1.配置基本IP地址和连通性
(1)配置LSW1
[LSW1]vlan batch 12 to 14
[LSW1-Vlanif12]ip add 10.1.12.1 24
[LSW1-Vlanif13]ip add 10.1.13.1 24
[LSW1-Vlanif14]ip add 10.1.14.1 24
[LSW1-GigabitEthernet0/0/1]port link-type access
[LSW1-GigabitEthernet0/0/1]port default vlan 12
[LSW1-GigabitEthernet0/0/2]port link-type access
[LSW1-GigabitEthernet0/0/2]port default vlan 13
[LSW1-GigabitEthernet0/0/3]port link-type access
[LSW1-GigabitEthernet0/0/3]port default vlan 14
(2)配置LSW2
[LSW2]vlan batch 12 21 22
[LSW2-Vlanif12]ip add 10.1.12.2 24
[LSW2-Vlanif21]ip add 10.1.21.2 24
[LSW2-Vlanif22]ip add 10.1.22.2 24
[LSW2-GigabitEthernet0/0/1]port link-type access
[LSW2-GigabitEthernet0/0/1]port default vlan 21
[LSW2-GigabitEthernet0/0/2]port link-type access
[LSW2-GigabitEthernet0/0/2]port default vlan 22
[LSW2-GigabitEthernet0/0/3]port link-type access
[LSW2-GigabitEthernet0/0/3]port default vlan 12
(3)配置终端IP地址
(4)配置路由的连通
[LSW1]ospf 1
[LSW1-ospf-1]area 0
[LSW1-ospf-1-area-0.0.0.0]network 10.1.12.0 0.0.0.255
[LSW1-ospf-1-area-0.0.0.0]network 10.1.13.0 0.0.0.255
[LSW1-ospf-1-area-0.0.0.0]network 10.1.14.0 0.0.0.255
[LSW2]ospf 1
[LSW2-ospf-1]area 0
[LSW2-ospf-1-area-0.0.0.0]network 10.1.12.0 0.0.0.255
[LSW2-ospf-1-area-0.0.0.0]network 10.1.21.0 0.0.0.255
[LSW2-ospf-1-area-0.0.0.0]network 10.1.22.0 0.0.0.255
2.在LSW2上配置RADIUS认证参数
(1)配置radius认证模板
[LSW2]radius-server template abc1
[LSW2-radius-abc1]radius-server shared-key cipher ABCabc@123
[LSW2-radius-abc1]radius-server authentication 10.1.13.3 1812
[LSW2-radius-abc1]radius-server accounting 10.1.13.3 1813
[LSW2]radius-server authorization 10.1.13.3 shared-key cipher ABCabc@123
(2)在AAA模式下调佣radius模板
[LSW2]aaa
[LSW2-aaa]authentication-scheme abc1
[LSW2-aaa-authen-abc1]authentication-mode radius
[LSW2-aaa]accounting-scheme abc1
[LSW2-aaa-accounting-abc1]accounting-mode radius
[LSW2-aaa]domain default
[LSW2-aaa-domain-default]authentication-scheme abc1
[LSW2-aaa-domain-default]accounting-scheme abc1
[LSW2-aaa-domain-default]radius-server abc1
(3)接口下开启dot1X认证
[LSW2]dot1x enable interface GigabitEthernet 0/0/1
(4)允许认证前能够访问Agile Controller
[LSW2]dot1x free-ip 10.1.13.3 32
(5)检查radius和portal参数
3.配置Agile Controller
(1)添加接入控制设备
资源—设备—设备管理—增加:名称LSW2,IP地址为10.1.12.2,认证计费秘钥和授权秘钥都是ABCabc@123。确定
测试LSW2与Agile Controller的联动:
[LSW2]test-aaa user1 ABCabc@123 radius-template abc1 pap,显示为succeed,表示联动成功
(2)配置准入控制规则
策略—终端管理—安全策略—策略模板—增加:名称为检查防病毒软件。—确定—是:选择检查防病毒软件和检查屏保设置后面的对勾,开启该功能并对其进行编辑:在策略执行参数中选中在终端显示策略检查结果、出现严重违规则禁止接入网络、上报违规信息,检查防病毒软件列表,未安装或者运行要求的防病毒软件违规等级选择严重。
在检查屏保设置中:选中在终端显示策略检查结果、自动修复、屏保设置密码保护、上报违规信息,要求屏保时间设置不能高于10分钟,违规等级一般。—保存
模板分配—用户组树—选择组PC1—确定
(3)创建动态ACL,PC1通过认证的用户可以访问server1和外网
策略—准入控制—策略元素—动态ACL—增加:为名称为PC1和PC2的组分别创建规则
策略—准入控制—认证授权—授权结果:名称为PC1,业务类型选择接入业务,授权参数中动态ACL选择PC1—确定;名称为PC2,业务类型选择接入业务,授权参数中动态ACL选择PC2—确定
(4)配置认证规则
策略—准入控制—认证授权—认证规则:在增加认证规则中名称为PC1,用户信息中用户组为PC1,认证信息中全选请选择允许使用的认证协议;在增加认证规则中名称为PC2,用户信息中用户组为PC2,认证信息中全选请选择允许使用的认证协议
(5)配置授权规则
策略—准入控制—认证授权—授权规则:在增加授权规则中名称为PC1,用户信息中用户组为PC1,其他信息中勾AnyOffice安全检查结果,安全检查结果中选择不做安全检查或安全检查通过,授权结果选择PC1;再增加授权规则中名称为PC1,用户信息中用户组为PC1,其他信息中勾AnyOffice安全检查结果,安全检查结果中选择安全检查不通过,授权结果选择拒绝接入。—确定
策略—准入控制—认证授权—授权规则:在增加授权规则中名称为PC2,用户信息中用户组为PC2,其他信息中勾AnyOffice安全检查结果,安全检查结果中选择不做安全检查或安全检查通过,授权结果选择PC2。—确定
(6)配置公告管理
系统—公告配置—系统公告:输入内容—确定—单击要下发的公告右侧的图标发布公告
4.结果验证
(1)在PC上使用账号认证
(2)在LSW2上查看Aglie Controller下发的权限结果
[LSW2]display access-user
[LSW2]display access-user user-id 号码
(3)在Aigle Controller上查看radius认证日志:资源—用户—radius日志
(4)在Aigle Controller上查看用户在线管理:资源—用户—用户在线管理
