No se encuentran recursos de mapeo en el idioma seleccionado.

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo para configurar la autenticación 802.1X para controlar el acceso del usuario

Ejemplo para configurar la autenticación 802.1X para controlar el acceso del usuario

Descripción general de la autentificación 802.1X

802.1X es un protocolo de control de acceso a la red basado en el puerto y la autenticación 802.1X es uno de los modos de autenticación NAC. La autenticación 802.1X garantiza la seguridad de las intranets empresariales.

La autenticación 802.1X garantiza una alta seguridad; sin embargo, se requiere que el software del cliente 802.1X se instale en los terminales de usuario, lo que da como resultado una implementación inflexible de la red. Otros dos métodos de autenticación NAC tienen sus ventajas y desventajas: La autenticación de dirección MAC no requiere la instalación del software del cliente, pero las direcciones MAC deben estar registradas en un servidor de autenticación. La autenticación Portal tampoco requiere la instalación del software del cliente y proporciona una implementación flexible, pero tiene poca seguridad.

Como resultado, la autenticación 802.1X se aplica a escenarios con redes nuevas, distribución centralizada de usuarios, y estrictos requisitos de seguridad de la información.

Notas de configuración

Este ejemplo se aplica a todos los switches de la serie S.

NOTA:
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.

Requisitos de redes

Como se muestra Figura 11-29, los terminales en una oficina están conectados a la red interna de la compañía a través del Switch. El acceso no autorizado a la red interna puede dañar el sistema de servicio de la empresa y provocar la fuga de la información clave. Por lo tanto, el administrador requiere que el Switch controle los derechos de acceso a la red de los usuarios para garantizar la seguridad de la red interna.

La autenticación 802.1X está configurada y el servidor RADIUS se utiliza para autenticar las identidades de los usuarios, para cumplir con los altos requisitos de seguridad de la compañía.

Figura 11-29  Diagrama de redes para configurar la autenticación 802.1X

Hoja de ruta de configuración

La hoja de ruta de configuración es la siguiente:

  1. Configure las interconexiones de red.
  2. Configure AAA en el Switch para implementar autenticación de identidad en los usuarios de acceso a través del servidor RADIUS. La configuración incluye configurar una plantilla de servidor RADIUS, un esquema AAA y un dominio de autenticación, y enlazar la plantilla de servidor RADIUS y el esquema AAA con el dominio de autenticación.
  3. Configure la autenticación 802.1X para controlar los derechos de acceso a la red de los empleados en las oficinas. La configuración incluye:
    1. Configure un perfil de acceso 802.1X.
    2. Configure un perfil de autenticación.
    3. Habilite la autenticación 802.1X en una interfaz.
NOTA:
  • Antes de realizar operaciones en este ejemplo, asegúrese de que los terminales de acceso de usuario y el servidor puedan comunicarse.

  • Este ejemplo solo proporciona la configuración del Switch. Las configuraciones del LAN Switch y el servidor no se proporcionan aquí.

  • En este ejemplo, el switch LAN existe entre el switch de acceso Switch y los usuarios. Para garantizar que los usuarios puedan pasar la autenticación 802.1X, debe configurar la función de transmisión transparente del paquete EAP en el switch LAN.
    • Método 1: El S5300 se usa como un ejemplo del switch LAN. Realice las siguientes operaciones:
      1. Ejecute el comando l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002 en la vista del sistema del switch LAN para configurar el switch LAN para transmitir transparentemente paquetes EAP.
      2. Ejecute el comando l2protocol-tunnel user-defined-protocol 802.1x enable en la interfaz que conecta a los usuarios y la interfaz que se conecta al switch de acceso para habilitar la función de transmisión transparente del protocolo de Capa 2.
    • Método 2: Este método se recomienda cuando existe una gran cantidad de usuarios o se requiere un alto rendimiento de la red. Solo S5320EI, S5320HI, S6320HI y S6320EI son compatibles con este método.
      1. Ejecute los siguientes comandos en la vista del sistema:
        • undo bpdu mac-address 0180-c200-0000 ffff-ffff-fff0
        • bpdu mac-address 0180-c200-0000 FFFF-FFFF-FFFE
        • bpdu mac-address 0180-c200-0002 FFFF-FFFF-FFFF
        • bpdu mac-address 0180-c200-0004 FFFF-FFFF-FFFC
        • bpdu mac-address 0180-c200-0008 FFFF-FFFF-FFF8
      2. (Este paso es obligatorio cuando cambia del método 1 al método 2.) Ejecute el comando undo l2protocol-tunnel user-defined-protocol 802.1x enable en la vista de interfaz para eliminar la configuración de transmisión transparente de los paquetes de protocolo 802.1x.

Procedimiento

  1. Cree las VLAN y configure las VLAN permitidas por las interfaces para que los paquetes puedan reenviarse.

    # Cree VLAN 10 y VLAN 20.

    <Quidway> system-view
    [Quidway] sysname Switch
    [Switch] vlan batch 10 20

    # Configure GE1/0/1 conectando el Switch a los usuarios como una interfaz de acceso y agregue la interfaz a la VLAN 10.

    [Switch] interface gigabitethernet1/0/1
    [Switch-GigabitEthernet1/0/1] port link-type access
    [Switch-GigabitEthernet1/0/1] port default vlan 10 
    [Switch-GigabitEthernet1/0/1] quit
    [Switch] interface vlanif 10
    [Switch-Vlanif10] ip address 192.168.1.10 24
    [Switch-Vlanif10] quit

    # Configure GE1/0/2 conectando el Switch al servidor RADIUS como una interfaz de acceso y agregue la interfaz a la VLAN 20.

    [Switch] interface gigabitethernet1/0/2
    [Switch-GigabitEthernet1/0/2] port link-type access
    [Switch-GigabitEthernet1/0/2] port default vlan 20 
    [Switch-GigabitEthernet1/0/2] quit
    [Switch] interface vlanif 20
    [Switch-Vlanif20] ip address 192.168.2.10 24
    [Switch-Vlanif20] quit

  2. Configure AAA.

    # Cree y configure la plantilla de servidor RADIUS rd1.

    [Switch] radius-server template rd1
    [Switch-radius-rd1] radius-server authentication 192.168.2.30 1812
    [Switch-radius-rd1] radius-server shared-key cipher Huawei@2012
    [Switch-radius-rd1] quit

    # Cree el esquema de autenticación AAA abc y establezca el modo de autenticación a RADIUS.

    [Switch] aaa
    [Switch-aaa] authentication-scheme abc
    [Switch-aaa-authen-abc] authentication-mode radius
    [Switch-aaa-authen-abc] quit

    # Cree un dominio de autenticación huawei.com, y enlace el esquema de autenticación AAA abc y la plantilla de servidor RADIUS rd1 con el dominio.

    [Switch-aaa] domain huawei.com
    [Switch-aaa-domain-huawei.com] authentication-scheme abc
    [Switch-aaa-domain-huawei.com] radius-server rd1
    [Switch-aaa-domain-huawei.com] quit
    [Switch-aaa] quit

    # Compruebe si un usuario puede pasar la autenticación RADIUS. La prueba del usuario test y la contraseña Huawei2012 se han configurado en el servidor RADIUS.

    [Switch] test-aaa test Huawei2012 radius-template rd1
    Info: Account test succeed.

  3. Configure la autenticación 802.1X.

    # Establezca el modo NAC al unificado.
    [Switch] authentication unified-mode
    NOTA:
    • Por defecto, se usa el modo unificado.
    • Después de cambiar el modo NAC del común al unificado, guarde la configuración y reinicie el dispositivo para que la configuración surta efecto.
    # Configure el perfil de acceso 802.1X d1.
    NOTA:

    De forma predeterminada, un perfil de acceso 802.1X utiliza el modo de autenticación EAP. Asegúrese de que el servidor RADIUS sea compatible con EAP; de lo contrario, el servidor no puede procesar los paquetes de solicitud de autenticación 802.1X.

    [Switch] dot1x-access-profile name d1
    [Switch-dot1x-access-profile-d1] quit

    # Configure el perfil de autenticación p1, enlace el perfil de acceso 802.1X d1 con el perfil de autenticación, especifique el dominio huawei.com como el dominio de autenticación forzada en el perfil de autenticación, establezca el modo de acceso de usuario a multi-authen, y establezca el número máximo de los usuarios de acceso a 100.

    [Switch] authentication-profile name p1
    [Switch-authen-profile-p1] dot1x-access-profile d1
    [Switch-authen-profile-p1] access-domain huawei.com force
    [Switch-authen-profile-p1] authentication mode multi-authen max-user 100
    [Switch-authen-profile-p1] quit

    # Enlace el perfil de autenticación p1 a GE1/0/1 y habilite la autenticación 802.1x en la interfaz.

    [Switch] interface gigabitethernet1/0/1
    [Switch-GigabitEthernet1/0/1] authentication-profile p1
    [Switch-GigabitEthernet1/0/1] quit

    # (Recomendado) Configure la dirección IP de origen y la dirección MAC de origen para los paquetes de detección fuera de línea en una VLAN especificada. Se le recomienda configurar la dirección IP del gateway de usuario y su dirección MAC correspondiente como la dirección IP de origen y la dirección MAC de origen de los paquetes de detección fuera de línea.

    [Switch] access-user arp-detect vlan 10 ip-address 192.168.1.10 mac-address 2222-1111-1234

  4. Verifique la configuración.

    1. Un usuario inicia el cliente 802.1X en un terminal e introduzca el nombre de usuario y la contraseña para la autenticación.
    2. Si el nombre de usuario y la contraseña son correctas, se muestra un mensaje de autenticación exitosa en la página del cliente. El usuario puede acceder a la red.
    3. Una vez que los usuarios se conectan, puede ejecutar el comando display access-user access-type dot1x en el dispositivo para ver información sobre los usuarios de autenticación 802.1X en línea.

Archivos de configuración

Archivo de configuración del Switch

#
sysname Switch
#
vlan batch 10 20
#
authentication-profile name p1
 dot1x-access-profile d1
 authentication mode multi-authen max-user 100
 access-domain huawei.com force
#
access-user arp-detect vlan 10 ip-address 192.168.1.10 mac-address 2222-1111-1234
#
radius-server template rd1
 radius-server shared-key cipher %#%#4*SO-2u,Q.\1C~%[eiB77N/^2wME;6t%6U@qAJ9:%#%#
 radius-server authentication 192.168.2.30 1812 weight 80
#
dot1x-access-profile name d1
#
aaa
 authentication-scheme abc
  authentication-mode radius
 domain huawei.com
  authentication-scheme abc
  radius-server rd1
#
interface GigabitEthernet1/0/1
 port link-type access
 port default vlan 10
 authentication-profile p1
#
interface GigabitEthernet1/0/2
 port link-type access
 port default vlan 20
#
interface Vlanif10
 ip address 192.168.1.10 255.255.255.0
#
interface Vlanif20
 ip address 192.168.2.10 255.255.255.0
#
return
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15669

Descargas: 131

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente