Просмотреть исходный

Для настройки выдачи named ACL предполагается, что была произведена настройка сетевой связности аутентификатора и NAICE, а также выполнена базовая настройка 802.1x авторизации (см. v1.0_4. Быстрый запуск (Quickstart) ).

Пример настройки приведен для коммутатора Eltex MES серии 23хх.

Настройка MES

Настройка клиентского порта

Предполагается, что коммутатор уже настроен на работу с NAICE ранее.

Требуется на интерфейсе, к которому подключается пользователь, разрешить использовать статический ACL командами:

dot1x host-mode multi-sessions
dot1x port-control force-authorized
dot1x radius-attributes filter-id
dot1x port-control auto

dot1x host-mode multi-sessions - разрешение наличия нескольких сессий на авторизованном порту 802.1Х;
dot1x port-control force-authorized - выключение аутентификации 802.1X на интерфейсе. Порт переходит в авторизованное состояние без аутентификации;
dot1x radius-attributes filter-id - включение проверки подлинности, основанную на ACL.

Как видно в примере выше, перед тем как давать разрешение статической ACL, необходимо переключить режим авторизации в force-authorized, а после назначения - в режим auto.

MES без force-authorized не разрешает назначить filter-id, но тем не менее в таком режиме не работает, и приходится после назначения filter-id переводить порт в auto:

sw1(config-if)#dot1x radius-attributes filter-id 
Dynamic policy assignment can be changed only if the 802.1X mode for port gi1/0/16 is force authorized

Итоговая настройка порта клиента выглядит следующим образом:

interface <порт клиента>
 dot1x host-mode multi-sessions
 dot1x radius-attributes filter-id
 dot1x port-control auto
 switchport access vlan <VLAN сети управления>

Добавление ACL

По протоколу RADIUS возможно выдать только имя ACL, используя стандартный атрибут "Filter-ID". Предварительно ACL с данным именем должна быть настроена на аутентификаторе.

Пример настройки ACL на коммутаторе MES23xx:

ip access-list extended test1
 deny icmp any 8.8.8.8 255.255.255.255 echo-reply 2 ace-priority 30
 permit icmp any any any any ace-priority 40
 permit udp any any any any ace-priority 50
 permit tcp any any any any ace-priority 60
exit

Подробнее о настройке ACL на аутентификаторе можно прочитать в официальной документации на устройство.

Настройка выдачи nACL с использованием RADIUS-атрибутов

Предполагается, что коммутатор уже настроен на работу с NAICE ранее.

1. Редактирование профиля устройства

Для добавления настроек выдачи nACL необходимо перейти в редактирование профиля устройства, нажав на его имя.

Для разрешения настройки выдачи nACL необходимо в разделе Администрирование → Сетевые ресурсы → Профили устройств создать/отредактировать профиль устройства, который планируется использовать:

Eltex Documentation > v1.0_4.3.2 Настройки выдачи nACL > 01_device_profile_permissions_nacl.png

Перейти на вкладку Разрешения:

Настроить ACL - включить возможность выдачи nACL в RADIUS-атрибутах.
Наименование - указать vendor-specific RADIUS-атрибут для выдачи имени ACL в формате строки или оставить атрибут по умолчанию.

После ввода необходимых данных нажать Сохранить.

2. Редактирование профиля авторизации

В разделе Политики → Элементы → Профили авторизации требуется создать/отредактировать требуемый профиль авторизации:

Eltex Documentation > v1.0_4.3.2 Настройки выдачи nACL > 02_auth_profile_nacl.png

Профиль устройства - выбрать ранее добавленный/отредактированный профиль.

Указать настройки Общие задачи:

ACL - включить выдачу имени списка доступа пользователю.
Filter-ID - наименование списка доступа, назначаемое пользователю. Должно совпадать с соответствующим наименованием на сетевом оборудовании, к которому подключается пользователь.

Нажать Сохранить в правом нижнем углу страницы.

3. Редактирование набора политик аутентификации и авторизации

В разделе Политики → Наборы политик перейти в редактирование политики, в которой будет использоваться ранее настроенный профиль авторизации через :

Eltex Documentation > v1.0_4.3.2 Настройки выдачи nACL > 03_policy_set_edit.png

Добавить новое правило для политики авторизации:

Статус - ;
Имя - имя правила;
Условие - любое подходящее условие. В качестве примера приведено условие по локации сетевого устройства;
Профили - выбрать профиль авторизации из предыдущего шага, где был настроен nACL.

После добавления необходимых политик нажать Сохранить в правом нижнем углу страницы.

Просмотр информации о подключенных пользователях

Проводной клиент при подключении, как правило, требует, чтобы возможность использования авторизации 802.1x была включена в настройках его сетевого подключения. Без этого он не попытается пройти авторизацию! Подробнее настройка клиента описана в v1.0_8. Настройка подключения клиента.

После настройки клиентского подключения и попытки авторизации результат авторизации можно будет увидеть в разделе Мониторинг → RADIUS → Пользовательские сессии.

В случае успешной авторизации можно просмотреть вывод информации о пользователе на коммутаторе командой:

sw1#sh dot1x users 
                          MAC               Auth   Auth   Session        VLAN Filter
Port     Username         Address           Method Server Time
-------- ---------------- ----------------- ------ ------ -------------- ---- ------
gi1/0/16 ivan.ivanov      7c:c2:c6:45:d3:46 802.1X Remote 00:00:34            test1

Обратите внимание, что в колонке Filter отображается имя ACL, назначенной пользователю.