No se encuentran recursos de mapeo en el idioma seleccionado.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo para configurar la autenticación 802.1X para controlar el acceso del usuario

Ejemplo para configurar la autenticación 802.1X para controlar el acceso del usuario

Descripción general de la autentificación 802.1X

802.1X es un protocolo de control de acceso a la red basado en el puerto y la autenticación 802.1X es uno de los modos de autenticación NAC. La autenticación 802.1X garantiza la seguridad de las intranets empresariales.

La autenticación 802.1X garantiza una alta seguridad; sin embargo, se requiere que el software del cliente 802.1X se instale en los terminales de usuario, lo que da como resultado una implementación inflexible de la red. Otros dos métodos de autenticación NAC tienen sus ventajas y desventajas: La autenticación de dirección MAC no requiere la instalación del software del cliente, pero las direcciones MAC deben estar registradas en un servidor de autenticación. La autenticación Portal tampoco requiere la instalación del software del cliente y proporciona una implementación flexible, pero tiene poca seguridad.

Como resultado, la autenticación 802.1X se aplica a escenarios con redes nuevas, distribución centralizada de usuarios, y estrictos requisitos de seguridad de la información.

Notas de configuración

Este ejemplo se aplica a todos los switches de la serie S.

NOTA:
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.

Requisitos de redes

Como se muestra Figura 11-36, los terminales en una oficina están conectados a la red interna de la compañía a través de Switch. El acceso no autorizado a la red interna puede dañar el sistema de servicio de la empresa y provocar la fuga de información clave. Por lo tanto, el administrador requiere que Switch debe controlar los derechos de acceso a la red de los usuarios para garantizar la seguridad de la red interna.

Figura 11-36  Configuración de la autenticación 802.1X para controlar el acceso del usuario

Hoja de ruta de configuración

La hoja de ruta de configuración es la siguiente:

  1. Cree y configure una plantilla de servidor RADIUS, un esquema AAA y un dominio de autenticación. Enlace la plantilla de servidor RADIUS y el esquema AAA al dominio de autenticación para que Switch pueda autenticar a los usuarios de acceso a través del servidor RADIUS.
  2. Habilite la autenticación 802.1X para controlar los derechos de acceso a la red de los empleados en la oficina.
  3. Configure el modo de acceso del usuario para multi-autenticar y establezca el número máximo de usuarios de acceso a 100, por lo que el dispositivo puede controlar los derechos de acceso a la red de cada usuario de forma independiente.
NOTA:

Antes de configurar este ejemplo, asegúrese de que los dispositivos se puedan comunicar entre ellos en la red.

En este ejemplo, el switch LAN existe entre el switch de acceso Switch y los usuarios. Para garantizar que los usuarios puedan pasar la autenticación 802.1x, debe configurar la función de transmisión transparente del paquete EAP en el switch LAN.
  • Método 1: El S5300 se usa como un ejemplo del switch LAN. Realice las siguientes operaciones:
    1. Ejecute el comando l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002 en la vista del sistema del switch LAN para configurar el switch LAN para transmitir transparentemente paquetes EAP.
    2. Ejecute el comando l2protocol-tunnel user-defined-protocol 802.1x enable en la interfaz que conecta a los usuarios y la interfaz que se conecta al switch de acceso para habilitar la función de transmisión transparente del protocolo de capa 2.
  • Método 2: Este método se recomienda cuando existe una gran cantidad de usuarios o se requiere un alto rendimiento de la red. Solo S5320EI y S6320EI son compatibles con este método.
    1. Ejecute los siguientes comandos en la vista del sistema:
      • undo bpdu mac-address 0180-c200-0000 ffff-ffff-fff0
      • bpdu mac-address 0180-c200-0000 FFFF-FFFF-FFFE
      • bpdu mac-address 0180-c200-0002 FFFF-FFFF-FFFF
      • bpdu mac-address 0180-c200-0004 FFFF-FFFF-FFFC
      • bpdu mac-address 0180-c200-0008 FFFF-FFFF-FFF8
    2. (Este paso es obligatorio cuando cambia del método 1 al método 2.) Ejecute el comando undo l2protocol-tunnel user-defined-protocol 802.1x enable en la vista de interfaz para eliminar la configuración de transmisión transparente de los paquetes de protocolo 802.1x.

Procedimiento

  1. Cree las VLAN y configure las VLAN permitidas por la interfaz para garantizar la comunicación de la red.

    # Cree VLAN 10 y VLAN 20.

    <Quidway> system-view
    [Quidway] sysname Switch
    [Switch] vlan batch 10 20

    # En Switch, configure la interfaz GE1/0/1 conectada a los usuarios como una interfaz de acceso y agregue la interfaz a la VLAN 10.

    [Switch] interface gigabitethernet1/0/1
    [Switch-GigabitEthernet1/0/1] port link-type access
    [Switch-GigabitEthernet1/0/1] port default vlan 10 
    [Switch-GigabitEthernet1/0/1] quit
    [Switch] interface vlanif 10
    [Switch-Vlanif10] ip address 192.168.1.10 24
    [Switch-Vlanif10] quit
    NOTA:

    Configure el tipo de interfaz y las VLAN según los requisitos del sitio. En este ejemplo, los usuarios se agregan a la VLAN 10.

    # En Switch, configure la interfaz GE1/0/2 conectada al servidor RADIUS como una interfaz de acceso y agregue la interfaz a la VLAN 20.

    [Switch] interface gigabitethernet1/0/2
    [Switch-GigabitEthernet1/0/2] port link-type access
    [Switch-GigabitEthernet1/0/2] port default vlan 20
    [Switch-GigabitEthernet1/0/2] quit

  2. Cree y configure una plantilla de servidor RADIUS, un esquema AAA y un dominio de autenticación.

    # Cree y configure la plantilla de servidor RADIUS rd1.

    [Switch] radius-server template rd1
    [Switch-radius-rd1] radius-server authentication 192.168.2.30 1812
    [Switch-radius-rd1] radius-server shared-key cipher Huawei@2012
    [Switch-radius-rd1] quit

    # Cree un esquema de autenticación AAA abc y configure el modo de autenticación a RADIUS.

    [Switch] aaa
    [Switch-aaa] authentication-scheme abc
    [Switch-aaa-authen-abc] authentication-mode radius
    [Switch-aaa-authen-abc] quit

    # Cree un dominio de autenticación isp1, y enlace el esquema AAA abc y la plantilla de servidor RADIUS rd1 al dominio isp1.

    [Switch-aaa] domain isp1
    [Switch-aaa-domain-isp1] authentication-scheme abc
    [Switch-aaa-domain-isp1] radius-server rd1
    [Switch-aaa-domain-isp1] quit
    [Switch-aaa] quit

    # Configure isp1 como el dominio predeterminado global. Durante la autenticación de acceso, introduzca un nombre de usuario en el formato user@isp1 para realizar la autenticación AAA en el dominio isp1. Si el nombre de usuario no contiene el nombre de dominio o contiene un nombre de dominio inválido, el usuario se autentica en el dominio predeterminado.

    [Switch] domain isp1

  3. Configure la autenticación 802.1x en Switch.

    # Cambie el modo NAC al modo unificado.
    [Switch] authentication unified-mode
    NOTA:

    Después de cambiar el modo común y el modo unificado, el dispositivo se reinicia automáticamente.

    # Habilite la autenticación 802.1X en la interfaz GE1/0/1.
    [Switch] interface gigabitethernet1/0/1
    [Switch-GigabitEthernet1/0/1] authentication dot1x
    [Switch-GigabitEthernet1/0/1] authentication mode multi-authen max-user 100
    [Switch-GigabitEthernet1/0/1] quit

    # (Recomendado) Configure la dirección IP de origen y la dirección MAC de origen para los paquetes de detección fuera de línea en una VLAN especificada. Se le recomienda configurar la dirección IP del gateway de usuario y su dirección MAC correspondiente como la dirección IP de origen y la dirección MAC de origen de los paquetes de detección fuera de línea.

    [Switch] access-user arp-detect vlan 10 ip-address 192.168.1.10 mac-address 2222-1111-1234

  4. Verifique la configuración.

    1. Ejecute el comando display dot1x para verificar la configuración de autenticación 802.1X. La salida del comando (802.1X protocol is Enabled) muestra que la autenticación 802.1X se ha habilitado en la interfazGE1/0/1.
    2. El usuario inicia el cliente 802.1X en el terminal e introduzca el nombre de usuario y la contraseña para la autenticación.
    3. Si el nombre de usuario y la contraseña son correctas, se muestra un mensaje de autenticación exitosa en la página del cliente. El usuario puede acceder a la red.
    4. Después de que el usuario se conecte, puede ejecutar el comando display access-user access-type dot1x en el dispositivo para verificar la información del usuario 802.1X en línea.

Archivos de configuración

Archivo de configuración de Switch

#
sysname Switch
#
vlan batch 10 20
#
domain isp1 
#
access-user arp-detect vlan 10 ip-address 192.168.1.10 mac-address 2222-1111-1234
#
radius-server template rd1
 radius-server shared-key cipher %^%#Q75cNQ6IF(e#L4WMxP~%^7'u17,]D87GO{"[o]`D%^%#
 radius-server authentication 192.168.2.30 1812 weight 80
#
aaa
 authentication-scheme abc
  authentication-mode radius  
 domain isp1
  authentication-scheme abc
  radius-server rd1

#
interface Vlanif10
 ip address 192.168.1.10 255.255.255.0
#
interface GigabitEthernet1/0/1
 port link-type access
 port default vlan 10
 authentication dot1x 
 authentication mode multi-authen max-user 100    
#
interface GigabitEthernet1/0/2
 port link-type access
 port default vlan 20   
#
return
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15424

Descargas: 129

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente