21-Triple认证操作
本章节下载 (170.8 KB)
目 录
目前仅E126A交换机支持支持Triple认证功能。
在客户端形式多样的网络环境中,客户端能适应的接入认证方式也有所不同,如图1-1所示,有的客户端只能进行MAC地址认证(比如打印机终端);有的主机安装了802.1x客户端软件,可以进行802.1x认证;有的用户主机未安装802.1x客户端软件,只能进行Web认证。为了灵活地适应这种网络环境中的多种认证需求,需要在接入用户的端口上对三种认证方式进行统一部署,使得通过该端口接入的用户可以选择任何一种适合的认证机制来进行认证,且只需要一种认证方式成功即可实现接入。
图1-1 Triple认证典型应用组网图
Triple认证方案可满足以上需求,通过同时在设备的以太网端口上使能Web认证、MAC地址认证、802.1x认证,增加了认证环境部署的灵活性,使得客户端可以通过三种认证方式中的任意一种进行认证,且只要客户端通过任何一种认证即可接入网络。
在同时使能了三种认证方式的端口上,三种认证方式的触发机制有所不同:
l 客户端启动时或者客户端网卡接入网络时首先触发MAC地址认证,若MAC地址认证成功,则后续无需其它认证;如若MAC地址认证失败,则后续可以触发802.1x或者Web认证。
l 如果客户端使用系统自带的802.1x客户端或者第三方客户端软件发送EAP报文,则触发802.1x认证。
l 如果客户端发送HTTP报文,则触发Web认证。
客户端通过某一种认证后,后续端口上采用的认证策略如下:
l 客户端通过802.1x认证或者Web认证后,不会再触发其它认证。
l 客户端通过MAC地址认证后,不会再触发Web认证,但可允许触发802.1x认证。认证通过后生成的802.1x认证用户信息会覆盖已存在的MAC地址认证用户信息。
当端口上同时开启MAC地址认证和Web认证功能时,通过mac-address static配置的MAC地址静态绑定表项,不能实现该MAC地址用户的免认证功能;如果需要对用户实行免认证,可通过web-authentication free-user命令配置Web认证的免认证用户功能,或配置ACL规则允许原MAC地址为用户MAC的所有报文通过。
在同时使能了三种认证方式的端口上,还支持以下扩展功能:
服务器向通过认证的用户所在的端口下发授权VLAN,端口将用户加入对应的授权VLAN中。
VLAN下发功能的具体介绍,请参见“AAA操作手册”中的配置部分。
用户认证失败后,端口将认证失败的用户加入已配置的认证失败的VLAN中。
l 对于802.1x和Web用户,认证失败的VLAN为端口上配置Auth-Fail VLAN。
l 对于MAC地址认证用户,认证失败的VLAN为端口上配置的Guest VLAN或Auth-Fail VLAN。
l 对于Web用户,通过开启Web认证闲置用户检测功能检查用户是否在线;
l 对于802.1x认证用户,通过开启端口上的在线用户握手功能或者重认证功能来探测用户是否在线,探测时间间隔可配置;
l 对于MAC认证用户,通过开启下线检测定时器,来探测用户是否在线,检测时间间隔可配置。
表1-1 Triple认证配置
配置任务 |
说明 |
详细配置 |
配置802.1X认证 |
必选 |
具体配置请参考“802.1x及System-Guard操作” |
配置MAC地址认证 |
必选 |
具体配置请参考“MAC地址认证操作” |
配置Web认证 |
必选 |
具体配置请参考“Web认证操作” |
在如图1-2所示的组网环境中,用户通过接入设备Switch接入网络,要求在Switch的以太网端口Ethernet1/0/1上对所有用户进行统一认证,且只要用户通过802.1x认证、Web认证、MAC地址认证中的任何一种认证,即可接入网络。具体需求如下:
l 客户端通过DHCP动态获取IP地址,认证前使用192.168.1.0/24网段的IP地址,认证成功后使用3.3.3.0/24网段的IP地址,认证失败后使用2.2.2.0/24网段的IP地址;(本例中DHCP服务器由接入设备充当)
l 使用远程RADIUS服务器进行认证、授权和计费,且发送给RADIUS服务器的用户名不携带ISP域名;
l 本地Web认证服务器的IP地址为100.1.1.1;
l 认证成功的用户可被授权加入VLAN 3;
l 认证失败的用户将被加入VLAN 2,允许访问其中的Update服务器资源。
图1-2 Triple认证功能配置组网图
l 保证启动Web认证之前各主机、服务器和设备之间的路由可达。
l 完成RADIUS服务器的配置,保证用户的认证/授权/计费功能正常运行。本例中,RADIUS服务器上配置一个802.1x用户(帐户名为userdot),一个Web用户(帐户名为userpt),以及一个MAC地址认证用户(帐户名、密码均为Printer的MAC地址001588f80dd7)。
l 关于DHCP、MAC地址认证以及Web认证配置的具体介绍请参考“DHCP操作”、“MAC地址认证操作”和“Web认证操作”。
(1) 配置DHCP服务
# 配置端口属于VLAN及对应VLAN接口的IP地址(略)。
# 使能DHCP服务。
<Switch> system-view
[Switch] dhcp enable
# 配置不参与自动分配的IP地址(网关地址)。
[Switch] dhcp server forbidden-ip 192.168.1.1
[Switch] dhcp server forbidden-ip 2.2.2.1
[Switch] dhcp server forbidden-ip 3.3.3.1
# 配置DHCP地址池1的属性(地址池范围、地址租用期限、网关地址)。建议配置较小的地址租用期限,以缩短客户端认证成功或失败后重新获取IP地址的时间。
[Switch] dhcp server ip-pool 1
[Switch-dhcp-pool-1] network 192.168.1.0 mask 255.255.255.0
[Switch-dhcp-pool-1] expired day 0 hour 0 minute 0 second 30
[Switch-dhcp-pool-1] gateway-list 192.168.1.1
[Switch-dhcp-pool-1] quit
# 配置DHCP地址池2的属性(地址池范围、地址租用期限、网关地址)。建议配置较小的地址租用期限,以缩短客户端认证成功后重新获取IP地址的时间。
[Switch] dhcp server ip-pool 2
[Switch-dhcp-pool-2] network 2.2.2.0 mask 255.255.255.0
[Switch-dhcp-pool-2] expired day 0 hour 0 minute 0 second 30
[Switch-dhcp-pool-2] gateway-list 2.2.2.1
[Switch-dhcp-pool-2] quit
# 配置DHCP地址池3的属性(地址池范围、地址租用期限、网关地址)。建议配置较小的地址租用期限,以缩短客户端认证失败或下线后重新获取IP地址的时间。
[Switch] dhcp server ip-pool 3
[Switch-dhcp-pool-3] network 3.3.3.0 mask 255.255.255.0
[Switch-dhcp-pool-3] expired day 0 hour 0 minute 0 second 30
[Switch-dhcp-pool-3] gateway-list 3.3.3.1
[Switch-dhcp-pool-3] quit
(2) 配置RADIUS方案
# 创建并进入名字为rs1的RADIUS方案视图。
[Switch] radius scheme rs1
# 配置RADIUS方案的服务器类型。使用CAMS服务器时,RADIUS服务器类型应选择extended。
[Switch-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Switch-radius-rs1] primary authentication 1.1.1.2
[Switch-radius-rs1] primary accounting 1.1.1.2
[Switch-radius-rs1] key authentication radius
[Switch-radius-rs1] key accounting radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Switch-radius-rs1] user-name-format without-domain
[Switch-radius-rs1] quit
(3) 配置认证域
# 创建并进入名字为triple的ISP域。
[Switch] domain triple
# 为所有类型的用户配置缺省的AAA方案。
[Switch-isp-triple] authentication radius-scheme rs1
[Switch-isp-triple] accounting radius-scheme rs1
[Switch-isp-triple] quit
# 配置系统缺省的ISP域为triple。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案。
[Switch] domain default enable triple
(4) 配置MAC-VLAN功能
# 配置交换机的端口Ethernet1/0/1为hybrid类型,并在该端口使能MAC-VLAN功能。
[Switch] interface ethernet1/0/1
[Switch-Ethernet1/0/1] port link-type hybrid
[Switch-Ethernet1/0/1] mac-vlan enable
[Switch-Ethernet1/0/1] quit
(5) 配置MAC地址认证及相关参数
# 开启全局MAC地址认证特性。
[Switch] mac-authentication
# 配置MAC地址认证用户所使用的ISP域。
[Switch] mac-authentication domain example.com
# 配置MAC地址认证的定时器。
[Switch] mac-authentication timer offline-detect 180
[Switch] mac-authentication timer quiet 180
# 配置MAC地址认证用户名格式:使用带连字符的MAC地址作为用户名与密码。
[switch] mac-authentication user-name-format mac-address with-hyphen
# 开启端口Ethernet1/0/1的MAC地址认证特性,同时配置端口MAC认证Auth-Fail VLAN 2。
[Switch] interface ethernet1/0/1
[Switch-Ethernet1/0/1] mac-authentication
[Switch-Ethernet1/0/1] mac-authentication auth-fail vlan 2
[Switch-Ethernet1/0/1] quit
(6) 配置802.1x认证及相关参数
# 开启全局802.1x认证特性。
[Switch] dot1x
# 开启端口Ethernet1/0/1的802.1x地址认证特性,同时配置端口802.1x认证Auth-Fail VLAN 2。
[Switch] interface ethernet1/0/1
[Switch-Ethernet1/0/1] dot1x
[Switch-Ethernet1/0/1] dot1x port-method macbased
[Switch-Ethernet1/0/1] dot1x auth-fail vlan 2
(7) 配置Web认证及相关参数
# 开启全局Web认证特性。
[Switch] web-authentication web-server ip 100.1.1.1 port 8080
[Switch] web-authentication enable
# 开启端口Ethernet1/0/1的Web地址认证特性,同时配置端口Web认证Auth-Fail VLAN 2。
[Switch-Ethernet1/0/1] web-authentication select method extended
[Switch-Ethernet1/0/1] web-authentication auth-fail vlan 2
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!