Nessuna risorsa pertinente trovata nella lingua selezionata.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Reminder

To have a better experience, please upgrade your IE browser.

upgrade

Raccolta di casi di configurazione dello scenario tipico del router aziendale NE-ME60 2.0

Rate and give feedback:
Huawei utilizza la traduzione automatica insieme alla revisione umana per tradurre questo documento in diverse lingue, per facilitare la comprensione del contenuto di questo documento. Nota: la traduzione automatica, anche la più avanzata, non può corrispondere alla qualità dei trasduttori professionisti. Huawei non accetta alcuna responsabilità per l'accuratezza della traduzione e raccomanda di fare riferimento al documento inglese (per il quale è stato fornito un collegamento).
Esempio per la configurazione dell'accesso utente WLAN in base all'autenticazione proxy RADIUS

Esempio per la configurazione dell'accesso utente WLAN in base all'autenticazione proxy RADIUS

Questa sezione fornisce un esempio per la configurazione dell'accesso utente WLAN in base all'autenticazione proxy RADIUS.

Prodotti e versioni applicabili

Questo esempio di configurazione si applica ai prodotti della serie NE40E/ME60 che eseguono V800R010C00 o versioni successive.

Requisiti di rete

Sulla rete mostrata in Figura 1-20, quando gli utenti WLAN accedono a Internet, i pacchetti EAP vengono utilizzati per l'autenticazione RADIUS su AC. Il router viene quindi utilizzata per la contabilità RADIUS. Il processo di accesso dell'utente è il seguente:
  1. Un utente WLAN invia un pacchetto EAP all'AC. L'AC termina il pacchetto EAP e invia un pacchetto RADIUS al router.
  2. routerLarouter funziona come proxy RADIUS. router ascolta i pacchetti di autenticazione inviati dall'AC al server RADIUS e li inoltra al server RADIUS e ascolta i pacchetti di risposta dell'autenticazione inviato dal server RADIUS e li inoltra all'AC. Nel processo proxy router salva le informazioni di autorizzazione fornite dal server RADIUS all'account utente.
  3. Dopo che l'autenticazione ha avuto successo, l'utente invia un pacchetto DHCP alla router per ottenere un indirizzo IP. Durante l'ottenimento dell'indirizzo router interroga le informazioni di autorizzazione salvate per l'account utente nel processo proxy in base all'indirizzo MAC dell'utente. Se esistono le informazioni di autorizzazione dell'account utente router assegna all'utente un indirizzo IP inattivo e utilizza le informazioni di autorizzazione salvate per autorizzare l'utente. Inoltre, router invia un pacchetto di avvio contabile al server RADIUS per la contabilità utente.
  4. La router risponde direttamente ai pacchetti di contabilità inviati dall'AC senza inviarli al server RADIUS.
Figura 1-20  Rete per la configurazione dell'accesso utente WLAN in base all'autenticazione proxy RADIUS

Roadmap di configurazione

La roadmap di configurazione è seguente:

  1. Configurare un gruppo di server RADIUS, uno schema di autenticazione, uno schema di contabilità e un pool di indirizzi.
  2. Associare il gruppo di server RADIUS, lo schema di autenticazione, lo schema di contabilità e il pool di indirizzi al dominio.
  3. Configurare la funzione proxy RADIUS.
  4. Configurare l'accesso BAS su un'interfaccia.
  5. Configurare un indirizzo IP per l'accesso AC su un'interfaccia.
NOTA:

Per impostazione predefinita router può ascoltare i pacchetti RADIUS attraverso le porte 1812, 1813, 1645, 1646 e 3799. Per utilizzare un'altra porta per ascoltare i pacchetti RADIUS, eseguire il comando radius-server extended-source-ports port-number port-number nella vista di sistema per specificare un porta d'ascolto.

Preparazione dei dati

Per completare la configurazione, sono necessari i seguenti dati:
  • Indirizzo IP del server di autenticazione RADIUS
  • Indirizzo IP del server di contabilità RADIUS
  • Indirizzo IP di interfaccia per l'AC per inviare pacchetti RADIUS

Procedura

  1. Configurare un gruppo di server RADIUS, uno schema di autenticazione, uno schema di contabilità e un pool di indirizzi.

    # Configurare un gruppo di server RADIUS denominato shiva.

    <HUAWEI> system-view
    [~HUAWEI] radius-server group shiva
    [*HUAWEI-radius-shiva] radius-server authentication 10.1.123.151 1812
    [*HUAWEI-radius-shiva] radius-server accounting 10.1.123.151 1813
    [*HUAWEI-radius-shiva] commit
    [~HUAWEI-radius-shiva] quit

    # Configurare un pool di indirizzi IP locale denominato a.

    [HUAWEI] ip pool a bas local
    [*HUAWEI-ip-pool-a] gateway 172.30.0.1 24
    [*HUAWEI-ip-pool-a] section 0 172.30.0.2 172.30.0.254
    [*HUAWEI-ip-pool-a] commit
    [~HUAWEI-ip-pool-a] quit
    

    # Configurare uno schema di autenticazione denominato rdp, con l'autenticazione del proxy RADIUS specificata.

    [~HUAWEI] aaa
    [*HUAWEI-aaa] authentication-scheme rdp
    [*HUAWEI-aaa-authen-rdp] authentication-mode radius-proxy
    [*HUAWEI-aaa-authen-rdp] commit
    [~HUAWEI-aaa-authen-rdp] quit
    

    # Configurare uno schema di contabilità denominato rds, con contabilità RADIUS specificata.

    [*HUAWEI-aaa] accounting-scheme rds
    [*HUAWEI–aaa-accounting-rds] accounting-mode radius
    [*HUAWEI-aaa-accounting-rds] commit
    [~HUAWEI–aaa-accounting-rds] quit
    

  2. Configurare un dominio denominato radiusproxy, e associare lo schema di autenticazione rdp, lo schema di contabilità rds, e il gruppo di server RADIUS o shiva al dominio.

    [~HUAWEI-aaa] domain radiusproxy
    [*HUAWEI-aaa-domain-radiusproxy] authentication-scheme rdp
    [*HUAWEI-aaa-domain- radiusproxy] accounting-scheme rds
    [*HUAWEI-aaa-domain- radiusproxy] radius-server group shiva
    [*HUAWEI-aaa-domain- radiusproxy] ip-pool a
    

  3. Configurare proxy RADIUS.

    [*HUAWEI] radius-client 10.1.0.201 server-group shiva shared-key-cipher !QAZ2wsx
    NOTA:

    L'indirizzo IP configurato dopo radius-client è l'indirizzo IP dell'interfaccia per l'AC per inviare pacchetti RADIUS. In questo esempio, il gruppo di server RADIUS associato al dominio è lo stesso di quello per il proxy RADIUS. In pratica, il gruppo di server RADIUS associato a un dominio potrebbe essere diverso da quello per il proxy RADIUS.

  4. Configurare un indirizzo IP per l'accesso AC.

    [~HUAWEI] interface GigabitEthernet 0/1/2
    [*HUAWEI-GigabitEthernet0/1/2] ip address 10.1.0.197 8
    [*HUAWEI-GigabitEthernet0/1/2] commit
    [~HUAWEI-GigabitEthernet0/1/2] quit
    
    NOTA:

    Questo indirizzo IP viene utilizzato per l'accesso AC. I pacchetti di autenticazione RADIUS inviati dall'AC devono essere inviati a questo indirizzo. Se router ha un altro indirizzo IP collegato all'AC, non è possibile configurare l'indirizzo IP.

  5. Configurare l'accesso BAS su un'interfaccia.

    [~HUAWEI] license
    [HUAWEI-license] active bas slot 1
    [~HUAWEI-license] quit
    [~HUAWEI] interface GigabitEthernet 0/1/1
    [*HUAWEI-GigabitEthernet0/1/1] bas
    [*HUAWEI-GigabitEthernet0/1/1-bas] access-type layer2-subscriber default-domain authentication radiusproxy
    [*HUAWEI-GigabitEthernet0/1/1-bas] authentication-method bind
    [*HUAWEI-GigabitEthernet0/1/1-bas] commit
    [~HUAWEI-GigabitEthernet0/1/1-bas] quit
    [~HUAWEI-GigabitEthernet0/1/1] quit
    NOTA:

    La configurazione di accesso BAS su un'interfaccia in scenari proxy RADIUS è la stessa di quella degli scenari di accesso IPoE. Il proxy RADIUS si applica solo agli utenti IPoE e non agli utenti PPPoE.

  6. Verificare la configurazione.

    Eseguire il comando display radius-server configuration group shiva su router per controllare le configurazioni del gruppo di server RADIUS.

    [~HUAWEI-radius-shiva] display radius-server configuration group shiva
      -------------------------------------------------------
      Server-group-name    :  shiva
      Authentication-server:  IP:10.1.123.151 Port:1812 Weight[0] [UP]
                              Vpn: -
      Authentication-server:  -
      Authentication-server:  -
      Authentication-server:  -
      Authentication-server:  -
      Authentication-server:  -
      Authentication-server:  -
      Authentication-server:  -
      Authentication-server:  -
      Authentication-server:  -
      Authentication-server:  -
      Authentication-server:  -
      Authentication-server:  -
      Authentication-server:  -
      Authentication-server:  -
      Authentication-server:  -
      Accounting-server    :  IP:10.1.123.151 Port:1813 Weight[0] [UP]
                              Vpn: -
      Accounting-server    :  -
      Accounting-server    :  -
      Accounting-server    :  -
      Accounting-server    :  -
      Accounting-server    :  -
      Accounting-server    :  -
      Accounting-server    :  -
      Accounting-server    :  -
      Accounting-server    :  -
      Accounting-server    :  -
      Accounting-server    :  -
      Accounting-server    :  -
      Accounting-server    :  -
      Accounting-server    :  -
      Accounting-server    :  -
      Protocol-version     :  radius
      Shared-secret-key    :  ******
      Retransmission       :  3
      Timeout-interval(s)  :  5
      Acct-Stop-Packet Resend  :  NO
      Acct-Stop-Packet Resend-Times  :  0
      Traffic-unit         :  B
      ClassAsCar           :  NO
      User-name-format     :  Domain-included
      Option82 parse mode  :  -
      Attribute-translation:  NO
      Packet send algorithm:  Master-Backup
      Tunnel password      :  cipher 
    

    Eseguire il comando display domain su router per controllare le configurazioni del dominio.

    [~HUAWEI-aaa] display domain radiusproxy
      ------------------------------------------------------------------------------
      Domain-name                     : radiusproxy
      Domain-state                    : Active
      Authentication-scheme-name      : rdp
      Accounting-scheme-name          : rds
      Authorization-scheme-name       : -
      Primary-DNS-IP-address          : -
      Second-DNS-IP-address           : -
      Primary-DNS-IPV6-address        : -
      Second-DNS-IPV6-address         : -
      Web-server-URL-parameter        : No
      Portal-server-URL-parameter     : No
      Primary-NBNS-IP-address         : -
      Second-NBNS-IP-address          : -
      Time-range                      : Disable
      Idle-cut direction              : Both
      Idle-data-attribute (time,flow) : 0, 60
      User detect interval            : 0s
      User detect retransmit times    : 0
      Install-BOD-Count               : 0
      Report-VSM-User-Count           : 0
      Value-added-service             : default
      User-access-limit               : 283648
      Online-number                   : 0
      Web-IP-address                  : -
      Web-URL                         : -
      Web-auth-server                 : -
      Web-auth-state                  : -
      Web-server-mode                 : get
      Slave Web-IP-address            : -
      Slave Web-URL                   : -
      Slave Web-auth-server           : -
      Slave Web-auth-state            : -
      Portal-server-IP                : -
      Portal-URL                      : -
      Portal-force-times              : 2
      Service-policy(Portal)          : -
      PPPoE-user-URL                  : Disable
      AdminUser-priority              : 16
      IPUser-ReAuth-Time              : 300s
      mscg-name-portal-key            : -
      Portal-user-first-url-key       : -
      User-session-limit              : 4294967295
      Ancp auto qos adapt             : Disable
      L2TP-group-name                 : -
      User-lease-time-no-response     : 0s
      RADIUS-server-template          : shiva
      Two-acct-template               : -
      RADIUS-server-pre-template      : -
                                        -
                                        -
      HWTACACS-server-template        : -
      Bill Flow                       : Disable
      Tunnel-acct-2867                : Disable
      Qos-profile-name inbound        : -
      Qos-profile-name outbound       : -
    
      Flow Statistic:
      Flow-Statistic-Up               : Yes
      Flow-Statistic-Down             : Yes
      Source-IP-route                 : Disable
      IP-warning-threshold            : -
      IP-warning-threshold(Low)       : -
      IPv6-warning-threshold          : -
      IPv6-warning-threshold(Low)     : -
      Multicast Forwarding            : Yes
      Multicast Virtual               : No
      Max-multilist num               : 4
      Multicast-profile               : -
      Multicast-profile ipv6          : -
      IP-address-pool-name            : a
      Quota-out                       : Offline
      Service-type                    : -
      User-basic-service-ip-type      : -/-/-
      PPP-ipv6-address-protocol       : Ndra
      IPv6-information-protocol       : Stateless dhcpv6
      IPv6-PPP-assign-interfaceid     : Disable
      IPv6-PPP-NDRA-halt              : Disable
      IPv6-PPP-NDRA-unicast           : Disable
      Trigger-packet-wait-delay       : 60s
      Peer-backup                     : Enable
      Reallocate-ip-address           : Disable
      Cui  enable                     : Disable
      Igmp enable                     : Enable
      L2tp-user radius-force          : Disable
      Accounting dual-stack           : Separate
      Radius server domain-annex      : -
      Dhcp-option64-service           : Disable
      Parse-separator                 : -
      Parse-segment-value             : -
      Dhcp-receive-server-packet      : -
      Http-hostcar                    : Disable
      Public-address assign-first     : Disable
      Public-address nat              : Enable
      Dhcp-user auto-save             : Disable
      IP-pool usage-status threshold  : 255 , 255
      Select-Pool-Rule                : gateway + local priority
      AFTR name                       : -
      Traffic-rate-mode               : Separate
      Traffic-statistic-mode          : Separate
      Rate-limit-mode-inbound         : Car
      Rate-limit-mode-outbound        : Car
      Service-change-mode             : Stop-start
      DAA Direction                   : both
      ------------------------------------------------------------------------------
    

    Eseguire il comando display radius-client configuration su router per controllare le configurazioni del gruppo di server RADIUS.

    [~HUAWEI] display radius-client configuration
      -----------------------------------------------------------------------------
      IP-Address      VPN-instance         Shared-key         Group
      Domain-authorization   Roam-domain
      -----------------------------------------------------------------------------
      10.1.0.201       --                   ******            shiva
      NO                     --
    
      -----------------------------------------------------------------------------
      1 Radius client(s) in total   
    

File di configurazione

#
sysname HUAWEI
#
license
 active bas slot 5
#
radius-server group shiva
 radius-server authentication 10.1.123.151 1812 weight 0
radius-server accounting 10.1.123.151 1813 weight 0
#
aaa
  authentication-scheme rdp
  authentication-mode radius-proxy
 #
  accounting-scheme rds
  accounting-mode radius
 #
 domain radiusproxy
  authentication-scheme rdp
  accounting-scheme rds
  radius-server group shiva 
  ip-pool a
#
interface GigabitEthernet 0/1/2
  undo shutdown
  ip address 10.1.0.197 255.0.0.0
#
interface GigabitEthernet 0/1/1
  undo shutdown
  bas
  #
  access-type layer2-subscriber default-domain authentication radiusproxy
  authentication-method bind
  #
#
ip pool a bas local
 gateway 172.30.0.1 255.255.255.0
 section 0 172.30.0.2 188.0.0.254   
#
return
Download
Updated: 2019-05-16

N. documento: EDOC1100082601

Visualizzazioni:769

Download: 2

Average rating:
This Document Applies to these Products
Documenti correlati
Related Version
Share
Precedente Avanti