- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-Aruba ClearPass接入认证功能对接操作指导
本章节下载 (4.52 MB)
H3C交换机
与Aruba ClearPass接入认证功能对接操作指导
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
5.4 MAC地址作为用户名密码的MAC地址认证配置步骤与验证
14.3 强制下线(Disconnect Messages)配置步骤与验证
14.4 关闭端口(Disabling Host Port)的配置步骤与验证
14.5 重启端口(Bouncing Host Port)的配置步骤与验证
本文档介绍H3C交换机与Aruba的认证服务器软件ClearPass的接入认证功能对接配置,包括:
· MAC地址认证对接配置举例
· 802.1X认证对接配置举例
· Portal认证对接配置举例
· 授权VLAN对接配置举例
· 授权ACL对接配置举例
· 授权User-Profile对接配置举例
· 授权CAR对接配置举例
· 重认证对接配置举例
· URL重定向对接配置举例
· DAE对接配置举例
· SSH登录使用HWTACACS认证对接配置举例
· Login登录使用RADIUS认证对接配置举例
对接第三方认证服务器操作为交换机产品通用性内容,但部分接入认证功能在各产换机产品上存在支持差异。产品对各认证特性的支持情况请参考产品配置指导中安全分册的相关内容。
表1 接入认证互通性分析
|
H3C |
Aruba ClearPass |
互通结论 |
|
固定用户名和密码的MAC地址认证 |
CHAP认证 |
可以互通 |
|
MAC地址作为用户名密码进行认证 |
CHAP认证 |
可以互通 |
|
802.1X CHAP认证 |
CHAP认证 |
可以互通 |
|
802.1X PAP认证 |
PAP认证 |
可以互通 |
|
802.1X EAP认证 |
EAP-MD5认证 |
可以互通 |
|
802.1X EAP认证 |
证书认证 |
可以互通 |
|
Portal认证 |
CHAP认证 |
可以互通 |
|
授权VLAN |
· 授权数字型VLAN · 授权VLAN名称 · 授权VLAN组名 · 授权Multi VLAN · 授权Auto VLAN |
可以互通 |
|
授权ACL |
授权静态ACL |
可以互通 |
|
授权User Profile |
授权User Profile |
可以互通 |
|
授权CAR属性 |
授权CAR |
可以互通 |
|
重认证 |
· 会话超时后重认证 · 会话超时后强制下线 · 会话超时后根据周期重认证定时器的值重认证 |
可以互通 |
|
授权URL重定向 |
URL重定向 |
可以互通 |
|
DAE |
· 强制下线(Disconnect Messages) · 关闭端口(CoA-Session termination by Disabling host port) · 重启端口(CoA-Session termination by bouncing host port) |
可以互通 |
|
SSH用户的HWTACACS认证 |
- |
可以互通 |
|
Login用户的RADIUS认证 |
- |
可以互通 |
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档中MAC地址、802.1X认证和Portal认证对接配置举例中,配置ClearPass时,配置文件中需要至少配置一个属性,否则配置文件会无法保存;若不使用配置文件,则用户认证上线时服务器端会报警告。
如图1所示,Client和ClearPass服务器通过Switch建立连接,设备管理员希望对Client进行MAC地址认证,以控制其对网络资源的访问,具体要求如下:
· 采用ClearPass作为RADIUS服务器。
图1 MAC认证配置组网图
本配置举例所使用的设备型号及版本信息如下:
· Switch:S5130-HI,R3507P02
· Aruba认证服务器:ClearPass CPPM V6.9.7
本配置仅展示认证的相关配置,网络互通的相关配置略,请保证设备间能够互相访问。
# 配置RADIUS方案。
<Device> system-view
[Device] radius scheme radius1
[Device-radius-radius1] primary authentication 20.1.1.3
[Device-radius-radius1] primary accounting 20.1.1.3
[Device-radius-radius1] key authentication simple 123456
[Device-radius-radius1] key accounting simple 123456
[Device-radius-radius1] user-name-format without-domain
[Device-radius-radius1] quit
# 配置MAC地址认证的认证方法为CHAP。
[Device] mac-authentication authentication-method chap
# 创建MAC地址认证的域mac-auth,并配置ISP域的AAA方法。
[Device] domain mac-auth
[Device-isp-mac-auth] authentication default radius-scheme radius1
[Device-isp-mac-auth] authorization default radius-scheme radius1
[Device-isp-mac-auth] accounting default radius-scheme radius1
[Device-isp-mac-auth] quit
# 配置互通的VLAN和VLAN接口的IP地址。
[Device] vlan 144
[Device-vlan144] quit
[Device] interface Vlan-interface 144
[Device-Vlan-interface144] ip address 101.0.145.19 255.255.255.0
[Device-Vlan-interface144] quit
[Device] vlan 145
[Device-vlan145] quit
[Device] interface Vlan-interface 145
[Device-Vlan-interface145] ip address 20.1.1.1 255.255.255.0
[Device-Vlan-interface145] quit
# 将端口XGE1/0/49和XGE1/0/51加入到指定的VLAN,并开启MAC地址认证功能。
[Device] interface Ten-GigabitEthernet 1/0/49
[Device-Ten-GigabitEthernet1/0/49] port access vlan 144
[Device-Ten-GigabitEthernet1/0/49] mac-authentication
[Device-Ten-GigabitEthernet1/0/49] quit
[Device] interface Ten-GigabitEthernet 1/0/51
[Device-Ten-GigabitEthernet1/0/51] port access vlan 145
[Device-Ten-GigabitEthernet1/0/51] quit
# 设置mac-auth为系统缺省的认证域。
[Device] domain default enable mac-auth
# 指定MAC地址认证用户的认证域mac-auth。
[Device] mac-authentication domain mac-auth
# 配置MAC地址认证的定时器。
[Device] mac-authentication timer offline-detect 180
[Device] mac-authentication timer quiet 180
# 配置MAC地址认证使用固定用户名账号:用户名为user,密码为明文123456。
[Device] mac-authentication user-name-format fixed account user password simple 123456
# 开启全局MAC地址认证。
[Device] mac-authentication
(1) 登录ClearPass
# 在浏览器中输入ClearPass的管理IP地址,登录ClearPass的配置页面。
图2 登录ClearPass
# 单击“ClearPass Policy Manager”,输入登录ClearPass服务器的用户名和密码(本例为admin和Pass1234_),点击“登录”按钮进入认证配置页面。
图3 登录ClearPass Policy Manager
(2) 添加用户
依次点击“配置 » 身份 » 本地用户 » 添加”,根据图4输入用户ID和密码。
a. “用户ID”为设备上指定的MAC地址认证用户的用户名(本例为user)
b. “密码”为设备上配置的MAC地址认证用户的密码(本例为123456)
(3) 角色映射
根据图5添加角色映射。其中,添加“Conditions”时“User-Name”的值对应的是图4的“用户ID”。
(4) 添加设备
依次点击“配置 » 网络 » 设备 » 添加”,根据图6添加设备。
a. “IP或子网地址”请填写设备上与服务器接口可达的IP地址(本例为20.1.1.1/24)
b. “RADIUS共享密钥”需要与设备上配置的与RADIUS服务器交互的密钥相同(本例为123456)
(5) 添加设备组
依次点击“配置 » 网络 » 设备组 » 添加”,根据图7添加设备组。
“子网”请填写设备上与服务器接口可达的IP地址(本例为20.1.1.1/24)。
(6) 添加配置文件
根据图8添加配置文件。此处的属性至少需指定一个,当前以赋予用户角色属性network-admin为例。
(7) 添加策略
根据图9添加策略。
a. 在添加策略时,“Conditions”中对应的“Actions”选择图8创建的配置文件。
b. 规则评估算法,根据需要选择选项中的一个即可。
(8) 添加服务
a. 在图10中添加服务时,“类型”选择“RADIUS 强制(通用)”
b. 在图12中添加角色时,“角色映射策略”选择图5创建的角色映射
c. 在图13中添加强制时,“强制策略”选择在图9中创建的强制策略
图11 添加身份验证
分别点击“Select to Add”选择要使用的身份验证方法、身份验证源。
(1) 在设备和服务器都配置好的情况下,在客户端利用CMD窗口Ping服务器即可完成用户上线。
(2) 用户上线后,可在服务器上查看到用户信息,点击“监视 » 实时监控 » 访问跟踪器”,选择用户上线记录点击(后续皆可通过该导航查看用户上线记录),如图14。
(3) 用户上线后设备的显示信息
通过在设备上执行display mac-authentication connection可以看到上线用户的信息,其中Username为MAC地址认证的用户名user。
[Device] display mac-authentication connection
Total connections: 1
Slot ID: 1
User MAC address: 0cda-411d-62f6
Access interface: Ten-GigabitEthernet1/0/49
Username: user
User access state: Successful
Authentication domain: mac-auth
IPv4 address: 101.0.145.39
Initial VLAN: 144
Authorization untagged VLAN: N/A
Authorization tagged VLAN: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: N/A
Online from: 2022/05/13 09:53:10
Online duration: 0h 0m 5s
· 若采用MAC地址账号,则设备将检测到的用户MAC地址作为用户名和密码发送给RADIUS服务器进行验证。
其它配置与“5.3.1 配置Switch”相同,只需要将以下命令恢复缺省配置即可。
[Device] undo mac-authentication user-name-format
需要注意以下几点,其它与“5.3.2 配置ClearPass”配置相同。
(1) 添加用户
用户名和密码与客户端的MAC地址相同。
依次点击“配置 » 身份 » 本地用户 » 添加”,根据图15添加用户。
(2) 角色映射
需要将图15创建的角色映射中“Conditions”下的“User-Name”修改为用户的MAC地址。
图16 添加角色映射
(1) 在设备和服务器都配置好的情况下,在客户端利用CMD窗口Ping服务器即可完成用户上线。
(2) 用户上线后服务器显示如图17。
(3) 用户上线后设备上的显示
通过在设备上执行display mac-authentication connection可以看到上线用户的信息,其中Username为用户的MAC地址。
[Device]display mac-authentication connection
Total connections: 1
Slot ID: 1
User MAC address: 0cda-411d-62f6
Access interface: Ten-GigabitEthernet1/0/49
Username: 0cda411d62f6
User access state: Successful
Authentication domain: mac-auth
IPv4 address: 101.0.145.39
Initial VLAN: 144
Authorization untagged VLAN: N/A
Authorization tagged VLAN: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: N/A
Online from: 2022/05/13 09:39:01
Online duration: 0h 0m 6s
如图18所示,Client和ClearPass服务器通过Switch建立连接,设备管理员希望对Client进行802.1X认证,以控制其对网络资源的访问,具体要求如下:
· 采用ClearPass作为RADIUS服务器。
· 配置PAP、CHAP、EAP-MD5、证书相关认证(EAP-TLS、EAP-PEAP、EAP-TTLS)方式。
图18 802.1X 认证配置组网图
本配置举例所使用的设备型号及版本信息如下:
· Switch:S5130-HI,R3507P02
· Aruba认证服务器:ClearPass CPPM V6.9.7
本配置仅展示认证的相关配置,网络互通的相关配置略,请保证设备间能够互相访问。
# 配置RADIUS方案。
<Device> system-view
[Device] radius scheme radius1
[Device-radius-radius1] primary authentication 20.1.1.3
[Device-radius-radius1] primary accounting 20.1.1.3
[Device-radius-radius1] key authentication simple 123456
[Device-radius-radius1] key accounting simple 123456
[Device-radius-radius1] user-name-format without-domain
[Device-radius-radius1] quit
# 配置802.1x认证的认证方法。
[Device] dot1x authentication-method CHAP
# 创建802.1X认证的域bbb,配置ISP域的AAA方法。
[Device] domain bbb
[Device-isp-bbb] authentication default radius-scheme radius1
[Device-isp-bbb] authorization lan-access radius-scheme radius1 local
[Device-isp-bbb] accounting lan-access radius-scheme radius1 local
[Device-isp-bbb] quit
# 配置互通的VLAN和VLAN接口的IP地址。
[Device] vlan 144
[Device-vlan144]quit
[Device] interface Vlan-interface 144
[Device-Vlan-interface144] ip address 101.0.145.19 255.255.255.0
[Device-Vlan-interface144] quit
[Device] vlan 145
[Device-vlan145] quit
[Device] interface Vlan-interface 145
[Device-Vlan-interface145] ip address 20.1.1.1 255.255.255.0
[Device-Vlan-interface145] quit
# 将端口XGE1/0/49加入到指定VLAN。
[Device]interface Ten-GigabitEthernet 1/0/49
[Device-Ten-GigabitEthernet1/0/49] port access vlan 144
# 开启端口的802.1X认证功能,并设置域bbb为802.1X强制认证域。
[Device-Ten-GigabitEthernet1/0/49] dot1x
[Device-Ten-GigabitEthernet1/0/49] dot1x mandatory-domain bbb
# 设置802.1X为端口控制方式。
[Device-Ten-GigabitEthernet1/0/49] dot1x port-method portbased
[Device-Ten-GigabitEthernet1/0/49] quit
# 将端口XGE1/0/51加入到指定VLAN。
[Device] interface Ten-GigabitEthernet 1/0/51
[Device-Ten-GigabitEthernet1/0/51] port access vlan 145
[Device-Ten-GigabitEthernet1/0/51] quit
# 设置bbb为系统缺省的认证域。
[Device] domain default enable bbb
# 添加网络接入类本地用户,用户名为user,密码为明文输入的123456。(此处添加的本地用户的用户名和密码需要与远程服务器端配置的用户名和密码保持一致)
[Device] local-user user class network
[Device-luser-network-user] password simple 123456
[Device-luser-network-user] service-type lan-access
[Device-luser-network-user] quit
# 开启全局802.1x认证。
[Device] dot1x
(1) 登录ClearPass
# 在浏览器中输入ClearPass的管理IP地址,登录ClearPass的配置页面。
图19 登录ClearPass
# 单击“ClearPass Policy Manager”,输入登录ClearPass服务器的用户名和密码(本例为admin和Pass1234_),点击“登录”按钮进入认证配置页面。
图20 登录ClearPass Policy Manager
(2) 添加用户
依次点击“配置 » 身份 » 本地用户 » 添加”,根据图21添加用户。
(3) 角色映射
根据图22添加角色映射。添加“Conditions”时“User-Name”的值对应的是图21添加的用户ID。
(4) 添加设备
依次点击“配置 » 网络 » 设备 » 添加”,根据图23添加设备。
a. “IP或子网地址”填写设备上与服务器接口可达的IP地址(本例为20.1.1.1/24)。
b. “RADIUS共享密钥”需要与设备上配置的与RADIUS服务器交互的密钥相同(本例为123456)
(5) 添加设备组
依次点击“配置 » 网络 » 设备组 » 添加”,根据图24添加设备组。
“子网”填写设备上与服务器接口可达的IP地址(本例为20.1.1.1/24)。
(6) 添加配置文件
根据图25添加配置文件。此处的属性至少指定一个,当前以赋予用户角色属性network-admin为例。
(7) 添加策略
根据图26添加策略。
a. 在添加策略时,“Conditions”中对应的“Actions”选择图25创建的配置文件。
b. 规则评估算法,根据需要选择选项中的一个即可。
(8) 添加服务
添加服务中对应的各项。
a. 在图27中添加服务时,“类型”选择RADIUS 强制(通用)
b. 在图25中添加角色时,“角色映射”策略选择图22创建的角色映射
c. 在图26中添加强制时,“强制策略”选择在图26中创建的强制策略
图28 添加身份验证
分别点击“Select to Add”选择要使用的身份验证方法、身份验证源。
图29 添加角色
图30 添加强制
(1) 在设备和服务器都配置好的情况下,在客户端使用iNode客户端,输入服务器上配置的用户名和密码即可完成用户上线。
图31 802.1X客户端连接示意图
(2) 用户上线后服务器显示如图32所示。
(3) 用户上线后设备上的显示
在设备上通过display dot1x connection可以查看802.1X用户的信息,可其中Username为802.1X的用户名(本例为user)。
[Device] display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: 0cda-411d-62f6
Access interface: Ten-GigabitEthernet1/0/49
Username: user
User access state: Successful
Authentication domain: bbb
Authentication method: CHAP
Initial VLAN: 144
Authorization untagged VLAN: N/A
Authorization tagged VLAN list: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: N/A
Online from: 2022/05/11 18:21:58
Online duration: 0h 1m 22s
设备上只需要将认证方式修改为PAP,其它配置无需修改,请参考6.3.1 配置Switch。
[Device] dot1x authentication-method PAP
服务器上只需要将“服务”中的“身份验证方式”修改为PAP,其它配置无需修改,请参考6.3.2 配置ClearPass。
图33 修改身份验证方式
(1) 在设备和服务器都配置好的情况下,在客户端使用iNode客户端,输入服务器上配置的用户名和密码即可完成用户上线。
(2) 用户上线后服务器显示如图34所示。
(3) 用户上线后设备显示
在设备上通过display dot1x connection可以查看802.1X用户的信息,可以看到上线用户的Authentication method已更改为PAP。其余信息不变。
[Device]display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: 0cda-411d-62f6
Access interface: Ten-GigabitEthernet1/0/49
Username: user
User access state: Successful
Authentication domain: bbb
Authentication method: PAP
Initial VLAN: 144
Authorization untagged VLAN: N/A
Authorization tagged VLAN list: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: N/A
Online from: 2022/05/11 18:23:06
Online duration: 0h 4m 28s
设备上只需要将认证方式修改为EAP,其它配置无需修改,请参考6.3.1 配置Switch。
[Device] dot1x authentication-method EAP
服务器上只需要将“服务”中的“身份验证方式”修改为EAP-MD5即可,其它配置无需修改,请参考6.3.2 配置ClearPass。
图35 修改身份验证方式
(1) 在设备和服务器都配置好的情况下,在客户端使用iNode客户端,输入服务器上配置的用户名和密码即可完成用户上线。
(2) 用户上线后服务器显示如图36。
(3) 用户上线后设备显示
在设备上通过display dot1x connection可以查看802.1X用户的信息,可其中Username为802.1X的用户名(本例为user)。
[Device] display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: 0cda-411d-62f6
Access interface: Ten-GigabitEthernet1/0/49
Username: user
User access state: Successful
Authentication domain: bbb
Authentication method: EAP
Initial VLAN: 144
Authorization untagged VLAN: N/A
Authorization tagged VLAN list: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: N/A
Online from: 2022/05/11 18:34:37
Online duration: 0h 0m 4s
用户如需进行证书相关认证,需要先将相关证书(本例为:根证书、客户端证书以及服务器证书,如图37,如需获取相关证书,请联系技术支持)分别导入iNode客户端以及服务器,并且在客户端上需选择相应的证书验证方式,同时设备以及服务器上也应选择相对应的认证方式,才可实现证书认证。
将根证书certnew.cer和客户端证书jin.pfx复制到iNode客户端文件中,双击打开,并进行后续安装。
(1) 导入根证书
图38 客户端导入根证书
点击“安装证书”,按照证书导入向导的步骤进行安装。
图39 证书安装向导一
点击“下一步”。
图40 证书安装向导二
选择“将所有的证书放入下列存储”点击“浏览”。
图41 选择证书存储
选择“受信任的根证书颁布机构”,点击“确定”。
图42 证书安装向导三
点击“下一步”。
图43 证书安装向导四
点击完成,即可完成根证书导入。
(2) 客户端证书导入
图44 客户端证书导入向导一
点击“下一步”。
图45 客户端证书导入向导二
文件名按照默认,点击“下一步”。
图46 客户端证书导入向导三
输入密码,密码为证书生成时的密码,点击“下一步” 。
图47 客户端证书导入向导四
选择“根据证书类型,自动选择证书存储”,点击“下一步”。
图48 客户端证书导入向导五
点击完成,即可导入客户端证书。
(3) 客户端选择认证方式
图49 802.1X客户端认证
在图49中点击“更多 » 属性”,进入“802.1X认证”的属性页面。
在图51中点击“高级 » 启用高级认证 » 选择客户端证书”。
不同的认证方式对应选择的“认证类型”不同,EAP-TLS和EAP-PEAP直接选择即可,EAP-TTLS必须选择EAP-TTLS以及它的子类型MS-CHAP-V2,如图52。
图50 EAP-TLS认证方式
图51 PEAP认证方式
图52 EAP-TTLS认证方式
点击“确定后”,进入“选择证书”页面(如图53),选择之前导入的客户端证书,点击“确定”,完成客户端证书选择。
设备上只需要将认证方式修改为EAP,其它配置无需修改。
[Device] dot1x authentication-method EAP
服务器上的配置请参考6.3.2 配置ClearPass,并做如下补充:
(1)导入根证书
在导航栏中选择“管理 » 证书 » 信任列表,添加根证书。
图54 导入根证书
如图55“证书文件”选择根证书certnew.cer,用法选择“EAP”,点击“添加证书”。
如图56查看证书信任列表,已成功导入根证书“CN=WINSERVER-KIM-CA”。
(2)导入服务器证书
在导航栏中选择“管理 » 证书 » 信任列表,添加服务器证书。
图57 导入服务器证书
如图58证书类型选择“服务器证书”,上传方法按图58中选择,再点击选择文件,选择服务器证书server.pfx,输入密码,点击“导入”。
可成功导入服务器证书,如图59。
服务器上选择的认证方式需与客户端相对应。选择身份验证方法为EAP-TLS,见图60;选择身份验证方法为EAP-PEAP,见图61;选择身份验证方法为EAP-TTLS,见图62。
(1) 用户在iNode客户端以及设备和服务器上完成配置后,在iNode客户端登录上线。
图63 EAP-TLS认证方式上线后服务器显示
图64 EAP-PEAP认证方式上线后服务器显示
图65 EAP-TTLS认证方式上线后服务器显示
(3) 用户线向后设备显示
在设备上通过display dot1x connection可以查看802.1X用户的信息,可其中Username为802.1X的用户名(本例为user)。
[Device]display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: 0cda-411d-62f6
Access interface: Ten-GigabitEthernet1/0/49
Username: user
User access state: Successful
Authentication domain: bbb
Authentication method: EAP
Initial VLAN: 144
Authorization untagged VLAN: N/A
Authorization tagged VLAN list: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: N/A
Online from: 2022/05/12 16:47:57
Online duration: 0h 0m 5s
如图66所示,Client和ClearPass服务器通过Switch建立连接,设备管理员希望对Client进行Portal认证,以控制其对网络资源的访问,具体要求如下:
· 采用ClearPass作为RADIUS服务器和Portal服务器。
· 用户采用直接方式的Portal认证。
图66 Portal认证配置组网图
本配置举例所使用的设备型号及版本信息如下:
· Switch:S5130-HI,R3507P02
· Aruba认证服务器:ClearPass CPPM V6.9.7
本配置仅展示认证的相关配置,网络互通的相关配置略,请保证设备间能够互相访问。
# 将配置HTTPS的安全证书使用FTP导入到设备上(如需获取相关证书,请联系技术支持)。
图67 HTTPS安全证书
# 配置RADIUS方案。
<Device> system-view
[Device] radius scheme radius1
[Device-radius-radius1] primary authentication 20.1.1.3
[Device-radius-radius1] primary accounting 20.1.1.3
[Device-radius-radius1] key authentication simple 123456
[Device-radius-radius1] key accounting simple 123456
[Device-radius-radius1] user-name-format without-domain
[Device-radius-radius1] quit
# 创建ISP域“dm1”,并为该ISP域配置AAA认证/授权、计费方法为“”。
[Device] domain dm1
[Device-isp-dm1] authentication portal radius-scheme radius1
[Device-isp-dm1] authorization portal radius-scheme radius1
[Device-isp-dm1] accounting portal radius-scheme radius1
[Device-isp-dm1]quit
# 配置互通的VLAN和VLAN接口的IP地址。
[Device] vlan 144
[Device-vlan144] quit
[Device] interface Vlan-interface 144
[Device-Vlan-interface144] ip address 101.0.145.19 255.255.255.0
[Device-Vlan-interface144] portal apply web-server newpt
[Device-Vlan-interface144] portal bas-ip 101.0.145.19
[Device-Vlan-interface144]quit
[Device] vlan 145
[Device-vlan145] quit
[Device] interface Vlan-interface 145
[Device-Vlan-interface145] ip address 20.1.1.1 255.255.255.0
[Device-Vlan-interface145] quit
# 将端口XGE1/0/49和XGE1/0/51加入到指定的VLAN。
[Device] interface Ten-GigabitEthernet 1/0/49
[Device-Ten-GigabitEthernet1/0/49] port access vlan 144
[Device-Ten-GigabitEthernet1/0/49] quit
[Device] interface Ten-GigabitEthernet 1/0/51
[Device-Ten-GigabitEthernet1/0/51] port access vlan 145
[Device-Ten-GigabitEthernet1/0/51] quit
# 配置dm1为缺省的ISP域。
[Device] domain default enable dm1
# 创建并进入PKI域sslvpn,并指定证书申请所使用的RSA密钥对为sslvpn,密钥用途为通用。
[Device] pki domain sslvpn
[Device-pki-domain-sslvpn] public-key rsa general name sslvpn
# 关闭CRL检查。
若开启了CRL检查,如果PKI域中不存在相应的CRL、CRL获取失败、或者CRL检查时发现待获取的证书已经吊销,则手动申请证书、获取证书的操作将会失败。
[Device-pki-domain-sslvpn] undo crl check enable
[Device-pki-domain-sslvpn] quit
# 将证书导入创建的域中,导入时需要的密码为创建证书时输入的密码。
[Device] pki import domain sslvpn pem ca filename cacert.crt
[Device] pki import domain sslvpn p12 local filename local.pfx
# 配置HTTPS服务器使用的SSL策略。
[Device] ssl server-policy 1
[Device-ssl-server-policy-1] pki-domain sslvpn
# 配置基于目的IP为101.0.145.19的免认证。
[Device] portal free-rule 2 destination ip 101.0.145.19 255.255.255.255
# 配置Portal Web服务器的URL地址。
[Device] portal web-server newpt
[Device-portal-websvr-newpt] url https://20.1.1.3/guest/h3c.php?_browser=1
[Device-portal-websvr-newpt] quit
# 配置Portal认证服务器。
[Device] portal server newpt
[Device-portal-server-newpt] ip 20.1.1.3 key simple 123456
[Device-portal-server-newpt] quit
# 进入本地Portal Web服务视图,并指定使用HTTPS协议和客户端交互认证信息。
[Device] portal local-web-server https ssl-server-policy 1 tcp-port 8443
[Device-portal-local-websvr-https] default-logon-page defaultfile.zip
[Device-portal-local-websvr-https] quit
# 开启HTTPS服务。
[Device] ip https enable
配置Portal Web服务器的URL时,需选取https类型,因为Aruba ClearPass目前支持的是https。
# 配置Portal直接认证。
[Device] interface Vlan-interface 144
[Device-Vlan-interface144] portal enable method direct
[Device-Vlan-interface144] quit
· 用户可以采用直接认证或者可跨三层Portal认证方式上线,后者只需要修改设备上的portal enable method direct配置为portal enable method layer3即可,服务器和客户端无需改动。
(1) 登录Web服务器
在游览器上登录服务器,点击“ClearPass 访客”。
(2) 创建web登录页
点击“主页 » 配置 » 页面 » Web 登录 » 新建Web登录页”。
图69 新建Web登录页
(3) 填写登录页内容
a. “提交URL”必须与设备上web-server中配置的URL中的http / https的类型相同(具体参见7.3.1 配置Switch),因为当前设备会做二次检查,如不相同则无法通过
b. “提交方法”采用“POST”
c. URL中填写的IP是设备上认证VLAN对应的IP地址(本例为:101.0.145.19)
d. “用户名字段、密码字段、额外字段”需按照当前格式填写,不做修改
e. “身份验证前检查”按照图71当前选项填写
f. 其它字段保持不变,点击“保存更改”
图70 Web登录页填写示意一
图71 Web登录页填写示意二
(4) 登录ClearPass策略服务器
在浏览器中输入ClearPass的管理IP地址,登录页面后单击“ClearPass Policy Manager”,输入登录ClearPass服务器的用户名和密码进入认证配置页面。
图72 登录ClearPass
# 单击“ClearPass Policy Manager”,输入登录ClearPass服务器的用户名和密码(本例为admin和Pass1234_),点击“登录”按钮进入认证配置页面。
图73 登录ClearPass Policy Manager
(5) 添加用户
依次点击“配置 » 身份 » 本地用户 » 添加”,根据图74添加用户。
(6) 角色映射
根据图75添加角色映射,添加“Conditions”时“User-Name”的值对应的是图74添加的用户ID。
(7) 添加设备
依次点击“配置 » 网络 » 设备 » 添加”,根据图76添加设备
a. “IP或子网地址”填写设备上与服务器接口可达的IP地址(本例为20.1.1.1/24)
b. “RADIUS共享密钥”需要与设备上配置的密钥相同
(8) 添加设备组
依次点击“配置 » 网络 » 设备组 » 添加”,根据图77添加设备组。
“子网”填写设备上与服务器接口可达的IP地址(本例为20.1.1.1/24)
(9) 添加配置文件
根据图78添加配置文件。此处的属性至少指定一个,当前以赋予用户角色属性network-admin为例。
(10) 添加策略
根据图79添加策略。
a. 在添加策略时,“Conditions”中对应的“Actions”选择图78创建的配置文件
b. 规则评估算法,根据需要选择选项中的一个即可
(11) 添加服务
添加服务中对应的各项。
a. 在图80中添加服务时,“类型”选择RADIUS 强制(通用)
¡ NAS-Port-Type:NAS认证用户的端口的物理类型,15表示以太网
¡ Service-Type:用户申请认证的业务类型
¡ Framed-Protocol:用户Frame类型业务的封装协议
b. 在图82中添加角色时,“角色映射”策略选择图75创建的角色映射
c. 在图83中添加强制时,“强制策略”选择在图78中创建的强制策略
图81 添加身份验证
分别点击“Select to Add”选择要使用的身份验证方法、身份验证源。
(1) 用户在游览器上输入任意IP,会被重定向到在服务器上配置的Web登陆页面,输入在服务器上配置的用户名和密码,点击登录。
图84 Web登录页面
(2) 用户上线后服务器显示如图85。
(3) 用户上线后设备显示信息
在设备上通过display portal user命令可以查看上线Portal用户的信息。其中Username字段显示为Portal用户的用户名user。
[Device] display portal user all
Total portal users: 1
Username: user
Portal server:
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0cda-411d-62f6 101.0.145.39 144 Vlan-interface144
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
如图86所示,Client和ClearPass服务器通过Switch建立连接,设备管理员希望对Client进行802.1X认证或者MAC地址认证,以控制其对网络资源的访问,具体要求如下:
· 采用ClearPass作为RADIUS服务器。
· 通过ClearPass授权下发VLAN,初始VLAN为144。
图86 授权VLAN组网图
本配置举例所使用的设备型号及版本信息如下:
· Switch:S5130-HI,R3507P02
· Aruba认证服务器:ClearPass CPPM V6.9.7
MAC地址认证用户,Swtich上的配置请参考5.3.1 配置Switch。
802.1X认证用户,Swtich上的配置请参考6.3.1 配置Switch。
MAC地址认证用户,服务器上的配置请参考5.3.2 配置ClearPass。
802.1X认证用户,服务器上的配置请参考6.3.2 配置ClearPass。
只需将“配置文件”的“属性”参考图87修改即可。
· Tunnel-Medium-Type:创建隧道的传输层媒介类型,该属性值为6时表示802类型,可用于下发VLAN。
· Tunnel-Private-Group-ID:隧道会话的组ID,该属性在下发VLAN时用于携带下发的VLAN ID(本例下发的VLAN ID为7)。
· Tunnel-Type:使用的隧道协议,该属性值为13时表示下发VLAN。
(1) 用户上线后服务器显示如图88。
(2) 用户上线后设备显示信息(以802.1X认证为例)
在设备上通过display dot1x connection命令可以查看上线802.1X用户的信息。其中Authorization untagged VLAN:字段显示成功下发授权VLAN 7。
[Device]display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: 0cda-411d-62f6
Access interface: Ten-GigabitEthernet1/0/49
Username: user
User access state: Successful
Authentication domain: bbb
Authentication method: EAP
Initial VLAN: 144
Authorization untagged VLAN: 7
Authorization tagged VLAN list: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: N/A
Online from: 2022/05/11 18:42:15
Online duration: 0h 0m 45s
(3) 用户上线后设备显示信息(以MAC地址认证为例)
在设备上通过display mac-authentication connection命令可以查看上线MAC地址认证用户的信息。其中Authorization untagged VLAN:字段显示成功下发授权VLAN 7。
[Device]display mac-authentication connection
Total connections: 1
Slot ID: 1
User MAC address: 0cda-411d-62f6
Access interface: Ten-GigabitEthernet1/0/49
Username: user
User access state: Successful
Authentication domain: mac-auth
IPv4 address: 101.0.145.39
Initial VLAN: 144
Authorization untagged VLAN: 7
Authorization tagged VLAN: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: N/A
Online from: 2022/05/13 10:06:50
Online duration: 0h 0m 16s
MAC地址认证用户,Swtich上的配置请参考5.3.1 配置Switch。
802.1X认证用户,Swtich上的配置请参考6.3.1 配置Switch。
授权VLAN名称时,该VLAN必须在设备上已经创建,并且设置了VLAN名称。
[Device] vlan 8
[Device-vlan8] name vl
MAC地址认证用户,服务器上的配置请参考5.3.2 配置ClearPass。
802.1X认证用户,服务器上的配置请参考6.3.2 配置ClearPass。
只需将“配置文件”的“属性”参考图89修改即可。
(1) 用户上线后服务器显示如图90。
(2) 用户上线后设备显示信息(以802.1X认证为例)
在设备上通过display dot1x connection命令可以查看上线802.1X用户的信息。其中Authorization untagged VLAN:字段显示成功下发授权VLAN 8(该VLAN名称为vl)。
[Device] display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: 0cda-411d-62f6
Access interface: Ten-GigabitEthernet1/0/49
Username: user
User access state: Successful
Authentication domain: bbb
Authentication method: EAP
Initial VLAN: 144
Authorization untagged VLAN: 8
Authorization tagged VLAN list: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: N/A
Online from: 2022/05/11 18:52:05
Online duration: 0h 0m 11s
(3) 用户上线后设备显示信息(以MAC地址认证为例)
在设备上通过display mac-authentication connection命令可以查看上线MAC地址认证用户的信息。其中Authorization untagged VLAN:字段显示成功下发授权VLAN 8(该VLAN名称为vl)。
[Device]display mac-authentication connection
Total connections: 1
Slot ID: 1
User MAC address: 0cda-411d-62f6
Access interface: Ten-GigabitEthernet1/0/49
Username: user
User access state: Successful
Authentication domain: mac-auth
IPv4 address: 101.0.145.39
Initial VLAN: 144
Authorization untagged VLAN: 8
Authorization tagged VLAN: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: N/A
Online from: 2022/05/13 10:08:19
Online duration: 0h 0m 4s
MAC地址认证用户,Swtich上的配置请参考5.3.1 配置Switch。
802.1X认证用户,Swtich上的配置请参考6.3.1 配置Switch。
下发的VLAN组必须在设备上已经创建,会将该组VLAN组中ID最小的VLAN授权给当前的认证用户,且后续该端口上的认证用户均被加入该授权VLAN。
[Device] vlan-group temp
[Device-vlan-group-temp] vlan-list 100 101 200 300
MAC地址认证用户,服务器上的配置请参考5.3.2 配置ClearPass。
802.1X认证用户,服务器上的配置请参考6.3.2 配置ClearPass。
只需将“配置文件”的“属性”参考图91修改即可。
(1) 用户上线后服务器显示如图92。
(2) 用户上线后设备上显示信息(以802.1X认证为例)
在设备上通过display dot1x connection命令可以查看上线802.1X用户的信息。其中Authorization untagged VLAN:字段显示成功下发授权VLAN 100。
[Device]display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: 0cda-411d-62f6
Access interface: Ten-GigabitEthernet1/0/49
Username: user
User access state: Successful
Authentication domain: bbb
Authentication method: EAP
Initial VLAN: 144
Authorization untagged VLAN: 100
Authorization tagged VLAN list: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: N/A
Online from: 2022/05/11 18:59:08
Online duration: 0h 0m 8s
(3) 用户上线后设备显示信息(以MAC地址认证为例)
在设备上通过display mac-authentication connection命令可以查看上线MAC地址认证用户的信息。其中Authorization untagged VLAN:字段显示成功下发授权VLAN 100。
[Device]display mac-authentication connection
Total connections: 1
Slot ID: 1
User MAC address: 0cda-411d-62f6
Access interface: Ten-GigabitEthernet1/0/49
Username: user
User access state: Successful
Authentication domain: mac-auth
IPv4 address: 101.0.145.39
Initial VLAN: 144
Authorization untagged VLAN: 100
Authorization tagged VLAN: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: N/A
Online from: 2022/05/13 10:09:19
Online duration: 0h 0m 1s
MAC地址认证用户,Swtich上的配置请参考5.3.1 配置Switch。
802.1X认证用户,Swtich上的配置请参考6.3.1 配置Switch。
服务器授权多个VLAN名称时,所有VLAN必须在设备上均已经创建,并且均设置了VLAN名称。
[Device] vlan 100
[Device-vlan100] name v1
[Device-vlan100] quit
[Device] vlan 200
[Device-vlan200] name v2
[Device-vlan200] quit
MAC地址认证用户,服务器上的配置请参考5.3.2 配置ClearPass。
802.1X认证用户,服务器上的配置请参考6.3.2 配置ClearPass。
只需将“配置文件”的“属性”参考图93修改即可。
(1) 用户上线后服务器显示如图94。
(2) 用户上线后设备上显示信息(以802.1X认证为例)
在设备上通过display dot1x connection命令可以查看上线802.1X用户的信息。其中Authorization untagged VLAN:字段显示成功下发授权VLAN 100。
若认证服务器下发的授权VLAN信息为一个包含若干VLAN编号以及若干VLAN名称的字符串,则设备首先将其解析为一组VLAN ID,然后采用与解析一个VLAN组名相同的解析逻辑选择一个授权VLAN。通常是按VLAN ID最小选择。
[Device]display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: 0cda-411d-62f6
Access interface: Ten-GigabitEthernet1/0/49
Username: user
User access state: Successful
Authentication domain: bbb
Authentication method: EAP
Initial VLAN: 144
Authorization untagged VLAN: 100
Authorization tagged VLAN list: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: N/A
Online from: 2022/05/11 19:07:58
Online duration: 0h 0m 14s
Auto VLAN规则下,服务器下发的授权VLAN仅对端口链路类型为Hybrid或Trunk,且802.1X接入控制方式为Port-based的端口有效。若端口链路类型为access,则用户上线失败。
服务器上的配置请参考6.3.2 配置ClearPass。
只需将“配置文件”的“属性”参考图95修改即可。
用户使用802.1X认证方式上线。
(1) 用户上线后服务器显示如8.7.3 (1)图96。
(2) 用户上线后设备上信息
在设备上通过display dot1x connection命令可以查看上线802.1X用户的信息。其中Authorization tagged VLAN字段显示成功下发授权VLAN 7和VLAN 9。不存在untagged的授权VLAN,则不修改端口的缺省VLAN。
[Device] display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: 0cda-411d-62f6
Access interface: Ten-GigabitEthernet1/0/49
Username: user
User access state: Successful
Authentication domain: bbb
Authentication method: EAP
Initial VLAN: 144
Authorization untagged VLAN: 144
Authorization tagged VLAN list: 7 9
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: N/A
Online from: 2022/05/12 09:57:20
Online duration: 0h 18m 37s
服务器上的配置请参考6.3.2 配置ClearPass。
只需将“配置文件”的“属性”参考图97修改即可。
用户使用802.1X认证方式上线。
(1) 用户上线后服务器上显示如8.8.3 (1)图98。
(2) 用户上线后设备上显示信息
在设备上通过display dot1x connection命令可以查看上线802.1X用户的信息。其中Authorization tagged VLAN字段显示成功下发授权VLAN 7和VLAN 9。存在untagged的授权VLAN,端口的缺省VLAN将被修改为untagged的授权VLAN。
[Device]display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: 0cda-411d-62f6
Access interface: Ten-GigabitEthernet1/0/49
Username: user
User access state: Successful
Authentication domain: bbb
Authentication method: EAP
Initial VLAN: 144
Authorization untagged VLAN: 10
Authorization tagged VLAN list: 7 9
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: N/A
Online from: 2022/05/12 10:21:00
Online duration: 0h 0m 3s
服务器上的配置请参考6.3.2 配置ClearPass。
只需将“配置文件”的“属性”参考图99修改即可。
用户使用802.1X认证方式上线。
(1) 用户上线后服务器上显示如8.9.3 (1)图100。
(2) 用户上线后设备上显示
在设备上通过display dot1x connection命令可以查看上线802.1X用户的信息。其中Authorization tagged VLAN字段显示成功下发授权VLAN 7、VLAN 9和VLAN 10。授权VLAN信息为一个包含若干个“VLAN ID+后缀”形式的字符串,则只有第一个不携带后缀或者携带untagged后缀的VLAN将被解析为唯一的untagged的授权VLAN(本例为VLAN 8),其余VLAN都被解析为tagged的授权VLAN,端口的缺省VLAN将被修改为untagged的授权VLAN。
[Device] display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: 0cda-411d-62f6
Access interface: Ten-GigabitEthernet1/0/49
Username: user
User access state: Successful
Authentication domain: bbb
Authentication method: EAP
Initial VLAN: 144
Authorization untagged VLAN: 8
Authorization tagged VLAN list: 7 9-10
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: N/A
Online from: 2022/05/12 10:26:36
Online duration: 0h 0m 4s
如图101所示,Client和ClearPass服务器通过Switch建立连接,设备管理员希望对Client进行802.1X认证或者MAC地址认证或Portal认证,以控制其对网络资源的访问,具体要求如下:
· 采用ClearPass作为RADIUS服务器。
· 通过ClearPass授权下发ACL。
图101 授权ACL组网图
本配置举例所使用的设备型号及版本信息如下:
· Switch:S5130-HI,R3507P02
· Aruba认证服务器:ClearPass CPPM V6.9.7
MAC地址认证用户,Swtich上的配置请参考5.3.1 配置Switch。
802.1X认证用户,Swtich上的配置请参考6.3.1 配置Switch。
授权ACL名称时,该ACL必须在设备上已经创建才会生效。
# 在设备上创建ACL,并配置规则。
[Device] acl advanced 3999
[Device-acl-ipv4-adv-3999] rule 0 permit ip source any
MAC地址认证用户,服务器上的配置请参考5.3.2 配置ClearPass。
802.1X认证用户,服务器上的配置请参考6.3.2 配置ClearPass。
只需将“配置文件”的“属性”参考图102修改即可。
注:Filter-Id 取值为数字,则按照ACL Number处理,取值不全为数字,则按照User Profile处理。
用户使用不同认证方式上线(MAC地址认证、802.1X认证、Portal认证)。
(1) 用户上线后服务器上显示,图78。
图103 用户上线后服务器显示
(2) 用户上线后设备上显示
可以看到服务器下发的ACL成功下发到设备上。
[Device]display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: 0cda-411d-62f6
Access interface: Ten-GigabitEthernet1/0/49
Username: user
User access state: Successful
Authentication domain: bbb
Authentication method: EAP
Initial VLAN: 144
Authorization untagged VLAN: N/A
Authorization tagged VLAN list: N/A
Authorization ACL number/name: 3999
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: N/A
Online from: 2022/05/12 10:34:53
Online duration: 0h 0m 13s
如图104所示,Client和ClearPass服务器通过Switch建立连接,设备管理员希望对Client进行802.1X认证或者MAC地址认证或Portal认证,以控制其对网络资源的访问,具体要求如下:
· 采用ClearPass作为RADIUS服务器。
· 通过ClearPass授权下发User-Profile。
本配置举例所使用的设备型号及版本信息如下:
· Switch:S5130-HI,R3507P02
· Aruba认证服务器:ClearPass CPPM V6.9.7
802.1X认证用户,Swtich上的配置请参考6.3.1 配置Switch。
授权User-Profile名称时,该User-Profile必须在设备上已经创建才会生效。
创建对User的速率进行限制的QoS策略。
# 创建流分类class,匹配所有报文。
[Device] traffic classifier class
[Device-classifier-class] if-match any
[Device-classifier-class] quit
# 创建流行为for_ub,动作为流量监管,cir为10000kbps。
[Device] traffic behavior for_ub
[Device-behavior-for_ub] car cir 10000
[Device-behavior-for_ub] quit
# 创建QoS策略for_ub,将流分类和流行为进行关联。
[Device] qos policy for_ub
[Device-qospolicy-for_ub] classifier class behavior for_ub
[Device-qospolicy-for_ub] quit
# 为User创建User Profile,并应用QoS策略。
[Device] user-profile ub
[Device-user-profile-ub] qos apply policy for_ub inbound
[Device-user-profile-ub] quit
802.1X认证用户,服务器上的配置请参考6.3.2 配置ClearPass。
只需将“配置文件”的“属性”参考图105修改即可。
Filter-Id 取值为数字,则按照ACL Number处理,取值不全为数字,则按照User Profile处理。
(2) 用户上线后设备上显示
在设备上通过display dot1x connection命令可以查看上线802.1X用户的信息。其中Authorization user profile字段显示成功下发名称为“ub”授权User Profile。
[Device] display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: 0cda-411d-62f6
Access interface: Ten-GigabitEthernet1/0/49
Username: user
User access state: Successful
Authentication domain: bbb
Authentication method: EAP
Initial VLAN: 144
Authorization untagged VLAN: N/A
Authorization tagged VLAN list: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: ub
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: N/A
Online from: 2022/05/12 10:52:34
Online duration: 0h 0m 4s
如图107所示,Client和ClearPass服务器通过Switch建立连接,设备管理员希望对Client进行802.1X认证或者MAC地址认证,以控制其对网络资源的访问,具体要求如下:
· 采用ClearPass作为RADIUS服务器。
· 通过ClearPass授权下发CAR(Average input rate、Peak input rate、Average output rate、Peak output rate)。
图107 授权CAR组网图
本配置举例所使用的设备型号及版本信息如下:
· Switch:S5130-HI,R3507P02
· Aruba认证服务器:ClearPass CPPM V6.9.7
802.1X认证用户,Swtich上的配置请参考6.3.1 配置Switch。
802.1X认证用户,服务器上的配置请参考6.3.2 配置ClearPass。
只需将“配置文件”的“属性”参考图108修改即可。
若服务器上没有Output-Average-Rate和Output-Peak-Rate需要自己在服务器的词典里添加,添加方式如下:
如图109所示,依次点击“管理 » 字典 » RADIUS » H3C”。
图109 RAIUS字典项添加示意图一
图110 RAIUS字典项添加示意图二
点击“导出”按钮,将内容导出。
打开导出的文件,如图111。
参照“Input-Average-Rate”和“Input-Peak-Rate”添加“Output-Average-Rate”和“Output-Peak-Rate”这两条属性,之后将该文件保存导入词典即可。
如图112、图113所示,依次点击“管理 » 字典 » RADIUS » 导入”。
图112 导入修改后的文件示意图一
点击“导入”按钮后,如图114所示。
查看H3C词典,发现属性Output-Average-Rate和Output-Peak-Rate已经导入。
(1) 用户上线后服务器上显示如图115。
(2) 用户上线后设备上显示
在设备上通过display dot1x connection命令可以查看上线802.1X用户的信息。其中Authorization CAR字段显示成功下发授权CAR。
[Device] display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: 0cda-411d-62f6
Access interface: Ten-GigabitEthernet1/0/49
Username: user
User access state: Successful
Authentication domain: bbb
Authentication method: EAP
Initial VLAN: 144
Authorization untagged VLAN: N/A
Authorization tagged VLAN list: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR:
Average input rate: 80000 bps
Peak input rate: 90000 bps
Average output rate: 88000 bps
Peak output rate: 98000 bps
Authorization URL: N/A
Termination action: Default
Session timeout period: N/A
Online from: 2022/05/12 10:43:24
Online duration: 0h 0m 4s
如图116所示,Client和ClearPass服务器通过Switch建立连接,设备管理员希望对Client进行802.1X认证或者MAC地址认证,以控制其对网络资源的访问,具体要求如下:
· 采用ClearPass作为RADIUS服务器。
· 通过ClearPass授权下发Session-Timeout、Termination-Action。
图116 授权Session-Timeout、Termination-Action组网图
本配置举例所使用的设备型号及版本信息如下:
· Switch:S5130-HI,R3507P02
· Aruba认证服务器:ClearPass CPPM V6.9.7
当认证服务器下发了用户会话超时时长,且指定的会话终止动作(Termination-Action)为要求用户进行重认证RADIUS-Request (1),则无论设备上是否开启周期性重认证功能,端口都会在用户会话超时时长到达后对该用户发起重认证。
MAC地址认证用户,Swtich上的配置请参考5.3.1 配置Switch。
802.1X认证用户,Swtich上的配置请参考6.3.1 配置Switch。
MAC地址认证用户,服务器上的配置请参考5.3.2 配置ClearPass。
802.1X认证用户,服务器上的配置请参考6.3.2 配置ClearPass。
只需将“配置文件”的“属性”参考图117修改即可。
用户使用不同认证方式上线(MAC地址认证、802.1X认证)。
(1) 用户上线后服务器上显示如图118。
(2) 用户上线后设备上显示(以802.1X认证为例)
在设备上通过display dot1x connection命令可以查看上线802.1X用户的信息。Session timeout period字段显示服务器下发的会话超时时长为15秒,该时间到达之后,用户所在的会话将会被删除,之后,对该用户所采取的动作为Termination action字段显示的Radius-request,即:会话超时时长到达后,服务器要求802.1X用户进行重认证。
[Device] display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: 0cda-411d-62f6
Access interface: Ten-GigabitEthernet1/0/49
Username: user
User access state: Successful
Authentication domain: bbb
Authentication method: EAP
Initial VLAN: 144
Authorization untagged VLAN: N/A
Authorization tagged VLAN list: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Radius-request
Session timeout period: 15 s
Online from: 2022/05/12 11:02:14
Online duration: 0h 0m 4s
(3) 用户上线后设备上显示(以MAC认证为例)
在设备上通过display mac-authentication connection命令可以查看上线MAC地址认证用户的信息。Session timeout period字段显示服务器下发的会话超时时长为15秒,该时间到达之后,用户所在的会话将会被删除,之后,对该用户所采取的动作为Termination action字段显示的Radius-request,即:会话超时时长到达后,服务器要求802.1X用户进行重认证。
[Device] display mac-authentication connection
Total connections: 1
Slot ID: 1
User MAC address: 0cda-411d-62f6
Access interface: Ten-GigabitEthernet1/0/49
Username: user
User access state: Successful
Authentication domain: mac-auth
IPv4 address: 101.0.145.39
Initial VLAN: 144
Authorization untagged VLAN: N/A
Authorization tagged VLAN: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Radius-request
Session timeout period: 15 sec
Online from: 2022/05/13 11:20:20
Online duration: 0h 0m 4s
(4) 抓包查看用户重认证
对于802.1X认证,根据配置的用户会话超时时长,15秒后用户需要重认证,并认证成功。
图119 报文捕获示意图一
对于MAC地址认证,根据配置的用户会话超时时长,15秒后用户需要重认证,并认证成功。
图120 报文捕获示意图二
当认证服务器下发了用户会话超时时长,且指定的会话终止动作(Termination-Action)为要求用户强制下线Default (0)时,若设备上未开启周期性重认证功能,则端口会在用户会话超时时长到达后强制该用户下线。
MAC地址认证用户,Swtich上的配置请参考5.3.1 配置Switch。
802.1X认证用户,Swtich上的配置请参考6.3.1 配置Switch。
MAC地址认证用户,服务器上的配置请参考5.3.2 配置ClearPass。
802.1X认证用户,服务器上的配置请参考6.3.2 配置ClearPass。
只需将“配置文件”的“属性”参考图121修改即可。
用户使用不同认证方式上线(MAC地址认证、802.1X认证)。
(1) 用户上线后服务器上显示如图122,15秒后用户被强制下线,如图123。
(2) 用户上线后设备上显示(以802.1X认证为例)
在设备上通过display dot1x connection命令可以查看上线802.1X用户的信息。Session timeout period字段显示服务器下发的会话超时时长为15秒,该时间到达之后,用户所在的会话将会被删除,之后,对该用户所采取的动作为Termination action字段显示的Default,即:会话超时时长到达后,强制用户下线。
[Device]display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: 0cda-411d-62f6
Access interface: Ten-GigabitEthernet1/0/49
Username: user
User access state: Successful
Authentication domain: bbb
Authentication method: EAP
Initial VLAN: 144
Authorization untagged VLAN: N/A
Authorization tagged VLAN list: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: 15 s
Online from: 2022/05/12 11:19:21
Online duration: 0h 0m 4s
(3) 用户上线后设备上显示(以MAC地址认证为例)
在设备上通过display mac-authentication connection命令可以查看上线MAC地址认证用户的信息。Session timeout period字段显示服务器下发的会话超时时长为15秒,该时间到达之后,用户所在的会话将会被删除,之后,对该用户所采取的动作为Termination action字段显示的Default,即:会话超时时长到达后,强制用户下线。
[Device] display mac-authentication connection
Total connections: 1
Slot ID: 1
User MAC address: 0cda-411d-62f6
Access interface: Ten-GigabitEthernet1/0/49
Username: user
User access state: Successful
Authentication domain: mac-auth
IPv4 address: 101.0.145.39
Initial VLAN: 144
Authorization untagged VLAN: N/A
Authorization tagged VLAN: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: 15 sec
Online from: 2022/05/13 14:33:12
Online duration: 0h 0m 5s
(4) 抓包查看用户重认证
对于802.1X认证,根据配置的用户会话超时时长,15秒后用户用户被强制下线。
图124 报文捕获示意图
当认证服务器下发了用户会话超时时长,且指定的会话终止动作(Termination-Action)为要求用户强制下线Default (0),若设备上开启了周期性重认证功能,且设备上配置的重认证定时器值小于用户会话超时时长,则端口会以重认证定时器的值为周期向该端口在线用户发起重认证。
802.1X认证用户,Swtich上的配置请参考6.3.1 配置Switch。
MAC地址认证用户,Swtich上的配置请参考5.3.1 配置Switch。
(1) 对于802.1X认证,设备上需要额外加上以下配置:
[Device]interface Ten-GigabitEthernet 1/0/49
[Device-Ten-GigabitEthernet1/0/49] dot1x re-authenticate
[Device-Ten-GigabitEthernet1/0/49] dot1x timer reauth-period 60
(2) 对于MAC地址认证,设备上需要额外加上以下配置:
[Device] mac-authentication timer reauth-period 60
[Device] interface Ten-GigabitEthernet 1/0/49
[Device-Ten-GigabitEthernet1/0/49] mac-authentication timer reauth-period 60
[Device-Ten-GigabitEthernet1/0/49] mac-authentication re-authenticate
[Device-Ten-GigabitEthernet1/0/49] quit
MAC地址认证用户,服务器上的配置请参考5.3.2 配置ClearPass。
802.1X认证用户,服务器上的配置请参考6.3.2 配置ClearPass。
只需将“配置文件”的“属性”参考图125修改即可(注意:服务器上配置的会话超时时长为80秒,大于设备上配置的周期重认证定时器的时长)。
用户使用不同认证方式上线(MAC地址认证、802.1X认证)。
(1) 用户上线后服务器上显示如图126。
(2) 用户上线后设备上显示(以802.1X认证为例)
在设备上通过display dot1x connection命令可以查看上线802.1X用户的信息。Session timeout period字段显示设备上配置的周期性重认证定时器的时长,到达该时长后,用户所在的会话将会被删除,之后,对该用户所采取的动作为Termination action字段显示的Default,即用户强制下线。
[Device] display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: 0cda-411d-62f6
Access interface: Ten-GigabitEthernet1/0/49
Username: user
User access state: Successful
Authentication domain: bbb
Authentication method: EAP
Initial VLAN: 144
Authorization untagged VLAN: N/A
Authorization tagged VLAN list: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: 80 s
Online from: 2022/05/12 11:24:50
Online duration: 0h 0m 11s
(3) 用户上线后设备上显示(以MAC地址认证为例)
在设备上通过display mac-authentication connection命令可以查看上线MAC地址认证用户的信息。Session timeout period字段显示设备上配置的周期性重认证定时器的时长,到达该时长后,用户所在的会话将会被删除,之后,对该用户所采取的动作为Termination action字段显示的Default,即用户强制下线。
[Device] display mac-authentication connection
Total connections: 1
Slot ID: 1
User MAC address: 0cda-411d-62f6
Access interface: Ten-GigabitEthernet1/0/49
Username: user
User access state: Successful
Authentication domain: mac-auth
IPv4 address: 101.0.145.39
Initial VLAN: 144
Authorization untagged VLAN: N/A
Authorization tagged VLAN: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: 80 sec
Online from: 2022/05/13 14:55:01
Online duration: 0h 0m 8s
(4) 抓包查看用户重认证
对于802.1X认证,端口会以重认证定时器的60秒为周期向该端口在线802.1X用户发起重认证,并且成功上线。
图127 报文捕获示意图一
对于,MAC地址认证,端口会以重认证定时器的60秒为周期向该端口在线用户发起重认证,并且成功上线。
图128 抓包报文捕获示意图二
当认证服务器下发了用户会话超时时长,且指定的会话终止动作(Termination-Action)为要求用户强制下线Default (0),若设备上配置的重认证定时器值大于等于用户会话超时时长,则端口会在用户会话超时时长到达后强制该用户下线。
802.1X认证用户,Swtich上的配置请参考6.3.1 配置Switch。
MAC地址认证用户,Swtich上的配置请参考5.3.1 配置Switch。
(1) 对于802.1X认证,设备上需要额外加上以下配置:
[Device]interface Ten-GigabitEthernet 1/0/49
[Device-Ten-GigabitEthernet1/0/49] dot1x re-authenticate
[Device-Ten-GigabitEthernet1/0/49] dot1x timer reauth-period 60
(2) 对于MAC地址认证,设备上需要额外加上以下配置:
[Device] mac-authentication timer reauth-period 60
[Device] interface Ten-GigabitEthernet 1/0/49
[Device-Ten-GigabitEthernet1/0/49] mac-authentication timer reauth-period 60
[Device-Ten-GigabitEthernet1/0/49] mac-authentication re-authenticate
[Device-Ten-GigabitEthernet1/0/49]quit
MAC地址认证用户,服务器上的配置请参考5.3.2 配置ClearPass。
802.1X认证用户,服务器上的配置请参考6.3.2 配置ClearPass。
只需将“配置文件”的“属性”参考图129修改即可(注意:服务器上配置的会话超时时长为15秒,小于设备上配置的周期重认证定时器的时长)。
用户使用不同认证方式上线(MAC地址认证、802.1X认证)。
(2) 用户上线后设备上显示(以802.1X认证为例)
在设备上通过display dot1x connection命令可以查看上线802.1X用户的信息。Session timeout period字段显示会话超时时长,到达该时长后,用户所在的会话将会被删除,之后,对该用户所采取的动作为Termination action字段显示的Default,即用户强制下线。
[Device]display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: 0cda-411d-62f6
Access interface: Ten-GigabitEthernet1/0/49
Username: user
User access state: Successful
Authentication domain: bbb
Authentication method: EAP
Initial VLAN: 144
Authorization untagged VLAN: N/A
Authorization tagged VLAN list: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: 15 s
Online from: 2022/05/13 14:34:58
Online duration: 0h 0m 4s
(3) 用户上线后设备上显示(以MAC地址认证为例)
在设备上通过display mac-authentication connection命令可以查看上线MAC地址认证用户的信息。Session timeout period字段显示会话超时时长,到达该时长后,用户所在的会话将会被删除,之后,对该用户所采取的动作为Termination action字段显示的Default,即用户强制下线。
[Device]display mac-authentication connection
Total connections: 1
Slot ID: 1
User MAC address: 0cda-411d-62f6
Access interface: Ten-GigabitEthernet1/0/49
Username: user
User access state: Successful
Authentication domain: mac-auth
IPv4 address: 101.0.145.39
Initial VLAN: 144
Authorization untagged VLAN: N/A
Authorization tagged VLAN: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: 15 sec
Online from: 2022/05/13 14:59:25
Online duration: 0h 0m 5s
通过报文捕获,可以验证对于802.1X认证,根据配置的用户会话超时时长,15秒后用户用户被强制下线。
当认证服务器未下发用户会话超时时长时,是否对用户进行重认证,由设备上配置的重认证功能决定。
802.1X认证用户,Swtich上的配置请参考6.3.1 配置Switch。
MAC地址认证用户,Swtich上的配置请参考5.3.1 配置Switch。
(1) 对于802.1X认证,设备上需要额外加上以下配置:
[Device] interface Ten-GigabitEthernet 1/0/49
[Device-Ten-GigabitEthernet1/0/49] dot1x re-authenticate
[Device-Ten-GigabitEthernet1/0/49] dot1x timer reauth-period 60
(2) 对于MAC地址认证,设备上需要额外加上以下配置:
[Device] mac-authentication timer reauth-period 60
[Device] interface Ten-GigabitEthernet 1/0/49
[Device-Ten-GigabitEthernet1/0/49] mac-authentication timer reauth-period 60
[Device-Ten-GigabitEthernet1/0/49] mac-authentication re-authenticate
[Device-Ten-GigabitEthernet1/0/49] quit
MAC地址认证用户,服务器上的配置请参考5.3.2 配置ClearPass。
802.1X认证用户,服务器上的配置请参考6.3.2 配置ClearPass。
只需将“配置文件”的“属性”参考图132修改即可(注意:服务器上未配置会话超时时长)。
用户使用不同认证方式上线(MAC地址认证、802.1X认证)。
(1) 用户上线后服务器上显示如图133。
(2) 用户上线后设备上显示(以802.1X认证为例)
在设备上通过display dot1x connection命令可以查看上线802.1X用户的信息。Termination action字段显示的Default。
[Device] display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: 0cda-411d-62f6
Access interface: Ten-GigabitEthernet1/0/49
Username: user
User access state: Successful
Authentication domain: bbb
Authentication method: EAP
Initial VLAN: 144
Authorization untagged VLAN: N/A
Authorization tagged VLAN list: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: N/A
Online from: 2022/05/12 14:09:59
Online duration: 0h 0m 5s
(3) 用户上线后设备上显示(以MAC地址认证为例)
在设备上通过display dot1x connection命令可以查看上线MAC地址认证用户的信息。Termination action字段显示的Default。
[Device]display mac-authentication connection
Total connections: 1
Slot ID: 1
User MAC address: 0cda-411d-62f6
Access interface: Ten-GigabitEthernet1/0/49
Username: user
User access state: Successful
Authentication domain: mac-auth
IPv6 address: FE80::5D79:AE17:4AEF:503A
Initial VLAN: 144
Authorization untagged VLAN: N/A
Authorization tagged VLAN: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: N/A
Online from: 2022/05/13 15:06:31
Online duration: 0h 0m 7s
(4) 抓包查看用户重认证
对于802.1X认证,端口会以重认证定时器的60秒为周期向该端口在线802.1X用户发起重认证,并且成功上线。
图134 报文捕获示意图
对于MAC地址认证,端口会以重认证定时器的60秒为周期向该端口在线用户发起重认证,并且成功上线。
图135 报文捕获示意图
如图136所示,Client和ClearPass服务器通过Switch建立连接,设备管理员希望对Client进行802.1X认证,以控制其对网络资源的访问,具体要求如下:
· 采用ClearPass作为RADIUS服务器和Portal服务器。
· 用户采用802.1X认证,服务器授权下发URL重定向。
· 802.1X认证通过后,用户在客户端的游览器上输入任意IP地址会被重定向到URL中的Web页面。
图136 802.1X认证配置组网图
本配置举例所使用的设备型号及版本信息如下:
· Switch:S5130-HI,R3507P02
· Aruba认证服务器:ClearPass CPPM V6.9.7
本配置仅展示认证的相关配置,网络互通的相关配置略,请保证设备间能够互相访问。
#设备上配置一条ACL放行URL中的IP地址。并且该条ACL需要在服务器上下发。Swtich上的其它配置请参考6.3.1 配置Switch。
[Device] acl advanced 3100
[Device-acl-ipv4-adv-3100] rule 1 permit ip destination 20.1.1.3 0
802.1X认证用户,服务器上的配置请参考6.3.2 配置ClearPass。
只需将“配置文件”的“属性”参考图137修改即可。
注:URL中的IP地址为实际使用的Portal服务器的IP地址,本例中IP为20.1.1.3。
(1) 用户上线后服务器显示如图138。
(2) 用户上线后设备显示
在设备上通过display dot1x connection命令可以查看上线802.1X用户的信息。
[Device]display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: 0cda-411d-62f6
Access interface: Ten-GigabitEthernet1/0/49
Username: user
User access state: Successful
Authentication domain: bbb
Authentication method: CHAP
Initial VLAN: 144
Authorization untagged VLAN: N/A
Authorization tagged VLAN list: N/A
Authorization ACL number/name: 3100
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: https://20.1.1.3/guest/h3c.php?_browser=1
Termination action: Default
Session timeout period: N/A
Online from: 2022/05/27 11:16:21
Online duration: 0h 0m 4s
(3) 用户在客户端的游览器上输入任意IP地址,会被重定向到URL中的Web页面。
如图139示,Client和ClearPass服务器通过Switch建立连接,设备管理员希望对Client进行认证(以802.1X认证为例),以控制其对网络资源的访问,具体要求如下:
· 采用ClearPass作为RADIUS服务器。
· 通过ClearPass下发DAE请求。
本配置举例所使用的设备型号及版本信息如下:
· Switch:S5130-HI,R3507P02
· Aruba认证服务器:ClearPass CPPM V6.9.7
Swtich上的基础配置请参考6.3.1 配置Switch。
设备上需要额外增加如下配置。
# 开启RADIUS DAE服务,并进入RADIUS DAE服务器视图。
[Device] radius dynamic-author server
# 指定RADIUS DAE客户端,此IP是AAA服务器的IP,密钥是服务器上配置的radius共享密钥。
[Device-radius-da-server] client ip 20.1.1.3 key simple 123456
[Device-radius-da-server] quit
服务器上的配置请参考6.3.2 配置ClearPass。并参考图140、图141补充配置。
根据需求选择“H3C-Terminate Session”的Radius动态授权模板。
(1) 用户上线后服务器上显示如图142。
(2) 在DAE客户端(ClearPass)上发送DAE请求
用户上线后,点击图142中的“更改状态”按钮。
a. “选择访问控制类型”为“RADIUS CoA”
b. “RADIUS CoA类型”选择在图140中创建的配置文件
c. 点击“提交”按钮
图143 发送DAE请求
(3) 用户下线后服务器显示
图144 RADIUS CoA显示
图145 用户强制下线
Swtich上的基础配置请参考6.3.1 配置Switch。
设备上需要额外增加如下配置。
# 开启RADIUS DAE服务,并进入RADIUS DAE服务器视图。
[Device] radius dynamic-author server
# 指定RADIUS DAE客户端,此IP是AAA服务器的IP,密钥是服务器上配置的radius共享密钥
[Device-radius-da-server] client ip 20.1.1.3 key simple 123456
[Device-radius-da-server] quit
服务器上的配置请参考6.3.2 配置ClearPass。并参考图146、图147补充配置。
根据需求选择“H3C-Disable Switch Port”的Radius动态授权模板。
(1) 用户上线后服务器上显示如图148。
(2) 在DAE客户端(ClearPass)上发送DAE请求
用户上线后,点击 图148中的“更改状态”。
a. “选择访问控制类型为“RADIUS CoA”
b. “RADIUS CoA类型”选择在图146中创建的配置文件
c. 点击“提交”
图149 发送DAE请求
(3) 用户强制下线后服务器上显示。
图150 RADIUS CoA显示
图151 用户下线
Swtich上的基础配置请参考6.3.1 配置Switch。
设备上需要额外增加如下配置。
# 开启RADIUS DAE服务,并进入RADIUS DAE服务器视图。
[Device] radius dynamic-author server
# 指定RADIUS DAE客户端,此IP是AAA服务器的IP,密钥是服务器上配置的radius共享密钥
[Device-radius-da-server] client ip 20.1.1.3 key simple 123456
[Device-radius-da-server] quit
服务器上的配置请参考6.3.2 配置ClearPass。并参考图152、图153补充配置。
根据需求选择“H3C-Bounce Switch Port”的Radius动态授权模板。
(1) 用户上线后服务器上显示如图154。
(2) 在DAE客户端(ClearPass)上发送DAE请求
用户上线后,点击图154中的“更改状态”。
a. “选择访问控制类型”为“RADIUS CoA”
b. “RADIUS CoA类型”选择在图152创建的配置文件
c. 点击“提交”
图155 发送DAE请求
如图160所示,设备管理员希望PC使用SSH登录Switch时,通过使用ClearPass服务器进行远程TACACS认证,登录Switch后,验证为network-admin用户角色。
本配置举例所使用的设备型号及版本信息如下:
· Switch:S5130-HI,R3507P02
· Aruba认证服务器:ClearPass CPPM V6.9.7
# 创建HWTACACS方案tac。
<Device> system-view
[Device] hwtacacs scheme tac
[Device-hwtacacs-tac] primary authentication 20.1.1.3
[Device-hwtacacs-tac] primary accounting 20.1.1.3
[Device-hwtacacs-tac] key authentication simple 123456
[Device-hwtacacs-tac] key accounting simple 123456
[Device-hwtacacs-tac] user-name-format without-domain
[Device-hwtacacs-tac] quit
# 创建ISP域tac,为login用户配置AAA认证方法为TACACS认证/授权/计费。
[Device] domain tac
[Device-isp-tac] authentication login hwtacacs-scheme tac
[Device-isp-tac] authorization login hwtacacs-scheme tac
[Device-isp-tac] accounting login hwtacacs-scheme tac
[Device-isp-tac] quit
# 配置ISP域tac为缺省域。
[Device] domain default enable tac
# 创建本地RSA及DSA密钥对。
[Device] public-key local create rsa
[Device] public-key local create dsa
# 开启SSH服务器功能。
[Device] ssh server enable
# 开启缺省用户角色授权功能,使得认证通过后的SSH用户具有缺省的用户角色network- admin。
[Device] role default-role enable network-admin
# 设置SSH用户登录用户线的认证方式为AAA认证。
[Device] line vty 0 63
[Device-line-vty0-63] authentication-mode scheme
[Device-line-vty0-63] quit
# 配置互通的VLAN和VLAN接口IP地址。
[Device] vlan 144
[Device-vlan144] quit
[Device] interface Vlan-interface 144
[Device-Vlan-interface144] ip address 101.0.145.19 255.255.255.0
[Device-Vlan-interface144] quit
[Device] vlan 145
[Device-vlan145] quit
[Device] interface Vlan-interface 145
[Device-Vlan-interface145] ip address 20.1.1.1 255.255.255.0
[Device-Vlan-interface145] quit
# 将端口XGE1/0/49和XGE1/0/51加入到指定的VLAN。
[Device] interface Ten-GigabitEthernet 1/0/49
[Device-Ten-GigabitEthernet1/0/49] port access vlan 144
[Device-Ten-GigabitEthernet1/0/49] quit
[Device] interface Ten-GigabitEthernet 1/0/51
[Device-Ten-GigabitEthernet1/0/51] port access vlan 145
[Device-Ten-GigabitEthernet1/0/51] quit
(1) 添加用户
依次点击“配置 » 身份 » 本地用户 » 添加”,根据图161添加用户。
(2) 角色映射
根据图162添加角色映射,添加“Conditions”时User-Name的值对应的是图161添加的用户ID
(3) 添加设备
依次点击“配置 » 网络 » 设备 » 添加”,根据图163添加设备。
a. “IP或子网地址”填写设备上与服务器接口可达的IP地址(本例为20.1.1.1/24)
b. “TACACS+共享密钥”需要与设备上配置的密钥相同
(4) 添加设备组
依次点击“配置 » 网络 » 设备组 » 添加”,根据图164添加设备组。“子网”填写设备上与服务器接口可达的IP地址(本例为20.1.1.1/24)
(5) 添加配置文件
根据图165添加配置文件。
(6) 添加策略
根据图166添加策略。
a. 在添加策略时,“Conditions”中对应的“Actions”选择图165创建的配置文件即可
b. 规则评估算法,根据需要选择选项中的一个即可
(7) 添加服务
添加服务中对应的各项。
a. 在图167中添加服务时,类型选择“TACACS+ 强制”
b. 在图169中添加角色时,角色映射策略选择图116创建的角色映射
c. 在图170中添加强制时,强制策略选择在图120中创建的强制策略
图168 添加身份验证
(1) 用户使用Putty软件,打开安装好的Putty软件。参考图171,根据以下步骤登录。
a. 点击“Session”
b. “Connection type” 选择为“SSH”
c. 输入IP address,此IP为设备上与客户端互通的IP(该组网中IP为101.0.145.19)
d. “Port”使用默认的“22”
e. 点击“Open”。
图171 Putty界面SSH登录
(2) 用户上线后服务器显示如图172、图173、图174。
(3) 用户上线
输入服务器上创建的用户名“user”和密码“123456”,点击“回车键”即可登录设备。
如图175所示,设备管理员希望使用SSH、Telnet或Console口登录Switch时,通过使用ClearPass服务器进行远程RADIUS认证,登录Switch后,验证为network-admin用户角色。
图175 Login用户登录组网图
本配置举例所使用的设备型号及版本信息如下:
· Switch:S5130-HI,R3507P02
· Aruba认证服务器:ClearPass CPPM V6.9.7
# 创建RADIUS方案radius1。
<Device> system-view
[Device] radius scheme radius1
[Device-radius-radius1] primary authentication 20.1.1.3
[Device-radius-radius1] primary accounting 20.1.1.3
[Device-radius-radius1] key authentication simple 123456
[Device-radius-radius1] key accounting simple 123456
[Device-radius-radius1] user-name-format without-domain
[Device-radius-radius1] quit
# 创建ISP域123,为login用户配置AAA认证方法为RADIUS认证/授权/计费。
[Device] domain 123
[Device-isp-123] authentication login radius-scheme radius1
[Device-isp-123] authorization login radius-scheme radius1
[Device-isp-123] accounting login radius-scheme radius1
[Device-isp-123] quit
# 配置ISP域123为缺省域。
[Device] domain default enable 123
# 创建本地RSA及DSA密钥对。
[Device] public-key local create rsa
[Device] public-key local create dsa
# 开启SSH服务器功能。
[Device] ssh server enable
# 设置用户登录用户线的认证方式为AAA认证。
[Device] line vty 0 63
[Device-line-vty0-63] authentication-mode scheme
[Device-line-vty0-63] quit
# 配置互通的VLAN和VLAN接口的IP地址。
[Device] vlan 144
[Device-vlan144] quit
[Device] interface Vlan-interface 144
[Device-Vlan-interface144] ip address 101.0.145.19 255.255.255.0
[Device-Vlan-interface144] quit
[Device] vlan 145
[Device-vlan145] quit
[Device] interface Vlan-interface 145
[Device-Vlan-interface145] ip address 20.1.1.1 255.255.255.0
[Device-Vlan-interface145] quit
# 将端口XGE1/0/49和XGE1/0/51加入指定的VLAN。
[Device] interface Ten-GigabitEthernet 1/0/49
[Device-Ten-GigabitEthernet1/0/49] port access vlan 144
[Device-Ten-GigabitEthernet1/0/49] quit
[Device] interface Ten-GigabitEthernet 1/0/51
[Device-Ten-GigabitEthernet1/0/51] port access vlan 145
[Device-Ten-GigabitEthernet1/0/51] quit
配置与16.3.1 1. SSH登录方式基本相同,只需在设备上额外加以下配置即可。
# 开启Telnet服务器功能。
[Device] telnet server enable
配置与16.3.1 1. SSH登录方式基本相同,只需在设备上额外加以下配置即可。
[Device] line aux 0
[Device-line-aux0] authentication-mode scheme
[Device-line-aux0] quit
服务器上的配置请参考6.3.2 配置ClearPass。
只需将“配置文件”的“属性”参考图176修改即可。
需要注意的是:这里的“user role”必须与设备上对应,在设备系统视图使用display role命令行来查看支持的角色。(本例中配置为network-admin)
(1) 用户使用Putty软件,打开安装好的Putty软件。参考图132、图133,根据以下步骤登录。
a. 点击“Session”
b. “Connection type” 选择为“SSH”(若为Telnet则选择“Telnet”)
c. 输入IP address,此IP为设备上与客户端互通的IP(该组网中IP为101.0.145.19)
d. “Port”使用默认的“22” (若为Telnet则使用“23”)
e. 点击“Open”。
图177 Putty界面SSH登录
图178 Putty界面Telnet登录
(2) 用户上线后服务器显示如图179。
(3) 用户上线后客户端显示
输入服务器上创建的用户名“user”和密码“123456”,回车后即可登录。
(1) 用户使用使用Console口登录设备,上线后服务器显示如图180。
(2) 用户上线后客户端显示
输入服务器上创建的用户名“user”和密码“123456”,回车后即可登录。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
