Nessuna risorsa pertinente trovata nella lingua selezionata.

Reminder

To have a better experience, please upgrade your IE browser.

upgrade

Raccolta di casi di configurazione dello scenario tipico del router aziendale NE-ME60 2.0

Rate and give feedback:
Huawei utilizza la traduzione automatica insieme alla revisione umana per tradurre questo documento in diverse lingue, per facilitare la comprensione del contenuto di questo documento. Nota: la traduzione automatica, anche la più avanzata, non può corrispondere alla qualità dei trasduttori professionisti. Huawei non accetta alcuna responsabilità per l'accuratezza della traduzione e raccomanda di fare riferimento al documento inglese (per il quale è stato fornito un collegamento).
Esempio di configurazione dell'accesso IPoE di Layer 2 (Autenticazione web+MAC)

Esempio di configurazione dell'accesso IPoE di Layer 2 (Autenticazione web+MAC)

Questa sezione fornisce un esempio per la configurazione dell'accesso IPoE di Layer 2 (autenticazione web+MAC).

Prodotti e versioni applicabili

Questo esempio di configurazione si applica ai prodotti della serie NE40E/ME60 con V800R010C00 o versioni successive.

Requisiti di rete

L'autenticazione web+MAC è la modalità di autenticazione più comune per l'accesso IPoE di Layer 2. Nella modalità di autenticazione web+MAC, un utente deve immettere il nome utente e la password su una pagina del portale quando accede a Internet per la prima volta. Il server RADIUS registra automaticamente l'indirizzo MAC del terminale e lo associa al nome utente. Quando l'utente accede nuovamente a Internet entro un determinato periodo, l'utente non deve immettere nuovamente il nome utente e la password.

Il processo di autenticazione è come mostrato in Figura 1-17. Per impostazione predefinita, l'utente inserisce il dominio di autenticazione MAC Se l'utente accede a Internet per la prima volta, l'indirizzo MAC non viene trovato sul server RADIUS e l'autenticazione fallisce. L'utente viene forzatamente passato al dominio di autenticazione web e può accedere solo alla pagina di autenticazione web. In questa pagina, l'utente inserisce il nome utente e la password per l'autenticazione. Dopo che l'autenticazione ha avuto esito positivo, l'utente inserisce il dominio di autenticazione after-auth e può accedere correttamente a Internet. Se l'utente accede a Internet non per la prima volta, l'indirizzo MAC può essere trovato sul server RADIUS e l'autenticazione ha esito positivo. L'utente entra quindi nel dominio di autenticazione after-auth e può accedere correttamente a Internet. I server di terze parti comunemente utilizzati sono Srun Server e City Hots.

Figura 1-17  Diagramma di flusso per la configurazione dell'accesso IPoE di Layer 2 (Autenticazione web+MAC)

Figura 1-18  Rete per configurare l'accesso IPoE di Layer 2 (autenticazione web+MAC)

Roadmap di configurazione

La roadmap di configurazione è seguente:

  1. Creare un dominio di autenticazione MAC denominato mac-auth, un dominio di autenticazione web denominato web-auth, e un dominio di autenticazione denominatoafter-auth.

  2. Configurare gli schemi AAA.

  3. Creare un gruppo di server RADIUS denominato d, configurare l'attributo hw-auth-type per i pacchetti di richiesta di autenticazione nel gruppo di server RADIUS e configurare la traduzione di attributo per tradurre l'attributo hw-auth-type in Huawei proprietario No . 109 attributo.

  4. Creare uno schema di autenticazione denominato mac-auth, e configura l'utente da reindirizzare al dominio di autenticazione web web-auth quando l'autenticazione fallisce nello schema di autenticazione.

  5. Abilitare l'autenticazione MAC nel dominio di autenticazione MAC mac-auth, e associare il gruppo di server RADIUS d e lo schema di autenticazione mac-auth al dominio.

  6. Configurare il reindirizzamento forzato a un server web specificato nel dominio di autenticazione web web-auth, associare un gruppo di utenti che può accedere solo a risorse limitate, schema di autenticazione (non autenticazione) e schema di contabilità (non-contabilità) al dominio.

  7. Associare uno schema di autenticazione (autenticazione RADIUS) e uno schema contabile (contabilità RADIUS) al dominio di autenticazione after-auth.

  8. Eseguire il comando default-user-name include mac-address nella vista AAA per utilizzare direttamente l'indirizzo MAC contenuto in un pacchetto di richiesta di connessione utente come nome utente.

  9. Configurare un dominio di autenticazione MAC (mac-auth) e il dominio di autenticazione(after-auth) su un'interfaccia BAS.

Procedura

  1. Creare un dominio di autenticazione MAC, un dominio di autenticazione Web e un dominio di autenticazione.

    # Creare un dominio di autenticazione MAC denominato mac-auth, un dominio di autenticazione web denominato web-auth, e un dominio di autenticazione denominato after-auth.

    <HUAWEI> system-view
    [*HUAWEI] aaa
    [*HUAWEI-aaa] domain mac-auth
    [*HUAWEI-aaa-domain-mac-auth] quit
    [*HUAWEI-aaa] domain web-auth
    [*HUAWEI-aaa-domain-web-auth] quit
    [*HUAWEI-aaa] domain after-auth
    [*HUAWEI-aaa-domain-after-auth] commit
    [~HUAWEI-aaa-domain-after-auth] quit
    [~HUAWEI-aaa] quit

  2. Configurare gli schemi AAA e un gruppo di server RADIUS.

    # Creare un gruppo di server RADIUS denominato d, configurare l'attributo hw-auth-type per i pacchetti di richiesta di autenticazione nel gruppo di server RADIUS e configurare la traduzione di attributo per tradurre l'attributo hw-auth-type in proprietà di Huawei N. 109 attributo.

    [~HUAWEI] radius-server group d
    [*HUAWEI-radius-d] radius-server authentication 192.168.7.249 1812
    [*HUAWEI-radius-d] radius-server accounting 192.168.7.249 1813
    [*HUAWEI-radius-d] radius-server type standard
    [*HUAWEI-radius-d] radius-server shared-key-cipher Root@1234
    [*HUAWEI-radius-d] radius-attribute include hw-auth-type
    [*HUAWEI-radius-d] radius-server attribute translate
    [*HUAWEI-radius-d] radius-attribute translate extend hw-auth-type vendor-specific 2011 109 access-request account
    [*HUAWEI-radius-d] commit
    [~HUAWEI-radius-d] quit

    # Configurare un gruppo di server RADIUS denominato rd2.

    [*HUAWEI] radius-server group rd2
    [*HUAWEI-radius-rd2] radius-server authentication 192.168.8.249 1812
    [*HUAWEI-radius-rd2] radius-server accounting 192.168.8.249 1813
    [*HUAWEI-radius-rd2] radius-server type standard
    [*HUAWEI-radius-rd2] radius-server shared-key-cipher Root@1234
    [*HUAWEI-radius-rd2] commit
    [~HUAWEI-radius-rd2] quit

    # Creare uno schema di autenticazione denominato mac-auth, e configura l'utente da reindirizzare al dominio di autenticazione web web-auth quando l'autenticazione fallisce nello schema di autenticazione.

    [~HUAWEI] aaa
    [*HUAWEI-aaa] authentication-scheme mac-auth
    [*HUAWEI-aaa-authen-mac-auth] authening authen-fail online authen-domain web-auth
    [*HUAWEI-aaa-authen-mac-auth] commit
    [~HUAWEI-aaa-authen-mac-auth] quit

    # Configurare uno schema di autenticazione denominato auth2, con l'autenticazione RADIUS specificata.

    [~HUAWEI] aaa
    [*HUAWEI-aaa] authentication-scheme auth2
    [*HUAWEI-aaa-authen-auth2] authentication-mode radius
    [*HUAWEI-aaa-authen-auth2] commit
    [~HUAWEI-aaa-authen-auth2] quit

    # Configurare uno schema di contabilità denominato acct2, con contabilità RADIUS specificata.

    [*HUAWEI-aaa] accounting-scheme acct2
    [*HUAWEI-aaa-accounting-acct2] accounting-mode radius
    [*HUAWEI-aaa-accounting-acct2] commit
    [~HUAWEI-aaa-accounting-acct2] quit
    [~HUAWEI-aaa] quit

    # Configurare uno schema di autenticazione denominato auth3, con non autenticazione specificata.

    [~HUAWEI] aaa
    [*HUAWEI-aaa] authentication-scheme auth3
    [*HUAWEI-aaa-authen-auth3] authentication-mode none
    [*HUAWEI-aaa-authen-auth3] commit
    [~HUAWEI-aaa-authen-auth3] quit

    # Configurare uno schema di contabilità denominato acct3, con non specificato.

    [*HUAWEI-aaa] accounting-scheme acct3
    [*HUAWEI-aaa-accounting-acct3] accounting-mode none
    [*HUAWEI-aaa-accounting-acct3] commit
    [~HUAWEI-aaa-accounting-acct3] quit
    [~HUAWEI-aaa] quit

  3. Configurare un pool di indirizzi.

    [*HUAWEI] ip pool pool2 bas local
    [*HUAWEI-ip-pool-pool2] gateway 172.16.1.1 255.255.255.0
    [*HUAWEI-ip-pool-pool2] section 0 172.16.1.2 172.16.1.200
    [*HUAWEI-ip-pool-pool2] dns-server 192.168.8.252
    [*HUAWEI-ip-pool-pool2] commit
    [~HUAWEI-ip-pool-pool2] quit

  4. Abilitare l'autenticazione MAC nel dominio di autenticazione MAC mac-auth, e associare il gruppo di server RADIUS d e lo schema di autenticazione mac-auth al dominio.

    [~HUAWEI-aaa] domain mac-auth
    [*HUAWEI-aaa-domain-mac-auth] radius-server group d
    [*HUAWEI-aaa-domain-mac-auth] authentication-scheme mac-auth
    [*HUAWEI-aaa-domain-mac-auth] accounting-scheme acct2
    [*HUAWEI-aaa-domain-mac-auth] ip-pool pool2
    [*HUAWEI-aaa-domain-mac-auth] mac-authentication enable
    [*HUAWEI-aaa-domain-mac-auth] commit
    [~HUAWEI-aaa-domain-mac-auth] quit

  5. Configurare il reindirizzamento forzato a un server web specificato nel dominio di autenticazione web web-auth, e associare un gruppo di utenti che può accedere solo a risorse limitate, schema di autenticazione (non autenticazione) e schema di contabilità (non-contabilità) al dominio.

    [*HUAWEI] user-group web-before
    [~HUAWEI] aaa
    [*HUAWEI-aaa] http-redirect enable
    [~HUAWEI-aaa] domain web-auth
    [*HUAWEI-aaa-domain-web-auth] authentication-scheme auth3
    [*HUAWEI-aaa-domain-web-auth] accounting-scheme acct3
    [*HUAWEI-aaa-domain-web-auth] ip-pool pool2
    [*HUAWEI-aaa-domain-web-auth] user-group web-before
    [*HUAWEI-aaa-domain-web-auth] web-server 192.168.8.251
    [*HUAWEI-aaa-domain-web-auth] web-server url http://192.168.8.251

    # Configurare un server di autenticazione web.

    [*HUAWEI] web-auth-server 192.168.8.251 key webvlan

    # Configurare la risposta rapida del web.

    [*HUAWEI] slot 1
    [*HUAWEI-slot-1] http-reply enable
    [*HUAWEI-slot-1] commit
    [~HUAWEI-slot-1] quit

    # Configurare le regole ACL.

    [~HUAWEI] acl number 6004
    [*HUAWEI-acl-ucl-6004] rule 3 permit ip source user-group web-before destination user-group web-before
    *HUAWEI-acl-ucl-6004] rule 5 permit ip source user-group web-before destination ip-address any
    [~HUAWEI-acl-ucl-6004] quit
    [~HUAWEI] acl number 6005
    [*HUAWEI-acl-ucl-6005] rule 5 permit ip source user-group web-before destination ip-address 192.168.8.251 0
    [*HUAWEI-acl-ucl-6005] rule 10 permit ip source ip-address 192.168.8.251 0 destination user-group web-before
    [*HUAWEI-acl-ucl-6005] rule 15 permit ip source user-group web-before destination ip-address 192.168.8.252 0
    [*HUAWEI-acl-ucl-6005] rule 20 permit ip source ip-address 192.168.8.252 0 0 destination user-group web-before
    [*HUAWEI-acl-ucl-6005] rule 25 permit ip source user-group web-before destination ip-address 127.0.0.1 0
    [*HUAWEI-acl-ucl-6005] rule 30 permit ip source ip-address 127.0.0.1 0 destination user-group web-before
    [~HUAWEI-acl-ucl-6005] quit
    [~HUAWEI] acl number 6006
    [*HUAWEI-acl-ucl-6006] rule 5 permit ip destination user-group web-before
    [~HUAWEI-acl-ucl-6006] quit
    [~HUAWEI] acl number 6008
    [*HUAWEI-acl-ucl-6008] rule 5 permit tcp source user-group web-before destination-port eq www
    [*HUAWEI-acl-ucl-6008] rule 10 permit tcp source user-group web-before destination-port eq 8080
    [~HUAWEI-acl-ucl-6008] quit
    [~HUAWEI] acl number 6010
    [*HUAWEI-acl-ucl-6010] commit
    [~HUAWEI-acl-ucl-6010] quit

    # Configurare una politica del traffico.

    [*HUAWEI] traffic classifier web-out
    [*HUAWEI-classifier-web-out] if-match acl 6006
    [~HUAWEI-classifier-web-out] quit
    [*HUAWEI] traffic classifier web-be-permit
    [*HUAWEI-classifier-web-be-permit] if-match acl 6005
    [~HUAWEI-classifier-web-be-permit] quit
    [*HUAWEI] traffic classifier http-before
    [*HUAWEI-classifier-http-before] if-match acl 6010
    [~HUAWEI-classifier-http-before] quit
    [*HUAWEI] traffic classifier web-be-deny
    [*HUAWEI-classifier-web-be-deny] if-match acl 6004
    [~HUAWEI-classifier-web-be-deny] quit
    [*HUAWEI] traffic classifier redirect
    [*HUAWEI-classifier-redirect] if-match acl 6008
    [~HUAWEI-classifier-redirect] quit
    [*HUAWEI] traffic behavior http-discard
    [*HUAWEI-behavior-http-discard] car cir 0 cbs 0 green pass red discard
    [~HUAWEI-behavior-http-discard] quit
    [*HUAWEI] traffic behavior web-out
    [HUAWEI-behavior-web-out] deny
    [~HUAWEI-behavior-web-out] quit
    [*HUAWEI] traffic behavior perm1
    [HUAWEI-behavior-perm1] permit
    [~HUAWEI-behavior-perm1] quit
    [*HUAWEI] traffic behavior deny1
    [HUAWEI-behavior-deny1] deny
    [~HUAWEI-behavior-deny1] quit
    [*HUAWEI] traffic behavior redirect
    [*HUAWEI-behavior-redirect] http-redirect plus
    [~HUAWEI-behavior-redirect] quit
    [*HUAWEI] traffic policy web-out
    [*HUAWEI-policy-web-out] share-mode
    [*HUAWEI-policy-web-out] classifier web-be-permit behavior perm1
    [*HUAWEI-policy-web-out] classifier web-out behavior web-out
    [~HUAWEI-policy-web-out] quit
    [*HUAWEI] traffic policy web
    [*HUAWEI-policy-web] share-mode
    [*HUAWEI-policy-web] classifier web-be-permit behavior perm1
    [*HUAWEI-policy-web] classifier http-before behavior http-discard
    [*HUAWEI-policy-web] classifier redirect behavior redirect
    [*HUAWEI-policy-web] classifier web-be-deny behavior deny1
    [*HUAWEI-policy-web] commit
    [~HUAWEI-policy-web] quit

    # Applicare la politica del traffico a livello globale.

    [*HUAWEI] traffic-policy web inbound
    [*HUAWEI] traffic-policy web-out outbound

  6. Configurare il dominio di autenticazione after-auth.

    [~HUAWEI-aaa] domain after-auth
    [*HUAWEI-aaa-domain-after-auth] authentication-scheme auth2
    [*HUAWEI-aaa-domain-after-auth] accounting-scheme acct2
    [*HUAWEI-aaa-domain-after-auth] radius-server group rd2
    [*HUAWEI-aaa-domain-after-auth] commit
    [~HUAWEI-aaa-domain-after-auth] quit
    [~HUAWEI-aaa] quit

  7. Eseguire il commando default-user-name include mac-address nella vista AAA per utilizzare direttamente l'indirizzo MAC contenuto in un pacchetto di richiesta di connessione utente come nome utente.

    [*HUAWEI-aaa] default-user-name include mac-address -
    [*HUAWEI-aaa] default-password simple Root@123
    [*HUAWEI-aaa] commit
    [~HUAWEI-aaa] quit

  8. Configurare un dominio di autenticazione MAC, un dominio di autenticazione e un metodo di autenticazione su un'interfaccia BAS.

    [~HUAWEI] license
    [*HUAWEI-license] active bas slot 1
    [*HUAWEI-license] commit
    [~HUAWEI-license] quit
    [~HUAWEI] interface GigabitEthernet0/1/0
    [~HUAWEI-GigabitEthernet0/1/0] bas
    [*HUAWEI-GigabitEthernet0/1/0-bas] access-type layer2-subscriber default-domain pre-authentication mac-auth authentication after-auth
    [*HUAWEI-GigabitEthernet0/1/0-bas] authentication-method web
    [*HUAWEI-GigabitEthernet0/1/0-bas] commit
    [~HUAWEI-GigabitEthernet0/1/0-bas] quit
    [~HUAWEI-GigabitEthernet0/1/0] quit

  9. Verificare la configurazione.

    • Un utente accede al PC e ottiene un indirizzo IP.

    • Eseguire il commando display access-user domain web-domain sul router per verificare le informazioni sugli utenti online.

    • L'utente accede a un altro sito web nella barra degli indirizzi e viene automaticamente reindirizzato all'indirizzo del server web.

    • L'utente immette il nome utente e la password e accede a Internet dopo che l'autenticazione ha avuto esito positivo.

File di configurazione

#
 sysname HUAWEI
#
license
 active bas slot 1
#
user-group web-before
#
slot 1
 http-reply enable
#
radius-server group rd2
 radius-server authentication 192.168.8.249 1812 weight 0
 radius-server accounting 192.168.8.249 1813 weight 0 
 radius-server shared-key-cipher Root@1234
#
radius-server group d
 radius-server authentication 192.168.7.249 1812 weight 0
 radius-server accounting 192.168.7.249 1813 weight 0 
 radius-server shared-key-cipher Root@1234
 radius-server attribute translate
 radius-attribute include HW-Auth-Type
 radius-attribute translate extend HW-Auth-Type vendor-specific 2011 109 access-request account
#
acl number 6004
 rule 3 permit ip source user-group web-before destination user-group web-before
 rule 5 permit ip source user-group web-before destination ip-address any
#
acl number 6005
 rule 5 permit ip source user-group web-before destination ip-address 192.168.8.251 0
 rule 10 permit ip source ip-address 192.168.8.251 0 destination user-group web-before
 rule 15 permit ip source user-group web-before destination ip-address 192.168.8.252 0
 rule 20 permit ip source ip-address 192.168.8.252 0 0 destination user-group web-before
 rule 25 permit ip source user-group web-before destination ip-address 127.0.0.1 0
 rule 30 permit ip source ip-address 127.0.0.1 0 destination user-group web-before
#
acl number 6006
 rule 5 permit ip destination user-group web-before
#
acl number 6008
 rule 5 permit tcp source user-group web-before destination-port eq www
 rule 10 permit tcp source user-group web-before destination-port eq 8080
#
acl number 6010
#
traffic classifier web-out operator or
 if-match acl 6006
traffic classifier web-be-permit operator or
 if-match acl 6005
traffic classifier http-before operator or
 if-match acl 6010
traffic classifier web-be-deny operator or
 if-match acl 6004
traffic classifier redirect operator or
 if-match acl 6008
#
traffic behavior http-discard
 car cir 0 cbs 0 green pass red discard
traffic behavior web-out
 deny
traffic behavior perm1
traffic behavior deny1
 deny
traffic behavior redirect
 http-redirect
#
traffic policy web-out
 share-mode
 classifier web-be-permit behavior perm1
 classifier web-out behavior web-out
traffic policy web
 share-mode
 classifier web-be-permit behavior perm1
 classifier http-before behavior http-discard
 classifier redirect behavior redirect    
 classifier web-be-deny behavior deny1
#
ip pool pool2 bas local
 gateway 172.16.1.1 255.255.255.0
 section 0 172.16.1.2 172.16.1.200
 dns-server  192.168.8.252
#
aaa
 http-redirect enable
 default-user-name include mac-address -
 authentication-scheme auth2
 authentication-scheme auth3
  authentication-mode none
 authentication-scheme mac-auth
  authening authen-fail online authen-domain web-auth
#
 accounting-scheme acct2
 accounting-scheme acct3
  accounting-mode none
 #
 domain mac-auth
  authentication-scheme mac-auth
  accounting-scheme acct2
  ip-pool pool2
  mac-authentication enable
  radius-server group d
 domain web-auth
  authentication-scheme auth3
  accounting-scheme acct3
  ip-pool pool2
  user-group web-before
  web-server 192.168.8.251
  web-server url http://192.168.8.251
  web-server url-parameter
  
 domain after-auth
  authentication-scheme auth2
  accounting-scheme acct2
  radius-server group rd2
#
interface GigabitEthernet0/1/0
 bas
 #
  access-type layer2-subscriber default-domain pre-authentication mac-auth authentication after-auth
  authentication-method web
#
 traffic-policy web inbound
 traffic-policy web-out outbound
Download
Updated: 2019-05-16

N. documento: EDOC1100082601

Visualizzazioni:881

Download: 2

Average rating:
This Document Applies to these Products
Documenti correlati
Related Version
Share
Precedente Avanti