Для выбранного языка не найдены ресурсы переадресации.

Этот веб-сайт использует cookie-файлы. Продолжая просмотр, вы соглашаетесь на их использование. Ознакомьтесь с нашей политикой соблюдения конфиденциальности.>

Типичные примеры настройки WLAN

Rate and give feedback :
Информация об этом переводе
Чтобы помочь вам лучше понять содержимое этого документа, компания Huawei перевела его на разные языки, используя машинный перевод, отредактированный людьми. Примечание: даже самые передовые программы машинного перевода не могут обеспечить качество на уровне перевода, выполненного профессиональным переводчиком. Компания Huawei не несет ответственность за точность перевода и рекомендует ознакомиться с документом на английском языке (по ссылке, которая была предоставлена ранее).
Приложение

Приложение

Общие операции по настройке страницы с помощью редактора

В этом разделе описываются общие операции по настройке страницы с помощью редактора, например, замена изображений, кнопок и элементов управления и удаление элементов управления.

Заменить фоновое изображение

Нажмите , чтобы выбрать фоновое изображение.

Чтобы обеспечить плавное отображение персонализированной страницы, для фонового изображения не рекомендуется использовать изображения большого размера. Рекомендуется использовать небольшие снимки и выкладывать их в режиме плитки.

Заменить логотип

Нажмите логотип и затем нажмите Replace.

Добавить динамические изображения

Нажмите , чтобы выбрать изображения и ввести гиперссылки изображений.

Динамические изображения состоят из группы изображений и соответствующих гиперссылок. Изображения могут переключаться с указанным интервалом. Вы можете использовать динамические изображения для предоставления характерных рекламных объявлений.

Изменить статические изображения

Нажмите изображение, которое хотите изменить, и нажмите кнопку Replace или .

Проверьте размеры оригинальных изображений, которые вы хотите изменить. Убедитесь, что размеры загружаемых новых изображений будут такими же, как и для изображений, которые нужно заменить.

Изменить фон кнопки

Нажмите кнопку, которую хотите изменить, и нажмите кнопку Button Image.

Тексты на кнопках не могут быть изменены напрямую. Используйте редактор изображений для ввода текстов на фоновом изображении кнопки, конвертируйте тексты в часть изображения, а затем замените фоновое изображение.

Удалить картинку, текстовое поле, кнопку и другие элементы управления

Нажмите элемент управления, который вы хотите удалить, и нажмите Delete.

Изменить режим аутентификации

Выберите нужный режим аутентификации из раскрывающегося списка в строке меню. Перед добавлением нового режима аутентификации нажмите Delete, чтобы удалить все элементы управления, используемые в режиме аутентификации.

  • Аутентификация пароля учетной записи

    Включает поля Account, Password и кнопки Log In.

  • Аутентификация с помощью пароля

    Включает в себя поле Passcode и кнопки Log In.

  • Быстрая аутентификация мобильного телефона

    Включает в себя поля Phone number и Password, а также кнопки Get Password и Log In.

  • Аутентификация кода мобильного телефона
    Включает в себя поля Account, Password и Verification code, а также кнопки Get Verification Code и Log In.
    ПРИМЕЧАНИЕ:
    • Срок действия проверочного кода - 10 минут. Когда срок действия истекает, пользователям необходимо получить новый проверочный код.
    • Нажмите Get Verification Code, а затем Set Button Background and Verification Code Delivery Interval, чтобы установить период обратного отсчета для получения проверочного кода через короткое сообщение и текст на кнопке.
    • Конечные пользователи получают проверочные коды через свои мобильные телефоны, когда этот режим аутентификации используется. Поэтому необходимо настроить номера мобильных телефонов конечных пользователей; в противном случае они не могут получить проверочные коды.
  • Аутентификация одним ключом

    Включает в себя поле Email и кнопку Log In.

  • Унифицированная аутентификация

    Указывает аутентификацию учетной записи/пароля, аутентификацию с помощью пароля и аутентификацию в социальных сетях.

Добавить ссылки на страницу пользовательских уведомлений, переключение страниц, забыть пароль и страницу регистрации

Выберите ссылки, которые вы хотите добавить, из раскрывающегося списка в строке меню. Ссылки на целевые страницы доступны по умолчанию. Вы можете добавлять ссылки напрямую без каких-либо специальных настроек.

На следующем рисунке показан эффект настройки ссылки для страницы уведомления пользователя. Нажмите кнопку Readme, чтобы перейти на страницу уведомления пользователя.

Добавить общие кнопки

Выберите кнопки, которые вы хотите добавить, из раскрывающегося списка в строке меню.

На следующем рисунке показан эффект добавления кнопки AutoLogin.
ПРИМЕЧАНИЕ:
  • Конечным пользователям необходимо включить cookie браузера после добавления кнопки Remember password или Auto login; иначе кнопка не вступает в силу. Включение cookie браузера может вызвать потенциальные риски. Соблюдайте осторожность при выполнении этой операции.
  • Кнопка AutoLogin не действует на автоматически отображаемой странице аутентификации Portal на iPhone, потому что отображаемая веб-страница на iPhone не может сохранять информацию cookie. Встроенный браузер Safari iPhone может сохранять информацию cookie.

Добавить общие поля

Как правило, при настройке страницы регистрации необходимо добавить определенные поля, такие как проверочный код и номер телефона. Выберите поле, которое вы хотите добавить, из раскрывающегося списка в строке меню.

ПРИМЕЧАНИЕ:

Поле проверочного кода не предоставляется в шаблоне страницы аутентификации по умолчанию. Рекомендуется добавить поле для улучшения безопасности входа и аутентификации. На позиции, где должен быть добавлен проверочный код, выберите Verification code из раскрывающегося списка Field.

Изменить интервал для быстрого получения пароля с помощью мобильного телефона

Нажмите Get Password на странице быстрой аутентификации, а затем нажмите кнопку Set Button Background and Short Message Sending Interval. Установите соответствующие параметры в отображаемом диалоговом окне.

Установить обязательные поля

Нажмите поле и выберите Not Empty.

Настройка страниц

В этом разделе описывается, как настроить страницу регистрации, страницу аутентификации, страницу успеха аутентификации и страницу уведомления пользователя для гостей.

Контекст

Чтобы убедиться, что страница имеет элегантный внешний вид и высокую степень безопасности, администратор должен иметь возможность редактирования страницы и обработки изображений.

Основываясь на размере экрана, терминальные устройства классифицируются на мобильные телефоны и компьютеры. При настройке страницы для мобильных телефонов рекомендуется компактный и простой стиль, небольшие изображения и короткие тексты, поскольку мобильные телефоны имеют небольшой размер экрана. Поскольку компьютеры имеют большой размер экрана и могут нести больше информации, чем мобильные телефоны, вы можете использовать большие изображения и относительно длинные тексты во время настройки страницы. Вам нужно настроить страницы для мобильных телефонов и компьютеров, если предприятие разрешает гостям получать доступ к сети с помощью мобильных телефонов и компьютеров (ноутбуков и планшетных компьютеров).

Настройка страницы поддерживает по умолчанию несколько языков, включая упрощенный китайский, английский, традиционный китайский, немецкий, испанский, французский и португальский. Если языковые шаблоны по умолчанию не соответствуют вашим потребностям, вы можете добавить языковые шаблоны. Подробнее см. Пример: добавление языковых шаблонов.

Диспетчер служб предоставляет заранее определенные шаблоны страниц, которые часто используются. Вы можете выбрать Policy > Permission Control > Page Customization > Authentication & Registration Template, чтобы найти шаблоны. Администраторы могут выбрать желаемый стиль страницы или изменить стиль шаблонов.

Страница регистрации, страница аутентификации, страница успеха аутентификации и страница уведомления пользователя составляют набор гостевых страниц.

Процедура

  1. Выберите Policy > Permission Control > Page Customization > Page Customization.
  2. Выберите один шаблон страницы и нажмите Create Page.
  3. Установите параметры для настроенной страницы и нажмите OK.
  4. Настройте страницы для мобильных телефонов и PC.
  5. Нажмите Test и Publish.

    Страница настройки может использоваться гостями только после выпуска страницы. Функция save to draft сохраняет только страницу настройки в Диспетчере служб.

    После нажатия кнопки Publish, система автоматически сохраняет страницу настройки.

Определение правила перенаправления для страницы Portal

После настройки страниц аутентификации и регистрации для гостей администратор определяет правило перенаправления для страницы Portal, чтобы обеспечивать, что гости могут получить доступ к соответствующей странице авторизации и регистрации.

Предварительное условие

Страница авторизации или регистрации была настроена.

Контекст

Если гости используют разные страницы аутентификации и регистрации, настройте страницу единого Portal http://server-ip:8080/portal или http://agilecontroller.huawei.com:8080/portal для всех пользователей. Agile Controller-Campus автоматически перенаправляет страницу Portal на страницу аутентификации или регистрации на основе определенного правила перенаправления.

URL с использованием имени домена рекомендуется для более безопасного и быстрого доступа. Однако вам необходимо заранее настроить отображение между именем домена agilecontroller.huawei.com и IP-адресом сервера на DNS-сервере.

Agile Controller-Campus поддерживает перенаправление на основе следующей информации аутентификации:
  • IP-адрес терминала для аутентификации.
  • Информация об аутентифицированном устройстве доступа, например, MAC-адрес или SSID.

    Эта информация получена из параметра HTTP в данных аутентификации пользователя.

    Правило перенаправления должно быть связано с устройством доступа. Подробнее см. Табл. 3-149.

  • Тип операционной системы терминала для аутентификации.
  • Тип учетной записи для аутентификации.

    Вам необходимо настроить функцию без аутентификации для учетных записей WeChat и выбрать соответствующий вариант для открытых QR-кодов.

Правила перенаправления имеют приоритет. Правило с наивысшим приоритетом предпочтительно сопоставляется с данными аутентификации пользователя. Если все настроенные правила несовместимы, используется правило по умолчанию.

Процедура

  1. Выберите Policy > Permission Control > Page Customization > Portal Page Push Rule.
  2. Нажмите Add.
  3. Установите параметры, связанные с правилом push.

    Табл. 3-149 Параметры, связанные с правилом push

    Параметр

    Описание

    Имя

    Указывает имя правила push страницы Portal.

    Условия push

    Определяет условие push страниц Portal, включая время, сегмент IP-адреса терминала, самоопределяемый параметр, тип операционной системы терминала и тип учетной записи.

    Самоопределяемые параметры должны быть такими же, как те параметры, которые указаны в URL, настроенном на AC, запустив команду url-parameter. Формат команды на AC выглядит следующим образом: url-parameter { ac-ip ac-ip-value | ac-mac ac-mac-value | ap-ip ap-ip-value | ap-mac ap-mac-value | ssid ssid-value | sysname sysname-value | user-ipaddress user-ipaddress-value | user-mac user-mac-value | redirect-url redirect-url-value } *
    • ac-ip ac-ip-value: указывает IP-адрес AC, переносимый в URL. Если необходимо, установите ac-ip-value на acip.
    • ac-mac ac-mac-value: указывает MAC-адрес AC, переносимый в URL, и устанавливает имя параметра.
    • ap-ip ap-ip-value: указывает IP-адрес AP, переносимый в URL, и устанавливает имя параметра.
    • ap-mac ap-mac-value: указывает MAC-адрес AP, переносимый в URL. Если необходимо, установите ap-mac-value на apmac.
    • ssid ssid-value: указывает SSID, который пользователи связывают с переносом в URL. Если необходимо, установите ssid-value на ssid.
    • sysname sysname-value: указывает имя системного устройства, указанное в URL, и установите имя параметра.
    • user-ipaddress user-ipaddress-value: указывает IP-адрес пользователя, переносимый в URL. Если необходимо, установите user-ipaddress-value на userip.
    • user-mac user-mac-value: указывает MAC-адрес пользователя, переносимый в URL. Если необходимо, установите user-mac-value на usermac.
    • redirect-url redirect-url-value: указывает исходный URL, к которому пользователь обращается в URL. Если необходимо, установите redirect-url-value на url.

    Например, если на AC настроена команда url-parameter ssid ssid, вы должны установить ssid-value на ssid. Если пользователи подключаются к сети с помощью example SSID, вы должны установить Customized parameters на ssid=example.

    ПРИМЕЧАНИЕ:
    • Для аутентификации WeChat и открытого QR-кода, вы должны установить значение для redirect-url.
    • Для WeChat без аутентификации нужно установить значения для redirect-url и user-mac.
    • В сценариях, где гости следуют за общедоступной учетной записью WeChat для доступа к Wi-Fi, ssid, redirect-url и user-mac являются обязательными.
    • В сценариях управления гостевыми зонами, настройте ac-ip, ap-mac или user-ipaddress на основе устройства, привязанного к каждой зоне.
    • При настройке параметров URL в представлении шаблона URL на AC, не запустите команду parameter { start-mark parameter-value | assignment-mark parameter-value | isolate-mark parameter-value } * для изменения символов в URL. Если вы измените символы в URL, разрешение URL на Agile Controller-Campus может отказать, приводя к сбою соединения.

    Страница push

    Выбрать страницу, настроенную в Настройка страниц.

    Первая страница push

    Указывает страницу, которая будет отправлена гостем в первый раз.

    URL

    Используется значение по умолчанию.

    Страница отображается после успешной аутентификации

    • Нет перенаправления: После успешной аутентификации отображается страница успеха аутентификации.
    • Перенаправление на указанный адрес: После успешной аутентификации отображается указанная страница. Установите URL для переключения в Address.
    • Продолжить просмотр исходной страницы: Исходная страница, запрашиваемая пользователем, отображается после успешной аутентификации. Нужно настроить команду url-parameter redirect-url url в шаблоне URL на AC или коммутаторе. Подробнее см. Как продолжить доступ к исходной странице после успешной аутентификации Portal?.

    Описание

    -

  4. Нажмите OK.

Пример

Настройте три правила перенаправления для страницы Portal.

Правило перенаправления

Перенаправлено

Приоритет (меньшее значение, более высокий приоритет)

Тип терминального устройства: Android мобильного телефона

Страница аутентификации A

1

Само-определенный параметр: ssid=network

Страница аутентификации B

2

Сегмент IP-адреса терминала: 10.10.10.10-10.10.10.50

Страница аутентификации C

3

Правило по умолчанию

Страница по умолчанию

N

Гость использует ноутбук для подключения к беспроводной сети network. IP-адрес ноутбука 10.10.10.20. Гостевой доступ http://server-ip:8080/portal или http://agilecontroller.huawei.com:8080/portal, и затем перенаправляется для аутентификации страницы B для проверки подлинности.

Пример: добавление языковых шаблонов

Языковые шаблоны используются для указания языков GUI-элементов, таких как названия страниц, кнопки и выражения на страницах, в том числе страница самообслуживания, страница аутентификации, страница регистрации, страница успеха аутентификации, страница успеха регистрации и страница уведомления пользователя. По умолчанию Agile Controller-Campus предоставляет следующие языковые шаблоны: Китайский, английский, традиционный китайский, немецкий, французский, испанский и португальский. Вы можете добавить языковые шаблоны, если шаблоны языка по умолчанию не могут удовлетворить ваши требования.

Процедура

  1. Выберите Policy > Permission Control > Page Customization > Language Template, чтобы создать языковой шаблон для базовой информации самообслуживания.

  2. Выберите Policy > Permission Control > Page Customization > Page Customization для настройки страницы, содержащей этот языковой шаблон.

    Когда вы настраиваете страницу успеха аутентификации, страница должна содержать кнопку Self-help Service

  3. Выберите Policy > Permission Control > Page Customization > Portal Page Push Rule, чтобы создать правило переотправления страницы Portal и выбрать страницу, настроенную на предыдущем шаге, в качестве страницы, которая будет нажата.

  4. Введите http://IP address of the Portal authentication server:8080/portal в поле адреса веб-браузера, чтобы перейти на страницу самообслуживания и проверить, отображаются ли элементы GUI на языке, настроенном в шаблоне языка.

Настройка аутентификации MAC-адреса

В этом разделе описываются операции и меры предосторожности для настройки аутентификации MAC-адреса.

Описание сценария

Аутентификация MAC-адреса контролирует разрешение доступа к сети терминала на основе интерфейса устройства и MAC-адреса терминала. Когда терминал подключается к сети, устройство контроля доступа автоматически обнаруживает MAC-адрес терминала и отправляет MAC-адрес в качестве учетной записи и пароля на сервер RADIUS для идентификации подлинности. Сервер RADIUS дает указание устройству контроля доступа, чтобы предоставить права доступа к сети конечному пользователю только после аутентификации пользователя на сервере RADIUS. Аутентификация MAC-адреса применяется к сценариям, где немые терминалы, такие как принтеры и IP-телефоны, не могут быть аутентифицированы с помощью имен пользователей и паролей или сценариев, в которых только MAC-адреса терминала, но не имена пользователей и пароли, должны быть проверены в соответствии с особыми требованиями. Эти терминалы не могут инициировать аутентификацию подлинности и должны ждать, пока устройство контроля доступа отправит запросы аутентификации на сервер RADIUS для подключения к сети.

Обзор задачи

Процедура

  1. Настройте устройство контроля доступа.

    • Функция

      При аутентификации MAC-адреса устройство контроля доступа отправляет запросы аутентификации на сервер RADIUS. Поэтому конфигурации, связанные с аутентификацией RADIUS, должны выполняться на устройстве контроля доступа.

    • Вход

      Войдите в CLI устройства контроля доступа через консольный порт или использование SSH.

    • Описание конфигурации ключа

      См. примеры конфигурации для аутентификации MAC-адреса.

  2. Добавьте устройство контроля доступа в Agile Controller-Campus.

    • Функция

      Agile Controller-Campus может работать с устройством контроля доступа только после того, как устройство добавлено в Agile Controller-Campus, параметры соединений на Agile Controller-Campus и устройстве являются одинаковыми.

    • Вход

      Выберите Resource > Device > Device Management.

    • Описание конфигурации ключа
      • Ключ аутентификации/учета: Значение совпадает с значением, настроенным с помощью команды radius-server shared-key в шаблоне RADIUS.
      • Ключ авторизации: Значение совпадает с значением, настроенным с помощью команды radius-server authorization 172.18.1.1 shared-key cipher Admin@123 в системном представлении.
      • Интервал учета в режиме реального времени: Значение совпадает с значением, настроенным с помощью команды accounting realtime в шаблоне учета.

  3. Добавьте терминалы для аутентификации с использованием аутентификации MAC-адреса.

    • Функция

      При аутентификации по MAC-адресу, идентификация терминала проверяется с использованием MAC-адреса терминала. Терминал может быть аутентифицирован только после его добавления в список терминалов вручную.

    • Вход
      1. Выберите Resource > Terminal > Terminal List.
      2. В списке Device Group выберите первый узел и нажмите Add справа, чтобы добавить группу устройств для аутентификации, используя аутентификацию MAC-адреса.
      3. В списке Device Group, нажмите созданную группу устройств и добавьте терминалы для аутентификации, используя аутентификацию MAC-адреса справа.
        • Добавьте терминалы один за другим.

          Нажмите вкладку Device List, чтобы добавить терминалы один за другим.

        • Добавьте терминалы по партиям.

          Нажмите вкладку Device Group List и Import, чтобы добавить терминалы по партиям.

    • Описание конфигурации ключа

      Параметр

      Описание

      Тип терминала

      • Неизвестный тип: Значение по умолчанию, указывающее временно не идентифицированные устройства. Agile Controller-Campus должен продолжать идентифицировать такие устройства.
      • Фиксированный терминал: проводные устройства доступа, такие как настольные компьютеры.
      • Мобильный терминал: устройства беспроводного доступа, такие как планшеты.
      • Немой терминал: устройства, которые обеспечивают меньше функций, чем PC, не имеют процессоров или дисков, и им необходимо подключиться к хостам для обработки услуг, таких как принтеры и телефоны VoIP.

      Статически назначенная политика

      • Включить: Agile Controller-Campus идентифицирует устройства, использующие только политики, установленные в Matched Policy. Если вы знаете типы устройств, вы можете статически назначать политики для повышения коэффициента идентификации устройства и точности.
      • Отключать: Agile Controller-Campus автоматически выбирает политики для идентификации устройств. Disable - это значение по умолчанию и применяется, если вы не знаете типы устройств.

        Agile Controller-Campus сопоставляет собранную информацию об устройстве с правилами в базе данных правил. Если устройство соответствует правилу, Agile Controller-Campus запрашивает все политики идентификации, которые содержат это правило, и оценивает оценку для каждой политики на основе информации об устройстве. Наивысшей оценкой является результат идентификации.

      Согласованная политика

      Необходимо установить имя политики, когда включена Statically Assigned Policy. Resource > Terminal > Identification Policy отображает все имена политик.

      Определяемая пользователем группа устройств

      • Включить: Agile Controller-Campus добавляет устройства в группы устройств. Если вы знаете типы устройств, вы можете установить параметр User-Defined Device Group для точного добавления устройств в группы.
      • Отключать: Agile Controller-Campus автоматически идентифицирует типы устройств и добавляет устройства в группы. Disable - это значение по умолчанию и применяется, если вы не знаете типы устройств.

      Группа устройств

      Вы должны установить имя для группы, когда включена User-Defined Device Group. Resource > Terminal > Terminal List отображает все имена групп.

      IP-адрес сервера XMPP

      Эти три параметра применяются в следующем сценарии: Терминалы подключаются к сети через аутентификацию MAC-адреса, а коммутатор функционирует как сервер DHCP для назначения IP-адресов терминалам. Администратор требует, чтобы коммутатор назначил фиксированный IP-адрес каждому аутентифицированному терминалу. Для достижения этой цели, администратор создает привязку между MAC-адресами и IP-адресами на Agile Controller-Campus, которая доставляет связи привязки к коммутатору через XMPP.

      Указывает IP-адрес шлюза, к которому подключаются терминалы. Эти параметры доступны только тогда, когда коммутатор функционирует как сервер DHCP.

      Pool type и Pool name должны быть такими же, как те, которые настроены на коммутаторе.
      • Если Pool type установлен на Interface pool, введите vlanifport number.
      • Если Pool type установлен на Global pool, введите имя глобального пула адресов.

      Подробнее см. Пример настройки привязки MAC и IP-адресов для немых терминалов и их развертывания в централизованном режиме.

      Тип пула

      Имя пула

  4. Настройте правило аутентификации.

    • Функция

      При аутентификации по MAC-адресу, пользователям не нужно вводить имена пользователей и пароли для аутентификации. Тип услуги, используемый при аутентификации по MAC-адреса, отличается от используемого в обычных режимах аутентификации. Поэтому правило аутентификации по умолчанию не может использоваться, и правило аутентификации необходимо настроить отдельно.

    • Вход

      Выберите Policy > Permission Control > Authentication & Authorization > Authentication Rule.

    • Описание конфигурации ключа

      Выберите MAC Bypass Authentication Service для Service Type.

  5. Настройте правило авторизации.

    • Функция

      Agile Controller-Campus предоставляет терминалам разрешение на доступ к сети с использованием правила авторизации. Правило авторизации по умолчанию не применяется к аутентификации MAC-адреса, и правило авторизации должно быть настроено отдельно.

    • Вход

      Выберите Policy > Permission Control > Authentication and Authorization > Authorization Rule.

    • Описание конфигурации ключа
      • При добавлении правила авторизации выберите MAC Bypass Authentication Service для Service Type.
      • В соответствии с приоритетом правила Agile Controller-Campus сопоставляет информацию о терминальном доступе с условиями авторизации правила авторизации. Когда информация о доступе к терминалу соответствует всем условиям авторизации правила авторизации, Agile Controller-Campus предоставляет терминалу разрешение, определяемое результатом авторизации правила авторизации.

  6. Терминал получает доступ к сети.

    После подключения терминала к сети, аутентификация выполняется автоматически. После прохождения аутентификации терминал может получить доступ к ресурсам в домене после аутентификации.

    После успешной аутентификации терминала:
    • Запустите команду display access-user на устройстве. Отображается онлайновая информация о MAC-адресе терминала.
    • На Диспетчере служб, выберите Resource > User > Online User Management. Отображается онлайновая информация о терминале.
    • На Диспетчере служб, выберите Resource > User > RADIUS Log. Отображаются журналы аутентификации RADIUS терминала.
    Если терминал не прошел аутентификации, создайте общую учетную запись на Agile Controller-Campus, войдите в систему и запустите команду test-aaa user-name user-password radius-template template-name pap, чтобы проверить, может ли учетная запись пройти аутентификацию RADIUS.
    • Если в системе отображается сообщение "Info: Account test succeed", указывает, что учетная запись может пройти аутентификацию RADIUS, неисправность происходит на этапе аутентификации доступа. Проверьте сетевое соединение между терминалом и устройством контроля доступа.
    • Если в системе отображается сообщение "Error: Account test succeed", указывает, что учетная запись не может пройти аутентификацию RADIUS, неисправность происходит на этапе аутентификации RADIUS. Проверьте, совместимы ли конфигурации параметра соединения сервера RADIUS на Agile Controller-Campus с теми на устройстве контроля доступа.

    Команда test aaa может только проверить, могут ли пользователи проходить аутентификацию RADIUS, а процесс взаимодействия с RADIUS-аккаунтом не задействован. Поэтому после запуска команды test aaa, вы можете просмотреть журналы RADIUS, но не можете просмотреть онлайновую информацию пользователя на Agile Controller-Campus.

Пример

В следующем примере описано, как импортировать терминалы аутентификации MAC-адресов по партиям.
  • Как заполнить файл Excel, когда вы не знаете подробную информацию об устройстве

    Когда вы не знаете подробную информацию об устройстве, заполните только MAC-адрес и группу устройств и введите Device Group List в Unknown Device List.



  • Как заполнить файл Excel, когда вы знаете подробную информацию об устройстве

    Когда вы знаете подробную информацию об устройстве, вы можете вручную настроить политику идентификации, чтобы повысить коэффициент идентификации и точность. Agile Controller-Campus идентифицирует устройство на основе настроенной политики идентификации.

    В этом случае, укажите Endpoint MAC, установите Statically Assigned Policy на Enable, введите имя политики идентификации в Matched Policy, и введите Device Group List в Unknown Device List. Agile Controller-Campus автоматически добавляет устройство в группу устройств.



  • Как заполнить файл Excel при ручном добавлении устройства в указанную группу устройств

    По умолчанию Agile Controller-Campus классифицирует устройства в группы на основе типов устройств. Вы также можете вручную добавить устройство в указанную группу устройств.

    В этом случае, укажите Endpoint MAC, установите User-Defined Device Group на Enable, и введите имя определенной группы устройств в Device Group List.



  • Как заполнить файл Excel, когда нужно отметить местоположение доступа к устройству
  • Вы можете использовать IP-адрес и подключенный интерфейс устройства для быстрого поиска устройства при возникновении сбоя.

    В этом случае, укажите Endpoint MAC, Access Device IP Address и Access Device Port и введите Device Group List в Unknown Device List.



Пример настройки привязки MAC и IP-адресов для немых терминалов и их развертывания в централизованном режиме

Таблицу привязки MAC-адреса и IP-адреса немых терминалов можно настроить на Agile Controller-Campus. Agile Controller-Campus доставляет таблицу привязки к коммутатору, а коммутатор назначает IP-адреса терминалам на основе их MAC-адресов.

Связанные продукты и версии

Тип продукта

Наименование продукта

Версия

Коммутатор доступа

S3700

V200R008C00 и более поздние версии

Коммутатор агрегации

S12700

V200R009C00 и более поздние версии

Сервер RADIUS

Agile Controller-Campus

V100R002C00SPC105 или V100R003C10

Требования к сети
Бюро общественной безопасности хочет построить выделенную сеть камер без независимого DHCP-сервера для контроля доступа к камерам в своей области юрисдикции. Бюро общественной безопасности имеет следующие требования:
  • Agile Controller-Campus управляет таблицей привязки MAC-адресов и IP-адресов камер и передает таблицу в коммутатор. Коммутатор, функционирующий как DHCP-сервер, затем динамически назначает IP-адреса камерам на основе их MAC-адресов.
  • Доступ к камерам, настроенным со статическими IP-адресами, запрещен.
  • Камеры не могут перемещаться через полицейские участки. Если IP-адрес камеры, назначенной на основе ее MAC-адреса, не находится в сегменте сети локального шлюза, связь между камерой и локальным шлюзом запрещена.
Рис. 3-97 Диаграмма сети
ПРИМЕЧАНИЕ:

В качестве примера используется конфигурация коммутатора полицейского участка А, которая аналогична конфигурации полицейского участка B.

План данных
Табл. 3-150 План сетевых данных для устройств

Пункт

Данные

Описание

Agile Controller-Campus

IP-адрес: 172.18.1.2

-

Коммутатор агрегации (S12708)

GE1/0/1

VLAN: 10

IP-адрес интерфейса VLANIF 10: 192.168.1.1/16

Шлюз камеры, который подключен к коммутатору доступа.

GE1/0/2

VLAN: 100

IP-адрес интерфейса VLANIF 100: 172.18.1.1/24

Подключен к Agile Controller-Campus.

Коммутатор доступа (S3700)

GE0/0/1

VLAN: 10

Подключен к камерам.

GE0/0/2

VLAN: 10

Подключен к коммутатору агрегации.

Табл. 3-151 План сервисных данных для устройств

Пункт

Данные

Проводной RADIUS

  • IP-адрес серверов аутентификации: 172.18.1.2

  • № порта сервера аутентификации: 1812

  • Общий ключ сервера RADIUS: Admin@123

  • № порта сервера учета: 1813
  • Общий ключ сервера RADIUS: Admin@123
  • Интервал учета: 15 минут
  • Домен аутентификации: mac

Номер ACL домена после аутентификации

3001

Табл. 3-152 План сервисных данных для Agile Controller-Campus

Пункт

Данные

Группа терминалов

Полицейский участок A

IP-адрес коммутатора

172.18.1.1

Ключ аутентификации RADIUS

Admin@123

Ключ учета RADIUS

Admin@123

Предпосылки

Коммутатор доступа, коммутатор агрегации и сервер Agile Controller-Campus могут взаимодействовать друг с другом.

Процедура

  1. Настройте коммутатор агрегации.
    1. Создайте VLAN и настройте разрешенные VLAN на интерфейсах для обеспечения сетевого подключения.

      <HUAWEI> system-view
      [HUAWEI] sysname S12700
      [S12700] dhcp enable   //Включите услугу DHCP.
      [S12700] vlan batch 10 100   //Создайте VLAN 10 и VLAN 100.
      [S12700] interface gigabitethernet 1/0/1  //Введите представление интерфейса, подключенного к коммутатору доступа.
      [S12700-GigabitEthernet1/0/1] port link-type trunk  //Измените тип связи gigabitethernet1/0/1 на trunk.
      [S12700-GigabitEthernet1/0/1] port trunk pvid vlan 10  //Установите VLAN по умолчанию gigabitethernet1/0/1 на VLAN 10.
      [S12700-GigabitEthernet1/0/1] port trunk allow-pass vlan 10
      [S12700-GigabitEthernet1/0/1] quit
      [S12700] interface vlanif 10
      [S12700-Vlanif10] ip address 192.168.1.1 255.255.0.0
      [S12700-Vlanif10] dhcp select interface
      [S12700-Vlanif10] quit
      [S12700] interface gigabitethernet 1/0/2  //Введите представление интерфейса, подключенного к Agile Controller-Campus.
      [S12700-GigabitEthernet1/0/2] port link-type access
      [S12700-GigabitEthernet1/0/2] port default vlan 100
      [S12700-GigabitEthernet1/0/2] quit
      [S12700] interface vlanif 100
      [S12700-Vlanif100] ip address 172.18.1.1 255.255.255.0
      [S12700-Vlanif100] quit
      [S12700] quit
      <S12700> save  //Сохраните конфигурацию.

    2. Задайте параметры для подключения к серверу RADIUS.

      [S12700] radius-server template policy  //Создайте шаблон сервера RADIUS.
      [S12700-radius-policy] radius-server authentication 172.18.1.2 1812 source ip-address 172.18.1.1  //Настройте IP-адрес и номер порта для сервера аутентификации RADIUS.
      [S12700-radius-policy] radius-server accounting 172.18.1.2 1813 source ip-address 172.18.1.1  //Настройте IP-адрес и номер порта для сервера учета RADIUS.
      [S12700-radius-policy] radius-server shared-key cipher Admin@123  //Настройте общий ключ для сервера RADIUS.
      [S12700-radius-policy] quit
      [S12700] radius-server authorization 172.18.1.2 shared-key cipher Admin@123  //Настройте IP-адрес для сервера авторизации RADIUS и тот же общий ключ, что и серверы аутентификации и учета RADIUS.
      
      [S12700] aaa  //Введите представление AAA.
      [S12700-aaa] authentication-scheme auth  //Настройте схему аутентификации.
      [S12700-aaa-authen-auth] authentication-mode radius  //Установите схему аутентификации на RADIUS. Когда коммутатор работает с Agile Controller-Campus, и Service Controller функционирует как сервер RADIUS, схема аутентификации должна быть установлена на RADIUS.
      [S12700-aaa-authen-auth] quit
      [S12700-aaa] accounting-scheme acco  //Настройте схему учета.
      [S12700-aaa-accounting-acco] accounting-mode radius  //Установите схему учета на RADIUS. Необходимо использовать схему учета RADIUS, чтобы сервер RADIUS мог поддерживать информацию о состоянии учетной записи, такую как информация входа/выхода из системы, и принудительно отключать пользователей.
      [S12700-aaa-accounting-acco] accounting realtime 15  //Установите интервал учета в режиме реального времени на 15 минут. В приложениях задайте интервал учета в режиме реального времени на основе количества пользователей в вашей сети, обратившись к Табл. 3-153.
      [S12700-aaa-accounting-acco] quit
      [S12700-aaa] domain mac  //Настройте домен и привяжите схему аутентификации, схему учета и шаблон сервера RADIUS к домену.
      [S12700-aaa-domain-portal] authentication-scheme auth
      [S12700-aaa-domain-portal] accounting-scheme acco
      [S12700-aaa-domain-portal] radius-server policy
      [S12700-aaa-domain-portal] quit
      [S12700-aaa] quit
      [S12700] authentication unified-mode  //Переключите режим NAC в унифицированный. По умолчанию коммутатор работает в унифицированном режиме. После переключения режима NAC на унифицированный администратор должен сохранить конфигурацию и перезапустить коммутатор, чтобы новый режим начинал действовать.
      ПРИМЕЧАНИЕ:

      NAC поддерживает общий режим конфигурации и режим унифицированной конфигурации. По сравнению с общим режимом унифицированный режим имеет следующие преимущества:

      • Командные строки легко понять, а дизайн формата соответствует требованиям пользователя.
      • Подобные концепции удаляются из конструкции функций, а логика конфигурации проще.

      Учитывая преимущества унифицированного режима, рекомендуется использовать NAC в унифицированном режиме.

      ПРИМЕЧАНИЕ:
      Команда accounting realtime устанавливает интервал учета в режиме реального времени. Короткий интервал для зарядки в режиме реального времени требует высокой производительности устройства и сервера RADIUS. Установите интервал учета в режиме реального времени на основе количества пользователей. Табл. 3-153 перечисляет рекомендуемые учетные интервалы реального времени для разных пользовательских количеств.
      Табл. 3-153 Интервал учета

      Количество пользователей

      Интервал учета в режиме реального времени

      От 1 до 99

      3 минуты

      От 100 до 499

      6 минут

      От 500 до 999

      12 минут

      Более 1000

      Более 15 минут

    3. Настройте аутентификацию MAC-адреса.

      [S12700] mac-access-profile name m1  //Настройте профиль доступа к MAC. В профиле оба имени пользователя и пароля по умолчанию являются MAC-адресом терминала без разделителя (-).
      [S12700-mac-access-profile-m1] quit
      [S12700] authentication-profile name p1  //Настройте профиль аутентификации.
      [S12700-authen-profile-p1] mac-access-profile m1  //Привяжите профиль аутентификации с профилем доступа к MAC.
      [S12700-authen-profile-p1] access-domain mac force  //В профиле аутентификации укажите домен mac как домен принудительной аутентификации.
      [S12700-authen-profile-p1] authentication mode multi-authen  //Установите режим доступа пользователя на интерфейсе на multi-authen.
      [S12700-authen-profile-p1] quit
      [S12700] interface gigabitethernet 1/0/1
      [S12700-GigabitEthernet1/0/1] authentication-profile p1  //Включите аутентификацию MAC-адреса на интерфейсе.
      [S12700-GigabitEthernet1/0/1] quit
      

    4. Установите параметры межсетевого взаимодействия XMPP. Таблица привязки MAC-адреса и IP-адреса, настроенная на Agile Controller-Campus, доставляется коммутатору с использованием протокола XMPP.

      [S12700] group-policy controller 172.18.1.2 password Admin@123 src-ip 172.18.1.1   //Установите параметры межсетевого взаимодействия XMPP.
      [S12700] quit
      <S12700> save
      

  2. Настройте коммутатор доступа.
    1. Создайте VLAN и настройте разрешенные VLAN на интерфейсах для обеспечения сетевого подключения.

      # Создайте VLAN 10.
      <HUAWEI> system-view
      [HUAWEI] sysname S3700
      [S3700] vlan 10
      # Настройте интерфейс, подключенный к пользователям в качестве интерфейса доступа, и добавьте интерфейс к VLAN 10.
      [S3700] interface gigabitethernet 0/0/1
      [S3700-GigabitEthernet0/0/1] port link-type access
      [S3700-GigabitEthernet0/0/1] port default vlan 10 
      [S3700-GigabitEthernet0/0/1] quit
      

      # Настройте интерфейс, подключенный к восходящей сети как интерфейс trunk, и настройте интерфейс, чтобы пропускать пакеты VLAN 10.

      [S3700] interface gigabitethernet 0/0/2
      [S3700-GigabitEthernet0/0/2] port link-type trunk
      [S3700-GigabitEthernet0/0/2] port trunk allow-pass vlan 10
      [S3700-GigabitEthernet0/0/2] quit
      

    2. Настройте DHCP snooping и IPSG, чтобы не позволить доступу к камерам, настроенным со статическими IP-адресами.

      [S3700] dhcp enable  //Включите функцию DHCP.
      [S3700] dhcp snooping enable  //В системном представлении включите функцию отслеживания DHCP.
      [S3700] vlan 10
      [S3700-Vlanif10] dhcp snooping enable  //Включите функцию DHCP snooping в VLAN 10.
      [S3700-Vlanif10] ip source check user-bind enable  //Включите функцию проверки IP-пакетов в VLAN 10.
      [S3700-Vlanif10] ip source check user-bind check-item ip-address mac-address  //Настройте пункты проверки IP-пакетов.
      [S3700-Vlanif10] quit
      <S3700> save

  3. Добавьте устройства в Agile Controller-Campus и установите параметры аутентификации RADIUS и параметры XMPP.

    RADIUS используется для аутентификации MAC-адреса камер. XMPP используется для доставки таблицы привязки MAC-адреса и IP-адреса к серверу DHCP (S12700). Настройки параметров на Agile Controller-Campus должны быть такими же, как на устройствах.

    1. Выберите Resource > Device > Device Management.
    2. Нажмите Add.
    3. Установите параметры аутентификации RADIUS и параметры XMPP.

      Параметр

      Значение

      Описание

      Имя

      SW

      -

      IP-адрес

      172.18.1.1

      Указывает IP-адрес устройства контроля доступа для связи с Agile Controller-Campus.

      Ключ аутентификации

      Admin@123

      Значение должно быть таким же, как общий ключ RADIUS, установленный на устройстве контроля доступа.

      Ключ учета

      Admin@123

      Значение должно быть таким же, как общий ключ RADIUS, установленный на устройстве контроля доступа.

      Интервал учета в режиме реального времени (минута)

      15

      Значение должно быть таким же, как интервал учета, установленный на устройстве контроля доступа.

      Режим конфигурации

      Вручную

      -

      Пароль

      Admin@123

      Значение должно быть таким же, как password, указанный при настройке параметров XMPP на устройстве контроля доступа.

    4. Нажмите OK.
  4. Добавьте группу терминалов, добавьте камеры в список устройства группы терминалов и поставляйте информацию о терминале к коммутатору.
    1. Выберите Resource > Terminal > Terminal List.
    2. Выберите корневой узел Device Group в дереве навигации и нажмите Add на правой панели, чтобы добавить группу терминалов.
    3. Нажмите новую группу терминалов в дереве навигации и нажмите вкладку Device List, чтобы добавить терминалы.

      Параметр

      Значение

      Описание

      MAC-адрес

      12-34-56-65-56-05

      Указывает MAC-адрес камеры. Установите этот параметр на основе с требованиями местоположения.

      IP-адрес

      192.168.1.5

      Указывает IP-адрес, назначаемый камере.

      Устройство доступа

      172.18.1.1

      Указывает IP-адрес устройства контроля доступа для связи с Agile Controller-Campus.

      IP-адрес сервера XMPP

      172.18.1.1

      Указывает IP-адрес устройства, которое связывается с Agile Controller-Campus через XMPP.

      Тип пула

      Интерфейсный пул

      -

      Имя пула

      vlanif10

      Терминалы получают IP-адреса из этого пула.

      ПРИМЕЧАНИЕ:

      Если необходимо добавить большое количество камер, вы можете нажать Import на вкладке Device Group List, чтобы загрузить шаблон. Введите информацию о камере в шаблоне и импортируйте шаблон в Agile Controller-Campus.

    4. На вкладке Device List, выберите Deploy All или Deploy Selected в раскрывающемся списке Deploy, чтобы поставлять MAC-адрес и таблицу привязки IP-адреса к коммутатору.

      Когда развертывание будет успешным, вы можете просмотреть поставляемую конфигурацию на устройстве контроля доступа.

  5. Добавьте правило аутентификации, чтобы запретить доступ с камер, подключенных к сети, из дистанционного полицейского участка.
    1. Выберите Policy > Permission Control > Authentication & Authorization > Authorization Rule.
    2. Нажмите Add.

      Параметр

      Значение

      Описание

      Имя

      Аутентификация MAC

      -

      Тип услуги

      Услуга аутентификации обхода MAC

      Установите Service Type на MAC Bypass Authentication Service, так как немые терминалы используют аутентификацию MAC-адреса.

      Параметр доступа

      Выберите Device IP Address.

      Немые терминалы привязаны к устройству контроля доступа, чтобы предотвратить их перемещение между полицейскими участками.

    3. Нажмите OK.
  6. Добавьте правило авторизации камер для доступа к сети.
    1. Выберите Policy > Permission Control > Authentication and Authorization > Authorization Rule.
    2. Нажмите Add.

      Параметр

      Значение

      Описание

      Имя

      Аутентификация MAC

      -

      Тип услуги

      Услуга аутентификации обхода MAC

      Установите этот параметр на MAC Bypass Authentication Service для немых терминалов.

      Группа терминалов

      Полицейский участок A

      Указывает группу терминалов, которой разрешен доступ к сети.

      Результат авторизации

      Разрешить доступ

      Камеры, удовлетворяющие условию авторизации, могут получить доступ к сети.

    3. Нажмите OK.
  7. Измените результат авторизации в правиле авторизации по умолчанию на Deny Access.
    1. Выберите Policy > Permission Control > Authentication and Authorization > Authorization Rule.
    2. Нажмите рядом с Default Authorization Rule.
    3. Установите Authorization Result на Deny Access.

Верификация
  1. Когда камера передает аутентификацию обхода MAC-адреса, вы можете просмотреть информацию о камере на странице Online User. Учетная запись - MAC-адрес камеры, и IP-адрес терминала - IP-адрес, привязанный к MAC-адресу камеры.

    Если аутентификация не удалась, найдите причину в журналах RADIUS и исправьте ошибку с рекомендуемыми действиями.

  2. Когда для камеры настроен статический IP-адрес, камера успешно прошла аутентификацию, но не может получить доступ к сети.
  3. Когда камера полицейского участка А подключена к интерфейсу коммутатора доступа полицейского участка B, аутентификация MAC-адреса камеры не выполняется.
  4. Когда камера полицейского участка A подключена к другому интерфейсу коммутатора доступа полицейского участка A, аутентификация MAC-адреса камеры завершается успешно, и камера может получить доступ к сети.

Развертывание сервера сертификата CA

Чтобы использовать аутентификацию сертификата 802.1X, сервер сертификата CA должен быть развернут заранее.

Сервер сертификата Windows CA поддерживает только версию Windows Server 2008 Enterprise или версию Windows Server 2008 R2 Enterprise.

Online Video

Рекомендуется проверить развертывание сервера сертификата CA в соответствии со следующей блок-схемой.

1 2 3 4 5 6 7 8
  1. Откройте браузер и введите http://Server-IP/certsrv, где Server-IP указывает IP-адрес сервера сертификатов CA.

    Если после входа в систему с использованием учетной записи домена AD administrator и его пароля, отображается следующая страница, сервер CA функционирует правильно. В противном случае удалите и снова добавьте компонент CA.

  2. На диспетчере серверов нажмите правой кнопкой мыши корневой сертификат. В появившемся диалоговом окне нажмите вкладку Extensions и проверьте расширенные поля CDP и AIA.
    • CDP: Include in the CDP extension of issued certificates должно быть выбрано для LDAP и HTTP.
    • AIA: два варианта в красном поле должны быть выбраны для URL OCSP.

  3. Откройте браузер и введите https://Server-IP/certsrv/mscep_admin, где Server-IP указывает IP-адрес сервера сертификатов CA.

    Если после входа в систему с помощью учетной записи домена AD administrator и его пароля, отображается следующая страница, настройки SCEP и HTTPS верны.

    Если страница отображается в режиме HTTP, но не может отображаться в режиме HTTPS, проверьте, привязан ли HTTPS к сертификату и выбран ли правильный корневой сертификат. Выберите сертификат так же, как полное имя компьютера для SSL certificate.

    Если страница не может отображаться в режиме HTTP, проверьте, Network Device Enrollment Service была ли Installed.

  4. Шаблон SCEP должен содержать поле Client Authentication. В противном случае конечные пользователи могут не пройти аутентификацию. Если шаблон SCEP не содержит поля Client Authentication, исправьте настройки на основе видео-инструкции.

  5. В реестрах установите имя шаблона SCEP и отключите EnforcePassword.

    Найдите записи в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP, и установите их значения для имени шаблона SCEP.

    Изменение реестра вступает в силу только после перезапуска операционной системы.

    Установите EnforcePassword на 0.

  6. Проверьте настройки полномочий в шаблонах SCEP и OCSP. Если настройки неверны, исправьте их на основе видео-инструкции.

  7. Проверьте, выданы ли шаблоны SCEP и OCSP. Если шаблоны SCEP и OCSP отсутствуют в списке, выпустите шаблоны на основе видеоинформации.

  8. Выберите Start > Administrative Tools > Online Responder Management, чтобы проверить, находится ли OCSP в рабочем состоянии. Если нет, удалите ocsp_test и создайте его снова на основе видео-инструкции.

Инструмент импорта сертификата сервера

Инструмент импорта сертификата сервера используется для замены сертификата аутентификации по умолчанию сервера Tomcat и сервера portal. Сертификат сервера Tomcat или сервера portal используется для установления надежного канала связи между сервером Tomcat и веб-браузером. Чтобы сервер поддерживал Internet Explorer 6, который используется в операционной системе Windows XP, для шифрования сертификата по умолчанию используется режим шифрования SHA1. Если используются версии браузера с более поздним, чем Internet Explorer 6, рекомендуется использовать режим шифрования SHA256, который является более безопасным.

Предварительное условие

Установлены Диспетчер служб и Контроллер служб.

Контекст

  • Если Диспетчер служб и Контроллер служб установлены на одном и том же аппаратном сервере, после запуска инструмента импорта сертификата сервера заменяются сертификат сервера Tomcat и сертификат сервера Portal.
  • Если Диспетчер служб и Контроллер служб установлены на разных аппаратных серверах, запустите инструмент импорта сертификата сервера на сервере, где установлен Диспетчер служб, чтобы заменить сертификат сервера Tomcat, и запустите инструмент на сервере, на котором установлен Контроллер служб, чтобы заменить сертификат сервера Portal.

Процедура

  1. Войдите на сервер, на котором установлен Диспетчер служб или Контроллер служб.

    • Windows

      Войдите на сервер, используя учетную запись администратора.

    • Linux

      Войдите на сервере, используя учетную запись root.

  2. Запустите инструмент импорта сертификата сервера.

    • Windows

      Доступ к каталогу установки Agile Controller-Campus, который по умолчанию является D:\Agile Controller. Измените каталог установки в соответствии с фактической ситуацией. Дважды нажмите Upload Certificate.bat, чтобы запустить инструмент импорта сертификата.

    • Linux
      1. Запустите команду chmod /opt/755 **.jks, чтобы добавить права на чтение и запись в файлы сертификатов, чтобы инструмент импорта сертификатов обычно мог получать файлы сертификатов. В этой команде, opt указывает каталог для сохранения файла сертификата и 755 **.jks указывает имя сертификата. Необходимо заменить их фактическим каталогом и именем файла соответственно.
      2. Запустите команду su - controller, чтобы переключиться на пользователя контроллера.
      3. Запустите команду cd /opt/AgileController, чтобы получить доступ к каталогу установки Agile Controller-Campus. /opt/AgileController - это каталог установки по умолчанию для Agile Controller-Campus. Измените каталог установки в соответствии с фактической ситуацией.
      4. Запустите команду ll, чтобы проверить, существует ли файл Upload Certificate.sh в каталоге установки Agile Controller-Campus.

        Если да, продолжайте выполнять следующие шаги. Если нет, проверьте, правильно ли установлен каталог установки Agile Controller-Campus.

      5. Запустите команду sh Upload Certificate.sh, чтобы запустить инструмент импорта сертификата.

  3. Нажмите Browse. Выберите путь для хранения сертификата и введите Certificate Password.
  4. Нажмите Upload, чтобы заменить сертификат сервера по умолчанию.
  5. Перезапустите службы Диспетчер служб и Контроллер служб после успешной загрузки, чтобы новые сертификаты вступили в силу.

    ПРИМЕЧАНИЕ:

    После того, как сертификат сервера Portal загружен, вы можете получить доступ только к серверу Portal с помощью имени домена с использованием протокола HTTPS, а имя домена должно совпадать с именем, используемым во время применения сертификата сервера.

Как продолжить доступ к исходной странице после успешной аутентификации Portal?

Вопрос

Как продолжить доступ к исходной странице после успешной аутентификации Portal?

Ответ

Когда принудительное переключение отключено, веб-браузер переключает аутентифицированного конечного пользователя на URL-адрес, запрошенный до аутентификации. AC отправляет URL-адрес серверу Portal, который анализирует URL-адрес для получения определенного URL-адреса. Например, конечный пользователь хочет получить доступ к http://bbs.example.com. После того, как вы укажете параметр URL-адреса (url) на AC, сервер Portal получает IP-адрес сервера http://Portal: 8080/portal?url=http://bbs.example.com, а веб-браузер переотправляет http://bbs.example.com для аутентифицированного конечного пользователя.

Чтобы получить доступ к исходной странице после успешной аутентификации Portal, необходимо выполнить следующие конфигурации как на AC, так и на Agile Controller-Campus.

  • Конфигурация на AC

    При настройке сервера Portal на AC, настройте AC для отправки URL-адреса, к которому пользователь обращается в качестве параметра, на сервер Portal.
    <AC> system-view
    [AC] url-template name myurl
    [AC-url-template-myurl] url http://192.168.1.203:8080/portal
    [AC-url-template-myurl]  url-parameter redirect-url url
    #The Portal server obtains the URL to be switched to based on the url parameter. The AC must send the URL that the user accesses as the parameter to the Portal server. Do not change the parameter name url.
    [AC-url-template-myurl] quit
    
    
    [AC] web-auth-server portal
    [AC-web-auth-server-portal] server-ip 10.1.1.1
    [AC-web-auth-server-portal] port 50200
    [AC-web-auth-server-portal] shared-key simple Admin@123
    [AC-web-auth-server-portal] url-template myurl
    
    [AC-web-auth-server-portal] quit
    [AC] interface vlanif 30
    [AC-Vlanif30] web-auth-server portal direct

  • Конфигурация на Agile Controller-Campus версии V100R002C00

    При настройке правила переотправления страницы Portal на Agile Controller-Campus, установите Page displayed after successful authentication на Continue to visit the original page.

  • Конфигурация на Agile Controller-Campus версии V100R001C00

    При настройке правила переотправления страницы Portal на Agile Controller-Campus, выберите Policy > Permission Control > Page Customization > Page Customization, и установите URL Field Name на url.



Что делать перед подключением GPRS-модема к Agile Controller-Campus?

Вопрос

Что делать перед подключением GPRS-модема к Agile Controller-Campus?

Ответ
  1. Убедитесь, что драйвер GPRS-модема совместим с операционной системой (Microsoft Windows Server 2008, Microsoft Windows Server 2012 или SUSE Linux 11 SP3) подключаемого сервера.
  2. Получите скорость передачи (скорость передачи данных) GPRS-модема.
    ПРИМЕЧАНИЕ:

    См. Документацию по продукту GPRS-модема или обратитесь к инженеру технической поддержки GPRS-модема.

  3. Используйте последовательный кабель или USB-кабель для подключения GPRS-модема к серверу.
    ПРИМЕЧАНИЕ:
    • Если GPRS-модем предоставляет консольный порт, используйте последовательный кабель для подключения GPRS-модема к серверу с установленным Диспетчером служб.
    • Если GPRS-модем предоставляет конвертер USB в последовательный порт, используйте USB-кабель для подключения GPRS-модема к серверу с установленным Диспетчером служб и установите USB-драйвер для GPRS-модема на сервере.
  4. Настройте скорость передачи (скорость передачи данных) подключаемого сервера, чтобы гарантировать, что скорость такая же, как и у SMS-модема.
    • Windows
      1. Выберите Start > Administrative Tools > Computer Management.
      2. На странице Computer Management выберите System Tools > Device Manager.
      3. На Ports (COM&LPT), нажмите правой кнопкой мыши Communications Port (COM1) или Communications Port (COM2) в соответствии с консольным портом SMS-модема и выберите Properties.

      4. Нажмите вкладку Port Settings и проверьте скорость передачи в бодах. Если скорость передачи по умолчанию отличается от скорости передачи по GPRS-модему, измените скорость передачи в бодах на скорости передачи в режиме GPRS-модема.

    • Linux

      В операционной системе Linux идентификатор консольного порта - ttyS *. Как правило, ttyS0 соответствует консольному порту COM1, а ttyS1 соответствует консольному порту COM2 в операционной системе Windows. Выполните операцию, основанную на консольном порту, к которому подключен GPRS-модем.

      При настройке порта связи на Agile Controller-Campus, убедитесь, что порт находится в формате /dev/ttyS0.

      1. Войдите в операционную систему Linux, используя учетную запись root.
      2. Запустите команду ls -lrt /dev/ttyS* и просмотрите консольный порт, к которому подключен GPRS-модем.

        Определите консольный порт, к которому подключается GPRS-модем, в зависимости от времени, когда GPRS-модем подключен к порту сервера.

      3. Запустите команду stty -a -F /dev/ttyS0 и просмотрите скорость передачи консольного порта.

        В качестве примера используется порт ttyS0. Необходимо заменить его на фактический порт, подключенный к GPRS-модему.

      Если скорость передачи отличается от скорости в GPRS-модемом, измените скорость передачи по сравнению GPRS-модема.
      1. Запустите команду stty -F console port speed baud rate, чтобы изменить скорость передачи консольного порта.
        Например, вы можете запустить команду stty -F /dev/ttyS0 speed 115200, чтобы изменить скорость передачи ttyS0 на консольном порту на 115200.
        stty -F /dev/ttyS0 speed 115200   //Измените скорость передачи ttyS0 на консольном порту на 115200.
        9600  //Покажет скорость передачи до изменения.
      2. Запустите команду stty -F /dev/ttyS0, чтобы проверить, была ли изменена скорость передачи.

Загрузить
Updated: 2018-08-21

№ документа:EDOC1100029357

Просмотры:6807

Загрузки: 92

Average rating:
This Document Applies to these Products
Связанные документы
Related Version
Share
Назад Далее