• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

09-安全配置举例

目录

01-802.1X典型配置举例

本章节下载 01-802.1X典型配置举例  (856.79 KB)

01-802.1X典型配置举例


1 简介

本文档介绍了使用802.1X功能实现用户安全接入的典型配置案例。

2 配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解802.1X特性。

3 802.1X用户本地认证典型配置举例

3.1  组网需求

图3-1所示,用户通过Device的端口Ten-GigabitEthernet3/0/1接入网络。要求:Device对从该端口接入的用户采用基于端口的接入控制方式进行802.1X本地认证以控制其访问Internet。

图3-1 802.1X本地认证配置组网图

 

3.2  配置思路

为了使设备能够识别合法的用户,在设备上添加合法的802.1X认证用户名和密码。

3.3  适用产品及版本

表3-1 适用产品及版本

产品

软件版本

S12500G-AF

Release 8053P05及以上版本

S12500CR

Release 8053P05及以上版本

S10500X-G

Release 7753P05及以上版本

S7500X-G

Release 7753P05及以上版本

S7000X

Release 7753P05及以上版本

 

3.4  配置注意事项

·     使能全局的802.1X认证功能一般放在最后,因为当相关参数未配置完成时,会造成合法用户无法访问网络。

·     只有同时开启全局和端口的802.1X特性后,802.1X的配置才能在端口上生效。

3.5  配置步骤

3.5.1  配置Device

(1)     配置本地用户

# 添加网络接入类本地用户,用户名为“dot1x”,并进入该用户视图。

<Device> system-view

[Device] local-user dot1x class network

New local user added.

# 配置用户“dot1x”的密码为明文123456TESTplat&!。

[Device-luser-network-dot1x] password simple 123456TESTplat&!

# 配置本地用户的服务类型为lan-access

[Device-luser-network-dot1x] service-type lan-access

[Device-luser-network-dot1x] quit

(2)     配置虚接口地址,作为Host的网关

[Device] interface vlan-interface 1

[Device-Vlan-interface1] ip address 192.168.56.101 255.255.255.0

[Device-Vlan-interface1] quit

(3)     配置802.1X认证

# 开启端口Ten-GigabitEthernet3/0/1的802.1X认证。

[Device] interface ten-gigabitethernet3/0/1

[Device-Ten-GigabitEthernet3/0/1] dot1x

# 配置基于端口的接入控制方式

[Device-Ten-GigabitEthernet3/0/1] dot1x port-method portbased

[Device-Ten-GigabitEthernet3/0/1] quit

# 开启全局802.1X认证。

[Device] dot1x

3.5.2  配置802.1X客户端

说明

·     以下使用iNode PC 7.3(E0518)版本为例介绍802.1X客户端的配置。

·     若使用Windows XP的802.1X客户端,则需要正确设置此连接的网络属性:在网络属性的“验证”页签中,确保选中“启用此网络的 IEEE 802.1x 验证”,并选择要用于此连接的EAP认证类型为“MD5-质询”。

·     保证用户在通过认证后,能够及时更新客户端IP地址与授权VLAN中的资源互通。

 

(1)     启动客户端

图3-2 iNode客户端界面示意图

 

(2)     新建802.1X连接

点击<新建>按钮,进入新建连接向导对话框。

图3-3 新建802.1X连接示意图

 

(3)     输入用户名和密码

图3-4 802.1X用户名、密码配置示意图

(4)     设置连接属性

图3-5 802.1X连接属性配置示意图

 

说明

由于本地认证不能对客户端上传的版本号进行识别,请不要勾选“上传客户端版本号”选项。

 

(5)     发起802.1X连接

完成新建连接后,点击iNode客户端的<连接>按钮,发起802.1X连接。

图3-6 802.1X启动连接示意图

 

3.6  验证配置

# 使用命令display dot1x interface可以查看端口Ten-GigabitEthernet3/0/1上的802.1X的配置情况。

[Device] display dot1x interface ten-gigabitethernet 3/0/1

 Global 802.1X parameters:

   802.1X authentication                : Enabled

   CHAP authentication                  : Enabled

   Max-tx period                        : 30 s

   Handshake period                     : 15 s

   Offline detect period                : 300 s

   Quiet timer                          : Disabled

       Quiet period                     : 60 s

   Supp timeout                         : 30 s

   Server timeout                       : 100 s

   Reauth period                        : 3600 s

   Max auth requests                    : 2

   User aging period for Auth-Fail VLAN : 1000 s

   User aging period for Auth-Fail VSI  : 1000 s

   User aging period for critical VLAN  : 1000 s

   User aging period for critical VSI   : 1000 s

   User aging period for guest VLAN     : 1000 s

   User aging period for guest VSI      : 1000 s

   EAD assistant function               : Disabled

       EAD timeout                      : 30 min

   Domain delimiter                     : @

 Online 802.1X wired users              : 0

 Ten-GigabitEthernet3/0/1  is link-up

   802.1X authentication            : Enabled

   Handshake                        : Enabled

   Handshake reply                  : Disabled

   Handshake security               : Disabled

   Offline detection                : Disabled

   Unicast trigger                  : Disabled

   Periodic reauth                  : Disabled

   Port role                        : Authenticator

   Authorization mode               : Auto

   Port access control              : Port-based

   Multicast trigger                : Enabled

   Mandatory auth domain            : Not configured

   Guest VLAN                       : Not configured

   Auth-Fail VLAN                   : Not configured

   Critical VLAN                    : Not configured

   Critical voice VLAN              : Disabled

   Add Guest VLAN delay             : Disabled

   Re-auth server-unreachable       : Logoff

   Max online users                 : 4294967295

   User IP freezing                 : Disabled

   Reauth period                    : 0 s

   Send Packets Without Tag         : Disabled

   Max Attempts Fail Number         : 0

   Guest VSI                        : Not configured

   Auth-Fail VSI                    : Not configured

   Critical VSI                     : Not configured

   Add Guest VSI delay              : Disabled

   User aging                       : Enabled

   Server-recovery online-user-sync : Disabled

   Auth-Fail EAPOL                  : Disabled

   Critical EAPOL                   : Disabled

   Discard duplicate EAPOL-Start    : No

 

   EAPOL packets: Tx 0, Rx 0

   Sent EAP Request/Identity packets : 0

        EAP Request/Challenge packets: 0

        EAP Success packets: 0

        EAP Failure packets: 0

   Received EAPOL Start packets : 0

            EAPOL LogOff packets: 0

            EAP Response/Identity packets : 0

            EAP Response/Challenge packets: 0

            Error packets: 0

   Online 802.1X users: 0

# iNode客户端输入正确的用户名和密码成功上线后,可使用命令display dot1x connection查看到上线用户的连接情况。

3.7  配置文件

#

interface Vlan-interface1

ip address 192.168.56.101 255.255.255.0

#

local-user localuser class network

password cipher $c$3$YPkufRcxFR3KdpUCHFiNkns/YFPmbJkG/pQxBg==

service-type lan-access

authorization-attribute user-role network-operator

#

interface Ten-GigabitEthernet3/0/1

dot1x

dot1x port-method portbased

#

dot1x

#

4 802.1X用户认证典型配置举例(设备作为RADIUS服务器)

4.1  组网需求

图4-1所示,Device B作为RADIUS服务器对通过Device A接入的802.1X用户进行认证和授权。具体要求如下:

·     Device B作为RADIUS服务器,其IP地址为10.1.1.1/24,负责接收NAS发送的认证、授权、请求并进行相应的处理。

·     Device A作为NAS,负责验证用户身份与管理用户接入。

·     802.1X用户通过Device A的端口Ten-GigabitEthernet3/0/1接入网络,用户认证成功后,认证服务器授权下发VLAN 4,将用户所在端口加入该VLAN,允许用户访问该VLAN中的网络资源。

图4-1 设备作为RADIUS服务器对802.1X用户进行认证和授权配置组网图

 

4.2  配置思路

·     为了使RADIUS服务器能够识别合法的用户,在RADIUS服务器上添加合法的802.1X认证用户名和密码。

·     为了使用户认证成功后,可以访问VLAN中的网络资源,在RADIUS服务器上配置授权下发VLAN 4。

·     为了在RADIUS服务器和Device之间安全地传输用户密码,并且能在NAS上验证服务器响应报文未被篡改,在RADIUS服务器和Device上设置交互报文时所使用的共享密钥expert。

·     为了实现通过RADIUS来进行认证和授权,需要在Device上配置RADIUS方案并指定相应的认证和授权服务器,并将其应用于802.1X认证用户所属的ISP域。

4.3  适用产品及版本

表4-1 适用产品及版本

产品

软件版本

S12500G-AF

Release 8053P05及以上版本

S12500CR

Release 8053P05及以上版本

S10500X-G

Release 7753P05及以上版本

S7500X-G

Release 7753P05及以上版本

S7000X

Release 7753P05及以上版本

 

4.4  配置注意事项

使能全局的802.1X认证功能一般放在最后,因为当相关参数未配置完成时,会造成合法用户无法访问网络。

只有同时开启全局和端口的802.1X特性后,802.1X的配置才能在端口上生效。

4.5  配置步骤

4.5.1  配置RADIUS服务器

说明

下面以H3C交换机作为RADIUS服务器,说明RADIUS server的基本配置。

 

(1)     配置RADIUS服务器

# 创建名为“dot1x”的网络接入本地用户,并进入该用户视图。

<DeviceB> system-view

[DeviceB] local-user dot1x class network

New local user added.

# 配置用户“dot1x”的密码为明文123456TESTplat&!。

[DeviceB-luser-network-dot1x] password simple 123456TESTplat&!

# 配置授权VLAN为VLAN 4。

[DeviceB-luser-network-dot1x] authorization-attribute vlan 4

[DeviceB-luser-network-dot1x] quit

# 配置RADIUS客户端的IP地址为10.1.1.2,共享密钥为明文expert。

[DeviceB] radius-server client ip 10.1.1.2 key simple expert

# 激活当前配置的RADIUS客户端和RADIUS用户。

[DeviceB] radius-server activate

4.5.2  配置Device

(1)     配置RADIUS方案

# 创建名称为rad的RADIUS方案并进入该方案视图。

<DeviceA> system-view

[DeviceA] radius scheme rad

New RADIUS scheme.

# 配置主认证服务器IP地址为10.1.1.1,认证报文的共享密钥为明文expert。

[DeviceA-radius-rad] primary authentication 10.1.1.1 key simple expert

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[DeviceA-radius-rad] user-name-format without-domain

[DeviceA-radius-rad] quit

(2)     配置ISP域

# 创建并进入名称为bbb的ISP域。

[DeviceA] domain bbb

# 为lan-access用户配置AAA认证方法为RADIUS认证/授权,且均使用RADIUS方案rad,并配置不计费。

[DeviceA-isp-bbb] authentication lan-access radius-scheme rad

[DeviceA-isp-bbb] authorization lan-access radius-scheme rad

[DeviceA-isp-bbb] accounting lan-access none

[DeviceA-isp-bbb] quit

(3)     配置802.1X认证

# 开启端口Ten-GigabitEthernet3/0/1的802.1X认证。

[DeviceA] interface ten-gigabitethernet3/0/1

[DeviceA-] dot1x

# 指定端口上接入的802.1X用户使用认证域bbb。

[DeviceA-Ten-GigabitEthernet3/0/1] dot1x mandatory-domain bbb

[DeviceA-] quit

# 开启全局802.1X认证。

[DeviceA] dot1x

4.5.3  配置802.1X客户端

说明

·     以下使用iNode PC 7.3(E0518)版本为例介绍802.1X客户端的配置。

·     若使用Windows XP的802.1X客户端,则需要正确设置此连接的网络属性:在网络属性的“验证”页签中,确保选中“启用此网络的 IEEE 802.1x 验证”,并选择要用于此连接的EAP认证类型为“MD5-质询”。

·     保证用户在通过认证后,能够及时更新客户端IP地址与授权VLAN中的资源互通。

 

(1)     启动客户端

图4-2 iNode客户端界面示意图

 

(2)     新建802.1X连接

点击<新建>按钮,进入新建连接向导对话框。

图4-3 新建802.1X连接示意图

 

(3)     输入用户名和密码

图4-4 802.1X用户名、密码配置示意图

 

需要注意:iNode认证连接的用户名,备用于认证的域,以及服务器的后缀三者密切相连,具体的配置关系参加下表。

表4-2 认证域配置关系表

iNode认证连接的用户名

设备用于认证的domian

设备配置的相关命令

iMC中的服务后缀

X@Y

Y

with-domain

Y

without-domain

X

Default domain

(设备上指定的缺省域)

with-domain

Default domain

without-domain

 

(4)     设置连接属性

图4-5 802.1X连接属性配置示意图

 

需要注意的是:用户选项中如果选择了“上传客户端版本号”则客户端会对标准的认证协议进行扩展,在上传用户名的报文中添加客户端版本号来与iMC服务器配合进行认证。如果不选此项,则采用标准的EAP报文进行身份认证。

(5)     发起802.1X连接

完成新建连接,输入正确的用户名和密码后,点击iNode客户端的<连接>按钮,发起802.1X连接。

图4-6 802.1X启动连接示意图

4.6  验证配置

# 在Device B上查看到所有处于激活状态的RADIUS客户端信息以及RADIUS用户信息。

[DeviceB] display radius-server active-client

Total 1 RADIUS clients.

Client IP: 10.1.1.2

[DeviceB] display radius-server active-user dot1x

Total 1 RADIUS users matched.

Username: dot1x

  Description: Not configured

  Authorization attributes:

    VLAN ID: 4

    ACL number: Not configured

  Validity period:

    Expiration time: Not configured

# 在Device A上查看上线用户的连接情况。

[DeviceA] display dot1x connection

Total connections: 1

Slot ID: 1

User MAC address: 0010-9400-0021

Access interface: Bridge-Aggregation1024

Username: wang

User access state: Successful

Authentication domain: imc

EAP packet identifier: 4

Authentication method: CHAP

Initial VLAN: 117

Authorization untagged VLAN: N/A

Authorization tagged VLAN list: N/A

Authorization VSI: vsi6

Authorization microsegment ID: 3501

Authorization ACL number/name: N/A

Authorization user profile: N/A

Authorization CAR: N/A

Authorization URL: N/A

Start accounting: Successful

Real-time accounting-update failures: 0

Termination action: Default

Session timeout period: 86400 s

Online from: 2013/01/20 07:58:10

Online duration: 0h 0m 40s

4.7  配置文件

<DeviceA>

#

 dot1x

#

radius scheme rad

 primary authentication 10.1.1.1 key cipher $c$3$l+xIXR7hboPo33+MkEf/01WsnVHhxZCeYg==

 user-name-format without-domain

#

 domain bbb

 authentication lan-access radius-scheme rad

 authorization lan-access radius-scheme rad

 accounting lan-access none

#

interface Ten-GigabitEthernet3/0/1

 port link-mode bridge

 dot1x

 dot1x mandatory-domain bbb

#

<DeviceB>

#

local-user dot1x class network

 password cipher $c$3$GuUyAQq0JHH6iBF38xsnB/tQEPTZhTAMIGLweOXr2uPbqJ0=

 authorization-attribute vlan 4

 authorization-attribute user-role network-operator

#

 radius-server client ip 10.1.1.2 key cipher $c$3$Po5RD6PcGZi+V6l6Nx7hpiLZNSMeOjbUzQ==

#

 radius-server activate

#

5 802.1X设备单播触发典型配置案例

5.1  组网需求

图5-1所示,802.1X用户通过其与Device的相连端口Ten-GigabitEthernet3/0/1接入网络。用户采用Windows XP自带的802.1X客户端软件进行认证。认证/授权服务器均采用iMC服务器。

图5-1 802.1X接入认证组网示意图

5.2  配置思路

·     为了保证Device可以使用RADIUS server认证用户,需要在RADIUS server上添加接入设备和接入用户,并配置接入规则和服务。

·     未了保证Device能够对接入用户进行认证和授权,需要在Device上完成AAA配置,包括配置ISP域,以及与RADIUS服务器交互的RADIUS方案。

·     为了提高网络的安全性,对于不能主动发送EAPOL-Start报文的客户端(例如Windows XP自带的802.1X客户端软件),且用户网络内不希望出现过多的认证触发报文。可通过配置802.1X设备单播触发功能来触发接入设备进行802.1X认证,以控制其访问Internet。802.1X用户的接入控制方式是基于MAC地址的接入控制方式,认证时,采用进行RADIUS认证/授权方式。

5.3  适用产品及版本

表5-1 适用产品及版本

产品

软件版本

S12500G-AF

Release 8053P05及以上版本

S12500CR

Release 8053P05及以上版本

S10500X-G

Release 7753P05及以上版本

S7500X-G

Release 7753P05及以上版本

S7000X

Release 7753P05及以上版本

 

5.4  配置注意事项

开启单播触发功能时,建议关闭组播触发功能,以免认证报文重复发送。

5.5  配置步骤

5.5.1  配置RADIUS服务器

说明

·     按照组网图配置设备各接口的IP地址,保证各主机、服务器和设备之间的路由可达。

·     下面以iMC PLAT 7.3(E0506)iMC EIA 7.3(E0503)iMC EIP 7.3(E0503)版本为例,说明RADIUS server的基本配置。

 

配置RADIUS服务器,添加接入设备与用户账户,并保证用户的认证/授权/计费功能正常运行。

1. 增加接入设备

登录进入iMC管理平台,选择“用户”页签,单击左侧导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项,进入“接入设备配置”页面;在该页面中单击“增加”按钮,进入“增加接入设备”页面。

·     设置认证端口和计费端口分别为“1812”和“1813”;

·     设置与Device交互报文时的共享密钥为“expert”,并确认该共享密钥;

·     选择接入设备类型为“H3C(General)”;

·     选择或手工增加接入设备,添加IP地址为10.1.1.2的接入设备。

·     其它参数采用缺省值,单击<确定>按钮完成操作。

图5-2 增加接入设备

 

 

2. 增加接入规则

选择“用户”页签,单击导航树中的“接入策略管理 > 接入策略管理”菜单项,进入“接入策略管理”页面,在该页面中单击“增加”按钮,进入“增加接入策略”页面。

·     输入接入规则名“default”;

·     其它参数采用缺省值;

·     点击<确定>按钮完成操作。

图5-3 增加接入规则

 

 

3. 增加服务

选择“用户”页签,单击导航树中的“接入策略管理 > 接入服务管理”菜单项,进入“接入服务管理”页面,在该页面中单击“增加”按钮,进入“增加接入服务”页面。

·     输入服务名“service1”,服务后缀“test”;

·     缺省接入规则选择“default”;

·     其它参数采用缺省值;

·     点击<确定>按钮。

图5-4 增加服务配置

 

 

4. 增加接入用户

选择“用户”页签,单击导航树中的“接入用户管理 > 接入用户”菜单项,进入“接入用户”列表页面,在该页面中单击<增加>按钮,进入“增加接入用户”页面。

·     单击<增加用户>按钮,添加用户信息;

·     输入帐号名“guest”(该帐号为用户接入网络时使用的标识),密码“123456TESTplat&!”;

·     在接入服务部分选中“service1”;

·     其它参数采用缺省值;

·     点击<确定>按钮。

图5-5 增加接入用户

 

 

5.5.2  配置Device

# 创建VLAN和VLAN接口,并配置各接口的IP地址(略)。

# 创建RADIUS方案radius1并进入其视图。

<Device> system-view

[Device] radius scheme radius1

# 设置主认证/授权RADIUS服务器的IP地址。

[Device-radius-radius1] primary authentication 10.1.1.1

# 设置系统与认证RADIUS服务器交互报文时的共享密钥。

[Device-radius-radius1] key authentication simple aabbcc

# 创建域test并进入其视图。

[Device] domain test

# 指定radius1为该域用户的RADIUS方案。

[Device-isp-test] authentication lan-access radius-scheme radius1

[Device-isp-test] authorization lan-access radius-scheme radius1

[Device-isp-test] quit

# 配置域test为缺省用户域。

[Device] domain default enable test

# 关闭端口Ten-GigabitEthernet3/0/1的802.1X的组播触发功能。

[Device] interface ten-gigabitEthernet 3/0/1

[Device-Ten-GigabitEthernet3/0/1] undo dot1x multicast-trigger

# 开启端口Ten-GigabitEthernet3/0/1的802.1X的单播触发功能。

[Device-Ten-GigabitEthernet3/0/1] dot1x unicast-trigger

# 开启端口Ten-GigabitEthernet3/0/1的802.1X功能。

[Device-Ten-GigabitEthernet3/0/1] dot1x

[Device-Ten-GigabitEthernet3/0/1] quit

# 开启全局802.1 X功能。

[Device] dot1x

5.5.3  配置802.1X客户端

接入用户以Windows XP 自带客户端为例,如图5-6所示,启动802.1X认证功能。

图5-6 启动Windows XP的802.1X认证功能

 

5.6  验证配置

启动802.1X验证功能以后,如果用户需要访问Internet,接入设备的端口Ten-GigabitEthernet3/0/1会收到源MAC地址不在设备当前的MAC地址表中的数据帧,该端口将发送EAP单播报文来触发802.1X认证。因此,Host的状态栏会收到提示信息“单击此处输入您的网络用户名和密码”,用户输入正确的用户名“guest@test”和密码“123456TESTplat&!”,即可正常访问Internet。

5.7  配置文件

说明

部分设备不支持port link-mode bridge命令。

 

#

 domain default enable test

#

 dot1x

#

radius scheme radius1

 primary authentication 10.1.1.1

 key authentication cipher $c$3$LAV0oGNaM9Z/CuVcWONBH4xezu48Agh5aQ==

#

domain test

 authentication default radius-scheme radius1

 authorization default radius-scheme radius1

#

interface Ten-GigabitEthernet3/0/1

 port link-mode bridge

 undo dot1x multicast-trigger

 dot1x

 dot1x unicast-trigger

#

6 802.1X支持Guest VLAN、授权VLAN下发配置举例

6.1  组网需求

图6-1所示,一台主机通过802.1X认证接入网络,认证服务器为RADIUS服务器。Host接入Device的端口Ten-GigabitEthernet3/0/2在VLAN 1内;认证服务器在VLAN 2内;Update Server是用于客户端软件下载和升级的服务器,在VLAN 10内;Device连接Internet网络的端口Ten-GigabitEthernet3/0/3在VLAN 5内。现有如下组网需求:

·     在端口上配置完Guest VLAN,则立即将该端口Ten-GigabitEthernet3/0/2加入Guest VLAN(VLAN 10)中,此时Host和Update Server都在VLAN 10内,Host可以访问Update Server并下载802.1X客户端。

·     配置QoS策略,在VLAN 10的出方向上过滤掉目的IP为Internet(5.1.1.1)的报文,以防止加入Guest VLAN的客户端未通过认证私自访问Internet。

·     用户认证成功上线后,认证服务器下发VLAN 5,此时Host和连接Internet网络的端口Ten-GigabitEthernet3/0/3都在VLAN 5内,Host可以访问Internet。

图6-1 Guest VLAN及VLAN下发组网图

 

6.2  配置思路

·     为实现802.1X用户可以访问Update Server进行软件升级等操作,需配置Host接入Device的端口加入Guest VLAN(VLAN 10)。

·     为防止加入Guest VLAN的客户端未通过认证就私自访问Internet,在Guest VLAN的出接口上配置QoS策略,过滤掉目的IP为Internet(5.1.1.1)的报文。

·     为实现802.1X用户认证成功后可以访问Internet,需配置认证服务器对于认证成功用户下发VLAN 5,此时Host和连接Internet网络的端口在同一VLAN(VLAN 5)内。

6.3  适用产品及版本

表6-1 适用产品及版本

产品

软件版本

S12500G-AF

Release 8053P05及以上版本

S12500CR

Release 8053P05及以上版本

S10500X-G

Release 7753P05及以上版本

S7500X-G

Release 7753P05及以上版本

S7000X

Release 7753P05及以上版本

 

6.4  配置注意事项

·     在接入控制方式为MAC-based的端口上生成的Guest VLAN表项会覆盖已生成的阻塞MAC表项,但如果端口因检测到非法报文而关闭,则802.1X Guest VLAN功能无法生效。

·     如果用户端设备发出的是携带Tag的数据流,且接入端口上使能了802.1X认证并配置了Guest VLAN,为保证各种功能的正常使用,请为Voice VLAN、端口的缺省VLAN和802.1X的Guest VLAN分配不同的VLAN ID。

·     如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的Guest VLAN;同样,如果某个VLAN被指定为某个端口的Guest VLAN,则该VLAN不能被指定为Super VLAN。

6.5  配置步骤

说明

下述配置步骤中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍请参考“安全命令参考”中的“AAA”。

 

6.5.1  配置RADIUS服务器

说明

下面以iMC为例(使用iMC版本为:iMC PLAT 7.3(E0506)iMC EIA 7.3(E0503)iMC EIP 7.3(E0503)),说明RADIUS服务器的基本配置。

 

配置RADIUS服务器,添加用户账户,指定要授权下发的VLAN(本例中为VLAN 5),并保证用户的认证/授权/计费功能正常运行。

1. 增加接入设备

登录进入iMC管理平台,选择“用户”页签,单击导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项,进入接入设备配置页面。在该页面中单击“增加”按钮,进入增加接入设备页面。

·     设置认证及计费的端口号分别为“1812”和“1813”;

·     选择接入设备类型为“H3C (General)”;

·     设置与Switch交互报文时的认证、计费共享密钥为“expert”;

·     选择或手工增加接入设备,添加IP地址为10.1.1.2的接入设备;

·     其它参数采用缺省值;

·     单击<确定>按钮完成操作。

说明

添加的接入设备IP地址要与Switch发送RADIUS报文的源地址保持一致。缺省情况下,设备发送RADIUS报文的源地址是发送RADIUS报文的接口IP地址。若设备上通过命令nas-ip或者radius nas-ip指定了发送RADIUS报文的源地址,则此处的接入设备IP地址就需要修改并与指定源地址保持一致。

 

图6-2 增加接入设备页面

 

2. 增加接入策略

选择“用户”页签,单击导航树中的“接入策略管理 > 接入策略管理”菜单项,进入接入策略管理页面。在该页面中单击<增加>按钮,进入增加接入策略页面。

·     输入接入策略名称“Dot1x auth”;

·     配置授权下发的VLAN ID为“5”;

·     本配置页面中还有其它策略配置选项,请根据实际情况选择配置;

·     单击<确定>按钮完成操作。

图6-3 增加接入策略页面

 

3. 增加接入服务

选择“用户”页签,单击导航树中的“接入策略管理 > 接入服务管理”菜单项,进入接入服务管理页面。在该页面中单击<增加>按钮,进入增加服务配置页面。

·     输入服务名为“Dot1x Service”、服务后缀为“bbb”,此服务后缀为802.1X用户使用的认证域。指定服务后缀的情况下,RADIUS方案中必须指定向服务器发送的用户名中携带域名;

·     选择缺省接入策略为“Dot1x auth”;

·     本配置页面中还有其它服务配置选项,请根据实际情况选择配置;

·     单击<确定>按钮完成操作。

图6-4 增加服务配置页面

 

4. 增加接入用户

选择“用户”页签,单击导航树中的“接入用户管理 > 接入用户”菜单项,进入接入用户页面。在该页面中单击<增加>按钮,进入增加接入用户页面。

·     选择或者手工增加用户姓名为“test”;

·     输入账号名“dot1x”和密码“123456TESTplat&!”;

·     选择该用户所关联的接入服务为“Dot1x Service”;

·     本配置页面中还有其它服务配置选项,请根据实际情况选择配置;

·     单击<确定>按钮完成操作。

图6-5 增加接入用户页面

 

6.5.2  配置Device

(1)     创建VLAN并将端口加入对应VLAN(端口Ten-GigabitEthernet3/0/2缺省在VLAN 1内)

<Device> system-view

[Device] vlan 10

[Device-vlan10] port ten-gigabitethernet 3/0/1

[Device-vlan10] quit

[Device] vlan 2

[Device-vlan2] port ten-gigabitethernet 3/0/4

[Device-vlan2] quit

[Device] vlan 5

[Device-vlan5] port ten-gigabitethernet 3/0/3

[Device-vlan5] quit

(2)     配置QoS策略

# 定义高级ACL 3000,过滤目的IP地址为5.1.1.1的报文。

[Device] acl advanced 3000

[Device-acl-ipv4-adv-3000] rule permit ip destination 5.1.1.1 0.0.0.255

[Device-acl-ipv4-adv-3000] quit

# 定义类classifier_1,匹配高级ACL 3000。

[Device] traffic classifier classifier_1

[Device-classifier-classifier_1] if-match acl 3000

[Device-classifier-classifier_1] quit

# 定义流行为behavior_1,动作为流量过滤(deny),对数据包进行丢弃。

[Device] traffic behavior behavior_1

[Device-behavior-behavior_1] filter deny

[Device-behavior-behavior_1] quit

# 定义策略policy_1,为类classifier_1指定流行为behavior_1。

[Device] qos policy policy_1

[Device-qospolicy-policy_1] classifier classifier_1 behavior behavior_1

[Device-qospolicy-policy_1] quit

# 在VLAN 10的出方向应用策略policy_1。

[Device] qos vlan-policy policy_1 vlan 10 outbound

(3)     配置RADIUS方案

# 创建RADIUS方案2000并进入其视图。

[Device] radius scheme 2000

# 配置主认证/计费RADIUS服务器及其共享密钥。

[Device-radius-2000] primary authentication 10.1.1.1 1812

[Device-radius-2000] primary accounting 10.1.1.1 1813

[Device-radius-2000] key authentication simple abc

[Device-radius-2000] key accounting simple abc

# 配置发送给RADIUS服务器的用户名不携带域名。

[Device-radius-2000] user-name-format with-domain

[Device-radius-2000] quit

(4)     配置ISP域

# 创建域bbb并进入其视图。

[Device] domain bbb

# 配置802.1X用户使用RADIUS方案2000进行认证、授权、计费。

[Device-isp-bbb] authentication lan-access radius-scheme 2000

[Device-isp-bbb] authorization lan-access radius-scheme 2000

[Device-isp-bbb] accounting lan-access radius-scheme 2000

[Device-isp-bbb] quit

(5)     配置802.1X

# 开启端口Ten-GigabitEthernet3/0/2的802.1X。

[Device] interface ten-gigabitethernet 3/0/2

[Device-Ten-GigabitEthernet3/0/2] dot1x

# 配置端口的802.1X接入控制的方式为Port-based

[Device-Ten-GigabitEthernet3/0/2] dot1x port-method portbased

# 配置端口的802.1X授权状态为auto。(此配置可选,端口的授权状态缺省为auto

[Device-Ten-GigabitEthernet3/0/2] dot1x port-control auto

# 配置端口的 802.1X Guest VLAN为VLAN10。

[Device-Ten-GigabitEthernet3/0/2] dot1x guest-vlan 10

[Device-Ten-GigabitEthernet3/0/2] quit

# 开启全局802.1X。

[Device] dot1x

(6)     配置802.1X客户端,并保证接入端口加入Guest VLAN或授权VLAN之后,802.1X客户端能够及时更新IP地址,以实现与相应网络资源的互通(略)

6.6  验证配置

可以通过命令display dot1x interface查看端口Ten-GigabitEthernet3/0/2上Guest VLAN的配置情况。

在端口上配置完Guest VLAN,则该端口会被立即加入其所属的Guest VLAN,通过命令display vlan 10可以查看到端口Ten-GigabitEthernet3/0/2加入了配置的Guest VLAN(VLAN 10)。

在用户认证成功之后,通过命令display interface可以看到用户接入的端口Ten-GigabitEthernet3/0/2加入了认证服务器下发的VLAN 5中。

6.7  配置文件

#

 vlan 2

#

 vlan 5

#

 vlan 10

#

acl advanced 3000

 rule 0 permit ip destination 5.1.1.0 0.0.0.255

#

traffic classifier classifier_1 operator and

 if-match acl 3000

#

traffic behavior behavior_1

 filter deny

#

qos policy policy_1

 classifier classifier_1 behavior behavior_1

#

 qos vlan-policy policy_1 vlan 10 outbound

#

radius scheme 2000

 primary authentication 10.1.1.1

 primary accounting 10.1.1.1

 key authentication cipher $c$3$LAV0oGNaM9Z/CuVcWONBH4xezu48Agh5aQ==

 key accounting cipher $c$3$LAV0oGNaM9Z/CuVcWONBH4xezu48Agh5aQ==

 user-name-format with-domain

#

domain bbb

 authentication lan-access radius-scheme 2000

 authorization lan-access radius-scheme 2000

 accounting lan-access radius-scheme 2000

#

interface Ten-GigabitEthernet3/0/1

 port access vlan 10

#

interface Ten-GigabitEthernet3/0/2

 dot1x

 dot1x port-method portbased

 dot1x guest-vlan 10

#

interface Ten-GigabitEthernet3/0/3

 port access vlan 5

#

interface Ten-GigabitEthernet3/0/4

 port access vlan 2

#

 dot1x

#

 

7 802.1X支持ACL下发配置举例

7.1  组网需求

用户通过Device的端口Ten-GigabitEthernet3/0/1接入网络,Device对该端口接入的用户进行802.1X认证以控制其访问Internet,具体要求如下:

·     使用RADIUS服务器10.1.1.1/24作为认证/授权服务器,RADIUS服务器10.1.1.2/24作为计费服务器;

·     通过认证服务器下发ACL,禁止上线的802.1X用户在工作日的工作时间(8:00~18:00)访问IP地址为10.0.0.1/24的FTP服务器。

图7-1 802.1X支持ACL下发典型组网图

 

7.2  配置思路

·     为了保证Device可以使用RADIUS server认证用户,需要在RADIUS server上添加接入设备和接入用户,并配置接入规则和服务。

·     未了保证Device能够对接入用户进行认证和授权,需要在Device上完成AAA配置,包括配置ISP域,以及与RADIUS服务器交互的RADIUS方案。

·     为了实现通过下发ACL来控制用户的访问权限,需要在RADIUS server和Device上配置相应的ACL规则。

7.3  适用产品及版本

表7-1 适用产品及版本

产品

软件版本

S12500G-AF

Release 8053P05及以上版本

S12500CR

Release 8053P05及以上版本

S10500X-G

Release 7753P05及以上版本

S7500X-G

Release 7753P05及以上版本

S7000X

Release 7753P05及以上版本

 

7.4  配置注意事项

·     在微分段组网中,若服务器为802.1X用户同时下发了ACL和微分段,则授权的ACL不生效,授权微分段生效。

·     授权ACL除了需要在服务器上配置,还需要在设备上配置相应的ACL规则。

·     管理员可以通过改变服务器的授权ACL设置或设备上对应的ACL规则来改变用户的访问权限。

7.5  配置步骤

说明

下述配置步骤中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍请参考“安全命令参考”中的“AAA”。

 

7.5.1  配置RADIUS服务器

说明

下面以iMC为例(使用iMC版本为:iMC PLAT 7.3(E0506)iMC EIA 7.3(E0503)iMC EIP 7.3(E0503)),说明RADIUS服务器的基本配置。

 

配置RADIUS服务器,添加用户账户,指定要授权下发的ACL(本例中为ACL 3000),并保证用户的认证/授权/计费功能正常运行。

1. 增加接入设备

登录进入iMC管理平台,选择“用户”页签,单击导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项,进入接入设备配置页面。在该页面中单击“增加”按钮,进入增加接入设备页面。

·     设置认证及计费的端口号分别为“1812”和“1813”;

·     选择接入设备类型为“H3C (General)”;

·     设置与Device交互报文时的认证、计费共享密钥为“expert”;

·     选择或手工增加接入设备,添加IP地址为192.168.1.1的接入设备;

·     其它参数采用缺省值;

·     单击<确定>按钮完成操作。

说明

添加的接入设备IP地址要与Switch发送RADIUS报文的源地址保持一致。缺省情况下,设备发送RADIUS报文的源地址是发送RADIUS报文的接口IP地址。若设备上通过命令nas-ip或者radius nas-ip指定了发送RADIUS报文的源地址,则此处的接入设备IP地址就需要修改并与指定源地址保持一致。

 

图7-2 增加接入设备页面

 

 

2. 增加接入策略

选择“用户”页签,单击导航树中的“接入策略管理 > 接入策略管理”菜单项,进入接入策略管理页面。在该页面中单击<增加>按钮,进入增加接入策略页面。

·     输入接入策略名称“Dot1x auth”;

·     配置授权信息勾选“下发ACL”,并手工输入ACL编号“3000”;

·     本配置页面中还有其它策略配置选项,请根据实际情况选择配置;

·     单击<确定>按钮完成操作。

图7-3 增加接入策略页面

 

 

3. 增加接入服务

选择“用户”页签,单击导航树中的“接入策略管理 > 接入服务管理”菜单项,进入接入服务管理页面。在该页面中单击<增加>按钮,进入增加服务配置页面。

·     输入服务名为“Dot1x Service”、服务后缀为“bbb”,此服务后缀为802.1X用户使用的认证域。指定服务后缀的情况下,RADIUS方案中必须指定向服务器发送的用户名中携带域名;

·     选择缺省接入策略为“Dot1x auth”;

·     本配置页面中还有其它服务配置选项,请根据实际情况选择配置;

·     单击<确定>按钮完成操作。

图7-4 增加服务配置页面

 

4. 增加接入用户

选择“用户”页签,单击导航树中的“接入用户管理 > 接入用户”菜单项,进入接入用户在该页面中单击<增加>按钮,进入增加接入用户页面。

·     选择或者手工增加用户姓名为“test”;

·     输入账号名“dot1x”和密码“123456TESTplat&!”;

·     选择该用户所关联的接入服务为“Dot1x Service”;

·     本配置页面中还有其它服务配置选项,请根据实际情况选择配置;

·     单击<确定>按钮完成操作。

图7-5 增加接入用户页面

 

7.5.2  配置Device

(1)     配置各接口的IP地址(略)

(2)     配置RADIUS方案

<Device> system-view

[Device] radius scheme 2000

[Device-radius-2000] primary authentication 10.1.1.1 1812

[Device-radius-2000] primary accounting 10.1.1.2 1813

[Device-radius-2000] key authentication simple abc

[Device-radius-2000] key accounting simple abc

[Device-radius-2000] user-name-format with-domain

[Device-radius-2000] quit

(3)     配置ISP域的AAA方法

[Device] domain bbb

[Device-isp-bbb] authentication lan-access radius-scheme 2000

[Device-isp-bbb] authorization lan-access radius-scheme 2000

[Device-isp-bbb] accounting lan-access radius-scheme 2000

[Device-isp-bbb] quit

(4)     配置名为ftp的时间段,其时间范围为每周工作日的8点到18点

[Device] time-range ftp 8:00 to 18:00 working-day

(5)     配置ACL 3000,拒绝用户在工作日的工作时间内访问FTP服务器10.0.0.1的报文通过

[Device] acl advanced 3000

[Device-acl-ipv4-adv-3000] rule 0 deny ip destination 10.0.0.1 0 time-range ftp

[Device-acl-ipv4-adv-3000] quit

(6)     配置802.1X

# 开启全局802.1X。

[Device] dot1x

# 开启端口Ten-GigabitEthernet3/0/1的802.1X。

[Device] interface ten-gigabitethernet 3/0/1

[Device-Ten-GigabitEthernet3/0/1] dot1x

(7)     配置802.1X客户端,并保证接入端口加入Guest VLAN或授权VLAN之后客户端能够及时更新IP地址,以实现与相应网络资源的互通(略)

7.6  验证配置

当用户认证成功上线后,在工作日的工作时间Ping FTP服务器。

C:\>ping 10.0.0.1

 

Pinging 10.0.0.1 with 32 bytes of data:

 

Request timed out.

Request timed out.

Request timed out.

Request timed out.

 

Ping statistics for 10.0.0.1:

    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

由以上过程可知,用户无法ping通FTP服务器,说明认证服务器下发的ACL已对该用户生效。

7.7  配置文件

#

 time-range ftp 8:00 to 18:00 working-day

#

radius scheme 2000

 primary authentication 10.1.1.1

 primary accounting 10.1.1.2

 key authentication cipher  $c$3$LAV0oGNaM9Z/CuVcWONBH4xezu48Agh5aQ==

 key accounting cipher $c$3 $LAV0oGNaM9Z/CuVcWONBH4xezu48Agh5aQ==

 user-name-format with-domain

#

domain bbb

 authentication lan-access radius-scheme 2000

 authorization lan-access radius-scheme 2000

 accounting lan-access radius-scheme 2000

#

acl advanced 3000

 rule 0 deny ip destination 10.0.0.1 0 time-range ftp

#

interface Ten-GigabitEthernet3/0/1

 port link-mode bridge

 dot1x

#

 dot1x

#

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们