选择区域语言: EN CN HK

09 安全配置指导

05-Triple认证配置

本章节下载  (238.26 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/CE3000/CE3000-EI/Configure/Operation_Manual/H3C_CE3000-32F-EI_CG-Release_1211-6W100/09/201107/721427_30005_0.htm

05-Triple认证配置


1 Triple认证配置

1.1  Triple认证简介

1.1.1  产生背景

在客户端形式多样的网络环境中,不同客户端支持的接入认证方式有所不同,如图1-1所示,有的客户端只能进行MAC地址认证(比如打印机终端);有的主机安装了802.1X客户端软件,可以进行802.1X认证;有的用户主机只希望通过Web访问进行Portal认证。为了灵活地适应这种网络环境中的多种认证需求,需要在接入用户的端口上对三种认证方式进行统一部署,使得用户可以选择任何一种适合的认证机制来进行认证,且只需要成功通过一种方式的认证即可实现接入,无需通过多种认证。

图1-1 Triple认证典型应用组网图

 

Triple认证方案可满足以上需求,允许在设备的二层端口上同时开启Portal认证、MAC地址认证和802.1X认证功能,使得选用其中任意一种方式进行认证的客户端均可通过该端口接入网络。

关于802.1X、MAC地址认证、Portal认证的详细介绍请分别参考“安全配置指导”中的“802.1X配置”、“MAC地址认证配置”和“Portal配置”。

 

1.1.2  认证机制

当端口上同时开启了802.1X认证、MAC地址认证和Portal认证功能后,不同类型的客户端报文可触发不同的认证过程:

l              客户端网卡接入网络时,如果发送ARP报文或者DHCP报文(广播报文),则首先触发MAC地址认证,若MAC地址认证成功,则后续无需其它认证;若MAC地址认证失败,则后续允许触发802.1X或者Portal认证。

l              如果客户端使用系统自带的802.1X客户端或者第三方客户端软件发送EAP报文,或者在设备开启单播触发功能的情况下客户端发送任意报文,则触发802.1X认证。

l              如果客户端发送HTTP报文,则触发Portal认证。

端口允许多种认证过程同时进行,且某一种认证失败不会影响同时进行的其它认证过程。一旦客户端通过某一种认证,设备将立即中止同时进行的其它认证过程。之后,端口是否允许该客户端触发其它认证过程的情况有所不同:

l              客户端通过802.1X认证或者Portal认证后,将不能再触发其它认证。

l              客户端通过MAC地址认证后,将不能再触发Portal认证,但是允许触发802.1X认证。若802.1X认证成功,则端口上后生成的802.1X认证用户信息会覆盖已存在的MAC地址认证用户信息。

1.1.3  扩展功能

在同时使能了三种认证方式的端口上,还支持以下扩展功能:

1. 授权VLAN下发

服务器向通过认证的用户所在的端口下发授权VLAN,端口将用户加入对应的授权VLAN中。

2. 认证失败的VLAN

用户认证失败后,端口将认证失败的用户加入已配置的认证失败的VLAN中。

l              对于802.1X和Portal用户,认证失败的VLAN为端口上配置Auth-Fail VLAN。

l              对于MAC地址认证用户,认证失败的VLAN为端口上配置的Guest VLAN。

允许在同一个端口上配置不同类型的认证失败的VLAN,但最终端口上认证失败的用户所加入的VLAN与用户所经历的认证失败类型有关,通常情况下为用户第一次认证失败后加入的VLAN,但如果用户进行了802.1X认证且失败了,则用户会立刻离开之前已经加入的认证失败的VLAN而加入端口上配置的802.1X认证失败的VLAN。

 

3. ACL下发

设备能够根据服务器下发的授权ACL对通过认证的用户所在端口的数据流进行控制;在服务器上配置授权ACL之前,需要在设备上配置相应的规则。管理员可以通过改变服务器的授权ACL设置或设备上对应的ACL规则来改变用户的访问权限。

4. 在线用户探测功能

l              对于Portal用户,通过开启用户在线检测定时器来探测用户是否在线,检测时间间隔可配;

l              对于802.1X认证用户,通过开启端口上的在线用户握手功能或者重认证功能来探测用户是否在线,探测时间间隔可配置;

l              对于MAC地址认证用户,通过开启下线检测定时器,来探测用户是否在线,检测时间间隔可配置。

关于各扩展功能的详细介绍请分别参考“安全配置指导”中的“802.1X配置”、“MAC地址认证配置”和“Portal配置”。

 

1.2  Triple认证配置任务简介

表1-1 Triple认证配置任务简介

配置任务

说明

详细配置

配置802.1X认证

三者至少选其一

必须为基于MAC的接入控制方式(macbased);

不建议使用Guest VLAN功能

具体配置请参考“安全配置指导”中的“802.1X配置”

配置MAC地址认证

-

具体配置请参考“安全配置指导”中的“MAC地址认证配置”

配置Portal认证

仅支持二层Portal认证的相关功能

具体配置请参考“安全配置指导”中的“Portal配置”

 

1.3  Triple认证典型配置举例

1.3.1  Triple认证基本功能配置举例

1. 组网需求

在如图1-3所示的组网环境中,用户通过接入设备Switch接入网络,要求在Switch的二层端口上对所有用户进行统一认证,且只要用户通过802.1X认证、Portal认证、MAC地址认证中的任何一种认证,即可接入网络。具体需求如下:

l              客户端上静态配置属于192.168.1.0/24网段的IP地址;

l              使用远程RADIUS服务器进行认证、授权和计费,且发送给RADIUS服务器的用户名不携带ISP域名;

l              本地Portal认证服务器的监听IP地址为4.4.4.4,设备向Portal用户推出系统默认的认证页面,并使用HTTP传输认证数据。

2. 组网图

图1-2 Triple认证基本功能配置组网图

 

3. 配置步骤

*

l          保证启动Portal之前各主机、服务器和设备之间的路由可达。

l          保证Web用户的主机上有与本地Portal服务器监听IP地址可达的路由表项。

l          完成RADIUS服务器的配置,保证用户的认证/授权/计费功能正常运行。本例中,RADIUS服务器上配置一个802.1X用户(帐户名为userdot),一个Portal用户(帐户名为userpt),以及一个MAC地址认证用户(帐户名、密码均为Printer的MAC地址001588f80dd7)。

 

(1)        配置Portal认证

# 配置端口属于VLAN及对应VLAN接口的IP地址(略)。

# 配置本地Portal服务器支持HTTP协议。

<Switch> system-view

[Switch] portal local-server http

# 配置Loopback接口12的IP地址为4.4.4.4。

[Switch] interface loopback 12

[Switch-LoopBack12] ip address 4.4.4.4 32

[Switch-LoopBack12] quit

# 指定二层Portal认证的本地Portal服务器监听IP地址为4.4.4.4。

[Switch] portal local-server ip 4.4.4.4

# 在端口GigabitEthernet 1/0/1上使能二层Portal认证。

[Switch] interface gigabitethernet 1/0/1

[Switch–GigabitEthernet1/0/1] portal local-server enable

[Switch–GigabitEthernet1/0/1] quit

(2)        配置802.1X认证

# 全局使能802.1X认证。

[Switch] dot1x

# 在端口GigabitEthernet1/0/1上使能802.1X认证(必须为基于MAC的接入控制方式)。

[Switch] interface gigabitethernet1/0/1

[Switch–GigabitEthernet1/0/1] dot1x port-method macbased

[Switch–GigabitEthernet1/0/1] dot1x

[Switch–GigabitEthernet1/0/1] quit

(3)        配置MAC地址认证

# 全局使能MAC地址认证。

[Switch] mac-authentication

# 在端口GigabitEthernet 1/0/1上使能MAC地址认证。

[Switch] interface gigabitethernet1/0/1

[Switch–GigabitEthernet1/0/1] mac-authentication

[Switch–GigabitEthernet1/0/1] quit

(4)        配置RADIUS方案

# 创建并进入名字为rs1的RADIUS方案视图。

[Switch] radius scheme rs1

# 配置RADIUS方案的服务器类型。使用iMC服务器时,RADIUS服务器类型应选择extended

[Switch-radius-rs1] server-type extended

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[Switch-radius-rs1] primary authentication 1.1.1.2

[Switch-radius-rs1] primary accounting 1.1.1.2

[Switch-radius-rs1] key authentication radius

[Switch-radius-rs1] key accounting radius

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[Switch-radius-rs1] user-name-format without-domain

[Switch-radius-rs1] quit

(5)        配置认证域

# 创建并进入名字为triple的ISP域。

[Switch] domain triple

# 为所有类型的用户配置缺省的AAA方案。

[Switch-isp-triple] authentication default radius-scheme rs1

[Switch-isp-triple] authorization default radius-scheme rs1

[Switch-isp-triple] accounting default radius-scheme rs1

[Switch-isp-triple] quit

# 配置系统缺省的ISP域为triple。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案。

[Switch] domain default enable triple

4. 验证配置结果

用户userdot通过802.1X客户端发起认证,输入正确的用户名和密码后,可成功通过802.1X认证;Web用户userpt通过Web浏览器访问外部网络,其Web请求均被重定向到认证页面http://4.4.4.4/portal/logon.htm。用户根据网页提示输入正确的用户名和密码后,能够成功通过Portal认证;打印机接入网络后,可成功通过MAC地址认证。

可通过display connection命令查看已在线用户的信息。

[Switch] display connection

Slot:  1

Index=30  , Username=userpt@triple

 IP=192.168.1.2

 IPv6=N/A

 MAC=0015-e9a6-7cfe

Index=31  , Username=userdot@triple

 IP=192.168.1.3

 IPv6=N/A

 MAC=0002-0002-0001

Index=32  , Username=001588f80dd7@triple

 IP=192.168.1.4

 IPv6=N/A

 MAC=0015-88f8-0dd7

 

 Total 3 connection(s) matched on slot 1.

 Total 3 connection(s) matched.

1.3.2  Triple认证配合VLAN下发及Auth-Fail VLAN功能配置举例

1. 组网需求

在如图1-3所示的组网环境中,用户通过接入设备Switch接入网络,要求在Switch的二层端口上对所有用户进行统一认证,且只要用户通过802.1X认证、Portal认证、MAC地址认证中的任何一种认证,即可接入网络。具体需求如下:

l              Portal用户通过DHCP动态获取IP地址,认证前使用192.168.1.0/24网段的IP地址,认证成功后使用3.3.3.0/24网段的IP地址,认证失败后使用2.2.2.0/24网段的IP地址;(DHCP服务器可由接入设备充当也可外置,本例中由接入设备提供DHCP服务)

l              802.1X用户在认证前使用手工配置的192.168.1.0/24网段的IP地址,认证成功后通过DHCP动态获取3.3.3.0/24网段的IP地址,认证失败后使用手工配置的2.2.2.0/24网段的IP地址。

l              打印机成功接入网络后通过DHCP获取一个与它的MAC地址静态绑定的IP地址3.3.3.111/24;

l              使用远程RADIUS服务器进行认证、授权和计费,且发送给RADIUS服务器的用户名不携带ISP域名;

l              本地Portal认证服务器的监听IP地址为4.4.4.4,设备向Portal用户推出自定义的认证页面,并使用HTTPS传输认证数据;

l              认证成功的用户可被授权加入服务器上指定的VLAN 3;

l              认证失败的用户将被加入接入设备上配置的VLAN 2,允许访问其中的Update服务器资源。

2. 组网图

图1-3 Triple认证配合VLAN下发及Auth-Fail VLAN功能配置组网图

 

3. 配置步骤

l          保证启动Portal之前各主机、服务器和设备之间的路由可达。

l          若使用外置DHCP服务器,保证用户在认证前后可成功获取DHCP服务器分配的IP地址。

l          完成RADIUS服务器的配置,保证用户的认证/授权/计费功能正常运行。本例中,RADIUS服务器上配置一个802.1X用户(帐户名为userdot),一个Portal用户(帐户名为userpt),以及一个MAC地址认证用户(帐户名、密码均为Printer的MAC地址001588f80dd7),并配置授权VLAN(VLAN 3)。

l          完成PKI域pkidm的配置,并成功申请本地证书和CA证书,具体配置请参见“安全配置指导”中的“PKI配置”。

l          完成自定义缺省认证页面文件的编辑,并将其以defaultfile为名称压缩为一个Zip文件之后保存在设备根目录下。

 

(1)        配置DHCP服务

# 配置端口属于VLAN及对应VLAN接口的IP地址(略)。

# 使能DHCP服务。

<Switch> system-view

[Switch] dhcp enable

# 配置不参与自动分配的Update server的IP地址。

[Switch] dhcp server forbidden-ip 2.2.2.2

# 配置DHCP地址池1的属性(地址池范围、地址租用期限、网关地址)。建议配置较小的地址租用期限,以缩短客户端认证成功或失败后重新获取IP地址的时间。

[Switch] dhcp server ip-pool 1

[Switch-dhcp-pool-1] network 192.168.1.0 mask 255.255.255.0

[Switch-dhcp-pool-1] expired day 0 hour 0 minute 1

[Switch-dhcp-pool-1] gateway-list 192.168.1.1

[Switch-dhcp-pool-1] quit

# 配置DHCP地址池2的属性(地址池范围、地址租用期限、网关地址)。建议配置较小的地址租用期限,以缩短客户端认证成功后重新获取IP地址的时间。

[Switch] dhcp server ip-pool 2

[Switch-dhcp-pool-2] network 2.2.2.0 mask 255.255.255.0

[Switch-dhcp-pool-2] expired day 0 hour 0 minute 1

[Switch-dhcp-pool-2] gateway-list 2.2.2.1

[Switch-dhcp-pool-2] quit

# 配置DHCP地址池3的属性(地址池范围、地址租用期限、网关地址)。建议配置较小的地址租用期限,以缩短客户端下线后重新获取IP地址的时间。

[Switch] dhcp server ip-pool 3

[Switch-dhcp-pool-3] network 3.3.3.0 mask 255.255.255.0

[Switch-dhcp-pool-3] expired day 0 hour 0 minute 1

[Switch-dhcp-pool-3] gateway-list 3.3.3.1

[Switch-dhcp-pool-3] quit

一般情况下,为缩小客户端认证状态改变之后更新IP地址的时间,建议配置较小的地址租约期限,使得前一个状态的IP地址租约尽快过期,以触发新的IP地址申请。但是,地址租用期限的配置还要考虑客户端的实现,例如iNode的802.1X客户端就可以选择在断开连接之后自动更新客户端IP地址,而不必等待租约过期来重获IP地址,因此实际应用中需要根据当前组网环境合理调整取值。

 

# 配置DHCP地址池4,将MAC地址为0015-e9a6-7cfe的打印机与IP地址3.3.3.111/24绑定。

[Switch] dhcp server ip-pool 4

[Switch-dhcp-pool-4] static-bind ip-address 3.3.3.111 mask 255.255.255.0

[Switch-dhcp-pool-4] static-bind mac-address 0015-e9a6-7cfe

[Switch-dhcp-pool-4] quit

(2)        配置Portal认证

# 配置SSL服务器端策略sslsvr,指定使用的PKI域为pkidm。

[Switch] ssl server-policy sslsvr

[Switch-ssl-server-policy-sslsvr] pki pkidm

[Switch-ssl-server-policy-sslsvr] quit

# 配置本地Portal服务器支持HTTPS协议,并引用SSL服务器端策略sslsvr。

[Switch] portal local-server https server-policy sslsvr

# 配置Loopback接口12的IP地址为4.4.4.4。

[Switch] interface loopback 12

[Switch-LoopBack12] ip address 4.4.4.4 32

[Switch-LoopBack12] quit

# 指定二层Portal认证的本地Portal服务器监听IP地址为4.4.4.4。

[Switch] portal local-server ip 4.4.4.4

# 在端口GigabitEthernet 1/0/1上使能二层Portal认证,并配置认证失败的VLAN为 VLAN 2。

[Switch] interface gigabitethernet 1/0/1

[Switch–GigabitEthernet1/0/1] port link-type hybrid

[Switch–GigabitEthernet1/0/1] mac-vlan enable

[Switch–GigabitEthernet1/0/1] portal local-server enable

[Switch–GigabitEthernet1/0/1] portal auth-fail vlan 2

[Switch–GigabitEthernet1/0/1] quit

(3)        配置802.1X认证

# 全局使能802.1X认证。

[Switch] dot1x

# 在端口GigabitEthernet 1/0/1上使能802.1X认证(必须为基于MAC的接入控制方式),并配置认证失败的VLAN为 VLAN 2。

[Switch] interface gigabitethernet 1/0/1

[Switch–GigabitEthernet1/0/1] dot1x port-method macbased

[Switch–GigabitEthernet1/0/1] dot1x

[Switch–GigabitEthernet1/0/1] dot1x auth-fail vlan 2

[Switch–GigabitEthernet1/0/1] quit

(4)        配置MAC地址认证

# 全局使能MAC地址认证。

[Switch] mac-authentication

# 在端口GigabitEthernet 1/0/1上使能MAC地址认证,并配置认证失败的VLAN为 VLAN 2。

[Switch] interface gigabitethernet 1/0/1

[Switch–GigabitEthernet1/0/1] mac-authentication

[Switch–GigabitEthernet1/0/1] mac-authentication guest-vlan 2

[Switch–GigabitEthernet1/0/1] quit

(5)        配置RADIUS方案

# 创建并进入名字为rs1的RADIUS方案视图。

[Switch] radius scheme rs1

# 配置RADIUS方案的服务器类型。使用iMC服务器时,RADIUS服务器类型应选择extended

[Switch-radius-rs1] server-type extended

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[Switch-radius-rs1] primary authentication 1.1.1.2

[Switch-radius-rs1] primary accounting 1.1.1.2

[Switch-radius-rs1] key authentication radius

[Switch-radius-rs1] key accounting radius

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[Switch-radius-rs1] user-name-format without-domain

[Switch-radius-rs1] quit

(6)        配置认证域

# 创建并进入名字为triple的ISP域。

[Switch] domain triple

# 为所有类型的用户配置缺省的AAA方案。

[Switch-isp-triple] authentication default radius-scheme rs1

[Switch-isp-triple] authorization default radius-scheme rs1

[Switch-isp-triple] accounting default radius-scheme rs1

[Switch-isp-triple] quit

# 配置系统缺省的ISP域为triple。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案。

[Switch] domain default enable triple

4. 验证配置结果

用户userdot通过802.1X客户端发起认证,输入正确的用户名和密码后,可成功通过802.1X认证;Web用户userpt通过Web浏览器访问外部网络,其Web请求均被重定向到认证页面https://4.4.4.4/portal/logon.htm。用户根据网页提示输入正确的用户名和密码后,能够成功通过Portal认证;打印机接入网络后,可成功通过MAC地址认证。

可通过display connection命令查看已在线用户的信息。

[Switch] display connection

Slot:  1

Index=30  , Username=userpt@triple

 IP=192.168.1.2

 IPv6=N/A

 MAC=0015-e9a6-7cfe

Index=31  , Username=userdot@triple

 IP=3.3.3.2

 IPv6=N/A

 MAC=0002-0002-0001

Index=32  , Username=001588f80dd7@triple

 IP=N/A

 IPv6=N/A

 MAC=0015-88f8-0dd7

 

 Total 3 connection(s) matched on slot 1.

 Total 3 connection(s) matched.

可以通过display mac-vlan all命令查看到认证成功用户的MAC VLAN表项,该表项中记录了加入授权VLAN的MAC地址与端口上生成的基于MAC的VLAN之间的对应关系。

[Switch] display mac-vlan all

  The following MAC VLAN addresses exist:

  S:Static  D:Dynamic

  MAC ADDR         MASK             VLAN ID   PRIO   STATE

  --------------------------------------------------------

  0015-e9a6-7cfe   ffff-ffff-ffff   3         0      D

  0002-0002-0001   ffff-ffff-ffff   3         0      D

  0015-88f8-0dd7   ffff-ffff-ffff   3         0      D

  Total MAC VLAN address count:3

可通过display dhcp server ip-in-use命令查看设备为在线用户分配的IP地址信息。

[Switch] display dhcp server ip-in-use all

Pool utilization: 0.59%

 IP address       Client-identifier/    Lease expiration          Type

                  Hardware address

 3.3.3.111        0015-88f8-0dd7        Dec 15 2009 17:40:52      Auto:COMMITTED

 3.3.3.2          0002-0002-0001        Dec 15 2009 17:41:02      Auto:COMMITTED

 3.3.3.3          0015-e9a6-7cfe        Unlimited                 Manual

 

 --- total 3 entry ---

若用户认证失败,将被加入VLAN 2中,端口上生成的MAC VLAN表项及IP地址分配情况的查看方式同上,此处略。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!