No se encuentran recursos de mapeo en el idioma seleccionado.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo para configurar la autenticación 802.1X para controlar el acceso del usuario

Ejemplo para configurar la autenticación 802.1X para controlar el acceso del usuario

Descripción general de la autentificación 802.1X

802.1X es un protocolo de control de acceso a la red basado en el puerto y la autenticación 802.1X es uno de los modos de autenticación NAC. La autenticación 802.1X garantiza la seguridad de las intranets empresariales.

La autenticación 802.1X garantiza una alta seguridad; sin embargo, se requiere que el software del cliente 802.1X se instale en los terminales de usuario, lo que da como resultado una implementación inflexible de la red. Otros dos métodos de autenticación NAC tienen sus ventajas y desventajas: La autenticación de dirección MAC no requiere la instalación del software del cliente, pero las direcciones MAC deben estar registradas en un servidor de autenticación. La autenticación Portal tampoco requiere la instalación del software del cliente y proporciona una implementación flexible, pero tiene poca seguridad.

Como resultado, la autenticación 802.1X se aplica a escenarios con redes nuevas, distribución centralizada de usuarios, y estrictos requisitos de seguridad de la información. Además, la autenticación 802.1X admite la autenticación bypass de dirección MAC para que los terminales tontos en las redes de autenticación 802.1X se puedan conectar después de pasar la autenticación.

Notas de configuración

Este ejemplo se aplica a todos los switches de la serie S en V100R006C05, V200R001C00 o una versión posterior.

NOTA:
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.

Requisitos de redes

Como se muestra Figura 11-40, los terminales en una oficina están conectados a la red interna de la compañía a través de Switch. El acceso no autorizado a la red interna puede dañar el sistema de servicio de la empresa y provocar la fuga de la información clave. Por lo tanto, el administrador requiere que Switch debe controlar los derechos de acceso a la red de los usuarios para garantizar la seguridad de la red interna.

Figura 11-40  Diagrama de redes para configurar la autenticación 802.1X

Hoja de ruta de configuración

La hoja de ruta de configuración es la siguiente:

  1. Cree y configure una plantilla de servidor RADIUS, un esquema AAA y un dominio de autenticación. Enlace la plantilla de servidor RADIUS y el esquema AAA al dominio de autenticación para que Switch pueda autenticar a los usuarios de acceso a través del servidor RADIUS.
  2. Configure la autenticación 802.1X en Switch.
    1. Habilite la autenticación 802.1X para controlar los derechos de acceso a la red de los empleados en la oficina.
    2. Habilite la autenticación bypass de dirección MAC para autenticar terminales (como impresoras) que no pueden instalar el software de cliente de autenticación 802.1X.
    NOTA:

    Antes de configurar este ejemplo, asegúrese de que los dispositivos se puedan comunicar entre ellos en la red.

    En este ejemplo, el switch LAN existe entre el switch de acceso Switch y los usuarios. Para garantizar que los usuarios puedan pasar la autenticación 802.1X, debe configurar la función de transmisión transparente del paquete EAP en el switch LAN.
    • Método 1: El S5300 se usa como un ejemplo del switch LAN. Realice las siguientes operaciones:
      1. Ejecute el comando l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002 en la vista del sistema del switch LAN para configurar el switch LAN para transmitir transparentemente paquetes EAP.
      2. Ejecute el comando l2protocol-tunnel user-defined-protocol 802.1x enable en la interfaz que conecta a los usuarios y la interfaz que se conecta al switch de acceso para habilitar la función de transmisión transparente del protocolo de Capa 2.
    • Método 2: Este método se recomienda cuando existe una gran cantidad de usuarios o se requiere un alto rendimiento de la red. Solo S5320EI, S5320HI, S6320HI y S6320EI son compatibles con este método.
      1. Ejecute los siguientes comandos en la vista del sistema:
        • undo bpdu mac-address 0180-c200-0000 ffff-ffff-fff0
        • bpdu mac-address 0180-c200-0000 FFFF-FFFF-FFFE
        • bpdu mac-address 0180-c200-0002 FFFF-FFFF-FFFF
        • bpdu mac-address 0180-c200-0004 FFFF-FFFF-FFFC
        • bpdu mac-address 0180-c200-0008 FFFF-FFFF-FFF8
      2. (Este paso es obligatorio cuando cambia del método 1 al método 2.) Ejecute el comando undo l2protocol-tunnel user-defined-protocol 802.1x enable en la vista de interfaz para eliminar la configuración de transmisión transparente de los paquetes de protocolo 802.1x.

Procedimiento

  1. Cree las VLAN y configure la VLAN permitida por la interfaz para garantizar la comunicación de la red.

    # Cree VLAN 10 y VLAN 20.

    <Quidway> system-view
    [Quidway] sysname Switch
    [Switch] vlan batch 10 20

    # En Switch, establezca GE1/0/1 conectándose a los usuarios como una interfaz de acceso y agregue GE1/0/1 a la VLAN 10.

    [Switch] interface gigabitethernet1/0/1
    [Switch-GigabitEthernet1/0/1] port link-type access
    [Switch-GigabitEthernet1/0/1] port default vlan 10 
    [Switch-GigabitEthernet1/0/1] quit
    NOTA:

    Configure el tipo de interfaz y las VLAN según la situación real. En este ejemplo, los usuarios se agregan a la VLAN 10.

    # En Switch, establezca GE1/0/2 conectándose al servidor RADIUS como una interfaz de acceso, y agregue GE1/0/2 a la VLAN 20.

    [Switch] interface gigabitethernet1/0/2
    [Switch-GigabitEthernet1/0/2] port link-type access
    [Switch-GigabitEthernet1/0/2] port default vlan 20
    [Switch-GigabitEthernet1/0/2] quit

  2. Cree y configure una plantilla de servidor RADIUS, un esquema AAA y un dominio de autenticación.

    # Cree y configure la plantilla de servidor RADIUS rd1.

    [Switch] radius-server template rd1
    [Switch-radius-rd1] radius-server authentication 192.168.2.30 1812
    [Switch-radius-rd1] radius-server shared-key cipher Huawei@2012
    [Switch-radius-rd1] quit

    # Cree esquema AAA abc y establezca el modo de autenticación a RADIUS.

    [Switch] aaa
    [Switch-aaa] authentication-scheme abc
    [Switch-aaa-authen-abc] authentication-mode radius
    [Switch-aaa-authen-abc] quit

    # Cree el dominio de autenticación isp1, y enlace el esquema AAA abc y la plantilla de servidor RADIUS rd1 al dominio de autenticación isp1.

    [Switch-aaa] domain isp1
    [Switch-aaa-domain-isp1] authentication-scheme abc
    [Switch-aaa-domain-isp1] radius-server rd1
    [Switch-aaa-domain-isp1] quit
    [Switch-aaa] quit

    # Configure el dominio predeterminado isp1 en la vista del sistema. Cuando un usuario introduzca el nombre de usuario en el formato de user@isp1, el usuario se autentica en el dominio de autenticación isp1. Si el nombre de usuario no lleva el nombre de dominio o lleva un nombre de dominio inexistente, el usuario se autentica en el dominio predeterminado.

    [Switch] domain isp1

  3. Configure la autenticación 802.1X.

    # Cambie el modo NAC a modo común. Este paso se aplica solo a los switches en V200R005C00 y versiones posteriores.

    [Switch] undo authentication unified-mode
    Warning: Switching the authentication mode will take effect after system restart
    . Some configurations are invalid after the mode is switched. For the invalid co
    mmands, see the user manual. Save the configuration file and reboot now? [Y/N] y
    NOTA:
    • Por defecto, se utiliza el modo unificado NAC.
    • Después de que el modo unificado se cambie al modo común, debe guardar la configuración y reiniciar el dispositivo para que todas las funciones en el nuevo modo de configuración entren en vigor. En versiones anteriores a V200R007C00, debe ejecutar manualmente los comandos para guardar la configuración y reiniciar el dispositivo.

    # Habilite la autenticación 802.1X globalmente y en una interfaz.

    <Switch> system-view
    [Switch] dot1x enable
    [Switch] interface gigabitethernet1/0/1
    [Switch-GigabitEthernet1/0/1] dot1x enable
    [Switch-GigabitEthernet1/0/1] dot1x authentication-method eap

    # Configure la autenticación bypass de dirección MAC.

    [Switch-GigabitEthernet1/0/1] dot1x mac-bypass

  4. Verifique la configuración.

    1. Ejecute el comando display dot1x para verificar la configuración de autenticación 802.1X. La salida del comando (802.1x protocol is Enabled) muestra que la autenticación 802.1X se ha habilitado en la interfazGE1/0/1.
    2. El usuario inicia el cliente 802.1X en el terminal e introduzca el nombre de usuario y la contraseña para la autenticación.
    3. Si el nombre de usuario y la contraseña son correctas, se muestra un mensaje de autenticación exitosa en la página del cliente. El usuario puede acceder a la red.
    4. Después de que el usuario se conecte, puede ejecutar el comando display access-user en el dispositivo para verificar la información del usuario 802.1X en línea.

Archivos de configuración

Archivo de configuración de Switch

#                                                                               
sysname Switch  
#                                                                               
vlan batch 10 20
#                                                                               
undo authentication unified-mode
#                                                                               
domain isp1
#
dot1x enable 
#
radius-server template rd1
 radius-server shared-key cipher %^%#Q75cNQ6IF(e#L4WMxP~%^7'u17,]D87GO{"[o]`D%^%#
 radius-server authentication 192.168.2.30 1812 weight 80
#
aaa
 authentication-scheme abc
  authentication-mode radius
 domain isp1
  authentication-scheme abc
  radius-server rd1
#
interface GigabitEthernet1/0/1
 port link-type access           
 port default vlan 10                                             
 dot1x mac-bypass                                                               
#                                                                              
interface GigabitEthernet1/0/2            
 port link-type access                                                          
 port default vlan 20
#
return
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15375

Descargas: 127

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente