No se encuentran recursos de mapeo en el idioma seleccionado.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo para configurar la autenticación para usuarios de inicio de sesión de telnet (utilizando el ACS seguro como servidor de autenticación RADIUS)

Ejemplo para configurar la autenticación para usuarios de inicio de sesión de telnet (utilizando el ACS seguro como servidor de autenticación RADIUS)

Descripción general de la autenticación RADIUS

Cuando se implementa un servidor de autenticación RADIUS en una red, los usuarios pueden autenticarse a través de RADIUS. La información del usuario es creada y mantenida por el servidor de autenticación RADIUS. Un usuario puede iniciar sesión correctamente en el dispositivo sólo cuando el nombre de usuario y la contraseña introducida son los mismos que los configurados en el servidor RADIUS. Generalmente, la autenticación RADIUS está configurada en la red que requiere alta seguridad, por ejemplo, las redes de operadores financieros, gubernamentales y de telecomunicaciones.

Notas de configuración

Tabla 11-3  Productos y versiones aplicables

Modelo del producto

Versión del software

Switches fijos de la serie S

V100R006C05 y versiones posteriores

Switches modulares de la serie S

V200R001C00 y versiones posteriores

NOTA:
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.

En este ejemplo, el servidor de autenticación RADIUS es el ACS seguro donde se ejecuta la versión 5.2.0.26.

Requisitos de redes

Como se muestra en Figura 11-3, en una red empresarial, un administrador se conecta al switch a través de una red de administración y un usuario 802.1x se conecta al switch a través de una red de acceso. La empresa utiliza ACS para crear y mantener la información del usuario. El administrador puede iniciar sesión en el ACS a través de Web.

Al administrador y al usuario 802.1x se les asignan cuentas y derechos diferentes para mejorar la seguridad. Los requisitos son los siguientes:

  1. El administrador puede hacer Telnet al switch sólo después de introducir el nombre de usuario y la contraseña, y puede utilizar los comandos del nivel 0 al nivel 15 después de iniciar sesión.
  2. Para acceder al switch, el usuario 802.1x debe iniciar el cliente 802.1x, introducir el nombre de usuario y la contraseña, y ser autenticado.

    Después de que el usuario 802.1x acceda al switch:

    • El usuario puede utilizar los comandos en el nivel 0 al nivel 2.
    • El ACS envía VLAN 100 y ACL 3000 al usuario.
  3. El administrador se autentica en el dominio predeterminado y el usuario 802.1x se autentica en el dominio huawei.com.
Figura 11-3  Redes de la autenticación de usuario de inicio de sesión de telnet (utilizando el ACS seguro como servidor de autenticación RADIUS)

Preparaciones

Tabla 11-4  Datos utilizados para conectar el switch a ACS

Ítem

Datos

Nombre de usuario del administrador y contraseña del cliente ACS

Nombre de usuario: acsadmin

Contraseña: Admin_123

Nombre de usuario y contraseña del administrador del switch

Nombre de usuario: admin1

Contraseña: Admin@1234

Nombre de usuario y contraseña del usuario 802.1x

Nombre de usuario: user1@huawei.com

Contraseña: Huawei@1234

Nombre del switch y la dirección IP de la interfaz conectada al ACS

Nombre de switch: Switch

Dirección IP: 10.1.6.10

Contraseña compartida de switch y ACS

Hello@1234

Hoja de ruta de configuración

  1. Configure el switch.
    1. Configure las interfaces y asigne direcciones IP para que el switch pueda comunicarse con el ACS.
    2. Cree una VLAN y una ACL que el ACS proporcionará.
    3. Habilite el servicio Telnet.
    4. Configure la autenticación AAA para que el administrador a hacer telnet al switch.
    5. Configure la autenticación RADIUS, incluyendo la creación de la plantilla de servidor RADIUS y el esquema de autenticación AAA y aplicándolas a los dominios default_admin y huawei.com.
    6. Habilite la autenticación 802.1x en la interfaz a la que accede el usuario 802.1x.
  2. Configure el ACS, añada dispositivos de acceso y usuarios y configure un perfil de autenticación y autorización. Agregue políticas de acceso y enlace usuarios al perfil de autenticación y autorización.
NOTA:

Asegúrese de que el Switch y el ACS puedan comunicarse entre sí.

Procedimiento

  1. Configure el switch.
    1. Configure las interfaces y asigne direcciones IP para que el switch pueda comunicarse con el ACS.

      <Quidway> system-view
      [Quidway] sysname Switch
      [Switch] vlan batch 10 20 30
      [Switch] interface vlanif 10
      [Switch-Vlanif10] ip address 10.1.6.10 24   //Configure la dirección IP utilizada para comunicarse con el ACS.
      [Switch-Vlanif10] quit
      [Switch] interface vlanif 20
      [Switch-Vlanif20] ip address 10.1.2.10 24   
      [Switch-Vlanif20] quit
      [Switch] interface vlanif 30
      [Switch-Vlanif30] ip address 10.1.3.10 24
      [Switch-Vlanif30] quit
      [Switch] interface gigabitethernet1/0/1    
      [Switch-GigabitEthernet1/0/1] port link-type access
      [Switch-GigabitEthernet1/0/1] port default vlan 10 
      [Switch-GigabitEthernet1/0/1] quit
      [Switch] interface gigabitethernet1/0/1   //Configure la interfaz utilizada para conectarse a los administradores.
      [Switch-GigabitEthernet1/0/2] port link-type access
      [Switch-GigabitEthernet1/0/2] port default vlan 20
      [Switch-GigabitEthernet1/0/2] quit
      [Switch] interface gigabitethernet1/0/3   //Configure la interfaz utilizada para conectarse a los usuarios 802.1x.
      [Switch-GigabitEthernet1/0/3] port link-type hybrid   //Si el servidor AAA debe enviar VLAN o ACL para acceder a los usuarios, la interfaz de acceso del usuario (con autenticación habilitada) en el switch debe ser una interfaz híbrida.
      [Switch-GigabitEthernet1/0/3] port hybrid untagged vlan 30
      [Switch-GigabitEthernet1/0/3] quit
      

    2. Cree una VLAN y una ACL que el ACS enviará para acceder a los usuarios.

      Solo se puede enviar la VLAN o ACL que es la misma que la configurada en el servidor AAA.

      [Switch] vlan 100
      [Switch-vlan100] quit
      [Switch] acl 3000
      [Switch-acl-adv-3000] quit

    3. Habilite el servidor Telnet.

      [Switch] telnet server enable

    4. Configure el modo de autenticación para los usuarios VTY a AAA.

      [Switch] user-interface maximum-vty 15   //Establezca la cantidad máxima de usuarios VTY a 15 (este valor varía según las versiones y los modelos). Por defecto, un máximo de cinco usuarios de Telnet son compatibles.
      [Switch] user-interface vty 0 14   //Introduzca la vista del usuario VTY 0-14.
      [Switch-ui-vty0-14] authentication-mode aaa   //Establezca el modo de autenticación para los usuarios VTY a AAA.
      [Switch-ui-vty0-14] protocol inbound telnet   //Configure la interfaz de usuario de VTY para admitir Telnet. De forma predeterminada, los switches en V200R006 y versiones anteriores son compatibles con Telnet, y los switches en V200R007 y versiones posteriores admiten SSH.
      [Switch-ui-vty0-14] quit

    5. Configure la autenticación RADIUS para los usuarios de acceso en el switch.

      # Configure una plantilla de servidor RADIUS para que el switch y ACS puedan comunicarse a través de RADIUS.

      [Switch] radius-server template 1
      [Switch-radius-1] radius-server authentication 10.1.6.6 1812   //Especifique la dirección IP y el número de puerto del ACS.
      [Switch-radius-1] radius-server shared-key cipher Hello@1234   //Especifique la clave compartida del ACS, que debe ser la misma que la configurada en el ACS.
      [Switch-radius-1] quit
      NOTA:

      Si el nombre de usuario almacenado en el servidor AAA no contiene un nombre de dominio, ejecute el comando undo radius-server user-name domain-included. Una vez ejecutado este comando, los nombres de usuario de los paquetes enviados desde el switch al servidor RADIUS no contienen nombres de dominio.

      # Cree un esquema de autenticación AAA y establezca el modo de autenticación a RADIUS.

      [Switch] aaa
      [Switch-aaa] authentication-scheme sch1
      [Switch-aaa-authen-sch1] authentication-mode radius
      [Switch-aaa-authen-sch1] quit

      # Aplique el esquema de autenticación AAA y la plantilla de servidor RADIUS al dominio administrativo predeterminado.

      NOTA:

      Los administradores (los usuarios que accedan al switch a través de Telnet, SSH, FTP, HTTP o terminal) se autentican en el dominio administrativo predeterminado.

      De forma predeterminada, el dominio administrativo es default_admin.

      [Switch-aaa] domain default_admin
      [Switch-aaa-domain-default_admin] radius-server 1
      [Switch-aaa-domain-default_admin] authentication-scheme sch1
      [Switch-aaa-domain-default_admin] quit

      # Aplique el esquema de autenticación AAA y la plantilla de servidor RADIUS al dominio huawei.com.

      [Switch-aaa] domain huawei.com
      [Switch-aaa-domain-huawei.com] radius-server 1
      [Switch-aaa-domain-huawei.com] authentication-scheme sch1
      [Switch-aaa-domain-huawei.com] quit
      [Switch-aaa] quit

    6. Habilite la autenticación 802.1x en una interfaz.

      # Configure el modo NAC al modo unificado.
      [Switch] authentication unified-mode
      NOTA:

      Después de una conmutación entre el modo común y el modo unificado, el dispositivo se reinicia automáticamente.

      # Habilite la autenticación 802.1x en la interfaz GE1/0/3.
      [Switch] interface gigabitethernet1/0/3
      [Switch-GigabitEthernet1/0/3] authentication dot1x
      [Switch-GigabitEthernet1/0/3] dot1x authentication-method eap   //Se recomienda este paso porque la mayoría de los clientes 802.1x usan autenticación de retransmisión EAP.
      [Switch-GigabitEthernet1/0/3] quit

  2. Configure el ACS seguro.
    1. Inicie sesión en el cliente ACS e introduzca el nombre de usuario y la contraseña para abrir la página de inicio.

      Introduzca la dirección de localizador de recursos universal (URL) del ACS y pulse Enter para abrir la página del inicio de sesión de ACS. Introduzca el nombre de usuario y la contraseña y haga clic en Login.

      NOTA:

      La dirección URL del ACS está en el formato http://IP/ o https://IP/, por ejemplo, http://10.13.1.1/ o https://10.13.1.1/.

      Después de iniciar sesión en el ACS, aparecerá la página de inicio.

      Tabla 11-5  Áreas de navegación en el cliente ACS

      Área de navegación

      Descripción

      My Workspace

      Incluye página de bienvenida, instrucción de configuración de las tareas comunes, e información de cuentas.

      Para cambiar la contraseña del administrador, elija My Workspace > My Account.

      Network Resources

      Configure dispositivos de red, incluidos los clientes AAA y los grupos de dispositivos de red.

      Users and Identity Stores

      Configura los usuarios y las identidades.

      Policy Elements

      Configure los perfiles de autenticación y autorización, incluidas las condiciones de coincidencia y los resultados de las políticas de acceso.

      Access Policies

      Configure las políticas de acceso y asocie a los usuarios con perfiles de autenticación y autorización.

      Monitoring and Reports

      Muestra la información del log.

      System Administration

      Administra y mantiene ACS.

    2. Agregue un dispositivo de acceso.

      1. Elija Network Resources > Network Devices and AAA clients > Create, como se muestra en Figura 11-4.

        Figura 11-4  Configuración del dispositivo de red y del cliente AAA
      2. Introduzca el nombre del switch y la dirección IP, configure el modo de autenticación entre el switch y ACS a RADIUS, introduzca la clave compartida y el número del puerto CoA, y haga clic en Submit, como se muestra en Figura 11-5.

        Figura 11-5  Agregación del dispositivo de red y del cliente AAA

    3. Agregue un usuario.

      1. Elija Users and Identity Stores > Internal Identity Stores > Users > Create, como se muestra en Figura 11-6.

        Figura 11-6  Configuración del usuario de acceso
      2. Introduzca el nombre de usuario, la contraseña, y confirme la contraseña, y haga clic en Submit, como se muestra en Figura 11-7.

        Figura 11-7 muestra la página para agregar un usuario 802.1x. Después de agregar el usuario de acceso, agregue un administrador de acuerdo con los parámetros del administrador.

        Figura 11-7  Agregación de un usuario

    4. Agregue un perfil de autenticación y autorización.

      1. Elija Policy Elements > Authorization and Permissions > Network Access > Authorization Profiles > Create para agregar un perfil de autenticación y autorización, como se muestra en Figura 11-8.

        NOTA:

        Cuando utilice el protocolo RADIUS, se recomienda que debe elegir Policy Elements > Authorization and Permissions > Network Access.

        Cuando se utiliza el protocolo TACACS +, se recomienda que debe elegir Policy Elements > Authorization and Permissions > Authorization Profiles.

        Figura 11-8  Agregación de un perfil de autenticación y autorización
      2. Agregue el perfil de autenticación y autorización para que el administrador especifique que el administrador sólo puede iniciar una sesión a través de Telnet y tiene un privilegio de usuario de 15.

        Los ajustes en la página tab General que se muestra en Figura 11-9.

        Figura 11-9  Configuración de los parámetros generales para el perfil de autenticación y autorización del administrador

        Los ajustes en la página tab RADIUS Attributes que se muestra en Figura 11-10. Haga clic en Submit para confirmar la configuración del perfil.

        Figura 11-10  Establecimiento de los parámetros de atributo de RADIUS para el perfil de autenticación y autorización del administrador
      3. Agregue un perfil de autenticación y autorización para un usuario 802.1x para especificar que el usuario solo puede iniciar sesión a través de 802.1x y tiene un privilegio de usuario de 2 y ACS envía ACL 3000 y VLAN 100, como se muestra en Figura 11-11, Figura 11-12, y Figura 11-13. Haga clic en Submit para confirmar la configuración del perfil.

        Figura 11-11  Configuración de los parámetros generales para el perfil de autenticación y autorización del usuario 802.1x
        Figura 11-12  Configuración de los parámetros de tareas comunes para el perfil de autenticación y autorización del usuario 802.1x
        Figura 11-13  Configuración de los parámetros de atributo de RADIUS para el perfil de autenticación y autorización del usuario 802.1x

    5. Agregue una política de acceso para enlazar al usuario a un perfil de autenticación y autorización.

      1. Crear un servicio de acceso y elegir Access Policies > Access Services > Create.

      2. Configure el servicio de acceso. Establezca el modo de comunicación a Network Access y especifique el protocolo de acceso del usuario, como se muestra en Figura 11-14 y Figura 11-15.

        Figura 11-14  Configuración del modo de comunicación al Network Access
        NOTA:

        Los switches de la serie S son compatibles con los primeros cinco protocolos de acceso de usuario.

        Figura 11-15  Protocolos de acceso de usuario
      3. Elija Access Policies > Access Services > Service Selection Rules a crear una regla, como se muestra en Figura 11-16.

        Figura 11-16  Creación de una regla
      4. Configure la regla. Establezca el modo de autenticación a RADIUS y agregue atributos de acuerdo con Figura 11-17.

        Puede elegir Access Policies > Access Services > Service Selection Rules para preparar los atributos que desea agregar.

        Figura 11-17  Configuración de la regla

        Haga clic en OK y, a continuación, en Save Changes.

      5. Seleccione el servicio de acceso creado y haga clic en Identity para agregar una regla de identidad, como se muestra en Figura 11-18.

        Figura 11-18  Creación de una regla de identidad
      6. Configure la regla, como se muestra en Figura 11-19.

        Figura 11-19  Configuración de la regla de identidad

        Haga clic en OK y, a continuación, en Save Changes.

      7. Seleccione el servicio de acceso creado y haga clic en Authorization. Configure la regla de autenticación para el administrador de acuerdo con Figura 11-20 o para el usuario 802.1 de acuerdo con Figura 11-21.

        Figura 11-20  Configuración de la regla de autenticación para el administrador
        Figura 11-21  Configuración de la regla de autenticación para el usuario 802.1x
      8. Haga clic en OK y, a continuación, en Save Changes.

    6. Complete la configuración.
  3. Verifique la configuración.

    • Un administrador inicia sesión en el switch a través de Telnet.

      # Elija Start > Run en su PC e introduzca cmd para abrir la interfaz de línea de comandos de Windows. Ejecute telnet, e introduzca el nombre de usuario admin1 y la contraseña Huawei@1234 a Telnet al switch.

      C:\Documents and Settings\Administrator> telnet 10.1.2.10
      Username:admin1
      Password:**********
      <Switch> //Puede iniciar sesión con éxito.

      # Ejecute el comando display access-user username admin1 para ver el derecho concedido.

    • Un usuario 802.1x inicia sesión en el switch.

      # Ejecute el comando test-aaa en el switch para probar si el usuario puede pasar la autenticación RADIUS.

      [Switch] test-aaa user1@huawei.com Huawei@1234 radius-template 1

      # El usuario 802.1x inicia el cliente 802.1x en el PC, e introduzca el nombre de usuario user1@huawei.com y la contraseña Huawei@1234. Si el nombre de usuario y la contraseña son correctas, el cliente mostrará un mensaje de autenticación exitoso. El usuario puede acceder a la red.

      # Después de que el usuario 802.1x se conecte en línea, ejecute el comando display access-user access-type dot1x en el switch para ver la información del usuario. Los campos Dynamic VLAN y Dynamic ACL number(Effective) indican la VLAN y la ACL enviadas por el servidor RADIUS.

Archivos de configuración

Archivo de configuración de Switch

#
sysname Switch
#
vlan batch 10 20 30 100
#
telnet server enable
#
acl number 3000
#
radius-server template 1
 radius-server shared-key cipher %^%#9nP3;sDW-AN0f@H@S*l&\f{V=V_auKe|^YXy7}bU%^%#
 radius-server authentication 10.1.6.6 1812 weight 80
#
aaa
 authentication-scheme sch1
  authentication-mode radius
 domain default_admin
  authentication-scheme sch1
  radius-server 1
 domain huawei.com
  authentication-scheme sch1
  radius-server 1
#
interface Vlanif10
 ip address 10.1.6.10 255.255.255.0
#
interface Vlanif20
 ip address 10.1.2.10 255.255.255.0
#
interface Vlanif30
 ip address 10.1.3.10 255.255.255.0
#
interface GigabitEthernet1/0/1
 port link-type access
 port default vlan 10
#
interface GigabitEthernet1/0/2
 port link-type access
 port default vlan 20
#
interface GigabitEthernet1/0/3
 port link-type hybrid
 port hybrid untagged vlan 30
 authentication dot1x
 dot1x authentication-method eap
#
user-interface maximum-vty 15
user-interface vty 0 14
 authentication-mode aaa
 protocol inbound telnet
#
return
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15637

Descargas: 131

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente