Для выбранного языка не найдены ресурсы переадресации.

Этот веб-сайт использует cookie-файлы. Продолжая просмотр, вы соглашаетесь на их использование. Ознакомьтесь с нашей политикой соблюдения конфиденциальности.>

Типичные примеры настройки WLAN

Rate and give feedback :
Информация об этом переводе
Чтобы помочь вам лучше понять содержимое этого документа, компания Huawei перевела его на разные языки, используя машинный перевод, отредактированный людьми. Примечание: даже самые передовые программы машинного перевода не могут обеспечить качество на уровне перевода, выполненного профессиональным переводчиком. Компания Huawei не несет ответственность за точность перевода и рекомендует ознакомиться с документом на английском языке (по ссылке, которая была предоставлена ранее).
Пример настройки различных режимов аутентификации для нескольких SSID

Пример настройки различных режимов аутентификации для нескольких SSID

Требования к службе

Пользователи предприятия могут получить доступ к Интернету через WLAN для удовлетворения основных требований к мобильным офисам. Когда в зоне покрытия происходит роуминг, пользовательские службы не будут прерваны.

Администраторы хотят развернуть различные SSID для доступа гостей и сотрудников к WLAN и различные режимы аутентификации для обеспечения безопасности WLAN.

Требования к сети

  • Режим сети AC: Режим обхода уровня 2
  • Режим развертывания DHCP:
    • AC функционирует как DHCP-сервер, чтобы назначить IP-адреса для AP.
    • Коммутатор агрегации (SwitchB) функционирует как DHCP-сервер, чтобы назначить IP-адреса для STA.
  • Режим переадресации сервисных данных: туннельная переадресация
Рис. 3-36 Сетевая диаграмма для настройки различных режимов аутентификации для нескольких SSID

План данных

Табл. 3-39 План данных AC

Пункт

Данные

Управляющая VLAN для AP

VLAN 100

Сервисная VLAN для STA

  • Сотрудники: VLAN 101

  • Гости: VLAN 102

DHCP-сервер

AC функционирует как DHCP-сервер, чтобы назначить IP-адреса для AP.

SwitchB функционирует как DHCP-сервер, чтобы назначить IP-адреса для STA. Шлюзы по умолчанию для STA - 10.23.101.2 и 10.23.102.2.

Пул IP-адресов для AP 10.23.100.2-10.23.100.254/24
Пул IP-адресов для STA

10.23.101.3-10.23.101.254/24

10.23.102.3-10.23.102.254/24

IP-адрес исходного интерфейса AC VLANIF 100: 10.23.100.1/24
Параметры аутентификации RADIUS
  • Имя шаблона сервера RADIUS: wlan-net
  • IP-адрес: 10.23.102.1
  • № порта аутентификации: 1812
  • Общий ключ: Huawei123
  • Схема аутентификации: wlan-net
  • Схема учета: wlan-net
Шаблон сервера Portal
  • Имя: wlan-net
  • IP-адрес: 10.23.103.1
  • Номер порта: 50200
  • Общий ключ: Huawei123
  • Ссылочный шаблон: Шаблон URL wlan-net
Профиль доступа к Portal
  • Имя: wlan-net
  • Ссылочный шаблон: Шаблон сервера Portal wlan-net
Профиль доступа к MAC

Имя: wlan-net

Профиль правила без аутентификации
  • Имя: default_free_rule
  • Ресурс без аутентификации: DNS-сервер с IP-адресом 8.8.8.8
Профиль доступа 802.1x
  • Имя: wlan-net
  • Режим аутентификации: EAP
Профиль Аутентификации
  • Имя: employee
  • Ссылочные профили и схемы аутентификации: Профиль доступа 802.1x wlan-net, шаблон сервера RADIUS wlan-net и схема аутентификации wlan-net
  • Имя: guest
  • Ссылочные профили и схемы аутентификации: Профиль доступа к Portal wlan-net, профиль MAC-адреса wlan-net, профиль сервера RADIUS wlan-net, схема аутентификации wlan-net, схема учета wlan-net и профиль правила без аутентификации default_free_rule
Группа AP
  • Имя: ap-group1
  • Ссылочные профили: Профили VAP employee и guest, и профиль регулятивного домена default
Профиль регулятивного домена
  • Имя: default
  • Код страны: CN
Профиль SSID
  • Имя: employee
  • Имя SSID: employee
  • Имя: guest
  • Имя SSID: guest
Профиль безопасности
  • Имя: employee
  • Политика безопасности: WPA-WPA2+802.1x+AES
  • Имя: guest
  • Политика безопасности: открытая
Профиль VAP
  • Имя: employee
  • Режим переадресации: туннельная переадресация
  • Сервисная VLAN: VLAN 101
  • Ссылочные профили: Профиль SSID employee, профиль безопасности employee и профиль аутентификации employee
  • Имя: guest
  • Режим переадресации: туннельная переадресация
  • Сервисная VLAN: VLAN 102
  • Ссылочные профили: Профиль SSID guest, профиль безопасности guest и профиль аутентификации guest

Схема настройки

  1. Настройте сетевое взаимодействие AC, AP и других сетевых устройств.
  2. Настройте AP для входа в сеть.
  3. Настройте аутентификацию по протоколу 802.1x и аутентификацию Portal с приоритетом MAC-адресов.
  4. Настройте параметры службы WLAN для STA в целях доступа к WLAN.

Примечания по конфигурации

  • Механизм ACK не предусмотрен для многоадресной передачи пакетов на воздушных интерфейсах. Кроме того, беспроводные каналы нестабильны. Для обеспечения стабильной передачи многоадресных пакетов они обычно отправляются по низким тарифам. Если большое количество таких многоадресных пакетов отправляется с сетевой стороны, воздушные интерфейсы могут быть перегружены. Рекомендуется настроить подавление многоадресных пакетов, чтобы уменьшить влияние большого количества низкоскоростных многоадресных пакетов на беспроводную сеть. Соблюдайте осторожность при настройке ограничения скорости; в противном случае могут быть затронуты многоадресные услуги.
    • В режиме прямой переадресации рекомендуется настроить подавление многоадресных пакетов на интерфейсах коммутатора, подключенных к точкам доступа (AP).
    • В режиме туннельной переадресации рекомендуется настроить подавление многоадресных пакетов в профилях трафика AC.
    Подробнее о том, как настроить подавление трафика, см. Подавление многоадресных пакетов не настроено, что приводит к замедлению доступа к сети STA.
  • Настройте изоляцию портов на интерфейсах устройства, напрямую подключенного к точкам доступа. Если изоляция порта не настроена и используется прямая переадресация, в VLAN может быть создано большое количество ненужных широковещательных пакетов, блокирующих сеть и ухудшающих работу пользователя.

  • В режиме туннельной переадресации управляющая VLAN и сервисная VLAN не могут быть одинаковыми. Только пакеты из управляющей VLAN передаются между AC и AP. Пакеты из сервисной VLAN не допускаются между AC и AP.

Процедура

  1. Настройте сетевые устройства.

    # Добавьте GE0/0/1 и GE0/0/2 на SwitchA к VLAN 100. VLAN по умолчанию GE0/0/1 - VLAN 100.
    <HUAWEI> system-view
    [HUAWEI] sysname SwitchA
    [SwitchA] vlan batch 100
    [SwitchA] interface gigabitethernet 0/0/1
    [SwitchA-GigabitEthernet0/0/1] port link-type trunk
    [SwitchA-GigabitEthernet0/0/1] port trunk pvid vlan 100
    [SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 100
    [SwitchA-GigabitEthernet0/0/1] port-isolate enable
    [SwitchA-GigabitEthernet0/0/1] quit
    [SwitchA] interface gigabitethernet 0/0/2
    [SwitchA-GigabitEthernet0/0/2] port link-type trunk
    [SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 100
    [SwitchA-GigabitEthernet0/0/2] quit
    
    # Добавьте GE0/0/1 и GE0/0/2 на SwitchB к VLAN 100, а GE0/0/2 и GE0/0/3 соответственно к VLAN 101 и VLAN 102.
    <HUAWEI> system-view
    [HUAWEI] sysname SwitchB
    [SwitchB] vlan batch 100 101 102
    [SwitchB] interface gigabitethernet 0/0/1
    [SwitchB-GigabitEthernet0/0/1] port link-type trunk
    [SwitchB-GigabitEthernet0/0/1] port trunk allow-pass vlan 100
    [SwitchB-GigabitEthernet0/0/1] quit
    [SwitchB] interface gigabitethernet 0/0/2
    [SwitchB-GigabitEthernet0/0/2] port link-type trunk
    [SwitchB-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 101 102
    [SwitchB-GigabitEthernet0/0/2] quit
    [SwitchB] interface gigabitethernet 0/0/3
    [SwitchB-GigabitEthernet0/0/3] port link-type trunk
    [SwitchB-GigabitEthernet0/0/3] port trunk allow-pass vlan 101 102
    [SwitchB-GigabitEthernet0/0/3] quit
    
    # Добавьте GE1/0/0 на маршрутизаторе к VLAN 101 и VLAN 102. Создайте интерфейсы VLANIF 101 и VLANIF 102 и установите IP-адреса VLANIF 101 и VLANIF 102 соответственно на 10.23.101.2/24 и 10.23.102.2/24.
    <Huawei> system-view
    [Huawei] sysname Router
    [Router] vlan batch 101 102
    [Router] interface gigabitethernet 1/0/0
    [Router-GigabitEthernet1/0/0] port link-type trunk
    [Router-GigabitEthernet1/0/0] port trunk allow-pass vlan 101 102
    [Router-GigabitEthernet1/0/0] quit
    [Router] interface vlanif 101
    [Router-Vlanif101] ip address 10.23.101.2 24
    [Router-Vlanif101] quit
    [Router] interface vlanif 102
    [Router-Vlanif102] ip address 10.23.102.2 24
    [Router-Vlanif102] quit
    

  2. Настройте AC для связи с сетевыми устройствами.

    ПРИМЕЧАНИЕ:

    Если AC и точки доступа (AP) подключены напрямую, установите VLAN по умолчанию интерфейсов, подключенных к AP, на управляющую VLAN 100.

    # На AC добавьте GE0/0/1 к VLAN 100, VLAN 101 и VLAN 102.
    <AC6605> system-view
    [AC6605] sysname AC
    [AC] vlan batch 100 101 102
    [AC] interface gigabitethernet 0/0/1
    [AC-GigabitEthernet0/0/1] port link-type trunk
    [AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101 102
    [AC-GigabitEthernet0/0/1] quit
    

  3. Настройте DHCP-серверы для того, чтобы назначить IP-адреса для AP и STA.

    # На AC настройте VLANIF 100 для предоставления IP-адресов точкам доступа (AP).
    [AC] dhcp enable
    [AC] interface vlanif 100
    [AC-Vlanif100] ip address 10.23.100.1 24
    [AC-Vlanif100] dhcp select interface
    [AC-Vlanif100] quit
    
    # На SwitchB настройте пулы адресов VLANIF 101 и VLANIF 102, чтобы соответственно назначить IP-адреса для сотрудников и гостей. Установите адрес шлюза по умолчанию для сотрудников и гостей соответственно на 10.23.101.2 и 10.23.102.2. Укажите адрес DNS-сервера 8.8.8.8 для пулов адресов VLANIF 101 и VLANIF 102.
    ПРИМЕЧАНИЕ:
    Настройте DNS-сервер по мере необходимости. Общие методы заключаются в следующем:
    • В сценариях пула адресов интерфейса запустите команду dhcp server dns-list ip-address &<1-8> в виде интерфейса VLANIF.
    • В сценариях пула глобального адреса запустите команду dns-list ip-address &<1-8> в виде пула IP-адресов.
    [SwitchB] dhcp enable
    [SwitchB] interface vlanif 101
    [SwitchB-Vlanif101] ip address 10.23.101.1 24
    [SwitchB-Vlanif101] dhcp select interface
    [SwitchB-Vlanif101] dhcp server gateway-list 10.23.101.2
    [SwitchB-Vlanif101] dhcp server dns-list 8.8.8.8
    [SwitchB-Vlanif101] quit
    [SwitchB] interface vlanif 102
    [SwitchB-Vlanif102] ip address 10.23.102.1 24
    [SwitchB-Vlanif102] dhcp select interface
    [SwitchB-Vlanif102] dhcp server gateway-list 10.23.102.2
    [SwitchB-Vlanif102] dhcp server dns-list 8.8.8.8
    [SwitchB-Vlanif102] quit
    

  4. Настройте маршруты по умолчанию AC с VLANIF 101 и VLANIF 102 на маршрутизаторе как следующие переходы.

    [AC] ip route-static 0.0.0.0 0.0.0.0 10.23.101.2
    [AC] ip route-static 0.0.0.0 0.0.0.0 10.23.102.2
    

  5. Настройте AP для входа в сеть.

    # Создайте группу AP, к которой могут добавляться точки доступа с той же конфигурацией.
    [AC] wlan
    [AC-wlan-view] ap-group name ap-group1
    [AC-wlan-ap-group-ap-group1] quit
    
    # Создайте профиль регулятивного домена, настройте код страны AC в профиле и примените профиль к группе AP.
    [AC-wlan-view] regulatory-domain-profile name default
    [AC-wlan-regulate-domain-default] country-code cn
    [AC-wlan-regulate-domain-default] quit
    [AC-wlan-view] ap-group name ap-group1
    [AC-wlan-ap-group-ap-group1] regulatory-domain-profile default
    Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu
    e?[Y/N]:y 
    [AC-wlan-ap-group-ap-group1] quit
    [AC-wlan-view] quit
    
    # Настройте исходный интерфейс AC.
    [AC] capwap source interface vlanif 100
    
    # Импортируйте AP в автономном режиме на AC и добавьте AP в группу AP ap-group1. Предположим, что MAC-адресом у AP является 60de-4476-e360. Настройте имя для AP на основе местоположения развертывания AP, чтобы узнать, где AP развертывается из своего имени. Например, назовите AP area_1, если она развернута в Зоне 1.
    ПРИМЕЧАНИЕ:

    Режим аутентификации AP по умолчанию - это аутентификация MAC-адреса. Если настройки по умолчанию сохранены, не нужно запускать команду ap auth-mode mac-auth.

    В этом примере используется AP5030DN и имеет два радио: радио 0 (2.4 ГГц) и радио 1 (5 ГГц).

    [AC] wlan
    [AC-wlan-view] ap auth-mode mac-auth
    [AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360
    [AC-wlan-ap-0] ap-name area_1
    [AC-wlan-ap-0] ap-group ap-group1
    Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configuration
    s of the radio, Whether to continue? [Y/N]:y 
    [AC-wlan-ap-0] quit
    
    # После включения AP запустите команду display ap all, чтобы проверить состояние AP. Если поле State отображается как nor, AP успешно подключается к сети.
    [AC-wlan-view] display ap all
    Total AP information:
    nor  : normal          [1]
    -------------------------------------------------------------------------------------
    ID   MAC            Name   Group     IP            Type            State STA Uptime
    -------------------------------------------------------------------------------------
    0    60de-4476-e360 area_1 ap-group1 10.23.100.254 AP5030DN        nor   0   10S
    -------------------------------------------------------------------------------------
    Total: 1

  6. Настройте шаблон сервера RADIUS, схему аутентификации RADIUS и схему учета RADIUS.

    ПРИМЕЧАНИЕ:

    Убедитесь, что IP-адрес сервера RADIUS, номер порта и общий ключ настроены правильно и совпадают с теми на сервере RADIUS.

    # Настройте шаблон сервера RADIUS.

    [AC] radius-server template wlan-net
    [AC-radius-wlan-net] radius-server authentication 10.23.102.1 1812
    [AC-radius-wlan-net] radius-server shared-key cipher Huawei123
    [AC-radius-wlan-net] quit

    # Создайте схему аутентификации и настройте режим аутентификации RADIUS.

    [AC] aaa
    [AC-aaa] authentication-scheme wlan-net
    [AC-aaa-authen-wlan-net] authentication-mode radius
    [AC-aaa-authen-wlan-net] quit
    

    # Создайте схему аутентификации и настройте режим аутентификации RADIUS.

    [AC-aaa] accounting-scheme wlan-net
    [AC-aaa-accounting-wlan-net] accounting-mode radius
    [AC-aaa-accounting-wlan-net] accounting realtime 15
    [AC-aaa-accounting-wlan-net] quit
    [AC-aaa] quit
    ПРИМЕЧАНИЕ:
    • В этом примере устройство подключено к Agile Controller-Campus. Функция учета не применяется для целей бухгалтерского учета и используется для поддержания онлайн-информации терминала через учетные пакеты.

    • Команда accounting realtime устанавливает интервал учета в режиме реального времени. Более короткий интервал учета в реальном времени требует более высокой производительности устройства и сервера RADIUS. Установите интервал учета в реальном времени на основе количества пользователей.

    Количество пользователей Интервал учета в режиме реального времени
    1-99 3 минуты
    100-499 6 минут
    500-999 12 минут
    ≥ 1000 ≥ 15 минут

  7. Настройте URL страницы аутентификации Portal. Когда пользователь пытается получить доступ к веб-сайту перед аутентификацией, AC перенаправляет веб-сайт на сервер Portal.

    Рекомендуется настроить URL с использованием имени домена, чтобы обеспечить безопасное и быстрое переотправление страницы. Перед настройкой URL с использованием имени домена сначала необходимо настроить сопоставление между именем домена и IP-адресом сервера Portal на DNS-сервере.

    ПРИМЕЧАНИЕ:
    Настройте параметры, переносимые в URL, которые должны быть такими же, как на сервере аутентификации.
    [AC] url-template name wlan-net
    [AC-url-template-wlan-net] url http://portal.com:8080/portal
    [AC-url-template-wlan-net] url-parameter ssid ssid redirect-url url 
    [AC-url-template-wlan-net] quit

  8. Настройте шаблон сервера Portal.

    ПРИМЕЧАНИЕ:

    Убедитесь, что IP-адрес сервера Portal, URL-адрес, номер порта и общий ключ настроены правильно и совпадают с теми на сервере Portal.

    [AC] web-auth-server wlan-net
    [AC-web-auth-server-wlan-net] server-ip 10.23.103.1
    [AC-web-auth-server-wlan-net] shared-key cipher Huawei123
    [AC-web-auth-server-wlan-net] port 50200
    [AC-web-auth-server-wlan-net] url-template wlan-net ciphered-parameter-name cpname iv-parameter-name iv-value key cipher Huawei123
    [AC-web-auth-server-wlan-net] quit
    

  9. Настройте профиль доступа к Portal wlan-net и настройте аутентификацию Portal уровня 2.

    [AC] portal-access-profile name wlan-net
    [AC-portal-access-profile-wlan-net] web-auth-server wlan-net direct
    [AC-portal-access-profile-wlan-net] quit

  10. Настройте профиль доступа к MAC для аутентификации Portal с приоритетом MAC-адреса.

    [AC] mac-access-profile name wlan-net
    [AC-mac-access-profile-wlan-net] quit

  11. Настройте профиль правила без аутентификации.

    [AC] free-rule-template name default_free_rule
    [AC-free-rule-default_free_rule] free-rule 1 destination ip 8.8.8.8 mask 32
    [AC-free-rule-default_free_rule] quit
    

  12. Настройте профиль доступа 802.1x для управления параметрами контроля доступа 802.1x.

    # Создайте профиль доступа 802.1x wlan-net.

    [AC] dot1x-access-profile name wlan-net
    

    # Установите режим аутентификации на ретрансляторе EAP.

    [AC-dot1x-access-profile-wlan-net] dot1x authentication-method eap
    [AC-dot1x-access-profile-wlan-net] quit
    

  13. Настройте профили аутентификации employee и guest.

    [AC] authentication-profile name employee
    [AC-authentication-profile-employee] dot1x-access-profile wlan-net
    [AC-authentication-profile-employee] authentication-scheme wlan-net
    [AC-authentication-profile-employee] radius-server wlan-net
    [AC-authentication-profile-employee] quit
    [AC] authentication-profile name guest
    [AC-authentication-profile-guest] portal-access-profile wlan-net
    [AC-authentication-profile-guest] mac-access-profile wlan-net
    [AC-authentication-profile-guest] free-rule-template default_free_rule
    [AC-authentication-profile-guest] authentication-scheme wlan-net
    [AC-authentication-profile-guest] accounting-scheme wlan-net
    [AC-authentication-profile-guest] radius-server wlan-net
    [AC-authentication-profile-guest] quit

  14. Настройте параметры службы WLAN.

    # Создайте профили безопасности employee и guest, и соответственно установите политики безопасности на WPA-WPA2+802.1X+AES и open.

    [AC] wlan
    [AC-wlan-view] security-profile name employee
    [AC-wlan-sec-prof-employee] security wpa-wpa2 dot1x aes
    [AC-wlan-sec-prof-employee] quit
    [AC-wlan-view] security-profile name guest
    [AC-wlan-sec-prof-guest] quit
    

    # Создайте профили SSID employee и guest, и соответственно установите имена SSID на employee и guest.

    [AC-wlan-view] ssid-profile name employee
    [AC-wlan-ssid-prof-employee] ssid employee
    [AC-wlan-ssid-prof-employee] quit
    [AC-wlan-view] ssid-profile name guest
    [AC-wlan-ssid-prof-guest] ssid guest
    [AC-wlan-ssid-prof-guest] quit
    

    # Создайте профили VAP employee и guest, установите режим переадресации данных и сервисные VLAN и привяжите профили безопасности, SSID и аутентификации к профилям VAP.

    [AC-wlan-view] vap-profile name employee
    [AC-wlan-vap-prof-employee] forward-mode tunnel
    [AC-wlan-vap-prof-employee] service-vlan vlan-id 101
    [AC-wlan-vap-prof-employee] security-profile employee
    [AC-wlan-vap-prof-employee] ssid-profile employee
    [AC-wlan-vap-prof-employee] authentication-profile employee
    [AC-wlan-vap-prof-employee] quit
    [AC-wlan-view] vap-profile name guest
    [AC-wlan-vap-prof-guest] forward-mode tunnel
    [AC-wlan-vap-prof-guest] service-vlan vlan-id 102
    [AC-wlan-vap-prof-guest] security-profile guest
    [AC-wlan-vap-prof-guest] ssid-profile guest
    [AC-wlan-vap-prof-guest] authentication-profile guest
    [AC-wlan-vap-prof-guest] quit
    

    # Свяжите профили VAP с группами AP и примените конфигурацию профилей VAP employee и guest к Radio 0 и Radio 1 точки доступа.

    [AC-wlan-view] ap-group name ap-group1
    [AC-wlan-ap-group-ap-group1] vap-profile employee wlan 1 radio 0
    [AC-wlan-ap-group-ap-group1] vap-profile employee wlan 1 radio 1
    [AC-wlan-ap-group-ap-group1] vap-profile guest wlan 2 radio 0
    [AC-wlan-ap-group-ap-group1] vap-profile guest wlan 2 radio 1
    [AC-wlan-ap-group-ap-group1] quit
    

  15. Настройте канал и мощность AP.
  16. Проверьте конфигурацию.

    • Сотрудник может использовать STA для поиска WLAN с SSID employee. После подключения к WLAN IP-адрес назначен для STA. После того как сотрудник использует клиент 802.1x на STA для аутентификации и вводит правильное имя пользователя и пароль, STA аутентифицируется и может получить доступ к WLAN. Способ настройки для клиента 802.1x выглядит следующим образом:

      • Конфигурация в операционной системе Windows XP:

        1. На вкладке Association диалогового окна Wireless network properties добавьте SSID employee, установите режим аутентификации на WPA2 и алгоритм шифрования на AES.
        2. На вкладке Authentication установите тип EAP на PEAP и нажмите Properties. В диалоговом окне Protected EAP Properties снимите флажок Validate server certificate и нажмите Configure. В появившемся диалоговом окне снимите флажок Automatically use my Windows logon name and password и нажмите OK.
      • Конфигурация в операционной системе Windows 7:

        1. Откройте страницу Manage wireless networks, нажмите Add и выберите Manually create a network profile. Добавьте SSID employee. Установите режим аутентификации на WPA2-Enterprise и алгоритм шифрования на AES. Нажмите Next.
        2. Нажмите Change connection settings. На отображаемой странице Wireless Network Properties выберите вкладку Security и нажмите Settings. В диалоговом окне Protected EAP Properties снимите флажок Validate server certificate и нажмите Configure. В появившемся диалоговом окне снимите флажок Automatically use my Windows logon name and password и нажмите OK.
        3. На странице Wireless Network Properties нажмите Advanced settings. На отображаемой странице Advanced settings выберите Specify authentication mode, установите режим аутентификации идентификатора на User authentication и нажмите OK.
    • Гость может использовать STA, чтобы найти WLAN с SSID guest. После подключения к WLAN IP-адрес назначен для STA. Когда STA обращается к Интернету через браузер, автоматически отображается страница аутентификации, предоставляемая сервером Portal. После ввода правильного имени пользователя и пароля на странице STA аутентифицируется и может получить доступ к WLAN. Предположим, что MAC-адрес, настроенный на сервере Portal, действует в течение 60 минут. Когда STA отключается от WLAN в течение 5 минут, STA может напрямую обращаться к Интернету при повторном подключении к WLAN. Когда STA отключается от WLAN в течение 65 минут, он будет перенаправлен на страницу аутентификации Portal при повторном подключении к WLAN.

Файлы конфигурации

  • Файл конфигурации SwitchA

    #
    sysname SwitchA
    #
    vlan batch 100
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk pvid vlan 100
     port trunk allow-pass vlan 100
     port-isolate enable group 1
    #
    interface GigabitEthernet0/0/2
     port link-type trunk
     port trunk allow-pass vlan 100
    #
    return
  • Файл конфигурации SwitchB

    #
    sysname SwitchB
    #
    vlan batch 100 to 102
    #
    dhcp enable
    #
    interface Vlanif101
     ip address 10.23.101.1 255.255.255.0
     dhcp select interface
     dhcp server gateway-list 10.23.101.2
     dhcp server dns-list 8.8.8.8 
    #
    interface Vlanif102
     ip address 10.23.102.1 255.255.255.0
     dhcp select interface
     dhcp server gateway-list 10.23.102.2
     dhcp server dns-list 8.8.8.8 
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk allow-pass vlan 100
    #
    interface GigabitEthernet0/0/2
     port link-type trunk
     port trunk allow-pass vlan 100 to 102
    #
    interface GigabitEthernet0/0/3
     port link-type trunk
     port trunk allow-pass vlan 101 to 102
    #
    return
  • Файл конфигурации Router

    #
    sysname Router
    #
    vlan batch 101 to 102
    #
    interface Vlanif101
     ip address 10.23.101.2 255.255.255.0
    #
    interface Vlanif102
     ip address 10.23.102.2 255.255.255.0
    #
    interface GigabitEthernet1/0/0
     port link-type trunk
     port trunk allow-pass vlan 101 to 102
    #
    return
    
  • Файл конфигурации AC

    #
     sysname AC
    #
    vlan batch 100 to 102
    #
    authentication-profile name employee
     dot1x-access-profile wlan-net
     authentication-scheme wlan-net
     radius-server wlan-net
    authentication-profile name guest
     mac-access-profile wlan-net
     portal-access-profile wlan-net
     free-rule-template default_free_rule
     authentication-scheme wlan-net
     accounting-scheme wlan-net
     radius-server wlan-net
    #
    dhcp enable
    #
    radius-server template wlan-net
     radius-server shared-key cipher %^%#Oc6_BMCw#9gZ2@SMVtk!PAC6>Ou*eLW/"qLp+f#$%^%#
     radius-server authentication 10.23.102.1 1812 weight 80
    #
    free-rule-template name default_free_rule
     free-rule 1 destination ip 8.8.8.8 mask 255.255.255.255
    #
    url-template name wlan-net
     url http://portal.com:8080/portal
     url-parameter ssid ssid redirect-url url
    #
    web-auth-server wlan-net
     server-ip 10.23.103.1
     port 50200
     shared-key cipher %^%#4~ZXE3]6@BXu;2;aw}hA{rSb,@"L@T#e{%6G1AiD%^%#
     url-template wlan-net ciphered-parameter-name cpname iv-parameter-name iv-value key cipher %^%#4~ZXE3]6@BXu;2;aw}hA{rSb,@"L@T#e{%6G1AiD%^%#
    #
    portal-access-profile name wlan-net
     web-auth-server wlan-net direct
    #
    aaa
     authentication-scheme wlan-net
      authentication-mode radius
     accounting-scheme wlan-net
      accounting-mode radius
      accounting realtime 15
    #
    interface Vlanif100
     ip address 10.23.100.1 255.255.255.0
     dhcp select interface
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk allow-pass vlan 100 to 102
    #
    ip route-static 0.0.0.0 0.0.0.0 10.23.101.2
    ip route-static 0.0.0.0 0.0.0.0 10.23.102.2
    #
    capwap source interface vlanif100
    #
    wlan
     security-profile name guest 
     security-profile name employee
      security wpa-wpa2 dot1x aes
     ssid-profile name guest 
      ssid guest
     ssid-profile name employee
      ssid employee
     vap-profile name guest
      forward-mode tunnel
      service-vlan vlan-id 102
      ssid-profile guest
      security-profile guest
      authentication-profile guest
     vap-profile name employee
      forward-mode tunnel
      service-vlan vlan-id 101
      ssid-profile employee
      security-profile employee
      authentication-profile employee
     regulatory-domain-profile name default
     ap-group name ap-group1
      radio 0
       vap-profile employee wlan 1
       vap-profile guest wlan 2
      radio 1
       vap-profile employee wlan 1
       vap-profile guest wlan 2
     ap-id 0 type-id 35 ap-mac 60de-4476-e360 ap-sn 210235554710CB000042
      ap-name area_1
      ap-group ap-group1
      radio 0
       channel 20mhz 6
       eirp 127
      radio 1
       channel 20mhz 149
       eirp 127
    #
    dot1x-access-profile name wlan-net
    #
    mac-access-profile name wlan-net
    #
    return
    
Загрузить
Updated: 2018-08-21

№ документа:EDOC1100029357

Просмотры:6731

Загрузки: 86

Average rating:
This Document Applies to these Products
Связанные документы
Related Version
Share
Назад Далее