1. H3C防火牆上爲×××用戶做驗證... 1
1.1 配置AAA認證方案... 1
1.2 創建ISP域... 2
1.3 新建一個虛模版... 2
1.4 虛模版加入firewall zone. 2
1.5 增加一個L2TP組... 2
1.6 測試×××用戶登錄... 2
2. H3C的AP驗證無線網卡MAC地址... 2
2.1 配置radius scheme:... 2
2.2 配置MAC認證的域:... 3
2.3 配置全局MAC認證:... 3
2.4 開啓無線端口的MAC認證... 3
2.5 測試... 3
3. H3C交換機驗證局域網主機網卡MAC地址... 3
3.1 配置RADIUS 方案... 3
3.2 配置ISP 域的AAA 方案... 3
3.3 開啓全局MAC 地址認證特性... 4
3.4 開啓端口Ethernet1/0/1 的MAC 地址認證... 4
3.5 測試... 4
在H3C設備上用好外部radius認證,可以擴展H3C設備的功能並加強安全管理。下面從h3c的防火牆、交換機、無線AP 3種設備來總結如何應用外部radius認證。
前言:要做到radius認證,就必須架設一臺radius服務器,關於如何架設radius服務器的文章網絡上有很多,也可以參考我的博文《freeradius+mysql爲華爲防火牆做***用戶驗證》(看完本文後大家都能做radius認證了,^_^),下面配置中的一些解釋性內容也有部分與此文有關。
環境:主radius服務器ip地址:192.168.1.1
次radius服務器ip地址:192.168.1.2
H3C設備與radius服務器通訊密碼:myh3c
1. H3C防火牆上爲×××用戶做驗證
目的:當用戶使用secpoint客戶端軟件從外部連接防火牆時,用radius服務器對其身份進行認證。
1.1 配置AAA認證方案
[MY] radius scheme ***user
;創建AAA方案名“***user”
[MY-radius-***user] primary authentication 192.168.1.1 ;認證主服務器IP
[MY-radius-***user] primary accounting 192.168.1.1 ;計費主服務器IP
[MY-radius-***user] secondary authentication 192.168.1.2
; 認證次服務器IP
[MY-radius-***user] secondary accounting 192.168.1.2
; 認證次服務器IP
[MY-radius-***user] accounting optional ;允許計費,即使計費失敗也不會掛斷用戶
[MY-radius-***user] key authentication myh3c
;與radius服務器連接密碼
[MY-radius-***user] key accounting myh3c
;
[MY-radius-***user] user-name-format without-domain
最後一行表示用戶名不帶域名後綴發送給radius服務器:
例如***用戶名爲rhh,則發送給radius服務器的用戶名也是rhh。在mysql中設置用戶名時,也只需要輸入rhh即可。
如果不配置最後一行,則發送給radius服務器的用戶名將是rhh@domain格式的。在mysql中設置用戶名時,需要輸入rhhrhh@domain。
1.2 創建ISP域
[MY] domain test
;創建一個域“test”
[MY-isp-test] scheme radius-scheme ***user
;關聯到AAA認證方案“***user”
[MY-isp-test] ip pool 98 10.0.98.2 10.0.98.250 ;爲***用戶分配ip地址
1.3 新建一個虛模版
[MY] interface Virtual-Template 98 ;創建虛模版98
[MY-Virtual-Template98] ppp authentication-mode chap domain test
;關聯到域“test”
[MY-Virtual-Template98] ip address 10.0.98.1 255.255.255.0
[MY-Virtual-Template98] remote address pool 98 ;***用戶地址
1.4 虛模版加入firewall zone
[MY] firewall zone untrust
[MY-zone-untrust] add interface Virtual-Template 98
1.5 增加一個L2TP組
[MY]l2tp-group 98
[MY-l2tp98]allow l2tp virtual-template 98 remote group98 ;關聯到虛模版98
1.6 測試×××用戶登錄
在mysql的radius數據庫的radcheck表中加入用戶名和密碼
用***客戶端軟件登錄
2. H3C的AP驗證無線網卡MAC地址
目的:當無線網卡連接AP時,對無線網卡MAC地址進行驗證。
完整的文章可以參考我的博文《freeradius+mysql爲華爲AP做無線用戶MAC地址驗證》。
2.1 配置radius scheme:
全局下:
radius scheme ap-radius
primary authentication 192.168.1.1
primary accounting 192.168.1.1
secondary authentication 192.168.1.2
secondary accounting 192.168.1.2
key authentication myh3c
key accounting myh3c
user-name-format without-domain
2.2 配置MAC認證的域:
全局下:
domain ap-dom
authentication default radius-scheme ap-radius
authorization default radius-scheme ap-radius
accounting default radius-scheme ap-radius
2.3 配置全局MAC認證:
全局下:
port-security enable
mac-authentication domain ap-dom
2.4 開啓無線端口的MAC認證
[AP01] int WLAN-BSS 1
[AP01-WLAN-BSS1] port-security port-mode mac-authentication
[AP01] int WLAN-BSS 2
[AP01-WLAN-BSS2] port-security port-mode mac-authentication
2.5 測試
在mysql的radius數據庫的radcheck表中加入用戶名(即無線網卡的mac地址)和密碼(同樣爲無線網卡的mac地址)
注意:加入數據庫中的做爲用戶名和密碼的mac地址不能帶有“-”,且必須小寫。例如無線網卡的mac地址爲:0021-0064-E2B1,則加入mysql數據庫中的用戶名和密碼均爲:00210064e2b1
3. H3C交換機驗證局域網主機網卡MAC地址
目的:當局域網中的電腦連接到交換機端口時,對網卡MAC地址進行驗證。
3.1 配置RADIUS 方案
全局下:
radius scheme port-auth
primary authentication 192.168.1.1
primary accounting 192.168.1.1
secondary authentication 192.168.1.2
secondary accounting 192.168.1.2
key authentication myh3c
key accounting myh3c
user-name-format without-domain
3.2 配置ISP 域的AAA 方案
全局下:
domain dom-auth
authentication default radius-scheme port-auth
authorization default radius-scheme port-auth
accounting default radius-scheme port-auth
3.3 開啓全局MAC 地址認證特性
全局下:
mac-authentication
配置MAC 地址認證用戶所使用的ISP 域。
mac-authentication domain dom-auth
# 配置MAC 地址認證的定時器。
mac-authentication timer offline-detect 180
mac-authentication timer quiet 180
# 配置MAC 地址認證用戶名格式:使用用戶的源MAC 地址做用戶名與密碼。
mac-authentication user-name-format mac-address
3.4 開啓端口Ethernet1/0/1 的MAC 地址認證
全局下:
mac-authentication interface Ethernet 1/0/1
3.5 測試
在mysql的radius數據庫的radcheck表中加入用戶名(即網卡的mac地址)和密碼(同樣爲網卡的mac地址)
注意:加入數據庫中的做爲用戶名和密碼的mac地址不能帶有“-”,且必須小寫。例如網卡的mac地址爲:000D-0064-E2B1,則加入mysql數據庫中的用戶名和密碼均爲:000d0064e2b1