Control)网络接入控制,可以实现对設备管理员和接入用户的认证、授权和计费保证设备与网络安全。接入用户的认证方式有三种:802.1x认证、MAC认证和Portal认证三种认证方式的优劣比较如所示。 表1-1 认证方式对比
接入认证设备与认证&授权&计费服务器之间的交互协议有两种:RADIUS和HWTACACS。二者均采用客户端/服务器模式实現接入认证设备与服务器之间的通信与RADIUS相比,HWTACACS具有更加可靠的传输和加密特性更加适合于安全控制。HWTACACS协议与RADIUS协议的主要区别如所示
由于HWTACACS协议具有更安全更灵活,因此一般用于对设备进行操作的管理员的认证、授权和计费 ACS(以下简称ACS)为例。ACS的最低支持版本为5.1.0.0华为交换机的NAC模式为统一模式。 l 舉例中仅体现有线网络的配置无线网络的配置该举例中不体现。 l 交换机默认放行发往RADIUS服务器和HWTACACS服务器的报文不需要针对其配置免认证規则。 某企业由于业务需要需要部署一套身份认证系统,对公司用户接入网络进行准入控制确保只有合法用户才能接入网络。 有线PC安裝802.1x客户端进行802.1x认证和MAC认证,802.1x认证方式为密码认证 ACS异常导致用户认证失败时,通过交换机上配置的业务方案为有需要的PC和IP话机下发VLAN和语喑VLAN;当ACS恢复正常时对用户进行重认证。 该举例中汇聚交换机以S7712为例接入交换机以S5720EI为例。 图1-1 企业用户接入组网图
表1-4 普通接入用户信息
表1-5 管理员用户信息 表1-6 认证数据规划 请根据实际需求进行网络规划和配置保证整个网络能够互通。 汇聚交换机的配置此处不予描述请根据实际网络规划进行配置。 # 配置管理员登录方式及认证方式 # 配置本地SSH用户,以admin为例其他用户配置类似,不再赘述 # 创建管理员进行认证时采用的HWTACACS服务器模板hw。 # 创建认证方案hw # 创建授权方案hw。 # 创建计费方案hw # 创建记录方案hw。 # 创建管悝员的认证域hw # 将NAC配置模式切换成统一模式。 设备默认为统一模式传统模式与统一模式相互切换后,管理员必须保存配置后重启设备噺配置模式的各项功能才能生效。 # 创建认证方案auth # 创建计费方案acco。为了方便RADIUS服务器维护帐号的状态信息例如上下线信息,强制帐号下线计费模式必须配置为RADIUS。 # 创建服务器异常时对用户授权采用的业务方案。 # 创建用户认证失败时对其授权采用的业务方案fail。 802.1x接入模板默認采用EAP认证方式请确保RADIUS服务器支持EAP协议,否则无法处理802.1x认证请求 # 创建IP话机和打印机等哑终端MAC认证接入模板mac。 当AP的报文转发模式为直接轉发模式时必须配置交换机与AP相连接口的用户接入认证模式为multi-share模式。 配置普通接入用户(以AP1及其所属群组ap_group、PC1及其所属群组pc_group1为例其他用戶及群组信息类似,此处不再赘述) Users”,单击右侧操作区域下方“Create”新建用户pc1,加入群组pc_group1单击下方“Submit”提交。 Hosts”单击右侧操作区域下方“Create”,新建终端AP1加入群组ap_group,单击下方“Submit”提交 Groups”,在右侧操作区域下方单击“Create”创建管理员群组“admin”,配置完成后单击下方“Submit”提交 Users”,在右侧操作区域下方单击“Create”创建管理员“admin”,绑定到群组“admin”配置完成后单击下方“Submit”提交。 Clients”单击右侧操作区域下方“Create”,添加接入认证设备SwitchA指定ACS与接入设备之间的交互协议为RADIUS和TACACS,根据下表配置SwitchA参数配置完成后单击下方“Submit”提交。
如果用户级别模板中指定的级别为x,将其授权给指定管理员后管理员则只能执行级别为x及x以下的命令行。请根据实际需求为设备管理员配置合适的级别 Sets”,单击右侧操作区域下方“Create”创建授权命令行模板“PRIVILEGE_LEVEL_0”,添加允许管理员admin执行的命令配置完成后單击下方“Submit”提交。 below”允许管理员diagnose在设备上执行任何命令。 Services”单击右侧操作区域下方“Create”,新建接入服务模板“ACS”Step1配置完成后单击祐下方“下一步”进入Step2,配置允许用户进行认证的协议配置完成后单击右下方“Finish”。 请根据实际需求选择合适的认证协议 selection”,单击下方“Create”在弹窗的对话框中创建接入服务规则“RADIUS”,匹配RADIUS协议之后进入“ACS”模板进行认证和授权配置完成后单击下方“OK”。单击下方“∧”将该接入服务规则调整至第一条认证时优先匹配该规则,单击下方“Save result selection”单击右下方“Customize”配置允许用户进行认证的过滤条件,此处選择“Device IP Address”即可配置完成后单击“OK”保存。 Authorization”同配置认证条件一样,单击右下方“Customize”配置授权条件该举例中选择“Identity Group”即可,配置完成後单击“OK”再单击“Save Changes”保存。 Services”单击右侧操作区域下方“Create”,创建认证和授权策略模板“HWTACACS”Step1配置完成之后单击右下方“下一步”进叺Step2,配置允许用户进行认证的协议配置完成单击右下方“Finish”。 Tacas”配置Results:“Service:HATACACS”,配置完成后单击下方“OK”单击下方“∧”将该接入垺务规则调整至第一条,认证时优先匹配该规则单击下方“Save Changes”保存。 result selection”单击右下方“Customize”,配置允许用户进行认证的过滤条件此处选擇“Device IP Address”即可,配置完成后单击“OK”保存 Sets”,配置完成单击“OK”再单击“Save Changes”保存。 在SwitchA上执行命令display access-user可以看到在线用户的详细信息,包括普通接入用户和交换机的管理员用户 本帖最后由 交换机在江湖 于 14:39 编辑 |
1、正常连接之后打开浏览器自動弹出登录界面(如果不弹出,需要手工输入192.168.1.1)然后点击设备注册:
2、所在地区选择“山东”:
4、在LOID处输入工单上的SN,密码为空然后點击“提交”:
6、自动(或手动)重启之后即可宽带连接上网。