华为交换机与Cisco ISE服务器对接教程
本案例以授权ACL和动态VLAN为例,简单介绍如何通过Cisco Identity Services Engine(ISE)服务器实现为终端用户授权。
l 授权ACL分为两类:
− ACL描述信息:服务器上配置了ACL描述信息授权功能,则授权信息中含有ACL的描述信息。设备端根据服务器授权的ACL描述信息匹配上相应的ACL规则,对用户权限进行控制。其中设备上需要配置ACL编号、对应的描述信息和ACL规则。
使用RADIUS标准属性:(011)Filter-Id。
− 动态ACL:服务器向设备授权该ACL中的规则,用户能够访问ACL所包括的网络资源,ACL及ACL规则需要在服务器上配置。设备上不需要配置对应的ACL。
使用华为RADIUS私有属性:(26-82)HW-Data-Filter。
l 动态VLAN:服务器上配置了动态VLAN下发功能,则授权信息中含有下发的VLAN属性,设备端在接收到下发的VLAN属性后,会将用户所属的VLAN修改为下发VLAN。动态VLAN可以通过VLAN ID和VLAN的描述信息下发。
授权下发的VLAN并不改变接口的配置,也不影响接口的配置。但是,授权下发的VLAN的优先级高于用户配置的VLAN,即通过认证后起作用的VLAN是授权下发的VLAN,用户配置的VLAN在用户下线后生效。
动态VLAN下发,使用了以下RADIUS标准属性:
− (064)Tunnel-Type(必须指定为VLAN,或数值13)
− (065)Tunnel-Medium-Type(必须指定为802,或数值6)
− (081)Tunnel-Private-Group-ID(可以是VLAN ID或VLAN名称)
要通过RADIUS服务器正确下发VLAN属性,以上三个属性必须同时使用,而且Tunnel-Type及Tunnel-Medium-Type两个属性的值必须是指定的值。
配置注意事项
本例中Cisco ISE服务器的版本为1.4.0.253。
Cisco ISE服务器作为RADIUS服务器与设备对接实现授权时,需要注意以下事项:
l 支持通过RADIUS标准属性和华为RADIUS私有属性实现授权,不支持通过Cisco私有属性授权。使用华为私有属性授权时,需要在Cisco ISE服务器上手动添加私有属性值。
l 通过ACL描述信息授权ACL时,在Cisco ISE服务器勾选Filter-ID、添加描述信息abc后,属性下发时会自动携带.in后缀;若想授权成功,设备需要将该ACL的描述信息配置为abc.in。
l 动态ACL授权使用的是华为私有属性HW-Data-Filter授权,不支持通过Cisco私有属性授权。
l 在Cisco ISE服务器上添加华为私有属性HW-Data-Filter后,在授权模板中既存在Filter-ID又存在HW-Data-Filter时,只能下发Filter-ID,不能下发HW-Data-Filter。
l 通过ACL描述信息授权ACL时,由于Cisco ISE服务器支持配置的描述信息长度最大为252个字节、设备支持配置的描述信息长度最大为127个字节,所以两端配置的描述信息不能超过127个字节。
l 通过VLAN描述信息授权动态VLAN时,由于Cisco ISE服务器支持配置的描述信息长度最大为32个字节、设备支持配置的描述信息长度最大为80个字节,所以两端配置的描述信息不能超过32个字节。
组网需求
如图3-10所示,某公司内部大量员工终端通过SwitchA上的接口GE1/0/1接入网络。为确保网络的安全性,管理员需对终端的网络访问权限进行控制,要求如下:
l 终端认证成功前能够访问公共服务器(IP地址为192.168.40.1),执行下载802.1x客户端或更新病毒库的操作。
l 终端认证成功后能够访问业务服务器(IP地址为192.168.50.1)和实验室内的设备(所属VLAN号为20,IP地址段为192.168.20.10–192.168.20.100)。
有线接入组网图
数据准备
接入交换机业务数据规划
项目
数据
RADIUS方案
l 认证服务器IP地址:192.168.30.1
l 认证服务器端口号:1812
l 计费服务器IP地址:192.168.30.1
l 计费服务器端口号:1813
l RADIUS服务器共享密钥:Huawei@123
l 认证域:huawei
上一篇:解析网警跟踪网上发帖人过程
下一篇:怎么在电脑开机设置用户名和密码