华为无线AC与Cisco ISE服务器对接(ACL和动态VLAN为用户授权)
配置通过ACL和动态VLAN为用户授权示例(命令行)用户授权简介
用户授权是指在用户认证的各个阶段,根据用户角色来对网络访问权限进行控制。802.1x用户在RADIUS服务器上通过认证后,RADIUS服务器会把授权信息下发给设备端。Cisco ISE(Identity Services Engine)作为RADIUS服务器时,支持下发的授权参数有多种,本举例中以ACL编号和动态VLAN来进行用户授权。
ACL编号授权
RADIUS服务器上配置了ACL编号下发功能,则授权信息中含有下发的ACL编号,设备端根据下发的ACL编号匹配相应的ACL规则,对用户权限进行控制。
ACL编号下发,使用的RADIUS属性为:(011)Filter-Id。
AC上支持接受的ACL编号取值范围为3000~3031。
动态VLAN授权
RADIUS服务器上配置了动态VLAN下发功能,则授权信息中含有下发的VLAN属性,设备端在接收到下发的VLAN属性后,会将用户所属的VLAN修改为下发VLAN。授权下发的VLAN并不改变接口的配置,也不影响接口的配置。但是,授权下发的VLAN的优先级高于用户配置的VLAN,即通过认证后起作用的VLAN是授权下发的VLAN,用户配置的VLAN在用户下线后生效。
动态VLAN下发,使用了以下RADIUS属性:
(064)Tunnel-Type:必须指定为VLAN,或数值13
(065)Tunnel-Medium-Type:必须指定为802,或数值6
(081)Tunnel-Private-Group-ID:可以是VLAN ID或VLAN名称
要通过RADIUS服务器正确下发VLAN属性,以上三个属性必须同时使用,而且Tunnel-Type及Tunnel-Medium-Type两个属性的值必须是指定的值。
AC和Cisco ISE对接时,802.1x认证支持PAP、CHAP和EAP三种认证方式,本举例以EAP认证方式为例,其它两种认证方式的配置与之类似。
业务需求用户接入WLAN网络,使用802.1x客户端进行认证时,根据用户角色来对网络访问权限进行控制。某公司内部大量员工无线终端接入网络。为确保网络的安全性,管理员需对终端的网络访问权限进行控制,要求终端认证成功后能够访问业务服务器(IP地址为10.23.105.1)和实验室内的设备(所属VLAN号为20,IP地址段为10.23.20.2–10.23.20.100)。
组网需求
[*]AC组网方式:旁挂二层组网。
[*]DHCP部署方式:
[*]AC作为DHCP服务器为AP分配IP地址。
[*]SwitchB作为DHCP服务器为STA分配IP地址。
[*]业务数据转发方式:直接转发。
[*]WLAN认证方式:WPA-WPA2+802.1x+AES。
图2-5配置通过ACL和动态VLAN为用户授权组网图
https://download.huawei.com/mdl/image/download?uuid=3e56368cfb6144b3a285230f17837fef
数据规划表2-14AC数据规划
配置项数据
管理VLANVLAN100
业务VLANVLAN101
AC源接口VLANIF100:10.23.100.1/24
DHCP服务器
[*]AC作为DHCP服务器为AP分配IP地址。
[*]SwitchB作为DHCP服务器为STA分配IP地址。
AP的IP地址池10.23.100.2~10.23.100.254/24
STA的IP地址池10.23.101.2~10.23.101.254/2410.23.20.101~10.23.20.254/24
RADIUS认证参数
[*]RADIUS服务器模板名称:wlan-net
[*]IP地址:10.23.103.1
[*]认证端口号:1812
[*]共享密钥:huawei@123
[*]认证方案:wlan-net
认证成功后可访问的资源
[*]实验室的访问权限通过动态VLAN授权,VLAN号为:20
[*]业务服务器的访问权限通过ACL号授权,ACL号为:3002
802.1x接入模板
[*]名称:wlan-net
[*]认证方式:EAP
认证模板
[*]名称:wlan-net
[*]引用模板和认证方案:802.1x接入模板wlan-net、RADIUS服务器模板wlan-net、认证方案wlan-net
AP组
[*]名称:ap-group1
[*]引用模板:VAP模板wlan-net、域管理模板default
域管理模板
[*]名称:default
[*]国家码:CN
SSID模板
[*]名称:wlan-net
[*]SSID名称:wlan-net
安全模板
[*]名称:wlan-net
[*]安全策略:WPA-WPA2+802.1x+AES
VAP模板
[*]名称:wlan-net
[*]转发模式:直接转发
[*]业务VLAN:VLAN101
[*]引用模板:SSID模板wlan-net、安全模板wlan-net、认证模板wlan-net
表2-15Cisco ISE数据规划
配置项数据
部门R&D
用户账号
[*]账号:huawei
[*]密码:huawei123
设备模板Huawei
设备名称AC6605
设备IP地址10.23.102.2/32
RADIUS共享密钥huawei@123
认证协议
[*]MS-CHAPv2
[*]PEAP
[*]CHAP(仅用于test-aaa测试)
授权ACL3002
动态VLANVLAN20
配置思路
[*]配置网络互通。
[*]配置WLAN基本业务。
[*]配置AC与RADIUS服务器的对接参数、认证成功后的网络访问权限等。
[*]配置Cisco ISE服务器。
[*]添加用户。
[*]添加AC。
[*]配置使用的密码认证协议。
[*]配置认证策略。
[*]配置授权策略。
配置注意事项
[*]建议在与AP直连的设备接口上配置端口隔离,如果不配置端口隔离,尤其是业务数据转发方式采用直接转发时,可能会在VLAN内形成大量不必要的广播报文,导致网络阻塞,影响用户体验。
[*]AC侧配置的RADIUS共享密钥需要和服务器侧保持一致。
[*]终端如果通过DHCP方式获取IP地址,VLAN授权成功后或更改授权VLAN后,需要手动触发DHCP重新申请IP地址。
操作步骤
配置网络互通
# 配置接入交换机SwitchA的接口GE0/0/1和GE0/0/3加入VLAN20、VLAN100和VLAN101,GE0/0/2接入VLAN20。
<HUAWEI> system-view
sysname SwitchA
vlan batch 20 100 101
interface gigabitethernet 0/0/1
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 20 100 101
port-isolate enable
quit
interface gigabitethernet 0/0/2
port link-type trunk
port trunk allow-pass vlan 20
quit
interface gigabitethernet 0/0/3
port link-type trunk
port trunk allow-pass vlan 20 100 101
quit
# 配置汇聚交换机SwitchB的接口GE0/0/1加入VLAN20、VLAN100和VLAN101,GE0/0/2加入VLAN100和VLAN102,GE0/0/3加入VLAN103,GE0/0/4加入VLAN104,GE0/0/5加入VLAN105。
<HUAWEI> system-view
sysname SwitchB
vlan batch 20 100 to 105
interface gigabitethernet 0/0/1
port link-type trunk
port trunk allow-pass vlan 20 100 101
quit
interface gigabitethernet 0/0/2
port link-type trunk
port trunk allow-pass vlan 100 102
quit
interface gigabitethernet 0/0/3
port link-type trunk
port trunk pvid vlan 103
port trunk allow-pass vlan 103
quit
interface gigabitethernet 0/0/4
port link-type trunk
port trunk pvid vlan 104
port trunk allow-pass vlan 104
quit
interface gigabitethernet 0/0/5
port link-type trunk
port trunk pvid vlan 105
port trunk allow-pass vlan 105
quit
# 在汇聚交换机SwitchB上创建VLANIF102、VLANIF103、VLANIF104和VLANIF105接口,并配置下一跳为Router的缺省路由。
interface vlanif 102
ip address 10.23.102.1 24
quit
interface vlanif 103
ip address 10.23.103.2 24
quit
interface vlanif 104
ip address 10.23.104.1 24
quit
interface vlanif 105
ip address 10.23.105.2 24
quit
ip route-static 0.0.0.0 0.0.0.0 10.23.104.2
# 在AC上创建用于授权的VLAN20,配置AC的接口GE0/0/1加入VLAN100和VLAN102,创建VLANIF102接口,并配置指向RADIUS服务器的静态路由。
<AC6605> system-view
sysname AC
vlan batch 20 100 101 102
interface gigabitethernet 0/0/1
port link-type trunk
port trunk allow-pass vlan 100 102
quit
interface vlanif 102
ip address 10.23.102.2 24
quit
ip route-static 10.23.103.0 24 10.23.102.1
# 配置Router的接口GE0/0/1的IP地址,并配置指向STA网段的静态路由。
<Huawei> system-view
sysname Router
interface gigabitethernet 0/0/1
ip address 10.23.104.2 24
quit
ip route-static 10.23.101.0 24 10.23.104.1
配置AC作为DHCP服务器为AP分配IP地址,SwitchB作为DHCP服务器为STA分配IP地址
# 在AC上配置VLANIF100接口为AP提供IP地址。
dhcp enable
interface vlanif 100
ip address 10.23.100.1 24
dhcp select interface
quit
# 在汇聚交换机SwitchB上配置VLANIF101接口为STA提供IP地址。
dhcp enable
interface vlanif 101
ip address 10.23.101.1 24
dhcp select interface
quit
# 在汇聚交换机SwitchB上配置VLANIF20接口为授权用户提供IP地址。其中,IP地址段10.23.20.2–10.23.20.100不参与分配。
interface vlanif 20
ip address 10.23.20.1 24
dhcp select interface
dhcp server excluded-ip-address 10.23.20.2 10.23.20.100
quit
配置AP上线
# 创建AP组,用于将相同配置的AP都加入同一AP组中。
wlan
ap-group name ap-group1
quit
# 创建域管理模板,在域管理模板下配置AC的国家码并在AP组下引用域管理模板。
regulatory-domain-profile name default
country-code cn
quit
ap-group name ap-group1
regulatory-domain-profile default
Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu
e?:y
quit
quit
# 配置AC的源接口。
capwap source interface vlanif 100
# 在AC上离线导入AP,并将AP加入AP组“ap-group1”中。假设AP的MAC地址为60de-4476-e360,并且根据AP的部署位置为AP配置名称,便于从名称上就能够了解AP的部署位置。例如MAC地址为60de-4476-e360的AP部署在1号区域,命名此AP为area_1。
ap auth-mode命令缺省情况下为MAC认证,如果之前没有修改其缺省配置,可以不用执行ap auth-mode mac-auth。
举例中使用的AP为AP5030DN,具有射频0和射频1两个射频。AP5030DN的射频0为2.4GHz射频,射频1为5GHz射频。
wlan
ap auth-mode mac-auth
ap-id 0 ap-mac 60de-4476-e360
ap-name area_1
ap-group ap-group1
Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configuration
s of the radio, Whether to continue? :y
quit
# 将AP上电后,当执行命令display ap all查看到AP的“State”字段为“nor”时,表示AP正常上线。
display ap all
Total AP information:
nor: normal
-------------------------------------------------------------------------------------------------
ID MAC Name Group IP Type State STA Uptime ExtraInfo
-------------------------------------------------------------------------------------------------
0 60de-4476-e360 area_1 ap-group1 10.23.100.254 AP5030DN nor 0 10S -
-------------------------------------------------------------------------------------------------
Total: 1
配置AP射频的信道和功率
射频的信道和功率自动调优功能默认开启,如果不关闭此功能则会导致手动配置不生效。举例中AP射频的信道和功率仅为示例,实际配置中请根据AP的国家码和网规结果进行配置。
# 关闭AP射频0的信道和功率自动调优功能,并配置AP射频0的信道和功率。
ap-id 0
radio 0
calibrate auto-channel-select disable
calibrate auto-txpower-select disable
channel 20mhz 6
Warning: This action may cause service interruption. Continue?y
eirp 127
quit
# 关闭AP射频1的信道和功率自动调优功能,并配置AP射频1的信道和功率。
radio 1
calibrate auto-channel-select disable
calibrate auto-txpower-select disable
channel 20mhz 149
Warning: This action may cause service interruption. Continue?y
eirp 127
quit
quit
在AC上配置802.1X认证
配置RADIUS认证参数。
# 创建RADIUS服务器模板。
quit
radius-server template wlan-net
radius-server authentication 10.23.103.1 1812
radius-server shared-key cipher huawei@123
quit
# 创建RADIUS方式的认证方案。
aaa
authentication-scheme wlan-net
authentication-mode radius
quit
quit
配置802.1X接入模板,管理802.1X接入控制参数。
# 创建名为“wlan-net”的802.1X接入模板。
dot1x-access-profile name wlan-net
# 配置认证方式为EAP中继模式。
dot1x authentication-method eap
quit
创建名为“wlan-net”的认证模板,并引用802.1X接入模板、认证方案和RADIUS服务器模板。
authentication-profile name wlan-net
dot1x-access-profile wlan-net
authentication-scheme wlan-net
radius-server wlan-net
quit
配置WLAN业务参数。
# 创建名为“wlan-net”的安全模板,并配置安全策略。
wlan
security-profile name wlan-net
security wpa-wpa2 dot1x aes
quit
# 创建名为“wlan-net”的SSID模板,并配置SSID名称为“wlan-net”。
ssid-profile name wlan-net
ssid wlan-net
quit
# 创建名为“wlan-net”的VAP模板,配置业务数据转发模式为直接转发、业务VLAN,并且引用安全模板、认证模板和SSID模板。
vap-profile name wlan-net
forward-mode direct-forward
service-vlan vlan-id 101
security-profile wlan-net
authentication-profile wlan-net
ssid-profile wlan-net
quit
# 配置AP组引用VAP模板,AP上射频0和射频1都使用VAP模板“wlan-net”的配置。
ap-group name ap-group1
vap-profile wlan-net wlan 1 radio 0
vap-profile wlan-net wlan 1 radio 1
quit
quit
配置认证成功后的授权参数ACL3002
acl 3002
rule 1 permit ip destination 10.23.105.1 0
rule 2 deny ip destination any
quit
配置Cisco ISE服务器
登录Cisco ISE服务器。
# 在浏览器中输入Cisco ISE的访问地址,地址格式为https://Cisco ISE IP,其中Cisco ISE IP是Cisco ISE服务器的IP地址。
# 在登录页面中,输入用户名和密码进行登录。
创建部门和用户账号。
# 依次选择“Administration > Identity Management > Groups > User Identity Groups”,在右侧操作区域单击“Add”,创建部门“R&D”,单击“Submit”。
[*]
https://download.huawei.com/mdl/image/download?uuid=8ce2ddfd055f43ad8094cac3353e5e8d
# 依次选择“Administration > Identity Management > Identities > Users”,在右侧操作区域单击“Add”,创建帐号“huawei”,密码为“huawei123”,并添加到部门“R&D”,单击“Submit”。
https://download.huawei.com/mdl/image/download?uuid=0dc3eb32fcc14b06ae088a95533f1078
[*]添加AC设备,使Cisco ISE可以和AC联动。
# 依次选择“Administration > Network Resources > Network Device Profiles”,在左侧操作区域单击“Add”,新建网络设备模板“Huawei”,单击“Submit”。
https://download.huawei.com/mdl/image/download?uuid=115d236f4f124f5cbf3322390ba683a3
# 依次选择“Administration > Network Resources > Network Devices”,在右侧操作区域单击“Add”,配置设备名称为“AC6605”,IP地址为“10.23.102.2/32”,RADIUS共享密钥为“huawei@123”,单击“Submit”。
https://download.huawei.com/mdl/image/download?uuid=4990ee34095e46e2894e791de5093284
[*]配置认证使用的协议。
# 依次选择“Policy > Policy Elements > Results > Authentication > Allowed Protocols”,勾选“Default Network Access”,单击“Edit”。
https://download.huawei.com/mdl/image/download?uuid=185313a333dd4ed1b8527de36aaf975a
# 勾选“Allow CHAP”、“Allow MS-CHAPv2”和“Allow PEAP”,其他参数使用缺省配置即可,单击“Save”。
[*]
[*]Cisco ISE默认关闭CHAP认证选项,为了后续在AC上使用CHAP认证进行test-aaa测试,需要在服务器上选择认证协议CHAP。
https://download.huawei.com/mdl/image/download?uuid=ad8930d144e245c69a2be84601253cc0
[*]配置授权ACL和动态VLAN。
# 依次选择“Policy > Policy Elements > Results > Authorization > Authorization Profiles”,在右侧操作区域单击“Add”,输入名称,下发的属性选择“Radius:Filter-ID”,并输入ACL编号“3002”。
https://download.huawei.com/mdl/image/download?uuid=4a76679c1bbf43788286943483175156
# 单击“Submit”,完成授权ACL配置,并返回“Authorization Profiles”页面。# 在右侧操作区域单击“Add”,输入名称并配置下发的属性和属性值,具体如下:
[*]Radius:Tunnel-Type:VLAN
[*]Radius:Tunnel-Medium-Type:802
[*]Radius:Tunnel-Private-Group-ID:20
https://download.huawei.com/mdl/image/download?uuid=4a9a86022e5c4ee593a377cc9737b371
# 单击“Submit”,完成动态VLAN配置。
[*]新增授权规则。
# 选择“Policy > Authorization”,在右侧操作区域点击“Edit”后的三角形,选择“Insert New Rule Above”,新增名称为“ACL_VLAN”的授权规则,配置授权的用户组为“R&D”,在“Permissions”下选择“PermitAccess”、“ACL_3002”和“VLAN_20”。
https://download.huawei.com/mdl/image/download?uuid=443108274d3d47838dbab3ab3a0f6add
# 单击右侧的“Done”,单击“Save”,完成授权规则配置。
[*]在AC上测试用户是否能够通过RADIUS认证
test-aaa huawei huawei123 radius-template wlan-netInfo: Account test succeed.
[*]检查配置结果
[*]员工认证通过后,能够访问业务服务器和实验室。
[*]认证通过后,在AC上执行命令display access-user,可以看到员工的在线信息。 display access-user access-type dot1x ------------------------------------------------------------------------------UserID Username IP address MAC Status ------------------------------------------------------------------------------460 huawei 10.23.20.254 8000-6e74-e78a Success ------------------------------------------------------------------------------Total: 1, printed: 1
配置文件
SwitchA的配置文件
#
sysname SwitchA
#
vlan batch 20 100 to 101
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 20 100 to 101
port-isolate enable group 1
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 20
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 20 100 to 101
#
return
SwitchB的配置文件
#
sysname SwitchB
#
vlan batch 20 100 to 105
#
dhcp enable
#
interface Vlanif20
ip address 10.23.20.1 255.255.255.0
dhcp select interface
dhcp server excluded-ip-address 10.23.20.2 10.23.20.100
#
interface Vlanif101
ip address 10.23.101.1 255.255.255.0
dhcp select interface
#
interface Vlanif102
ip address 10.23.102.1 255.255.255.0
#
interface Vlanif103
ip address 10.23.103.2 255.255.255.0
#
interface Vlanif104
ip address 10.23.104.1 255.255.255.0
#
interface Vlanif105
ip address 10.23.105.2 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 20 100 to 101
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100 102
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk pvid vlan 103
port trunk allow-pass vlan 103
#
interface GigabitEthernet0/0/4
port link-type trunk
port trunk pvid vlan 104
port trunk allow-pass vlan 104
#
interface GigabitEthernet0/0/5
port link-type trunk
port trunk pvid vlan 105
port trunk allow-pass vlan 105
#
ip route-static 0.0.0.0 0.0.0.0 10.23.104.2
#
return
Router的配置文件
#
sysname Router
#
interface GigabitEthernet0/0/1
ip address 10.23.104.2 255.255.255.0
#
ip route-static 10.23.101.0 255.255.255.0 10.23.104.1
#
return
AC的配置文件
#
sysname AC
#
vlan batch 20 100 to 102
#
authentication-profile name wlan-net
dot1x-access-profile wlan-net
authentication-scheme wlan-net
radius-server wlan-net
#
dhcp enable
#
radius-server template wlan-net
radius-server shared-key cipher %^%#r2}aCaYC_5+]c@/eolcB+CNMD=m\g2HmQ1/!crRU%^%#
radius-server authentication 10.23.103.1 1812 weight 80
#
acl number 3002
rule 1 permit ip destination 10.23.105.1 0
rule 2 deny ip
#
aaa
authentication-scheme wlan-net
authentication-mode radius
#
interface Vlanif100
ip address 10.23.100.1 255.255.255.0
dhcp select interface
#
interface Vlanif102
ip address 10.23.102.2 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100 102
#
ip route-static 10.23.103.0 255.255.255.0 10.23.102.1
#
capwap source interface vlanif100
#
wlan
security-profile name wlan-net
security wpa-wpa2 dot1x aes
ssid-profile name wlan-net
ssid wlan-net
vap-profile name wlan-net
service-vlan vlan-id 101
ssid-profile wlan-net
security-profile wlan-net
authentication-profile wlan-net
regulatory-domain-profile name default
ap-group name ap-group1
radio 0
vap-profile wlan-net wlan 1
radio 1
vap-profile wlan-net wlan 1
ap-id 0 type-id 35 ap-mac 60de-4476-e360 ap-sn 210235554710CB000042
ap-name area_1
ap-group ap-group1
radio 0
channel 20mhz 6
eirp 127
radio 1
channel 20mhz 149
eirp 127
#
dot1x-access-profile name wlan-net
#
return
网工大佬要掌握哪些技能?领 https:/
页:
[1]