Перейти к основному содержимому

Пример настройки MAB-аутентификации с применением Dynamic ACL (DACL) и Dynamic VLAN через FreeRADIUS

Case #1 (RADIUS-сервер создаёт DACL с одним правилом и предоставляет Dynamic VLAN)

Описание условий:

  • MAB-клиент подключается к порту коммутатора SNR-S2982G-24TE
  • Клиент должен быть помещён в Dynamic VLAN, предоставленный от RADIUS-сервера
  • На порт клиента должен быть применён Dynamic ACL (DACL), состоящий из одного правила и описанный в сообщениях от RADIUS-сервера

Конфигурация коммутатора:

Пример конфигурации клиентского порта

Interface Ethernet1/0/3
 switchport mode hybrid
 switchport hybrid allowed vlan 1 untag
 mac-authentication-bypass enable
 mac-authentication-bypass dynamic-vlan allowed-vlans configuring-on-port not-required
предупреждение

Не все коммутаторы поддерживают команду "mac-authentication-bypass dynamic-vlan allowed-vlans configuring-on-port not-required". Если её нет, это не значит, что ваш коммутатор не поддерживает Dynamic VLAN. Это значит, что вам необходимо указать в конфигурации порта все возможные Dynamic VLAN. Для нашего примера с Dynamic VLAN 10 вам потребуется сконфигурировать порт следующим образом:

Interface Ethernet1/0/3
 switchport mode hybrid
 switchport hybrid allowed vlan 1;10 untag
 mac-authentication-bypass enable

Пример конфигурации аутентификации MAB через RADIUS-сервер в режиме глобальной конфигурации

mac-authentication-bypass enable
!
radius-server authentication host 192.168.30.250 key 0 snr
aaa enable
подсказка

Обратите внимание, что для конфигурации Dynamic ACL в FreeRADIUS требуются 3 поля:

  • Tunnel-Type
  • Tunnel-Medium-Type
  • Tunnel-Private-Group-ID

Для конфигурации DACL требуются 2 поля:

  • 2x NAS-Filter-Rule

Конфигурация FreeRADIUS для пользователя с MAC-адресом FC-3F-DB-5E-C0-CC

fc-3f-db-5e-c0-cc Cleartext-Password := "fc-3f-db-5e-c0-cc"
       NAS-Filter-Rule = "access-list 1 permit host-source 192.168.1.1",
       Tunnel-Type = 13,
       Tunnel-Medium-Type = 6,
       Tunnel-Private-Group-ID = "10",
       NAS-Filter-Rule = "ip access-group 1 in"

Результат аутентификации MAB-клиента:

В конфигурации появился ACL, переданный в сообщениях RADIUS

access-list 1 permit host-source 192.168.1.1
примечание

В выводе ниже вы можете увидеть, что коммутатор поместил MAB-клиента с MAC-адресом FC-3F-DB-5E-C0-CC во VLAN 10

Вывод информации об аутентифицированных MAB-клиентах

SNR-S2982G-24TE#show mac-authentication-bypass
 The Number of all binding is 1
MAC                  Interface       Vlan ID    State
----------------------------------------------------------------------------------------------------------
fc-3f-db-5e-c0-cc    Ethernet1/0/3   10         MAB_AUTHENTICATED
примечание

А также обратите внимание на вывод итоговой конфигурации порта ниже:

  • коммутатор динамически добавил в конфигурацию клиентского порта VLAN 10
  • коммутатор динамически применил ACL 1 на клиентский порт в направлении IN

Конфигурация порта после аутентификации

Interface Ethernet1/0/3
 switchport mode hybrid
 switchport hybrid allowed vlan 1;10 untag
 ip access-group 1 in
 mac-authentication-bypass enable
 mac-authentication-bypass dynamic-vlan allowed-vlans configuring-on-port not-required

Case #2 (RADIUS-сервер создаёт DACL с несколькими правилами и предоставляет Dynamic VLAN)

Описание условий:

  • MAB-клиент подключается к порту коммутатора SNR-S2982G-24TE
  • Клиент должен быть помещён в Dynamic VLAN, предоставленный от RADIUS-сервера
  • На порт клиента должен быть применён Dynamic ACL (DACL), состоящий из нескольких правил и описанный в сообщениях от RADIUS-сервера

Конфигурация коммутатора:

Пример конфигурации клиентского порта

Interface Ethernet1/0/3
 switchport mode hybrid
 switchport hybrid allowed vlan 1 untag
 mac-authentication-bypass enable
 mac-authentication-bypass dynamic-vlan allowed-vlans configuring-on-port not-required
предупреждение

Не все коммутаторы поддерживают команду "mac-authentication-bypass dynamic-vlan allowed-vlans configuring-on-port not-required". Если её нет, это не значит, что ваш коммутатор не поддерживает Dynamic VLAN. Это значит, что вам необходимо указать в конфигурации порта все возможные Dynamic VLAN. Для нашего примера с Dynamic VLAN 10 вам потребуется сконфигурировать порт следующим образом:

Interface Ethernet1/0/3
 switchport mode hybrid
 switchport hybrid allowed vlan 1;10 untag
 mac-authentication-bypass enable

Пример конфигурации аутентификации MAB через RADIUS-сервер в режиме глобальной конфигурации

mac-authentication-bypass enable
!
radius-server authentication host 192.168.30.250 key 0 snr
aaa enable
подсказка

Обратите внимание, что для конфигурации Dynamic ACL в FreeRADIUS требуются 3 поля:

  • Tunnel-Type
  • Tunnel-Medium-Type
  • Tunnel-Private-Group-ID

Для конфигурации DACL требуются 2 поля:

  • 2x NAS-Filter-Rule

Обратите внимание, как именно в конфигурацию RADIUS-сервера добавляются все необходимые правила DACL:

  • Все правила указаны в рамках одной опции  NAS-Filter-Rule
  • Правила разделяются с помощью подстроки " \n " - обязательно с пробелами

Конфигурация FreeRADIUS для пользователя с MAC-адресом FC-3F-DB-5E-C0-CC

fc-3f-db-5e-c0-cc Cleartext-Password := "fc-3f-db-5e-c0-cc"
       NAS-Filter-Rule = "access-list 1 permit host-source 192.168.1.1 \n access-list 1 permit host-source 192.168.1.2 \n access-list 1 permit host-source 192.168.1.3",
       Tunnel-Type = 13,
       Tunnel-Medium-Type = 6,
       Tunnel-Private-Group-ID = "10",
       NAS-Filter-Rule = "ip access-group 1 in"

Результат аутентификации MAB-клиента:

В конфигурации появился ACL, переданный в сообщениях RADIUS

access-list 1 permit host-source 192.168.1.1
access-list 1 permit host-source 192.168.1.2
access-list 1 permit host-source 192.168.1.3
примечание

В выводе ниже вы можете увидеть, что коммутатор поместил MAB-клиента с MAC-адресом FC-3F-DB-5E-C0-CC во VLAN 10

Вывод информации об аутентифицированных MAB-клиентах

SNR-S2982G-24TE#show mac-authentication-bypass
 The Number of all binding is 1
MAC                  Interface       Vlan ID    State
----------------------------------------------------------------------------------------------------------
fc-3f-db-5e-c0-cc    Ethernet1/0/3   10         MAB_AUTHENTICATED
примечание

А также обратите внимание на вывод итоговой конфигурации порта ниже:

  • коммутатор динамически добавил в конфигурацию клиентского порта VLAN 10
  • коммутатор динамически применил ACL 1 на клиентский порт в направлении IN

Конфигурация порта после аутентификации

Interface Ethernet1/0/3
 switchport mode hybrid
 switchport hybrid allowed vlan 1;10 untag
 ip access-group 1 in
 mac-authentication-bypass enable
 mac-authentication-bypass dynamic-vlan allowed-vlans configuring-on-port not-required