No se encuentran recursos de mapeo en el idioma seleccionado.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo para configurar autenticación 802.1X y autenticación de dirección MAC para controlar el acceso de usuario a la red empresarial (punto de autenticación en el switch de acceso)

Ejemplo para configurar autenticación 802.1X y autenticación de dirección MAC para controlar el acceso de usuario a la red empresarial (punto de autenticación en el switch de acceso)

Descripción general

La autenticación 802.1X y la autenticación de dirección MAC son dos métodos utilizados para el Control de admisión de red (NAC). La autenticación 802.1X se implementa en base a interfaces y la autenticación de dirección MAC se implementa en base a interfaces y direcciones MAC. Ambos protocolos pueden proteger la seguridad de las redes empresariales.

La autenticación 802.1X es más segura que la autenticación de dirección MAC; sin embargo, se requiere que el software de cliente 802.1X esté instalado en todos los terminales de usuario, lo que permite una baja flexibilidad de red. La autenticación 802.1X es aplicable a las redes que requieren alta seguridad de la información.

La autenticación de dirección MAC no requiere el software del cliente 802.1X, pero las direcciones MAC de los terminales de usuario deben estar registradas en el servidor de autenticación. La configuración y administración de la red es compleja. La autenticación de dirección MAC es aplicable a terminales tontos como impresoras y máquinas de fax.

Notas de configuración

Este ejemplo se aplica a todos los switches de la serie S.

NOTA:
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.

Agile Controller-Campus de Huawei en V100R001 funciona como el servidor RADIUS en este ejemplo. Para Agile Controller-Campus, la versión requerida es V100R001, V100R002, V100R003.

Las claves compartidas de autenticación y contabilidad RADIUS y la clave compartida Portal en el switch deben ser las mismas que las del servidor Agile Controller-Campus.

De forma predeterminada, el switch permite que pasen los paquetes del servidor RADIUS. No debe configurar reglas libres de autenticación para el servidor en el switch.

Requisitos de redes

Las empresas tienen altos requisitos de seguridad de red. Para evitar el acceso no autorizado y proteger la seguridad de la información, una empresa solicita a los usuarios que pasen la autenticación de identidad y la verificación de seguridad antes de acceder a la red de la empresa. Solo los usuarios autorizados pueden acceder a la red de la empresa.

Además, los terminales tontos, como los teléfonos IP y las impresoras, pueden acceder a la red de la empresa solo después de pasar la autenticación.

La red empresarial tiene las siguientes características:

  • Todos los switches de acceso son compatibles con la autenticación 802.1X.

  • La red de la empresa tiene un tamaño pequeño y no tiene redes de sucursales.

  • La empresa no tiene más de 1000 empleados. Un máximo de 2000 usuarios, incluidos los invitados, acceden a la red todos los días.

  • Terminales tontos, como teléfonos IP e impresoras, están conectadas a la red de la empresa.

Para proporcionar una alta seguridad para la red, se recomienda configurar la función de autenticación 802.1X en los switches de acceso y conectar un solo servidor de autenticación centralizado al switch de agregación en el modo bypass. La autenticación de dirección MAC debe configurarse para terminales tontos.

Figura 11-34  Diagrama de redes de acceso por cable

Plan de datos

Tabla 11-27  Plan de datos de red

Ítem

Datos

Agile Controller-Campus

Dirección IP: 192.168.100.100

Servidor de dominio de post-autenticación

Dirección IP: 192.168.102.100

Switch de agregación (SwitchA)

Dirección IP de administración: 192.168.10.10

Switch de acceso (SwitchC)

  • ID de VLAN de usuario: 10

  • Dirección IP de administración: 192.168.30.30

Switch de acceso (SwitchD)

  • ID de VLAN de usuario: 20

  • Dirección IP de administración: 192.168.40.40

Tabla 11-28  Plan de datos del servicio de switch de acceso

Ítem

Datos

Esquema RADIUS

  • Dirección IP del servidor de autenticación: 192.168.100.100

  • Número de puerto del servidor de autenticación: 1812

  • Dirección IP del servidor de contabilidad: 192.168.100.100

  • Número de puerto del servidor de contabilidad: 1813
  • Clave compartida para el servidor RADIUS: Huawei@2014
  • Intervalo de contabilidad: 15 minutos
  • Dominio de autenticación: isp

Número de ACL del dominio de post-autenticación

3002

Tabla 11-29  Agile Controller-Campus plan de datos de servicio

Ítem

Datos

Departamento

Departamento de I+D

Usuario de acceso

Nombre de usuario: A

Cuenta de acceso por cable: A-123

Contraseña: Huawei123

Grupo de dispositivos

Grupo de dispositivos con cable: Switch

Dirección IP de switch
  • SwitchC: 192.168.30.30
  • SwitchD: 192.168.40.40

Clave de autenticación RADIUS

Huawei@2014

Clave de contabilidad RADIUS

Huawei@2014

Hoja de ruta de configuración

  1. Configure los switches de acceso, incluyendo las interfaces VLAN a las que pertenecen, los parámetros para conectarse al servidor RADIUS, habilite la autenticación NAC, y acceda directamente al dominio de post-autenticación.
    NOTA:
    Garantice las rutas accesibles entre los switches de acceso (SwitchC y SwitchD), el switch de agregación (SwitchA) y el servidor Agile Controller-Campus.
  2. Configure Agile Controller-Campus:
    1. Inicie sesión en Agile Controller-Campus.
    2. Agregue una cuenta a Agile Controller-Campus.
    3. Agregue switches a Agile Controller-Campus.
    4. Configure reglas de autenticación, resultados de autorización, y reglas de autorización en Agile Controller-Campus.

Procedimiento

  1. Configure los switches de acceso. Este ejemplo utiliza SwitchC para describir la configuración. La configuración de dominio en SwitchD es la misma que en SwitchC.
    1. Cree las VLAN y configure las VLAN permitidas por las interfaces para que los paquetes puedan reenviarse.

      <Quidway> system-view
      [Quidway] sysname SwitchC
      [SwitchC] vlan batch 10
      [SwitchC] interface gigabitethernet 0/0/1    //Configure la interfaz conectada a terminales fijos.
      [SwitchC-GigabitEthernet0/0/1] port link-type access
      [SwitchC-GigabitEthernet0/0/1] port default vlan 10 
      [SwitchC-GigabitEthernet0/0/1] quit
      [SwitchC] interface gigabitethernet 0/0/2    //Configure la interfaz conectada a terminales tontos.
      [SwitchC-GigabitEthernet0/0/2] port link-type access
      [SwitchC-GigabitEthernet0/0/2] port default vlan 10
      [SwitchC-GigabitEthernet0/0/2] quit
      [SwitchC] interface gigabitethernet 0/0/3    //Configure la interfaz conectada a SwitchA.
      [SwitchC-GigabitEthernet0/0/3] port link-type trunk
      [SwitchC-GigabitEthernet0/0/3] port trunk allow-pass vlan 10
      [SwitchC-GigabitEthernet0/0/3] quit
      [SwitchC] interface vlanif 10
      [SwitchC-Vlanif10] ip address 192.168.30.30 24    //Configure la dirección IP utilizada para comunicarse con el Controller.

    2. Cree y configure una plantilla de servidor RADIUS, un esquema de autenticación AAA y un dominio de autenticación.

      # Cree y configure la plantilla de servidor RADIUS rd1.
      [SwitchC] radius-server template rd1
      [SwitchC-radius-rd1] radius-server authentication 192.168.100.100 1812
      [SwitchC-radius-rd1] radius-server accounting 192.168.100.100 1813
      [SwitchC-radius-rd1] radius-server shared-key cipher Huawei@2014
      [SwitchC-radius-rd1] quit
      
      # Cree un esquema de autenticación AAA abc y establezca el modo de autenticación a RADIUS.
      [SwitchC] aaa
      [SwitchC-aaa] authentication-scheme abc
      [SwitchC-aaa-authen-abc] authentication-mode radius
      [SwitchC-aaa-authen-abc] quit
      # Configure el esquema de contabilidad acco1 y establezca el modo de contabilidad a RADIUS.
      [SwitchC-aaa] accounting-scheme acco1
      [SwitchC-aaa-accounting-acco1] accounting-mode radius
      [SwitchC-aaa-accounting-acco1] accounting realtime 15    //Establezca el intervalo de contabilidad en tiempo real a 15 minutos.
      [SwitchC-aaa-accounting-acco1] quit
      # Cree un dominio de autenticación isp, y enlace el esquema de autenticación AAA abc, el esquema de contabilidad acco1, y la plantilla de servidor RADIUS rd1 al dominio.
      [SwitchC-aaa] domain isp
      [SwitchC-aaa-domain-isp] authentication-scheme abc
      [SwitchC-aaa-domain-isp] accounting-scheme acco1
      [SwitchC-aaa-domain-isp] radius-server rd1
      [SwitchC-aaa-domain-isp] quit
      [SwitchC-aaa] quit
      # Configure isp como el dominio predeterminado global. Durante la autenticación de acceso, introduzca un nombre de usuario en el formato user@isp para realizar la autenticación AAA en el dominio isp. Si el nombre de usuario no contiene un nombre de dominio o contiene un nombre de dominio inválido, el usuario se autentica en el dominio predeterminado.
      [SwitchC] domain isp

    3. Habilite la autenticación 802.1X y de dirección MAC.

      # Establezca el modo NAC al unificado.
      [SwitchC] authentication unified-mode
      NOTA:

      Por defecto, el modo unificado está habilitado. Después de cambiar el modo NAC, el dispositivo se reinicia automáticamente.

      # Habilite la autenticación 802.1X en GE0/0/1.
      [SwitchC] interface gigabitEthernet 0/0/1
      [SwitchC-GigabitEthernet0/0/1] authentication dot1x
      [SwitchC-GigabitEthernet0/0/1] quit
      # Habilite la autenticación de dirección MAC en GE0/0/2.
      [SwitchC] interface gigabitEthernet 0/0/2
      [SwitchC-GigabitEthernet0/0/2] authentication mac-authen
      [SwitchC-GigabitEthernet0/0/2] mac-authen username fixed A-123 password cipher Huawei123    //Establezca el modo de nombre de usuario para la autenticación de dirección MAC al nombre de usuario fijo. Establezca el nombre de usuario a A-123 y la contraseña a Huawei123.
      [SwitchC-GigabitEthernet0/0/2] quit

    4. Configure ACL 3002 para el dominio de post-autenticación.

      [SwitchC] acl 3002
      [SwitchC-acl-adv-3002] rule 1 permit ip destination 192.168.102.100 0
      [SwitchC-acl-adv-3002] rule 2 deny ip destination any
      [SwitchC-acl-adv-3002] quit

  2. Configure Agile Controller-Campus.
    1. Inicie sesión en Agile Controller-Campus.

      1. Abra Internet Explorer, introduzca la dirección Agile Controller-Campus en el cuadro de dirección, y presione Enter.
        La siguiente tabla proporciona dos tipos de direcciones Agile Controller-Campus.

        Formato de dirección

        Descripción

        https://Agile Controller-Campus-IP:8443

        En la dirección, Agile Controller-Campus-IP indica la dirección IP Agile Controller-Campus.

        Dirección IP Agile Controller-Campus

        Si el puerto 80 está habilitado durante la instalación, puede acceder a Agile Controller-Campus simplemente introduciendo su dirección IP sin el número de puerto. La dirección Agile Controller-Campus cambiará automáticamente a https://Agile Controller-Campus-IP:8443.

      2. Introduzca la cuenta de administrador y la contraseña.

        Si inicia sesión en Agile Controller-Campus por primera vez, use la cuenta del super administrador admin y la contraseña Changeme123. Cambie la contraseña inmediatamente después de iniciar sesión. De lo contrario, el Agile Controller-Campus no se puede usar.

    2. Cree un departamento y una cuenta.

      1. Elija Resource > User > User Management.
      2. Haga clic en la tab Department en el área de operación a la derecha. A continuación, haga clic en Add bajo la tab Department, y agregue el departamento R&D.

      3. Haga clic en la tab User en el área de operación a la derecha. A continuación, haga clic en Add bajo la tab User y agregue el usuario A.

      4. Haga clic en en la columna Operation a la derecha del usuario A. Se muestra la página Account Management. Haga clic en Add, y cree una cuenta común A-123 con la contraseña Huawei123.

      5. En la página de la tab User, seleccione el usuario A y haga clic en Transfer para agregar el usuario A al departamento R&D.

    3. Agregue switches a Agile Controller-Campus para que los switches se puedan comunicar con Agile Controller-Campus.

      1. Elija Resource > Device > Device Management.

      2. Haga clic en Permission Control Device Group en el árbol de navegación, y haga clic en y Add SubGroup para crear un grupo de dispositivos Switch.

      3. Haga clic en el grupo de dispositivos en el árbol de navegación y seleccione ALL Device. Haga clic en Add para agregar dispositivos de acceso a la red.

      4. Establezca los parámetros de conexión en la página Add Device.

        Este ejemplo usa SwitchC para describir el procedimiento de configuración. La configuración en SwitchD es la misma que en SwitchC, excepto que las direcciones IP son diferentes.

        Parámetro

        Valor

        Descripción

        Name

        SwitchC

        -

        IP Address

        192.168.30.30

        La interfaz en el switch debe comunicarse con Agile Controller-Campus.

        Device Series Huawei Quidway series switch

        -

        Authentication Key

        Huawei@2014

        Debe ser la misma que la clave compartida del servidor de autenticación RADUIS configurada en el switch.

        Charging Key

        Huawei@2014

        Debe ser la misma que la clave compartida del servidor de contabilidad RADUIS configurada en el switch.

        Real-time charging interval (minute)

        15

        Debe ser el mismo que el intervalo de contabilidad en tiempo real configurado en el switch.

      5. Haga clic en Permission Control Device Group en el árbol de navegación, seleccione SwitchC, y haga clic en Move para mover SwitchC al grupo Switch. La configuración en SwitchD es la misma que en SwitchC.

    4. Agregue una regla de autenticación.

      1. Elija Policy > Permission Control > Authentication and Authorization > Authentication Rule y haga clic en Add para crear una regla de autenticación.

      2. Configure la información básica para la regla de autenticación.

        Parámetro

        Valor

        Descripción

        Name Access authentication rule

        -

        Service Type

        Access service

        -

        Authentication Condition

        Device group Switch

        Personalice las reglas de autenticación según los requisitos de su red.

        Please select the allowed authentication protocol

        • PAP
        • CHAP
        • EAP-MD5
        • EAP-PEAP-MSCHAPv2
        • EAP-TLS
        • EAP-PEAP-GTC
        • EAP-TTLS-PAP

        -

    5. Agregue un resultado de autorización.

      1. Elija Policy > Permission Control > Authentication and Authorization > Authorization Result y haga clic en Add para crear un resultado de autenticación.

      2. Configure la información básica para el resultado de autorización.

        Parámetro

        Valor

        Descripción

        Name

        Post-authentication domain

        -

        Service Type

        Access service

        -

        ACL Number/AAA User Group

        3002

        El número de ACL debe ser el mismo que el número de ACL configurado para los empleados de I+D en el switch.

    6. Agregue una regla de autorización.

      Después de que un usuario pase la autenticación, comienza la fase de autorización. Agile Controller-Campus concede los derechos de acceso del usuario en función de la regla de autorización.

      1. Elija Policy > Permission Control > Authentication and Authorization > Authorization Rule y haga clic en Add para crear una regla de autenticación.

      2. Configure la información básica para la regla de autorización.

        Parámetro

        Valor

        Descripción

        Name

        Authorization rule for R&D employees

        -

        Service Type

        Access service

        -

        Access Device Group

        Switch

        -

        Authorization Result

        Post-authentication domain

        -

  3. Verifique la configuración.

    • Un empleado solo puede acceder al servidor Agile Controller-Campus antes de pasar la autenticación.
    • Después de pasar la autenticación, el empleado puede acceder a los recursos en el dominio de post-autenticación.
    • Una vez que el empleado haya pasado la autenticación, ejecute el comando display access-user en el switch. El resultado del comando muestra información sobre el empleado en línea.

Archivo de configuración de switch

#
sysname SwitchC
#
vlan batch 10
#
domain isp
#
radius-server template rd1
 radius-server shared-key cipher %^%#FP@&C(&{$F2HTlPxg^NLS~KqA/\^3Fex;T@Q9A](%^%#
 radius-server authentication 192.168.100.100 1812 weight 80
 radius-server accounting 192.168.100.100 1813 weight 80
#
acl number 3002
 rule 1 permit ip destination 192.168.102.100 0
 rule 2 deny ip
#
aaa
 authentication-scheme abc
  authentication-mode radius
 accounting-scheme acco1
  accounting-mode radius
  accounting realtime 15
 domain isp
  authentication-scheme abc
  accounting-scheme acco1
  radius-server rd1
#
interface Vlanif10
 ip address 192.168.30.30 255.255.255.0
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
 authentication dot1x
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
 authentication mac-authen
 mac-authen username fixed A-123 password cipher %^%#7JxKWaX6c0\X4RHfJ$M6|duQ*k{7uXu{J{S=zx-3%^%#
#
interface GigabitEthernet0/0/3
 port link-type trunk
 port trunk allow-pass vlan 10
#
return 
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15509

Descargas: 129

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente