No se encuentran recursos de mapeo en el idioma seleccionado.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo para configurar la autenticación 802.1X y la autenticación de dirección MAC para controlar el acceso del usuario a la red empresarial (punto de autenticación en el switch de agregación)

Ejemplo para configurar la autenticación 802.1X y la autenticación de dirección MAC para controlar el acceso del usuario a la red empresarial (punto de autenticación en el switch de agregación)

Descripción general

En una red NAC, los modos de autenticación 802.1X, MAC y Portal se configuran en las interfaces de acceso de usuario de un dispositivo para cumplir con diversos requisitos de autenticación. Los usuarios pueden acceder a la red usando cualquier modo de autenticación.

Si se habilitan múltiples modos de autenticación, los modos de autenticación surten efecto en la secuencia en que están configurados. Además, después de implementar múltiples modos de autenticación, los usuarios pueden autenticarse en modos diferentes por defecto y el dispositivo les asigna derechos de red diferentes según corresponda.

Notas de configuración

Este ejemplo se aplica a todos los switches de la serie S.

NOTA:
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.

Agile Controller-Campus de Huawei en V100R001 funciona como el servidor RADIUS en este ejemplo. Para Agile Controller-Campus, la versión requerida es V100R001, V100R002, V100R003.

Las claves compartidas de autenticación y contabilidad RADIUS y la clave compartida Portal en el switch deben ser las mismas que las del servidor Agile Controller-Campus.

De forma predeterminada, el switch permite que pasen los paquetes del servidor RADIUS. No debe configurar reglas libres de autenticación para el servidor en el switch.

Requisitos de redes

Las empresas tienen altos requisitos de seguridad de red. Para evitar el acceso no autorizado y proteger la seguridad de la información, una empresa solicita a los usuarios que pasen la autenticación de identidad y la verificación de seguridad antes de acceder a la red de la empresa. Solo los usuarios autorizados pueden acceder a la red de la empresa.

Además, los terminales tontos, como los teléfonos IP y las impresoras, pueden acceder a la red de la empresa solo después de pasar la autenticación.

La red empresarial tiene las siguientes características:

  • Los switches de acceso en la red no son compatibles con la autenticación 802.1X.

  • La red de la empresa tiene un tamaño pequeño y no tiene redes de sucursales.

  • La empresa no tiene más de 1000 empleados. Un máximo de 2000 usuarios, incluidos los invitados, acceden a la red todos los días.

  • Terminales tontos, como teléfonos IP e impresoras, están conectadas a la red de la empresa.

Para reducir la inversión en la reconstrucción de red, se recomienda configurar la función de autenticación 802.1X en el switch de agregación y conectar un solo servidor de autenticación centralizado al switch de agregación en el modo bypass. La autenticación de dirección MAC debe configurarse para terminales tontos.

Figura 11-35  Diagrama de redes de acceso por cable

Plan de datos

Tabla 11-30  Plan de datos de red

Ítem

Datos

Agile Controller-Campus

Dirección IP: 192.168.100.100

Servidor de dominio de post-autenticación

Dirección IP: 192.168.102.100

Switch de agregación (SwitchA)

  • VLAN a la cual 0/0/6 conectada al servidor pertenece: VLAN 100

  • VLAN a la cual las interfaces de enlace descendente GE0/0/1 y GE0/0/2 pertenecen: VLAN 200

Switch de acceso (SwitchC)

ID de VLAN de usuario: 200

Switch de acceso (SwitchD)

ID de VLAN de usuario: 200

Tabla 11-31  Plan de datos del servicio del switch de agregación

Ítem

Datos

Esquema RADIUS

  • Dirección IP del servidor de autenticación: 192.168.100.100

  • Número de puerto del servidor de autenticación: 1812

  • Dirección IP del servidor de contabilidad: 192.168.100.100

  • Número de puerto del servidor de contabilidad: 1813
  • Clave compartida para el servidor RADIUS: Huawei@2014
  • Intervalo de contabilidad: 15 minutos
  • Dominio de autenticación: isp

Número de ACL del dominio de post-autenticación

3002

Tabla 11-32  Agile Controller-Campus plan de datos de servicio

Ítem

Datos

Departamento

Departamento de I+D

Usuario de acceso

Nombre de usuario: A

Cuenta de acceso por cable: A-123

Contraseña: Huawei123

Grupo de dispositivos

Grupo de dispositivos con cable: Switch

Dirección IP de switch SwitchA: 192.168.10.10

Clave de autenticación RADIUS

Huawei@2014

Clave de contabilidad RADIUS

Huawei@2014

Hoja de ruta de configuración

  1. Configure el switch de agregación, incluyendo las interfaces de las VLAN a las que pertenecen, los parámetros para conectarse al servidor RADIUS, habilitando la autenticación NAC, y acceda directamente al dominio de post-autenticación.
    NOTA:
    Garantice las rutas accesibles entre los switches de acceso (SwitchC y SwitchD), el switch de agregación (SwitchA) y el servidor Agile Controller-Campus.
  2. Configure los switches de acceso, incluyendo las VLAN y la transmisión transparente 802.1X.
  3. Configure Agile Controller-Campus:
    1. Inicie sesión en Agile Controller-Campus.
    2. Agregue una cuenta a Agile Controller-Campus.
    3. Agregue switches a Agile Controller-Campus.
    4. Configure reglas de autenticación, resultados de autorización, y reglas de autorización en Agile Controller-Campus.

Procedimiento

  1. Configure el switch de agregación.
    1. Cree las VLAN y configure las VLAN permitidas por las interfaces para que los paquetes puedan reenviarse.

      <Quidway> system-view
      [Quidway] sysname SwitchA
      [SwitchA] vlan batch 100 200
      [SwitchA] interface gigabitethernet 0/0/1    //Configure la interfaz conectada a SwitchC.
      [SwitchA-GigabitEthernet0/0/1] port link-type trunk
      [SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 200
      [SwitchA-GigabitEthernet0/0/1] quit
      [SwitchA] interface gigabitethernet 0/0/2    //Configure la interfaz conectada a SwitchD.
      [SwitchA-GigabitEthernet0/0/2] port link-type trunk
      [SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 200
      [SwitchA-GigabitEthernet0/0/2] quit
      [SwitchA] interface gigabitethernet 0/0/6    //Configure la interfaz conectada al servidor.
      [SwitchA-GigabitEthernet0/0/6] port link-type trunk
      [SwitchA-GigabitEthernet0/0/6] port trunk allow-pass vlan 100
      [SwitchA-GigabitEthernet0/0/6] quit
      [SwitchA] interface vlanif 100
      [SwitchA-Vlanif100] ip address 192.168.10.10 24    //Configure la dirección IP de administración para SwitchA. Esta dirección IP se usa cuando se agrega SwitchA a Agile Controller-Campus.
      [SwitchA-Vlanif100] quit
      [SwitchA] interface vlanif 200
      [SwitchA-Vlanif200] ip address 192.168.200.1 24    //Configure la dirección del gateway para los usuarios de terminal.
      [SwitchA-Vlanif200] quit
      [SwitchA] ip route-static 192.168.100.0 255.255.255.0 192.168.10.10    //Configure una ruta al segmento de red donde reside el dominio de preautenticación.
      [SwitchA] ip route-static 192.168.102.0 255.255.255.0 192.168.10.10    //Configure una ruta al segmento de red donde reside el dominio de post-autenticación.
      

    2. Cree y configure una plantilla de servidor RADIUS, un esquema de autenticación AAA y un dominio de autenticación.

      # Cree y configure la plantilla de servidor RADIUS rd1.
      [SwitchA] radius-server template rd1
      [SwitchA-radius-rd1] radius-server authentication 192.168.100.100 1812
      [SwitchA-radius-rd1] radius-server accounting 192.168.100.100 1813
      [SwitchA-radius-rd1] radius-server shared-key cipher Huawei@2014
      [SwitchA-radius-rd1] quit
      
      # Cree un esquema de autenticación AAA abc y establezca el modo de autenticación a RADIUS.
      [SwitchA] aaa
      [SwitchA-aaa] authentication-scheme abc
      [SwitchA-aaa-authen-abc] authentication-mode radius
      [SwitchA-aaa-authen-abc] quit
      # Configure un esquema de contabilidad acco1. Establezca el modo de contabilidad a RADIUS para que el servidor RADIUS pueda mantener el estado de la cuenta, como inicio de sesión, cierre de sesión y cierre de sesión forzado.
      [SwitchA-aaa] accounting-scheme acco1
      [SwitchA-aaa-accounting-acco1] accounting-mode radius
      [SwitchA-aaa-accounting-acco1] accounting realtime 15    //Establezca el intervalo de contabilidad en tiempo real a 15 minutos.
      [SwitchA-aaa-accounting-acco1] quit
      # Cree un dominio de autenticación isp, y enlace el esquema de autenticación AAA abc, el esquema de contabilidad acco1, y la plantilla de servidor RADIUS rd1 al dominio.
      [SwitchA-aaa] domain isp
      [SwitchA-aaa-domain-isp] authentication-scheme abc
      [SwitchA-aaa-domain-isp] accounting-scheme acco1
      [SwitchA-aaa-domain-isp] radius-server rd1
      [SwitchA-aaa-domain-isp] quit
      [SwitchA-aaa] quit
      # Configure el dominio predeterminado global isp. Durante la autenticación de acceso, introduzca un nombre de usuario en el formato user@isp para realizar la autenticación AAA en el dominio isp. Si el nombre de usuario no contiene un nombre de dominio o contiene un nombre de dominio inválido, el usuario se autentica en el dominio predeterminado.
      [SwitchA] domain isp

    3. Habilite la autenticación 802.1X y de dirección MAC.

      # Establezca el modo NAC al unificado.
      [SwitchA] authentication unified-mode
      NOTA:

      Por defecto, el modo unificado está habilitado. Después de cambiar el modo NAC, el dispositivo se reinicia automáticamente.

      # Habilite autenticación 802.1X y autenticación de MAC address en GE0/0/1 y GE0/0/2.
      [SwitchA] interface gigabitethernet 0/0/1
      [SwitchA-Gigabitethernet0/0/1] authentication dot1x mac-authen    //Configure una combinación de la autenticación 802.1X y de dirección MAC.
      [SwitchA-Gigabitethernet0/0/1] mac-authen username fixed A-123 password cipher Huawei123    //Establezca el modo de nombre de usuario para la autenticación de dirección MAC al nombre de usuario fijo. Establezca el nombre de usuario a A-123 y la contraseña a Huawei123.
      [SwitchA-Gigabitethernet0/0/1] quit
      [SwitchA] interface gigabitethernet 0/0/2
      [SwitchA-Gigabitethernet0/0/2] authentication dot1x mac-authen    //Configure una combinación de la autenticación 802.1X y de dirección MAC.
      [SwitchA-Gigabitethernet0/0/2] mac-authen username fixed A-123 password cipher Huawei123    //Establezca el modo de nombre de usuario para la autenticación de dirección MAC al nombre de usuario fijo. Establezca el nombre de usuario a A-123 y la contraseña a Huawei123.
      [SwitchA-Gigabitethernet0/0/2] quit

    4. Configure ACL 3002 para el dominio de post-autenticación.

      [SwitchA] acl 3002
      [SwitchA-acl-adv-3002] rule 1 permit ip destination 192.168.102.100 0
      [SwitchA-acl-adv-3002] rule 2 deny ip destination any
      [SwitchA-acl-adv-3002] quit

  2. Configure los switches de acceso.
    1. Cree las VLAN y configure las VLAN permitidas por las interfaces para que los paquetes puedan reenviarse. Este ejemplo utiliza SwitchC para describir la configuración. La configuración en SwitchD es la misma que en SwitchC.

      # Cree VLAN 200.
      <Quidway> system-view
      [Quidway] sysname SwitchC
      [SwitchC] vlan batch 200
      # Configure la interfaz conectada a los usuarios como una interfaz de acceso y agregue la interfaz a la VLAN 200.
      [SwitchC] interface gigabitethernet 0/0/1
      [SwitchC-GigabitEthernet0/0/1] port link-type access
      [SwitchC-GigabitEthernet0/0/1] port default vlan 200 
      [SwitchC-GigabitEthernet0/0/1] quit
      [SwitchC] interface gigabitethernet 0/0/2
      [SwitchC-GigabitEthernet0/0/2] port link-type access
      [SwitchC-GigabitEthernet0/0/2] port default vlan 200
      [SwitchC-GigabitEthernet0/0/2] quit
      

      # Configure la interfaz conectada a la red de enlace ascendente como una interfaz trunk y configure la interfaz para permitir la VLAN 200.

      [SwitchC] interface gigabitethernet 0/0/3
      [SwitchC-GigabitEthernet0/0/3] port link-type trunk
      [SwitchC-GigabitEthernet0/0/3] port trunk allow-pass vlan 200
      [SwitchC-GigabitEthernet0/0/3] quit
      

    2. Configure el dispositivo para transmitir de manera transparente paquetes 802.1X. Este ejemplo utiliza SwitchC para describir la configuración. La configuración en SwitchD es la misma que en SwitchC.

      NOTA:

      En este ejemplo, SwitchC y SwitchD se implementan entre el switch de autenticación SwitchA y los usuarios. La transmisión transparente del paquete EAP debe configurarse en SwitchC y SwitchD para que SwitchA pueda realizar la autenticación 802.1X para los usuarios.

      • Método 1:
        [SwitchC] l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002
        [SwitchC] interface gigabitethernet 0/0/1
        [SwitchC-GigabitEthernet0/0/1] l2protocol-tunnel user-defined-protocol 802.1x enable
        [SwitchC-GigabitEthernet0/0/1] bpdu enable
        [SwitchC-GigabitEthernet0/0/1] quit
        [SwitchC] interface gigabitethernet 0/0/2
        [SwitchC-GigabitEthernet0/0/2] l2protocol-tunnel user-defined-protocol 802.1x enable
        [SwitchC-GigabitEthernet0/0/2] bpdu enable
        [SwitchC-GigabitEthernet0/0/2] quit
        [SwitchC] interface gigabitethernet 0/0/3
        [SwitchC-GigabitEthernet0/0/3] l2protocol-tunnel user-defined-protocol 802.1x enable
        [SwitchC-GigabitEthernet0/0/3] bpdu enable
        [SwitchC-GigabitEthernet0/0/3] quit
      • Método 2: Este método se recomienda cuando existe una gran cantidad de usuarios o se requiere un alto rendimiento de la red. Solo S5320EI y S6320EI son compatibles con este método.

        [SwitchC] undo bpdu mac-address 0180-c200-0000 FFFF-FFFF-FFF0
        [SwitchC] bpdu mac-address 0180-c200-0000 FFFF-FFFF-FFFE
        [SwitchC] bpdu mac-address 0180-c200-0002 FFFF-FFFF-FFFF
        [SwitchC] bpdu mac-address 0180-c200-0004 FFFF-FFFF-FFFC
        [SwitchC] bpdu mac-address 0180-c200-0008 FFFF-FFFF-FFF8

        Este siguiente paso es obligatorio cuando cambia del método 1 al método 2.

        [SwitchC] interface gigabitethernet 0/0/1
        [SwitchC-GigabitEthernet0/0/1] undo l2protocol-tunnel user-defined-protocol 802.1x enable
        [SwitchC-GigabitEthernet0/0/1] quit
        [SwitchC] interface gigabitethernet 0/0/2
        [SwitchC-GigabitEthernet0/0/2] undo l2protocol-tunnel user-defined-protocol 802.1x enable
        [SwitchC-GigabitEthernet0/0/2] quit
        [SwitchC] interface gigabitethernet 0/0/3
        [SwitchC-GigabitEthernet0/0/3] undo l2protocol-tunnel user-defined-protocol 802.1x enable
        [SwitchC-GigabitEthernet0/0/3] quit

  3. Configure Agile Controller-Campus.
    1. Inicie sesión en Agile Controller-Campus.

      1. Abra Internet Explorer, introduzca la dirección Agile Controller-Campus en el cuadro de dirección, y presione Enter.
        La siguiente tabla proporciona dos tipos de direcciones Agile Controller-Campus.

        Formato de dirección

        Descripción

        https://Agile Controller-Campus-IP:8443

        En la dirección, Agile Controller-Campus-IP indica la dirección IP Agile Controller-Campus.

        Dirección IP Agile Controller-Campus

        Si el puerto 80 está habilitado durante la instalación, puede acceder a Agile Controller-Campus simplemente introduciendo su dirección IP sin el número de puerto. La dirección Agile Controller-Campus cambiará automáticamente a https://Agile Controller-Campus-IP:8443.

      2. Introduzca la cuenta de administrador y la contraseña.

        Si inicia sesión en Agile Controller-Campus por primera vez, use la cuenta del super administrador admin y la contraseña Changeme123. Cambie la contraseña inmediatamente después de iniciar sesión. De lo contrario, el Agile Controller-Campus no se puede usar.

    2. Cree un departamento y una cuenta.

      1. Elija Resource > User > User Management.
      2. Haga clic en la tab Department en el área de operación a la derecha. A continuación, haga clic en Add bajo la tab Department, y agregue el departamento R&D.

      3. Haga clic en la tab User en el área de operación a la derecha. A continuación, haga clic en Add bajo la tab User y agregue el usuario A.

      4. Haga clic en en la columna Operation a la derecha del usuario A. Se muestra la página Account Management. Haga clic en Add, y cree una cuenta común A-123 con la contraseña Huawei123.

      5. En la página de la tab User, seleccione el usuario A y haga clic en Transfer para agregar el usuario A al departamento R&D.

    3. Agregue switches a Agile Controller-Campus para que los switches se puedan comunicar con Agile Controller-Campus.

      1. Elija Resource > Device > Device Management.

      2. Haga clic en Permission Control Device Group en el árbol de navegación, y haga clic en y Add SubGroup para crear un grupo de dispositivos Switch.

      3. Haga clic en el grupo de dispositivos en el árbol de navegación y seleccione ALL Device. Haga clic en Add para agregar dispositivos de acceso a la red.

      4. Establezca los parámetros de conexión en la página Add Device.

        Parámetro

        Valor

        Descripción

        Name

        SwitchA

        -

        Dirección IP

        192.168.10.10

        La interfaz en el switch debe comunicarse con Agile Controller-Campus.

        Device Series Huawei Quidway series switch

        -

        Authentication Key

        Huawei@2014

        Debe ser la misma que la clave compartida del servidor de autenticación RADUIS configurada en el switch.

        Charging Key

        Huawei@2014

        Debe ser la misma que la clave compartida del servidor de contabilidad RADUIS configurada en el switch.

        Real-time charging interval (minute)

        15

        Debe ser el mismo que el intervalo de contabilidad en tiempo real configurado en el switch.

      5. Haga clic en Permission Control Device Group en el árbol de navegación, seleccione SwitchC, y haga clic en Move para mover el SwitchA al grupo Switch. La configuración en SwitchD es la misma que en SwitchC.

    4. Agregue una regla de autenticación.

      1. Elija Policy > Permission Control > Authentication and Authorization > Authentication Rule y haga clic en Add para crear una regla de autenticación.

      2. Configure la información básica para la regla de autenticación.

        Parámetro

        Valor

        Descripción

        Name Access authentication rule

        -

        Service Type

        Access service

        -

        Authentication Condition

        Device group Switch

        Personalice las reglas de autenticación según los requisitos de su red.

        Please select the allowed authentication protocol

        • PAP
        • CHAP
        • EAP-MD5
        • EAP-PEAP-MSCHAPv2
        • EAP-TLS
        • EAP-PEAP-GTC
        • EAP-TTLS-PAP

        -

    5. Agregue un resultado de autorización.

      1. Elija Policy > Permission Control > Authentication and Authorization > Authorization Result y haga clic en Add para crear un resultado de autenticación.

      2. Configure la información básica para el resultado de autorización.

        Parámetro

        Valor

        Descripción

        Name

        Post-authentication domain

        -

        Service Type

        Access service

        -

        ACL Number/AAA User Group

        3002

        El número de ACL debe ser el mismo que el número de ACL configurado para los empleados de I+D en el switch.

    6. Agregue una regla de autorización.

      Después de que un usuario pase la autenticación, comienza la fase de autorización. Agile Controller-Campus concede los derechos de acceso del usuario en función de la regla de autorización.

      1. Elija Policy > Permission Control > Authentication and Authorization > Authorization Rule y haga clic en Add para crear una regla de autenticación.

      2. Configure la información básica para la regla de autorización.

        Parámetro

        Valor

        Descripción

        Name

        Authorization rule for R&D employees

        -

        Service Type

        Access service

        -

        Access Device Group

        Switch

        -

        Authorization Result

        Post-authentication domain

        -

  4. Verifique la configuración.

    • Un empleado solo puede acceder al servidor Agile Controller-Campus antes de pasar la autenticación.
    • Después de pasar la autenticación, el empleado puede acceder a los recursos en el dominio de post-autenticación.
    • Una vez que el empleado haya pasado la autenticación, ejecute el comando display access-user en el switch. El resultado del comando muestra información sobre el empleado en línea.

Archivos de configuración

  • Archivo de configuración de SwitchA

    #
    sysname SwitchA
    #
    vlan batch 100 200
    #
    domain isp
    #
    radius-server template rd1
     radius-server shared-key cipher %^%#FP@&C(&{$F2HTlPxg^NLS~KqA/\^3Fex;T@Q9A](%^%#
     radius-server authentication 192.168.100.100 1812 weight 80
     radius-server accounting 192.168.100.100 1813 weight 80
    #
    acl number 3002
     rule 1 permit ip destination 192.168.102.100 0
     rule 2 deny ip
    #
    aaa
     authentication-scheme abc
      authentication-mode radius
     accounting-scheme acco1
      accounting-mode radius
      accounting realtime 15
     domain isp
      authentication-scheme abc
      accounting-scheme acco1
      radius-server rd1
    #
    interface Vlanif100
     ip address 192.168.10.10 255.255.255.0
    #
    interface Vlanif200
     ip address 192.168.200.1 255.255.255.0
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk allow-pass vlan 200
     authentication dot1x mac-authen
     mac-authen username fixed A-123 password cipher %^%#7JxKWaX6c0\X4RHfJ$M6|duQ*k{7uXu{J{S=zx-3%^%#
    #
    interface GigabitEthernet0/0/2
     port link-type trunk
     port trunk allow-pass vlan 200
     authentication dot1x mac-authen
     mac-authen username fixed A-123 password cipher %^%#7JxKWaX6c0\X4RHfJ$M6|duQ*k{7uXu{J{S=zx-3%^%#
    #
    interface GigabitEthernet0/0/6
     port link-type trunk
     port trunk allow-pass vlan 100
    #
    ip route-static 192.168.100.0 255.255.255.0 192.168.10.10
    ip route-static 192.168.102.0 255.255.255.0 192.168.10.10
    #
    return 
  • Archivo de configuración de SwitchC

    #
    sysname SwitchC
    #
    vlan batch 200
    #
    l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002
    #
    interface GigabitEthernet0/0/1
     port link-type access
     port default vlan 200
     l2protocol-tunnel user-defined-protocol 802.1x enable
    #
    interface GigabitEthernet0/0/2
     port link-type access
     port default vlan 200
     l2protocol-tunnel user-defined-protocol 802.1x enable
    #
    interface GigabitEthernet0/0/3
     port link-type trunk
     port trunk allow-pass vlan 200
     l2protocol-tunnel user-defined-protocol 802.1x enable
    #
    return 
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15590

Descargas: 131

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente