No se encuentran recursos de mapeo en el idioma seleccionado.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo para configurar la autenticación Portal para controlar el acceso del usuario

Ejemplo para configurar la autenticación Portal para controlar el acceso del usuario

Descripción general de la autenticación Portal

Como uno de los modos de autenticación NAC, la autenticación Portal también se llama autenticación web. En general, los sitios web de autenticación Portal también se denominan sitios web Portal. Cuando los usuarios se conecten, deben estar autenticados en los sitios web Portal. Los usuarios pueden usar recursos de red solo después de que pasen la autenticación.

La autenticación Portal no puede garantizar una alta seguridad, pero no requiere la instalación del software del cliente y proporciona una implementación flexible. Otros dos métodos de autenticación NAC tienen sus ventajas y desventajas: La autenticación 802.1X garantiza una alta seguridad, pero se requiere que el software del cliente 802.1X se instale en los terminales del usuario, lo que causa una implementación inflexible de la red. La autenticación de dirección MAC no requiere la instalación del software del cliente, pero las direcciones MAC deben estar registradas en un servidor de autenticación, lo que resulta en una administración compleja.

La autenticación Portal se aplica a escenarios donde una gran cantidad de usuarios dispersos, como visitantes de la empresa, se mueven con frecuencia.

Notas de configuración

Tabla 11-33  Modelos de productos y versiones aplicables
Versión del software Modelo del producto
V200R005C00&C01

Todos los switches de la serie Sx300, excepto S2350EI, S5306 y S5300LI

V200R006C00 y versiones posteriores

Todos los switches de la serie Sx300, excepto S2350EI y S5300LI

NOTA:
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.

Requisitos de redes

Como se muestra Figura 11-38, los terminales en el área de visitantes están conectados a la red interna de la compañía a través de Switch. El acceso no autorizado a la red interna puede dañar el sistema de servicio de la empresa y provocar la fuga de información clave. Por lo tanto, el administrador requiere que Switch debe controlar los derechos de acceso a la red de los usuarios para garantizar la seguridad de la red interna.

Figura 11-38  Configuración de la autenticación Portal para controlar el acceso del usuario

Hoja de ruta de configuración

La hoja de ruta de configuración es la siguiente:

  1. Cree y configure una plantilla de servidor RADIUS, un esquema AAA y un dominio de autenticación. Enlace la plantilla de servidor RADIUS y el esquema AAA al dominio de autenticación para que Switch pueda autenticar a los usuarios de acceso a través del servidor RADIUS.
  2. Habilite la autenticación Portal para que Switch pueda controlar los derechos de acceso a la red de los visitantes en las áreas de visitantes.
  3. Configure una plantilla de servidor Portal para que el dispositivo pueda comunicarse con el servidor Portal.
NOTA:

Antes de configurar este ejemplo, asegúrese de que los dispositivos se puedan comunicar entre ellos en la red.

Procedimiento

  1. Cree las VLAN y configure las VLAN permitidas por la interfaz para garantizar la comunicación de la red.

    # Cree VLAN 10 y VLAN 20.

    <Quidway> system-view
    [Quidway] sysname Switch
    [Switch] vlan batch 10 20

    # En Switch, configure la interfaz GE1/0/1 conectada a los usuarios como una interfaz de acceso y agregue la interfaz a la VLAN 10.

    [Switch] interface gigabitethernet1/0/1
    [Switch-GigabitEthernet1/0/1] port link-type access
    [Switch-GigabitEthernet1/0/1] port default vlan 10 
    [Switch-GigabitEthernet1/0/1] quit
    [Switch] interface vlanif 10
    [Switch-Vlanif10] ip address 192.168.1.10 24
    [Switch-Vlanif10] quit
    NOTA:

    Configure el tipo de interfaz y las VLAN según los requisitos del sitio. En este ejemplo, los usuarios se agregan a la VLAN 10.

    # En Switch, configure la interfaz GE1/0/2 conectada al servidor RADIUS como una interfaz de acceso y agregue la interfaz a la VLAN 20.

    [Switch] interface gigabitethernet1/0/2
    [Switch-GigabitEthernet1/0/2] port link-type access
    [Switch-GigabitEthernet1/0/2] port default vlan 20
    [Switch-GigabitEthernet1/0/2] quit

  2. Cree y configure una plantilla de servidor RADIUS, un esquema AAA y un dominio de autenticación.

    # Cree y configure la plantilla de servidor RADIUS rd1.

    [Switch] radius-server template rd1
    [Switch-radius-rd1] radius-server authentication 192.168.2.30 1812
    [Switch-radius-rd1] radius-server shared-key cipher Huawei@2012
    [Switch-radius-rd1] quit

    # Cree un esquema de autenticación AAA abc y configure el modo de autenticación a RADIUS.

    [Switch] aaa
    [Switch-aaa] authentication-scheme abc
    [Switch-aaa-authen-abc] authentication-mode radius
    [Switch-aaa-authen-abc] quit

    # Cree un dominio de autenticación isp1, y enlace el esquema AAA abc y la plantilla de servidor RADIUS rd1 al dominio isp1.

    [Switch-aaa] domain isp1
    [Switch-aaa-domain-isp1] authentication-scheme abc
    [Switch-aaa-domain-isp1] radius-server rd1
    [Switch-aaa-domain-isp1] quit
    [Switch-aaa] quit

    # Configure isp1 como el dominio predeterminado global. Durante la autenticación de acceso, introduzca un nombre de usuario en el formato user@isp1 para realizar la autenticación AAA en el dominio isp1. Si el nombre de usuario no contiene el nombre de dominio o contiene un nombre de dominio inválido, el usuario se autentica en el dominio predeterminado.

    [Switch] domain isp1

  3. Configure la autenticación Portal en Switch.

    # Cambie el modo NAC al modo unificado.
    [Switch] authentication unified-mode
    NOTA:

    Después de cambiar el modo común y el modo unificado, el dispositivo se reinicia automáticamente.

    # Habilite la autenticación Portal en la interfaz GE1/0/1.
    [Switch] interface gigabitethernet1/0/1
    [Switch-GigabitEthernet1/0/1] authentication portal
    [Switch-GigabitEthernet1/0/1] authentication mode multi-authen max-user 100
    [Switch-GigabitEthernet1/0/1] quit
    # Cree y configure una plantilla de servidor Portal abc.
    [Switch] web-auth-server abc
    [Switch-web-auth-server-abc] server-ip 192.168.2.20
    [Switch-web-auth-server-abc] port 50200
    [Switch-web-auth-server-abc] url http://192.168.2.20:8080/webagent
    [Switch-web-auth-server-abc] shared-key cipher Huawei@123
    [Switch-web-auth-server-abc] quit
    NOTA:

    Asegúrese de que el número de puerto configurado en el dispositivo sea el mismo que el utilizado por el servidor Portal.

    # Enlace la plantilla del servidor Portal abc a la interfaz GE1/0/1.
    [Switch] interface gigabitethernet1/0/1
    [Switch-GigabitEthernet1/0/1] web-auth-server abc direct
    [Switch-GigabitEthernet1/0/1] quit
    NOTA:

    En este ejemplo, a los usuarios se les asignan direcciones IP estáticas. Si los usuarios obtienen direcciones IP a través de DHCP y el servidor DHCP está conectado a Switch en sentido de enlace ascendente, use el comando authentication free-rule para crear reglas sin autenticación y asegúrese de que el servidor DHCP esté incluido en las reglas sin autenticación.

    Además, si el URL del servidor Portal debe ser analizado por DNS y el servidor DNS está conectado a Switch en sentido de enlace ascendente, también debe crear reglas sin autenticación y asegurarse de que el servidor DNS esté incluido en las reglas sin autenticación.

    # (Recomendado) Configure la dirección IP de origen y la dirección MAC de origen para los paquetes de detección fuera de línea en una VLAN especificada. Se le recomienda configurar la dirección IP del gateway de usuario y su dirección MAC correspondiente como la dirección IP de origen y la dirección MAC de origen de los paquetes de detección fuera de línea. Esta función no tiene efecto para los usuarios que usan la autenticación Portal de Capa 3.

    [Switch] access-user arp-detect vlan 10 ip-address 192.168.1.10 mac-address 2222-1111-1234

  4. Verifique la configuración.

    1. Ejecute los comandos display portal y display web-auth-server configuration para verificar la configuración de autenticación Portal . La salida del comando (web-auth-server layer2(direct)) muestra que la plantilla del servidor Portal se ha vinculado a la interfazGE1/0/1.
    2. Después de iniciar el navegador e introducir cualquier dirección de red, se redirige al usuario a la página de autenticación Portal. El usuario luego introduce el nombre de usuario y la contraseña para la autenticación.
    3. Si el nombre de usuario y la contraseña son correctas, se muestra un mensaje de autenticación exitosa en la página de autenticación Portal. El usuario puede acceder a la red.
    4. Después de que el usuario se conecte, puede ejecutar el comando display access-user access-type portal en el dispositivo para verificar la información del usuario de autenticación Portal en línea.

Archivos de configuración

Archivo de configuración de Switch

#
sysname Switch
#
vlan batch 10 20
#
domain isp1 
#
radius-server template rd1
 radius-server shared-key cipher %^%#Q75cNQ6IF(e#L4WMxP~%^7'u17,]D87GO{"[o]`D%^%#
 radius-server authentication 192.168.2.30 1812 weight 80
#                                                                               
web-auth-server abc                                                             
 server-ip 192.168.2.20                                                         
 port 50200                                                                     
 shared-key cipher %^%#t:hJ@gD7<+G&,"Y}Y[VP4\foQ&og/Gg(,J4#\!gD%^%#                             
 url http://192.168.2.20:8080/webagent                                          
#
aaa
 authentication-scheme abc
  authentication-mode radius  
 domain isp1
  authentication-scheme abc
  radius-server rd1
#
interface Vlanif10
 ip address 192.168.1.10 255.255.255.0
#
interface GigabitEthernet1/0/1
 port link-type access
 port default vlan 10
 authentication portal
 authentication mode multi-authen max-user 100    
 web-auth-server abc direct   
#
interface GigabitEthernet1/0/2
 port link-type access
 port default vlan 20   
#                                                                               
return
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15618

Descargas: 131

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente