No se encuentran recursos de mapeo en el idioma seleccionado.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo para configurar la autenticación Portal para controlar el acceso del usuario

Ejemplo para configurar la autenticación Portal para controlar el acceso del usuario

Descripción general de la autenticación Portal

Como uno de los modos de autenticación NAC, la autenticación Portal también se llama autenticación web. En general, los sitios web de autenticación Portal también se denominan sitios web Portal. Cuando los usuarios se conecten, deben estar autenticados en los sitios web Portal. Los usuarios pueden usar recursos de red solo después de que pasen la autenticación.

La autenticación Portal no puede garantizar una alta seguridad, pero no requiere la instalación del software del cliente y proporciona una implementación flexible. Otros dos métodos de autenticación NAC tienen sus ventajas y desventajas: La autenticación 802.1X garantiza una alta seguridad, pero se requiere que el software del cliente 802.1X se instale en los terminales del usuario, lo que causa una implementación inflexible de la red. La autenticación de dirección MAC no requiere la instalación del software del cliente, pero las direcciones MAC deben estar registradas en un servidor de autenticación, lo que resulta en una administración compleja.

La autenticación Portal se aplica a escenarios donde una gran cantidad de usuarios dispersos, como visitantes de la empresa, se mueven con frecuencia.

Notas de configuración

Tabla 11-35  Modelos de productos y versiones de software aplicables

Serie

Modelo del producto

Versión del software

S2300

S2320EI

V200R011C10, V200R012C00

S3300

S3300SI, S3300EI

V100R006C05

S3300HI

V200R001C00

S5300

S5300SI

V200R001C00, V200R002C00, V200R003C00, V200R005(C00&C02)

S5300EI

V200R001C00, V200R002C00, V200R003C00, V200R005(C00&C01&C02)

S5310EI

V200R002C00, V200R003C00, V200R005(C00&C02)

S5300HI

V200R001(C00&C01), V200R002C00, V200R003C00, V200R005(C00&C01&C02)

S5320EI

V200R007C00, V200R008C00, V200R009C00, V200R010C00, V200R011C10, V200R012C00

S5320SI

V200R008(C00&C10), V200R009C00, V200R010C00, V200R011C10, V200R012C00

S5330SI

V200R011C10, V200R012C00

S5320HI

V200R009C00, V200R010C00, V200R011C10, V200R012C00

S5320LI

V200R010C00, V200R011C10, V200R012C00

S6300

S6300EI

V200R001(C00&C01), V200R002C00, V200R003C00, V200R005(C00&C01&C02)

S6320SI

V200R011C10, V200R012C00

S6320EI

V200R008C00, V200R009C00, V200R010C00, V200R011C10, V200R012C00

S6320HI

V200R012C00

S9300

S9303, S9306, S9312

V200R001C00, V200R002C00, V200R003C00, V200R005C00SPC300, V200R006C00, V200R007C00, V200R008(C00&C10), V200R009C00, V200R010C00, V200R011C10, V200R012C00

S9300

S9310

V200R010C00, V200R011C10, V200R012C00

S9300X

S9310X

V200R010C00, V200R011C10, V200R012C00

S9300E

S9303E, S9306E, S9312E

V200R001C00, V200R002C00, V200R003C00, V200R005C00SPC300, V200R006C00, V200R007C00, V200R008(C00&C10), V200R009C00, V200R010C00, V200R011C10, V200R012C00

NOTA:
Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.

Requisitos de redes

Como se muestra Figura 11-42, los terminales en el área de visitantes están conectados a la red interna de la compañía a través de Switch. El acceso no autorizado a la red interna puede dañar el sistema de servicio de la empresa y provocar la fuga de información clave. Por lo tanto, el administrador requiere que Switch debe controlar los derechos de acceso a la red de los usuarios para garantizar la seguridad de la red interna.

Figura 11-42  Configuración de la autenticación Portal para controlar el acceso del usuario

Hoja de ruta de configuración

La hoja de ruta de configuración es la siguiente:

  1. Cree y configure una plantilla de servidor RADIUS, un esquema AAA y un dominio de autenticación. Enlace la plantilla de servidor RADIUS y el esquema AAA al dominio de autenticación para que Switch pueda autenticar a los usuarios de acceso a través del servidor RADIUS.
  2. Configure la autenticación Portal para que el dispositivo pueda controlar los derechos de acceso a la red de los visitantes en las áreas de visitantes.
    1. Cree y configure una plantilla de servidor Portal para garantizar el intercambio de información normal entre el dispositivo y el servidor Portal.
    2. Habilite la autenticación Portal para autenticar a los usuarios de acceso.
    3. Configure una clave compartida que el dispositivo usa para intercambiar información con el servidor Portal para mejorar la seguridad de la comunicación.
NOTA:

Antes de configurar este ejemplo, asegúrese de que los dispositivos se puedan comunicar entre ellos en la red.

Procedimiento

  1. Cree las VLAN y configure la VLAN permitida por la interfaz para garantizar la comunicación de la red.

    # Cree VLAN 10 y VLAN 20.

    <Quidway> system-view
    [Quidway] sysname Switch
    [Switch] vlan batch 10 20

    # En Switch, establezca GE1/0/1 conectándose a los usuarios como una interfaz de acceso y agregue GE1/0/1 a la VLAN 10.

    [Switch] interface gigabitethernet1/0/1
    [Switch-GigabitEthernet1/0/1] port link-type access
    [Switch-GigabitEthernet1/0/1] port default vlan 10 
    [Switch-GigabitEthernet1/0/1] quit
    NOTA:

    Configure el tipo de interfaz y las VLAN según la situación real. En este ejemplo, los usuarios se agregan a la VLAN 10.

    # En Switch, establezca GE1/0/2 conectándose al servidor RADIUS como una interfaz de acceso, y agregue GE1/0/2 a la VLAN 20.

    [Switch] interface gigabitethernet1/0/2
    [Switch-GigabitEthernet1/0/2] port link-type access
    [Switch-GigabitEthernet1/0/2] port default vlan 20
    [Switch-GigabitEthernet1/0/2] quit

  2. Cree y configure una plantilla de servidor RADIUS, un esquema AAA y un dominio de autenticación.

    # Cree y configure la plantilla de servidor RADIUS rd1.

    [Switch] radius-server template rd1
    [Switch-radius-rd1] radius-server authentication 192.168.2.30 1812
    [Switch-radius-rd1] radius-server shared-key cipher Huawei@2012
    [Switch-radius-rd1] quit

    # Cree esquema AAA abc y establezca el modo de autenticación a RADIUS.

    [Switch] aaa
    [Switch-aaa] authentication-scheme abc
    [Switch-aaa-authen-abc] authentication-mode radius
    [Switch-aaa-authen-abc] quit

    # Cree el dominio de autenticación isp1, y enlace el esquema AAA abc y la plantilla de servidor RADIUS rd1 al dominio de autenticación isp1.

    [Switch-aaa] domain isp1
    [Switch-aaa-domain-isp1] authentication-scheme abc
    [Switch-aaa-domain-isp1] radius-server rd1
    [Switch-aaa-domain-isp1] quit
    [Switch-aaa] quit

    # Configure el dominio predeterminado isp1 en la vista del sistema. Cuando un usuario introduzca el nombre de usuario en el formato de user@isp1, el usuario se autentica en el dominio de autenticación isp1. Si el nombre de usuario no lleva el nombre de dominio o lleva un nombre de dominio inexistente, el usuario se autentica en el dominio predeterminado.

    [Switch] domain isp1

  3. Configure la autenticación Portal.

    # Cambie el modo NAC a modo común. Este paso se aplica solo a los switches en V200R005C00 y versiones posteriores.

    [Switch] undo authentication unified-mode
    Warning: Switching the authentication mode will take effect after system restart
    . Some configurations are invalid after the mode is switched. For the invalid co
    mmands, see the user manual. Save the configuration file and reboot now? [Y/N] y
    NOTA:
    • Por defecto, se utiliza el modo unificado NAC.
    • Después de que el modo unificado se cambie al modo común, debe guardar la configuración y reiniciar el dispositivo para que todas las funciones en el nuevo modo de configuración entren en vigor. En versiones anteriores a V200R007C00, debe ejecutar manualmente los comandos para guardar la configuración y reiniciar el dispositivo.

    # Cree y configure una plantilla de servidor Portal abc.

    <Switch> system-view
    [Switch] web-auth-server abc
    [Switch-web-auth-server-abc] server-ip 192.168.2.20
    [Switch-web-auth-server-abc] port 50200
    [Switch-web-auth-server-abc] url http://192.168.2.20:8080/webagent
    [Switch-web-auth-server-abc] quit
    NOTA:

    Asegúrese de que el número de puerto configurado en el dispositivo sea el mismo que el utilizado por el servidor Portal.

    # Habilite la autenticación Portal.

    [Switch] interface vlanif 10 
    [Switch-Vlanif10] web-auth-server abc direct
    [Switch-Vlanif10] quit

    # Establezca la clave compartida en texto de cifrado a Huawei@123.

    [Switch] web-auth-server abc
    [Switch-web-auth-server-abc] shared-key cipher Huawei@123
    [Switch-web-auth-server-abc] quit
    NOTA:

    En este ejemplo, a los usuarios se les asignan direcciones IP estáticas. Si los usuarios obtienen direcciones IP a través de DHCP y el servidor DHCP está conectado en sentido de enlace ascendente a Switch, use el comando portal free-rule para crear reglas sin autenticación y asegúrese de que el servidor DHCP esté incluido en las reglas sin autenticación.

    En versiones anteriores a V200R012C00, si la URL del servidor Portal debe analizarse por DNS y el servidor DNS está en la red de enlace ascendente del dispositivo NAS, también debe crear reglas sin autenticación y asegurarse de que el servidor DNS esté incluido en las reglas sin autenticación. En V200R012C00 y versiones posteriores, el dispositivo NAS automáticamente permite el paso de los paquetes DNS y no se requiere una regla sin autenticación en la autenticación Portal.

  4. Verifique la configuración.

    1. Ejecute los comandos display portal y display web-auth-server configuration para verificar la configuración de autenticación Portal. La salida del comando (web-auth-server layer2(direct)) muestra que la plantilla del servidor Portal se ha vinculado a la interfaz vlanif10.
    2. Después de iniciar el navegador e introducir cualquier dirección de red, se redirige al usuario a la página de autenticación Portal. El usuario luego introduce el nombre de usuario y la contraseña para la autenticación.
    3. Si el nombre de usuario y la contraseña son correctas, se muestra un mensaje de autenticación exitosa en la página de autenticación Portal. El usuario puede acceder a la red.
    4. Después de que el usuario se conecte, puede ejecutar el comando display access-user en el dispositivo para verificar la información del usuario de autenticación Portal en línea.

Archivos de configuración

Archivo de configuración de Switch

#
sysname Switch  
#                                                                               
vlan batch 10 20  
#                                                                               
undo authentication unified-mode
#                                                                               
domain isp1
#
radius-server template rd1
 radius-server shared-key cipher %^%#Q75cNQ6IF(e#L4WMxP~%^7'u17,]D87GO{"[o]`D%^%#
 radius-server authentication 192.168.2.30 1812 weight 80
#
web-auth-server abc                                                             
 server-ip 192.168.2.20                                                         
 port 50200                                                                     
 shared-key cipher %^%#t:hJ@gD7<+G&,"Y}Y[VP4\foQ&og/Gg(,J4#\!gD%^%#                         
 url http://192.168.2.20:8080/webagent      
#
aaa
 authentication-scheme abc
  authentication-mode radius
 domain isp1
  authentication-scheme abc
  radius-server rd1
#
interface Vlanif10                                                              
 web-auth-server abc direct  
#
interface GigabitEthernet1/0/1
 port link-type access           
 port default vlan 10 
#                                                                              
interface GigabitEthernet1/0/2            
 port link-type access                                                          
 port default vlan 20
#
return
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15452

Descargas: 129

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente