Для выбранного языка не найдены ресурсы переадресации.

Этот веб-сайт использует cookie-файлы. Продолжая просмотр, вы соглашаетесь на их использование. Ознакомьтесь с нашей политикой соблюдения конфиденциальности.>

Типичные примеры настройки WLAN

Rate and give feedback :
Информация об этом переводе
Чтобы помочь вам лучше понять содержимое этого документа, компания Huawei перевела его на разные языки, используя машинный перевод, отредактированный людьми. Примечание: даже самые передовые программы машинного перевода не могут обеспечить качество на уровне перевода, выполненного профессиональным переводчиком. Компания Huawei не несет ответственность за точность перевода и рекомендует ознакомиться с документом на английском языке (по ссылке, которая была предоставлена ранее).
Пример настройки беспроводной аутентификации 802.1X

Пример настройки беспроводной аутентификации 802.1X

В этом разделе описывается, как настроить беспроводную аутентификацию 802.1X для мобильных терминалов для доступа к сетям.

Связанные продукты и версии

Тип продукта

Наименование продукта

Версия

Гибкий контроллер-кампус Agile Controller-Campus V100R002C10
WLAN AC AC6605 V200R006C20
Коммутатор доступа S2750EI V200R008C00
Коммутатор агрегации S5720HI V200R008C00

Требования к сети

Компания поддерживает учетные записи пользователей и организации на сервере AD и хочет предоставить беспроводной доступ для мобильного офиса в своем кампусе. Беспроводная аутентификация 802.1X может использоваться для обеспечения безопасности.

Пользователи, прошедшие аутентификацию, могут получить доступ к Internet-ресурсам.

Рис. 3-88 Сетевая диаграмма

План данных

Табл. 3-116 План беспроводной VLAN

VLAN ID

Функция

10

mVLAN для беспроводного доступа

100

Сервисная VLAN для беспроводного доступа

Табл. 3-117 План данных беспроводной сети

Пункт

Данные

Описание

Коммутатор доступа S2750EI

GE 0/0/2

VLAN 10

Интерфейсы восходящей и нисходящей связи позволяют пакетам только от mVLAN проходить. Сервисная VLAN инкапсулирована в пакетах, помеченные идентификатором mVLAN.

GE 0/0/3

VLAN 10

Коммутатор агрегации S5720HI

GE 0/0/1

VLAN 10

Этот интерфейс нисходящей связи позволяет передавать пакеты только от mVLAN. Сервисная VLAN инкапсулирована в пакетах, помеченные идентификатором mVLAN.

GE 0/0/2

VLAN 100

Этот интерфейс восходящей связи позволяет передавать пакеты только от сервисной VLAN.

GE 0/0/3

VLAN 10 и VLAN 100

AC связывается с устройством восходящей связи через сервисную VLAN и с устройством нисходящей связи через mVLAN.

AC6605

GE 0/0/1

VLAN 10 и VLAN 100

VLANIF 10: 10.10.10.254/24

AC связывается с устройством восходящей связи через сервисную VLAN и с устройством нисходящей связи через mVLAN.

Шлюз для AP.

Базовый маршрутизатор

GE 1/0/1

172.16.21.254/24

Шлюз для конечных пользователей.

Сервер
  • Agile Controller-Campus: 192.168.11.10
  • AD-сервер: 192.168.11.100
-
Табл. 3-118 План сервисных данных 802.1X

Пункт

Данные

Описание

RADIUS

  • Сервер RADIUS: Сервер Agile Controller-Campus
  • Ключ аутентификации: Admin@123
  • Ключ учета: Admin@123
  • Интервал учета в режиме реального времени: 15 минут
  • Порт аутентификации: 1812
  • Порт учета: 1813

Устройство контроля доступа и Agile Controller-Campus соответственно функционируют как клиент и сервер RADIUS. Ключи аутентификации, авторизации и учета и интервал учета на устройстве контроля доступа и Agile Controller-Campus должны быть одинаковыми.

Agile Controller-Campus, функционирующий как сервер RADIUS, соответственно использует порты 1812 и 1813 для аутентификации и учета.

Домен предварительной аутентификации

Сервер Agile Controller-Campus

-

Домен после аутентификации

Internet

-

Схема настройки

Чтобы обеспечить единое управление пользовательским трафиком на AC, рекомендуется переадресация туннеля для пересылки пакетов между AC и AP.

  1. Настройте VLAN, IP-адреса и маршруты на коммутаторе доступа, коммутаторе агрегации и AC, чтобы обеспечить сетевое подключение.
  2. Установите параметры соединения RADIUS и параметры сервиса беспроводного доступа на AC для реализации беспроводной аутентификации 802.1X.
  3. Добавьте AC на Agile Controller-Campus и настройте аутентификацию и авторизацию.
ПРИМЕЧАНИЕ:

В этом примере учетные записи AD были синхронизированы с базовой конфигурацией на Agile Controller-Campus.

В этом примере шлюз для конечных пользователей развернут на базовом маршрутизаторе. Если шлюз для конечных пользователей развернут на AC, вам нужно только настроить dhcp select interface в сервисной VLAN на AC.

В этом примере приведены только конфигурации AC, коммутатора агрегации и коммутатора доступа.

Процедура

  1. [Устройство] Настройте IP-адресы, VLAN и маршруты для реализации сетевого подключения.
    1. Настройте коммутатор доступа.

      <HUAWEI> system-view
      [HUAWEI] sysname S2700
      [S2700] vlan 10   
      [S2700-vlan10] quit   
      [S2700] interface gigabitethernet 0/0/3  
      [S2700-GigabitEthernet0/0/3] port link-type trunk
      [S2700-GigabitEthernet0/0/3] port trunk pvid vlan 10
      [S2700-GigabitEthernet0/0/3] port trunk allow-pass vlan 10
      [S2700-GigabitEthernet0/0/3] quit
      [S2700] interface gigabitethernet 0/0/2  
      [S2700-GigabitEthernet0/0/2] port link-type trunk
      [S2700-GigabitEthernet0/0/2] port trunk allow-pass vlan 10
      [S2700-GigabitEthernet0/0/2] quit

    2. Настройте коммутатор агрегации.

      <HUAWEI> system-view
      [HUAWEI] sysname S5700
      [S5700] vlan batch 10 100   
      [S5700] interface gigabitethernet 0/0/1  
      [S5700-GigabitEthernet0/0/1] port link-type trunk  
      [S5700-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 
      [S5700-GigabitEthernet0/0/1] quit
      [S5700] interface gigabitethernet 0/0/2  
      [S5700-GigabitEthernet0/0/2] port link-type trunk
      [S5700-GigabitEthernet0/0/2] port trunk allow-pass vlan 100
      [S5700-GigabitEthernet0/0/2] quit
      [S5700] interface gigabitethernet 0/0/3  
      [S5700-GigabitEthernet0/0/3] port link-type trunk
      [S5700-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 100  
      [S5700-GigabitEthernet0/0/3] quit

    3. Настройте AC.

      # Настройте интерфейс AC, чтобы разрешить передачу пакетов от сервисной VLAN и mVLAN.

      <HUAWEI> system-view
      [HUAWEI] sysname AC
      [AC] vlan batch 10 100
      [AC] interface gigabitethernet 0/0/1  
      [AC-GigabitEthernet0/0/1] port link-type trunk
      [AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 100
      [AC-GigabitEthernet0/0/1] quit

      # Настройте VLANIF 10 в качестве шлюза AP для динамического назначения IP-адресов к AP. Если AC используется в качестве шлюза конечных пользователей, настройте IP-адрес шлюза и включите DHCP на интерфейсе AC в сервисной VLAN.

      [AC] dhcp enable   
      [AC] interface vlanif 10
      [AC-Vlanif10] ip address 10.10.10.254 24
      [AC-Vlanif10] dhcp select interface
      [AC-Vlanif10] quit

      # Настройте маршрут по умолчанию с базовым маршрутизатором в качестве следующего перехода.

      [AC] ip route-static 0.0.0.0 0 172.16.21.254

  2. [Устройство] Настройте параметры онлайн-AP, чтобы включить автоматическое подключение AP после подключения к сети.

    ПРИМЕЧАНИЕ:

    Если между AP и AC развернута сеть уровня 3, необходимо настроить поле Option 43 на сервере DHCP для переноса IP-адреса AC в объявленных пакетах, позволяя AP обнаружить AC.

    1. Запустите команду ip pool ip-pool-name в системном представлении, чтобы войти в представление IP-адреса.
    2. Запустите команду option 43 sub-option 2 ip-address AC-ip-address &<1-8>, чтобы указать IP-адрес для AC.

    # Создайте группу AP, к которой могут добавляться AP с одинаковой конфигурацией.

    [AC] wlan
    [AC-wlan-view] ap-group name ap-group1
    [AC-wlan-ap-group-ap-group1] quit
    

    # Создайте профиль регулятивного домена, настройте код страны AC в профиле и примените профиль к группе AP.

    [AC-wlan-view] regulatory-domain-profile name domain1
    [AC-wlan-regulatory-domain-prof-domain1] country-code cn
    [AC-wlan-regulatory-domain-prof-domain1] quit
    [AC-wlan-view] ap-group name ap-group1
    [AC-wlan-ap-group-ap-group1] regulatory-domain-profile domain1
    Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu
    e?[Y/N]:y 
    [AC-wlan-ap-group-ap-group1] quit
    [AC-wlan-view] quit
    

    # Настройте исходный интерфейс АС.

    [AC] capwap source interface vlanif 10  //Настройте интерфейс mVLAN.
    

    # Введите AP в автономном режиме на AC и добавьте AP к группе AP ap-group1. В этом примере предполагается, что MAC-адрес AP равен 60de-4476-e360. Настройте имя для AP на основе местоположения развертывания AP, чтобы узнать, где находится AP. Например, если AP с MAC-адресом 60de-4476-e360 развернута в зоне 1, назовите AP area_1.

    [AC] wlan
    [AC-wlan-view] ap auth-mode mac-auth
    [AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360
    [AC-wlan-ap-0] ap-name area_1
    [AC-wlan-ap-0] ap-group ap-group1
    Warning: This operation may cause AP reset. If the country code changes, it will, clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y
    [AC-wlan-ap-0] quit
    [AC-wlan-view] quit

    # После включения AP запустите команду display ap all, чтобы проверить состояние AP. Если поле State отображается так же, как nor, то AP пошел онлайн правильно.

    [AC] display ap all
    Total AP information:
    nor  : normal          [1]
    -------------------------------------------------------------------------------------
    ID   MAC            Name   Group     IP            Type            State STA Uptime
    -------------------------------------------------------------------------------------
    0    60de-4476-e360 area_1 ap-group1 10.10.10.122 AP6010DN-AGN    nor   0   10S
    -------------------------------------------------------------------------------------
    Total: 1

  3. [Устройство] Настройте параметры аутентификации 802.1X, чтобы включить аутентификацию 802.1X.

    На следующем рисунке показан процесс настройки беспроводной аутентификации 802.1X.

    1. Настройте шаблон сервера RADIUS, схему аутентификации и схему учета.

      [AC] radius-server template radius_huawei  
      [AC-radius-radius_template] radius-server authentication 192.168.11.10 1812 source ip-address 10.10.10.254  
      [AC-radius-radius_template] radius-server accounting 192.168.11.10 1813 source ip-address 10.10.10.254
      [AC-radius-radius_template] radius-server shared-key cipher Admin@123
      [AC-radius-radius_template] radius-server user-name original  //Настройте AC для отправки имен пользователей, введенных пользователями на сервер RADIUS.  
      [AC-radius-radius_template] quit
      [AC] radius-server authorization 192.168.11.10 shared-key cipher Admin@123  
      [AC] aaa  
      [AC-aaa] authentication-scheme auth_scheme  //Схема аутентификации
      [AC-aaa-authen-auth_scheme] authentication-mode radius  //Установите схему аутентификации на RADIUS.
      [AC-aaa-authen-auth_scheme] quit
      [AC-aaa] accounting-scheme acco_scheme  //Схема учета
      [AC-aaa-accounting-acco_scheme] accounting-mode radius  //Установите схему учета на RADIUS.
      [AC-aaa-accounting-acco_scheme] accounting realtime 15  
      [AC-aaa-accounting-acco_scheme] quit
      [AC-aaa] quit
      
      ПРИМЕЧАНИЕ:

      Команда accounting realtime устанавливает интервал учета в режиме реального времени. Короткий учетный интервал в режиме реального времени требует высокой производительности устройства и сервера RADIUS. Установите интервал учета в режиме реального времени на основе количества пользователей.

      Табл. 3-119 Интервал учета

      Количество пользователей

      Интервал учета в режиме реального времени

      От 1 до 99

      3 минуты

      От 100 до 499

      6 минут

      От 500 до 999

      12 минут

      ≥ 1000

      ≥ 15 минут

    2. Настройте профиль доступа.

      ПРИМЕЧАНИЕ:

      Профиль доступа определяет протокол аутентификации 802.1X и параметры обработки пакета. По умолчанию используется аутентификация EAP.

      [AC] dot1x-access-profile name acc_dot1x
      [AC-dot1x-access-profile-acc_dot1x] quit

    3. Настройте профиль аутентификации.

      Укажите режим доступа пользователя в профиле аутентификации через профиль доступа. Привяжите схему аутентификации RADIUS, схему учета и шаблон сервера к профилю аутентификации, чтобы использовать аутентификацию RADIUS.

      [AC] authentication-profile name auth_dot1x
      [AC-authentication-profile-auth_dot1x] dot1x-access-profile acc_dot1x
      [AC-authentication-profile-auth_dot1x] authentication-scheme auth_scheme
      [AC-authentication-profile-auth_dot1x] accounting-scheme acco_scheme
      [AC-authentication-profile-auth_dot1x] radius-server radius_template
      [AC-authentication-profile-auth_dot1x] quit

    4. Установите параметры беспроводной аутентификации 802.1X.

      # Создайте безопасный профиль security_dot1x и установите политику безопасности в профиле.

      [AC] wlan
      [AC-wlan-view] security-profile name security_dot1x
      [AC-wlan-sec-prof-security_dot1x] security wpa2 dot1x aes
      [AC-wlan-sec-prof-security_dot1x] quit

      # Создайте профиль SSID wlan-ssid и установите имя SSID на dot1x_access.

      [AC-wlan-view] ssid-profile name wlan-ssid
      [AC-wlan-ssid-prof-wlan-ssid] ssid dot1x_access
      Warning: This action may cause service interruption. Continue?[Y/N]y
      [AC-wlan-ssid-prof-wlan-ssid] quit

      # Создайте профиль VAP wlan-vap, настройте режим пересылки сервисных данных и сервисную VLAN и примените профили безопасности, SSID и аутентификации в профиле VAP.

      [AC-wlan-view] vap-profile name wlan-vap
      [AC-wlan-vap-prof-wlan-vap] forward-mode tunnel
      Warning: This action may cause service interruption. Continue?[Y/N]y
      [AC-wlan-vap-prof-wlan-vap] service-vlan vlan-id 100
      [AC-wlan-vap-prof-wlan-vap] security-profile security_dot1x
      [AC-wlan-vap-prof-wlan-vap] ssid-profile wlan-ssid
      [AC-wlan-vap-prof-wlan-vap] authentication-profile auth_dot1x
      [AC-wlan-vap-prof-wlan-vap] quit

      # Привяжите профиль VAP wlan-vap к группе AP ap-group ap-group1, и примените профиль VAP к radio 0 и radio 1 AP.

      [AC-wlan-view] ap-group name ap-group1
      [AC-wlan-ap-group-ap-group1] vap-profile wlan-vap wlan 1 radio all
      [AC-wlan-ap-group-ap-group1] quit
      [AC-wlan-view] quit
      

  4. [Устройство] Настройте ресурсы, к которым могут обращаться пользователи, прошедшие аутентификацию

    Agile Controller-Campus может авторизовать пользователей, прошедших аутентификацию, с использованием статического ACL, динамического ACL или VLAN. В этом примере используется статический ACL.

    [AC] acl 3001  
    [AC-acl-adv-3001] rule 1 permit ip  
    [AC-acl-adv-3001] quit

  5. [Agile Controller-Campus] Добавьте сервер SC к домену AD. (Учетные записи домена AD используются для аутентификации.)

    Если для учетных записей домена AD выполняется аутентификация 802.1X с использованием протокола MSCHAPv2, добавьте сервер SC к домену AD.

    По умолчанию AnyOffice и встроенный клиент 802.1X операционной системы используют протокол MSCHAPv2.

  6. [Agile Controller-Campus] Добавьте устройство контроля доступа и подключите его к Agile Controller-Campus через RADIUS.

    Выберите Resource > Device > Device Management, и добавьте AC.

    Параметры Agile Controller-Campus

    Команда

    Ключ аутентификации/учета

    radius-server shared-key cipher Admin@123

    Ключ авторизации

    radius-server authorization 192.168.11.10 shared-key cipher Admin@123

    Интервал учета в режиме реального времени (минута)

    accounting realtime 15

  7. [Agile Controller-Campus] Настройте правила авторизации и аутентификации. Конечные пользователи соответствуют правилам, основанным на определенных условиях.
    1. Выберите Policy > Permission Control > Authentication & Authorization > Authentication Rule, и измените правило аутентификации по умолчанию или создайте правило аутентификации.

      Добавьте сервер AD к Data Source. По умолчанию правило аутентификации действует только для локального источника данных. Если сервер AD добавлен в качестве источника данных, учетные записи AD не будут аутентифицированы.

    2. Выберите Policy > Permission Control > Authentication and Authorization > Authorization Result, и добавьте ACL авторизации.

      Номер ACL должен быть таким же, как и на устройстве контроля аутентификации.

    3. Выберите Policy > Permission Control > Authentication and Authorization > Authorization Rule, и привяжите результат авторизации, чтобы указать ресурсы, доступные для пользователей после успешной аутентификации.

Верификация

  1. Используйте мобильный телефон для связи с SSID dot1x_access, и введите имя пользователя и пароль домена AD.
  2. Получите IP-адрес в сегменте сети 172.16.21.0/24 после успешной аутентификации и получите доступ к Internet-ресурсам, используя этот IP-адрес.
  3. Запустите команды display access-user и display access-user user-id user-id на AC, чтобы просмотреть подробную информацию пользователя в сети.
  4. Выберите Resource > User > RADIUS Log на Agile Controller-Campus для просмотра журналов RADIUS.
Загрузить
Updated: 2018-08-21

№ документа:EDOC1100029357

Просмотры:6714

Загрузки: 86

Average rating:
This Document Applies to these Products
Связанные документы
Related Version
Share
Назад Далее