MA5200和 CAMS配合8021X认证指导书.docx
《MA5200和 CAMS配合8021X认证指导书.docx》由会员分享,可在线阅读,更多相关《MA5200和 CAMS配合8021X认证指导书.docx(23页珍藏版)》请在冰豆网上搜索。
MA5200和CAMS配合8021X认证指导书
目录
1CAMS概述2
2MA5200F概述2
3802.1X认证3
3..1802.1X认证流程3
3..2试验组网4
3..3设备配置5
3..3.1创建DOT1X模板5
3..3.2配置地址池5
3..3.3配置认证方案6
3..3.4配置计费方案6
3..3.5配置Radius服务器6
3..3.6配置域7
3..3.7域内绑定DOT1X模板7
3..3.8配置上行接口8
3..3.9配置下行端口8
3..3.10配置默认路由9
3..3.11配置显示9
3..4CAMSServer配置14
3..5登陆测试16
1CAMS概述
随着网络的发展,网络应用日益广泛,VOD(VideoOnDemand)、VPN(VirtualPrivateNetwork)和数字电视会议等新业务的不断推出,对原有的业务管理系统提出了新的挑战。
为了适应这种需求,华为公司推出了综合访问管理服务器(ComprehensiveAccessManagementServer,CAMS),配合设备组网,提供全网解决方案。
CAMS是一种低成本、可扩展的综合访问管理服务器,能支持不同网络设备的认证、授权、计费及运营管理需求。
作为网络中的业务管理核心,CAMS支持与MA5200F、路由器、LAN接入设备等网络产品共同组网,完成终端用户的认证、授权、计费和权限管理,实现网络的可管理、可运营,保证网络和用户信息的安全。
2MA5200F概述
SmartAXMA5200F宽带智能接入服务器(以下简称MA5200F)是华为技术有限公司(以下简称华为公司)针对以太网接入技术固有的用户管理能力弱、业务控制能力差、网络安全无法保障等弱点而推出的新一代IP(InternetProtocol)接入服务器产品。
MA5200F适用于以太网、xDSL(xDigitalSubscriberLine)、HFC(HybridFiberCoaxial)、WLAN(WirelessLocalAreaNetwork)等接入类型的网络,提供用户管理、计费控制、地址管理、业务控制、安全管理等功能。
MA5200F具备电信级的可靠性,可以广泛的应用于运营商宽带城域网、企业网、校园网、政务网以及智能化酒店等运营或非运营网络,满足不同网络对用户管理和高安全性的要求。
MA5200F是一款功能强大的宽带智能接入服务器,同时也是一款高性能的路由器。
MA5200F采用高速交换平台技术,其大容量的交换网、模块化的设计能够满足运营商对于接入设备高可靠性、多业务、可扩展性和多种接口的需求。
MA5200F支持PPPoE认证、Web认证、绑定认证、快速认证、802.1X认证、不认证等多种用户认证方式。
对应不同的用户可以选择不同的认证方式。
MA5200F与CAMS系统配合,提供灵活多样的用户认证、管理和计费功能,实现了华为-3com提出的可管理、可运营网络解决方案。
3802.1X认证
3.1.1802.1X认证流程
用户PC通过EAPoL协议把用户名和口令送到MA5200F上,EAP在MA5200F上终结,随后,MA5200F把用户名和口令通过Radius协议送到CAMS来认证。
详细认证流程见下面的流程图:
3.1.2试验组网
3.1.3设备配置
3.1.3.1创建DOT1X模板
在进行802.1X业务配置的时候引入了DOT1X模板的概念,将关于802.1X的特性配置统一到了这一个模板之下来进行(包括:
用户协商的超时时间间隔和协商报文的重发次数;用户在上线后是否进行二层握手以及握手的时间间隔和握手超时次数;用户上线后是否进行重认证以及重认证的时间间隔等等)。
之后只需要在相应的域里面去引用该模板就可以了。
利用以下的命令来创建一个802.1X模板:
[MA5200F]dot1x-template1
这里就创建了一个编号为1的802.1X模板,在这个模板里面可以配置关于802.1X的一些协商和认证参数,这里我们采用默认的设置就可以了。
3.1.3.2配置地址池
802.1X认证可以使用用户静态配置IP地址,但是一般都是用动态地址。
(1)创建一个名为huawei的地址池:
[MA5200F]ippoolhuaweilocal
(2)配置地址池的网关以及掩码:
[MA5200F-ip-pool-huawei]gateway34.1.1.1255.255.255.0
(3)配置地址池的地址段:
[MA5200F-ip-pool-huawei]section034.1.1.234.1.1.100
如果MA5200F下面包含多个VLAN,可以设置多个IPPool(MA5200F最多可以设置8个IPPool)。
注意:
如果采用的是外置的地址池的话就按照下面的内容进行配置:
MA5200R007版本在采用外置地址池的情况下也需要在本地配置此地址池,所不同的在建立地址池的时候需要将地址池的属性设置为remote,而且地址池中只需要指定gateway(这里的主要作用就是生成一条用户网关的路由),而不需要配置地址段section。
同时还需要建立一个DHCPSERVER组,在这个组里面指定外置DHCPSERVER的地址(注意,这里的DHCPSERVER的ip地址并不是地址池中的gateway)
(1)建立外置一个名为remotedhcp的DHCPSERVER组
[MA5200F]dhcp-servergroupremotedhcp
(2)设置此DHCPSERVER组:
这里主要是指定此DHCPSERVER组所指向的DHCPSERVER的IP地址。
[MA5200F-dhcp-server-group-remotedhcp]dhcp-server192.168.1.3
//CAMS也提供DHCP组件
(3)创建一个远端地址池:
[MA5200F]ippoolhuaweiremoteremote
(4)指定地址池的gateway以及绑定DHCPSERVER组:
[MA5200F-ip-pool-huaweiremote]gateway34.1.1.1255.255.255.0
[MA5200F-ip-pool-huaweiremote]dhcp-servergroupremotedhcp
3.1.3.3配置认证方案
(1)进入AAA视图
[MA5200F]aaa
(2)添加一个新的认证方案Auth1
[MA5200F-aaa]authentication-schemeAuth1
这样接下来就进入了相应的认证方案视图。
(3)设置认证方案:
我们已经创建了一个新的认证方案Auth1,接下来我们将定义这个认证方案的具体内容。
[MA5200F-aaa-authen-auth1]authentication-moderadius
3.1.3.4配置计费方案
(1)进入AAA视图:
[MA5200F]aaa
(2)添加一个新的计费方案Acct1:
[MA5200F-aaa]accounting-schemeAcct1
(3)设置计费方案:
[MA5200F-aaa-accounting-acct1]accounting-moderadius
3.1.3.5配置Radius服务器
我们既然采用了radius的认证和计费方式,那么我们就需要在5200上面配置有关radius服务器的参数,这些参数包括了:
服务器的地址、计费和认证端口、密钥等等。
(1)进入radius服务器配置视图:
[MA5200F]radius-servergroupradius1
其中的“radius1”是5200上面radius配置项的名字,长度不能超过32个字符。
(2)配置主备用radius服务地址和端口号:
配置主用radius服务器地址和端口号
[MA5200F-radius-radius1]radius-serverauthentication192.168.1.31812
(3)配置主备用计费服务地址和端口号:
配置主用计费服务器地址和端口号
[MA5200F-radius-radius1]radius-serveraccounting192.168.1.31813
(4)配置共享密钥:
共享密钥是5200和radius之间进行报文加密交互的重要参数,两端一定要设置的一致,因此在设置共享密钥之前需要和radius方面进行协商,这里我们假定共享密钥是cams。
[MA5200F-radius-radius1]radius-serverkeycams
(5)配置服务类型:
[MA5200F-radius-radius1]radius-servertypestandard
(5)配置MA不送domain给radius:
[MA5200F-radius-radius1]undoradius-serveruser-namedomain-included
3.1.3.6配置域
(1)进入AAA视图:
[MA5200F]aaa
(2)新建一个名为isp的域:
[MA5200F-aaa]domainisp
接下来便进入了相应的域的配置视图。
(3)指定该域的认证方案和计费方案:
[MA5200F-aaa-domain-isp]authentication-schemeAuth1
[MA5200F-aaa-domain-isp]accounting-schemeAcct1
这里我们将该域的认证方案和计费方案设置为了先前定义好的两个方案Auth1和Acct1,分别是radius认证和radius计费。
(4)指定该域所使用的raidus服务器
[MA5200F-aaa-domain-isp]radius-servergroupradius1
这里我们就将先前配置的radius服务器radius1指定为了此isp域所使用的radius服务器。
这样属于isp域的用户都将到这样的一个radius服务器上进行认证
(5)接下来我们需要指定域下面使用的地址池:
[MA5200F-aaa-domain-isp]ip-poolHuawei
(6)配置域下面的用户的802.1X报文的终结方式:
[MA5200F-aaa-domain-isp]eap-endchap
这样就指定了该域下对用户的802.1X报文采用终结方式和chap认证。
这样的配置就使得用户的802.1X认证报文在5200上面进行了终结,而不是透传到远端的认证服务器上面去
3.1.3.7域内绑定DOT1X模板
我们需要在域内绑定事先配置好的DOT1X模板,这样该域的用户就使用了模板里所配置的DOT1X属性:
[MA5200F-aaa-domain-isp]dot1x-template1
3.1.3.8配置上行接口
配置上行接口的目的是为了和上层的路由器或者交换机相连接,在配置上行接口的时候我们首先要将需要配置的接口指定为“非管理类型”。
(1) 进入端口VLAN的配置视图:
[MA5200F]portvlanethernet2vlan01
上行端口配置的vlan只能有一个,类比三层交换机的上行internetvlan接口也是一个VLAN。
(2)设置端口VLAN的接入类型为非管理类型:
[MA5200F-ethernet-2-vlan0-0]access-typeinterface
在access-type后面有多个选项,其中的interface是指的非管理类型的端口,用于连接上层交换机。
(3) 创建VLAN子接口:
[MA5200F]interfaceEthernet2.0
注意:
eth2.0表示从Port2上行的VLAN没有tag,此处VLAN与Port2上的VLAN必须一致。
eth2.0连接路由器的Eth或PC;eth2.1-4094用来连接三层交换机。
这里需要说明一下,创建上行接口的步骤是先将一个端口上的某一个VLAN指定为“非管理类型”,然后再在这个端口上创建此VLAN的子接口。
这里多了一个概念就是“VLAN子接口”。
这样,一个物理端口上就可以创建多个逻辑的VLAN子接口,每个子接口可以配置不同的ip地址。
这样报文在上行的时候就可以根据需要走不同的ip上行,并且带上相应的VLANID,三层交换机(或者二层交换机)就可以根据这样的VLANID对用户的报文进行不同路径的转发了。
增强了转发的灵活性。
如果这里的VLAN子接口设置为0的话就是不带VLANID上去。
(4)在VLAN子接口下配置ip地址:
[MA5200F-Ethernet2.0]ipaddress192.168.1.1255.255.255.0
3.1.3.9配置下行端口
配置下行端口的目的是指定某个端口下的某些指定的VLAN用户认证前后所使用的域,所采用的认证方法。
(1) 进入端口VLAN的配置视图:
[MA5200F]portvlanethernet6vlan110
这里的含义是进入了6号以太网端口的从1开始总共10个VLANID的配置视图。
(2) 设置该端口VLAN为二层普通用户接入类型:
[MA5200F-ethernet-6-vlan1-10]access-typelayer2-subscriber
在access-type后面有多个选项,其中的layer-subscriber是指的普通的二层认证类型的端口,一般用于接入VLAN用户。
(3) 配置用户所使用的域:
[MA5200F-ethernet-6-vlan1-10]default-domainauthenticationisp
指定VLAN1到VLAN10的用户认证时缺省使用isp域,这样可以不用输入域名就可以认证通过。
这里只配置了认证时的域为isp,对于认证前的域系统在默认的情况下使用default0这个域,所以可以不用配置。
(4) 配置端口的认证方法:
[MA5200F-ethernet-6-vlan1-10]authentication-methoddot1x//指定认证方式
这里和前面的绑定认证所不同的是将端口的认证方法指定为了802.1X,这样从6号以太网端口上来的VLANID为1-10的用户就是采用的802.1X认证的方式。
3.1.3.10配置默认路由
对于一般条件的接入业务,5200上面只需要配置一条指向上行路由器端口的默认路由就可以了:
[MA5200F]iproute-static0.0.0.00.0.0.0192.168.1.3
3.1.3.11配置显示
[MA5200F]discur
#
version7120
sysnameMA5200F
#
systemlanguage-modeenglish
#
radius-servergroupradius1
radius-serverkeycams
radius-serverauthentication192.168.1.31812
radius-serveraccounting192.168.1.31813
undoradius-serveruser-namedomain-included
radius-servergrouplogin
#
undotrap-statistics70f2000
undotrap-statistics70f2001
undotrap-statistics70f2002
undotrap-statistics70f2003
undotrap-statistics70f2004
undotrap-statistics70f2005
undotrap-statistics70f2008
undotrap-statistics70f2009
undotrap-statistics70f200c
undotrap-statistics70f200d
undotrap-statistics70f200e
undotrap-statistics70f200f
undotrap-statistics70f2017
undotrap-statistics70f2018
undotrap-statistics70f201c
undotrap-statistics70f201d
undotrap-statistics7032000
undotrap-statistics7032001
undotrap-statistics7032002
#
interfaceEthernet1
#
interfaceEthernet2
#
interfaceEthernet2.0
ipaddress192.168.1.1255.255.255.0
#
interfaceEthernet3
#
interfaceEthernet4
#
interfaceEthernet5
#
interfaceEthernet6
#
interfaceEthernet7
#
interfaceEthernet8
#
interfaceEthernet9
#
interfaceEthernet10
#
interfaceEthernet11
#
interfaceEthernet12
#
interfaceEthernet13
#
interfaceEthernet14
#
interfaceEthernet15
#
interfaceEthernet16
#
interfaceEthernet17
#
interfaceEthernet18
#
interfaceEthernet19
#
interfaceEthernet20
#
interfaceEthernet21
#
interfaceEthernet22
#
interfaceEthernet23
#
interfaceEthernet24
#
interfaceNULL0
#
interfaceLoopBack0
#
interfaceNm-Ethernet0
#
ippoolhuaweilocal
gateway34.1.1.1255.255.255.0
section034.1.1.234.1.1.100
#
dot1x-template1
#
aaa
authentication-schemeauth1
accounting-schemeacct1
domainisp
accounting-schemeacct1
radius-servergroupradius1
eap-endchap
ip-poolhuawei
dot1x-template1
#
local-aaa-server
#
iproute-static0.0.0.00.0.0.0192.168.1.3
#
user-interfacecon0
user-interfacevty04
#
portvlanethernet2vlan01
access-typeinterface
portvlanethernet6vlan110
access-typelayer2-subscriber
default-domainauthenticationisp
authentication-methoddot1x
#
return
[MA5200F]
[Quidway]discur
#
sysnameQuidway
#
radiusschemesystem
server-typehuawei
primaryauthentication127.0.0.11645
primaryaccounting127.0.0.11646
user-name-formatwithout-domain
domainsystem
radius-schemesystem
access-limitdisable
stateactive
idle-cutdisable
domaindefaultenablesystem
#
local-servernas-ip127.0.0.1keyhuawei
#
interfaceAux0/0
#
vlan1
#
vlan2
#
interfaceEthernet0/1
portlink-typetrunk
porttrunkpermitvlanall
#
interfaceEthernet0/2
#
interfaceEthernet0/3
#
interfaceEthernet0/4
#
interfaceEthernet0/5
#
interfaceEthernet0/6
#
interfaceEthernet0/7
#
interfaceEthernet0/8
#
interfaceEthernet0/9
#
interfaceEthernet0/10
#
interfaceEthernet0/11
#
interfaceEthernet0/12
#
interfaceEthernet0/13
#
interfaceEthernet0/14
#
interfaceEthernet0/15
#
interfaceEthernet0/16
#
interfaceEthernet0/17
portaccessvlan2
#
interfaceEthernet0/18
portaccessvlan2
#
interfaceEthernet0/19
#
interfaceEthernet0/20
#
interfaceEthernet0/21
#
interfaceEthernet0/22
#
interfaceEthernet0/23
#
interfaceEthernet0/24
#
interfaceNULL0
#
user-interfaceaux0
user-interfacevty04
#
return
[Quidway]
3.1.4CAMSServer配置
CAMS系统由平台和多个业务组件构成。
如果没有安装任何业务组件,则CAMS平台本身无法进行任何与业务相关的管理操作。
因此,安装CAMS平台后,必须继续安装相应