02-Windows Server 2016-NPS接入认证功能对接操作指导
本章节下载 (3.55 MB)
H3C交换机
与Windows Server 2016-NPS接入认证功能对接操作指导
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
4.3.2 配置Windows Server 2016-NPS
4.4 MAC地址作为用户名密码的MAC地址认证配置步骤与验证
4.4.2 配置Windows Server 2016-NPS
5.3.2 配置Windows Server 2016-NPS
5.4.2 配置Windows Server 2016-NPS
5.5.2 配置Windows Server 2016-NPS
6 Portal认证对接配置举例——本地portal+LDAP认证
6.3.2 配置Windows Server 2016-NPS
7.3.2 配置Windows Server 2016-NPS
7.4.2 配置Windows Server 2016-NPS
7.5.2 配置Windows Server 2016-NPS
7.6.2 配置Windows Server 2016-NPS
7.7.2 配置Windows Server 2016-NPS
7.8.2 配置Windows Server 2016-NPS
7.9.2 配置Windows Server 2016-NPS
8.3.2 配置Windows Server 2016-NPS
9.3.2 配置Windows Server 2016-NPS
本文档介绍H3C交换机与Windows的认证服务器软件Windows Server 2016-NPS的接入认证功能对接配置,包括:
· MAC地址认证对接配置举例
· 802.1X认证对接配置举例
· Portal认证对接配置举例
· 授权VLAN对接配置举例
· 授权ACL对接配置举例
· 授权User-Profile对接配置举例
对接第三方认证服务器操作为交换机产品通用性内容,但部分接入认证功能在各产换机产品上存在支持差异。产品对各认证特性的支持情况请参考产品配置指导中安全分册的相关内容。
表2-1 接入认证互通性分析
H3C |
Windows Server 2016-NPS |
互通结论 |
固定用户名和密码的MAC地址认证 |
CHAP认证 |
可以互通 |
MAC地址作为用户名密码进行认证 |
CHAP认证 |
可以互通 |
802.1X CHAP认证 |
CHAP认证 |
可以互通 |
802.1X PAP认证 |
PAP认证 |
可以互通 |
802.1X EAP认证 |
EAP-PEAP认证 |
可以互通 |
本地Portal+LDAP认证 |
CHAP认证 |
可以互通 |
授权VLAN |
· 授权数字型VLAN · 授权VLAN名称 · 授权VLAN组名 · 授权Multi VLAN · 授权Auto VLAN |
可以互通 |
授权ACL |
授权静态ACL |
可以互通 |
授权User Profile |
授权User Profile |
可以互通 |
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
如图4-1所示,Client和Windows Server 2016-NPS服务器通过Switch建立连接,设备管理员希望对Client进行MAC地址认证,以控制其对网络资源的访问,具体要求如下:
· 采用Windows Server 2016-NPS作为RADIUS服务器。
图4-1 MAC认证配置组网图
本配置举例所使用的设备型号及版本信息如下:
· Switch: S5560X-54C-PWR-EI,Version 7.1.070
· 认证服务器:Windows Server 2016-NPS
本配置仅展示认证的相关配置,网络互通的相关配置略,请保证设备间能够互相访问。
# 配置RADIUS方案。
<Switch> system-view
[Switch] radius scheme radius1
[Switch-radius-radius1] primary authentication 101.0.144.123
[Switch-radius-radius1] primary accounting 101.0.144.123
[Switch-radius-radius1] key authentication simple admin
[Switch-radius-radius1] key accounting simple admin
[Switch-radius-radius1] user-name-format without-domain
[Switch-radius-radius1] quit
# 配置MAC地址认证的认证方法为CHAP。
[Switch] mac-authentication authentication-method chap
# 创建MAC地址认证的域mac-auth,并配置ISP域的AAA方法。
[Switch] domain mac-auth
[Switch-isp-mac-auth] authentication default radius-scheme radius1
[Switch-isp-mac-auth] authorization default radius-scheme radius1
[Switch-isp-mac-auth] accounting default radius-scheme radius1
[Switch-isp-mac-auth] quit
# 配置互通的VLAN和VLAN接口的IP地址。
[Switch] vlan 165
[Switch-vlan165] quit
[Switch] interface Vlan-interface 165
[Switch-Vlan-interface165] ip address 101.0.165.11 255.255.255.0
[Switch-Vlan-interface165] quit
# 将端口XGE1/0/49加入到指定VLAN,并开启MAC地址认证功能。
[Switch]interface Ten-GigabitEthernet 1/0/49
[Switch-Ten-GigabitEthernet1/0/49] port access vlan 165
[Switch-Ten-GigabitEthernet1/0/49] mac-authentication
[Switch-Ten-GigabitEthernet1/0/49] quit
# 设置mac-auth为系统缺省的认证域。
[Switch] domain default enable mac-auth
# 指定MAC地址认证用户的认证域mac-auth。
[Switch] mac-authentication domain mac-auth
# 配置MAC地址认证的定时器。
[Switch] mac-authentication timer offline-detect 180
[Switch] mac-authentication timer quiet 180
# 配置MAC地址认证使用固定用户名账号:用户名为user,密码为明文123456。
[Switch] mac-authentication user-name-format fixed account user password simple 123456
# 开启全局MAC地址认证。
[Switch] mac-authentication
(1) 登录Windows Server 2016-NPS
# 在远程桌面连接中输入Windows Server 2016-NPS的管理IP地址(本例为101.0.144.123),登录Windows Server 2016-NPS的桌面。
图4-2 远程桌面连接
#输入登录Windows Server 2016-NPS服务器的用户名和密码(本例为Administrator和admin@123456),点击“确定”按钮进入NPS远程桌面。
图4-3 输入登录用户名密码
(2) 配置本地安全策略
登录NPS后,在“服务器管理器”界面,依次点击“工具 » 本地安全策略”(如图4-4所示)。
在本地安全策略配置的左侧导航中,选择“密码策略”,设置“密码必须符合复杂性要求”为已禁用;设置“用可还原的加密来储存密码”为已启用。配置完成后,如图4-5所示。
(3) 添加网络策略服务器
在“服务器管理器-仪表板”界面,依次点击“管理 » 添加角色和功能”(如图4-6所示),为服务器添加角色和功能。
图4-6 添加角色和功能
在左侧导航中,选择“安装类型”,选择“基于角色或基于功能的安装”(如图4-7所示)。
点击<下一步>,进入“服务器选择”配置,选择“从服务器池中选择服务器”(如图4-8所示),此处选择的服务器为远程登录的NPS服务器。
点击<下一步>,进入“服务器角色”配置,勾选“网络策略和访问服务”(如图4-9所示),并点击<下一步>,按提示完成安装。
(4) 配置RADIUS客户端
在“服务器管理器-仪表板”界面,依次点击“工具 » 网络策略服务器”。
选择“RADIUS客户端”,右键点击新建。
图4-11 新建RADIUS客户端
在弹窗中配置RADIUS客户端的属性,包括名称和IP地址,注意“共享机密”需要与Switch上的配置保持一致。
图4-12 配置RADIUS客户端属性
点击<确定>,完成RADIUS客户端配置。
(5) 添加用户
在“服务器管理器-仪表板”界面,依次点击“工具 » 计算机管理”。
图4-13 打开计算机管理
在“计算机管理”中,选中“用户”,右键选择“新用户”。
图4-14 添加新用户
创建的新用户应该与Switch上配置的固定用户名的MAC地址认证用户账号相同,本例用户名为“user”,密码为“123456”。点击<创建>。
图4-15 配置新用户
在“计算机管理”中,选中刚创建的用户“user”,配置该用户的属性。在“拨入”页签中,选择网络访问权限为“允许访问”。点击<确定>完成配置。
图4-16 配置用户接入属性的网络访问权限为允许访问
(6) 添加组
在“计算机管理”中,选择“组”,右键选择“新建组”。
图4-17 新建组
在弹窗中设置组名,本例为“group1”,并添加组成员,这里需要把用户“user”添加为成员。点击<创建>,完成组的创建。
图4-18 配置组名
图4-19 添加组成员
(7) 添加策略
在“服务器管理器-仪表板”界面,依次点击“工具 » 网络策略服务器”。
图4-20 打开网络策略服务器
在“网络策略服务器”中,选择“网络策略”,右键选择“新建”,可添加一个新的网络策略。
图4-21 新建网络策略
在新建的网络策略中,点击<添加>按钮,在弹窗中选择“用户组”,点击<添加>按钮。
图4-22 添加用户组
在“选择组”配置中的“输入要选择的对象名称”中输入组名(本例为group1),点击<检查名称>,将联想出“WIN-RS0C6TAF7VG\group1”,点击<确定>完成配置。
图4-23 组配置
指定访问权限保持默认配置“已授予访问权限”,点击<下一步>。
图4-24 指定访问权限
在“配置身份验证方法”步骤中,勾选“加密的身份验证”,点击<下一步>,完成配置。
(1) 完成设备和服务器的配置后,MAC地址认证用户Ping服务器即可完成上线。
(2) 用户上线后,服务器可显示用户的相关信息,具体参见图4-25。
(3) 用户上线后,通过在设备上执行display mac-authentication connection可以看到上线用户的信息,对于固定用户名密码的MAC地址认证用户,Username字段为Switch上配置的固定用户名user。
<Switch> display mac-authentication connection
Total connections: 1
Slot ID: 1
User MAC address: a036-9f8b-634c
Access interface: GigabitEthernet1/0/2
Username: user
User access state: Successful
Authentication domain: mac-auth
IPv4 address: 101.0.165.12
IPv4 address source: User packet
Initial VLAN: 165
Authorization untagged VLAN: N/A
Authorization tagged VLAN: N/A
Authorization VSI: N/A
Authorization microsegment ID: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Authorization IPv6 URL: N/A
Authorization temporary redirect: Disabled
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: Default
Session timeout period: N/A
Offline detection: 300 sec (command-configured)
Online from: 2013/01/08 02:47:40
Online duration: 0h 26m 8s
Port-down keep online: Disabled (offline)
#
mac-authentication
mac-authentication domain mac-auth
mac-authentication user-name-format fixed account user password cipher $c$3$2HmbYwuGcvFCwTALdWqK5AzOvn2w5SY=
mac-authentication authentication-method chap
#
domain mac-auth
authentication lan-access radius-scheme radius1
authorization lan-access radius-scheme radius1
accounting lan-access radius-scheme radius1
#
radius scheme radius1
primary authentication 101.0.144.123
primary accounting 101.0.144.123
key authentication cipher $c$3$9jjl0lp5VA/WXEw065ZIT7j4AIN88XTF
key accounting cipher $c$3$fk1zm9nf2IFMdk+I7hGsyBcsAwqLobi7
user-name-format without-domain
#
interface GigabitEthernet1/0/2
port link-mode bridge
port access vlan 165
mac-authentication
#
若采用MAC地址账号,则设备将检测到的用户MAC地址作为用户名和密码发送给RADIUS服务器进行验证。
其它配置与“4.3.1 配置Switch”相同,只需要将以下命令恢复缺省配置即可。
[Switch] undo mac-authentication user-name-format
除以下用户和组的配置有修改外,其它与“4.3.2 配置Windows Server 2016-NPS”配置相同。
本例采用MAC地址作为用户名和密码,因此服务器上添加的用户和密码,均为MAC地址认证用户的MAC地址。
在“服务器管理器-仪表板”界面,依次点击“工具 » 计算机管理 »本地用户和组”,根据图4-26、图4-27、图4-28和图4-29添加新用户和组。
(1) 完成设备和服务器的配置后,MAC地址认证用户Ping服务器即可完成上线。
(2) 用户上线后,服务器可显示用户的相关信息,具体参见图4-30。
(3) 用户上线后,通过在设备上执行display mac-authentication connection可以看到上线用户的信息,其中Username字段为用户的MAC地址。
[Switch] display mac-authentication connection
Total connections: 1
Slot ID: 1
User MAC address: 0010-9400-0005
Access interface: GigabitEthernet1/0/2
Username: 001094000005
User access state: Successful
Authentication domain: mac-auth
IPv4 address: 101.0.165.12
IPv4 address source: User packet
Initial VLAN: 165
Authorization untagged VLAN: N/A
Authorization tagged VLAN: N/A
Authorization VSI: N/A
Authorization microsegment ID: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Authorization IPv6 URL: N/A
Authorization temporary redirect: Disabled
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: Default
Session timeout period: N/A
Offline detection: 300 sec (command-configured)
Online from: 2013/01/08 05:10:17
Online duration: 0h 0m 16s
Port-down keep online: Disabled (offline)
#
mac-authentication
mac-authentication domain mac-auth
mac-authentication user-name-format mac-address without-hyphen uppercase
mac-authentication authentication-method chap
#
domain mac-auth
authentication lan-access radius-scheme radius1
authorization lan-access radius-scheme radius1
accounting lan-access radius-scheme radius1
#
radius scheme radius1
primary authentication 101.0.144.123
primary accounting 101.0.144.123
key authentication cipher $c$3$9jjl0lp5VA/WXEw065ZIT7j4AIN88XTF
key accounting cipher $c$3$fk1zm9nf2IFMdk+I7hGsyBcsAwqLobi7
user-name-format without-domain
#
interface GigabitEthernet1/0/2
port link-mode bridge
port access vlan 165
mac-authentication
#
如图5-1所示,Client和Windows Server 2016-NPS服务器通过Switch建立连接,设备管理员希望对Client进行802.1X认证,以控制其对网络资源的访问,具体要求如下:
· 采用Windows Server 2016-NPS作为RADIUS服务器。
· 配置PAP、CHAP、证书相关认证(EAP-PEAP)方式。
图5-1 802.1X 认证配置组网图
本配置举例所使用的设备型号及版本信息如下:
· Switch: S5560X-54C-PWR-EI,Version 7.1.070
· 认证服务器:Windows Server 2016-NPS
本配置仅展示认证的相关配置,网络互通的相关配置略,请保证设备间能够互相访问。
# 配置RADIUS方案。
<Switch> system-view
[Switch] radius scheme radius1
[Switch-radius-radius1] primary authentication 101.0.144.123
[Switch-radius-radius1] primary accounting 101.0.144.123
[Switch-radius-radius1] key authentication simple admin
[Switch-radius-radius1] key accounting simple admin
[Switch-radius-radius1] user-name-format without-domain
[Switch-radius-radius1] quit
# 配置802.1x认证的认证方法。
[Switch] dot1x authentication-method CHAP
# 创建802.1X认证的域domain1,配置ISP域的AAA方法。
[Switch] domain domain1
[Switch-isp-domain1] authentication default radius-scheme radius1
[Switch-isp-domain1] authorization lan-access radius-scheme radius1
[Switch-isp-domain1] accounting lan-access radius-scheme radius1
[Switch-isp-domain1] quit
# 配置互通的VLAN和VLAN接口的IP地址。
[Switch] vlan 165
[Switch-vlan165] quit
[Switch] interface Vlan-interface 165
[Switch-Vlan-interface165] ip address 101.0.165.11 255.255.255.0
[Switch-Vlan-interface165] quit
# 将端口XGE1/0/49加入到指定VLAN。
[Switch]interface Ten-GigabitEthernet 1/0/49
[Switch-Ten-GigabitEthernet1/0/49] port access vlan 165
# 开启端口的802.1X认证功能,并设置域domain1为802.1X强制认证域。
[Switch-Ten-GigabitEthernet1/0/49] dot1x
[Switch-Ten-GigabitEthernet1/0/49] dot1x mandatory-domain domain1
# 设置802.1X为端口控制方式。
[Switch-Ten-GigabitEthernet1/0/49] dot1x port-method portbased
[Switch-Ten-GigabitEthernet1/0/49] quit
# 将端口XGE1/0/2加入到指定VLAN。
[Switch] interface Ten-GigabitEthernet 1/0/2
[Switch-Ten-GigabitEthernet1/0/2] port access vlan 165
[Switch-Ten-GigabitEthernet1/0/2] quit
# 设置domain1为系统缺省的认证域。
[Switch] domain default enable domain1
# 开启全局802.1x认证。
[Switch] dot1x
需要注意:除了添加的新用户,需要802.1X用户的用户名和密码保持一致外,其它与“4.3.2 配置Windows Server 2016-NPS”配置相同。
在“服务器管理器-仪表板”界面,依次点击“工具 » 计算机管理 » 本地用户和组”,如图5-2添加新用户。
(1) 在设备和服务器都配置好的情况下,在客户端使用iNode客户端,输入服务器上配置的用户名和密码即可完成用户上线。
图5-3 802.1X客户端接入
图5-4 802.1X客户端连接成功
(2) 用户上线后服务器显示如图5-5所示。
图5-5 802.1X用户接入成功
(3) 用户上线后,通过display dot1x connection可以查看802.1X用户的信息,可其中Username字段为802.1X的用户名(本例为user)。
[Switch] display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: a036-9f8b-634c
Access interface: GigabitEthernet1/0/2
Username: user
User access state: Successful
Authentication domain: domain1
EAP packet identifier: 2
Authentication method: CHAP
AAA authentication method: RADIUS
Initial VLAN: 165
Authorization untagged VLAN: N/A
Authorization tagged VLAN list: N/A
Authorization VSI: N/A
Authorization microsegment ID: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Authorization IPv6 URL: N/A
Authorization temporary redirect: Disabled
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: Default
Session timeout period: N/A
Online from: 2013/01/03 08:22:24
Online duration: 0h 0m 35s
#
dot1x
#
interface GigabitEthernet1/0/2
port link-mode bridge
port link-type hybrid
port hybrid vlan 1 100 165 untagged
port hybrid pvid vlan 165
undo dot1x handshake
dot1x mandatory-domain domain1
undo dot1x multicast-trigger
dot1x port-method portbased
#
domain domain1
authentication lan-access radius-scheme radius1
authorization lan-access radius-scheme radius1
accounting lan-access radius-scheme radius1
#
radius scheme radius1
primary authentication 101.0.144.123
primary accounting 101.0.144.123
key authentication cipher $c$3$9jjl0lp5VA/WXEw065ZIT7j4AIN88XTF
key accounting cipher $c$3$fk1zm9nf2IFMdk+I7hGsyBcsAwqLobi7
user-name-format without-domain
#
设备上只需要将认证方式修改为PAP,其它配置无需修改,请参考5.3.1 配置Switch。
[Switch] dot1x authentication-method PAP
根据图5-6所示,服务器上只需要将“服务”中的“身份验证方式”选择为“未加密的身份验证(PAP,SPAP)(P)”,其它配置无需修改,请参考5.3.2 配置Windows Server 2016-NPS。
(1) 在设备和服务器都配置好的情况下,在客户端使用iNode客户端,输入服务器上配置的用户名和密码即可完成用户上线。
(2) 用户上线后服务器显示如图5-7所示。
(3) 用户上线后,在设备上通过display dot1x connection可以查看802.1X用户的信息,可以看到上线用户的Authentication method字段已更改为PAP。其余信息不变。
[Switch] display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: a036-9f8b-634c
Access interface: GigabitEthernet1/0/2
Username: user
User access state: Successful
Authentication domain: domain1
EAP packet identifier: 2
Authentication method: PAP
AAA authentication method: RADIUS
Initial VLAN: 165
Authorization untagged VLAN: N/A
Authorization tagged VLAN list: N/A
Authorization VSI: N/A
Authorization microsegment ID: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Authorization IPv6 URL: N/A
Authorization temporary redirect: Disabled
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: Default
Session timeout period: N/A
Online from: 2013/01/03 08:25:51
Online duration: 0h 0m 8s
#
dot1x
dot1x authentication-method pap
#
interface GigabitEthernet1/0/2
port link-mode bridge
port link-type hybrid
port hybrid vlan 1 100 165 untagged
port hybrid pvid vlan 165
undo dot1x handshake
dot1x mandatory-domain domain1
undo dot1x multicast-trigger
dot1x port-method portbased
#
domain domain1
authentication lan-access radius-scheme radius1
authorization lan-access radius-scheme radius1
accounting lan-access radius-scheme radius1
#
radius scheme radius1
primary authentication 101.0.144.123
primary accounting 101.0.144.123
key authentication cipher $c$3$9jjl0lp5VA/WXEw065ZIT7j4AIN88XTF
key accounting cipher $c$3$fk1zm9nf2IFMdk+I7hGsyBcsAwqLobi7
user-name-format without-domain
#
设备上只需要将认证方式修改为EAP,其它配置无需修改,请参考5.3.1 配置Switch。
[Switch] dot1x authentication-method EAP
服务器上只需要修改如下配置,其余通用配置请参考5.3.2 配置Windows Server 2016-NPS。
(1) 配置AD域控用户管理
a. AD域安装
根据图5-8所示,在“添加角色和功能向导”界面,点击“服务器角色”,勾选角色下的“Active Directory轻型目录服务”和“Active Directory域服务”,之后连续点击<下一步>,等待安装成功后关闭向导。
b. 配置AD域控
如图5-9所示,在“服务器管理器-仪表板”界面,依次点击“管理 » 将此服务器提升为域控制器”。
跳转到“Active Directory域服务配置向导”界面后,点击左侧菜单中的“部署配置”页签,选择部署操作为“添加新林”并在下方输入“根域名”。
图5-10 部署配置
点击左侧菜单中的“域控制器选项”页签,在右侧输入DSRM密码。(“DNS选项页”可忽略)
图5-11 配置域控制器选项
点击左侧菜单中的“其他选项”页签,输入NetBIOS域名。需要注意的是,此处请务必记录下域名,后续升级为域控服务器后需登录此域。
图5-12 配置其他选项
之后连续点击<下一步>,直到“先决条件检查”页签,此处需显示“所有先决条件检查都成功通过”,点击“安装”即可。然后等待安装完成,自动重新启动服务器。
图5-13 先决条件检查
c. 创建AD用户
如图5-14所示,在“服务器管理器-仪表板”界面,依次点击“工具 » Active Directory用户和计算机”,打开AD用户和计算机界面。
图5-14 打开AD用户和计算机界面
在弹窗页面中选择左侧根域名并点击鼠标右键,依次选择“新建 » 组织单位”。
图5-15 创建组织单位
在弹窗页面中,输入组织单位名称,点击<确定>。
图5-16 输入组织单位名称
选择新建好的“组织单位”并点击右键,依次选择“新建 » 组”。
图5-17 新建组
在弹窗页面中,输入“组名”,选择“组作用域”、“组类型”,点击<确定>。
图5-18 输入组名
选择新建好的“组织单位”并点击右键,依次选择“新建 » 用户”,如图5-19所示,输入用户姓名、用户登录名等信息。
点击<下一步>,配置用户密码并确认密码。需要注意的是,务必记录密码,以免后续登录时遗忘。
图5-20 配置新建用户的密码
选择新建的用户,右键选择“属性”。
图5-21 打开新建用户的属性页面
在弹窗页面中,点击“隶属于”页签,点击下方<添加>,在弹窗中选择组,点击<确定>。
图5-22 在属性页面的隶属于页面中添加组
(2) Radius安装
a. 安装AD证书
如图5-23所示,在“添加角色和功能向导”界面,选择左侧的“服务器角色”,勾选“Active Directory证书服务”,并在弹窗页面点击<添加功能>。
图5-23 AD证书服务
在“添加角色和功能向导”界面,选择左侧的“AD CS » 角色服务”,勾选“证书颁发机构”和“证书颁发机构Web注册”,之后一直点击<下一步>即可。
图5-24 配置角色服务
直至“确认”页时,勾选“如果需要,自动重新启动目标服务器”,点击<安装>,完成AD证书的安装。
图5-25 确认页面
b. 配置AD证书
如图5-26所示,在“服务器管理器-仪表板”界面,依次点击“管理 » 配置目标服务器上的Active Directory证书服务”。
图5-26 配置目标服务器上的Active Directory证书服务
在弹窗页面左侧选择“角色服务”,并勾选“证书颁发机构”和“证书颁发机构Web注册”。
图5-27 配置角色服务
后续页面一直点击<下一步>,直至最终显示配置成功,如图5-28所示。
c. 申请CA证书
通过搜索栏打开mmc。
图5-29 打开mmc
在“控制台”界面,依次点击“文件 » 添加/删除管理单元”。
图5-30 添加/删除管理单元
将弹窗界面左侧的“证书”和“证书模板”两个管理单元添加到控制台,依次点击<下一步>。
图5-31 添加证书、证书模板两个管理单元
在“证书模板”管理单元选择“计算机 ”并点击右键,在“计算机 属性”弹窗页面选择“安全”页签,将登录计算机的Administrator加入其中,并勾选“完全控制”权限。
图5-32 修改证书模板页面
在“证书”管理单元选择“个人”并点击右键,依次点击“所有任务 » 申请根证书”。
图5-33 申请根证书
在弹窗页面勾选“计算机”注册策略,点击<注册>,完成证书注册。
图5-34 勾选注册策略
d. 安装NPS
在“服务器管理器-仪表板”界面,点击右上角的“管理”菜单,并选择“添加角色和功能”,在弹窗页面左侧选择“服务器角色”,勾选“网络策略和访问服务”。后续一直点击<下一步>,直至“确认”页签时,勾选“如果需要,自动重新启动目标服务器”,点击<确认>,等待安装成功。
图5-35 选择服务器角色
e. 配置NPS
在“服务器管理器-NAPS”界面,选中服务器,右键选择“网络策略服务器”。
图5-36 打开网络策略服务器
在弹窗页面右侧“标准配置”列表中,选择“用于802.1X无线或有线连接的RADIUS服务器”,点击“配置802.1x”。
图5-37 创建802.1x有线连接
在“配置802.1X”页面,输入连接名称,点击<下一步>。
图5-38 配置802.1X连接名称
点击右侧<添加>。
图5-39 选择radius客户端
在弹窗页面中输入“名称和地址”、“共享机密”等信息,点击<确定>,完成RADIUS客户端的新建。
图5-40 配置RADIUS客户端
点击<下一步>,选择“Microsoft:受保护的EAP(PEAP)”策略,完成身份验证方法的配置。
图5-41 配置身份验证方法
点击<下一步>,点击右侧的<添加>,在弹窗页面中选择组并点击<确定>,即完成指定用户组。之后一直点击<下一步>完成配置。
图5-42 指定用户组
f. 注册AD服务器
在“网络策略服务器”页面中,选中“NPS(本地)”,右键选择“在Active Directory中注册服务器”,完成AD服务器的的注册。
图5-43 注册服务器
(1) 在设备和服务器都配置好的情况下,在PC使用有线网卡登录
(2) 用户上线后服务器显示如图5-44。
(3) 用户上线后,在设备上通过display dot1x connection可以查看802.1X用户的信息,可其中Username为802.1X的用户名(本例为user)。
<Switch> display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: a036-9f8b-634c
Access interface: GigabitEthernet1/0/2
Username: user
User access state: Successful
Authentication domain: eap
EAP packet identifier: 11
Authentication method: EAP
AAA authentication method: RADIUS
Initial VLAN: 165
Authorization untagged VLAN: N/A
Authorization tagged VLAN list: N/A
Authorization VSI: N/A
Authorization microsegment ID: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Authorization IPv6 URL: N/A
Authorization temporary redirect: Disabled
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: Default
Session timeout period: N/A
Online from: 2013/01/07 20:24:31
Online duration: 0h 0m 14s
#
dot1x
dot1x authentication-method peap
#
interface GigabitEthernet1/0/2
port link-mode bridge
port link-type hybrid
port hybrid vlan 1 100 165 untagged
port hybrid pvid vlan 165
undo dot1x handshake
dot1x mandatory-domain domain1
undo dot1x multicast-trigger
dot1x port-method portbased
#
domain domain1
authentication lan-access radius-scheme radius1
authorization lan-access radius-scheme radius1
accounting lan-access radius-scheme radius1
#
radius scheme radius1
primary authentication 101.0.144.123
primary accounting 101.0.144.123
key authentication cipher $c$3$9jjl0lp5VA/WXEw065ZIT7j4AIN88XTF
key accounting cipher $c$3$fk1zm9nf2IFMdk+I7hGsyBcsAwqLobi7
user-name-format without-domain
#
如图6-1所示,Client和Windows Server 2016-NPS服务器通过Switch建立连接,设备管理员希望对Client进行Portal认证,以控制其对网络资源的访问,具体要求如下:
· 采用Windows Server 2016-NPS作为LDAP服务器。
· 用户采用直接方式的Portal认证。
图6-1 Portal认证配置组网图
本配置举例所使用的设备型号及版本信息如下:
· Switch: S5560X-54C-PWR-EI,Version 7.1.070
· 认证服务器:Windows Server 2016-NPS
本配置仅展示认证的相关配置,网络互通的相关配置略,请保证设备间能够互相访问。
# 进入本地Portal Web服务视图,并指定使用HTTPS协议和客户端交互认证信息。
<Switch> system-view
[Switch] portal local-web-server http tcp-port 2331
[Switch-portal-local-websvr-http] quit
# 配置Portal Web服务器的URL地址。
[Switch] portal web-server newpt
[Switch-portal-websvr-newpt] url http://101.0.165.11:2331/portal
[Switch-portal-websvr-newpt] quit
# 配置LDAP服务器ccc。
[Switch] ldap server ccc
[Switch-ldap-server-ccc] login-dn cn=administrator,cn=users,dc=test,dc=com
[Switch-ldap-server-ccc] search-base-dn dc=test,dc=com
[Switch-ldap-server-ccc] ip 101.0.144.124
[Switch-ldap-server-ccc] login-password cipher 123456
[Switch-ldap-server-ccc] quit
# 创建LDAP方案ldap1。
[Switch] ldap scheme ldap1
[Switch-ldap-ldap1] authentication-server ccc
[Switch-ldap-ldap1] quit
# 配置互通的VLAN和VLAN接口的IP地址。
[Switch] vlan 165
[Switch-vlan165] quit
[Switch] interface Vlan-interface 165
[Switch-Vlan-interface165] ip address 101.0.165.11 255.255.255.0
[Switch-Vlan-interface165] portal apply web-server newpt
[Switch-Vlan-interface165] quit
# 将端口XGE1/0/47和GE1/0/2加入到指定的VLAN。
[Switch] interface Ten-GigabitEthernet 1/0/47
[Switch-Ten-GigabitEthernet1/0/47] port access vlan 165
[Switch-Ten-GigabitEthernet1/0/47] quit
[Switch] interface Ten-GigabitEthernet 1/0/2
[Switch-Ten-GigabitEthernet1/0/2] port access vlan 165
[Switch-Ten-GigabitEthernet1/0/2] quit
# 配置domain1域。
[switch] domain domain1
[switch-isp-domain1] authentication portal ldap-scheme ldap1
[switch-isp-domain1] authentication portal none
[switch-isp-domain1] accounting portal none
[switch-isp-domain1] quit
# 配置domain1为缺省的ISP域。
[Switch] domain default enable domain1
# 配置Portal直接认证。
[Switch] interface Vlan-interface 165
[Switch-Vlan-interface165] portal enable method direct
[Switch-Vlan-interface165] quit
用户可以采用直接认证或者可跨三层Portal认证方式上线,后者只需要修改设备上的portal enable method direct配置为portal enable method layer3即可,服务器和客户端无需改动。
服务器上的配置请参考5.5.2 配置Windows Server 2016-NPS。
(1) 用户在浏览器上输入本地认证IP地址,回车后会跳转到登录页面,请根据图6-2所示,输入账户名和密码。
图6-2 Web登录页面
页面显示登录成功。
图6-3 登录成功
(2) 用户上线后服务器显示如图6-4。
(3) 用户上线后,在设备上通过display portal user命令可以查看上线Portal用户的信息。其中Username字段显示为Portal用户的用户名user。
<Switch> display portal user all
Total portal users: 1
Username: user
Portal server:
State: Online
VPN instance: N/A
MAC IP VLAN Interface
a036-9f8b-634c 101.0.165.12 165 Vlan-interface165
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
#
interface Vlan-interface165
ip address 101.0.165.11 255.255.255.0
portal enable method direct
portal apply web-server newpt
#
domain ldap
authentication portal ldap-scheme ldap
authorization portal none
accounting portal none
#
ldap scheme ldap
authentication-server ldap
#
ldap server ldap
login-dn cn=administrator,cn=users,dc=test,dc=com
search-base-dn dc=test,dc=com
ip 101.0.144.124
login-password cipher $c$3$MU1UdAnLgSFni5hERPL15CYR7NsHW6RkErhr3bQuNA==
#
portal web-server newpt
url http://101.0.165.11:2331/portal
#
portal local-web-server http
default-logon-page en.zip
tcp-port 2331
#
如图7-1所示,Client和Windows Server 2016-NPS服务器通过Switch建立连接,设备管理员希望对Client进行802.1X认证或者MAC地址认证,以控制其对网络资源的访问,具体要求如下:
· 采用Windows Server 2016-NPS作为RADIUS服务器。
· 通过Windows Server 2016-NPS授权下发VLAN,初始VLAN为144。
图7-1 授权VLAN组网图
本配置举例所使用的设备型号及版本信息如下:
· Switch: S5560X-54C-PWR-EI,Version 7.1.070
· 认证服务器:Windows Server 2016-NPS
· 若采用MAC地址认证,Swtich上的配置请参考4.3.1 配置Switch。
· 若采用802.1X认证,Swtich上的配置请参考5.3.1 配置Switch。
(1) 服务器上的通用配置。
¡ 若采用MAC地址认证,服务器上的配置请参考4.3.2 配置Windows Server 2016-NPS。
¡ 若采用802.1X认证,服务器上的配置请参考5.3.2 配置Windows Server 2016-NPS。
(2) 只需将“配置文件”的“属性”参考图7-2修改即可。
¡ Tunnel-Medium-Type:创建隧道的传输层媒介类型,该属性值为6时表示802类型,可用于下发VLAN。
¡ Tunnel-Private-Group-ID:隧道会话的组ID,该属性在下发VLAN时用于携带下发的VLAN ID(本例下发的VLAN ID为100)。
¡ Tunnel-Type:使用的隧道协议,该属性值为13时表示下发VLAN。
(1) 用户上线后服务器显示如图7-3。
(2) 以802.1X认证为例,用户上线后,在设备上通过display dot1x connection命令可以查看上线802.1X用户的信息。其中Authorization untagged VLAN字段显示成功下发授权VLAN100。
<Switch> display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: a036-9f8b-634c
Access interface: GigabitEthernet1/0/2
Username: user
User access state: Successful
Authentication domain: domain1
EAP packet identifier: 2
Authentication method: CHAP
AAA authentication method: RADIUS
Initial VLAN: 165
Authorization untagged VLAN: 100
Authorization tagged VLAN list: N/A
Authorization VSI: N/A
Authorization microsegment ID: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Authorization IPv6 URL: N/A
Authorization temporary redirect: Disabled
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: Default
Session timeout period: N/A
Online from: 2013/01/08 06:52:03
Online duration: 0h 0m 14s
以MAC地址认证为例,用户上线后,在设备上通过display mac-authentication connection命令可以查看上线MAC地址认证用户的信息。其中Authorization untagged VLAN字段显示成功下发授权VLAN 100。
[[Switch]display mac-authentication connection
Total connections: 1
Slot ID: 1
User MAC address: 0010-9400-0005
Access interface: GigabitEthernet1/0/2
Username: 001094000005
User access state: Successful
Authentication domain: domain1
IPv4 address: 192.85.1.2
IPv4 address source: User packet
Initial VLAN: 165
Authorization untagged VLAN: 100
Authorization tagged VLAN: N/A
Authorization VSI: N/A
Authorization microsegment ID: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Authorization IPv6 URL: N/A
Authorization temporary redirect: Disabled
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: Default
Session timeout period: N/A
Offline detection: 300 sec (command-configured)
Online from: 2013/01/08 06:25:15
Online duration: 0h 0m 8s
Port-down keep online: Disabled (offline)
#
dot1x
#
interface GigabitEthernet1/0/2
port link-mode bridge
port link-type hybrid
port hybrid vlan 1 100 165 untagged
port hybrid pvid vlan 165
undo dot1x handshake
dot1x mandatory-domain domain1
undo dot1x multicast-trigger
dot1x port-method portbased
#
domain domain1
authentication lan-access radius-scheme radius1
authorization lan-access radius-scheme radius1
accounting lan-access radius-scheme radius1
#
radius scheme radius1
primary authentication 101.0.144.123
primary accounting 101.0.144.123
key authentication cipher $c$3$9jjl0lp5VA/WXEw065ZIT7j4AIN88XTF
key accounting cipher $c$3$fk1zm9nf2IFMdk+I7hGsyBcsAwqLobi7
user-name-format without-domain
#
(1) Swtich上的配置。
¡ 若采用MAC地址认证,Swtich上的配置请参考4.3.1 配置Switch。
¡ 若采用802.1X认证用户,Swtich上的配置请参考5.3.1 配置Switch。
(2) 授权VLAN名称时,该VLAN必须在设备上已经创建,并且设置了VLAN名称。
<Switch> system-view
[Switch] vlan 100
[Switch-vlan100] name tolly
(1) 服务器上的通用配置。
¡ 若采用MAC地址认证,服务器上的配置请参考4.3.2 配置Windows Server 2016-NPS。
¡ 若采用802.1X认证,服务器上的配置请参考5.3.2 配置Windows Server 2016-NPS。
(2) 只需将“网络策略”的“属性”参考图7-4修改即可。
(1) 用户上线后服务器显示如图7-5。
(2) 以802.1X认证为例,用户上线后,在设备上通过display dot1x connection命令可以查看上线802.1X用户的信息。其中Authorization untagged VLAN字段显示成功下发授权VLAN100(该VLAN名称为tolly)。
[Switch]display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: a036-9f8b-634c
Access interface: GigabitEthernet1/0/2
Username: user
User access state: Successful
Authentication domain: domain1
EAP packet identifier: 2
Authentication method: CHAP
AAA authentication method: RADIUS
Initial VLAN: 165
Authorization untagged VLAN: 100
Authorization tagged VLAN list: N/A
Authorization VSI: N/A
Authorization microsegment ID: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Authorization IPv6 URL: N/A
Authorization temporary redirect: Disabled
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: Default
Session timeout period: N/A
Online from: 2013/01/08 06:55:46
Online duration: 0h 0m 9s
(3) 以MAC地址认证为例,用户上线后,在设备上通过display mac-authentication connection命令可以查看上线MAC地址认证用户的信息。其中Authorization untagged VLAN字段显示成功下发授权VLAN100(该VLAN名称为tolly)。
[Switch]display mac-authentication connection
Total connections: 1
Slot ID: 1
User MAC address: 0010-9400-0005
Access interface: GigabitEthernet1/0/2
Username: 001094000005
User access state: Successful
Authentication domain: domain1
IPv4 address: 192.85.1.2
IPv4 address source: User packet
Initial VLAN: 165
Authorization untagged VLAN: 100
Authorization tagged VLAN: N/A
Authorization VSI: N/A
Authorization microsegment ID: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Authorization IPv6 URL: N/A
Authorization temporary redirect: Disabled
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: Default
Session timeout period: N/A
Offline detection: 300 sec (command-configured)
Online from: 2013/01/08 06:57:21
Online duration: 0h 0m 9s
Port-down keep online: Disabled (offline)
#
dot1x
#
interface GigabitEthernet1/0/2
port link-mode bridge
port link-type hybrid
port hybrid vlan 1 100 165 untagged
port hybrid pvid vlan 165
undo dot1x handshake
dot1x mandatory-domain domain1
undo dot1x multicast-trigger
dot1x port-method portbased
#
domain domain1
authentication lan-access radius-scheme radius1
authorization lan-access radius-scheme radius1
accounting lan-access radius-scheme radius1
#
radius scheme radius1
primary authentication 101.0.144.123
primary accounting 101.0.144.123
key authentication cipher $c$3$9jjl0lp5VA/WXEw065ZIT7j4AIN88XTF
key accounting cipher $c$3$fk1zm9nf2IFMdk+I7hGsyBcsAwqLobi7
user-name-format without-domain
#
(1) Swtich上的配置
¡ 若采用MAC地址认证,Swtich上的配置请参考4.3.1 配置Switch。
¡ 若采用802.1X认证,Swtich上的配置请参考5.3.1 配置Switch。
(2) 下发的VLAN组必须在设备上已经创建,会将该组VLAN组中ID最小的VLAN授权给当前的认证用户,且后续该端口上的认证用户均被加入该授权VLAN。
<Switch> system-view
[Switch] vlan-group temp
[Switch-vlan-group-temp] vlan-list 100 200 300
(1) 服务器上的通用配置。
¡ 若采用MAC地址认证,服务器上的配置请参考4.3.2 配置Windows Server 2016-NPS。
¡ 若采用802.1X认证,服务器上的配置请参考5.3.2 配置Windows Server 2016-NPS。
(2) 只需将“网络策略”的“属性”参考图7-6修改即可。
(1) 用户上线后服务器显示如图7-7。
(2) 以802.1X认证为例,用户上线后,在设备上通过display dot1x connection命令可以查看上线802.1X用户的信息。其中Authorization untagged VLAN字段显示成功下发授权VLAN 100。
<Switch> display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: a036-9f8b-634c
Access interface: GigabitEthernet1/0/2
Username: user
User access state: Successful
Authentication domain: domain1
EAP packet identifier: 2
Authentication method: CHAP
AAA authentication method: RADIUS
Initial VLAN: 165
Authorization untagged VLAN: 100
Authorization tagged VLAN list: N/A
Authorization VSI: N/A
Authorization microsegment ID: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Authorization IPv6 URL: N/A
Authorization temporary redirect: Disabled
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: Default
Session timeout period: N/A
Online from: 2013/01/08 07:03:17
Online duration: 0h 0m 12s
以MAC地址认证为例,用户上线后,在设备上通过display mac-authentication connection命令可以查看上线MAC地址认证用户的信息。其中Authorization untagged VLAN字段显示成功下发授权VLAN 100。
<Switch> display mac-authentication connection
Total connections: 1
Slot ID: 1
User MAC address: 0010-9400-0005
Access interface: GigabitEthernet1/0/2
Username: 001094000005
User access state: Successful
Authentication domain: domain1
IPv4 address: 192.85.1.2
IPv4 address source: User packet
Initial VLAN: 165
Authorization untagged VLAN: 100
Authorization tagged VLAN: N/A
Authorization VSI: N/A
Authorization microsegment ID: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Authorization IPv6 URL: N/A
Authorization temporary redirect: Disabled
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: Default
Session timeout period: N/A
Offline detection: 300 sec (command-configured)
Online from: 2013/01/08 06:57:21
Online duration: 0h 10m 12s
Port-down keep online: Disabled (offline)
#
dot1x
#
interface GigabitEthernet1/0/2
port link-mode bridge
port link-type hybrid
port hybrid vlan 1 100 165 untagged
port hybrid pvid vlan 165
undo dot1x handshake
dot1x mandatory-domain domain1
undo dot1x multicast-trigger
dot1x port-method portbased
#
domain domain1
authentication lan-access radius-scheme radius1
authorization lan-access radius-scheme radius1
accounting lan-access radius-scheme radius1
#
radius scheme radius1
primary authentication 101.0.144.123
primary accounting 101.0.144.123
key authentication cipher $c$3$9jjl0lp5VA/WXEw065ZIT7j4AIN88XTF
key accounting cipher $c$3$fk1zm9nf2IFMdk+I7hGsyBcsAwqLobi7
user-name-format without-domain
#
(1) Swtich上的配置。
¡ 若采用MAC地址认证,Swtich上的配置请参考4.3.1 配置Switch。
¡ 若采用802.1X认证,Swtich上的配置请参考5.3.1 配置Switch。
(2) 服务器授权多个VLAN名称时,所有VLAN必须在设备上均已经创建,并且均设置了VLAN名称。
[Switch] vlan 100
[Switch-vlan100] name tolly1
[Switch-vlan100] quit
[Switch] vlan 200
[Switch-vlan200] name tolly2
[Switch-vlan200] quit
(1) 服务器上的配置。
¡ 若采用MAC地址认证,服务器上的配置请参考4.3.2 配置Windows Server 2016-NPS。
¡ 若采用802.1X认证,服务器上的配置请参考5.3.2 配置Windows Server 2016-NPS。
(2) 只需将“网络策略”的“属性”参考图7-8修改即可。
(1) 用户上线后服务器显示如图7-9。
(2) 以802.1X认证为例,用户上线后,在设备上通过display dot1x connection命令可以查看上线802.1X用户的信息。其中Authorization untagged VLAN字段显示成功下发授权VLAN 100。
若认证服务器下发的授权VLAN信息为一个包含若干VLAN编号以及若干VLAN名称的字符串,则设备首先将其解析为一组VLAN ID,然后采用与解析一个VLAN组名相同的解析逻辑选择一个授权VLAN。通常是按VLAN ID最小选择。
<Switch> display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: a036-9f8b-634c
Access interface: GigabitEthernet1/0/2
Username: user
User access state: Successful
Authentication domain: domain1
EAP packet identifier: 2
Authentication method: CHAP
AAA authentication method: RADIUS
Initial VLAN: 165
Authorization untagged VLAN: 100
Authorization tagged VLAN list: N/A
Authorization VSI: N/A
Authorization microsegment ID: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Authorization IPv6 URL: N/A
Authorization temporary redirect: Disabled
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: Default
Session timeout period: N/A
Online from: 2013/01/08 21:33:14
Online duration: 0h 0m 12s
#
dot1x
#
interface GigabitEthernet1/0/2
port link-mode bridge
port link-type hybrid
port hybrid vlan 1 100 165 untagged
port hybrid pvid vlan 165
undo dot1x handshake
dot1x mandatory-domain domain1
undo dot1x multicast-trigger
dot1x port-method portbased
#
domain domain1
authentication lan-access radius-scheme radius1
authorization lan-access radius-scheme radius1
accounting lan-access radius-scheme radius1
#
radius scheme radius1
primary authentication 101.0.144.123
primary accounting 101.0.144.123
key authentication cipher $c$3$9jjl0lp5VA/WXEw065ZIT7j4AIN88XTF
key accounting cipher $c$3$fk1zm9nf2IFMdk+I7hGsyBcsAwqLobi7
user-name-format without-domain
#
Auto VLAN规则下,服务器下发的授权VLAN仅对端口链路类型为Hybrid或Trunk,且802.1X接入控制方式为Port-based的端口有效。若端口链路类型为access,则用户上线失败。
服务器上的配置请参考5.3.2 配置Windows Server 2016-NPS。只需将“网络策略”的“属性”参考图7-10修改即可。
用户使用802.1X认证方式上线。
(1) 用户上线后服务器显示如图7-11。
(2) 用户上线后,在设备上通过display dot1x connection命令可以查看上线802.1X用户的信息。其中Authorization tagged VLAN字段显示成功下发授权VLAN 7和VLAN 9。不存在untagged的授权VLAN,则不修改端口的缺省VLAN。
<Switch> display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: a036-9f8b-634c
Access interface: GigabitEthernet1/0/2
Username: user
User access state: Successful
Authentication domain: domain1
EAP packet identifier: 2
Authentication method: CHAP
AAA authentication method: RADIUS
Initial VLAN: 165
Authorization untagged VLAN: 100
Authorization tagged VLAN list: 7 9
Authorization VSI: N/A
Authorization microsegment ID: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Authorization IPv6 URL: N/A
Authorization temporary redirect: Disabled
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: Default
Session timeout period: N/A
Online from: 2013/01/08 07:15:29
Online duration: 0h 0m 10s
#
dot1x
#
interface GigabitEthernet1/0/2
port link-mode bridge
port link-type hybrid
port hybrid vlan 1 100 165 untagged
port hybrid pvid vlan 165
undo dot1x handshake
dot1x mandatory-domain domain1
undo dot1x multicast-trigger
dot1x port-method portbased
#
domain domain1
authentication lan-access radius-scheme radius1
authorization lan-access radius-scheme radius1
accounting lan-access radius-scheme radius1
#
radius scheme radius1
primary authentication 101.0.144.123
primary accounting 101.0.144.123
key authentication cipher $c$3$9jjl0lp5VA/WXEw065ZIT7j4AIN88XTF
key accounting cipher $c$3$fk1zm9nf2IFMdk+I7hGsyBcsAwqLobi7
user-name-format without-domain
#
服务器上的配置请参考5.3.2 配置Windows Server 2016-NPS。只需将“网络策略”的“属性”参考图7-12修改即可。
用户使用802.1X认证方式上线。
(1) 用户上线后服务器上显示如图7-13。
(2) 用户上线后,在设备上通过display dot1x connection命令可以查看上线802.1X用户的信息。其中Authorization tagged VLAN字段显示成功下发授权VLAN 7和VLAN 9。存在untagged的授权VLAN,端口的缺省VLAN将被修改为untagged的授权VLAN。
<Switch> display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: a036-9f8b-634c
Access interface: GigabitEthernet1/0/2
Username: user
User access state: Successful
Authentication domain: domain1
EAP packet identifier: 2
Authentication method: CHAP
AAA authentication method: RADIUS
Initial VLAN: 165
Authorization untagged VLAN: 10
Authorization tagged VLAN list: 7 9
Authorization VSI: N/A
Authorization microsegment ID: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Authorization IPv6 URL: N/A
Authorization temporary redirect: Disabled
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: Default
Session timeout period: N/A
Online from: 2013/01/08 07:19:07
Online duration: 0h 0m 10s
#
dot1x
#
interface GigabitEthernet1/0/2
port link-mode bridge
port link-type hybrid
port hybrid vlan 1 100 165 untagged
port hybrid pvid vlan 165
undo dot1x handshake
dot1x mandatory-domain domain1
undo dot1x multicast-trigger
dot1x port-method portbased
#
domain domain1
authentication lan-access radius-scheme radius1
authorization lan-access radius-scheme radius1
accounting lan-access radius-scheme radius1
#
radius scheme radius1
primary authentication 101.0.144.123
primary accounting 101.0.144.123
key authentication cipher $c$3$9jjl0lp5VA/WXEw065ZIT7j4AIN88XTF
key accounting cipher $c$3$fk1zm9nf2IFMdk+I7hGsyBcsAwqLobi7
user-name-format without-domain
#
服务器上的配置请参考5.3.2 配置Windows Server 2016-NPS。只需将“配置文件”的“属性”参考图7-14修改即可。
用户使用802.1X认证方式上线。
(1) 用户上线后服务器上显示如图7-15。
(2) 用户上线后,在设备上通过display dot1x connection命令可以查看上线802.1X用户的信息。其中Authorization tagged VLAN字段显示成功下发授权VLAN 7、VLAN 9和VLAN 10。授权VLAN信息为一个包含若干个“VLAN ID+后缀”形式的字符串,则只有第一个不携带后缀或者携带untagged后缀的VLAN将被解析为唯一的untagged的授权VLAN(本例为VLAN 8),其余VLAN都被解析为tagged的授权VLAN,端口的缺省VLAN将被修改为untagged的授权VLAN。
[Switch]display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: a036-9f8b-634c
Access interface: GigabitEthernet1/0/2
Username: user
User access state: Successful
Authentication domain: domain1
EAP packet identifier: 2
Authentication method: CHAP
AAA authentication method: RADIUS
Initial VLAN: 165
Authorization untagged VLAN: 8
Authorization tagged VLAN list: 7 9-10
Authorization VSI: N/A
Authorization microsegment ID: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Authorization IPv6 URL: N/A
Authorization temporary redirect: Disabled
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: Default
Session timeout period: N/A
Online from: 2013/01/08 07:22:52
Online duration: 0h 0m 48s
#
dot1x
#
interface GigabitEthernet1/0/2
port link-mode bridge
port link-type hybrid
port hybrid vlan 1 100 165 untagged
port hybrid pvid vlan 165
undo dot1x handshake
dot1x mandatory-domain domain1
undo dot1x multicast-trigger
dot1x port-method portbased
#
domain domain1
authentication lan-access radius-scheme radius1
authorization lan-access radius-scheme radius1
accounting lan-access radius-scheme radius1
#
radius scheme radius1
primary authentication 101.0.144.123
primary accounting 101.0.144.123
key authentication cipher $c$3$9jjl0lp5VA/WXEw065ZIT7j4AIN88XTF
key accounting cipher $c$3$fk1zm9nf2IFMdk+I7hGsyBcsAwqLobi7
user-name-format without-domain
#
如图8-1所示,Client和Windows Server 2016-NPS服务器通过Switch建立连接,设备管理员希望对Client进行802.1X认证或者MAC地址认证,以控制其对网络资源的访问,具体要求如下:
· 采用Windows Server 2016-NPS作为RADIUS服务器。
· 通过Windows Server 2016-NPS授权下发ACL。
图8-1 授权ACL组网图
本配置举例所使用的设备型号及版本信息如下:
· Switch: S5560X-54C-PWR-EI,Version 7.1.070
· 认证服务器:Windows Server 2016-NPS
(1) Swtich上的配置。
¡ 若采用MAC地址认证,Swtich上的配置请参考4.3.1 配置Switch。
¡ 若采用802.1X认证,Swtich上的配置请参考5.3.1 配置Switch。
(2) 授权ACL名称时,该ACL必须在设备上已经创建才会生效。
# 在设备上创建ACL,并配置规则。
<Switch> system-view
[Switch] acl advanced 3001
[Switch-acl-ipv4-adv-3001] rule 0 permit ip source any
(1) 服务器上的配置。
¡ 若采用MAC地址认证,服务器上的配置请参考4.3.2 配置Windows Server 2016-NPS。
¡ 若采用802.1X认证,服务器上的配置请参考5.3.2 配置Windows Server 2016-NPS。
(2) 只需将“配置文件”的“属性”参考图8-2修改即可。
Filter-Id 取值为数字,则按照ACL Number处理,取值不全为数字,则按照User Profile处理。
以用户使用802.1X认证方式上线为例。
(1) 用户上线后服务器上显示如图8-3。
(2) 用户上线后,在设备上通过display dot1x connection命令查看上线802.1X用户的信息,可以看到服务器下发的ACL成功下发到设备上。
<Switch> display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: a036-9f8b-634c
Access interface: GigabitEthernet1/0/2
Username: user
User access state: Successful
Authentication domain: domain1
EAP packet identifier: 2
Authentication method: CHAP
AAA authentication method: RADIUS
Initial VLAN: 165
Authorization untagged VLAN: N/A
Authorization tagged VLAN list: N/A
Authorization VSI: N/A
Authorization microsegment ID: N/A
Authorization ACL number/name: 3001
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Authorization IPv6 URL: N/A
Authorization temporary redirect: Disabled
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: Default
Session timeout period: N/A
Online from: 2013/01/08 07:28:24
Online duration: 0h 0m 12s
#
dot1x
#
interface GigabitEthernet1/0/2
port link-mode bridge
port link-type hybrid
port hybrid vlan 1 100 165 untagged
port hybrid pvid vlan 165
undo dot1x handshake
dot1x mandatory-domain domain1
undo dot1x multicast-trigger
dot1x port-method portbased
#
domain domain1
authentication lan-access radius-scheme radius1
authorization lan-access radius-scheme radius1
accounting lan-access radius-scheme radius1
#
radius scheme radius1
primary authentication 101.0.144.123
primary accounting 101.0.144.123
key authentication cipher $c$3$9jjl0lp5VA/WXEw065ZIT7j4AIN88XTF
key accounting cipher $c$3$fk1zm9nf2IFMdk+I7hGsyBcsAwqLobi7
user-name-format without-domain
#
如图9-1所示,Client和Windows Server 2016-NPS服务器通过Switch建立连接,设备管理员希望对Client进行802.1X认证或者MAC地址认证,以控制其对网络资源的访问,具体要求如下:
· 采用Windows Server 2016-NPS作为RADIUS服务器。
· 通过Windows Server 2016-NPS授权下发User-Profile。
本配置举例所使用的设备型号及版本信息如下:
· Switch: S5560X-54C-PWR-EI,Version 7.1.070
· 认证服务器:Windows Server 2016-NPS
(1) Swtich上的配置。
¡ 若采用MAC地址认证,Swtich上的配置请参考4.3.1 配置Switch。
¡ 若采用802.1X认证,Swtich上的配置请参考5.3.1 配置Switch。
(2) 授权User-Profile名称时,该User-Profile必须在设备上已经创建才会生效。
# 为User创建User Profile,并创建qos car。
<Switch> system-view
[Switch] user-profile test
[Switch-user-profile-test]qos car inbound any cir 100000
[Switch-user-profile-test] quit
(1) 服务器上的配置。
¡ 若采用MAC地址认证,服务器上的配置请参考4.3.2 配置Windows Server 2016-NPS。
¡ 若采用802.1X认证,服务器上的配置请参考5.3.2 配置Windows Server 2016-NPS。
(2) 只需将“网络策略”的“属性”参考图9-2修改即可。
Filter-Id 取值为数字,则按照ACL Number处理,取值不全为数字,则按照User Profile处理。
以用户使用802.1X认证方式上线为例。
(1) 用户上线后服务器上显示如图9-3。
(2) 用户上线后,在设备上通过display dot1x connection命令可以查看上线802.1X用户的信息。其中Authorization user profile字段显示成功下发名称为test的授权User Profile。
<Switch> display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: a036-9f8b-634c
Access interface: GigabitEthernet1/0/2
Username: user
User access state: Successful
Authentication domain: domain1
EAP packet identifier: 2
Authentication method: CHAP
AAA authentication method: RADIUS
Initial VLAN: 165
Authorization untagged VLAN: N/A
Authorization tagged VLAN list: N/A
Authorization VSI: N/A
Authorization microsegment ID: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: test
Authorization CAR: N/A
Authorization URL: N/A
Authorization IPv6 URL: N/A
Authorization temporary redirect: Disabled
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: Default
Session timeout period: N/A
Online from: 2013/01/10 07:29:38
Online duration: 0h 0m 50s
#
dot1x
#
interface GigabitEthernet1/0/2
port link-mode bridge
port link-type hybrid
port hybrid vlan 1 100 165 untagged
port hybrid pvid vlan 165
undo dot1x handshake
dot1x mandatory-domain domain1
undo dot1x multicast-trigger
dot1x port-method portbased
#
domain domain1
authentication lan-access radius-scheme radius1
authorization lan-access radius-scheme radius1
accounting lan-access radius-scheme radius1
#
radius scheme radius1
primary authentication 101.0.144.123
primary accounting 101.0.144.123
key authentication cipher $c$3$9jjl0lp5VA/WXEw065ZIT7j4AIN88XTF
key accounting cipher $c$3$fk1zm9nf2IFMdk+I7hGsyBcsAwqLobi7
user-name-format without-domain
#
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!