Для выбранного языка не найдены ресурсы переадресации.

Этот веб-сайт использует cookie-файлы. Продолжая просмотр, вы соглашаетесь на их использование. Ознакомьтесь с нашей политикой соблюдения конфиденциальности.>

Типичные примеры настройки WLAN

Rate and give feedback :
Информация об этом переводе
Чтобы помочь вам лучше понять содержимое этого документа, компания Huawei перевела его на разные языки, используя машинный перевод, отредактированный людьми. Примечание: даже самые передовые программы машинного перевода не могут обеспечить качество на уровне перевода, выполненного профессиональным переводчиком. Компания Huawei не несет ответственность за точность перевода и рекомендует ознакомиться с документом на английском языке (по ссылке, которая была предоставлена ранее).
Пример настройки авторизации пользователей на основе номеров ACL или динамических сетей VLAN (CLI)

Пример настройки авторизации пользователей на основе номеров ACL или динамических сетей VLAN (CLI)

Знакомство с авторизацией пользователя

При авторизации пользователя устройство контролирует права доступа к сети на основе роли пользователя во время каждой фазы аутентификации пользователя. После успешного аутентификации пользователя 802.1x на сервере RADIUS сервер отправляет информацию авторизации на устройство доступа пользователя. Когда Cisco Identity Services Engine (ISE) функционирует как сервер RADIUS, он может предоставлять несколько параметров авторизации. В следующем примере для управления авторизацией пользователя используются номера ACL и динамические VLAN.
  • Авторизация на основе номеров ACL

    Если на сервере RADIUS настроена доставка номера ACL, информация авторизации, отправленная на устройство доступа, включает номер ACL. Устройство доступа соответствует правилам ACL на основе предоставленного номера ACL для управления правами пользователя.

    Атрибут RADIUS, используемый для доставки номера ACL, равен (011) Filter-Id.

    Номера ACL поддерживаются диапазоном AC от 3000 до 3031.

  • Авторизация на основе динамических сетей VLAN

    Если на сервере RADIUS настроена динамическая доставка VLAN, информация авторизации, отправленная на устройство доступа, включает атрибут VLAN. После того как устройство доступа получит информацию авторизации, оно изменяет VLAN пользователя на доставленную VLAN. Доставленная VLAN не изменяет или не влияет на конфигурацию интерфейса. Однако приоритет доставленной VLAN выше, чем настроенная пользователем VLAN. То есть, доставленная VLAN начинает действовать после успешной аутентификации, и пользовательская VLAN начинает действовать после выхода пользователя из сети.

    Для динамической доставки VLAN используются следующие атрибуты RADIUS:
    • (064) Tunnel-Type (он должен быть установлен на VLAN или 13.)
    • (065) Tunnel-Medium-Type (Он должен быть установлен на 802 или 6.)
    • (081) Tunnel-Private-Group-ID (Это может быть идентификатор VLAN или имя VLAN.)
    Чтобы гарантировать правильность доставки RADIUS-сервером информации VLAN, необходимо использовать все три атрибута RADIUS. Кроме того, атрибуты Tunnel-Type и Tunnel-Medium-Type должны быть установлены на указанные значения.

Когда AC подключен к Cisco ISE, в аутентификации 802.1x могут использоваться три метода аутентификации, то есть простой протокол аутентификации (PAP), протокол аутентификации с косвенным согласованием (CHAP) и расширяемый протокол аутентификации (EAP). Конфигурации для трех методов проверки подлинности аналогичны. В качестве примера используется EAP.

Подробнее о том, как настроить авторизацию пользователя на основе номеров ACL на AC, см. Настройку авторизации пользователей на AC.

Подробнее о том, как настроить авторизацию пользователя на основе номеров ACL на сервере Cisco ISE, см. Настройку Cisco ISE.

Применимые продукты и версии

Табл. 3-89 Применимые продукты и версии

Продукт

Версия

Huawei AC

V200R007C10 и более поздние версии

Cisco ISE

2.0.0.306

Требования к службе

Когда пользователи получают доступ к WLAN через аутентификацию 802.1x, права доступа к сети контролируются на основе пользовательских ролей.

Большое количество сотрудников используют беспроводные терминалы для доступа к корпоративной сети. Чтобы обеспечить безопасность сети, администратор должен контролировать права доступа к сети для терминалов. После успешной аутентификации терминалы могут получить доступ к сервисному серверу (с IP-адресом 10.23.105.1) и устройствам в лаборатории (с идентификатором VLAN - 20 и сегментом IP-адресов 10.23.20.2-10.23.20.100).

Требования к сети

  • Режим сети AC: Режим обхода уровня 2
  • Режим развертывания DHCP:
    • AC функционирует как DHCP-сервер, чтобы назначить IP-адреса для AP.
    • SwitchB функционирует как DHCP-сервер, чтобы назначить IP-адреса для STA.
  • Режим переадресации сервисных данных: прямая переадресация
  • Режим аутентификации WLAN: WPA-WPA2+802.1x+AES
Рис. 3-79 Сеть для настройки авторизации пользователя на основе номеров ACL или динамических сетей VLAN

План данных

Табл. 3-90 План данных по AC

Пункт конфигурации

Данные

Управляющая VLAN

VLAN 100

Сервисная VLAN

VLAN 101

Исходный интерфейс AC

VLANIF 100: 10.23.100.1/24

DHCP-сервер

  • AC функционирует как DHCP-сервер, чтобы назначить IP-адреса для AP.
  • SwitchB функционирует как DHCP-сервер, чтобы назначить IP-адреса для STA.

Пул IP-адресов для AP

10.23.100.2-10.23.100.254/24

Пул IP-адресов для STA

10.23.101.2-10.23.101.254/24

10.23.20.101-10.23.20.254/24

Параметры аутентификации RADIUS

  • Имя шаблона сервера RADIUS: wlan-net
  • IP-адрес: 10.23.103.1
  • № порта аутентификации: 1812
  • Общий ключ: @ 123 Huawei
  • Схема аутентификации: wlan-net
Ресурсы, доступные пользователям после аутентификации
  • Права доступа к лаборатории предоставляются с использованием динамической VLAN. Идентификатор VLAN равен 20.
  • Права доступа к сервисному серверу предоставляются с использованием номера ACL. Номер ACL - 3002.

Профиль доступа 802.1x

  • Имя: wlan-net
  • Режим аутентификации: EAP

Профиль Аутентификации

  • Имя: wlan-net
  • Привязанный профиль и схема аутентификации: Профиль доступа 802.1x wlan-net, шаблон сервера RADIUS wlan-net и схема аутентификации wlan-net

Группа AP

  • Имя: ap-group1
  • Привязанный профиль: Профиль VAP wlan-net и профиль регулятивного домена default

Профиль регулятивного домена

  • Имя: default
  • Код страны: CN
Профиль SSID
  • Имя: wlan-net
  • Имя SSID: wlan-net
Профиль безопасности
  • Имя: wlan-net
  • Политика безопасности: WPA-WPA2+802.1x+AES
Профиль VAP
  • Имя: wlan-net
  • Режим переадресации: прямая переадресация
  • Сервисная VLAN: VLAN 101
  • Привязанные профили: Профиль SSID wlan-net, профиль безопасности wlan-net, и профиль аутентификации wlan-net
Табл. 3-91 План данных на Cisco ISE

Пункт конфигурации

Данные

Отдел

R&D

Учетная запись

  • Учетная запись: huawei
  • Пароль: huawei123

Профиль устройства

Huawei

Имя устройства

AC6605

IP-адрес устройства

10.23.102.2/32

Общий ключ RADIUS

huawei@123

Протокол аутентификации

  • MS-CHAPv2
  • PEAP
  • CHAP (только для теста test-aaa)

Авторизация ACL

3002

Динамическая VLAN

VLAN20

Схема настройки

  1. Настройте сетевое взаимодействие.
  2. Настройте основные службы WLAN.
  3. Настройте параметры для соединения AC и серверов RADIUS и прав доступа к сети после успешной проверки подлинности.
  4. Настройте сервер Cisco ISE.
    • Добавьте пользователей.
    • Добавьте AC.
    • Настройте протокол аутентификации.
    • Настройте политики аутентификации.
    • Настройте политики авторизации.

Замечания по конфигурации

  • Настройте изоляцию портов на интерфейсах устройства, напрямую подключенного к точкам доступа. Если изоляция порта не настроена и используется прямая переадресация, в VLAN может быть создано большое количество ненужных широковещательных пакетов, блокирующих сеть и ухудшающих работу пользователя.

  • AC и сервер должны иметь один и тот же общий ключ RADIUS.

  • Если терминал получает IP-адрес с использованием DHCP, необходимо вручную инициировать процесс DHCP для запроса IP-адреса после успешной авторизации на основе VLAN или изменения VLAN авторизации.

Процедура

  1. Настройте сетевое взаимодействие.

    # Добавьте GE0/0/1 и GE0/0/3 на SwitchA (коммутатор доступа) к VLAN20, VLAN 100 и VLAN 101 и GE0/0/2 к VLAN 20.
    <HUAWEI> system-view
    [HUAWEI] sysname SwitchA
    [SwitchA] vlan batch 20 100 101
    [SwitchA] interface gigabitethernet 0/0/1
    [SwitchA-GigabitEthernet0/0/1] port link-type trunk
    [SwitchA-GigabitEthernet0/0/1] port trunk pvid vlan 100
    [SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 20 100 101
    [SwitchA-GigabitEthernet0/0/1] port-isolate enable
    [SwitchA-GigabitEthernet0/0/1] quit
    [SwitchA] interface gigabitethernet 0/0/2
    [SwitchA-GigabitEthernet0/0/2] port link-type trunk
    [SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 20
    [SwitchA-GigabitEthernet0/0/2] quit
    [SwitchA] interface gigabitethernet 0/0/3
    [SwitchA-GigabitEthernet0/0/3] port link-type trunk
    [SwitchA-GigabitEthernet0/0/3] port trunk allow-pass vlan 20 100 101
    [SwitchA-GigabitEthernet0/0/3] quit
    
    # Добавьте GE0/0/1 на SwitchB (коммутатор агрегации) к VLAN20, VLAN 100 и VLAN 101, GE0/0/2 к VLAN 100 и VLAN 102, GE0/0/3 к VLAN 103, GE0/0/4 к VLAN104, и GE0/0/5 к VLAN 105.
    <HUAWEI> system-view
    [HUAWEI] sysname SwitchB
    [SwitchB] vlan batch 20 100 to 105
    [SwitchB] interface gigabitethernet 0/0/1
    [SwitchB-GigabitEthernet0/0/1] port link-type trunk
    [SwitchB-GigabitEthernet0/0/1] port trunk allow-pass vlan 20 100 101
    [SwitchB-GigabitEthernet0/0/1] quit
    [SwitchB] interface gigabitethernet 0/0/2
    [SwitchB-GigabitEthernet0/0/2] port link-type trunk
    [SwitchB-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 102
    [SwitchB-GigabitEthernet0/0/2] quit
    [SwitchB] interface gigabitethernet 0/0/3
    [SwitchB-GigabitEthernet0/0/3] port link-type trunk
    [SwitchB-GigabitEthernet0/0/3] port trunk pvid vlan 103
    [SwitchB-GigabitEthernet0/0/3] port trunk allow-pass vlan 103
    [SwitchB-GigabitEthernet0/0/3] quit
    [SwitchB] interface gigabitethernet 0/0/4
    [SwitchB-GigabitEthernet0/0/4] port link-type trunk
    [SwitchB-GigabitEthernet0/0/4] port trunk pvid vlan 104
    [SwitchB-GigabitEthernet0/0/4] port trunk allow-pass vlan 104
    [SwitchB-GigabitEthernet0/0/4] quit
    [SwitchB] interface gigabitethernet 0/0/5
    [SwitchB-GigabitEthernet0/0/5] port link-type trunk
    [SwitchB-GigabitEthernet0/0/5] port trunk pvid vlan 105
    [SwitchB-GigabitEthernet0/0/5] port trunk allow-pass vlan 105
    [SwitchB-GigabitEthernet0/0/5] quit
    
    # Создайте VLANIF-интерфейсы VLANIF 102, VLANIF 103, VLANIF 104 и VLANIF 105 на SwitchB и настройте маршрут по умолчанию со следующим переходом адреса маршрутизатора.
    [SwitchB] interface vlanif 102
    [SwitchB-Vlanif102] ip address 10.23.102.1 24
    [SwitchB-Vlanif102] quit
    [SwitchB] interface vlanif 103
    [SwitchB-Vlanif103] ip address 10.23.103.2 24
    [SwitchB-Vlanif103] quit
    [SwitchB] interface vlanif 104
    [SwitchB-Vlanif104] ip address 10.23.104.1 24
    [SwitchB-Vlanif104] quit
    [SwitchB] interface vlanif 105
    [SwitchB-Vlanif105] ip address 10.23.105.2 24
    [SwitchB-Vlanif105] quit
    [SwitchB] ip route-static 0.0.0.0 0.0.0.0 10.23.104.2
    
    # На AC создайте VLAN 20 для авторизации, добавьте GE0/0/1, подключенный к SwitchB к VLAN 100 и VLAN 102, создайте VLANIF 102 и настройте статический маршрут на сервер RADIUS.
    <AC6605> system-view
    [AC6605] sysname AC
    [AC] vlan batch 20 100 102
    [AC] interface gigabitethernet 0/0/1
    [AC-GigabitEthernet0/0/1] port link-type trunk
    [AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 102
    [AC-GigabitEthernet0/0/1] quit
    [AC] interface vlanif 102
    [AC-Vlanif102] ip address 10.23.102.2 24
    [AC-Vlanif102] quit
    [AC] ip route-static 10.23.103.0 24 10.23.102.1
    
    # Настройте IP-адрес GE0/0/1 на маршрутизаторе и статический маршрут к сегменту сети для STA.
    <Huawei> system-view
    [Huawei] sysname Router
    [Router] interface gigabitethernet 0/0/1
    [Router-GigabitEthernet0/0/1] ip address 10.23.104.2 24
    [Router-GigabitEthernet0/0/1] quit
    [Router] ip route-static 10.23.101.0 24 10.23.104.1
    

  2. Настройте AC и SwitchB для работы в качестве DHCP-серверов, чтобы назначить IP-адресов соответственно для AP и STA.

    # На AC настройте VLANIF 100 для того, чтобы назначить IP-адреса для AP.
    [AC] dhcp enable
    [AC] interface vlanif 100
    [AC-Vlanif100] ip address 10.23.100.1 24
    [AC-Vlanif100] dhcp select interface
    [AC-Vlanif100] quit
    # На SwitchB настройте VLANIF 101 для назначения IP-адресов STA.
    [SwitchB] dhcp enable
    [SwitchB] interface vlanif 101
    [SwitchB-Vlanif101] ip address 10.23.101.1 24
    [SwitchB-Vlanif101] dhcp select interface
    [SwitchB-Vlanif101] quit
    # На SwitchB настройте VLANIF 20 для назначения IP-адресов авторизованным STA. Сегмент IP-адреса 10.23.20.2-10.23.20.100 не может быть назначен для STA.
    [SwitchB] interface vlanif 20
    [SwitchB-Vlanif20] ip address 10.23.20.1 24
    [SwitchB-Vlanif20] dhcp select interface
    [SwitchB-Vlanif20] dhcp server excluded-ip-address 10.23.20.2 10.23.20.100
    [SwitchB-Vlanif20] quit

  3. Настройте AP для входа в сеть.

    # Создайте группу AP, к которой могут добавляться точки доступа с той же конфигурацией.

    [AC] wlan
    [AC-wlan-view] ap-group name ap-group1
    [AC-wlan-ap-group-ap-group1] quit
    

    # Создайте профиль регулятивного домена, настройте код страны AC в профиле и привяжите профиль к группе AP.

    [AC-wlan-view] regulatory-domain-profile name default
    [AC-wlan-regulate-domain-default] country-code cn
    [AC-wlan-regulate-domain-default] quit
    [AC-wlan-view] ap-group name ap-group1
    [AC-wlan-ap-group-ap-group1] regulatory-domain-profile default
    Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu
    e?[Y/N]:y 
    [AC-wlan-ap-group-ap-group1] quit
    [AC-wlan-view] quit
    

    # Настройте исходный интерфейс AC.

    [AC] capwap source interface vlanif 100
    
    # Импортируйте AP в автономном режиме на AC и добавьте AP в группу AP ap-group1. Настройте имена для AP на основе местоположений AP, чтобы узнать, где находятся AP. Например, если AP с MAC-адресом 60de-4476-e360 развернута в зоне 1, назовите AP area_1.
    ПРИМЕЧАНИЕ:

    Режим аутентификации AP по умолчанию - это аутентификация MAC-адреса. Если настройки по умолчанию сохранены, не нужно запускать команду ap auth-mode mac-auth.

    В этом примере используется AP5030DN и имеет два Radio: Radio 0 и Radio 1. Radio 0 и Radio 1 работают соответственно на диапазонах 2.4 ГГц и 5 ГГц.

    [AC] wlan
    [AC-wlan-view] ap auth-mode mac-auth
    [AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360
    [AC-wlan-ap-0] ap-name area_1
    [AC-wlan-ap-0] ap-group ap-group1
    Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configuration
    s of the radio, Whether to continue? [Y/N]:y 
    [AC-wlan-ap-0] quit
    

    # После включения AP запустите команду display ap all, чтобы проверить состояние AP. Если поле State отображается nor, AP вошла в сеть.

    [AC-wlan-view] display ap all
    Total AP information:
    nor  : normal          [1]
    --------------------------------------------------------------------------------
    ID   MAC            Name   Group     IP            Type            State STA Uptime
    --------------------------------------------------------------------------------
    0    60de-4476-e360 area_1 ap-group1 10.23.100.254 AP5030DN        nor   0   10S
    --------------------------------------------------------------------------------
    Total: 1
    

  4. Настройте канал и мощность AP.
  5. Настройте аутентификацию 802.1x на AC.
    1. Настройте параметры аутентификации RADIUS.

      # Создайте шаблон сервера RADIUS.

      [AC-wlan-view] quit
      [AC] radius-server template wlan-net
      [AC-radius-wlan-net] radius-server authentication 10.23.103.1 1812
      [AC-radius-wlan-net] radius-server shared-key cipher huawei@123
      [AC-radius-wlan-net] quit
      

      # Создайте схему аутентификации RADIUS.

      [AC] aaa
      [AC-aaa] authentication-scheme wlan-net
      [AC-aaa-authen-wlan-net] authentication-mode radius
      [AC-aaa-authen-wlan-net] quit
      [AC-aaa] quit
      

    2. Настройте профиль доступа 802.1x для управления параметрами контроля доступа 802.1x.

      # Создайте профиль доступа 802.1x wlan-net.

      [AC] dot1x-access-profile name wlan-net
      

      # Настройте аутентификацию ретранслятора EAP.

      [AC-dot1x-access-profile-wlan-net] dot1x authentication-method eap
      [AC-dot1x-access-profile-wlan-net] quit
      

    3. Создайте профиль аутентификации wlan-net и привяжите его к профилю доступа 802.1x, схеме аутентификации и шаблону сервера RADIUS.

      [AC] authentication-profile name wlan-net
      [AC-authentication-profile-wlan-net] dot1x-access-profile wlan-net
      [AC-authentication-profile-wlan-net] authentication-scheme wlan-net
      [AC-authentication-profile-wlan-net] radius-server wlan-net
      [AC-authentication-profile-wlan-net] quit

    4. Настройте параметры службы WLAN.

      # Создайте профиль безопасности wlan-net и установите политику безопасности в профиле.

      [AC] wlan
      [AC-wlan-view] security-profile name wlan-net
      [AC-wlan-sec-prof-wlan-net] security wpa-wpa2 dot1x aes
      [AC-wlan-sec-prof-wlan-net] quit
      

      # Создайте профиль SSID wlan-net и установите имя SSID на wlan-net.

      [AC-wlan-view] ssid-profile name wlan-net
      [AC-wlan-ssid-prof-wlan-net] ssid wlan-net
      [AC-wlan-ssid-prof-wlan-net] quit
      

      # Создайте профиль VAP wlan-net, настройте режим прямой переадресации данных и сервисные VLAN и привяжите профиль безопасности, профиль аутентификации и профиль SSID к профилю VAP.

      [AC-wlan-view] vap-profile name wlan-net
      [AC-wlan-vap-prof-wlan-net] forward-mode direct-forward
      [AC-wlan-vap-prof-wlan-net] service-vlan vlan-id 101
      [AC-wlan-vap-prof-wlan-net] security-profile wlan-net
      [AC-wlan-vap-prof-wlan-net] authentication-profile wlan-net
      [AC-wlan-vap-prof-wlan-net] ssid-profile wlan-net
      [AC-wlan-vap-prof-wlan-net] quit
      

      # Привяжите профиль VAP wlan-net к группе AP и примените профиль к Radio 0 и Radio 1 точки доступа.

      [AC-wlan-view] ap-group name ap-group1
      [AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 0
      [AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 1
      [AC-wlan-ap-group-ap-group1] quit
      [AC-wlan-view] quit
      

  6. Настройте параметр авторизации ACL 3002 для пользователей, прошедших аутентификацию.

    [AC] acl 3002
    [AC-acl-adv-3002] rule 1 permit ip destination 10.23.105.1 0
    [AC-acl-adv-3002] rule 2 deny ip destination any
    [AC-acl-adv-3002] quit

  7. Настройте сервер Cisco ISE.
    1. # Войдите на сервер Cisco ISE.

      # Введите адрес доступа сервера Cisco ISE в поле адреса, которое находится в формате https://Cisco ISE IP. Cisco ISE IP - это IP-адрес сервера Cisco ISE.

      # На отображаемой странице введите имя пользователя и пароль для входа на сервер Cisco ISE.

    2. Создайте отдел и учетную запись.

      # Выберите Administration > Identity Management > Groups > User Identity Groups. На панели справа нажмите Add и создайте отдел под названием R&D. Затем нажмите Submit.



      # Выберите Administration > Identity Management > Identities > Users. На панели справа нажмите Add, чтобы создать учетную запись с именем пользователя huawei и паролем huawei123. Добавьте учетную запись в отдел R&D. Затем нажмите Submit.



    3. Добавьте AC так, чтобы Cisco ISE могла взаимодействовать с AC.

      # Выберите Administration > Network Resources > Network Device Profiles. На панели слева нажмите Add и создайте профиль устройства с именем Huawei. Затем нажмите Submit.



      # Выберите Administration > Network Resources > Network Devices. На панели справа нажмите Add. Установите имя устройства на AC6605, IP-адрес на 10.23.102.2/32, и общий ключ RADIUS на huawei@123. Затем нажмите Submit.



    4. Настройте протокол аутентификации.

      # Выберите Policy > Policy Elements > Results > Authentication > Allowed Protocols. Выберите Default Network Access и нажмите Edit.



      # Выберите Allow CHAP, Allow MS-CHAPv2, и Allow PEAP. Для других параметров используйте настройки по умолчанию. Нажмите Save.
      ПРИМЕЧАНИЕ:

      По умолчанию Cisco ISE отключает протокол аутентификации CHAP. Нужно выбрать протокол аутентификации CHAP на сервере, чтобы протокол CHAP мог использоваться для проведения теста test-aaa на AC.



    5. Настройте ACL и динамическую VLAN для авторизации.

      # Выберите Policy > Policy Elements > Results > Authorization > Authorization Profiles. На панели справа нажмите Add. Введите имя, установите атрибута доставки на Radius:Filter-ID, и введите номер ACL 3002.

      # Нажмите Submit, чтобы завершить настройку и вернуться на страницу Authorization Profiles.

      # На панели справа нажмите Add, введите имя и настройте следующие атрибуты доставки.
      • Radius:Tunnel-Type: VLAN
      • Radius:Tunnel-Medium-Type: 802
      • Radius:Tunnel-Private-Group-ID: 20


      # Нажмите Submit, чтобы завершить настройку.

    6. Добавьте правило авторизации.

      # Выберите Policy > Authorization. На панели справа нажмите треугольник рядом с Edit. Выберите Insert New Rule Above, чтобы добавить новое правило авторизации с именем ACL_VLAN. Установите авторизованную группу пользователей на R&D, выберите PermitAccess, ACL_3002 и VLAN_20 под Permissions.

      # Нажмите Done на правой стороны. Затем нажмите Save, чтобы завершить настройку правила авторизации.

  8. На AC проверьте, могут ли пользователи проходить аутентификацию RADIUS.

    [AC] test-aaa huawei huawei123 radius-template wlan-net
    Info: Account test succeed.
    

  9. Проверьте конфигурацию.

    • Сотрудник может получить доступ к сервисному серверу и лаборатории после прохождения аутентификации.
    • После успешной аутентификации запустите команду display access-user на AC. Вывод команды показывает онлайн-сотрудников.
      [AC] display access-user access-type dot1x 
      ------------------------------------------------------------------------------
      UserID Username                IP address       MAC            Status          
      ------------------------------------------------------------------------------
      460    huawei                  10.23.20.254     8000-6e74-e78a Success 
      ------------------------------------------------------------------------------
      Total: 1, printed: 1
      

Файлы конфигурации

  • Файл конфигурации SwitchA

    #
    sysname SwitchA
    #
    vlan batch 20 100 to 101
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk pvid vlan 100
     port trunk allow-pass vlan 20 100 to 101
     port-isolate enable group 1
    #
    interface GigabitEthernet0/0/2
     port link-type trunk
     port trunk allow-pass vlan 20
    #
    interface GigabitEthernet0/0/3
     port link-type trunk
     port trunk allow-pass vlan 20 100 to 101
    #
    return
  • Файл конфигурации SwitchB

    #
    sysname SwitchB
    #
    vlan batch 20 100 to 105
    #
    dhcp enable
    #
    interface Vlanif20
     ip address 10.23.20.1 255.255.255.0
     dhcp select interface
     dhcp server excluded-ip-address 10.23.20.2 10.23.20.100
    #
    interface Vlanif101
     ip address 10.23.101.1 255.255.255.0
     dhcp select interface
    #
    interface Vlanif102
     ip address 10.23.102.1 255.255.255.0
    #
    interface Vlanif103
     ip address 10.23.103.2 255.255.255.0
    #
    interface Vlanif104
     ip address 10.23.104.1 255.255.255.0
    #
    interface Vlanif105
     ip address 10.23.105.2 255.255.255.0
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk allow-pass vlan 20 100 to 101
    #
    interface GigabitEthernet0/0/2
     port link-type trunk
     port trunk allow-pass vlan 100 102
    #
    interface GigabitEthernet0/0/3
     port link-type trunk
     port trunk pvid vlan 103
     port trunk allow-pass vlan 103
    #
    interface GigabitEthernet0/0/4
     port link-type trunk
     port trunk pvid vlan 104
     port trunk allow-pass vlan 104
    #
    interface GigabitEthernet0/0/5
     port link-type trunk
     port trunk pvid vlan 105
     port trunk allow-pass vlan 105
    #
    ip route-static 0.0.0.0 0.0.0.0 10.23.104.2
    #
    return
  • Файл конфигурации маршрутизатора

    #
    sysname Router
    #
    interface GigabitEthernet0/0/1
     ip address 10.23.104.2 255.255.255.0
    #
    ip route-static 10.23.101.0 255.255.255.0 10.23.104.1
    #
    return
    
  • Файл конфигурации AC

    #
     sysname AC
    #
    vlan batch 20 100 102
    #
    authentication-profile name wlan-net
     dot1x-access-profile wlan-net
     authentication-scheme wlan-net
     radius-server wlan-net
    #
    dhcp enable
    #
    radius-server template wlan-net
     radius-server shared-key cipher %^%#r2}aCaYC_5+]c@/eolcB+CNMD=m\g2HmQ1/!crRU%^%#
     radius-server authentication 10.23.103.1 1812 weight 80
    #
    acl number 3002
     rule 1 permit ip destination 10.23.105.1 0 
     rule 2 deny ip
    #
    aaa
     authentication-scheme wlan-net
      authentication-mode radius
    #
    interface Vlanif100
     ip address 10.23.100.1 255.255.255.0
     dhcp select interface
    #
    interface Vlanif102
     ip address 10.23.102.2 255.255.255.0
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk allow-pass vlan 100 102
    #
    ip route-static 10.23.103.0 255.255.255.0 10.23.102.1
    #
    capwap source interface vlanif100
    #
    wlan
     security-profile name wlan-net
      security wpa-wpa2 dot1x aes
     ssid-profile name wlan-net
      ssid wlan-net
     vap-profile name wlan-net
      service-vlan vlan-id 101
      ssid-profile wlan-net
      security-profile wlan-net
      authentication-profile wlan-net
     regulatory-domain-profile name default
     ap-group name ap-group1
      radio 0
       vap-profile wlan-net wlan 1
      radio 1
       vap-profile wlan-net wlan 1
     ap-id 0 type-id 35 ap-mac 60de-4476-e360 ap-sn 210235554710CB000042
      ap-name area_1
      ap-group ap-group1
      radio 0
       channel 20mhz 6
       eirp 127
      radio 1
       channel 20mhz 149
       eirp 127
    #
    dot1x-access-profile name wlan-net
    #
    return
Загрузить
Updated: 2018-08-21

№ документа:EDOC1100029357

Просмотры:7646

Загрузки: 103

Average rating:
This Document Applies to these Products
Связанные документы
Related Version
Share
Назад Далее