No se encuentran recursos de mapeo en el idioma seleccionado.

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo para configurar la autenticación Portal para controlar el acceso del usuario

Ejemplo para configurar la autenticación Portal para controlar el acceso del usuario

Descripción general de la autenticación Portal

Como uno de los modos de autenticación NAC, la autenticación Portal también se llama autenticación web. En general, los sitios web de autenticación Portal también se denominan sitios web Portal. Cuando los usuarios se conecten, deben estar autenticados en los sitios web Portal. Los usuarios pueden usar recursos de red solo después de que pasen la autenticación.

La autenticación Portal no puede garantizar una alta seguridad, pero no requiere la instalación del software del cliente y proporciona una implementación flexible. Otros dos métodos de autenticación NAC tienen sus ventajas y desventajas: La autenticación 802.1X garantiza una alta seguridad, pero se requiere que el software del cliente 802.1X se instale en los terminales del usuario, lo que causa una implementación inflexible de la red. La autenticación de dirección MAC no requiere la instalación del software del cliente, pero las direcciones MAC deben estar registradas en un servidor de autenticación, lo que resulta en una administración compleja.

La autenticación Portal se aplica a escenarios donde una gran cantidad de usuarios dispersos, como visitantes de la empresa, se mueven con frecuencia.

Notas de configuración

Este ejemplo se aplica a todos los switches de la serie S(excepto S2350EI y S5300LI).

NOTA:
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.

Requisitos de redes

Como se muestra Figura 11-31, los terminales en el área de visitantes están conectados a la red interna de la compañía a través del Switch. El acceso no autorizado a la red interna puede dañar el sistema de servicio de la empresa y provocar la fuga de la información clave. Por lo tanto, el administrador requiere que el Switch controle los derechos de acceso a la red de los usuarios para garantizar la seguridad de la red interna.

Debido a que los visitantes se mueven con frecuencia, la autenticación Portal está configurada y el servidor RADIUS se utiliza para autenticar las identidades del usuario.

Figura 11-31  Diagrama de redes para configurar la autenticación Portal

Hoja de ruta de configuración

La hoja de ruta de configuración es la siguiente:

  1. Configure las interconexiones de red.
  2. Configure AAA en el Switch para implementar autenticación de identidad en los usuarios de acceso a través del servidor RADIUS. La configuración incluye configurar una plantilla de servidor RADIUS, un esquema AAA y un dominio de autenticación, y enlazar la plantilla de servidor RADIUS y el esquema AAA con el dominio de autenticación.
  3. Configure la autenticación Portal para controlar los derechos de acceso a la red de los visitantes en el área del visitante. La configuración incluye:
    1. Configure una plantilla de servidor Portal
    2. Configure un perfil de acceso Portal.
    3. Configure un perfil de autenticación.
    4. Habilite la autenticación Portal en una interfaz.
NOTA:
  • Antes de realizar operaciones en este ejemplo, asegúrese de que los terminales de acceso de usuario y el servidor puedan comunicarse.

  • Este ejemplo solo proporciona la configuración del Switch. Las configuraciones del LAN Switch y el servidor no se proporcionan aquí.

Procedimiento

  1. Cree las VLAN y configure las VLAN permitidas por las interfaces para que los paquetes puedan reenviarse.

    # Cree VLAN 10 y VLAN 20.

    <Quidway> system-view
    [Quidway] sysname Switch
    [Switch] vlan batch 10 20

    # Configure GE1/0/1 conectando el Switch a los usuarios como una interfaz de acceso y agregue la interfaz a la VLAN 10.

    [Switch] interface gigabitethernet1/0/1
    [Switch-GigabitEthernet1/0/1] port link-type access
    [Switch-GigabitEthernet1/0/1] port default vlan 10 
    [Switch-GigabitEthernet1/0/1] quit
    [Switch] interface vlanif 10
    [Switch-Vlanif10] ip address 192.168.1.10 24
    [Switch-Vlanif10] quit

    # Configure GE1/0/2 conectando el Switch al servidor RADIUS como una interfaz de acceso y agregue la interfaz a la VLAN 20.

    [Switch] interface gigabitethernet1/0/2
    [Switch-GigabitEthernet1/0/2] port link-type access
    [Switch-GigabitEthernet1/0/2] port default vlan 20 
    [Switch-GigabitEthernet1/0/2] quit
    [Switch] interface vlanif 20
    [Switch-Vlanif20] ip address 192.168.2.10 24
    [Switch-Vlanif20] quit

  2. Configure AAA.

    # Cree y configure la plantilla de servidor RADIUS rd1.

    [Switch] radius-server template rd1
    [Switch-radius-rd1] radius-server authentication 192.168.2.30 1812
    [Switch-radius-rd1] radius-server shared-key cipher Huawei@2012
    [Switch-radius-rd1] quit

    # Cree el esquema de autenticación AAA abc y establezca el modo de autenticación a RADIUS.

    [Switch] aaa
    [Switch-aaa] authentication-scheme abc
    [Switch-aaa-authen-abc] authentication-mode radius
    [Switch-aaa-authen-abc] quit

    # Cree un dominio de autenticación huawei.com, y enlace el esquema de autenticación AAA abc y la plantilla de servidor RADIUS rd1 con el dominio.

    [Switch-aaa] domain huawei.com
    [Switch-aaa-domain-huawei.com] authentication-scheme abc
    [Switch-aaa-domain-huawei.com] radius-server rd1
    [Switch-aaa-domain-huawei.com] quit
    [Switch-aaa] quit

    # Compruebe si un usuario puede pasar la autenticación RADIUS. La prueba del usuario test y la contraseña Huawei2012 se han configurado en el servidor RADIUS.

    [Switch] test-aaa test Huawei2012 radius-template rd1
    Info: Account test succeed.

  3. Configure la autenticación Portal.

    # Establezca el modo NAC al unificado.
    [Switch] authentication unified-mode
    NOTA:
    • Por defecto, se usa el modo unificado.
    • Después de cambiar el modo NAC del común al unificado, guarde la configuración y reinicie el dispositivo para que la configuración surta efecto.

    # Configure la plantilla del servidor Portal abc.

    [Switch] web-auth-server abc
    [Switch-web-auth-server-abc] server-ip 192.168.2.30
    [Switch-web-auth-server-abc] port 50200
    [Switch-web-auth-server-abc] url http://192.168.2.30:8080/portal
    [Switch-web-auth-server-abc] shared-key cipher Huawei@123
    [Switch-web-auth-server-abc] quit
    NOTA:

    Asegúrese de que el número de puerto configurado en el dispositivo sea el mismo que el número de puerto utilizado por el servidor Portal.

    # Configure el perfil de acceso Portal web1.

    [Switch] portal-access-profile name web1
    [Switch-portal-acces-profile-web1] web-auth-server abc direct
    [Switch-portal-acces-profile-web1] quit

    # Configure el perfil de autenticación p1, enlace el perfil de acceso Portal web1 con el perfil de autenticación, especifique el dominio huawei.com como el dominio de autenticación forzada en el perfil de autenticación, establezca el modo de acceso de usuario a multi-authen, y establezca el número máximo de los usuarios de acceso a 100.

    [Switch] authentication-profile name p1
    [Switch-authen-profile-p1] portal-access-profile web1
    [Switch-authen-profile-p1] access-domain huawei.com force
    [Switch-authen-profile-p1] authentication mode multi-authen max-user 100
    [Switch-authen-profile-p1] quit
    NOTA:

    En este ejemplo, a los usuarios se les asignan direcciones IP estáticas. Si los usuarios obtienen direcciones IP a través de DHCP y el servidor DHCP está en la red de enlace ascendente del dispositivo NAS, utilice el comando free-rule para crear reglas sin autenticación y asegúrese de que el servidor DHCP esté incluido en las reglas sin autenticación.

    En versiones anteriores a V200R012C00, si la URL del servidor Portal debe analizarse por DNS y el servidor DNS está en la red de enlace ascendente del dispositivo NAS, también debe crear reglas sin autenticación y asegurarse de que el servidor DNS esté incluido en las reglas sin autenticación. En V200R012C00 y versiones posteriores, el dispositivo NAS automáticamente permite el paso de los paquetes DNS y no se requiere una regla sin autenticación en la autenticación Portal.

    # Enlace el perfil de autenticación p1 a GE1/0/1 y habilite la autenticación Portal en la interfaz.

    [Switch] interface gigabitethernet1/0/1
    [Switch-GigabitEthernet1/0/1] authentication-profile p1
    [Switch-GigabitEthernet1/0/1] quit

    # (Recomendado) Configure la dirección IP de origen y la dirección MAC de origen para los paquetes de detección fuera de línea en una VLAN especificada. Se le recomienda configurar la dirección IP del gateway de usuario y su dirección MAC correspondiente como la dirección IP de origen y la dirección MAC de origen de los paquetes de detección fuera de línea. Esta función no tiene efecto para los usuarios que usan la autenticación Portal de Capa 3.

    [Switch] access-user arp-detect vlan 10 ip-address 192.168.1.10 mac-address 2222-1111-1234

  4. Verifique la configuración.

    1. Después de que un usuario abra el navegador e introduzca cualquier dirección de sitio web, el usuario es redirigido a la página de autenticación Portal. El usuario puede introducir el nombre de usuario y la contraseña para la autenticación.
    2. Si el nombre de usuario y la contraseña son correctas, se muestra un mensaje de autenticación exitosa en la página de autenticación Portal. El usuario puede acceder a la red.
    3. Una vez que los usuarios se conectan, puede ejecutar el comando display access-user access-type portal en el dispositivo para ver información sobre los usuarios de autenticación Portal en línea.

Archivos de configuración

Archivo de configuración del Switch

#
sysname Switch
#
vlan batch 10 20
#
authentication-profile name p1
 portal-access-profile web1
 authentication mode multi-authen max-user 100
 access-domain huawei.com force
#
access-user arp-detect vlan 10 ip-address 192.168.1.10 mac-address 2222-1111-1234
#
radius-server template rd1
 radius-server shared-key cipher %#%#4*SO-2u,Q.\1C~%[eiB77N/^2wME;6t%6U@qAJ9:%#%#
 radius-server authentication 192.168.2.30 1812 weight 80
#
web-auth-server abc                                                                                                                 
 server-ip 192.168.2.30                                                                                                             
 port 50200                                                                                                                         
 shared-key cipher %#%#CR@WPM9Q30%]A}9]g4hUqe1u~4Fz}PlU)QPL;73#%#%#                                                                 
 url http://192.168.2.30:8080/portal                                                                                              
# 
portal-access-profile name web1                                                                                                     
 web-auth-server abc direct                                                                                                         
# 
aaa
 authentication-scheme abc
  authentication-mode radius
 domain huawei.com
  authentication-scheme abc
  radius-server rd1
#
interface Vlanif10
 ip address 192.168.1.10 255.255.255.0
#
interface Vlanif20
 ip address 192.168.2.10 255.255.255.0
#
interface GigabitEthernet1/0/1
 port link-type access
 port default vlan 10
 authentication-profile p1
#
interface GigabitEthernet1/0/2
 port link-type access
 port default vlan 20
#
return
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15723

Descargas: 131

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente