華為交換機(jī)與Cisco ISE服務(wù)器對(duì)接教程

　　你還在為不知道華為交換機(jī)與Cisco ISE服務(wù)器對(duì)接方法而煩惱么?接下來(lái)是小編為大家收集的華為交換機(jī)與Cisco ISE服務(wù)器對(duì)接教程，希望能幫到大家。

　　華為交換機(jī)與Cisco ISE服務(wù)器對(duì)接教程方法

　　本案例以授權(quán)ACL和動(dòng)態(tài)VLAN為例，簡(jiǎn)單介紹如何通過(guò)Cisco Identity Services Engine(ISE)服務(wù)器實(shí)現(xiàn)為終端用戶(hù)授權(quán)。

　　l 授權(quán)ACL分為兩類(lèi)：

　　− ACL描述信息：服務(wù)器上配置了ACL描述信息授權(quán)功能，則授權(quán)信息中含有ACL的描述信息。設(shè)備端根據(jù)服務(wù)器授權(quán)的ACL描述信息匹配上相應(yīng)的ACL規(guī)則，對(duì)用戶(hù)權(quán)限進(jìn)行控制。其中設(shè)備上需要配置ACL編號(hào)、對(duì)應(yīng)的描述信息和ACL規(guī)則。

　　使用RADIUS標(biāo)準(zhǔn)屬性：(011)Filter-Id。

　　− 動(dòng)態(tài)ACL：服務(wù)器向設(shè)備授權(quán)該ACL中的規(guī)則，用戶(hù)能夠訪問(wèn)ACL所包括的網(wǎng)絡(luò)資源，ACL及ACL規(guī)則需要在服務(wù)器上配置。設(shè)備上不需要配置對(duì)應(yīng)的ACL。

　　使用華為RADIUS私有屬性：(26-82)HW-Data-Filter。

　　l 動(dòng)態(tài)VLAN：服務(wù)器上配置了動(dòng)態(tài)VLAN下發(fā)功能，則授權(quán)信息中含有下發(fā)的VLAN屬性，設(shè)備端在接收到下發(fā)的VLAN屬性后，會(huì)將用戶(hù)所屬的VLAN修改為下發(fā)VLAN。動(dòng)態(tài)VLAN可以通過(guò)VLAN ID和VLAN的描述信息下發(fā)。

　　授權(quán)下發(fā)的VLAN并不改變接口的配置，也不影響接口的配置。但是，授權(quán)下發(fā)的VLAN的優(yōu)先級(jí)高于用戶(hù)配置的VLAN，即通過(guò)認(rèn)證后起作用的VLAN是授權(quán)下發(fā)的VLAN，用戶(hù)配置的VLAN在用戶(hù)下線后生效。

　　動(dòng)態(tài)VLAN下發(fā)，使用了以下RADIUS標(biāo)準(zhǔn)屬性：

　　− (064)Tunnel-Type(必須指定為VLAN，或數(shù)值13)

　　− (065)Tunnel-Medium-Type(必須指定為802，或數(shù)值6)

　　− (081)Tunnel-Private-Group-ID(可以是VLAN ID或VLAN名稱(chēng))

　　要通過(guò)RADIUS服務(wù)器正確下發(fā)VLAN屬性，以上三個(gè)屬性必須同時(shí)使用，而且Tunnel-Type及Tunnel-Medium-Type兩個(gè)屬性的值必須是指定的值。

　　配置注意事項(xiàng)

　　本例中Cisco ISE服務(wù)器的版本為1.4.0.253。

　　Cisco ISE服務(wù)器作為RADIUS服務(wù)器與設(shè)備對(duì)接實(shí)現(xiàn)授權(quán)時(shí)，需要注意以下事項(xiàng)：

　　l 支持通過(guò)RADIUS標(biāo)準(zhǔn)屬性和華為RADIUS私有屬性實(shí)現(xiàn)授權(quán)，不支持通過(guò)Cisco私有屬性授權(quán)。使用華為私有屬性授權(quán)時(shí)，需要在Cisco ISE服務(wù)器上手動(dòng)添加私有屬性值。

　　l 通過(guò)ACL描述信息授權(quán)ACL時(shí)，在Cisco ISE服務(wù)器勾選Filter-ID、添加描述信息abc后，屬性下發(fā)時(shí)會(huì)自動(dòng)攜帶.in后綴;若想授權(quán)成功，設(shè)備需要將該ACL的描述信息配置為abc.in。

　　l 動(dòng)態(tài)ACL授權(quán)使用的是華為私有屬性HW-Data-Filter授權(quán)，不支持通過(guò)Cisco私有屬性授權(quán)。

　　l 在Cisco ISE服務(wù)器上添加華為私有屬性HW-Data-Filter后，在授權(quán)模板中既存在Filter-ID又存在HW-Data-Filter時(shí)，只能下發(fā)Filter-ID，不能下發(fā)HW-Data-Filter。

　　l 通過(guò)ACL描述信息授權(quán)ACL時(shí)，由于Cisco ISE服務(wù)器支持配置的描述信息長(zhǎng)度最大為252個(gè)字節(jié)、設(shè)備支持配置的描述信息長(zhǎng)度最大為127個(gè)字節(jié)，所以?xún)啥伺渲玫拿枋鲂畔⒉荒艹^(guò)127個(gè)字節(jié)。

　　l 通過(guò)VLAN描述信息授權(quán)動(dòng)態(tài)VLAN時(shí)，由于Cisco ISE服務(wù)器支持配置的描述信息長(zhǎng)度最大為32個(gè)字節(jié)、設(shè)備支持配置的描述信息長(zhǎng)度最大為80個(gè)字節(jié)，所以?xún)啥伺渲玫拿枋鲂畔⒉荒艹^(guò)32個(gè)字節(jié)。

　　組網(wǎng)需求

　　如圖3-10所示，某公司內(nèi)部大量員工終端通過(guò)SwitchA上的接口GE1/0/1接入網(wǎng)絡(luò)。為確保網(wǎng)絡(luò)的安全性，管理員需對(duì)終端的網(wǎng)絡(luò)訪問(wèn)權(quán)限進(jìn)行控制，要求如下：

　　l 終端認(rèn)證成功前能夠訪問(wèn)公共服務(wù)器(IP地址為192.168.40.1)，執(zhí)行下載802.1x客戶(hù)端或更新病毒庫(kù)的操作。

　　l 終端認(rèn)證成功后能夠訪問(wèn)業(yè)務(wù)服務(wù)器(IP地址為192.168.50.1)和實(shí)驗(yàn)室內(nèi)的設(shè)備(所屬VLAN號(hào)為20，IP地址段為192.168.20.10–192.168.20.100)。

　　有線接入組網(wǎng)圖

　　數(shù)據(jù)準(zhǔn)備

　　接入交換機(jī)業(yè)務(wù)數(shù)據(jù)規(guī)劃

　　Cisco ISE服務(wù)器業(yè)務(wù)數(shù)據(jù)規(guī)劃

　　配置思路

　　1. 配置接入交換機(jī)。包括配置接口所屬VLAN、與RADIUS服務(wù)器的對(duì)接參數(shù)、使能NAC認(rèn)證、認(rèn)證成功后的網(wǎng)絡(luò)訪問(wèn)權(quán)限等。

　　本示例需保證SwitchA、SwitchB、各個(gè)服務(wù)器、實(shí)驗(yàn)室以及員工區(qū)域之間路由互通。

　　2. 配置Cisco ISE服務(wù)器：

　　a. 登錄Cisco ISE服務(wù)器。

　　b. 在Cisco ISE服務(wù)器上添加用戶(hù)。

　　c. 在Cisco ISE服務(wù)器上添加交換機(jī)。

　　d. 在Cisco ISE服務(wù)器上配置使用的密碼認(rèn)證協(xié)議。

　　e. 在Cisco ISE服務(wù)器上配置認(rèn)證策略。

　　f. 在Cisco ISE服務(wù)器上配置授權(quán)策略。

　　操作步驟

　　步驟一 配置接入交換機(jī)SwitchA。

　　1. 創(chuàng)建VLAN并配置接口允許通過(guò)的VLAN，保證網(wǎng)絡(luò)通暢。

　　<HUAWEI> system-view

　　[HUAWEI] sysname SwitchA

　　[SwitchA] vlan batch 10 20

　　[SwitchA] interface gigabitethernet 0/0/1 //配置與員工終端連接的接口

　　[SwitchA-GigabitEthernet0/0/1] port link-type hybrid

　　[SwitchA-GigabitEthernet0/0/1] port hybrid pvid vlan 10

　　[SwitchA-GigabitEthernet0/0/1] port hybrid untagged vlan 10

　　[SwitchA-GigabitEthernet0/0/1] quit

　　[SwitchA] interface gigabitethernet 0/0/2 //配置與實(shí)驗(yàn)室連接的接口

　　[SwitchA-GigabitEthernet0/0/2] port link-type hybrid

　　[SwitchA-GigabitEthernet0/0/2] port hybrid untagged vlan 20

　　[SwitchA-GigabitEthernet0/0/2] quit

　　[SwitchA] interface gigabitethernet 0/0/3 //配置與SwitchB連接的接口

　　[SwitchA-GigabitEthernet0/0/3] port link-type trunk

　　[SwitchA-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20

　　[SwitchA-GigabitEthernet0/0/3] quit

　　[SwitchA] interface loopback 1

　　[SwitchA-LoopBack1] ip address 10.10.10.1 24 //配置與Cisco ISE服務(wù)器通信的IP地址

　　[SwitchA-LoopBack1] quit

　　2. 創(chuàng)建并配置RADIUS服務(wù)器模板、AAA認(rèn)證方案以及認(rèn)證域。

　　# 創(chuàng)建并配置RADIUS服務(wù)器模板“rd1”。

　　[SwitchA] radius-server template rd1

　　[SwitchA-radius-rd1] radius-server authentication 192.168.30.1 1812

　　[SwitchA-radius-rd1] radius-server accounting 192.168.30.1 1813

　　[SwitchA-radius-rd1] radius-server shared-key cipher Huawei@123

　　[SwitchA-radius-rd1] quit

　　# 創(chuàng)建AAA認(rèn)證方案“abc”并配置認(rèn)證方式為RADIUS。

　　[SwitchA] aaa

　　[SwitchA-aaa] authentication-scheme abc

　　[SwitchA-aaa-authen-abc] authentication-mode radius

　　[SwitchA-aaa-authen-abc] quit

　　# 配置計(jì)費(fèi)方案“acco1”并配置計(jì)費(fèi)方式為RADIUS。

　　[SwitchA-aaa] accounting-scheme acco1

　　[SwitchA-aaa-accounting-acco1] accounting-mode radius

　　[SwitchA-aaa-accounting-acco1] quit

　　# 創(chuàng)建認(rèn)證域“huawei”，并在其上綁定AAA認(rèn)證方案“abc”、計(jì)費(fèi)方案“acco1”與RADIUS服務(wù)器模板“rd1”。

　　[SwitchA-aaa] domain huawei

　　[SwitchA-aaa-domain-huawei] authentication-scheme abc

　　[SwitchA-aaa-domain-huawei] accounting-scheme acco1

　　[SwitchA-aaa-domain-huawei] radius-server rd1

　　[SwitchA-aaa-domain-huawei] quit

　　[SwitchA-aaa] quit

　　3. 使能802.1x認(rèn)證。

　　# 將NAC配置模式切換成統(tǒng)一模式。

　　[SwitchA] authentication unified-mode

　　設(shè)備默認(rèn)為統(tǒng)一模式。模式切換前，管理員必須保存配置;模式切換后，設(shè)備重啟，新配置模式的各項(xiàng)功能才能生效。

　　# 配置802.1x接入模板“d1”，并指定認(rèn)證協(xié)議為EAP。

　　[SwitchA] dot1x-access-profile name d1

　　[SwitchA-dot1x-access-profile-d1] dot1x authentication-method eap

　　[SwitchA-dot1x-access-profile-d1] quit

　　# 配置免認(rèn)證規(guī)則模板“default_free_rule”。

　　[SwitchA] free-rule-template name default_free_rule

　　[SwitchA-free-rule-default_free_rule] free-rule 10 destination ip 192.168.40.1 mask 32

　　[SwitchA-free-rule-default_free_rule] quit

　　# 配置認(rèn)證模板“p1”，并在其上綁定802.1x接入模板“d1”、綁定免認(rèn)證規(guī)則模板“default_free_rule”、指定認(rèn)證模板下用戶(hù)的強(qiáng)制認(rèn)證域?yàn)?ldquo;huawei”。

　　[SwitchA] authentication-profile name p1

　　[SwitchA-authen-profile-p1] dot1x-access-profile d1

　　[SwitchA-authen-profile-p1] free-rule-template default_free_rule

　　[SwitchA-authen-profile-p1] access-domain huawei force

　　[SwitchA-authen-profile-p1] quit

　　# 在接口GE0/0/1上綁定認(rèn)證模板“p1”，使能802.1x認(rèn)證。

　　[SwitchA] interface gigabitethernet 0/0/1

　　[SwitchA-GigabitEthernet0/0/1] authentication-profile p1

　　[SwitchA-GigabitEthernet0/0/1] quit

　　4. 配置認(rèn)證成功后的授權(quán)參數(shù)ACL3002。

　　[SwitchA] acl 3002

　　[SwitchA-acl-adv-3002] description 3002.in //配置ACL描述信息為3002.in;此時(shí)，Cisco ISE服務(wù)器設(shè)置的Filter-ID為3002

　　[SwitchA-acl-adv-3002] rule 1 permit ip destination 192.168.30.1 0

　　[SwitchA-acl-adv-3002] rule 2 permit ip destination 192.168.50.1 0

　　[SwitchA-acl-adv-3002] rule 3 deny ip destination any

　　[SwitchA-acl-adv-3002] quit

　　步驟二 Cisco ISE服務(wù)器側(cè)配置。

　　1. 登錄Cisco ISE服務(wù)器。

　　a. 打開(kāi)Internet Explorer瀏覽器，在地址欄輸入Cisco ISE服務(wù)器的訪問(wèn)地址，單擊“Enter”。

　　b. 輸入管理員帳號(hào)和密碼登錄Cisco ISE服務(wù)器。

　　2. 創(chuàng)建用戶(hù)組和用戶(hù)。

　　a. 選擇“Administration > Identity Management > Groups”。在右側(cè)操作區(qū)域內(nèi)選擇“Add”，創(chuàng)建用戶(hù)組“R&D”。

　　b. 選擇“Administration > Identity Management > Identities”。在右側(cè)操作區(qū)域內(nèi)點(diǎn)擊“Add”，創(chuàng)建用戶(hù)名為“A-123”、密碼為“Huawei123”的用戶(hù)，并將該用戶(hù)添加到用戶(hù)組“R&D”。

　　3. 在Cisco ISE服務(wù)器中添加交換機(jī)設(shè)備，以便Cisco ISE服務(wù)器能與交換機(jī)正常聯(lián)動(dòng)。

　　選擇“Administration > Network Resources > Network Devices”。在右側(cè)操作區(qū)域內(nèi)點(diǎn)擊“Add”，進(jìn)入“New Network Device”頁(yè)面，在該頁(yè)面添加網(wǎng)絡(luò)接入設(shè)備并設(shè)置設(shè)備的連接參數(shù)。

　　4. 配置使用的密碼認(rèn)證協(xié)議。

　　選擇“Policy > Policy Elements > Result”。在左側(cè)操作區(qū)域內(nèi)選擇“Authentication > Allowed Protocols”，進(jìn)入“Allowed Protocols Services”界面。在右側(cè)操作區(qū)域內(nèi)點(diǎn)擊“Add”，創(chuàng)建新的網(wǎng)絡(luò)接入方式，選擇允許使用的密碼認(rèn)證協(xié)議。

　　交換機(jī)與Cisco ISE服務(wù)器對(duì)接時(shí)，支持EAP、PAP和CHAP三種認(rèn)證方式。交換機(jī)配置為EAP認(rèn)證方式與Cisco ISE服務(wù)器對(duì)接時(shí)，不支持EAP-LEAP和EAP-FAST兩種模式。

　　5. 配置認(rèn)證策略。

　　選擇“Policy > Authentication”。認(rèn)證策略分為“Simple”和“Rule-Based”兩種，與“Simple”方式相比，“Rule-Based”方式可以匹配多個(gè)網(wǎng)絡(luò)接入方式(即“Allowed Protocol”)。這里以“Simple”為例。在“Network Access Service”下拉框中選擇上步新建的網(wǎng)絡(luò)接入方式“802.1X”，其他選擇默認(rèn)配置。

　　6. 配置授權(quán)策略。

　　a. 新增授權(quán)規(guī)則。

　　選擇“Policy > Authorization”。點(diǎn)擊右方“Edit”后的三角形，選擇“Insert New Rule Above”，新增名稱(chēng)為“Authorization rule for authenticated users”的授權(quán)規(guī)則、授權(quán)的用戶(hù)組為“R&D”。

　　b. 添加訪問(wèn)權(quán)限。

　　i. 在“Permissions”列，點(diǎn)擊“Add New Standard Profile”，進(jìn)入“Add New Standard Profile”頁(yè)面。

　　ii. 在“Add New Standard Profile”頁(yè)面，設(shè)置訪問(wèn)權(quán)限。

　　步驟三 檢查配置結(jié)果。

　　l 員工在沒(méi)有認(rèn)證的情況下只能訪問(wèn)Cisco ISE服務(wù)器和公共服務(wù)器。

　　l 員工認(rèn)證通過(guò)后，能夠訪問(wèn)Cisco ISE服務(wù)器、公共服務(wù)器、業(yè)務(wù)服務(wù)器和實(shí)驗(yàn)室。

　　l 認(rèn)證通過(guò)后，在交換機(jī)上執(zhí)行命令display access-user，可以看到員工的在線信息。

看過(guò)“華為交換機(jī)與Cisco ISE服務(wù)器對(duì)接教程”的人還看了：

1.華為交換機(jī)與Cisco ISE服務(wù)器對(duì)接教程

2.華為交換機(jī)如何配置端口鏡像

3.華為交換機(jī)端口怎么綁定加vlan

4.華為交換機(jī)如何配置Trunk口

5.交換機(jī)配置基礎(chǔ)及實(shí)例講解

6.華為5700交換機(jī)dhcp怎么配置