- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
05-Triple認證配置
本章節下載: 05-Triple認證配置 (247.65 KB)
在客戶端形式多樣的網絡環境中,不同客戶端支持的接入認證方式有所不同,如圖1-1所示,有的客戶端隻能進行MAC地址認證(比如打印機終端);有的主機安裝了802.1X客戶端軟件,可以進行802.1X認證;有的用戶主機隻希望通過Web訪問進行Portal認證。為了靈活地適應這種網絡環境中的多種認證需求,需要在接入用戶的端口上對三種認證方式進行統一部署,使得用戶可以選擇任何一種適合的認證機製來進行認證,且隻需要成功通過一種方式的認證即可實現接入,無需通過多種認證。
圖1-1 Triple認證典型應用組網圖
Triple認證方案可滿足以上需求,允許在設備的二層端口上同時開啟Portal認證、MAC地址認證和802.1X認證功能,使得選用其中任意一種方式進行認證的客戶端均可通過該端口接入網絡。
關於802.1X、MAC地址認證、Portal認證的詳細介紹請分別參考“安全配置指導”中的“802.1X配置”、“MAC地址認證配置”和“Portal配置”。
當端口上同時開啟了802.1X認證、MAC地址認證和Portal認證功能後,不同類型的客戶端報文可觸發不同的認證過程:
· 客戶端網卡接入網絡時,如果發送ARP報文或者DHCP報文(廣播報文),則首先觸發MAC地址認證,若MAC地址認證成功,則後續無需其它認證;若MAC地址認證失敗,則後續允許觸發802.1X或者Portal認證。
· 如果客戶端使用係統自帶的802.1X客戶端或者第三方客戶端軟件發送EAP報文,或者在設備開啟單播觸發功能的情況下客戶端發送任意報文,則觸發802.1X認證。
· 如果客戶端發送HTTP報文,則觸發Portal認證。
端口允許多種認證過程同時進行,且某一種認證失敗不會影響同時進行的其它認證過程。一旦客戶端通過某一種認證,設備將立即中止同時進行的其它認證過程。之後,端口是否允許該客戶端觸發其它認證過程的情況有所不同:
· 客戶端通過802.1X認證或者Portal認證後,將不能再觸發其它認證。
· 客戶端通過MAC地址認證後,將不能再觸發Portal認證,但是允許觸發802.1X認證。若802.1X認證成功,則端口上後生成的802.1X認證用戶信息會覆蓋已存在的MAC地址認證用戶信息。
在同時使能了三種認證方式的端口上,還支持以下擴展功能:
服務器向通過認證的用戶所在的端口下發授權VLAN,端口將用戶加入對應的授權VLAN中。
用戶認證失敗後,端口將認證失敗的用戶加入已配置的認證失敗的VLAN中。
· 對於802.1X和Portal用戶,認證失敗的VLAN為端口上配置Auth-Fail VLAN。
· 對於MAC地址認證用戶,認證失敗的VLAN為端口上配置的Guest VLAN。
允許在同一個端口上配置不同類型的認證失敗的VLAN,但最終端口上認證失敗的用戶所加入的VLAN與用戶所經曆的認證失敗類型有關,通常情況下為用戶第一次認證失敗後加入的VLAN,但如果用戶進行了802.1X認證且失敗了,則用戶會立刻離開之前已經加入的認證失敗的VLAN而加入端口上配置的802.1X認證失敗的VLAN。
設備能夠根據服務器下發的授權ACL對通過認證的用戶所在端口的數據流進行控製;在服務器上配置授權ACL之前,需要在設備上配置相應的規則。管理員可以通過改變服務器的授權ACL設置或設備上對應的ACL規則來改變用戶的訪問權限。
· 對於Portal用戶,通過開啟用戶在線檢測定時器來探測用戶是否在線,檢測時間間隔可配;
· 對於802.1X認證用戶,通過開啟端口上的在線用戶握手功能或者重認證功能來探測用戶是否在線,探測時間間隔可配置;
· 對於MAC地址認證用戶,通過開啟下線檢測定時器,來探測用戶是否在線,檢測時間間隔可配置。
關於各擴展功能的詳細介紹請分別參考“安全配置指導”中的“802.1X配置”、“MAC地址認證配置”和“Portal配置”。
表1-1 Triple認證配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
|
配置802.1X認證 |
三者至少選其一 |
必須為基於MAC的接入控製方式(macbased); 不建議使用Guest VLAN功能 |
具體配置請參考“安全配置指導”中的“802.1X配置” |
|
配置MAC地址認證 |
- |
具體配置請參考“安全配置指導”中的“MAC地址認證配置” |
|
|
配置Portal認證 |
僅支持二層Portal認證的相關功能 |
具體配置請參考“安全配置指導”中的“Portal配置” |
|
在如圖1-3所示的組網環境中,用戶通過接入設備Switch接入網絡,要求在Switch的二層端口上對所有用戶進行統一認證,且隻要用戶通過802.1X認證、Portal認證、MAC地址認證中的任何一種認證,即可接入網絡。具體需求如下:
· 客戶端上靜態配置屬於192.168.1.0/24網段的IP地址;
· 使用遠程RADIUS服務器進行認證、授權和計費,且發送給RADIUS服務器的用戶名不攜帶ISP域名;
· 本地Portal認證服務器的監聽IP地址為4.4.4.4,設備向Portal用戶推出係統默認的認證頁麵,並使用HTTP傳輸認證數據。
圖1-2 Triple認證基本功能配置組網圖
· 保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 保證Web用戶的主機上有與本地Portal服務器監聽IP地址可達的路由表項。
· 完成RADIUS服務器的配置,保證用戶的認證/授權/計費功能正常運行。本例中,RADIUS服務器上配置一個802.1X用戶(帳戶名為userdot),一個Portal用戶(帳戶名為userpt),以及一個MAC地址認證用戶(帳戶名、密碼均為Printer的MAC地址001588f80dd7)。
(1) 配置Portal認證
# 配置端口屬於VLAN及對應VLAN接口的IP地址(略)。
# 配置本地Portal服務器支持HTTP協議。
<Switch> system-view
[Switch] portal local-server http
# 配置Loopback接口12的IP地址為4.4.4.4。
[Switch] interface loopback 12
[Switch-LoopBack12] ip address 4.4.4.4 32
[Switch-LoopBack12] quit
# 指定二層Portal認證的本地Portal服務器監聽IP地址為4.4.4.4。
[Switch] portal local-server ip 4.4.4.4
# 在端口GigabitEthernet 1/0/1上使能二層Portal認證。
[Switch] interface gigabitethernet 1/0/1
[Switch–GigabitEthernet1/0/1] portal local-server enable
[Switch–GigabitEthernet1/0/1] quit
(2) 配置802.1X認證
# 全局使能802.1X認證。
[Switch] dot1x
# 在端口GigabitEthernet1/0/1上使能802.1X認證(必須為基於MAC的接入控製方式)。
[Switch] interface gigabitethernet1/0/1
[Switch–GigabitEthernet1/0/1] dot1x port-method macbased
[Switch–GigabitEthernet1/0/1] dot1x
[Switch–GigabitEthernet1/0/1] quit
(3) 配置MAC地址認證
# 全局使能MAC地址認證。
[Switch] mac-authentication
# 在端口GigabitEthernet 1/0/1上使能MAC地址認證。
[Switch] interface gigabitethernet1/0/1
[Switch–GigabitEthernet1/0/1] mac-authentication
[Switch–GigabitEthernet1/0/1] quit
(4) 配置RADIUS方案
# 創建並進入名字為rs1的RADIUS方案視圖。
[Switch] radius scheme rs1
# 配置RADIUS方案的服務器類型。使用iMC服務器時,RADIUS服務器類型應選擇extended。
[Switch-radius-rs1] server-type extended
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[Switch-radius-rs1] primary authentication 1.1.1.2
[Switch-radius-rs1] primary accounting 1.1.1.2
[Switch-radius-rs1] key authentication radius
[Switch-radius-rs1] key accounting radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[Switch-radius-rs1] user-name-format without-domain
[Switch-radius-rs1] quit
(5) 配置認證域
# 創建並進入名字為triple的ISP域。
[Switch] domain triple
# 為所有類型的用戶配置缺省的AAA方案。
[Switch-isp-triple] authentication default radius-scheme rs1
[Switch-isp-triple] authorization default radius-scheme rs1
[Switch-isp-triple] accounting default radius-scheme rs1
[Switch-isp-triple] quit
# 配置係統缺省的ISP域為triple。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方案。
[Switch] domain default enable triple
用戶userdot通過802.1X客戶端發起認證,輸入正確的用戶名和密碼後,可成功通過802.1X認證;Web用戶userpt通過Web瀏覽器訪問外部網絡,其Web請求均被重定向到認證頁麵http://4.4.4.4/portal/logon.htm。用戶根據網頁提示輸入正確的用戶名和密碼後,能夠成功通過Portal認證;打印機接入網絡後,可成功通過MAC地址認證。
可通過display connection命令查看已在線用戶的信息。
[Switch] display connection
Slot: 1
Index=30 , Username=userpt@triple
IP=192.168.1.2
IPv6=N/A
MAC=0015-e9a6-7cfe
Index=31 , Username=userdot@triple
IP=192.168.1.3
IPv6=N/A
MAC=0002-0002-0001
Index=32 , Username=001588f80dd7@triple
IP=192.168.1.4
IPv6=N/A
MAC=0015-88f8-0dd7
Total 3 connection(s) matched on slot 1.
Total 3 connection(s) matched.
在如圖1-3所示的組網環境中,用戶通過接入設備Switch接入網絡,要求在Switch的二層端口上對所有用戶進行統一認證,且隻要用戶通過802.1X認證、Portal認證、MAC地址認證中的任何一種認證,即可接入網絡。具體需求如下:
· Portal用戶通過DHCP動態獲取IP地址,認證前使用192.168.1.0/24網段的IP地址,認證成功後使用3.3.3.0/24網段的IP地址,認證失敗後使用2.2.2.0/24網段的IP地址;(DHCP服務器可由接入設備充當也可外置,本例中由接入設備提供DHCP服務)
· 802.1X用戶在認證前使用手工配置的192.168.1.0/24網段的IP地址,認證成功後通過DHCP動態獲取3.3.3.0/24網段的IP地址,認證失敗後使用手工配置的2.2.2.0/24網段的IP地址。
· 打印機成功接入網絡後通過DHCP獲取一個與它的MAC地址靜態綁定的IP地址3.3.3.111/24;
· 使用遠程RADIUS服務器進行認證、授權和計費,且發送給RADIUS服務器的用戶名不攜帶ISP域名;
· 本地Portal認證服務器的監聽IP地址為4.4.4.4,設備向Portal用戶推出自定義的認證頁麵,並使用HTTPS傳輸認證數據;
· 認證成功的用戶可被授權加入服務器上指定的VLAN 3;
· 認證失敗的用戶將被加入接入設備上配置的VLAN 2,允許訪問其中的Update服務器資源。
圖1-3 Triple認證配合VLAN下發及Auth-Fail VLAN功能配置組網圖
· 保證啟動Portal之前各主機、服務器和設備之間的路由可達。
· 若使用外置DHCP服務器,保證用戶在認證前後可成功獲取DHCP服務器分配的IP地址。
· 完成RADIUS服務器的配置,保證用戶的認證/授權/計費功能正常運行。本例中,RADIUS服務器上配置一個802.1X用戶(帳戶名為userdot),一個Portal用戶(帳戶名為userpt),以及一個MAC地址認證用戶(帳戶名、密碼均為Printer的MAC地址001588f80dd7),並配置授權VLAN(VLAN 3)。
· 完成PKI域pkidm的配置,並成功申請本地證書和CA證書,具體配置請參見“安全配置指導”中的“PKI配置”。
· 完成自定義缺省認證頁麵文件的編輯,並將其以defaultfile為名稱壓縮為一個Zip文件之後保存在設備根目錄下。
(1) 配置DHCP服務
# 配置端口屬於VLAN及對應VLAN接口的IP地址(略)。
# 使能DHCP服務。
<Switch> system-view
[Switch] dhcp enable
# 配置不參與自動分配的Update server的IP地址。
[Switch] dhcp server forbidden-ip 2.2.2.2
# 配置DHCP地址池1的屬性(地址池範圍、地址租用期限、網關地址)。建議配置較小的地址租用期限,以縮短客戶端認證成功或失敗後重新獲取IP地址的時間。
[Switch] dhcp server ip-pool 1
[Switch-dhcp-pool-1] network 192.168.1.0 mask 255.255.255.0
[Switch-dhcp-pool-1] expired day 0 hour 0 minute 1
[Switch-dhcp-pool-1] gateway-list 192.168.1.1
[Switch-dhcp-pool-1] quit
# 配置DHCP地址池2的屬性(地址池範圍、地址租用期限、網關地址)。建議配置較小的地址租用期限,以縮短客戶端認證成功後重新獲取IP地址的時間。
[Switch] dhcp server ip-pool 2
[Switch-dhcp-pool-2] network 2.2.2.0 mask 255.255.255.0
[Switch-dhcp-pool-2] expired day 0 hour 0 minute 1
[Switch-dhcp-pool-2] gateway-list 2.2.2.1
[Switch-dhcp-pool-2] quit
# 配置DHCP地址池3的屬性(地址池範圍、地址租用期限、網關地址)。建議配置較小的地址租用期限,以縮短客戶端下線後重新獲取IP地址的時間。
[Switch] dhcp server ip-pool 3
[Switch-dhcp-pool-3] network 3.3.3.0 mask 255.255.255.0
[Switch-dhcp-pool-3] expired day 0 hour 0 minute 1
[Switch-dhcp-pool-3] gateway-list 3.3.3.1
[Switch-dhcp-pool-3] quit
一般情況下,為縮小客戶端認證狀態改變之後更新IP地址的時間,建議配置較小的地址租約期限,使得前一個狀態的IP地址租約盡快過期,以觸發新的IP地址申請。但是,地址租用期限的配置還要考慮客戶端的實現,例如iNode的802.1X客戶端就可以選擇在斷開連接之後自動更新客戶端IP地址,而不必等待租約過期來重獲IP地址,因此實際應用中需要根據當前組網環境合理調整取值。
# 配置DHCP地址池4,將MAC地址為0015-e9a6-7cfe的打印機與IP地址3.3.3.111/24綁定。
[Switch] dhcp server ip-pool 4
[Switch-dhcp-pool-4] static-bind ip-address 3.3.3.111 mask 255.255.255.0
[Switch-dhcp-pool-4] static-bind mac-address 0015-e9a6-7cfe
[Switch-dhcp-pool-4] quit
(2) 配置Portal認證
# 配置SSL服務器端策略sslsvr,指定使用的PKI域為pkidm。
[Switch] ssl server-policy sslsvr
[Switch-ssl-server-policy-sslsvr] pki pkidm
[Switch-ssl-server-policy-sslsvr] quit
# 配置本地Portal服務器支持HTTPS協議,並引用SSL服務器端策略sslsvr。
[Switch] portal local-server https server-policy sslsvr
# 配置Loopback接口12的IP地址為4.4.4.4。
[Switch] interface loopback 12
[Switch-LoopBack12] ip address 4.4.4.4 32
[Switch-LoopBack12] quit
# 指定二層Portal認證的本地Portal服務器監聽IP地址為4.4.4.4。
[Switch] portal local-server ip 4.4.4.4
# 在端口GigabitEthernet 1/0/1上使能二層Portal認證,並配置認證失敗的VLAN為 VLAN 2。
[Switch] interface gigabitethernet 1/0/1
[Switch–GigabitEthernet1/0/1] port link-type hybrid
[Switch–GigabitEthernet1/0/1] mac-vlan enable
[Switch–GigabitEthernet1/0/1] portal local-server enable
[Switch–GigabitEthernet1/0/1] portal auth-fail vlan 2
[Switch–GigabitEthernet1/0/1] quit
(3) 配置802.1X認證
# 全局使能802.1X認證。
[Switch] dot1x
# 在端口GigabitEthernet 1/0/1上使能802.1X認證(必須為基於MAC的接入控製方式),並配置認證失敗的VLAN為 VLAN 2。
[Switch] interface gigabitethernet 1/0/1
[Switch–GigabitEthernet1/0/1] dot1x port-method macbased
[Switch–GigabitEthernet1/0/1] dot1x
[Switch–GigabitEthernet1/0/1] dot1x auth-fail vlan 2
[Switch–GigabitEthernet1/0/1] quit
(4) 配置MAC地址認證
# 全局使能MAC地址認證。
[Switch] mac-authentication
# 在端口GigabitEthernet 1/0/1上使能MAC地址認證,並配置認證失敗的VLAN為 VLAN 2。
[Switch] interface gigabitethernet 1/0/1
[Switch–GigabitEthernet1/0/1] mac-authentication
[Switch–GigabitEthernet1/0/1] mac-authentication guest-vlan 2
[Switch–GigabitEthernet1/0/1] quit
(5) 配置RADIUS方案
# 創建並進入名字為rs1的RADIUS方案視圖。
[Switch] radius scheme rs1
# 配置RADIUS方案的服務器類型。使用iMC服務器時,RADIUS服務器類型應選擇extended。
[Switch-radius-rs1] server-type extended
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[Switch-radius-rs1] primary authentication 1.1.1.2
[Switch-radius-rs1] primary accounting 1.1.1.2
[Switch-radius-rs1] key authentication radius
[Switch-radius-rs1] key accounting radius
# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[Switch-radius-rs1] user-name-format without-domain
[Switch-radius-rs1] quit
(6) 配置認證域
# 創建並進入名字為triple的ISP域。
[Switch] domain triple
# 為所有類型的用戶配置缺省的AAA方案。
[Switch-isp-triple] authentication default radius-scheme rs1
[Switch-isp-triple] authorization default radius-scheme rs1
[Switch-isp-triple] accounting default radius-scheme rs1
[Switch-isp-triple] quit
# 配置係統缺省的ISP域為triple。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方案。
[Switch] domain default enable triple
用戶userdot通過802.1X客戶端發起認證,輸入正確的用戶名和密碼後,可成功通過802.1X認證;Web用戶userpt通過Web瀏覽器訪問外部網絡,其Web請求均被重定向到認證頁麵https://4.4.4.4/portal/logon.htm。用戶根據網頁提示輸入正確的用戶名和密碼後,能夠成功通過Portal認證;打印機接入網絡後,可成功通過MAC地址認證。
可通過display connection命令查看已在線用戶的信息。
[Switch] display connection
Slot: 1
Index=30 , Username=userpt@triple
IP=192.168.1.2
IPv6=N/A
MAC=0015-e9a6-7cfe
Index=31 , Username=userdot@triple
IP=3.3.3.2
IPv6=N/A
MAC=0002-0002-0001
Index=32 , Username=001588f80dd7@triple
IP=N/A
IPv6=N/A
MAC=0015-88f8-0dd7
Total 3 connection(s) matched on slot 1.
Total 3 connection(s) matched.
可以通過display mac-vlan all命令查看到認證成功用戶的MAC VLAN表項,該表項中記錄了加入授權VLAN的MAC地址與端口上生成的基於MAC的VLAN之間的對應關係。
[Switch] display mac-vlan all
The following MAC VLAN addresses exist:
S:Static D:Dynamic
MAC ADDR MASK VLAN ID PRIO STATE
--------------------------------------------------------
0015-e9a6-7cfe ffff-ffff-ffff 3 0 D
0002-0002-0001 ffff-ffff-ffff 3 0 D
0015-88f8-0dd7 ffff-ffff-ffff 3 0 D
Total MAC VLAN address count:3
可通過display dhcp server ip-in-use命令查看設備為在線用戶分配的IP地址信息。
[Switch] display dhcp server ip-in-use all
Pool utilization: 0.59%
IP address Client-identifier/ Lease expiration Type
Hardware address
3.3.3.111 0015-88f8-0dd7 Dec 15 2009 17:40:52 Auto:COMMITTED
3.3.3.2 0002-0002-0001 Dec 15 2009 17:41:02 Auto:COMMITTED
3.3.3.3 0015-e9a6-7cfe Unlimited Manual
--- total 3 entry ---
若用戶認證失敗,將被加入VLAN 2中,端口上生成的MAC VLAN表項及IP地址分配情況的查看方式同上,此處略。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
