问题描述
在大型园区网中,接入层设备众多导致部署用户访问控制策略时工作量巨大且策略调整不灵活。
因此,客户希望可以在网关上集中部署NAC认证和配置用户的访问策略,而在接入设备上执行用户的访问策略,以简化接入层设备部署。
补充说明:该案例是华为 PPT 的案例,我们在此记录和学习;
解决方案
/3_Campus_Netwrok_Security/1_Network_Admission_Control_(NAC)/Z.PROBLEM-SOLVING-HOW-TO/Policy_Association/pasted_image.png)
综合考虑网络情况与需求,认证规划如下:
1)网关设备SW1作为控制设备,SW2作为接入设备。
2)在控制设备上对用户进行认证并在接入设备中执行用户访问策略。
3)VLAN 10为用户VLAN,VLAN 20为CAPWAP隧道的管理VLAN;用户的接入认证方式以802.1X认证为例。
数据规划
RADIUS服务器 IP地址:192.168.4.30
网关交换机(控制设备,SW1) 上联接口所属的VLAN:VLAN 30
下行接口GE0/0/1所属VLAN:VLAN 10(用户VLAN),VLAN 20(管理VLAN)
接入交换机(SW2) 用户所属的VLAN ID:10
RADIUS方案 认证服务器IP地址:192.168.4.30
认证服务器端口号:1812
RADIUS服务器共享密钥:Huawei@2020
认证域:nac
认证后域ACL编号 3001
访问权限 禁止访问192.168.5.0/24网段资源
1、创建VLAN并配置接口允许通过的VLAN。(略)
2、在控制设备上配置接口地址池VLANIF10为用户分配IP地址。
[SW1] dhcp enable [SW1] interface vlanif 10 [SW1-Vlanif10] ip address 192.168.1.1 255.255.255.0 [SW1-Vlanif10] dhcp select interface [SW1-Vlanif10] quit
3、在控制设备和接入设备上建立CAPWAP隧道。
[SW1] interface vlanif 20 [SW1-Vlanif20] ip address 192.168.2.1 255.255.255.0 [SW1-Vlanif20] dhcp select interface [SW1-Vlanif20] dhcp server option 43 ip-address 192.168.2.1 [SW1] capwap source interface vlanif 20 [SW1] as-auth [SW1-as-auth] auth-mode none [SW2] interface vlanif 20 [SW2-Vlanif20] ip address dhcp-alloc [SW2] as access interface vlanif 20
4、在控制设备和接入设备上配置控制点和接入点。
[SW1-GigabitEthernet0/0/1] authentication control-point [SW2-GigabitEthernet0/0/2] authentication access-point [SW2-GigabitEthernet0/0/3] authentication access-point
5、在控制设备上配置下发授权信息ACL到接入设备,并在认证域“nac”上绑定AAA业务方案“asd”。
[SW1] aaa [SW1-aaa] service-scheme asd [SW1-aaa-service-asd] remote-authorize acl [SW1-aaa] domain nac [SW1-aaa-domain-nac] service-scheme asd
6、在控制设备和接入设备上配置授权使用的ACL及规则。
[SW1] acl 3001 [SW1-acl-adv-3001] rule deny ip destination 192.168.5.0 0.0.0.255 [SW2] acl 3001 [SW2-acl-adv-3001] rule deny ip destination 192.168.5.0 0.0.0.255
7、在控制设备和接入设备上配置802.1X认证,并在控制设备配置免认证规则放行CAPWAP隧道管理VLAN的报文。(其中802.1X认证配置略)
[SW1] free-rule-template name default_free_rule [SW1-free-rule-default_free_rule] free-rule 1 source vlan 20