Для выбранного языка не найдены ресурсы переадресации.

Этот веб-сайт использует cookie-файлы. Продолжая просмотр, вы соглашаетесь на их использование. Ознакомьтесь с нашей политикой соблюдения конфиденциальности.>

Типичные примеры настройки WLAN

Rate and give feedback :
Информация об этом переводе
Чтобы помочь вам лучше понять содержимое этого документа, компания Huawei перевела его на разные языки, используя машинный перевод, отредактированный людьми. Примечание: даже самые передовые программы машинного перевода не могут обеспечить качество на уровне перевода, выполненного профессиональным переводчиком. Компания Huawei не несет ответственность за точность перевода и рекомендует ознакомиться с документом на английском языке (по ссылке, которая была предоставлена ранее).
Пример настройки аутентификации Portal (включая аутентификацию Portal с приоритетом MAC-адреса) для пользователей беспроводной сети

Пример настройки аутентификации Portal (включая аутентификацию Portal с приоритетом MAC-адреса) для пользователей беспроводной сети

В этом примере показано, как настроить аутентификацию Portal в беспроводной сети, чтобы гарантировать, что только аутентифицированные беспроводные терминалы могут подключаться к сети.

Связанные продукты и версии

Тип продукта

Наименование продукта

Версия

Гибкий контроллер-кампус

Agile Controller-Campus

V100R003C00

WLAN AC

AC6605

V200R006C20

Коммутатор доступа

S2750EI

V200R008C00

Коммутатор агрегации

S5720HI

V200R008C00

Требования к сети

Компания имеет около 1000 сотрудников и нуждается в развертывании системы аутентификации для реализации контроля доступа для всех пользователей беспроводной сети, которые пытаются подключиться к корпоративной сети. Только аутентифицированные пользователи могут подключаться к корпоративной сети.

Компания имеет следующие требования:
  • Операции аутентификации должны быть простыми. Система аутентификации выполняет авторизацию доступа и не требует никакого клиентского программного обеспечения на пользовательских терминалах.
  • Единый механизм аутентификации подлинности используется для аутентификации всех терминалов, пытающихся подключиться к сети кампуса, и отказывать в доступе от несанкционированных терминалов.
  • Сотрудники могут подключаться только к общедоступным серверам (например, DHCP и DNS-серверам) компании до аутентификации, и могут подключаться как к интрасети, так и к Internet (интернет) после аутентификации.
  • Если сотрудники, прошедшие проверку подлинности, выходят из зоны покрытия беспроводной сети и снова входят в течение определенного периода времени (например, 60 минут), они могут прямо подключиться к беспроводной сети, не вводя их имена пользователей и пароли. Это обеспечивает хороший доступ к сети для сотрудников.
  • Перед аутентификацией гости могут подключаться только к общедоступным серверам (например, DHCP и DNS-серверам) компании, и могут подключаться только к Internet (интернет) после аутентификации.
  • Различные страницы аутентификации передаются сотрудникам и гостям.
Рис. 3-89 Сетевая аутентификация Portal для пользователей беспроводной сети

Анализ требований

  • Компания не имеет особых требований к проверке безопасности терминала и требует простых операций без необходимости установки клиентов аутентификации на беспроводных терминалах. Учитывая сетевое взаимодействие и требования компании, аутентификацию Portal можно использовать в сети кампуса.
  • Переадресация туннеля рекомендуется для пакетов, обмениваемых между AC и точками доступа (AP), поскольку этот режим может гарантировать, что весь трафик пользователей беспроводной сети будет проходить через AC для унифицированного управления.
  • Чтобы реализовать межсетевое взаимодействие в сети, настройте VLAN в соответствии со следующим планом:
    • Добавьте сотрудников к VLAN 100 и гостей к VLAN 101, чтобы изолировать сотрудников от гостей.
    • Используйте VLAN 10 в качестве mVLAN для AP.
    • Добавьте GE0/0/1, GE0/0/2 и GE0/0/3 коммутатора доступа S2750EI к VLAN 10, чтобы эти интерфейсы могли прозрачно передавать пакеты из mVLAN AP.
    • На коммутаторе агрегации S5700HI добавьте GE0/0/1 к mVLAN 10, GE0/0/3 к mVLAN 10 и сервисные VLAN 100 и 101, GE0/0/2 в сервисные VLAN 100 и 101. Таким образом, эти интерфейсы могут прозрачно передавать пакеты соответствующих VLAN по мере необходимости.
    • Добавьте GE0/0/1 AC к mVLAN 10 и сервисные VLAN 100 и 101, чтобы AC мог прозрачно передавать пакеты этих VLAN.
  • Сотрудники и гости проходят аутентификацию на веб-страницах переотправления сервером Portal. Вам необходимо настроить различные правила ACL для управления прав доступа сотрудников и гостей.
  • Различные SSID необходимо настроить для сотрудников и гостей, чтобы различные страницы аутентификации могли быть переотправлены к ним на основе их SSID.
  • Включите аутентификацию Portal с приоритетом MAC-адреса, чтобы позволить сотрудникам подключаться к беспроводной сети без ввода имен пользователей и паролей при многократном перемещении их в зону обслуживания и за ее пределами (например, 60 минут).

    Аутентификация Portal с приоритетом, привязанным к MAC-адресу - это функция, предоставляемая AC. Когда серверу Portal необходимо аутентифицировать пользователя, AC сначала отправляет MAC-адрес пользовательского терминала в сервер Portal для идентификации подлинности. Если аутентификация завершается неудачно, сервер Portal перенаправляет страницу аутентификации Portal на терминал. Затем пользователь вводит учетную запись и пароль для аутентификации. Сервер RADIUS кэширует MAC-адрес терминала и связанный с ним MAC-адрес во время первой аутентификации для терминала. Если терминал отключен и затем подключен к сети в течение периода действия MAC-адреса, сервер RADIUS ищет SSID и MAC-адрес терминала в кэш для аутентификации терминала.

План VLAN

Табл. 3-120 План беспроводной VLAN

VLAN ID

Функция

10

mVLAN для беспроводного доступа

100

Сервисная VLAN для сотрудников

101

Сервисная VLAN для гостей

План сетевых данных

Табл. 3-121 План данных беспроводной сети

Пункт

Данные

Описание

Коммутатор доступа S2750EI

GE0/0/1

VLAN 10

Подключен к AP в гостевой зоне.

GE0/0/2

VLAN 10

Подключен к S5720HI.

GE0/0/3

VLAN 10

Подключен к AP в зоне сотрудника.

Коммутатор агрегации S5720HI

GE0/0/1

VLAN 10

Подключен к коммутатору доступа.

GE0/0/2

VLAN 100 и VLAN 101

Интерфейс восходящей связи, который подключен к базовому маршрутизатору и позволяет прохождению пакетов только от сервисной VLAN.

GE0/0/3

VLAN 10, VLAN 100 и VLAN 101

Подключен к AC. AC связывается с устройством восходящей связи через сервисную VLAN и с устройством нисходящей связи через mVLAN.

AC6605

GE0/0/1

VLAN 10, VLAN 100 и VLAN 101

VLANIF 10: 10.10.10.254/24

AC связывается с устройством восходящей связи через сервисную VLAN и с устройством нисходящей связи через mVLAN.

Шлюз для AP.

Базовый маршрутизатор

GE1/0/1

172.16.21.254/24

Номер суб-интерфейса: GE1/0/1.1

IP-адрес суб-интерфейса: 172.20.0.1/16

Номер суб-интерфейса: GE1/0/1.2

IP-адрес суб-интерфейса: 172.21.0.1/16

Суб-интерфейс GE1/0/1.1 функционирует как шлюз для сотрудников.

Суб-интерфейс GE1/0/1.2 функционирует как шлюз для гостей.

Сервер
  • DNS-сервер: 192.168.11.1
  • Agile Controller-Campus: 192.168.11.10
  • AD-сервер: 192.168.11.100
  • DHCP-сервер: 192.168.11.2
    • Сотрудник: Пул IP-адреса (172.20.0.0/16); DNS-сервер (192.168.11.1)
    • Гость: Пул IP-адреса (172.21.0.0/16); DNS-сервер (192.168.11.1)
  • Сервисная система: 192.168.11.200
-

План сервисных данных

Табл. 3-122 План сервисных данных Portal

Пункт

Данные

Описание

RADIUS

  • Сервер RADIUS: Сервер Agile Controller-Campus
  • Клиент RADIUS: AC
  • Ключ аутентификации: Admin@123
  • Ключ учета: Admin@123
  • Интервал учета в режиме реального времени: 15 минут
  • Порт аутентификации: 1812
  • Порт учета: 1813

Устройство контроля доступа и Agile Controller-Campus соответственно функционируют как клиент и сервер RADIUS. Ключи аутентификации, авторизации и учета и интервал учета на устройстве контроля доступа и Agile Controller-Campus должны быть одинаковыми.

Agile Controller-Campus, функционирующий как сервер RADIUS, соответственно использует порты 1812 и 1813 для аутентификации и учета.

Portal

  • Сервер Portal: Сервер Agile Controller-Campus с доменным именем access.example.com.
  • Ключ Portal: Admin@123
  • Порт сервера Portal: 50200
  • Порт устройства контроля аутентификации для связи с сервером Portal: 2000

Когда страницы Portal передаются с использованием доменного имени, требуется доменное имя сервера Agile Controller-Campus.

Agile Controller-Campus, функционирующий как сервер Portal, использует порт 50200 в качестве порта сервера Portal.

Когда коммутатор Huawei или AC функционирует как устройство контроля аутентификации для обеспечения аутентификации Portal, коммутатор или AC использует порт 2000 по умолчанию для связи с сервером Portal.

Домен предварительной аутентификации

DNS-сервер, Agile Controller-Campus, AD-сервер и DHCP-сервер

-

Домен после аутентификации для сотрудников

Сервисная система и Internet (интернет)

-

Домен после аутентификации для гостей

Internet

-

Схема настройки

  1. Настройте коммутатор доступа, коммутатор агрегации и AC для осуществления межсетевого взаимодействия в сети.
  2. На AC настройте шаблон сервера RADIUS, в шаблоне настройте схемы аутентификации, учета и авторизации, и укажите IP-адрес сервера Portal. Таким образом, AC может связываться с сервером RADIUS и сервером Portal для выполнения аутентификации Portal с приоритетом MAC-адреса для сотрудников.
  3. Добавьте AC к Диспетчеру служб и настройте параметры AC, чтобы Agile Controller-Campus мог управлять AC.
  4. Настройте правила аутентификации и авторизации, чтобы предоставить различные права доступа к сети аутентифицированным сотрудникам и гостям.
  5. Настройте разные страницы аутентификации для сотрудников и гостей, а также настройте правила переотправления для страницы Portal, чтобы гарантировать, что разные веб-страницы будут перенаправлены сотрудникам и гостям.

Предпосылки

Вы настроили суб-интерфейс, назначили IP-адрес суб-интерфейсу и включили DHCP-ретранслятор на базовом маршрутизаторе, чтобы позволить терминалам автоматически получать IP-адреса от DHCP-сервера в другом сегменте сети.

Процедура

  1. [Устройство] Настройте коммутатор доступа для обеспечения сетевого подключения.

    <HUAWEI> system-view
    [HUAWEI] sysname S2700
    [S2700] vlan 10   
    [S2700-vlan10] quit   
    [S2700] interface gigabitethernet 0/0/3  
    [S2700-GigabitEthernet0/0/3] port link-type trunk
    [S2700-GigabitEthernet0/0/3] port trunk pvid vlan 10
    [S2700-GigabitEthernet0/0/3] port trunk allow-pass vlan 10
    [S2700-GigabitEthernet0/0/3] quit
    [S2700] interface gigabitethernet 0/0/1  
    [S2700-GigabitEthernet0/0/1] port link-type trunk
    [S2700-GigabitEthernet0/0/1] port trunk pvid vlan 10
    [S2700-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
    [S2700-GigabitEthernet0/0/1] quit
    [S2700] interface gigabitethernet 0/0/2  
    [S2700-GigabitEthernet0/0/2] port link-type trunk
    [S2700-GigabitEthernet0/0/2] port trunk allow-pass vlan 10
    [S2700-GigabitEthernet0/0/2] quit

  2. [Устройство] Настройте коммутатор агрегации для обеспечения сетевого подключения.

    <HUAWEI> system-view
    [HUAWEI] sysname S5700
    [S5700] vlan batch 10 100 101   
    [S5700] interface gigabitethernet 0/0/1  
    [S5700-GigabitEthernet0/0/1] port link-type trunk  
    [S5700-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 
    [S5700-GigabitEthernet0/0/1] quit
    [S5700] interface gigabitethernet 0/0/2  
    [S5700-GigabitEthernet0/0/2] port link-type trunk
    [S5700-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 101
    [S5700-GigabitEthernet0/0/2] quit
    [S5700] interface gigabitethernet 0/0/3  
    [S5700-GigabitEthernet0/0/3] port link-type trunk
    [S5700-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 100 101  
    [S5700-GigabitEthernet0/0/3] quit

  3. [Устройство] Настройте AC для обеспечения сетевого подключения.

    # Добавьте GE0/0/1, подключенный к коммутатору агрегации, к mVLAN 10 и сервисным VLAN 100 и 101.

    <HUAWEI> system-view
    [HUAWEI] sysname AC
    [AC] vlan batch 10 100 101
    [AC] interface gigabitethernet 0/0/1  
    [AC-GigabitEthernet0/0/1] port link-type trunk
    [AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 100 101
    [AC-GigabitEthernet0/0/1] quit

    # Настройте AC, чтобы назначить IP-адреса для AP от пула адреса интерфейса.

    [AC] dhcp enable   
    [AC] interface vlanif 10
    [AC-Vlanif10] ip address 10.10.10.254 24
    [AC-Vlanif10] dhcp select interface
    [AC-Vlanif10] quit

    # Настройте маршрут по умолчанию, используемый AC для связи с сервером. По умолчанию пакеты передаются базовому маршрутизатору.

    [AC] ip route-static 0.0.0.0 0 172.16.21.254

  4. [Устройство] Настройте AP для входа в сеть.

    ПРИМЕЧАНИЕ:

    Если между AP и AC развернута сеть уровня 3, необходимо настроить поле Option 43 на сервере DHCP для переноса IP-адреса AC в объявленных пакетах, позволяя AP обнаружить AC.

    1. Запустите команду ip pool ip-pool-name в системном представлении, чтобы войти в представление IP-адреса.
    2. Запустите команду option 43 sub-option 2 ip-address AC-ip-address &<1-8>, чтобы указать IP-адрес для AC.

    # Создайте группу AP, к которой могут добавляться AP с одинаковой конфигурацией.

    [AC] wlan
    [AC-wlan-view] ap-group name employee  //Настройте группу AP для сотрудников.
    [AC-wlan-ap-group-employee] quit
    [AC-wlan-view] ap-group name guest  //Настройте группу AP для гостей.
    [AC-wlan-ap-group-guest] quit
    

    # Создайте профиль регулятивного домена, настройте код страны AC в профиле и примените профиль к группе AP.

    [AC-wlan-view] regulatory-domain-profile name domain1
    [AC-wlan-regulatory-domain-prof-domain1] country-code cn
    [AC-wlan-regulatory-domain-prof-domain1] quit
    [AC-wlan-view] ap-group name employee
    [AC-wlan-ap-group-employee] regulatory-domain-profile domain1
    Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu
    e?[Y/N]:y 
    [AC-wlan-ap-group-employee] quit
    [AC-wlan-view] ap-group name guest
    [AC-wlan-ap-group-guest] regulatory-domain-profile domain1
    Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu
    e?[Y/N]:y 
    [AC-wlan-ap-group-guest] quit
    [AC-wlan-view] quit
    

    # Настройте исходный интерфейс AC.

    [AC] capwap source interface vlanif 10
    

    # Введите AP в автономном режиме на AC и добавьте AP к группе AP. В этом примере предполагается, что тип AP - AP6010DN-AGN, MAC-адрес AP_0, обслуживающий зону сотрудника, равен 60de-4476-e360, и MAC-адрес AP_1, обслуживающий гостевую зону, составляет 60de-4476-e380.

    [AC] wlan
    [AC-wlan-view] ap auth-mode mac-auth
    [AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360
    [AC-wlan-ap-0] ap-name ap_0
    [AC-wlan-ap-0] ap-group employee
    Warning: This operation may cause AP reset. If the country code changes, it will, clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y  
    [AC-wlan-ap-0] quit
    [AC-wlan-view] ap-id 1 ap-mac 60de-4476-e380
    [AC-wlan-ap-1] ap-name ap_1
    [AC-wlan-ap-1] ap-group guest
    Warning: This operation may cause AP reset. If the country code changes, it will, clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y
    [AC-wlan-ap-1] quit
    [AC-wlan-view] quit

    # После включения AP запустите команду display ap all, чтобы проверить состояние AP. Если поле State отображается так же, как nor, то AP пошел онлайн правильно.

    [AC] display ap all
    Total AP information:
    nor  : normal          [2]
    -------------------------------------------------------------------------------------
    ID   MAC            Name   Group     IP            Type            State STA Uptime
    -------------------------------------------------------------------------------------
    0    60de-4476-e360 ap_0   employee  10.10.10.252  AP6010DN-AGN    nor   0   10S
    1    60de-4476-e380 ap_1   guest     10.10.10.253  AP6010DN-AGN    nor   0   20S
    -------------------------------------------------------------------------------------
    Total: 2

  5. [Устройство] Настройте параметры соединения для сервера RADIUS и AC, а также сервера Portal и AC, чтобы AC мог ассоциироваться с серверами RADIUS и Portal.

    Рис. 3-90 Процесс настройки услуги аутентификации Portal

    # Настройте шаблон сервера RADIUS, и в шаблоне настройте схемы аутентификации, учета и авторизации.

    [AC] radius-server template radius_huawei  
    [AC-radius-radius_template] radius-server authentication 192.168.11.10 1812 source ip-address 10.10.10.254  
    [AC-radius-radius_template] radius-server accounting 192.168.11.10 1813 source ip-address 10.10.10.254
    [AC-radius-radius_template] radius-server shared-key cipher Admin@123
    [AC-radius-radius_template] radius-server user-name original  //Настройте AC для передачи имен пользователей, введенных пользователями к серверу RADIUS.  
    [AC-radius-radius_template] quit
    [AC] radius-server authorization 192.168.11.10 shared-key cipher Admin@123  
    [AC] aaa  
    [AC-aaa] authentication-scheme auth_scheme  //Схема аутентификации
    [AC-aaa-authen-auth_scheme] authentication-mode radius  //Установите схему аутентификации на RADIUS.
    [AC-aaa-authen-auth_scheme] quit
    [AC-aaa] accounting-scheme acco_scheme  //Схема учета
    [AC-aaa-accounting-acco_scheme] accounting-mode radius  //Установите схему учета на RADIUS.
    [AC-aaa-accounting-acco_scheme] accounting realtime 15  
    [AC-aaa-accounting-acco_scheme] quit
    [AC-aaa] quit
    
    ПРИМЕЧАНИЕ:

    Команда accounting realtime устанавливает интервал учета в режиме реального времени. Короткий учетный интервал в режиме реального времени требует высокой производительности устройства и сервера RADIUS. Установите интервал учета в режиме реального времени на основе количества пользователей.

    Табл. 3-123 Интервал учета

    Количество пользователей

    Интервал учета в режиме реального времени

    От 1 до 99

    3 минуты

    От 100 до 499

    6 минут

    От 500 до 999

    12 минут

    ≥ 1000

    ≥ 15 минут

    # Проверьте, может ли пользователь использовать шаблон RADIUS для аутентификации. (Тест имени пользователя и пароль Admin_123 настроены на сервере RADIUS.)

    [AC] test-aaa test Admin_123 radius-template radius_huawei pap
    Info: Account test succeed.
    # Настройте сервер Portal.
    1. Настройте URL страницы аутентификации Portal. Когда пользователь пытается получить доступ к веб-сайту до аутентификации, AC перенаправляет веб-сайт на сервер Portal.

      Рекомендуется настроить URL с использованием имени домена, чтобы обеспечить безопасное и быстрое переотправление страницы. Перед настройкой URL с использованием имени домена сначала необходимо настроить сопоставление между именем домена и IP-адресом сервера Agile Controller-Campus на DNS-сервере.

      [AC] url-template name huawei
      [AC-url-template-huawei] url http://access.example.com:8080/portal  //access.example.com - имя хоста сервера Portal.
    2. Настройте параметры, переносимые в URL, которые должны быть такими же, как на сервере аутентификации.

      [AC-url-template-huawei] url-parameter ssid ssid redirect-url url  //Укажите имена параметров, включенных в URL. Имена параметров должны совпадать с именами на сервере аутентификации. 
      //Этот первый ssid указывает, что URL содержит поле SSID, а второй ssid указывает имя параметра. 
      //Например, после настройки ssid ssid URL, перенаправленный пользователю, содержит sid=guest, где ssid указывает имя параметра, а guest указывает SSID, с которым пользователь связывает. 
      //Второй SSID представляет только переданное имя параметра и не может быть заменен фактическим SSID пользователя.
      //Когда AC использует URL в качестве имени параметра, URL должен быть указан на сервере Portal, чтобы указать, к какому URL запрос доступа пользователей будет перенаправлен.
      [AC-url-template-huawei] quit
    3. Укажите номер порта, используемый для обработки пакетов протокола Portal. Номер порта по умолчанию - 2000. Если вы измените номер порта на AC, установите одинаковый номер порта, когда вы добавите этот AC в Agile Controller-Campus.

      [AC] web-auth-server listening-port 2000
    4. Настройте шаблон сервера Portal, включая настройку IP-адреса и номера порта сервера Portal.

      Установите значение 50200 в качестве номера порта назначения в пакетах, отправленных на сервер Portal. Сервер Portal принимает пакеты с целевым портом 50200, но AC использует порт 50100 для отправки пакетов на сервер Portal по умолчанию. Следовательно, вы должны изменить номер порта на 50200 на AC, чтобы AC мог связываться с сервером Portal.

      [AC] web-auth-server portal_huawei
      [AC-web-auth-server-portal_huawei] server-ip 192.168.11.10  //IP-адрес для сервера Portal.
      [AC-web-auth-server-portal_huawei] source-ip 10.10.10.254  //IP-адрес, используемый AC для связи с сервером Portal.
      [AC-web-auth-server-portal_huawei] port 50200  //Установите номер порта назначения в пакетах, отправленных на сервер Portal на 50200.
    5. Настройте общий ключ, используемый для связи с сервером Portal, который должен быть таким же, как на сервере Portal. Кроме того, включите AC для передачи зашифрованных параметров URL на сервер Portal.

      [AC-web-auth-server-portal_huawei] shared-key cipher Admin@123  //Настройте общий ключ, используемый для связи с сервером Portal, который должен быть таким же, как на сервере Portal.
      [AC-web-auth-server-portal_huawei] url-template huawei  //Привяжите шаблон URL к профилю сервера Portal.
      
    6. Включите функцию обнаружения сервера Portal.

      После того, как функция обнаружения сервера Portal включена в шаблоне сервера Portal, устройство обнаруживает все серверы Portal, настроенные в шаблоне сервера Portal. Если количество раз, когда устройство не обнаруживает сервер Portal, превышает верхний предел, состояние сервера Portal изменяется от Up до Down. Если количество серверов Portal в состоянии Up меньше или равно минимальному числу (указанному параметром critical-num), устройство выполняет соответствующую операцию, чтобы администратор мог получить состояние сервера Portal в режиме реального времени. Интервал обнаружения не может быть меньше 15 с, а рекомендуемое значение - 100 с. AC поддерживает только обнаружение сервера Portal, но не выход Portal.

      [AC-web-auth-server-portal_huawei] server-detect interval 100 max-times 5 critical-num 0 action log

    # Включите функцию «тихого периода» (quiet period) аутентификации Portal. Когда эта функция включена, AC отбрасывает пакеты пользователя аутентификации в течение тихого периода, если пользователь не смог аутентифицировать Portal за указанное количество раз за 60 секунд. Эта функция защищает AC от перегрузки из-за частой аутентификации.

    [AC] portal quiet-period
    [AC] portal quiet-times 5  //Установите максимальное количество отказов аутентификации за 60 секунд до того, как аутентификация Portal установлена в состояние «тихо».
    [AC] portal timer quiet-period 240  //Установите тихий период до 240 секунд.

    # Создайте профиль доступа к Portal и привяжите к нему шаблон сервера Portal.

    В этом примере различные решения для выживания Portal должны быть соответственно настроены для сотрудников и гостей. Поэтому настройте два профили доступа к Portal.

    [AC] portal-access-profile name acc_portal_employee  //Создайте профиль доступа к Portal для сотрудников.
    [AC-portal-access-profile-acc_portal_employee] web-auth-server portal_huawei direct  //Настройте шаблон сервера Portal, используемый профилем доступа к Portal. Если сеть между конечными пользователями и AC является сетью уровня 2, настройте режим direct; если сеть является сетью уровня 3, настройте режим layer3.
    [AC-portal-access-profile-acc_portal_employee] quit
    [AC] portal-access-profile name acc_portal_guest  //Создайте профиль доступа к Portal для гостей.
    [AC-portal-access-profile-acc_portal_guest] web-auth-server portal_huawei direct 
    [AC-portal-access-profile-acc_portal_guest] quit
    

    # Создайте профиль доступа к MAC, чтобы выполнить аутентификацию Portal с приоритетом MAC-адреса для сотрудников.

    [AC] mac-access-profile name acc_mac
    [AC-mac-access-profile-acc_mac] quit

    # Настройте правила доступа предварительной аутентификации и после аутентификации для сотрудников и гостей.

    [AC] free-rule-template name default_free_rule 
    [AC-free-rule-default_free_rule] free-rule 1 destination ip 192.168.11.1 mask 255.255.255.255  //Настройте аутентификацию Portal без правила, позволяющую пользователям подключаться к DNS-серверу до аутентификации.
    [AC-free-rule-default_free_rule] free-rule 2 destination ip 192.168.11.100 mask 255.255.255.255  //Настройте аутентификацию Portal без правила, позволяющую пользователям подключаться к серверу AD до аутентификации.
    [AC-free-rule-default_free_rule] free-rule 3 destination ip 192.168.11.2 mask 255.255.255.255  //Настройте аутентификацию Portal без правила, позволяющую пользователям подключаться к DHCP-серверу до аутентификации.
    [AC-free-rule-default_free_rule] quit
    
    [AC] acl 3001  //Настройте домен после аутентификации для сотрудников, включая интрасеть и Интернет.
    [AC-acl-adv-3001]  rule 5 permit ip
    [AC-acl-adv-3001]  quit
    [AC] acl 3002  //Настройте домен после аутентификации для гостей, включая Интернет.
    [AC-acl-adv-3002]  rule 5 deny ip destination 192.168.11.200 255.255.255.255  //192.168.11.200 - это IP-адрес сервисной системы, и гости не могут получить доступ к ним.
    [AC-acl-adv-3002]  rule 10 permit ip
    [AC-acl-adv-3002]  quit
    # Соответственно настройте разные профили аутентификации для сотрудников и гостей, потому что для сотрудников необходимо активировать аутентификацию Portal с приоритетом MAC-адреса.
    [AC] authentication-profile name auth_portal_employee
    [AC-authentication-profile-auth_portal_employee] mac-access-profile acc_mac   //Включите аутентификацию MAC-адреса с приоритетом  для сотрудников.
    [AC-authentication-profile-auth_portal_employee] portal-access-profile acc_portal_employee
    [AC-authentication-profile-auth_portal_employee] authentication-scheme auth_scheme
    [AC-authentication-profile-auth_portal_employee] accounting-scheme acco_scheme
    [AC-authentication-profile-auth_portal_employee] radius-server radius_template
    [AC-authentication-profile-auth_portal_employee] free-rule-template default_free_rule
    [AC-authentication-profile-auth_portal_employee] quit
    [AC] authentication-profile name auth_portal_guest
    [AC-authentication-profile-auth_portal_guest] portal-access-profile acc_portal_guest
    [AC-authentication-profile-auth_portal_guest] authentication-scheme auth_scheme
    [AC-authentication-profile-auth_portal_guest] accounting-scheme acco_scheme
    [AC-authentication-profile-auth_portal_guest] radius-server radius_template
    [AC-authentication-profile-auth_portal_guest] free-rule-template default_free_rule
    [AC-authentication-profile-auth_portal_guest] quit

    # Включите идентификацию типа терминала, чтобы позволить AC отправлять поля варианта, содержащие тип терминала в пакетах DHCP, на сервер аутентификации. Таким образом, сервер аутентификации может переотправлять правильные страницы аутентификации Portal пользователям на основе их типов терминала.

    [AC] dhcp snooping enable
    [AC] device-sensor dhcp option 12 55 60
    # Настройте выживание Portal. Настройте устройство, чтобы предоставить пользователям права доступа к сети группы пользователей, когда сервер Portal находится в состоянии Down, чтобы пользователи могли получить доступ к домену после аутентификации. Кроме того, настройте устройство для повторной аутентификации пользователей, когда сервер Portal идет Up.
    [AC] user-group group1
    [AC-user-group-group1] acl 3001  //Домен после аутентификации сотрудников, соответствующий группе 1.
    [AC-user-group-group1] quit
    [AC] portal-access-profile name acc_portal_employee
    [AC-portal-access-profile-acc_portal_employee] authentication event portal-server-down action authorize user-group group1  //Настройте разрешение доступа к сети для сотрудников, когда сервер Portal находится в состоянии Down.
    [AC-portal-access-profile-acc_portal_employee] authentication event portal-server-up action re-authen  //Включите устройство для повторной аутентификации пользователей при изменении состояния сервера Portal с Down на Up.
    [AC-portal-access-profile-acc_portal_employee] quit
    [AC] user-group group2
    [AC-user-group-group2] acl 3002  //Домен аутентификации гостей, соответствующий группе 1.
    [AC-user-group-group2] quit
    [AC] portal-access-profile name acc_portal_guest
    [AC-portal-access-profile-acc_portal_guest] authentication event portal-server-down action authorize user-group group2  //Настройте разрешение доступа к сети для гостей, когда сервер Portal находится в состоянии Down.
    [AC-portal-access-profile-acc_portal_guest] authentication event portal-server-up action re-authen
    [AC-portal-access-profile-acc_portal_guest] quit

  6. [Устройство] Установите параметры службы WLAN.

    # Создайте безопасный профиль security_portal, и установите политику безопасности в профиле.

    [AC] wlan
    [AC-wlan-view] security-profile name security_portal
    [AC-wlan-sec-prof-security_portal] quit

    # Соответственно создайте профили SSID по имени wlan-ssid-employee и wlan-ssid-guest, и установите имена SSID на employee и guest.

    [AC-wlan-view] ssid-profile name wlan-ssid-employee
    [AC-wlan-ssid-prof-wlan-ssid-employee] ssid employee
    Warning: This action may cause service interruption. Continue?[Y/N]y
    [AC-wlan-ssid-prof-wlan-ssid-employee] quit
    [AC-wlan-view] ssid-profile name wlan-ssid-guest
    [AC-wlan-ssid-prof-wlan-ssid-guest] ssid guest
    Warning: This action may cause service interruption. Continue?[Y/N]y
    [AC-wlan-ssid-prof-wlan-ssid-guest] quit

    # Создайте профили VAP по имени wlan-vap-employee и wlan-vap-guest, настройте режим пересылки сервисных данных и сервисные VLAN, и примените профили безопасности, SSID и аутентификации к профилям VAP.

    [AC-wlan-view] vap-profile name wlan-vap-employee
    [AC-wlan-vap-prof-wlan-vap-employee] forward-mode tunnel
    Warning: This action may cause service interruption. Continue?[Y/N]y
    [AC-wlan-vap-prof-wlan-vap-employee] service-vlan vlan-id 100
    [AC-wlan-vap-prof-wlan-vap-employee] security-profile security_portal
    [AC-wlan-vap-prof-wlan-vap-employee] ssid-profile wlan-ssid-employee
    [AC-wlan-vap-prof-wlan-vap-employee] authentication-profile auth_portal_employee  //Свяжите профиль аутентификации сотрудников.
    [AC-wlan-vap-prof-wlan-vap-employee] quit
    [AC-wlan-view] vap-profile name wlan-vap-guest
    [AC-wlan-vap-prof-wlan-vap-guest] forward-mode tunnel
    Warning: This action may cause service interruption. Continue?[Y/N]y
    [AC-wlan-vap-prof-wlan-vap-guest] service-vlan vlan-id 101
    [AC-wlan-vap-prof-wlan-vap-guest] security-profile security_portal
    [AC-wlan-vap-prof-wlan-vap-guest] ssid-profile wlan-ssid-guest
    [AC-wlan-vap-prof-wlan-vap-guest] authentication-profile auth_portal_guest   //Свяжите профиль аутентификации гостей.
    [AC-wlan-vap-prof-wlan-vap-guest] quit

    # Привяжите профиль VAP к группам AP и примените профиль VAP к radio 0 и radio 1 AP.

    [AC-wlan-view] ap-group name employee
    [AC-wlan-ap-group-employee] vap-profile wlan-vap-employee wlan 1 radio 0
    [AC-wlan-ap-group-employee] vap-profile wlan-vap-employee wlan 1 radio 1
    [AC-wlan-ap-group-employee] quit
    [AC-wlan-view] ap-group name guest
    [AC-wlan-ap-group-guest] vap-profile wlan-vap-guest wlan 1 radio 0
    [AC-wlan-ap-group-guest] vap-profile wlan-vap-guest wlan 1 radio 1
    [AC-wlan-ap-group-guest] quit

  7. [Agile Controller-Campus] Добавьте AC к Диспетчеру служб, чтобы включить Agile Controller-Campus для управления AC.
    1. Выберите Resource > Device > Device Management.
    2. Нажмите Add.
    3. Настройте параметры для AC.

      Параметр

      Значение

      Описание

      Имя

      AC

      -

      IP-адрес

      10.10.10.254

      Интерфейс AC1 с этим IP-адресом должен связываться с Agile Controller-Campus.

      Ключ аутентификации

      Admin@123

      Он должен быть таким же, как общий ключ сервера аутентификации RADIUS, настроенный на AC.

      Ключ учета

      Admin@123

      Он должен быть таким же, как общий ключ сервера учета RADIUS, настроенный на AC.

      Интервал учета в режиме реального времени (минута)

      15

      Он должен быть таким же, как интервал учета в режиме реального времени, настроенный на AC.

      Порт

      2000

      Это порт, используемый AC для связи с сервером Portal. Сохраните значение по умолчанию.

      Ключ Portal

      Admin@123

      Он должен быть таким же, как ключ Portal, настроенный на AC.

      Список IP-адреса терминала доступа

      172.20.0.0/16; 172.21.0.0/16

      Необходимо добавить IP-адреса всех терминалов, которые подключаются к сети через аутентификацию Portal, в список IP-адреса терминала доступа. После того, как сервер Portal получает учетную запись и пароль, предоставленные конечным пользователем, он ищет устройство контроля доступа на основе IP-адреса терминала и позволяет терминалу подключаться к сети с целевого устройства контроля доступа. Если пул IP-адреса устройства контроля доступа не включает в себя IP-адрес терминала, сервер Portal не может найти устройство контроля доступа для предоставления разрешения на доступ к сети для терминала, что приведет к сбою входа в терминал.

      Включить пульс между устройством доступа и сервером Portal.

      Выбрать

      Сервер Portal может отправлять пакеты пульса на устройство доступа только в том случае, когда выбрано Enable heartbeat between access device and Portal server, и IP-адрес сервера Portal добавлен в Portal server IP list. Затем устройство доступа периодически обнаруживает пакеты пульса сервера Portal, чтобы определить состояние сервера Portal и синхронизировать информацию пользователя от сервера Portal. Команды server-detect и user-sync должны быть настроены в представлении сервера Portal на устройстве доступа.

      Список IP-адреса сервера Portal

      192.168.11.10

    4. Нажмите OK.
  8. [Agile Controller-Campus] Добавьте SSID на Agile Controller-Campus, чтобы Agile Controller-Campus мог разрешать пользователям через SSID.
    1. Выберите Policy > Permission Control > Policy Element > SSID.
    2. Нажмите Add и добавьте SSID для сотрудников и гостей.

      SSID должны быть такими же, как те, которые настроены на AC.

  9. [Agile Controller-Campus] Настройте аутентификацию и авторизацию.
    1. Выберите Policy > Permission Control > Authentication & Authorization > Authentication Rule, и измените правило аутентификации по умолчанию или создайте правило аутентификации.

      Добавьте сервер AD к Data Source. По умолчанию правило аутентификации действует только для локального источника данных. Если сервер AD добавлен в качестве источника данных, учетные записи AD не будут аутентифицированы.

    2. Выберите Policy > Permission Control > Authentication and Authorization > Authorization Result и добавьте ACL авторизации для сотрудников и гостей.

      Номера ACL должны быть такими же, как те, которые настроены на устройстве контроля аутентификации.

    3. Выберите Policy > Permission Control > Authentication and Authorization > Authorization Rule, и привяжите результат авторизации, чтобы указать ресурсы, доступные для сотрудников и гостей после успешной аутентификации.

    4. Измените правило авторизации по умолчанию, изменив результат авторизации на Deny Access.

      Выберите Policy > Permission Control > Authentication and Authorization > Authorization Rule и нажмите справа от Default Authorization Rule. Измените значение Authorization Result на Deny Access.

  10. [Agile Controller-Campus] Настройте страницу аутентификации Portal для сотрудников.
    1. Выберите Policy > Permission Control > Page Customization > Page Customization.
    2. Выберите System-Membership Authentication Template и нажмите Create Page.
    3. Настройте основную информацию о странице аутентификации.

      Параметр

      Значение

      Описание

      Настроить имя страницы

      Страница аутентификации для сотрудника

      -

      Заголовок страницы

      Web

      Этот веб-заголовок будет отображаться на странице аутентификации.

      Включить авторегистрацию

      Отменен

      -

    4. Нажмите OK.

      Сотрудникам не нужно входить в систему через мобильный телефон, следовательно, пропустить этот шаг.

    5. Нажмите Next. Установите Authentication Page, Authentication Success Page и User Notice Page.

    6. После завершения конфигурации нажмите Release.
  11. [Agile Controller-Campus] Настройте страницу аутентификации Portal для гостей.
    1. Выберите Policy > Permission Control > Page Customization > Page Customization.
    2. Выберите System-SMS Authentication Template и нажмите Create Page.
    3. Настройте основную информацию о странице.

      Параметр

      Значение

      Описание

      Настроить имя страницы

      Страница аутентификации для гостя

      -

      Заголовок страницы

      Web

      Этот веб-заголовок будет отображаться на странице аутентификации.

      Включить авторегистрацию

      Выбранный

      -

      Политика гостевого счета

      Self-registration_password через phones_valid в течение 8 часов

      -

    4. Нажмите OK. Установите Authentication Page, Authentication Success Page, User Notice Page, Registration Page, и Registration Success Page.

    5. Нажмите Next, чтобы установить страницы аутентификации PC.

    6. После завершения конфигурации нажмите Release.
  12. [Agile Controller-Campus] Настройте правила переотправления страницы Portal, чтобы гарантировать, что разные страницы аутентификации будут переотправлены сотрудникам и гостям.
    1. Выберите Policy > Permission Control > Page Customization > Portal Page Push Rule.
    2. Нажмите Add.
    3. Настройте правило переотправления страницы Portal для сотрудников и нажмите OK.

      Параметр

      Значение

      Описание

      Имя

      Правило переотправления для сотрудника

      -

      Определяемые пользователем параметры

      ssid=employee

      Подробнее об Определяемых пользователем параметрах, см. Определение правила перенаправления для страницы Portal.

      Переотправленная страница

      Выбрать страницу аутентификации, настроенную в 10.

      Диспетчер служб, автоматически сохраняет каждую страницу в независимой папке.

      Первая страница переотправления

      Аутентификация

      -

      URL

      Сохранить значение по умолчанию.

      -

      Страница отображается после успешной аутентификации

      Продолжить визит исходной страницы

      Исходная страница перед аутентификацией автоматически отображается после успешной аутентификации.

    4. Настройте правила переотправления для гостей аналогичным образом и нажмите OK.

    5. Нажмите OK.
  13. [Agile Controller-Campus] Включите аутентификацию Portal с приоритетом MAC-адреса на Agile Controller-Campus.
    1. Выберите System > Terminal Configuration > Global Parameters > Access Management.
    2. На странице вкладки MAC Address-prioritized Portal Authentication, включите MAC Address-prioritized Portal Authentication и установите Mac Address-Prioritized Portal Authentication на 60 minutes.

    3. Нажмите OK.

Верификация

Если терминал использует Internet Explorer 8 для аутентификации Portal, для браузера должна быть выполнена следующая конфигурация. В противном случае страница аутентификации Portal не может быть отображена.
  1. Выберите Tools > Internet Options.
  2. Выберите варианты, связанные с Use TLS на странице вкладки Advanced.



  3. Нажмите OK.

Пункт

Ожидаемый результат

Аутентификация сотрудника

  • Сотрудник может получить доступ только к серверу Agile Controller-Campus, DNS-серверу, AD-серверу и DHCP-серверу до аутентификации.
  • Когда сотрудник подключается к Wi-Fi hotspot employee с помощью компьютера и пытается посетить Internet (интернет) или сервисную систему, страница аутентификации сотрудника переотправляется пользователю. После того, как сотрудник вводит правильное имя пользователя и пароль, аутентификация завершается успешно, и запрошенная веб-страница отображается автоматически.
  • После успешной аутентификации сотрудников, они могут получить доступ к Internet (интернет) и сервисной системе.
  • После успешной аутентификации запустите команду display access-user на AC. Вывод команды показывает, что учетная запись сотрудника в режиме онлайн.
  • На Диспетчере служб, выберите Resource > User > Online User Management, и учетная запись сотрудника отображается в списке онлайн-пользователей.
  • На Диспетчере служб, выберите Resource > User > RADIUS Log, и вы увидите журнал аутентификации RADIUS для учетной записи сотрудника.

Аутентификация гостя

  • Гость может получить доступ только к серверу Agile Controller-Campus, DNS-серверу и DHCP-серверу до аутентификации.
  • Когда гость подключается к Wi-Fi hotspot guest с помощью мобильного телефона и пытается посетить Internet (интернет), страница аутентификации мобильного телефона переотправляется на мобильный телефон. После того, как гость вводит правильное имя пользователя и пароль, аутентификация завершается успешно, и запрошенная веб-страница отображается автоматически.
  • Когда гость подключается к Wi-Fi hotspot guest с помощью ноутбука или планшета, страница аутентификации PC/Pad переотправится на ноутбук или планшет. После того, как гость вводит правильное имя пользователя и пароль, аутентификация завершается успешно, и запрошенная веб-страница отображается автоматически.
  • После успешной аутентификации гостей с использованием учетных записей, зарегистрированных их мобильными номерами, они могут получить доступ к Internet (интернет), но не к сервисной системе.
  • После успешной аутентификации запустите команду display access-user на AC. Вывод команды показывает, что учетная запись гостя находится в сети.
  • На Диспетчере служб, выберите Resource > User > Online User Management, и учетная запись гостя отображается в списке онлайн-пользователей.
  • На Диспетчере служб, выберите Resource > User > RADIUS Log, и вы увидите журнал аутентификации RADIUS для учетной записи гостя.

Резюме и предложения

  • Ключ аутентификации, ключ учета и ключ Portal должны быть совмещены на AC и Agile Controller-Campus. Ключ шифрования URL и интервал учета, установленный на Agile Controller-Campus, также должны быть такими же, как и на AC.

  • Правила авторизации или правила переотправления страницы Portal сопоставляются в порядке убывания приоритета (в порядке возрастания номеров правил). Если условие авторизации или переотправления Portal пользователя соответствует правилу, Agile Controller-Campus не проверяет последующие правила. Поэтому рекомендуется устанавливать более высокие приоритеты для правил, определяющих более точные условия, и устанавливать более низкие приоритеты для правил, определяющих нечеткие условия.

  • Функция учета RADIUS настроена на AC, чтобы позволить Agile Controller-Campus получать информацию онлайн-пользователя путем обмена учетными пакетами с AC. Agile Controller-Campus не поддерживает реальную функцию учета. Если требуется учет, используйте сервер учета третьего лица.
Загрузить
Updated: 2018-08-21

№ документа:EDOC1100029357

Просмотры:7804

Загрузки: 106

Average rating:
This Document Applies to these Products
Связанные документы
Related Version
Share
Назад Далее