本文详细介绍了如何在华为和H3C设备上配置MAC认证,包括RADIUS服务器的设置、用户账户管理、AAA认证方案、计费策略以及逃生通道的管理。重点展示了如何在华为AgileController-Campus中对接入用户进行MAC认证的过程和注意事项。
前言:
MAC认证是网络接入控制方案(NAC)中的一种,它是基于接口和MAC地址对用户的网络访问权限进行控制的认证方法,并且不需要用户安装任何客户端软件。通过MAC认证能够实现保护企业内网的安全性的目的。
MAC认证无需用户终端安装客户端,但是却需要在服务器上登记MAC地址,管理较为复杂。相较而言,NAC中的802.1X认证方式安全性高,但是由于需要用户终端安装客户端,部署不灵活;而Portal认证方式同样不需要客户端并且部署灵活,但是安全性不高。
MAC认证一般适用于打印机、传真机等哑终端接入认证的场景。
场景
华为Agile Controller-Campus对接入用户进行MAC认证(认证点部署在接入交换机)
HUAWEI/H3C设备——对接HUAWEI AG(RADIUS服务器)
NAC为统一模式,可基于VPN实例
终端用户采用MAC认证方式接入组网环境
一、华为设备:
1、配置RADIUS服务器,添加用户账户,保证用户的认证/授权/计费功能正常运行(略)
#配置过程中有两个个共享密钥(RADIUS认证和计费密钥)交换机侧与服务器侧必须要配置一致
2、配置全网路由可达
4、创建RADIUS服务器模板(指定RADIUS服务器IP地址及共享密钥)
radius-server template radius_temp #创建radius server模板
radius-server shared-key cipher Radius@Auth #定义共享秘钥
radius-server authentication X.X.X.X 1812 vpn-instance Video source ip-address X.X.X.X weight 100 #ip-address为需要修改的地址,每个局点不同
radius-server accounting X.X.X.X 1813 vpn-instance Video source ip-address X.X.X.X weight 100 #ip-address为需要修改的地址,每个局点不同
radius-server testuser username AuthTest password cipher Huayun@123 #创建测试用户AuthTest,用户密码Huayun@123
radius-server authorization X.X.X.X vpn-instance Video shared-key cip Radius@Auth #定义授权秘钥5、创建AAA认证方案,认证方式为RADIUS
aaa #进入aaa模式
authentication-scheme radius_auth #创建认证方案
authentication-mode radius #指定认证方案的认证模式radius6、创建AAA计费方案,认证方式为RADIUS
accounting-scheme radius_acc #创建审计方案
accounting-mode radius #指定审计方案的审计模式为radius
accounting realtime 15 #指定实时审计周期为15分钟
accounting start-fail online #指定开始计费失败策略为:如果开始计费失败,允许用户上线 (缺省情况下,如果开始计费失败,用户不能上线,即采用offline方式)
该命令仅在执行accouting-mode命令配置计费模式为HWTACACS或RADIUS模式下生效;
应用场景:应用了计费方案后,如果有用户上线,设备将向计费服务器发送开始计费请求。
正常情况下,计费服务器响应设备的请求,由于网络故障的影响,可能造成设备没有收到计费服务器的响应而造成计费失败。
计费失败后,需要执行响应的策略:7、创建接入用户默认认证域,并将RADIUS服务器模板、认证方案、计费方案绑定至该域;
aaa #进入aaa模式
domain video.gov #创建video.gov的域并进入域的视图
authentication-scheme radius_auth #配置域下应用的认证方案
accounting-scheme radius_acc #配置域下应用的计费方案
radius-server radius_temp #配置域下应用radius-server模板8、定义触发逃生通道后用户所能访问的资源,以下配置以能够访问所有资源为例(即配置RADIUS服务器状态探测功能)
#设备通过RADIUS服务器状态探测功能感知RADIUS服务器的状态,在RADIUS服务器状态为Down时,使用户能够获得逃生权限;在RADIUS服务器状态UP后,用户退出逃生权限,进行重认证
#服务器DOWN后,每60S测试一次,3S内只要收到回复(无论认证成功与否都会有回复),服务器状态变为UP.
radius-server template radius_temp
radius-server detect-server interval 60
radius-server detect-server timeout 3
#RADIUS请求5S秒内无回复再次请求(以下为缺省值)
radius-server retransmit 3 timeout 5
#5S内出现两次Radius请求无响应,循环技术两次则服务器被判定为Down.
#两次Radius请求无响应时间大于300S时,判定服务器Down. 默认 5 2 2
radius-server dead-interval 5
radius-server dead-count 1
radius-server detect-cycle 2
radius-server max-unresponsive-interval 300
#配置RADIUS认证服务器和计费服务器的状态同步
radius-server dead-detect-condition by-server #配置基于IP地址对RADIUS服务器进行自动探测
缺省情况下,RADIUS服务器和计费服务器是分开进行探测的。
配置该功能后,相同VPN实例下,相同IP地址的RADIUS认证服务器和计费服务器同步探测,状态同步更新;
#配置授权参数
用户在预连接、认证失败或认证服务器Down时,支持通过VLAN、UCL组和业务方案授权
#业务方案
acl number 3000 #定义acl,service-scheme需调用
description For_Video
rule 1 permit ip #放行所有IP流量
aaa
service-scheme AuthServer_Down #创建一个业务方案,并进入业务方案视图。缺省情况下,设备没有创建业务方案
acl-id 3000 #业务方案下绑定ACL9、创建并配置MAC认证接入模板
mac-access-profile name mac_access_profile #创建MAC认证接入模板
Quit10、创建并配置认证模板
authentication-profile name Video #创建认证模板
authentication timer handshake-period 10 #接入设备控制用户下线
在接入设备上配置用户探测功能,用于探测用户是否在线。当用户在指定的时间内无响应(ARP探测),则认为用户下线,删除用户表项。
mac-access-profile mac_access_profile #绑定MAC认证接入模板。缺省情况下,设备自带1个名称为mac_access_profile的MAC接入模板
access-domain video.gov force #指定强制认证域
authentication mode multi-authen max-user 100 #指定用户接入模式为多用户单独认证接入模式、最大接入用户数为100。
authentication event authen-server-down action authorize service-scheme AuthServer_Down #配置用户在认证服务器Down时的网络访问权限
authentication event authen-server-up action re-authen #使能当认证服务器状态由Down或强制Up转变为真正Up时,设备对处于逃生状态的用户进行重认证。
缺省情况下,当认证服务器状态由Down或强制UP转变为真正UP时,设备不会对处于逃生状态的用户进行重认证。
缺省情况下,对预连接用户或认证失败用户进行重认证的周期为60S
说明:设备将RADIUS服务器的状态设置为Down,执行命令radius-server dead-time dead-time配置RADIUS服务器恢复激活状态的时间,当dead-time超时后,设备会将服务器的状态设置为Up,此状态为强制Up。
服务器可以成功收发报文时为真正Up状态。服务器状态从Down或强制Up状态转变为真正Up状态时,设备会对用户进行重认证。
11、接口下绑定认证模板
interface vlanif 3058 #需要修改的vlan,每个局点不同
authentication-profile Video
或者
interface GigabitEthernet0/0/17
authentication-profile Video
相关查看命令
#display access-user //查看MAC认证上线情况二、华三设备
1、配置RADIUS服务器,添加用户账户,保证用户的认证/授权/计费功能正常运行(略)
#配置过程中有两个个共享密钥(RADIUS认证和计费密钥)交换机侧与服务器侧必须要配置一致
2、配置全网路由可达
3、配置RADIUS方案
radius scheme radius_temp #创建RADIUS方案,并进入RADIUS方案视图
primary authentication X.X.X.X vpn-instance Video key simple Radius@Auth weight 100 #配置主RADIUS认证服务器
primary accounting X.X.X.X vpn-instance Video key simple Radius@Auth weight 100 #配置主RADIUS计费服务器
user-name-format without-domain #设置发送给RADIUS服务器的用户名不携带携带ISP域名(缺省情况下,发送给RADIUS服务器的用户名携带ISP域名)
nas-ip X.X.X.X #为指定RADIUS方案配置发送RADIUS报文使用的源IP地址
#需要修改的地址,每个局点不同4、配置ISP域
domain video.gov #创建非缺省ISP域
authentication default radius-scheme radius_temp
authorization default radius-scheme radius_temp
accounting default radius-scheme radius_temp5、配置MAC认证
全局模式下
mac-authentication #开启MAC地址认证
mac-authentication timer offline-detect 900 #配置MAC地址认证定时器类型为下线检测定时器(缺省为300S)
mac-authentication user-name-format mac-address with-hyphen(注释:用连字符) lowercase(注释:小写) #配置全局MAC地址认证用户的账号格式
mac-authentication access-user log enable failed-login logoff successful-login #开启MAC地址认证用户上线成功的日志信息
interface interface-type interface-number
mac-authentication #接口视图下,开启MAC地址认证
mac-authentication carry user-ip #配置MAC地址认证请求中携带用户IP地址(适用终端用户采用静态IP地址方式接入的组网环境中)
#只有全局和端口的MAC地址认证均开启后,MAC地址认证才能在端口生效相关查看命令
#display mac-authentication connection //查看MAC地址认证上线情况
#display mac-authentication //显示MAC地址认证配置信息
2688
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
