Agile Controller-Campus：有线802.1X认证配置示例

Agile Controller-Campus：有线802.1X认证配置示例

有线802.1X认证
终端采用有线802.1X方式接入网络。
举例产品和版本

Agile Controller-Campus配套的交换机最高版本为V200R019C00，本文以V200R008C00版本交换机为例进行配置，如需对接其它版本，请参见对应版本的交换机产品文档。
组网需求
某企业的用户帐号和组织结构均在AD服务器上维护，基于非移动办公需求，需在园区内提供有线接入网络方案。考虑到安全性，使用有线802.1X方式接入。
用户认证成功后方可访问Internet资源。
图1 组网图

数据规划
表1 有线VLAN规划

表2 有线网络数据规划

表3 802.1X业务数据规划

配置思路
(1)在接入交换机、汇聚交换机和核心交换机配置VLAN、IP地址和路由，确保网络互通。
(2)在汇聚交换机配置RADIUS对接参数和有线接入业务参数，实现有线802.1X接入。
(3)在Agile Controller-Campus上添加认证设备，并配置认证授权，对认证通过的用户授予指定权限。

本举例在AD帐号已同步到Agile Controller-Campus的基础上配置。

操作步骤
一、【设备】配置IP地址、VLAN和路由，实现网络互通。
（1）配置接入交换机。

（2）配置汇聚交换机。

（3）配置核心交换机

二、【设备】配置EAP报文透传，将EAP报文从终端用户透传到认证控制设备。（汇聚层认证场景）
除下面特殊情况外，protocol-mac和group-mac可以随意取值：
保留的组播MAC地址：0180-C200-0000～0180-C200-002F。
特殊的组播MAC地址：0100-0CCC-CCCC和0100-0CCC-CCCD。
Smart Link协议报文的目的MAC地址：010F-E200-0004。
设备上已经使用过的普通组播MAC地址。

（1）在接入交换机上定义二层透明传输EAP报文。
[S2700] l2protocol-tunnel user-defined-protocol dot1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002
（2）设置接入交换机上行和下行接口使能二层协议透明传输功能。

三、【设备】配置802.1X认证参数，实现终端用户802.1X方式接入认证。
（1）配置RADIUS服务器模板和认证计费方案。

配置实时计费是为了认证控制设备与Agile Controller-Campus之间定期发送计费报文，确保在线状态信息一致。实时计费间隔的取值对设备和RADIUS服务器的性能有要求，实时计费间隔的取值越小，对设备和RADIUS服务器的性能就越高。请根据用户数设置计费间隔。
表4 计费间隔

（2）全局默认域内引用RADIUS服务器模板和认证计费方案。
[S5700-aaa] domain default  
[S5700-aaa-domain-default] authentication-scheme auth_scheme
[S5700-aaa-domain-default] accounting-scheme acco_scheme
[S5700-aaa-domain-default] radius-server radius_huawei
[S5700-aaa-domain-default] quit
[S5700-aaa] quit
（3）配置全局默认域。
[S5700] domain default  //配置全局默认域
全局默认域为default，如果需要修改，请先在AAA视图下创建域，再将此域设置为全局默认域。
（4）启用802.1X认证。
[S5700] interface GigabitEthernet 0/0/1
[S5700-GigabitEthernet0/0/1] authentication dot1x
[S5700-GigabitEthernet0/0/1] quit


四、【设备】配置终端用户认证前和认证后允许访问的资源。
（1）认证前域即配置认证用户可以免认证访问服务器区域的资源。
[S5700] authentication free-rule 1 destination ip 192.168.11.1 mask 255.255.255.255
[S5700] authentication free-rule 2 destination ip 192.168.11.10 mask 255.255.255.255
[S5700] authentication free-rule 3 destination ip 192.168.11.100 mask 255.255.255.255
（2）认证后域即通过ACL定义认证后允许访问的资源。
[S5700] acl 3001  
[S5700-acl-adv-3001] rule 1 permit ip  
[S5700-acl-adv-3001] quit


五、【设备】配置逃生功能，当Agile Controller-Campus故障时不影响业务。
（1）配置业务方案，定义在启用逃生通道时允许访问的业务资源。
# 执行命令ucl-group { group-index | name group-name }，在业务方案下绑定UCL组。
[S5700] ucl-group 10 name ucl_server_down
[S5700] aaa
[S5700-aaa] service-scheme server_down
[S5700-aaa-service-server_down] ucl-group name ucl_server_down
[S5700-aaa-service-server_down] quit
[S5700-aaa] quit
# 在系统视图下创建用户ACL（编号6000～9999），并在ACL视图下通过rule指定ucl-group用户可以访问的业务资源。在认证服务器Down时用户属于业务方案中绑定的ucl-group。
[S5700] acl 6001
[S5700-acl-ucl-6001] rule permit ip source ucl-group name ucl_server_down destination 192.168.11.1 0
[S5700-acl-ucl-6001] rule permit ip source ucl-group name ucl_server_down destination 192.168.11.10 0
[S5700-acl-ucl-6001] rule permit ip source ucl-group name ucl_server_down destination 192.168.11.100 0
[S5700-acl-ucl-6001] quit
# 在系统视图下执行命令traffic-filter inbound acl acl-number，配置基于ACL对报文进行过滤。只有配置该命令后基于ucl-group的规则才能生效。
[S5700] traffic-filter inbound acl 6001

（2）配置认证服务器Down时的逃生通道。
[S5700] authentication event authen-server-down action authorize service-scheme server_down

六、【Agile Controller-Campus】将SC服务器加入AD域。（AD域帐号认证场景）
如果使用AD域帐号做MSCHAPv2协议的802.1X认证，则需要将SC服务器加入AD域。
EasyAccess和操作系统自带802.1X客户端默认都使用MSCHAPv2协议。

七、【Agile Controller-Campus】添加认证控制设备，与认证控制设备实现RADIUS对接。
选择“资源 > 设备 > 设备管理”，添加交换机。

八、【Agile Controller-Campus】配置认证授权，终端用户根据条件匹配认证授权规则。
（1）选择“策略 > 准入控制 > 认证授权 > 认证规则”，修改缺省认证规则或新建认证规则。
将AD服务器加入“数据源”。缺省认证规则只针对本地数据源，如不将AD服务器加入，AD帐号认证失败。

（2）选择“策略 > 准入控制 > 认证授权 > 授权结果”，添加授权ACL。
ACL编号与认证控制设备配置一致。

（3）选择“策略 > 准入控制 > 认证授权 > 授权规则”，关联授权结果，指定用户认证通过后允许访问的资源。

结果验证
（1）固定终端用户使用操作系统自带的802.1X客户端认证。
（2）固定终端用户认证成功前，可以ping通服务器区域的资源。
（3）固定终端用户认证成功后，自动获取172.16.11.0/24网段IP地址，可以ping通Internet资源。
（4）管理员在汇聚交换机通过display access-user和display access-user user-id user-id查看在线用户详细信息。
（5）在Agile Controller-Campus选择“资源 > 用户 > RADIUS日志”，RADIUS日志中含有固定终端用户的详细信息。