Nessuna risorsa pertinente trovata nella lingua selezionata.

Reminder

To have a better experience, please upgrade your IE browser.

upgrade

Raccolta di casi di configurazione dello scenario tipico del router aziendale NE-ME60 2.0

Rate and give feedback:
Huawei utilizza la traduzione automatica insieme alla revisione umana per tradurre questo documento in diverse lingue, per facilitare la comprensione del contenuto di questo documento. Nota: la traduzione automatica, anche la più avanzata, non può corrispondere alla qualità dei trasduttori professionisti. Huawei non accetta alcuna responsabilità per l'accuratezza della traduzione e raccomanda di fare riferimento al documento inglese (per il quale è stato fornito un collegamento).
Esempio per la configurazione dell'accesso di dual-stack IPv4/IPv6 in base all'autenticazione web+MAC

Esempio per la configurazione dell'accesso di dual-stack IPv4/IPv6 in base all'autenticazione web+MAC

Questa sezione fornisce un esempio per la configurazione dell'accesso di dual-stack IPv4/IPv6 in base all'autenticazione web+MAC.

Prodotti e versioni applicabili

Questo esempio di configurazione si applica ai prodotti della serie NE40E/ME60 con V800R010C00 o versioni successive.

Requisiti di rete

Ad esempio, gli utenti cablati, gli utenti wireless e i terminali di dumb nelle aree dormitorio dei docenti, nelle aree dormitorio degli studenti e nelle aree ufficio implementano l'accesso di dual-stack IPv4/IPv6 basato sull'autenticazione web. Quando un utente accede a Internet per la prima volta, l'utente entra nel dominio di autenticazione MAC. Durante l'autenticazione web, l'utente deve inserire il nome utente e la password. Il server RADIUS registra automaticamente l'indirizzo MAC del terminale e lo associa al nome utente e alla password. L'utente accede automaticamente a Internet quando torna online. Questa modalità di autenticazione è denominata autenticazione MAC. Se l'utente non riesce ad autenticarsi, l'utente viene reindirizzato al dominio di autenticazione Web. Un utente nel dominio di autenticazione Web può accedere solo a indirizzi di rete limitati, come l'indirizzo del server web. Quando un utente nel dominio accede ad un indirizzo non autorizzato, l'utente viene reindirizzato a un server web specificato. L'utente deve inserire il nome utente e la password corretti. Dopo che l'autenticazione è riuscita, l'utente entra nel dominio di autenticazione e può accedere alle risorse di rete correttamente. Quando l'utente accede alla prossima volta router autentica l'utente in base all'indirizzo MAC del terminale.
  • Vengono utilizzate l'autenticazione RADIUS e la contabilità RADIUS.

  • L'indirizzo IP del server RADIUS è 10.1.2.10. Le porte di autenticazione e di contabilità sono 1812 e 1813, rispettivamente. Viene adottato il protocollo RADIUS standard, con la chiave Root@1234.

  • Gli indirizzi IP dei due server DNS sono 3001:DA8:20D:30::30 e 10.1.6.2, rispettivamente.

  • L'indirizzo IP del server Web è 10.1.1.10 e la chiave è Root@123.

Figura 1-19  Rete per configurare l'accesso di dual-stack IPv4/IPv6 basato sull'autenticazione web+MAC
NOTA:

Interface1 in questo esempio è GE0/1/0.



Roadmap di configurazione

La roadmap di configurazione è seguente:

  1. Attivare l'inoltro dei pacchetti IPv6.

  2. Creare un dominio di autenticazione MAC denominato mac-domain, un dominio di autenticazione web denominato web-domain, e un dominio di autenticazione denominatoafter-domain.

  3. Configurare gli schemi AAA. Creare un gruppo di server RADIUS denominato group1, configurare l'attributo hw-auth-type per i pacchetti di richiesta di autenticazione nel gruppo di server RADIUS e configurare la traduzione di attributo per tradurre l'attributo hw-auth-type in proprietà di Huawei No. 109 attributo.

  4. Configurare i pool di indirizzi.

  5. Abilitare l'autenticazione MAC nel dominio di autenticazione MAC mac-domain, e associare il gruppo di server RADIUS group1 e lo schema di autenticazione portal-mac-auth al dominio.

  6. Configurare il reindirizzamento forzato a un server Web specificato nel dominio di autenticazione Web web-domain, e associare un gruppo di utenti che può accedere solo a risorse limitate, schema di autenticazione (non autenticazione) e schema di contabilità (non-contabilità) al dominio.

  7. Configurare le regole ACL per il dominio di autenticazione Web web-domain.

  8. Configurare il dominio di autenticazione after-domain.

  9. Eseguire il comando default-user-name include mac-address nella vista AAA per utilizzare direttamente l'indirizzo MAC contenuto in un pacchetto di richiesta di connessione utente come nome utente.

  10. Configurare un DUID per il server DHCPv6.

  11. Attivare IPv6 e configurare il dominio di autenticazione MAC, il dominio di autenticazione e il metodo di autenticazione su un'interfaccia BAS.

Procedura

  1. Attivare l'inoltro dei pacchetti IPv6.

    <HUAWEI> system-view
    [~HUAWEI] ipv6

  2. Creare un dominio di autenticazione MAC, un dominio di autenticazione Web e un dominio di autenticazione.

    [~HUAWEI] aaa
    [*HUAWEI-aaa] domain mac-domain
    [~HUAWEI-aaa-domain-mac-domain] quit
    [*HUAWEI-aaa] domain web-domain
    [~HUAWEI-aaa-domain-web-domain] quit
    [*HUAWEI-aaa] domain after-domain
    [*HUAWEI-aaa-domain-after-domain] commit
    [~HUAWEI-aaa-domain-after-domain] quit
    [~HUAWEI-aaa] quit

  3. Configurare gli schemi AAA e un gruppo di server RADIUS.

    # Creare un gruppo di server RADIUS denominato group1, configurare l'attributo hw-auth-type per i pacchetti di richiesta di autenticazione nel gruppo di server RADIUS e configura la traduzione degli attributi per tradurre l'attributo hw-auth-type in proprietà di Huawei No. 109 attributo.

    [~HUAWEI] radius-server group group1
    [*HUAWEI-radius-group1] radius-server authentication 10.1.2.10 1812
    [*HUAWEI-radius-group1] radius-server accounting 10.1.2.10 1813
    [*HUAWEI-radius-group1] radius-server shared-key-cipher Root@1234
    [*HUAWEI-radius-group1] radius-attribute include hw-auth-type
    [*HUAWEI-radius-group1] radius-server attribute translate
    [*HUAWEI-radius-group1] radius-attribute translate extend hw-auth-type vendor-specific 2011 109 access-request account
    [*HUAWEI-radius-group1] commit
    [~HUAWEI-radius-group1] quit

    # Creare uno schema di autenticazione denominato portal-mac-auth, e configurare l'utente da reindirizzare al dominio di autenticazione web web-domain quando l'autenticazione fallisce nello schema di autenticazione.

    [~HUAWEI] aaa
    [*HUAWEI-aaa] authentication-scheme portal-mac-auth
    [*HUAWEI-aaa-authen-portal-mac-auth] authening authen-fail online authen-domain web-domain
    [*HUAWEI-aaa-authen-portal-mac-auth] commit
    [~HUAWEI-aaa-authen-portal-mac-auth] quit

    # Configurare uno schema di autenticazione denominato radius, con l'autenticazione RADIUS specificata.

    [*HUAWEI-aaa] authentication-scheme radius
    [*HUAWEI-aaa-authen-radius] authentication-mode radius local
    [*HUAWEI-aaa-authen-radius] commit
    [~HUAWEI-aaa-authen-radius] quit

    # Configurare uno schema di autenticazione denominato none, con non autenticazione specificata.

    [*HUAWEI-aaa] authentication-scheme none
    [*HUAWEI-aaa-authen-none] authentication-mode none
    [*HUAWEI-aaa-authen-none] commit
    [~HUAWEI-aaa-authen-none] quit

    # Configurare uno schema di contabilità denominato radius, con contabilità RADIUS specificata.

    [*HUAWEI-aaa] accounting-scheme radius
    [*HUAWEI-aaa-accounting-radius] accounting interim interval 10 hash
    [*HUAWEI-aaa-accounting-radius] commit
    [~HUAWEI-aaa-accounting-radius] quit

    # Configurare uno schema contabile denominato none, con non-contabilità specificato.

    [*HUAWEI-aaa] accounting-scheme none
    [*HUAWEI-aaa-accounting-none] accounting-mode none
    [*HUAWEI-aaa-accounting-none] commit
    [~HUAWEI-aaa-accounting-none] quit
    [~HUAWEI-aaa] quit

  4. Configurare i pool di indirizzi.

    • # Configurare un pool di indirizzi IPv4.

      [~HUAWEI] ip pool pool1 bas local
      [*HUAWEI-ip-pool-pool1] gateway 10.10.17.1 255.255.240.0
      [*HUAWEI-ip-pool-pool1] section 0 10.10.17.2 10.10.19.254
      [*HUAWEI-ip-pool-pool1] dns-server 10.1.6.2
      [*HUAWEI-ip-pool-pool1] commit
      [~HUAWEI-ip-pool-pool1] quit
    • # Configurare un pool di prefissi IPv6.

      [~HUAWEI] ipv6 prefix prefix1 local
      [*HUAWEI-ipv6-prefix-prefix1] prefix 3001:DA8:801D:2005::/64
      [*HUAWEI-ipv6-prefix-prefix1] commit
      [~HUAWEI-ipv6-prefix-prefix1] quit
    • # Configurare un pool di indirizzi IPv6.

      [~HUAWEI] ipv6 pool pool1 bas local
      [*HUAWEI-ip-pool-pool1] prefix prefix1
      [*HUAWEI-ip-pool-pool1] dns-server 3001:DA8:20D:30::30
      [*HUAWEI-ip-pool-pool1] commit
      [~HUAWEI-ip-pool-pool1] quit

  5. Abilitare l'autenticazione MAC nel dominio di autenticazione MAC mac-domain, e associare il gruppo di server RADIUS group1 e lo schema di autenticazione portal-mac-auth al dominio.

    [~HUAWEI] user-group mac-group
    [~HUAWEI] aaa
    [*HUAWEI-aaa] domain mac-domain
    [*HUAWEI-aaa-domain-mac-domain] radius-server group group1
    [*HUAWEI-aaa-domain-mac-domain] authentication-scheme portal-mac-auth
    [*HUAWEI-aaa-domain-mac-domain] accounting-scheme radius
    [*HUAWEI-aaa-domain-mac-domain] ip-pool pool1
    [*HUAWEI-aaa-domain-mac-domain] ipv6-pool pool1
    [*HUAWEI-aaa-domain-mac-domain] mac-authentication enable
    [*HUAWEI-aaa-domain-mac-domain] user-group mac-group
    [*HUAWEI-aaa-domain-mac-domain] commit
    [~HUAWEI-aaa-domain-mac-domain] quit
    [~HUAWEI-aaa] quit

  6. Configurare il reindirizzamento forzato a un server Web specificato nel dominio di autenticazione Web web-domain, e associare un gruppo di utenti che può accedere solo a risorse limitate, schema di autenticazione (non autenticazione) e schema di contabilità (non-contabilità) al dominio.

    [~HUAWEI] user-group web-group
    [~HUAWEI] aaa
    [*HUAWEI-aaa] http-redirect enable
    [*HUAWEI-aaa] domain web-domain
    [*HUAWEI-aaa-domain-web-domain] authentication-scheme none
    [*HUAWEI-aaa-domain-web-domain] accounting-scheme none
    [*HUAWEI-aaa-domain-web-domain] ip-pool pool1
    [*HUAWEI-aaa-domain-web-domain] ipv6-pool pool1
    [*HUAWEI-aaa-domain-web-domain] user-group web-group
    [*HUAWEI-aaa-domain-web-domain] web-server 10.1.1.10
    [*HUAWEI-aaa-domain-web-domain] web-server url http://10.1.1.10
    [*HUAWEI-aaa-domain-web-domain] commit
    [~HUAWEI-aaa-domain-web-domain] quit
    [~HUAWEI-aaa] quit

    # Configurare un server di autenticazione Web.

    [*HUAWEI] web-auth-server 10.1.1.10 key cipher Root@123

    # Abilitare la risposta rapida HTTP.

    [*HUAWEI] slot 1
    [*HUAWEI-slot-1] http-reply enable
    [*HUAWEI-slot-1] commit
    [~HUAWEI-slot-1] quit

  7. Configurare le regole ACL per il dominio di autenticazione Web web-domain.

    • # Configurare le regole IPv4 ACL.

      [~HUAWEI] acl number 6000
      [*HUAWEI-acl-ucl-6000] rule 5 permit ip source ip-address 10.1.1.10 0 destination user-group web-group
      [*HUAWEI-acl-ucl-6000] rule 10 permit ip source user-group web-group destination ip-address 10.1.1.10 0
      [*HUAWEI-acl-ucl-6000] rule 15 permit ip source ip-address 10.1.6.2 0 destination user-group web-group
      [*HUAWEI-acl-ucl-6000] rule 20 permit ip source user-group web-group destination ip-address 10.1.6.2 0
      [~HUAWEI-acl-ucl-6000] quit
      [~HUAWEI] acl number 6001
      [*HUAWEI-acl-ucl-6001] rule 5 permit tcp source user-group web-group destination-port eq www
      [*HUAWEI-acl-ucl-6001] rule 10 permit tcp source user-group web-group destination-port eq 8080
      [*HUAWEI-acl-ucl-6001] rule 15 permit ip source user-group web-group
      [~HUAWEI-acl-ucl-6001] quit
      [~HUAWEI] acl number 6002
      [*HUAWEI-acl-ucl-6002] rule 5 permit ip source user-group web-group destination user-group web-group
      [*HUAWEI-acl-ucl-6002] rule 10 permit ip source user-group web-group destination ip-address any
      [~HUAWEI-acl-ucl-6002] quit
      [~HUAWEI] acl number 6003
      [*HUAWEI-acl-ucl-6003] rule 5 permit ip destination user-group web-group
      [~HUAWEI-acl-ucl-6003] quit
    • # Configurare le regole IPv6 ACL.

      [~HUAWEI] acl ipv6 number 6000
      [*HUAWEI-acl6-ucl-6000] rule 5 deny ipv6 source user-group web-group destination ipv6-address 3001:DA8:20D:30::30/128
      [*HUAWEI-acl6-ucl-6000] rule 10 deny ipv6 source ipv6-address 3001:DA8:20D:30::30/128 destination user-group web-group
      [~HUAWEI-acl6-ucl-6000] quit
      [~HUAWEI] acl ipv6 number 6001
      [*HUAWEI-acl6-ucl-6001] rule 5 permit tcp source user-group web-group destination-port eq www
      [*HUAWEI-acl6-ucl-6001] rule 10 permit tcp source user-group web-group destination-port eq 8080
      [*HUAWEI-acl6-ucl-6001] rule 15 permit ipv6 source user-group web-group
      [~HUAWEI-acl6-ucl-6001] quit
    • # Configurare una politica del traffico.

      [~HUAWEI] traffic classifier 6000
      [*HUAWEI-classifier-6000] if-match acl 6000
      [*HUAWEI-classifier-6000] if-match ipv6 acl 6000
      [~HUAWEI-classifier-6000] quit
      [~HUAWEI] traffic classifier 6001
      [*HUAWEI-classifier-6001] if-match acl 6001
      [*HUAWEI-classifier-6001] if-match ipv6 acl 6001
      [~HUAWEI-classifier-6001] quit
      [~HUAWEI] traffic classifier 6002
      [*HUAWEI-classifier-6002] if-match acl 6002
      [~HUAWEI-classifier-6002] quit
      [~HUAWEI] traffic classifier 6003
      [*HUAWEI-classifier-6003] if-match acl 6003
      [~HUAWEI-classifier-6003] quit
      [~HUAWEI] traffic behavior permit
      [*HUAWEI-behavior-permit] permit
      [~HUAWEI] traffic behavior in-deny
      [*HUAWEI-behavior-in-deny] deny
      [~HUAWEI-behavior-in-deny] quit
      [~HUAWEI] traffic behavior out-deny
      [*HUAWEI-behavior-out-deny] deny
      [~HUAWEI-behavior-out-deny] quit
      [~HUAWEI] traffic behavior redirect
      [*HUAWEI-behavior-redirect] http-redirect
      [~HUAWEI-behavior-redirect] quit
      [~HUAWEI] traffic policy before-auth-in
      [*HUAWEI-policy-before-auth-in] share-mode
      [*HUAWEI-policy-before-auth-in] classifier 6000 behavior permit
      [*HUAWEI-policy-before-auth-in] classifier 6001 behavior redirect
      [*HUAWEI-policy-before-auth-in] classifier 6002 behavior in-deny
      [~HUAWEI-policy-before-auth-in] quit
      [~HUAWEI] traffic policy before-auth-out
      [*HUAWEI-policy-before-auth-out] share-mode
      [*HUAWEI-policy-before-auth-out] classifier 6000 behavior permit
      [*HUAWEI-policy-before-auth-out] classifier 6003 behavior out-deny
      [~HUAWEI-policy-before-auth-out] quit

      # Applicare la politica del traffico a livello globale.

      [*HUAWEI] traffic-policy before-auth-in inbound
      [*HUAWEI] traffic-policy before-auth-out outbound

  8. Configurare il dominio di autenticazione after-domain.

    [~HUAWEI] aaa
    [*HUAWEI-aaa] domain after-domain
    [*HUAWEI-aaa-domain-after-domain] authentication-scheme radius
    [*HUAWEI-aaa-domain-after-domain] accounting-scheme radius
    [*HUAWEI-aaa-domain-after-domain] radius-server group group1
    [*HUAWEI-aaa-domain-after-domain] commit
    [~HUAWEI-aaa-domain-after-domain] quit

  9. Eseguire il comando default-user-name include mac-address nella vista AAA per utilizzare direttamente l'indirizzo MAC contenuto in un pacchetto di richiesta di connessione utente come nome utente.

    [*HUAWEI-aaa] default-user-name include mac-address -
    [*HUAWEI-aaa] commit
    [~HUAWEI-aaa] quit

  10. Configurare un DUID per il server DHCPv6.

    [*HUAWEI] dhcpv6 duid 12345678

  11. Abilitare IPv6 e configurare il dominio di autenticazione MAC, il dominio di autenticazione e il metodo di autenticazione su un'interfaccia BAS.

    [~HUAWEI] license
    [*HUAWEI-license] active bas slot 1
    [~HUAWEI-license] quit
    [~HUAWEI] interface gigabitethernet0/1/0
    [*HUAWEI-GigabitEthernet0/1/0] ipv6 enable
    [*HUAWEI-GigabitEthernet0/1/0] ipv6 nd autoconfig managed-address-flag
    [*HUAWEI-GigabitEthernet0/1/0] ipv6 nd autoconfig other-flag
    [*HUAWEI-GigabitEthernet0/1/0] bas
    [*HUAWEI-GigabitEthernet0/1/0-bas] access-type layer2-subscriber default-domain pre-authentication mac-domain authentication after-domain
    [*HUAWEI-GigabitEthernet0/1/0-bas] authentication-method web
    [*HUAWEI-GigabitEthernet0/1/0-bas] authentication-method-ipv6 web
    [*HUAWEI-GigabitEthernet0/1/0-bas] commit
    [~HUAWEI-GigabitEthernet0/1/0-bas] quit
    [~HUAWEI-GigabitEthernet0/1/0] quit

  12. Verificare la configurazione.

    1. Un utente accede al PC e ottiene un indirizzo IP.

    2. Eseguire il comando display access-user domain web-domain su router per controllare le informazioni sugli utenti online.

    3. L'utente accede a un altro sito Web nella barra degli indirizzi e viene automaticamente reindirizzato all'indirizzo del server Web.

    4. L'utente inserisce il nome utente e la password e accede a Internet dopo il successo dell'autenticazione.

    5. Eseguire il comando display domain mac-domain per verificare che i pool di indirizzi IPv4 e IPv6 siano associati al dominio mac-domain.

File di configurazione

#
 sysname HUAWEI
#
license
 active bas slot 1
#
ipv6
#
 user-group after-domain
 user-group web-domain
 user-group mac-domain
#
 dhcpv6 duid 12345678
#
slot 1
 http-reply enable
#
radius-server group group1
 radius-server shared-key-cipher Root@1234
 radius-server authentication 10.1.2.10 1812 weight 0
 radius-server accounting 10.1.2.10 1813 weight 0 
 radius-server attribute translate
 radius-attribute include HW-Auth-Type
 radius-attribute translate extend HW-Auth-Type vendor-specific 2011 109 access-request account
#
acl ipv6 number 6000
 rule 5 deny ipv6 source user-group web-group destination ipv6-address 3001:DA8:20D:30::30/128
 rule 10 deny ipv6 source ipv6-address 3001:DA8:20D:30::30/128 destination user-group web-group
#
acl ipv6 number 6000
 rule 5 permit tcp source user-group web-group destination-port eq www
 rule 10 permit tcp source user-group web-group destination-port eq 8080
 rule 15 permit ipv6 source user-group web-group
#
acl number 6000
 rule 5 permit ip source ip-address 10.1.1.10 0 destination user-group web-group
 rule 10 permit ip source user-group web-group destination ip-address 10.1.1.10 0
 rule 15 permit ip source ip-address 10.1.6.2 0 destination user-group web-group
 rule 20 permit ip source user-group web-group destination ip-address 10.1.6.2 0
#
acl number 6001
 rule 5 permit tcp source user-group web-group destination-port eq www
 rule 10 permit tcp source user-group web-group destination-port eq 8080
 rule 15 permit ip source user-group web-group
#
acl number 6002
 rule 5 permit ip source user-group web-group destination user-group web-group
 rule 10 permit ip source user-group web-group destination ip-address any
#
acl number 6003
 rule 5 permit ip destination user-group web-group
#
acl number 6010
#
traffic classifier 6000 operator or
 if-match acl 6000
 if-match ipv6 acl 6000
traffic classifier 6001 operator or
 if-match acl 6001
 if-match ipv6 acl 6001
traffic classifier 6002 operator or
 if-match acl 6002
traffic classifier 6003 operator or
 if-match acl 6003
#
traffic behavior in-deny
 deny
traffic behavior out-deny
 deny
traffic behavior permit
traffic behavior redirect
 deny
traffic behavior redirect
 http-redirect
#
traffic policy before-auth-in
 share-mode
 classifier 6000 behavior permit
 classifier 6001 behavior redirect
 classifier 6002 behavior in-deny
traffic policy before-auth-out
 share-mode
 classifier 6000 behavior permit
 classifier 6003 behavior out-deny
#
ip pool pool1 bas local
 gateway 10.10.17.1 255.255.240.0
 section 0 10.10.17.2 10.10.19.254
 dns-server 10.1.6.2
#
ipv6 prefix prefix1 local
 prefix 3001:DA8:801D:2005::/64
#
ipv6 pool pool1 bas local
 prefix prefix1
 dns-server 3001:DA8:20D:30::30
#
aaa
 http-redirect enable
 default-user-name include mac-address -
 authentication-scheme portal-mac-auth
  authening authen-fail online authen-domain web-domain
 authentication-scheme radius
  authentication-mode radius local
 authentication-scheme none
  authentication-mode none
#
 accounting-scheme radius
  accounting interim interval 10 hash
 accounting-scheme none
  accounting-mode none
 #
 domain mac-domain
  authentication-scheme portal-mac-auth
  accounting-scheme radius
  ip-pool pool1
  ipv6-pool pool1
  mac-authentication enable
  radius-server group group1
  user-group mac-group
 domain web-domain
  authentication-scheme none
  accounting-scheme none
  ip-pool pool1
  ipv6-pool pool1
  user-group web-group
  web-server 10.1.1.10
  web-server url http://10.1.1.10
 domain after-domain
  authentication-scheme radius
  accounting-scheme radius
  radius-server group group1
#
interface GigabitEthernet0/1/0
 ipv6 enable
 ipv6 nd autoconfig managed-address-flag
 ipv6 nd autoconfig other-flag
 bas
 #
  access-type layer2-subscriber default-domain pre-authentication mac-domain authentication after-domain
  authentication-method web
  authentication-method-ipv6 web
#
 traffic-policy before-auth-in inbound
 traffic-policy before-auth-out outbound
#
 web-auth-server 10.1.1.10 key cipher Root@1234
Download
Updated: 2019-05-16

N. documento: EDOC1100082601

Visualizzazioni:863

Download: 2

Average rating:
This Document Applies to these Products
Documenti correlati
Related Version
Share
Precedente Avanti