Для выбранного языка не найдены ресурсы переадресации.

Этот веб-сайт использует cookie-файлы. Продолжая просмотр, вы соглашаетесь на их использование. Ознакомьтесь с нашей политикой соблюдения конфиденциальности.>

Меню

Типичные примеры настройки WLAN

Rate and give feedback:
Информация об этом переводе
Чтобы помочь вам лучше понять содержимое этого документа, компания Huawei перевела его на разные языки, используя машинный перевод, отредактированный людьми. Примечание: даже самые передовые программы машинного перевода не могут обеспечить качество на уровне перевода, выполненного профессиональным переводчиком. Компания Huawei не несет ответственность за точность перевода и рекомендует ознакомиться с документом на английском языке (по ссылке, которая была предоставлена ранее).
Пример настройки аутентификации Portal для пользователей беспроводной сети в среде VRRP HSB

Пример настройки аутентификации Portal для пользователей беспроводной сети в среде VRRP HSB

В этом примере показано, как настроить аутентификацию Portal в беспроводной сети с поддержкой горячего резерва (HSB). AC с поддержкой VRRP, серверы RADIUS и серверы Portal в сети развертываются в режиме HSB, повышая надежность сети.

Связанные продукты и версии

Тип продукта

Наименование продукта

Версия

Гибкий контроллер-кампус Agile Controller-Campus V100R002C10
WLAN AC AC6605 V200R006C20
Коммутатор доступа S2750EI V200R008C00
Коммутатор агрегации S5720HI V200R008C00
Базовый коммутатор S7700 V200R008C00

Требования к сети

Компания имеет около 2000 сотрудников и нуждается в развертывании системы аутентификации для реализации контроля доступа для всех пользователей беспроводной сети, которые пытаются подключиться к корпоративной сети. Только аутентифицированные пользователи могут подключаться к корпоративной сети.

Компания имеет следующие требования:
  • Операции аутентификации должны быть простыми. Система аутентификации выполняет авторизацию доступа и не требует никакого клиентского программного обеспечения на пользовательских терминалах.
  • Единый механизм аутентификации подлинности используется для аутентификации всех терминалов, пытающихся подключиться к сети кампуса, и отказывать в доступе от несанкционированных терминалов.
  • Сотрудники и гости получают доступ к сети кампуса с использованием разных SSID.
  • Сотрудники могут подключаться только к DNS-серверу и Agile Controller-Campus компании до аутентификации, и могут подключаться как к интрасети, так и к Internet (интернет) после аутентификации.
  • Перед аутентификацией гости могут подключаться только к DNS-серверу и Agile Controller-Campus компании, и могут подключаться только к Internet (интернет) после аутентификации.
  • Два AC, два базовых коммутатора и два сервера Agile Controller-Campus развернуты в режиме HSB для повышения надежности сети.
Рис. 3-94 Сетевая аутентификация Portal для пользователей беспроводной сети в режиме HSB

Анализ требований

Компания не имеет особых требований к проверке безопасности терминала и требует простых операций без необходимости установки клиентов аутентификации на беспроводных терминалах. Учитывая сетевое взаимодействие и требования компании, аутентификацию Portal можно использовать в сети кампуса.

Основываясь на требованиях пользователя, сетевой дизайн выполняется следующим образом:
  • Надежность
    • AC1 и AC2 соответственно подключены к S7700A и S7700B в режиме обхода. Группа VRRP настроена между AC1 и AC2, а HSB используется для определения активных и резервных AC.
    • Группа VRRP настроена между S7700A и S7700B для повышения надежности.
    • Eth-Trunks используются для подключения коммутаторов агрегации и коммутаторов доступа, AC и базовых коммутаторов, и AC.
    • Agile Controller-Campus развернут в режиме 1 + 2 (один SM + два SC) для обеспечения надежности сервера аутентификации.
  • Межсетевое взаимодействие
    • Коммутатор агрегации настроен как DHCP-сервер, чтобы назначить IP-адреса для AP. Базовые коммутаторы служат в качестве DHCP-серверов, чтобы назначить IP-адреса сотрудникам и гостям.
  • Режим пересылки трафика данных

    Пакеты данных сотрудников и гостей пересылаются соответственно в локальном и туннельном режимах. Пакеты аутентификации сотрудников и гостей пересылаются в туннельном режиме.

  • Услуги
    • Сотрудники и гости проходят аутентификацию на веб-страницах переотправления сервером Portal. Вам необходимо настроить различные правила ACL на AC, чтобы контролировать права доступа сотрудников и гостей.
    • Различные SSID необходимо настроить для сотрудников и гостей, чтобы различные страницы аутентификации могли быть переотправлены к ним на основе их SSID.

План VLAN

Табл. 3-137 План VLAN

ID VLAN

Функция

100

mVLAN для AP

101

Сервисная VLAN для сотрудников

102

Сервисная VLAN для гостей

103

Выходная VLAN для базовых коммутаторов

104

VLAN для связи между AC

План сетевых данных

Табл. 3-138 План сетевых данных

Пункт

Номер

Номер интерфейса

Eth-Trunk

VLAN

IP-адрес

Описание

Коммутатор доступа S2750EI

(1)

GE0/0/1

-

100 и 101

-

Подключен к AP в зоне сотрудника

(2)

GE0/0/4

-

100 и 101

-

Подключен к AP в гостевой зоне

(3)

GE0/0/2 и GE0/0/3

Eth-Trunk1

100 и 101

-

Подключен к коммутатору агрегации S5720HI

Коммутатор агрегации S5720HI

(4)

GE0/0/1 и GE0/0/2

Eth-Trunk1

100 и 101

VLANIF 100: 172.18.10.4/24

Подключен к коммутатору доступа S2750EI

Шлюз для AP

(5)

GE0/0/3 и GE0/0/4

Eth-Trunk2

100 и 101

-

Подключен к базовому коммутатору S7700A

(6)

GE0/0/5 и GE0/0/6

Eth-Trunk3

100 и 101

-

Подключен к базовому коммутатору S7700B

S7700A (Активный)

(7)

GE1/0/1 и GE1/0/2

Eth-Trunk1

100 и 101

VLANIF 101: 172.19.10.2/24

Подключен к коммутатору агрегации S5720HI

(8)

GE1/0/3 и GE1/0/4

Eth-Trunk2

100, 101 и 102

VLANIF 100: 172.18.10.5/24

VLANIF 102: 172.20.10.2/24

Подключен к AC1

(9)

GE1/0/5

-

103

VLANIF 103: 172.22.20.1/24

Подключен к выходному маршрутизатору

S7700B (Резервный)

(10)

GE1/0/1 и GE1/0/2

Eth-Trunk1

100 и 101

VLANIF 101: 172.19.10.3/24

Подключен к коммутатору агрегации S5720HI

(11)

GE1/0/3 и GE1/0/4

Eth-Trunk2

100, 101 и 102

VLANIF 100: 172.18.10.6/24

VLANIF 102: 172.20.10.3/24

Подключен к AC2

(12)

GE1/0/5

-

103

VLANIF 103: 172.23.20.1/24

Подключен к выходному маршрутизатору

AC1 (активный)

(13)

GE0/0/1 и GE0/0/2

Eth-Trunk1

100

VLANIF 100: 172.18.10.2/24

Подключен к базовому коммутатору S7700A

(14)

GE0/0/3 и GE0/0/4

Eth-Trunk2

104

VLANIF 104: 10.10.11.1/24

Подключен к AC2

AC2 (Резервный)

(15)

GE0/0/1 и GE0/0/2

Eth-Trunk1

100

VLANIF 100: 172.18.10.3/24

Подключен к базовому коммутатору S7700B

(16)

GE0/0/3 и GE0/0/4

Eth-Trunk2

104

VLANIF 104: 10.10.11.2/24

Подключен к AC1

Виртуальные адреса AC

-

-

-

-

172.18.10.1/24

Подключен к Agile Controller-Campus

Виртуальный адрес 1 от S7700s

-

-

-

-

172.19.10.1/24

Шлюз для сотрудников

Виртуальный адрес 2 от S7700s

-

-

-

-

172.20.10.1/24

Шлюз для гостей

Сервер

SM+SC (сервер RADIUS 1+сервер Portal 1)

172.22.10.2

-

SC (сервер RADIUS 2+сервер Portal 2)

172.22.10.3

-

DNS-сервер

172.22.10.4

-

Внутренний сервер

172.22.10.5

-

План сервисных данных

Табл. 3-139 План сервисных данных

Пункт

Данные

Описание

AC

Номер ACL для домена после аутентификации сотрудников: 3001

SSID зоны сотрудника: employee

Вы должны ввести этот номер ACL при настройке правил и результатов авторизации на Agile Controller-Campus.

Номер ACL для домена после аутентификации гостей: 3002

SSID гостевой зоны: guest

Вы должны ввести этот номер ACL при настройке правил и результатов авторизации на Agile Controller-Campus.

Сервер аутентификации RADIUS:
  • Первичный IP-адрес: 172.22.10.2
  • Вторичный IP-адрес: 172.22.10.3
  • Номер порта: 1812
  • Общий ключ: Admin@123
  • Контроллер служб у Agile Controller-Campus обеспечивает функции сервера RADIUS и сервера Portal, поэтому IP-адреса серверов аутентификации, учета, авторизации и Portal являются всем IP-адресом Контроллера служб.
  • Настройте сервер учета RADIUS для получения информации о входе в систему и выходе из системы. Номера портов сервера аутентификации и сервера учета должны быть такими же, как номера сервера RADIUS.
  • Настройте сервер авторизации, чтобы включить сервер RADIUS для доставки правил авторизации к AC. Общий ключ сервера авторизации должен быть таким же, как и ключ сервера аутентификации и сервера учета.
Сервер учета RADIUS:
  • Первичный IP-адрес: 172.22.10.2
  • Вторичный IP-адрес: 172.22.10.3
  • Номер порта: 1813
  • Общий ключ: Admin@123
  • Интервал учета: 15 минут
Сервер авторизации RADIUS:
  • Первичный IP-адрес: 172.22.10.2
  • Вторичный IP-адрес: 172.22.10.3
  • Общий ключ: Admin@123
Сервер Portal:
  • Первичный IP-адрес: 172.22.10.2
  • Вторичный IP-адрес: 172.22.10.3
  • Номер порта, который AC использует для прослушивания пакетов протокола Portal: 2000
  • Номер порта назначения в пакетах, которые AC посылает на сервер Portal: 50200
  • Общий ключ: Admin@123
  • Ключ шифрования для параметров URL, которые AC посылает на сервер Portal: Admin@123

Agile Controller-Campus

Имя хоста1: access1.example.com

Имя хоста2: access2.example.com

Пользователи могут использовать доменное имя для доступа к серверу Portal.

Порт аутентификации: 1812

-

Порт учета: 1813

-

Общий ключ RADIUS: Admin@123

Он должен быть таким же, как общий ключ RADIUS, настроенный на AC.

Номер порта сервера Portal: 50200

-

Ключ Portal: Admin@123

Он должен быть таким же, как ключ Portal, настроенный на AC.

Отдел: Сотрудник
  • Учетная запись: tony
  • Пароль: Admin@123
Отдел: Гость
  • Учетная запись: susan
  • Пароль: Admin@123

Отдел Employee, учетная запись сотрудника tony, и учетная запись гостя susan были созданы на Agile Controller-Campus.

Домен предварительной аутентификации

SM+SC1 (сервер RADIUS+сервер Portal), SC2 (сервер RADIUS+сервер Portal) и DNS-сервер

-

Домен после аутентификации для сотрудников

Внутренние серверы и Internet (интернет)

-

Домен после аутентификации для гостей

Internet

-

Предпосылки

Вы соответственно подключили интерфейсы базового маршрутизатора 172.22.20.2/24 и 172.23.20.2/24 к S7700A и S7700B.

Схема настройки

  1. Настройте коммутаторы доступа, коммутатор агрегации, базовые коммутаторы и AC для реализации межсетевого взаимодействия в сети.
  2. На AC настройте шаблон сервера RADIUS, в шаблоне настройте схемы аутентификации, учета и авторизации и укажите IP-адреса серверов Portal. Таким образом, AC могут связываться с серверами RADIUS и серверами Portal.
  3. Добавьте AC к Диспетчеру служб и настройте параметры для AC, чтобы гарантировать, что Agile Controller-Campus может управлять AC.
  4. Добавьте результаты и правила авторизации, чтобы предоставить различные права доступа сотрудникам и гостям после их успешной аутентификации.

Процедура

  1. [Устройство] Настройте коммутатор доступа S2750EI для обеспечения сетевого подключения.

    <HUAWEI> system-view
    [HUAWEI] sysname S2700
    [S2700] vlan batch 100 101   //Создайте VLAN 100 и VLAN 101 в партии.
    [S2700] interface gigabitethernet 0/0/1  //Введите представление интерфейса, подключенного к AP.
    [S2700-GigabitEthernet0/0/1] port link-type trunk  //Измените тип связи gigabitethernet0/0/1 на trunk.
    [S2700-GigabitEthernet0/0/1] port trunk pvid vlan 100  //Установите VLAN по умолчанию gigabitethernet0/0/1 на VLAN 100.
    [S2700-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101  //Добавьте gigabitethernet0/0/1 к VLAN 100 и VLAN 101.
    [S2700-GigabitEthernet0/0/1] quit
    [S2700] interface gigabitethernet 0/0/4  //Введите представление интерфейса, подключенного к другой AP.
    [S2700-GigabitEthernet0/0/4] port link-type trunk  //Измените тип связи gigabitethernet0/0/4 на trunk.
    [S2700-GigabitEthernet0/0/4] port trunk pvid vlan 100  //Установите VLAN по умолчанию gigabitethernet0/0/4 на VLAN 100.
    [S2700-GigabitEthernet0/0/4] port trunk allow-pass vlan 100 101  //Добавьте gigabitethernet0/0/4 к VLAN 100 и VLAN 101.
    [S2700-GigabitEthernet0/0/4] quit
    

    # Создайте Eth-Trunk 1 и добавьте GE0/0/2 и GE0/0/3 к Eth-Trunk 1.

    [S2700] interface eth-trunk 1  //Создайте Eth-Trunk 1.
    [S2700-Eth-Trunk1] quit
    [S2700] interface gigabitethernet 0/0/2  //Добавьте gigabitethernet0/0/2 к Eth-Trunk 1.
    [S2700-GigabitEthernet0/0/2] eth-trunk 1
    [S2700-GigabitEthernet0/0/2] quit
    [S2700] interface gigabitethernet 0/0/3  //Добавьте gigabitethernet0/0/3 к Eth-Trunk 1.
    [S2700-GigabitEthernet0/0/3] eth-trunk 1
    [S2700-GigabitEthernet0/0/3] quit

    # Добавьте Eth-Trunk 1 к VLAN.

    [S2700] interface eth-trunk 1  //Введите представление интерфейса, подключенного к коммутатору агрегации.
    [S2700-Eth-Trunk1] port link-type trunk  //Измените тип связи Eth-Trunk 1 на trunk.
    [S2700-Eth-Trunk1] port trunk allow-pass vlan 100 101  //Добавьте Eth-Trunk 1 к VLAN 100 и VLAN 101.
    [S2700-Eth-Trunk1] undo port trunk allow-pass vlan 1
    [S2700-Eth-Trunk1] quit
    [S2700] quit
    <S2700> save  //Сохраните конфигурацию.

  2. [Устройство] Настройте коммутатор агрегации S5720HI для обеспечения сетевого подключения.

    <HUAWEI> system-view
    [HUAWEI] sysname S5720HI
    [S5720HI] dhcp enable   //Включите службу DHCP.
    [S5720HI] vlan batch 100 101   //Создайте VLAN 100 и VLAN 101 в партии.
    [S5720HI] interface vlanif 100  //Введите представление VLANIF 100.
    [S5720HI-Vlanif100] ip address 172.18.10.4 24  //Настройте IP-адрес для VLANIF 100 как шлюз AP.
    [S5720HI-Vlanif100] dhcp select interface
    [S5720HI-Vlanif100] dhcp server excluded-ip-address 172.18.10.1 172.18.10.3  //Исключите используемые IP-адреса из пула адресов DHCP.
    [S5720HI-Vlanif100] dhcp server excluded-ip-address 172.18.10.5 172.18.10.6
    [S5720HI-Vlanif100] quit

    # Создайте Eth-Trunk 1 и добавьте GE0/0/1 и GE0/0/2 к Eth-Trunk 1.

    [S5720HI] interface eth-trunk 1
    [S5720HI-Eth-Trunk1] quit
    [S5720HI] interface gigabitethernet 0/0/1
    [S5720HI-GigabitEthernet0/0/1] eth-trunk 1
    [S5720HI-GigabitEthernet0/0/1] quit
    [S5720HI] interface gigabitethernet 0/0/2
    [S5720HI-GigabitEthernet0/0/2] eth-trunk 1
    [S5720HI-GigabitEthernet0/0/2] quit

    # Добавьте Eth-Trunk 1 к VLAN.

    [S5720HI] interface eth-trunk 1  //Введите представление интерфейса, подключенного к коммутатору доступа S2700.
    [S5720HI-Eth-Trunk1] port link-type trunk
    [S5720HI-Eth-Trunk1] port trunk allow-pass vlan 100 101
    [S5720HI-Eth-Trunk1] undo port trunk allow-pass vlan 1
    [S5720HI-Eth-Trunk1] quit

    # Создайте Eth-Trunk 2 и добавьте GE0/0/3 и GE0/0/4 к Eth-Trunk 2.

    [S5720HI] interface eth-trunk 2
    [S5720HI-Eth-Trunk2] quit
    [S5720HI] interface gigabitethernet 0/0/3
    [S5720HI-GigabitEthernet0/0/3] eth-trunk 2
    [S5720HI-GigabitEthernet0/0/3] quit
    [S5720HI] interface gigabitethernet 0/0/4
    [S5720HI-GigabitEthernet0/0/4] eth-trunk 2
    [S5720HI-GigabitEthernet0/0/4] quit

    # Добавьте Eth-Trunk 2 к VLAN.

    [S5720HI] interface eth-trunk 2  //Введите представление интерфейса, подключенного к базовому коммутатору S7700A.
    [S5720HI-Eth-Trunk2] port link-type trunk
    [S5720HI-Eth-Trunk2] port trunk allow-pass vlan 100 101
    [S5720HI-Eth-Trunk1] undo port trunk allow-pass vlan 1
    [S5720HI-Eth-Trunk2] quit

    # Создайте Eth-Trunk 3 и добавьте GE0/0/5 и GE0/0/6 к Eth-Trunk 3.

    [S5720HI] interface eth-trunk 3
    [S5720HI-Eth-Trunk3] quit
    [S5720HI] interface gigabitethernet 0/0/5
    [S5720HI-GigabitEthernet0/0/5] eth-trunk 3
    [S5720HI-GigabitEthernet0/0/5] quit
    [S5720HI] interface gigabitethernet 0/0/6
    [S5720HI-GigabitEthernet0/0/6] eth-trunk 3
    [S5720HI-GigabitEthernet0/0/6] quit

    # Добавьте Eth-Trunk 3 к VLAN.

    [S5720HI] interface eth-trunk 3  //Введите представление интерфейса, подключенного к базовому коммутатору S7700B.
    [S5720HI-Eth-Trunk3] port link-type trunk
    [S5720HI-Eth-Trunk3] port trunk allow-pass vlan 100 101
    [S5720HI-Eth-Trunk3] undo port trunk allow-pass vlan 1
    [S5720HI-Eth-Trunk3] quit
    [S5720HI] quit
    <S5720HI> save  //Сохраните конфигурацию.

  3. [Устройство] Настройте базовый коммутатор S7700A для обеспечения сетевого подключения.

    <HUAWEI> system-view
    [HUAWEI] sysname S7700A
    [S7700A] vlan batch 100 to 103   //Создайте VLAN 100, VLAN 101, VLAN 102 и VLAN 103 в партии.

    # Создайте Eth-Trunk 1 и добавьте GE1/0/1 и GE1/0/2 к Eth-Trunk 1.

    [S7700A] interface eth-trunk 1
    [S7700A-Eth-Trunk1] quit
    [S7700A] interface gigabitethernet 1/0/1
    [S7700A-GigabitEthernet1/0/1] eth-trunk 1
    [S7700A-GigabitEthernet1/0/1] quit
    [S7700A] interface gigabitethernet 1/0/2
    [S7700A-GigabitEthernet1/0/2] eth-trunk 1
    [S7700A-GigabitEthernet1/0/2] quit

    # Добавьте Eth-Trunk 1 к VLAN.

    [S7700A] interface eth-trunk 1  //Введите представление интерфейса, подключенного к коммутатору агрегации S5720HI.
    [S7700A-Eth-Trunk1] port link-type trunk
    [S7700A-Eth-Trunk1] port trunk allow-pass vlan 100 101
    [S7700A-Eth-Trunk1] undo port trunk allow-pass vlan 1
    [S7700A-Eth-Trunk1] quit
    [S7700A] dhcp enable
    [S7700A] interface vlanif 101  //Введите представление VLANIF 101.
    [S7700A-Vlanif101] ip address 172.19.10.2 24  //Настройте IP-адрес VLANIF 101 для связи с VLANIF 101 на S7700B.
    [S7700A-Vlanif101] dhcp select interface  //Настройте DHCP для VLANIF 101, чтобы настроить IP-адрес VLANIF 101 как шлюз для сотрудников.
    [S7700A-Vlanif101] dhcp server dns-list 172.22.10.4  //Настройте адрес DNS-сервера.
    [S7700A-Vlanif101] dhcp server excluded-ip-address 172.19.10.1  //Исключите используемые IP-адреса из пула адресов DHCP.
    [S7700A-Vlanif101] dhcp server excluded-ip-address 172.19.10.3
    [S7700A-Vlanif101] quit

    # Создайте Eth-Trunk 2 и добавьте GE1/0/3 и GE1/0/4 к Eth-Trunk 2.

    [S7700A] interface eth-trunk 2
    [S7700A-Eth-Trunk2] quit
    [S7700A] interface gigabitethernet 1/0/3
    [S7700A-GigabitEthernet1/0/3] eth-trunk 2
    [S7700A-GigabitEthernet1/0/3] quit
    [S7700A] interface gigabitethernet 1/0/4
    [S7700A-GigabitEthernet1/0/4] eth-trunk 2
    [S7700A-GigabitEthernet1/0/4] quit

    # Добавьте Eth-Trunk 2 к VLAN.

    [S7700A] interface eth-trunk 2  //Введите представление интерфейса, подключенного к AC1.
    [S7700A-Eth-Trunk2] port link-type trunk
    [S7700A-Eth-Trunk2] port trunk allow-pass vlan 100 101 102
    [S7700A-Eth-Trunk1] undo port trunk allow-pass vlan 1
    [S7700A-Eth-Trunk2] quit
    [S7700A] interface vlanif 100  //Введите представление VLANIF 100.
    [S7700A-Vlanif100] ip address 172.18.10.5 24  //Настройте IP-адрес VLANIF 100 для связи с AC1.
    [S7700A-Vlanif100] quit
    [S7700A] interface vlanif 102  //Введите представление VLANIF 102.
    [S7700A-Vlanif102] ip address 172.20.10.2 24  //Настройте IP-адрес VLANIF 102 для связи с VLANIF 102 на S7700B.
    [S7700A-Vlanif102] dhcp select interface  //Настройте DHCP для VLANIF 102, чтобы настроить IP-адрес VLANIF 102 в качестве шлюза для гостей.
    [S7700A-Vlanif102] dhcp server dns-list 172.22.10.4
    [S7700A-Vlanif102] dhcp server excluded-ip-address 172.20.10.1
    [S7700A-Vlanif102] dhcp server excluded-ip-address 172.20.10.3
    [S7700A-Vlanif102] quit

    # Настройте IP-адрес для интерфейса, подключающегося к выходному маршрутизатору.

    [S7700A] interface gigabitethernet 1/0/5  //Введите представление интерфейса, подключенного к выходному маршрутизатору.
    [S7700A-GigabitEthernet1/0/5] port link-type trunk
    [S7700A-GigabitEthernet1/0/5] port trunk pvid vlan 103
    [S7700A-GigabitEthernet1/0/5] port trunk allow-pass vlan 103
    [S7700A-GigabitEthernet1/0/5] quit
    [S7700A] interface vlanif 103
    [S7700A-Vlanif103] ip address 172.22.20.1 24
    [S7700A-Vlanif103] quit
    [S7700A] ip route-static 0.0.0.0 0 172.22.20.2
    [S7700A] quit
    <S7700A> save  //Сохраните конфигурацию.

  4. [Устройство] Настройте базовый коммутатор S7700B для обеспечения сетевого подключения.

    <HUAWEI> system-view
    [HUAWEI] sysname S7700B
    [S7700B] vlan batch 100 to 103   //Создайте VLAN 100, VLAN 101, VLAN 102 и VLAN 103 в партии.

    # Создайте Eth-Trunk 1 и добавьте GE1/0/1 и GE1/0/2 к Eth-Trunk 1.

    [S7700B] interface eth-trunk 1
    [S7700B-Eth-Trunk1] quit
    [S7700B] interface gigabitethernet 1/0/1
    [S7700B-GigabitEthernet1/0/1] eth-trunk 1
    [S7700B-GigabitEthernet1/0/1] quit
    [S7700B] interface gigabitethernet 1/0/2
    [S7700B-GigabitEthernet1/0/2] eth-trunk 1
    [S7700B-GigabitEthernet1/0/2] quit

    # Добавьте Eth-Trunk 1 к VLAN.

    [S7700B] interface eth-trunk 1  //Введите представление интерфейса, подключенного к коммутатору агрегации S5720HI.
    [S7700B-Eth-Trunk1] port link-type trunk
    [S7700B-Eth-Trunk1] port trunk allow-pass vlan 100 101
    [S7700B-Eth-Trunk1] undo port trunk allow-pass vlan 1
    [S7700B-Eth-Trunk1] quit
    [S7700B] dhcp enable
    [S7700B] interface vlanif 101  //Введите представление VLANIF 101.
    [S7700B-Vlanif101] ip address 172.19.10.3 24 //Настройте IP-адрес VLANIF 101 для связи с VLANIF 101 на S7700A.
    [S7700B-Vlanif101] dhcp select interface //Настройте DHCP для VLANIF 101, чтобы настроить IP-адрес VLANIF 101 как шлюз для сотрудников.
    [S7700B-Vlanif101] dhcp server dns-list 172.22.10.4  //Настройте адрес DNS-сервера.
    [S7700B-Vlanif101] dhcp server excluded-ip-address 172.19.10.1 172.19.10.2  //Исключите используемые IP-адреса из пула адресов DHCP.
    [S7700B-Vlanif101] quit

    # Создайте Eth-Trunk 2 и добавьте GE1/0/3 и GE1/0/4 к Eth-Trunk 2.

    [S7700B] interface eth-trunk 2
    [S7700B-Eth-Trunk2] quit
    [S7700B] interface gigabitethernet 1/0/3
    [S7700B-GigabitEthernet1/0/3] eth-trunk 2
    [S7700B-GigabitEthernet1/0/3] quit
    [S7700B] interface gigabitethernet 1/0/4
    [S7700B-GigabitEthernet1/0/4] eth-trunk 2
    [S7700B-GigabitEthernet1/0/4] quit

    # Добавьте Eth-Trunk 2 к VLAN.

    [S7700B] interface eth-trunk 2  //Введите представление интерфейса, подключенного к AC2.
    [S7700B-Eth-Trunk2] port link-type trunk
    [S7700B-Eth-Trunk2] port trunk allow-pass vlan 100 101 102
    [S7700B-Eth-Trunk2] undo port trunk allow-pass vlan 1
    [S7700B-Eth-Trunk2] quit
    [S7700B] interface vlanif 100  //Введите представление VLANIF 100.
    [S7700B-Vlanif100] ip address 172.18.10.6 24  //Настройте IP-адрес для VLANIF 100 для связи с AC2.
    [S7700B-Vlanif100] quit
    [S7700B] interface vlanif 102  //Введите представление VLANIF 102.
    [S7700B-Vlanif102] ip address 172.20.10.3 24//Настройте IP-адрес VLANIF 102 для связи с VLANIF 102 на S7700A.
    [S7700B-Vlanif102] dhcp select interface//Настройте DHCP для VLANIF 102, чтобы настроить IP-адрес VLANIF 102 в качестве шлюза для гостей.
    [S7700B-Vlanif102] dhcp server dns-list 172.22.10.4
    [S7700B-Vlanif102] dhcp server excluded-ip-address 172.20.10.1 172.20.10.2
    [S7700B-Vlanif102] quit

    # Настройте IP-адрес для интерфейса, подключающегося к выходному маршрутизатору.

    [S7700B] interface gigabitethernet 1/0/5  //Введите представление интерфейса, подключенного к выходному маршрутизатору.
    [S7700B-GigabitEthernet1/0/5] port link-type trunk
    [S7700B-GigabitEthernet1/0/5] port trunk pvid vlan 103
    [S7700B-GigabitEthernet1/0/5] port trunk allow-pass vlan 103
    [S7700B-GigabitEthernet1/0/5] quit
    [S7700B] interface vlanif 103
    [S7700B-Vlanif103] ip address 172.23.20.1 24
    [S7700B-Vlanif103] quit
    [S7700B] ip route-static 0.0.0.0 0 172.23.20.2
    [S7700B] quit
    <S7700B> save  //Сохраните конфигурацию.

  5. [Устройство] Настройте группы VRRP на базовых коммутаторах (S7700).

    # На VLANIF 101 S7700A создайте группу VRRP 1, установите приоритет S7700A в группе VRRP на 120 и задержку прерывания на 20 секунд, и настройте виртуальный IP-адрес группы 1 VRRP в качестве адреса шлюза сотрудника.

    <S7700A> system-view
    [S7700A] interface vlanif 101
    [S7700A-Vlanif101] vrrp vrid 1 virtual-ip 172.19.10.1
    [S7700A-Vlanif101] vrrp vrid 1 priority 120
    [S7700A-Vlanif101] vrrp vrid 1 preempt-mode timer delay 20
    [S7700A-Vlanif101] quit

    # На VLANIF 102 S7700A создайте группу VRRP 2, установите приоритет S7700A в группе VRRP на 120 и задержку прерывания на 20 секунд, и настройте виртуальный IP-адрес VRRP-группы 2 в качестве адреса шлюза гости.

    [S7700A] interface vlanif 102
    [S7700A-Vlanif102] vrrp vrid 1 virtual-ip 172.20.10.1
    [S7700A-Vlanif102] vrrp vrid 1 priority 120
    [S7700A-Vlanif102] vrrp vrid 1 preempt-mode timer delay 20
    [S7700A-Vlanif102] quit
    [S7700A] quit
    <S7700A> save  //Сохраните конфигурацию.

    # На VLANIF 101 S7700B создайте группу VRRP 1 и установите приоритет S7700B в группе VRRP равен 100.

    <S7700B> system-view
    [S7700B] interface vlanif 101
    [S7700B-Vlanif101] vrrp vrid 1 virtual-ip 172.19.10.1
    [S7700B-Vlanif101] quit

    # На VLANIF 102 S7700B создайте группу VRRP 2 и установите приоритет S7700B в группе VRRP равен 100.

    [S7700B] interface vlanif 102
    [S7700B-Vlanif102] vrrp vrid 1 virtual-ip 172.20.10.1
    [S7700B-Vlanif102] quit
    [S7700B] quit
    <S7700B> save  //Сохраните конфигурацию.

  6. [Устройство] Настройте AC для обеспечения сетевого подключения.

    # На AC1 настройте сетевое подключение, создайте Eth-Trunk 1 и Eth-Trunk 2, и добавьте Eth-Trunk 1 к VLAN 100 и Eth-Trunk 2 к VLAN 104. Добавьте GE0/0/1 и GE0/0/2, соединяющий AC1 и S7700A к Eth-Trunk 1, и GE0/0/3 и GE0/0/4, соединяющий AC1 и AC2 к Eth-Trunk 2.

    <AC6605> system-view
    [AC6605] sysname AC1
    [AC1] vlan batch 100 101 102 104
    [AC1] interface eth-trunk 1
    [AC1-Eth-Trunk1] port link-type trunk
    [AC1-Eth-Trunk1] port trunk allow-pass vlan 100
    [AC1-Eth-Trunk1] trunkport GigabitEthernet 0/0/1 0/0/2 //Добавьте GE0/0/1 и GE0/0/2, подключенные к базовому коммутатору S7700A, к Eth-Trunk 1.
    [AC1-Eth-Trunk1] quit
    [AC1] interface eth-trunk 2
    [AC1-Eth-Trunk2] port link-type trunk
    [AC1-Eth-Trunk2] port trunk allow-pass vlan 104
    [AC1-Eth-Trunk2] trunkport GigabitEthernet 0/0/3 0/0/4 //Добавьте GE0/0/3 и GE0/0/4, подключенные к AC2, к Eth-Trunk 2.
    [AC1-Eth-Trunk2] quit
    

    # Настройте IP-адрес AC1 для связи с другими NE.

    [AC1] interface vlanif 104
    [AC1-Vlanif104] ip address 10.10.11.1 24 //Настройте IP-адрес для VLANIF 104 для связи с AC2 и передачи данных резервного копирования.
    [AC1-Vlanif104] quit
    [AC1] interface vlanif 100
    [AC1-Vlanif100] ip address 172.18.10.2 24 
    [AC1-Vlanif100] quit
    

    # Настройте маршрут по умолчанию для AC1, чтобы пакеты были переданы базовым коммутаторам по умолчанию.

    [AC1] ip route-static 0.0.0.0 0 172.18.10.5

    # На AC2 настройте сетевое подключение, создайте Eth-Trunk 1 и Eth-Trunk 2, и добавьте Eth-Trunk 1 к VLAN 100 и Eth-Trunk 2 к VLAN 104. Добавьте GE0/0/1 и GE0/0/2, соединяющий AC2 и S7700B к Eth-Trunk 1, и GE0/0/3 и GE0/0/4, соединяющий AC1 и AC2 к Eth-Trunk 2.

    <AC6605> system-view
    [AC6605] sysname AC2
    [AC2] vlan batch 100 101 102 104
    [AC2] interface eth-trunk 1
    [AC2-Eth-Trunk1] port link-type trunk
    [AC2-Eth-Trunk1] port trunk allow-pass vlan 100
    [AC2-Eth-Trunk1] trunkport GigabitEthernet 0/0/1 0/0/2 //Добавьте GE0/0/1 и GE0/0/2, подключенные к базовому коммутатору S7700B, к Eth-Trunk 1.
    [AC2-Eth-Trunk1] quit
    [AC2] interface eth-trunk 2
    [AC2-Eth-Trunk2] port link-type trunk
    [AC2-Eth-Trunk2] port trunk allow-pass vlan 104
    [AC2-Eth-Trunk2] trunkport GigabitEthernet 0/0/3 0/0/4 //Добавьте GE0/0/3 и GE0/0/4, подключенные к AC1, к Eth-Trunk 2.
    [AC2-Eth-Trunk2] quit
    

    # Настройте IP-адрес AC2 для связи с другими NE.

    [AC2] interface vlanif 104
    [AC2-Vlanif104] ip address 10.10.11.2 24 //Настройте IP-адрес для VLANIF 104 для связи с AC1 и передачи данных резервного копирования.
    [AC2-Vlanif104] quit
    [AC2] interface vlanif 100
    [AC2-Vlanif100] ip address 172.18.10.3 24 
    [AC2-Vlanif100] quit
    

    # Настройте маршрут по умолчанию для AC2, чтобы пакеты были переданы базовым коммутаторам по умолчанию.

    [AC2] ip route-static 0.0.0.0 0 172.18.10.6

  7. [Устройство] Настройте AP для входа в сеть.

    # Создайте группу AP, к которой могут добавляться AP с одинаковой конфигурацией.

    [AC1] wlan
    [AC1-wlan-view] ap-group name ap_group
    [AC1-wlan-ap-group-ap_group] quit
    

    # Создайте профиль регулятивного домена, настройте код страны AC в профиле и примените профиль к группе AP.

    [AC1-wlan-view] regulatory-domain-profile name domain1
    [AC1-wlan-regulatory-domain-prof-domain1] country-code cn
    [AC1-wlan-regulatory-domain-prof-domain1] quit
    [AC1-wlan-view] ap-group name ap_group
    [AC1-wlan-ap-group-ap_group] regulatory-domain-profile domain1
    Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu
    e?[Y/N]:y 
    [AC1-wlan-ap-group-ap_group] quit
    [AC1-wlan-view] quit
    

    # Настройте исходный интерфейс АС.

    [AC1] capwap source ip-address 172.18.10.1
    

    # Введите AP в автономном режиме на AC и добавьте AP к группе AP. В этом примере соответственно предполагается, что тип AP - это AP6010DN-AGN, и MAC-адреса AP_0 и AP_1 - 60de-4476-e360 и 60de-4476-e380.

    [AC1] wlan
    [AC1-wlan-view] ap auth-mode mac-auth
    [AC1-wlan-view] ap-id 0 ap-mac 60de-4476-e360
    [AC1-wlan-ap-0] ap-name ap_0
    [AC1-wlan-ap-0] ap-group ap_group
    Warning: This operation may cause AP reset. If the country code changes, it will, clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y 
    [AC1-wlan-ap-0] quit
    [AC1-wlan-view] ap-id 1 ap-mac 60de-4476-e380
    [AC1-wlan-ap-1] ap-name ap_1
    [AC1-wlan-ap-1] ap-group ap_group
    Warning: This operation may cause AP reset. If the country code changes, it will, clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y 
    [AC1-wlan-ap-1] quit
    [AC1-wlan-view] quit

    # После включения AP запустите команду display ap all, чтобы проверить состояние AP. Если поле State отображается так же, как nor, то AP пошел онлайн правильно.

    [AC1] display ap all
    Total AP information:
    nor  : normal          [2]
    -------------------------------------------------------------------------------------
    ID   MAC            Name   Group     IP            Type            State STA Uptime
    -------------------------------------------------------------------------------------
    0    60de-4476-e360 ap_0 ap_group  172.18.10.254 AP6010DN-AGN    nor   0   20S
    1    60de-4476-e380 ap_1 ap_group  172.18.10.253 AP6010DN-AGN    nor   0   10S
    -------------------------------------------------------------------------------------
    Total: 2

    Процедура конфигурации для AC2 такая же, как для AC1, и подробности здесь не указаны.

  8. [Устройство] Настройте параметры соединения для сервера RADIUS и AC, а также сервера Portal и AC, чтобы AC мог ассоциироваться с серверами RADIUS и Portal.

    # На AC1 настройте шаблон сервера RADIUS, в шаблоне настройте схемы аутентификации, учета и авторизации.

    [AC1] radius-server template radius_template
    [AC1-radius-radius_template] radius-server authentication 172.22.10.2 1812 source ip-address 172.18.10.1 weight 80  //Настройте первичный сервер аутентификации RADIUS с более высоким весом, чем у вторичного сервера аутентификации. 
    Установите порт аутентификации на 1812 и исходный IP-адрес для связи с сервером RADIUS на 172.16.10.1.
    [AC1-radius-radius_template] radius-server authentication 172.22.10.3 1812 source ip-address 172.18.10.1 weight 40  //Настройте вторичный сервер аутентификации RADIUS с меньшим весом, чем у первичного сервера аутентификации. 
    Установите порт аутентификации на 1812 и исходный IP-адрес для связи с сервером RADIUS на 172.16.10.1.
    [AC1-radius-radius_template] radius-server accounting 172.22.10.2 1813 source ip-address 172.18.10.1 weight 80  //Настройте первичный сервер учета RADIUS с более высоким весом, чем у вторичного сервера учета, чтобы получить сведения о входе и выходе пользователя. 
    Установите порт учета на 1813 и исходный IP-адрес для связи с сервером RADIUS на 172.16.10.1.
    [AC1-radius-radius_template] radius-server accounting 172.22.10.3 1813 source ip-address 172.18.10.1 weight 40  //Настройте вторичный сервер учета RADIUS с меньшим весом, чем у первичного сервера учета, чтобы получить сведения о входе и выходе пользователя. 
    Установите порт учета на 1813 и исходный IP-адрес для связи с сервером RADIUS на 172.16.10.1.
    [AC1-radius-radius_template] radius-server shared-key cipher Admin@123  //Настройте общий ключ для сервера RADIUS.
    [AC1-radius-radius_template] radius-server user-name original  //Настройте AC для отправки имен пользователей, введенных пользователями на сервер RADIUS.
    [AC1-radius-radius_template] quit
    [AC1] radius-server authorization 172.22.10.2 shared-key cipher Admin@123  //Настройте сервер авторизации RADIUS, чтобы сервер RADIUS мог доставлять правила авторизации в AC. 
    Установите общий ключ на Admin@123, который должен быть таким же, как у сервера аутентификации и учета. 
    [AC1] radius-server authorization 172.22.10.3 shared-key cipher Admin@123  //Настройте сервер авторизации RADIUS, чтобы сервер RADIUS мог доставлять правила авторизации в AC. 
    //Установите общий ключ на Admin@123, который должен быть таким же, как у сервера аутентификации и учета.
    //Устройство контроля доступа может обрабатывать пакеты запроса CoA/DM, инициированные Agile Controller-Campus только после настройки серверов авторизации. 
    //Серверы аутентификации и серверы авторизации должны иметь сопоставление «один к одному», то есть количество серверов аутентификации и серверов авторизации должно быть одинаковым. 
    //Если нет, Agile Controller-Campus не сможет выгнать некоторых пользователей в автономном режиме.
    [AC1] aaa
    [AC1-aaa] authentication-scheme auth_scheme
    [AC1-aaa-authen-auth_scheme] authentication-mode radius  //Установите схему аутентификации на RADIUS.
    [AC1-aaa-authen-auth_scheme] quit
    [AC1-aaa] accounting-scheme acco_scheme
    [AC1-aaa-accounting-acco_scheme] accounting-mode radius  //Установите схему учета на RADIUS. 
    //Необходимо использовать схему учета RADIUS, чтобы сервер RADIUS мог поддерживать информацию о состоянии учетной записи, такую как информация входа/выхода из системы, и принудительно отключать пользователей.
    [AC1-aaa-accounting-acco_scheme] accounting realtime 15  //Установите интервал учета в режиме реального времени на 15 минут.
    [AC1-aaa-accounting-acco_scheme] quit
    [AC1-aaa] quit
    ПРИМЕЧАНИЕ:

    Команда accounting realtime устанавливает интервал учета в режиме реального времени. Короткий учетный интервал в режиме реального времени требует высокой производительности устройства и сервера RADIUS. Установите интервал учета в режиме реального времени на основе количества пользователей.

    Табл. 3-140 Интервал учета

    Количество пользователей

    Интервал учета в режиме реального времени

    От 1 до 99

    3 минуты

    От 100 до 499

    6 минут

    От 500 до 999

    12 минут

    ≥ 1000

    ≥ 15 минут

    # Проверьте, может ли пользователь использовать шаблон RADIUS для аутентификации. (Тест имени пользователя и пароль Admin_123 настроены на сервере RADIUS.)

    [AC1] test-aaa test Admin_123 radius-template radius_huawei pap
    Info: Account test succeed.
    # Настройте аутентификацию Portal для AC1.
    1. Настройте URL страницы аутентификации первичного Portal. Когда пользователь пытается получить доступ к веб-сайту до аутентификации, AC перенаправляет веб-сайт на сервер первичного Portal.

      Рекомендуется настроить URL с использованием имени домена, чтобы обеспечить безопасное и быстрое переотправление страницы. Перед настройкой URL с использованием имени домена сначала необходимо настроить сопоставление между именем домена и IP-адресом сервера Agile Controller-Campus на DNS-сервере.

      [AC1] url-template name huawei1
      [AC1-url-template-huawei1] url http://access1.example.com:8080/portal  //access1.example.com - имя хоста первичного сервера Portal.
    2. Настройте параметры, переносимые в URL, которые должны быть такими же, как на сервере аутентификации.

      [AC1-url-template-huawei1] url-parameter ssid ssid redirect-url url  //Укажите имена параметров, включенных в URL. Имена параметров должны совпадать с именами на сервере аутентификации. 
      //Этот первый ssid указывает, что URL содержит поле SSID, а второй ssid указывает имя параметра. 
      //Например, после настройки ssid ssid URL, перенаправленный пользователю, содержит sid=guest, где ssid указывает имя параметра, а guest указывает SSID, с которым пользователь связывает. 
      //Второй SSID представляет только переданное имя параметра и не может быть заменен фактическим SSID пользователя.
      //Когда AC использует URL в качестве имени параметра, URL должен быть указан на сервере Portal, чтобы указать, к какому URL запрос доступа пользователей будет перенаправлен.
      [AC1-url-template-huawei1] quit
    3. Настройте URL страницы аутентификации вторичного Portal. Когда сервер первичного Portal недоступен, AC перенаправляет веб-сайт, к которому пользователь пытается получить доступ к серверу вторичного Portal.

      [AC1] url-template name huawei2
      [AC1-url-template-huawei2] url http://access2.example.com:8080/portal  //access2.example.com - имя хоста вторичного сервера Portal.
      [AC1-url-template-huawei2] url-parameter ssid ssid redirect-url url
      [AC1-url-template-huawei2] quit
    4. Укажите номер порта, используемый для обработки пакетов протокола Portal. Номер порта по умолчанию - 2000. Если вы измените номер порта на AC, установите одинаковый номер порта, когда вы добавите этот AC в Agile Controller-Campus.

      [AC1] web-auth-server listening-port 2000
    5. Настройте шаблон сервера первичного Portal, включая настройку IP-адреса и номера порта сервера первичного Portal.

      Установите значение 50200 в качестве номера порта назначения в пакетах, отправленных на сервер Portal. Сервер Portal принимает пакеты с целевым портом 50200, но AC использует порт 50100 для отправки пакетов на сервер Portal по умолчанию. Следовательно, вы должны изменить номер порта на 50200 на AC, чтобы AC мог связываться с сервером Portal.

      [AC1] web-auth-server portal_huawei1
      [AC1-web-auth-server-portal_huawei1] server-ip 172.22.10.2  //Настройте IP-адрес для первичного сервера Portal.
      [AC1-web-auth-server-portal_huawei1] source-ip 172.18.10.1  //Настройте IP-адрес устройства для связи с сервером Portal.
      [AC1-web-auth-server-portal_huawei1] port 50200  //Установите номер порта назначения в пакетах, отправленных на сервер Portal на 50200.
    6. Настройте общий ключ, используемый для связи с сервером Portal, который должен быть таким же, как на сервере Portal. Кроме того, включите AC для передачи зашифрованных параметров URL на сервер Portal.

      [AC1-web-auth-server-portal_huawei1] shared-key cipher Admin@123  //Настройте общий ключ, используемый для связи с сервером Portal, который должен быть таким же, как на сервере Portal.
      [AC1-web-auth-server-portal_huawei1] url-template huawei1  //Привяжите шаблон URL к профилю сервера Portal.
      
    7. Включите функцию обнаружения сервера Portal.

      После того, как функция обнаружения сервера Portal включена в шаблоне сервера Portal, устройство обнаруживает все серверы Portal, настроенные в шаблоне сервера Portal. Если количество раз, когда устройство не обнаруживает сервер Portal, превышает верхний предел, состояние сервера Portal изменяется от Up до Down. Если количество серверов Portal в состоянии Up меньше или равно минимальному числу (указанному параметром critical-num), устройство выполняет соответствующую операцию, чтобы администратор мог получить состояние сервера Portal в режиме реального времени. Интервал обнаружения не может быть меньше 15 с, а рекомендуемое значение - 100 с. AC поддерживает только обнаружение сервера Portal, но не выход Portal.

      [AC1-web-auth-server-portal_huawei1] server-detect interval 100 max-times 5 critical-num 0 action log
    8. Настройте шаблон сервера вторичного Portal, включая настройку IP-адреса, номера порта и общего ключа сервера вторичного Portal.

      [AC1] web-auth-server portal_huawei2
      [AC1-web-auth-server-portal_huawei2] server-ip 172.22.10.3  //Настройте IP-адрес для сервера первичного Portal.
      [AC1-web-auth-server-portal_huawei2] source-ip 172.18.10.1
      [AC1-web-auth-server-portal_huawei2] port 50200
      [AC1-web-auth-server-portal_huawei2] shared-key cipher Admin@123
      [AC1-web-auth-server-portal_huawei2] url-template huawei2
      [AC1-web-auth-server-portal_huawei2] server-detect interval 100 max-times 5 critical-num 0 action log
      [AC1-web-auth-server-portal_huawei2] quit

    # Включите функцию «тихого периода» (quiet period) аутентификации Portal. Когда эта функция включена, AC отбрасывает пакеты пользователя аутентификации в течение тихого периода, если пользователь не смог аутентифицировать Portal за указанное количество раз за 60 секунд. Эта функция защищает AC от перегрузки из-за частой аутентификации.

    [AC1] portal quiet-period
    [AC1] portal quiet-times 5  //Установите максимальное количество отказов аутентификации за 60 секунд до того, как аутентификация Portal установлена на состояние «тихо».
    [AC1] portal timer quiet-period 240  //Установите тихий период на 240 секунд.
    

    # Создайте профиль доступа к Portal и привяжите к нему шаблон сервера Portal.

    [AC1] portal-access-profile name acc_portal  //Создайте профиль доступа к Portal.
    [AC1-portal-access-profile-acc_portal] web-auth-server portal_huawei1 portal_huawei2 direct  //Настройте первичные и вторичные шаблоны сервера Portal, используемые профилем доступа к Portal. Если сеть между конечными пользователями и AC является сетью уровня 2, настройте режим direct; если сеть является сетью уровня 3, настройте режим layer3.
    [AC1-portal-access-profile-acc_portal] quit
    

    # Настройте правила доступа предварительной аутентификации и после аутентификации для сотрудников и гостей.

    [AC1] free-rule-template name default_free_rule 
    [AC1-free-rule-default_free_rule] free-rule 1 destination ip 172.22.10.4 mask 255.255.255.255  //Настройте аутентификацию Portal без правила, позволяющую пользователям подключаться к DNS-серверу до аутентификации.
    [AC1-free-rule-default_free_rule] quit
    
    [AC1] acl 3001  //Настройте домен после аутентификации для сотрудников, включая интрасеть и Интернет.
    [AC1-acl-adv-3001]  rule 5 permit ip
    [AC1-acl-adv-3001]  quit
    [AC1] acl 3002  //Настройте домен после аутентификации для гостей, включая Интернет.
    [AC1-acl-adv-3002]  rule 5 deny ip destination 172.22.10.5 0  //172.22.10.5 - серверные ресурсы компании и недоступены для гостей.
    [AC1-acl-adv-3002]  rule 10 permit ip
    [AC1-acl-adv-3002]  quit
    # Настройте профиль аутентификации.
    [AC1] authentication-profile name auth_portal
    [AC1-authentication-profile-auth_portal] portal-access-profile acc_portal
    [AC1-authentication-profile-auth_portal] authentication-scheme auth_scheme
    [AC1-authentication-profile-auth_portal] accounting-scheme acco_scheme
    [AC1-authentication-profile-auth_portal] radius-server radius_template
    [AC1-authentication-profile-auth_portal] free-rule-template default_free_rule
    [AC1-authentication-profile-auth_portal] quit

    # Включите идентификацию типа терминала, чтобы позволить AC отправлять поля варианта, содержащие тип терминала в пакетах DHCP, на сервер аутентификации. Таким образом, сервер аутентификации может переотправлять правильные страницы аутентификации Portal пользователям на основе их типов терминала.

    [AC1] dhcp snooping enable
    [AC1] device-sensor dhcp option 12 55 60

    # На AC2, настройте шаблон сервера RADIUS, и настройте схемы аутентификации, учета и авторизации в шаблоне. Процедура конфигурации для AC2 такая же, как для AC1, и подробности здесь не указаны.

  9. [Устройство] Установите параметры службы WLAN на AC.

    # Создайте безопасный профиль security_portal, и установите политику безопасности в профиле.

    [AC1] wlan
    [AC1-wlan-view] security-profile name security_portal
    [AC1-wlan-sec-prof-security_portal] quit

    # Соответственно создайте профили SSID по имени wlan-ssid-employee и wlan-ssid-guest, и установите имена SSID на employee и guest.

    [AC1-wlan-view] ssid-profile name wlan-ssid-employee
    [AC1-wlan-ssid-prof-wlan-ssid-employee] ssid employee
    Warning: This action may cause service interruption. Continue?[Y/N]y
    [AC1-wlan-ssid-prof-wlan-ssid-employee] quit
    [AC1-wlan-view] ssid-profile name wlan-ssid-guest
    [AC1-wlan-ssid-prof-wlan-ssid-guest] ssid guest
    Warning: This action may cause service interruption. Continue?[Y/N]y
    [AC1-wlan-ssid-prof-wlan-ssid-guest] quit

    # Создайте профили VAP по имени wlan-vap-employee и wlan-vap-guest, настройте режим пересылки сервисных данных и сервисные VLAN, и примените профили безопасности, SSID и аутентификации к профилям VAP.

    [AC1-wlan-view] vap-profile name wlan-vap-employee
    [AC1-wlan-vap-prof-wlan-vap-employee] forward-mode direct-forward  //Настройте прямую переадресацию для сотрудников.
    [AC1-wlan-vap-prof-wlan-vap-employee] service-vlan vlan-id 101
    [AC1-wlan-vap-prof-wlan-vap-employee] security-profile security_portal
    [AC1-wlan-vap-prof-wlan-vap-employee] ssid-profile wlan-ssid-employee
    [AC1-wlan-vap-prof-wlan-vap-employee] authentication-profile auth_portal  //Привяжите профиль аутентификации.
    [AC1-wlan-vap-prof-wlan-vap-employee] quit
    [AC1-wlan-view] vap-profile name wlan-vap-guest
    [AC1-wlan-vap-prof-wlan-vap-guest] forward-mode tunnel  //Настройте туннельную переадресацию для гостей.
    Warning: This action may cause service interruption. Continue?[Y/N]y
    [AC1-wlan-vap-prof-wlan-vap-guest] service-vlan vlan-id 102
    [AC1-wlan-vap-prof-wlan-vap-guest] security-profile security_portal
    [AC1-wlan-vap-prof-wlan-vap-guest] ssid-profile wlan-ssid-guest
    [AC1-wlan-vap-prof-wlan-vap-guest] authentication-profile auth_portal
    [AC1-wlan-vap-prof-wlan-vap-guest] quit

    # Привяжите профиль VAP к группам AP и примените профиль VAP к radio 0 и radio 1 AP.

    [AC1-wlan-view] ap-group name ap_group
    [AC1-wlan-ap-group-ap_group] vap-profile wlan-vap-employee wlan 1 radio 0  //Настройте частотный диапазон 2.4 ГГц для AP, чтобы предоставить услуги для сотрудников.
    [AC1-wlan-ap-group-ap_group] vap-profile wlan-vap-employee wlan 1 radio 1  //Настройте частотный диапазон 5 ГГц для AP, чтобы предоставить услуги для сотрудников.
    [AC1-wlan-ap-group-ap_group] vap-profile wlan-vap-guest wlan 2 radio 0  //Настройте частотный диапазон 2.4 ГГц для AP, чтобы предоставить услуги для гостей.
    [AC1-wlan-ap-group-ap_group] vap-profile wlan-vap-guest wlan 2 radio 1  //Настройте частотный диапазон 5 ГГц для AP, чтобы предоставить услуги для гостей.
    [AC1-wlan-ap-group-ap_group] quit
    

    Процедура конфигурации для AC2 такая же, как для AC1, и подробности здесь не указаны.

  10. [Устройство] Настройте VRRP на AC1 для реализации AC HSB.

    # Установите задержку восстановления группы VRRP на 30 секунд.

    [AC1] vrrp recover-delay 30
    

    # Создайте управляющую группу VRRP на AC1. Установите приоритет AC1 в группе VRRP на 120 и задержку прерывания до 1200 с.

    [AC1] interface vlanif 100
    [AC1-Vlanif100] vrrp vrid 1 virtual-ip 172.18.10.1 //Настройте виртуальный IP-адрес для управляющей группы VRRP.
    [AC1-Vlanif100] vrrp vrid 1 priority 120 //Установите приоритет AC1 в группе VRRP.
    [AC1-Vlanif100] vrrp vrid 1 preempt-mode timer delay 1200 //Установите задержку упреждения для AC1 в группе VRRP.
    [AC1-Vlanif100] admin-vrrp vrid 1 //Настройте vrid 1 в качестве группы mVRRP.
    [AC1-Vlanif100] quit
    

    # Создайте HSB услугу 0 на AC1. Настройте IP-адреса и номера портов для активных и резервных каналов. Установите время ретрансляции и интервал HSB услуги 0.

    [AC1] hsb-service 0
    [AC1-hsb-service-0] service-ip-port local-ip 10.10.11.1 peer-ip 10.10.11.2 local-data-port 10241 peer-data-port 10241
    [AC1-hsb-service-0] service-keep-alive detect retransmit 3 interval 6
    [AC1-hsb-service-0] quit

    # Создайте HSB группу 0 на AC1, и привяжите ее к HSB услуге 0 и управляющей группе VRRP.

    [AC1] hsb-group 0
    [AC1-hsb-group-0] bind-service 0
    [AC1-hsb-group-0] track vrrp vrid 1 interface vlanif 100
    [AC1-hsb-group-0] quit
    

    # Привяжите службу NAC к группе HSB.

    [AC1] hsb-service-type access-user hsb-group 0

    # Привяжите службу WLAN к группе HSB.

    [AC1] hsb-service-type ap hsb-group 0

    # Привяжите службу DHCP к группе HSB.

    [AC1] hsb-service-type dhcp hsb-group 0

    # Включите HSB.

    [AC1] hsb-group 0
    [AC1-hsb-group-0] hsb enable
    [AC1-hsb-group-0] quit

  11. [Устройство] Настройте VRRP на AC2 для реализации HSB AC.

    # Установите задержку восстановления группы VRRP на 30 секунд.

    [AC2] vrrp recover-delay 30
    

    # Создайте управляющую группу VRRP на AC2

    [AC2] interface vlanif 100
    [AC2-Vlanif100] vrrp vrid 1 virtual-ip 172.18.10.1 //Настройте виртуальный IP-адрес для управляющей группы VRRP.
    [AC2-Vlanif100] admin-vrrp vrid 1 //Настройте vrid 1 в качестве группы резервного копирования mVRRP.
    [AC2-Vlanif100] quit
    

    # Создайте HSB услугу 0 на AC2. Настройте IP-адреса и номера портов для активных и резервных каналов. Установите время ретрансляции и интервал HSB услуги 0.

    [AC2] hsb-service 0
    [AC2-hsb-service-0] service-ip-port local-ip 10.10.11.2 peer-ip 10.10.11.1 local-data-port 10241 peer-data-port 10241
    [AC2-hsb-service-0] service-keep-alive detect retransmit 3 interval 6
    [AC2-hsb-service-0] quit

    # Создайте HSB группу 0 на AC2 и привяжите ее к HSB услуге 0 и управляющей группе VRRP.

    [AC2] hsb-group 0
    [AC2-hsb-group-0] bind-service 0
    [AC2-hsb-group-0] track vrrp vrid 1 interface vlanif 100
    [AC2-hsb-group-0] quit
    

    # Привяжите службу NAC к группе HSB.

    [AC2] hsb-service-type access-user hsb-group 0

    # Привяжите службу WLAN к группе HSB.

    [AC2] hsb-service-type ap hsb-group 0

    # Привяжите службу DHCP к группе HSB.

    [AC2] hsb-service-type dhcp hsb-group 0

    # Включите HSB.

    [AC2] hsb-group 0
    [AC2-hsb-group-0] hsb enable
    [AC2-hsb-group-0] quit

  12. [Устройство] Проверьте настройку VRRP.

    # После завершения конфигурации запустите команду display vrrp на AC1 и AC2. Поле State на AC1 отображается как Master, что на AC2 отображается как Backup.

    [AC1] display vrrp
      Vlanif100 | Virtual Router 1
        State : Master
        Virtual IP : 172.18.10.1
        Master IP : 172.18.10.2
        PriorityRun : 120
        PriorityConfig : 120
        MasterPriority : 120
        Preempt : YES   Delay Time : 1200 s
        TimerRun : 1 s
        TimerConfig : 1 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0101
        Check TTL : YES
        Config type : admin-vrrp
        Backup-forward : disabled
        Create time : 2005-07-31 01:25:55 UTC+08:00
        Last change time : 2005-07-31 02:48:22 UTC+08:00
                                                                                    
    
    [AC2] display vrrp
      Vlanif100 | Virtual Router 1
        State : Backup
        Virtual IP : 172.18.10.1
        Master IP : 172.18.10.2
        PriorityRun : 100
        PriorityConfig : 100
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 1 s
        TimerConfig : 1 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0101
        Check TTL : YES
        Config type : admin-vrrp
        Backup-forward : disabled
        Create time : 2005-07-31 02:11:07 UTC+08:00
        Last change time : 2005-07-31 03:40:45 UTC+08:00
    

    # Запустите команду display hsb-service 0 на AC1 и AC2, чтобы проверить состояние услуги HSB. Значение поля Service State - это Connected, указывающее, что установлены активные и резервные каналы HSB.

    [AC1] display hsb-service 0
    Hot Standby Service Information:
    ----------------------------------------------------------
      Local IP Address       : 10.10.11.1
      Peer IP Address        : 10.10.11.2
      Source Port            : 10241
      Destination Port       : 10241
      Keep Alive Times       : 2
      Keep Alive Interval    : 1
      Service State          : Connected
      Service Batch Modules  : 
    ----------------------------------------------------------
    
    [AC2] display hsb-service 0
    Hot Standby Service Information:
    ----------------------------------------------------------
      Local IP Address       : 10.10.11.2
      Peer IP Address        : 10.10.11.1
      Source Port            : 10241
      Destination Port       : 10241
      Keep Alive Times       : 2
      Keep Alive Interval    : 1
      Service State          : Connected
      Service Batch Modules  : 
    ----------------------------------------------------------
    

    # Запустите команду display hsb-group 0 на AC1 и AC2, чтобы проверить состояние группы HSB.

    [AC1] display hsb-group 0
    Hot Standby Group Information:                                                  
    ----------------------------------------------------------                      
      HSB-group ID                : 0                                               
      Vrrp Group ID               : 1                                               
      Vrrp Interface              : Vlanif100                                       
      Service Index               : 0                                               
      Group Vrrp Status           : Master                                          
      Group Status                : Active                                          
      Group Backup Process        : Realtime                                        
      Peer Group Device Type      : AC6605                                          
      Peer Group Software Version : V200R006C20           
      Group Backup Modules        : Access-user                                     
                                    AP
                                    DHCP                                            
    ----------------------------------------------------------  
    [AC2] display hsb-group 0
    Hot Standby Group Information:                                                  
    ----------------------------------------------------------                      
      HSB-group ID                : 0                                               
      Vrrp Group ID               : 1                                               
      Vrrp Interface              : Vlanif100                                       
      Service Index               : 0                                               
      Group Vrrp Status           : Backup                                          
      Group Status                : Inactive                                        
      Group Backup Process        : Realtime                                        
      Peer Group Device Type      : AC6605                                          
      Peer Group Software Version : V200R006C20           
      Group Backup Modules        : Access-user                                     
                                    DHCP                                            
                                    AP                                              
    ----------------------------------------------------------  

  13. [Agile Controller-Campus] Добавьте AC к Диспетчеру служб, чтобы включить Agile Controller-Campus для управления AC.
    1. Выберите Resource > Device > Device Management.
    2. Нажмите Add.
    3. Настройте параметры для AC.

      Параметр

      Значение

      Описание

      Имя

      AC

      -

      IP-адрес

      172.18.10.1

      Интерфейс AC с этим IP-адресом должен иметь возможность связываться с контроллером служб.

      Включить RADIUS

      Выбрать

      -

      Ключ аутентификации/учета

      Admin@123

      [AC1-radius-radius_template] radius-server shared-key cipher Admin@123

      Ключ авторизации

      Admin@123

      [AC1] radius-server authorization 172.22.10.2 shared-key cipher Admin@123

      Интервал учета в режиме реального времени (минута)

      15

      [AC1-aaa-accounting-acco_scheme] accounting realtime 15

      Включить Portal

      Выбрать

      -

      Порт

      2000

      Это порт, используемый AC для связи с сервером Portal. Сохраните значение по умолчанию.

      Ключ Portal

      Admin@123

      [AC1-web-auth-server-portal_huawei1] shared-key cipher Admin@123

      Список IP-адреса терминала доступа

      172.20.0.0/24; 172.21.0.0/24

      Необходимо добавить IP-адреса всех терминалов, которые подключаются к сети через аутентификацию Portal, в список IP-адреса терминала доступа. После того, как сервер Portal получает учетную запись и пароль, предоставленные конечным пользователем, он ищет устройство контроля доступа на основе IP-адреса терминала и позволяет терминалу подключаться к сети с целевого устройства контроля доступа. Если пул IP-адреса устройства контроля доступа не включает в себя IP-адрес терминала, сервер Portal не может найти устройство контроля доступа для предоставления разрешения на доступ к сети для терминала, что приведет к сбою входа в терминал.

      Включить пульс между устройством доступа и сервером Portal.

      Выбранный

      При обнаружении недоступности сервера первичного Portal, устройство доступа автоматически подключается к серверу вторичного Portal.

      Сервер Portal может отправлять пакеты пульса на устройство доступа только в том случае, когда выбрано Enable heartbeat between access device and Portal server, и IP-адрес сервера Portal добавлен в Portal server IP list. Затем устройство доступа периодически обнаруживает пакеты пульса сервера Portal, чтобы определить состояние сервера Portal и синхронизировать информацию пользователя от сервера Portal. Команды server-detect и user-sync должны быть настроены в представлении сервера Portal на устройстве доступа.

      Список IP-адреса сервера Portal

      172.22.10.2; 172.22.10.3

      -

    4. Нажмите OK.
  14. [Agile Controller-Campus] Добавьте SSID на Agile Controller-Campus, чтобы Agile Controller-Campus мог разрешать пользователям через SSID.
    1. Выберите Policy > Permission Control > Policy Element > SSID.
    2. Нажмите Add и добавьте SSID для сотрудников и гостей.

      SSID должны быть такими же, как те, которые настроены на AC.

  15. [Agile Controller-Campus] Настройте результаты и правила авторизации, чтобы предоставить различные права доступа сотрудникам и гостям после их успешной аутентификации.
    1. Выберите Policy > Permission Control > Authentication and Authorization > Authorization Result и добавьте ACL авторизации для сотрудников и гостей.

      Номера ACL должны быть такими же, как те, которые настроены на устройстве контроля аутентификации.

    2. Выберите Policy > Permission Control > Authentication and Authorization > Authorization Rule, и привяжите результат авторизации, чтобы указать ресурсы, доступные для сотрудников и гостей после успешной аутентификации.

    3. Измените правило авторизации по умолчанию, изменив результат авторизации на Deny Access.

      Выберите Policy > Permission Control > Authentication and Authorization > Authorization Rule и нажмите справа от Default Authorization Rule. Измените значение Authorization Result на Deny Access.

Верификация

Если терминал использует Internet Explorer 8 для аутентификации Portal, для браузера должна быть выполнена следующая конфигурация. В противном случае страница аутентификации Portal не может быть отображена.
  1. Выберите Tools > Internet Options.
  2. Выберите варианты, связанные с Use TLS на странице вкладки Advanced.



  3. Нажмите OK.

Пункт

Ожидаемый результат

Аутентификация сотрудника

  • Учетная запись пользователя tony (учетная запись сотрудника) может получить доступ только к серверу Agile Controller-Campus и DNS-серверу до аутентификации.
  • Когда сотрудник подключается к Wi-Fi hotspot employee с помощью компьютера и пытается посетить Internet (интернет), страница аутентификации по умолчанию переотправляется пользователю. После того, как сотрудник вводит правильное имя пользователя и пароль, аутентификация завершается успешно, и запрошенная веб-страница отображается автоматически.
  • После успешной аутентификации запустите команду display access-user на AC. Вывод команды показывает, что пользователь tony находится в режиме онлайн.
  • На Диспетчере служб, выберите Resource > User > Online User Management. Пользователь tony отображается в списке онлайн-пользователей.
  • На Диспетчере служб, выберите Resource > User > RADIUS Log. Вы увидите журнал аутентификации RADIUS для пользователя tony.

Аутентификация гостя

  • Учетная запись пользователя susan (учетная запись гостя) может получить доступ только к серверу Agile Controller-Campus и DNS-серверу до аутентификации.
  • Когда гость подключается к Wi-Fi hotspot guest с помощью мобильного телефона и пытается посетить Internet (интернет), страница аутентификации гостя переотправляется пользователю. После того, как гость вводит правильное имя пользователя и пароль, аутентификация завершается успешно, и запрошенная веб-страница отображается автоматически.
  • Учетная запись пользователя susan не может получить доступ к внутренним серверам компании.
  • После успешной аутентификации запустите команду display access-user на AC. Вывод команды показывает, что пользователь susan находится в сети.
  • На Диспетчере служб, выберите Resource > User > Online User Management. Пользователь susan отображается в списке онлайн-пользователей.
  • На Диспетчере служб, выберите Resource > User > RADIUS Log. Вы увидите журнал аутентификации RADIUS для пользователя susan.

Выключение питания AC1

Услуги автоматически переключаются на AC2, не влияя на аутентификацию сотрудника и гостя. Процесс не обнаруживается пользовательскими терминалами.

Выключение питания SC

После отключения сетевого кабеля Контроллера служб, сотрудники и гости повторно аутентифицируются и входят в сеть. Их права доступа являются нормальными.

Резюме и предложения

  • Ключ аутентификации, ключ учета и ключ Portal должны быть совмещены на AC и Agile Controller-Campus. Интервал учета, установленный на Agile Controller-Campus, также должен быть таким же, как и на AC.

  • Правила авторизации или правила переотправления страницы Portal сопоставляются в порядке убывания приоритета (в порядке возрастания номеров правил). Если условие авторизации или переотправления Portal пользователя соответствует правилу, Agile Controller-Campus не проверяет последующие правила. Поэтому рекомендуется устанавливать более высокие приоритеты для правил, определяющих более точные условия, и устанавливать более низкие приоритеты для правил, определяющих нечеткие условия.

  • Функция учета RADIUS настроена на AC, чтобы позволить Agile Controller-Campus получать информацию онлайн-пользователя путем обмена учетными пакетами с AC. Agile Controller-Campus не поддерживает реальную функцию учета. Если требуется учет, используйте сервер учета третьего лица.
Загрузить
Updated: 2018-08-21

№ документа:EDOC1100029357

Просмотры:10119

Загрузки: 143

Average rating:
This Document Applies to these Products
Связанные документы
Related Version
Share
Назад Далее