华为交换机日志服务器华为交换机与CiscoISE服务器对接教程.docx
《华为交换机日志服务器华为交换机与CiscoISE服务器对接教程.docx》由会员分享,可在线阅读,更多相关《华为交换机日志服务器华为交换机与CiscoISE服务器对接教程.docx(19页珍藏版)》请在冰点文库上搜索。
华为交换机日志服务器华为交换机与CiscoISE服务器对接教程
竭诚为您提供优质的服务,优质的文档,谢谢阅读/双击去除
华为交换机日志服务器_华为交换机与Cisco,ISE服务器对接教程
你还在为不知道华为交换机与ciscoIse服务器对接方法而烦恼么?
接下来是小编为大家收集的华为交换机与ciscoIse服务器对接教程,希望能帮到大家。
华为交换机与ciscoIse服务器对接教程方法
本案例以授权AcL和动态VLAN为例,简单介绍如何通过ciscoIdentityservicesengine(Ise)服务器实现为终端用户授权。
l授权AcL分为两类:
−AcL描述信息:
服务器上配置了AcL描述信息授权功能,则授权信息中含有AcL的描述信息。
设备端根据服务器授权的AcL描述信息匹配上相应的AcL规则,对用户权限进行控制。
其中设备上需要配置AcL编号、对应的描述信息和AcL规则。
使用rADIus标准属性:
(011)Filter-Id。
−动态AcL:
服务器向设备授权该AcL中的规则,用户能够访问AcL所包括的网络资源,AcL及AcL规则需要在服务器上配置。
设备上不需要配置对应的AcL。
使用华为rADIus私有属性:
(26-82)hw-Data-Filter。
l动态VLAN:
服务器上配置了动态VLAN下发功能,则授权信息中含有下发的VLAN属性,设备端在接收到下发的VLAN属性后,会将用户所属的VLAN修改为下发VLAN。
动态VLAN可以通过VLANID和VLAN的描述信息下发。
授权下发的VLAN并不改变接口的配置,也不影响接口的配置。
但是,授权下发的VLAN的优先级高于用户配置的VLAN,即通过认证后起作用的VLAN是授权下发的VLAN,用户配置的VLAN在用户下线后生效。
动态VLAN下发,使用了以下rADIus标准属性:
−(064)Tunnel-Type(必须指定为VLAN,或数值13)
−(065)Tunnel-medium-Type(必须指定为802,或数值6)
−(081)Tunnel-private-group-ID(可以是VLANID或VLAN名称)
要通过rADIus服务器正确下发VLAN属性,以上三个属性必须同时使用,而且Tunnel-Type及Tunnel-medium-Type两个属性的值必须是指定的值。
配置注意事项
本例中ciscoIse服务器的版本为1.4.0.253。
ciscoIse服务器作为rADIus服务器与设备对接实现授权时,需要注意以下事项:
l支持通过rADIus标准属性和华为rADIus私有属性实现授权,不支持通过cisco私有属性授权。
使用华为私有属性授权时,需要在ciscoIse服务器上手动添加私有属性值。
l通过AcL描述信息授权AcL时,在ciscoIse服务器勾选Filter-ID、添加描述信息abc后,属性下发时会自动携带.in后缀;若想授权成功,设备需要将该AcL的描述信息配置为abc.in。
l动态AcL授权使用的是华为私有属性hw-Data-Filter授权,不支持通过cisco私有属性授权。
l在ciscoIse服务器上添加华为私有属性hw-Data-Filter后,在授权模板中既存在Filter-ID又存在hw-Data-Filter时,只能下发Filter-ID,不能下发hw-Data-Filter。
l通过AcL描述信息授权AcL时,由于ciscoIse服务器支持配置的描述信息长度最大为252个字节、设备支持配置的描述信息长度最大为127个字节,所以两端配置的描述信息不能超过127个字节。
l通过VLAN描述信息授权动态VLAN时,由于ciscoIse服务器支持配置的描述信息长度最大为32个字节、设备支持配置的描述信息长度最大为80个字节,所以两端配置的描述信息不能超过32个字节。
组网需求
如图3-10所示,某公司内部大量员工终端通过switchA上的接口ge1/0/1接入网络。
为确保网络的安全性,管理员需对终端的网络访问权限进行控制,要求如下:
l终端认证成功前能够访问公共服务器(Ip地址为192.168.40.1),执行下载802.1x客户端或更新病毒库的操作。
l终端认证成功后能够访问业务服务器(Ip地址为192.168.50.1)和实验室内的设备(所属VLAN号为20,Ip地址段为192.168.20.10192.168.20.100)。
有线接入组网图
数据准备
接入交换机业务数据规划
项目
数据
rADIus方案
l认证服务器Ip地址:
192.168.30.1
l认证服务器端口号:
1812
l计费服务器Ip地址:
192.168.30.1
l计费服务器端口号:
1813
lrADIus服务器共享密钥:
huawei@123
l认证域:
huawei
认证成功前可访问的资源
公共服务器的访问权限通过免认证规则设置
认证成功后可访问的资源
实验室的访问权限通过动态VLAN授权,VLAN号为:
20
业务服务器的访问权限通过AcL号授权,AcL号为:
3002,描述信息为3002.in
ciscoIse服务器业务数据规划
项目
数据
部门
研发部
接入用户
用户名:
A-123
密码:
huawei123
交换机Ip地址
switchA:
10.10.10.1
rADIus认证密钥
huawei@123
rADIus计费密钥
huawei@123
配置思路
1.配置接入交换机。
包括配置接口所属VLAN、与rADIus服务器的对接参数、使能NAc认证、认证成功后的网络访问权限等。
本示例需保证switchA、switchb、各个服务器、实验室以及员工区域之间路由互通。
2.配置ciscoIse服务器:
a.登录ciscoIse服务器。
b.在ciscoIse服务器上添加用户。
c.在ciscoIse服务器上添加交换机。
d.在ciscoIse服务器上配置使用的密码认证协议。
e.在ciscoIse服务器上配置认证策略。
f.在ciscoIse服务器上配置授权策略。
操作步骤
步骤一配置接入交换机switchA。
1.创建VLAN并配置接口允许通过的VLAN,保证网络通畅。
system-view
[huAweI]sysnameswitchA
[switchA]vlanbatch1020
[switchA]interfacegigabitethernet0/0/1//配置与员工终端连接的接口
[switchA-gigabitethernet0/0/1]portlink-typehybrid
[switchA-gigabitethernet0/0/1]porthybridpvidvlan10
[switchA-gigabitethernet0/0/1]porthybriduntaggedvlan10
[switchA-gigabitethernet0/0/1]quit
[switchA]interfacegigabitethernet0/0/2//配置与实验室连接的接口
[switchA-gigabitethernet0/0/2]portlink-typehybrid
[switchA-gigabitethernet0/0/2]porthybriduntaggedvlan20
[switchA-gigabitethernet0/0/2]quit
[switchA]interfacegigabitethernet0/0/3//配置与switchb连接的接口
[switchA-gigabitethernet0/0/3]portlink-typetrunk
[switchA-gigabitethernet0/0/3]porttrunkallow-passvlan1020
[switchA-gigabitethernet0/0/3]quit
[switchA]interfaceloopback1
[switchA-Loopback1]ipaddress10.10.10.124//配置与ciscoIse服务器通信的Ip地址
[switchA-Loopback1]quit
2.创建并配置rADIus服务器模板、AAA认证方案以及认证域。
#创建并配置rADIus服务器模板“rd1”。
[switchA]radius-servertemplaterd1
[switchA-radius-rd1]radius-serverauthentication192.168.30.11812
[switchA-radius-rd1]radius-serveraccounting192.168.30.11813
[switchA-radius-rd1]radius-servershared-keycipherhuawei@123
[switchA-radius-rd1]quit
#创建AAA认证方案“abc”并配置认证方式为rADIus。
[switchA]aaa
[switchA-aaa]authentication-schemeabc
[switchA-aaa-authen-abc]authentication-moderadius
[switchA-aaa-authen-abc]quit
#配置计费方案“acco1”并配置计费方式为rADIus。
[switchA-aaa]accounting-schemeacco1
[switchA-aaa-accounting-acco1]accounting-moderadius
[switchA-aaa-accounting-acco1]quit
#创建认证域“huawei”,并在其上绑定AAA认证方案“abc”、计费方案“acco1”与rADIus服务器模板“rd1”。
[switchA-aaa]domainhuawei
[switchA-aaa-domain-huawei]authentication-schemeabc
[switchA-aaa-domain-huawei]accounting-schemeacco1
[switchA-aaa-domain-huawei]radius-serverrd1
[switchA-aaa-domain-huawei]quit
[switchA-aaa]quit
3.使能802.1x认证。
#将NAc配置模式切换成统一模式。
[switchA]authenticationunified-mode
设备默认为统一模式。
模式切换前,管理员必须保存配置;模式切换后,设备重启,新配置模式的各项功能才能生效。
#配置802.1x接入模板“d1”,并指定认证协议为eAp。
[switchA]dot1x-access-profilenamed1
[switchA-dot1x-access-profile-d1]dot1xauthentication-methodeap
[switchA-dot1x-access-profile-d1]quit
#配置免认证规则模板“default_free_rule”。
[switchA]free-rule-templatenamedefault_free_rule
[switchA-free-rule-default_free_rule]free-rule10destinationip192.168.40.1mask32
[switchA-free-rule-default_free_rule]quit
#配置认证模板“p1”,并在其上绑定802.1x接入模板“d1”、绑定免认证规则模板“default_free_rule”、指定认证模板下用户的强制认证域为“huawei”。
[switchA]authentication-profilenamep1
[switchA-authen-profile-p1]dot1x-access-profiled1
[switchA-authen-profile-p1]free-rule-templatedefault_free_rule
[switchA-authen-profile-p1]access-domainhuaweiforce
[switchA-authen-profile-p1]quit
#在接口ge0/0/1上绑定认证模板“p1”,使能802.1x认证。
[switchA]interfacegigabitethernet0/0/1
[switchA-gigabitethernet0/0/1]authentication-profilep1
[switchA-gigabitethernet0/0/1]quit
4.配置认证成功后的授权参数AcL3002。
[switchA]acl3002
[switchA-acl-adv-3002]description3002.in//配置AcL描述信息为3002.in;此时,ciscoIse服务器设置的Filter-ID为3002
[switchA-acl-adv-3002]rule1permitipdestination192.168.30.10
[switchA-acl-adv-3002]rule2permitipdestination192.168.50.10
[switchA-acl-adv-3002]rule3denyipdestinationany
[switchA-acl-adv-3002]quit
步骤二ciscoIse服务器侧配置。
1.登录ciscoIse服务器。
a.打开Internetexplorer浏览器,在地址栏输入ciscoIse服务器的访问地址,单击“enter”。
访问方式
说明
https:
//ciscoIse-Ip
其中,“ciscoIse-Ip”为ciscoIse服务器的Ip地址。
b.输入管理员帐号和密码登录ciscoIse服务器。
2.创建用户组和用户。
a.选择“Administration>Identitymanagement>groups”。
在右侧操作区域内选择“Add”,创建用户组“rpadding:
0px;margin:
0px0px0px90.7pt;border-spacing:
0px;width:
530px;border-collapse:
collapse;font-stretch:
normal;font-size:
16px;font-family:
"microsoftyahei",Arial,宋体,Tahoma,Verdana,simsun;empty-cells:
show;table-layout:
auto;color:
rgb(51,51,51);"width="529">
参数
取值
说明
Name
switchA
-
IpAddress
10.10.10.1/32
交换机上该接口必须与ciscoIse服务器互通。
sharedsecret
huawei@123
与交换机上配置的对研发部员工的访问控制规则一致。
4.配置使用的密码认证协议。
选择“policy>policyelements>result”。
在左侧操作区域内选择“Authentication>Allowedprotocols”,进入“Allowedprotocolsservices”界面。
在右侧操作区域内点击“Add”,创建新的网络接入方式,选择允许使用的密码认证协议。
交换机与ciscoIse服务器对接时,支持eAp、pAp和chAp三种认证方式。
交换机配置为eAp认证方式与ciscoIse服务器对接时,不支持eAp-LeAp和eAp-FAsT两种模式。
5.配置认证策略。
选择“policy>Authentication”。
认证策略分为“simple”和“rule-based”两种,与“simple”方式相比,“rule-based”方式可以匹配多个网络接入方式(即“Allowedprotocol”)。
这里以“simple”为例。
在“NetworkAccessservice”下拉框中选择上步新建的网络接入方式“802.1x”,其他选择默认配置。
6.配置授权策略。
a.新增授权规则。
选择“policy>Authorization”。
点击右方“edit”后的三角形,选择“InsertNewruleAbove”,新增名称为“Authorizationruleforauthenticatedusers”的授权规则、授权的用户组为“rpadding:
0px;margin:
0px0px0px90.7pt;border-spacing:
0px;width:
522px;border-collapse:
collapse;font-stretch:
normal;font-size:
16px;font-family:
"microsoftyahei",Arial,宋体,Tahoma,Verdana,simsun;empty-cells:
show;table-layout:
auto;color:
rgb(51,51,51);"width="529">
参数
取值
说明
Name
VLAN20border-width:
medium1pt1ptmedium;border-style:
nonesolidsolidnone;padding:
0cm5.4pt;margin:
0px;width:
191px;max-width:
800px;word-wrap:
break-word;word-break:
normal;border-right-color:
rgb(0,0,0);"valign="top">
-
AccessType
Access_AccepT
认证成功的访问权限。
commonTasks
huawei@123
VLAN:
授权的VLAN编号或VLAN描述信息。
Filter-ID:
授权的AcL描述信息。
步骤三检查配置结果。
l员工在没有认证的情况下只能访问ciscoIse服务器和公共服务器。
l员工认证通过后,能够访问ciscoIse服务器、公共服务器、业务服务器和实验室。
l认证通过后,在交换机上执行命令displayaccess-user,可以看到员工的在线信息。
看过“华为交换机与ciscoIse服务器对接教程”的人还看了:
1.华为交换机与ciscoIse服务器对接教程
2.华为交换机如何配置端口镜像
3.华为交换机端口怎么绑定加vlan
4.华为交换机如何配置Trunk口
5.交换机配置基础及实例讲解
6.华为5700交换机dhcp怎么配置
最后,小编希望文章对您有所帮助,如果有不周到的地方请多谅解,更多相关的文章正在创作中,希望您定期关注。
谢谢支持!
升级会员 