用户接入认证配置思路(Huawei)
/3_Campus_Netwrok_Security/1_Network_Admission_Control_(NAC)/Z.PROBLEM-SOLVING-HOW-TO/pasted_image.png)
VAP:Virtual Access Point,虚拟接入点。
VAP模板:在VAP模板下配置各项无线(WLAN)参数,然后在AP组或AP中引用VAP模板,AP上就会生成VAP,VAP用来为STA(无线终端)提供无线接入服务。
配置案例
创建/进入认证模板 [Huawei] authentication-profile name authentication-profile-name 设备通过认证模板下的参数配置,实现为不同用户进行不同的接入控制。认证模板配置之后,需要被应用到接口或VAP模板下来使能NAC。 配置认证模板下绑定的接入模板 [Huawei-authen-profile-ProfileName] dot1x-access-profile access-profile-name [Huawei-authen-profile-ProfileName] mac-access-profile access-profile-name [Huawei-authen-profile-ProfileName] portal-access-profile access-profile-name 可以在认证模板下根据需要绑定相应的接入模板。当绑定超过一个接入模板,即采用混合认证,绑定接入模板的顺序没有限制,设备先接收到哪种认证报文,就会优先触发哪种认证。一个认证模板同时最多支持绑定一个802.1X接入模板、一个MAC接入模板和一个Portal接入模板。 使能MAC旁路认证功能 [Huawei-authen-profile-ProfileName] authentication dot1x-mac-bypass MAC旁路认证功能包含了802.1X认证和MAC认证两部分。使用该功能前,需要保证认证模板下已经绑定了802.1X接入模板和MAC接入模板。 配置用户的默认域或强制域。 [Huawei-authen-profile-ProfileName] access-domain domain-name [ dot1x | mac-authen | portal ] * [ force ] 设备对用户的管理通过域来实现。force参数指定配置的域为强制域。若不指定该参数,配置的域为默认域。dot1x、mac-authen 、portal参数分别指定不同用户的默认域或强制域。命令配置情况与认证域对应情况如下: 配置默认域:设备根据用户名中携带的域名进行认证,未携带域名则将该用户在默认域中进行认证。 配置强制域:无论用户名中是否携带域名,都将用户在强制域中进行认证。
配置静态用户
在网络部署中,对于打印机等哑终端,管理员一般都是为其分配静态IP地址。对于这类用户,为了更加灵活的对其进行认证,可将其配置为静态用户。
配置静态用户所属的IP地址范围、域名、接口、VLAN等参数。
[Huawei] static-user start-ip-address [ end-ip-address ] [ domain-name domain-name | interface interface-type interface-number | mac-address mac-address | vlan vlan-id ]
配置静态用户名或密码等相关参数
[Huawei] static-user username macaddress format { with-hyphen [ normal ] [ colon ] | without-hyphen } [ uppercase ] [ password-with-macaddress ]
[Huawei] static-user username format-include { ip-address | mac-address | system-name }
[Huawei] static-user password cipher password
在配置完成静态用户后,只要在静态用户所连接的接口上使能了802.1X认证、MAC认证以及Portal认证中的任意一种,设备就能够使用静态用户的IP地址等信息作为用户名进行认证。
配置静态用户后,当设备检测到接入的用户满足静态用户所配置的IP地址范围、域名等参数时,设备会优先使用静态用户的用户名和密码对其进行认证,如果认证不成功,则用户可以进行802.1X、MAC认证或Portal认证。
命令static-user username macaddress format可以指定用户名为MAC地址及格式,指定密码为接入终端的MAC地址。该命令优先级高于static-user username format-include和static-user password cipher password的优先级。
命令static-user username format-include和命令static-user password分别用来配置静态用户的用户名和密码。
缺省情况下(以华为S5731系列交换机为例):
静态用户的用户名为[system-name]+[ip-address]。例如,接入设备名称为huawei,用户的IP地址为1.1.1.1,则静态用户的用户名为huawei1.1.1.1。
未配置静态用户进行认证时使用的密码。
应用NAC配置命令
认证模板的作用是统一管理NAC的相关配置。通过将认证模板绑定到接口或VAP模板视图下来使能NAC,实现对接口或VAP模板下的用户进行接入控制。
接口或VAP模板下用户的认证类型由认证模板下绑定的接入模板决定。
1)进入接口视图或VAP模板视图。
2)应用相应的认证模板,以GE0/0/1口为例。
[Huawei-GigabitEthernet0/0/1] authentication-profile authentication-profile-name authentication-profile命令用来在接口或VAP模板下应用认证模板。缺省情况下,接口或VAP模板下没有应用认证模板。不同类型的接口或VAP模板对不同的NAC功能的支持情况可能有所不同,具体情况请查询对应产品文档。