cjh 7.1 华为敏捷控制器:准入控制:MAC认证(哑终端)
7.1 华为敏捷控制器:准入控制:MAC认证(哑终端)
AgileController作Radius服务器。
(1)拓扑图
(2)基础配置
sw1:
vlan2
interface GigabitEthernet0/0/1
port link-type access
port default vlan 2
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2
sw2:
interface Vlanif1
ip address 10.12.160.254 255.255.0.0
#
interface Vlanif2
ip address 192.168.2.254 255.255.255.0
#
interface Vlanif3
ip address 192.168.0.1 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type access
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 3
#
sw2配置dhcp中继:
dhcp enable
dhcp server group dhcpgroup1
dhcp-server 10.12.12.231 0
interface Vlanif2
ip address 192.168.2.254 255.255.255.0
dhcp select relay
dhcp relay server-select dhcpgroup1
pc1测试获取ip地址:成功获取ip地址,在没有开启802.1x认证前,网络是全通了。
dhcp服务器上查看ip租用记录:
sw2:配置802.1X认证参数,实现终端用户802.1X方式接入认证。
(3.1)配置RADIUS服务器模板和认证计费方案。
[sw2]authentication unified-mode # //缺省是unified-mode,如未更改可无需执行该命令
[sw2]radius-server template radius1
[sw2-radius-radius1]radius-server authentication 10.12.160.41 1812 source ip-address 10.12.160.254
[sw2-radius-radius1]radius-server accounting 10.12.160.41 1813 source ip-address 10.12.160.254
[sw2-radius-radius1]radius-server shared-key cipher www.zh-cjh.com
[sw2-radius-radius1]quit
[sw2]radius-server authorization 10.12.160.41 shared-key cipher www.zh-cjh.com
[sw2]aaa
[sw2-aaa]authentication-scheme auth_scheme1
[sw2-aaa-authen-auth_scheme1]authentication-mode radius
[sw2-aaa-authen-auth_scheme1]quit
[sw2]aaa
[sw2-aaa]accounting-scheme acco_scheme1
[sw2-aaa-accounting-acco_scheme1]accounting-mode radius
[sw2-aaa-accounting-acco_scheme1]accounting realtime 15 #配置实时计费周期为15分钟
配置实时计费是为了认证控制设备与Agile Controller-Campus之间定期发送计费报文,确保在线状态信息一致。实时计费间隔的取值对设备和RADIUS服务器的性能有要求,实时计费间隔的取值越小,对设备和RADIUS服务器的性能就越高。请根据用户数设置计费间隔。
(3.2)全局默认域内引用RADIUS服务器模板和认证计费方案。
[sw2]aaa
[sw2-aaa]domain default
[sw2-aaa-domain-default]authentication-scheme auth_scheme1
[sw2-aaa-domain-default]accounting-scheme acco_scheme1
[sw2-aaa-domain-default]radius-server radius1
[sw2-aaa-domain-default]quit
(3.3)配置全局默认域。
[sw2]domain default //配置全局默认域
Info: Set the default domain success.
全局默认域为default,如果需要修改,请先在AAA视图下创建域,再将此域设置为全局默认域。
(3.4)配置MAC认证。
# 在接口GE0/0/2上使能MAC认证。
[sw2-GigabitEthernet0/0/2]authentication ?
access-point Enable access point
dot1x 802.1x configuration information
mac-authen MAC authenticate configure information
mode Authentication mode
portal Portal authentication
single-access Single Access Type
trigger-condition Trigger condition
[sw2-GigabitEthernet0/0/2]authentication mac-authen ?
dot1x 802.1x configuration information
portal Portal authentication
<cr>
[sw2]interface GigabitEthernet 0/0/2
[sw2-GigabitEthernet0/0/2]undo shutdown
[sw2-GigabitEthernet0/0/2]authentication mac-authen
Error: Config failed, because there are some online users on port.
[sw2-GigabitEthernet0/0/2]shutdown
[sw2-GigabitEthernet0/0/2]authentication mac-authen
[sw2-GigabitEthernet0/0/2]authentication mode multi-authen max-user 100 //指定接口的接入模式为多用户模式
缺省情况下,接口的接入认证模式为multi-authen。
命令authentication mode multi-authen max-user max-user-number,仅表示multi-authen模式时接口允许接入的最大用户数,不表示指定接口的接入模式。接口的接入模式需要修改为multi-authen时,必须配置命令authentication mode multi-authen。
L2 BNG场景下,不支持multi-share模式。
# 在全局下配置MAC认证的用户名不带分隔符“-”。
[sw2]mac-authen username macaddress format without-hyphen
[sw2]interface GigabitEthernet 0/0/2
[sw2-GigabitEthernet0/0/2]undo shutdown
[sw2]int GigabitEthernet 0/0/2
[sw2-GigabitEthernet0/0/2]dis this
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2
authentication mac-authen
authentication mode multi-authen max-user 100
#
有些交换机可以采用模板的文件配置MAC认证,但此次实验中的交换机不支持此种方式配置,参考如下:
[S12700] mac-access-profile name m1 //配置MAC接入模板。MAC接入模板中,MAC认证用户的用户名和密码默认均为不带分隔符“-”的MAC地址
[S12700-mac-access-profile-m1] quit
[S12700] authentication-profile name p1 //配置认证模板
[S12700-authen-profile-p1] mac-access-profile m1 //认证模板绑定MAC接入模板
[S12700-authen-profile-p1] access-domain mac force //认证模板下用户的强制认证域为mac
[S12700-authen-profile-p1] authentication mode multi-authen //指定接口的接入模式为多用户模式
[S12700-authen-profile-p1] quit
[S12700] interface gigabitethernet 1/0/1
[S12700-GigabitEthernet1/0/1] authentication-profile p1 //接口下使能MAC认证
[S12700-GigabitEthernet1/0/1] quit
备注:以上蓝色字体的mac配置在此次实验中不需要配置。
(3.5)定义认证前允许访问的资源
配置终端用户认证前和认证后允许访问的资源。
认证前域即配置认证用户可以免认证访问服务器区域的资源。
[sw2]authentication free-rule 1 destination ip 10.12.12.231 mask 255.255.255.255
[sw2]authentication free-rule 2 destination ip 10.12.160.41 mask 255.255.255.255
认证后域即通过ACL定义认证后允许访问的资源。
(4.1)sw2:配置与Portal服务器的对接参数
【Agile Controller-Campus】添加认证控制设备,与认证控制设备实现RADIUS对接。
# 选择“资源 > 设备 > 设备管理”。
# 单击“增加”。
# 设置设备的连接参数。
设备系列:华为S系列
RADIUS认证密钥:Admin@123
RADIUS计费密钥:Admin@123
实时计费周期:15
(5.1)添加终端设备
添加设备组
添加终端设备:
添加需要进行MAC认证的设备。
# 选择“资源 > 终端 > 终端列表”。
# 在“设备组”列表中选中首节点,在右侧单击“增加”,创建MAC认证的设备组。例如,设备组“MAC”。
# 在“设备组”列表中选中“MAC”,在右侧的“设备列表”页签单击“增加”,输入终端设备的MAC地址,例如“54-EE-75-7C-15-73”。
(5.2)添加交换机
【Agile Controller-Campus】添加认证控制设备,与认证控制设备实现RADIUS对接。
选择“资源 > 设备 > 设备管理”,添加交换机。
测试交换机与AgileContoller之间的通信。
[sw2]test-aaa u3 密码 radius-template radius1
[sw2]
Info: Account test succeed.
[sw2]
(6.1)认证规则:【Agile Controller-Campus】配置认证授权,终端用户根据条件匹配认证授权规则。
增加认证规则。
# 选择“策略 > 准入控制 > 认证授权 > 认证规则”。
# 单击“增加”。
# 设置认证规则的参数。
业务类型:MAC旁路认证业务
(6.2)增加授权规则
# 选择“策略 > 准入控制 > 认证授权 > 授权规则”。
# 单击“增加”。
# 设置授权规则的参数。
业务类型:MAC旁路认证业务
终端设备组:MAC
授权结果:允许接入
为方便测试,优先级调到最优
# 重复以上操作,创建授权规则,如果接入的设备不是MAC认证的设备,则不允许该设备接入。
(7.1)测,什么也不用做就可以正常上网了
查看在线用户的相关信息
display mac-authen
display access-user access-type mac-authen
Huawei Agile Controller(列表、list、全)华为AClist、敏捷控制器list
http://www.zh-cjh.com/wenzhangguilei/3224.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 7.1 华为敏捷控制器:准入控制:MAC认证(哑终端)
作者: cjh
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm