锐捷网络极简X SDN——策略随行方案部署:认证服务器对接配置_N18K及INC相关配置
目录
Ⅰ RG-SAM+联动配置案例
一、SAM配置
Ⅱ 策略随行友商对接
① 深澜服务器
② 华三IMC服务器对接
Ⅲ INC第三方接口对接SAM
Ⅳ N18K及INC相关配置
一、配置步骤概述
二、配置过程详解
三、参数配置及现象查看命令
四、效果查看
Ⅰ RG-SAM+联动配置案例
一、SAM配置
接入控制:
计费策略:
模板套餐:
用户组配置
开户:
缴费:
Ⅱ 策略随行友商对接
① 深澜服务器
1、目前已有与深澜服务器对接成功的案例,部署时18k不需要配置“radius-server group-attribute 25”,使用默认的radius 11号属性即可,因为深澜就是用11号属性传递用户组信息。
② 华三IMC服务器对接
1、部署时18k需要配置radius-server group-attribute 125 ,特别注意是125号属性,因为IMC使用的是125属性来传递用户组信息。18k的版本需要升级至N18000_RGOS11.0(4)B57_CMII_07212604_install.bin版本才支持,或者该版本之后的最新稳定版本。
2、报文示例:radius 报文的accept报文中携带125属性。如下图用户组为admin。
Ⅲ INC第三方接口对接SAM
一、INC第三方接口对接SAM
用于同步SAM的用户组信息到INC上
1、SAM端配置
填写好用户名和密码,用于INC登录SAM。
2、INC配置SAM对接的IP和账号密码
在配置管理页面内,选择SAM连接配置
点击新增按钮,填写相关信息,也就是上一步SAM中创建的相关账号信息
Ⅳ N18K及INC相关配置
一、配置步骤概述
1、INC和SAM规划并配置用户组信息、整网策略随行相关的策略;
2、规划并配置临时IP地址池以及各认证终端组(用户组)的地址池;
3、在SAM+规划配置用户组,用户开户时关联该用户组或者用户使用批量操修改关联到相应的用户组;
4、在N18K等相关设备上配置ACL或者PBR,实现终端的策略随行。
二、配置过程详解
步骤一、N18K上基础认证配置
N18007(config)#radius-server group-attribute 25 【必配】
N18007(config)#snmp-server if-index persist //配置接口索引值固化
N18007(config)#aaa authorization ip-auth-mode mixed //aaa认证ip地址获取模式为混合模式
N18007(config)#ip dhcp snooping arp-detect //开启ip地址快速回收
N18007(config)#ip dhcp snooping check-giaddr //开启DHCP中继兼容
N18007(config)#ip portal source-interface loo0 //与portal服务器通信源为loopback0
N18007(config)#no http redirect port 443 //关闭https重定向
N18007(config)#web-auth dhcp-check //开启web认证防私设
N18007(config)#web-auth station-move auto //开启web认证的认证迁移
N18007(config)#no web-auth station-move arp-detect //关闭认证迁移的arp探测
N18007(config)#web-auth station-move info-update //开启web认证信息更新
N18007(config)#web-auth port key ruijie //web认证portal key为ruijie
N18007(config)#web-auth portal-check interval 3 timeout 3 retransmit 10 //portal逃生检测
N18007(config)#web-auth portal-escape nokick //portal逃生生效时不提在线用户下线
N18007(config)#web-auth radius-escape //radius服务器逃生配置
N18007(config)#web-auth template eportalv2 //web认证模板
N18007(config.tmplt.eportalv2)#ip 172.18.157.133
N18007(config.tmplt.eportalv2)#url http://172.18.157.133/eportal/index.jsp
N18007(config.tmplt.eportalv2)#exi
N18007(config)#aaa accounting update periodic 10 //配置记账更新时间为10min
N18007(config)#aaa accounting update
N18007(config)#aaa accounting network default start-stop group SAM //aaa认证记账列表
N18007(config)#aaa authentication dot1x default group SAM //配置1x认证列表
N18007(config)#aaa authentication web default group SAM //配置web认证记账列表
N18007(config)#no aaa log enable
N18007(config)#ip dhcp server arp-detect //开启dhcp的arp探测,使得地址快速回收
N18007(config)#aaa group server radius SAM //配置aaa认证组SAM
N18007(config-gs-radius)#server 172.18.157.132
N18007(config-gs-radius)#exi
N18007(config)#ip radius source-interface lo0 //radius通信源为loopback0
N18007(config)#radius-server host 172.18.157.132 key ruijie //radius key为ruijie,radius服务器为172.18.157.132
N18007(config)#radius-server host 172.18.157.132 test username ruijie idle-time 2 key ruijie //radius服务器逃生检测
N18007(config)#radius-server dead-criteria time 120 tries 12
N18007(config)#dot1x mac-auth-bypass valid-ip-auth //防1x认证私设地址
N18007(config)#dot1x valid-ip-acct enable
N18007(config)#no dot1x station-move arp-detect
N18007(config)#address-bind ipv6-mode compatible //ipv6地址为兼容模式
N18007(config)#offline-detect interval 6 threshold 0 //无流量下线检测时间为6min
N18007(config)#station-move permit //全局认证迁移的开关开启
N18007(config)#snmp-server host 172.18.157.132 traps ruijie //snmp 的trap信息配置,其服务器为172.18.157.132
N18007(config)#snmp-server host 172.18.157.132 informs version 2c ruijie
步骤二、创建区域、配置设备凭证、配置网络模板、IP地址资源池
【注意】
真实项目部署,需要有个机房区域用来关联核心交换机和业务网。否则会出现业务网关联的接入汇聚达到上限(30个)的情况。原因如下:
1、 业务网关联的区域必须与核心关联的区域一模一样,不能关联到核心的子区域或者父区域。
2、 如果业务网关和核心联到了最顶层的区域,那么接入汇聚设备关联顶级区域的子区域之后,会自动关联进业务网中,而业务网多只能关联30个接入汇聚设备,这时就会出现无法再关联的情况。
3、 需要将业务网和接入汇聚关联进不同的父级区域中,已解决上述问题,例如:业务网和核心设备关联至机房区域,接入汇聚设备关联至教学区域。
策配置IP地址资源池:
该地址池实际上就是整网会使用的地址大段,本案例使用的是:10.0.0.0/8、172.18.0.0/16这两个大段。地址池也有继承的关系,继承的逻辑与设备凭证一样。
注意:
1、如果在配置业务子网的时候提示以下信息:无法根据给定的高级配置参数,从业务网关联的地址池中解析出可用的子网网段,请检查【设计】->【网络设置】->【IP地址池设置】地址池是否满足,那么就是该出配置没有包含我们的子网网段,或者地址资源池不够用了。
2、该地址池,并非DHCP地址池,只是INC为了做地址管理而设定的一个地址资源池,该资源池仅针对INC生效,该操作不会下发任何配置到核心交换机。
3、如果配置了“DHCP服务器”,那么就代表这个地址资源段的IP地址是由网络中其他的DHCP server下发的,所以这种情况,在后续配置业务子网的时候,不会下发DHCP pool给核心交换机,也不会下发dhcp relay的配置给交换机。
策略随行方案使用的是“扁平化网络模板(SuperVlan) ”
步骤三、添加设备
步骤四、业务网、业务子网及地址池创建(注意,控制器不会下发service dhcp,该命令需要手工到交换机上面去开启)
(注意,控制器不会下发service dhcp,该命令需要手工到交换机上面去开启)
注:临时地址池提供给首次入网的终端使用。
(注意,控制器不会下发service dhcp,该命令需要手工到交换机上面去开启)
“部署”虚拟网、业务网、业务子网,只有部署之后,配置才会下发。
点击业务网或业务子网,选择部署
注:配置默认地址池,用于关联用户组,后续为终端分配相应地址池中的地址。
步骤五、开启策略随行
【策略】->【入网策略】->【认证策略】,在业务网下开启策略随行功能,开启策略随行之后,才能进行终端组(用户组)的管理
步骤六、创建用户组信息
【注意】选择子网之后,需要再点一次“+”,如下图,空一格出来,然后点击确定,这样用户组的信息才会下发到交换机。
注意:INC与SAM+上面创建的认证终端组与用户组名称要完全一致,中英文,大小写
三、参数配置及现象查看命令
一、18K上一些重要配置详解
radius-server group-attribute 25 【必配】
//【必配】通过该命令设备端解析获取到SAM+或者SMP服务器的radius accept响应报文里25号属性的用户组信息
user-group mac-aging
//【选配】CMII管理引擎最多只能记录16w的终端绑定用户组信息记录,一旦超过16w认证新终端无法获取用户组信息,配置该命令设备每天凌晨2点检查用户组认证MAC容量是否达到16w的80%水线,如果超过,则检查用户组认证MAC是否有超过100天未登陆的,将其删除
user-group mac-aging timeout 90
//【选配】终端绑定用户组信息回收时间为100天,该命令可以调整回收时间
user-group database enable
//【选配】终端用户组信息写FLASH文件(设备默认已经开启该功能)
user-group database update-now
//【选配】终端用户组信息即刻写FLASH文件,隐藏命令
user-group groupname
mac x.x.x ip x.x.x.x
//【选配】设备cli配置用户组下绑定mac+ip,mac固定分配该IP地址永久保持IP不变
四、效果查看
(注意,控制器不会下发service dhcp,该命令需要手工到交换机上面去开启)
1、认证前查看终端可以看到终端获取到了临时地址池中的地址;
2、认证过后终端在临时地址的租约到期获取到相应用户组的IP地址后,终端因IP地址发生改变被强制下线;
3、用户更换区域,再次接入网络,获取到的IP地址仍然为相应用户组地址段的IP地址。
4、一些查看命令范例如下:
N18K#show run | in user-group //查看是否下发user-group配置
user-group 学生XS
user-group老师LS
user-group 管理员GLY
N18K#show user-group authentication //查看所有通过认证获取的用户组信息
time-list-cnt: 33
NO.1 mac b863.4d46.262c in user-group 学生XS
NO.2 mac ac22.0b19.12a3 in user-group老师LS
NO.3 mac 000c.2950.c489 in user-group 管理员GLY
N18K#show user-group summary //查看用户组信息总体情况
Total 7 user-groups record in system.
Total 38 user-group users record in system.
----------------------------------------------------------------------------
user numberssource user-group name
----------------------------------------------------------------------------
3Authentication 学生XS
5Configured 测试
1 Authentication 老师LS
7 Authentication 管理员GLY
5ConfiguredRG-ONC-PERMIT-GROUP
N18K#show user-group mac cc20.e8d4.5e3a //通过过滤mac查看用户组信息
mac cc20.e8d4.5e3a in user-group 学生XS
N18K#clear user-group mac cc20.e8d4.5e3a //清除通过认证获取的用户组信息
N18K#show run | in dhcp pool
ip dhcp pool RG-ONC-IPPOOL-10.21.0.0-255.255.0.0//名称自动生成
solidify//终端组地址池,带solidify属性
user-group 管理员GLY//终端组名称自定义
lease 0 1 0
network 10.21.0.0 255.255.0.0
dns-server 192.168.58.110 218.85.157.99
default-router 10.21.0.1
user-group 管理员GLY//生成终端组名称
N18K#show ip dhcp binding //查看分配的地址租约,solidify代表终端组属性
IP address Hardware address Lease expiration Type
10.51.0.6 704d.7b3d.edad 000 days 00 hours 00 mins Automatic
10.21.0.3 000c.2966.8888 000 days 03 hours 55 mins Solidify
N18K#show ip dhcp user-group //查看所有的终端组与MAC的绑定关系
NO.1 1475.90f9.42bd in user-group RG-ONC-PERMIT-GROUP
NO.3 000c.2966.8888 in user-group 管理员GLY
N18K#show ip dhcp user-group summary//查看终端组地址池的IP分配数
Total number of user group: 4
Total number of user : 26
user-num group-name
---------- ------------------------
4 学生XS
10 老师LS
5 RG-ONC-PERMIT-GROUP
7 管理员GLY