No se encuentran recursos de mapeo en el idioma seleccionado.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo para configurar la Free Mobility cuando cambian las ubicaciones físicas de los usuarios

Ejemplo para configurar la Free Mobility cuando cambian las ubicaciones físicas de los usuarios

Descripción general de la Free Mobility

En una red empresarial, se pueden desplegar diferentes políticas de acceso a la red para que los usuarios en dispositivos de acceso cumplan diferentes requisitos de acceso a la red. La aplicación de la oficina móvil y las tecnologías BYOD ocasionan frecuentes cambios en las ubicaciones físicas y las direcciones IP de los usuarios. Por lo tanto, la solución original de control de red basada en puertos físicos y direcciones IP no puede garantizar la coherencia de la experiencia de acceso a la red. Por ejemplo, no cambia la política de acceso a la red de un usuario cuando cambia la ubicación física del usuario.

La solución de Free Mobility permite a un usuario obtener la misma política de acceso a la red, independientemente de la ubicación del usuario y los cambios de la dirección IP en una red ágil.

Los switches deben estar asociados con Agile Controller-Campus en la solución de Free Mobility. Un administrador sólo necesita desplegar de manera uniforme las políticas de acceso a la red en Agile Controller-Campus para los usuarios y entregar las políticas a todos los switches asociados. Después de eso, un usuario puede obtener la misma política de acceso sin importar cómo cambie la ubicación física y la dirección IP del usuario.

Notas de configuración

  • La Free Mobility sólo se admite en modo unificado NAC.
  • La siguiente tabla enumera los productos y versiones aplicables. El Agile Controller-Campus en este ejemplo ejecuta V100R003C30.
    Tabla 15-1  Productos y versiones aplicables

    Versión de switch

    Versión de Agile Controller-Campus

    Modelo de switch

    V200R011C10

    V100R003C30

    Soportado sólo por S5320HI.

    V200R012C00

    V100R003C30

    Soportado sólo por S5320HI y S6320HI.

  • Cuando el controlador entrega un nombre de grupo UCL que no se admite por el switch, por ejemplo, este nombre de grupo contiene caracteres chinos o caracteres especiales, el switch no puede analizar el nombre del grupo. Un nombre de grupo UCL que pueda ser compatible con el switch debe ser coherente con el valor de group-name en el comando ucl-group group-index [ name group-name ], no puede ser -, --, a, an o any, y no puede contener ninguno de los siguientes caracteres: / \ : * ? " < > | @ ' %. Por lo tanto, al configurar un nombre de grupo UCL en el controlador, no use caracteres chinos o caracteres especiales.

  • Si el switch se ha asociado con un Agile Controller-Campus y tiene Free Mobility configurada, realice los siguientes pasos para eliminar los datos históricos y reconfigurar el switch de core.

    1. Ejecute el comando undo group-policy controller en la vista del sistema para deshabilitar Free Mobility y desconecte el switch del Agile Controller-Campus.
    2. Ejecute el comando undo acl all para eliminar la política de control de acceso.
    3. Ejecute el comando undo ucl-group ip all para eliminar las direcciones IP vinculadas a los grupos de seguridad.
    4. Ejecute el comando undo ucl-group all para eliminar los grupos de seguridad.
    5. Regrese a la vista del usuario y ejecute el comando save. El sistema borra automáticamente el número de versión configurado.

Requisitos de red

Una red empresarial tiene múltiples áreas de oficina, y los empleados no trabajan en ubicaciones fijas y desean obtener los mismos derechos después de ser autenticados, independientemente de su ubicación de acceso.

Figura 15-1  Diagrama de Red

Análisis de requisitos

En Figura 15-1, el switch de core ágil S5320HI (SwitchA) funciona como punto de autenticación y los switches de acceso (SwitchB y SwitchC) son switches comunes. Después de que la autenticación 802.1x y la autenticación del portal están configuradas en SwitchA, los usuarios pueden acceder a la red después de ser autenticados en SwitchA. Puede configurar la Free Mobility para que los usuarios tengan los mismos derechos y experiencia independientemente de su ubicación de acceso.

Plan de datos de red

Tabla 15-2  Plan de datos de red

Ítem

Datos

Descripción

VLAN

ID: 11

Dirección IP de VLANIF 11: 192.168.11.254/24

VLAN utilizada para comunicarse con el Agile Controller-Campus

ID: 14

Dirección IP de VLANIF 14: 192.168.14.254/24

VLAN del servicio de acceso para el área de oficina 1

ID: 15

Dirección IP de VLANIF 15: 192.168.15.254/24

VLAN del servicio de acceso para el área de oficina 2
Switch de core (SwitchA)

Número de interfaz: GE0/0/11

VLAN: 11

Número de interfaz: GE0/0/12

VLAN: 14

Número de interfaz: GE0/0/13

VLAN: 15
Switch de acceso (SwitchB)

Número de interfaz: GE0/0/1

VLAN: 14

Número de interfaz: GE0/0/3

VLAN: 14
Switch de acceso (SwitchC)

Número de interfaz: GE0/0/1

VLAN: 15

Número de interfaz: GE0/0/3

VLAN: 15
Servidor Agile Controller-Campus: 192.168.11.1 Incluyendo Service Manager (SM) y Service Controller (SC), que están instalados en el mismo servidor. El SC funciona como el servidor RADIUS y el servidor del portal.

Servidor de correo electrónico: 192.168.11.100

-

Servidor de vídeo: 192.168.11.110

-

servidor DNS: 192.168.11.200

-

Plan de datos de servicio

Tabla 15-3  Plan de datos de servicio

Ítem

Datos

Descripción

Switch de core (SwitchA)

Servidor de autenticación RADIUS:
  • Dirección IP: 192.168.11.1
  • Número de puerto: 1812
  • Clave compartida RADIUS: Admin@123
  • El SC del Agile Controller-Campus integra el servidor RADIUS y el servidor de portal. Por lo tanto, las direcciones IP del servidor de autenticación, el servidor de contabilidad y el servidor del portal son la dirección IP del SC.

  • Configure un servidor de contabilidad RADIUS para obtener información de inicio de sesión y de cancelación de sesión del usuario. Los números de puerto del servidor de autenticación y el servidor de contabilidad deben ser los mismos que los números de puerto de autenticación y contabilidad del servidor RADIUS. En el Agile Controller-Campus, los números de puerto de autenticación y contabilidad RADIUS están fijados en 1812 y 1813, respectivamente, y el número de puerto del servidor del portal está fijado en 50200. Sin embargo, el número de puerto predeterminado que el switch usa para enviar paquetes es 50100. Por lo tanto, debe cambiar manualmente el número de puerto del switch a 50200. El número de puerto predeterminado que utiliza el switch para procesar los paquetes del portal es 2000 y el número de puerto del servidor de portal predeterminado también es 2000. Por lo tanto, no es necesario cambiar el número de puerto del switch.
Servidor de contabilidad RADIUS:
  • Dirección IP: 192.168.11.1
  • Número de puerto: 1813
  • Clave compartida RADIUS: Admin@123
  • Intervalo de contabilidad: 15 minutos
Servidor del portal:
  • Dirección IP: 192.168.11.1
  • Número de puerto de destino en los paquetes que el switch envía al servidor del portal: 50200
  • Número de puerto que utiliza el switch para procesar los paquetes del portal: 2000
  • Clave compartida: Admin@123

Contraseña XMPP: Admin@123

Debe ser la misma que la configurada en Agile Controller-Campus.

Agile Controller-Campus

Dirección IP del switch de core: 192.168.11.254

Esta dirección IP es la dirección IP de VLANIF 11.

Parámetros RADIUS:
  • Serie de dispositivo: Serie S de Huawei
  • Clave de autenticación/contabilidad: Admin@123
  • Clave de autorización: Admin@123
  • Intervalo de contabilidad en tiempo real: 15 minutos

Estos valores de parámetros deben ser los mismos que los configurados en el switch de core.

Parámetros del portal:
  • Número de puerto que utiliza el switch para procesar los paquetes del portal: 2000
  • Clave del portal: Admin@123
  • Direcciones IP de los terminales de acceso

    Área de oficina 1: 192.168.14.0/24

    Área de oficina 2: 192.168.15.0/24

Contraseña XMPP: Admin@123

Debe ser la misma que la configurada en el switch de core.

Cuentas:

Empleados:
  • Nombre de usuario: staff
  • Contraseña: Huawei@123
Invitados:
  • Nombre de usuario: guest
  • Contraseña: Guest@123

Autorice Staff_Group a staff.

Autorice Guest_Group a guest.

Grupos de seguridad dinámicos:

Staff_Group

Guest_Group

Grupos de seguridad estáticos:

Email_Server: 192.168.11.100

Video_Server: 192.168.11.110

-
Dominio de preautenticación Servidor DNS Los empleados pueden enviar nombres de dominio al servidor DNS para su resolución antes de ser autenticados.
Dominio posterior a la autenticación

Servidor de correo electrónico y servidor de vídeo

Después de pasar la autenticación, los empleados pueden acceder al servidor de correo electrónico y al servidor de vídeo. Puede mejorar el ancho de banda para que los empleados tengan acceso al servidor de vídeo.

Después de pasar la autenticación, los invitados no pueden acceder al servidor de correo electrónico y sólo pueden acceder al servidor de vídeo. Puede reducir el ancho de banda para que los invitados accedan al servidor de vídeo.

Hoja de ruta de configuración

Configure el switch de core.

  1. La Free Mobility sólo se admite en modo unificado NAC. Por lo tanto, debe establecer el modo de configuración de NAC en modo unificado.
  2. Configure las interfaces y las VLAN para implementar la comunicación de red y habilite la función del servidor DHCP para asignar direcciones IP a los usuarios en las áreas de oficina 1 y 2.
  3. Configure los parámetros para la interconexión con el servidor RADIUS.
  4. Configure los parámetros para la interconexión con el servidor de portal.
  5. Configure NAC para configurar los derechos de acceso a la red para los usuarios en el dominio de preautenticación y el dominio posterior a la autenticación.
  6. Configure puntos de autenticación de acceso para usuarios en áreas de oficina 1 y 2 y habilite la función de autenticación.
  7. Configure los parámetros XMPP en el switch de core para el interfuncionamiento con el Agile Controller-Campus, y habilite la Free Mobility.

Configure los switches de acceso.

  1. Configure las interfaces y las VLAN para implementar la comunicación de red.
  2. Configure la transmisión transparente de paquetes 802.1x.
    NOTA:
    En este ejemplo, los switches LAN (SwitchB y SwitchC) se despliegan entre el switch de core (SwitchA) y los usuarios. La transmisión transparente del paquete EAP debe configurarse en los switches LAN para que la autenticación 802.1x se pueda realizar para los usuarios.
    • Ejecute el comando l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002 en la vista del sistema para definir la transmisión transparente de capa 2 de paquetes EAP.
    • Ejecute el comando l2protocol-tunnel user-defined-protocol 802.1x enable en las interfaces de enlace descendente conectadas a los usuarios y las interfaces de enlace ascendente conectadas al switch de core para habilitar la transmisión transparente de capa 2.

Configure el Agile Controller-Campus.

  1. Configure los parámetros RADIUS, portal y XMPP, y agregue el switch de core.
  2. Cree dos cuentas staff y guest.
  3. Configure dos grupos de seguridad dinámicos Staff_Group y Guest_Group para representar a los usuarios, y configure dos grupos de seguridad estáticos Email_Server y Video_Server para representar los recursos.
  4. Autorice Staff_Group y Guest_Group a staff y guest respectivamente a través de una autorización rápida para que staff y guest puedan agregarse a Staff_Group y Guest_Group después de pasar la autenticación.
  5. Configure políticas de control de acceso. Las políticas permiten a Staff_Group acceder a Email_Server y Video_Server y mejorar el ancho de banda para que los empleados accedan al servidor de vídeo, permitir que Guest_Group acceda sólo a Video_Server y reducir el ancho de banda para que los invitados accedan al servidor de vídeo. Además, los usuarios en Staff_Group y Guest_Group no pueden comunicarse entre sí.

Procedimiento

  1. Configure el switch de core.
    1. Conmute el modo de configuración de NAC a modo unificado.

      NOTA:

      Debe cambiar el modo de configuración de NAC al modo unificado en un switch con Free Mobility configurada. En este proceso, el switch se reinicia automáticamente.

      <Quidway> system-view
      [Quidway] authentication unified-mode
      

    2. Configure interfaces y VLAN, y habilite la función del servidor DHCP.

      <Quidway> system-view
      [Quidway] sysname SwitchA
      [SwitchA] vlan batch 11 14 15
      [SwitchA] interface vlanif 11    //Funciona como la interfaz de origen para comunicarse con el Agile Controller-Campus.
      [SwitchA-Vlanif11] ip address 192.168.11.254 255.255.255.0
      [SwitchA-Vlanif11] quit
      [SwitchA] dhcp enable    //Habilite DHCP.
      [SwitchA] interface vlanif 14    //El área 1 de oficina accede a la VLAN de servicio.
      [SwitchA-Vlanif14] ip address 192.168.14.254 255.255.255.0
      [SwitchA-Vlanif14] dhcp select interface    //Habilite la función del servidor DHCP para asignar direcciones IP al área de oficina 1.
      [SwitchA-Vlanif14] dhcp server dns-list 192.168.11.200
      [SwitchA-Vlanif14] quit
      [SwitchA] interface vlanif 15    //El área de oficina 2 accede a la VLAN de servicio.
      [SwitchA-Vlanif15] ip address 192.168.15.254 255.255.255.0
      [SwitchA-Vlanif15] dhcp select interface    //Habilite la función del servidor DHCP para asignar direcciones IP al área de oficina 2.
      [SwitchA-Vlanif15] dhcp server dns-list 192.168.11.200
      [SwitchA-Vlanif15] quit
      [SwitchA] interface gigabitEthernet 0/0/11
      [SwitchA-GigabitEthernet0/0/11] port link-type access
      [SwitchA-GigabitEthernet0/0/11] port default vlan 11
      [SwitchA-GigabitEthernet0/0/11] quit
      [SwitchA] interface gigabitEthernet 0/0/12
      [SwitchA-GigabitEthernet0/0/12] port link-type trunk
      [SwitchA-GigabitEthernet0/0/12] port trunk allow-pass vlan 14
      [SwitchA-GigabitEthernet0/0/12] quit
      [SwitchA] interface gigabitEthernet 0/0/13
      [SwitchA-GigabitEthernet0/0/13] port link-type trunk
      [SwitchA-GigabitEthernet0/0/13] port trunk allow-pass vlan 15
      [SwitchA-GigabitEthernet0/0/13] quit

    3. Configure los parámetros para la interconexión con el servidor RADIUS.

      [SwitchA] radius-server template policy    //Cree la plantilla de servidor RADIUS policy.
      [SwitchA-radius-policy] radius-server authentication 192.168.11.1 1812    //Configure una dirección IP y un puerto de autenticación 1812 para el servidor de autenticación RADIUS.
      [SwitchA-radius-policy] radius-server accounting 192.168.11.1 1813    //Configure una dirección IP y un puerto de autenticación 1813 para el servidor de contabilidad RADIUS.
      [SwitchA-radius-policy] radius-server shared-key cipher Admin@123        //Configure la clave compartida de RADIUS.
      [SwitchA-radius-policy] quit
      [SwitchA] radius-server authorization 192.168.11.1 shared-key cipher Admin@123    //Configure una dirección IP y una clave compartida para el servidor de autorización RADIUS.
      [SwitchA] aaa
      [SwitchA-aaa] authentication-scheme auth    //Cree el esquema de autenticación auth.
      [SwitchA-aaa-authen-auth] authentication-mode radius    //Establezca el modo de autenticación en RADIUS.
      [SwitchA-aaa-authen-auth] quit
      [SwitchA-aaa] accounting-scheme acco    //Cree el esquema de contabilidad acco.
      [SwitchA-aaa-accounting-acco] accounting-mode radius    //Establezca el modo de contabilidad en autenticación RADIUS.
      [SwitchA-aaa-accounting-acco] accounting realtime 15    //Establezca el intervalo de contabilidad en 15 minutos.
      [SwitchA-aaa-accounting-acco] quit
      [SwitchA-aaa] domain default    //Ingrese el dominio predeterminado y vincule la plantilla del servidor RADIUS, el esquema de autenticación y el esquema de contabilidad al dominio predeterminado.
      [SwitchA-aaa-domain-default] radius-server policy
      [SwitchA-aaa-domain-default] authentication-scheme auth
      [SwitchA-aaa-domain-default] accounting-scheme acco
      [SwitchA-aaa-domain-default] quit
      [SwitchA-aaa] quit

    4. Configure los parámetros para la interconexión con el servidor de portal.

      [SwitchA] url-template name huawei    //Cree una plantilla de URL
      [SwitchA-url-template-huawei] url http://192.168.11.1:8080/portal    //Configure el URL de la página de autenticación del portal enviada a los usuarios.
      [SwitchA-url-template-huawei] quit
      [SwitchA] web-auth-server policy    //Cree la plantilla de servidor de portal policy.
      [SwitchA-web-auth-server-policy] server-ip 192.168.11.1    //Especifique la dirección IP del servidor de portal.
      [SwitchA-web-auth-server-policy] port 50200    //Especifique el número de puerto del servidor de portal.Agile Controller-Campus funciona como el servidor de portal, usa el número de puerto fijo 50200. El número de puerto predeterminado que un switch usa para enviar paquetes es 50100, que debe cambiarse manualmente a 50200.
      [SwitchA-web-auth-server-policy] shared-key cipher Admin@123    //Configure la clave compartida del portal.
      [SwitchA-web-auth-server-policy] url-template huawei    //Vincule a la plantilla de URL.
      [SwitchA-web-auth-server-policy] quit
      [SwitchA] web-auth-server listening-port 2000    //Configure el número de puerto de escucha en el switch. El número de puerto predeterminado es 2000. Si se cambia este número de puerto en el servidor de portal, el nuevo número de puerto también se debe configurar en el switch.

    5. Configure NAC.

      1. Configure el perfil de acceso 802.1x d1.
        NOTA:

        De forma predeterminada, un perfil de acceso 802.1x utiliza el modo de autenticación EAP. Asegúrese de que el servidor RADIUS sea compatible con EAP; de lo contrario, el servidor no puede procesar los paquetes de solicitud de autenticación 802.1x.

        [SwitchA] dot1x-access-profile name d1
        [SwitchA-dot1x-access-profile-d1] quit
      2. Configure el perfil de acceso del portal web1.

        [SwitchA] portal-access-profile name web1
        [SwitchA-portal-acces-profile-web1] web-auth-server policy direct   //Configure la autenticación del portal de capa 2.
        [SwitchA-portal-acces-profile-web1] quit
      3. Configure el perfil de regla libre de autenticación default_free_rule.

        [SwitchA] free-rule-template name default_free_rule
        [SwitchA-free-rule-default_free_rule] free-rule 1 destination ip 192.168.11.200 mask 32 source ip any    //Asegúrese de que los terminales puedan acceder al servidor DNS antes de que se autentiquen.
        [SwitchA-free-rule-default_free_rule] quit
      4. Configure el perfil de autenticación p1 para la autenticación combinada de 802.1x y portal.

        [SwitchA] authentication-profile name p1
        [SwitchA-authen-profile-p1] dot1x-access-profile d1    //Vincule al perfil de acceso 802.1x d1.
        [SwitchA-authen-profile-p1] portal-access-profile web1    //Vincule al perfil de acceso del portal web1.
        [SwitchA-authen-profile-p1] access-domain default force    //Establezca el dominio default como el dominio de autenticación forzada para los usuarios que se conectan en línea desde esta interfaz.
        [SwitchA-authen-profile-p1] quit
      5. Configure los puntos de autenticación de acceso para los usuarios en las áreas de oficina 1 y 2 y habilite la autenticación combinada de 802.1x y portal.

        [SwitchA] interface gigabitEthernet 0/0/12
        [SwitchA-GigabitEthernet0/0/12] authentication-profile p1    //Vincule al perfil de autenticación p1.
        [SwitchA-GigabitEthernet0/0/12] quit
        [SwitchA] interface gigabitEthernet 0/0/13
        [SwitchA-GigabitEthernet0/0/13] authentication-profile p1    //Vincule al perfil de autenticación p1.
        [SwitchA-GigabitEthernet0/0/13] quit

    6. Configure los parámetros XMPP en el switch de core para el interfuncionamiento con el Agile Controller-Campus, y habilite la Free Mobility.

      [SwitchA] group-policy controller 192.168.11.1 password Admin@123 src-ip 192.168.11.254    //Especifique src-ip como la dirección IP de VLANIF 11.
      [SwitchA] quit
      <SwitchA> save    //Introduzca y para guardar la configuración.

  2. Configure los switches de acceso.

    NOTA:

    En este ejemplo, los switches de acceso se despliegan entre los usuarios y el switch de core funciona como el punto de autenticación para transmitir paquetes de manera transparente. Para garantizar que los usuarios puedan pasar la autenticación 802.1x, configure los switches de acceso para transmitir transparentemente paquetes 802.1x (paquetes EAP en este ejemplo porque se usa el modo EAP).

    <Quidway> system-view
    [Quidway] sysname SwitchB
    [SwitchB] l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002
    [SwitchB] vlan 14
    [SwitchB] interface gigabitEthernet 0/0/1
    [SwitchB-GigabitEthernet0/0/1] port link-type trunk
    [SwitchB-GigabitEthernet0/0/1] port trunk allow-pass vlan 14
    [SwitchB-GigabitEthernet0/0/1] l2protocol-tunnel user-defined-protocol 802.1x enable
    [SwitchB-GigabitEthernet0/0/1] bpdu enable
    [SwitchB-GigabitEthernet0/0/1] quit
    [SwitchB] interface gigabitEthernet 0/0/3
    [SwitchB-GigabitEthernet0/0/3] port link-type access
    [SwitchB-GigabitEthernet0/0/3] port default vlan 14
    [SwitchB-GigabitEthernet0/0/3] l2protocol-tunnel user-defined-protocol 802.1x enable
    [SwitchB-GigabitEthernet0/0/3] bpdu enable
    [SwitchB-GigabitEthernet0/0/3] quit
    [SwitchB] quit
    <SwitchB> save    //Introduzca y para guardar la configuración.

    La configuración de SwitchC es similar a la de SwitchB.

  3. Configure el Agile Controller-Campus.
    1. Agregue el switch de core.

      1. Elija Resource > Device > Device Management y haga clic en Add. Establezca el nombre del dispositivo, la dirección IP y los parámetros de autenticación.

      2. Haga clic en XMPP para establecer los parámetros de XMPP.

      3. Haga clic en OK. El switch de core se agrega automáticamente a Free Mobility, su Status es , y su Synchronization Status es Success.
      4. En el switch de core, compruebe el estado de comunicación del switch con el Agile Controller-Campus.
        <SwitchA> display group-policy status
        Controller IP address: 192.168.11.1
        Controller port: 5222 
        Backup controller IP address: - 
        Backup controller port: -  
        Source IP address: 192.168.11.254
        State: working
        Connected controller: master 
        Device protocol version: 2
        Controller protocol version: 2

    2. Cree las cuentas del personal e invitado.

      1. Elija Resource > User Management.
      2. Haga clic en Add para crear la cuenta del staff.

      3. Haga clic en Add para crear la cuenta de guest.

    3. Configure dos grupos de seguridad dinámicos Staff_Group y Guest_Group para representar a los usuarios, y configure dos grupos de seguridad estáticos Email_Server y Video_Server para representar los recursos.

      1. Elija Policy > Permission Control > Security Group > Dynamic Security Group Management.
      2. Haga clic en Add y cree Staff_Group.

      3. Haga clic en Add y cree Guest_Group.

      4. Haga clic en Global Deployment para desplegar los grupos de seguridad dinámicos en toda la red.
      5. Elija Static Security Group Management, haga clic en Add y cree Email_Server.

      6. Haga clic en Add y cree Video_Server.

    4. Autorice Staff_Group y Guest_Group a staff y guest respectivamente a través de una autorización rápida para que staff y guest puedan agregarse a Staff_Group y Guest_Group después de pasar la autenticación.

      1. Elija Policy > Permission Control > Quick Authorization.
      2. Mapee staff a Staff_Group, establezca el ancho de banda y haga clic en OK.

      3. Mapee guest a Guest_Group, configure el ancho de banda y haga clic en OK.

    5. Configure políticas de control de acceso para permitir que Staff_Group acceda a Email_Server y Video_Server y Guest_Group acceda sólo a Video_Server. Además, los usuarios en Staff_Group y Guest_Group no pueden comunicarse entre sí.

      NOTA:

      El modo de configuración de política predeterminado es el grupo personalizado. Si no hay un grupo personalizado, primero agregue un grupo personalizado en la página de administración del dispositivo. También puede cambiar el modo de configuración de la política a todos los dispositivos (elija System > Terminal Configuration > Global Parameters > Free Mobility).

      1. Elija Resource > Device > Device Management > Free Mobility > Custom, haga clic en para agregar el grupo personalizado Switch, y luego haga clic en Join para agregar CoreSwitch a este grupo.

      2. Elija Policy > Free Mobility > Policy Configuration > Permission Control, y haga clic en Add en Common PolicySwtich.

      3. Compruebe todas las políticas de control de acceso configuradas.

      4. Haga clic en Global Deployment.

        Después de desplegar con éxito la política de control de acceso, puede ejecutar los siguientes comandos en el switch de core para ver la información de despliegue.

        • display ucl-group all: muestra grupos de seguridad dinámicos configurados.
          <SwitchA> display ucl-group all
          ID       UCL group name                                                         
          --------------------------------------------------------------------------------
          1        Staff_Group                                                            
          2        Guest_Group                                                            
          --------------------------------------------------------------------------------
          Total : 2
        • display acl all: muestra políticas de control de acceso.
          <SwitchA> display acl all
          Ucl-group ACL Auto_PGM_U2 9998, 3 rules                                         
          Acl's step is 5                                                                 
           rule 1 deny ip source ucl-group name Guest_Group destination 192.168.11.100 0  
           rule 2 permit ip source ucl-group name Guest_Group destination 192.168.11.110 0    
           rule 3 deny ip source ucl-group name Guest_Group destination ucl-group name Staff_Group
                                                                                          
          Ucl-group ACL Auto_PGM_U1 9999, 3 rules                                         
          Acl's step is 5                                                                 
           rule 1 permit ip source ucl-group name Staff_Group destination 192.168.11.100 0
           rule 2 permit ip source ucl-group name Staff_Group destination 192.168.11.110 0
           rule 3 deny ip source ucl-group name Staff_Group destination ucl-group name Guest_Group
          

  4. Guarde la configuración de Core_SW.

    Elija Resource > Device > Device Management. Haga clic en correspondiente a Core_SW para guardar la configuración.

    NOTA:

    Guardar la configuración es similar a ejecutar el comando save en el dispositivo, que guarda todas las configuraciones del dispositivo (incluidos los grupos de seguridad, las políticas de control de derecho de acceso y las políticas de QoS desplegadas en el controlador) en el archivo de configuración.

    Si los grupos de seguridad, las políticas de control de derecho de acceso y las políticas de QoS se guardan en el archivo de configuración del dispositivo, estas configuraciones se pueden restaurar directamente desde el archivo de configuración después de que el dispositivo se reinicie, y no es necesario que se soliciten desde el controlador. De lo contrario, la autenticación de usuario falla después de que el dispositivo se reinicia porque los grupos de seguridad, las políticas de control de derecho de acceso y las políticas de QoS no se despliegan en el dispositivo.

  5. Verifique la configuración.

    Después de pasar la autenticación 802.1x o portal en cualquier lugar, los empleados que usan la cuenta staff pueden acceder a los servidores de correo y vídeo, y los videos pueden reproducirse sin problemas.

    Después de pasar la autenticación 802.1x o portal en cualquier lugar, los invitados que usan la cuenta guest no pueden acceder al servidor de correo electrónico, pero sólo pueden acceder al servidor de vídeo, y los vídeos pueden congelarse.

Archivos de configuración

  • Archivo de configuración de switch de core (SwitchA)

    #
    sysname SwitchA
    #
    vlan batch 11 14 to 15
    #
    authentication-profile name p1
     dot1x-access-profile d1
     portal-access-profile web1
     access-domain default force
    #
    radius-server authorization 192.168.11.1 shared-key cipher %^%#FKIlCKv=f(AgM-G~W"}G.C\%;b'3A/zz-EJV;vi*%^%#  
    #
    group-policy controller 192.168.11.1 password %^%#(K2]5P#C6'97.pR(gFv$K$KbGYN}R1Y76~K^;AP&%^%# src-ip 192.168.11.254
    #
    dhcp enable
    #
    radius-server template policy
     radius-server shared-key cipher %^%#teXm2B&.1O0:cj$OWPq7@!Y\!%}dC3Br>p,}l\L.%^%#
     radius-server authentication 192.168.11.1 1812 weight 80
     radius-server accounting 192.168.11.1 1813 weight 80
    #
    free-rule-template name default_free_rule
     free-rule 1 destination ip 192.168.11.200 mask 255.255.255.255 source ip any
    #
    url-template name huawei
     url http://192.168.11.1:8080/portal
    #
    web-auth-server policy
     server-ip 192.168.11.1
     port 50200
     shared-key cipher %^%#SQn,Cr"c;M&{#(R^:;P3F_H$3f3sr$C9%*G7R|u3%^%#
     url-template huawei
    #
    portal-access-profile name web1
     web-auth-server policy direct
    #
    aaa
     authentication-scheme auth
      authentication-mode radius
     accounting-scheme acco
      accounting-mode radius
      accounting realtime 15
     domain default
      authentication-scheme auth
      accounting-scheme acco
      radius-server policy
    #
    interface Vlanif11
     ip address 192.168.11.254 255.255.255.0
    #
    interface Vlanif14
     ip address 192.168.14.254 255.255.255.0
     dhcp select interface
     dhcp server dns-list 192.168.11.200
    #
    interface Vlanif15
     ip address 192.168.15.254 255.255.255.0
     dhcp select interface
     dhcp server dns-list 192.168.11.200
    #
    interface GigabitEthernet0/0/11
     port link-type access
     port default vlan 11
    #
    interface GigabitEthernet0/0/12
     port link-type trunk
     port trunk allow-pass vlan 14
     authentication-profile p1
    #
    interface GigabitEthernet0/0/13
     port link-type trunk
     port trunk allow-pass vlan 15
     authentication-profile p1
    #
    dot1x-access-profile name d1
    #
    return
  • Archivo de configuración de switch de acceso (SwitchB)

    #
    sysname SwitchB
    #
    vlan batch 14
    #
    l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk allow-pass vlan 14
     l2protocol-tunnel user-defined-protocol 802.1x enable
    #
    interface GigabitEthernet0/0/3
     port link-type access
     port default vlan 14
     l2protocol-tunnel user-defined-protocol 802.1x enable
    #
    return
  • Archivo de configuración de switch de acceso (SwitchC)

    #
    sysname SwitchC
    #
    vlan batch 15
    #
    l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk allow-pass vlan 15
     l2protocol-tunnel user-defined-protocol 802.1x enable
    #
    interface GigabitEthernet0/0/3
     port link-type access
     port default vlan 15
     l2protocol-tunnel user-defined-protocol 802.1x enable
    #
    return
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15511

Descargas: 129

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente