欢迎您访问华为交换机与Cisco ISE服务器对接教程 本站旨在为大家提供生活常识类资讯
当前位置:首页 > 网络科技 > 电脑常识

华为交换机与Cisco ISE服务器对接教程

电脑常识2021-04-12
你还在为不知道华为交换机与Cisco ISE服务器对接方法而烦恼么?接下来是小编为大家收集的华为交换机与Cisco ISE服务器对接教程,希望能帮到大家。

  华为交换机与Cisco ISE服务器对接教程方法

  本案例以授权ACL和动态VLAN为例,简单介绍如何通过Cisco Identity Services Engine(ISE)服务器实现为终端用户授权。

  l 授权ACL分为两类:

  − ACL描述信息:服务器上配置了ACL描述信息授权功能,则授权信息中含有ACL的描述信息。设备端根据服务器授权的ACL描述信息匹配上相应的ACL规则,对用户权限进行控制。其中设备上需要配置ACL编号、对应的描述信息和ACL规则。

  使用RADIUS标准属性:(011)Filter-Id。

  − 动态ACL:服务器向设备授权该ACL中的规则,用户能够访问ACL所包括的网络资源,ACL及ACL规则需要在服务器上配置。设备上不需要配置对应的ACL。

  使用华为RADIUS私有属性:(26-82)HW-Data-Filter。

  l 动态VLAN:服务器上配置了动态VLAN下发功能,则授权信息中含有下发的VLAN属性,设备端在接收到下发的VLAN属性后,会将用户所属的VLAN修改为下发VLAN。动态VLAN可以通过VLAN ID和VLAN的描述信息下发。

  授权下发的VLAN并不改变接口的配置,也不影响接口的配置。但是,授权下发的VLAN的优先级高于用户配置的VLAN,即通过认证后起作用的VLAN是授权下发的VLAN,用户配置的VLAN在用户下线后生效。

  动态VLAN下发,使用了以下RADIUS标准属性:

  − (064)Tunnel-Type(必须指定为VLAN,或数值13)

  − (065)Tunnel-Medium-Type(必须指定为802,或数值6)

  − (081)Tunnel-Private-Group-ID(可以是VLAN ID或VLAN名称)

  要通过RADIUS服务器正确下发VLAN属性,以上三个属性必须同时使用,而且Tunnel-Type及Tunnel-Medium-Type两个属性的值必须是指定的值。

  配置注意事项

  本例中Cisco ISE服务器的版本为1.4.0.253。

  Cisco ISE服务器作为RADIUS服务器与设备对接实现授权时,需要注意以下事项:

  l 支持通过RADIUS标准属性和华为RADIUS私有属性实现授权,不支持通过Cisco私有属性授权。使用华为私有属性授权时,需要在Cisco ISE服务器上手动添加私有属性值。

  l 通过ACL描述信息授权ACL时,在Cisco ISE服务器勾选Filter-ID、添加描述信息abc后,属性下发时会自动携带.in后缀;若想授权成功,设备需要将该ACL的描述信息配置为abc.in。

  l 动态ACL授权使用的是华为私有属性HW-Data-Filter授权,不支持通过Cisco私有属性授权。

  l 在Cisco ISE服务器上添加华为私有属性HW-Data-Filter后,在授权模板中既存在Filter-ID又存在HW-Data-Filter时,只能下发Filter-ID,不能下发HW-Data-Filter。

  l 通过ACL描述信息授权ACL时,由于Cisco ISE服务器支持配置的描述信息长度最大为252个字节、设备支持配置的描述信息长度最大为127个字节,所以两端配置的描述信息不能超过127个字节。

  l 通过VLAN描述信息授权动态VLAN时,由于Cisco ISE服务器支持配置的描述信息长度最大为32个字节、设备支持配置的描述信息长度最大为80个字节,所以两端配置的描述信息不能超过32个字节。

  组网需求

  如图3-10所示,某公司内部大量员工终端通过SwitchA上的接口GE1/0/1接入网络。为确保网络的安全性,管理员需对终端的网络访问权限进行控制,要求如下:

  l 终端认证成功前能够访问公共服务器(IP地址为192.168.40.1),执行下载802.1x客户端或更新病毒库的操作。

  l 终端认证成功后能够访问业务服务器(IP地址为192.168.50.1)和实验室内的设备(所属VLAN号为20,IP地址段为192.168.20.10–192.168.20.100)。

  有线接入组网图

华为交换机与Cisco ISE服务器对接教程 第1张

  数据准备

  接入交换机业务数据规划

项目

数据

RADIUS方案

l 认证服务器IP地址:192.168.30.1

l 认证服务器端口号:1812

l 计费服务器IP地址:192.168.30.1

l 计费服务器端口号:1813

l RADIUS服务器共享密钥:Huawei@123

l 认证域:huawei