Для выбранного языка не найдены ресурсы переадресации.

Этот веб-сайт использует cookie-файлы. Продолжая просмотр, вы соглашаетесь на их использование. Ознакомьтесь с нашей политикой соблюдения конфиденциальности.>

Типичные примеры настройки WLAN

Rate and give feedback :
Информация об этом переводе
Чтобы помочь вам лучше понять содержимое этого документа, компания Huawei перевела его на разные языки, используя машинный перевод, отредактированный людьми. Примечание: даже самые передовые программы машинного перевода не могут обеспечить качество на уровне перевода, выполненного профессиональным переводчиком. Компания Huawei не несет ответственность за точность перевода и рекомендует ознакомиться с документом на английском языке (по ссылке, которая была предоставлена ранее).
Пример настройки аутентификации MAC-адресов (CLI)

Пример настройки аутентификации MAC-адресов (CLI)

Введение в аутентификацию MAC-адресов

Аутентификация MAC-адреса - это метод, используемый для контроля доступа к сети (NAC). Он контролирует права доступа пользователей на основе портов доступа и MAC-адресов пользователей для защиты безопасности корпоративных сетей.

Аутентификация MAC-адреса не требует клиентского программного обеспечения, но MAC-адреса пользовательских терминалов должны быть зарегистрированы на сервере аутентификации. Конфигурация и управление сетью сложны. Для аутентификации 802.1x, наоборот, требуется клиентское программное обеспечение, что обеспечивает низкую гибкость в работе. Однако аутентификация 802.1x более безопасна. Аутентификация Portal также не требует клиентского программного обеспечения, что обеспечивает гибкое развертывание. Однако он не обеспечивает высокую безопасность.

Аутентификация MAC-адреса применима к немым терминалам, таким как принтеры и факс.

Подробнее о том, как настроить аутентификации MAC-адреса на AC, см. Настройку аутентификацию MAC-адресов на AC.

Подробнее о том, как настроить аутентификацию MAC-адреса на сервере Aruba ClearPass, см. Настройку Aruba ClearPass.

Применимые продукты и версии

Табл. 3-101 Применимые продукты и версии

Продукт

Версия

Huawei AC

V200R007C10 и более поздние версии

Aruba ClearPass Policy Manager

6.5.0.71095

Требования к службе

Аутентификация MAC-адресов используется для аутентификации немых терминалов, таких как принтеры беспроводной сети и беспроводные телефоны, которые не могут установить клиент аутентификации.

Требования к сети

  • Режим сети AC: Режим обхода уровня 2
  • Режим развертывания DHCP: AC функционирует как DHCP-сервер для назначения IP-адресов точкам доступа (AP), а SwitchB функционирует как DHCP-сервер для назначения IP-адресов STA.
  • Режим переадресации сервисных данных: прямая переадресация
  • Режим аутентификации: открытая системная аутентификация
Рис. 3-83 Сетевая диаграмма для настройки аутентификации MAC-адресов

План данных

Табл. 3-102 План данных по AC

Пункт конфигурации

Данные

Управляющая VLAN

VLAN 100

Сервисная VLAN

VLAN 101

Исходный интерфейс AC

VLANIF 100: 10.23.100.1/24

DHCP-сервер

AC функционирует как DHCP-сервер для назначения IP-адресов точкам доступа (AP), а SwitchB функционирует как DHCP-сервер для назначения IP-адресов STA.

Пул IP-адресов для AP

10.23.100.2-10.23.100.254/24

Пул IP-адресов для STA

10.23.101.2-10.23.101.254/24

Параметры аутентификации RADIUS

  • Имя шаблона сервера RADIUS: wlan-net
  • IP-адрес: 10.23.103.1
  • № порта аутентификации: 1812
  • Общий ключ: huawei@123
  • Схема аутентификации: wlan-net

Профиль доступа к MAC

Имя: wlan-net

Профиль Аутентификации

  • Имя: wlan-net
  • Привязанный профиль и схема аутентификации: Профиль доступа к MAC wlan-net, шаблон сервера RADIUS wlan-net и схема аутентификации wlan-net

Группа AP

  • Имя: ap-group1
  • Привязанный профиль: Профиль VAP wlan-net и профиль регулятивного домена default

Профиль регулятивного домена

  • Имя: default
  • Код страны: CN

Профиль SSID

  • Имя: wlan-net
  • Имя SSID: wlan-net

Профиль безопасности

  • Имя: wlan-net
  • Политика безопасности: открытая системная аутентификация

Профиль VAP

  • Имя: wlan-net
  • Режим переадресации: прямая переадресация
  • Сервисная VLAN: VLAN 101
  • Привязанные профили: Профиль SSID wlan-net, профиль безопасности wlan-net, и профиль аутентификации wlan-net
Табл. 3-103 План данных на Aruba ClearPass

Пункт конфигурации

Данные

Терминалы

MAC-адреса (используйте фактические MAC-адреса устройств)

Имя устройства

AC6605

IP-адрес устройства

10.23.102.2/32

Общий ключ RADIUS

huawei@123

Служба

  • Имя: Radius
  • Тип: Аутентификация MAC
  • Метод аутентификации: MAC AUTH
  • Источник аутентификации: [Endpoints Repository][Local SQL DB]

Схема настройки

  1. Настройте сетевое взаимодействие.
  2. Настройте AC и SwitchB для того, чтобы они соответственно назначили IP-адреса для AP и STA.
  3. Настройте AP для входа в сеть.
  4. Настройте аутентификацию MAC-адреса на AC.
  5. Настройте сервер Aruba ClearPass.

Замечания по конфигурации

  • Настройте изоляцию портов на интерфейсах устройства, напрямую подключенного к точкам доступа. Если изоляция порта не настроена и используется прямая переадресация, в VLAN может быть создано большое количество ненужных широковещательных пакетов, блокирующих сеть и ухудшающих работу пользователя.

  • AC и сервер должны иметь один и тот же общий ключ RADIUS.

Процедура

  1. Настройте сетевое взаимодействие.

    # Добавьте GE0/0/1 и GE0/0/2 на SwitchA (коммутатор доступа) к VLAN 100 и VLAN 101.
    <HUAWEI> system-view
    [HUAWEI] sysname SwitchA
    [SwitchA] vlan batch 100 101
    [SwitchA] interface gigabitethernet 0/0/1
    [SwitchA-GigabitEthernet0/0/1] port link-type trunk
    [SwitchA-GigabitEthernet0/0/1] port trunk pvid vlan 100
    [SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101
    [SwitchA-GigabitEthernet0/0/1] port-isolate enable
    [SwitchA-GigabitEthernet0/0/1] quit
    [SwitchA] interface gigabitethernet 0/0/2
    [SwitchA-GigabitEthernet0/0/2] port link-type trunk
    [SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 101
    [SwitchA-GigabitEthernet0/0/2] quit
    
    # Добавьте GE0/0/1 на SwitchB (коммутатор агрегации) к VLAN 100 и VLAN 101, GE0/0/2 к VLAN 100 и VLAN 102, GE0/0/3 к VLAN 103 и GE0/0/4 к VLAN104. Создайте VLANIF 102, VLANIF 103 и VLANIF 104 и настройте маршрут по умолчанию маршрутизатора со следующим переходом адреса.
    <HUAWEI> system-view
    [HUAWEI] sysname SwitchB
    [SwitchB] vlan batch 100 to 104
    [SwitchB] interface gigabitethernet 0/0/1
    [SwitchB-GigabitEthernet0/0/1] port link-type trunk
    [SwitchB-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101
    [SwitchB-GigabitEthernet0/0/1] quit
    [SwitchB] interface gigabitethernet 0/0/2
    [SwitchB-GigabitEthernet0/0/2] port link-type trunk
    [SwitchB-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 102
    [SwitchB-GigabitEthernet0/0/2] quit
    [SwitchB] interface gigabitethernet 0/0/3
    [SwitchB-GigabitEthernet0/0/3] port link-type trunk
    [SwitchB-GigabitEthernet0/0/3] port trunk pvid vlan 103
    [SwitchB-GigabitEthernet0/0/3] port trunk allow-pass vlan 103
    [SwitchB-GigabitEthernet0/0/3] quit
    [SwitchB] interface gigabitethernet 0/0/4
    [SwitchB-GigabitEthernet0/0/4] port link-type trunk
    [SwitchB-GigabitEthernet0/0/4] port trunk pvid vlan 104
    [SwitchB-GigabitEthernet0/0/4] port trunk allow-pass vlan 104
    [SwitchB-GigabitEthernet0/0/4] quit
    [SwitchB] interface vlanif 102
    [SwitchB-Vlanif102] ip address 10.23.102.1 24
    [SwitchB-Vlanif102] quit
    [SwitchB] interface vlanif 103
    [SwitchB-Vlanif103] ip address 10.23.103.2 24
    [SwitchB-Vlanif103] quit
    [SwitchB] interface vlanif 104
    [SwitchB-Vlanif104] ip address 10.23.104.1 24
    [SwitchB-Vlanif104] quit
    [SwitchB] ip route-static 0.0.0.0 0.0.0.0 10.23.104.2
    
    # Добавьте GE0/0/1 на AC к VLAN 100 и VLAN 102. Создайте VLANIF 102 и настройте статический маршрут на сервер RADIUS.
    <AC6605> system-view
    [AC6605] sysname AC
    [AC] vlan batch 100 101 102
    [AC] interface gigabitethernet 0/0/1
    [AC-GigabitEthernet0/0/1] port link-type trunk
    [AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 102
    [AC-GigabitEthernet0/0/1] quit
    [AC] interface vlanif 102
    [AC-Vlanif102] ip address 10.23.102.2 24
    [AC-Vlanif102] quit
    [AC] ip route-static 10.23.103.0 24 10.23.102.1
    
    # Настройте IP-адрес GE0/0/1 на маршрутизаторе и статический маршрут к сегменту сети для STA.
    <Huawei> system-view
    [Huawei] sysname Router
    [Router] interface gigabitethernet 0/0/1
    [Router-GigabitEthernet0/0/1] ip address 10.23.104.2 24
    [Router-GigabitEthernet0/0/1] quit
    [Router] ip route-static 10.23.101.0 24 10.23.104.1
    

  2. Настройте AC и SwitchB для работы в качестве DHCP-серверов, чтобы назначить IP-адресов соответственно для AP и STA.

    # На AC настройте VLANIF 100 для того, чтобы назначить IP-адреса для AP.
    [AC] dhcp enable
    [AC] interface vlanif 100
    [AC-Vlanif100] ip address 10.23.100.1 24
    [AC-Vlanif100] dhcp select interface
    [AC-Vlanif100] quit
    # На SwitchB настройте VLANIF 101 для назначения IP-адресов STA.
    ПРИМЕЧАНИЕ:
    Настройте DNS-сервер по мере необходимости. Общие методы заключаются в следующем:
    • В сценариях пула адресов интерфейса запустите команду dhcp server dns-list ip-address &<1-8> в виде интерфейса VLANIF.
    • В сценариях пула глобального адреса запустите команду dns-list ip-address &<1-8> в виде пула IP-адресов.
    [SwitchB] dhcp enable
    [SwitchB] interface vlanif 101
    [SwitchB-Vlanif101] ip address 10.23.101.1 24
    [SwitchB-Vlanif101] dhcp select interface
    [SwitchB-Vlanif101] quit

  3. Настройте AP для входа в сеть.

    # Создайте группу AP, к которой могут добавляться точки доступа с той же конфигурацией.

    [AC] wlan
    [AC-wlan-view] ap-group name ap-group1
    [AC-wlan-ap-group-ap-group1] quit
    

    # Создайте профиль регулятивного домена, настройте код страны AC в профиле и привяжите профиль к группе AP.

    [AC-wlan-view] regulatory-domain-profile name default
    [AC-wlan-regulate-domain-default] country-code cn
    [AC-wlan-regulate-domain-default] quit
    [AC-wlan-view] ap-group name ap-group1
    [AC-wlan-ap-group-ap-group1] regulatory-domain-profile default
    Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu
    e?[Y/N]:y 
    [AC-wlan-ap-group-ap-group1] quit
    [AC-wlan-view] quit
    

    # Настройте исходный интерфейс AC.

    [AC] capwap source interface vlanif 100
    
    # Импортируйте AP в автономном режиме на AC и добавьте AP в группу AP ap-group1. Настройте имена для AP на основе местоположений AP, чтобы узнать, где находятся AP. Например, если AP с MAC-адресом 60de-4476-e360 развернута в зоне 1, назовите AP area_1.
    ПРИМЕЧАНИЕ:

    Режим аутентификации AP по умолчанию - это аутентификация MAC-адреса. Если настройки по умолчанию сохранены, не нужно запускать команду ap auth-mode mac-auth.

    В этом примере используется AP5030DN и имеет два Radio: Radio 0 и Radio 1. Radio 0 и Radio 1 работают соответственно на диапазонах 2.4 ГГц и 5 ГГц.

    [AC] wlan
    [AC-wlan-view] ap auth-mode mac-auth
    [AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360
    [AC-wlan-ap-0] ap-name area_1
    [AC-wlan-ap-0] ap-group ap-group1
    Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configuration
    s of the radio, Whether to continue? [Y/N]:y 
    [AC-wlan-ap-0] quit
    

    # После включения AP запустите команду display ap all, чтобы проверить состояние AP. Если поле State отображается nor, AP вошла в сеть.

    [AC-wlan-view] display ap all
    Total AP information:
    nor  : normal          [1]
    --------------------------------------------------------------------------------
    ID   MAC            Name   Group     IP            Type            State STA Uptime
    --------------------------------------------------------------------------------
    0    60de-4476-e360 area_1 ap-group1 10.23.100.254 AP5030DN        nor   0   10S
    --------------------------------------------------------------------------------
    Total: 1
    

  4. Настройте канал и мощность AP.
  5. Настройте аутентификацию MAC-адреса на AC.
    1. Настройте параметры аутентификации RADIUS.

      # Создайте шаблон сервера RADIUS.

      [AC-wlan-view] quit
      [AC] radius-server template wlan-net
      [AC-radius-wlan-net] radius-server authentication 10.23.103.1 1812
      [AC-radius-wlan-net] radius-server shared-key cipher huawei@123
      [AC-radius-wlan-net] radius-attribute set Service-Type 10 auth-type mac
      [AC-radius-wlan-net] quit
      

      # Создайте схему аутентификации RADIUS.

      [AC] aaa
      [AC-aaa] authentication-scheme wlan-net
      [AC-aaa-authen-wlan-net] authentication-mode radius
      [AC-aaa-authen-wlan-net] quit
      [AC-aaa] quit
      

    2. Настройте профиль доступа к MAC.

      ПРИМЕЧАНИЕ:
      В профиле доступа MAC, MAC-адрес без дефиса (-) используется как имя пользователя и пароль для аутентификации MAC-адреса.

      # Создайте профиль доступа к MAC wlan-net.

      [AC] mac-access-profile name wlan-net
      [AC-mac-access-profile-wlan-net] quit
      

    3. Создайте профиль аутентификации wlan-net и привяжите его к профилю доступа MAC, схеме аутентификации и шаблону сервера RADIUS.

      [AC] authentication-profile name wlan-net
      [AC-authentication-profile-wlan-net] mac-access-profile wlan-net
      [AC-authentication-profile-wlan-net] authentication-scheme wlan-net
      [AC-authentication-profile-wlan-net] radius-server wlan-net
      [AC-authentication-profile-wlan-net] quit

    4. Настройте параметры службы WLAN.

      # Создайте профиль безопасности wlan-net и установите политику безопасности в профиле. По умолчанию политикой безопасности является открытая системная аутентификация.

      [AC] wlan
      [AC-wlan-view] security-profile name wlan-net
      [AC-wlan-sec-prof-wlan-net] quit
      

      # Создайте профиль SSID wlan-net и установите имя SSID на wlan-net.

      [AC-wlan-view] ssid-profile name wlan-net
      [AC-wlan-ssid-prof-wlan-net] ssid wlan-net
      Warning: This action may cause service interruption. Continue?[Y/N]y
      [AC-wlan-ssid-prof-wlan-net] quit
      

      # Создайте профиль VAP wlan-net, настройте режим прямой переадресации данных и сервисные VLAN и привяжите профиль безопасности, профиль аутентификации и профиль SSID к профилю VAP.

      [AC-wlan-view] vap-profile name wlan-net
      [AC-wlan-vap-prof-wlan-net] forward-mode direct-forward
      [AC-wlan-vap-prof-wlan-net] service-vlan vlan-id 101
      [AC-wlan-vap-prof-wlan-net] security-profile wlan-net
      [AC-wlan-vap-prof-wlan-net] authentication-profile wlan-net
      [AC-wlan-vap-prof-wlan-net] ssid-profile wlan-net
      [AC-wlan-vap-prof-wlan-net] quit
      

      # Привяжите профиль VAP wlan-net к группе AP и примените профиль к Radio 0 и Radio 1 AP.

      [AC-wlan-view] ap-group name ap-group1
      [AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 0
      [AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 1
      [AC-wlan-ap-group-ap-group1] quit
      [AC-wlan-view] quit
      

  6. Настройте Aruba ClearPass.
    1. Войдите в систему на сервере Aruba ClearPass.

      # Введите адрес доступа сервера Aruba ClearPass в адресном поле, которое находится в формате https://Aruba ClearPass IP. Aruba ClearPass IP - это IP-адрес сервера Aruba ClearPass.

      # Выберите ClearPass Policy Manager.

      # На отображаемой странице введите имя пользователя и пароль для входа на сервер Aruba ClearPass.

    2. Добавьте STA.

      # Выберите Configuration > Identity > Endpoints. На панели справа нажмите Add. В диалоговом окне Add Endpoint установите MAC Address и нажмите Add.



    3. Добавьте AC так, чтобы Aruba ClearPass мог взаимодействовать с AC.

      # Выберите Configuration > Network > Devices. На панели справа нажмите Add. Настройте Name, IP or Subnet Address, RADIUS Shared Secret и Vendor Name. Затем нажмите Add.



    4. Настройте службы Radius.

      # Выберите Configuration > Services. На панели справа нажмите Add.

      # На вкладке Service установите Type на MAC Authentication и Name на Radius.



      # На вкладке Authentication добавьте [MAC AUTH] в Authentication Methods и [Endpoints Repository][Local SQL DB] в Authentication Sources. Затем нажмите Save.



      # На других вкладках используйте настройки по умолчанию.

  7. На AC проверьте, могут ли пользователи проходить аутентификацию RADIUS.

    [AC] test-aaa huawei huawei123 radius-template wlan-net
    Info: Account test succeed.
    

  8. Проверьте конфигурацию.

    • После подключения немых терминалов к WLAN аутентификация выполняется автоматически. После того, как терминалы пройдут аутентификацию, они смогут получить доступ к сети.

    • После того, как немые терминалы свяжутся с WLAN, запустите команду display access-user access-type mac-authen на AC. Вывод команды показывает, что пользователь huawei, использующий режим аутентификации mac-authen, успешно вошел в сеть.

      [AC] display access-user access-type mac-authen
      ------------------------------------------------------------------------------
      UserID Username                IP address       MAC            Status          
      ------------------------------------------------------------------------------
      460    huawei                  10.23.101.254    8000-6e74-e78a Success 
      ------------------------------------------------------------------------------
      Total: 1, printed: 1
      

Файлы конфигурации

  • Файл конфигурации SwitchA

    #
    sysname SwitchA
    #
    vlan batch 100 to 101
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk pvid vlan 100
     port trunk allow-pass vlan 100 to 101
     port-isolate enable group 1
    #
    interface GigabitEthernet0/0/2
     port link-type trunk
     port trunk allow-pass vlan 100 to 101
    #
    return
  • Файл конфигурации SwitchB

    #
    sysname SwitchB
    #
    vlan batch 100 to 104
    #
    dhcp enable
    #
    interface Vlanif101
     ip address 10.23.101.1 255.255.255.0
     dhcp select interface
    #
    interface Vlanif102
     ip address 10.23.102.1 255.255.255.0
    #
    interface Vlanif103
     ip address 10.23.103.2 255.255.255.0
    #
    interface Vlanif104
     ip address 10.23.104.1 255.255.255.0
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk allow-pass vlan 100 to 101
    #
    interface GigabitEthernet0/0/2
     port link-type trunk
     port trunk allow-pass vlan 100 102
    #
    interface GigabitEthernet0/0/3
     port link-type trunk
     port trunk pvid vlan 103
     port trunk allow-pass vlan 103
    #
    interface GigabitEthernet0/0/4
     port link-type trunk
     port trunk pvid vlan 104
     port trunk allow-pass vlan 104
    #
    ip route-static 0.0.0.0 0.0.0.0 10.23.104.2
    #
    return
  • Файл конфигурации маршрутизатора

    #
    sysname Router
    #
    interface GigabitEthernet0/0/1
     ip address 10.23.104.2 255.255.255.0
    #
    ip route-static 10.23.101.0 255.255.255.0 10.23.104.1
    #
    return
    
  • Файл конфигурации AC

    #
     sysname AC
    #
    vlan batch 100 to 102
    #
    authentication-profile name wlan-net
     mac-access-profile wlan-net
     authentication-scheme wlan-net
     radius-server wlan-net
    #
    dhcp enable
    #
    radius-server template wlan-net
     radius-server shared-key cipher %^%#*7d1;XNof/|Q0:DsP!,W51DIYPx}`AARBdJ'0B^$%^%#
     radius-server authentication 10.23.103.1 1812 weight 80
     radius-attribute set Service-Type 10 auth-type mac
    #
    aaa
     authentication-scheme wlan-net
      authentication-mode radius
    #
    interface Vlanif100
     ip address 10.23.100.1 255.255.255.0
     dhcp select interface
    #
    interface Vlanif102
     ip address 10.23.102.2 255.255.255.0
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk allow-pass vlan 100 102
    #
    ip route-static 10.23.103.0 255.255.255.0 10.23.102.1
    #
    capwap source interface vlanif100
    #
    wlan
     security-profile name wlan-net
     ssid-profile name wlan-net
      ssid wlan-net
     vap-profile name wlan-net
      service-vlan vlan-id 101
      ssid-profile wlan-net
      security-profile wlan-net
      authentication-profile wlan-net
     regulatory-domain-profile name default
     ap-group name ap-group1
      radio 0
       vap-profile wlan-net wlan 1
      radio 1
       vap-profile wlan-net wlan 1
     ap-id 0 type-id 35 ap-mac 60de-4476-e360 ap-sn 210235554710CB000042
      ap-name area_1
      ap-group ap-group1
      radio 0
       channel 20mhz 6
       eirp 127
      radio 1
       channel 20mhz 149
       eirp 127
    #
    mac-access-profile name wlan-net
    #
    return
Загрузить
Updated: 2018-08-21

№ документа:EDOC1100029357

Просмотры:7756

Загрузки: 106

Average rating:
This Document Applies to these Products
Связанные документы
Related Version
Share
Назад Далее