如何進行ACS驗證和MAC地址綁定

如何進行ACS驗證和MAC地址綁定，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細講解，有這方面需求的人可以來學習下，希望你能有所收獲。

前言

<一>應用ACS驗證方案：

拓撲圖

設備要求：

交換機quidway 2403H-HI  1臺

防火墻H3C F100-C        1臺

主機                    4臺

DHCP Server（CentOS6.4系統）

AAA Server（win server2003系統）

實驗所需軟件：

jdk-7-windows-i586

acs4.0-build-24

H3C_8021XClient

地址規劃:

eth0/0   1.1.1.2/24

eth0/0.1 192.168.10.1/24 vlan10

eth0/0.2 192.168.20.1/24 vlan20

eth0/0.3 192.168.30.1/24 vlan30

DHCP Server 192.168.30.100/24

AAA Server  192.168.30.200/24

PC1  192.168.10.100/24

PC2  192.168.20.100/24

具體配置步驟：

DHCP server配置

將以下內容添加至/etc/dhcp/dhcpd.conf中即可。

option domain-name-servers 222.88.88.88, 222.85.85.85;

default-lease-time 600;

max-lease-time 7200;

log-facility local7;

subnet 192.168.30.0 netmask 255.255.255.0 {

}

subnet 192.168.10.0 netmask 255.255.255.0 {

range 192.168.10.2 192.168.10.254;

option routers 192.168.10.1;

option domain-name "tec.com";

}

subnet 192.168.20.0 netmask 255.255.255.0 {

range 192.168.20.2 192.168.20.254;

option routers 192.168.20.1;

option domain-name "mkt.com";

}

FW-1配置：

<FW-1>system-view

System View: return to User View with Ctrl+Z.

[FW-1]int eth0/0

[FW-1-Ethernet0/0]ip add  1.1.1.2 24

[FW-1-Ethernet0/0]quit

[FW-1]int eth0/0.1

[FW-1-Ethernet0/0.1]vlan-type dot1q vid 10

[FW-1-Ethernet0/0.1]ip add 192.168.10.1 24

[FW-1-Ethernet0/0.1]int eth0/0.2          

[FW-1-Ethernet0/0.2]vlan-type dot1q vid 20

[FW-1-Ethernet0/0.2]ip add 192.168.20.1 24

[FW-1-Ethernet0/0.2]int eth0/0.3

[FW-1-Ethernet0/0.3]vlan-type dot1q vid 30        

[FW-1-Ethernet0/0.3]ip add 192.168.30.1 24

[FW-1-Ethernet0/0.3]quit

[FW-1]firewall zone trust

[FW-1-zone-trust]add int eth0/0

[FW-1-zone-trust]add int eth0/0.1  

[FW-1-zone-trust]add int eth0/0.2

[FW-1-zone-trust]add int eth0/0.3

[FW-1-zone-trust]quit

[FW-1]undo insulate

[FW-1]dhcp enable

DHCP task has already been started!

[FW-1]dhcp select relay interface eth0/0.1 to eth0/0.2

[FW-1]int eth0/0.1

[FW-1-Ethernet0/0.1]ip relay add 192.168.30.100

[FW-1-Ethernet0/0.1]int eth0/0.2              

[FW-1-Ethernet0/0.2]ip relay add 192.168.30.100

[FW-1]radius scheme abc

New Radius scheme

[FW-1-radius-abc]primary authentication 192.168.30.200

[FW-1-radius-abc]key authentication 123456

[FW-1-radius-abc]server-type extended

[FW-1-radius-abc]user-name-format without-domain

[FW-1-radius-abc]accounting optional

[FW-1-radius-abc]quit

[FW-1]domain tyedu.com

New Domain added.

[FW-1-isp-tyedu.com]radius-scheme abc

[FW-1-isp-tyedu.com]accounting optional

[FW-1-isp-tyedu.com]access-limit enable 100

SW1配置：

[Quidway]sysname SW1

[SW1]int vlan 1

[SW1-Vlan-interface1]ip add 1.1.1.1 24

[SW1-Vlan-interface1]quit

[SW1]ip route-static 0.0.0.0 0.0.0.0 1.1.1.2

[SW1]vlan 10                                      

[SW1-vlan10]port e1/0/10  

[SW1-vlan10]vlan 20

[SW1-vlan20]port e1/0/20

[SW1-vlan20]vlan 30

[SW1-vlan30]port e1/0/23  e1/0/24

[SW1-vlan30]quit

[SW1]int e1/0/22

[SW1-Ethernet1/0/22]port link-type trunk

[SW1-Ethernet1/0/22]port trunk permit vlan all

[SW1-Ethernet1/0/22]dis vlan

Now, the following VLAN exist(s):

1(default), 10, 20, 30

[SW1]dot1x

802.1X is enabled globally.

[SW1]int e1/0/10

[SW1-Ethernet1/0/10]dot1x

802.1X is enabled on port Ethernet1/0/10.

[SW1-Ethernet1/0/10]quit

[SW1]int e1/0/20

[SW1-Ethernet1/0/20]dot1x

802.1X is enabled on port Ethernet1/0/20.

[SW1-Ethernet1/0/20]quit

[SW1]radius scheme xxx

New Radius scheme

[SW1-radius-xxx]primary authentication 192.168.30.200

[SW1-radius-xxx]key authentication 123456

[SW1-radius-xxx]server-type huawei

[SW1-radius-xxx]user-name-format without-domain

[SW1-radius-xxx]accounting optional

[SW1-radius-xxx]quit

[SW1]domain tyedu.com

New Domain added.

[SW1-isp-tyedu.com]radius-scheme xxx

[SW1-isp-tyedu.com]accounting optional

[SW1-isp-tyedu.com]access-limit enable 100

在server2003中安裝ACS(需要先安裝JDK):

添加華為私有屬性

將h4c.ini文件拷貝到C盤根目錄下。

以下是h4c.ini文本內容(可以直接復制保存為h4c.ini即可)

[User Defined Vendor]

Name=Huawei

IETF Code=2011

VSA 29=hw_Exec_Privilege

[hw_Exec_Privilege]

Type=INTEGER

Profile=IN OUT

Enums=hw_Exec_Privilege-Values

[hw_Exec_Privilege-Values]

0=Access

1=Monitor

2=Manager

3=Administrator

將華為私有屬性添加至acs安裝目錄bin下。

查看，已添加成功。

配置ACS：

配置AAA Server，服務器的key要和客戶端的key保持一致。

配置AAA Client-SW1，選擇華為私有屬性。

配置AAA Client-FW-1，選擇華為私有屬性。

查看配置。

添加兩個賬號，test1用于驗證主機(屬于Default Group),test2用于驗證設備(屬于Group 1)。

在測試主機中安裝H3C_8021XClient,登錄測試。

vlan 10(技術部)PC1測試結果。

vlan 20(市場部)PC2測試結果。

要求測試主機能telnet設備，并且賬號要經過ACS驗證(擁有超級管理員權限)。

首先在Network Configuration→RADIUS(Huawei)中應用華為私有屬性。

如果測試主機想要telnet遠程管理設備（SW1和FW-1),必須進入組中把telnet打開，并且應用華為私有屬性。

打開telnet

應用華為私有屬性，并選擇管理員權限。

telnet SW1，使用test2賬號登錄，測試成功，并且具有超級管理員權限。

telnet FW-1(telnet 1.1.1.2也可進入)，使用test2賬號登錄，測試成功，并且具有超級管理員權限。

<二>應用MAC地址驗證方案：

具體配置步驟：

[SW1]mac-authentication

MAC-authentication is enabled globally.

[SW1]mac-authentication authmode usernameasmacaddress usernameformat without-hyphen

[SW1]int e1/0/20

[SW1-Ethernet1/0/20]mac-authentication

MAC-authentication is enabled on port Ethernet1/0/20

[SW1-Ethernet1/0/20]int e1/0/10      

[SW1-Ethernet1/0/10]mac-authentication

MAC-authentication is enabled on port Ethernet1/0/10

[SW1-Ethernet1/0/10]quit

[SW1]dis mac-authentication int e1/0/20

Ethernet1/0/20 is link-up

 MAC address authentication  is Enabled

 Authenticate success: 1, failed: 0

 Current online user number is 1

   MAC ADDR         Authenticate state           AuthIndex

   001c-2596-2e0e   MAC_AUTHENTICATOR_SUCCESS     21

在ACS中添加測試主機的MAC地址，作為賬號和密碼。

測試主機結果：

看完上述內容是否對您有幫助呢？如果還想對相關知識有進一步的了解或閱讀更多相關文章，請關注億速云行業資訊頻道，感謝您對億速云的支持。