美文网首页
思科ISE为通过认证的接入用户下发VLAN或ACL

思科ISE为通过认证的接入用户下发VLAN或ACL

作者: 武汉中继者 | 来源:发表于2019-05-16 17:22 被阅读0次
    Part 1 - 原理介绍

    一. 前言
    通过往期3篇文章《思科ISE 对公司访客进行Portal 认证》,《思科ISE对有线接入用户进行MAC认证》,《思科ISE对有线接入用户进行802.1X认证》的学习,想必大家对网络准入已经很熟悉了。了解了每一种准入方案的使用场景,为网络的安全起到了更大的保障。

    通常情况下,我们在创建ACL时都是在路由器或者防火墙上进行创建,由于每个用户对应的ACL条目并不多,如果路由器或者防火墙上的ACL条目过多时,会降低它们的性能;我们可以在AAA服务器上创建ACL,当有用户要访问网络资源时,用户需要输入用户名和密码,然后AAA服务器将这个用户所对应的ACL条目动态地下发到目标主机上,从而实现针对不同授权的用户,实现不同网络权限的访问。

    二. VLAN配置下发简介

    本案例以授权ACL和动态VLAN为例,简单介绍如何通过思科ISE为终端用户授权。

    1. 授权ACL分为两类:
    • ACL描述信息:服务器上配置了ACL描述信息授权功能,则授权信息中含有ACL的描述信息。设备端根据服务器授权的ACL描述信息匹配上相应的ACL规则,对用户权限进行控制。其中设备上需要配置ACL编号、对应的描述信息和ACL规则。使用RADIUS标准属性:(011)Filter-Id。

    Radius协议支持携带多种属性值,例如“User-Name”和“User-Password”“Service-Type”等属性,用来扩展和兼容不同厂家基于Radius的服务

    • 动态ACL:服务器向设备授权该ACL中的规则,用户能够访问ACL所包括的网络资源,ACL及ACL规则需要在服务器上配置。设备上不需要配置对应的ACL。使用华为RADIUS私有属性:(26-82)HW-Data-Filter。
    1. 动态VLAN:
    • 服务器上配置了动态VLAN下发功能,则授权信息中含有下发的VLAN属性,设备端在接收到下发的VLAN属性后,会将用户所属的VLAN修改为下发VLAN。

    授权下发的VLAN并不改变接口的配置,也不影响接口的配置。但是,授权下发的VLAN的优先级高于用户配置的VLAN,即通过认证后起作用的VLAN是授权下发的VLAN,用户配置的VLAN在用户下线后生效。

    1. 动态VLAN下发,使用了以下RADIUS标准属性:
    • (064)Tunnel-Type(必须指定为VLAN,或数值13,表示VLAN协议。)
    • (065)Tunnel-Medium-Type(必须指定为802,或数值6,表示以太类型.)
    • (081)Tunnel-Private-Group-ID(目前通过该属性下发用户VLAN,对于V200R012C00之前版本的设备,可以是VLAN ID或VLAN描述。对于V200R012C00及之后版本设备,可以是VLAN ID、VLAN描述、VLAN名称或VLAN Pool,)

    要通过RADIUS服务器正确下发VLAN属性,以上三个属性必须同时使用,而且Tunnel-Type及Tunnel-Medium-Type两个属性的值必须是指定的值.

    Part 2 - 实验配置

    一. 实验拓扑

    二. 组网需求

    如上图所示,某公司内部大量员工终端通过SwitchA上的接口GE1/0/1接入网络。为确保网络的安全性,管理员需对终端的网络访问权限进行控制,要求如下:

    • 终端认证成功前能够访问公共服务器(IP地址为192.168.40.1),执行下载802.1X客户端或更新病毒库的操作。

    • 终端认证成功后能够访问业务服务器(IP地址为192.168.50.1)和实验室内的设备(所属VLAN号为20,IP地址段为192.168.20.10–192.168.20.100)。

    三. 配置逻辑

    华为交换机的配置逻辑如下图所示.

    【表1】 思科ISE的配置逻辑

    配置项 说明
    添加部门及用户账号 -
    添加交换机 指定允许与ISE对接的交换机的相关参数。
    (可选)创建认证协议模板 指定用户进行802.1X认证可以使用的认证协议。如果未创建新的认证协议模板,则使用ISE默认的“Default Network Access”模板。
    创建认证策略 指定用户通过802.1X认证需要满足的条件。
    (可选)创建授权策略 指定用户通过802.1X认证后允许访问的资源。如果未创建授权策略,则允许用户访问所有其路由可达的资源。

    四. 实验设备及注意事项

    本举例适用于华为V200R009C00及之后版本的所有交换机,Cisco ISE的版本为2.1,Cisco ISE作为RADIUS服务器与设备对接实现授权时,需要注意以下事项:

    1. 支持通过RADIUS标准属性和华为RADIUS私有属性实现授权,不支持通过Cisco私有属性授权。使用华为私有属性授权时,需要在Cisco ISE服务器上手动添加私有属性值。

    2. 通过ACL描述信息授权ACL时,在Cisco ISE勾选Filter-ID、添加描述信息abc后,如果添加描述信息abc的会话框后带有.in后缀,则交换机设备需要将该ACL的描述信息配置为abc.in。

    3. 动态ACL授权使用的是华为私有属性HW-Data-Filter授权,不支持通过Cisco私有属性授权。

    4. 在Cisco ISE上添加华为私有属性HW-Data-Filter后,在授权模板中既存在Filter-ID又存在HW-Data-Filter时,只能下发Filter-ID,不能下发HW-Data-Filter。

    5. 通过ACL描述信息授权ACL时,由于Cisco ISE支持配置的描述信息长度最大为252个字节、设备支持配置的描述信息长度最大为127个字节,所以两端配置的描述信息不能超过127个字节。

    6. 通过VLAN描述信息授权动态VLAN时,由于Cisco ISE支持配置的描述信息长度最大为32个字节、设备支持配置的描述信息长度最大为80个字节,所以两端配置的描述信息不能超过32个字节。

    五. 数据规划

    【表2】 接入交换机业务数据规划

    项目 数据
    RADIUS方案 认证服务器IP地址:192.168.30.1认证服务器端口号:1812计费服务器IP地址:192.168.30.1 计费服务器端口号:1813 RADIUS服务器共享密钥:Helperaddress@123认证域:ha
    认证成功前可访问的资源 公共服务器的访问权限通过免认证规则设置
    认证成功后可访问的资源 实验室的访问权限通过动态VLAN授权,VLAN号为:20业务服务器的访问权限通过ACL号授权,ACL号为:3002,描述信息为3002.in

    【表3】Cisco ISE服务器业务数据规划

    项目 数据
    部门 研发部
    接入用户 用户名:A-123 密码:Helperaddress
    交换机IP地址 SwitchA:10.10.10.1
    RADIUS认证密钥 Helperaddress@123
    RADIUS计费密钥 Helperaddress@123

    六. 配置步骤

    Step 1 - 配置接入交换机SwitchA。

    1. 创建VLAN并配置接口允许通过的VLAN,保证网络通畅。
    [HUAWEI] sysname SwitchA
    [SwitchA] vlan batch 10 20
    [SwitchA] interface gigabitethernet 1/0/1    //配置与员工终端连接的接口
    [SwitchA-GigabitEthernet1/0/1] port link-type hybrid
    [SwitchA-GigabitEthernet1/0/1] port hybrid pvid vlan 10
    [SwitchA-GigabitEthernet1/0/1] port hybrid untagged vlan 10
    [SwitchA-GigabitEthernet1/0/1] quit
    [SwitchA] interface gigabitethernet 1/0/2    //配置与实验室连接的接口
    [SwitchA-GigabitEthernet1/0/2] port link-type hybrid
    [SwitchA-GigabitEthernet1/0/2] port hybrid untagged vlan 20
    [SwitchA-GigabitEthernet1/0/2] quit
    [SwitchA] interface gigabitethernet 1/0/3    //配置与SwitchB连接的接口
    [SwitchA-GigabitEthernet1/0/3] port link-type trunk
    [SwitchA-GigabitEthernet1/0/3] port trunk allow-pass vlan 10 20
    [SwitchA-GigabitEthernet1/0/3] quit
    [SwitchA] interface loopback 1
    [SwitchA-LoopBack1] ip address 10.10.10.1 24    //配置与Cisco ISE服务器通信的IP地址
    [SwitchA-LoopBack1] quit
    
    1. 配置认证成功后的授权参数ACL3002。
    [SwitchA] acl 3002
    [SwitchA-acl-adv-3002] description 3002.in   //配置ACL描述信息为3002.in;此时,Cisco ISE服务器设置的Filter-ID为3002
    [SwitchA-acl-adv-3002] rule 1 permit ip destination 192.168.30.1 0
    [SwitchA-acl-adv-3002] rule 2 permit ip destination 192.168.50.1 0
    [SwitchA-acl-adv-3002] rule 3 deny ip destination any
    [SwitchA-acl-adv-3002] quit
    
    1. 创建并配置RADIUS服务器模板、AAA认证方案以及认证域。
    • 创建并配置RADIUS服务器模板“rd1”。
    [SwitchA] radius-server template rd1
    [SwitchA-radius-rd1] radius-server authentication 192.168.30.1 1812
    [SwitchA-radius-rd1] radius-server accounting 192.168.30.1 1813
    [SwitchA-radius-rd1] radius-server shared-key cipher Helperaddress@123
    [SwitchA-radius-rd1] quit
    
    • 创建AAA认证方案“abc”并配置认证方式为RADIUS。
    [SwitchA] aaa
    [SwitchA-aaa] authentication-scheme abc
    [SwitchA-aaa-authen-abc] authentication-mode radius
    [SwitchA-aaa-authen-abc] quit
    
    • 配置计费方案“acco1”并配置计费方式为RADIUS。
    [SwitchA-aaa] accounting-scheme acco1
    [SwitchA-aaa-accounting-acco1] accounting-mode radius
    [SwitchA-aaa-accounting-acco1] quit
    
    • 创建认证域“ha”,并在其上绑定AAA认证方案“abc”、计费方案“acco1”与RADIUS服务器模板“rd1”。
    [SwitchA-aaa] domain ha
    [SwitchA-aaa-domain-ha] authentication-scheme abc
    [SwitchA-aaa-domain-ha] accounting-scheme acco1
    [SwitchA-aaa-domain-ha] radius-server rd1
    [SwitchA-aaa-domain-ha] quit
    [SwitchA-aaa] quit
    
    1. 使能802.1X认证。
    • 将NAC配置模式切换成统一模式。
    [SwitchA] authentication unified-mode
    

    设备默认为统一模式。模式切换前,管理员必须保存配置;模式切换后,设备重启,新配置模式的各项功能才能生效。

    • 配置802.1X接入模板“d1”,并指定认证协议为EAP。
    [SwitchA] dot1x-access-profile name d1
    [SwitchA-dot1x-access-profile-d1] dot1x authentication-method eap
    [SwitchA-dot1x-access-profile-d1] quit
    
    • 配置免认证规则模板“default_free_rule”。
    [SwitchA] free-rule-template name default_free_rule
    [SwitchA-free-rule-default_free_rule] free-rule 10 destination ip 192.168.40.1 mask 32
    [SwitchA-free-rule-default_free_rule] quit
    
    • 配置认证模板“p1”,并在其上绑定802.1X接入模板“d1”、绑定免认证规则模板“default_free_rule”、指定认证模板下用户的强制认证域为“ha”。
    [SwitchA] authentication-profile name p1
    [SwitchA-authen-profile-p1] dot1x-access-profile d1
    [SwitchA-authen-profile-p1] free-rule-template default_free_rule
    [SwitchA-authen-profile-p1] access-domain ha force
    [SwitchA-authen-profile-p1] quit
    
    • 在接口GE1/0/1上绑定认证模板“p1”,使能802.1X认证。
    [SwitchA] interface gigabitethernet 1/0/1
    [SwitchA-GigabitEthernet1/0/1] authentication-profile p1
    [SwitchA-GigabitEthernet1/0/1] quit
    

    Step 2 - Cisco ISE 服务器侧配置

    1. 登陆ISE
      打开Internet Explorer浏览器,在地址栏输入ISE的访问地址,单击“Enter”。输入ISE管理员账号和密码登录ISE。
    1. 创建用户组和用户。
    • 选择“Administration > Identity Management > Groups”。在右侧操作区域内选择“Add”,创建用户组“R&D”。
    • 选择“Administration > Identity Management > Identities”。在右侧操作区域内点击“Add”,创建用户名为“A-123”、密 码为“Helperaddress”的用户,并将该用户添加到用户组“R&D”。
    1. 在Cisco ISE服务器中添加交换机设备,以便Cisco ISE服务器能与交换机正常联动。选择“Administration > Network Resources > Network Devices”。在右侧操作区域内点击“Add”,进入“New Network Device”页面,在该页面添加网络接入设备并设置设备的连接参数。

    【表4】

    参数 取值 说明
    Name SwitchA
    IP Address 10.10.10.1/32 交换机上该接口必须与Cisco ISE服务器互通。
    Shared Secret Helperaddress@123 与交换机上配置的对研发部员工的访问控制规则一致。
    1. 配置使用的密码认证协议。
      选择“Policy > Policy Elements > Result”。在左侧操作区域内选择“Authentication > Allowed Protocols”,进入“Allowed Protocols Services”界面。在右侧操作区域内点击“Add”,创建新的网络接入方式,选择允许使用的密码认证协议。

    交换机与Cisco ISE服务器对接时,支持EAP、PAP和CHAP三种认证方式。交换机配置为EAP认证方式与Cisco ISE服务器对接时,不支持EAP-LEAP和EAP-FAST两种模式。

    1. 配置认证策略。
      选择“Policy > Authentication”。认证策略分为“Simple”和“Rule-Based”两种,与“Simple”方式相比,“Rule-Based”方式可以匹配多个网络接入方式(即“Allowed Protocol”)。这里以“Simple”为例。在“Network Access Service”下拉框中选择上步新建的网络接入方式“802.1X”,其他选择默认配置。
    1. 配置授权策略。
    • 新增授权规则。
      选择“Policy > Authorization”。点击右方“Edit”后的三角形,选择“Insert New Rule Above”,新增名称为“Authorization rule for authenticated users”的授权规则、授权的用户组为“R&D”。
    • 添加访问权限。
      在“Permissions”列,点击“Add New Standard Profile”,进入“Add New Standard Profile”页面。

    在“Add New Standard Profile”页面,设置访问权限。
    【表5】

    参数 取值 说明
    Name VLAN20&ACL3002
    Access Type ACCESS_ACCEPT 认证成功的访问权限。
    Common Tasks Helperaddress@123 VLAN:授权的VLAN编号或VLAN描述信息。Filter-ID:授权的ACL描述信息。
    1. 检查配置结果.
    • 员工在没有认证的情况下只能访问Cisco ISE服务器和公共服务器。
    • 员工认证通过后,能够访问Cisco ISE服务器、公共服务器、业务服务器和实验室。
    • 认证通过后,在交换机上执行命令display access-user,可以看到员工的在线信息。

    相关文章

      网友评论

          本文标题:思科ISE为通过认证的接入用户下发VLAN或ACL

          本文链接:https://www.haomeiwen.com/subject/lltwaqtx.html