7  802.1X支持ACL下发配置举例

7.1  组网需求

用户通过Device的端口GigabitEthernet1/0/1接入网络，Device对该端口接入的用户进行802.1X认证以控制其访问Internet，具体要求如下：

·     使用RADIUS服务器10.1.1.1/24作为认证/授权服务器，RADIUS服务器10.1.1.2/24作为计费服务器；

·     通过认证服务器下发ACL，禁止上线的802.1X用户在工作日的工作时间（8:00～18:00）访问IP地址为10.0.0.1/24的FTP服务器。

图24 802.1X支持ACL下发典型组网图

7.2  配置思路

·     为了保证Device可以使用RADIUS server认证用户，需要在RADIUS server上添加接入设备和接入用户，并配置接入规则和服务。

·     未了保证Device能够对接入用户进行认证和授权，需要在Device上完成AAA配置，包括配置ISP域，以及与RADIUS服务器交互的RADIUS方案。

·     为了实现通过下发ACL来控制用户的访问权限，需要在RADIUS server和Device上配置相应的ACL规则。

7.3  适用产品及版本

表6 适用产品及版本

7.4  配置注意事项

·     在微分段组网中，若服务器为802.1X用户同时下发了ACL和微分段，则授权的ACL不生效，授权微分段生效。

·     授权ACL除了需要在服务器上配置，还需要在设备上配置相应的ACL规则。

·     管理员可以通过改变服务器的授权ACL设置或设备上对应的ACL规则来改变用户的访问权限。

7.5  配置步骤

7.5.1  配置RADIUS服务器

配置RADIUS服务器，添加用户账户，指定要授权下发的ACL（本例中为ACL 3000），并保证用户的认证/授权/计费功能正常运行。

1. 增加接入设备

登录进入iMC管理平台，选择“用户”页签，单击导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项，进入接入设备配置页面。在该页面中单击“增加”按钮，进入增加接入设备页面。

·     设置认证及计费的端口号分别为“1812”和“1813”；

·     选择接入设备类型为“H3C (General)”；

·     设置与Device交互报文时的认证、计费共享密钥为“expert”；

·     选择或手工增加接入设备，添加IP地址为192.168.1.1的接入设备；

·     其它参数采用缺省值；

·     单击<确定>按钮完成操作。

图25 增加接入设备页面

2. 增加接入策略

选择“用户”页签，单击导航树中的“接入策略管理 > 接入策略管理”菜单项，进入接入策略管理页面。在该页面中单击<增加>按钮，进入增加接入策略页面。

·     输入接入策略名称“Dot1x auth”；

·     配置授权信息勾选“下发ACL”，并手工输入ACL编号“3000”；

·     本配置页面中还有其它策略配置选项，请根据实际情况选择配置；

·     单击<确定>按钮完成操作。

图26 增加接入策略页面

3. 增加接入服务

选择“用户”页签，单击导航树中的“接入策略管理 > 接入服务管理”菜单项，进入接入服务管理页面。在该页面中单击<增加>按钮，进入增加服务配置页面。

·     输入服务名为“Dot1x Service”、服务后缀为“bbb”，此服务后缀为802.1X用户使用的认证域。指定服务后缀的情况下，RADIUS方案中必须指定向服务器发送的用户名中携带域名；

·     选择缺省接入策略为“Dot1x auth”；

·     本配置页面中还有其它服务配置选项，请根据实际情况选择配置；

·     单击<确定>按钮完成操作。

图27 增加服务配置页面

4. 增加接入用户

选择“用户”页签，单击导航树中的“接入用户管理 > 接入用户”菜单项，进入接入用户在该页面中单击<增加>按钮，进入增加接入用户页面。

·     选择或者手工增加用户姓名为“test”；

·     输入账号名“dot1x”和密码“123456TESTplat&!”；

·     选择该用户所关联的接入服务为“Dot1x Service”；

·     本配置页面中还有其它服务配置选项，请根据实际情况选择配置；

·     单击<确定>按钮完成操作。

图28 增加接入用户页面

7.5.2  配置Device

(1)     配置各接口的IP地址（略）

(2)     配置RADIUS方案

<Device> system-view

[Device] radius scheme 2000

[Device-radius-2000] primary authentication 10.1.1.1 1812

[Device-radius-2000] primary accounting 10.1.1.2 1813

[Device-radius-2000] key authentication simple expert

[Device-radius-2000] key accounting simple expert

[Device-radius-2000] user-name-format without-domain

[Device-radius-2000] quit

(3)     配置ISP域的AAA方法

[Device] domain bbb

[Device-isp-bbb] authentication lan-access radius-scheme 2000

[Device-isp-bbb] authorization lan-access radius-scheme 2000

[Device-isp-bbb] accounting lan-access radius-scheme 2000

[Device-isp-bbb] quit

(4)     配置名为ftp的时间段，其时间范围为每周工作日的8点到18点

[Device] time-range ftp 8:00 to 18:00 working-day

(5)     配置ACL 3000，拒绝用户在工作日的工作时间内访问FTP服务器10.0.0.1的报文通过

[Device] acl advanced 3000

[Device-acl-ipv4-adv-3000] rule 0 deny ip destination 10.0.0.1 0 time-range ftp

[Device-acl-ipv4-adv-3000] quit

(6)     配置802.1X

# 开启全局802.1X。

[Device] dot1x

# 开启端口GigabitEthernet1/0/1的802.1X。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] dot1x

(7)     配置802.1X客户端，并保证接入端口加入Guest VLAN或授权VLAN之后客户端能够及时更新IP地址，以实现与相应网络资源的互通（略）

7.6  验证配置

当用户认证成功上线后，在工作日的工作时间Ping FTP服务器。

C:\>ping 10.0.0.1

Pinging 10.0.0.1 with 32 bytes of data:

Request timed out.

Request timed out.

Request timed out.

Request timed out.

Ping statistics for 10.0.0.1:

    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

由以上过程可知，用户无法ping通FTP服务器，说明认证服务器下发的ACL已对该用户生效。

7.7  配置文件

#

 time-range ftp 8:00 to 18:00 working-day

#

radius scheme 2000

 primary authentication 10.1.1.1

 primary accounting 10.1.1.2

 key authentication cipher  $c$3$LAV0oGNaM9Z/CuVcWONBH4xezu48Agh5aQ==

 key accounting cipher $c$3 $LAV0oGNaM9Z/CuVcWONBH4xezu48Agh5aQ==

 user-name-format without-domain

#

domain bbb

 authentication lan-access radius-scheme 2000

 authorization lan-access radius-scheme 2000

 accounting lan-access radius-scheme 2000

#

acl advanced 3000

 rule 0 deny ip destination 10.0.0.1 0 time-range ftp

#

interface GigabitEthernet1/0/1

 port link-mode bridge

 dot1x

#

 dot1x

#