華為交換機與Cisco ISE服務器對接教程
華為交換機與Cisco ISE服務器對接教程
你還在為不知道華為交換機與Cisco ISE服務器對接方法而煩惱么?接下來是小編為大家收集的華為交換機與Cisco ISE服務器對接教程,希望能幫到大家。
華為交換機與Cisco ISE服務器對接教程方法
本案例以授權ACL和動態VLAN為例,簡單介紹如何通過Cisco Identity Services Engine(ISE)服務器實現為終端用戶授權。
l 授權ACL分為兩類:
− ACL描述信息:服務器上配置了ACL描述信息授權功能,則授權信息中含有ACL的描述信息。設備端根據服務器授權的ACL描述信息匹配上相應的ACL規則,對用戶權限進行控制。其中設備上需要配置ACL編號、對應的描述信息和ACL規則。
使用RADIUS標準屬性:(011)Filter-Id。
− 動態ACL:服務器向設備授權該ACL中的規則,用戶能夠訪問ACL所包括的網絡資源,ACL及ACL規則需要在服務器上配置。設備上不需要配置對應的ACL。
使用華為RADIUS私有屬性:(26-82)HW-Data-Filter。
l 動態VLAN:服務器上配置了動態VLAN下發功能,則授權信息中含有下發的VLAN屬性,設備端在接收到下發的VLAN屬性后,會將用戶所屬的VLAN修改為下發VLAN。動態VLAN可以通過VLAN ID和VLAN的描述信息下發。
授權下發的VLAN并不改變接口的配置,也不影響接口的配置。但是,授權下發的VLAN的優先級高于用戶配置的VLAN,即通過認證后起作用的VLAN是授權下發的VLAN,用戶配置的VLAN在用戶下線后生效。
動態VLAN下發,使用了以下RADIUS標準屬性:
− (064)Tunnel-Type(必須指定為VLAN,或數值13)
− (065)Tunnel-Medium-Type(必須指定為802,或數值6)
− (081)Tunnel-Private-Group-ID(可以是VLAN ID或VLAN名稱)
要通過RADIUS服務器正確下發VLAN屬性,以上三個屬性必須同時使用,而且Tunnel-Type及Tunnel-Medium-Type兩個屬性的值必須是指定的值。
配置注意事項
本例中Cisco ISE服務器的版本為1.4.0.253。
Cisco ISE服務器作為RADIUS服務器與設備對接實現授權時,需要注意以下事項:
l 支持通過RADIUS標準屬性和華為RADIUS私有屬性實現授權,不支持通過Cisco私有屬性授權。使用華為私有屬性授權時,需要在Cisco ISE服務器上手動添加私有屬性值。
l 通過ACL描述信息授權ACL時,在Cisco ISE服務器勾選Filter-ID、添加描述信息abc后,屬性下發時會自動攜帶.in后綴;若想授權成功,設備需要將該ACL的描述信息配置為abc.in。
l 動態ACL授權使用的是華為私有屬性HW-Data-Filter授權,不支持通過Cisco私有屬性授權。
l 在Cisco ISE服務器上添加華為私有屬性HW-Data-Filter后,在授權模板中既存在Filter-ID又存在HW-Data-Filter時,只能下發Filter-ID,不能下發HW-Data-Filter。
l 通過ACL描述信息授權ACL時,由于Cisco ISE服務器支持配置的描述信息長度最大為252個字節、設備支持配置的描述信息長度最大為127個字節,所以兩端配置的描述信息不能超過127個字節。
l 通過VLAN描述信息授權動態VLAN時,由于Cisco ISE服務器支持配置的描述信息長度最大為32個字節、設備支持配置的描述信息長度最大為80個字節,所以兩端配置的描述信息不能超過32個字節。
組網需求
如圖3-10所示,某公司內部大量員工終端通過SwitchA上的接口GE1/0/1接入網絡。為確保網絡的安全性,管理員需對終端的網絡訪問權限進行控制,要求如下:
l 終端認證成功前能夠訪問公共服務器(IP地址為192.168.40.1),執行下載802.1x客戶端或更新病毒庫的操作。
l 終端認證成功后能夠訪問業務服務器(IP地址為192.168.50.1)和實驗室內的設備(所屬VLAN號為20,IP地址段為192.168.20.10–192.168.20.100)。
有線接入組網圖
數據準備
接入交換機業務數據規劃
項目 | 數據 |
RADIUS方案 | l認證服務器IP地址:192.168.30.1 l認證服務器端口號:1812 l計費服務器IP地址:192.168.30.1 l計費服務器端口號:1813 lRADIUS服務器共享密鑰:Huawei@123 l認證域:huawei |
認證成功前可訪問的資源 | 公共服務器的訪問權限通過免認證規則設置 |
認證成功后可訪問的資源 | 實驗室的訪問權限通過動態VLAN授權,VLAN號為:20 業務服務器的訪問權限通過ACL號授權,ACL號為:3002,描述信息為3002.in |
Cisco ISE服務器業務數據規劃
項目 | 數據 |
部門 | 研發部 |
接入用戶 | 用戶名:A-123 密碼:Huawei123 |
交換機IP地址 | SwitchA:10.10.10.1 |
RADIUS認證密鑰 | Huawei@123 |
RADIUS計費密鑰 | Huawei@123 |
配置思路
1. 配置接入交換機。包括配置接口所屬VLAN、與RADIUS服務器的對接參數、使能NAC認證、認證成功后的網絡訪問權限等。
本示例需保證SwitchA、SwitchB、各個服務器、實驗室以及員工區域之間路由互通。
2. 配置Cisco ISE服務器:
a. 登錄Cisco ISE服務器。
b. 在Cisco ISE服務器上添加用戶。
c. 在Cisco ISE服務器上添加交換機。
d. 在Cisco ISE服務器上配置使用的密碼認證協議。
e. 在Cisco ISE服務器上配置認證策略。
f. 在Cisco ISE服務器上配置授權策略。
操作步驟
步驟一 配置接入交換機SwitchA。
1. 創建VLAN并配置接口允許通過的VLAN,保證網絡通暢。
<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] vlan batch 10 20
[SwitchA] interface gigabitethernet 0/0/1 //配置與員工終端連接的接口
[SwitchA-GigabitEthernet0/0/1] port link-type hybrid
[SwitchA-GigabitEthernet0/0/1] port hybrid pvid vlan 10
[SwitchA-GigabitEthernet0/0/1] port hybrid untagged vlan 10
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchA] interface gigabitethernet 0/0/2 //配置與實驗室連接的接口
[SwitchA-GigabitEthernet0/0/2] port link-type hybrid
[SwitchA-GigabitEthernet0/0/2] port hybrid untagged vlan 20
[SwitchA-GigabitEthernet0/0/2] quit
[SwitchA] interface gigabitethernet 0/0/3 //配置與SwitchB連接的接口
[SwitchA-GigabitEthernet0/0/3] port link-type trunk
[SwitchA-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20
[SwitchA-GigabitEthernet0/0/3] quit
[SwitchA] interface loopback 1
[SwitchA-LoopBack1] ip address 10.10.10.1 24 //配置與Cisco ISE服務器通信的IP地址
[SwitchA-LoopBack1] quit
2. 創建并配置RADIUS服務器模板、AAA認證方案以及認證域。
# 創建并配置RADIUS服務器模板“rd1”。
[SwitchA] radius-server template rd1
[SwitchA-radius-rd1] radius-server authentication 192.168.30.1 1812
[SwitchA-radius-rd1] radius-server accounting 192.168.30.1 1813
[SwitchA-radius-rd1] radius-server shared-key cipher Huawei@123
[SwitchA-radius-rd1] quit
# 創建AAA認證方案“abc”并配置認證方式為RADIUS。
[SwitchA] aaa
[SwitchA-aaa] authentication-scheme abc
[SwitchA-aaa-authen-abc] authentication-mode radius
[SwitchA-aaa-authen-abc] quit
# 配置計費方案“acco1”并配置計費方式為RADIUS。
[SwitchA-aaa] accounting-scheme acco1
[SwitchA-aaa-accounting-acco1] accounting-mode radius
[SwitchA-aaa-accounting-acco1] quit
# 創建認證域“huawei”,并在其上綁定AAA認證方案“abc”、計費方案“acco1”與RADIUS服務器模板“rd1”。
[SwitchA-aaa] domain huawei
[SwitchA-aaa-domain-huawei] authentication-scheme abc
[SwitchA-aaa-domain-huawei] accounting-scheme acco1
[SwitchA-aaa-domain-huawei] radius-server rd1
[SwitchA-aaa-domain-huawei] quit
[SwitchA-aaa] quit
3. 使能802.1x認證。
# 將NAC配置模式切換成統一模式。
[SwitchA] authentication unified-mode
設備默認為統一模式。模式切換前,管理員必須保存配置;模式切換后,設備重啟,新配置模式的各項功能才能生效。
# 配置802.1x接入模板“d1”,并指定認證協議為EAP。
[SwitchA] dot1x-access-profile name d1
[SwitchA-dot1x-access-profile-d1] dot1x authentication-method eap
[SwitchA-dot1x-access-profile-d1] quit
# 配置免認證規則模板“default_free_rule”。
[SwitchA] free-rule-template name default_free_rule
[SwitchA-free-rule-default_free_rule] free-rule 10 destination ip 192.168.40.1 mask 32
[SwitchA-free-rule-default_free_rule] quit
# 配置認證模板“p1”,并在其上綁定802.1x接入模板“d1”、綁定免認證規則模板“default_free_rule”、指定認證模板下用戶的強制認證域為“huawei”。
[SwitchA] authentication-profile name p1
[SwitchA-authen-profile-p1] dot1x-access-profile d1
[SwitchA-authen-profile-p1] free-rule-template default_free_rule
[SwitchA-authen-profile-p1] access-domain huawei force
[SwitchA-authen-profile-p1] quit
# 在接口GE0/0/1上綁定認證模板“p1”,使能802.1x認證。
[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] authentication-profile p1
[SwitchA-GigabitEthernet0/0/1] quit
4. 配置認證成功后的授權參數ACL3002。
[SwitchA] acl 3002
[SwitchA-acl-adv-3002] description 3002.in //配置ACL描述信息為3002.in;此時,Cisco ISE服務器設置的Filter-ID為3002
[SwitchA-acl-adv-3002] rule 1 permit ip destination 192.168.30.1 0
[SwitchA-acl-adv-3002] rule 2 permit ip destination 192.168.50.1 0
[SwitchA-acl-adv-3002] rule 3 deny ip destination any
[SwitchA-acl-adv-3002] quit
步驟二 Cisco ISE服務器側配置。
1. 登錄Cisco ISE服務器。
a. 打開Internet Explorer瀏覽器,在地址欄輸入Cisco ISE服務器的訪問地址,單擊“Enter”。
訪問方式 | 說明 |
https://Cisco ISE-IP | 其中,“Cisco ISE-IP”為Cisco ISE服務器的IP地址。 |
b. 輸入管理員帳號和密碼登錄Cisco ISE服務器。
2. 創建用戶組和用戶。
a. 選擇“Administration > Identity Management > Groups”。在右側操作區域內選擇“Add”,創建用戶組“R&D”。
b. 選擇“Administration > Identity Management > Identities”。在右側操作區域內點擊“Add”,創建用戶名為“A-123”、密碼為“Huawei123”的用戶,并將該用戶添加到用戶組“R&D”。
3. 在Cisco ISE服務器中添加交換機設備,以便Cisco ISE服務器能與交換機正常聯動。
選擇“Administration > Network Resources > Network Devices”。在右側操作區域內點擊“Add”,進入“New Network Device”頁面,在該頁面添加網絡接入設備并設置設備的連接參數。
參數 | 取值 | 說明 |
Name | SwitchA | - |
IP Address | 10.10.10.1/32 | 交換機上該接口必須與Cisco ISE服務器互通。 |
Shared Secret | Huawei@123 | 與交換機上配置的對研發部員工的訪問控制規則一致。 |
4. 配置使用的密碼認證協議。
選擇“Policy > Policy Elements > Result”。在左側操作區域內選擇“Authentication > Allowed Protocols”,進入“Allowed Protocols Services”界面。在右側操作區域內點擊“Add”,創建新的網絡接入方式,選擇允許使用的密碼認證協議。
交換機與Cisco ISE服務器對接時,支持EAP、PAP和CHAP三種認證方式。交換機配置為EAP認證方式與Cisco ISE服務器對接時,不支持EAP-LEAP和EAP-FAST兩種模式。
5. 配置認證策略。
選擇“Policy > Authentication”。認證策略分為“Simple”和“Rule-Based”兩種,與“Simple”方式相比,“Rule-Based”方式可以匹配多個網絡接入方式(即“Allowed Protocol”)。這里以“Simple”為例。在“Network Access Service”下拉框中選擇上步新建的網絡接入方式“802.1X”,其他選擇默認配置。
6. 配置授權策略。
a. 新增授權規則。
選擇“Policy > Authorization”。點擊右方“Edit”后的三角形,選擇“Insert New Rule Above”,新增名稱為“Authorization rule for authenticated users”的授權規則、授權的用戶組為“R&D”。
b. 添加訪問權限。
i. 在“Permissions”列,點擊“Add New Standard Profile”,進入“Add New Standard Profile”頁面。
ii. 在“Add New Standard Profile”頁面,設置訪問權限。
參數 | 取值 | 說明 |
Name | VLAN20&ACL3002 | - |
Access Type | ACCESS_ACCEPT | 認證成功的訪問權限。 |
Common Tasks | Huawei@123 | VLAN:授權的VLAN編號或VLAN描述信息。 Filter-ID:授權的ACL描述信息。 |
步驟三 檢查配置結果。
l 員工在沒有認證的情況下只能訪問Cisco ISE服務器和公共服務器。
l 員工認證通過后,能夠訪問Cisco ISE服務器、公共服務器、業務服務器和實驗室。
l 認證通過后,在交換機上執行命令display access-user,可以看到員工的在線信息。
看過“華為交換機與Cisco ISE服務器對接教程”的人還看了: