Nessuna risorsa pertinente trovata nella lingua selezionata.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Reminder

To have a better experience, please upgrade your IE browser.

upgrade

Raccolta di casi di configurazione dello scenario tipico del router aziendale NE-ME60 2.0

Rate and give feedback:
Huawei utilizza la traduzione automatica insieme alla revisione umana per tradurre questo documento in diverse lingue, per facilitare la comprensione del contenuto di questo documento. Nota: la traduzione automatica, anche la più avanzata, non può corrispondere alla qualità dei trasduttori professionisti. Huawei non accetta alcuna responsabilità per l'accuratezza della traduzione e raccomanda di fare riferimento al documento inglese (per il quale è stato fornito un collegamento).
Esempio per la configurazione dell'accesso cablato e wireless integrato degli utenti del campus in scenari BRAS

Esempio per la configurazione dell'accesso cablato e wireless integrato degli utenti del campus in scenari BRAS

Questa sezione fornisce un esempio di configurazione dell'accesso IPoE e PPPoE e dell'autenticazione dell'indirizzo MAC per implementare l'accesso cablato e wireless integrato degli utenti del campus negli scenari BRAS.

Prodotti applicabili e versioni

La seguente tabella elenca i prodotti e le versioni software applicabili di questa soluzione.

Tabella 1-25  Prodotti e versioni applicabili

Nome del prodotto

Versione di software

S5700

V200R011C10

S7703

V200R011C10

S12708

V200R011C10

ME60

V800R008C10

USG6680

V500R001C30

Requisiti di rete

NOTA:

Il ME60 in questo esempio funziona come un gateway di autenticazione per autenticare l'accesso dell'utente su una grande rete di campus (oltre 20,000 utenti).

In Figura 1-23, la rete del campus richiede l'autenticazione integrata degli utenti cablati e wireless nei dormitori e negli uffici degli insegnanti. I requisiti di rete sono i seguenti:

  • Accesso: Entrambe le reti cablate e wireless sono distribuite, consentendo agli utenti di scegliere il loro metodo di accesso preferito.
  • Autenticazione: È necessario autenticare sia gli utenti cablati che quelli wireless. L'autenticazione PPPoE, l'autenticazione IPoE e l'autenticazione dell'indirizzo MAC vengono eseguite rispettivamente per gli utenti cablati, gli utenti wireless e i terminali muti.
  • Accesso Extranet: Gli indirizzi IP privati vengono utilizzati nell'intranet del campus. Pertanto, la rete NAT (Network Address Translation) deve essere eseguita per consentire l'accesso degli utenti alle reti esterne ISP1 e ISP2 (come Internet e le reti di istruzione). Gli utenti Extranet possono anche accedere alle risorse del server sull'intranet.
  • Accesso di rete a destra Gli insegnanti e gli studenti hanno diversi account e diritti di accesso alla rete, come mostrato nel Tabella 1-26.
  • Limitazione differenziata dei tassi: Gli studenti, gli insegnanti, gli utenti di commercial e i terminali dumb possono accedere all'intranet del campus a diverse larghezze di banda. Ad esempio, le larghezze di banda per studenti, insegnanti, (China Unicom subscribers) e terminali dumb possono essere rispettivamente 10 Mbit/s, 20 Mbit/s, 50 Mbit/s e 20 Mbit/s. DAA (Destination Address Accounting) viene utilizzato per implementare il controllo della larghezza di banda per diversi utenti e indirizzi di destinazione.
  • Contabilità differenziata: Agli studenti e agli insegnanti non viene addebitato alcun costo per l'accesso alla intranet del campus, ma viene addebitato per l'accesso alle reti di gestori esterni ISP1 e ISP2. DAA implementa una contabilità differenziata per l'accesso all'intranet del campus e alle reti esterne.
  • Sicurezza: Il traffico in entrata e in uscita dalla rete del campus deve essere identificato e filtrato per garantire la sicurezza della rete.
Figura 1-23  Diagramma di rete per configurare l'accesso cablato e wireless integrato degli utenti del campus negli scenari BRAS

Tabella 1-26  Pianificazione delle modalità di autenticazione, dei diritti di accesso alla rete e del controllo della larghezza di banda per account utente diversi

Account

Modalità di accesso a Internet

Modalità di autenticazione

Diritto di accesso alla rete

Controllo della larghezza di banda

Osservazioni

Account dello studente

Cablato

PPPoE

Accedere all'Intranet del campus.

10 Mbit/s

Account dello studente

Wireless

IPoE

10 Mbit/s

-

Account dell'insegnante

Accesso cablato

PPPoE

Accedere alla intranet del campus e accedere a ISP1 e ISP2 attraverso l'uscita di linea privata.

Intranet del campus: 20 Mbit/s

Extranet del campus: 50 Mbit/s

Account dell'insegnante

Wireless

IPoE

-

Account di carrier

Accesso cablato

PPPoE

Accedere alla intranet del campus e accedere a ISP1 e ISP2 tramite una VPN.

Intranet del campus: Intranet del campus: 10 Mbit/s per gli studenti e 20 Mbit/s per gli insegnanti

Extranet del campus: 50 Mbit/s

Associato a un account dell'insegnante o dello studente

Account di servizio

Wireless

IPoE

Terminale di Dump

Cablato

MAC

Accedere all'Intranet del campus.

20 Mbit/s

I terminali di dumb includono stampanti e fax.

Roadmap di configurazione

  • Gli utenti sono collegati a un S5700 o ad un AP con VLAN utente configurate. I pacchetti upstream vengono aggregati a un S7703 che aggiunge i tag VLAN esterni ai pacchetti. QinQ implementa l'isolamento dell'utente.
  • Tutti gli switch di aggregazione sono collegati al core switch S12708 con AC nativi incorporati (non è richiesto alcun AC hardware aggiuntivo, riducendo gli investimenti dei dispositivi di rete). La funzione AC nativa è configurata sul S12708 per gestire AP su tutta la rete e implementare l'accesso alla rete wireless.
  • L'S12708 trasmette in modo trasparente i pacchetti QinQ all'ME60 e il ME60 li termina.
  • Come gateway di autenticazione, ME60 fornisce una varietà di modalità di autenticazione per utenti cablati e wireless, tra cui IPoE, PPPoE e l'autenticazione dell'indirizzo MAC. Inoltre, DAA può essere configurato su ME60 per implementare la limitazione della velocità differenziata e considerare i diversi utenti e gli indirizzi di destinazione.
  • Il firewall di uscita USG6680 funziona come un'interfaccia in uscita di una rete esterna, isolando la rete esterna dalla rete interna. Implementare gli instradamenti di servizio inter-rete e NAT.
    • Per migliorare l'utilizzo delle risorse di collegamento e l'esperienza utente, la selezione intelligente di uplink è abilitata sul firewall per selezionare dinamicamente le interfacce in uscita sulla base del collegamento di uscita

    • Per consentire agli utenti con indirizzi IP privati di accedere a Internet, NAT è configurato sul firewall in uscita.

    • Le politiche di sicurezza sono configurate sul firewall di uscita per filtrare i pacchetti di accesso Internet degli utenti, bloccare i siti Web non autorizzati e monitorare e tracciare i pacchetti di rete degli utenti.

NOTA:

Quanto segue descrive come configurare ME60. Per i dettagli di configurazione di altri dispositivi, consultare la relativa documentazione del prodotto.

Configurazione iniziale

Accedere a un dispositivo per la prima volta.

Per i dettagli, vedere "Accesso al dispositivo per la prima volta" in "Funzioni comuni".

Configurare i nomi dei dispositivi.

Configurare un nome specifico per ogni dispositivo per facilitare l'identificazione del dispositivo dopo l'accesso dell'utente. Ad esempio, denominare un dispositivo "ME60".

#
sysname ME60
#
Assegnare indirizzi IP alle interfacce dei dispositivi.
  • Pianificazione generale

    Gli indirizzi IP sono pianificati per le interfacce dei dispositivi come segue:

    Tabella 1-27  Pianificazione degli indirizzi IP dell'interfaccia

    Dispositivo

    Interfaccia

    Indirizzo IP dell'interfaccia

    ME60

    10GE 1/0/1

    172.16.11.6/30

    ME60

    10GE 1/0/2

    172.16.11.10/30

    ME60

    10GE 1/0/3

    172.16.11.13/30

    ME60

    Loopback0

    172.16.10.3/32

    UGS6680-A

    10GE1/0/7

    172.16.11.5/30

    UGS6680-A

    Loopback0

    172.16.10.1/32

    UGS6680-B

    10GE 1/0/8

    172.16.11.9/30

    UGS6680-B

    Loopback0

    172.16.10.2/32

    S12708

    Loopback0

    172.16.10.4/32

    S12708

    XGE 5/0/7

    172.16.10.14/30

  • Configurazione dell'indirizzo dell'interfaccia

    Impostare l'indirizzo IP di GE 1/0/1 su ME60 su 172.16.11.6/30.

    #
    interface GigabitEthernet1/0/1
     undo shutdown
     ip address 172.16.11.6 255.255.255.252      //Configurare un indirizzo IP sull'interfaccia..
    #
    

    Altri indirizzi di interfaccia sono configurati in modo simile e non sono descritti qui.

Configurare il login remoto.

È possibile accedere in remoto a un dispositivo tramite Telnet o SSH. Telnet ha i rischi per la sicurezza. SSH, che è più sicuro, è raccomandato.

Per i dettagli, vedere "Uso di STelnet (SSH) per accedere in remoto a un dispositivo" in "Funzioni comuni".

Configurazione di instradamenti statici

Pianificazione generale

I router utilizzano i protocolli di instradamento per scoprire gli instradamenti, generare tabelle di routing e inoltrare i pacchetti guida. A differenza dei protocolli di routing dinamico, il routing statico prevede la configurazione manuale degli instradamenti in una tabella di routing.

La struttura di rete della rete del campus in questo esempio è semplice. Per semplificare la manutenzione, è sufficiente configurare gli instradamenti statici per soddisfare i requisiti dell'utente.

Gli instradamenti statici ME60 a ciascun dispositivo sono i seguenti:

Tabella 1-28  Gli instradamenti statici su ME60

Dispositivo

Indirizzo di destinazione

Indirizzo IP successivo

ME60

172.16.10.1/32

172.16.11.5/30

ME60

172.16.10.2/32

172.16.11.9/30

ME60

172.16.10.4/32

172.16.11.13/30

Configurazione statica dell'instradamento

Per configurare gli instradamenti statici dal ME60 ad ogni dispositivo, eseguire i seguenti comandi:

#
ip route-static 172.16.10.1 255.255.255.255 172.16.11.5      //Configurare un'instradamento statico da ME60 a USG6680-A.
ip route-static 172.16.10.2 255.255.255.255 172.16.11.9      //Configurare un'instradamento statico da ME60 a USG6680-BB.
ip route-static 172.16.10.4 255.255.255.255 172.16.11.13     //Configurare un'instrdamento statico da ME60 a S12708
 

#

Configurazione dell'accesso IPoE

Pianificazione generale

Gli utenti wireless degli studenti e degli insegnanti possono accedere alla rete del campus in modalità IPoE. ME60 funziona come gateway di autenticazione. Dopo il successo dell'autenticazione, ME60 assegna gli indirizzi IP privati agli utenti e concede loro i diritti di accesso. Gli utenti possono accedere a Internet solo dopo aver superato l'autenticazione web.

Tabella 1-29  Pianificazione dei parametri di accesso IPoE

Parametro

Valore pianificato

Schemi AAA

  • Schemi di autenticazione: authen e none (La modalità di autenticazione è nessuno)
  • Schemi di contabilità: acc e none (La modalità di autenticazione è nessuno)

Server RADIUS

  • Nome del server RADIUS: radius
  • L'indirizzo IP e il numero di porta del server di autenticazione: 192.168.10.55 e 1812
  • Indirizzo IP e numero di porta del server di autenticazione: 192.168.10.55 e 1813
  • Gli indirizzi IP dei server di autorizzazione: 192.168.10.55 e 192.168.10.241
  • Interfaccia di origine del server RADIUS: LoopBack0 (questa interfaccia viene utilizzata da ME60 per inviare pacchetti al server RADIUS).
  • Chiave condivisa del server RADIUS: Huawei@123

Server Web

  • Interfaccia di origine del server RADIUS: LoopBack0 (questa interfaccia viene utilizzata da ME60 per inviare pacchetti al server RADIUS).
  • Indirizzo IP e numero di porta del server di autenticazione: 192.168.10.53 e 50100

Pool di indirizzi

  • Nome del pool di indirizzi IP: xuesheng
    • L'indirizzo gateway e la maschera di sottorete sono rispettivamente 10.254.0.1 e 255.255.128.0.
    • Segmento di rete: Da 10.254.0.2 a 10.254.127.254
    • Indirizzi IP dei server DNS: 192.168.10.2 e 10.255.57.5
    • Periodo di locazione: 12 ore
  • Nome del pool di indirizzi IP: pre-pool

    • L'indirizzo gateway e la maschera di sottorete sono rispettivamente 10.253.0.1 e 255.255.128.0.
    • Segmento di rete: Da 10.253.0.2 a 10.253.127.254
    • Indirizzi IP dei server DNS: 192.168.10.2 e 10.255.57.5x
    • Periodo di locazione: 12 ore
  • Nome del pool di indirizzi IP: jiaoshi

    • L'indirizzo gateway e la maschera di sottorete sono rispettivamente 10.254.128.1 e 255.255.128.0.0
    • Segmento di rete: Da 10.254.128.2 a 10.254.255.254
    • Indirizzi IP dei server DNS: 192.168.10.2 e 10.255.57.5
    • Periodo di locazione:k 12 hours

Gruppo di utenti

Il gruppo di utenti pre-web l'accesso dell'utente alla rete dal dominio di pre-autenticazione.

Dominio pre-autenticazione

  • Il dominio di pre-autenticazione pre-authen consente agli utenti di accedere solo al server web.
  • Lo schema di autenticazione, lo schema di contabilità, il gruppo di utenti e il pool di indirizzi associati al dominio sono none, none, pre-web, e pre-pool, rispettivamente.

Regole UCL

Le regole UCL per reindirizzare gli utenti nel dominio di pre-autenticazione alla pagina di autenticazione Web sono:
  • La regola UCL 6010 consente agli utenti di accedere al server di autenticazione, al server di autorizzazione, al server di contabilità, al server web e al server DNS
  • La regola UCL 6011 reindirizza gli utenti nel gruppo di utenti pre-web alla pagina di autenticazione web.

Domini di autenticazione

  • Il nome del dominio è xs. Lo schema di autenticazione, lo schema di contabilità, il server RADIUS e il pool di indirizzi associati al dominio sono authen, acc, radius, e xuesheng, rispettivamente.
  • Il nome del dominio è jg. Lo schema di autenticazione, lo schema di contabilità, il server RADIUS e il pool di indirizzi associati al dominio sono authen, acc, radius, e jiaoshi, rispettivamente.

Interfacce BAS

  • BAS interface GE 3/0/2.1001:
    • Il tipo di accesso è impostato su layer2-subscriber, il dominio di pre-autenticazione è pre-authen, e il dominio di autenticazione è xs.
    • Il metodo di autenticazione è autenticazione Web.
  • BAS interface GE 3/0/2.1003:

    • Il tipo di accesso è impostato su layer2-subscriber, il dominio di pre-autenticazione è pre-authen, e il dominio di autenticazione è jg.
    • Il metodo di autenticazione è autenticazione Web.
NOTA:

Tutti gli utenti di autenticazione Web non autenticati vengono assegnati a un dominio predefinito configurato su un'interfaccia. Questo dominio predefinito è chiamato dominio di pre-autenticazione o pre-authen. Gli utenti di autenticazione web non autenticati ottengono gli indirizzi IP dal dominio di pre-autenticazione e accedono al server di autenticazione Web tramite le autorizzazioni concesse a pre-authen l'autenticazione web. Al termine dell'autenticazione Web, gli utenti vengono autenticati dal server RADIUS nel dominio di autenticazione xs.

Configurazione di accesso IPoE

Per configurare l'accesso IPoE, eseguire i seguenti comandi:

#
aaa                                        //Configurare gli schemi AAA.
 http-redirect enable                      //Abilitare il reindirizzamento dei pacchetti HTTP.
 authentication-scheme none                //Configurare lo schema di autenticazione none.
  authentication-mode none                 //Impostare la modalità di autenticazione su none.
 accounting-scheme none                    //Configurare lo schema di contabilità none.
  accounting-mode none                     //Impostare la modalità di contabilità su none.
 authentication-scheme authen              //Configurare lo schema di autenticazione authen.
 accounting-scheme acc                     //Configurare lo schema di contabilità acc.
 accounting interim interval 15            //Impostare l'intervallo per la contabilità in tempo reale a 15 minuti..
#                                          //Configurare i server RADIUS.
 radius-server source interface LoopBack0  //Configurare l'interfaccia di origine di un server RADIUS..
radius-server group radius                 //Configurare un gruppo di server RADIUS  radius
 radius-server authentication 192.168.10.55 1812 weight 0
 radius-server accounting 192.168.10.55 1813 weight 0
 radius-server shared-key-cipher %$%$]&yT6A~x)JPlIv#3CKo2Vs\R%$%$
#   
radius-server authorization 192.168.10.55 shared-key-cipher %$%$/g"p5}]wvO1JPz$/gbc%R)=M%$%$      //Configurare un server di autorizzazione RADIUS.
radius-server authorization 192.168.10.241 shared-key-cipher %$%$L(eNJFNKu1}D`&2JJbnRmh)R%$%$     //Configurare un altro server di autorizzazione RADIUS.
#                                             //Configurare un server Web.
web-auth-server source interface LoopBack0    //Configurare l'interfaccia di origine del server Web come Loopback0.
web-auth-server 192.168.10.53 port 50100 key   cipher %$%$lj5k020t7.0:*p'fCdM4WL0`%$%$     //Configurare l'indirizzo IP e il numero di porta del server web.
#                                             //Configurare i pool di indirizzi.
ip pool xuesheng bas local                    //Configurare un pool di indirizzi denominato xuesheng.
 gateway 10.254.0.1 255.255.128.0             //Configurare un indirizzo gateway.
 section 0 10.254.0.2 10.254.127.254          //Configurare un segmento di indirizzo
 dns-server 192.168.10.2 10.255.57.5          //Configura i server DNS.
 lease 0 12 0                                 //Impostare il periodo di affitto a 12 ore.        ip pool pre-pool bas local                    //Configurare un pool di indirizzi denominato  per-pool.
 gateway 10.253.0.1 255.255.128.0
 section 0 10.253.0.2 10.253.127.254
 dns-server 192.168.10.2 10.255.57.5
 lease 0 12 0
ip pool jiaoshi bas local                      //Configurare un pool di indirizzi denominato jiaoshi.
 gateway 10.254.128.1 255.255.128.0
 section 0 10.254.128.2 10.254.255.254
 excluded-ip-address 10.254.128.2 10.254.129.254     //Impostare l'intervallo dell' indirizzi IP che non può essere assegnati agli utenti..
 dns-server 192.168.10.2 10.255.57.5
 lease 0 12 0
#
user-group pre-web                            //Configurare un gruppo utente denominato pre-web.
#
aaa
 domain pre-authen                            //Configurare un dominio di pre-autenticazione denominato pre-authen.
  authentication-scheme none                 //Associare lo schema di autenticazione none al dominio.
  accounting-scheme none                     //Associare lo schema di contabilità none al dominio.
  ip-pool pre-pool                           //Associalare il pool di indirizzi pre-pool al dominio.
  user-group pre-web                         //Associare il gruppo di utenti pre-web al dominio.
  web-server 192.168.10.53                   //Configurare un server di autenticazione Web.
  web-server url http://192.168.10.53/help/help.html  //Configurare URL di reindirizzamento per l'autenticazione web obbligatoria.
 #
#
acl number 6010                              //Configurare la regola UCL 6010, che consente agli utenti di accedere ai server RADIUS, Web e DNS.
 rule 3 permit ip source user-group pre-web destination ip-address 192.168.10.2 0
 rule 6 permit ip source user-group pre-web destination ip-address 192.168.10.53 0
 rule 7 permit ip source user-group pre-web destination ip-address 192.168.10.55 0
 rule 10 permit ip source user-group pre-web destination ip-address 192.168.10.241 0
 rule 15 permit ip source user-group pre-web destination ip-address 10.255.57.5 0
#
acl number 6011                              //Configurare la regola UCL 6011 che reindirizza gli utenti alla pagina di autenticazione Web.
 rule 5 permit tcp source user-group pre-web destination-port eq www
 rule 10 permit tcp source user-group pre-web destination-port eq 8080
 rule 20 permit ip source user-group pre-web
#
traffic classifier 6010 operator or         //Configurare un classificatore di traffico denominato 6010.
 if-match acl 6010
traffic classifier 6011 operator or         //Configurare un classificatore di traffico denominato 6011.
 if-match acl 6011
#
traffic behavior 6010                       //Configurare un comportamento del traffico denominato 6010.
traffic behavior 6011                       //Configurare un comportamento del traffico denominato 6011 per attivare il reindirizzamento HTTP.
 http-redirect
#
traffic policy traffic-policy-1             //Configurare una politica del traffico denominata traffic-policy-1.
 share-mode                                 //Impostare gli attributi di una politica traffico da condividere..
 classifier 6010 behavior 6010
 classifier 6011 behavior 6011
#                                           //Applicare globalmente traffic-policy-1 per filtrare i pacchetti utente di BAS-side.
 traffic-policy traffic-policy-1 inbound
 traffic-policy traffic-policy-1 outbound
# 
#
aaa
 domain xs                                 //Configurare un dominio di autenticazione denominato xs.
  authentication-scheme authen             //Associare lo schema di autenticazione authen al dominio.
  accounting-scheme acc                    //Associare lo schema di contabilità acc al dominio.
  ip-pool xuesheng                         //Associare il dominio di indirizzi xuesheng al dominio.
  value-added-service account-type none        //Impostare la modalità di contabilità per i servizi DAA su none.
  value-added-service policy 10m               //Configurare una politica di servizio DAA denominato10m per il dominio.
  radius-server group radius                   //Associare il gruppo di server radius al dominio.
  quota-out online                             //Consentire agli utenti di rimanere online in caso di esaurimento delle quote.
  #
 domain jg                                     //Configurare un dominio di autenticazione denominato jg.
  authentication-scheme authen                 //Associare lo schema di autenticazione authen al dominio.
  accounting-scheme acc                        //Associare lo schema di contabilità acc al dominio.
  ip-pool jiaoshi                              //Associare il dominio di indirizzijiaoshi al dominio.
  value-added-service account-type none        //Impostare la modalità di contabilità per i servizi DAA su none.
  value-added-service policy 20m               //Configurare un criterio di servizio DAA denominato 20m per il dominio.
  radius-server group radius                   //Associare il gruppo di server RADIUS radius al dominio.
  quota-out online                             //Consentire agli utenti di rimanere online in caso di esaurimento delle quote.  #
#
interface GigabitEthernet3/0/2.1001            //Configurare un'interfaccia BAS.
 description xuesheng-web
 user-vlan 3001 3500 qinq 1601 1800
 bas                                 
 #                                              //Impostare il tipo di accesso, il dominio di pre-autenticazione e il dominio di autenticazione su layer2-subscriber, pre-authen, and xs, rispettivamente.
  access-type layer2-subscriber default-domain pre-authentication pre-authen authentication xs
  authentication-method web                     //Impostare il metodo di autenticazione per l'autenticazione web.
 #
#
interface GigabitEthernet3/0/2.1003             //Configurare un'interfaccia BAS.
 description jiaoshi-web
 user-vlan 3001 3500 qinq 1801 2000
 bas                             
  #                                              //Impostare il tipo di accesso, il dominio di pre-autenticazione e il dominio di autenticazione su layer2-subscriber, pre-authen, and jg, rispettivamente.
  access-type layer2-subscriber default-domain pre-authentication pre-authen authentication jg
  dhcp session-mismatch action offline
  authentication-method web                     //Impostare il metodo di autenticazione per l'autenticazione web.
 #
#

Configurazione dell'accesso PPPoE

Pianificazione generale

Gli utenti cablati accedono alla rete del campus in modalità PPPoE. Il ME60 funziona come gateway di autenticazione, inviando l'account utente e la password al server RADIUS per l'autenticazione. Dopo l'autenticazione, ME60 assegna un indirizzo IP all'utente.

Tabella 1-30  Pianificazione dei parametri di accesso PPPoE

Parametro

Valore pianificato

Schemi AAA

Come gli schemi AAA pianificati per l'accesso IPoE

Server RADIUS

Come i server RADIUS pianificati per l'accesso IPoE

Pool di indirizzi

  • Nome del pool di indirizzi IP: pre-ppp

    • L'indirizzo del gateway e la maschera di sottorete sono rispettivamente 10.253.128.1 e 255.255.128.0.
    • Segmento di rete: Da 10.253.128.2 a 10.253.255.254
    • Indirizzi IP dei server DNS: 192.168.10.2 e 10.255.57.5
    • Periodo di locazione: 12 ore
  • Nome del pool di indirizzi IP: xuesheng
    • L'indirizzo gateway e la maschera di sottorete sono rispettivamente 10.254.0.1 e 255.255.128.0.
    • Segmento di rete: Da 10.254.0.2 a 10.254.127.254
    • Indirizzi IP dei server DNS: 200.1.1.1
    • Periodo di locazione: 12 ore
  • Nome del pool di indirizzi IP: jiaoshi

    • L'indirizzo gateway e la maschera di sottorete sono rispettivamente 10.254.128.1 e 255.255.128.0.
    • Segmento di rete: Da 10.254.128.2 a 10.254.255.254
    • Indirizzi IP dei server DNS: 192.168.10.2 e 10.255.57.5
    • Periodo di locazione: 12 hours

Gruppo di utenti

Il gruppo di utenti pre-ppp l'accesso dell'utente alla rete dal dominio di pre-autenticazione.

Dominio preautenticazione

  • Il dominio di pre-autenticazione pre-ppp consente agli utenti di accedere solo al server web.
  • Lo schema di autenticazione, lo schema di contabilità, il gruppo di utenti e il pool di indirizzi associati al dominio sono none, none, pre-web, e pre-pool, rispettivamente.

Regole UCL

Le regole UCL per reindirizzare gli utenti nel dominio di pre-autenticazione alla pagina di autenticazione Web sono:
  • UCL rule 6012 consente agli utenti di accedere al server di autenticazione, al server di autorizzazione, al server di contabilità e al server DNS.
  • La regola UCL 6013 reindirizza gli utenti nel gruppo di utenti pre-ppp alla pagina di autenticazione web.

Domini di autenticazione

Uguale ai domini di autenticazione pianificati per l'accesso IPoE

Interfaccia di VT (Virtual template)

Il numero di interfaccia VT è 1 e la modalità di autenticazione utente è auto.

Interfacce BAS

  • BAS interface GE 3/0/2.1000:
    • L'interfaccia BAS è legata all'interfaccia VT 1.
    • Le VLAN utente sono configurate sull'interfaccia BAS. Alla ricezione di pacchetti che trasportano doppio tag VLAN, l'interfaccia BAS rimuove tali tag, quindi inoltra i pacchetti al Layer 3.
    • Il tipo di accesso è impostato su layer2-subscriber, il dominio di pre-autenticazione è pre-ppp, e il dominio di autenticazione è xs.
    • La modalità di autenticazione dell'interfaccia BAS è l'autenticazione PPP e l'autenticazione web.
  • L'interfaccia BAS GE3/0/2,1002:

    • L'interfaccia BAS è legata all'interfaccia VT 1.
    • Le VLAN utente sono configurate sull'interfaccia BAS. Alla ricezione di pacchetti che trasportano doppio tag VLAN, l'interfaccia BAS rimuove tali tag, quindi inoltra i pacchetti al Layer 3.
    • Il tipo di accesso dell'interfaccia BAS è impostato su layer2-subscriber, il dominio di pre-autenticazione pre-ppp, e il dominio di autenticazione è jg.
    • La modalità di autenticazione dell'interfaccia BAS è l'autenticazione PPP e l'autenticazione web.

Configurazione dell'accesso PPPoE

L'esempio seguente descrive la configurazione dell'accesso PPPoE per gli studenti. (Solo la configurazione relativa all'accesso PPPoE è descritta qui. Per i dettagli su come configurare schemi AAA, server RADIUS e domini di autenticazione, vedere la configurazione dell'accesso IPoE.)

#
ip pool xuesheng bas local                               //Configurare un pool di indirizzi denominato  xuesheng.
 gateway 10.254.0.1 255.255.128.0                        //Configurare un indirizzo IP del gateway.
 section 0 10.254.0.2 10.254.127.254                     //Configurare un segmento di indirizzo.
 dns-server 192.168.10.2 10.255.57.5                     //Configurare i server DNS..
 lease 0 12 0                                            //Impostare il periodo di affitto a 12 ore.        
ip pool pre-ppp bas local                                //Configurare un pool di indirizzi denominato  pre-ppp.
 gateway 10.253.128.1 255.255.128.0
 section 0 10.253.128.2 10.253.255.254
 dns-server 192.168.10.2 10.255.57.5
 lease 0 12 0
#
user-group pre-ppp                                       //Configurare un gruppo utente denominato pre-ppp.
#
aaa
 domain pre-ppp                                          //Configurare un dominio di pre-autenticazione denominatopre-ppp.
  authentication-scheme none                             //Associare lo schema di autenticazioen none al dominio.
  accounting-scheme none                                 //Associare lo schema di contabilità none al dominio.
  ip-pool pre-ppp                                        //Associare il pool di indirizzi  pre-ppp al dominio.
  user-group pre-ppp                                     //Associare il gruppo di utenti pre-ppp al dominio.
  web-server 192.168.10.55                               //Configurare un server di autenticazione Web.
  web-server url http://192.168.10.55/help/help.html     //Configurare URL di reindirizzamento per l'autenticazione web obbligatoria.
 #
#
acl number 6012                                          //Configurare la regola UCL 6012 che consente agli utenti di accedere ai server RADIUS, Web e DNS.
 rule 5 permit ip source user-group pre-ppp destination ip-address 192.168.10.55 0
 rule 6 permit ip source user-group pre-ppp destination ip-address 192.168.10.53 0
rule 15 permit ip source user-group pre-ppp destination ip-address 192.168.10.2 0
#
acl number 6013                                          //Configurare la regola UCL 6013 che reindirizza gli utenti alla pagina di autenticazione web.
 rule 5 permit tcp source user-group pre-ppp destination-port eq www
 rule 10 permit tcp source user-group pre-ppp destination-port eq 8080
 rule 20 deny ip source user-group pre-ppp
#
traffic classifier 6012 operator or                     // Configurare un classificatore di traffico denominato 6012.
 if-match acl 6012
traffic classifier 6013 operator or                     //Configurare un classificatore di traffico denominato 6013.
 if-match acl 6013
#
traffic behavior 6012                                  //Configurare un comportamento del traffico denominato 6012.
traffic behavior 6013                                  //Configurare un comportamento del traffico denominato 6013 per attivare il reindirizzamento HTTP.
 http-redirect
#
traffic policy traffic-policy-1                        //Configurare una politica del traffico denominata traffic-policy-1.
 share-mode                                            //Configurare gli attributi della politica del traffico da condivedere.
 classifier 6012 behavior 6012
 classifier 6013 behavior 6013
#                                                      //Applicare globalmente traffic-policy-1 per filtrare i pacchetti utente di BAS-side.
 traffic-policy traffic-policy-1 inbound
 traffic-policy traffic-policy-1 outbound
#
interface Virtual-Template1                             //Creare un modello virtuale numerato 1.
 ppp authentication-mode auto                          //Impostare la modalità di autenticazione ppp su auto (modalità di autonegoziazione).
#
interface GigabitEthernet3/0/2.1000                    //Configurare un'interfaccia VE. 
 pppoe-server bind Virtual-Template 1                  //Associare il modello virtuale numerato 1 all'interfaccia VE.
 description xuesheng-ppp
 user-vlan 2001 3000 qinq 101 200                      //Configurare le VLAN di user-side.
 bas
 #                                                     //Impostare il tipo di accesso, il dominio di pre-autenticazione e il dominio di autenticazione su layer2-subscriber, pre-ppp, and xs, rispettivamente.
  access-type layer2-subscriber default-domain pre-authentication pre-ppp authentication xs
  authentication-method ppp web                        //Configurare l'autenticazione PPP e l'autenticazione web..
 #
#

Configurazione dell'autenticazione indirizzo MAC

Overall planning

Per semplificare il processo di autenticazione web, l'autenticazione dell'indirizzo MAC viene eseguita per terminali di dumb come stampanti e fax sulla rete del campus. Se l'autenticazione dell'indirizzo MAC è abilitata, un utente di autenticazione Web deve inserire il nome utente e la password solo per la prima autenticazione e il server RADIUS registra l'indirizzo MAC dell'utente. Per l'autenticazione web successiva dell'utente, l'autenticazione del server RADIUS utilizza l'indirizzo MAC dell'utente e non richiede che l'utente inserisca nuovamente il nome utente e la password.

Tabella 1-31  Pianificazione dei parametri di autenticazione degli indirizzi MAC

Parameter

Planned Value

Schemi AAA

  • Schemi di autenticazione: mac
  • Schemi di contabilità: acc

Server RADIUS

  • Nome del server RADIUS: mac
  • L'indirizzo IP e il numero di porta del server di autenticazione: 192.168.10.55 e 1812
  • L'indirizzo IP e il numero di porta del server di contabilità: 192.168.10.55 e 1813
  • Gli indirizzi IP dei server di autorizzazione: 192.168.10.55 e 192.168.10.241
  • Interfaccia di origine del server RADIUS: LoopBack0 (questa interfaccia viene utilizzata da ME60 per inviare i pacchetti al server RADIUS).
  • Chiave condivisa del server RADIUS: Huawei@123

Server web

Come il server web pianificato per l'accesso IPoE

Pool di indirizzi

  • Nome del pool di indirizzi IP: pre-pool

    • L'indirizzo del gateway e la maschera di sottorete sono rispettivamente 10.253.0.1 e 255.255.128.0.
    • Segmento di rete: Da 10.253.0.2 a 10.253.127.254
    • Indirizzi IP dei server DNS: 192.168.10.2 e 10.255.57.5
    • Periodo di locazione: 12 ore
  • Nome del pool di indirizzi IP: jiaoshi

    • L'indirizzo gateway e la maschera di sottorete sono rispettivamente 10.254.128.1 e 255.255.128.0.
    • Segmento di rete: Da 10.254.128.2 e 10.254.255.254
    • Indirizzi IP dei server DNS: 192.168.10.2 e 10.255.57.5
    • Periodo di locazione: 12 ore

Gruppo di utenti

Il gruppo di utenti pre-web l'accesso dell'utente alla rete dal dominio di pre-autenticazione.

Dominio di autenticazione (il dominio su cui l'utente viene reindirizzato quando l'autenticazione fallisce)

  • Il dominio di pre-autenticazione pre-authen consente agli utenti di accedere solo al server web.
  • Lo schema di autenticazione, lo schema di contabilità, il gruppo di utenti e il pool di indirizzi associati al dominio sono none, none, pre-web, e pre-pool, rispettivamente.

Regole UCL

Le regole UCL per reindirizzare gli utenti nel dominio pre-authen alla pagina di autenticazione web sono:
  • UCL rule 6010 consente agli utenti di accedere al server di autenticazione, al server di autorizzazione, al server di contabilità, al server web e al server DNS.
  • La regola UCL 6011 reindirizza gli utenti nel gruppo di utenti pre-web alla pagina di autenticazione web.

Dominio preautenticazione

Il nome del dominio è mac. Lo schema di autenticazione, lo schema di accounting, il server RADIUS e il pool di indirizzi associati al dominio sono mac, acc, mac, and pre-pool, rispettivamente.

Authentication domain

Il nome del dominio è jg. Lo schema di autenticazione, lo schema di contabilità, il server RADIUS e il pool di indirizzi associati al dominio sono authen, acc, radius, e jiaoshi, rispettivamente.

Interfacce BAS

  • BAS interface GE 3/0/2,1101:
  • Il tipo di accesso è impostato su layer2-subscriber, il dominio di pre-autenticazione è mac, e il dominio di autenticazione è jg.
  • Il metodo di autenticazione è autenticazione Web.

MAC address authentication configuration

Quanto segue descrive come configurare l'autenticazione dell'indirizzo MAC. Qui viene descritta solo la configurazione relativa all'autenticazione dell'indirizzo MAC. Per dettagli su come configurare schemi AAA, server RADIUS, server Web, pool di indirizzi e regole UCL, vedere la configurazione dell'accesso IPoE e PPPoE.

#
aaa
 default-user-name include mac-address -                          //Configurare il sistema per utilizzare l'indirizzo MAC trasportato in una richiesta di accesso utente come puro nome utente.
 default-password cipher %$%$MD{\.!~j'P#Jl%3cJBm6#QWv%$%$         //Impostare la password dell'utente.
 authentication-scheme mac                                        //Configurare uno schema di autenticazione denominat mac.
 authening authen-fail online authen-domain pre-authen            //Configurare il sistema per passare gli utenti al dominio pre-authen per l'autenticazione web dopo che l'autenticazione dell'utente non riesce.
#
radius-server group mac                                          //Configurare un gruppo di server RADIUS denominato mac.
 radius-server authentication 192.168.10.55 1812 weight 0
 radius-server accounting 192.168.10.55 1813 weight 0
 radius-server shared-key-cipher %$%$wJ\~N5\D[,Zw-qP$[.=GR!A}%$%$
#
aaa
 domain mac                                                       //Configurare un dominio di autenticazione denominato mac.
  authentication-scheme mac                                       //Associare lo schema di autenticazione mac al dominio.
  accounting-scheme acc                                           //Associare lo schema di contabilità acc al dominio.
  ip-pool pre-pool                                                //Configurare un pool di indirizzi per il dominio.
  mac-authentication enable                                       //Abilitare l'autenticazione dell'indirizzo MAC.
  radius-server group mac                                         //Associare il gruppo di server RADIUS  mac al dominio.
  #
#
interface GigabitEthernet3/0/2.1101                                //Configurare un'interfaccia VE.
 description mac-web
 user-vlan 600
 bas
 #
 access-type layer2-subscriber default-domain pre-authentication mac authentication jg      //Impostare il tipo di accesso, il dominio di pre-autenticazione e il dominio di autenticazione su layer2-subscriber, mac, e jg, rispettivamente.
 authentication-method web                                        //Impostare la modalità di autenticazione su autenticazione Web.
#

Configurazione di DAA

DAA implementa la limitazione della velocità e la contabilità in base agli indirizzi di destinazione del traffico di accesso degli utenti. DAA è configurato su ME60 per implementare la gestione differenziata degli indirizzi di destinazione del traffico dell'utente, nonché il controllo della contabilità e della larghezza di banda a diversi livelli tariffari definiti in base a diversi indirizzi di destinazione. Studenti, insegnanti, gli utenti commerciali e terminali di dumb accedono all'intranet del campus a diverse larghezze di banda. Ad esempio, le larghezze di banda per studenti, insegnanti, utenti commercial e terminali di dumb possono essere rispettivamente 10 Mbit/s, 20 Mbit/s, 50 Mbit/s e 20 Mbit/s. DAA implementa il controllo della larghezza di banda per diversi utenti e gli indirizzi di destinazione.

Tabella 1-32  Pianificazione dei parametri DAA

Parameter

Planned Value

Stato DAA

Abilitare DAA nella vista di sistema.

Schemi AAA

Come gli schemi AAA pianificati per l'accesso IPoE.

Server RADIUS

Come i server RADIUS pianificati per l'accesso IPoE.

Server web

Come il server web pianificato per l'accesso IPoE.

Pool di indirizzi

Come il pool di indirizzi IP pianificato per i parametri di accesso IPoE.

Gruppi di utenti

  • Il gruppo di utenti pre-web l'accesso dell'utente alla rete dal dominio di pre-autenticazione.

  • Il gruppo di utenti xuesheng contiene studenti.

  • Il gruppo di utenti jiaoshi contiene insegnanti.

Dominio preautenticazione

Come il dominio di pre-autenticazione pianificato per l'accesso IPoE.

Regole UCL

Le regole UCL per reindirizzare gli utenti nel dominio di pre-autenticazione alla pagina di autenticazione Web sono:
  • UCL rule 6010 consente agli utenti di accedere al server di autenticazione, al server di autorizzazione, al server di contabilità, al server web e al server DNS.
  • La regola UCL 6011 reindirizza gli utenti nel gruppo di utenti pre-web alla pagina di autenticazione web.
  • La regola UCL 6003 consente agli studenti di accedere all'intranet del campus, al server RADIUS, al server Web e al servizio DNS.
  • La regola UCL 6005 consente agli insegnanti di accedere all'intranet del campus, al server RADIUS, al server Web e al server DNS.

Profili QoS

Nomi dei profili QoS: 10M e 20M

Criteri di servizio DAA

  • Nomi delle politiche del servizio DAA: 10M e 20M
  • Modalità di contabilità: none
  • Attivare la separazione dei servizi DAA.
  • Il livello 1 tariffario viene utilizzato e associato ai profili QoS10M e 20M.

Domini di autenticazione

  • Il nome del dominio è xs. Lo schema di autenticazione, lo schema di contabilità, il server RADIUS, il pool di indirizzi e la modalità di accounting per i servizi DAA e i criteri del servizio DAA associati al dominio authen, acc, radius, xuesheng, none, e 10m, rispettivamente.
  • The domain name is jg. The authentication scheme, accounting scheme, RADIUS server, address pool, and accounting mode for DAA services, and DAA service policy bound to the domain are authen, acc, radius, jiaoshi, none, and 20m, respectively.

Interfacce BAS

Come le interfacce BAS pianificate per l'accesso IPoE

Configurazione DAA

Quanto segue descrive solo la configurazione relativa a DAA. Per i dettagli su come configurare schemi AAA, server RADIUS e server web, vedere la configurazione dell'accesso IPoE.

#
 value-added-service enable                           //Abilitare il servizio a valore aggiunto a livello globale.
#
user-group xuesheng                                   //Configurare un gruppo utente denominato xuesheng.
user-group jiaoshi                                    //Configurare un gruppo utente denominato jiaoshi.
# 
acl number 6003                                       //Configure the UCL rule 6003.
 rule 5 permit ip source user-group jiaoshi destination ip-address 10.0.0.0 0.255.255.255
 rule 10 permit ip source ip-address 10.0.0.0 0.255.255.255 destination user-group jiaoshi
 rule 15 permit ip source user-group jiaoshi destination ip-address 172.16.0.0 0.15.255.255
 rule 20 permit ip source ip-address 172.16.0.0 0.15.255.255 destination user-group jiaoshi
 rule 25 permit ip source user-group jiaoshi destination ip-address 192.168.0.0 0.0.255.255
 rule 30 permit ip source ip-address 192.168.0.0 0.0.255.255 destination user-group jiaoshi
#
acl number 6005                                       //Configurare la regola UCL 6005.
 rule 5 permit ip source user-group xuesheng destination ip-address 10.0.0.0 0.255.255.255
 rule 10 permit ip source ip-address 10.0.0.0 0.255.255.255 destination user-group xuesheng
 rule 15 permit ip source user-group xuesheng destination ip-address 172.16.0.0 0.15.255.255
 rule 20 permit ip source ip-address 172.16.0.0 0.15.255.255 destination user-group xuesheng
 rule 25 permit ip source user-group xuesheng destination ip-address 192.168.0.0 0.0.255.255
 rule 30 permit ip source ip-address 192.168.0.0 0.0.255.255 destination user-group xuesheng
#
traffic classifier 6003 operator or                  // Configurare un classificatore del traffico denominato 6003.
 if-match acl 6003
traffic classifier 6005 operator or                  //Configurare un classificatore del traffico denominato 6005.
 if-match acl 6005
#
traffic behavior 6003                                //Configurare un comportamento del traffico denominato 6003.
 tariff-level 1                                      //Configurare il livello tariffario 1 per i servizi DAA.
 car                                                 //Configurare la funzione CAR per i pacchetti di servizi DAA.
 traffic-statistic                                   //Abilitare la raccolta di statistiche sul traffico per i servizi DAA.
traffic behavior 6005                                //Configurare un comportamento del traffico denominato 6005.
 tariff-level 1
 car
 traffic-statistic
#
traffic policy traffic_policy_daa                     //Configurare una politica di traffico DAA denominato traffic-policy-daa.
 share-mode
classifier 6003 behavior 6003
classifier 6005 behavior 6005
#
accounting-service-policy traffic_policy_daa          //Applicare globalmente traffic_policy_daa.
#
qos-profile 10M                                       //Configurare un profilo QoS denominato 10M.
 car cir 10000 cbs 1870000 green pass red discard inbound
 car cir 10000 cbs 1870000 green pass red discard outbound
qos-profile 20M                                       //Configurare un profilo QoS denominato  20M  20M.
 car cir 20000 cbs 3740000 green pass red discard inbound
 car cir 20000 cbs 3740000 green pass red discard outbound
#
value-added-service policy 10m daa                    //Configurare una politica di servizio DAA denominato 10m.
 accounting-scheme none
 traffic-separate enable
 tariff-level 1 qos-profile 10M
#
value-added-service policy 20m daa                    //Configurare una politica di servizio DAA denominato 20m.
 accounting-scheme none                   
 traffic-separate enable
 tariff-level 1 qos-profile 20M
#
aaa
 domain xs                                            //Configurare un dominio di autenticazione denominato xs.  
  value-added-service account-type none               //Impostare la modalità di contabilità del servizio DAA su none.
  value-added-service policy 10m                      //Associare la polizia del servizio DAA denominata 10m al dominio.
  #
 domain jg                                            //Configurare un dominio di autenticazione denominato jg.
  value-added-service account-type none               //Impostare la modalità di contabilità del servizio DAA su none.
  value-added-service policy 20m                      //Associare la polizia di servizio DAA denominata 20m al dominio.
  #
#
Download
Updated: 2019-05-16

N. documento: EDOC1100082601

Visualizzazioni:783

Download: 2

Average rating:
This Document Applies to these Products
Documenti correlati
Related Version
Share
Precedente Avanti