Для выбранного языка не найдены ресурсы переадресации.

Этот веб-сайт использует cookie-файлы. Продолжая просмотр, вы соглашаетесь на их использование. Ознакомьтесь с нашей политикой соблюдения конфиденциальности.>

Типичные примеры настройки WLAN

Rate and give feedback :
Информация об этом переводе
Чтобы помочь вам лучше понять содержимое этого документа, компания Huawei перевела его на разные языки, используя машинный перевод, отредактированный людьми. Примечание: даже самые передовые программы машинного перевода не могут обеспечить качество на уровне перевода, выполненного профессиональным переводчиком. Компания Huawei не несет ответственность за точность перевода и рекомендует ознакомиться с документом на английском языке (по ссылке, которая была предоставлена ранее).
Пример настройки аутентификации Portal для пользователей беспроводной сети в среде резервного копирования по двум каналам АС

Пример настройки аутентификации Portal для пользователей беспроводной сети в среде резервного копирования по двум каналам АС

В этом примере показано, как настроить резервное копирование по двум каналам AC для повышения надежности сети.

Связанные продукты и версии

Тип продукта

Наименование продукта

Версия

Гибкий контроллер-кампус Agile Controller-Campus V100R002C10
WLAN AC AC6605 V200R006C20
Коммутатор доступа S2750EI V200R008C00
Коммутатор агрегации S5720HI V200R008C00
Базовый коммутатор S7700 V200R008C00

Требования к сети

Компании необходимо развернуть систему аутентификации для реализации контроля доступа для всех сотрудников, которые пытаются подключиться к корпоративной сети. Только аутентифицированные пользователи могут подключаться к корпоративной сети.

Компания имеет следующие требования:
  • Все сотрудники выполняют офисную работу и посещают Internet (интернет) через беспроводную сеть и требуют надежной сети.
  • Единый механизм аутентификации подлинности используется для аутентификации всех терминалов, пытающихся подключиться к сети кампуса, и отказывать в доступе от несанкционированных терминалов.
  • Сотрудники могут подключаться только к DNS-серверу и Agile Controller-Campus компании до аутентификации, и могут подключаться как к интрасети, так и к Internet (интернет) после аутентификации.
  • Перед аутентификацией гости могут получить доступ к DNS-серверу и Agile Controller-Campus компании, а также получить доступ к Internet (интернет) после успешной аутентификации.
Рис. 3-95 Сетевая аутентификация Portal для пользователей беспроводной сети в среде резервного копирования по двум каналам AC

Анализ требований

Учитывая сетевое взаимодействие и требования компании, аутентификация Portal на базе Agile Controller-Campus может быть использована в сети кампуса. Вам необходимо настроить различные правила ACL для AC, чтобы контролировать права доступа сотрудников.

Основываясь на пользовательских требованиях, используется сеть, показанная в Рис. 3-95, и сетевой анализ выполняется следующим образом:
  • AC-устройства развернуты в режиме резервного копирования по двум каналам. Каналы HSB используются для подключения AC1 и AC2 для определения активных и резервных AC, обеспечивая надежность служб WLAN.
  • Трафик данных пользователя передается в прямом режиме, обеспечивая производительность AC при большом количестве пользовательских данных и обеспечивая надежность сети.

План VLAN

Табл. 3-141 План VLAN

ID VLAN

Функция

100

mVLAN для AP

101

Сервисная VLAN для сотрудников

102

Сервисная VLAN для гостей

103

VLAN для связи между базовым коммутатором и коммутатором агрегации

104

VLAN для связи между базовым коммутатором и серверами

105

Резервная VLAN для двух AC

План сетевых данных

Табл. 3-142 План сетевых данных

Пункт

Номер

Номер интерфейса

VLAN

IP-адрес

Описание

Коммутатор доступа S2750EI

(1)

GE0/0/1

100

101

-

Подключен к AP

(2)

GE0/0/2

100

101

102

-

Подключен к коммутатору агрегации S5720HI

(3)

GE0/0/3

100

102

-

Подключен к AP

Коммутатор агрегации S5720HI

(4)

GE0/0/1

100

101

102

VLANIF 100: 172.18.10.3/16

VLANIF 101: 172.19.10.1/16

VLANIF 102: 172.20.10.1/16

Подключен к коммутатору доступа S2750EI

VLANIF 100 как шлюз AP

VLANIF 101 как шлюз для сотрудников

VLANIF 102 как шлюз для гостей

(5)

GE0/0/2

100

105

-

Подключен к AC1

(6)

GE0/0/3

100

105

-

Подключен к AC2

(7)

GE0/0/4

103

VLANIF103:172.21.10.1/24

Подключен к базовому коммутатору S7700

AC1

(8)

GE0/0/1

100

105

VLANIF 100: 172.18.10.1/24

VLANIF 105: 10.10.11.1/24

Подключен к коммутатору агрегации S5720HI

AC2

(9)

GE0/0/1

100

105

VLANIF 100: 172.18.10.2/24

VLANIF 105: 10.10.11.2/24

Подключен к коммутатору агрегации S5720HI

Базовый коммутатор S7700

(10)

GE1/0/1

103

172.21.10.2/24

Подключен к S5720HI

(11)

GE1/0/2

104

172.22.10.1

Шлюз для серверов

Сервер

SM+SC1 (сервер RADIUS+сервер Portal)

172.22.10.2

-

SC2 (сервер RADIUS+сервер Portal)

172.22.10.3

-

DNS-сервер

172.22.10.4

-

Сервер компании

172.22.10.5

-

План сервисных данных

Табл. 3-143 План сервисных данных

Пункт

Данные

Описание

AC

Номер ACL для домена после аутентификации сотрудников: 3001

SSID зоны сотрудника: employee

Вы должны ввести этот номер ACL при настройке правил и результатов авторизации на Agile Controller-Campus.

Номер ACL для домена после аутентификации гостей: 3002

SSID: guest

Вы должны ввести этот номер ACL при настройке правил и результатов авторизации на Agile Controller-Campus.

Сервер аутентификации RADIUS:
  • Первичный IP-адрес: 172.22.10.2
  • Вторичный IP-адрес: 172.22.10.3
  • Номер порта: 1812
  • Shared key: Admin@123
  • Контроллер служб у Agile Controller-Campus обеспечивает функции сервера RADIUS и сервера Portal, поэтому IP-адреса серверов аутентификации, учета, авторизации и Portal являются всем IP-адресом Контроллера служб.
  • Настройте сервер учета RADIUS для получения информации о входе в систему и выходе из системы. Номера портов сервера аутентификации и сервера учета должны быть такими же, как номера сервера RADIUS.
  • Настройте сервер авторизации, чтобы включить сервер RADIUS для доставки правил авторизации к AC. Общий ключ сервера авторизации должен быть таким же, как и ключ сервера аутентификации и сервера учета.
Сервер учета RADIUS:
  • Первичный IP-адрес: 172.22.10.2
  • Вторичный IP-адрес: 172.22.10.3
  • Номер порта: 1813
  • Общий ключ: Admin@123
  • Интервал учета: 15 минут
Сервер авторизации RADIUS:
  • Первичный IP-адрес: 172.22.10.2
  • Вторичный IP-адрес: 172.22.10.3
  • Общий ключ: Admin@123
Сервер Portal:
  • Первичный IP-адрес: 172.22.10.2
  • Вторичный IP-адрес: 172.22.10.3
  • Номер порта, который AC использует для прослушивания пакетов протокола Portal: 2000
  • Номер порта назначения в пакетах, которые AC посылает на сервер Portal: 50200
  • Общий ключ: Admin@123
  • Ключ шифрования для параметров URL, которые AC посылает на сервер Portal: Admin@123

-

Agile Controller-Campus

Порт аутентификации: 1812

-

Порт учета: 1813

-

Общий ключ RADIUS: Admin@123

Он должен быть таким же, как общий ключ RADIUS, настроенный на AC.

Номер порта сервера Portal: 50200

-

Ключ Portal: Admin@123

Он должен быть таким же, как ключ Portal, настроенный на AC.

Отдел: Сотрудник
  • Учетная запись: tony
  • Пароль: Admin@123
Отдел: Гость
  • Учетная запись: susan
  • Пароль: Admin@123

Отдел Employee, учетная запись сотрудника tony, и учетная запись гостя susan были созданы на Agile Controller-Campus.

Домен предварительной аутентификации

SM+SC1 (сервер RADIUS+сервер Portal), SC2 (сервер RADIUS+сервер Portal) и DNS-сервер

-

Домен после аутентификации для сотрудников

Внутренние серверы и Internet (интернет)

-

Домен после аутентификации для гостей

Internet

-

Схема настройки

  1. Настройте коммутатор доступа, коммутатор агрегации и AC, чтобы обеспечить сетевое подключение.
  2. На AC настройте шаблон сервера RADIUS, в шаблоне настройте схемы аутентификации, учета и авторизации и укажите IP-адрес сервера Portal. Таким образом, AC могут связываться с сервером RADIUS и сервером Portal.
  3. Настройте резервное копирование по двум каналам для AC, чтобы обеспечить надежность служб WLAN.
  4. Добавьте AC к Диспетчеру служб и настройте параметры для AC, чтобы гарантировать, что Agile Controller-Campus может управлять AC.
  5. Добавьте результаты и правила авторизации, чтобы предоставить различные права доступа сотрудникам после их успешной аутентификации.

Процедура

  1. [Устройство] Настройте коммутатор доступа S2750EI для обеспечения сетевого подключения.

    <HUAWEI> system-view
    [HUAWEI] sysname S2700
    [S2700] vlan batch 100 101 102   //Создайте VLAN 100, VLAN 101 и VLAN 102 в партии.
    [S2700] interface gigabitethernet 0/0/1  //Введите представление интерфейса, подключенного к AP.
    [S2700-GigabitEthernet0/0/1] port link-type trunk  //Измените тип связи gigabitethernet0/0/1 на trunk.
    [S2700-GigabitEthernet0/0/1] port trunk pvid vlan 100  //Установите VLAN по умолчанию gigabitethernet0/0/1 на VLAN 100.
    [S2700-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101 102  //Добавьте gigabitethernet0/0/1 к VLAN 100, VLAN 101 и VLAN 102.
    [S2700-GigabitEthernet0/0/1] quit
    [S2700] interface gigabitethernet 0/0/2  //Введите представление интерфейса, подключенного к коммутатору агрегации.
    [S2700-GigabitEthernet0/0/2] port link-type trunk  //Измените тип связи gigabitethernet0/0/2 на trunk.
    [S2700-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 101 102  //Добавьте gigabitethernet0/0/2 к VLAN 100, VLAN 101 и VLAN 102.
    [S2700-GigabitEthernet0/0/2] quit
    [S2700] interface gigabitethernet 0/0/3  //Подключение к интерфейсу AP1.
    [S2700-GigabitEthernet0/0/3] port link-type trunk  //Измените тип связи gigabitethernet0/0/3 на trunk.
    [S2700-GigabitEthernet0/0/3] port trunk pvid vlan 100  //Установите VLAN по умолчанию gigabitethernet0/0/3 на VLAN 100
    [S2700-GigabitEthernet0/0/3] port trunk allow-pass vlan 100 101 102  //Добавьте gigabitethernet0/0/3 к VLAN 100, VLAN 101 и VLAN 102.
    [S2700-GigabitEthernet0/0/3] quit
    [S2700] quit
    <S2700> save  //Сохраните конфигурацию.

  2. [Устройство] Настройте коммутатор агрегации S5720HI для обеспечения сетевого подключения.

    <HUAWEI> system-view
    [HUAWEI] sysname S5700
    [S5700] vlan batch 100 101 102 105   //Создайте VLAN 100, VLAN 101, VLAN 102 и VLAN 105 в партии.
    [S5700] interface vlanif 100  //Введите представление VLANIF 100.
    [S5700-Vlanif100] ip address 172.18.10.3 16  //Настройте IP-адрес VLANIF 100 как шлюз AP.
    [S5700-Vlanif100] dhcp select interface
    [S5700-Vlanif100] dhcp server excluded-ip-address 172.18.10.1 172.18.10.2  //Исключите использование IP-адресов из пула адресов DHCP.
    [S5700-Vlanif100] quit
    [S5700] interface vlanif 101  //Введите представление VLANIF 101.
    [S5700-Vlanif101] ip address 172.19.10.1 16  //Настройте IP-адрес для VLANIF 101 в качестве шлюза для сотрудников.
    [S5700-Vlanif101] dhcp select interface
    [S5700-Vlanif101] dhcp server dns-list 172.22.10.4  //Настройте адрес DNS-сервера.
    [S5700-Vlanif101] quit
    [S5700] interface vlanif 102  //Введите представление интерфейса VLANIF 102.
    [S5700-Vlanif102] ip address 172.20.10.1 16  //Настройте IP-адрес для VLANIF 102, чтобы он мог работать как гостевой шлюз.
    [S5700-Vlanif102] dhcp select interface
    [S5700-Vlanif102] dhcp server dns-list 172.22.10.4  //Настройте IP-адрес для DNS-сервера.
    [S5700-Vlanif102] quit
    [S5700] interface gigabitethernet 0/0/1  //Введите представление интерфейса, подключенного к коммутатору доступа.
    [S5700-GigabitEthernet0/0/1] port link-type trunk  //Измените тип связи gigabitethernet0/0/1 на trunk.
    [S5700-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101 102  //Добавьте gigabitethernet0/0/1 к VLAN 100, VLAN 101 и VLAN 102.
    [S5700-GigabitEthernet0/0/1] quit
    [S5700] interface gigabitethernet 0/0/2  //Введите представление интерфейса, подключенного к AC1.
    [S5700-GigabitEthernet0/0/2] port link-type trunk  //Измените тип связи gigabitethernet0/0/2 на trunk.
    [S5700-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 105  //Добавьте gigabitethernet0/0/2 к VLAN 100 и VLAN 105.
    [S5700-GigabitEthernet0/0/2] quit
    [S5700] interface gigabitethernet 0/0/3  //Введите представление интерфейса, подключенного к AC2.
    [S5700-GigabitEthernet0/0/3] port link-type trunk  //Измените тип связи gigabitethernet0/0/3 на trunk.
    [S5700-GigabitEthernet0/0/3] port trunk allow-pass vlan 100 105  //Добавьте gigabitethernet0/0/3 к VLAN 100 и VLAN 105.
    [S5700-GigabitEthernet0/0/3] quit
    [S5700] ip route-static 172.22.10.0 255.255.255.0 172.21.10.2
    [S5700] quit
    <S5700> save  //Сохраните конфигурацию.

  3. [Устройство] Настройте базовый коммутатор S7700 для обеспечения сетевого подключения.

    <HUAWEI> system-view
    [HUAWEI] sysname S7700
    [S7700] vlan batch 103 104   //Создайте VLANIF 103 и VLANIF 104 в партии.
    [S7700] interface gigabitethernet 1/0/1  //Интерфейс, соединяющий с коммутатором агрегации.
    [S7700-GigabitEthernet1/0/1] port link-type trunk
    [S7700-GigabitEthernet1/0/1] port trunk allow-pass vlan 103
    [S7700-GigabitEthernet1/0/1] quit
    [S7700] interface vlanif 103
    [S7700-Vlanif103] ip address 172.21.10.2 255.255.255.0
    [S7700-Vlanif103] quit
    [S7700] interface gigabitethernet 1/0/2  //Интерфейс, соединяющий с зоной сервера.
    [S7700-GigabitEthernet1/0/2] port link-type access
    [S7700-GigabitEthernet1/0/2] port default vlan 104  //Настройте VLAN 104 как VLAN по умолчанию для интерфейса gigabitethernet1/0/2.
    [S7700-GigabitEthernet1/0/2] quit
    [S7700] interface vlanif 104
    [S7700-Vlanif104] ip address 172.22.10.1 255.255.255.0  //Настройте IP-адрес шлюза для зоны сервера.
    [S7700-Vlanif104] quit
    [S7700] ip route-static 172.19.0.0 255.255.255.0 172.21.10.1  //Настройте статический маршрут на сегмент сети сотрудников.
    [S7700] ip route-static 172.20.1.0 255.255.255.0 172.21.10.1  //Настройте статический маршрут на сегмент сети гостей.
    [S7700] quit
    <S7700> save  //Сохраните конфигурацию.

  4. [Устройство] Настройте AC для обеспечения сетевого подключения.

    # На AC1, обеспечить сетевое подключение и добавьте соединение GE0/0/1 в S5720HI к VLAN 100 и VLAN 105.

    <AC6605> system-view
    [AC6605] sysname AC1
    [AC1] vlan batch 100 105
    [AC1] interface gigabitethernet 0/0/1
    [AC1-GigabitEthernet0/0/1] port link-type trunk
    [AC1-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 105
    [AC1-GigabitEthernet0/0/1] quit

    # Настройте IP-адрес AC1 для связи с другими NE.

    [AC1] interface vlanif 105
    [AC1-Vlanif105] ip address 10.10.11.1 24 //Настройте IP-адрес VLANIF 105 для связи с AC2 и передачи данных резервного копирования.
    [AC1-Vlanif105] quit
    [AC1] interface vlanif 100
    [AC1-Vlanif100] ip address 172.18.10.1 24 //Настройте IP-адрес VLANIF 100 для связи с серверами и управления AP.
    [AC1-Vlanif100] quit

    # Настройте маршрут по умолчанию для AC1, чтобы пакеты пересылались в шлюз маршрутизации по умолчанию.

    [AC1] ip route-static 0.0.0.0 0 172.18.10.3

    # На AC2, обеспечить сетевое подключение и добавьте соединение GE0/0/1 в S5720HI к VLAN 100 и VLAN 105.

    <AC6605> system-view
    [AC6605] sysname AC2
    [AC2] vlan batch 100 105
    [AC2] interface gigabitethernet 0/0/1
    [AC2-GigabitEthernet0/0/1] port link-type trunk
    [AC2-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 105
    [AC2-GigabitEthernet0/0/1] quit

    # Настройте IP-адрес AC2 для связи с другими NE.

    [AC2] interface vlanif 105
    [AC2-Vlanif105] ip address 10.10.11.2 24 //Настройте IP-адрес VLANIF 105 для связи с AC1 и передачи данных резервного копирования.
    [AC2-Vlanif105] quit
    [AC2] interface vlanif 100
    [AC2-Vlanif100] ip address 172.18.10.2 24 //Настройте IP-адрес VLANIF 100 для связи с серверами и управления AP.
    [AC2-Vlanif100] quit
    

    # Настройте маршрут по умолчанию для AC2, чтобы пакеты пересылались в шлюз маршрутизации по умолчанию.

    [AC2] ip route-static 0.0.0.0 0 172.18.10.3

  5. [Устройство] Настройте AP для входа в сеть.

    # Создайте группу AP, к которой могут добавляться AP с одинаковой конфигурацией.

    [AC1] wlan
    [AC1-wlan-view] ap-group name ap_group
    [AC1-wlan-ap-group-ap_group] quit
    

    # Создайте профиль регулятивного домена, настройте код страны AC в профиле и примените профиль к группе AP.

    [AC1-wlan-view] regulatory-domain-profile name domain1
    [AC1-wlan-regulatory-domain-prof-domain1] country-code cn
    [AC1-wlan-regulatory-domain-prof-domain1] quit
    [AC1-wlan-view] ap-group name ap_group
    [AC1-wlan-ap-group-ap_group] regulatory-domain-profile domain1
    Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu
    e?[Y/N]:y 
    [AC1-wlan-ap-group-ap_group] quit
    [AC1-wlan-view] quit
    

    # Настройте исходный интерфейс AC.

    [AC1] capwap source interface vlanif 100
    

    # Введите AP в автономном режиме на AC и добавьте AP к группе AP. В этом примере соответственно предполагается, что тип AP - это AP6010DN-AGN, и MAC-адреса AP_0 и AP_1 - 60de-4476-e360 и 60de-4476-e380.

    [AC1] wlan
    [AC1-wlan-view] ap auth-mode mac-auth
    [AC1-wlan-view] ap-id 0 ap-mac 60de-4476-e360
    [AC1-wlan-ap-0] ap-name ap_0
    [AC1-wlan-ap-0] ap-group ap_group
    Warning: This operation may cause AP reset. If the country code changes, it will, clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y 
    [AC1-wlan-ap-0] quit
    [AC1-wlan-view] ap-id 1 ap-mac 60de-4476-e380
    [AC1-wlan-ap-1] ap-name ap_1
    [AC1-wlan-ap-1] ap-group ap_group
    Warning: This operation may cause AP reset. If the country code changes, it will, clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y 
    [AC1-wlan-ap-1] quit
    [AC1-wlan-view] quit

    # После включения AP запустите команду display ap all, чтобы проверить состояние AP. Если поле State отображается так же, как nor, то AP пошел онлайн правильно.

    [AC1] display ap all
    Total AP information:
    nor  : normal          [2]
    -------------------------------------------------------------------------------------
    ID   MAC            Name   Group     IP            Type            State STA Uptime
    -------------------------------------------------------------------------------------
    0    60de-4476-e360 ap_0 ap_group  172.18.10.254 AP6010DN-AGN    nor   0   20S
    1    60de-4476-e380 ap_1 ap_group  172.18.10.253 AP6010DN-AGN    nor   0   10S
    -------------------------------------------------------------------------------------
    Total: 2

    Конфигурация AC2 такая же, как у AC1, и здесь не приводится.

  6. [Устройство] Настройте параметры соединения для сервера RADIUS и AC, а также сервера Portal и AC, чтобы AC мог ассоциироваться с серверами RADIUS и Portal.

    # На AC1 настройте шаблон сервера RADIUS, в шаблоне настройте схемы аутентификации, учета и авторизации.

    [AC1] radius-server template radius_template
    [AC1-radius-radius_template] radius-server authentication 172.22.10.2 1812 source ip-address 172.18.10.1 weight 80  //Настройте первичный сервер аутентификации RADIUS с более высоким весом, чем у вторичного сервера аутентификации. 
    Установите порт аутентификации на 1812 и исходный IP-адрес для связи с сервером RADIUS на 172.16.10.1.[AC1-radius-radius_template] radius-server authentication 172.22.10.3 1812 source ip-address 172.18.10.1 weight 40  //Настройте вторичный сервер аутентификации RADIUS с меньшим весом, чем у первичного сервера аутентификации. 
    Установите порт аутентификации на 1812 и исходный IP-адрес для связи с сервером RADIUS на 172.16.10.1.[AC1-radius-radius_template] radius-server accounting 172.22.10.2 1813 source ip-address 172.18.10.1 weight 80  //Настройте первичный сервер учета RADIUS с более высоким весом, чем у вторичного сервера учета, чтобы получить сведения о входе и выходе пользователя. 
    Установите порт учета на 1813 и исходный IP-адрес для связи с сервером RADIUS на 172.16.10.1.[AC1-radius-radius_template] radius-server accounting 172.22.10.3 1813 source ip-address 172.18.10.1 weight 40  //Настройте вторичный сервер учета RADIUS с меньшим весом, чем у первичного сервера учета, чтобы получить сведения о входе и выходе пользователя. 
    Установите порт учета на 1813 и исходный IP-адрес для связи с сервером RADIUS на 172.16.10.1.[AC1-radius-radius_template] radius-server shared-key cipher Admin@123  //Настройте общий ключ для сервера RADIUS.
    [AC1-radius-radius_template] radius-server user-name original  //Настройте AC для отправки имен пользователей, введенных пользователями на сервер RADIUS.
    [AC1-radius-radius_template] quit
    [AC1] radius-server authorization 172.22.10.2 shared-key cipher Admin@123  //Настройте сервер авторизации RADIUS, чтобы сервер RADIUS мог доставлять правила авторизации в AC. 
    Установите общий ключ на Admin@123, который должен быть таким же, как у сервера аутентификации и учета. 
    [AC1] radius-server authorization 172.22.10.3 shared-key cipher Admin@123  //Настройте сервер авторизации RADIUS, чтобы сервер RADIUS мог доставлять правила авторизации в AC. 
    //Установите общий ключ на Admin@123, который должен быть таким же, как у сервера аутентификации и учета.
    //Устройство контроля доступа может обрабатывать пакеты запроса CoA/DM, инициированные Agile Controller-Campus только после настройки серверов авторизации. 
    //Серверы аутентификации и серверы авторизации должны иметь сопоставление "один к одному", то есть количество серверов аутентификации и серверов авторизации должно быть одинаковым. 
    //Если нет, Agile Controller-Campus не сможет выгнать некоторых пользователей в автономном режиме.
    [AC1] aaa
    [AC1-aaa] authentication-scheme auth_scheme
    [AC1-aaa-authen-auth_scheme] authentication-mode radius  //Установите схему аутентификации на RADIUS.
    [AC1-aaa-authen-auth_scheme] quit
    [AC1-aaa] accounting-scheme acco_scheme
    [AC1-aaa-accounting-acco_scheme] accounting-mode radius  //Установите схему аутентификации на RADIUS. 
    //Необходимо использовать схему учета RADIUS, чтобы сервер RADIUS мог поддерживать информацию о состоянии учетной записи, такую как информация входа/выхода из системы, и принудительно отключать пользователей.
    [AC1-aaa-accounting-acco_scheme] accounting realtime 15  //Установите интервал учета в режиме реального времени на 15 минут.
    [AC1-aaa-accounting-acco_scheme] quit
    [AC1-aaa] quit
    ПРИМЕЧАНИЕ:

    Команда accounting realtime устанавливает интервал учета в режиме реального времени. Короткий учетный интервал в режиме реального времени требует высокой производительности устройства и сервера RADIUS. Установите интервал учета в режиме реального времени на основе количества пользователей.

    Табл. 3-144 Интервал учета

    Количество пользователей

    Интервал учета в режиме реального времени

    От 1 до 99

    3 минуты

    От 100 до 499

    6 минут

    От 500 до 999

    12 минут

    ≥ 1000

    ≥ 15 минут

    # Проверьте, может ли пользователь использовать шаблон RADIUS для аутентификации. (Тест имени пользователя и пароль Admin_123 настроены на сервере RADIUS.)

    [AC1] test-aaa test Admin_123 radius-template radius_huawei pap
    Info: Account test succeed.

    # На AC2, настройте шаблон сервера RADIUS, и настройте схемы аутентификации, учета и авторизации в шаблоне. Конфигурация аутентификации RADIUS для AC2 такая же, как и для AC1, и здесь не приводится. Однако при настройке IP-адреса источника для AC2 в шаблоне сервера RADIUS установите IP-адрес источника AC2 на 172.18.10.1.

    # Настройте аутентификацию Portal для AC1.

    1. Настройте URL страницы аутентификации первичного Portal. Когда пользователь пытается получить доступ к веб-сайту до аутентификации, AC перенаправляет веб-сайт на сервер первичного Portal.

      Рекомендуется настроить URL с использованием имени домена, чтобы обеспечить безопасное и быстрое переотправление страницы. Перед настройкой URL с использованием имени домена сначала необходимо настроить сопоставление между именем домена и IP-адресом сервера Agile Controller-Campus на DNS-сервере.

      [AC1] url-template name huawei1
      [AC1-url-template-huawei1] url http://access1.example.com:8080/portal  //access1.example.com is the host name of the primary Portal server.
    2. Настройте параметры, переносимые в URL, которые должны быть такими же, как на сервере аутентификации.

      [AC1-url-template-huawei1] url-parameter ssid ssid redirect-url url  //Укажите имена параметров, включенных в URL. Имена параметров должны совпадать с именами на сервере аутентификации. 
      //Первый ssid указывает, что URL содержит поле SSID, а второй ssid указывает имя параметра. 
      //Например, после настройки ssid ssid URL, перенаправленный пользователю, содержит sid = guest, где ssid указывает имя параметра, а guest указывает SSID, с которым пользователь связывает. 
      //Второй SSID представляет только переданное имя параметра и не может быть заменен фактическим SSID пользователя.
      //Когда AC использует URL в качестве имени параметра, URL должен быть введен на сервере Portal, чтобы указать, на какой URL будет перенаправлен запрос доступа пользователей.
      [AC1-url-template-huawei1] quit
    3. Настройте URL страницы аутентификации вторичного Portal. Когда сервер первичного Portal недоступен, AC перенаправляет веб-сайт, к которому пользователь пытается получить доступ к серверу вторичного Portal.

      [AC1] url-template name huawei2
      [AC1-url-template-huawei2] url http://access2.example.com:8080/portal  //access2.example.com is the host name of the secondary Portal server.
      [AC1-url-template-huawei2] url-parameter ssid ssid redirect-url url
      [AC1-url-template-huawei2] quit
    4. Укажите номер порта, используемый для обработки пакетов протокола Portal. Номер порта по умолчанию - 2000. Если вы измените номер порта на AC, установите одинаковый номер порта, когда вы добавите этот AC в Agile Controller-Campus.

      [AC1] web-auth-server listening-port 2000
    5. Настройте шаблон сервера первичного Portal, включая настройку IP-адреса и номера порта сервера первичного Portal.

      Установите значение 50200 в качестве номера порта назначения в пакетах, отправленных на сервер Portal. Сервер Portal принимает пакеты с целевым портом 50200, но AC использует порт 50100 для отправки пакетов на сервер Portal по умолчанию. Следовательно, вы должны изменить номер порта на 50200 на AC, чтобы AC мог связываться с сервером Portal.

      [AC1] web-auth-server portal_huawei1
      [AC1-web-auth-server-portal_huawei1] server-ip 172.22.10.2  //Настройте IP-адрес для сервера первичного Portal .
      [AC1-web-auth-server-portal_huawei1] source-ip 172.18.10.1  //Настройте IP-адрес устройства для связи с сервером Portal.
      [AC1-web-auth-server-portal_huawei1] port 50200  //Установите номер порта назначения в пакетах, отправленных на сервер Portal на 50200.
    6. Настройте общий ключ, используемый для связи с сервером Portal, который должен быть таким же, как на сервере Portal. Кроме того, включите AC для передачи зашифрованных параметров URL на сервер Portal.

      [AC1-web-auth-server-portal_huawei1] shared-key cipher Admin@123  //Настройте общий ключ, используемый для связи с сервером Portal, который должен быть таким же, как на сервере Portal.
      [AC1-web-auth-server-portal_huawei1] url-template huawei1  //Привяжите шаблон URL к профилю сервера Portal.
      
    7. Включите функцию обнаружения сервера Portal.

      После того, как функция обнаружения сервера Portal включена в шаблоне сервера Portal, устройство обнаруживает все серверы Portal, настроенные в шаблоне сервера Portal. Если количество раз, когда устройство не обнаруживает сервер Portal, превышает верхний предел, состояние сервера Portal изменяется от Up до Down. Если количество серверов Portal в состоянии Up меньше или равно минимальному числу (указанному параметром critical-num), устройство выполняет соответствующую операцию, чтобы администратор мог получить состояние сервера Portal в режиме реального времени. Интервал обнаружения не может быть меньше 15 с, а рекомендуемое значение - 100 с. AC поддерживает только обнаружение сервера Portal, но не выход Portal.

      [AC1-web-auth-server-portal_huawei1] server-detect interval 100 max-times 5 critical-num 0 action log
    8. Настройте шаблон сервера вторичного Portal, включая настройку IP-адреса, номера порта и общего ключа сервера вторичного Portal.

      [AC1] web-auth-server portal_huawei2
      [AC1-web-auth-server-portal_huawei2] server-ip 172.22.10.3  //Настройте IP-адрес для вторичного сервера Portal.
      [AC1-web-auth-server-portal_huawei2] source-ip 172.18.10.1
      [AC1-web-auth-server-portal_huawei2] port 50200
      [AC1-web-auth-server-portal_huawei2] shared-key cipher Admin@123
      [AC1-web-auth-server-portal_huawei2] url-template huawei2
      [AC1-web-auth-server-portal_huawei2] server-detect interval 100 max-times 5 critical-num 0 action log
      [AC1-web-auth-server-portal_huawei2] quit

    # Включите функцию «тихого периода» (quiet period) аутентификации Portal. Когда эта функция включена, AC отбрасывает пакеты пользователя аутентификации в течение тихого периода, если пользователь не смог аутентифицировать Portal за указанное количество раз за 60 секунд. Эта функция защищает AC от перегрузки из-за частой аутентификации.

    [AC1] portal quiet-period
    [AC1] portal quiet-times 5  //Установите максимальное количество отказов аутентификации за 60 секунд до того, как аутентификация портала установлена в состояние «тихо».
    [AC1] portal timer quiet-period 240  //Установите тихий период до 240 секунд.
    

    # Создайте профиль доступа к Portal и привяжите к нему шаблон сервера Portal.

    [AC1] portal-access-profile name acc_portal  //Создайте профиль доступа к Portal.
    [AC1-portal-access-profile-acc_portal] web-auth-server portal_huawei1 portal_huawei2 direct  //Настройте первичные и вторичные шаблоны сервера Portal, используемые профилем доступа к Portal. Если сеть между конечными пользователями и AC является сетью уровня 2, настройте режим direct; если сеть является сетью уровня 3, настройте режим layer3.
    [AC1-portal-access-profile-acc_portal] quit
    

    # Настройте правила доступа предварительной аутентификации и после аутентификации для сотрудников.

    [AC1] free-rule-template name default_free_rule 
    [AC1-free-rule-default_free_rule] free-rule 1 destination ip 172.22.10.4 mask 255.255.255.255  //Настройте правило без аутентификации Portal, чтобы разрешить пользователям подключаться к DNS-серверу перед аутентификации.
    [AC1-free-rule-default_free_rule] quit
    
    [AC1] acl 3001  //Настройте домен после аутентификации для сотрудников, включая интрасеть и Internet.
    [AC1-acl-adv-3001]  rule 5 permit ip
    [AC1-acl-adv-3001]  quit
    [AC1] acl 3002  //Настройте домен после аутентификации для гостей, включая Internet.
    [AC1-acl-adv-3002]  rule 5 deny ip destination 172.22.10.5 0  //172.22.10.5 - серверные ресурсы компании и недоступены для гостей.
    [AC1-acl-adv-3002]  rule 10 permit ip
    [AC1-acl-adv-3002]  quit
    # Настройте профиль аутентификации.
    [AC1] authentication-profile name auth_portal
    [AC1-authentication-profile-auth_portal] portal-access-profile acc_portal
    [AC1-authentication-profile-auth_portal] authentication-scheme auth_scheme
    [AC1-authentication-profile-auth_portal] accounting-scheme acco_scheme
    [AC1-authentication-profile-auth_portal] radius-server radius_template
    [AC1-authentication-profile-auth_portal] free-rule-template default_free_rule
    [AC1-authentication-profile-auth_portal] quit

    # Включите идентификацию типа терминала, чтобы позволить AC отправлять поля варианта, содержащие тип терминала в пакетах DHCP, на сервер аутентификации. Таким образом, сервер аутентификации может переотправлять правильные страницы аутентификации Portal пользователям на основе их типов терминала.

    [AC1] dhcp snooping enable
    [AC1] device-sensor dhcp option 12 55 60

    # Конфигурация аутентификации Portal AC2 такая же, как и AC1, и здесь не проводится. Однако при настройке IP-адреса источника для AC2 в шаблоне сервера Portal установите IP-адрес источника AC2 на 172.18.10.1.

  7. [Устройство] Установите параметры службы WLAN на AC.

    # Создайте безопасный профиль security_portal, и установите политику безопасности в профиле.

    [AC1] wlan
    [AC1-wlan-view] security-profile name security_portal
    [AC1-wlan-sec-prof-security_portal] quit

    # Соответственно создайте профили SSID по имени wlan-ssid-employee и wlan-ssid-guest, и установите имена SSID на employee и guest.

    [AC1-wlan-view] ssid-profile name wlan-ssid-employee
    [AC1-wlan-ssid-prof-wlan-ssid-employee] ssid employee
    Warning: This action may cause service interruption. Continue?[Y/N]y
    [AC1-wlan-ssid-prof-wlan-ssid-employee] quit
    [AC1-wlan-view] ssid-profile name wlan-ssid-guest
    [AC1-wlan-ssid-prof-wlan-ssid-guest] ssid guest
    Warning: This action may cause service interruption. Continue?[Y/N]y
    [AC1-wlan-ssid-prof-wlan-ssid-guest] quit

    # Создайте профили VAP по имени wlan-vap-employee и wlan-vap-guest, настройте режим пересылки сервисных данных и сервисные VLAN, и примените профили безопасности, SSID и аутентификации к профилям VAP.

    [AC1-wlan-view] vap-profile name wlan-vap-employee
    [AC1-wlan-vap-prof-wlan-vap-employee] forward-mode direct-forward  //Настройте прямую переадресацию для сотрудников.
    [AC1-wlan-vap-prof-wlan-vap-employee] service-vlan vlan-id 101
    [AC1-wlan-vap-prof-wlan-vap-employee] security-profile security_portal
    [AC1-wlan-vap-prof-wlan-vap-employee] ssid-profile wlan-ssid-employee
    [AC1-wlan-vap-prof-wlan-vap-employee] authentication-profile auth_portal  //Свяжите профиль аутентификации.
    [AC1-wlan-vap-prof-wlan-vap-employee] quit
    [AC1-wlan-view] vap-profile name wlan-vap-guest
    [AC1-wlan-vap-prof-wlan-vap-guest] forward-mode direct-forward  //Настройте прямую переадресацию для гостей.
    [AC1-wlan-vap-prof-wlan-vap-guest] service-vlan vlan-id 102
    [AC1-wlan-vap-prof-wlan-vap-guest] security-profile security_portal
    [AC1-wlan-vap-prof-wlan-vap-guest] ssid-profile wlan-ssid-guest
    [AC1-wlan-vap-prof-wlan-vap-guest] authentication-profile auth_portal
    [AC1-wlan-vap-prof-wlan-vap-guest] quit

    # Привяжите профиль VAP к группам AP и примените профиль VAP к radio 0 и radio 1 AP.

    [AC1-wlan-view] ap-group name ap_group
    [AC1-wlan-ap-group-ap_group] vap-profile wlan-vap-employee wlan 1 radio 0  //Настройте частотный диапазон 2,4 ГГц для AP, чтобы предоставить услуги для сотрудников.
    [AC1-wlan-ap-group-ap_group] vap-profile wlan-vap-employee wlan 1 radio 1  //Настройте частотный диапазон 5 ГГц для AP, чтобы предоставить услуги для сотрудников.
    [AC1-wlan-ap-group-ap_group] vap-profile wlan-vap-guest wlan 2 radio 0  //Настройте частотный диапазон 2,4 ГГц для AP, чтобы предоставить услуги для гостей.
    [AC1-wlan-ap-group-ap_group] vap-profile wlan-vap-guest wlan 2 radio 1  //Настройте частотный диапазон 5 ГГц для AP, чтобы предоставить услуги для гостей.
    [AC1-wlan-ap-group-ap_group] quit
    

    # Конфигурация параметров службы WLAN для AC2 такая же, как у AC1, и здесь не проводится.

  8. [Устройство] Настройте резервное копирование по двум каналам на AC1 для реализации HSB.

    # Настройте IP-адрес AC2 и приоритет AC1 для реализации резервного копирования по двум каналам.

    [AC1] wlan
    [AC1-wlan-view] wlan ac protect enable
    Warning: This operation maybe cause ap reset or client down, continue?[Y/N]:y
    [AC1-wlan-view] wlan ac protect protect-ac 172.18.10.2 priority 2
    Warning: Operation successful. It will take effect after AP reset.
    

    # Перезапустите AP на AC1 и доставьте конфигурацию резервного копирования по двум каналам к AP.

    [AC1-wlan-view] ap-reset all
    Warning: Reset AP (s), continue?[Y/N]:y
    [AC1-wlan-view] quit

    # Создайте HSB услугу 0 на AC1. Настройте IP-адреса и номера портов для активных и резервных каналов. Установите время ретрансляции и интервал HSB услуги 0.

    [AC1] hsb-service 0
    [AC1-hsb-service-0] service-ip-port local-ip 10.10.11.1 peer-ip 10.10.11.2 local-data-port 10241 peer-data-port 10241
    [AC1-hsb-service-0] service-keep-alive detect retransmit 3 interval 6
    [AC1-hsb-service-0] quit

    # Привяжите службу NAC к услуге HSB.

    [AC1] hsb-service-type access-user hsb-service 0

    # Привяжите службу WLAN к услуге HSB.

    [AC1] hsb-service-type ap hsb-service 0

  9. [Устройство] Настройте резервное копирование по двум каналам на AC2 для реализации HSB.

    # Настройте IP-адрес AC1 и приоритет AC2 для реализации резервного копирования по двум каналам.

    [AC2] wlan
    [AC2-wlan-view] wlan ac protect enable
    Warning: This operation maybe cause ap reset or client down, continue?[Y/N]:y
    [AC2-wlan-view] wlan ac protect protect-ac 172.18.10.1 priority 5
    Warning: Operation successful. It will take effect after AP reset.
    [AC2-wlan-view] quit
    

    # Создайте HSB услугу 0 на AC2. Настройте IP-адреса и номера портов для активных и резервных каналов. Установите время ретрансляции и интервал HSB услуги 0.

    [AC2] hsb-service 0
    [AC2-hsb-service-0] service-ip-port local-ip 10.10.11.2 peer-ip 10.10.11.1 local-data-port 10241 peer-data-port 10241
    [AC2-hsb-service-0] service-keep-alive detect retransmit 3 interval 6
    [AC2-hsb-service-0] quit

    # Привяжите службу NAC к услуге HSB.

    [AC2] hsb-service-type access-user hsb-service 0

    # Привяжите службу WLAN к услуге HSB.

    [AC2] hsb-service-type ap hsb-service 0

  10. [Устройство] Проверьте конфигурацию по двум каналам.

    # После завершения конфигураций запустите команду display ac protect на AC1 и AC2 для просмотра информации о резервном копировании по двум каналам.

    [AC1] display ac protect
      ------------------------------------------------------------
      Protect state             : enable
      Protect AC                : 172.18.10.2
      Priority                  : 2
      Protect restore           : enable
      Coldbackup kickoff station: disable
      ------------------------------------------------------------ 
    [AC2] display ac protect
      ------------------------------------------------------------
      Protect state             : enable
      Protect AC                : 172.18.10.1
      Priority                  : 5
      Protect restore           : enable
      Coldbackup kickoff station: disable
      ------------------------------------------------------------ 

    # Запустите команду display hsb-service 0 на AC1 и AC2, чтобы проверить состояние услуги HSB. Значение поля Service State - это Connected, указывающее, что установлены активные и резервные каналы HSB.

    [AC1] display hsb-service 0
    Hot Standby Service Information:
    ----------------------------------------------------------
      Local IP Address       : 10.10.11.1
      Peer IP Address        : 10.10.11.2
      Source Port            : 10241
      Destination Port       : 10241
      Keep Alive Times       : 2
      Keep Alive Interval    : 1
      Service State          : Connected
      Service Batch Modules  : 
    ----------------------------------------------------------
    
    [AC2] display hsb-service 0
    Hot Standby Service Information:
    ----------------------------------------------------------
      Local IP Address       : 10.10.11.2
      Peer IP Address        : 10.10.11.1
      Source Port            : 10241
      Destination Port       : 10241
      Keep Alive Times       : 2
      Keep Alive Interval    : 1
      Service State          : Connected
      Service Batch Modules  : 
    ----------------------------------------------------------
    

  11. [Agile Controller-Campus] Добавьте AC к Диспетчеру служб, чтобы включить Agile Controller-Campus для управления AC.
    1. Выберите Resource > Device > Device Management.
    2. Нажмите Add.
    3. Настройте параметры для AC.

      Параметр

      Значение

      Описание

      Имя

      AC

      -

      IP-адрес

      172.18.10.1

      Интерфейс AC1 с этим IP-адресом должен связываться с Контроллером служб.

      Включить RADIUS

      Выбрать

      -

      IP-адрес резервного устройства

      172.18.10.2

      Интерфейс AC2 с этим IP-адресом должен иметь возможность связываться с контроллером служб.

      Ключ аутентификации/учета

      Admin@123

      [AC1-radius-radius_template] radius-server shared-key cipher Admin@123

      Ключ авторизации

      Admin@123

      [AC1] radius-server authorization 172.22.10.2 shared-key cipher Admin@123

      Интервал учета в режиме реального времени (минута)

      15

      [AC1-aaa-accounting-acco_scheme] accounting realtime 15

      Включить Portal

      Выбранный

      -

      Порт

      2000

      Это порт, используемый AC для связи с сервером Portal. Сохраните значение по умолчанию.

      Ключ Portal

      Admin@123

      [AC1-web-auth-server-portal_huawei1] shared-key cipher Admin@123

      Список IP-адреса терминала доступа

      172.19.10.1/16; 172.20.10.1/16

      Необходимо добавить IP-адреса всех терминалов, которые подключаются к сети через аутентификацию Portal, в список IP-адреса терминала доступа. После того, как сервер Portal получает учетную запись и пароль, предоставленные конечным пользователем, он ищет устройство контроля доступа на основе IP-адреса терминала и позволяет терминалу подключаться к сети с целевого устройства контроля доступа. Если пул IP-адреса устройства контроля доступа не включает в себя IP-адрес терминала, сервер Portal не может найти устройство контроля доступа для предоставления разрешения на доступ к сети для терминала, что приведет к сбою входа в терминал.

      Включить пульс между устройством доступа и сервером Portal.

      Выбрать

      Сервер Portal может отправлять пакеты пульса на устройство доступа только в том случае, когда выбрано Enable heartbeat between access device and Portal server, и IP-адрес сервера Portal добавлен в Portal server IP list. Затем устройство доступа периодически обнаруживает пакеты пульса сервера Portal, чтобы определить состояние сервера Portal и синхронизировать информацию пользователя от сервера Portal. Команды server-detect и user-sync должны быть настроены в представлении сервера Portal на устройстве доступа.

      Список IP-адреса сервера Portal

      172.22.10.2; 172.22.10.3

    4. Нажмите OK.
  12. [Agile Controller-Campus] Добавьте SSID на Agile Controller-Campus, чтобы Agile Controller-Campus мог разрешать пользователям через SSID.
    1. Выберите Policy > Permission Control > Policy Element > SSID.
    2. Нажмите Add и добавьте SSID для сотрудников и гостей.

      SSID должны быть такими же, как те, которые настроены на AC.

  13. [Agile Controller-Campus] Настройте результаты и правила авторизации, чтобы предоставить различные права доступа сотрудникам и гостям после их успешной аутентификации.
    1. Выберите Policy > Permission Control > Authentication and Authorization > Authorization Result и добавьте ACL авторизации для сотрудников и гостей.

      Номера ACL должны быть такими же, как те, которые настроены на устройстве контроля аутентификации.

    2. Выберите Policy > Permission Control > Authentication and Authorization > Authorization Rule, и привяжите результат авторизации, чтобы указать ресурсы, доступные для сотрудников и гостей после успешной аутентификации.

    3. Измените правило авторизации по умолчанию, изменив результат авторизации на Deny Access.

      Выберите Policy > Permission Control > Authentication and Authorization > Authorization Rule и нажмите справа от Default Authorization Rule. Измените значение Authorization Result на Deny Access.

Верификация

Если терминал использует Internet Explorer 8 для аутентификации Portal, для браузера должна быть выполнена следующая конфигурация. В противном случае страница аутентификации Portal не может быть отображена.
  1. Выберите Tools > Internet Options.
  2. Выберите варианты, связанные с Use TLS на странице вкладки Advanced.



  3. Нажмите OK.

Пункт

Ожидаемый результат

Аутентификация сотрудника

  • Учетная запись пользователя tony (учетная запись сотрудника) может получить доступ только к серверу Agile Controller-Campus и DNS-серверу до аутентификации.
  • Когда сотрудник подключается к Wi-Fi hotspot employee с помощью компьютера и пытается посетить Internet, страница аутентификации сотрудника переотправляется пользователю. После того, как сотрудник вводит правильное имя пользователя и пароль, аутентификация завершается успешно, и запрошенная веб-страница отображается автоматически.
  • После успешной аутентификации запустите команду display access-user на AC. Вывод команды показывает, что пользователь tony находится в режиме онлайн.
  • На Диспетчере служб, выберите Resource > User > Online User Management. Пользователь tony отображается в списке онлайн-пользователей.
  • На Диспетчере служб, выберите Resource > User > RADIUS Log. Вы увидите журнал аутентификации RADIUS для пользователя tony.

Аутентификация гостя

  • Учетная запись пользователя susan (учетная запись гостя) может получить доступ только к серверу Agile Controller-Campus и DNS-серверу до аутентификации.
  • Когда гость подключается к Wi-Fi hotspot guest с помощью мобильного телефона и пытается посетить Internet, страница аутентификации гостя переотправляется пользователю. После того, как гость вводит правильное имя пользователя и пароль, аутентификация завершается успешно, и запрошенная веб-страница отображается автоматически.
  • Учетная запись пользователя susan не может получить доступ к внутренним серверам компании.
  • После успешной аутентификации запустите команду display access-user на AC. Вывод команды показывает, что пользователь susan находится в сети.
  • На Диспетчере служб, выберите Resource > User > Online User Management. Пользователь susan отображается в списке онлайн-пользователей.
  • На Диспетчере служб, выберите Resource > User > RADIUS Log. Вы увидите журнал аутентификации RADIUS для пользователя susan.

Выключение питания AC1

Услуги автоматически переключаются на AC2, не влияя на аутентификацию сотрудника. Процесс не обнаруживается пользовательскими терминалами.

Резюме и предложения

  • Ключ аутентификации, ключ учета и ключ Portal должны быть совмещены на AC и Agile Controller-Campus. Интервал учета, установленный на Agile Controller-Campus, также должен быть таким же, как и на AC.

  • Правила авторизации сопоставляются в порядке убывания приоритета (в порядке возрастания номеров правил). Если условие авторизации пользователя соответствует правилу, Agile Controller-Campus не проверяет последующие правила. Поэтому рекомендуется устанавливать более высокие приоритеты для правил, определяющих более точные условия, и устанавливать более низкие приоритеты для правил, определяющих нечеткие условия.

  • Функция учета RADIUS настроена на AC, чтобы позволить Agile Controller-Campus получать информацию онлайн-пользователя путем обмена учетными пакетами с AC. Agile Controller-Campus не поддерживает реальную функцию учета. Если требуется учет, используйте сервер учета третьего лица.
Загрузить
Updated: 2018-08-21

№ документа:EDOC1100029357

Просмотры:6719

Загрузки: 86

Average rating:
This Document Applies to these Products
Связанные документы
Related Version
Share
Назад Далее