No se encuentran recursos de mapeo en el idioma seleccionado.

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo para configurar la administración predeterminada de usuarios basada en dominios

Ejemplo para configurar la administración predeterminada de usuarios basada en dominios

Descripción general del dominio y del dominio predeterminado

El dispositivo administra los usuarios de acceso basados en dominios. Cada usuario de acceso pertenece a un dominio.

Los esquemas de autenticación, autorización y contabilidad pueden estar vinculados a las vistas de dominio. El dispositivo administra a los usuarios de acceso en el mismo dominio de la misma manera, por ejemplo, utilizando el mismo esquema de autenticación, autorización y contabilidad.

Como se muestra en Figura 11-23, los usuarios se autentican en el dominio especificado cuando los nombres de usuario introducidos contienen nombres de dominio o en el dominio predeterminado cuando los nombres de usuario introducidos no contienen nombres de dominio. Si un nombre de usuario contiene un nombre de dominio, el usuario pertenece a este dominio; de lo contrario, el usuario pertenece al dominio predeterminado. Si la mayoría de los usuarios de una red pertenecen al mismo dominio, puede configurar este dominio como el dominio predeterminado para que estos usuarios no tengan que introducir el nombre de dominio al iniciar sesión en el dispositivo.

Los dominios predeterminados caen en dominio administrativo predeterminado y dominio común predeterminado.

  • El administrador (iniciar sesión a través de Telnet, SSH, FTP, HTTP o Terminal) se autentica en el dominio administrativo predeterminado.

    De forma predeterminada, el dominio administrativo predeterminado es default_admin.

  • Los usuarios común (iniciar sesión a través de MAC, Portal o autenticación 802.1x o autenticación PPP en V200R005) se autentican en el dominio común predeterminado.

    De forma predeterminada, el dominio común predeterminado es default.

Figura 11-23  Dominios de usuario

NOTA:

Por defecto, pueden modificar la configuración de los dominios predeterminados, pero no pueden eliminar los dominios predeterminados de forma predeterminada.

Notas de configuración

Tabla 11-7  Productos y versiones aplicables

Modelo del producto

Versión del software

Switches fijos de la serie S

V100R006C05 y versiones posteriores

Switches modulares de la serie S

V200R001C00 y versiones posteriores

NOTA:
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.

Requisitos de redes

Como se muestra en Figura 11-24, el administrador hace Telnets al dispositivo y gestiona de forma remota el dispositivo después de pasar la autenticación local de AAA, y los usuarios de 802.1x inician sesión en el dispositivo a través de los clientes 802.1x después de pasar la autenticación RADIUS. Por lo tanto, la autenticación local AAA y la autenticación RADIUS deben configurarse en el dispositivo.

  1. El administrador debe introducir el nombre de usuario y la contraseña correcta a hacer Telnet al dispositivo. Después de iniciar sesión en el dispositivo, el administrador puede ejecutar todos los comandos en los niveles 0-15.
  2. Los usuarios de 802.1x deben introducir nombres de usuario y contraseñas correctas para iniciar sesión en el dispositivo.
  3. El administrador y los usuarios de 802.1x no deben introducir nombres de dominio al iniciar sesión.
Figura 11-24  Configuración de la administración de usuarios basada en dominios predeterminada

Hoja de ruta de configuración

  1. Permita que el administrador haga Telnet al dispositivo.
    1. Habilite el servicio Telnet.
    2. Defina el método de autenticación para usuarios de inicio de sesión de telnet a AAA.
    3. Configure la autenticación local de AAA, incluyendo la creación de un usuario local, estableciendo el tipo de acceso de usuario a telnet y estableciendo el nivel de usuario a 15.
  2. Permita que los usuarios de 802.1x inicien sesión en el dispositivo a través de la autenticación RADIUS.
    1. Habilite la autenticación 802.1x en la interfaz.
    2. Configure la autenticación RADIUS, incluida la creación de una plantilla de servidor RADIUS, un esquema de autenticación AAA y un esquema de servicio, y la aplicación de los esquemas al dominio común predeterminado.
NOTA:

Este ejemplo sólo proporciona las configuraciones del dispositivo. Asegúrese de que los parámetros requeridos se han configurado en el servidor RADIUS, por ejemplo, la dirección IP del dispositivo, la clave compartida y el usuario que crea.

Procedimiento

  1. Configure las interfaces y asigne direcciones IP.

    <Quidway> system-view
    [Quidway] sysname Switch
    [Switch] vlan batch 10 20 30
    [Switch] interface vlanif 10
    [Switch-Vlanif10] ip address 10.1.3.10 24
    [Switch-Vlanif10] quit
    [Switch] interface vlanif 20
    [Switch-Vlanif20] ip address 10.1.2.10 24
    [Switch-Vlanif20] quit
    [Switch] interface vlanif 30
    [Switch-Vlanif30] ip address 10.1.6.10 24
    [Switch-Vlanif30] quit
    [Switch] interface gigabitethernet1/0/1
    [Switch-GigabitEthernet1/0/1] port link-type access
    [Switch-GigabitEthernet1/0/1] port default vlan 20
    [Switch-GigabitEthernet1/0/1] quit
    [Switch] interface gigabitethernet1/0/2
    [Switch-GigabitEthernet1/0/2] port link-type access
    [Switch-GigabitEthernet1/0/2] port default vlan 30
    [Switch-GigabitEthernet1/0/2] quit
    [Switch] interface gigabitethernet1/0/3
    [Switch-GigabitEthernet1/0/3] port link-type access
    [Switch-GigabitEthernet1/0/3] port default vlan 10
    [Switch-GigabitEthernet1/0/3] quit

  2. Configure la autenticación local de AAA para que el administrador haga Telnet al dispositivo.

    # Habilite el servidor Telnet.

    [Switch] telnet server enable
    

    # Configure el método de autenticación para la interfaz de usuario VTY a AAA.

    [Switch] user-interface maximum-vty 15  //Establezca la cantidad máxima de usos de inicio de sesión de VTY a 15 (El rango de valores varía de acuerdo con las versiones y los modelos del producto). De forma predeterminada, la cantidad máxima de usuarios de Telnet es de 5.
    [Switch] user-interface vty 0 14  //Introduzca la vista del usuario VTY 0-14.
    [Switch-ui-vty0-14] authentication-mode aaa  //Establezca el método de autenticación para la vista de usuario VTY a AAA.
    [Switch-ui-vty0-14] protocol inbound telnet  //Configure la interfaz de usuario VTY para admitir Telnet. De forma predeterminada, los switches en V200R006 y versiones anteriores son compatibles con Telnet, y los switches en V200R007 y versiones posteriores admiten SSH.
    [Switch-ui-vty0-14] quit

    # Configure la autenticación local de AAA.

    [Switch] aaa
    [Switch-aaa] local-user user1 password irreversible-cipher Huawei@1234  //Cree el usuario local user1 y establezca la contraseña. La contraseña se muestra en el texto de cifrado en el archivo de configuración, así que recuerde la contraseña. Si olvida la contraseña, ejecute este comando nuevamente para reconfigurar la contraseña (el comando es local-user user-name password cipher password en V200R002 y versiones anteriores).
    [Switch-aaa] local-user user1 service-type telnet  //Establezca el tipo de acceso de user1 a Telnet. El usuario puede iniciar sesión únicamente a través de Telnet (de forma predeterminada, los usuarios pueden iniciar sesión a través de cualquier método en versiones anteriores a V200R007 y no pueden iniciar sesión a través de ningún método en V200R007 y versiones posteriores).
    [Switch-aaa] local-user user1 privilege level 15  //Establezca el nivel de usuario de user1 a 15. El usuario puede usar los comandos de nivel 3 y niveles inferiores.
    Warning: This operation may affect online users, are you sure to change the user privilege level ?[Y/N] y
    [Switch-aaa] quit
    NOTA:

    Cuando el nombre de usuario introducido no contiene un nombre de dominio, el dispositivo autentica al usuario a través del dominio administrativo predeterminado default_admin. De forma predeterminada, el dominio administrativo predeterminado utiliza el esquema de autenticación default y el esquema de contabilidad default.

    • Esquema de autenticación default: local authentication
    • Esquema de contabilidad default: non-accounting

  3. Configure la autenticación RADIUS para los usuarios de 802.1x para iniciar sesión en el dispositivo.

    # Configure la plantilla de servidor RADIUS para implementar la comunicación entre el dispositivo y el servidor RADIUS.

    [Switch] radius-server template 1
    [Switch-radius-1] radius-server authentication 10.1.6.6 1812  //Especifique la dirección IP y el número de puerto del servidor de autenticación RADIUS.
    [Switch-radius-1] radius-server shared-key cipher Hello@1234  //Especifique la clave compartida del servidor RADIUS, que debe ser la misma que la configurada en el servidor RADIUS.
    [Switch-radius-1] quit
    NOTA:

    Si el servidor RADIUS no acepta los nombres de usuario que contienen nombres de dominio, ejecute el comando undo radius-server user-name domain-included en el dispositivo para que los paquetes enviados desde el dispositivo al servidor RADIUS no contengan nombres de dominio.

    # Configure un esquema de autenticación AAA y configure el modo de autenticación a RADIUS.

    [Switch] aaa
    [Switch-aaa] authentication-scheme sch1
    [Switch-aaa-authen-sch1] authentication-mode radius
    [Switch-aaa-authen-sch1] quit

    # Configure un esquema de servicio y configure el nivel de usuario a 15.

    [Switch-aaa] service-scheme sch1
    [Switch-aaa-service-sch1] admin-user privilege level 15
    [Switch-aaa-service-sch1] quit

    # Aplique el esquema de autenticación AAA, la plantilla de servidor RADIUS y el esquema de servicio al dominio común predeterminado.

    [Switch-aaa] domain default
    [Switch-aaa-domain-default] authentication-scheme sch1
    [Switch-aaa-domain-default] service-scheme sch1
    [Switch-aaa-domain-default] radius-server 1
    [Switch-aaa-domain-default] quit
    [Switch-aaa] quit
    # Establece el modo NAC en unificado (este paso es requerido en V200R005 y versiones posteriores).
    [Switch] authentication unified-mode
    NOTA:

    Después de que el modo común se cambia al modo unificado, el dispositivo se reinicia automáticamente. Por defecto, se utiliza el modo unificado.

    # Habilite la autenticación 802.1x en la interfaz.

    • En las versiones anteriores a V200R009:

      [Switch] interface gigabitethernet1/0/3
      [Switch-GigabitEthernet1/0/3] authentication dot1x
      [Switch-GigabitEthernet1/0/3] quit
    • En V200R009 y versiones posteriores:

      [Switch] dot1x-access-profile name d1
      [Switch-dot1x-access-profile-d1] quit
      [Switch] authentication-profile name p1
      [Switch-authen-profile-p1] dot1x-access-profile d1
      [Switch-authen-profile-p1] authentication mode multi-authen max-user 100
      [Switch-authen-profile-p1] quit
      [Switch] interface gigabitethernet1/0/3
      [Switch-GigabitEthernet1/0/3] port link-type access
      [Switch-GigabitEthernet1/0/3] port default vlan 10 
      [Switch-GigabitEthernet1/0/3] authentication-profile p1
      [Switch-GigabitEthernet1/0/3] quit

  4. Verifique la configuración.

    # Elija Start > Run en su computadora donde se ejecuta el sistema operativo Windows e introduzca cmd para abrir la ventana cmd. Ejecute el comando telnet e introduzca el nombre de usuario user1 y la contraseña Huawei@1234 para iniciar sesión en el dispositivo a través de Telnet.

    C:\Documents and Settings\Administrator> telnet 10.1.2.10
    Username:user1
    Password:***********
    <Switch>//El administrador inicia sesión con éxito.

    # Ejecute el comando test-aaa para probar si un usuario 802.1x puede pasar la autenticación.

    [Switch] test-aaa liming Hello@5678 radius-template 1

    # Un usuario inicia el cliente 802.1x en un terminal, e introduzca el nombre de usuario liming y la contraseña Hello@5678 para la autenticación. Si el nombre de usuario y la contraseña son correctas, se muestra un mensaje de autenticación exitosa en la página del cliente. El usuario puede acceder a la red.

    # Después de que el usuario se vaya a la red, puede ejecutar el comando display access-user access-type dot1x para comprobar la información de usuario 802.1x en línea.

Archivos de configuración

Archivo de configuración de Switch

#
sysname Switch
#
vlan batch 10 20 30
#
telnet server enable
#
authentication-profile name p1   //Disponible solo en V200R009 y versiones posteriores
 dot1x-access-profile d1
 authentication mode multi-authen max-user 100
#
radius-server template 1                                                        
 radius-server shared-key cipher %^%#9nP3;sDW-AN0f@H@S*l&\f{V=V_auKe|^YXy7}bU%^%#
 radius-server authentication 10.1.6.6 1812 weight 80                           
#
aaa
 authentication-scheme sch1    
  authentication-mode radius  
 service-scheme sch1             
  admin-user privilege level 15
 domain default            
  authentication-scheme sch1     
  service-scheme sch1 
  radius-server 1      
 local-user user1 password irreversible-cipher $1a$BKfS8Ml4qP$1\a5RWc)oTIuB0'wN;p090;>{APtaL8/x/T.$
 local-user user1 privilege level 15       
 local-user user1 service-type telnet 
# 
interface Vlanif10 
 ip address 10.1.3.10 255.255.255.0     
# 
interface Vlanif20 
 ip address 10.1.2.10 255.255.255.0     
# 
interface Vlanif30 
 ip address 10.1.6.10 255.255.255.0     
# 
interface GigabitEthernet1/0/1
 port link-type access           
 port default vlan 20 
#
interface GigabitEthernet1/0/2
 port link-type access           
 port default vlan 30 
#
interface GigabitEthernet1/0/3
 port link-type access           
 port default vlan 10    
 authentication dot1x   //Disponible solo en las versiones anteriores a V200R009
 authentication-profile p1   //Disponible solo en V200R009 y versiones posteriores
#
user-interface maximum-vty 15  
user-interface vty 0 14          
 authentication-mode aaa          
 protocol inbound telnet
#
dot1x-access-profile name d1   //Disponible solo en V200R009 y versiones posteriores
#  
return
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15674

Descargas: 131

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente