No se encuentran recursos de mapeo en el idioma seleccionado.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo para configurar la autenticación Portal para controlar el acceso del usuario a la red empresarial (punto de autenticación en el switch de agregación)

Ejemplo para configurar la autenticación Portal para controlar el acceso del usuario a la red empresarial (punto de autenticación en el switch de agregación)

Descripción general de la autenticación Portal

La autenticación Portal es un método de Control de admisión a la red (NAC). La autenticación Portal también se llama autenticación web. En general, los sitios web de autenticación Portal se denominan sitios web Portal. Los usuarios deben ser autenticados por los sitios web Portal antes de que puedan usar los servicios de red.

La autenticación Portal es insegura, pero permite una red flexible ya que no se requiere software del cliente en los terminales de los usuarios. La autenticación 802.1X es otro método de NAC. Es más segura que la autenticación Portal, pero requiere la instalación del software del cliente en los terminales de los usuarios, lo que resulta en la inflexibilidad de la red. Al igual que la autenticación Portal, la autenticación de dirección MAC tampoco requiere la instalación del software del cliente, pero las direcciones MAC de los terminales de usuario deben estar registradas en el servidor de autenticación. La configuración y administración de la red es compleja.

La autenticación Portal se aplica a los usuarios que se distribuyen de forma dispersa y se mueven con frecuencia, por ejemplo, invitados de una empresa.

Notas de configuración

Este ejemplo se aplica a todos los switches de la serie S(excepto S2350EI y S5300LI).

NOTA:
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.

Agile Controller-Campus de Huawei en V100R001 funciona como el servidor Portal y el servidor RADIUS en este ejemplo. Para Agile Controller-Campus, la versión requerida es V100R001, V100R002, V100R003.

Las claves compartidas de autenticación y contabilidad RADIUS y la clave compartida Portal en el switch deben ser las mismas que las del servidor Agile Controller-Campus.

De forma predeterminada, el switch permite que pasen los paquetes desde los servidores RADIUS y Portal. No debe configurar reglas libres de autenticación para los dos servidores en el switch.

Requisitos de redes

Una empresa debe implementar un sistema de autenticación de identidad para controlar los derechos de acceso a la red de los empleados y permitir que solo los usuarios autorizados accedan a la red.

La empresa tiene los siguientes requisitos:
  • Las operaciones de autenticación deberían ser simples. El sistema de autenticación solo realiza la autorización de acceso. El software mínimo del cliente está instalado en los terminales de usuario.
  • Se requiere un control de seguridad moderado. Para facilitar el mantenimiento, es necesario implementar un número moderado de los puntos de autenticación en el switch de agregación.
  • Se utiliza un mecanismo de autenticación de identidad unificado para autenticar todos los terminales que acceden a la red del campus y denegar el acceso desde los terminales no autorizados.
  • Los empleados de I+D pueden conectarse solo a servidores públicos (como los servidores web y DNS) de la empresa antes de la autenticación y pueden conectarse a la intranet (biblioteca de códigos y sistema de seguimiento de problemas) e Internet después de ser autenticados.
  • Los empleados de marketing pueden conectarse solo a los servidores públicos (como los servidores web y DNS) de la empresa antes de la autenticación, y solo pueden conectarse a Internet una vez autenticados.
Figura 11-26  Autenticación Portal implementada en la capa de agregación

Plan de datos

Tabla 11-11  Plan de VLAN

ID de VLAN

Función

101

VLAN para empleados de I+D

102

VLAN para empleados de marketing

103

VLAN a la que pertenecen las interfaces que conectan a los servidores

Tabla 11-12  Plan de datos de red

Ítem

Datos

Descripción

Switch de acceso (que se conecta al departamento de I+D)

Número de interfaz: GE0/0/1

VLAN: 101

Se conecta a los PC de los empleados.

Número de interfaz: GE0/0/2

VLAN: 101

Se conecta al switch de agregación.

Switch de acceso (que se conecta al departamento de marketing)

Número de interfaz: GE0/0/1

VLAN: 102

Se conecta a los PC de los empleados.

Número de interfaz: GE0/0/2

VLAN: 102

Se conecta al switch de agregación.

Switch de agregación

Número de interfaz: GE1/0/1

VLAN: 101

Dirección IP de VLANIF101: 192.168.0.1

Se conecta al switch de acceso del departamento de I+D.

Funciona como el gateway para los empleados de I+D.

Número de interfaz: GE1/0/2

VLAN: 102

Dirección IP de VLANIF102: 192.168.1.1

Se conecta al switch de acceso del departamento de marketing.

Funciona como el gateway para los empleados de marketing.

Número de interfaz: GE1/0/3

VLAN: 103

Dirección IP de VLANIF103: 172.16.1.254

Se conecta al área del servidor empresarial.

Funciona como el gateway para servidores.

Servidor

Agile Controller-Campus (servidor RADIUS + servidor Portal)

Dirección IP: 172.16.1.1

-

Servidor DNS

Dirección IP: 172.16.1.2

-

Servidor web

Dirección IP: 172.16.1.3

-

Biblioteca de códigos

Dirección IP: 172.16.1.4

-

Sistema de seguimiento de problemas

Dirección IP: 172.16.1.5

-

Tabla 11-13  Plan de datos de servicio

Ítem

Datos

Descripción

Switch de agregación

Número de ACL para el dominio de post-autenticación de los empleados de I+D: 3001

Debe introducir este número de ACL al configurar las reglas de autorización y los resultados en Agile Controller-Campus.

Número de ACL para el dominio de post-autenticación de los empleados de marketing: 3002

Debe introducir este número de ACL al configurar las reglas de autorización y los resultados en Agile Controller-Campus.

Servidor de autenticación:
  • Dirección IP: 172.16.1.1
  • Número de puerto: 1812
  • Clave compartida RADIUS: Admin@123
  • El Service Controller (SC) de Agile Controller-Campus integra el servidor RADIUS y el servidor Portal. Por lo tanto, las direcciones IP del servidor de autenticación, servidor de contabilidad, servidor de autorización y servidor Portal son la dirección IP del SC.
  • Configure un servidor de contabilidad RADIUS para recopilar información de inicio de sesión y cierre de sesión del usuario. Los números de puerto del servidor de autenticación y del servidor de contabilidad deben ser los mismos que los números del puerto de autenticación y contabilidad del servidor RADIUS.
  • Configure un servidor de autorización para permitir que el servidor RADIUS entregue reglas de autorización al switch. La clave compartida RADIUS del servidor de autorización debe ser la misma que la del servidor de autenticación y del servidor de contabilidad.
Servidor de contabilidad:
  • Dirección IP: 172.16.1.1
  • Número de puerto: 1813
  • Clave compartida RADIUS: Admin@123
  • Intervalo de contabilidad: 15
Servidor Portal:
  • Dirección IP: 172.16.1.1
  • Número de puerto que usa el switch para procesar los paquetes del protocolo Portal: 2000
  • Número de puerto de destino en los paquetes que el switch envía al servidor Portal: 50200
  • Clave compartida de autenticación Portal: Admin@123

Agile Controller-Campus

Nombre de Host: access.example.com

Los usuarios pueden usar el nombre de dominio para acceder al servidor Portal.

Dirección IP del dispositivo: 172.16.1.254

-

Puerto de autenticación: 1812

-

Puerto de contabilidad: 1813

-

Clave compartida RADIUS: Admin@123

La clave compartida RADIUS debe ser la misma que la configurada en el switch.

Número de puerto que usa el servidor Portal para recibir paquetes: 50200

-

Clave compartida Portal: Admin@123

Debe ser la misma que la clave compartida de autenticación Portal configurada en el switch.

Departamento: I+D
  • Usuario: A
  • Cuenta: A-123
  • Contraseña: Huawei123
Departamento: Marketing
  • Usuario: B
  • Cuenta: B-123
  • Contraseña: Huawei123

Se han creado dos departamentos y dos cuentas correspondientes en Agile Controller-Campus: departamento R&D y una cuenta de los empleados de I+D A-123; departamento Marketing y una cuenta de los empleados de marketing B-123.

Dominio de preautenticación

Agile Controller-Campus (incluyendo servidor RADIUS y servidor Portal), servidor DNS y servidor web

-

Dominio de post-autenticación

  • Empleados de I+D: biblioteca de códigos, sistema de seguimiento de problemas, e Internet
  • Empleados de marketing: Internet

-

Hoja de ruta de configuración

  1. Configure el switch de acceso y el switch de agregación para garantizar la conectividad de la red.
  2. Configure la autenticación Portal en el switch de agregación para implementar el control de acceso del usuario. Configure los parámetros para conectarse al servidor RADIUS y aquellos para conectarse al servidor Portal, habilite la autenticación Portal, y configure los derechos de acceso a la red para el dominio de preautenticación y el dominio de post-autenticación.
  3. Configure Agile Controller-Campus:
    1. Inicie sesión en Agile Controller-Campus.
    2. Agregue cuentas de usuario a Agile Controller-Campus.
    3. Agregue un switch a Agile Controller-Campus y configure los parámetros relacionados para garantizar la comunicación normal entre Agile Controller-Campus y switch.
    4. Agregue los resultados de autorización y las reglas de autorización para otorgar diferentes derechos de acceso a los empleados de I+D y a los empleados de marketing después de que se hayan autenticado correctamente.

Procedimiento

  1. Configure el switch de acceso para garantizar la conectividad de la red.

    A continuación se proporciona la configuración para SwitchA, el switch de acceso que conecta con el departamento de I+D. La configuración para SwitchB, el switch de acceso que conecta con el departamento de marketing, es similar.

    <Quidway> system-view
    [Quidway] sysname SwitchA
    [SwitchA] vlan 101
    [SwitchA-vlan101] quit
    [SwitchA] interface gigabitethernet 0/0/1    //Interfaz conectada al departamento de I+D
    [SwitchA-GigabitEthernet0/0/1] port link-type access
    [SwitchA-GigabitEthernet0/0/1] port default vlan 101
    [SwitchA-GigabitEthernet0/0/1] quit
    [SwitchA] interface gigabitethernet 0/0/2    //Interfaz conectada al switch de agregación
    [SwitchA-GigabitEthernet0/0/2] port link-type trunk
    [SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 101
    [SwitchA-GigabitEthernet0/0/2] quit
    [SwitchA] quit
    <SwitchA> save    //Guarde la configuración.
    The current configuration will be written to the device.
    Are you sure to continue?[Y/N]y

  2. Configure el switch de agregación.
    1. Cree las VLAN y configure las VLAN permitidas por las interfaces para que los paquetes puedan reenviarse.

      <Quidway> system-view
      [Quidway] sysname SwitchC
      [SwitchC] dhcp enable    //Habilite el servicio DHCP.
      [SwitchC] vlan batch 101 to 103
      [SwitchC] interface gigabitethernet 1/0/1    //Interfaz del switch de acceso conectado al departamento de I+D
      [SwitchC-GigabitEthernet1/0/1] port link-type trunk
      [SwitchC-GigabitEthernet1/0/1] port trunk pvid vlan 101
      [SwitchC-GigabitEthernet1/0/1] port trunk allow-pass vlan 101
      [SwitchC-GigabitEthernet1/0/1] quit
      [SwitchC] interface vlanif 101
      [SwitchC-Vlanif101] ip address 192.168.0.1 255.255.255.0    //Segmento de dirección IP asignado a los empleados de I+D
      [SwitchC-Vlanif101] dhcp select interface
      [SwitchC-Vlanif101] dhcp server dns-list 172.16.1.2
      [SwitchC-Vlanif101] quit
      [SwitchC] interface gigabitethernet 1/0/2    //Interfaz del switch de acceso conectado al departamento de marketing
      [SwitchC-GigabitEthernet1/0/2] port link-type trunk
      [SwitchC-GigabitEthernet1/0/2] port trunk pvid vlan 102
      [SwitchC-GigabitEthernet1/0/2] port trunk allow-pass vlan 102
      [SwitchC-GigabitEthernet1/0/2] quit
      [SwitchC] interface vlanif 102
      [SwitchC-Vlanif102] ip address 192.168.1.1 255.255.255.0    //Segmento de dirección IP asignado a los empleados de marketing.
      [SwitchC-Vlanif102] dhcp select interface
      [SwitchC-Vlanif102] dhcp server dns-list 172.16.1.2
      [SwitchC-Vlanif102] quit
      [SwitchC] interface gigabitethernet 1/0/3    //Interfaz conectada al área del servidor
      [SwitchC-GigabitEthernet1/0/3] port link-type access
      [SwitchC-GigabitEthernet1/0/3] port default vlan 103
      [SwitchC-GigabitEthernet1/0/3] quit
      [SwitchC] interface vlanif 103
      [SwitchC-Vlanif103] ip address 172.16.1.254 255.255.255.0    //Configure la dirección del gateway para el área del servidor.
      [SwitchC-Vlanif103] quit
      [SwitchC] quit
      <SwitchC> save    //Guarde la configuración.
      The current configuration will be written to the device.
      Are you sure to continue?[Y/N]y

    2. Configure los parámetros para conectarse al servidor RADIUS.

      <SwitchC> system-view
      [SwitchC] radius-server template policy    //Cree la plantilla del servidor RADIUS policy.
      [SwitchC-radius-policy] radius-server authentication 172.16.1.1 1812 source ip-address 172.16.1.254    //Configure la dirección IP y el número de puerto del servidor de autenticación RADIUS.
      [SwitchC-radius-policy] radius-server accounting 172.16.1.1 1813 source ip-address 172.16.1.254    //Configure la dirección IP y el número de puerto del servidor de contabilidad RADIUS.
      [SwitchC-radius-policy] radius-server shared-key cipher Admin@123    //Establezca la clave de autenticación y la clave de contabilidad para Admin@123.
      [SwitchC-radius-policy] quit
      [SwitchC] aaa    //Introduzca la vista AAA.
      [SwitchC-aaa] authentication-scheme auth    //Configure el esquema de autenticacón auth.
      [SwitchC-aaa-authen-auth] authentication-mode radius    //Establezca el modo de autenticación a RADIUS.
      [SwitchC-aaa-authen-auth] quit
      [SwitchC-aaa] accounting-scheme acco    //Configure el esquema de contabilidad acco.
      [SwitchC-aaa-accounting-acco] accounting-mode radius    //Establezca el modo de contabilidad a RADIUS.
      [SwitchC-aaa-accounting-acco] accounting realtime 15    //Establezca el intervalo de contabilidad en tiempo real a 15 minutos.
      [SwitchC-aaa-accounting-acco] quit
      [SwitchC-aaa] domain portal    //Configure un dominio.
      [SwitchC-aaa-domain-portal] authentication-scheme auth    //Enlace el esquema de autenticación auth al dominio.
      [SwitchC-aaa-domain-portal] accounting-scheme acco    //Enlace el esquema de contabilidad acco al dominio.
      [SwitchC-aaa-domain-portal] radius-server policy    //Enlace la plantilla del servidor RADIUS policy al dominio.
      [SwitchC-aaa-domain-portal] quit
      [SwitchC-aaa] quit
      [SwitchC] domain portal  //Configure portal como dominio predeterminado global.
      

    3. Configure los parámetros para conectarse al servidor Portal.

      [SwitchC] web-auth-server portal_huawei    //Configure la plantilla del servidor Portal portal_huawei.
      [SwitchC-web-auth-server-portal_huawei] server-ip 172.16.1.1    //Establezca la dirección IP del servidor Portal.
      [SwitchC-web-auth-server-portal_huawei] source-ip 172.16.1.254    //Establezca la dirección IP que usa el switch para comunicarse con el servidor Portal.
      [SwitchC-web-auth-server-portal_huawei] port 50200    //Establezca el número del puerto de destino en los paquetes que el switch envía al servidor Portal a 50200, que es el mismo que el número de puerto que el servidor Portal usa para recibir paquetes. El número del puerto de destino predeterminado en el switch es 50100, y debe cambiarlo a 50200 manualmente, de modo que coincida con el número de puerto en el servidor Portal.
      [SwitchC-web-auth-server-portal_huawei] shared-key cipher Admin@123    //Configure la clave compartida para la comunicación con el servidor Portal, que debe ser la misma que la configurada en el servidor Portal.
      [SwitchC-web-auth-server-portal_huawei] url http://access.example.com:8080/portal    //Configure el URL para la página de autenticación Portal, en la cual access.example.com indica el nombre de host del servidor Portal. El nombre de dominio se recomienda en el URL para que la página de autenticación Portal pueda enviarse a los usuarios de manera más rápida y segura. Para usar el nombre de dominio en el URL, debe configurar la asignación entre este nombre de dominio access.example.com y la dirección IP del servidor Portal en el servidor DNS por adelantado.
      [SwitchC-web-auth-server-portal_huawei] quit
      [SwitchC] web-auth-server listening-port 2000    //Configure el número de puerto que utiliza el switch para procesar los paquetes del protocolo Portal. El número de puerto predeterminado es 2000. Si el número de puerto se cambia en el servidor, cámbielo en consecuencia en el switch.
      [SwitchC] portal quiet-period    //Habilite la función silenciosa para usuarios de autenticación Portal. Si la cantidad de veces que un usuario de autenticación Portal no puede autenticarse dentro 60 segundos excede el valor especificado, el dispositivo descarta los paquetes de solicitud de autenticación Portal del usuario durante un período para evitar el impacto de fallos frecuentes de autenticación en el sistema.
      [SwitchC] portal quiet-times 5    //Configure la cantidad máxima de fallos de autenticación dentro de los 60 segundos antes de que el dispositivo silencie a un usuario de autenticación Portal.
      [SwitchC] portal timer quiet-period 240    //Establezca el período de silencio a 240 segundos.
      

    4. Habilite la autenticación Portal y configure los derechos de acceso a la red para los usuarios en el dominio de preautenticación y el dominio de post-autenticación.

      # Establezca el modo NAC al unificado.

      [SwitchC] authentication unified-mode    //Establezca el modo NAC al unificado. Por defecto, el switch funciona en modo unificado. Después de cambiar el modo NAC de común a unificado, guarde la configuración y reinicie el switch para que la configuración surta efecto.

      # Configure un perfil de acceso Portal.

      [SwitchC] portal-access-profile name web1
      [SwitchC-portal-acces-profile-web1] web-auth-server portal_huawei direct
      [SwitchC-portal-acces-profile-web1] quit

      # Configure un perfil de regla sin autenticación y especifique los derechos de acceso a la red para los usuarios en el dominio de preautenticación.

      NOTA:

      En versiones anteriores a V200R012C00, si la URL del servidor Portal debe analizarse por DNS y el servidor DNS está en la red de enlace ascendente del dispositivo NAS, también debe crear reglas sin autenticación y asegurarse de que el servidor DNS esté incluido en las reglas sin autenticación. En V200R012C00 y versiones posteriores, el dispositivo NAS automáticamente permite el paso de los paquetes DNS y no se requiere una regla sin autenticación en la autenticación Portal.

      [SwitchC] free-rule-template name default_free_rule
      [SwitchC-free-rule-default_free_rule] free-rule 1 destination ip 172.16.1.2 mask 255.255.255.255    //Configure reglas libres de autenticación para usuarios de autenticación Portal, para que estos usuarios puedan acceder al servidor DNS antes de la autenticación.
      [SwitchC-free-rule-default_free_rule] free-rule 2 destination ip 172.16.1.3 mask 255.255.255.255    //Configure reglas libres de autenticación para usuarios de autenticación Portal, para que estos usuarios puedan acceder al servidor web antes de la autenticación.
      [SwitchC-free-rule-default_free_rule] quit

      # Configure un perfil de autenticación.

      [SwitchC] authentication-profile name p1
      [SwitchC-authen-profile-p1] portal-access-profile web1    //Enlace el perfil de acceso Portal web1.
      [SwitchC-authen-profile-p1] quit

      # Habilite la autenticación Portal.

      [SwitchC] interface vlanif 101
      [SwitchC-Vlanif101] authentication-profile p1   //Habilite la autenticación Portal en la interfaz que conecta con el departamento de I+D.
      [SwitchC-Vlanif101] quit
      [SwitchC] interface vlanif 102
      [SwitchC-Vlanif102] authentication-profile p1   //Habilite la autenticación Portal en la interfaz que conecta con el departamento de marketing.
      [SwitchC-Vlanif102] quit

      # (Recomendado) Configure la dirección IP de origen y la dirección MAC de origen para los paquetes de detección fuera de línea en una VLAN especificada. Se le recomienda configurar la dirección IP del gateway de usuario y su dirección MAC correspondiente como la dirección IP de origen y la dirección MAC de origen de los paquetes de detección fuera de línea. Esta función no tiene efecto para los usuarios que usan la autenticación Portal de Capa 3.

      [SwitchC] access-user arp-detect vlan 101 ip-address 192.168.0.1 mac-address 2222-1111-1234
      [SwitchC] access-user arp-detect vlan 102 ip-address 192.168.1.1 mac-address 2222-1111-1234

      # Configure los derechos de acceso a la red para el dominio de post-autenticación.

      [SwitchC] acl 3001    //Configure el dominio de post-autenticación para empleados de I+D.
      [SwitchC-acl-adv-3001] rule 1 permit ip    //Permita que los empleados de I+D tengan acceso a todos los recursos.
      [SwitchC-acl-adv-3001] quit
      [SwitchC] acl 3002    //Configure el dominio de post-autenticación para empleados de marketing.
      [SwitchC-acl-adv-3002] rule 1 deny ip destination 172.16.1.4 0    //Evitan que los empleados de marketing accedan a la biblioteca de códigos.
      [SwitchC-acl-adv-3002] rule 2 deny ip destination 172.16.1.5 0    //Evitan que los empleados de marketing accedan al sistema de seguimiento de problemas.
      [SwitchC-acl-adv-3002] rule 3 permit ip    //Permita que los empleados de marketing accedan a otros recursos.
      [SwitchC-acl-adv-3002] quit
      [SwitchC] quit
      <SwitchC> save    //Guarde la configuración.

  3. Configure Agile Controller-Campus.
    1. Inicie sesión en Agile Controller-Campus.

      1. Abra Internet Explorer, introduzca la dirección Agile Controller-Campus en el cuadro de dirección, y presione Enter.
        La siguiente tabla proporciona dos tipos de direcciones Agile Controller-Campus.

        Formato de dirección

        Descripción

        https://Agile Controller-Campus-IP:8443

        En la dirección, Agile Controller-Campus-IP indica la dirección IP Agile Controller-Campus.

        Dirección IP Agile Controller-Campus

        Si el puerto 80 está habilitado durante la instalación, puede acceder a Agile Controller-Campus simplemente introduciendo su dirección IP sin el número de puerto. La dirección Agile Controller-Campus cambiará automáticamente a https://Agile Controller-Campus-IP:8443.

      2. Introduzca la cuenta de administrador y la contraseña.

        Si inicia sesión en Agile Controller-Campus por primera vez, use la cuenta del super administrador admin y la contraseña Changeme123. Cambie la contraseña inmediatamente después de iniciar sesión. De lo contrario, el Agile Controller-Campus no se puede usar.

    2. Cree departamentos y cuentas. A continuación se describe cómo crear el departamento R&D. Cree el departamento Marketing de manera similar.

      1. Elija Resource > User > User Management.
      2. Haga clic en la tab Department en el área de operación a la derecha. A continuación, haga clic en Add bajo la tab Department, y agregue el departamento R&D.

      3. Haga clic en la tab User en el área de operación a la derecha. A continuación, haga clic en Add bajo la tab User y agregue el usuario A.

      4. Haga clic en en la columna Operation a la derecha del usuario A. Se muestra la página Account Management. Haga clic en Add, y cree una cuenta común A-123 con la contraseña Huawei123.

      5. En la página de la tab User, seleccione el usuario A y haga clic en Transfer para agregar el usuario A al departamento R&D.

    3. Agregue un switch a Agile Controller-Campus y configure los parámetros relacionados para garantizar la comunicación normal entre Agile Controller-Campus y switch.

      1. Elija Resource > Device > Device Management.
      2. Haga clic en Add.
      3. Configure los parámetros para el switch.

        Parámetro

        Valor

        Descripción

        Name

        SW

        -

        IP Address

        172.16.1.254

        La interfaz debe ser capaz de comunicarse con el SC.

        Device series

        Huawei Quidway Series

        -

        Authentication Key

        Admin@123

        Debe ser la misma que la clave compartida del servidor de autenticación RADUIS configurada en el switch.

        Charging Key

        Admin@123

        Debe ser la misma que la clave compartida del servidor de contabilidad RADUIS configurada en el switch.

        Real-time charging interval (minute)

        15

        Debe ser el mismo que el intervalo de contabilidad en tiempo real configurado en el switch.

        Port

        2000

        Este es el puerto que usa el switch para comunicarse con el servidor Portal. Conserva el valor predeterminado.

        Portal Key

        Admin@123

        Debe ser la misma que la clave compartida Portal configurada en el switch.

        Allowed IP Addresses

        192.168.0.1/24; 192.168.1.1/24

        -

      4. Haga clic en OK.

    1. Configure la autorización del empleado. Este ejemplo describe cómo configurar la autorización de los empleados de I+D. El procedimiento de configuración para los empleados de marketing es el mismo, excepto que los recursos de red a los que los dos tipos de empleados pueden acceder son diferentes.

      1. Elija Policy > Permission Control > Authentication and Authorization > Authorization Result, y configure los recursos a los que los empleados de I+D pueden acceder después de la autenticación y la autorización.

        Parámetro

        Valor

        Descripción

        Name

        R&D employee post-authentication domain

        -

        Service Type

        Access Service

        -

        ACL Number/AAA User Group

        3001

        El número de ACL debe ser el mismo que el número de ACL configurado para los empleados de I+D en el switch.

      2. Elija Policy > Permission Control > Authentication and Authorization > Authorization Rule, y especifique las condiciones de autorización para los empleados de I+D.

        Parámetro

        Valor

        Descripción

        Name

        R&D employee authorization rule

        -

        Service Type

        Access User

        -

        Department

        R&D

        -

        Authorization Result

        R&D employee post-authentication domain

        -

  4. Verifique la configuración.

    • Los empleados solo pueden acceder a los servidores Agile Controller-Campus, DNS y web antes de la autenticación.
    • La página de autenticación Portal se envía a un empleado cuando el empleado intenta visitar un sitio web de Internet. Después de que el empleado introduzca la cuenta y la contraseña correcta, se muestra la página web solicitada.
    • El empleado de I+D A puede acceder a Internet, a la biblioteca de códigos y al sistema de seguimiento de problemas después de la autenticación. El empleado de marketing B puede acceder a Internet, pero no a la biblioteca de códigos ni al sistema de seguimiento de problemas después de la autenticación.
    • Después de autenticar a un empleado, ejecute el comando display access-user en el switch. La salida del comando muestra que el empleado está en línea.

Archivos de configuración

# Archivo de configuración del switch de acceso para el departamento de I+D
#
sysname SwitchA
#
vlan batch 101
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 101
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 101
#
return 
# Archivo de configuración del switch de acceso para el departamento de marketing
#
sysname SwitchB
#
vlan batch 102
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 102
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 102
#
return 

# Archivo de configuración del switch de agregación

#
sysname SwitchC
#
vlan batch 101 to 103
#
authentication-profile name p1
 portal-access-profile web1
#
domain portal
#
access-user arp-detect vlan 101 ip-address 192.168.0.1 mac-address 2222-1111-1234
access-user arp-detect vlan 102 ip-address 192.168.1.1 mac-address 2222-1111-1234
#
dhcp enable
#
radius-server template policy
 radius-server shared-key cipher %#%#lJIB8CQ<:A;x$h2V5+;+C>HwC+@XAL)ldpQI}:$X%#%#
 radius-server authentication 172.16.1.1 1812 source ip-address 172.16.1.254 weight 80
 radius-server accounting 172.16.1.1 1813 source ip-address 172.16.1.254 weight 80
#
acl number 3001
 rule 1 permit ip
acl number 3002
 rule 1 deny ip destination 172.16.1.4 0
 rule 2 deny ip destination 172.16.1.5 0
 rule 3 permit ip
#
free-rule-template name default_free_rule
 free-rule 1 destination ip 172.16.1.2 mask 255.255.255.255
 free-rule 2 destination ip 172.16.1.3 mask 255.255.255.255
# 
web-auth-server portal_huawei
 server-ip 172.16.1.1
 port 50200
 shared-key cipher %#%#q9a^<=Ct5'=0n40/1g}/m6Mo,U9u5!s(GYM}Z{<~%#%#
 url http://access.example.com:8080/portal
 source-ip 172.16.1.254
#
portal-access-profile name web1 
 web-auth-server portal_huawei direct 
#
aaa
 authentication-scheme auth
  authentication-mode radius
 accounting-scheme acco
  accounting-mode radius
  accounting realtime 15
 domain portal
  authentication-scheme auth
  accounting-scheme acco
  radius-server policy
#
interface Vlanif101
 ip address 192.168.0.1 255.255.255.0
 authentication-profile p1 
 dhcp select interface
 dhcp server dns-list 172.16.1.2
#
interface Vlanif102
 ip address 192.168.1.1 255.255.255.0
 authentication-profile p1 
 dhcp select interface
 dhcp server dns-list 172.16.1.2
#
interface Vlanif103
 ip address 172.16.1.254 255.255.255.0
#
interface GigabitEthernet1/0/1
 port link-type trunk
 port trunk pvid vlan 101
 port trunk allow-pass vlan 101
#
interface GigabitEthernet1/0/2
 port link-type trunk
 port trunk pvid vlan 102
 port trunk allow-pass vlan 102
#
interface GigabitEthernet1/0/3
 port link-type access
 port default vlan 103
#
portal quiet-period
portal timer quiet-period 240
portal quiet-times 5
#
return 
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15421

Descargas: 129

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente