1 背景
交换机提供用户的接入功能,用户分为管理员用户和接入用户两大类。如图1-1所示,管理员用户需要接入交换机对其进行管理,接入用户需要接入交换机使用视频、语音、上网等网络应用业务。
图1-1 交换机的用户
...
当用户接入交换机时,交换机需要对这些用户进行接入控制管理。如对用户进行身份认证(Authentication),授权(Authorization)给用户接入后可进行的业务以及根据用户使用的业务进行计费(Accounting),即AAA管理机制。AAA提供对用户进行认证、授权和计费等安全功能,防止非法用户登录设备,增强设备系统安全性。
l 认证:验证用户是否可以获得网络访问权。
l 授权:授权用户可以使用哪些服务。
l 计费:记录用户使用网络资源的情况。
AAA常用在对安全性要求较高的网络环境中,例如金融、***和运营商等行业。交换机运用AAA管理机制时还需要在网络中部署AAA服务器,如图1-2所示,通过各种方式接入交换机的用户的用户信息都由AAA服务器统一创建与维护,当用户输入的用户名和密码与AAA服务器上配置的一致时,才可以成功登录设备,再依据授权配置完成相应的授权,例如获取权限访问Internet。
图1-2 AAA服务器管理交换机的用户
...
目前S系列交换机支持基于RADIUS协议或HWTACACS协议与AAA服务器通信,在实际应用中,最常使用RADIUS协议。
2 Cisco Secure ACS介绍
简介
思科安全访问控制服务器Cisco Secure ACS(Cisco Secure Access Control System)是一个高度可扩展、高性能的AAA服务器,能提供AAA认证,授权,计费等全面的身份识别网络解决方案,这使企业网络能具有更高灵活性、移动性和安全性。
Cisco Secure ACS支持范围广泛的接入连接类型,包括有线和无线局域网、拨号、宽带、内容、存储、VoIP、防火墙和 VPN。
Cisco Secure ACS服务器支持RADIUS协议与TACACS+协议实现AAA管理机制,其中RADIUS协议采用RFC标准,TACACS+协议为思科公司开发。
ACS的使用
完成交换机与Cisco Secure ACS的物理连接后,还需要在PC上安装Cisco Secure ACS客户端软件。安装完成后,管理员可以通过WEB接口登录到Cisco Secure ACS对其进行配置。
Cisco Secure ACS的客户端软件和使用手册请登陆网站http://www.cisco.com/获取。本文有关Cisco Secure ACS的介绍仅供参考。
本文以ACS 5.2.0.26版本为例介绍相关接口和配置。
登录Cisco Secure ACS客户端要求浏览器为Microsoft Internet Explorer6.x版本或7.x版本和Mozilla Firefox3.x版本。登录客户端后,可以查看和管理ACS,同时也可以监控和输出日志,这些日志用来跟踪用户连接,可以显示哪些用户当前登录,列出失败的身份验证和授权尝试等等。
ACS客户端接口组成如图2-1所示。其中各导航区介绍如表2-1所示。
图2-1 客户端接口组成
...
表2-1 客户端各导航区介绍
...
3 S系列交换机AAA与Cisco Secure ACS对接方案
3.1 实现差异对比
S系列交换机和Cisco Secure ACS支持的RADIUS协议均采用标准协议(不包括“Downloadable ACLs”功能),无对接风险。其中“Downloadable ACLs”功能为思科私有字段下发,只有Cisco部分型号设备支持此功能,配置的过程中使用Cisco Secure ACS的标准属性下发ACL。
S系列交换机支持的HWTACACS协议与思科支持的TACACS+协议都实现了认证、授权、计费的功能。HWTACACS和TACACS+的认证流程与实现方式是一致的,即HWTACACS与TACACS+在协议层面完全兼容,如设备使用HWTACACS协议时支持与思科服务器(如ACS)对接,但HWTACACS与思科的扩展属性不一定能够兼容,原因是不同厂商在扩展属性的字段定义和解释上存在区别。
3.2 适用形态及版本
本文以ACS 5.2.0.26版本为例介绍Cisco Secure ACS相关接口和配置。
3.3 对接介绍
交换机与Cisco Secure ACS对接组网如图3-1所示。
图3-1 交换机与Cisco Secure ACS对接组网
...
进行对接配置之前,请先确保:
l 交换机与ACS的物理连通性。
l 管理员可以通过WEB接口登录到ACS对ACS进行配置。
3.4 对接案例
3.4.1 组网需求及配置思路
组网需求
管理员和802.1x接入用户分别通过管理网络和接入网络接入交换机,企业使用ACS统一创建与维护用户信息。其中管理员可以通过WEB接口登录到ACS对ACS进行配置。
为加强安全性,要求管理员和802.1x接入用户采用不同的帐号,并且权限不一样。
具体需求:
管理员输入正确的用户名和密码才能通过Telnet登录设备,并且登录设备成功后可以操作命令级别为0~15的所有命令行。 802.1x用户在终端上启动802.1x客户端,输入用户名和密码,认证通过后可以接入交换机。802.1x用户接入交换机后,只能操作命令级别为0~2的所有命令行。 ACS为其下发属性VLAN 100和ACL 3000。 管理员登录设备时使用默认域认证,802.1x用户使用huawei.com域认证。图3-2 接入用户通过802.1x接入交换机
配置准备
进行配置之前,请按照表3-2准备数据,表中数据仅供参考。
表3-2 交换机与ACS对接的数据准备
...3.4.2 配置S系列交换机
配置思路
使能Telnet服务。 创建VLAN和ACL,用于ACS下发时匹配。 配置管理员用户通过Telnet登录的认证方式为AAA。 配置RADIUS认证:创建RADIUS服务器模板和AAA认证方案并分别在默认管理default_admin和普通huawei.com下引用。 在802.1x用户接入的接口下使能802.1x认证。操作步骤
1. 配置接口和IP位址,使Switch与ACS网络互通。
<Quidway> system-view [Quidway] sysname Switch [Switch] vlan batch 10 20 30 [Switch] interface vlanif 10 [Switch-Vlanif20] ip address 10.1.6.10 24 [Switch-Vlanif20] quit [Switch] interface vlanif 20 [Switch-Vlanif20] ip address 10.1.2.10 24 [Switch-Vlanif20] quit [Switch] interface vlanif 30 [Switch-Vlanif30] ip address 10.1.3.10 24 [Switch-Vlanif30] quit [Switch] interface gigabitethernet 0/0/1 [Switch-GigabitEthernet0/0/1] port link-type access [Switch-GigabitEthernet0/0/1] port default vlan 10 [Switch-GigabitEthernet0/0/1] quit [Switch] interface gigabitethernet 0/0/2 [Switch-GigabitEthernet0/0/2] port link-type access [Switch-GigabitEthernet0/0/2] port default vlan 20 [Switch-GigabitEthernet0/0/2] quit
当需要ACS为接入用户下发VLAN属性或者ACL属性时,交换机的用户上线接口(使能认证的埠)必须为hybrid类型接口。
[Switch] interface gigabitethernet 0/0/3 [Switch-GigabitEthernet0/0/3] port link-type hybrid [Switch-GigabitEthernet0/0/3] port hybrid untagged vlan 30 [Switch-GigabitEthernet0/0/3] quit
2. 创建用户的VLAN和ACL,用于ACS为用户下发时匹配。
设备上存在的VLAN与ACS下发的VLAN相同时,VLAN才能成功下发。ACL下发时亦是。
[Switch] vlan 100 [Switch-vlan100] quit [Switch] acl 3000 [Switch-acl-adv-3000] quit
3. 使能Telnet服务器功能。
[Switch] telnet server enable
4.配置VTY用户接口的验证方式为AAA。
[Switch] user-interface maximum-vty 15 //配置VTY用户接口的登录用户最大数目为15(该数目在不同版本和不同形态间有差异,具体以设备为准),默认情况下Telnet用户最大数目为5 [Switch] user-interface vty 0 14 //进入0~14的VTY用户接口视图 [Switch-ui-vty0-14] authentication-mode aaa //配置VTY用户接口的验证方式为AAA [Switch-ui-vty0-14] protocol inbound telnet //配置VTY用户接口所支持的协议为Telnet(V200R006及之前版本,默认配置为telnet,可以不配置该项;V200R007及之后版本,必须配置) [Switch-ui-vty0-14] quit
5. 配置RADIUS认证,实现用户通过RADIUS认证接入交换机。
# 配置RADIUS服务器模板,实现交换机与ACS采用RADIUS方式通信。
[Switch] radius-server template 1 [Switch-radius-1] radius-server authentication 10.1.6.6 1812 //指定ACS的IP位址和埠号 [Switch-radius-1] radius-server shared-key cipher Hello@1234 //指定ACS的共享密钥,需要与ACS上配置一致 [Switch-radius-1] quit
如果ACS上保存的用户名不包含域名,还需要配置命令undo radius-server user-name domain-included使设备向RADIUS服务器发送的报文中的用户名不包含域名。
# 配置AAA认证方案,指定认证方式为RADIUS。
[Switch] aaa [Switch-aaa] authentication-scheme sch1 [Switch-aaa-authen-sch1] authentication-mode radius [Switch-aaa-authen-sch1] quit
# 在默认管理域下引用AAA认证方案和RADIUS服务器模板。
管理员用户(通过Telnet、SSH、FTP、HTTP、Terminal等方式的接入用户)使用默认管理域认证。
默认情况下,默认管理域为default_admin。
[Switch-aaa] domain default_admin [Switch-aaa-domain-huawei.com] radius-server 1 [Switch-aaa-domain-huawei.com] authentication-scheme sch1 [Switch-aaa-domain-huawei.com] quit [Switch-aaa] quit
# 在huawei.com域下引用AAA认证方案和RADIUS服务器模板。
[Switch-aaa] domain huawei.com [Switch-aaa-domain-huawei.com] radius-server 1 [Switch-aaa-domain-huawei.com] authentication-scheme sch1 [Switch-aaa-domain-huawei.com] quit [Switch-aaa] quit
# (V200R005及后续版本新增统一模式,V200R005之前版本可忽略该配置)将NAC配置模式切换成统一模式。
[Switch] authentication unified-mode
传统模式与统一模式相互切换后,必须重启设备,新配置模式的各项功能才能生效。默认情况下,NAC配置模式为统一模式。
# 在接口上使能802.1x认证。
[Switch] interface gigabitethernet0/0/3 [Switch-GigabitEthernet0/0/3] authentication dot1x [Switch-GigabitEthernet0/0/3] dot1x authentication-method eap //由于大部分802.1x客户端采用EAP中继认证,建议配置 [Switch-GigabitEthernet0/0/3] quit
配置文件
# sysname Switch # vlan batch 10 20 30 100 # acl number 3000 # radius-server template 1 radius-server shared-key cipher %#%#9nP3;sDW-AN0f@H@S*l&\f{V=V_auKe|^YXy7}bU%#%# radius-server authentication 10.1.6.6 1812 weight 80 # aaa authentication-scheme sch1 authentication-mode radius domain default_admin authentication-scheme sch1 radius-server 1 domain huawei.com authentication-scheme sch1 radius-server 1 # interface Vlanif10 ip address 10.1.6.10 255.255.255.0 # interface Vlanif20 ip address 10.1.2.10 255.255.255.0 # interface Vlanif30 ip address 10.1.3.10 255.255.255.0 # interface GigabitEthernet0/0/1 port link-type access port default vlan 10 # interface GigabitEthernet0/0/2 port link-type access port default vlan 20 # interface GigabitEthernet0/0/3 port link-type hybrid port hybrid untagged vlan 30 authentication dot1x dot1x authentication-method eap # user-interface maximum-vty 15 user-interface vty 0 14 authentication-mode aaa protocol inbound telnet # return
3.4.3 配置Cisco Secure ACS
1.登录ACS客户端,输入用户名和密码,进入系统的主页面。
a.在浏览器的地址栏输入ACS的URL(Universal Resource Locator)地址,并按“Enter”键,进入ACS登录页面,输入用户名和密码,单击“登录”,如图3-3所示。
ACS的URL地址格式:“http:// IP /”或者“https:// IP /”。例如:“http://10.13.1.1/”或者“https://10.13.1.1/”。
图3-3 ACS登录页面
...b. 成功登录ACS后,会显示系统的主页面,如图3-4所示。主页面的介绍可以参考“客户接口组成”。
图3-4 系统的主页面
...2. 添加接入设备。
a.单击导航树中的“Network Resources > Network Devices and AAA clients > Creat”菜单,如图3-5所示。
图3-5 网络设备与AAA客户端配置页面
...b.进入新增网络设备与AAA客户端页面后,输入交换机名称、交换机IP位址,并选择交换机与ACS通信方式为RADIUS,输入交换机与ACS的共享密钥、埠号,并单击“Submit”,如图3-6所示。
图3-6 添加网络设备与AAA客户端
...3.添加接入用户。
a.单击导航树中的“Users and Identity Stores > Internal Identity Stores > Users”菜单,如图3-7所示。
图3-7 接入用户配置页面
...b.输入接入用户的用户名、密码,再次输入密码,并单击“Submit”,如图3-8所示。
图3-8为添加802.1x用户参数的配置页面,请根据管理员用户参数再自行添加管理用户。
图3-8 添加接入用户
...4.添加认证授权模板。
a.单击导航树中的“Policy Elements > Authorization and Permissions > Network Access > Authorization Profiles > Creat”菜单,添加认证授权模板,如图3-9所示。
当使用RADIUS协议时,建议选择““Policy Elements > Authorization and Permissions > Network Access”。
当使用TACACS+协议时,建议选择“Policy Elements > Authorization and Permissions > Authorization Profiles”。
图3-9 添加认证授权模板
...b.添加对应于管理员用户的认证授权模板,指定用户只能通过Telnet登录,用户成功上线后的用户级别为15。
配置“Genernal”页签如图3-10所示。
图3-10 管理员用户认证授权模板的“Genernal”页签
...配置“RADIUS Attributes”页签如图3-11和图3-12所示。配置完成后,单击“Submit”,提交新建的认证授权模板。
图3-11 管理员用户认证授权模板的“RADIUS Attributes”页签
...图3-12 “RADIUS Attributes”页签添加完成后提交
...c.添加对应于802.1x用户的认证授权模板,指定用户只能通过802.1x方式登录,用户成功上线后的用户级别为2,并且ACS下发ACL 3000和VLAN 100属性,如图3-13、图3-14和图3-15所示。配置完成后,单击“Submit”,提交新建的认证授权模板。
图3-13 802.1x用户认证授权模板的“Genernal”页签
...图3-14 802.1x用户认证授权模板的“Common Tasks”页签
...图3-15 802.1x用户认证授权模板的“RADIUS Attributes”页签
...5.添加接入策略,将用户和认证授权模板绑定。
a.新建接入业务,单击导航树中的“Access Policies > Access Services > Creat”菜单,如图3-16所示。
图3-16 新建接入业务
...b.配置接入业务:指定通信方式为“Network Access”和指定用户接入使用的协议,如图3-17和图3-18所示。
图3-17 指定通信方式为“Network Access”
...对于S系列交换机来说,接入用户的协议一般为图中前五种。
图3-18 用户接入使用的协议
...c.新建规则,单击导航树中的“Access Policies > Access Services > Service Selection Rules”,如图3-19所示。
图3-19 新建规则
...d.配置规则:指定用户认证时使用RADIUS协议,并添加属性如图3-20示。
涉及属性添加时,请单击导航“Access Policies > Access Services > Service Selection Rules ”预先添加好需要的属性。
图3-20 配置规则
...单击OK后自动返回页面,单击“Save Changes”保存配置。
e.选择刚才新建的接入业务,并单击“Identity”,新建“Identity”的规则,如图3-21所示。
图3-21 新建“Identity”的规则
...f.配置其规则如图3-22所示。
图3-22 配置“Identity”的规则
...单击OK后自动返回页面,单击“Save Changes”保存配置。
g.选择刚新建的接入业务,并单击“Authorization”,配置管理员对应的认证规则如图3-23所示,配置802.1x用户对应的认证规则如图3-24所示。
图3-23 管理员对应的认证规则
...图3-24 802.1x用户对应的认证规则
...h.单击OK后自动返回页面,单击“Save Changes”保存配置。
6.完成配置。
3.4.4 检查配置结果
l 管理员通过RADIUS认证后成功Telnet交换机。
# 管理员在PC上单击“运行”->输入“cmd”,进入Windows的命令行提示符接口,执行telnet命令,并输入用户名user1和密码Huawei@1234,通过Telnet方式登录交换机成功。
C:\Documents and Settings\Administrator> telnet 10.1.2.10 Username:admin1 Password:********** <Switch>//管理员登录设备成功
# 通过Telnet方式登录交换机成功后,执行命令display access-user username admin1查看管理用户获取的授权。
l 802.1x用户通过RADIUS认证后成功通过802.1x方式接入交换机。
# 在设备上执行命令test-aaa,测试该802.1x用户能否通过认证。
[Switch] test-aaa [email protected] Huawei@1234 radius-template 1
# 802.1x用户在终端上启动802.1x客户端,输入用户名[email protected]和密码Huawei@1234,开始认证。如果用户输入的用户名和密码验证正确,客户端页面会显示认证成功信息。用户即可访问网络。
# 802.1x用户上线后,管理员可在交换机上执行命令display access-user access-type dot1x查看在线的802.1x用户,同时通过查看“Dynamic VLAN”和“Dynamic ACL number(Effective)”字段可以看到802.1x用户成功获取RADIUS服务器下发的VLAN和ACL属性。
