「NAC」- 策略联动(Policy Association)

  CREATED BY JENKINSBOT

问题描述

在 NAC-DEV 中,需要部署认证策略,同时有利于实现权限的细颗粒度管理和网络的高安全性。但当网络规模不断扩大,一些问题就显现了出来。

接入层设备作为认证点

接入层网元设备数量多,每台设备都需要配置,所以配置工作量大,运维难度大。
接入层设备数量多,将增加 AAA 服务器的负担。
用户必须在固定位置接入网络;

认证点从接入层上移

解决方案之一是将用户的认证点从接入层上移到汇聚层或核心层,如此一来全网的认证信息集中,且认证点数量大大减少,配置及维护工作量降低。

1)接入层设备需透传 BPDU 报文,否则用户的 802.1X 认证将失败,但是接入层设备不一定支持透传;原因:802.1X认证过程中的EAP协议报文,是一种BPDU报文。对于BPDU报文,华为公司的交换机设备当前缺省不做二层转发。因此如果使能802.1X的设备和用户之间还存在二层交换机,就必须在二层交换机上配置二层透明传输,否则用户发送的EAP报文将无法到达认证设备,进而无法通过认证。
2)用户准入的管控位置太高:同一接入层设备上相同 VLAN 用户之间的访问不受控制,即同个接入层用户能够互访,难以控制;
3)用户接入的具体位置无法感知:用户可能在不同接入层设备,不易于故障定位;
4)网关设备无法实时感知用户下线:只有接入层设备能感知,但是接入层设备不参与认证;

解决方案

策略联动是通过在网关设备上统一管理用户的访问策略,并且在网关设备和接入设备执行用户的访问策略,来解决大型园区策略强度与复杂度之间矛盾的一种解决方案。

原理简述

设备角色

终端:负责向用户提供人机接口,帮助用户进行认证和资源访问。包括PC、便携机、平板电脑、哑终端等。

认证接入设备(Authentication access device):认证执行点,负责执行用户的网络访问策略。即用户完成认证之后访问网络时,执行对应的访问策略,如用户所属VLAN、ACL、UCL组等。

认证控制设备(Authentication control device):认证控制点,负责对用户进行认证以及控制用户的网络访问策略。即对接入网络的用户身份进行合法性认证,并指定身份合法的用户所能拥有的网络访问权限,即用户能够访问哪些资源。

交互过程

1)认证控制点与认证执行点之间建立 CAPWAP(Control And Provisioning of Wireless Access Points)隧道。
2)通过 CAPWAP 完成认证控制设备和认证执行设备之间的用户关联、消息通信、用户授权策略下发、用户同步等处理。

当部署策略联动后,接入设备可以自动透传BPDU报文、实时上报用户下线和用户接入位置,同时控制设备联动接入设备,使其执行用户的访问策略,从而实现了对用户访问网络的控制。

实现机制

用户接入:认证执行点建立用户关联表,用户与认证控制点之间进行认证交互,认证成功之后认证控制点下发授权信息到认证执行点。
用户离开:用户断开与接入设备连接,认证执行点实时通过 CAPWAP 隧道通知认证控制点,后者清除用户表项。
用户移动:用户连接到新网络后,重新完成认证操作。

用户接入流程

1)控制设备与接入设备间建立CAPWAP通道。
2)接入设备探测到有新用户接入,建立用户关联表,保存用户与接入端口等基本信息。
3)接入设备向控制设备发送用户关联请求消息。
4)控制设备建立用户关联表,保存用户与接入设备的对应关系,并向接入设备发送用户关联回应消息用于通知接入设备关联成功。
5)用户向控制设备发起认证,接入设备转发用户和控制设备之间的认证报文。
6)控制设备删除用户关联表项,在认证成功后,控制设备上生成完整的用户表项,同时向接入设备发送用户授权请求通知并下发用户的网络访问策略。
7)接入设备保存用户关联表项,打开指定的用户网络访问权限并向控制设备发送用户授权请求回应消息。
8)用户访问指定的网络资源。

与普通认证方案对比

普通认证方案:
1)用户与认证点交互信息,认证点直接与认证服务器交互认证信息,认证通过后,认证服务器将用户权限下发给认证点,认证点接口执行用户策略。

策略联动方案:
1)用户与认证执行点交互信息,认证执行点通过 CAPWAP Tunnel 将身份凭证传递给认证控制点,认证控制点与认证服务器交互认证信息。
2)认证通过后,认证服务器将用户权限下发给认证控制点,认证控制点通过CAPWAP隧道将用户权限传递给认证执行点,最终认证执行点接口执行用户策略。

配置案例

策略联动是一种对用户网络访问进行控制的解决方案。因此,需要首先完成以下配置任务:
1)配置用户的接入认证方式:802.1X、MAC、Portal
2)配置用户认证、授权、计费:认证方式、用户授权、……

策略联动功能需要在接入设备和控制设备上同时配置,配置无先后顺序:
1)配置接入设备:建立CAPWAP隧道、配置接口作为接入点;
2)配置控制设备:建立CAPWAP隧道、配置接口作为控制点、配置接入设备接入认证、配置用户授权信息

配置接入设备

建立CAPWAP隧道
[Huawei] as access interface vlanif vlan-id
在接入设备上指定建立CAPWAP隧道的源接口。
[Huawei] as access controller ip-address ip-address
在接入设备上指定控制设备的IP地址。

配置接口作为接入点(认证执行点)
[Huawei-GigabitEthernet0/0/1] authentication access-point [ open ]
在接入设备的接口下使能远程接入控制功能。
open:关闭接入点的权限控制功能。

配置控制设备

建立CAPWAP隧道
[Huawei] capwap source interface { loopback loopback-number | vlanif vlan-id }
在控制设备上指定建立CAPWAP隧道的源接口。

配置接口作为控制点(认证控制点)
[Huawei-GigabitEthernet0/0/1] authentication control-point [ open ]
在控制设备的接口下配置接口作为控制点。
open:打开控制点的转发功能。
配置接入设备接入认证:
缺省情况下,接入设备需要经过认证才可以接入到控制设备。控制设备通过黑、白名单对接入设备进行认证,在黑名单中的接入设备不可以接入到控制设备,在白名单中的接入设备可以接入到控制设备。对于既不在黑名单中也不在白名单中的接入设备,不能通过认证,需要用户手动确认哪些接入设备允许通过认证。用户也可以设置不对接入设备进行认证,这样无论接入设备是否在黑、白名单中都可以接入到控制设备。
此功能的详细配置请查看产品文档。

配置接入设备接入认证
[Huawei] as-auth # 进入接入设备认证视图。
[Huawei-as-auth] auth-mode none # 配置接入设备接入不认证。


配置下发到控制设备和接入设备的用户授权信息
[Huawei-aaa] service-scheme service-scheme-name
创建一个业务方案,并进入业务方案视图。
[Huawei-aaa-service-huawei] remote-authorize { acl | car | ucl-group } 
指定下发到接入设备的用户授权信息。
[Huawei-aaa-service-huawei] local-authorize { none | { acl | car | priority | ucl-group | vlan } }
指定下发到控制设备的用户授权信息。

参考文献

Understanding Policy Association – S7700 V200R019C00 Configuration Guide – User Access and Authentication – Huawei