Huawei iMaster NCE funkcja NAC (Network Admission Control)
obsługa 802.1x
W krótkim artykule przedstawię konfigurację sieci WLAN z uwierzytelnianiem 802.1x wykonaną przy pomocy systemu zarządzającego Huawei imaster NCE.
Imaster NCE
jest narzędziem chmurowym lub instalowanym lokalnie integrującym funkcje zarządzania i monitorowania urządzeń, ale także systemu NAC (Network Admission Control) oraz kontrolera sieci SDA (Software Defined Access lub SDWAN: Software Defined WAN)
W tym momencie skupimy się na funkcjach NAC.
Konfiguracja NAC: użytkownicy
Oczywiście można stosować różne magazyny danych użytkowników: Microsoft AD , Google, Facebook itp. oraz oczywiście logowanie kontem lokalnym. Dla uproszczenia posłużymy się kontem lokalnym (z uwagi na fakt, że w wersji chmurowej zdaje się nie ma opcji integracji z AD).
Tworzenie użytkownika
Admission -> user management
Klikamy przycisk create i wypełniamy w zasadzie standardowo – jak zwykle nazwa, hasło, grupa itp.
Tworzenie polityk uwierzytelniania
Admission – > authentication and Authorization
System może zawierać wiele polityk, przeglądanych w kolejności od góry do dołu. W przypadku gdy dana próba uwierzytelnieniowa pasuje do konkretnej reguły, to stosowane są jej ustawienia.
Jak wygląda tworzenie reguły i co ona zwiera (dostępne za pomocą przycisku create) pokazano poniżej:
Regułka może być dopasowana po np. SSID z którego przyszło zapytanie lub po pytającym urządzeniu. My stworzymy regułę, która będzie stosowała swoje ustawienia bezwarunkowo w zasadzie dla wszystkich zapytań. Tymi ustawieniami są m.in. magazyn użytkowników, z którego chcemy korzystać oraz zastosowany protokół uwierzytelniania.
Po prawidłowym uwierzytelnieniu aplikowana jest reguła autoryzacji, ten sposób jest efektem architektury i logiki systemu uwierzytelniania AAA (Authentication Authorization and Accounting) i w zasadzie większość znanych mi systemów NAC podąża za tą logiką. Uwierzytelnionego użytkownika można autoryzować do wykonywania określonych czynności. Deifniują to reguły autoryzacyjne.
Tworzenie reguł autoryzacyjnych
Reguły autoryzacyjne znajdują się w lokalizacji: Admission – Authentication and authroization w zakładce Authorization rules. Podobnie jak reguły authentykacji przeglądane od góry dopasowywane wg parametrów.
Dopasowanie wg parametrów uwierzytelniania (jak grupa użytkowników, z której pochodzi użyty do uwierzytelniania użytkownik jak urządzenie, SSD itd.). Widać to poniżej na zrzucie konfiguracyjnym parametrów reguły autoryzacyjnej.
Rezultatem autoryzacji może być specyficzne zachowanie NAC: proste jak dopuszczenie do sieci czy odmowa dostępu.
Rezultatem autoryzacji może być specyficzne zachowanie NAC: proste jak dopuszczenie do sieci czy odmowa dostępu.
lub złożone jak definiowane w zakładce Authorization results: pozwalające na przypusywanie użytkownikowi VLANu, definiowanie access listy czy aplikowanie tagu w modelu zbliżonym do SGT.
Moja reguła uwierzytelniania będzie jednak w tym momencie prosta, będzie „łapała” ruch i dopuszczała do pracy w sieci.
Aby całej tej funkcjonalności NAC użyć musimy ja gdzieś przypisać: możemy to uczynić zarówno w sieci przewodowej, jak i w sieci bezprzewodowej.
Wykonam to dla sieci WLAN:
Tworzenie sieci WLAN korzystającej z 802.1x
Zmodyfikujmy szablon konfiguracji test-template dla lokalizacji Provision -> site configuration template:
Szablon utworzyłem przy uruchamianiu sieci WLAN działającej z PPSK.
W drugiej zakładce definiujemy ustawienia bezpieczeństwa dla sieci WLAN
W tym momencie okazuje się konieczne wykreowanie serwera RADIUS.
Wskazujemy na lokalny serwer RADIUS.
To czy wszystko udało się poprawnie można sprawdzić przez próbę logowania: poniższy zrzut z zakładki Monitoring -> Event Logs -> Terminal Authentication Logs pokazuje, że do sieci WLAN udaje się zalogować z poświadczeniami, próba uwierzytelnienia z nieprawidłowym hasłem jest natomiast blokowana.
Masz pytania?
Skontaktuj się z nami!
autorem artykułu jest
Piotr Ksieniewicz – główny inżynier Network Expert
Posiada ponad 10 letnie doświadczenie w pracy w sieciach IP. Inżynier CCIE#23799, CISSP #774774 o specjalności Routing & Switching. Piotr lubi wyzwania dlatego z reguły przedłuża status CCIE innymi egzaminami – ma na koncie zdany egzamin pisemny z Security i Voice. Pracował zarówno w niewielkich sieciach jak i przy największych sieciach bankowych na świecie.