No se encuentran recursos de mapeo en el idioma seleccionado.

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo para configurar la autorización de usuario basada en ACL o VLAN dinámica

Ejemplo para configurar la autorización de usuario basada en ACL o VLAN dinámica

Descripción general

Después de que un usuario 802.1X se autentica exitosamente en un servidor RADIUS, el servidor envía información de autorización al dispositivo de acceso del usuario. Cuando Agile Controller-Campus funciona como el servidor RADIUS, pueden entregar múltiples parámetros de autorización.
  • La autorización basada en ACL se clasifica en:
    • Autorización basada en la descripción de ACL: Si la autorización basada en la descripción de ACL está configurada en el servidor, la información de autorización incluye la descripción de ACL. El dispositivo coincide con las reglas de ACL basadas en la descripción de ACL autorizada por el servidor para controlar los derechos de los usuarios. El número de ACL, la descripción correspondiente y la regla de ACL se deben configurar en el dispositivo.

      Se usa el atributo de RADIUS estándar (011) Filter-Id.

    • Autorización basada en ACL dinámica: El servidor autoriza reglas en una ACL para el dispositivo. Los usuarios pueden acceder a los recursos de red controlados utilizando esta ACL. La ACL y las reglas de ACL se deben configurar en el servidor. La ACL no debe configurarse en el dispositivo.

      Se utiliza el atributo RADIUS de propiedad de Huawei (26-82) HW-Data-Filter.

  • VLAN dinámica: Si la entrega de VLAN dinámica está configurada en el servidor, la información de autorización incluye el atributo de la VLAN entregada. Una vez que el dispositivo reciba el atributo de la VLAN entregada, cambie la VLAN del usuario a la VLAN entregada.

    La VLAN enviada no cambia ni afecta la configuración de la interfaz. La VLAN entregada, sin embargo, tiene prioridad sobre la VLAN configurada en la interfaz. Es decir, la VLAN entregada tiene efecto después de que la autenticación se realice correctamente, y la VLAN configurada tiene efecto después de que el usuario esté fuera de línea.

    Los siguientes atributos de RADIUS estándar se utilizan para la entrega de VLAN dinámica:
    • (064) Tunnel-Type (Debe establecerse a VLAN o 13.)
    • (065) Tunnel-Medium-Type (Debe establecerse a 802 o 6.)
    • (081) Tunnel-Private-Group-ID (Para dispositivos que ejecutan versiones anteriores a V200R012C00, puede ser el ID de VLAN o la descripción de VLAN. Para dispositivos que ejecutan V200R012C00 y versiones posteriores, puede ser el ID de VLAN, la descripción de VLAN, el nombre de VLAN o el grupo de VLAN.

    Para garantizar que el servidor RADIUS entregue la información de VLAN correctamente, se deben usar los tres atributos RADIUS. Además, los atributos Tunnel-Type y Tunnel-Medium-Type se deben establecer a los valores especificados.

NOTA:

A continuación, se usan el número de ACL y la entrega de VLAN dinámica como ejemplo. Las diferencias de configuración entre la entrega del número de ACL y la entrega de ACL dinámica se describen en notas.

Notas de configuración

Cuando el dispositivo es compatible con grupos UCL, se recomienda el uso de grupos UCL para configurar las reglas de autorización. Para obtener detalles, consulte la sección "AAA Configuration" > "Configuring Authorization Rules" en Configuration Guide - User Access and Authentication.

Este ejemplo se aplica a todos los switches de la serie S.

NOTA:
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.
Haciendo que la autorización basada en VLAN tenga efecto, tiene los siguientes requisitos sobre el tipo de enlace y el modo de control de acceso de la interfaz de autenticación:
  • Si el tipo de enlace de interfaz es híbrido y la interfaz se ha agregado a una VLAN en modo sin etiqueta, el modo de control de acceso puede basarse en la dirección MAC o en la interfaz.
  • Si el tipo de enlace de interfaz es de acceso o troncal, el modo de control de acceso solo puede basarse en la interfaz.

Requisitos de redes

Como se muestra en Figura 11-28, un gran número de los terminales de los empleados en una empresa se conectan a la intranet a través de GE0/0/1 en SwitchA. Para garantizar la seguridad de la red, el administrador debe controlar los derechos de acceso a la red de los terminales. Los requisitos son los siguientes:
  • Antes de pasar la autenticación, los terminales pueden acceder al servidor público (con dirección IP 192.168.40.1), descargar el cliente 802.1X o actualizar la base de datos antivirus.
  • Después de pasar la autenticación, los terminales pueden acceder al servidor de servicio (con dirección IP 192.168.50.1) y dispositivos en el laboratorio (con ID de VLAN de 20 y segmento de dirección IP de 192.168.20.10-192.168.20.100).
Figura 11-28  Diagrama de redes de acceso por cable

Plan de datos

Tabla 11-17  Plan de datos de servicio para el switch de acceso

Ítem

Datos

Esquema RADIUS

  • Dirección IP del servidor de autenticación: 192.168.30.1

  • Número de puerto del servidor de autenticación: 1812

  • Dirección IP del servidor de contabilidad: 192.168.30.1

  • Número de puerto del servidor de contabilidad: 1813

  • Clave compartida para el servidor RADIUS: Huawei@123

  • Intervalo de contabilidad: 15 minutos

  • Dominio de autenticación: huawei

Recursos accesibles para los usuarios antes de la autenticación

Los derechos de acceso al servidor público se configuran utilizando una regla libre de autenticación. El nombre del perfil de regla libre de autenticación es default_free_rule.

Recursos accesibles para los usuarios después de la autenticación

Los derechos de acceso al laboratorio se otorgan utilizando una VLAN dinámica. El ID de VLAN es 20.

Los derechos de acceso al servidor de servicio se otorgan usando un número de ACL. El número de ACL es 3002.

Tabla 11-18  Plan de datos de servicio para Agile Controller-Campus

Ítem

Datos

Departamento

Departamento de I+D

Usuario de acceso

Nombre de usuario: A

Cuenta de acceso por cable: A-123

Contraseña: Huawei123

Dirección IP de switch

SwitchA: 10.10.10.1

Clave de autenticación RADIUS

Huawei@123

Clave de contabilidad RADIUS

Huawei@123

Hoja de ruta de configuración

  1. Configure el switch de acceso, incluyendo las interfaces de las VLAN a las que pertenecen, los parámetros para conectarse al servidor RADIUS, habilitando NAC, y los derechos de acceso a la red que los usuarios obtienen después de pasar la autenticación.
    NOTA:
    En este ejemplo, asegúrese de que existan rutas accesibles entre SwitchA, SwitchB, servidores, laboratorio, y terminales de los empleados.
  2. Configure Agile Controller-Campus.
    1. Inicie sesión en Agile Controller-Campus.
    2. Agregue una cuenta a Agile Controller-Campus.
    3. Agregue switches a Agile Controller-Campus.
    4. Configure los resultados de autorización y las reglas de autorización en Agile Controller-Campus.

Procedimiento

  1. Configure el switch de acceso SwitchA.
    1. Cree las VLAN y configure las VLAN permitidas en las interfaces para garantizar la conectividad de la red.

      <Quidway> system-view
      [Quidway] sysname SwitchA
      [SwitchA] vlan batch 10 20
      [SwitchA] interface gigabitethernet 0/0/1    //Configure la interfaz que se conecta con los terminales de los empleados.
      [SwitchA-GigabitEthernet0/0/1] port link-type hybrid
      [SwitchA-GigabitEthernet0/0/1] port hybrid pvid vlan 10
      [SwitchA-GigabitEthernet0/0/1] port hybrid untagged vlan 10
      [SwitchA-GigabitEthernet0/0/1] quit
      [SwitchA] interface gigabitethernet 0/0/2    //Configure la interfaz conectada al laboratorio.
      [SwitchA-GigabitEthernet0/0/2] port link-type hybrid
      [SwitchA-GigabitEthernet0/0/2] port hybrid untagged vlan 20
      [SwitchA-GigabitEthernet0/0/2] quit
      [SwitchA] interface gigabitethernet 0/0/3    //Configure la interfaz conectada al SwitchB.
      [SwitchA-GigabitEthernet0/0/3] port link-type trunk
      [SwitchA-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20
      [SwitchA-GigabitEthernet0/0/3] quit
      [SwitchA] interface loopback 1
      [SwitchA-LoopBack1] ip address 10.10.10.1 24    //Configure una dirección IP para la comunicación con Agile Controller-Campus.
      [SwitchA-LoopBack1] quit
      [SwitchA] interface vlanif 10
      [SwitchA-Vlanif10] ip address 192.168.1.10 24
      [SwitchA-Vlanif10] quit

    2. Cree y configure una plantilla de servidor RADIUS, un esquema de autenticación AAA y un dominio de autenticación.

      # Cree y configure la plantilla de servidor RADIUS rd1.
      [SwitchA] radius-server template rd1
      [SwitchA-radius-rd1] radius-server authentication 192.168.30.1 1812
      [SwitchA-radius-rd1] radius-server accounting 192.168.30.1 1813
      [SwitchA-radius-rd1] radius-server shared-key cipher Huawei@123
      [SwitchA-radius-rd1] quit
      
      # Cree el esquema de autenticación AAA abc y establezca el modo de autenticación a RADIUS.
      [SwitchA] aaa
      [SwitchA-aaa] authentication-scheme abc
      [SwitchA-aaa-authen-abc] authentication-mode radius
      [SwitchA-aaa-authen-abc] quit
      # Configure el esquema de contabilidad acco1 y establezca el modo de contabilidad a RADIUS.
      [SwitchA-aaa] accounting-scheme acco1
      [SwitchA-aaa-accounting-acco1] accounting-mode radius
      [SwitchA-aaa-accounting-acco1] accounting realtime 15
      [SwitchA-aaa-accounting-acco1] quit
      # Cree el dominio de autenticación huawei, y enlace el esquema de autenticación AAA abc, el esquema de contabilidad acco1, y la plantilla de servidor RADIUS rd1 al dominio.
      [SwitchA-aaa] domain huawei
      [SwitchA-aaa-domain-huawei] authentication-scheme abc
      [SwitchA-aaa-domain-huawei] accounting-scheme acco1
      [SwitchA-aaa-domain-huawei] radius-server rd1
      [SwitchA-aaa-domain-huawei] quit
      [SwitchA-aaa] quit

    3. Configure un perfil de regla libre de autenticación.

      [SwitchA] free-rule-template name default_free_rule
      [SwitchA-free-rule-default_free_rule] free-rule 10 destination ip 192.168.40.0 mask 24
      [SwitchA-free-rule-default_free_rule] quit
      

    4. Habilite la autenticación 802.1X.

      # Establezca el modo NAC al unificado.

      [SwitchA] authentication unified-mode
      NOTA:
      Por defecto, el modo unificado está habilitado. Antes de cambiar el modo NAC, debe guardar la configuración. Después de cambiar el modo y reiniciar el dispositivo, entran en vigencia las funciones del modo recién configurado.
      # Configure el perfil de acceso 802.1X d1.
      [SwitchA] dot1x-access-profile name d1
      [SwitchA-dot1x-access-profile-d1] quit

      # Configure el perfil de autenticación p1, enlace el perfil de acceso 802.1X d1 y el perfil de regla libre de autenticación default_free_rule con el perfil de autenticación, especifique el dominio huawei como el dominio de autenticación forzada en el perfil de autenticación, y establezca el modo de acceso de usuario a multi-authen

      [SwitchA] authentication-profile name p1
      [SwitchA-authen-profile-p1] dot1x-access-profile d1
      [SwitchA-authen-profile-p1] free-rule-template default_free_rule
      [SwitchA-authen-profile-p1] access-domain huawei force
      [SwitchA-authen-profile-p1] authentication mode multi-authen
      [SwitchA-authen-profile-p1] quit

      # Enlace el perfil de autenticación p1 a GE0/0/1 y habilite la autenticación 802.1X en la interfaz.

      [SwitchA] interface gigabitethernet 0/0/1
      [SwitchA-GigabitEthernet0/0/1] authentication-profile p1
      [SwitchA-GigabitEthernet0/0/1] quit

      # (Recomendado) Configure la dirección IP de origen y la dirección MAC de origen para los paquetes de detección fuera de línea en una VLAN especificada. Se le recomienda configurar la dirección IP del gateway de usuario y su dirección MAC correspondiente como la dirección IP de origen y la dirección MAC de origen de los paquetes de detección fuera de línea.

      [SwitchA] access-user arp-detect vlan 10 ip-address 192.168.1.10 mac-address 2222-1111-1234

    5. Configure el parámetro de autorización ACL 3002 para los usuarios que pasen la autenticación.

      NOTA:

      En el modo ACL dinámico, este paso no debe configurarse en el dispositivo.

      [SwitchA] acl 3002
      [SwitchA-acl-adv-3002] rule 1 permit ip destination 192.168.30.1 0
      [SwitchA-acl-adv-3002] rule 2 permit ip destination 192.168.50.1 0
      [SwitchA-acl-adv-3002] rule 3 deny ip destination any
      [SwitchA-acl-adv-3002] quit

  2. Configure Agile Controller-Campus.
    1. Inicie sesión en Agile Controller-Campus.

      1. Abra Internet Explorer, introduzca la dirección de acceso de Agile Controller-Campus en la barra de direcciones, y presione Enter.
        La siguiente tabla describe las direcciones para acceder a Agile Controller-Campus.

        Modo de acceso

        Descripción

        https://Agile Controller-Campus-IP:8443

        Agile Controller-Campus-IP especifica la dirección IP de Agile Controller-Campus.

        Dirección IP del Agile Controller-Campus

        Si el puerto 80 está habilitado durante la instalación, puede acceder Agile Controller-Campus introduciendo su dirección IP sin el número de puerto. La URL de Agile Controller-Campus cambiará automáticamente a https://Agile Controller-Campus-IP:8443.

      2. Introduzca el nombre de usuario y la contraseña del administrador.

        Si inicia sesión en Agile Controller-Campus por primera vez, use el nombre de administrador admin y la contraseña Changeme123. Cambie la contraseña inmediatamente después de iniciar sesión. De lo contrario, el Agile Controller-Campus no se puede usar.

    2. Cree un departamento y una cuenta.

      1. Elija Resource > User > User Management.
      2. Haga clic en la tab Department en el área de operaciones a la derecha, y luego haga clic en Add bajo la tab Department para agregar un departamento R&D.

      3. Haga clic en la tab User en el área de operación a la derecha, y luego haga clic en Add bajo la tab User para agregar un usuario A.

      4. Haga clic en que está al lado del usuario A en Operation para acceder a Account Management. Haga clic en Add. Cree una cuenta común A-123 y establezca la contraseña a Huawei123.

      5. En la tab User, seleccione usuario A. Haga clic en Transfer para agregar el usuario A al departamento de R&D.

    3. Agregue switches a Agile Controller-Campus para que los switches se puedan comunicar con Agile Controller-Campus.

      Elija Resource > Device > Device Management. Haga clic en Add en el área de operación a la derecha. Establezca los parámetros de conexión en la página Add Device.

    4. Agregue un resultado de autorización.

      NOTA:
      Realice este paso para el número de ACL y la entrega de VLAN.
      1. Elija Policy > Permission Control > Authentication and Authorization > Authorization Result y haga clic en Add para crear un resultado de autorización.

      2. Configure la información básica para el resultado de autorización.

        Parámetro

        Valor

        Descripción

        Name

        Authorization info for authenticated users

        -

        Service type

        Access service

        -

        VLAN

        20

        La VLAN debe ser la misma que la VLAN configurada para los empleados de I+D en el switch.

        ACL number/AAA user group

        3002

        El número de ACL debe ser el mismo que el número de ACL configurado para los empleados de I+D en el switch.

    5. Agregue un resultado de autorización.

      NOTA:
      Realice este paso para la entrega de ACL y VLAN dinámica.
      1. Agregue una ACL dinámica.
        1. Elija Policy > Permission Control > Policy Element > Dynamic ACL.
        2. Haga clic en Add.
        3. Configure la información básica para la ACL dinámica y haga clic en Add en Rule List.
        4. Configure los atributos contenidos en la ACL dinámica.

      2. Elija Policy > Permission Control > Authentication and Authorization > Authorization Result y haga clic en Add para crear un resultado de autorización.
      3. Configure la información básica para el resultado de autorización.

        Parámetro

        Valor

        Descripción

        Name

        Authorization information for users who pass authentication

        -

        Service type

        Access service

        -

        VLAN

        20

        El ID de VLAN debe ser el mismo que el ID de VLAN configurado para los empleados de I+D en el switch.

        Dynamic ACL

        3002

        -

    6. Agregue una regla de autorización.

      Después de que un usuario pase la autenticación, comienza la fase de autorización. Agile Controller-Campus concede los derechos de acceso del usuario en función de la regla de autorización.

      1. Elija Policy > Permission Control > Authentication and Authorization > Authorization Rule y haga clic en Add para crear una regla de autorización.

      2. Configure la información básica para la regla de autorización.

        Parámetro

        Valor

        Descripción

        Name

        Authorization rule for authenticated users

        -

        Service type

        Access service

        -

        Department

        R&D department

        -

        Authorization result

        Authorization info for authenticated users

        -

  3. Verifique la configuración.

    • Un empleado solo puede acceder al servidor Agile Controller-Campus y al servidor público antes de pasar la autenticación.
    • Un empleado puede acceder al servidor Agile Controller-Campus, servidor público, servidor de servicio y laboratorio después de pasar la autenticación.
    • Una vez que el empleado haya pasado la autenticación, ejecute el comando display access-user en el switch. El resultado del comando muestra información sobre el empleado en línea.

Archivo de configuración de switch

#
sysname SwitchA
#
vlan batch 10 20
#
authentication-profile name p1
 dot1x-access-profile d1
 free-rule-template default_free_rule
 access-domain huawei force
#
access-user arp-detect vlan 10 ip-address 192.168.1.10 mac-address 2222-1111-1234
#
radius-server template rd1
 radius-server shared-key cipher %^%#FP@&C(&{$F2HTlPxg^NLS~KqA/\^3Fex;T@Q9A](%^%#
 radius-server authentication 192.168.30.1 1812 weight 80
 radius-server accounting 192.168.30.1 1813 weight 80
#
acl number 3002
 rule 1 permit ip destination 192.168.30.1 0 
 rule 2 permit ip destination 192.168.50.1 0 
 rule 3 deny ip
#
free-rule-template name default_free_rule
 free-rule 10 destination ip 192.168.40.0 mask 255.255.255.0
# 
aaa
 authentication-scheme abc
  authentication-mode radius
 accounting-scheme acco1
  accounting-mode radius
  accounting realtime 15
 domain huawei
  authentication-scheme abc
  accounting-scheme acco1
  radius-server rd1
#
interface Vlanif10
 ip address 192.168.1.10 255.255.255.0
#
interface GigabitEthernet0/0/1
 port link-type hybrid
 port hybrid pvid vlan 10 
 port hybrid untagged vlan 10
 authentication-profile p1
#
interface GigabitEthernet0/0/2
 port link-type hybrid
 port hybrid untagged vlan 20
#
interface GigabitEthernet0/0/3
 port link-type trunk
 port trunk allow-pass vlan 10 20
#
interface LoopBack1
 ip address 10.10.10.1 255.255.255.0
#  
dot1x-access-profile name d1
#
return 
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15788

Descargas: 131

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente