Для выбранного языка не найдены ресурсы переадресации.

Этот веб-сайт использует cookie-файлы. Продолжая просмотр, вы соглашаетесь на их использование. Ознакомьтесь с нашей политикой соблюдения конфиденциальности.>

Типичные примеры настройки WLAN

Rate and give feedback :
Информация об этом переводе
Чтобы помочь вам лучше понять содержимое этого документа, компания Huawei перевела его на разные языки, используя машинный перевод, отредактированный людьми. Примечание: даже самые передовые программы машинного перевода не могут обеспечить качество на уровне перевода, выполненного профессиональным переводчиком. Компания Huawei не несет ответственность за точность перевода и рекомендует ознакомиться с документом на английском языке (по ссылке, которая была предоставлена ранее).
Пример настройки услуги BYOD WLAN

Пример настройки услуги BYOD WLAN

Требования к службе

Пользователи предприятия могут получить доступ к сети через WLAN, что является основным требованием мобильного офиса. Кроме того, службы пользователей не затрагиваются во время роуминга в зоне покрытия.

Чтобы повысить эффективность работы, предприятия позволяют сотрудникам получать доступ к корпоративной интрасети через WLAN с использованием собственных STA. Только STA типа huawei имеют доступ к корпоративной интрасети для обеспечения сетевой безопасности.

Требования к сети

  • Режим сети AC: Режим обхода уровня 2
  • Режим развертывания DHCP:
    • AC функционирует как DHCP-сервер, чтобы назначить IP-адреса для AP.
    • Коммутатор агрегации (SwitchB) функционирует как DHCP-сервер, чтобы назначить IP-адреса для STA.
  • Режим переадресации сервисных данных: туннельная переадресация
Рис. 3-74 Сеть для настройки службы WLAN BYOD

План данных

Табл. 3-80 План данных AC

Пункт

Данные

Управляющая VLAN для AP

VLAN 100

Сервисная VLAN для STA

VLAN 101

DHCP-сервер

AC функционирует как DHCP-сервер, чтобы назначить IP-адреса для AP.

SwitchB функционирует как DHCP-сервер, чтобы назначить IP-адреса для STA. Адрес шлюза по умолчанию для STA - 10.23.101.2.

Пул IP-адресов для AP 10.23.100.2-10.23.100.254/24
Пул IP-адресов для STA 10.23.101.3-10.23.101.254/24
Адрес исходного интерфейса AC VLANIF 100: 10.23.100.1/24
Группа AP
  • Имя: ap-group1
  • Ссылочные профили: Профиль VAP wlan-net и профиль регулятивного домена default
Профиль регулятивного домена
  • Имя: default
  • Код страны: China
Профиль SSID
  • Имя: wlan-net
  • Имя SSID: wlan-net
Профиль безопасности
  • Имя: wlan-net
  • Политика безопасности: открытая системная аутентификация
Профиль VAP
  • Имя: wlan-net
  • Режим переадресации: туннельная переадресация
  • Сервисная VLAN: VLAN 101
  • Ссылочные профили: Профиль SSID wlan-net и профиль безопасности wlan-net

Схема аутентификации

  • Имя: abc

  • Режим аутентификации: local

Домен AAA

  • Имя: huawei.com

  • Переотправленный URL: www.login.com

  • Ссылочный домен: Схема аутентификации abc

Пользователь

  • Имя пользователя: test
  • Пароль: admin@12345
  • Уровень пользователя: 3
  • Тип доступа: 802.1x
  • Тип STA разрешен для подключения к сети: huawei

Профиль идентификации типа терминала

  • Имя: huawei
  • Тип терминала: huawei

Профиль доступа 802.1x

  • Имя: wlan-dot1x
  • Режим аутентификации: CHAP

Профиль аутентификации

  • Имя: wlan-authentication
  • Ссылочный домен и профиль: Домен AAA huawei.com и профиль доступа 802.1x wlan-dot1x

Схема настройки

  1. Настройте основные службы WLAN, чтобы пользователи могли получить доступ к WLAN.

  2. Настройте локальную аутентификацию и авторизацию для пользователей 802.1x.
  3. Настройте функцию URL переотправления, чтобы первый веб-запрос от аутентифицированного пользователя перенаправлялся на указанную веб-страницу.
  4. Настройте функцию идентификации типа терминала, чтобы разрешить только STA типа huawei подключаться к беспроводной сети.
  5. Настройте профиль доступа 802.1x для управления параметрами контроля доступа 802.1x.
  6. Настройте профиль аутентификации и привяжите домен AAA и профиль доступа 802.1x к профилю аутентификации.
  7. Привяжите профиль аутентификации к профилю VAP для управления доступом от STA.

Процедура

  1. Настройте сетевые устройства.

    # Добавьте GE0/0/1 и GE0/0/2 на SwitchA к VLAN 100. VLAN по умолчанию GE0/0/1 - VLAN 100.
    <HUAWEI> system-view
    [HUAWEI] sysname SwitchA
    [SwitchA] vlan batch 100
    [SwitchA] interface gigabitethernet 0/0/1
    [SwitchA-GigabitEthernet0/0/1] port link-type trunk
    [SwitchA-GigabitEthernet0/0/1] port trunk pvid vlan 100
    [SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 100
    [SwitchA-GigabitEthernet0/0/1] port-isolate enable
    [SwitchA-GigabitEthernet0/0/1] quit
    [SwitchA] interface gigabitethernet 0/0/2
    [SwitchA-GigabitEthernet0/0/2] port link-type trunk
    [SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 100
    [SwitchA-GigabitEthernet0/0/2] quit
    
    # Добавьте GE0/0/1 и GE0/0/2 на SwitchB (коммутатор агрегации) к VLAN 100, GE0/0/2 и GE0/0/3 к VLAN 101.
    <HUAWEI> system-view
    [HUAWEI] sysname SwitchB
    [SwitchB] vlan batch 100 101
    [SwitchB] interface gigabitethernet 0/0/1
    [SwitchB-GigabitEthernet0/0/1] port link-type trunk
    [SwitchB-GigabitEthernet0/0/1] port trunk allow-pass vlan 100
    [SwitchB-GigabitEthernet0/0/1] quit
    [SwitchB] interface gigabitethernet 0/0/2
    [SwitchB-GigabitEthernet0/0/2] port link-type trunk
    [SwitchB-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 101
    [SwitchB-GigabitEthernet0/0/2] quit
    [SwitchB] interface gigabitethernet 0/0/3
    [SwitchB-GigabitEthernet0/0/3] port link-type trunk
    [SwitchB-GigabitEthernet0/0/3] port trunk allow-pass vlan 101
    [SwitchB-GigabitEthernet0/0/3] quit
    
    # Добавьте GE1/0/0 на маршрутизаторе (Router) к VLAN 101. Создайте VLANIF 101 и установите его IP-адрес на 10.23.101.2/24.
    <Huawei> system-view
    [Huawei] sysname Router
    [Router] vlan batch 101
    [Router] interface gigabitethernet 1/0/0
    [Router-GigabitEthernet1/0/0] port link-type trunk
    [Router-GigabitEthernet1/0/0] port trunk allow-pass vlan 101
    [Router-GigabitEthernet1/0/0] quit
    [Router] interface vlanif 101
    [Router-Vlanif101] ip address 10.23.101.2 24
    [Router-Vlanif101] quit
    

  2. Настройте AC для связи с сетевыми устройствами.

    ПРИМЕЧАНИЕ:

    Если AC и AP подключены напрямую, установите VLAN по умолчанию интерфейсов, подключенных к AP, на управляющую VLAN 100.

    # Добавьте GE0/0/1 на AC к VLAN 100 и VLAN 101.
    <AC6605> system-view
    [AC6605] sysname AC
    [AC] vlan batch 100 101
    [AC] interface gigabitethernet 0/0/1
    [AC-GigabitEthernet0/0/1] port link-type trunk
    [AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101
    [AC-GigabitEthernet0/0/1] quit
    

  3. Настройте DHCP-серверы для того, чтобы назначить IP-адреса для AP и STA.

    # На AC настройте VLANIF 100 для того, чтобы назначить IP-адреса для AP.
    [AC] dhcp enable
    [AC] interface vlanif 100
    [AC-Vlanif100] ip address 10.23.100.1 24
    [AC-Vlanif100] dhcp select interface
    [AC-Vlanif100] quit
    
    # На SwitchB настройте VLANIF 101 для того, чтобы назначить IP-адреса для STA и установите адрес шлюза STA по умолчанию на 10.23.101.2.
    ПРИМЕЧАНИЕ:
    Настройте DNS-сервер по мере необходимости. Общие методы заключаются в следующем:
    • В сценариях пула адресов интерфейса запустите команду dhcp server dns-list ip-address &<1-8> в виде интерфейса VLANIF.
    • В сценариях пула глобального адреса запустите команду dns-list ip-address &<1-8> в виде пула IP-адресов.
    [SwitchB] dhcp enable
    [SwitchB] interface vlanif 101
    [SwitchB-Vlanif101] ip address 10.23.101.1 24
    [SwitchB-Vlanif101] dhcp select interface
    [SwitchB-Vlanif101] dhcp server gateway-list 10.23.101.2
    [SwitchB-Vlanif101] quit
    

  4. Настройте AP для входа в сеть.

    # Создайте группу AP, к которой могут добавляться точки доступа с той же конфигурацией.
    [AC] wlan
    [AC-wlan-view] ap-group name ap-group1
    [AC-wlan-ap-group-ap-group1] quit
    
    # Создайте профиль регулятивного домена, настройте код страны AC в профиле и примените профиль к группе AP.
    [AC-wlan-view] regulatory-domain-profile name default
    [AC-wlan-regulate-domain-default] country-code cn
    [AC-wlan-regulate-domain-default] quit
    [AC-wlan-view] ap-group name ap-group1
    [AC-wlan-ap-group-ap-group1] regulatory-domain-profile default
    Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu
    e?[Y/N]:y 
    [AC-wlan-ap-group-ap-group1] quit
    [AC-wlan-view] quit
    
    # Настройте исходный интерфейс AC.
    [AC] capwap source interface vlanif 100
    
    # Импортируйте AP в автономном режиме на AC и добавьте AP в группу AP ap-group1. Предположим, что MAC-адресом у AP является 60de-4476-e360. Настройте имя для AP на основе местоположения развертывания AP, чтобы узнать, где AP развертывается из своего имени. Например, назовите AP area_1, если она развернута в Зоне 1.
    ПРИМЕЧАНИЕ:

    Режим аутентификации AP по умолчанию - это аутентификация MAC-адреса. Если настройки по умолчанию сохранены, не нужно запускать команду ap auth-mode mac-auth.

    В этом примере используется AP5030DN и имеет два радио: радио 0 (2.4 ГГц) и радио 1 (5 ГГц).

    [AC] wlan
    [AC-wlan-view] ap auth-mode mac-auth
    [AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360
    [AC-wlan-ap-0] ap-name area_1
    [AC-wlan-ap-0] ap-group ap-group1
    Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configuration
    s of the radio, Whether to continue? [Y/N]:y 
    [AC-wlan-ap-0] quit
    
    # После включения AP запустите команду display ap all, чтобы проверить состояние AP. Если поле State отображается как nor, AP успешно подключается к сети.
    [AC-wlan-view] display ap all
    Total AP information:
    nor  : normal          [1]
    -------------------------------------------------------------------------------------
    ID   MAC            Name   Group     IP            Type            State STA Uptime
    -------------------------------------------------------------------------------------
    0    60de-4476-e360 area_1 ap-group1 10.23.100.254 AP5030DN        nor   0   10S
    -------------------------------------------------------------------------------------
    Total: 1

  5. Настройте локальную аутентификацию и авторизацию для пользователей 802.1x.

    # Создайте схему AAA abc и установите режим аутентификации на локальный.

    [AC-wlan-view] quit
    [AC] aaa
    [AC-aaa] authentication-scheme abc
    [AC-aaa-authen-abc] authentication-mode local
    [AC-aaa-authen-abc] quit
    

    # Создайте домен AAA huawei.com и примените схему аутентификации AAA abc к домену.

    [AC-aaa] domain huawei.com
    [AC-aaa-domain-huawei.com] authentication-scheme abc
    [AC-aaa-domain-huawei.com] quit
    

    # Создайте локальный пользователь test, и установите для пользователя пароль admin@12345, уровень пользователя 3, тип услуги 8021x, и допустимый тип терминала huawei.

    [AC-aaa] local-user test password cipher admin@12345 privilege level 3
    [AC-aaa] local-user test service-type 8021x
    [AC-aaa] local-user test device-type huawei
    

  6. Настройте функцию URL push.

    # Настройте функцию URL push, чтобы указать веб-страницу, которую должен пройти аутентифицированный пользователь, когда пользователь впервые подключается к сети. После настройки этой функции AC может получить поле UA из пакета HTTP Get, отправленного терминалом.

    ПРИМЕЧАНИЕ:

    Убедитесь, что пользовательский клиент имеет доступный маршрут к DNS-серверу в сети, чтобы можно было реализовать разрешение имени домена. Убедитесь, что пользовательский клиент имеет доступный маршрут к сетевому сегменту IP-адреса, соответствующего доменному имени www.login.com, так что функция URL push может быть реализована.

    [AC-aaa] domain huawei.com
    [AC-aaa-domain-huawei.com] force-push url www.login.com
    [AC-aaa-domain-huawei.com] quit
    [AC-aaa] quit
    

  7. Настройте функцию идентификации типа терминала.

    # Включите функцию распознавания типа терминала.

    [AC] device-sensor dhcp option 12 55 60

    # Включите UA, чтобы AC мог получить и отправить поле UA из пакета HTTP Get, отправленного терминалом, в модуль идентификации типа терминала.

    [AC] http parse user-agent enable

    # Создайте профиль идентификации типа терминала huawei и настройте правила идентификации от 0 до 4 в профиле.

    Правила от 0 до 2 используются для соответствия информации Option 12, Option 55 и Option60 в пакетах DHCP от терминалов. Правило 3 используется для соответствия информации OUI поставщика. Правило 4 используется для сопоставления информации пользовательского агента (UA) в пакетах HTTP от терминалов. Если информация о терминале может соответствовать любому из правил, для терминала устанавливается идентификатор типа терминала huawei.

    [AC] device-profile profile-name huawei
    [AC-device-profile-huawei] device-type huawei
    [AC-device-profile-huawei] rule 0 dhcp-option 12 sub-match ascii android-9f09b5dc88a64c37
    [AC-device-profile-huawei] rule 1 dhcp-option 55 sub-match ascii \001!\003\006\017\0343:; 
    [AC-device-profile-huawei] rule 2 dhcp-option 60 sub-match ascii dhcpcd-5.2.10
    [AC-device-profile-huawei] rule 3 mac fcff-ffff-ffff mask 8
    [AC-device-profile-huawei] rule 4 user-agent sub-match Mozille/5.0 (Linux; U; Android 4.1.2; zh-CN; ZTE U956 Build/JZ054K) AppleWebKit/534.31 (KHTNL, like Gecko) UCBrowser/8.8.3.276 U3/0.8.8 Moblie Sofari/534.31 
    [AC-device-profile-huawei] if-match rule 0 or rule 1 or rule 2 or rule 3 or rule 4
    [AC-device-profile-huawei] enable
    [AC-device-profile-huawei] quit

  8. Настройте профиль доступа 802.1x для управления параметрами контроля доступа 802.1x.

    # Создайте профиль доступа 802.1x wlan-dot1x.

    [AC] dot1x-access-profile name wlan-dot1x
    

    # Установите режим аутентификации для пользователей 802.1x на CHAP.

    [AC-dot1x-access-profile-wlan-dot1x] dot1x authentication-method chap
    [AC-dot1x-access-profile-wlan-dot1x] quit
    

  9. Создайте профиль аутентификации wlan-authentication, установите домен пользователя по умолчанию, настройте аутентификацию в домене huawei.com для STA и привяжите профиль доступа 802.1x к профилю аутентификации.

    [AC] authentication-profile name wlan-authentication
    [AC-authentication-profile-wlan-authentication] access-domain huawei.com dot1x
    [AC-authentication-profile-wlan-authentication] dot1x-access-profile wlan-dot1x
    [AC-authentication-profile-wlan-authentication] quit

  10. Настройте параметры службы WLAN.

    # Создайте профиль безопасности wlan-net и установите политику безопасности на open в профиле. По умолчанию политика безопасности - open.
    [AC] wlan
    [AC-wlan-view] security-profile name wlan-net
    [AC-wlan-sec-prof-wlan-net] quit
    
    # Создайте профиль SSID wlan-net и установите имя SSID на wlan-net.
    [AC-wlan-view] ssid-profile name wlan-net
    [AC-wlan-ssid-prof-wlan-net] ssid wlan-net
    Warning: This action may cause service interruption. Continue?[Y/N]y
    [AC-wlan-ssid-prof-wlan-net] quit
    
    # Создайте профиль VAP wlan-net, настройте режим пересылки данных и сервисные VLAN и привяжите профиль безопасности, профиль аутентификации и профиль SSID к профилю VAP.
    [AC-wlan-view] vap-profile name wlan-net
    [AC-wlan-vap-prof-wlan-net] forward-mode tunnel
    [AC-wlan-vap-prof-wlan-net] service-vlan vlan-id 101
    [AC-wlan-vap-prof-wlan-net] security-profile wlan-net
    [AC-wlan-vap-prof-wlan-net] authentication-profile wlan-authentication
    [AC-wlan-vap-prof-wlan-net] ssid-profile wlan-net
    [AC-wlan-vap-prof-wlan-net] quit
    
    # Привяжите профиль VAP wlan-net к группе AP и привяжите профиль к Radio 0 и Radio 1 AP.
    [AC-wlan-view] ap-group name ap-group1
    [AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 0
    [AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 1
    [AC-wlan-ap-group-ap-group1] quit
    

  11. Настройте канал и мощность AP.
  12. Проверьте конфигурацию.

    WLAN с SSID wlan-net доступна для STA после завершения конфигурации.

    • Если STA типа Huawei имеет установленное программное обеспечение клиента CHAP-поддержки, STA может быть успешно аутентифицирована и подключиться к WLAN после ввода правильного имени пользователя и пароля.
    • Если STA типа не-Huawei имеет установленное программное обеспечение клиента CHAP-поддержки, STA не может быть аутентифицирована, даже если введено правильное имя пользователя и пароль.

Файлы конфигурации

  • Файл конфигурации SwitchA

    #
    sysname SwitchA
    #
    vlan batch 100
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk pvid vlan 100
     port trunk allow-pass vlan 100
     port-isolate enable group 1
    #
    interface GigabitEthernet0/0/2
     port link-type trunk
     port trunk allow-pass vlan 100
    #
    return
  • Файл конфигурации SwitchB

    #
    sysname SwitchB
    #
    vlan batch 100 to 101
    #
    dhcp enable
    #
    interface Vlanif101
     ip address 10.23.101.1 255.255.255.0
     dhcp select interface
     dhcp server gateway-list 10.23.101.2
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk allow-pass vlan 100
    #
    interface GigabitEthernet0/0/2
     port link-type trunk
     port trunk allow-pass vlan 100 to 101
    #
    interface GigabitEthernet0/0/3
     port link-type trunk
     port trunk allow-pass vlan 101
    #
    return
  • Файл конфигурации Router

    #
    sysname Router
    #
    vlan batch 101
    #
    interface Vlanif101
     ip address 10.23.101.2 255.255.255.0
    #
    interface GigabitEthernet1/0/0
     port link-type trunk
     port trunk allow-pass vlan 101
    #
    return
    
  • Файл конфигурации AC

    #
     sysname AC
    #
    vlan batch 100 to 101
    #
    authentication-profile name wlan-authentication
     dot1x-access-profile wlan-dot1x
     access-domain huawei.com dot1x
    #
    dot1x-access-profile name wlan-dot1x
     dot1x authentication-method chap
    #
    dhcp enable
    #
    aaa
     authentication-scheme abc
     domain huawei.com
      authentication-scheme abc
      force-push url www.login.com
     local-user test password cipher %^%#M-CoTf@-h8}}_tK[!rXHKH9p*BGV@3y,i]Fcjh9Q%^%#
     local-user test privilege level 3
     local-user test device-type huawei
    #
    interface Vlanif100
     ip address 10.23.100.1 255.255.255.0
     dhcp select interface
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk allow-pass vlan 100 101
    #
    capwap source interface vlanif100
    #
    wlan
     security-profile name wlan-net
      security wpa-wpa2 psk pass-phrase %^%#m"tz0f>~7.[`^6RWdzwCy16hJj/Mc!,}s`X*B]}A%^%# aes
     ssid-profile name wlan-net
      ssid wlan-net
     vap-profile name wlan-net
      forward-mode tunnel
      service-vlan vlan-id 101
      ssid-profile wlan-net
      security-profile wlan-net
      authentication-profile wlan-authentication
     regulatory-domain-profile name default
     ap-group name ap-group1
      radio 0
       vap-profile wlan-net wlan 1
      radio 1
       vap-profile wlan-net wlan 1
     ap-id 0 type-id 35 ap-mac 60de-4476-e360 ap-sn 210235554710CB000042
      ap-name area_1
      ap-group ap-group1
      radio 0
       channel 20mhz 6
       eirp 127
      radio 1
       channel 20mhz 149
       eirp 127
    #
    device-profile profile-name huawei
     device-type huawei
     enable
     rule 0 dhcp-option 12 sub-match ascii android-9f09b5dc88a64c37 
     rule 1 dhcp-option 55 sub-match ascii \001!\003\006\017\0343:; 
     rule 2 dhcp-option 60 sub-match ascii dhcpcd-5.2.10 
     rule 3 mac fcff-ffff-ffff mask 8 
     rule 4 user-agent sub-match Mozille/5.0 (Linux; U; Android 4.1.2; zh-CN; ZTE U956 Build/JZ054K) AppleWebKit/534.31 (KHTNL, like Gecko) UCBrowser/8.8.3.276 U3/0.8.8 Moblie Sofari/534.31 
     if-match rule 0 or rule 1 or rule 2 or rule 3 or rule 4
    #
    return
Загрузить
Updated: 2018-08-21

№ документа:EDOC1100029357

Просмотры:6732

Загрузки: 86

Average rating:
This Document Applies to these Products
Связанные документы
Related Version
Share
Назад Далее