華為交換機與Cisco ISE服務器對接教程 _華為

你還在為不知道華為交換機與Cisco ISE服務器對接方法而煩惱么?接下來是小編為大家收集的華為交換機與Cisco ISE服務器對接教程，希望能幫到大家。
華為交換機與Cisco ISE服務器對接教程方法【華為交換機與Cisco ISE服務器對接教程】本案例以授權ACL和動態VLAN為例，簡單介紹如何通過Cisco Identity Services Engine(ISE)服務器實現為終端用戶授權。
l 授權ACL分為兩類：
− ACL描述信息：服務器上配置了ACL描述信息授權功能，則授權信息中含有ACL的描述信息。設備端根據服務器授權的ACL描述信息匹配上相應的ACL規則，對用戶權限進行控制。其中設備上需要配置ACL編號、對應的描述信息和ACL規則。
使用RADIUS標準屬性：(011)Filter-Id 。
− 動態ACL：服務器向設備授權該ACL中的規則，用戶能夠訪問ACL所包括的網絡資源，ACL及ACL規則需要在服務器上配置。設備上不需要配置對應的ACL 。
使用華為RADIUS私有屬性：(26-82)HW-Data-Filter 。
l 動態VLAN：服務器上配置了動態VLAN下發功能，則授權信息中含有下發的VLAN屬性，設備端在接收到下發的VLAN屬性后，會將用戶所屬的VLAN修改為下發VLAN 。動態VLAN可以通過VLAN ID和VLAN的描述信息下發。
授權下發的VLAN并不改變接口的配置，也不影響接口的配置。但是，授權下發的VLAN的優先級高于用戶配置的VLAN，即通過認證后起作用的VLAN是授權下發的VLAN，用戶配置的VLAN在用戶下線后生效。
動態VLAN下發，使用了以下RADIUS標準屬性：
− (064)Tunnel-Type(必須指定為VLAN，或數值13)
− (065)Tunnel-Medium-Type(必須指定為802，或數值6)
− (081)Tunnel-Private-Group-ID(可以是VLAN ID或VLAN名稱)
要通過RADIUS服務器正確下發VLAN屬性，以上三個屬性必須同時使用，而且Tunnel-Type及Tunnel-Medium-Type兩個屬性的值必須是指定的值。
配置注意事項
本例中Cisco ISE服務器的版本為1.4.0.253 。
Cisco ISE服務器作為RADIUS服務器與設備對接實現授權時，需要注意以下事項：
l 支持通過RADIUS標準屬性和華為RADIUS私有屬性實現授權，不支持通過Cisco私有屬性授權。使用華為私有屬性授權時，需要在Cisco ISE服務器上手動添加私有屬性值。
l 通過ACL描述信息授權ACL時，在Cisco ISE服務器勾選Filter-ID、添加描述信息abc后，屬性下發時會自動攜帶.in后綴;若想授權成功，設備需要將該ACL的描述信息配置為abc.in 。
l 動態ACL授權使用的是華為私有屬性HW-Data-Filter授權，不支持通過Cisco私有屬性授權。
l 在Cisco ISE服務器上添加華為私有屬性HW-Data-Filter后，在授權模板中既存在Filter-ID又存在HW-Data-Filter時，只能下發Filter-ID，不能下發HW-Data-Filter 。
l 通過ACL描述信息授權ACL時，由于Cisco ISE服務器支持配置的描述信息長度最大為252個字節、設備支持配置的描述信息長度最大為127個字節，所以兩端配置的描述信息不能超過127個字節。
l 通過VLAN描述信息授權動態VLAN時，由于Cisco ISE服務器支持配置的描述信息長度最大為32個字節、設備支持配置的描述信息長度最大為80個字節，所以兩端配置的描述信息不能超過32個字節。
組網需求
如圖3-10所示，某公司內部大量員工終端通過SwitchA上的接口GE1/0/1接入網絡。為確保網絡的安全性，管理員需對終端的網絡訪問權限進行控制，要求如下：
l 終端認證成功前能夠訪問公共服務器(IP地址為192.168.40.1)，執行下載802.1x客戶端或更新病毒庫的操作。
l 終端認證成功后能夠訪問業務服務器(IP地址為192.168.50.1)和實驗室內的設備(所屬VLAN號為20，IP地址段為192.168.20.10–192.168.20.100) 。
有線接入組網圖

文章插圖
數據準備
接入交換機業務數據規劃
項目
數據
RADIUS方案
l 認證服務器IP地址：192.168.30.1
l 認證服務器端口號：1812
l 計費服務器IP地址：192.168.30.1
l 計費服務器端口號：1813
l RADIUS服務器共享密鑰：Huawei@123
l 認證域：huawei