Ejemplo de configuración para acceso de visitas usando cuentas de redes sociales (GooglePlus, Facebook, or ******* Accounts) (V200R009C00 y versiones

98 0 0 0

Descripción general

Una empresa ha desplegado un Sistema de autenticación para implementar control de acceso para todos los usuarios de la red inalámbrica que intenten conectarse a la red empresarial. Solo usuarios autenticados logran conectar a la red empresarial. Los empleados se conectan a través de PCs e invitados se conectan por medio de teléfonos móviles. El administrador ha creado cuentas locales para los empleados para pasar la autenticación. Para cuentas de invitados, el administrador necesita configurar el Manejador de Servicios habilitando a los invitados a completar su autenticación usando cuentas de GooglePlus, Facebook o *******.

Notas de Configuración

l   Las llaves compartidas de autenticación y contabilidad y la llave compartida del Portal en el switch deben ser las mismas que en el Agile Controller-Campus.

l   El Agile Controller-Campus de Huawei funciona como el servidor RADIUS en este ejemplo. Para el Agile Controller-Campus, la versión requerida es V100R002; V100R003.

l   Por defecto, el switch permite que los paquetes enviados a los servidores de RADIUS y Portal pasen. No es necesario configurar una regla de autenticación para los paquetes en el switch.

l   Los modos de reenvío de datos de servicio se clasifican en modo túnel, y modo directo. El modo túnel es usado en este ejemplo.

          En modo túnel, la VLAN de administración y la VLAN de servicio no pueden ser la misma.

          En modo directo, no configure la VLAN de administración y la VLAN de servicio para que sean la misma. Se recomienda configurar aislamiento de puerto en la interfaz del switch directamente conectada al AP. Si no se configura el aislamiento de puerto, muchos paquetes de broadcast serán transmitidos por VLANs o usuarios WLAN en diferentes APs pueden comunicarse directamente en capa 2.

l   No se provee ningún mecanismo ACK para la transmisión de paquetes multicast en interfaces aéreas. Además, los enlaces inalámbricos son inestables. Para asegurar una transmisión estable de paquetes multicast, usualmente se transmiten a tasas más bajas. Si un gran número de estos paquetes multicast es enviado por el lado de la red, las interfaces aéreas pueden presentar congestión. Se recomienda configurar la supresión de paquetes multicast para reducir el impacto de una gran cantidad de paquetes multicast siendo transmitidos a bajas tasas en la red inalámbrica. Tenga cuidado cuando configure el límite de velocidad; de otra manera, puede afectar los servicios multicast.

           En modo directo, se recomienda configurar la supresión de paquetes multicast en las interfaces del switch conectadas a APs.

           En modo túnel, se recomienda configurar la supresión de paquetes multicast en las políticas de tráfico del AC.

Para detalles de cómo configurar la supresión de tráfico, vea "Como configure la supresión de paquetes multicast para reducir el impacto de una gran cantidad de paquetes multicast de tasa baja en una red inalámbrica?” en la sección Configuración WLAN QoS de la guía de Configuración - WLAN-AC de la versión correspondiente.

l   La siguiente tabla contiene una lista de los productos y versiones aplicables.

Tabla 1-1 Productos y versiones aplicables

Versión de Software

Modelo del Producto

Modelo del AP y Versión

V200R011C10

S5720HI, S7700, S9700

NOTA

Para   S7700, se recomienda implementar switches S7712, o S7706 para servicios de   WLAN. Los switches S7703 no son recomendados. Para S9700, se recomienda implementar   switches S9712 o S9706 para servicios WLAN. Los switches S9703 switches no   son recomendados.

V200R007C20:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN,   AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN,   AP6510DN-AGN-US, AP6610DN-AGN-US, AP5030DN, AP5130DN, AP7030DE, AP2010DN,   AP8130DN, AP8030DN, AP9330DN, AP4030DN, AP4130DN, AP2030DN, AP9131DN, AP9132DN,   AD9430DN-24, AD9430DN-12, R230D, R240D, AP6050DN, AP6150DN, AP7050DE,   AP7050DN-E, AP4030TN, AP4050DN-E, AP4050DN-HD, R250D, R250D-E, AP2050DN,   AP2050DN-E, AP8130DN-W, AP4050DN, AP4051DN, AP4151DN, AP8050DN, AP8150DN

V200R007C10:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN,   AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN,   AP6510DN-AGN-US, AP6610DN-AGN-US, AP5030DN, AP5130DN, AP7030DE, AP2010DN,   AP8130DN, AP8030DN, AP9330DN, AP4030DN, AP4130DN, AP2030DN, AP9131DN,   AP9132DN, AD9430DN-24, AD9430DN-12, R230D, R240D, AP6050DN, AP6150DN,   AP7050DE, AP7050DN-E, AP4030TN, AP4050DN-E, AP4050DN-HD, R250D, R250D-E,   AP2050DN, AP2050DN-E, AP8130DN-W

V200R006C20:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN,   AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN,   AP6510DN-AGN-US, AP6610DN-AGN-US, AP5030DN, AP5130DN, AP7030DE, AP2010DN,   AP8130DN, AP8030DN, AP9330DN, AP4030DN, AP4130DN, AP3030DN, AP2030DN,   AP9131DN, AP9132DN, AD9430DN-24, AD9430DN-12, R230D, R240D

V200R006C10:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN,   AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN,   AP6510DN-AGN-US, AP6610DN-AGN-US, AP5030DN, AP5130DN, AP7030DE, AP2010DN,   AP8130DN, AP8030DN, AP9330DN, AP4030DN, AP4130DN, AP3030DN, AP2030DN

V200R010C00

S5720HI, S7700, S9700

NOTA

Para   S7700, se recomienda implementar switches S7712, o S7706 para servicios de   WLAN. Los switches S7703 no son recomendados.

Para   S9700, se recomienda implementar switches S9712 o S9706 para servicios WLAN. Los   switches S9703no son recomendados.

V200R007C10:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN,   AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN,   AP6510DN-AGN-US, AP6610DN-AGN-US, AP5030DN, AP5130DN, AP7030DE, AP2010DN,   AP8130DN, AP8030DN, AP9330DN, AP4030DN, AP4130DN, AP2030DN, AP9131DN,   AP9132DN, AD9430DN-24, AD9430DN-12, R230D, R240D, AP6050DN, AP6150DN,   AP7050DE, AP7050DN-E, AP4030TN, AP4050DN-E, AP4050DN-HD, R250D, R250D-E,   AP2050DN, AP2050DN-E, AP8130DN-W

V200R006C20:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN,   AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN,   AP6510DN-AGN-US, AP6610DN-AGN-US, AP5030DN, AP5130DN, AP7030DE, AP2010DN,   AP8130DN, AP8030DN, AP9330DN, AP4030DN, AP4130DN, AP3030DN, AP2030DN,   AP9131DN, AP9132DN, AD9430DN-24, AD9430DN-12, R230D, R240D

V200R006C10:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN,   AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN,   AP6510DN-AGN-US, AP6610DN-AGN-US, AP5030DN, AP5130DN, AP7030DE, AP2010DN,   AP8130DN, AP8030DN, AP9330DN, AP4030DN, AP4130DN, AP3030DN, AP2030DN

V200R009C00

S5720HI, S7700, S9700

NOTA

Para   S7700, se recomienda implementar S7712 o S7706 switches para los servicios   WLAN. Los   switches S7703 no se recomiendan. Para S9700 se recomienda implementar los   switches S9712 o S9706 para los servicios WLAN. No se recomiendan los   switches S9703.

V200R007C10:

AP6010SN-GN,   AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN,   AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN-US,   AP6610DN-AGN-US, AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN,   AP9330DN, AP4030DN, AP4130DN, AP2030DN, AP9131DN, AP9132DN, AD9430DN-24,   AD9430DN-12, R230D, R240D, AP6050DN, AP6150DN, AP7050DE, AP7050DN-E,   AP4030TN, AP4050DN-E, AP4050DN-HD, R250D, R250D-E, AP2050DN, AP2050DN-E,   AP8130DN-W

V200R006C20:

AP6010SN-GN,   AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN,   AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN-US,   AP6610DN-AGN-US, AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN,   AP9330DN, AP4030DN, AP4130DN, AP3030DN, AP2030DN, AP9131DN, AP9132DN,   AD9430DN-24, AD9430DN-12, R230D, R240D

V200R006C10:

AP6010SN-GN,   AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN,   AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN-US,   AP6610DN-AGN-US, AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN,   AP9330DN, AP4030DN, AP4130DN, AP3030DN, AP2030DN

 

Requerimientos de Red

En la figura 1-1, un switch funciona como AC y se conecta al AP a través de un switch PoE. El switch PoE provee energía al AP. Puede configurar servicios de WLAN en el AC para proveer servicios de acceso inalámbricos a los usuarios.

Figura 1-1 Red WLAN de pequeña escala

 

Plan de Datos de Red

Tabla 1-2 Plan de Datos de Red

Ítem

Datos

Descripción

Servidor   AC DHCP

192.168.10.1-192.168.10.254/24

Pool de   direcciones IP para APs.

Dirección   IP de VLANIF 100: 192.168.10.1

Gateway   conectado al AP.

192.168.20.1-192.168.20.254/24

Pool de   direcciones IP para usuarios de teléfonos móviles.

Dirección   IP de VLANIF 101: 192.168.20.1

Gateway   para usuarios de teléfonos móviles.

Dirección   IP de VLANIF 102: 192.168.30.1

Gateway   conectado al Agile Controller-Campus.

Portal   server:

l  Dirección IP: 192.168.30.2

l  Numero de Puerto que el switch   utiliza para procesar paquetes del Portal: 2000

l  Número de puerto de destino en   los paquetes que el switch envía al servidor Portal: 50200

l  Clave compartida de portal:   Admin@123

l  El controlador de servicio (SC)   del Agile Controller-Campus integra el servidor de RADIUS y Portal. Por lo   tanto, las direcciones IP del servidor de autenticación, el servidor de   contabilidad y el servidor del portal son la dirección IP del Agile   Controller-Campus

l  Configure un servidor de   contabilidad RADIUS para obtener la información de inicio de sesión y de   salida del usuario. Los números de puerto del servidor de autenticación y del   servidor de contabilidad deben ser los mismos que los números de puerto de   autenticación y contabilidad del servidor RADIUS.

Servidor   de autenticación RADIUS:

·          Dirección IP:192.168.30.2

·          Número de puerto: 1812

·          Clave compartida de radio: Admin@123

Servidor   de contabilidad RADIUS:

·          Dirección IP:192.168.30.2

·          Número de puerto: 1813

·          Clave compartida de radio: Admin@123

·          Intervalo de contabilidad: 15 minutos

Agile Controller-Campus

Nombre de dominio: access.example.com

Los usuarios también pueden utilizar el nombre de   dominio para acceder al servidor del Portal.

Dirección   IP: 192.168.30.2

-

Número   de puerto de autenticación: 1812

-

Número   de puerto de contabilidad: 1813

-

Clave   compartida RADIUS: Admin@123

Debe   ser igual a la configurada en el switch.

Número   de puerto en los paquetes recibidos por el servidor del Portal: 50200

-

Clave   compartida Portal: Admin@123

Debe   ser igual a la configurada en el switch.

AP   group

l  Nombre: ap-group1

l  Perfiles referenciados: Perfil VAP   wlan-vap y perfil de dominio regulatorio domain1

-

Perfil   de dominio regulatorio

l  Nombre: domain1

l  Código de país: CN

-

Perfil SSID  

l  Nombre: wlan-ssidSS

l  Nombre de SSID: wlan-net

-

Perfil   de Seguridad

l  Nombre: wlan-security

l  Política de seguridad:   Autenticación del sistema abierto

-

Perfil VAP  

l  Nombre: wlan-vap

l  Modo de reenvío: túnel

l  VLAN de servicio: VLAN 101

l  Perfiles referenciados: Perfil   SSID wlan-ssid; perfil de   seguridad wlan-security, y perfil   de autenticación p1

-

 

Mapa de Configuración

1. Configure conectividad de red.

2. Configure el modo NAC de la AC a unificado.

3. Configurar parámetros para que el AC se comunique con el servidor Agile Controller-Campus (RADIUS).

4. Configuración de autenticación de portal.

5. Configure la AP para entrar en línea.

6. Configure STAs para entrar en línea.

7. Configure el Agile Controller-Campus y el servidor de autenticación de redes sociales.

Procedimiento

                               Paso 1     Configure la conectividad de red.

# En el SwitchA, agregue GE0/0/1 conectada al AP y GE0/0/2 conectado al AC a la VLAN 100 de administración.

<HUAWEI> system-view 
[HUAWEI] sysname SwitchA 
[SwitchA] vlan batch 100 
[SwitchA] interface gigabitethernet 0/0/1 
[SwitchA-GigabitEthernet0/0/1] port link-type trunk 
[SwitchA-GigabitEthernet0/0/1] port trunk pvid vlan 100 
[SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 
[SwitchA-GigabitEthernet0/0/1] quit 
[SwitchA] interface gigabitethernet 0/0/2 
[SwitchA-GigabitEthernet0/0/2] port link-type trunk 
[SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 
[SwitchA-GigabitEthernet0/0/2] quit

# En la AC, agregue GE1/0/1 conectada al SwitchA a la VLAN 100, agregue GE1/0/3 conectada al Agile Controller-Campus a la VLAN 102, y agregue GE1/0/2 conectada Internet a la VLAN 101.

<HUAWEI> system-view 
[HUAWEI] sysname AC 
[AC] vlan batch 100 101 102 
[AC] interface gigabitethernet 1/0/1 
[AC-GigabitEthernet1/0/1] port link-type trunk 
[AC-GigabitEthernet1/0/1] port trunk allow-pass vlan 100 
[AC-GigabitEthernet1/0/1] quit 
[AC] interface gigabitethernet 1/0/3 
[AC-GigabitEthernet1/0/3] port link-type trunk 
[AC-GigabitEthernet1/0/3] port trunk allow-pass vlan 102 
[AC-GigabitEthernet1/0/3] quit 
[AC] interface gigabitethernet 1/0/2 
[AC-GigabitEthernet1/0/2] port link-type trunk 
[AC-GigabitEthernet1/0/2] port trunk allow-pass vlan 101 
[AC-GigabitEthernet1/0/2] quit

# Configure la AC como servidor DHCP basándose en los pools de direcciones de las interfaces. VLANIF 100 asigna direcciones IP al AP y VLANIF 101 asigna direcciones IP a los STAs.

[AC] dhcp enable    
[AC] interface vlanif 100 
[AC-Vlanif100] ip address 192.168.10.1 24 
[AC-Vlanif100] dhcp select interface    
[AC-Vlanif100] quit 
[AC] interface vlanif 101 
[AC-Vlanif101] ip address 192.168.20.1 24    
[AC-Vlanif101] dhcp select interface 
[AC-Vlanif101] quit

# Configure la dirección gateway del Agile Controller-Campus.

[AC] interface vlanif 102 
[AC-Vlanif102] ip address 192.168.30.1 24 
[AC-Vlanif102] quit

                               Paso 2     Configure el modo NAC del AC a unificado.

[AC] authentication unified-mode     
Warning: Switching the authentication mode will take effect after system restart 
. Some configurations are invalid after the mode is switched. For the invalid co 
mmands, see the user manual.
Save the configuration file and reboot now? [Y/N]y

                               Paso 3     Configure parámetros para que el AC se comunique con el Agile Controller-Campus (servidor RADIUS).

[AC] radius-server template policy    
[AC-radius-policy] radius-server authentication 192.168.30.2 1812 source ip-address 192.168.30.1    
[AC-radius-policy] radius-server accounting 192.168.30.2 1813 source ip-address 192.168.30.1    
[AC-radius-policy] radius-server shared-key cipher Admin@123    
[AC-radius-policy] quit 
[AC] aaa    
[AC-aaa] authentication-scheme auth    
[AC-aaa-authen-auth] authentication-mode radius    
[AC-aaa-authen-auth] quit 
[AC-aaa] accounting-scheme acco    
[AC-aaa-accounting-acco] accounting-mode radius    
[AC-aaa-accounting-acco] accounting realtime 15    
[AC-aaa-accounting-acco] quit 
[AC-aaa] domain portal    
[AC-aaa-domain-portal] authentication-scheme auth    
[AC-aaa-domain-portal] accounting-scheme acco    
[AC-aaa-domain-portal] radius-server policy    
[AC-aaa-domain-portal] quit 
[AC-aaa] quit 
[AC] domain portal 

                               Paso 4     Configure autenticación por Portal.

# Configure los parámetros para que el AC se comunique con el Agile Controller-Campus (servidor de Portal).

[AC] web-auth-server portal_huawei    
[AC-web-auth-server-portal_huawei] server-ip 192.168.30.2    
[AC-web-auth-server-portal_huawei] source-ip 192.168.30.1    
[AC-web-auth-server-portal_huawei] port 50200    
[AC-web-auth-server-portal_huawei] shared-key cipher Admin@123    
[AC-web-auth-server-portal_huawei] url http://access.example.com:8080/portal    
[AC-web-auth-server-portal_huawei] quit 
[AC] web-auth-server listening-port 2000    
[AC] portal quiet-period    
[AC] portal quiet-times 5    
[AC] portal timer quiet-period 240  

# Configure un perfil de acceso por Portal

[AC] portal-access-profile name web1 
[AC-portal-acces-profile-web1] web-auth-server portal_huawei direct 
[AC-portal-acces-profile-web1] quit

# Configure un perfil de regla libre de autenticación.

[AC] acl 6000 
[AC-acl-ucl-6000] rule 1 permit ip destination fqdn www.googleapis.com    
[AC-acl-ucl-6000] rule 2 permit ip destination fqdn apis.google.com    
[AC-acl-ucl-6000] rule 3 permit ip destination fqdn connect.facebook.net    
[AC-acl-ucl-6000] rule 4 permit ip destination fqdn api.*******.com    
[AC-acl-ucl-6000] rule 5 permit ip destination fqdn abs.twimg.com    
[AC-acl-ucl-6000] rule 6 permit ip destination fqdn mobile.*******.com    
[AC-acl-ucl-6000] rule 7 permit ip destination fqdn *******.com    
[AC] free-rule-template name default_free_rule 
[HUAWEI-free-rule-default_free_rule] free-rule acl 6000    
[HUAWEI-free-rule-default_free_rule] quit

# Configure un perfil de autenticación.

[AC] authentication-profile name p1 
[AC-authen-profile-p1] portal-access-profile web1    
[AC-authen-profile-p1] free-rule-template default_free_rule    
[AC-authen-profile-p1] quit

# Configure permisos de acceso de red para usuarios en el dominio post-autenticación.

[AC] acl 3001    
[AC-acl-adv-3001] rule 1 permit ip    
[AC-acl-adv-3001] quit

# Habilite el Portal de autenticación.

[AC] interface vlanif 101 
[AC-Vlanif101] authentication-profile p1    
[AC-Vlanif101] quit

                               Paso 5     Configure el AP para estar en línea.

# Cree un grupo de AP al cual los APs con la misma configuración pueden ser agregados.

[AC] wlan 
[AC-wlan-view] ap-group name ap-group1 
[AC-wlan-ap-group-ap-group1] quit

# Cree un perfil de dominio regulatorio, configure el codigo de pais del AC en el perfil, y aplique el perfil al grupo de AP.

[AC-wlan-view] regulatory-domain-profile name domain1 
[AC-wlan-regulate-domain-domain1] country-code cn 
[AC-wlan-regulate-domain-domain1] quit 
[AC-wlan-view] ap-group name ap-group1 
[AC-wlan-ap-group-ap-group1] regulatory-domain-profile domain1 
Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP.
Continu 
e?[Y/N]:y  
[AC-wlan-ap-group-ap-group1] quit 
[AC-wlan-view] quit

# Configure la interfaz origne del AC.

[AC] capwap source interface vlanif 100

# Importe el AP offline en el AC y agregue el AP al grupo de AP ap-group1. En este ejemplo, la dirección MAC del AP es 60de-4476-e360. Configure un nombre para el AP basándose en la ubicación geográfica, para que este pueda ser localizado. Por ejemplo, si la AP con dirección MAC 60de-4476-e360 está en el área 1, nombre el AP area_1.

El modo de autenticación AP predeterminado es la autenticación de direcciones MAC. Si se retienen los ajustes predeterminados, no es necesario ejecutar el comando ap auth-mode mac-auth.

En este ejemplo, el AP6010DN-AGN se utiliza y tiene dos radios: Radio 0 y radio 1. La radio 0 del AP6010DN-AGN funciona en la frecuencia de 2,4 GHz band y la radio 1 funciona en la banda de frecuencias de 5 GHz.

[AC] wlan 
[AC-wlan-view] ap auth-mode mac-auth 
[AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360 
[AC-wlan-ap-0] ap-name area_1 
[AC-wlan-ap-0] ap-group ap-group1 
Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configuration 
s of the radio, Whether to continue?
[Y/N]:y  
[AC-wlan-ap-0] quit

# Una vez activado el AP, ejecute el comando display ap all para verificar el estado de AP. Si el campo estatal se muestra ni, el AP se ha conectado.

[AC-wlan-view] display ap all 
Total AP information: 
nor  : normal          [1] 
------------------------------------------------------------------------------------- 
ID   MAC            Name   Group     IP            Type            State STA Uptime 
------------------------------------------------------------------------------------- 
0    60de-4476-e360 area_1 ap-group1 10.23.100.254 AP6010DN-AGN    nor   0   10S 
------------------------------------------------------------------------------------- 
Total: 1

                               Paso 6     Configure STAs para entrar en línea.

# Cree el perfil de seguridad wlan-security y establezca la política de seguridad para abrir la autenticación del sistema.

[AC-wlan-view] security-profile name wlan-security 
[AC-wlan-sec-prof-wlan-security] security open    
[AC-wlan-sec-prof-wlan-security] quit

# Cree el perfil SSID wlan-ssid y establezca el nombre SSID en wlan-net.

[AC-wlan-view] ssid-profile name wlan-ssid 
[AC-wlan-ssid-prof-wlan-ssid] ssid wlan-net    
Warning: This action may cause service interruption.
Continue?[Y/N]y 
[AC-wlan-ssid-prof-wlan-ssid] quit

# Cree el perfil VAP wlan-vap, configure el modo de reenvío de datos de servicio y las VLAN de servicio, y aplique el perfil de seguridad, el perfil SSID y el perfil de autenticación al perfil VAP.

[AC-wlan-view] vap-profile name wlan-vap 
[AC-wlan-vap-prof-wlan-vap] forward-mode tunnel    
Warning: This action may cause service interruption. Continue?[Y/N]y 
[AC-wlan-vap-prof-wlan-vap] service-vlan vlan-id 101    
[AC-wlan-vap-prof-wlan-vap] security-profile wlan-security 
[AC-wlan-vap-prof-wlan-vap] ssid-profile wlan-ssid 
[AC-wlan-vap-prof-wlan-vap] authentication-profile p1 
[AC-wlan-vap-prof-wlan-vap] quit

# Ligue el perfil VAP wlan-vap al grupo de AP y aplique el perfil a radio 0 y radio 1 del AP.

[AC-wlan-view] ap-group name ap-group1 
[AC-wlan-ap-group-ap-group1] vap-profile wlan-vap wlan 1 radio 0 
[AC-wlan-ap-group-ap-group1] vap-profile wlan-vap wlan 1 radio 1 
[AC-wlan-ap-group-ap-group1] quit

# Grave la configuración.

[AC-wlan-view] commit all 
Warning: Committing configuration may cause service interruption, continue?[Y/N]:y

                               Paso 7     Configure el servidor de autenticación de Agile Controller-Campus y redes sociales. Para obtener más detalles, consulte la documentación del producto del Agile Controller Campus -ejemplo para configurar el acceso de los huéspedes utilizando las cuentas de los medios sociales (GooglePlus, Facebook, o cuentas de *******).

                               Paso 8     Verifique la configuración.

Después de completar la configuración, ejecute el comando display vap ssid wlan-net. Si el campo Status muestra ON, el VAP se ha creado correctamente en las radios AP.

[AC-wlan-view] display vap ssid wlan-net 
WID : WLAN ID 
-------------------------------------------------------------------------------- 
AP ID AP name RfID WID     BSSID          Status  Auth type     STA   SSID 
-------------------------------------------------------------------------------- 
0     area_1  1    1       60DE-4476-E360 ON      WPA2-PSK      0     wlan-net 
------------------------------------------------------------------------------- 
Total: 2

Busque manualmente la WLAN con el SSID wlan-net Después de completar el proceso de autenticación WeChat como se ha solicitado, ejecute el comando display station ssid wlan-net en el AC. La salida de comandos muestra que el usuario se ha conectado con éxito al wlan-net de la WLAN.

[AC-wlan-view] display station ssid wlan-net 
Rf/WLAN: Radio ID/WLAN ID 
Rx/Tx: link receive rate/link transmit rate(Mbps) 
--------------------------------------------------------------------------------- 
STA MAC         AP ID Ap name   Rf/WLAN  Band  Type  Rx/Tx      RSSI  VLAN  IP address 
--------------------------------------------------------------------------------- 
e019-1dc7-1e08  0     area_1    1/1      5G    11n   46/59      -68   101   192.168.20.254 
--------------------------------------------------------------------------------- 
Total: 1 2.4G: 0 5G: 1

----End

Archivos de Configuración

l   Archivo de configuracion del SwitchA


sysname SwitchA 

vlan batch 100 

interface GigabitEthernet0/0/1 
 port link-type trunk 
 port trunk pvid vlan 100 
 port trunk allow-pass vlan 100 

interface GigabitEthernet0/0/2 
 port link-type trunk 
 port trunk allow-pass vlan 100 

return

l   Archivo de configuración del AC


sysname AC 

vlan batch 100 to 102 

authentication-profile name p1 
 portal-access-profile web1 
 free-rule-template default_free_rule 

domain portal 

dhcp enable 

authentication-profile name p1 
 portal-access-profile web1 
 free-rule-template default_free_rule 

radius-server template policy 
 radius-server shared-key cipher %^%#v@)#XkYybF19}~4&3(rDX%va0:#G>0MDrOF^B;D+%^%# 
 radius-server authentication 192.168.30.2 1812 source ip-address 192.168.30.1 weight 80 
 radius-server accounting 192.168.30.2 1813 source ip-address 192.168.30.1 weight 80 

acl number 3001 
 rule 1 permit ip 

acl number 6000 
 rule 1 permit ip destination fqdn www.googleapis.com 
 rule 2 permit ip destination fqdn apis.google.com 
 rule 3 permit ip destination fqdn connect.facebook.net 
 rule 4 permit ip destination fqdn api.*******.com 
 rule 5 permit ip destination fqdn abs.twimg.com 
 rule 6 permit ip destination fqdn mobile.*******.com 
 rule 7 permit ip destination fqdn *******.com 

free-rule-template name default_free_rule 
 free-rule acl 6000 

web-auth-server portal_huawei 
 server-ip 192.168.30.2 
 port 50200 
 shared-key cipher %^%#vB3l&dt|S!59SdGIdcT"mwAQ!4[#Y-#{IBGbI[l:%^%# 
 url http://access.example.com:8080/portal 
 source-ip 192.168.30.1 

portal-access-profile name web1 
 web-auth-server portal_huawei direct 

aaa 
 authentication-scheme auth 
  authentication-mode radius 
 accounting-scheme acco 
  accounting-mode radius 
  accounting realtime 15 
 domain portal 
  authentication-scheme auth 
  accounting-scheme acco 
  radius-server policy 

interface Vlanif100 
 ip address 192.168.10.1 255.255.255.0 
 dhcp select interface 

interface Vlanif101 
 ip address 192.168.20.1 255.255.255.0 
 authentication-profile p1 
 dhcp select interface 

interface Vlanif102 
 ip address 192.168.30.1 255.255.255.0 

interface GigabitEthernet1/0/1 
 port link-type trunk 
 port trunk allow-pass vlan 100 

interface GigabitEthernet1/0/2 
 port link-type trunk 
 port trunk allow-pass vlan 101 

interface GigabitEthernet1/0/3 
 port link-type trunk 
 port trunk allow-pass vlan 102 

portal timer quiet-period 240 
portal quiet-times 5 

capwap source interface vlanif100 

wlan 
 security-profile name wlan-security 
 ssid-profile name wlan-ssid 
  ssid wlan-net 
 vap-profile name wlan-vap 
  forward-mode tunnel 
  service-vlan vlan-id 101 
  ssid-profile wlan-ssid 
  security-profile wlan-security 
  authentication-profile p1 
 regulatory-domain-profile name domain1 
 ap-group name ap-group1 
  regulatory-domain-profile domain1 
  radio 0 
   vap-profile wlan-vap wlan 1 
  radio 1 
   vap-profile wlan-vap wlan 1 
 ap-id 0 type-id 19 ap-mac 60de-4476-e360 ap-sn 210235554710CB000042 
  ap-name area_1 
  ap-group ap-group1 

 
return


  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión