any
(6)【Agile Controller-Campus】将SC服务器加入AD域。(AD域帐号认证场景)
如果使用AD域帐号做MSCHAPv2协议的802.1X认证,则需要将SC服务器加入AD域。
EasyAccess和操作系统自带802.1X客户端默认都使用MSCHAPv2协议。
(7)【Agile Controller-Campus】添加认证控制设备,与认证控制设备实现RADIUS对接。
选择“资源 > 设备 > 设备管理”,添加设备。
(8)【Agile Controller-Campus】配置认证授权,终端用户根据条件匹配认证授权规则。
选择“策略 > 准入控制 > 认证授权 > 认证规则”,修改缺省认证规则或新建认证规则。
将AD服务器加入“数据源”。缺省认证规则只针对本地数据源,如不将AD服务器加入,AD帐号认证失败。
选择“策略 > 准入控制 > 认证授权 > 授权结果”,添加MAC旁路业务授权ACL。
本举例终端用户使用缺省的允许接入授权规则,认证后允许访问所有资源。
ACL编号与认证控制设备配置一致。
IP电话接入时,需要将IP电话归到voice域,在授权结果中增加自定义授权参数。
在授权规则中引用该授权结果,当IP电话接入时匹配该授权结果。
选择“策略 > 准入控制 > 认证授权 > 授权规则”,关联授权结果,指定用户认证通过后允许访问的资源。
结果验证
终端用户可以使用AD帐号认证成功,认证后可以访问Internet。
IP电话可以接入网络认证成功。
配置脚本
Building configuration...
Current configuration : 4002 bytes
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Switch
!
boot-start-marker
boot-end-marker
!
!
enable password cisco
!
aaa new-model
!
!
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius
!
!
!
!
!
!
aaa session-id common
switch 1 provision ws-c3750x-24p
system mtu routing 1500
ip routing
!
!
no ip domain-lookup
vtp mode off
!
!
dot1x system-auth-control
!
vlan 220,222
!
interface FastEthernet0
!
interface GigabitEthernet1/0/1
no switchport
ip address 192.168.10.5 255.255.255.0
!
interface GigabitEthernet1/0/2
!
interface GigabitEthernet1/0/3
description test_mab_ipphone_pc
switchport access vlan 220
switchport mode access
switchport voice vlan 222
authentication event fail action next-method
authentication event server dead action authorize
authentication event server alive action reinitialize
authentication host-mode multi-domain
authentication open
authentication order mab dot1x
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication violation restrict
mab
dot1x pae authenticator
spanning-tree portfast
!
interface GigabitEthernet1/0/4
!
interface GigabitEthernet1/0/5
!
interface GigabitEthernet1/0/6
!
interface GigabitEthernet1/0/7
!
interface GigabitEthernet1/0/8
!
interface GigabitEthernet1/0/9
!
interface GigabitEthernet1/0/10
!
interface GigabitEthernet1/0/11
!
interface GigabitEthernet1/0/12
!
interface GigabitEthernet1/0/13
!
interface GigabitEthernet1/0/14
!
interface GigabitEthernet1/0/15
!
interface GigabitEthernet1/0/16
!
interface GigabitEthernet1/0/17
!
interface GigabitEthernet1/0/18
!
interface GigabitEthernet1/0/19
!
interface GigabitEthernet1/0/20
!
interface GigabitEthernet1/0/21
!
interface GigabitEthernet1/0/22
!
interface GigabitEthernet1/0/23
!
interface GigabitEthernet1/0/24
!
interface GigabitEthernet1/1/1
!
interface GigabitEthernet1/1/2
!
interface GigabitEthernet1/1/3
!
interface GigabitEthernet1/1/4
!
interface TenGigabitEthernet1/1/1
!
interface TenGigabitEthernet1/1/2
!
interface Vlan1
no ip address
shutdown
!
radius-server host 192.168.11.10 auth-port 1812 acct-port 1813 key Admin@123
!
line con 0
line vty 0 4
exec-timeout 0 0
privilege level 15
password cisco
line vty 5 15
!
!
end
Huawei Agile Controller(列表、list、全)华为AClist、敏捷控制器list
http://www.zh-cjh.com/wenzhangguilei/3224.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 7.2 华为敏捷控制器:准入控制:使用思科交换机做MAC旁路认证(如果使用AD域帐号做MSCHAPv2协议的802.1X认证,则需要将SC服务器加入AD域)
作者: cjh
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm