Для выбранного языка не найдены ресурсы переадресации.

Этот веб-сайт использует cookie-файлы. Продолжая просмотр, вы соглашаетесь на их использование. Ознакомьтесь с нашей политикой соблюдения конфиденциальности.>

Типичные примеры настройки WLAN

Rate and give feedback :
Информация об этом переводе
Чтобы помочь вам лучше понять содержимое этого документа, компания Huawei перевела его на разные языки, используя машинный перевод, отредактированный людьми. Примечание: даже самые передовые программы машинного перевода не могут обеспечить качество на уровне перевода, выполненного профессиональным переводчиком. Компания Huawei не несет ответственность за точность перевода и рекомендует ознакомиться с документом на английском языке (по ссылке, которая была предоставлена ранее).
Пример настройки аутентификации по беспроводному MAC-адресу

Пример настройки аутентификации по беспроводному MAC-адресу

В этом разделе описано, как настроить аутентификацию беспроводных MAC-адресов для немых терминалов, таких как IP-телефоны, принтеры и камеры, для доступа к сетям в беспроводном режиме.

Связанные продукты и версии

Тип продукта

Наименование продукта

Версия

Гибкий контроллер-кампус Agile Controller-Campus V100R002C10
WLAN AC AC6605 V200R006C20
Коммутатор доступа S2750EI V200R008C00
Коммутатор агрегации S5720HI V200R008C00

Требования к сети

Как показано на Рис. 3-91, немые терминалы, такие как принтеры и IP-телефоны в конфиденциальной службе офиса компании, ассоциируются с AP через SSID mac_access, и подключиться к интрасети через коммутатор доступа S2750EI, коммутатор агрегации S5720HI и базовый маршрутизатор. Если неавторизованные терминалы получают доступ к интрасети, может быть атакована бизнес-система компании или может быть утечка информации о ключах. Администратор просит контролировать доступ к сети для пользователей в сети AC для обеспечения безопасности внутри сети. Кроме того, AC функционирует как DHCP-сервер, чтобы назначить IP-адреса в сегменте сети 10.10.10.0/24 для AP и централизованно управляет всеми пользователями.

Чтобы обеспечить единое управление пользовательским трафиком на AC, рекомендуется переадресация туннеля для пересылки пакетов между AC и AP.

AnyOffice не может быть установлен на немых терминалах в офисе конфиденциальной службы, таких как принтеры и IP-телефоны. Таким образом, аутентификация беспроводного MAC-адреса может использоваться, чтобы AC мог отправлять MAC-адреса терминалов в качестве информации пользователя на сервер RADIUS для аутентификации.

Рис. 3-91 Сетевая аутентификация MAC-адреса

План данных

Табл. 3-124 План беспроводной VLAN

ID VLAN

Функция

10

mVLAN для беспроводного доступа

100

Сервисная VLAN для беспроводного доступа

Табл. 3-125 План данных беспроводной сети

Пункт

Данные

Описание

Коммутатор доступа S2750EI

GE0/0/2

VLAN 10

Интерфейсы восходящей и нисходящей связи позволяют пакетам только от mVLAN проходить. Сервисная VLAN инкапсулирована в пакетах, помеченные идентификатором mVLAN.

GE0/0/3

VLAN 10

Коммутатор агрегации S5720HI

GE0/0/1

VLAN 10

Этот интерфейс нисходящей связи позволяет передавать пакеты только от mVLAN. Сервисная VLAN инкапсулирована в пакетах, помеченные идентификатором mVLAN.

GE0/0/2

VLAN 100

Этот интерфейс восходящей связи позволяет передавать пакеты только от сервисной VLAN.

GE0/0/3

VLAN 10 и VLAN 100

AC связывается с устройством восходящей связи через сервисную VLAN и с устройством нисходящей связи через mVLAN.

AC6605

GE0/0/1

VLAN 10 и VLAN 100

VLANIF 10: 10.10.10.254/24

AC связывается с устройством восходящей связи через сервисную VLAN и с устройством нисходящей связи через mVLAN.

Шлюз для AP.

Базовый маршрутизатор

GE1/0/1

172.16.21.254/24

Шлюз для немых терминалов

Сервер
  • DNS-сервер: 192.168.11.1
  • Agile Controller-Campus: 192.168.11.10
-
Табл. 3-126 План данных для аутентификации по беспроводному MAC-адресу

Пункт

Данные

Описание

RADIUS

  • Сервер RADIUS: Сервер Agile Controller-Campus
  • Ключ аутентификации: Admin@123
  • Ключ учета: Admin@123
  • Интервал учета в режиме реального времени: 15 минут
  • Порт аутентификации: 1812
  • Порт учета: 1813

Устройство контроля доступа и Agile Controller-Campus соответственно функционируют как клиент и сервер RADIUS. Ключи аутентификации, авторизации и учета и интервал учета на устройстве контроля доступа и Agile Controller-Campus должны быть одинаковыми.

Agile Controller-Campus, функционирующий как сервер RADIUS, соответственно использует порты 1812 и 1813 для аутентификации и учета.

Домен предварительной аутентификации

DNS-сервер и Agile Controller-Campus

-

Домен после аутентификации

Internet

-

Схема настройки

  1. Настройте VLAN, IP-адреса и маршруты на коммутаторе доступа, коммутаторе агрегации и AC, чтобы обеспечить сетевое подключение.
  2. Установите параметры соединения RADIUS и параметры аутентификации MAC-адреса на AC для реализации аутентификации по беспроводному MAC-адресу.
  3. Добавьте AC на Agile Controller-Campus и настройте аутентификацию и авторизацию.
ПРИМЕЧАНИЕ:

В этом примере шлюз для немых терминалов развертывается на базовом маршрутизаторе. Если шлюз для немых терминалов развернут на AC, вам нужно только настроить dhcp select interface в сервисной VLAN на AC.

В этом примере приведены только конфигурации AC, коммутатора агрегации и коммутатора доступа.

Процедура

  1. [Устройство] Настройте IP-адресы, VLAN и маршруты для реализации сетевого подключения.
    1. Настройте коммутатор доступа.

      <HUAWEI> system-view
      [HUAWEI] sysname S2700
      [S2700] vlan 10   
      [S2700-vlan10] quit   
      [S2700] interface gigabitethernet 0/0/3  
      [S2700-GigabitEthernet0/0/3] port link-type trunk
      [S2700-GigabitEthernet0/0/3] port trunk pvid vlan 10
      [S2700-GigabitEthernet0/0/3] port trunk allow-pass vlan 10
      [S2700-GigabitEthernet0/0/3] quit
      [S2700] interface gigabitethernet 0/0/2  
      [S2700-GigabitEthernet0/0/2] port link-type trunk
      [S2700-GigabitEthernet0/0/2] port trunk allow-pass vlan 10
      [S2700-GigabitEthernet0/0/2] quit

    2. Настройте коммутатор агрегации.

      <HUAWEI> system-view
      [HUAWEI] sysname S5700
      [S5700] vlan batch 10 100   
      [S5700] interface gigabitethernet 0/0/1  
      [S5700-GigabitEthernet0/0/1] port link-type trunk  
      [S5700-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 
      [S5700-GigabitEthernet0/0/1] quit
      [S5700] interface gigabitethernet 0/0/2  
      [S5700-GigabitEthernet0/0/2] port link-type trunk
      [S5700-GigabitEthernet0/0/2] port trunk allow-pass vlan 100
      [S5700-GigabitEthernet0/0/2] quit
      [S5700] interface gigabitethernet 0/0/3  
      [S5700-GigabitEthernet0/0/3] port link-type trunk
      [S5700-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 100  
      [S5700-GigabitEthernet0/0/3] quit

    3. Настройте AC.

      # Настройте интерфейс AC, чтобы разрешить передачу пакетов от сервисной VLAN и mVLAN.

      <HUAWEI> system-view
      [HUAWEI] sysname AC
      [AC] vlan batch 10 100
      [AC] interface gigabitethernet 0/0/1  
      [AC-GigabitEthernet0/0/1] port link-type trunk
      [AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 100
      [AC-GigabitEthernet0/0/1] quit

      # Настройте VLANIF 10 в качестве шлюза AP для динамического назначения IP-адресов к AP. Если AC используется в качестве шлюза для немых терминалов, настройте IP-адрес шлюза и включите DHCP на интерфейсе AC в сервисной VLAN.

      [AC] dhcp enable   
      [AC] interface vlanif 10
      [AC-Vlanif10] ip address 10.10.10.254 24
      [AC-Vlanif10] dhcp select interface
      [AC-Vlanif10] quit

      # Настройте маршрут по умолчанию с базовым маршрутизатором в качестве следующего перехода.

      [AC] ip route-static 0.0.0.0 0 172.16.21.254

  2. [Устройство] Настройте параметры онлайн-AP, чтобы включить автоматическое подключение AP после подключения к сети.

    ПРИМЕЧАНИЕ:

    Если между AP и AC развернута сеть уровня 3, необходимо настроить поле Option 43 на сервере DHCP для переноса IP-адреса AC в объявленных пакетах, позволяя AP обнаружить AC.

    1. Запустите команду ip pool ip-pool-name в системном представлении, чтобы войти в представление IP-адреса.
    2. Запустите команду option 43 sub-option 2 ip-address AC-ip-address &<1-8>, чтобы указать IP-адрес для AC.

    # Создайте группу AP, к которой могут добавляться AP с одинаковой конфигурацией.

    [AC] wlan
    [AC-wlan-view] ap-group name ap-group1
    [AC-wlan-ap-group-ap-group1] quit
    

    # Создайте профиль регулятивного домена, настройте код страны AC в профиле и примените профиль к группе AP.

    [AC-wlan-view] regulatory-domain-profile name domain1
    [AC-wlan-regulatory-domain-prof-domain1] country-code cn
    [AC-wlan-regulatory-domain-prof-domain1] quit
    [AC-wlan-view] ap-group name ap-group1
    [AC-wlan-ap-group-ap-group1] regulatory-domain-profile domain1
    Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu
    e?[Y/N]:y 
    [AC-wlan-ap-group-ap-group1] quit
    [AC-wlan-view] quit
    

    # Настройте исходный интерфейс AC.

    [AC] capwap source interface vlanif 10  //Настройте интерфейс mVLAN.
    

    # Введите AP в автономном режиме на AC и добавьте AP к группе AP ap-group1. В этом примере предполагается, что MAC-адрес AP равен 60de-4476-e360. Настройте имя для AP на основе местоположения развертывания AP, чтобы узнать, где находится AP. Например, если AP с MAC-адресом 60de-4476-e360 развернута в зоне 1, назовите AP area_1.

    [AC] wlan
    [AC-wlan-view] ap auth-mode mac-auth
    [AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360
    [AC-wlan-ap-0] ap-name area_1
    [AC-wlan-ap-0] ap-group ap-group1
    Warning: This operation may cause AP reset. If the country code changes, it will, clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y
    [AC-wlan-ap-0] quit
    [AC-wlan-view] quit

    # После включения AP запустите команду display ap all, чтобы проверить состояние AP. Если поле State отображается так же, как nor, то AP пошел онлайн правильно.

    [AC] display ap all
    Total AP information:
    nor  : normal          [1]
    -------------------------------------------------------------------------------------
    ID   MAC            Name   Group     IP            Type            State STA Uptime
    -------------------------------------------------------------------------------------
    0    60de-4476-e360 area_1 ap-group1 10.10.10.122 AP6010DN-AGN    nor   0   10S
    -------------------------------------------------------------------------------------
    Total: 1

  3. [Устройство] Настройте параметры проверки MAC-адресов, чтобы включить аутентификацию MAC-адресов для немых терминалов.

    На следующем рисунке показан процесс настройки аутентификации по беспроводному MAC-адресу.

    1. Настройте шаблон сервера RADIUS, схему аутентификации и схему учета.

      [AC] radius-server template radius_huawei  
      [AC-radius-radius_template] radius-server authentication 192.168.11.10 1812 source ip-address 10.10.10.254  
      [AC-radius-radius_template] radius-server accounting 192.168.11.10 1813 source ip-address 10.10.10.254
      [AC-radius-radius_template] radius-server shared-key cipher Admin@123
      [AC-radius-radius_template] radius-server user-name original  //Настройте AC для отправки имен пользователей, введенных пользователями на сервер RADIUS.  
      [AC-radius-radius_template] quit
      [AC] radius-server authorization 192.168.11.10 shared-key cipher Admin@123  
      [AC] aaa  
      [AC-aaa] authentication-scheme auth_scheme  //Схема аутентификации
      [AC-aaa-authen-auth_scheme] authentication-mode radius  //Установите схему аутентификации на RADIUS.
      [AC-aaa-authen-auth_scheme] quit
      [AC-aaa] accounting-scheme acco_scheme  //Схема учета
      [AC-aaa-accounting-acco_scheme] accounting-mode radius  //Установите схему учета на RADIUS.
      [AC-aaa-accounting-acco_scheme] accounting realtime 15  
      [AC-aaa-accounting-acco_scheme] quit
      [AC-aaa] quit
      
      ПРИМЕЧАНИЕ:

      Команда accounting realtime устанавливает интервал учета в режиме реального времени. Короткий учетный интервал в режиме реального времени требует высокой производительности устройства и сервера RADIUS. Установите интервал учета в режиме реального времени на основе количества пользователей.

      Табл. 3-127 Интервал учета

      Количество пользователей

      Интервал учета в режиме реального времени

      От 1 до 99

      3 минуты

      От 100 до 499

      6 минут

      От 500 до 999

      12 минут

      ≥ 1000

      ≥ 15 минут

    2. Настройте профиль доступа.

      ПРИМЕЧАНИЕ:
      В профиле доступа MAC, MAC-адрес без дефиса (-) используется как имя пользователя и пароль для аутентификации MAC-адреса.
      [AC] mac-access-profile name mac
      [AC-mac-access-profile-mac] quit

    3. Настройте профиль аутентификации.

      Укажите режим доступа пользователя в профиле аутентификации через профиль доступа. Привяжите схему аутентификации RADIUS, схему учета и шаблон сервера к профилю аутентификации, чтобы использовать аутентификацию RADIUS.

      [AC] authentication-profile name mac
      [AC-authentication-profile-mac] mac-access-profile mac
      [AC-authentication-profile-mac] authentication-scheme auth_scheme
      [AC-authentication-profile-mac] accounting-scheme acco_scheme
      [AC-authentication-profile-mac] radius-server radius_template
      [AC-authentication-profile-mac] quit

    4. Установите параметры беспроводной аутентификации MAC.

      # Создайте безопасный профиль security-mac и установите политику безопасности в профиле.

      [AC] wlan
      [AC-wlan-view] security-profile name security-mac
      [AC-wlan-sec-prof-security-mac] quit

      # Создайте профиль SSID wlan-ssid и установите имя SSID на mac-access.

      [AC-wlan-view] ssid-profile name wlan-ssid
      [AC-wlan-ssid-prof-wlan-ssid] ssid mac_access
      Warning: This action may cause service interruption. Continue?[Y/N]y
      [AC-wlan-ssid-prof-wlan-ssid] quit

      # Создайте профиль VAP wlan-vap, настройте режим пересылки сервисных данных и сервисную VLAN и примените профили безопасности, SSID и аутентификации в профиле VAP.

      [AC-wlan-view] vap-profile name wlan-vap
      [AC-wlan-vap-prof-wlan-vap] forward-mode tunnel
      Warning: This action may cause service interruption. Continue?[Y/N]y
      [AC-wlan-vap-prof-wlan-vap] service-vlan vlan-id 100
      [AC-wlan-vap-prof-wlan-vap] security-profile security-mac
      [AC-wlan-vap-prof-wlan-vap] ssid-profile wlan-ssid
      [AC-wlan-vap-prof-wlan-vap] authentication-profile mac
      [AC-wlan-vap-prof-wlan-vap] quit

      # Привяжите профиль VAP wlan-vap к группе AP ap-group1, и примените профиль VAP к radio 0 и radio 1 AP.

      [AC-wlan-view] ap-group name ap-group1
      [AC-wlan-ap-group-ap-group1] vap-profile wlan-vap wlan 1 radio all
      [AC-wlan-ap-group-ap-group1] quit

  4. [Agile Controller-Campus] Добавьте устройство контроля доступа и подключите его к Agile Controller-Campus через RADIUS.

    Выберите Resource > Device > Device Management, и добавьте AC.

    Параметры Agile Controller-Campus

    Команда

    Ключ аутентификации/учета

    radius-server shared-key cipher Admin@123

    Ключ авторизации

    radius-server authorization 192.168.11.10 shared-key cipher Admin@123

    Интервал учета в режиме реального времени (минута)

    accounting realtime 15

  5. [Agile Controller-Campus] Настройте правила авторизации и аутентификации. Конечные пользователи соответствуют правилам, основанным на определенных условиях.
    1. Добавьте правила аутентификации.

      # Выберите Policy > Permission Control > Authentication and Authorization > Authorization Rule.

      # Нажмите Add.

      # Установите параметры правил аутентификации.
      • Тип услуги: Услуга аутентификации обхода MAC



      # Нажмите OK.

    2. Добавьте устройства, требующие аутентификации MAC.

      # Выберите Resource > Terminal > Terminal List.

      # Выберите первый узел в списке Device Group и нажмите Add в правом окне, чтобы создать группу устройств для аутентификации MAC, такую ​​как MAC группы устройств.

      # Выберите MAC в списке Device Group. На вкладке Device List в правом окне нажмите Add и введите MAC-адрес устройства, например 00-11-22-33-44-55.



      # Нажмите OK.

      # Повторите предыдущие шаги, чтобы добавить все устройства, для которых требуется MAC-аутентификация к MAC группы устройств. Agile Controller-Campus поддерживает пакетный импорт MAC-адресов устройства. Подробнее см. Example в Настройка аутентификации MAC-адреса.

    3. Добавьте правила авторизации.

      # Выберите Policy > Permission Control > Authentication and Authorization > Authorization Rule.

      # Нажмите Add.

      # Установите параметры правил авторизации.
      • Тип услуги: Услуга аутентификации обхода MAC
      • Группа терминалов: MAC
      • Результат авторизации: Разрешить доступ

      # Нажмите OK.

      # Повторите предыдущие операции для создания правил авторизации. Если MAC-аутентификация не выполняется для устройства, которое пытается получить доступ к сети, устройству не разрешается обращаться к сети.

Результат

  • После завершения настройки запустите команду display mac-authen на AC, чтобы просмотреть конфигурацию аутентификации MAC-адреса.
  • После того как немой терминал связывается с WLAN с помощью SSID mac_access, AC автоматически получает MAC-адрес немого терминала в качестве имени пользователя и пароля для аутентификации. После успешной аутентификации немой терминал может получить доступ к Internet.
  • После того, как немой терминал подключится к сети, запустите команду display access-user access-type mac-authen на AC, чтобы просмотреть информацию о пользователе онлайн-аутентификации MAC-адреса.
  • Выберите Resource > User > RADIUS Log на Agile Controller-Campus для просмотра журналов RADIUS.
Загрузить
Updated: 2018-08-21

№ документа:EDOC1100029357

Просмотры:7491

Загрузки: 101

Average rating:
This Document Applies to these Products
Связанные документы
Related Version
Share
Назад Далее