Документация
Page tree
Skip to end of metadata
Go to start of metadata

Case #1 (RADIUS-сервер создаёт DACL с одним правилом и предоставляет Dynamic VLAN)

Описание условий:

  • MAB-клиент подключается к порту коммутатора SNR-S2982G-24TE
  • Клиент должен быть помещён в Dynamic VLAN, предоставленный от RADIUS-сервера
  • На порт клиента должен быть применён Dynamic ACL (DACL), состоящий из одного правила и описанный в сообщениях от RADIUS-сервера

Конфигурация коммутатора:

Пример конфигурации клиентского порта
Interface Ethernet1/0/3
 switchport mode hybrid
 switchport hybrid allowed vlan 1 untag
 mac-authentication-bypass enable
 mac-authentication-bypass dynamic-vlan allowed-vlans configuring-on-port not-required
Пример конфигурации аутентификации MAB через RADIUS-сервер в режиме глобальной конфигурации
mac-authentication-bypass enable
!
radius-server authentication host 192.168.30.250 key 0 snr
aaa enable

Обратите внимание, что для конфигурации Dynamic ACL в FreeRADIUS требуются 3 поля:

  • Tunnel-Type
  • Tunnel-Medium-Type
  • Tunnel-Private-Group-ID

Для конфигурации DACL требуются 2 поля:

  • 2x NAS-Filter-Rule
Конфигурация FreeRADIUS для пользователя с MAC-адресом FC-3F-DB-5E-C0-CC
fc-3f-db-5e-c0-cc Cleartext-Password := "fc-3f-db-5e-c0-cc"
       NAS-Filter-Rule = "access-list 1 permit host-source 192.168.1.1",
       Tunnel-Type = 13,
       Tunnel-Medium-Type = 6,
       Tunnel-Private-Group-ID = "10",
       NAS-Filter-Rule = "ip access-group 1 in"

Результат аутентификации MAB-клиента:

В конфигурации появился ACL, переданный в сообщениях RADIUS
access-list 1 permit host-source 192.168.1.1

В выводе ниже вы можете увидеть, что коммутатор поместил MAB-клиента с MAC-адресом FC-3F-DB-5E-C0-CC во VLAN 10

Вывод информации об аутентифицированных MAB-клиентах
SNR-S2982G-24TE#show mac-authentication-bypass            

 The Number of all binding is 1 

MAC                  Interface       Vlan ID    State     
----------------------------------------------------------------------------------------------------------
fc-3f-db-5e-c0-cc    Ethernet1/0/3   10         MAB_AUTHENTICATED

А также обратите внимание на вывод итоговой конфигурации порта ниже:

  • коммутатор динамически добавил в конфигурацию клиентского порта VLAN 10
  • коммутатор динамически применил ACL 1 на клиентский порт в направлении IN
Конфигурация порта после аутентификации
Interface Ethernet1/0/3
 switchport mode hybrid
 switchport hybrid allowed vlan 1;10 untag
 ip access-group 1 in
 mac-authentication-bypass enable
 mac-authentication-bypass dynamic-vlan allowed-vlans configuring-on-port not-required

Case #2 (RADIUS-сервер создаёт DACL с несколькими правилами и предоставляет Dynamic VLAN)

Описание условий:

  • MAB-клиент подключается к порту коммутатора SNR-S2982G-24TE
  • Клиент должен быть помещён в Dynamic VLAN, предоставленный от RADIUS-сервера
  • На порт клиента должен быть применён Dynamic ACL (DACL), состоящий из нескольких правил и описанный в сообщениях от RADIUS-сервера

Конфигурация коммутатора:

Пример конфигурации клиентского порта
Interface Ethernet1/0/3
 switchport mode hybrid
 switchport hybrid allowed vlan 1 untag
 mac-authentication-bypass enable
 mac-authentication-bypass dynamic-vlan allowed-vlans configuring-on-port not-required
Пример конфигурации аутентификации MAB через RADIUS-сервер в режиме глобальной конфигурации
mac-authentication-bypass enable
!
radius-server authentication host 192.168.30.250 key 0 snr
aaa enable

Обратите внимание, что для конфигурации Dynamic ACL в FreeRADIUS требуются 3 поля:

  • Tunnel-Type
  • Tunnel-Medium-Type
  • Tunnel-Private-Group-ID

Для конфигурации DACL требуются 2 поля:

  • 2x NAS-Filter-Rule

Обратите внимание, как именно в конфигурацию RADIUS-сервера добавляются все необходимые правила DACL:

  • Все правила указаны в рамках одной опции  NAS-Filter-Rule
  • Правила разделяются с помощью подстроки " \n " - обязательно с пробелами
Конфигурация FreeRADIUS для пользователя с MAC-адресом FC-3F-DB-5E-C0-CC
fc-3f-db-5e-c0-cc Cleartext-Password := "fc-3f-db-5e-c0-cc"
       NAS-Filter-Rule = "access-list 1 permit host-source 192.168.1.1 \n access-list 1 permit host-source 192.168.1.2 \n access-list 1 permit host-source 192.168.1.3",
       Tunnel-Type = 13,
       Tunnel-Medium-Type = 6,
       Tunnel-Private-Group-ID = "10",
       NAS-Filter-Rule = "ip access-group 1 in"

Результат аутентификации MAB-клиента:

В конфигурации появился ACL, переданный в сообщениях RADIUS
access-list 1 permit host-source 192.168.1.1
access-list 1 permit host-source 192.168.1.2
access-list 1 permit host-source 192.168.1.3

В выводе ниже вы можете увидеть, что коммутатор поместил MAB-клиента с MAC-адресом FC-3F-DB-5E-C0-CC во VLAN 10

Вывод информации об аутентифицированных MAB-клиентах
SNR-S2982G-24TE#show mac-authentication-bypass            

 The Number of all binding is 1 

MAC                  Interface       Vlan ID    State     
----------------------------------------------------------------------------------------------------------
fc-3f-db-5e-c0-cc    Ethernet1/0/3   10         MAB_AUTHENTICATED

А также обратите внимание на вывод итоговой конфигурации порта ниже:

  • коммутатор динамически добавил в конфигурацию клиентского порта VLAN 10
  • коммутатор динамически применил ACL 1 на клиентский порт в направлении IN
Конфигурация порта после аутентификации
Interface Ethernet1/0/3
 switchport mode hybrid
 switchport hybrid allowed vlan 1;10 untag
 ip access-group 1 in
 mac-authentication-bypass enable
 mac-authentication-bypass dynamic-vlan allowed-vlans configuring-on-port not-required
  • No labels