21-Triple认证配置
本章节下载: 21-Triple认证配置 (183.08 KB)
Triple认证是一种混合认证方案,它允许在接入用户的二层端口上同时开启Web认证、MAC地址认证和802.1X认证功能,使得选用其中任意一种方式进行认证的终端均可通过该端口接入网络。
关于802.1X、MAC地址认证、Web认证的详细介绍请分别参见“安全配置指导”中的“802.1X”、“MAC地址认证”和“Web认证”。
在终端形式多样的网络环境中,不同终端支持的接入认证方式有所不同。如图1-1所示,有的终端只能进行MAC地址认证(比如打印机终端);有的终端安装了802.1X客户端软件,可以进行802.1X认证;有的终端只希望通过Web访问进行认证。为了灵活地适应这种网络环境中的多种认证需求,需要在接入用户的端口上部署Triple认证,使得用户可以选择任何一种适合的认证机制来进行认证,且只需要成功通过一种方式的认证即可实现接入,无需通过多种认证。
图1-1 Triple认证典型应用组网图
当端口上同时开启了802.1X认证、MAC地址认证和Web认证功能后,不同类型的终端报文可触发不同的认证过程:
· 终端网卡接入网络时,如果发送ARP报文或者DHCP报文(广播报文),则首先触发MAC地址认证。若MAC地址认证成功,则不需要再进行其它认证;若MAC地址认证失败,则允许触发802.1X或者Web认证。
· 如果终端使用系统自带的802.1X客户端或者第三方客户端软件发送EAP报文,或者在设备开启单播触发功能的情况下终端发送任意报文,则触发802.1X认证。
· 如果终端发送HTTP报文,则触发Web认证。
端口允许多种认证过程同时进行,且某一种认证失败不会影响同时进行的其它认证过程。一旦终端通过某一种认证,其它认证过程的进行情况有所不同:
· 如果终端首先通过MAC地址认证, Web认证会立即终止,但802.1X认证仍会继续进行。如果802.1X认证成功,则端口上生成的802.1X认证用户信息会覆盖已存在的MAC地址认证用户信息。否则,用户依然保持MAC地址认证在线,且允许再次触发802.1X认证,但不能再次触发Web认证。
· 如果终端首先通过802.1X认证或者Web认证,则端口上其他认证会立即终止,且不能被再次触发。
服务器向通过认证的用户所在的端口下发授权VLAN,端口将用户加入对应的授权VLAN中。
用户认证失败后,端口将认证失败的用户加入已配置的认证失败的VLAN中:
· 对于802.1X认证用户,认证失败的VLAN为端口上配置的802.1X Auth-Fail VLAN。
· 对于Web认证用户,认证失败的VLAN为端口上配置的Web Auth-Fail VLAN。
端口支持同时配置多种认证失败的VLAN,用户认证失败后加入各VLAN的优先级由高到低分别为:802.1X的Auth-Fail VLAN、Web认证的Auth-Fail VLAN。也就是说,如果Web认证失败的用户再进行802.1X认证且认证失败,用户会立刻离开已加入的Web Auth-Fail VLAN,而加入端口上配置的802.1X Auth-Fail VLAN。
用户在认证过程中若因服务器不可达导致认证失败,则端口将用户加入已配置的服务器不可达VLAN中:
· 对于802.1X认证用户,服务器不可达VLAN为端口上配置的802.1X Critical VLAN。
· 对于Web认证用户,服务器不可达VLAN为端口上配置的Web Auth-Fail VLAN。
端口支持同时配置多种服务器不可达VLAN,用户因服务器不可达导致认证失败后加入各VLAN的情况如下:
· 若用户没有进行802.1X认证,则用户加入最后一次认证失败的服务器不可达VLAN。
· 如果Web认证失败的用户再进行802.1X认证且认证失败,用户会立刻离开已加入的Web Auth-Fail VLAN而加入端口上配置的802.1X Critical VLAN。
设备能够根据服务器下发的授权ACL对通过认证的用户所在端口的数据流进行控制;在服务器上配置授权ACL之前,需要在设备上配置相应的规则。管理员可以通过改变服务器的授权ACL设置或设备上对应的ACL规则来改变用户的访问权限。
对于不同的认证用户,其在线探测功能方式不同:
· 对于Web认证用户,通过开启用户在线检测定时器来探测用户是否在线。
· 对于802.1X认证用户,通过开启端口上的在线用户握手功能或者重认证功能来探测用户是否在线。
· 对于MAC地址认证用户,通过开启下线检测定时器,来探测用户是否在线。
关于各扩展功能的详细介绍请分别参见“安全配置指导”中的“Web认证”、“802.1X”、“MAC地址认证”。
· 802.1X认证必须配置为基于MAC的接入控制方式(macbased)。
· 如果端口最终加入到802.1X或MAC地址认证失败的VLAN中,且设备上开启了Web认证,则需要将802.1X或MAC地址认证失败VLAN所在的网段设为Web认证的免认证IP。否则,用户将无法访问认证失败VLAN中的资源。
· 如果端口最终加入到802.1X或MAC地址认证服务器不可达VLAN中,且设备上开启了Web认证,则需要将802.1X或MAC地址认证服务器不可达VLAN所在的网段设为Web认证的免认证IP。否则,用户将无法访问服务器不可达VLAN中的资源。
· 不要同时配置Web认证的免认证IP和802.1X的Free IP,否则会使免认证IP不可用。
请根据实际组网环境至少选择以下一项进行配置。
· 配置802.1X认证
具体配置请参见“安全配置指导”的“802.1X”。
· 配置MAC地址认证
具体配置请参见“安全配置指导”的“MAC地址认证”。
· 配置Web认证
具体配置请参见“安全配置指导”的“Web认证”。
如图1-2所示,用户通过接入设备Device接入网络,要求在Device的二层端口上对所有用户进行统一认证,且只要用户通过802.1X认证、Web认证、MAC地址认证中的任何一种认证,即可接入网络。具体需求如下:
· 终端上静态配置属于192.168.1.0/24网段的IP地址;
· 使用远程RADIUS服务器进行认证、授权和计费,且发送给RADIUS服务器的用户名不携带ISP域名;
· 本地Web认证服务器的监听IP地址为4.4.4.4,设备向Web认证用户推出系统默认的认证页面,并使用HTTP传输认证数据。
图1-2 Triple认证基本功能配置组网图
(1) 配置各主机、服务器和设备之间路由可达(略)
(2) 配置RADIUS服务器
保证用户的认证/授权/计费功能正常运行。本例中,RADIUS服务器上配置一个802.1X用户(账户名为userdot),一个Web认证用户(账户名为userpt),以及一个MAC地址认证用户(账户名、密码均为Printer的MAC地址f07d6870725f)。
(3) 配置Web认证
# 配置端口属于VLAN及对应VLAN接口的IP地址(略)。
# 完成自定义缺省认证页面文件的编辑,将其压缩为名为abc的Zip文件,之后通过FTP等方式上传到设备(略)。
# 配置本地Portal Web服务器使用HTTP协议,且使用Portal Web服务器提供的缺省认证页面文件abc.zip。
<Device> system-view
[Device] portal local-web-server http
[Device-portal-local-websvr-http] default-logon-page abc.zip
[Device-portal-local-websvr-http] quit
# 配置LoopBack接口0的IP地址为4.4.4.4。
[Device] interface loopback 0
[Device-LoopBack0] ip address 4.4.4.4 32
[Device-LoopBack0] quit
# 创建名称为webserver的Web认证服务器,并进入其视图。
[Device] web-auth server webserver
# 配置Web认证服务器的重定向URL为http://4.4.4.4/portal/。
[Device-web-auth-server-webserver] url http://4.4.4.4/portal/
# 配置Web认证服务器的IP地址为4.4.4.4,端口号为80。
[Device-web-auth-server-webserver] ip 4.4.4.4 port 80
[Device-web-auth-server-webserver] quit
# 开启端口Ten-GigabitEthernet1/0/25上的Web认证,并指定引用的Web认证服务器为webserver。
[Device] interface ten-gigabitethernet 1/0/25
[Device–Ten-GigabitEthernet1/0/25] web-auth enable apply server webserver
[Device–Ten-GigabitEthernet1/0/25] quit
(4) 配置802.1X认证
# 开启全局802.1X认证。
[Device] dot1x
# 开启端口Ten-GigabitEthernet1/0/25上的802.1X认证(必须为基于MAC的接入控制方式)。
[Device] interface ten-gigabitethernet 1/0/25
[Device–Ten-GigabitEthernet1/0/25] dot1x port-method macbased
[Device–Ten-GigabitEthernet1/0/25] dot1x
[Device–Ten-GigabitEthernet1/0/25] quit
(5) 配置MAC地址认证
# 开启全局MAC地址认证。
[Device] mac-authentication
# 开启端口Ten-GigabitEthernet1/0/25上的MAC地址认证。
[Device] interface ten-gigabitethernet 1/0/25
[Device–Ten-GigabitEthernet1/0/25] mac-authentication
[Device–Ten-GigabitEthernet1/0/25] quit
(6) 配置RADIUS方案
# 创建并进入名字为rs1的RADIUS方案视图。
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 1.1.1.2
[Device-radius-rs1] primary accounting 1.1.1.2
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
(7) 配置认证域
# 创建并进入名字为triple的ISP域。
[Device] domain triple
# 配置lan-access用户使用RADIUS方案rs1进行认证、授权、计费。
[Device-isp-triple] authentication lan-access radius-scheme rs1
[Device-isp-triple] authorization lan-access radius-scheme rs1
[Device-isp-triple] accounting lan-access radius-scheme rs1
[Device-isp-triple] quit
# 配置系统缺省的ISP域为triple。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案。
[Device] domain default enable triple
# Web用户userpt通过Web浏览器访问外部网络,其Web请求均被重定向到认证页面http://4.4.4.4/portal/logon.html。用户根据网页提示输入正确的用户名和密码后,能够成功通过Web认证。通过display web-auth user命令查看已在线用户的信息。
[Device] display web-auth user
Total online web-auth users: 1
User Name: localuser
MAC address: acf1-df6c-f9ad
Access interface: Ten-GigabitEthernet1/0/25
Initial VLAN: 1
Authorization VLAN: N/A
Authorization ACL ID: N/A
# 打印机接入网络后,可成功通过MAC地址认证。通过display mac-authentication connection命令查看已在线用户的信息。
Total connections: 1
Slot ID: 1
User MAC address: f07d-6870-725f
Access interface: Ten-GigabitEthernet1/0/25
Username: f07d6870725f
User access state: Successful
Authentication domain: triple
Initial VLAN: 14
Authorization untagged VLAN: 14
Authorization tagged VLAN: N/A
Authorization ACL ID: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: N/A
Online from: 2015/01/04 18:01:43
Online duration: 0h 0m 2s
# 用户userdot通过802.1X客户端发起认证,输入正确的用户名和密码后,可成功通过802.1X认证。通过display dot1x connection命令查看已在线用户的信息。
[Device] display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: 7446-a091-84fe
Access interface: Ten-GigabitEthernet1/0/25
Username: userdot
User access state: Successful
Authentication domain: triple
IPv4 address: 192.168.1.2
Authentication method: CHAP
Initial VLAN: 14
Authorization untagged VLAN: 14
Authorization tagged VLAN list: N/A
Authorization ACL ID: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: N/A
Online from: 2015/01/04 18:13:01
Online duration: 0h 0m 14s
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!