05-Triple认证配置
本章节下载: 05-Triple认证配置 (168.88 KB)
目 录
在客户端形式多样的网络环境中,不同客户端支持的接入认证方式有所不同,如图1-1所示,有的客户端只能进行MAC地址认证(比如打印机终端);有的主机安装了802.1X客户端软件,可以进行802.1X认证;有的用户主机只希望通过Web访问进行Portal认证。为了灵活地适应这种网络环境中的多种认证需求,需要在接入用户的端口上对三种认证方式进行统一部署,使得用户可以选择任何一种适合的认证机制来进行认证,且只需要成功通过一种方式的认证即可实现接入,无需通过多种认证。
图1-1 Triple认证典型应用组网图
Triple认证方案可满足以上需求,允许在设备的二层端口上同时开启Portal认证、MAC地址认证和802.1X认证功能,使得选用其中任意一种方式进行认证的客户端均可通过该端口接入网络。
关于802.1X、MAC地址认证、Portal认证的详细介绍请分别参考“安全配置指导”中的“802.1X配置”、“MAC地址认证配置”和“Portal配置”。
当端口上同时开启了802.1X认证、MAC地址认证和Portal认证功能后,不同类型的客户端报文可触发不同的认证过程:
l 客户端网卡接入网络时,如果发送ARP报文或者DHCP报文(广播报文),则首先触发MAC地址认证,若MAC地址认证成功,则后续无需其它认证;若MAC地址认证失败,则后续允许触发802.1X或者Portal认证。
l 如果客户端使用系统自带的802.1X客户端或者第三方客户端软件发送EAP报文,或者在设备开启单播触发功能的情况下客户端发送任意报文,则触发802.1X认证。
l 如果客户端发送HTTP报文,则触发Portal认证。
端口允许多种认证过程同时进行,且某一种认证失败不会影响同时进行的其它认证过程。一旦客户端通过某一种认证,设备将立即中止同时进行的其它认证过程。之后,端口是否允许该客户端触发其它认证过程的情况有所不同:
l 客户端通过802.1X认证或者Portal认证后,将不能再触发其它认证。
l 客户端通过MAC地址认证后,将不能再触发Portal认证,但是允许触发802.1X认证。若802.1X认证成功,则端口上后生成的802.1X认证用户信息会覆盖已存在的MAC地址认证用户信息。
在同时使能了三种认证方式的端口上,还支持以下扩展功能:
服务器向通过认证的用户所在的端口下发授权VLAN,端口将用户加入对应的授权VLAN中。
用户认证失败后,端口将认证失败的用户加入已配置的认证失败的VLAN中。
l 对于802.1X和Portal用户,认证失败的VLAN为端口上配置Auth-Fail VLAN。
l 对于MAC地址认证用户,认证失败的VLAN为端口上配置的Guest VLAN。
允许在同一个端口上配置不同类型的认证失败的VLAN,但最终端口上认证失败的用户所加入的VLAN与用户所经历的认证失败类型有关,通常情况下为用户第一次认证失败后加入的VLAN,但如果用户进行了802.1X认证且失败了,则用户会立刻离开之前已经加入的认证失败的VLAN而加入端口上配置的802.1X认证失败的VLAN。
设备能够根据服务器下发的授权ACL对通过认证的用户所在端口的数据流进行控制;在服务器上配置授权ACL之前,需要在设备上配置相应的规则。管理员可以通过改变服务器的授权ACL设置或设备上对应的ACL规则来改变用户的访问权限。
l 对于Portal用户,通过开启用户在线检测定时器来探测用户是否在线,检测时间间隔可配;
l 对于802.1X认证用户,通过开启端口上的在线用户握手功能或者重认证功能来探测用户是否在线,探测时间间隔可配置;
l 对于MAC地址认证用户,通过开启下线检测定时器,来探测用户是否在线,检测时间间隔可配置。
关于各扩展功能的详细介绍请分别参考“安全配置指导”中的“802.1X配置”、“MAC地址认证配置”和“Portal配置”。
表1-1 Triple认证配置任务简介
配置任务 |
说明 |
详细配置 |
|
配置802.1X认证 |
三者至少选其一 |
必须为基于MAC的接入控制方式(macbased); 不建议使用Guest VLAN功能 |
具体配置请参考“安全配置指导”中的“802.1X配置” |
配置MAC地址认证 |
- |
具体配置请参考“安全配置指导”中的“MAC地址认证配置” |
|
配置Portal认证 |
仅支持二层Portal认证的相关功能 |
具体配置请参考“安全配置指导”中的“Portal配置” |
在如图1-2所示的组网环境中,用户通过接入设备Switch A接入网络,要求在Switch A的二层端口上对所有用户进行统一认证,且只要用户通过802.1X认证、Portal认证、MAC地址认证中的任何一种认证,即可接入网络。具体需求如下:
l 客户端上静态配置属于192.168.1.0/24网段的IP地址;
l 使用远程RADIUS服务器进行认证、授权和计费,且发送给RADIUS服务器的用户名不携带ISP域名;
l 本地Portal认证服务器的监听IP地址为4.4.4.4,设备向Portal用户推出系统默认的认证页面,并使用HTTP传输认证数据。
图1-2 Triple认证基本功能配置组网图
l 保证启动Portal之前各主机、服务器和设备之间的路由可达。
l 保证Web用户的主机上有与本地Portal服务器监听IP地址可达的路由表项。
l 完成RADIUS服务器的配置,保证用户的认证/授权/计费功能正常运行。本例中,RADIUS服务器上配置一个802.1X用户(帐户名为userdot),一个Portal用户(帐户名为userpt),以及一个MAC地址认证用户(帐户名、密码均为Printer的MAC地址001588f80dd7)。
(1) 配置Portal认证
# 配置端口属于VLAN及对应VLAN接口的IP地址(略)。
# 配置本地Portal服务器支持HTTP协议。
<SwitchA> system-view
[SwitchA] portal local-server http
# 配置Loopback接口12的IP地址为4.4.4.4。
[SwitchA] interface loopback 12
[SwitchA-LoopBack12] ip address 4.4.4.4 32
[SwitchA-LoopBack12] quit
# 指定二层Portal认证的本地Portal服务器监听IP地址为4.4.4.4。
[SwitchA] portal local-server ip 4.4.4.4
# 在端口GigabitEthernet 1/0/1上使能二层Portal认证。
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA–GigabitEthernet1/0/1] portal local-server enable
[SwitchA–GigabitEthernet1/0/1] quit
(2) 配置802.1X认证
# 全局使能802.1X认证。
[SwitchA] dot1x
# 在端口GigabitEthernet1/0/1上使能802.1X认证(必须为基于MAC的接入控制方式)。
[SwitchA] interface gigabitethernet1/0/1
[SwitchA–GigabitEthernet1/0/1] dot1x port-method macbased
[SwitchA–GigabitEthernet1/0/1] dot1x
[SwitchA–GigabitEthernet1/0/1] quit
(3) 配置MAC地址认证
# 全局使能MAC地址认证。
[SwitchA] mac-authentication
# 在端口GigabitEthernet 1/0/1上使能MAC地址认证。
[SwitchA] interface gigabitethernet1/0/1
[SwitchA–GigabitEthernet1/0/1] mac-authentication
[SwitchA–GigabitEthernet1/0/1] quit
(4) 配置RADIUS方案
# 创建并进入名字为rs1的RADIUS方案视图。
[SwitchA] radius scheme rs1
# 配置RADIUS方案的服务器类型。使用iMC服务器时,RADIUS服务器类型应选择extended。
[SwitchA-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[SwitchA-radius-rs1] primary authentication 1.1.1.2
[SwitchA-radius-rs1] primary accounting 1.1.1.2
[SwitchA-radius-rs1] key authentication radius
[SwitchA-radius-rs1] key accounting radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[SwitchA-radius-rs1] user-name-format without-domain
[SwitchA-radius-rs1] quit
(5) 配置认证域
# 创建并进入名字为triple的ISP域。
[SwitchA] domain triple
# 为所有类型的用户配置缺省的AAA方案。
[SwitchA-isp-triple] authentication default radius-scheme rs1
[SwitchA-isp-triple] authorization default radius-scheme rs1
[SwitchA-isp-triple] accounting default radius-scheme rs1
[SwitchA-isp-triple] quit
# 配置系统缺省的ISP域为triple。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方案。
[SwitchA] domain default enable triple
用户userdot通过802.1X客户端发起认证,输入正确的用户名和密码后,可成功通过802.1X认证;Web用户userpt通过Web浏览器访问外部网络,其Web请求均被重定向到认证页面http://4.4.4.4/portal/logon.htm。用户根据网页提示输入正确的用户名和密码后,能够成功通过Portal认证;打印机接入网络后,可成功通过MAC地址认证。
可通过display connection命令查看已在线用户的信息。
[SwitchA] display connection
Index=30 , Username=userpt@triple
IP=192.168.1.2
IPv6=N/A
MAC=0015-e9a6-7cfe
Index=31 , Username=userdot@triple
IP=192.168.1.3
IPv6=N/A
MAC=0002-0002-0001
Index=32 , Username=001588f80dd7@triple
IP=192.168.1.4
IPv6=N/A
MAC=0015-88f8-0dd7
Total 3 connection(s) matched.
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!