06-Triple认证配置
本章节下载: 06-Triple认证配置 (306.40 KB)
Triple认证是一种混合认证方案,它允许在接入用户的二层端口上同时开启Web认证、MAC地址认证和802.1X认证功能,使得选用其中任意一种方式进行认证的终端均可通过该端口接入网络。
关于802.1X、MAC地址认证、Web认证的详细介绍请分别参见“安全配置指导”中的“802.1X”、“MAC地址认证”和“Web认证”。
在终端形式多样的网络环境中,不同终端支持的接入认证方式有所不同。如图1-1所示,有的终端只能进行MAC地址认证(比如打印机终端);有的终端安装了802.1X客户端软件,可以进行802.1X认证;有的终端只希望通过Web访问进行认证。为了灵活地适应这种网络环境中的多种认证需求,需要在接入用户的端口上部署Triple认证,使得用户可以选择任何一种适合的认证机制来进行认证,且只需要成功通过一种方式的认证即可实现接入,无需通过多种认证。
图1-1 Triple认证典型应用组网图
当端口上同时开启了802.1X认证、MAC地址认证和Web认证功能后,不同类型的终端报文可触发不同的认证过程:
· 终端网卡接入网络时,如果发送ARP报文或者DHCP报文(广播报文),则首先触发MAC地址认证。若MAC地址认证成功,则不需要再进行其它认证;若MAC地址认证失败,则允许触发802.1X或者Web认证。
· 如果终端使用系统自带的802.1X客户端或者第三方客户端软件发送EAP报文,或者在设备开启单播触发功能的情况下终端发送任意报文,则触发802.1X认证。
· 如果终端发送HTTP报文,则触发Web认证。
端口允许多种认证过程同时进行,且某一种认证失败不会影响同时进行的其它认证过程。一旦终端通过某一种认证,其它认证过程的进行情况有所不同:
· 如果终端首先通过MAC地址认证, Web认证会立即终止,但802.1X认证仍会继续进行。如果802.1X认证成功,则端口上生成的802.1X认证用户信息会覆盖已存在的MAC地址认证用户信息。否则,用户依然保持MAC地址认证在线,且允许再次触发802.1X认证,但不能再次触发Web认证。
· 如果终端首先通过802.1X认证或者Web认证,则端口上其他认证会立即终止,且不能被再次触发。
服务器向通过认证的用户所在的端口下发授权VLAN,端口将用户加入对应的授权VLAN中。
用户认证失败后,端口将认证失败的用户加入已配置的认证失败的VLAN中:
· 对于802.1X认证用户,认证失败的VLAN为端口上配置的802.1X Auth-Fail VLAN。
· 对于Web认证用户,认证失败的VLAN为端口上配置的Web Auth-Fail VLAN。
· 对于MAC地址认证用户,认证失败的VLAN为端口上配置的Guest VLAN。
如果MAC地址认证失败的用户再进行802.1X认证且认证失败,用户会立刻离开已加入的MAC地址认证的Guest VLAN,而加入端口上配置的802.1X Auth-Fail VLAN。
用户在认证过程中若因服务器不可达导致认证失败,则端口将用户加入已配置的服务器不可达VLAN中:
· 对于802.1X认证用户,服务器不可达VLAN为端口上配置的802.1X Critical VLAN。
· 对于Web认证用户,服务器不可达VLAN为端口上配置的Web Auth-Fail VLAN。
· 对于MAC地址认证用户,服务器不可达VLAN为端口上配置的Critical VLAN。
端口支持同时配置多种服务器不可达VLAN,用户因服务器不可达导致认证失败后加入各VLAN的情况如下:
· 若用户没有进行802.1X认证,则用户加入最后一次认证失败的服务器不可达VLAN。
· 如果Web认证或MAC地址认证失败的用户再进行802.1X认证且认证失败,用户会立刻离开已加入的Web Auth-Fail VLAN或MAC地址认证的Critical VLAN而加入端口上配置的802.1X Critical VLAN。
设备能够根据服务器下发的授权ACL对通过认证的用户所在端口的数据流进行控制;在服务器上配置授权ACL之前,需要在设备上配置相应的规则。管理员可以通过改变服务器的授权ACL设置或设备上对应的ACL规则来改变用户的访问权限。
对于不同的认证用户,其在线探测功能方式不同:
· 对于Web认证用户,通过开启用户在线检测定时器来探测用户是否在线。
· 对于802.1X认证用户,通过开启端口上的在线用户握手功能或者重认证功能来探测用户是否在线。
· 对于MAC地址认证用户,通过开启下线检测定时器,来探测用户是否在线。
关于各扩展功能的详细介绍请分别参见“安全配置指导”中的“Web认证”、“802.1X”、“MAC地址认证”。
· 802.1X认证必须配置为基于MAC的接入控制方式(macbased)。
· 如果端口最终加入到802.1X或MAC地址认证服务器不可达VLAN中,且设备上开启了Web认证,则需要将802.1X或MAC地址认证服务器不可达VLAN所在的网段设为Web认证的免认证IP。否则,用户将无法访问服务器不可达VLAN中的资源。
· 不要同时配置Web认证的免认证IP和802.1X的Free IP,否则会使免认证IP不可用。
· 802.1X认证的Guest VLAN、Auth-Fail VLAN、Critical VLAN以及MAC地址认证的Guest VLAN、Critical VLAN功能不建议与Web认证同时配置。
请根据实际组网环境至少选择以下一项进行配置。
· 配置802.1X认证
具体配置请参见“安全配置指导”的“802.1X”。
· 配置MAC地址认证
具体配置请参见“安全配置指导”的“MAC地址认证”。
· 配置Web认证
具体配置请参见“安全配置指导”的“Web认证”。
如果配置了以上三种认证方式,可通过port-security triple-auth-order mac-dot1x-web命令配置认证用户触发的认证顺序为MAC地址认证、802.1X认证和Web认证,有关port-security triple-auth-order mac-dot1x-web命令的详细介绍,请参见“安全命令参考”的“端口安全”。
如图1-2所示,用户通过接入设备Device接入网络,要求在Device的二层端口上对所有用户进行统一认证,且只要用户通过802.1X认证、Web认证、MAC地址认证中的任何一种认证,即可接入网络。具体需求如下:
· 终端上静态配置属于192.168.1.0/24网段的IP地址;
· 使用远程RADIUS服务器进行认证、授权和计费,且发送给RADIUS服务器的用户名不携带ISP域名;
· 本地Web认证服务器的监听IP地址为4.4.4.4,设备向Web认证用户推出系统默认的认证页面,并使用HTTP传输认证数据。
图1-2 Triple认证基本功能配置组网图
(1) 配置各主机、服务器和设备之间路由可达(略)
(2) 配置RADIUS服务器
保证用户的认证/授权/计费功能正常运行。本例中,RADIUS服务器上配置一个802.1X用户(账户名为userdot),一个Web认证用户(账户名为userpt),以及一个MAC地址认证用户(账户名、密码均为Printer的MAC地址f07d6870725f)。
(3) 配置Web认证
# 配置端口属于VLAN及对应VLAN接口的IP地址(略)。
# 配置本地Portal Web服务使用HTTP协议,且使用Portal Web服务器提供的缺省认证页面文件defaultfile.zip(设备的存储介质的根目录下必须已存在该认证页面文件,否则功能不生效)。
<Device> system-view
[Device] portal local-web-server http
[Device-portal-local-websvr-http] default-logon-page defaultfile.zip
[Device-portal-local-websvr-http] quit
# 配置LoopBack接口0的IP地址为4.4.4.4。
[Device] interface loopback 0
[Device-LoopBack0] ip address 4.4.4.4 32
[Device-LoopBack0] quit
# 创建名称为webserver的Web认证服务器,并进入其视图。
[Device] web-auth server webserver
# 配置Web认证服务器的重定向URL为http://4.4.4.4/portal/。
[Device-web-auth-server-webserver] url http://4.4.4.4/portal/
# 配置Web认证服务器的IP地址为4.4.4.4,端口号为80。
[Device-web-auth-server-webserver] ip 4.4.4.4 port 80
[Device-web-auth-server-webserver] quit
# 开启端口Ten-GigabitEthernet1/0/1上的Web认证,并指定引用的Web认证服务器为webserver。
[Device] interface ten-gigabitethernet 1/0/1
[Device–Ten-GigabitEthernet1/0/1] web-auth enable apply server webserver
[Device–Ten-GigabitEthernet1/0/1] quit
(4) 配置802.1X认证
# 开启全局802.1X认证。
[Device] dot1x
# 开启端口Ten-GigabitEthernet1/0/1上的802.1X认证(必须为基于MAC的接入控制方式)。
[Device] interface ten-gigabitethernet 1/0/1
[Device–Ten-GigabitEthernet1/0/1] dot1x port-method macbased
[Device–Ten-GigabitEthernet1/0/1] dot1x
[Device–Ten-GigabitEthernet1/0/1] quit
(5) 配置MAC地址认证
# 开启全局MAC地址认证。
[Device] mac-authentication
# 开启端口Ten-GigabitEthernet1/0/1上的MAC地址认证。
[Device] interface ten-gigabitethernet 1/0/1
[Device–Ten-GigabitEthernet1/0/1] mac-authentication
[Device–Ten-GigabitEthernet1/0/1] quit
(6) 配置RADIUS方案
# 创建并进入名字为rs1的RADIUS方案视图。
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 1.1.1.2
[Device-radius-rs1] primary accounting 1.1.1.2
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
(7) 配置认证域
# 创建并进入名字为triple的ISP域。
[Device] domain triple
# 配置lan-access用户使用RADIUS方案rs1进行认证、授权、计费。
[Device-isp-triple] authentication lan-access radius-scheme rs1
[Device-isp-triple] authorization lan-access radius-scheme rs1
[Device-isp-triple] accounting lan-access radius-scheme rs1
[Device-isp-triple] quit
# 配置系统缺省的ISP域为triple。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案。
[Device] domain default enable triple
# Web用户userpt通过Web浏览器访问外部网络,其Web请求均被重定向到认证页面http://4.4.4.4/portal/logon.html。用户根据网页提示输入正确的用户名和密码后,能够成功通过Web认证。通过display web-auth user命令查看已在线用户的信息。
[Device] display web-auth user
Total online web-auth users: 1
User Name: localuser
MAC address: acf1-df6c-f9ad
Access interface: Ten-GigabitEthernet1/0/1
Initial VLAN: 8
Authorization VLAN: N/A
Authorization ACL ID: N/A
Authorization user profile: N/A
# 打印机接入网络后,可成功通过MAC地址认证。通过display mac-authentication connection命令查看已在线用户的信息。
[Device] display mac-authentication connection
Total connections: 1
Slot ID: 1
User MAC address: f07d-6870-725f
Access interface: Ten-GigabitEthernet1/0/1
Username: f07d6870725f
User access state: Successful
Authentication domain: triple
Initial VLAN: 8
Authorization untagged VLAN: N/A
Authorization tagged VLAN: N/A
Authorization VSI: N/A
Authorization ACL ID: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: N/A
Online from: 2015/01/04 18:01:43
Online duration: 0h 0m 2s
# 用户userdot通过802.1X客户端发起认证,输入正确的用户名和密码后,可成功通过802.1X认证。通过display dot1x connection命令查看已在线用户的信息。
[Device] display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: 7446-a091-84fe
Access interface: Ten-GigabitEthernet1/0/1
Username: userdot
User access state: Successful
Authentication domain: triple
IPv4 address: 192.168.1.2
Authentication method: CHAP
Initial VLAN: 8
Authorization untagged VLAN: N/A
Authorization tagged VLAN list: N/A
Authorization VSI: N/A
Authorization ACL ID: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: N/A
Online from: 2015/01/04 18:13:01
Online duration: 0h 0m 14s
如图1-3所示,用户通过接入设备Device接入网络,要求在Device的二层端口上对所有用户进行统一认证,且只要用户通过802.1X认证、Web认证、MAC地址认证中的任何一种认证,即可接入网络。具体需求如下:
· Web认证用户通过DHCP动态获取IP地址,认证前使用192.168.1.0/24网段的IP地址,认证成功后使用3.3.3.0/24网段的IP地址,认证失败后使用2.2.2.0/24网段的IP地址。 DHCP服务器可由接入设备充当也可外置,本例中由接入设备提供DHCP服务。
· 802.1X用户在认证前通过DHCP动态获取192.168.1.0/24网段的IP地址,认证成功后通过DHCP动态获取3.3.3.0/24网段的IP地址,认证失败后通过DHCP动态获取2.2.2.0/24网段的IP地址。
· 打印机成功接入网络后通过DHCP获取一个与它的MAC地址静态绑定的IP地址3.3.3.111/24。
· 使用远程RADIUS服务器进行认证、授权和计费,且发送给RADIUS服务器的用户名不携带ISP域名。
· Web认证服务器的监听IP地址为4.4.4.4,设备使用HTTP协议传输认证数据。
· 认证成功的用户可被授权加入VLAN 3。
· 认证失败的用户将被加入VLAN 2,允许访问其中的Update服务器资源。
图1-3 Triple认证配合VLAN下发及Auth-Fail VLAN功能配置组网图
(1) 配置各主机、服务器和设备之间路由可达(略)
(2) 配置RADIUS服务器
保证用户的认证/授权/计费功能正常运行。本例中,RADIUS服务器上配置一个802.1X用户(账户名为userdot),一个Web认证用户(账户名为userpt),以及一个MAC地址认证用户(账户名、密码均为Printer的MAC地址f07d6870725f),并配置授权VLAN(VLAN 3)。
(3) 设置Update服务器所在IP地址设为免认证IP
<Device> system-view
[Device] web-auth free-ip 2.2.2.2 24
(4) 配置DHCP服务
# 配置端口属于VLAN及对应VLAN接口的IP地址(略)。
# 开启DHCP服务。
[Device] dhcp enable
# 配置Update server的IP地址不参与自动分配。
[Device] dhcp server forbidden-ip 2.2.2.2
# 配置DHCP地址池1(动态分配的网段、地址租用期限、网关地址)。建议配置较小的地址租用期限,以缩短终端认证成功或失败后重新获取IP地址的时间。
[Device] dhcp server ip-pool 1
[Device-dhcp-pool-1] network 192.168.1.0 mask 255.255.255.0
[Device-dhcp-pool-1] expired day 0 hour 0 minute 1
[Device-dhcp-pool-1] gateway-list 192.168.1.1
[Device-dhcp-pool-1] quit
# 配置DHCP地址池2(动态分配的网段、地址租用期限、网关地址)。建议配置较小的地址租用期限,以缩短终端认证成功后重新获取IP地址的时间。
[Device] dhcp server ip-pool 2
[Device-dhcp-pool-2] network 2.2.2.0 mask 255.255.255.0
[Device-dhcp-pool-2] expired day 0 hour 0 minute 1
[Device-dhcp-pool-2] gateway-list 2.2.2.1
[Device-dhcp-pool-2] quit
# 配置DHCP地址池3(动态分配的网段、地址租用期限、网关地址)。建议配置较小的地址租用期限,以缩短终端下线后重新获取IP地址的时间。
[Device] dhcp server ip-pool 3
[Device-dhcp-pool-3] network 3.3.3.0 mask 255.255.255.0
[Device-dhcp-pool-3] expired day 0 hour 0 minute 1
[Device-dhcp-pool-3] gateway-list 3.3.3.1
[Device-dhcp-pool-3] quit
一般情况下,为缩小终端认证状态改变之后更新IP地址的时间,建议配置较小的地址租约期限,使得前一个状态的IP地址租约尽快过期,以触发新的IP地址申请。但是,地址租用期限的配置还要考虑终端的实现,例如iNode的802.1X客户端就可以选择在断开连接之后自动更新终端IP地址,而不必等待租约过期来重获IP地址,因此实际应用中需要根据当前组网环境合理调整取值。此处建议取值为60s。
# 配置DHCP地址池4,将MAC地址为f07d-6870-725f的打印机与IP地址3.3.3.111/24绑定。
[Device] dhcp server ip-pool 4
[Device-dhcp-pool-4] static-bind ip-address 3.3.3.111 mask 255.255.255.0 client-identifier f07d-6870-725f
[Device-dhcp-pool-4] quit
(5) 配置Web认证
# 配置本地Portal Web服务使用HTTP协议,且使用Portal Web服务器提供的缺省认证页面文件defaultfile.zip(设备的存储介质的根目录下必须已存在该认证页面文件,否则功能不生效)。
[Device] portal local-web-server http
[Device-portal-local-websvr-http] default-logon-page defaultfile.zip
[Device-portal-local-websvr-http] quit
# 配置LoopBack接口0的IP地址为4.4.4.4。
[Device] interface loopback 0
[Device-LoopBack0] ip address 4.4.4.4 32
[Device-LoopBack0] quit
# 创建名称为webserver的Web认证服务器,并进入其视图。
[Device] web-auth server webserver
# 配置Web认证服务器的重定向URL为http://4.4.4.4/portal/。
[Device-web-auth-server-webserver] url http://4.4.4.4/portal/
# 配置Web认证服务器的IP地址为4.4.4.4,端口号为80。
[Device-web-auth-server-webserver] ip 4.4.4.4 port 80
[Device-web-auth-server-webserver] quit
# 配置Update服务器的IP地址为免认证IP。
[Device] web-auth free-ip 2.2.2.2 24
# 在端口Ten-GigabitEthernet1/0/1上开启Web认证,并配置认证失败的VLAN为 VLAN 2。
[Device] interface ten-gigabitethernet 1/0/1
[Device–Ten-GigabitEthernet1/0/1] port link-type hybrid
[Device–Ten-GigabitEthernet1/0/1] mac-vlan enable
[Device–Ten-GigabitEthernet1/0/1] web-auth enable apply server webserver
[Device–Ten-GigabitEthernet1/0/1] web-auth auth-fail vlan 2
[Device–Ten-GigabitEthernet1/0/1] quit
(6) 配置802.1X认证
# 开启全局802.1X认证。
[Device] dot1x
# 开启端口Ten-GigabitEthernet1/0/1上802.1X认证(必须为基于MAC的接入控制方式),并配置认证失败的VLAN为 VLAN 2。
[Device] interface ten-gigabitethernet 1/0/1
[Device–Ten-GigabitEthernet1/0/1] dot1x port-method macbased
[Device–Ten-GigabitEthernet1/0/1] dot1x
[Device–Ten-GigabitEthernet1/0/1] dot1x auth-fail vlan 2
[Device–Ten-GigabitEthernet1/0/1] quit
(7) 配置MAC地址认证
# 开启全局MAC地址认证。
[Device] mac-authentication
# 开启端口Ten-GigabitEthernet1/0/1上MAC地址认证,并配置认证失败的VLAN为VLAN 2。
[Device] interface ten-gigabitethernet 1/0/1
[Device–Ten-GigabitEthernet1/0/1] mac-authentication
[Device–Ten-GigabitEthernet1/0/1] mac-authentication guest-vlan 2
[Device–Ten-GigabitEthernet1/0/1] quit
(8) 配置RADIUS方案
# 创建并进入名字为rs1的RADIUS方案视图。
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 1.1.1.2
[Device-radius-rs1] primary accounting 1.1.1.2
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
(9) 配置认证域
# 创建并进入名字为triple的ISP域。
[Device] domain triple
# 配置lan-access用户使用RADIUS方案rs1进行认证、授权、计费。
[Device-isp-triple] authentication lan-access radius-scheme rs1
[Device-isp-triple] authorization lan-access radius-scheme rs1
[Device-isp-triple] accounting lan-access radius-scheme rs1
[Device-isp-triple] quit
# 配置系统缺省的ISP域为triple。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案。
[Device] domain default enable triple
# Web用户userpt通过Web浏览器访问外部网络,其Web请求均被重定向到认证页面http://4.4.4.4/portal/logon.html。用户根据网页提示输入正确的用户名和密码后,能够成功通过Web认证。通过display web-auth user命令查看已在线用户的信息。
[Device] display web-auth user
Total online web-auth users: 1
User Name: userpt
MAC address: 6805-ca17-4a0b
Access interface: Ten-GigabitEthernet1/0/1
Initial VLAN: 8
Authorization VLAN: 3
Authorization ACL ID: N/A
Authorization user profile: N/A
# 打印机接入网络后,可成功通过MAC地址认证。通过display mac-authentication connection命令查看已在线用户的信息。
[Device] display mac-authentication connection
Total connections: 1
Slot ID: 1
User MAC address: f07d-6870-725f
Access interface: Ten-GigabitEthernet1/0/1
Username: f07d6870725f
User access state: Successful
Authentication domain: triple
Initial VLAN: 8
Authorization untagged VLAN: 3
Authorization tagged VLAN: N/A
Authorization VSI: N/A
Authorization ACL ID: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: N/A
Online from: 2015/01/04 18:01:43
Online duration: 0h 0m 2s
# 用户userdot通过802.1X客户端发起认证,输入正确的用户名和密码后,可成功通过802.1X认证。通过display dot1x connection命令查看已在线用户的信息。
[Device] display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: 7446-a091-84fe
Access interface: Ten-GigabitEthernet1/0/1
Username: userdot
User access state: Successful
Authentication domain: triple
IPv4 address: 3.3.3.3
Authentication method: CHAP
Initial VLAN: 8
Authorization untagged VLAN: 3
Authorization tagged VLAN list: N/A
Authorization VSI: N/A
Authorization ACL ID: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: N/A
Online from: 2015/01/04 18:13:01
Online duration: 0h 0m 14s
# 通过display mac-vlan all命令查看到认证成功用户的MAC VLAN表项,该表项中记录了加入授权VLAN的MAC地址与端口上生成的基于MAC的VLAN之间的对应关系。
[Device] display mac-vlan all
The following MAC VLAN addresses exist:
S:Static D:Dynamic
MAC ADDR MASK VLAN ID PRIO STATE
--------------------------------------------------------
6805-ca17-4a0b ffff-ffff-ffff 3 0 D
f07d-6870-725f ffff-ffff-ffff 3 0 D
7446-a091-84fe ffff-ffff-ffff 3 0 D
Total MAC VLAN address count:3
# 通过display dhcp server ip-in-use命令查看设备为在线用户分配的IP地址信息。
[Device] display dhcp server ip-in-use
IP address Client-identifier/ Lease expiration Type
Hardware address
3.3.3.111 01f0-7d68-7072-5f Jan 4 18:14:17 2015 Auto:(C)
3.3.3.2 0168-05ca-174a-0b Jan 4 18:15:01 2015 Auto:(C)
3.3.3.3 0174-46a0-9184-fe Jan 4 18:15:03 2015 Auto:(C)
若用户认证失败,将被加入VLAN 2中,端口上生成的MAC VLAN表项及IP地址分配情况的查看方式同上,此处略。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!