不卡AV在线|网页在线观看无码高清|亚洲国产亚洲国产|国产伦精品一区二区三区免费视频

學習啦 > 學習電腦 > 電腦入門 > 華為交換機與Cisco ISE服務(wù)器對接教程

華為交換機與Cisco ISE服務(wù)器對接教程

時間: 志藝942 分享

華為交換機與Cisco ISE服務(wù)器對接教程

  你還在為不知道華為交換機與Cisco ISE服務(wù)器對接方法而煩惱么?接下來是小編為大家收集的華為交換機與Cisco ISE服務(wù)器對接教程,希望能幫到大家。

  華為交換機與Cisco ISE服務(wù)器對接教程方法

  本案例以授權(quán)ACL和動態(tài)VLAN為例,簡單介紹如何通過Cisco Identity Services Engine(ISE)服務(wù)器實現(xiàn)為終端用戶授權(quán)。

  l 授權(quán)ACL分為兩類:

  − ACL描述信息:服務(wù)器上配置了ACL描述信息授權(quán)功能,則授權(quán)信息中含有ACL的描述信息。設(shè)備端根據(jù)服務(wù)器授權(quán)的ACL描述信息匹配上相應(yīng)的ACL規(guī)則,對用戶權(quán)限進行控制。其中設(shè)備上需要配置ACL編號、對應(yīng)的描述信息和ACL規(guī)則。

  使用RADIUS標準屬性:(011)Filter-Id。

  − 動態(tài)ACL:服務(wù)器向設(shè)備授權(quán)該ACL中的規(guī)則,用戶能夠訪問ACL所包括的網(wǎng)絡(luò)資源,ACL及ACL規(guī)則需要在服務(wù)器上配置。設(shè)備上不需要配置對應(yīng)的ACL。

  使用華為RADIUS私有屬性:(26-82)HW-Data-Filter。

  l 動態(tài)VLAN:服務(wù)器上配置了動態(tài)VLAN下發(fā)功能,則授權(quán)信息中含有下發(fā)的VLAN屬性,設(shè)備端在接收到下發(fā)的VLAN屬性后,會將用戶所屬的VLAN修改為下發(fā)VLAN。動態(tài)VLAN可以通過VLAN ID和VLAN的描述信息下發(fā)。

  授權(quán)下發(fā)的VLAN并不改變接口的配置,也不影響接口的配置。但是,授權(quán)下發(fā)的VLAN的優(yōu)先級高于用戶配置的VLAN,即通過認證后起作用的VLAN是授權(quán)下發(fā)的VLAN,用戶配置的VLAN在用戶下線后生效。

  動態(tài)VLAN下發(fā),使用了以下RADIUS標準屬性:

  − (064)Tunnel-Type(必須指定為VLAN,或數(shù)值13)

  − (065)Tunnel-Medium-Type(必須指定為802,或數(shù)值6)

  − (081)Tunnel-Private-Group-ID(可以是VLAN ID或VLAN名稱)

  要通過RADIUS服務(wù)器正確下發(fā)VLAN屬性,以上三個屬性必須同時使用,而且Tunnel-Type及Tunnel-Medium-Type兩個屬性的值必須是指定的值。

  配置注意事項

  本例中Cisco ISE服務(wù)器的版本為1.4.0.253。

  Cisco ISE服務(wù)器作為RADIUS服務(wù)器與設(shè)備對接實現(xiàn)授權(quán)時,需要注意以下事項:

  l 支持通過RADIUS標準屬性和華為RADIUS私有屬性實現(xiàn)授權(quán),不支持通過Cisco私有屬性授權(quán)。使用華為私有屬性授權(quán)時,需要在Cisco ISE服務(wù)器上手動添加私有屬性值。

  l 通過ACL描述信息授權(quán)ACL時,在Cisco ISE服務(wù)器勾選Filter-ID、添加描述信息abc后,屬性下發(fā)時會自動攜帶.in后綴;若想授權(quán)成功,設(shè)備需要將該ACL的描述信息配置為abc.in。

  l 動態(tài)ACL授權(quán)使用的是華為私有屬性HW-Data-Filter授權(quán),不支持通過Cisco私有屬性授權(quán)。

  l 在Cisco ISE服務(wù)器上添加華為私有屬性HW-Data-Filter后,在授權(quán)模板中既存在Filter-ID又存在HW-Data-Filter時,只能下發(fā)Filter-ID,不能下發(fā)HW-Data-Filter。

  l 通過ACL描述信息授權(quán)ACL時,由于Cisco ISE服務(wù)器支持配置的描述信息長度最大為252個字節(jié)、設(shè)備支持配置的描述信息長度最大為127個字節(jié),所以兩端配置的描述信息不能超過127個字節(jié)。

  l 通過VLAN描述信息授權(quán)動態(tài)VLAN時,由于Cisco ISE服務(wù)器支持配置的描述信息長度最大為32個字節(jié)、設(shè)備支持配置的描述信息長度最大為80個字節(jié),所以兩端配置的描述信息不能超過32個字節(jié)。

  組網(wǎng)需求

  如圖3-10所示,某公司內(nèi)部大量員工終端通過SwitchA上的接口GE1/0/1接入網(wǎng)絡(luò)。為確保網(wǎng)絡(luò)的安全性,管理員需對終端的網(wǎng)絡(luò)訪問權(quán)限進行控制,要求如下:

  l 終端認證成功前能夠訪問公共服務(wù)器(IP地址為192.168.40.1),執(zhí)行下載802.1x客戶端或更新病毒庫的操作。

  l 終端認證成功后能夠訪問業(yè)務(wù)服務(wù)器(IP地址為192.168.50.1)和實驗室內(nèi)的設(shè)備(所屬VLAN號為20,IP地址段為192.168.20.10–192.168.20.100)。

  有線接入組網(wǎng)圖

  數(shù)據(jù)準備

  接入交換機業(yè)務(wù)數(shù)據(jù)規(guī)劃

項目

數(shù)據(jù)

RADIUS方案

l認證服務(wù)器IP地址:192.168.30.1

l認證服務(wù)器端口號:1812

l計費服務(wù)器IP地址:192.168.30.1

l計費服務(wù)器端口號:1813

lRADIUS服務(wù)器共享密鑰:Huawei@123

l認證域:huawei

認證成功前可訪問的資源

公共服務(wù)器的訪問權(quán)限通過免認證規(guī)則設(shè)置

認證成功后可訪問的資源

實驗室的訪問權(quán)限通過動態(tài)VLAN授權(quán),VLAN號為:20

業(yè)務(wù)服務(wù)器的訪問權(quán)限通過ACL號授權(quán),ACL號為:3002,描述信息為3002.in

  Cisco ISE服務(wù)器業(yè)務(wù)數(shù)據(jù)規(guī)劃

項目

數(shù)據(jù)

部門

研發(fā)部

接入用戶

用戶名:A-123

密碼:Huawei123

交換機IP地址

SwitchA10.10.10.1

RADIUS認證密鑰

Huawei@123

RADIUS計費密鑰

Huawei@123

  配置思路

  1. 配置接入交換機。包括配置接口所屬VLAN、與RADIUS服務(wù)器的對接參數(shù)、使能NAC認證、認證成功后的網(wǎng)絡(luò)訪問權(quán)限等。

  本示例需保證SwitchA、SwitchB、各個服務(wù)器、實驗室以及員工區(qū)域之間路由互通。

  2. 配置Cisco ISE服務(wù)器:

  a. 登錄Cisco ISE服務(wù)器。

  b. 在Cisco ISE服務(wù)器上添加用戶。

  c. 在Cisco ISE服務(wù)器上添加交換機。

  d. 在Cisco ISE服務(wù)器上配置使用的密碼認證協(xié)議。

  e. 在Cisco ISE服務(wù)器上配置認證策略。

  f. 在Cisco ISE服務(wù)器上配置授權(quán)策略。

  操作步驟

  步驟一 配置接入交換機SwitchA。

  1. 創(chuàng)建VLAN并配置接口允許通過的VLAN,保證網(wǎng)絡(luò)通暢。

  <HUAWEI> system-view

  [HUAWEI] sysname SwitchA

  [SwitchA] vlan batch 10 20

  [SwitchA] interface gigabitethernet 0/0/1 //配置與員工終端連接的接口

  [SwitchA-GigabitEthernet0/0/1] port link-type hybrid

  [SwitchA-GigabitEthernet0/0/1] port hybrid pvid vlan 10

  [SwitchA-GigabitEthernet0/0/1] port hybrid untagged vlan 10

  [SwitchA-GigabitEthernet0/0/1] quit

  [SwitchA] interface gigabitethernet 0/0/2 //配置與實驗室連接的接口

  [SwitchA-GigabitEthernet0/0/2] port link-type hybrid

  [SwitchA-GigabitEthernet0/0/2] port hybrid untagged vlan 20

  [SwitchA-GigabitEthernet0/0/2] quit

  [SwitchA] interface gigabitethernet 0/0/3 //配置與SwitchB連接的接口

  [SwitchA-GigabitEthernet0/0/3] port link-type trunk

  [SwitchA-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20

  [SwitchA-GigabitEthernet0/0/3] quit

  [SwitchA] interface loopback 1

  [SwitchA-LoopBack1] ip address 10.10.10.1 24 //配置與Cisco ISE服務(wù)器通信的IP地址

  [SwitchA-LoopBack1] quit

  2. 創(chuàng)建并配置RADIUS服務(wù)器模板、AAA認證方案以及認證域。

  # 創(chuàng)建并配置RADIUS服務(wù)器模板“rd1”。

  [SwitchA] radius-server template rd1

  [SwitchA-radius-rd1] radius-server authentication 192.168.30.1 1812

  [SwitchA-radius-rd1] radius-server accounting 192.168.30.1 1813

  [SwitchA-radius-rd1] radius-server shared-key cipher Huawei@123

  [SwitchA-radius-rd1] quit

  # 創(chuàng)建AAA認證方案“abc”并配置認證方式為RADIUS。

  [SwitchA] aaa

  [SwitchA-aaa] authentication-scheme abc

  [SwitchA-aaa-authen-abc] authentication-mode radius

  [SwitchA-aaa-authen-abc] quit

  # 配置計費方案“acco1”并配置計費方式為RADIUS。

  [SwitchA-aaa] accounting-scheme acco1

  [SwitchA-aaa-accounting-acco1] accounting-mode radius

  [SwitchA-aaa-accounting-acco1] quit

  # 創(chuàng)建認證域“huawei”,并在其上綁定AAA認證方案“abc”、計費方案“acco1”與RADIUS服務(wù)器模板“rd1”。

  [SwitchA-aaa] domain huawei

  [SwitchA-aaa-domain-huawei] authentication-scheme abc

  [SwitchA-aaa-domain-huawei] accounting-scheme acco1

  [SwitchA-aaa-domain-huawei] radius-server rd1

  [SwitchA-aaa-domain-huawei] quit

  [SwitchA-aaa] quit

  3. 使能802.1x認證。

  # 將NAC配置模式切換成統(tǒng)一模式。

  [SwitchA] authentication unified-mode

  設(shè)備默認為統(tǒng)一模式。模式切換前,管理員必須保存配置;模式切換后,設(shè)備重啟,新配置模式的各項功能才能生效。

  # 配置802.1x接入模板“d1”,并指定認證協(xié)議為EAP。

  [SwitchA] dot1x-access-profile name d1

  [SwitchA-dot1x-access-profile-d1] dot1x authentication-method eap

  [SwitchA-dot1x-access-profile-d1] quit

  # 配置免認證規(guī)則模板“default_free_rule”。

  [SwitchA] free-rule-template name default_free_rule

  [SwitchA-free-rule-default_free_rule] free-rule 10 destination ip 192.168.40.1 mask 32

  [SwitchA-free-rule-default_free_rule] quit

  # 配置認證模板“p1”,并在其上綁定802.1x接入模板“d1”、綁定免認證規(guī)則模板“default_free_rule”、指定認證模板下用戶的強制認證域為“huawei”。

  [SwitchA] authentication-profile name p1

  [SwitchA-authen-profile-p1] dot1x-access-profile d1

  [SwitchA-authen-profile-p1] free-rule-template default_free_rule

  [SwitchA-authen-profile-p1] access-domain huawei force

  [SwitchA-authen-profile-p1] quit

  # 在接口GE0/0/1上綁定認證模板“p1”,使能802.1x認證。

  [SwitchA] interface gigabitethernet 0/0/1

  [SwitchA-GigabitEthernet0/0/1] authentication-profile p1

  [SwitchA-GigabitEthernet0/0/1] quit

  4. 配置認證成功后的授權(quán)參數(shù)ACL3002。

  [SwitchA] acl 3002

  [SwitchA-acl-adv-3002] description 3002.in //配置ACL描述信息為3002.in;此時,Cisco ISE服務(wù)器設(shè)置的Filter-ID為3002

  [SwitchA-acl-adv-3002] rule 1 permit ip destination 192.168.30.1 0

  [SwitchA-acl-adv-3002] rule 2 permit ip destination 192.168.50.1 0

  [SwitchA-acl-adv-3002] rule 3 deny ip destination any

  [SwitchA-acl-adv-3002] quit

  步驟二 Cisco ISE服務(wù)器側(cè)配置。

  1. 登錄Cisco ISE服務(wù)器。

  a. 打開Internet Explorer瀏覽器,在地址欄輸入Cisco ISE服務(wù)器的訪問地址,單擊“Enter”。

訪問方式

說明

https://Cisco ISE-IP

其中,“Cisco ISE-IP”Cisco ISE服務(wù)器的IP地址。

  b. 輸入管理員帳號和密碼登錄Cisco ISE服務(wù)器。

  2. 創(chuàng)建用戶組和用戶。

  a. 選擇“Administration > Identity Management > Groups”。在右側(cè)操作區(qū)域內(nèi)選擇“Add”,創(chuàng)建用戶組“R&D”。


  b. 選擇“Administration > Identity Management > Identities”。在右側(cè)操作區(qū)域內(nèi)點擊“Add”,創(chuàng)建用戶名為“A-123”、密碼為“Huawei123”的用戶,并將該用戶添加到用戶組“R&D”。


  3. 在Cisco ISE服務(wù)器中添加交換機設(shè)備,以便Cisco ISE服務(wù)器能與交換機正常聯(lián)動。

  選擇“Administration > Network Resources > Network Devices”。在右側(cè)操作區(qū)域內(nèi)點擊“Add”,進入“New Network Device”頁面,在該頁面添加網(wǎng)絡(luò)接入設(shè)備并設(shè)置設(shè)備的連接參數(shù)。

參數(shù)

取值

說明

Name

SwitchA

-

IP Address

10.10.10.1/32

交換機上該接口必須與Cisco ISE服務(wù)器互通。

Shared Secret

Huawei@123

與交換機上配置的對研發(fā)部員工的訪問控制規(guī)則一致。



  4. 配置使用的密碼認證協(xié)議。

  選擇“Policy > Policy Elements > Result”。在左側(cè)操作區(qū)域內(nèi)選擇“Authentication > Allowed Protocols”,進入“Allowed Protocols Services”界面。在右側(cè)操作區(qū)域內(nèi)點擊“Add”,創(chuàng)建新的網(wǎng)絡(luò)接入方式,選擇允許使用的密碼認證協(xié)議。

  交換機與Cisco ISE服務(wù)器對接時,支持EAP、PAP和CHAP三種認證方式。交換機配置為EAP認證方式與Cisco ISE服務(wù)器對接時,不支持EAP-LEAP和EAP-FAST兩種模式。


  5. 配置認證策略。

  選擇“Policy > Authentication”。認證策略分為“Simple”和“Rule-Based”兩種,與“Simple”方式相比,“Rule-Based”方式可以匹配多個網(wǎng)絡(luò)接入方式(即“Allowed Protocol”)。這里以“Simple”為例。在“Network Access Service”下拉框中選擇上步新建的網(wǎng)絡(luò)接入方式“802.1X”,其他選擇默認配置。

  6. 配置授權(quán)策略。

  a. 新增授權(quán)規(guī)則。

  選擇“Policy > Authorization”。點擊右方“Edit”后的三角形,選擇“Insert New Rule Above”,新增名稱為“Authorization rule for authenticated users”的授權(quán)規(guī)則、授權(quán)的用戶組為“R&D”。

  b. 添加訪問權(quán)限。

  i. 在“Permissions”列,點擊“Add New Standard Profile”,進入“Add New Standard Profile”頁面。

  ii. 在“Add New Standard Profile”頁面,設(shè)置訪問權(quán)限。

參數(shù)

取值

說明

Name

VLAN20&ACL3002

-

Access Type

ACCESS_ACCEPT

認證成功的訪問權(quán)限。

Common Tasks

Huawei@123

VLAN:授權(quán)的VLAN編號或VLAN描述信息。

Filter-ID:授權(quán)的ACL描述信息。



  步驟三 檢查配置結(jié)果。

  l 員工在沒有認證的情況下只能訪問Cisco ISE服務(wù)器和公共服務(wù)器。

  l 員工認證通過后,能夠訪問Cisco ISE服務(wù)器、公共服務(wù)器、業(yè)務(wù)服務(wù)器和實驗室。

  l 認證通過后,在交換機上執(zhí)行命令display access-user,可以看到員工的在線信息。

看過“華為交換機與Cisco ISE服務(wù)器對接教程”的人還看了:

1.華為交換機與Cisco ISE服務(wù)器對接教程

2.華為交換機如何配置端口鏡像

3.華為交換機端口怎么綁定加vlan

4.華為交換機如何配置Trunk口

5.交換機配置基礎(chǔ)及實例講解

6.華為5700交換機dhcp怎么配置

2743492