Для выбранного языка не найдены ресурсы переадресации.

Этот веб-сайт использует cookie-файлы. Продолжая просмотр, вы соглашаетесь на их использование. Ознакомьтесь с нашей политикой соблюдения конфиденциальности.>

Типичные примеры настройки WLAN

Rate and give feedback :
Информация об этом переводе
Чтобы помочь вам лучше понять содержимое этого документа, компания Huawei перевела его на разные языки, используя машинный перевод, отредактированный людьми. Примечание: даже самые передовые программы машинного перевода не могут обеспечить качество на уровне перевода, выполненного профессиональным переводчиком. Компания Huawei не несет ответственность за точность перевода и рекомендует ознакомиться с документом на английском языке (по ссылке, которая была предоставлена ранее).
Пример настройки аутентификации 802.1X для пользователей беспроводной сети в среде VRRP HSB

Пример настройки аутентификации 802.1X для пользователей беспроводной сети в среде VRRP HSB

Среда кластера по двум узлам включает в себя кластеры по двум узлам сервера RADIUS и AC (VRRP). Развертывание кластеров по двум узлам в WLAN повышает надежность сети.

Связанные продукты и версии

Тип продукта

Наименование продукта

Версия

Гибкий контроллер-кампус Agile Controller-Campus V100R002C10
WLAN AC AC6605 V200R006C20
Коммутатор доступа S2750EI V200R008C00
Коммутатор агрегации S5720HI V200R008C00
Базовый коммутатор S7700 V200R008C00

Требования к сети

Для удовлетворения требований к услуге компании необходимо развернуть систему аутентификации для реализации контроля доступа для всех сотрудников, которые пытаются подключиться к корпоративной сети в беспроводном режиме. Только аутентифицированные пользователи могут подключаться к корпоративной сети.

Компания имеет следующие требования:
  • Сеть должна быть надежной, поскольку, всем сотрудникам необходимо подключиться к беспроводной сети для работы и доступа к Internet (интернет).
  • Единый механизм идентификации подлинности используется для аутентификации всех терминалов, обращающихся к корпоративной сети, и запрещает доступ к корпоративной сети и Internet (интернет) от несанкционированных терминалов.
Рис. 3-93 Сетевая диаграмма

Анализ требований

Основываясь на требованиях пользователя, сетевой дизайн выполняется следующим образом:
  • Надежность
    • AC1 и AC2 соответственно подключены к S7700A и S7700B в режиме обхода. Группа VRRP настроена между AC1 и AC2, а HSB используется для определения активных и резервных AC.
    • Группа VRRP настроена между S7700A и S7700B для повышения надежности.
    • Eth-Trunks используются для подключения коммутаторов агрегации и коммутаторов доступа, AC и базовых коммутаторов, и AC.
    • Agile Controller-Campus развернут в режиме 1 + 2 (один SM + два SC) для обеспечения надежности сервера аутентификации.
  • Межсетевое взаимодействие

    Коммутатор агрегации настроен как DHCP-сервер, чтобы назначить IP-адреса для AP. Базовые коммутаторы служат в качестве DHCP-серверов, чтобы назначить IP-адреса сотрудникам и гостям.

План VLAN

Табл. 3-133 План VLAN

ID VLAN

Функция

100

mVLAN для AP

101

Сервисная VLAN для сотрудников

103

Выходная VLAN для базовых коммутаторов

104

VLAN для связи между AC

План сетевых данных

Табл. 3-134 План сетевых данных

Пункт

Номер

Номер интерфейса

Eth-Trunk

VLAN

IP-адрес

Описание

Коммутатор доступа S2750EI

(1)

GE0/0/1

-

100 и 101

-

Подключен к AP в зоне сотрудника

(2)

GE0/0/4

-

100 и 101

-

Подключен к AP в гостевой зоне

(3)

GE0/0/2 и GE0/0/3

Eth-Trunk1

100 и 101

-

Подключен к коммутатору агрегации S5720HI

Коммутатор агрегации S5720HI

(4)

GE0/0/1 и GE0/0/2

Eth-Trunk1

100 и 101

VLANIF 100: 172.18.10.4/16

Подключен к коммутатору доступа S2750EI

Шлюз для AP

(5)

GE0/0/3 и GE0/0/4

Eth-Trunk2

100 и 101

-

Подключен к базовому коммутатору S7700A

(6)

GE0/0/5 и GE0/0/6

Eth-Trunk3

100 и 101

-

Подключен к базовому коммутатору S7700B

S7700A(Активный)

(7)

GE1/0/1 и GE1/0/2

Eth-Trunk1

100 и 101

VLANIF 101: 172.19.10.2/24

Подключен к коммутатору агрегации S5720HI

(8)

GE1/0/3 и GE1/0/4

Eth-Trunk2

100 и 101

VLANIF 100: 172.18.10.5/24

Подключен к AC1

(9)

GE1/0/5

-

103

VLANIF 103: 172.22.20.1/24

Подключен к выходному маршрутизатору

S7700B (Резервный)

(10)

GE1/0/1 и GE1/0/2

Eth-Trunk1

100 и 101

VLANIF 101: 172.19.10.3/24

Подключен к коммутатору агрегации S5720HI

(11)

GE1/0/3 и GE1/0/4

Eth-Trunk2

100 и 101

VLANIF 100: 172.18.10.6/24

Подключен к AC2

(12)

GE1/0/5

-

103

VLANIF 103: 172.23.20.1/24

Подключен к выходному маршрутизатору

AC1 (активный)

(13)

GE0/0/1 и GE0/0/2

Eth-Trunk1

100

VLANIF 100: 172.18.10.2/24

Подключен к базовому коммутатору S7700A

(14)

GE0/0/3 и GE0/0/4

Eth-Trunk2

104

VLANIF 104: 10.10.11.1/24

Подключен к AC2

AC2 (Резервный)

(15)

GE0/0/1 и GE0/0/2

Eth-Trunk1

100

VLANIF 100: 172.18.10.3/24

Подключен к базовому коммутатору S7700B

(16)

GE0/0/3 и GE0/0/4

Eth-Trunk2

104

VLANIF 104: 10.10.11.2/24

Подключен к AC1

Виртуальные адреса AC

-

-

-

-

172.18.10.1/24

Подключен к Agile Controller-Campus

Виртуальные адреса от S7700s

-

-

-

-

172.19.10.1/24

Шлюз для сотрудников

Сервер

SM+SC

172.22.10.2

-

SC

172.22.10.3

-

DNS-сервер

172.22.10.4

-

Внутренний сервер

172.22.10.5

-

План сервисных данных

Табл. 3-135 План сервисных данных

Пункт

Данные

Описание

AC

Номер ACL для домена после аутентификации сотрудников: 3001

SSID зоны сотрудника: employee

Вы должны ввести этот номер ACL при настройке правил и результатов авторизации на Agile Controller-Campus.

Сервер аутентификации RADIUS:
  • Первичный IP-адрес: 172.22.10.2
  • Вторичный IP-адрес: 172.22.10.3
  • Номер порта: 1812
  • Общий ключ: Admin@123
  • Контроллер служб у Agile Controller-Campus обеспечивает функцию сервера RADIUS; поэтому IP-адреса серверов аутентификации, учета и авторизации являются всем IP-адресом Контроллера службы.
  • Настройте сервер учета RADIUS для получения информации о входе в систему и выходе из системы. Номера портов сервера аутентификации и сервера учета должны быть такими же, как номера сервера RADIUS.
  • Настройте сервер авторизации, чтобы включить сервер RADIUS для доставки правил авторизации к AC. Общий ключ сервера авторизации должен быть таким же, как и ключ сервера аутентификации и сервера учета.
Сервер учета RADIUS:
  • Первичный IP-адрес: 172.22.10.2
  • Вторичный IP-адрес: 172.22.10.3
  • Номер порта: 1813
  • Общий ключ: Admin@123
  • Интервал учета: 15 минут
Сервер авторизации RADIUS:
  • Первичный IP-адрес: 172.22.10.2
  • Вторичный IP-адрес: 172.22.10.3
  • Общий ключ: Admin@123

Agile Controller-Campus

IP-адрес: 172.18.10.1

-

Порт аутентификации: 1812

-

Порт учета: 1813

-

Общий ключ RADIUS: Admin@123

Он должен быть таким же, как общий ключ RADIUS, настроенный на AC.

  • Учетная запись: tony
  • Пароль: Admin@123

-

Домен после аутентификации для сотрудников

Внутренние серверы и Internet (интернет)

-

Предпосылки

Вы соответственно подключили интерфейсы базового маршрутизатора 172.22.20.2/24 и 172.23.20.2/24 к S7700A и S7700B.

Схема настройки

ПРИМЕЧАНИЕ:

Активный и резервный узлы не синхронизируют конфигурации VRRP HSB. Поэтому все операции должны выполняться как на активном, так и на резервном узлах.

  1. Настройте коммутатор доступа, коммутатор агрегации, базовые коммутаторы и AC, чтобы обеспечить сетевое подключение и надежность.
  2. Настройте VRRP и HSB на базовых коммутаторах.
  3. Настройте VRRP и HSB на AC.
  4. Настройте шаблоны сервера RADIUS, схемы аутентификации, учета и авторизации в шаблоне и беспроводную аутентификацию 802.1X для каждого AC.
  5. Добавьте AC на SM и установите параметры, чтобы гарантировать, что Agile Controller-Campus может нормально взаимодействовать с AC.
  6. Добавьте результат и правило авторизации, чтобы предоставить разрешения сотрудникам после их успешной аутентификации.

Процедура

  1. [Устройство] Настройте коммутатор доступа S2750EI для обеспечения сетевого подключения.

    <HUAWEI> system-view
    [HUAWEI] sysname S2700
    [S2700] vlan batch 100 101   //Создайте VLAN 100 и VLAN 101 в партии.
    [S2700] interface gigabitethernet 0/0/1  //Введите представление интерфейса, подключенного к AP.
    [S2700-GigabitEthernet0/0/1] port link-type trunk  //Измените тип связи gigabitethernet0/0/1 на trunk.
    [S2700-GigabitEthernet0/0/1] port trunk pvid vlan 100  //Установите VLAN по умолчанию gigabitethernet0/0/1 на VLAN 100.
    [S2700-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101  //Добавьте gigabitethernet0/0/1 к VLAN 100 и VLAN 101.
    [S2700-GigabitEthernet0/0/1] quit
    [S2700] interface gigabitethernet 0/0/4  //Введите представление интерфейса, подключенного к другой AP.
    [S2700-GigabitEthernet0/0/4] port link-type trunk  //Измените тип связи gigabitethernet0/0/4 на trunk.
    [S2700-GigabitEthernet0/0/4] port trunk pvid vlan 100  //Установите VLAN по умолчанию gigabitethernet0/0/4 на VLAN 100.
    [S2700-GigabitEthernet0/0/4] port trunk allow-pass vlan 100 101  //Добавьте gigabitethernet0/0/4 к VLAN 100 и VLAN 101.
    [S2700-GigabitEthernet0/0/4] quit
    

    # Создайте Eth-Trunk 1 и добавьте GE0/0/2 и GE0/0/3 к Eth-Trunk 1.

    [S2700] interface eth-trunk 1  //Создайте Eth-Trunk 1.
    [S2700-Eth-Trunk1] quit
    [S2700] interface gigabitethernet 0/0/2  //Добавьте gigabitethernet0/0/2 к Eth-Trunk 1.
    [S2700-GigabitEthernet0/0/2] eth-trunk 1
    [S2700-GigabitEthernet0/0/2] quit
    [S2700] interface gigabitethernet 0/0/3  //Добавьте gigabitethernet0/0/3 к Eth-Trunk 1.
    [S2700-GigabitEthernet0/0/3] eth-trunk 1
    [S2700-GigabitEthernet0/0/3] quit

    # Добавьте Eth-Trunk 1 к VLAN.

    [S2700] interface eth-trunk 1  //Введите представление интерфейса, подключенного к коммутатору агрегации.
    [S2700-Eth-Trunk1] port link-type trunk  //Измените тип связи Eth-Trunk 1 на trunk.
    [S2700-Eth-Trunk1] port trunk allow-pass vlan 100 101  //Добавьте Eth-Trunk 1 к VLAN 100 и VLAN 101.
    [S2700-Eth-Trunk1] undo port trunk allow-pass vlan 1
    [S2700-Eth-Trunk1] quit
    [S2700] quit
    <S2700> save  //Сохраните конфигурацию.

  2. [Устройство] Настройте коммутатор агрегации S5720HI для обеспечения сетевого подключения.

    <HUAWEI> system-view
    [HUAWEI] sysname S5720HI
    [S5720HI] dhcp enable   //Включите услугу DHCP.
    [S5720HI] vlan batch 100 101   //Создайте VLAN 100 и VLAN 101 в партии.
    [S5720HI] interface vlanif 100  //Введите представление VLANIF 100.
    [S5720HI-Vlanif100] ip address 172.18.10.4 24  //Настройте IP-адрес для VLANIF 100 в качестве шлюза AP.
    [S5720HI-Vlanif100] dhcp select interface
    [S5720HI-Vlanif100] dhcp server excluded-ip-address 172.18.10.1 172.18.10.3  //Исключите использование IP-адресов из пула адресов DHCP.
    [S5720HI-Vlanif100] dhcp server excluded-ip-address 172.18.10.5 172.18.10.6
    [S5720HI-Vlanif100] quit

    # Создайте Eth-Trunk 1 и добавьте GE0/0/1 и GE0/0/2 к Eth-Trunk 1.

    [S5720HI] interface eth-trunk 1
    [S5720HI-Eth-Trunk1] quit
    [S5720HI] interface gigabitethernet 0/0/1
    [S5720HI-GigabitEthernet0/0/1] eth-trunk 1
    [S5720HI-GigabitEthernet0/0/1] quit
    [S5720HI] interface gigabitethernet 0/0/2
    [S5720HI-GigabitEthernet0/0/2] eth-trunk 1
    [S5720HI-GigabitEthernet0/0/2] quit

    # Добавьте Eth-Trunk 1 к VLAN.

    [S5720HI] interface eth-trunk 1  //Введите представление интерфейса, подключенного к коммутатору доступа S2700.
    [S5720HI-Eth-Trunk1] port link-type trunk
    [S5720HI-Eth-Trunk1] port trunk allow-pass vlan 100 101
    [S5720HI-Eth-Trunk1] undo port trunk allow-pass vlan 1
    [S5720HI-Eth-Trunk1] quit

    # Создайте Eth-Trunk 2 и добавьте GE0/0/3 и GE0/0/4 к Eth-Trunk 2.

    [S5720HI] interface eth-trunk 2
    [S5720HI-Eth-Trunk2] quit
    [S5720HI] interface gigabitethernet 0/0/3
    [S5720HI-GigabitEthernet0/0/3] eth-trunk 2
    [S5720HI-GigabitEthernet0/0/3] quit
    [S5720HI] interface gigabitethernet 0/0/4
    [S5720HI-GigabitEthernet0/0/4] eth-trunk 2
    [S5720HI-GigabitEthernet0/0/4] quit

    # Добавьте Eth-Trunk 2 к VLAN.

    [S5720HI] interface eth-trunk 2  //Введите представление интерфейса, подключенного к базовому коммутатору S7700A.
    [S5720HI-Eth-Trunk2] port link-type trunk
    [S5720HI-Eth-Trunk2] port trunk allow-pass vlan 100 101
    [S5720HI-Eth-Trunk1] undo port trunk allow-pass vlan 1
    [S5720HI-Eth-Trunk2] quit

    # Создайте Eth-Trunk 3 и добавьте GE0/0/5 и GE0/0/6 к Eth-Trunk 3.

    [S5720HI] interface eth-trunk 3
    [S5720HI-Eth-Trunk3] quit
    [S5720HI] interface gigabitethernet 0/0/5
    [S5720HI-GigabitEthernet0/0/5] eth-trunk 3
    [S5720HI-GigabitEthernet0/0/5] quit
    [S5720HI] interface gigabitethernet 0/0/6
    [S5720HI-GigabitEthernet0/0/6] eth-trunk 3
    [S5720HI-GigabitEthernet0/0/6] quit

    # Добавьте Eth-Trunk 3 к VLAN.

    [S5720HI] interface eth-trunk 3  //Введите представление интерфейса, подключенного к базовому коммутатору S7700B.
    [S5720HI-Eth-Trunk3] port link-type trunk
    [S5720HI-Eth-Trunk3] port trunk allow-pass vlan 100 101
    [S5720HI-Eth-Trunk3] undo port trunk allow-pass vlan 1
    [S5720HI-Eth-Trunk3] quit
    [S5720HI] quit
    <S5720HI> save  //Сохраните конфигурацию.

  3. [Устройство] Настройте базовый коммутатор S7700A для обеспечения сетевого подключения.

    <HUAWEI> system-view
    [HUAWEI] sysname S7700A
    [S7700A] vlan batch 100 101 103   //Создайте VLAN 100, VLAN 101 и VLAN 103 в партии.

    # Создайте Eth-Trunk 1 и добавьте GE1/0/1 и GE1/0/2 к Eth-Trunk 1.

    [S7700A] interface eth-trunk 1
    [S7700A-Eth-Trunk1] quit
    [S7700A] interface gigabitethernet 1/0/1
    [S7700A-GigabitEthernet1/0/1] eth-trunk 1
    [S7700A-GigabitEthernet1/0/1] quit
    [S7700A] interface gigabitethernet 1/0/2
    [S7700A-GigabitEthernet1/0/2] eth-trunk 1
    [S7700A-GigabitEthernet1/0/2] quit

    # Добавьте Eth-Trunk 1 к VLAN.

    [S7700A] interface eth-trunk 1  //Введите представление интерфейса, подключенного к коммутатору агрегации S5720HI.
    [S7700A-Eth-Trunk1] port link-type trunk
    [S7700A-Eth-Trunk1] port trunk allow-pass vlan 100 101
    [S7700A-Eth-Trunk1] undo port trunk allow-pass vlan 1
    [S7700A-Eth-Trunk1] quit
    [S7700A] dhcp enable
    [S7700A] interface vlanif 101  //Введите представление VLANIF 101.
    [S7700A-Vlanif101] ip address 172.19.10.2 24  //Настройте IP-адреса VLANIF 101 для связи с VLANIF 101 на S7700B.
    [S7700A-Vlanif101] dhcp select interface  //Настройте DHCP для VLANIF 101, чтобы IP-адрес VLANIF 101 можно было настроить как шлюз для сотрудников.
    [S7700A-Vlanif101] dhcp server dns-list 172.22.10.4  //Настройте адрес DNS-сервера.
    [S7700A-Vlanif101] dhcp server excluded-ip-address 172.19.10.1  //Исключите использование IP-адресов из пула адресов DHCP.
    [S7700A-Vlanif101] dhcp server excluded-ip-address 172.19.10.3
    [S7700A-Vlanif101] quit

    # Создайте Eth-Trunk 2 и добавьте GE1/0/3 и GE1/0/4 к Eth-Trunk 2.

    [S7700A] interface eth-trunk 2
    [S7700A-Eth-Trunk2] quit
    [S7700A] interface gigabitethernet 1/0/3
    [S7700A-GigabitEthernet1/0/3] eth-trunk 2
    [S7700A-GigabitEthernet1/0/3] quit
    [S7700A] interface gigabitethernet 1/0/4
    [S7700A-GigabitEthernet1/0/4] eth-trunk 2
    [S7700A-GigabitEthernet1/0/4] quit

    # Добавьте Eth-Trunk 2 к VLAN.

    [S7700A] interface eth-trunk 2  //Введите представление интерфейса, подключенного к AC1.
    [S7700A-Eth-Trunk2] port link-type trunk
    [S7700A-Eth-Trunk2] port trunk allow-pass vlan 100 101
    [S7700A-Eth-Trunk2] undo port trunk allow-pass vlan 1
    [S7700A-Eth-Trunk2] quit
    [S7700A] interface vlanif 100  //Введите представление VLANIF 100.
    [S7700A-Vlanif100] ip address 172.18.10.5 24  //Настройте IP-адрес VLANIF 100 для связи с AC1.
    [S7700A-Vlanif100] quit
    

    # Настройте IP-адрес для интерфейса, подключающегося к выходному маршрутизатору.

    [S7700A] interface gigabitethernet 1/0/5  //Введите представление интерфейса, подключенного к выходному маршрутизатору.
    [S7700A-GigabitEthernet1/0/5] port link-type trunk
    [S7700A-GigabitEthernet1/0/5] port trunk pvid vlan 103
    [S7700A-GigabitEthernet1/0/5] port trunk allow-pass vlan 103
    [S7700A-GigabitEthernet1/0/5] quit
    [S7700A] interface vlanif 103
    [S7700A-Vlanif103] ip address 172.22.20.1 24
    [S7700A-Vlanif103] quit
    [S7700A] ip route-static 0.0.0.0 0 172.22.20.2
    [S7700A] quit
    <S7700A> save  //Сохраните конфигурацию.

  4. [Устройство] Настройте базовый коммутатор S7700B для обеспечения сетевого подключения.

    <HUAWEI> system-view
    [HUAWEI] sysname S7700B
    [S7700B] vlan batch 100 101 103   //Создайте VLAN 100, VLAN 101 и VLAN 103 в партии.

    # Создайте Eth-Trunk 1 и добавьте GE1/0/1 и GE1/0/2 к Eth-Trunk 1.

    [S7700B] interface eth-trunk 1
    [S7700B-Eth-Trunk1] quit
    [S7700B] interface gigabitethernet 1/0/1
    [S7700B-GigabitEthernet1/0/1] eth-trunk 1
    [S7700B-GigabitEthernet1/0/1] quit
    [S7700B] interface gigabitethernet 1/0/2
    [S7700B-GigabitEthernet1/0/2] eth-trunk 1
    [S7700B-GigabitEthernet1/0/2] quit

    # Добавьте Eth-Trunk 1 к VLAN.

    [S7700B] interface eth-trunk 1  //Введите представление интерфейса, подключенного к коммутатору агрегации S5720HI.
    [S7700B-Eth-Trunk1] port link-type trunk
    [S7700B-Eth-Trunk1] port trunk allow-pass vlan 100 101
    [S7700B-Eth-Trunk1] undo port trunk allow-pass vlan 1
    [S7700B-Eth-Trunk1] quit
    [S7700B] dhcp enable
    [S7700B] interface vlanif 101  //Введите представление VLANIF 101.
    [S7700B-Vlanif101] ip address 172.19.10.3 24  //Настройте IP-адрес VLANIF 101 для связи с VLANIF 101 на S7700A.
    [S7700B-Vlanif101] dhcp select interface  //Настройте DHCP для VLANIF 101, чтобы IP-адрес VLANIF 101 можно было настроить как шлюз для сотрудников.
    [S7700B-Vlanif101] dhcp server dns-list 172.22.10.4  //Настройте адрес DNS-сервера.
    [S7700B-Vlanif101] dhcp server excluded-ip-address 172.19.10.1 172.19.10.2  //Исключите использование IP-адресов из пула адресов DHCP.
    [S7700B-Vlanif101] quit

    # Создайте Eth-Trunk 2 и добавьте GE1/0/3 и GE1/0/4 к Eth-Trunk 2.

    [S7700B] interface eth-trunk 2
    [S7700B-Eth-Trunk2] quit
    [S7700B] interface gigabitethernet 1/0/3
    [S7700B-GigabitEthernet1/0/3] eth-trunk 2
    [S7700B-GigabitEthernet1/0/3] quit
    [S7700B] interface gigabitethernet 1/0/4
    [S7700B-GigabitEthernet1/0/4] eth-trunk 2
    [S7700B-GigabitEthernet1/0/4] quit

    # Добавьте Eth-Trunk 2 к VLAN.

    [S7700B] interface eth-trunk 2  //Введите представление интерфейса, подключенного к AC2.
    [S7700B-Eth-Trunk2] port link-type trunk
    [S7700B-Eth-Trunk2] port trunk allow-pass vlan 100 101 
    [S7700B-Eth-Trunk2] undo port trunk allow-pass vlan 1
    [S7700B-Eth-Trunk2] quit
    [S7700B] interface vlanif 100  //Введите представление VLANIF 100.
    [S7700B-Vlanif100] ip address 172.18.10.6 24  //Настройте IP-адрес VLANIF 100 для связи с AC2.
    [S7700B-Vlanif100] quit
    

    # Настройте IP-адрес для интерфейса, подключающегося к выходному маршрутизатору.

    [S7700B] interface gigabitethernet 1/0/5  //Настройте IP-адрес VLANIF 100 для связи с AC2.
    [S7700B-GigabitEthernet1/0/5] port link-type trunk
    [S7700B-GigabitEthernet1/0/5] port trunk pvid vlan 103
    [S7700B-GigabitEthernet1/0/5] port trunk allow-pass vlan 103
    [S7700B-GigabitEthernet1/0/5] quit
    [S7700B] interface vlanif 103
    [S7700B-Vlanif103] ip address 172.23.20.1 24
    [S7700B-Vlanif103] quit
    [S7700B] ip route-static 0.0.0.0 0 172.23.20.2
    [S7700B] quit
    <S7700B> save  

  5. [Устройство] Настройте группы VRRP на базовых коммутаторах (S7700).

    # На VLANIF 101 S7700A создайте группу VRRP 1, установите приоритет S7700A в группе VRRP на 120 и задержку прерывания на 20 секунд, и настройте виртуальный IP-адрес группы 1 VRRP в качестве адреса шлюза сотрудника.

    <S7700A> system-view
    [S7700A] interface vlanif 101
    [S7700A-Vlanif101] vrrp vrid 1 virtual-ip 172.19.10.1
    [S7700A-Vlanif101] vrrp vrid 1 priority 120
    [S7700A-Vlanif101] vrrp vrid 1 preempt-mode timer delay 20
    [S7700A-Vlanif101] quit

    # На VLANIF 101 S7700B создайте группу VRRP 1 и установите приоритет S7700B в группе VRRP равен 100.

    <S7700B> system-view
    [S7700B] interface vlanif 101
    [S7700B-Vlanif101] vrrp vrid 1 virtual-ip 172.19.10.1
    [S7700B-Vlanif101] quit

  6. [Устройство] Настройте AC для обеспечения сетевого подключения.

    # На AC1 настройте сетевое подключение, создайте Eth-Trunk 1 и Eth-Trunk 2, и добавьте Eth-Trunk 1 к VLAN 100 и Eth-Trunk 2 к VLAN 104. Добавьте GE0/0/1 и GE0/0/2, соединяющий AC1 и S7700A к Eth-Trunk 1, и GE0/0/3 и GE0/0/4, соединяющий AC1 и AC2 к Eth-Trunk 2.

    <AC6605> system-view
    [AC6605] sysname AC1
    [AC1] vlan batch 100 101 104
    [AC1] interface eth-trunk 1
    [AC1-Eth-Trunk1] port link-type trunk
    [AC1-Eth-Trunk1] port trunk allow-pass vlan 100
    [AC1-Eth-Trunk1] trunkport GigabitEthernet 0/0/1 0/0/2    //Добавите GE0/0/1 и GE0/0/2, подключенные к базовому коммутатору S7700A к Eth-Trunk 1.
    [AC1-Eth-Trunk1] quit
    [AC1] interface eth-trunk 2
    [AC1-Eth-Trunk2] port link-type trunk
    [AC1-Eth-Trunk2] port trunk allow-pass vlan 104
    [AC1-Eth-Trunk2] trunkport GigabitEthernet 0/0/3 0/0/4  //Добавьте GE0/0/3 и GE0/0/4, подключенные к  AC2 к Eth-Trunk 2.
    [AC1-Eth-Trunk2] quit
    

    # Настройте IP-адрес AC1 для связи с другими NE.

    [AC1] interface vlanif 104
    [AC1-Vlanif104] ip address 10.10.11.1 24  //Настройте IP-адрес VLANIF 104 для связи с AC2 и передачи данных резервного копирования.
    [AC1-Vlanif104] quit
    [AC1] interface vlanif 100
    [AC1-Vlanif100] ip address 172.18.10.2 24 
    [AC1-Vlanif100] quit
    

    # Настройте маршрут по умолчанию для AC1, чтобы пересылались пакеты в базовые коммутаторы по умолчанию.

    [AC1] ip route-static 0.0.0.0 0 172.18.10.5

    # На AC2 настройте сетевое подключение, создайте Eth-Trunk 1 и Eth-Trunk 2, и добавьте Eth-Trunk 1 к VLAN 100 и Eth-Trunk 2 к VLAN 104. Добавьте GE0/0/1 и GE0/0/2, соединяющий AC2 и S7700B к Eth-Trunk 1, и GE0/0/3 и GE0/0/4, соединяющий AC1 и AC2 к Eth-Trunk 2.

    <AC6605> system-view
    [AC6605] sysname AC2
    [AC2] vlan batch 100 101 104
    [AC2] interface eth-trunk 1
    [AC2-Eth-Trunk1] port link-type trunk
    [AC2-Eth-Trunk1] port trunk allow-pass vlan 100
    [AC2-Eth-Trunk1] trunkport GigabitEthernet 0/0/1 0/0/2  //Добавите GE0/0/1 и GE0/0/2, подключенные к базовому коммутатору S7700B к Eth-Trunk 1.
    [AC2-Eth-Trunk1] quit
    [AC2] interface eth-trunk 2
    [AC2-Eth-Trunk2] port link-type trunk
    [AC2-Eth-Trunk2] port trunk allow-pass vlan 104
    [AC2-Eth-Trunk2] trunkport GigabitEthernet 0/0/3 0/0/4  //Добавите GE0/0/3 и GE0/0/4, подключенные к AC1 к Eth-Trunk 2.
    [AC2-Eth-Trunk2] quit
    

    # Настройте IP-адрес AC2 для связи с другими NE.

    [AC2] interface vlanif 104
    [AC2-Vlanif104] ip address 10.10.11.2 24  //Настройте IP-адрес VLANIF 104 для связи с AC1 и передачи резервных данных.
    [AC2-Vlanif104] quit
    [AC2] interface vlanif 100
    [AC2-Vlanif100] ip address 172.18.10.3 24 
    [AC2-Vlanif100] quit
    

    # Настройте маршрут по умолчанию для AC2, чтобы пересылались пакеты в базовые коммутаторы по умолчанию.

    [AC2] ip route-static 0.0.0.0 0 172.18.10.6

  7. [Устройство] Настройте VRRP на AC1 для реализации AC HSB.

    # Установите задержку восстановления группы VRRP на 30 секунд.

    [AC1] vrrp recover-delay 30
    

    # Создайте управляющую группу VRRP на AC1. Установите приоритет AC1 в группе VRRP на 120 и задержку прерывания до 1200 с.

    [AC1] interface vlanif 100
    [AC1-Vlanif100] vrrp vrid 1 virtual-ip 172.18.10.1  //Настройте виртуальный IP-адрес для управляющей группы VRRP.
    [AC1-Vlanif100] vrrp vrid 1 priority 120  //Установите приоритет AC1 в группе VRRP.
    [AC1-Vlanif100] vrrp vrid 1 preempt-mode timer delay 1200  //Установите задержку на упреждение для AC1 в группе VRRP.
    [AC1-Vlanif100] admin-vrrp vrid 1  //Настройте vrid 1 в качестве группы mVRRP.
    [AC1-Vlanif100] quit
    

    # Создайте HSB услугу 0 на AC1. Настройте IP-адреса и номера портов для активных и резервных каналов. Установите время ретрансляции и интервал HSB услуги 0.

    [AC1] hsb-service 0
    [AC1-hsb-service-0] service-ip-port local-ip 10.10.11.1 peer-ip 10.10.11.2 local-data-port 10241 peer-data-port 10241
    [AC1-hsb-service-0] service-keep-alive detect retransmit 3 interval 6
    [AC1-hsb-service-0] quit

    # Создайте HSB группу 0 на AC1, и привяжите ее к HSB услуге 0 и управляющей группе VRRP.

    [AC1] hsb-group 0
    [AC1-hsb-group-0] bind-service 0
    [AC1-hsb-group-0] track vrrp vrid 1 interface vlanif 100
    [AC1-hsb-group-0] quit
    

    # Привяжите службу NAC к группе HSB.

    [AC1] hsb-service-type access-user hsb-group 0

    # Привяжите службу WLAN к группе HSB.

    [AC1] hsb-service-type ap hsb-group 0

    # Привяжите службу DHCP к группе HSB.

    [AC1] hsb-service-type dhcp hsb-group 0

    # Включите HSB.

    [AC1] hsb-group 0
    [AC1-hsb-group-0] hsb enable
    [AC1-hsb-group-0] quit

  8. [Устройство] Настройте VRRP на AC2 для реализации HSB AC.

    # Установите задержку восстановления группы VRRP на 30 секунд.

    [AC2] vrrp recover-delay 30
    

    # Создайте управляющую группу VRRP на AC2.

    [AC2] interface vlanif 100
    [AC2-Vlanif100] vrrp vrid 1 virtual-ip 172.18.10.1  //Настройте виртуальный IP-адрес для управляющей группы VRRP.
    [AC2-Vlanif100] admin-vrrp vrid 1  //Настройте vrid 1 в качестве резервной группы mVRRP.
    [AC2-Vlanif100] quit
    

    # Создайте HSB услугу 0 на AC2. Настройте IP-адреса и номера портов для активных и резервных каналов. Установите время ретрансляции и интервал HSB услуги 0.

    [AC2] hsb-service 0
    [AC2-hsb-service-0] service-ip-port local-ip 10.10.11.2 peer-ip 10.10.11.1 local-data-port 10241 peer-data-port 10241
    [AC2-hsb-service-0] service-keep-alive detect retransmit 3 interval 6
    [AC2-hsb-service-0] quit

    # Создайте HSB группу 0 на AC2 и привяжите ее к HSB услуге 0 и управляющей группе VRRP.

    [AC2] hsb-group 0
    [AC2-hsb-group-0] bind-service 0
    [AC2-hsb-group-0] track vrrp vrid 1 interface vlanif 100
    [AC2-hsb-group-0] quit
    

    # Привяжите службу NAC к группе HSB.

    [AC2] hsb-service-type access-user hsb-group 0

    # Привяжите службу WLAN к группе HSB.

    [AC2] hsb-service-type ap hsb-group 0

    # Привяжите службу DHCP к группе HSB.

    [AC2] hsb-service-type dhcp hsb-group 0

  9. [Устройство] Включите HSB на AC2.

    # Включите HSB.

    [AC2] hsb-group 0
    [AC2-hsb-group-0] hsb enable
    [AC2-hsb-group-0] quit

  10. [Устройство] Проверьте настройку VRRP.

    # После завершения конфигурации запустите команду display vrrp на AC1 и AC2. Поле State на AC1 отображается как Master, что на AC2 отображается как Backup.

    [AC1] display vrrp
      Vlanif100 | Virtual Router 1
        State : Master
        Virtual IP : 172.18.10.1
        Master IP : 172.18.10.2
        PriorityRun : 120
        PriorityConfig : 120
        MasterPriority : 120
        Preempt : YES   Delay Time : 1200 s
        TimerRun : 1 s
        TimerConfig : 1 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0101
        Check TTL : YES
        Config type : admin-vrrp
        Backup-forward : disabled
        Create time : 2005-07-31 01:25:55 UTC+08:00
        Last change time : 2005-07-31 02:48:22 UTC+08:00
                                                                                    
    
    [AC2] display vrrp
      Vlanif100 | Virtual Router 1
        State : Backup
        Virtual IP : 172.18.10.1
        Master IP : 172.18.10.2
        PriorityRun : 100
        PriorityConfig : 100
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 1 s
        TimerConfig : 1 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0101
        Check TTL : YES
        Config type : admin-vrrp
        Backup-forward : disabled
        Create time : 2005-07-31 02:11:07 UTC+08:00
        Last change time : 2005-07-31 03:40:45 UTC+08:00
    

    # Запустите команду display hsb-service 0 на AC1 и AC2, чтобы проверить состояние услуги HSB. Значение поля Service State - это Connected, указывающее, что установлены активные и резервные каналы HSB.

    [AC1] display hsb-service 0
    Hot Standby Service Information:
    ----------------------------------------------------------
      Local IP Address       : 10.10.11.1
      Peer IP Address        : 10.10.11.2
      Source Port            : 10241
      Destination Port       : 10241
      Keep Alive Times       : 2
      Keep Alive Interval    : 1
      Service State          : Connected
      Service Batch Modules  : 
    ----------------------------------------------------------
    
    [AC2] display hsb-service 0
    Hot Standby Service Information:
    ----------------------------------------------------------
      Local IP Address       : 10.10.11.2
      Peer IP Address        : 10.10.11.1
      Source Port            : 10241
      Destination Port       : 10241
      Keep Alive Times       : 2
      Keep Alive Interval    : 1
      Service State          : Connected
      Service Batch Modules  : 
    ----------------------------------------------------------
    

    # Запустите команду display hsb-group 0 на AC1 и AC2, чтобы проверить состояние группы HSB.

    [AC1] display hsb-group 0
    Hot Standby Group Information:                                                  
    ----------------------------------------------------------                      
      HSB-group ID                : 0                                               
      Vrrp Group ID               : 1                                               
      Vrrp Interface              : Vlanif100                                       
      Service Index               : 0                                               
      Group Vrrp Status           : Master                                          
      Group Status                : Active                                          
      Group Backup Process        : Realtime                                        
      Peer Group Device Type      : AC6605                                          
      Peer Group Software Version : V200R006C20           
      Group Backup Modules        : Access-user                                     
                                    AP
                                    DHCP                                            
    ----------------------------------------------------------  
    [AC2] display hsb-group 0
    Hot Standby Group Information:                                                  
    ----------------------------------------------------------                      
      HSB-group ID                : 0                                               
      Vrrp Group ID               : 1                                               
      Vrrp Interface              : Vlanif100                                       
      Service Index               : 0                                               
      Group Vrrp Status           : Backup                                          
      Group Status                : Inactive                                        
      Group Backup Process        : Realtime                                        
      Peer Group Device Type      : AC6605                                          
      Peer Group Software Version : V200R006C20           
      Group Backup Modules        : Access-user                                     
                                    DHCP                                            
                                    AP                                              
    ----------------------------------------------------------  

  11. [Устройство] На AC, настройте шаблон сервера RADIUS, в шаблоне настройте схемы аутентификации, учета и авторизации. Таким образом, AC могут взаимодействовать с сервером RADIUS.

    # На AC1 настройте шаблон сервера RADIUS, в шаблоне настройте схемы аутентификации, учета и авторизации.

    [AC1] radius-server template radius_template
    [AC1-radius-radius_template] radius-server authentication 172.22.10.2 1812 source ip-address 172.18.10.1 weight 80  //Настройте первичный сервер аутентификации RADIUS с более высоким весом, чем у вторичного сервера аутентификации. 
    Установите порт аутентификации на 1812 и исходный IP-адрес для связи с сервером RADIUS на 172.16.10.1.
    [AC1-radius-radius_template] radius-server authentication 172.22.10.3 1812 source ip-address 172.18.10.1 weight 40  //Настройте вторичный сервер аутентификации RADIUS с меньшим весом, чем у первичного сервера аутентификации. 
    Установите порт аутентификации на 1812 и исходный IP-адрес для связи с сервером RADIUS на 172.16.10.1.
    [AC1-radius-radius_template] radius-server accounting 172.22.10.2 1813 source ip-address 172.18.10.1 weight 80  //Настройте первичный сервер учета RADIUS с более высоким весом, чем у вторичного сервера учета, чтобы получить сведения о входе и выходе пользователя. 
    Установите порт учета на 1813 и исходный IP-адрес для связи с сервером RADIUS на 172.16.10.1.
    [AC1-radius-radius_template] radius-server accounting 172.22.10.3 1813 source ip-address 172.18.10.1 weight 40  //Настройте вторичный сервер учета RADIUS с меньшим весом, чем у первичного сервера учета, чтобы получить сведения о входе и выходе пользователя. Установите порт учета на 1813 и исходный IP-адрес для связи с сервером RADIUS на 172.16.10.1.
    [AC1-radius-radius_template] radius-server shared-key cipher Admin@123  //Настройте общий ключ для сервера RADIUS.
    [AC1-radius-radius_template] radius-server user-name original  //Настройте AC для отправки имен пользователей, введенных пользователями на сервер RADIUS.
    [AC1-radius-radius_template] quit
    [AC1] radius-server authorization 172.22.10.2 shared-key cipher Admin@123  //Настройте сервер авторизации RADIUS, чтобы сервер RADIUS мог доставлять правила авторизации в AC. 
    Установите общий ключ на Admin@123, который должен быть таким же, как у сервера аутентификации и учета. 
    [AC1] radius-server authorization 172.22.10.3 shared-key cipher Admin@123  //Настройте сервер авторизации RADIUS, чтобы сервер RADIUS мог доставлять правила авторизации в AC. 
    //Установите общий ключ на Admin@123, который должен быть таким же, как у сервера аутентификации и учета.
    //Устройство контроля доступа может обрабатывать пакеты запроса CoA/DM, инициированные Agile Controller-Campus только после настройки серверов авторизации. 
    //Серверы аутентификации и серверы авторизации должны иметь сопоставление "один к одному", то есть количество серверов аутентификации и серверов авторизации должно быть одинаковым. 
    //Если нет, Agile Controller-Campus не сможет выгнать некоторых пользователей в автономном режиме.
    [AC1] aaa
    [AC1-aaa] authentication-scheme auth_scheme
    [AC1-aaa-authen-auth_scheme] authentication-mode radius  //Установите схему аутентификации на RADIUS.
    [AC1-aaa-authen-auth_scheme] quit
    [AC1-aaa] accounting-scheme acco_scheme
    [AC1-aaa-accounting-acco_scheme] accounting-mode radius  //Установите схему учета на RADIUS. 
    //Необходимо использовать схему учета RADIUS, чтобы сервер RADIUS мог поддерживать информацию о состоянии учетной записи, такую как информация входа/выхода из системы, и принудительно отключать пользователей.
    [AC1-aaa-accounting-acco_scheme] accounting realtime 15  //Установите интервал учета в режиме реального времени на 15 минут.
    [AC1-aaa-accounting-acco_scheme] quit
    [AC1-aaa] quit
    ПРИМЕЧАНИЕ:

    Команда accounting realtime устанавливает интервал учета в режиме реального времени. Короткий учетный интервал в режиме реального времени требует высокой производительности устройства и сервера RADIUS. Установите интервал учета в режиме реального времени на основе количества пользователей.

    Табл. 3-136 Интервал учета

    Количество пользователей

    Интервал учета в режиме реального времени

    От 1 до 99

    3 минуты

    От 100 до 499

    6 минут

    От 500 до 999

    12 минут

    ≥ 1000

    ≥ 15 минут

    # На AC2, настройте шаблон сервера RADIUS, и настройте схемы аутентификации, учета и авторизации в шаблоне. Конфигурация аутентификации RADIUS для AC2 такая же, как и для AC1, и здесь не приводится.

  12. [Устройство] Настройте AP, чтобы выходить в сеть через AC1 и AC2. В качестве примера используется AC1.

    # Создайте группу AP, к которой могут добавляться AP с одинаковой конфигурацией.

    [AC1] wlan
    [AC1-wlan-view] ap-group name ap-group1
    [AC1-wlan-ap-group-ap-group1] quit
    

    # Создайте профиль регулятивного домена, настройте код страны AC в профиле и примените профиль к группе AP.

    [AC1-wlan-view] regulatory-domain-profile name domain1
    [AC1-wlan-regulatory-domain-prof-domain1] country-code cn
    [AC1-wlan-regulatory-domain-prof-domain1] quit
    [AC1-wlan-view] ap-group name ap-group1
    [AC1-wlan-ap-group-ap-group1] regulatory-domain-profile domain1
    Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu
    e?[Y/N]:y 
    [AC1-wlan-ap-group-ap-group1] quit
    [AC1-wlan-view] quit
    

    # Настройте исходный интерфейс АС.

    [AC1] capwap source ip-address 172.18.10.1
    

    # Введите AP в автономном режиме на AC и добавьте AP к группе AP ap-group1.

    [AC1] wlan
    [AC1-wlan-view] ap auth-mode mac-auth
    [AC1-wlan-view] ap-id 0 ap-mac 60de-4476-e360
    [AC1-wlan-ap-0] ap-name ap_0
    [AC1-wlan-ap-0] ap-group ap-group1
    Warning: This operation may cause AP reset. If the country code changes, it will, clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y
    [AC1-wlan-ap-0] quit
    [AC1-wlan-view] ap-id 1 ap-mac 60de-4476-e380
    [AC1-wlan-ap-1] ap-name ap_1
    [AC1-wlan-ap-1] ap-group ap-group1
    Warning: This operation may cause AP reset. If the country code changes, it will, clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y
    [AC1-wlan-ap-1] quit
    [AC1-wlan-view] quit
    

    # После включения AP запустите команду display ap all, чтобы проверить состояние AP. Если поле State отображается так же, как nor, то AP пошел онлайн правильно.

    [AC1] display ap all
    Total AP information:
    nor  : normal          [2]
    -------------------------------------------------------------------------------------
    ID   MAC            Name   Group     IP            Type            State STA Uptime
    -------------------------------------------------------------------------------------
    0    60de-4476-e360 ap_0 ap_group  172.18.10.254 AP6010DN-AGN    nor   0   10S
    1    60de-4476-e380 ap_1 ap_group  172.18.10.253 AP6010DN-AGN    nor   0   20S
    -------------------------------------------------------------------------------------
    Total: 2

  13. [Устройство] Настройте беспроводной аутентификации 802.1X на AC1. Конфигурация аутентификации 802.1X для AC2 такая же, как и для AC1, и здесь не приводится.

    На следующем рисунке показан процесс настройки беспроводной аутентификации 802.1X.

    1. Настройте профиль доступа.

      ПРИМЕЧАНИЕ:

      Профиль доступа определяет протокол аутентификации 802.1X и параметры обработки пакета. По умолчанию используется аутентификация EAP.

      [AC1] dot1x-access-profile name acc_dot1x
      [AC1-dot1x-access-profile-acc_dot1x] quit

    2. Настройте профиль аутентификации.

      Укажите режим доступа пользователя в профиле аутентификации через профиль доступа. Привяжите схему аутентификации RADIUS, схему учета и шаблон сервера к профилю аутентификации, чтобы использовать аутентификацию RADIUS.

      [AC1] authentication-profile name auth_dot1x
      [AC1-authentication-profile-auth_dot1x] dot1x-access-profile acc_dot1x
      [AC1-authentication-profile-auth_dot1x] authentication-scheme auth_scheme
      [AC1-authentication-profile-auth_dot1x] accounting-scheme acco_scheme
      [AC1-authentication-profile-auth_dot1x] radius-server radius_template
      [AC1-authentication-profile-auth_dot1x] quit

    3. Установите параметры беспроводной аутентификации 802.1X.

      # Создайте безопасный профиль security_dot1x и установите политику безопасности в профиле.

      [AC1] wlan
      [AC1-wlan-view] security-profile name security_dot1x
      [AC1-wlan-sec-prof-security_dot1x] security wpa2 dot1x aes
      [AC1-wlan-sec-prof-security_dot1x] quit

      # Создайте профиль SSID wlan-ssid и установите имя SSID на employee.

      [AC1-wlan-view] ssid-profile name wlan-ssid
      [AC1-wlan-ssid-prof-wlan-ssid] ssid employee
      Warning: This action may cause service interruption. Continue?[Y/N]y
      [AC1-wlan-ssid-prof-wlan-ssid] quit

      # Создайте профиль VAP wlan-vap, настройте режим пересылки сервисных данных и сервисную VLAN и примените профили безопасности, SSID и аутентификации в профиле VAP.

      [AC1-wlan-view] vap-profile name wlan-vap
      [AC1-wlan-vap-prof-wlan-vap] forward-mode direct-forward  //Настройте прямую переадресацию
      [AC1-wlan-vap-prof-wlan-vap] service-vlan vlan-id 101
      [AC1-wlan-vap-prof-wlan-vap] security-profile security_dot1x
      [AC1-wlan-vap-prof-wlan-vap] ssid-profile wlan-ssid
      [AC1-wlan-vap-prof-wlan-vap] authentication-profile auth_dot1x
      [AC1-wlan-vap-prof-wlan-vap] quit

      # Привяжите профиль VAP wlan-vap к группе AP ap-group1, и примените профиль VAP к radio 0 и radio 1 AP.

      [AC1-wlan-view] ap-group name ap-group1
      [AC1-wlan-ap-group-ap-group1] vap-profile wlan-vap wlan 1 radio all
      [AC1-wlan-ap-group-ap-group1] quit
      [AC1-wlan-view] quit

  14. [Устройство] Настройте ресурсы, доступные для пользователей после успешной аутентификации на AC1 и AC2. В этом примере все ресурсы настроены как доступные после успешной аутентификации.

    [AC1] acl 3001  
    [AC1-acl-adv-3001] rule 1 permit ip  
    [AC1-acl-adv-3001] quit

  15. [Agile Controller-Campus] Добавьте AC к Диспетчеру служб, чтобы включить Agile Controller-Campus для управления AC.
    1. Выберите Resource > Device > Device Management.
    2. Нажмите Add.
    3. Настройте параметры для AC.

      Параметр

      Значение

      Описание

      Имя

      AC

      -

      IP-адрес

      172.18.10.1

      Виртуальный IP-адрес AC.

      Ключ аутентификации

      Admin@123

      Он должен быть таким же, как общий ключ сервера аутентификации RADIUS, настроенный на AC.

      Ключ учета

      Admin@123

      Он должен быть таким же, как общий ключ сервера учета RADIUS, настроенный на AC.

      Интервал учета в режиме реального времени (минута)

      15

      Он должен быть таким же, как интервал учета в режиме реального времени, настроенный на AC.

    4. Нажмите OK.
  16. Настройте аутентификацию и авторизацию.
    1. На выбор: Выберите Policy > Permission Control > Authentication & Authorization > Authentication Rule, и измените правило аутентификации по умолчанию или создайте правило аутентификации.

      По умолчанию правило аутентификации действует только для локального источника данных. Если используется источник данных третьего лица, такой как источник данных AD, измените правило аутентификации по умолчанию или создайте правило аутентификации, и правильно выберите источник данных аутентификации.

    2. Выберите Policy > Permission Control > Authentication and Authorization > Authorization Result, и добавьте ACL авторизации.

      Номер ACL должен быть таким же, как и на устройстве контроля аутентификации.

    3. Выберите Policy > Permission Control > Authentication and Authorization > Authorization Rule, и привяжите результат авторизации, чтобы указать ресурсы, доступные для пользователей после успешной аутентификации.

Верификация

Пункт

Ожидаемый результат

Аутентификация сотрудника

  • Используйте мобильный телефон для связи с SSID employee, и введите имя пользователя и пароль домена AD.
  • После успешной аутентификации вы можете успешно получить доступ к Internet-ресурсам.
  • Запустите команды display access-user и display access-user user-id user-id на AC1, чтобы просмотреть подробную информацию пользователя в сети.
  • Выберите Resource > User > RADIUS Log на Agile Controller-Campus для просмотра журналов RADIUS.

Выключение питания AC1

Услуги автоматически переключаются на AC2, не влияя на аутентификацию сотрудника. Процесс не обнаруживается пользовательскими терминалами.

Выключение питания SC

После отключения сетевого кабеля Контроллера служб, сотрудники повторно аутентифицируются и выходят в сеть. Их права доступа являются нормальными.

Резюме и предложения

  • Ключ аутентификации и ключ учета должны быть совмещены на AC и Agile Controller-Campus.

  • Правила авторизации сопоставляются в порядке убывания приоритета (в порядке возрастания номеров правил). Если условие авторизации пользователя соответствует правилу, Agile Controller-Campus не проверяет последующие правила. Поэтому рекомендуется устанавливать более высокие приоритеты для правил, определяющих более точные условия, и устанавливать более низкие приоритеты для правил, определяющих нечеткие условия.

  • Функция учета RADIUS настроена на AC, чтобы позволить Agile Controller-Campus получать информацию онлайн-пользователя путем обмена учетными пакетами с AC. Agile Controller-Campus не поддерживает реальную функцию учета. Если требуется учет, используйте сервер учета третьего лица.
Загрузить
Updated: 2018-08-21

№ документа:EDOC1100029357

Просмотры:7600

Загрузки: 103

Average rating:
This Document Applies to these Products
Связанные документы
Related Version
Share
Назад Далее