华为交换机,MAC认证,配合radius模板

发布于 2025-01-13  178 次阅读

配置流程

  1. 配置mac接入模板
mac-access-profile name access-profile-name
authentication trigger-condition { dhcp | arp | dhcpv6 | nd | any-l2-packet } *
# 缺省情况下,DHCP/ARP/DHCPv6/ND报文均能够触发MAC认证。如果终端配置了静态IPv4地址,
# 此时终端和认证设备间没有DHCP报文或ARP报文,需要选择any-l2-packet报文对用户进行MAC认证。
quit
# 基本无需配置
  1. 配置认证模板

2.1 配置认证方案

aaa
authentication-scheme authentication-scheme-name
authentication-mode radius
quit

2.2 配置计费方案

aaa
accounting-scheme accounting-scheme-name
accounting-mode radius
accounting realtime 3
# 开启实时计费并设置计费间隔。缺省情况下,设备按时长计费,未开启实时计费功能。
quit

2.3 配置radius服务器模板

radius-server template template-name
radius-server authentication ip-address port [ shared-key cipher share-key | source { interface-type interface-number | ip-address source-ip-address } | weight weight-value ] *
# 配置radius认证服务器。
radius-server accounting ip-address port [ shared-key cipher share-key | source { interface-type interface-number | ip-address source-ip-address } | weight weight-value ] *
# 配置radius计费服务器
radius-server shared-key cipher key-string
# 配置radius服务器的共享密钥
quit

2.4 配置RADIUS CoA/DM功能

RADIUS CoA/DM功能,提供一种动态修改在线用户权限或者使用户下线的机制。

设备可以接收并响应服务器发送的授权请求信息,根据此信息对用户进行授权,完成授权后,设备通过授权回应报文将授权结果反馈给服务器。

system-view
radius-server authorization ip-address shared-key cipher key-string

2.5 配置认证模板

authentication-profile name authentication-string
mac-access-profile mac-profile
radius-server radius-server-template
authentication-scheme authentication-template
accounting-scheme accounting-template
quit

RADIUS的认证与授权过程融合、不能分离,授权信息包含在服务器回应的认证接受报文中(Access-Accept)。因此,采用RADIUS认证时,不需要配置授权方案。

  1. 应用认证模板

认证模板绑定了相应的接入模板,用户上线的接口绑定了该认证模板后,该接口就开启了NAC认证功能。

  • NAC在不同接口的支持情况:
    • MAC认证在二层物理接口、VLANIF接口和Eth-Trunk接口上支持。
    • 802.1X认证在二层物理接口和Eth-Trunk接口上支持。
    • Portal认证在不同类型接口上的支持情况有差异:三层物理接口仅支持三层Portal认证方式、二层物理接口仅支持二层Portal认证方式、VLANIF接口支持二层和三层Portal认证方式。
    • 不能在二层物理接口和其所属VLAN对应的VLANIF接口上同时使能NAC认证功能,否则会导致用户上线后无网络访问权限。
    • VLANIF接口下配置Portal认证或MAC认证时,不建议认证服务器和终端处于同一网段。
    • 当主接口上配置了NAC认证时,会影响该接口对应的子接口的业务功能。
    • 跨板Eth-trunk用户上线、重认证过程中,复位其中一个单板有可能会导致用户下线。
  • 无线用户的认证,建议在VAP模板下部署,不建议在VLANIF接口下部署。
  • 配置了静态MAC表项的用户无需认证就能获取网络访问权限。此时,如果需对用户进行认证,需删除对应的静态MAC表项。
#接口下应用
interface vlanif x
authentication-profile authentication-profile-name
 
#VAP模板下应用
wlan
vap-profile name profile-name
authentication-profile profile-name