Case #1 (RADIUS-сервер создаёт DACL с одним правилом и предоставляет Dynamic VLAN)
Описание условий:
- MAB-клиент подключается к порту коммутатора SNR-S2982G-24TE
- Клиент должен быть помещён в Dynamic VLAN, предоставленный от RADIUS-сервера
- На порт клиента должен быть применён Dynamic ACL (DACL), состоящий из одного правила и описанный в сообщениях от RADIUS-сервера
Конфигурация коммутатора:
Пример конфигурации клиентского порта
Interface Ethernet1/0/3 switchport mode hybrid switchport hybrid allowed vlan 1 untag mac-authentication-bypass enable mac-authentication-bypass dynamic-vlan allowed-vlans configuring-on-port not-required
Не все коммутаторы поддерживают команду "mac-authentication-bypass dynamic-vlan allowed-vlans configuring-on-port not-required". Если её нет, это не значит, что ваш коммутатор не поддерживает Dynamic VLAN. Это значит, что вам необходимо указать в конфигурации порта все возможные Dynamic VLAN. Для нашего примера с Dynamic VLAN 10 вам потребуется сконфигурировать порт следующим образом:
Interface Ethernet1/0/3 switchport mode hybrid switchport hybrid allowed vlan 1;10 untag mac-authentication-bypass enable
Пример конфигурации аутентификации MAB через RADIUS-сервер в режиме глобальной конфигурации
mac-authentication-bypass enable ! radius-server authentication host 192.168.30.250 key 0 snr aaa enable
Обратите внимание, что для конфигурации Dynamic ACL в FreeRADIUS требуются 3 поля:
- Tunnel-Type
- Tunnel-Medium-Type
- Tunnel-Private-Group-ID
Для конфигурации DACL требуются 2 поля:
- 2x NAS-Filter-Rule
Конфигурация FreeRADIUS для пользователя с MAC-адресом FC-3F-DB-5E-C0-CC
fc-3f-db-5e-c0-cc Cleartext-Password := "fc-3f-db-5e-c0-cc"
NAS-Filter-Rule = "access-list 1 permit host-source 192.168.1.1",
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-ID = "10",
NAS-Filter-Rule = "ip access-group 1 in"
Результат аутентификации MAB-клиента:
В конфигурации появился ACL, переданный в сообщениях RADIUS
access-list 1 permit host-source 192.168.1.1
В выводе ниже вы можете увидеть, что коммутатор поместил MAB-клиента с MAC-адресом FC-3F-DB-5E-C0-CC во VLAN 10
Вывод информации об аутентифицированных MAB-клиентах
SNR-S2982G-24TE#show mac-authentication-bypass The Number of all binding is 1 MAC Interface Vlan ID State ---------------------------------------------------------------------------------------------------------- fc-3f-db-5e-c0-cc Ethernet1/0/3 10 MAB_AUTHENTICATED
А также обратите внимание на вывод итоговой конфигурации порта ниже:
- коммутатор динамически добавил в конфигурацию клиентского порта VLAN 10
- коммутатор динамически применил ACL 1 на клиентский порт в направлении IN
Конфигурация порта после аутентификации
Interface Ethernet1/0/3 switchport mode hybrid switchport hybrid allowed vlan 1;10 untag ip access-group 1 in mac-authentication-bypass enable mac-authentication-bypass dynamic-vlan allowed-vlans configuring-on-port not-required
Case #2 (RADIUS-сервер создаёт DACL с несколькими правилами и предоставляет Dynamic VLAN)
Описание условий:
- MAB-клиент подключается к порту коммутатора SNR-S2982G-24TE
- Клиент должен быть помещён в Dynamic VLAN, предоставленный от RADIUS-сервера
- На порт клиента должен быть применён Dynamic ACL (DACL), состоящий из нескольких правил и описанный в сообщениях от RADIUS-сервера
Конфигурация коммутатора:
Пример конфигурации клиентского порта
Interface Ethernet1/0/3 switchport mode hybrid switchport hybrid allowed vlan 1 untag mac-authentication-bypass enable mac-authentication-bypass dynamic-vlan allowed-vlans configuring-on-port not-required
Не все коммутаторы поддерживают команду "mac-authentication-bypass dynamic-vlan allowed-vlans configuring-on-port not-required". Если её нет, это не значит, что ваш коммутатор не поддерживает Dynamic VLAN. Это значит, что вам необходимо указать в конфигурации порта все возможные Dynamic VLAN. Для нашего примера с Dynamic VLAN 10 вам потребуется сконфигурировать порт следующим образом:
Interface Ethernet1/0/3 switchport mode hybrid switchport hybrid allowed vlan 1;10 untag mac-authentication-bypass enable
Пример конфигурации аутентификации MAB через RADIUS-сервер в режиме глобальной конфигурации
mac-authentication-bypass enable ! radius-server authentication host 192.168.30.250 key 0 snr aaa enable
Обратите внимание, что для конфигурации Dynamic ACL в FreeRADIUS требуются 3 поля:
- Tunnel-Type
- Tunnel-Medium-Type
- Tunnel-Private-Group-ID
Для конфигурации DACL требуются 2 поля:
- 2x NAS-Filter-Rule
Обратите внимание, как именно в конфигурацию RADIUS-сервера добавляются все необходимые правила DACL:
- Все правила указаны в рамках одной опции NAS-Filter-Rule
- Правила разделяются с помощью подстроки " \n " - обязательно с пробелами
Конфигурация FreeRADIUS для пользователя с MAC-адресом FC-3F-DB-5E-C0-CC
fc-3f-db-5e-c0-cc Cleartext-Password := "fc-3f-db-5e-c0-cc"
NAS-Filter-Rule = "access-list 1 permit host-source 192.168.1.1 \n access-list 1 permit host-source 192.168.1.2 \n access-list 1 permit host-source 192.168.1.3",
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-ID = "10",
NAS-Filter-Rule = "ip access-group 1 in"
Результат аутентификации MAB-клиента:
В конфигурации появился ACL, переданный в сообщениях RADIUS
access-list 1 permit host-source 192.168.1.1 access-list 1 permit host-source 192.168.1.2 access-list 1 permit host-source 192.168.1.3
В выводе ниже вы можете увидеть, что коммутатор поместил MAB-клиента с MAC-адресом FC-3F-DB-5E-C0-CC во VLAN 10
Вывод информации об аутентифицированных MAB-клиентах
SNR-S2982G-24TE#show mac-authentication-bypass The Number of all binding is 1 MAC Interface Vlan ID State ---------------------------------------------------------------------------------------------------------- fc-3f-db-5e-c0-cc Ethernet1/0/3 10 MAB_AUTHENTICATED
А также обратите внимание на вывод итоговой конфигурации порта ниже:
- коммутатор динамически добавил в конфигурацию клиентского порта VLAN 10
- коммутатор динамически применил ACL 1 на клиентский порт в направлении IN
Конфигурация порта после аутентификации
Interface Ethernet1/0/3 switchport mode hybrid switchport hybrid allowed vlan 1;10 untag ip access-group 1 in mac-authentication-bypass enable mac-authentication-bypass dynamic-vlan allowed-vlans configuring-on-port not-required