如何进行ACS验证和MAC地址绑定

如何进行ACS验证和MAC地址绑定，很多新手对此不是很清楚，为了帮助大家解决这个难题，下面小编将为大家详细讲解，有这方面需求的人可以来学习下，希望你能有所收获。

前言

<一>应用ACS验证方案：

拓扑图

设备要求：

交换机quidway 2403H-HI 1台

防火墙H3C F100-C 1台

主机 4台

DHCP Server（CentOS6.4系统）

AAA Server（win server2003系统）

实验所需软件：

jdk-7-windows-i586

acs4.0-build-24

H3C_8021XClient

地址规划:

eth0/0 1.1.1.2/24

eth0/0.1 192.168.10.1/24 vlan10

eth0/0.2 192.168.20.1/24 vlan20

eth0/0.3 192.168.30.1/24 vlan30

DHCP Server 192.168.30.100/24

AAA Server 192.168.30.200/24

PC1 192.168.10.100/24

PC2 192.168.20.100/24

具体配置步骤：

DHCP server配置

将以下内容添加至/etc/dhcp/dhcpd.conf中即可。

option domain-name-servers 222.88.88.88, 222.85.85.85;

default-lease-time 600;

max-lease-time 7200;

log-facility local7;

subnet 192.168.30.0 netmask 255.255.255.0 {

}

subnet 192.168.10.0 netmask 255.255.255.0 {

range 192.168.10.2 192.168.10.254;

option routers 192.168.10.1;

option domain-name "tec.com";

}

subnet 192.168.20.0 netmask 255.255.255.0 {

range 192.168.20.2 192.168.20.254;

option routers 192.168.20.1;

option domain-name "mkt.com";

}

FW-1配置：

system-view

System View: return to User View with Ctrl+Z.

[FW-1]int eth0/0

[FW-1-Ethernet0/0]ip add 1.1.1.2 24

[FW-1-Ethernet0/0]quit

[FW-1]int eth0/0.1

[FW-1-Ethernet0/0.1]vlan-type dot1q vid 10

[FW-1-Ethernet0/0.1]ip add 192.168.10.1 24

[FW-1-Ethernet0/0.1]int eth0/0.2

[FW-1-Ethernet0/0.2]vlan-type dot1q vid 20

[FW-1-Ethernet0/0.2]ip add 192.168.20.1 24

[FW-1-Ethernet0/0.2]int eth0/0.3

[FW-1-Ethernet0/0.3]vlan-type dot1q vid 30

[FW-1-Ethernet0/0.3]ip add 192.168.30.1 24

[FW-1-Ethernet0/0.3]quit

[FW-1]firewall zone trust

[FW-1-zone-trust]add int eth0/0

[FW-1-zone-trust]add int eth0/0.1

[FW-1-zone-trust]add int eth0/0.2

[FW-1-zone-trust]add int eth0/0.3

[FW-1-zone-trust]quit

[FW-1]undo insulate

[FW-1]dhcp enable

DHCP task has already been started!

[FW-1]dhcp select relay interface eth0/0.1 to eth0/0.2

[FW-1]int eth0/0.1

[FW-1-Ethernet0/0.1]ip relay add 192.168.30.100

[FW-1-Ethernet0/0.1]int eth0/0.2

[FW-1-Ethernet0/0.2]ip relay add 192.168.30.100

[FW-1]radius scheme abc

New Radius scheme

[FW-1-radius-abc]primary authentication 192.168.30.200

[FW-1-radius-abc]key authentication 123456

[FW-1-radius-abc]server-type extended

[FW-1-radius-abc]user-name-format without-domain

[FW-1-radius-abc]accounting optional

[FW-1-radius-abc]quit

[FW-1]domain tyedu.com

New Domain added.

[FW-1-isp-tyedu.com]radius-scheme abc

[FW-1-isp-tyedu.com]accounting optional

[FW-1-isp-tyedu.com]access-limit enable 100

SW1配置：

[Quidway]sysname SW1

[SW1]int vlan 1

[SW1-Vlan-interface1]ip add 1.1.1.1 24

[SW1-Vlan-interface1]quit

[SW1]ip route-static 0.0.0.0 0.0.0.0 1.1.1.2

[SW1]vlan 10

[SW1-vlan10]port e1/0/10

[SW1-vlan10]vlan 20

[SW1-vlan20]port e1/0/20

[SW1-vlan20]vlan 30

[SW1-vlan30]port e1/0/23 e1/0/24

[SW1-vlan30]quit

[SW1]int e1/0/22

[SW1-Ethernet1/0/22]port link-type trunk

[SW1-Ethernet1/0/22]port trunk permit vlan all

[SW1-Ethernet1/0/22]dis vlan

Now, the following VLAN exist(s):

1(default), 10, 20, 30

[SW1]dot1x

802.1X is enabled globally.

[SW1]int e1/0/10

[SW1-Ethernet1/0/10]dot1x

802.1X is enabled on port Ethernet1/0/10.

[SW1-Ethernet1/0/10]quit

[SW1]int e1/0/20

[SW1-Ethernet1/0/20]dot1x

802.1X is enabled on port Ethernet1/0/20.

[SW1-Ethernet1/0/20]quit

[SW1]radius scheme xxx

New Radius scheme

[SW1-radius-xxx]primary authentication 192.168.30.200

[SW1-radius-xxx]key authentication 123456

[SW1-radius-xxx]server-type huawei

[SW1-radius-xxx]user-name-format without-domain

[SW1-radius-xxx]accounting optional

[SW1-radius-xxx]quit

[SW1]domain tyedu.com

New Domain added.

[SW1-isp-tyedu.com]radius-scheme xxx

[SW1-isp-tyedu.com]accounting optional

[SW1-isp-tyedu.com]access-limit enable 100

在server2003中安装ACS(需要先安装JDK):

添加华为私有属性

将h4c.ini文件拷贝到C盘根目录下。

以下是h4c.ini文本内容(可以直接复制保存为h4c.ini即可)

[User Defined Vendor]

Name=Huawei

IETF Code=2011

VSA 29=hw_Exec_Privilege

[hw_Exec_Privilege]

Type=INTEGER

Profile=IN OUT

Enums=hw_Exec_Privilege-Values

[hw_Exec_Privilege-Values]

0=Access

1=Monitor

2=Manager

3=Administrator

将华为私有属性添加至acs安装目录bin下。

查看，已添加成功。

配置ACS：

配置AAA Server，服务器的key要和客户端的key保持一致。

配置AAA Client-SW1，选择华为私有属性。

配置AAA Client-FW-1，选择华为私有属性。

查看配置。

添加两个账号，test1用于验证主机(属于Default Group),test2用于验证设备(属于Group 1)。

在测试主机中安装H3C_8021XClient,登录测试。

vlan 10(技术部)PC1测试结果。

vlan 20(市场部)PC2测试结果。

要求测试主机能telnet设备，并且账号要经过ACS验证(拥有超级管理员权限)。

首先在Network Configuration→RADIUS(Huawei)中应用华为私有属性。

如果测试主机想要telnet远程管理设备（SW1和FW-1),必须进入组中把telnet打开，并且应用华为私有属性。

打开telnet

应用华为私有属性，并选择管理员权限。

telnet SW1，使用test2账号登录，测试成功，并且具有超级管理员权限。

telnet FW-1(telnet 1.1.1.2也可进入)，使用test2账号登录，测试成功，并且具有超级管理员权限。

<二>应用MAC地址验证方案：

具体配置步骤：

[SW1]mac-authentication

MAC-authentication is enabled globally.

[SW1]mac-authentication authmode usernameasmacaddress usernameformat without-hyphen

[SW1]int e1/0/20

[SW1-Ethernet1/0/20]mac-authentication

MAC-authentication is enabled on port Ethernet1/0/20

[SW1-Ethernet1/0/20]int e1/0/10

[SW1-Ethernet1/0/10]mac-authentication

MAC-authentication is enabled on port Ethernet1/0/10

[SW1-Ethernet1/0/10]quit

[SW1]dis mac-authentication int e1/0/20

Ethernet1/0/20 is link-up

MAC address authentication is Enabled

Authenticate success: 1, failed: 0

Current online user number is 1

MAC ADDR Authenticate state AuthIndex

001c-2596-2e0e MAC_AUTHENTICATOR_SUCCESS 21

在ACS中添加测试主机的MAC地址，作为账号和密码。

测试主机结果：

看完上述内容是否对您有帮助呢？如果还想对相关知识有进一步的了解或阅读更多相关文章，请关注行业资讯频道，感谢您对的支持。