RADIUS server配置 RADIUS 服务器:在“ISA 服务器管理”的控制台树中,单击“常规”- 对于 ISA Server 2004 Enterprise Edition,依次展开“Microsoft Internet Security and Acceleration Server 2004”、“阵列”、“Array_Name”、“配置”,然后单击“常规”。 对于 ISA Server 2004 Standard Edition,依次展开“Microsoft Internet Security and Acceleration Server 2004”、“Server_Name”、“配置”,然后单击“常规”。 在详细信息窗格中,单击“定义 RADIUS 服务器”。 在“RADIUS 服务器”选项卡上,单击“添加”。 在“服务器名”中,键入要用于身份验证的 RADIUS 服务器的名称。 单击“更改”,然后在“新机密”中,键入要用于 ISA 服务器与 RADIUS 服务器之间的安全通讯的共享机密。必须在 ISA 服务器与 RADIUS 服务器上配置相同的共享机密,RADIUS 通讯才能成功。 在“端口”中,键入 RADIUS 服务器要对传入的 RADIUS 身份验证请求使用的用户数据报协议(UDP)。默认值 1812 基于 RFC 2138。对于更早的 RADIUS 服务器,请将端口值设置为 1645。 在“超时(秒)”中,键入 ISA 服务器将尝试从 RADIUS 服务器获得响应的时间(秒),超过此时间之后,ISA 服务器将尝试另一台 RADIUS 服务器。 如果基于共享机密的消息验证程序与每个 RADIUS 消息一起发送,请选择“总是使用消息验证程序”。选择“准入 > 准入资源 > 准入设备”,然后选择“准入设备管理 > 第三方准入设备”页签。单击“创建”,按规划数据将核心交换机添加为准入控制设备。配置完成后,单击“确定”。
配置用户接入与认证(员工、访客)
本案例中采用iMaster NCE-Campus内置的认证服务器,对于员工、访客,采用传统的接入认证方式,需要在iMaster NCE-Campus上添加用户账号、配置用户认证方式等,然后对用户进行认证授权。iMaster NCE-Campus可以在同一类用户组的授权结果中绑定相应安全组,认证控制点设备在执行安全组策略时,能够基于绑定的安全组控制用户访问权限。
添加用户账号
背景信息
在用户管理页面,增加用户组及组内帐号,用户可以通过该帐号进行认证。建议将同一权限的用户帐号分配在同一用户组,方便后续以用户组为单位进行授权 *** 作。
数据规划
表4-54 用户组数据规划表
用户组
终端账号
RD_Wired_Employee_Group(研发部有线员工终端)
rd_wired_employee1
RD_Wireless_Employee_Group(研发部无线员工终端)
rd_wireless_employee1
Market_Wired_Employee_Group(市场部有线员工终端)
market_wired_employee1
Market_Wireless_Employee_Group(市场部无线员工终端)
market_wireless_employee1
Wireless_Guest_Group(无线访客终端)
wireless_guest1
*** 作步骤
选择“准入 > 准入资源 > 用户管理”,选择“用户管理 > 用户”页签,单击,按规划数据添加用户组。以用户组RD_Wired_Employee_Group添加为例。
选择用户组,单击“创建”,在该用户组下增加帐号,配置帐号信息。以用户组RD_Wired_Employee_Group添加rd_wired_employee1账号为例。
配置认证规则
背景信息
创建了用户组并添加完用户后,就需要按规划配置用户的认证规则。本案例中,认证规则基于用户组匹配,同一组用户采用相同的认证规则。
数据规划
表4-55 认证规则数据规划表
认证规则
用户组
认证方式
RD_Wired_Employee_Authen
RD_Wired_Employee_Group
8021x认证
RD_Wireless_Employee_Authen
RD_Wireless_Employee_Group
8021x认证
Market_Wired_Employee_Authen
Market_Wired_Employee_Group
8021x认证
Market_Wireless_Employee_Authen
Market_Wireless_Employee_Group
8021x认证
Wireless_Guest_Authen
Wireless_Guest_Group
MAC优先的Portal认证
*** 作步骤
配置8021x认证,以创建认证规则RD_Wired_Employee_Authen为例。
选择“准入 > 准入策略 > 认证授权”,选择“认证规则”页签。单击“创建”,选择“认证方式”为“用户接入认证”,选择接入方式为“有线”。匹配条件开启“使能用户组信息匹配”按钮,“用户组”选择RD_Wired_Employee_Group。然后选择认证协议,配置完成后,单击“确定”。
配置MAC优先的Portal认证。
配置Portal认证规则。
本案例采用Portal采用Portal20协议,即Portal服务器为用户终端提供Web认证页面,并通过Portal服务器,完成向RADIUS服务器的认证。以创建认证规则Wireless_Guest_Authen为例。
选择“准入 > 准入策略 > 认证授权”,选择“认证规则”页签。单击“创建”,选择“认证方式”为“用户接入认证”,选择接入方式为“WIFI”。匹配条件开启“使能用户组信息匹配”按钮,“用户组”选择Wireless_Guest_Group。然后选择认证协议,配置完成后,单击“确定”。
配置Portal免认证策略,使得用户在首次Portal认证后,可以在设置时长内免认证。
选择“准入 > 准入策略 > 用户在线控制”,选择“用户控制策略 > Portal免认证管控策略”页签,单击“创建”。配置免认证策略名称和时长,配置完成后,单击“确定”。
单击创建好的Portal免认证策略Guest_Free_Policy的下拉菜单按钮,选择“分配给用户组”页签,单击“增加”,将Portal免认证策略分配给用户组Wireless_Guest_Group。配置完成后,单击“确定”。
配置Portal页面推送策略。
选择“准入 > 准入资源 > 页面管理”,选择“Portal页面推送策略”页签,单击“创建”。配置策略名称,接入方式选择“无线”,认证方式选择“用户名密码认证”,推送页面选择“默认用户名密码定制页面”。配置完成后,单击“应用”。
配置授权结果和授权规则
背景信息
当用户通过认证后,根据授权规则可以为不同的用户授权不同的授权结果。授权结果包括VLAN、安全组信息等控制用户权限的信息。通过同授权结果的关联,实现对用户权限的控制。
数据规划
表4-56 授权结果和授权规则数据规划表
授权结果
授权规则
用户组
安全组
RD_Wired_Employee_Result
RD_Wired_Employee_Rule
RD_Wired_Employee_Group
RD_Wired_Employee_Sec
RD_Wireless_Employee_Result
RD_Wireless_Employee_Rule
RD_Wireless_Employee_Group
RD_Wireless_Employee_Sec
Market_Wired_Employee_Result
Market_Wired_Employee_Rule
Market_Wired_Employee_Group
Market_Wired_Employee_Sec
Market_Wireless_Employee_Result
Market_Wireless_Employee_Rule
Market_Wireless_Employee_Group
Market_Wireless_Employee_Sec
Wireless_Guest_Result
Wireless_Guest_Rule
Wireless_Guest_Group
Wireless_Guest_Sec
*** 作步骤
配置授权结果,在授权结果中添加安全组信息。
选择“准入 > 准入策略 > 认证授权”,选择“授权结果”页签。以创建授权结果RD_Wired_Employee_Result为例,“安全组”选择RD_Wired_Employee_Sec。配置完成后,单击“确定”。授权结果中的部分参数说明请参见表4-57。
表4-57 配置授权结果的部分参数说明
参数
说明
设备管理业务
配置设备管理认证时开启此开关,开关打开后可以配置网管登录级别和自定义授权参数。自定义授权参数通过调整RADIUS属性值设置。
开启“设备管理业务”后,下面所有参数不再支持。
VIP用户
开启此功能后,结合应用调度模板等,可为VIP用户提供差异化服务。
ACL/动态ACL
基于ACL或者动态ACL控制允许或禁止访问指定资源。
IPV6 ACL
基于IPv6 ACL控制允许或禁止访问指定资源。
安全组
授权结果可选择已配置的安全组。
URL过滤
黑名单过滤模式:禁止访问URL“过滤列表”中的网站。
白名单过滤模式:只允许访问URL“过滤列表”中的网站。
VLAN
授权VLAN。如果VN中已配置VLAN池或者动态类型的子网VLAN,可在下拉列表中选择;也可以手工输入VLAN ID。
启用下行流量/启用上行流量
限制每个终端的上下行带宽。
DSCP
授权结果可设置DSCP。
强制重定向
强制重定向到指定的ACL或者URL。
自定义授权参数
可通过调整RADIUS属性值自定义授权参数。
配置授权规则,使得指定用户组的用户认证通过后,下发指定的授权结果。
选择“准入 > 准入策略 > 认证授权”,选择“授权规则”页签。以创建授权规则RD_Wired_Employee_Rule为例,认证方式选择“用户接入认证”,接入方式选择“有线”。匹配条件开启“使能用户组信息匹配”按钮,“用户组”选择RD_Wired_Employee_Group;“认证授权结果”选择RD_Wired_Employee_Result。配置完成后,单击“确定”。
配置用户接入与认证(哑终端,传统MAC认证方式)
本案例中采用iMaster NCE-Campus内置的认证服务器,对于哑终端,如果采用传统的接入认证方式,需要在iMaster NCE-Campus上添加MAC账号、配置认证方式等,然后对哑终端进行认证授权。iMaster NCE-Campus可以在同一类用户组的授权结果中绑定相应安全组,认证控制点设备在执行安全组策略时,能够基于绑定的安全组控制哑终端访问权限。
添加MAC账号
背景信息
在用户管理页面,首先创建用户组,然后将MAC帐号添加到规划的用户组中,哑终端可以通过该帐号进行认证。建议将同一权限的MAC帐号分配在同一用户组,方便后续以用户组为单位进行授权 *** 作。
数据规划
表4-58 用户组数据规划表
用户组
MAC账号
MAC地址
RD_Wired_Dumb_Group(研发部有线哑终端)
rd_wired_dumb1
00-01-00-01-00-01
RD_Wireless_Dumb_Group(研发部无线哑终端)
rd_wireless_dumb1
00-01-00-01-00-02
Market_Wired_Dumb_Group(市场部有线哑终端)
market_wired_dumb1
00-01-00-01-00-03
Market_Wireless_Dumb_Group(市场部无线哑终端)
market_wireless_dumb1
00-01-00-01-00-04
*** 作步骤
选择“准入 > 准入资源 > 用户管理”,选择“用户管理 > 用户”页签,单击,按规划数据添加用户组。以用户组RD_Wired_Dumb_Group添加为例。
选择“准入 > 准入资源 > 用户管理”,选择“MAC账号”页签,单击“创建”,配置MAC帐号信息。以创建MAC账号rd_wired_dumb1,并添加到用户组RD_Wired_Dumb_Group为例。
配置认证规则
背景信息
创建了用户组并添加完用户后,就需要根据按规划配置用户的认证规则。本案例中,认证规则基于用户组匹配,同一组用户采用相同的认证规则。
数据规划
表4-59 认证规则数据规划表
认证规则
用户组
认证方式
RD_Wired_Dumb_Authen1
RD_Wired_Dumb_Group
MAC认证
RD_Wireless_Dumb_Authen1
RD_Wireless_Dumb_Group
MAC认证
Market_Wired_Dumb_Authen1
Market_Wired_Dumb_Group
MAC认证
Market_Wireless_Dumb_Authen1
Market_Wireless_Dumb_Group
MAC认证
*** 作步骤
以创建认证规则RD_Wired_Dumb_Authen1为例。
选择“准入 > 准入策略 > 认证授权”,选择“认证规则”页签。单击“创建”,选择“认证方式”为“MAC认证”,选择接入方式为“有线”。匹配条件开启“使能用户组信息匹配”按钮,“MAC账号映射用户组”选择RD_Wired_Dumb_Group。配置完成后,单击“确定”。
配置授权结果和授权规则
背景信息
当哑终端通过认证后,根据授权规则可以为不同的哑终端授权不同的授权结果。授权结果包括VLAN、安全组信息等控制哑终端权限的信息。通过同授权结果的关联,实现对哑终端权限的控制。
数据规划
表4-60 授权结果和授权规则数据规划表
授权结果
授权规则
用户组
安全组
RD_Wired_Dumb_Result1
RD_Wired_Dumb_Rule1
RD_Wired_Dumb_Group
RD_Wired_Dumb_Sec
RD_Wireless_Dumb_Result1
RD_Wireless_Dumb_Rule1
RD_Wireless_Dumb_Group
RD_Wireless_Dumb_Sec
Market_Wired_Dumb_Result1
Market_Wired_Dumb_Rule1
Market_Wired_Dumb_Group
Market_Wired_Dumb_Sec
Market_Wireless_Dumb_Result1
Market_Wireless_Dumb_Rule1
Market_Wireless_Dumb_Group
Market_Wireless_Dumb_Sec
*** 作步骤
配置授权结果,在授权结果中添加安全组信息。
选择“准入 > 准入策略 > 认证授权”,选择“授权结果”页签。以创建授权结果RD_Wired_Dumb_Result1为例,“安全组”选择RD_Wired_Dumb_Sec,配置完成后,单击“确定”。授权结果中的部分参数说明请参见表4-61。
表4-61 配置授权结果的部分参数说明
参数
说明
设备管理业务
配置设备管理认证时开启此开关,开关打开后可以配置网管登录级别和自定义授权参数。自定义授权参数通过调整RADIUS属性值设置。
开启“设备管理业务”后,下面所有参数不再支持。
VIP用户
开启此功能后,结合应用调度模板等,可为VIP用户提供差异化服务。
ACL/动态ACL
基于ACL或者动态ACL控制允许或禁止访问指定资源。
IPV6 ACL
基于IPv6 ACL控制允许或禁止访问指定资源。
安全组
授权结果可选择已配置的安全组。
URL过滤
黑名单过滤模式:禁止访问URL“过滤列表”中的网站。
白名单过滤模式:只允许访问URL“过滤列表”中的网站。
VLAN
授权VLAN。如果VN中已配置VLAN池或者动态类型的子网VLAN,可在下拉列表中选择;也可以手工输入VLAN ID。
启用下行流量/启用上行流量
限制每个终端的上下行带宽。
DSCP
授权结果可设置DSCP。
强制重定向
强制重定向到指定的ACL或者URL。
自定义授权参数
可通过调整RADIUS属性值自定义授权参数。
配置授权规则,使得指定用户组的哑终端认证通过后,下发指定的授权结果。
选择“准入 > 准入策略 > 认证授权”,选择“授权规则”页签。以创建授权规则RD_Wired_Dumb_Rule1为例,认证方式选择“MAC认证”,接入方式选择“有线”。匹配条件开启“使能用户组信息匹配”按钮,“MAC账号映射用户组”选择RD_Wired_Dumb_Group;“认证授权结果”选择RD_Wired_Dumb_Result1。配置完成后,单击“确定”。
配置用户接入与认证(哑终端,MAC自动认证方式)
本案例中采用iMaster NCE-Campus内置的认证服务器,对于采用MAC认证的园区IP话机、打印机、IP摄像头等哑终端设备,也可以通过iMaster NCE-Campus提供的终端识别功能和MAC自动认证功能,无需管理员手动为每种类型的哑终端添加MAC账号,可实现MAC自动认证及策略自动发放。
开启终端识别和MAC自动认证功能
背景信息
iMaster NCE-Campus推出的终端识别功能,可查看全网终端类型、系统等分类信息。而且对于采用MAC认证的园区IP话机、打印机、IP摄像头等哑终端设备,无需管理员手动为每种类型的哑终端添加MAC账号,可实现MAC自动认证及策略自动发放。
终端识别和MAC自动认证功能需要在iMaster NCE-Campus上开启,并且还需要开启设备上报终端识别信息的开关,大中型园区非虚拟化方案中:
有线终端识别:可以通过iMaster NCE-Campus开启交换机上报终端识别信息的开关。如果采用了DHCP Option和mDNS方式的终端识别方法,还需要开启DHCP Snooping和mDNS Snooping功能。具体配置请参见“用户接入配置(网络设备侧)”中的配置有线终端识别。
无线终端识别:在配置无线业务时,开启设备上报终端识别信息的开关。如果采用了DHCP Option和mDNS方式的终端识别方法,还需要在VAP模板下开启IP地址学习和mDNS Snooping功能。其中,IP地址学习功能是默认开启的。
*** 作步骤
选择“准入 > 准入资源 > 终端管理”,选择“ 终端配置”页签,开启终端识别按钮,配置完成后单击“确定”。
在“终端接入配置”区域,“允许自动通过MAC认证接入网络策略”选择“已识别终端接入”,配置完成后单击“确定”。
在iMaster NCE-Campus上开启终端识别和MAC自动认证功能后,如果有终端接入园区网络,开启终端识别信息上报开关的设备就会将终端类型等信息发送给iMaster NCE-Campus。然后:
通过匹配iMaster NCE-Campus自带的终端指纹库,终端信息会划分到相应的终端组中。终端组在“准入 > 准入资源 > 终端管理 > 终端管理”页签。
MAC地址信息同时会自动录入到iMaster NCE-Campus,用于MAC认证。
开启MAC自动认证功能后,MAC认证会匹配终端类型进行准入控制,如果需要基于MAC地址对终端进行准入控制,建议仍采用传统MAC认证方式,具体配置过程可参考配置用户接入与认证(哑终端,传统MAC认证方式)。例如,部署MAC认证时,仅允许MAC地址为0001-0001-0001的打印机接入网络,建议将“终端自动准入”功能关闭,然后配置传统MAC认证,在iMaster NCE-Campus手工录入打印机的MAC地址。
配置认证规则
背景信息
开启了终端识别和MAC自动认证功能后,就需要根据规划配置终端的认证规则。本案例中,认证规则基于终端的设备类型匹配,同一个设备类型采用相同的认证规则。
数据规划
表4-62 认证规则数据规划表
认证规则
设备类型
终端IP范围
认证方式
RD_Wired_Dumb_Authen2
打印机、VoIP设备、IP摄像机
10131-1013254
MAC认证
Market_Wired_Employee_Authen2
打印机、VoIP设备、IP摄像机
10171-1017254
MAC认证
*** 作步骤
以创建认证规则RD_Wired_Dumb_Authen2为例。
选择“准入 > 准入策略 > 认证授权”,选择“认证规则”页签。单击“创建”,选择“认证方式”为“MAC认证”,选择接入方式为“有线”。匹配条件开启“终端信息匹配”按钮,“终端组是否已识别”选择“已识别”,“设备类型”选择打印机、VoIP终端、IP摄像机,“终端IP范围”为10131-1013254。配置完成后,单击“确定”。
配置授权结果和授权规则
背景信息
当终端通过认证后,根据授权规则可以为不同的终端授权不同的授权结果。授权结果包括VLAN、安全组信息等控制用户权限的信息。通过同授权结果的关联,实现对终端权限的控制。
数据规划
表4-63 授权结果和授权规则数据规划表
授权结果
授权规则
设备类型
终端IP范围
安全组
RD_Wired_Dumb_Result2
RD_Wired_Dumb_Rule2
打印机、VoIP设备、IP摄像机
10131-1013254
RD_Wired_Dumb_Sec
RD_Wireless_Dumb_Result2
RD_Wireless_Dumb_Rule2
物联网(IoT)
10141-1014254
RD_Wireless_Dumb_Sec
Market_Wired_Dumb_Result2
Market_Wired_Dumb_Rule2
打印机、VoIP设备、IP摄像机
10171-1017254
Market_Wired_Dumb_Sec
Market_Wireless_Dumb_Result2
Market_Wireless_Dumb_Rule2
物联网(IoT)
10181-1018254
Market_Wireless_Dumb_Sec
*** 作步骤
配置授权结果,在授权结果中添加安全组信息。
选择“准入 > 准入策略 > 认证授权”,选择“授权结果”页签。以创建授权结果RD_Wired_Dumb_Result2为例,“安全组”选择RD_Wired_Dumb_Sec,配置完成后,单击“确定”。授权结果中的部分参数说明请参见表4-64。
如果授权结果和配置用户接入与认证(哑终端,传统MAC认证方式)中的授权结果相同,可跳过此步骤,在配置授权规则时,直接使用已创建的授权结果。
表4-64 配置授权结果的部分参数说明
参数
说明
设备管理业务
配置设备管理认证时开启此开关,开关打开后可以配置网管登录级别和自定义授权参数。自定义授权参数通过调整RADIUS属性值设置。
开启“设备管理业务”后,下面所有参数不再支持。
VIP用户
开启此功能后,结合应用调度模板等,可为VIP用户提供差异化服务。
ACL/动态ACL
基于ACL或者动态ACL控制允许或禁止访问指定资源。
IPV6 ACL
基于IPv6 ACL控制允许或禁止访问指定资源。
安全组
授权结果可选择已配置的安全组。
URL过滤
黑名单过滤模式:禁止访问URL“过滤列表”中的网站。
白名单过滤模式:只允许访问URL“过滤列表”中的网站。
VLAN
授权VLAN。如果VN中已配置VLAN池或者动态类型的子网VLAN,可在下拉列表中选择;也可以手工输入VLAN ID。
启用下行流量/启用上行流量
限制每个终端的上下行带宽。
DSCP
授权结果可设置DSCP。
强制重定向
强制重定向到指定的ACL或者URL。
自定义授权参数
可通过调整RADIUS属性值自定义授权参数。
配置授权规则,使得指定类型和IP范围的哑终端认证通过后,下发指定的授权结果。
选择“准入 > 准入策略 > 认证授权”,选择“授权规则”页签。以创建授权规则RD_Wired_Dumb_Rule2为例,认证方式选择“MAC认证”,接入方式选择“有线”。匹配条件开启“终端信息匹配”按钮,“终端组是否已识别”选择“已识别”,“设备类型”选择打印机、VoIP终端、IP摄像机,“终端IP范围”为10131-1013254;“认证授权结果”选择RD_Wired_Dumb_Result2。配置完成后,单击“确定”。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)