Для выбранного языка не найдены ресурсы переадресации.

Этот веб-сайт использует cookie-файлы. Продолжая просмотр, вы соглашаетесь на их использование. Ознакомьтесь с нашей политикой соблюдения конфиденциальности.>

Типичные примеры настройки WLAN

Rate and give feedback :
Информация об этом переводе
Чтобы помочь вам лучше понять содержимое этого документа, компания Huawei перевела его на разные языки, используя машинный перевод, отредактированный людьми. Примечание: даже самые передовые программы машинного перевода не могут обеспечить качество на уровне перевода, выполненного профессиональным переводчиком. Компания Huawei не несет ответственность за точность перевода и рекомендует ознакомиться с документом на английском языке (по ссылке, которая была предоставлена ранее).
Пример настройки аутентификации Portal для пользователей беспроводной сети в среде AC N+1

Пример настройки аутентификации Portal для пользователей беспроводной сети в среде AC N+1

В этом примере показано, как настроить аутентификацию Portal в сети AC N+1. Сервер RADIUS и сервер Portal развертываются в кластере по двум узлам, что повышает надежность сетевого доступа.

Связанные продукты и версии

Тип продукта

Наименование продукта

Версия

Гибкий контроллер-кампус Agile Controller-Campus V100R002C10
WLAN AC AC6605 V200R006C20
Коммутатор доступа S2750EI V200R008C00
Коммутатор агрегации S5720HI V200R008C00
Базовый коммутатор S7700 V200R008C00

Требования к сети

Компания имеет около 5000 сотрудников и нуждается в развертывании системы аутентификации для реализации контроля доступа для всех пользователей беспроводной сети, которые пытаются подключиться к корпоративной сети. Только аутентифицированные пользователи могут подключаться к корпоративной сети.

Компания имеет следующие требования:
  • Единый механизм аутентификации подлинности используется для аутентификации всех терминалов, пытающихся подключиться к сети кампуса, и отказывать в доступе от несанкционированных терминалов.
  • Сотрудники и гости получают доступ к сети кампуса с использованием разных SSID.
  • Сотрудники используют ноутбуки для доступа к сети, и гости используют мобильные терминалы для доступа к сети.
  • Сотрудники могут подключаться только к DNS-серверу, DHCP-серверу и Agile Controller-Campus компании до аутентификации и могут подключаться как к интрасети, так и к Internet (интернет) после аутентификации.
  • Перед аутентификацией гости могут подключаться только к DNS-серверу, DHCP-серверу и Agile Controller-Campus компании, и могут подключаться только к Internet после аутентификации.
  • В сети есть три AC. В качестве активных AC используются два AC, и один - резервный AC для повышения надежности сети.
Рис. 3-96 Сеть аутентификации Portal для пользователей беспроводной сети в режиме N+1

Анализ требований

  • С учетом сетевого взаимодействия и требований компании, без особых требований к проверке безопасности терминала. Аутентификация Portal может использоваться в сети кампуса для аутентификации сотрудников и гостей, а точки аутентификации развертываются на AC.
  • Рекомендуется, чтобы пакеты аутентификации пересылались в режиме туннеля, и пакеты пользовательских данных пересылались в локальном режиме, чтобы освободить нагрузку на АС.

План VLAN

Табл. 3-145 План VLAN

ID VLAN

Функция

100

mVLAN для AP

101

Сервисная VLAN для сотрудников

102

Сервисная VLAN для гостей

103

VLAN для подключения базового коммутатора к домену сервера

План сетевых данных

Табл. 3-146 План сетевых данных

Пункт

Номер

Номер интерфейса

VLAN

IP-адрес

Описание

Коммутатор доступа S2750EI

(1)

GE0/0/1

100, 101 и 102

-

Подключен к AP в гостевой зоне

(2)

GE0/0/2

100, 101 и 102

-

Подключен к AP в гостевой зоне

(3)

GE0/0/3

100, 101 и 102

-

Подключен к коммутатору агрегации S5720HI

Коммутатор агрегации S5720HI

(4)

GE0/0/1

100, 101 и 102

-

Подключен к коммутатору доступа S2750EI

(5)

GE0/0/2

100, 101 и 102

-

Подключен к базовому коммутатору S7700

(6)

GE0/0/3

100

-

Подключен к AC1

(7)

GE0/0/4

100

-

Подключен к AC2

(8)

GE0/0/5

100

-

Подключен к AC3

AC1

(9)

GE0/0/1

100

VLANIF 100: 172.18.10.1

Подключен к S5720HI

AC2

(10)

GE0/0/1

100

VLANIF 100: 172.18.10.2

Подключен к S5720HI

AC3

(11)

GE0/0/1

100

VLANIF 100: 172.18.10.3

Подключен к S5720HI

S7700

(12)

GE1/0/1

100, 101 и 102

VLANIF 100: 172.18.10.4

VLANIF 101: 172.20.10.1

VLANIF 102: 172.19.10.1

Подключен к S5720HI

VLANIF 100 для связи с AC и как шлюз для AP

VLANIF 101 как шлюз для сотрудников

VLANIF 102 как шлюз для гостей

(13)

GE1/0/2

103

VLANIF 103: 172.22.10.1

Подключено к домену сервера

Сервер

SM+SC1 (сервер RADIUS+сервер Portal)

172.22.10.2

-

SC2 (сервер RADIUS+сервер Portal)

172.22.10.3

-

DNS-сервер

172.22.10.4

-

DHCP-сервер

172.22.10.6

Пул IP-адреса:
  • Диапазон IP-адреса для AP: 172.18.10.0/24
  • Диапазон IP-адреса для сотрудников: 172.20.0.0/16
  • Диапазон IP-адреса для гостей: 172.19.0.0/16

Внутренний сервер

172.22.10.5

-

План сервисных данных

Табл. 3-147 План сервисных данных

Пункт

Данные

Описание

AC

Номер ACL для домена после аутентификации сотрудников: 3001

SSID зоны сотрудника: employee

Вы должны ввести этот номер ACL при настройке правил и результатов авторизации на Agile Controller-Campus.

Номер ACL для домена после аутентификации гостей: 3002

SSID гостевой зоны: guest

Вы должны ввести этот номер ACL при настройке правил и результатов авторизации на Agile Controller-Campus.

Сервер аутентификации RADIUS:
  • Первичный IP-адрес: 172.22.10.2
  • Вторичный IP-адрес: 172.22.10.3
  • Номер порта: 1812
  • Общий ключ: Admin@123
  • Контроллер служб у Agile Controller-Campus обеспечивает функции сервера RADIUS и сервера Portal, поэтому IP-адреса серверов аутентификации, учета, авторизации и Portal являются всем IP-адресом Контроллера служб.
  • Настройте сервер учета RADIUS для получения информации о входе в систему и выходе из системы. Номера портов сервера аутентификации и сервера учета должны быть такими же, как номера сервера RADIUS.
  • Настройте сервер авторизации, чтобы включить сервер RADIUS для доставки правил авторизации к AC. Общий ключ сервера авторизации должен быть таким же, как и ключ сервера аутентификации и сервера учета.
Сервер учета RADIUS:
  • Первичный IP-адрес: 172.22.10.2
  • Вторичный IP-адрес: 172.22.10.3
  • Номер порта: 1813
  • Общий ключ: Admin@123
  • Интервал учета: 15 минут
Сервер авторизации RADIUS:
  • Первичный IP-адрес: 172.22.10.2
  • Вторичный IP-адрес: 172.22.10.3
  • Общий ключ: Admin@123
Сервер Portal:
  • Первичный IP-адрес: 172.22.10.2
  • Вторичный IP-адрес: 172.22.10.3
  • Номер порта, который AC использует для прослушивания пакетов протокола Portal: 2000
  • Номер порта назначения в пакетах, которые AC посылает на сервер Portal: 50200
  • Общий ключ: Admin@123
  • Ключ шифрования для параметров URL, которые AC посылает на сервер Portal: Admin@123

Agile Controller-Campus

Имя хоста1: access1.example.com

Имя хоста2: access2.example.com

Пользователи могут использовать доменное имя для доступа к серверу Portal.

IP-адрес активного устройства 1: 172.18.10.1

IP-адрес активного устройства 2: 172.18.10.2

IP-адрес резервного устройства: 172.18.10.3

-

Порт аутентификации: 1812

-

Порт учета: 1813

-

Общий ключ RADIUS: Admin@123

Он должен быть таким же, как общий ключ RADIUS, настроенный на AC.

Номер порта сервера Portal: 50200

-

Ключ Portal: Admin@123

Он должен быть таким же, как ключ Portal, настроенный на AC.

Отдел: Сотрудник
  • Учетная запись: tony
  • Пароль: Admin@123
Отдел: Гость
  • Учетная запись: susan
  • Пароль: Admin@123

Отдел Employee, учетная запись сотрудника tony, и учетная запись гостя susan были созданы на Agile Controller-Campus.

Домен предварительной аутентификации

SM+SC1 (сервер RADIUS+сервер Portal), SC2 (сервер RADIUS+сервер Portal) и DNS-сервер

-

Домен после аутентификации для сотрудников

Внутренние серверы и Internet

-

Домен после аутентификации для гостей

Internet

-

Схема настройки

  1. Настройте коммутатор доступа, коммутатор агрегации, базовый коммутатор для реализации межсетевого взаимодействия в сети.
  2. На AC настройте шаблон сервера RADIUS, в шаблоне настройте схемы аутентификации, учета и авторизации и укажите IP-адреса серверов Portal. Таким образом, AC могут связываться с серверами RADIUS и серверами Portal.
  3. Настройте услуги надежности и базовые службы WLAN для AC.
  4. Добавьте AC к Диспетчеру служб и настройте параметры для AC, чтобы гарантировать, что Agile Controller-Campus может управлять AC.
  5. Добавьте результаты и правила авторизации, чтобы предоставить различные права доступа сотрудникам и гостям после их успешной аутентификации.

Процедура

  1. [Устройство] Настройте коммутатор доступа S2750EI для обеспечения сетевого подключения.

    <HUAWEI> system-view
    [HUAWEI] sysname S2700
    [S2700] vlan batch 100 101 102   //Создайте VLAN 100, VLAN 101 и VLAN 102 в партии.
    [S2700] interface gigabitethernet 0/0/1  //Введите представление интерфейса, подключенного к AP.
    [S2700-GigabitEthernet0/0/1] port link-type trunk  //Измените тип связи gigabitethernet0/0/1 на trunk.
    [S2700-GigabitEthernet0/0/1] port trunk pvid vlan 100  //Установите VLAN по умолчанию gigabitethernet0/0/1 на VLAN 100.
    [S2700-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101 102  //Добавьте gigabitethernet0/0/1 к VLAN 100, VLAN 101 и VLAN 102.
    [S2700-GigabitEthernet0/0/1] port-isolate enable  //Настройте изоляцию порта, чтобы предотвратить нежелательные широковещательные пакеты в VLAN и связи уровня 2 между пользователями WLAN, подключенными к различным AP.
    [S2700-GigabitEthernet0/0/1] quit
    [S2700] interface gigabitethernet 0/0/2  //Введите представление интерфейса, подключенного к другой AP.
    [S2700-GigabitEthernet0/0/2] port link-type trunk
    [S2700-GigabitEthernet0/0/2] port trunk pvid vlan 100
    [S2700-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 101 102
    [S2700-GigabitEthernet0/0/2] port-isolate enable
    [S2700-GigabitEthernet0/0/2] quit
    [S2700] interface gigabitethernet 0/0/3  //Введите представление интерфейса, подключенного к коммутатору агрегации S5700.
    [S2700-GigabitEthernet0/0/3] port link-type trunk
    [S2700-GigabitEthernet0/0/3] port trunk allow-pass vlan 100 101 102
    [S2700-GigabitEthernet0/0/3] quit
    [S2700] quit
    <S2700> save  //Сохраните конфигурацию.

  2. [Устройство] Настройте коммутатор агрегации S5700 для обеспечения сетевого подключения.

    <HUAWEI> system-view
    [HUAWEI] sysname S5700
    [S5700] vlan batch 100 101 102   //Создайте VLAN 100, VLAN 101 и VLAN 102 в партии.
    [S5700] interface gigabitethernet 0/0/1  //Введите представление интерфейса, подключенного к коммутатору доступа S2700.
    [S5700-GigabitEthernet0/0/1] port link-type trunk
    [S5700-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101 102
    [S5700-GigabitEthernet0/0/1] quit
    [S5700] interface gigabitethernet 0/0/2  //Введите представление интерфейса, подключенного к базовому коммутатору S7700.
    [S5700-GigabitEthernet0/0/2] port link-type trunk
    [S5700-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 101 102
    [S5700-GigabitEthernet0/0/2] quit
    [S5700] interface gigabitethernet 0/0/3  //Введите представление интерфейса, подключенного к AC1.
    [S5700-GigabitEthernet0/0/3] port link-type trunk
    [S5700-GigabitEthernet0/0/3] port trunk allow-pass vlan 100
    [S5700-GigabitEthernet0/0/3] quit
    [S5700] interface gigabitethernet 0/0/4  //Введите представление интерфейса, подключенного к AC2.
    [S5700-GigabitEthernet0/0/4] port link-type trunk
    [S5700-GigabitEthernet0/0/4] port trunk allow-pass vlan 100
    [S5700-GigabitEthernet0/0/4] quit
    [S5700] interface gigabitethernet 0/0/5  //Введите представление интерфейса, подключенного к AC3.
    [S5700-GigabitEthernet0/0/5] port link-type trunk
    [S5700-GigabitEthernet0/0/5] port trunk allow-pass vlan 100
    [S5700-GigabitEthernet0/0/5] quit
    [S5700] quit
    <S5700> save  //Сохраните конфигурацию.

  3. [Устройство] Настройте базовый коммутатор S7700 для обеспечения сетевого подключения.

    <HUAWEI> system-view
    [HUAWEI] sysname S7700
    [S7700] dhcp enable   //Включите услугу DHCP.
    [S7700] vlan batch 100 to 103   //Создайте VLAN 100, VLAN 101, VLAN 102 и VLAN 103 в партии.
    [S7700] interface gigabitethernet 1/0/1  //Введите представление интерфейса, подключенного к коммутатору агрегации S5700.
    [S7700-GigabitEthernet1/0/1] port link-type trunk
    [S7700-GigabitEthernet1/0/1] port trunk allow-pass vlan 100 101 102
    [S7700-GigabitEthernet1/0/1] quit
    [S7700] interface vlanif 100
    [S7700-Vlanif100] ip address 172.18.10.4 24
    [S7700-Vlanif100] dhcp select relay  //Включите агент DHCP-ретранслятора.
    [S7700-Vlanif100] dhcp relay server-ip 172.22.10.6  //Настройте DHCP-сервер, подключенный к агенту DHCP-ретранслятора.
    [S7700-Vlanif100] quit
    [S7700] interface vlanif 101
    [S7700-Vlanif101] ip address 172.20.10.1 24
    [S7700-Vlanif101] dhcp select relay
    [S7700-Vlanif101] dhcp relay server-ip 172.22.10.6
    [S7700-Vlanif101] quit
    [S7700] interface vlanif 102
    [S7700-Vlanif102] ip address 172.19.10.1 24
    [S7700-Vlanif102] dhcp select relay
    [S7700-Vlanif102] dhcp relay server-ip 172.22.10.6
    [S7700-Vlanif102] quit
    [S7700] interface gigabitethernet 1/0/2  //Введите представление интерфейса, подключенного к домену сервера.
    [S7700-GigabitEthernet1/0/2] port link-type trunk
    [S7700-GigabitEthernet1/0/2] port trunk allow-pass vlan 103
    [S7700-GigabitEthernet1/0/2] quit
    [S7700] interface vlanif 103
    [S7700-Vlanif103] ip address 172.22.10.1 24
    [S7700-Vlanif103] quit
    [S7700] quit
    <S7700> save  //Сохраните конфигурацию.

  4. [Устройство] Настройте AC для обеспечения сетевого подключения.

    # Настройте сетевое подключение, подключите GE0/0/1 на AC1 к S5700, и добавьте GE0 0/1 к mVLAN 100 и сервисным VLAN 101 и 102.

    <AC6605> system-view
    [AC6605] sysname AC1
    [AC1] vlan batch 100 101 102
    [AC1] interface gigabitethernet 0/0/1  //Введите представление интерфейса, подключенного к коммутатору агрегации S5700.
    [AC1-GigabitEthernet0/0/1] port link-type trunk
    [AC1-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101 102
    [AC1-GigabitEthernet0/0/1] quit
    [AC1] interface vlanif 100
    [AC1-Vlanif100] ip address 172.18.10.1 24  //Настройте исходный IP-адрес для AC1.
    [AC1-Vlanif100] quit
    [AC1] ip route-static 0.0.0.0 0 172.18.10.4  //Настройте маршрут по умолчанию между AC1 и зоной сервера, чтобы пакеты перенаправлялись на базовый коммутатор по умолчанию.

    # Настройте сетевое подключение, подключите GE0/0/1 на AC2 к S5700, и добавьте GE0/0/1 к mVLAN 100 и сервисным VLAN 101 и 102.

    <AC6605> system-view
    [AC6605] sysname AC2
    [AC2] vlan batch 100 101 102
    [AC2] interface gigabitethernet 0/0/1  //Введите представление интерфейса, подключенного к коммутатору агрегации S5700.
    [AC2-GigabitEthernet0/0/1] port link-type trunk
    [AC2-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101 102
    [AC2-GigabitEthernet0/0/1] quit
    [AC2] interface vlanif 100
    [AC2-Vlanif100] ip address 172.18.10.2 24  //Настройте исходный IP-адрес для AC2.
    [AC2-Vlanif100] quit
    [AC2] ip route-static 0.0.0.0 0 172.18.10.4  //Настройте маршрут по умолчанию между AC2 и зоной сервера, чтобы пакеты пересылались на базовый коммутатор по умолчанию.

    # Настройте сетевое подключение, подключите GE0/0/1 на AC3 к S5700, и добавьте GE0 0/1 к mVLAN 100 и сервисным VLAN 101 и 102. Настройте AC3 как резервный AC для AC1 и AC2.

    <AC6605> system-view
    [AC6605] sysname AC3
    [AC3] vlan batch 100 101 102
    [AC3] interface gigabitethernet 0/0/1  //Введите представление интерфейса, подключенного к коммутатору агрегации S7700.
    [AC3-GigabitEthernet0/0/1] port link-type trunk
    [AC3-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101 102
    [AC3-GigabitEthernet0/0/1] quit
    [AC3] interface vlanif 100
    [AC3-Vlanif100] ip address 172.18.10.3 24  //Настройте исходный IP-адрес для AC3.
    [AC3-Vlanif100] quit
    [AC3] ip route-static 0.0.0.0 0 172.18.10.4  //Настройте маршрут по умолчанию между AC3 и зоной сервера, чтобы пакеты перенаправлялись на базовый коммутатор по умолчанию.

  5. [Устройство] Настройте AP для входа в сеть.

    На AC1 настройте AP для входа в сеть.

    # Создайте группу AP, к которой могут добавляться AP с одинаковой конфигурацией.

    [AC1] wlan
    [AC1-wlan-view] ap-group name ap_group
    [AC1-wlan-ap-group-ap_group] quit
    

    # Создайте профиль регулятивного домена, настройте код страны AC в профиле и примените профиль к группе AP.

    [AC1-wlan-view] regulatory-domain-profile name domain1
    [AC1-wlan-regulatory-domain-prof-domain1] country-code cn
    [AC1-wlan-regulatory-domain-prof-domain1] quit
    [AC1-wlan-view] ap-group name ap_group
    [AC1-wlan-ap-group-ap_group] regulatory-domain-profile domain1
    Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu
    e?[Y/N]:y 
    [AC1-wlan-ap-group-ap_group] quit
    [AC1-wlan-view] quit
    

    # Настройте исходный интерфейс АС.

    [AC1] capwap source interface vlanif 100
    

    # Введите AP в автономном режиме на AC и добавьте AP к группе AP. В этом примере предполагается, что тип AP - это AP6010DN-AGN, и MAC-адрес AP - 60de-4476-e360.

    [AC1] wlan
    [AC1-wlan-view] ap auth-mode mac-auth
    [AC1-wlan-view] ap-id 0 ap-mac 60de-4476-e360
    [AC1-wlan-ap-0] ap-name ap_0
    [AC1-wlan-ap-0] ap-group ap_group
    Warning: This operation may cause AP reset. If the country code changes, it will, clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y 
    [AC1-wlan-ap-0] quit
    [AC1-wlan-view] quit

    # После включения AP запустите команду display ap all, чтобы проверить состояние AP. Если поле State отображается так же, как nor, то AP пошел онлайн правильно.

    [AC1] display ap all
    Total AP information:
    nor  : normal          [1]
    -------------------------------------------------------------------------------------
    ID   MAC            Name   Group     IP            Type            State STA Uptime
    -------------------------------------------------------------------------------------
    0    60de-4476-e360 ap_0 ap_group  172.18.10.254 AP6010DN-AGN    nor   0   10S
    -------------------------------------------------------------------------------------
    Total: 1

    На AC2 настройте AP для входа в сеть.

    ПРИМЕЧАНИЕ:
    Процесс настройки на AC2 такой же, как на AC1. Подробный процесс выглядит следующим образом:
    1. Создайте группу AP ap_group на AC2 и добавьте AP, управляемые AC2, к этой группе AP.
    2. Создайте профиль регулятивного домена на AC2, настройте код страны AC в профиле и примените профиль к группе AP.
    3. Укажите IP-адрес VLANIF 100 на AC2 в качестве адреса источника.
    4. Добавьте AP с типом AP6010DN-AGN и MAC-адресом 60de-4476-e380 к AC2 в автономном режиме и добавьте AP к ap_group.

    На AC3 настройте AP для входа в сеть.

    # Создайте группу AP, к которой могут добавляться AP с одинаковой конфигурацией.

    [AC3] wlan
    [AC3-wlan-view] ap-group name ap_group
    [AC3-wlan-ap-group-ap_group] quit
    

    # Создайте профиль регулятивного домена, настройте код страны AC в профиле и примените профиль к группе AP.

    [AC3-wlan-view] regulatory-domain-profile name domain1
    [AC3-wlan-regulatory-domain-prof-domain1] country-code cn
    [AC3-wlan-regulatory-domain-prof-domain1] quit
    [AC3-wlan-view] ap-group name ap_group
    [AC3-wlan-ap-group-ap_group] regulatory-domain-profile domain1
    Warning: This operation may cause AP reset. If the country code changes, it will, clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y 
    [AC3-wlan-ap-group-ap_group] quit
    [AC3-wlan-view] quit
    

    # Настройте интерфейс источника AC.

    [AC3] capwap source interface vlanif 100
    

    # Введите AP в автономном режиме на AC и добавьте AP к группе AP. В этом примере соответственно предполагается, что тип AP - это AP6010DN-AGN, и MAC-адреса AP_0 и AP_1 - 60de-4476-e360 и 60de-4476-e380.

    [AC3] wlan
    [AC3-wlan-view] ap auth-mode mac-auth
    [AC3-wlan-view] ap-id 0 ap-mac 60de-4476-e360
    [AC3-wlan-ap-0] ap-name ap_0
    [AC3-wlan-ap-0] ap-group ap_group
    Warning: This operation may cause AP reset. If the country code changes, it will, clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y 
    [AC3-wlan-ap-0] quit
    [AC3-wlan-view] ap-id 1 ap-mac 60de-4476-e380
    [AC3-wlan-ap-1] ap-name ap_1
    [AC3-wlan-ap-1] ap-group ap_group
    Warning: This operation may cause AP reset. If the country code changes, it will, clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y 
    [AC3-wlan-ap-1] quit
    [AC3-wlan-view] quit

  6. [Устройство] Настройте параметры соединения для сервера RADIUS и AC, а также сервера Portal и AC, чтобы AC мог ассоциироваться с серверами RADIUS и Portal.

    # На AC1 настройте шаблон сервера RADIUS, в шаблоне настройте схемы аутентификации, учета и авторизации.

    [AC1] radius-server template radius_template
    [AC1-radius-radius_template] radius-server authentication 172.22.10.2 1812 source ip-address 172.18.10.1 weight 80  //Настройте первичный сервер аутентификации RADIUS с более высоким весом, чем у вторичного сервера аутентификации. 
    Установите порт аутентификации на 1812 и исходный IP-адрес для связи с сервером RADIUS на 172.16.10.1.[AC1-radius-radius_template] radius-server authentication 172.22.10.3 1812 source ip-address 172.18.10.1 weight 40  //Настройте вторичный сервер аутентификации RADIUS с меньшим весом, чем у первичного сервера аутентификации. 
    Установите порт аутентификации на 1812 и исходный IP-адрес для связи с сервером RADIUS на 172.16.10.1.
    [AC1-radius-radius_template] radius-server accounting 172.22.10.2 1813 source ip-address 172.18.10.1 weight 80  //Настройте первичный сервер учета RADIUS с более высоким весом, чем у вторичного сервера учета, чтобы получить сведения о входе и выходе пользователя. 
    Установите порт учета на 1813 и исходный IP-адрес для связи с сервером RADIUS на 172.16.10.1.[AC1-radius-radius_template] radius-server accounting 172.22.10.3 1813 source ip-address 172.18.10.1 weight 40  //Настройте вторичный сервер учета RADIUS с меньшим весом, чем у первичного сервера учета, чтобы получить сведения о входе и выходе пользователя. 
    Установите порт учета на 1813 и исходный IP-адрес для связи с сервером RADIUS на 172.16.10.1.[AC1-radius-radius_template] radius-server shared-key cipher Admin@123  //Настройте общий ключ для сервера RADIUS.
    [AC1-radius-radius_template] radius-server user-name original  //Настройте AC для отправки имен пользователей, введенных пользователями на сервер RADIUS.
    [AC1-radius-radius_template] quit
    [AC1] radius-server authorization 172.22.10.2 shared-key cipher Admin@123  //Настройте сервер авторизации RADIUS, чтобы сервер RADIUS мог доставлять правила авторизации в AC. 
    Установите общий ключ на Admin@123, который должен быть таким же, как у сервера аутентификации и учета. 
    [AC1] radius-server authorization 172.22.10.3 shared-key cipher Admin@123  //Настройте сервер авторизации RADIUS, чтобы сервер RADIUS мог доставлять правила авторизации в AC. 
    //Установите общий ключ на Admin@123, который должен быть таким же, как у сервера аутентификации и учета.
    //Устройство контроля доступа может обрабатывать пакеты запроса CoA/DM, инициированные Agile Controller-Campus только после настройки серверов авторизации. 
    //Серверы аутентификации и серверы авторизации должны иметь сопоставление "один к одному", то есть количество серверов аутентификации и серверов авторизации должно быть одинаковым. 
    //Если нет, Agile Controller-Campus не сможет выгнать некоторых пользователей в автономном режиме.
    [AC1] aaa
    [AC1-aaa] authentication-scheme auth_scheme
    [AC1-aaa-authen-auth_scheme] authentication-mode radius  //Установите схему аутентификации на RADIUS.
    [AC1-aaa-authen-auth_scheme] quit
    [AC1-aaa] accounting-scheme acco_scheme
    [AC1-aaa-accounting-acco_scheme] accounting-mode radius  //Установите схему учета на RADIUS. 
    //Необходимо использовать схему учета RADIUS, чтобы сервер RADIUS мог поддерживать информацию о состоянии учетной записи, такую как информация входа/выхода из системы, и принудительно отключать пользователей.
    [AC1-aaa-accounting-acco_scheme] accounting realtime 15  //Установите интервал учета в режиме реального времени на 15 минут.
    [AC1-aaa-accounting-acco_scheme] quit
    [AC1-aaa] quit
    ПРИМЕЧАНИЕ:

    Команда accounting realtime устанавливает интервал учета в режиме реального времени. Короткий учетный интервал в режиме реального времени требует высокой производительности устройства и сервера RADIUS. Установите интервал учета в режиме реального времени на основе количества пользователей.

    Табл. 3-148 Интервал учета

    Количество пользователей

    Интервал учета в режиме реального времени

    От 1 до 99

    3 минуты

    От 100 до 499

    6 минут

    От 500 до 999

    12 минут

    ≥ 1000

    ≥ 15 минут

    # Проверьте, может ли пользователь использовать шаблон RADIUS для аутентификации. (Тест имени пользователя и пароль Admin_123 настроены на сервере RADIUS.)

    [AC1] test-aaa test Admin_123 radius-template radius_huawei pap
    Info: Account test succeed.
    # Настройте сервер Portal.
    1. Настройте URL страницы аутентификации первичного Portal. Когда пользователь пытается получить доступ к веб-сайту до аутентификации, AC перенаправляет веб-сайт на сервер первичного Portal.

      Рекомендуется настроить URL с использованием имени домена, чтобы обеспечить безопасное и быстрое переотправление страницы. Перед настройкой URL с использованием имени домена сначала необходимо настроить сопоставление между именем домена и IP-адресом сервера Agile Controller-Campus на DNS-сервере.

      [AC1] url-template name huawei1
      [AC1-url-template-huawei1] url http://access1.example.com:8080/portal  //access1.example.com - имя хоста первичного сервера Portal.
    2. Настройте параметры, переносимые в URL, которые должны быть такими же, как на сервере аутентификации.

      [AC1-url-template-huawei1] url-parameter ssid ssid redirect-url url  //Укажите имена параметров, включенных в URL. Имена параметров должны совпадать с именами на сервере аутентификации. 
      //Первый ssid указывает, что URL содержит поле SSID, а второй ssid указывает имя параметра. 
      //Например, после настройки ssid ssid URL, перенаправленный пользователю, содержит sid = guest, где ssid указывает имя параметра, а guest указывает SSID, с которым пользователь связывает. 
      //Второй SSID представляет только переданное имя параметра и не может быть заменен фактическим SSID пользователя.
      //Когда AC использует URL в качестве имени параметра, URL должен быть введен на сервере Portal, чтобы указать, на какой URL будет перенаправлен запрос доступа пользователей.
      [AC1-url-template-huawei1] quit
    3. Настройте URL страницы аутентификации вторичного Portal. Когда сервер первичного Portal недоступен, AC перенаправляет веб-сайт, к которому пользователь пытается получить доступ к серверу вторичного Portal.

      [AC1] url-template name huawei2
      [AC1-url-template-huawei2] url http://access2.example.com:8080/portal  //access2.example.com - имя хоста вторичного сервера Portal.
      [AC1-url-template-huawei2] url-parameter ssid ssid redirect-url url
      [AC1-url-template-huawei2] quit
    4. Укажите номер порта, используемый для обработки пакетов протокола Portal. Номер порта по умолчанию - 2000. Если вы измените номер порта на AC, установите одинаковый номер порта, когда вы добавите этот AC в Agile Controller-Campus.

      [AC1] web-auth-server listening-port 2000
    5. Настройте шаблон сервера первичного Portal, включая настройку IP-адреса и номера порта сервера первичного Portal.

      Установите значение 50200 в качестве номера порта назначения в пакетах, отправленных на сервер Portal. Сервер Portal принимает пакеты с целевым портом 50200, но AC использует порт 50100 для отправки пакетов на сервер Portal по умолчанию. Следовательно, вы должны изменить номер порта на 50200 на AC, чтобы AC мог связываться с сервером Portal.

      [AC1] web-auth-server portal_huawei1
      [AC1-web-auth-server-portal_huawei1] server-ip 172.22.10.2  //Настройте IP-адрес для сервера первичного Portal.
      [AC1-web-auth-server-portal_huawei1] source-ip 172.18.10.1  //Настройте IP-адрес устройства для связи с сервером Portal.
      [AC1-web-auth-server-portal_huawei1] port 50200  //Установите номер порта назначения в пакетах, отправленных на сервер Portal на 50200.
    6. Настройте общий ключ, используемый для связи с сервером Portal, который должен быть таким же, как на сервере Portal. Кроме того, включите AC для передачи зашифрованных параметров URL на сервер Portal.

      [AC1-web-auth-server-portal_huawei1] shared-key cipher Admin@123  //Настройте общий ключ, используемый для связи с сервером Portal, который должен быть таким же, как на сервере Portal.
      [AC1-web-auth-server-portal_huawei1] url-template huawei1  //Привяжите шаблон URL к профилю сервера Portal.
      
    7. Включите функцию обнаружения сервера Portal.

      После того, как функция обнаружения сервера Portal включена в шаблоне сервера Portal, устройство обнаруживает все серверы Portal, настроенные в шаблоне сервера Portal. Если количество раз, когда устройство не обнаруживает сервер Portal, превышает верхний предел, состояние сервера Portal изменяется от Up до Down. Если количество серверов Portal в состоянии Up меньше или равно минимальному числу (указанному параметром critical-num), устройство выполняет соответствующую операцию, чтобы администратор мог получить состояние сервера Portal в режиме реального времени. Интервал обнаружения не может быть меньше 15 с, а рекомендуемое значение - 100 с. AC поддерживает только обнаружение сервера Portal, но не выход Portal.

      [AC1-web-auth-server-portal_huawei1] server-detect interval 100 max-times 5 critical-num 0 action log
    8. Настройте шаблон сервера вторичного Portal, включая настройку IP-адреса, номера порта и общего ключа сервера вторичного Portal.

      [AC1] web-auth-server portal_huawei2
      [AC1-web-auth-server-portal_huawei2] server-ip 172.22.10.3  //Настройте IP-адрес для сервера вторичного Portal.
      [AC1-web-auth-server-portal_huawei2] source-ip 172.18.10.1
      [AC1-web-auth-server-portal_huawei2] port 50200
      [AC1-web-auth-server-portal_huawei2] shared-key cipher Admin@123
      [AC1-web-auth-server-portal_huawei2] url-template huawei2
      [AC1-web-auth-server-portal_huawei2] server-detect interval 100 max-times 5 critical-num 0 action log
      [AC1-web-auth-server-portal_huawei2] quit

    # Включите функцию «тихого периода» (quiet period) аутентификации Portal. Когда эта функция включена, AC отбрасывает пакеты пользователя аутентификации в течение тихого периода, если пользователь не смог аутентифицировать Portal за указанное количество раз за 60 секунд. Эта функция защищает AC от перегрузки из-за частой аутентификации.

    [AC1] portal quiet-period
    [AC1] portal quiet-times 5  //Установите максимальное количество отказов аутентификации за 60 секунд до того, как аутентификация Portal установлена в состояние «тихо».
    [AC1] portal timer quiet-period 240  //Установите тихий период на 240 секунд.
    

    # Создайте профиль доступа к Portal и привяжите к нему шаблон сервера Portal.

    [AC1] portal-access-profile name acc_portal  //Создайте профиль доступа к Portal.
    [AC1-portal-access-profile-acc_portal] web-auth-server portal_huawei1 portal_huawei2 direct  //Настройте первичные и вторичные шаблоны сервера Portal, используемые профилем доступа к Portal. Если сеть между конечными пользователями и AC является сетью уровня 2, настройте режим direct; если сеть является сетью уровня 3, настройте режим layer3.
    [AC1-portal-access-profile-acc_portal] quit
    

    # Настройте правила доступа предварительной аутентификации и после аутентификации для сотрудников и гостей.

    [AC1] free-rule-template name default_free_rule 
    [AC1-free-rule-default_free_rule] free-rule 1 destination ip 172.22.10.4 mask 255.255.255.255  //Настройте правило без аутентификации Portal, чтобы разрешить пользователям подключаться к DNS-серверу перед аутентификации.
    [AC1-free-rule-default_free_rule] free-rule 2 destination ip 172.22.10.6 mask 255.255.255.255  //Настройте правило без аутентификации Portal, чтобы разрешить пользователям подключаться к DNS-серверу перед аутентификации.
    [AC1-free-rule-default_free_rule] quit
    
    [AC1] acl 3001  //Настройте домен после аутентификации для сотрудников, включая интрасеть и Internet.
    [AC1-acl-adv-3001]  rule 5 permit ip
    [AC1-acl-adv-3001]  quit
    [AC1] acl 3002  //Настройте домен после аутентификации для гостей, включая Internet.
    [AC1-acl-adv-3002]  rule 5 deny ip destination 172.22.10.5 0  //172.22.10.5 - серверные ресурсы компании и недоступны для гостей.
    [AC1-acl-adv-3002]  rule 10 permit ip
    [AC1-acl-adv-3002]  quit
    # Настройте профиль аутентификации.
    [AC1] authentication-profile name auth_portal
    [AC1-authentication-profile-auth_portal] portal-access-profile acc_portal
    [AC1-authentication-profile-auth_portal] authentication-scheme auth_scheme
    [AC1-authentication-profile-auth_portal] accounting-scheme acco_scheme
    [AC1-authentication-profile-auth_portal] radius-server radius_template
    [AC1-authentication-profile-auth_portal] free-rule-template default_free_rule
    [AC1-authentication-profile-auth_portal] quit

    # Включите идентификацию типа терминала, чтобы позволить AC отправлять поля варианта, содержащие тип терминала в пакетах DHCP, на сервер аутентификации. Таким образом, сервер аутентификации может переотправлять правильные страницы аутентификации Portal пользователям на основе их типов терминала.

    [AC1] dhcp snooping enable
    [AC1] device-sensor dhcp option 12 55 60

    Конфигурации AC2 и AC3 такие же, как у AC1, и здесь не описаны. При настройке сервера аутентификации укажите IP-адрес VLANIF 100 на устройстве в качестве адреса источника.

  7. [Устройство] Установите параметры службы WLAN.

    Установите параметры службы WLAN на AC1.

    # Создайте безопасный профиль security_portal, и установите политику безопасности в профиле.

    [AC1] wlan
    [AC1-wlan-view] security-profile name security_portal
    [AC1-wlan-sec-prof-security_portal] quit

    # Соответственно создайте профили SSID по имени wlan-ssid-employee и wlan-ssid-guest, и установите имена SSID на employee и guest.

    [AC1-wlan-view] ssid-profile name wlan-ssid-employee
    [AC1-wlan-ssid-prof-wlan-ssid-employee] ssid employee
    Warning: This action may cause service interruption. Continue?[Y/N]y
    [AC1-wlan-ssid-prof-wlan-ssid-employee] quit
    [AC1-wlan-view] ssid-profile name wlan-ssid-guest
    [AC1-wlan-ssid-prof-wlan-ssid-guest] ssid guest
    Warning: This action may cause service interruption. Continue?[Y/N]y
    [AC1-wlan-ssid-prof-wlan-ssid-guest] quit

    # Создайте профили VAP по имени wlan-vap-employee и wlan-vap-guest, настройте режим пересылки сервисных данных и сервисные VLAN, и примените профили безопасности, SSID и аутентификации к профилям VAP.

    [AC1-wlan-view] vap-profile name wlan-vap-employee
    [AC1-wlan-vap-prof-wlan-vap-employee] forward-mode direct-forward  //Настройте прямую переадресацию для сотрудников.
    [AC1-wlan-vap-prof-wlan-vap-employee] service-vlan vlan-id 101
    [AC1-wlan-vap-prof-wlan-vap-employee] security-profile security_portal
    [AC1-wlan-vap-prof-wlan-vap-employee] ssid-profile wlan-ssid-employee
    [AC1-wlan-vap-prof-wlan-vap-employee] authentication-profile auth_portal  //Свяжите профиль аутентификации.
    [AC1-wlan-vap-prof-wlan-vap-employee] quit
    [AC1-wlan-view] vap-profile name wlan-vap-guest
    [AC1-wlan-vap-prof-wlan-vap-guest] forward-mode direct-forward  //Настройте прямую переадресацию для гостей.
    [AC1-wlan-vap-prof-wlan-vap-guest] service-vlan vlan-id 102
    [AC1-wlan-vap-prof-wlan-vap-guest] security-profile security_portal
    [AC1-wlan-vap-prof-wlan-vap-guest] ssid-profile wlan-ssid-guest
    [AC1-wlan-vap-prof-wlan-vap-guest] authentication-profile auth_portal
    [AC1-wlan-vap-prof-wlan-vap-guest] quit

    # Привяжите профиль VAP к группам AP и примените профиль VAP к radio 0 и radio 1 AP.

    [AC1-wlan-view] ap-group name ap_group
    [AC1-wlan-ap-group-ap_group] vap-profile wlan-vap-employee wlan 1 radio 0  //Настройте частотный диапазон 2,4 ГГц для AP, чтобы предоставить услуги для сотрудников.
    [AC1-wlan-ap-group-ap_group] vap-profile wlan-vap-employee wlan 1 radio 1  //Настройте частотный диапазон 5 ГГц для AP, чтобы предоставить услуги для сотрудников.
    [AC1-wlan-ap-group-ap_group] vap-profile wlan-vap-guest wlan 2 radio 0  //Настройте частотный диапазон 2,4 ГГц для AP, чтобы предоставить услуги для гостей.
    [AC1-wlan-ap-group-ap_group] vap-profile wlan-vap-guest wlan 2 radio 1  //Настройте частотный диапазон 5 ГГц для AP, чтобы предоставить услуги для гостей.
    [AC1-wlan-ap-group-ap_group] quit
    

    Установите параметры службы WLAN на AC2, которые совпадают с параметрами на AC1.

    Установите параметры службы WLAN на AC3.

    Конфигурации службы WLAN на резервном AC должны содержать все конфигурации на активных AC. В этом примере активные AC имеют одинаковые конфигурации службы WLAN, поэтому конфигурации на AC3 должны быть такими же, как на AC1 или AC2.

    # Создайте безопасный профиль security_portal, и установите политику безопасности в профиле.

    [AC3] wlan
    [AC3-wlan-view] security-profile name security_portal
    [AC3-wlan-sec-prof-security_portal] quit

    # Соответственно создайте профили SSID по имени wlan-ssid-employee и wlan-ssid-guest, и установите имена SSID на employee и guest.

    [AC3-wlan-view] ssid-profile name wlan-ssid-employee
    [AC3-wlan-ssid-prof-wlan-ssid-employee] ssid employee
    Warning: This action may cause service interruption. Continue?[Y/N]y
    [AC3-wlan-ssid-prof-wlan-ssid-employee] quit
    [AC3-wlan-view] ssid-profile name wlan-ssid-guest
    [AC3-wlan-ssid-prof-wlan-ssid-guest] ssid guest
    Warning: This action may cause service interruption. Continue?[Y/N]y
    [AC3-wlan-ssid-prof-wlan-ssid-guest] quit

    # Создайте профили VAP по имени wlan-vap-employee и wlan-vap-guest, настройте режим пересылки сервисных данных и сервисные VLAN, и примените профили безопасности, SSID и аутентификации к профилям VAP.

    [AC3-wlan-view] vap-profile name wlan-vap-employee
    [AC3-wlan-vap-prof-wlan-vap-employee] forward-mode direct-forward  //Настройте прямую переадресацию для сотрудников.
    [AC3-wlan-vap-prof-wlan-vap-employee] service-vlan vlan-id 101
    [AC3-wlan-vap-prof-wlan-vap-employee] security-profile security_portal
    [AC3-wlan-vap-prof-wlan-vap-employee] ssid-profile wlan-ssid-employee
    [AC3-wlan-vap-prof-wlan-vap-employee] authentication-profile auth_portal  //Свяжите профиль аутентификации.
    [AC3-wlan-vap-prof-wlan-vap-employee] quit
    [AC3-wlan-view] vap-profile name wlan-vap-guest
    [AC3-wlan-vap-prof-wlan-vap-guest] forward-mode direct-forward  //Настройте прямую переадресацию для гостей.
    [AC3-wlan-vap-prof-wlan-vap-guest] service-vlan vlan-id 102
    [AC3-wlan-vap-prof-wlan-vap-guest] security-profile security_portal
    [AC3-wlan-vap-prof-wlan-vap-guest] ssid-profile wlan-ssid-guest
    [AC3-wlan-vap-prof-wlan-vap-guest] authentication-profile auth_portal
    [AC3-wlan-vap-prof-wlan-vap-guest] quit

    # Привяжите профиль VAP к группам AP и примените профиль VAP к radio 0 и radio 1 AP.

    [AC3-wlan-view] ap-group name ap_group
    [AC3-wlan-ap-group-ap_group] vap-profile wlan-vap-employee wlan 1 radio 0  //Настройте частотный диапазон 2,4 ГГц для AP, чтобы предоставить услуги для сотрудников.
    [AC3-wlan-ap-group-ap_group] vap-profile wlan-vap-employee wlan 1 radio 1  //Настройте частотный диапазон 5 ГГц для AP, чтобы предоставить услуги для сотрудников.
    [AC3-wlan-ap-group-ap_group] vap-profile wlan-vap-guest wlan 2 radio 0  //Настройте частотный диапазон 2,4 ГГц для AP, чтобы предоставить услуги для гостей.
    [AC3-wlan-ap-group-ap_group] vap-profile wlan-vap-guest wlan 2 radio 1  //Настройте частотный диапазон 5 ГГц для AP, чтобы предоставить услуги для гостей.
    [AC3-wlan-ap-group-ap_group] quit
    

  8. [Устройство] Включите резервное копирование N+1 на AC1, AC2 и AC3.

    # На AC1 настройте глобальные и индивидуальные приоритеты активного AC1 и настройте IP-адрес для резервного AC3, чтобы AC работали в режиме резервного копирования N+1.
    ПРИМЕЧАНИЕ:
    Приоритеты AC определяют роли AC. AC с более высоким приоритетом - активный AC, и AC с более низким приоритетом - резервный AC. Меньшее значение указывает на более высокий приоритет. Если приоритеты AC одинаковы, AC, который подключается к большему количеству AP, является активным AC. Если AC могут подключаться к одному и тому же числу AP, AC, который подключается к большему количеству STA, является активным AC. Если AC могут подключаться к одному и тому же количеству STA, AC с меньшим IP-адресом является активным AC.
    [AC1] wlan
    [AC1-wlan-view] ac protect protect-ac 172.18.10.3  //Настройте IP-адрес для резервного AC.
    Warning: Operation successful. It will take effect after AP reset.
    [AC1-wlan-view] ac protect priority 6  //Настройте глобальный приоритет активного AC1.
    Warning: Operation successful. It will take effect after AP reset.
    [AC1-wlan-view] ap-system-profile name ap-system1  //Создайте профиль системы AP и введите представление этого профиля.
    [AC1-wlan-ap-system-prof-ap-system1] priority 3  //Настройте индивидуальный приоритет активного AC1.
    Warning: This action will take effect after resetting AP. 
    [AC1-wlan-ap-system-prof-ap-system1] quit
    [AC1-wlan-view] ap-group name ap_group
    [AC1-wlan-ap-group-ap_group] ap-system-profile ap-system1  //Привяжите профиль системы AP к группе AP.
    [AC1-wlan-ap-group-ap_group] quit
    
    # На AC2 настройте глобальные и индивидуальные приоритеты активного AC2 и настройте IP-адрес для резервного AC3, чтобы AC работали в режиме резервного копирования N+1.
    [AC2] wlan
    [AC2-wlan-view] ac protect protect-ac 172.18.10.3  //Настройте IP-адрес для резервного AC.
    Warning: Operation successful. It will take effect after AP reset.
    [AC2-wlan-view] ac protect priority 6  //Настройте глобальный приоритет активного AC2.
    Warning: Operation successful. It will take effect after AP reset.
    [AC2-wlan-view] ap-system-profile name ap-system1  //Создайте профиль системы AP и введите представление этого профиля.
    [AC2-wlan-ap-system-prof-ap-system1] priority 3  //Настройте индивидуальный приоритет активного AC2.
    Warning: This action will take effect after resetting AP.
    [AC2-wlan-ap-system-prof-ap-system1] quit
    [AC2-wlan-view] ap-group name ap_group
    [AC2-wlan-ap-group-ap_group] ap-system-profile ap-system1  //Привяжите профиль системы AP к группе AP.
    [AC2-wlan-ap-group-ap_group] quit
    
    # На AC3 настройте IP-адреса для активных AC и настройте глобальный приоритет резервного AC3, чтобы AC работали в режиме резервного копирования N+1.
    [AC3] wlan
    [AC3-wlan-view] ac protect priority 5
    Warning: Operation successful. It will take effect after AP reset.   
    [AC3-wlan-view] ap-system-profile name ap-system1  //Создайте профиль системы AP и введите представление этого профиля.
    [AC3-wlan-ap-system-prof-ap-system1] protect-ac ip-address 172.18.10.1
    Warning: This action will take effect after resetting AP.
    [AC3-wlan-ap-system-prof-ap-system1] quit
    [AC3-wlan-view] ap-system-profile name ap-system2  //Создайте профиль системы AP и введите представление этого профиля.
    [AC3-wlan-ap-system-prof-ap-system2] protect-ac ip-address 172.18.10.2
    Warning: This action will take effect after resetting AP. 
    [AC3-wlan-ap-system-prof-ap-system2] quit
    [AC3-wlan-view] ap-id 0
    [AC3-wlan-ap-0] ap-system-profile ap-system1
    [AC3-wlan-ap-0] quit
    [AC3-wlan-view] ap-id 1
    [AC3-wlan-ap-1] ap-system-profile ap-system2
    [AC3-wlan-ap-1] quit
    
    # На AC1 включите резервное копирование N+1 и перезапустите все AP, чтобы функция вступила в силу.
    ПРИМЕЧАНИЕ:
    По умолчанию включено резервное копирование N+1. Чтобы перезапустить все AP, запустите команду ap-reset all на AC1 и AC2. После перезапуска AP резервное копирование N+1 начинает действовать.
    [AC1-wlan-view] undo ac protect enable  //Включите функцию резервного копирования N+1.
    [AC1-wlan-view] ap-reset all
    Warning: Reset AP(s), continue?[Y/N]:y
    # На AC2 включите резервное копирование N+1 и перезапустите все AP, чтобы функция вступила в силу.
    [AC2-wlan-view] undo ac protect enable
    [AC2-wlan-view] ap-reset all
    Warning: Reset AP(s), continue?[Y/N]:y
    # Включите реверсивное переключение и резервное копирование N+1 на AC3.
    [AC3-wlan-view] undo ac protect restore disable  //Включите функцию глобального реверсивного переключения.
    [AC3-wlan-view] undo ac protect enable
    [AC3-wlan-view] ap-reset all
    Warning: Reset AP(s), continue?[Y/N]:y

  9. [Agile Controller-Campus] Добавьте AC1 к Диспетчеру служб, чтобы включить Agile Controller-Campus для управления AC.
    1. Выберите Resource > Device > Device Management.
    2. Нажмите Add.
    3. Настройте параметры для AC1.

      Параметр

      Значение

      Описание

      Имя

      AC1

      -

      IP-адрес

      172.18.10.1

      Интерфейс AC1 с этим IP-адресом должен связываться с Контроллером служб.

      IP-адрес резервного устройства

      172.18.10.3

      Он используется для связи AC3 с Agile Controller-Campus.

      Ключ аутентификации/учета

      Admin@123

      [AC1-radius-radius_template] radius-server shared-key cipher Admin@123

      Ключ авторизации

      Admin@123

      [AC1] radius-server authorization 172.22.10.2 shared-key cipher Admin@123

      Интервал учета в режиме реального времени (минута)

      15

      [AC1-aaa-accounting-acco_scheme] accounting realtime 15

      Порт

      2000

      Это порт, используемый AC для связи с сервером Portal. Сохраните значение по умолчанию.

      Ключ Portal

      Admin@123

      [AC1-web-auth-server-portal_huawei1] shared-key cipher Admin@123

      Список IP-адреса терминала доступа

      172.19.10.1/16; 172.20.10.1/16

      Необходимо добавить IP-адреса всех терминалов, которые подключаются к сети через аутентификацию Portal, в список IP-адреса терминала доступа. После того, как сервер Portal получает учетную запись и пароль, предоставленные конечным пользователем, он ищет устройство контроля доступа на основе IP-адреса терминала и позволяет терминалу подключаться к сети с целевого устройства контроля доступа. Если пул IP-адреса устройства контроля доступа не включает в себя IP-адрес терминала, сервер Portal не может найти устройство контроля доступа в целях предоставления разрешения на доступ к сети для терминала, что приведет к сбою входа в терминал.

      Включить пульс между устройством доступа и сервером Portal.

      Выбранный

      Когда сервер Portal недоступен, услуги могут быть переключены на резервный сервер Portal.

      Сервер Portal может отправлять пакеты пульса на устройство доступа только в том случае, когда выбрано Enable heartbeat between access device and Portal server, и IP-адрес сервера Portal добавлен в Portal server IP list. Затем устройство доступа периодически обнаруживает пакеты пульса сервера Portal, чтобы определить состояние сервера Portal и синхронизировать информацию пользователя от сервера Portal. Команды server-detect и user-sync должны быть настроены в представлении сервера Portal на устройстве доступа.

      Список IP-адреса сервера Portal

      172.22.10.2; 172.22.10.3

    4. Нажмите OK.
    5. Нажмите Add еще раз и установите параметры AC2.

  10. [Agile Controller-Campus] Добавьте SSID на Agile Controller-Campus, чтобы Agile Controller-Campus мог разрешать пользователям через SSID.
    1. Выберите Policy > Permission Control > Policy Element > SSID.
    2. Нажмите Add и добавьте SSID для сотрудников и гостей.

      SSID должны быть такими же, как те, которые настроены на AC.

  11. [Agile Controller-Campus] Настройте результаты и правила авторизации, чтобы предоставить различные права доступа сотрудникам и гостям после их успешной аутентификации.
    1. Выберите Policy > Permission Control > Authentication and Authorization > Authorization Result и добавьте ACL авторизации для сотрудников и гостей.

      Номера ACL должны быть такими же, как те, которые настроены на устройстве контроля аутентификации.

    2. Выберите Policy > Permission Control > Authentication and Authorization > Authorization Rule, и привяжите результат авторизации, чтобы указать ресурсы, доступные для сотрудников и гостей после успешной аутентификации.

    3. Измените правило авторизации по умолчанию, изменив результат авторизации на Deny Access.

      Выберите Policy > Permission Control > Authentication and Authorization > Authorization Rule и нажмите справа от Default Authorization Rule. Измените значение Authorization Result на Deny Access.

Верификация

Если терминал использует Internet Explorer 8 для аутентификации Portal, для браузера должна быть выполнена следующая конфигурация. В противном случае страница аутентификации Portal не может быть отображена.
  1. Выберите Tools > Internet Options.
  2. Выберите варианты, связанные с Use TLS на странице вкладки Advanced.



  3. Нажмите OK.

Пункт

Ожидаемый результат

Аутентификация сотрудника

  • Учетная запись пользователя tony (учетная запись сотрудника) может получить доступ только к серверу Agile Controller-Campus и DNS-серверу до аутентификации.
  • Когда сотрудник подключается к Wi-Fi hotspot employee с помощью компьютера и пытается посетить Internet, страница аутентификации по умолчанию переотправляется пользователю. После того, как сотрудник вводит правильное имя пользователя и пароль, аутентификация завершается успешно, и запрошенная веб-страница отображается автоматически.
  • После успешной аутентификации запустите команду display access-user на AC. Вывод команды показывает, что пользователь tony находится в режиме онлайн.
  • На Диспетчере служб, выберите Resource > User > Online User Management. Пользователь tony отображается в списке онлайн-пользователей.
  • На Диспетчере служб, выберите Resource > User > RADIUS Log. Вы увидите журнал аутентификации RADIUS для пользователя tony.

Аутентификация гостя

  • Учетная запись пользователя susan (учетная запись гостя) может получить доступ только к серверу Agile Controller-Campus и DNS-серверу до аутентификации.
  • Когда гость подключается к Wi-Fi hotspot guest с помощью мобильного телефона и пытается посетить Internet, страница аутентификации гостя переотправляется пользователю. После того, как гость вводит правильное имя пользователя и пароль, аутентификация завершается успешно, и запрошенная веб-страница отображается автоматически.
  • Учетная запись пользователя susan не может получить доступ к внутренним серверам компании.
  • После успешной аутентификации запустите команду display access-user на AC. Вывод команды показывает, что пользователь susan находится в сети.
  • На Диспетчере служб, выберите Resource > User > Online User Management. Пользователь susan отображается в списке онлайн-пользователей.
  • На Диспетчере служб, выберите Resource > User > RADIUS Log. Вы увидите журнал аутентификации RADIUS для пользователя susan.

Выключение питания AC1 и AC2

Услуги автоматически переключаются на AC3, и сотрудники и гости находятся в автономном режиме. Сотрудники и гости повторно аутентифицируются и входят в сеть, и их права доступа являются нормальными.

Выключение питания SC

После отключения сетевого кабеля Контроллера служб, сотрудники и гости повторно аутентифицируются и входят в сеть. Их права доступа являются нормальными.

Резюме и предложения

  • Ключ аутентификации, ключ учета и ключ Portal должны быть совмещены на AC и Agile Controller-Campus. Интервал учета, установленный на Agile Controller-Campus, также должен быть таким же, как и на AC.

  • Правила авторизации или правила переотправления страницы Portal сопоставляются в порядке убывания приоритета (в порядке возрастания номеров правил). Если условие авторизации или переотправления Portal пользователя соответствует правилу, Agile Controller-Campus не проверяет последующие правила. Поэтому рекомендуется устанавливать более высокие приоритеты для правил, определяющих более точные условия, и устанавливать более низкие приоритеты для правил, определяющих нечеткие условия.

  • Функция учета RADIUS настроена на AC, чтобы позволить Agile Controller-Campus получать информацию онлайн-пользователя путем обмена учетными пакетами с AC. Agile Controller-Campus не поддерживает реальную функцию учета. Если требуется учет, используйте сервер учета третьего лица.
Загрузить
Updated: 2018-08-21

№ документа:EDOC1100029357

Просмотры:6692

Загрузки: 84

Average rating:
This Document Applies to these Products
Связанные документы
Related Version
Share
Назад Далее