De acuerdo

Configurar portal de capa 2 en routers AR de Huawei

Última respuesta abr. 15, 2020 21:34:48 383 2 0 0 0

Especificación

Este ejemplo se aplica a todos los modelos AR de todas las versiones.

NOTA:

Las tarjetas 4GE-2S, 4ES2G-S, 4ES2GP-S y 9ES2 no admiten NAC.


Requisitos de red

Como se muestra en la Figura 1, una empresa necesita implementar un sistema de autenticación de identidad en las salas de recepción para implementar el control de acceso a los invitados que intentan conectarse a la red empresarial, asegurando que solo los usuarios autenticados puedan acceder a la red. Debido a que las salas de recepción tienen requisitos de seguridad medios, no es necesario implementar demasiados puntos de autenticación. Se requiere que el punto de control de autenticación se despliegue en el dispositivo de agregación para facilitar el mantenimiento.

 

La autenticación del portal presenta una implementación flexible y es aplicable a usuarios en movimiento. El router de agregación y las terminales de invitados se comunican en la Capa 2. Por lo tanto, puede implementar la autenticación del Portal de Capa 2 en el router de agregación para implementar el control de acceso en los invitados  que intentan conectarse a la red empresarial. El servidor RADIUS y el servidor Portal están integrados en el mismo dispositivo.

 

https://forum.huawei.com/enterprise/en/data/attachment/forum/dm/ecommunity/uploads/2016/0318/10/56eb671bba79c.png

Figura 1 Diagrama de red para configurar la autenticación del Portal de Capa 2

 

Procedimiento

1.   Configurar el Router

#
 sysname Router
#
vlan batch 10 20
#
domain isp1    // Configure el dominio de autenticación predeterminado global.
#
portal free-rule 1 destination
ip 192.168.3.30 mask 255.255.255.0    // Configure una regla libre de autenticación para que el router permita que los paquetes al servidor DNS pasen.
#
dhcp enable    //Habilite DHCP.
#
radius-server
template rd1    // Configurar una plantilla de servidor RADIUS.
 radius-server shared-key
cipher %@%@@ny/&X<2DAnv8-265cj$rD9E%@%@    // Configurar la autenticación RADIUS y las claves compartidas de las cuentas.
 radius-server authentication
192.168.3.20 1812 weight 80    //Configure la dirección IP del servidor de autenticación.
 radius-server accounting
192.168.3.20 1813 weight 80    //Configure la dirección IP de la cuenta del servidor.
#
web-auth-server
s1    // Configurar una plantilla de servidor de portal.
 server-ip 192.168.3.20    // Configure la dirección IP del servidor de Portal.
 port 50200    // Configure el número de puerto de destino para que el Router envíe paquetes proactivamente al servidor de Portal.
 shared-key cipher %@%@,xFqU#9nf,!pRu4A'g#'(;%Z%@%@   
// Configure la clave compartida para la comunicación con el servidor de Portal.
 url http://192.168.3.20:8080/webagent    // Configure la URL de la página de autenticación del Portal.
#
aaa
 authentication-scheme auth   // Configurar un esquema deautenticación.
 authentication-mode radius
 accounting-scheme acc       // Configurar unesquema de autenticación
 accounting-mode radius
 accounting realtime 15
 domain isp1   
// Configure un dominio y enlace el esquema de autenticación, el esquema de cuenta y la plantilla del servidor RADIUS al dominio.
  authentication-scheme auth
  accounting-scheme acc
  radius-server rd1
#
interface Vlanif10
 ip address 192.168.1.1 255.255.255.0
 web-auth-server
s1 direct    // Habilitar la autenticación del Portal de Capa 2
 dhcp select interface    // Configure el servidor DHCP para asignar direcciones IP a los invitados.
 dhcp server dns-list 192.168.3.30    // Notificar a los invitados de la dirección IP del servidor DNS.
#
interface Vlanif20 
 ip address 192.168.2.1 255.255.255.0    // Configure la dirección de la puerta de enlace de la zona del servidor.
#
interface Ethernet2/0/0
 port link-type trunk
 port trunk allow-pass vlan 10
#
interface Ethernet2/0/1
 port link-type trunk
 port trunk allow-pass vlan 10
#
interface Ethernet2/0/2
 port link-type trunk
 port trunk allow-pass vlan 20
#
ip route-static 192.168.3.0 255.255.255.0 192.168.2.2    // Configurar una ruta a la zona del servidor.
#
Return

 

2.   Verificar la configuración.

  1. La página de autenticación del portal se envía a un invitado cuando el invitado intenta acceder a la red. Una vez que el invitado ingresa el nombre de usuario y la contraseña correctos, la página web solicitada se muestra automáticamente.

  2. Una vez que la autenticación se haya realizado correctamente, ejecute el comando display access-user. Se muestra información sobre los usuarios en línea.

 

Notas de configuración

Antes de realizar la configuración, asegúrese de que los dispositivos en la red puedan comunicarse.

La clave compartida de autenticación de RADIUS, la clave compartida de cuenta de RADIUSy la clave compartida de Portal deben ser coherentes con el router y el servidor.

 

 

Enlaces relacionados:

Localización de fallas usando ping

Simplificando la comprensión de los tipos de LSA de OSPF 

HCIA ROUTING AND SWITCHING Configuración Básica desde la CLI 

Configurar NAT y redirección para implementar dos egresos y proporcionar el servicio de web 

Ejemplo de Configuración para Conectar usuarios de una Intranet a Internet con el Modo Easy IP


  • x
  • convención:

pgladys
Publicado 2020-4-15 21:34:30
excelente aporte!
Ver más
  • x
  • convención:

pgladys
Publicado 2020-4-15 21:34:48
muchas gracias!
Ver más
  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.