59通过8021X认证服务器动态下发授权ACL典型配置举例.docx
《59通过8021X认证服务器动态下发授权ACL典型配置举例.docx》由会员分享,可在线阅读,更多相关《59通过8021X认证服务器动态下发授权ACL典型配置举例.docx(37页珍藏版)》请在冰点文库上搜索。
59通过8021X认证服务器动态下发授权ACL典型配置举例
通过802.1X认证服务器动态下发授权ACL典型配置举例
Copyright©2014杭州华三通信技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,
并不得以任何形式传播。
本文档中的信息可能变动,恕不另行通知。
1简介
本文档介绍无线控制器通过802.1X认证服务器动态下发授权ACL的典型配置举例。
2配置前提
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。
如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解AAA、WLAN、802.1X特性。
3802.1X认证通过WindowsServer2003IAS服务器下发ACL配置举例
3.1组网需求
如图1所示,WindowsServer2003IAS服务器作为RADIUS服务器,对Client进行认证并下发授权ACL。
具体应用需求如下:
∙Client需要通过802.1X认证才能上线;
∙Client通过认证后允许访问网络8.125.0.0/16,不允许访问其他网络资源。
∙防止用户通过恶意假冒其它域账号从本端口接入网络。
图1授权ACL下发典型配置组网图
3.2配置思路
∙为了实现WindowsServer2003IAS服务器下发授权ACL,需要在用户使用的“远程访问策略”中添加Filter-ID属性。
∙由于部分802.1X客户端不支持与设备进行握手报文的交互,因此需要关闭设备的在线用户握手功能,避免该类型的在线用户因没有回应握手报文而被强制下线。
∙对于无线局域网来说,802.1X认证可以由客户端主动发起,或由无线模块发现用户后自动触发,不需要通过端口定期发送802.1X组播报文的方式来触发。
同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭802.1X组播触发功能。
∙为了防止用户通过恶意假冒其它域账号从本端口接入网络,配置端口的强制认证域。
3.3配置注意事项
∙WindowsServer2003IAS服务器授权下发的ACL必须是AC设备上已经配置的ACL,且ACL的内容不能为空,否则802.1X无法认证成功。
∙配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
∙由于端口安全特性通过多种安全模式提供了802.1X认证的扩展和组合应用,因此在无特殊组网要求的情况下,无线环境中通常使用端口安全特性。
3.4配置步骤
3.4.1AC的配置
(1)配置AC的接口
#创建VLAN100及其对应的VLAN接口,并为该接口配置IP地址。
AC将使用该接口的IP地址与AP建立LWAPP隧道且AC通过VLAN100与RADIUS服务器通信。
system-view
[AC]vlan100
[AC-vlan100]quit
[AC]interfacevlan-interface100
[AC-Vlan-interface100]ipaddress125.100.1.416
[AC-Vlan-interface100]quit
#创建VLAN200作为ESS接口的缺省VLAN。
[AC]vlan200
[AC-vlan200]quit
#创建VLAN300作为Client接入的业务VLAN。
[AC]vlan300
[AC-vlan300]quit
#配置AC与Switch相连的GigabitEthernet1/0/1接口的属性为trunk,允许VLAN100、VLAN200和VLAN300通过。
[AC]interfaceGigabitEthernet1/0/1
[AC-GigabitEthernet1/0/1]portlink-typetrunk
[AC-GigabitEthernet1/0/1]porttrunkpermitvlan100200300
[AC-GigabitEthernet1/0/1]quit
(2)配置ACL
#创建ACL3000。
[AC]aclnumber3000
#定义规则0,允许目的地址为8.125.0.0/16的报文通过。
[AC-acl-adv-3000]rule0permitipdestination8.125.0.00.0.255.255
#定义规则1,禁止任何IP报文通过。
[AC-acl-adv-3000]rule1denyip
[AC-acl-adv-3000]quit
(3)配置802.1X认证
#全局模式下使能端口安全。
[AC]port-securityenable
#选择802.1X认证方式为EAP。
[AC]dot1xauthentication-methodeap
(4)配置认证策略
#创建RADIUS方案office并进入其视图。
[AC]radiusschemeoffice
#配置RADIUS方案服务类型为扩展型。
[AC-radius-office]server-typeextended
#设置主认证RADIUS服务器的IP地址8.125.1.1。
[AC-radius-office]primaryauthentication8.125.1.1
#设置主计费RADIUS服务器的IP地址8.125.1.1。
[AC-radius-office]primaryaccounting8.125.1.1
#设置系统与认证RADIUS服务器交互报文时的共享密钥为123456。
[AC-radius-office]keyauthentication123456
#设置系统与计费RADIUS服务器交互报文时的共享密钥为123456。
[AC-radius-office]keyaccounting123456
#配置发送给RADIUS服务器的用户名不携带域名。
[AC-radius-office]user-name-formatwithout-domain
#设置设备发送RADIUS报文时使用的源IP地址125.100.1.4。
[AC-radius-radius]nas-ip125.100.1.4
[AC-radius-radius]quit
(5)配置认证域
#创建office域并进入其视图。
[AC]domainoffice
#为lan-access用户配置认证方案为RADIUS方案,方案名为office。
[AC-isp-office]authenticationlan-accessradius-schemeoffice
#为lan-access用户配置授权方案为RADIUS方案,方案名为office。
[AC-isp-office]authorizationlan-accessradius-schemeoffice
#为lan-access用户配置计费为none,不计费。
[AC-isp-office]accountinglan-accessnone
[AC-isp-office]quit
(6)配置无线接口
#创建WLAN-ESS1接口,并设置端口的链路类型为Hybrid类型。
[AC]interfacewlan-ess1
[AC-WLAN-ESS1]portlink-typehybrid
#配置WLAN-ESS1端口的PVID为200,禁止VLAN1通过并允许VLAN200不带tag通过。
[AC-WLAN-ESS1]undoporthybridvlan1
[AC-WLAN-ESS1]porthybridvlan200untagged
[AC-WLAN-ESS1]porthybridpvidvlan200
#使能MAC-VLAN功能。
[AC-WLAN-ESS1]mac-vlanenable
#在WLAN-ESS1口上配置端口安全,选用802.1X认证方式。
[AC-WLAN-ESS1]port-securityport-modeuserlogin-secure-ext
[AC-WLAN-ESS1]port-securitytx-key-type11key
#关闭802.1x握手功能
[AC-WLAN-ESS1]undodot1xhandshake
#关闭802.1x多播触发功能
[AC-WLAN-ESS1]undodot1xmulticast-trigger
#在WLAN-ESS1端口上指定802.1X认证的强制认证域为office。
[AC-WLAN-ESS1]dot1xmandatory-domainoffice
[AC-WLAN-ESS1]quit
(7)配置无线服务
#创建crypto类型的服务模板1。
[AC]wlanservice-template1crypto
#设置当前服务模板的SSID为service。
[AC-wlan-st-1]ssidservice
#将WLAN-ESS1接口绑定到服务模板1。
[AC-wlan-st-1]bindwlan-ess1
#配置加密套件为CCMP。
[AC-wlan-st-1]cipher-suiteccmp
#配置安全信息元素为RSN。
[AC-wlan-st-1]security-iersn
#启用无线服务。
[AC-wlan-st-1]service-templateenable
[AC-wlan-st-1]quit
(8)配置射频接口并绑定服务模板
#创建AP的管理模板,名称为officeap,型号名称选择WA2620E-AGN,并配置AP的序列号。
[AC]wlanapofficeapmodelWA2620E-AGN
[AC-wlan-ap-officeap]serial-id21023529G007C000020
#进入radio2射频视图。
[AC-wlan-ap-officeap]radio2
#将在AC上配置的服务模板1与射频2进行关联,Client通过服务模板1接入VLAN300。
[AC-wlan-ap-officeap-radio-2]service-template1vlan-id300
#使能AP的radio2。
[AC-wlan-ap-officeap-radio-2]radioenable
[AC-wlan-ap-officeap-radio-2]quit
[AC-wlan-ap-officeap]quit
(9)配置AC的默认路由
#将AC的默认路由指向交换机,地址为125.100.1.1
[AC]iproute-static0.0.0.00.0.0.0125.100.1.1
3.4.2Switch的配置
#创建VLAN100和VLAN300,其中VLAN100用于转发AC和AP间LWAPP隧道内的流量,VLAN300为无线用户接入的VLAN。
system-view
[Switch]vlan100
[Switch-vlan100]quit
[Switch]vlan300
[Switch-vlan300]quit
#配置Switch与AC相连的GigabitEthernet1/0/1接口的属性为trunk,当前trunk口的PVID为100,允许VLAN100通过。
[Switch]interfaceGigabitEthernet1/0/1
[Switch-GigabitEthernet1/0/1]portlink-typetrunk
[Switch-GigabitEthernet1/0/1]porttrunkpermitvlan100
[Switch-GigabitEthernet1/0/1]porttrunkpvidvlan100
[Switch-GigabitEthernet1/0/1]quit
#配置Switch与AP相连的GigabitEthernet1/0/2接口属性为access,并允许VLAN100通过。
[Switch]interfaceGigabitEthernet1/0/2
[Switch-GigabitEthernet1/0/2]portlink-typeaccess
[Switch-GigabitEthernet1/0/2]portaccessvlan100
#使能PoE功能。
[Switch-GigabitEthernet1/0/2]poeenable
[Switch-GigabitEthernet1/0/2]quit
#配置Switch使能DHCP服务。
[Switch]dhcpenable
#创建名为vlan100的DHCP地址池,配置地址池范围为125.100.1.10~125.100.1.20,网关地址为125.100.1.4,为AP分配IP地址。
[Switch]dhcpserverip-poolvlan100extended
[Switch-dhcp-pool-vlan100]networkiprange125.100.1.10125.100.1.20
[Switch-dhcp-pool-vlan100]networkmask255.255.0.0
[Switch-dhcp-pool-vlan100]gateway-list125.100.1.4
[Switch-dhcp-pool-vlan100]quit
#创建名为vlan300的DHCP地址池,配置地址池范围为125.30.0.2~125.30.0.5,网关地址为125.30.0.6,为Client分配IP地址。
[Switch]dhcpserverip-poolvlan300extended
[Switch-dhcp-pool-vlan300]networkiprange125.30.0.2125.30.0.5
[Switch-dhcp-pool-vlan300]networkmask255.255.0.0
[Switch-dhcp-pool-vlan300]gateway-list125.30.0.6
[Switch-dhcp-pool-vlan300]quit
3.4.3WindowsServer2003IAS服务器的配置
#如图2所示,单击“开始”菜单,选择[管理工具/Internet验证服务]菜单项,单击进入“Internet验证服务”。
图1进入Internet验证服务
#如图3所示,在左边菜单中单击“远程访问策略”标签,选择“到Microsoft路由选择和远程访问服务器的连接”,双击进入。
图2选择远程访问策略
#如图4所示,点击<编辑配置文件>按钮,编辑用户的访问策略。
图3编辑用户使用的远程策略的配置文件
#如图5所示,选取“高级”页签,点击<添加>按钮,弹出“添加属性”窗口。
图4编辑拨入配置文件
#如图6所示,选取Filter-ID选项,双击Filter-ID,弹出“多值属性信息”对话框。
图5添加Filter-ID属性
#如图7所示,在“多值属性信息”对话框中点击<添加>按钮,弹出“属性信息”窗口。
图6添加多值属性信息
#如图8所示,在“属性信息”窗口中配置Fileter-ID属性值。
选择字符串形式,输入值3000,表示下发序号为3000的ACL,单击<确定>按钮,完成属性添加。
图7在属性信息中添加所要下发的ACL
#完成属性添加后如下,点击<应用>按钮,然后点击<确定>按钮,完成操作。
图8添加属性完成
3.5验证配置
(1)Client通过802.1X认证上线后,执行displayconnection命令,查看802.1X用户上线后的基本信息。
观察上线信息的Index,本例中Index值为27。
displayconnection
Index=27,Username=lw@office
MAC=00-24-01-EB-FA-EE
IP=N/A
IPv6=N/A
Online=00h00m09s
Total1connection(s)matched.
(2)通过执行displayconnectionucibindex27命令,得到Client通过802.1X认证后的详细信息,可以查看到授权ACL下发成功。
displayconnectionucibindex27
Index=27,Username=lw@office
MAC=00-24-01-EB-FA-EE
IP=N/A
IPv6=N/A
Access=8021X,AuthMethod=EAP
PortType=Wireless-802.11,PortName=WLAN-DBSS1:
0
InitialVLAN=200,AuthorizationVLAN=N/A
ACLGroup=3000
UserProfile=N/A
CAR=Disable
TrafficStatistic:
InputOctets=0OutputOctets=0
InputGigawords=0OutputGigawords=0
Priority=Disable
SessionTimeout=N/A,Terminate-Action=N/A
Start=2013-11-2019:
34:
23,Current=2013-11-2019:
34:
38,Online=00h00m15s
Total1connectionmatched.
(3)Client认证成功并获取IP地址后,能ping通8.125.0.0/16网段,无法ping通其他网段,证明授权ACL已生效。
C:
\DocumentsandSettings\Administrator>ping8.125.1.1
Pinging8.125.1.1with32bytesofdata:
Replyfrom8.125.1.1:
bytes=32time=6msTTL=254
Replyfrom8.125.1.1:
bytes=32time=12msTTL=254
Replyfrom8.125.1.1:
bytes=32time=46msTTL=254
Replyfrom8.125.1.1:
bytes=32time=25msTTL=254
Pingstatisticsfor8.125.1.1:
Packets:
Sent=4,Received=4,Lost=0(0%loss),
Approximateroundtriptimesinmilli-seconds:
Minimum=6ms,Maximum=46ms,Average=22ms
C:
\DocumentsandSettings\Administrator>ping125.100.1.1
Pinging125.100.1.1with32bytesofdata:
Requesttimedout.
Requesttimedout.
Requesttimedout.
Requesttimedout.
Pingstatisticsfor125.100.1.1:
Packets:
Sent=4,Received=0,Lost=4(100%loss),
(4)通过displayacl命令可以查看到ACL3000规则的匹配数量(略)。
3.6配置文件
#
port-securityenable
#
dot1xauthentication-methodeap
#
aclnumber3000
rule0permitipdestination8.125.0.00.0.255.255
rule1denyip
#
vlan100
#
vlan200
#
vlan300
#
radiusschemeoffice
server-typeextended
primaryauthentication8.125.1.1
primaryaccounting8.125.1.1
keyauthenticationcipher$c$3$EnNB6wxpjYSAJMiU2aaeNArZaBzSAl3G5A==
keyaccountingcipher$c$3$o9Wa5f+anDJ56GonM9lE7c8otvLF06HKGA==
user-name-formatwithout-domain
nas-ip125.100.1.4
#
domainoffice
authenticationlan-accessradius-schemeoffice
authorizationlan-accessradius-schemeoffice
accountinglan-accessnone
access-limitdisable
stateactive
idle-cutdisable
self-service-urldisable
#
wlanservice-template1crypto
ssidservice
bindWLAN-ESS1
cipher-suiteccmp
security-iersn
service-templateenable
#
interfaceGigabitEthernet1/0/1
portlink-typetrunk
porttrunkpermitvlan100200300
#
interfaceVlan-interface100
ipaddress125.100.1.4255.255.0.0
#
interfaceWLAN-ESS1
portlink-typehybrid
undoporthybridvlan1
porthybridvlan200untagged
porthybridpvidvlan200
mac-vlanenable
port-securityport-modeuserlogin-secure-ext
port-securitytx-key-type11key
undod