所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S5700, S6720 V200R012C00 配置指南-业务随行

本文档介绍了业务随行的配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置在用户物理位置变化时部署业务随行示例

配置在用户物理位置变化时部署业务随行示例

组网需求

企业员工采用有线和无线方式接入,以802.1X或者Portal方式认证。

由于员工办公地点不固定,希望无论在何处上线,认证通过后都能够获取同样的权限。

图1-6  组网图

需求分析

图1-6所示,认证点为支持敏捷特性的核心交换机,接入交换机为普通交换机。

在核心交换机上配置802.1X认证和Portal认证,有线用户和无线用户在核心交换机认证通过后可以接入网络。

通过配置业务随行功能,无论用户在哪里接入都将获得同样的权限和体验,实现权限随行和体验随行。

网络数据规划

表1-3  网络数据规划

项目

数据

说明

VLAN规划

ID:11

VLANIF11 IP地址:192.168.11.254/24

Agile Controller-Campus通信的VLAN。

ID:12

VLANIF12 IP地址:192.168.12.254/24

与AP之间的业务管理VLAN。

ID:13

VLANIF13 IP地址:192.168.13.254/24

无线接入业务VLAN。

ID:14

VLANIF14 IP地址:192.168.14.254/24

有线接入业务VLAN。
核心交换机

接口编号:GE1/0/11

允许通过VLAN ID:11

允许VLAN 11、VLAN 12、VLAN 13和VLAN 14通过。

接口编号:GE1/0/12

允许通过VLAN ID:12、14

允许有线接入的业务VLAN和AP的管理VLAN通过。
接入交换机

接口编号:GE0/0/1

允许通过VLAN ID:12、14

与核心交换机的GE1/0/12接口连接。

接口编号:GE0/0/3

允许通过VLAN ID:14

有线接入接口,允许有线接入的业务VLAN通过。

接口编号:GE0/0/5

允许通过VLAN ID:12

无线接入接口,允许AP的管理VLAN通过。
服务器 Agile Controller-Campus:192.168.11.1 业务管理器SM(Service Manager)和业务控制器SC(Service Controller)。安装在同一台服务器。RADIUS服务器和Portal服务器包含在SC。

邮件服务器:192.168.11.100

-

视频服务器:192.168.11.110

-

DNS服务器:192.168.11.200

-

业务数据规划

表1-4  业务数据规划

项目

数据

说明

核心交换机

RADIUS认证服务器:
  • IP地址:192.168.11.1
  • 端口号:1812
  • RADIUS共享密钥:Admin@123
  • Agile Controller-Campus的业务控制器集成了RADIUS服务器和Portal服务器,所以认证服务器、计费服务器和Portal服务器的IP地址都为业务控制器的IP地址。
  • 配置RADIUS计费服务器,以便获取终端用户的上下线信息。认证服务器和计费服务器的端口号必须与RADIUS服务器的认证端口和计费端口一致。在Agile Controller-Campus中RADIUS认证和计费端口固定为1812和1813,Portal服务器端口固定为50200。
RADIUS计费服务器:
  • IP地址:192.168.11.1
  • 端口号:1813
  • RADIUS共享密钥:Admin@123
  • 计费周期:15分钟
Portal服务器:
  • IP地址:192.168.11.1
  • 端口号:50200
  • 共享密钥:Admin@123

XMPP密码:Admin@123

Agile Controller-Campus配置一致。

Agile Controller-Campus

核心交换机IP地址:192.168.11.254

VLANIF 11的IP地址。

RADIUS参数:
  • 设备系列:华为S系列
  • RADIUS认证密钥:Admin@123
  • RADIUS计费密钥:Admin@123
  • RADIUS授权密钥:Admin@123
  • 实时计费周期(分钟):15

与核心交换机上配置的一致。

Portal参数:
  • 端口:2000
  • Portal密钥:Admin@123
  • 接入终端IP地址列表

    无线:192.168.13.0/24

    有线:192.168.14.0/24

XMPP密码:Admin@123

与核心交换机配置一致。

账户:

员工:
  • 用户名:staff
  • 密码:Huawei@123
客户:
  • 用户名:guest
  • 密码:Guest@123

在授权中将staff授权给员工组。

在授权中将guest授权给客户组。

安全组:

员工组

客户组

邮件服务器:192.168.11.100

视频服务器:192.168.11.110

-
认证前域 DNS服务器 员工认证通过前能够将域名发往DNS服务器进行解析。
认证后域

邮件服务器、视频服务器

员工认证通过后可以访问邮件服务器和视频服务器,并对其访问视频服务器设置高带宽。

客户认证通过后不可以访问邮件服务器,只能访问视频服务器,对其访问视频服务器设置低带宽。

配置思路

核心交换机配置

  1. 将NAC配置模式配置为NAC统一模式。
  2. 配置接口和VLAN,并启用DHCP服务器功能。
  3. 配置与RADIUS服务器对接参数。
  4. 配置与Portal服务器对接参数。
  5. 配置固定PC的接入认证点。
  6. 配置免认证规则。
  7. 配置AC系统参数,实现无线接入。
  8. 配置与Agile Controller-Campus对接的XMPP参数,使能业务随行功能。

接入交换机配置

  1. 配置接口和VLAN,实现网络互通。
  2. 配置802.1X报文透传功能。
    说明:
    本举例中,由于核心交换机与用户之间存在透传交换机LAN Switch,为保证用户能够通过802.1X认证,则务必在LAN Switch上配置EAP报文透传功能:
    • 在LAN Switch系统视图下执行命令l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002定义二层透明传输EAP报文。
    • 在LAN Switch的下行与用户连接的接口以及上行与Switch连接的接口上执行命令l2protocol-tunnel user-defined-protocol 802.1x enable以使能接口的二层协议透明传输功能。

Agile Controller-Campus配置

  1. 设置RADIUS参数、Portal参数和XMPP参数,添加核心交换机。
  2. 配置“员工组”和“客户组”来代表用户,配置“邮件服务器”和“视频服务器”安全组来代表资源。
  3. 通过快速授权将“员工组”和“客户组”分别授权给员工和客户,员工和客户认证通过后分别加入到“员工组”和“客户组”。
  4. 配置访问控制权限策略,允许“员工组”访问“邮件服务器”和“视频服务器”,并对其访问视频服务器设置高带宽;只允许“客户组”访问“视频服务器”,并对其访问视频服务器设置低带宽。并且“员工组”和“客户组”不能互相访问。

操作步骤

  1. 核心交换机配置。
    1. 将配置模式切换为统一模式。

      说明:

      使用业务随行功能的设备必须切换为统一模式,切换时设备会自动重启。

      <HUAWEI> system-view
      [HUAWEI] sysname coreswitch
      [coreswitch] authentication unified-mode
      

    2. 配置接口和VLAN,并启用DHCP服务器功能。

      [coreswitch] vlan batch 11 to 14
      [coreswitch] interface vlanif 11    //作为源接口与Agile Controller-Campus通信
      [coreswitch-Vlanif11] ip address 192.168.11.254 255.255.255.0
      [coreswitch-Vlanif11] quit
      [coreswitch] dhcp enable    //使能DHCP服务
      [coreswitch] interface vlanif 12    //AP管理VLAN
      [coreswitch-Vlanif12] ip address 192.168.12.254 255.255.255.0
      [coreswitch-Vlanif12] dhcp select interface     //使能DHCP服务器功能,为AP分配IP地址
      [coreswitch-Vlanif12] quit
      [coreswitch] interface vlanif 13    //无线接入业务VLAN
      [coreswitch-Vlanif13] ip address 192.168.13.254 255.255.255.0
      [coreswitch-Vlanif13] dhcp select interface    //使能DHCP服务器功能,为移动终端分配IP地址
      [coreswitch-Vlanif13] dhcp server dns-list 192.168.11.200
      [coreswitch-Vlanif13] quit
      [coreswitch] interface vlanif 14    //有线接入业务VLAN
      [coreswitch-Vlanif14] ip address 192.168.14.254 255.255.255.0
      [coreswitch-Vlanif14] dhcp select interface    //使能DHCP服务器功能,为固定PC分配IP地址
      [coreswitch-Vlanif14] dhcp server dns-list 192.168.11.200
      [coreswitch-Vlanif14] quit
      [coreswitch] interface gigabitEthernet 1/0/11
      [coreswitch-GigabitEthernet1/0/11] port link-type trunk
      [coreswitch-GigabitEthernet1/0/11] port trunk allow-pass vlan 11
      [coreswitch-GigabitEthernet1/0/11] quit
      [coreswitch] interface gigabitEthernet 1/0/12
      [coreswitch-GigabitEthernet1/0/12] port link-type trunk
      [coreswitch-GigabitEthernet1/0/12] port trunk allow-pass vlan 12 14
      [coreswitch-GigabitEthernet1/0/12] quit
      

    3. 配置与RADIUS服务器对接参数。

      [coreswitch] radius-server template policy    //创建RADIUS服务器模板“policy”
      [coreswitch-radius-policy] radius-server authentication 192.168.11.1 1812    //配置RADIUS认证服务器的IP地址和认证端口1812
      [coreswitch-radius-policy] radius-server accounting 192.168.11.1 1813    //配置计费服务器的IP地址和认证端口1813
      [coreswitch-radius-policy] radius-server shared-key cipher Admin@123        //配置RADIUS共享密钥
      [coreswitch-radius-policy] quit
      [coreswitch] radius-server authorization 192.168.11.1 shared-key cipher Admin@123    //配置授权服务器的IP地址和密钥
      [coreswitch] aaa
      [coreswitch-aaa] authentication-scheme auth    //创建认证方案auth
      [coreswitch-aaa-authen-auth] authentication-mode radius    //认证方式RADIUS
      [coreswitch-aaa-authen-auth] quit
      [coreswitch-aaa] accounting-scheme acco    //创建计费方案acco
      [coreswitch-aaa-accounting-acco] accounting-mode radius    //计费方式RADIUS
      [coreswitch-aaa-accounting-acco] accounting realtime 15    //计费周期15分钟
      [coreswitch-aaa-accounting-acco] quit
      [coreswitch-aaa] domain default    //进入default域,绑定RADIUS服务器模板、认证方案和计费方案
      [coreswitch-aaa-domain-default] radius-server policy
      [coreswitch-aaa-domain-default] authentication-scheme auth
      [coreswitch-aaa-domain-default] accounting-scheme acco
      [coreswitch-aaa-domain-default] quit
      [coreswitch-aaa] quit
      

    4. 配置与Portal服务器对接参数。

      [coreswitch] url-template name huawei    //创建URL模板
      [coreswitch-url-template-huawei] url http://192.168.11.1:8080/portal    //指定Portal认证推送的URL
      [coreswitch-url-template-huawei] quit
      [coreswitch] web-auth-server policy    //创建Portal服务器模板“policy”
      [coreswitch-web-auth-server-policy] server-ip 192.168.11.1    //指定Portal服务器IP地址
      [coreswitch-web-auth-server-policy] port 50200    //指定Portal服务器使用的端口号,Agile Controller-Campus作为Portal服务器时使用固定端口50200
      [coreswitch-web-auth-server-policy] shared-key cipher Admin@123    //配置Portal共享密钥
      [coreswitch-web-auth-server-policy] url-template huawei    //绑定URL模板
      [coreswitch-web-auth-server-policy] quit
      

    5. 配置NAC功能。

      1. # 配置802.1X接入模板“d1”。
        说明:

        802.1X接入模板默认采用EAP认证方式。请确保RADIUS服务器支持EAP协议,否则无法处理802.1X认证请求。

        [coreswitch] dot1x-access-profile name d1
        [coreswitch-dot1x-access-profile-d1] quit
      2. # 配置Portal接入模板“web1”。

        [coreswitch] portal-access-profile name web1
        [coreswitch-portal-acces-profile-web1] web-auth-server policy direct   //配置采用二层Portal认证
        [coreswitch-portal-acces-profile-web1] quit
      3. # 配置免认证规则模板“default_free_rule”。

        [coreswitch] free-rule-template name default_free_rule
        [coreswitch-free-rule-default_free_rule] free-rule 1 destination ip 192.168.11.200 mask 24 source ip any    //确保终端用户认证前能访问DNS服务器
        [coreswitch-free-rule-default_free_rule] free-rule 2 source vlan 12    //确保AP能够上线
        [coreswitch-free-rule-default_free_rule] quit
      4. # 配置认证模板“p1”,用于802.1X和Portal混合认证。

        [coreswitch] authentication-profile name p1
        [coreswitch-authen-profile-p1] dot1x-access-profile d1    //绑定802.1X接入模板“d1”
        [coreswitch-authen-profile-p1] portal-access-profile web1    //绑定Portal接入模板“web1”
        [coreswitch-authen-profile-p1] access-domain default force    //配置域default为该接口上线用户的强制认证域
        [coreswitch-authen-profile-p1] quit
      5. # 配置认证模板“p_dot1x”,用于802.1X认证。

        [coreswitch] authentication-profile name p_dot1x
        [coreswitch-authen-profile-p_dot1x] dot1x-access-profile d1    //绑定802.1X接入模板“d1”
        [coreswitch-authen-profile-p_dot1x] free-rule-template default_free_rule    //绑定免认证规则模板“default_free_rule”
        [coreswitch-authen-profile-p_dot1x] access-domain default force    //配置域default为该接口上线用户的强制认证域
        [coreswitch-authen-profile-p_dot1x] quit
      6. # 配置认证模板“p_portal”,用于Portal认证。

        [coreswitch] authentication-profile name p_portal
        [coreswitch-authen-profile-p_portal] portal-access-profile web1    //绑定Portal接入模板“web1”
        [coreswitch-authen-profile-p_portal] free-rule-template default_free_rule    //绑定免认证规则模板“default_free_rule”
        [coreswitch-authen-profile-p_portal] access-domain default force    //配置域default为该接口上线用户的强制认证域
        [coreswitch-authen-profile-p_portal] quit

    6. 配置接口GE1/0/12为固定PC的接入认证点,开启802.1X和Portal混合认证功能。

      [coreswitch] interface gigabitEthernet 1/0/12
      [coreswitch-GigabitEthernet1/0/12] authentication-profile p1    //绑定认证模板“p1”,开启802.1X和Portal混合认证功能。
      [coreswitch-GigabitEthernet1/0/12] quit

    7. 配置AP上线。

      1. # 配置AC的源接口。

        [coreswitch] capwap source interface vlanif 12
        
      2. # 创建AP组“ap-group1”。

        [coreswitch] wlan
        [coreswitch-wlan-view] ap-group name ap-group1
        [coreswitch-wlan-ap-group-ap-group1] quit
      3. # 创建域管理模板,在域管理模板下配置AC的国家码并在AP组下引用域管理模板。

        [coreswitch-wlan-view] regulatory-domain-profile name domain1
        [coreswitch-wlan-regulate-domain-domain1] country-code cn
        [coreswitch-wlan-regulate-domain-domain1] quit
        [coreswitch-wlan-view] ap-group name ap-group1
        [coreswitch-wlan-ap-group-ap-group1] regulatory-domain-profile domain1
        Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu
        e?[Y/N]:y 
        [coreswitch-wlan-ap-group-ap-group1] quit
        [coreswitch-wlan-view] quit
        
      4. # 在AC上离线导入AP。假设AP的MAC地址为60de-4476-e360、命名为area_1。

        [coreswitch] wlan
        [coreswitch-wlan-view] ap auth-mode mac-auth
        [coreswitch-wlan-view] ap-id 0 ap-mac 60de-4476-e360
        [coreswitch-wlan-ap-0] ap-name area_1
        [coreswitch-wlan-ap-0] ap-group ap-group1
        Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configuration
        s of the radio, Whether to continue? [Y/N]:y 
        [coreswitch-wlan-ap-0] quit
        
      5. # 将AP上电后,当执行命令display ap all查看到AP的“State”字段为“nor”时,表示AP正常上线。

        [coreswitch-wlan-view] display ap all
        Total AP information:
        nor  : normal          [1]
        Extra information:
        P  : insufficient power supply
        --------------------------------------------------------------------------------------------------
        ID   MAC            Name   Group     IP            Type            State STA Uptime      ExtraInfo
        --------------------------------------------------------------------------------------------------
        0    60de-4476-e360 area_1 ap-group1 10.23.100.254 AP5030DN        nor   0   10S         -
        --------------------------------------------------------------------------------------------------
        Total: 1

    8. 配置WLAN业务参数。

      1. # 创建名为“wlan-security1”“wlan-security2”的安全模板,并配置安全策略。缺省情况下,安全策略为open方式的开放认证。

        [coreswitch-wlan-view] security-profile name wlan-security1
        [coreswitch-wlan-sec-prof-wlan-security1] quit
        [coreswitch-wlan-view] security-profile name wlan-security2
        [coreswitch-wlan-sec-prof-wlan-security2] security wpa2 dot1x aes
        [coreswitch-wlan-sec-prof-wlan-security2] quit
        
      2. # 创建名为“dot1x_test”“portal_test”的SSID模板,并分别配置SSID名称为“dot1x_test”“portal_test”

        [coreswitch-wlan-view] ssid-profile name dot1x_test
        [coreswitch-wlan-ssid-prof-dot1x_test] ssid dot1x_test
        [coreswitch-wlan-ssid-prof-dot1x_test] quit
        [coreswitch-wlan-view] ssid-profile name portal_test
        [coreswitch-wlan-ssid-prof-portal_test] ssid portal_test
        [coreswitch-wlan-ssid-prof-portal_test] quit
        
      3. # 创建名为“dot1x_test”“portal_test”的VAP模板,配置业务数据转发模式、业务VLAN,并且引用安全模板和SSID模板。

        [coreswitch-wlan-view] vap-profile name dot1x_test
        [coreswitch-wlan-vap-prof-dot1x_test] forward-mode tunnel
        [coreswitch-wlan-vap-prof-dot1x_test] service-vlan vlan-id 13
        [coreswitch-wlan-vap-prof-dot1x_test] security-profile wlan-security2    //绑定安全策略模板“wlan-security2”
        [coreswitch-wlan-vap-prof-dot1x_test] ssid-profile dot1x_test
        [coreswitch-wlan-vap-prof-dot1x_test] authentication-profile p_dot1x   //绑定认证模板“p_dot1x”
        [coreswitch-wlan-vap-prof-dot1x_test] quit
        [coreswitch-wlan-view] vap-profile name portal_test
        [coreswitch-wlan-vap-prof-portal_test] forward-mode tunnel
        [coreswitch-wlan-vap-prof-portal_test] service-vlan vlan-id 13
        [coreswitch-wlan-vap-prof-portal_test] security-profile wlan-security1   //绑定安全策略模板“wlan-security1”
        [coreswitch-wlan-vap-prof-portal_test] ssid-profile portal_test
        [coreswitch-wlan-vap-prof-portal_test] authentication-profile p_portal   //绑定认证模板“p_portal”
        [coreswitch-wlan-vap-prof-portal_test] quit
        
      4. # 配置AP组引用VAP模板,AP上射频0和射频1都使用VAP模板的配置。

        [coreswitch-wlan-view] ap-group name ap-group1
        [coreswitch-wlan-ap-group-ap-group1] vap-profile dot1x_test wlan 1 radio all
        [coreswitch-wlan-ap-group-ap-group1] vap-profile portal_test wlan 2 radio all
        [coreswitch-wlan-ap-group-ap-group1] quit

    9. 配置与Agile Controller-Campus对接的XMPP参数,使能业务随行功能。

      [coreswitch] group-policy controller 192.168.11.1 password Admin@123 src-ip 192.168.11.254    //src-ip为VLANIF 11接口IP地址

  2. 接入交换机配置。

    说明:

    本举例中,由于认证点核心交换机与用户之间存在透传的接入交换机,为保证用户能够通过802.1X认证,则需要在接入交换机上配置802.1X报文(本举例中采用EAP方式,即EAP报文)透传功能。

    <HUAWEI> system-view
    [HUAWEI] sysname l2switch
    [l2switch] l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002
    [l2switch] vlan batch 12 14
    [l2switch] interface gigabitEthernet 0/0/1
    [l2switch-GigabitEthernet0/0/1] port link-type trunk
    [l2switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 12 14
    [l2switch-GigabitEthernet0/0/1] l2protocol-tunnel user-defined-protocol 802.1x enable
    [l2switch-GigabitEthernet0/0/1] bpdu enable
    [l2switch-GigabitEthernet0/0/1] quit
    [l2switch] interface gigabitEthernet 0/0/3    //有线接入接口
    [l2switch-GigabitEthernet0/0/3] port link-type access
    [l2switch-GigabitEthernet0/0/3] port default vlan 14
    [l2switch-GigabitEthernet0/0/3] l2protocol-tunnel user-defined-protocol 802.1x enable
    [l2switch-GigabitEthernet0/0/3] bpdu enable
    [l2switch-GigabitEthernet0/0/3] quit
    [l2switch] interface gigabitEthernet 0/0/5    //无线接入接口
    [l2switch-GigabitEthernet0/0/5] port link-type access
    [l2switch-GigabitEthernet0/0/5] port default vlan 12
    [l2switch-GigabitEthernet0/0/5] l2protocol-tunnel user-defined-protocol 802.1x enable
    [l2switch-GigabitEthernet0/0/5] bpdu enable
    [l2switch-GigabitEthernet0/0/5] quit

  3. Agile Controller-Campus配置。
    1. 添加核心交换机。

      1. 选择资源 > 设备 > 设备管理,单击“增加”

      2. 选择“XMPP”页签。

      3. 单击“确定”后设备的“通信状态”“同步状态”“同步成功”
      4. 在核心交换机上查看其与Agile Controller-Campus通信状态。
        <coreswitch> display group-policy status
        Controller IP address: 192.168.11.1
        Controller port: 5222
        Backup controller IP address: -
        Backup controller port: -
        Source IP address: 192.168.11.254
        State: working
        Connected controller: master
        Device protocol version: 1
        Controller protocol version: 1  

    2. 创建“staff”和“guest”账户。

      1. 选择资源 > 用户管理
      2. 单击“增加”,创建“staff”

      3. 单击“增加”,创建“guest”

    3. 配置“员工组”和“客户组”来代表用户,配置“邮件服务器”和“视频服务器”安全组来代表资源。

      1. 选择策略 > 准入控制 > 安全组 > 动态安全组管理
      2. 单击“增加”,创建“员工组”

      3. 单击“增加”,创建“客户组”

      4. 选择 静态安全组管理,单击“增加”,创建“邮件服务器”

      5. 单击“增加”,创建“视频服务器”

      6. 单击“全网部署”,全网部署安全组。

    4. 通过快速授权将“员工组”和“客户组”分别授权给员工和客户,员工和客户认证通过后分别加入到“员工组”和“客户组”。

      1. 选择策略 > 准入控制 > 快速授权
      2. 将员工映射到“员工组”,并设置带宽,单击“确定”

      3. 将客户映射到“客户组”,并设置带宽,单击“确定”

    5. 配置访问控制权限策略,允许“员工组”访问“邮件服务器”和“视频服务器”;只允许“客户组”访问“视频服务器”。并且“员工组”和“客户组”不能互相访问。

      说明:

      策略配置模式默认为自定义分组,自定义分组下暂无分组时,请先至设备管理页面添加自定义分组(资源 > 设备 > 设备管理 > 业务随行组),也可以在全局配置中修改策略配置模式为所有设备(系统 > 终端参数配置 > 全局参数 > 业务随行配置描述)。

      1. 选择策略 > 业务随行 > 访问权限控制
      2. 单击“增加”

      3. 单击“确定”后单击“全网部署”

        部署成功后可以在核心交换机上通过以下命令查看部署情况。

        • display ucl-group all:查看安全组。
        • display acl all:查看访问权限控制策略。

  4. 保存核心交换机的配置。

    选择资源 > 设备 > 设备管理,单击核心交换机对应的保存配置。

    说明:

    保存配置相当于在设备执行save命令,保存设备所有配置(含Controller部署的安全组、访问权限控制策略和QoS策略)到配置文件。

    保存安全组、访问权限控制策略和QoS策略到设备配置文件,在设备重启后可以直接从配置文件恢复,无需再从Controller请求部署。否则,在设备重启后如果安全组、访问权限控制策略和QoS策略尚未部署到设备会导致用户认证失败。

  5. 验证配置结果

    员工帐号无论在何处的终端通过802.1X或者Portal方式认证成功后都可以访问邮件服务器和视频服务器,并且访问视频服务器未出现卡顿现象。

    客户帐号无论在何处的终端通过802.1X或者Portal方式认证成功后都不可以访问邮件服务器,只可以访问视频服务器,并且访问视频服务器可能出现卡顿现象。

配置文件

  • 核心交换机的配置文件

    #
    sysname coreswitch
    #
    vlan batch 11 to 14
    #
    authentication-profile name p1
     dot1x-access-profile d1
     portal-access-profile web1
     access-domain default force
    authentication-profile name p_dot1x
     dot1x-access-profile d1
     free-rule-template default_free_rule
     access-domain default force
    authentication-profile name p_portal
     portal-access-profile web1
     free-rule-template default_free_rule
     access-domain default force
    #
    group-policy controller 192.168.11.1 password %^%#(K2]5P#C6'97.pR(gFv$K$KbGYN}R1Y76~K^;AP&%^%# src-ip 192.168.11.254
    #
    dhcp enable
    #
    radius-server template policy
     radius-server shared-key cipher %^%#teXm2B&.1O0:cj$OWPq7@!Y\!%}dC3Br>p,}l\L.%^%#
     radius-server authentication 192.168.11.1 1812 weight 80
     radius-server accounting 192.168.11.1 1813 weight 80
    #
    radius-server authorization 192.168.11.1 shared-key cipher %^%#FKIlCKv=f(AgM-G~W"}G.C\%;b'3A/zz-EJV;vi*%^%#  
    #
    free-rule-template name default_free_rule
     free-rule 1 destination ip 192.168.11.200 mask 255.255.255.0 source ip any
     free-rule 2 source vlan 12
    #
    url-template name huawei
     url http://192.168.11.1:8080/portal
    #
    web-auth-server policy
     server-ip 192.168.11.1
     port 50200
     shared-key cipher %^%#SQn,Cr"c;M&{#(R^:;P3F_H$3f3sr$C9%*G7R|u3%^%#
     url-template huawei
    #
    portal-access-profile name web1
     web-auth-server policy direct
    #
    aaa
     authentication-scheme auth
      authentication-mode radius
     accounting-scheme acco
      accounting-mode radius
      accounting realtime 15
     domain default
      authentication-scheme auth
      accounting-scheme acco
      radius-server policy
    #
    interface Vlanif11
     ip address 192.168.11.254 255.255.255.0
    #
    interface Vlanif12
     ip address 192.168.12.254 255.255.255.0
     dhcp select interface
    #
    interface Vlanif13
     ip address 192.168.13.254 255.255.255.0
     dhcp select interface
     dhcp server dns-list 192.168.11.200
    #
    interface Vlanif14
     ip address 192.168.14.254 255.255.255.0
     dhcp select interface
     dhcp server dns-list 192.168.11.200
    #
    interface GigabitEthernet1/0/11
     port link-type trunk
     port trunk allow-pass vlan 11
    #
    interface GigabitEthernet1/0/12
     port link-type trunk
     port trunk allow-pass vlan 12 14
     authentication-profile p1
    #
    capwap source interface vlanif12
    #
    wlan
     security-profile name wlan-security1
     security-profile name wlan-security2
      security wpa2 dot1x aes
     ssid-profile name dot1x_test
      ssid dot1x_test
     ssid-profile name portal_test
      ssid portal_test
     vap-profile name dot1x_test
      forward-mode tunnel
      service-vlan vlan-id 13
      ssid-profile dot1x_test
      security-profile wlan-security2
      authentication-profile p_dot1x
     vap-profile name portal_test
      forward-mode tunnel
      service-vlan vlan-id 13
      ssid-profile portal_test
      security-profile wlan-security1
      authentication-profile p_portal
     regulatory-domain-profile name domain1
     ap-group name ap-group1
      regulatory-domain-profile domain1
      radio 0                                                                       
       vap-profile dot1x_test wlan 1                                                
       vap-profile portal_test wlan 2                                               
      radio 1                                                                       
       vap-profile dot1x_test wlan 1                                                
       vap-profile portal_test wlan 2                                               
      radio 2                                                                       
       vap-profile dot1x_test wlan 1                                                
       vap-profile portal_test wlan 2
     ap-id 0 ap-mac 60de-4476-e360
      ap-name area_1
      ap-group ap-group1
     wlan work-group default
    #
    dot1x-access-profile name d1
    #
    return
  • 接入交换机的配置文件

    #
    sysname l2switch
    #
    vlan batch 12 14
    #
    l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk allow-pass vlan 12 14
     l2protocol-tunnel user-defined-protocol 802.1x enable
    #
    interface GigabitEthernet0/0/3
     port link-type access
     port default vlan 14
     l2protocol-tunnel user-defined-protocol 802.1x enable
    #
    interface GigabitEthernet0/0/5
     port link-type access
     port default vlan 12
     l2protocol-tunnel user-defined-protocol 802.1x enable
    #
    return
翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038448

浏览量:3253

下载量:618

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页