Autenticación 802.1x en el lado inalámbrico
802.1x es un protocolo de control de acceso a la red basado en puertos y la autenticación 802.1x es uno de los modos de autenticación NAC. La autenticación 802.1x garantiza la seguridad de las intranets empresariales.
La autenticación 802.1x garantiza una alta seguridad; sin embargo, requiere que el software cliente 802.1x esté instalado en los terminales de usuario, lo que resulta en un despliegue de red inflexible. Otros dos métodos de autenticación NAC tienen sus ventajas y desventajas: la autenticación de la dirección MAC no requiere la instalación del software del cliente, pero las direcciones MAC deben registrarse en un servidor de autenticación. La autenticación del portal tampoco requiere la instalación del software del cliente y proporciona una implementación flexible, pero tiene poca seguridad.
Como resultado, la autenticación 802.1x se aplica a escenarios con nuevas redes, distribución de usuarios centralizada y estrictos requisitos de seguridad de la información.
Notas de configuración
l El motor de servicios de identidad de Cisco (ISE) en 2.0.0.306 funciona como el servidor RADIUS en este ejemplo.
l En el modo de reenvío de datos de servicio, la VLAN de administración y la VLAN de servicio no pueden ser iguales. Si configura el modo de reenvío como reenvío directo, no se recomienda configurar la VLAN de administración y la VLAN de servicio para que sean iguales.
l Si se usa el reenvío directo, configurar el aislamiento del puerto en la interfaz se conecta directamente a los puntos de acceso. Si el aislamiento del puerto no está configurado, muchos paquetes de transmisión se transmitirán en las VLAN o los usuarios de WLAN en diferentes AP podrán comunicarse directamente en la Capa 2.
l Configurar la VLAN de administración y la VLAN de servicio:
- En el modo de reenvío de túnel, los paquetes de servicio se encapsulan en un túnel CAPWAP y luego se reenvían a la AC. La CA luego envía los paquetes a la red de capa superior o AP. Por lo tanto, los paquetes de servicio y los paquetes de administración normalmente se pueden reenviar solo cuando la red entre el AC y los AP se agrega a la VLAN de administración y la red entre el AC y la red de capa superior se agrega a la VLAN de servicio.
- En el modo de reenvío directo, los paquetes de servicio no se encapsulan en un túnel CAPWAP, sino que se reenvían directamente a la red de capa superior o los AP. Por lo tanto, los paquetes de servicio y los paquetes de administración normalmente se pueden reenviar solo cuando la red entre la AC y los AP se agrega a la VLAN de administración y la red entre los AP y la red de la capa superior se agrega a la VLAN de servicio.
l Cómo configurar la interfaz de origen:
- En V200R005 y V200R006, ejecutar la interfaz de origen ac WLAN { bucle de retorno de bucle de retorno de números | vlanif vlan-id } comando en la vista WLAN .
- En V200R007 y V200R008, ejecutar la interfaz de origen CAPWAP { bucle de retorno de bucle de retorno de números | vlanif vlan-id } comando en la vista del sistema .
l No se proporciona ningún mecanismo ACK para la transmisión de paquetes de multidifusión en interfaces aéreas. Además, los enlaces inalámbricos son inestables. Para garantizar la transmisión estable de paquetes de multidifusión, generalmente se envían a velocidades bajas. Si un gran número de dichos paquetes de multidifusión se envían desde el lado de la red, las interfaces aéreas pueden estar congestionadas. Se recomienda configurar la supresión de paquetes de multidifusión para reducir el impacto de una gran cantidad de paquetes de multidifusión de baja velocidad en la red inalámbrica. Tenga cuidado al configurar el límite de velocidad; De lo contrario, los servicios de multidifusión pueden verse afectados.
- En el modo de reenvío directo, se recomienda configurar la supresión de paquetes de multidifusión en las interfaces del conmutador conectadas a los AP.
- En el modo de reenvío de túnel, se recomienda configurar la supresión de paquetes de multidifusión en los perfiles de tráfico de la AC.
Para obtener detalles sobre cómo configurar la supresión de tráfico, consulte "¿Cómo configuro la supresión de paquetes de multidifusión para reducir el impacto de un gran número de paquetes de multidifusión de baja velocidad en la red inalámbrica?" en la configuración de WLAN QoS de la Guía de configuración - WLAN-ACde la versión del producto correspondiente.
l La siguiente tabla enumera los productos y versiones aplicables.
Tabla 1-1 Productos y versiones aplicables.
Versión del software | Modelo del Producto | Modelo AP y Versión |
V200R005C00 | S7700, S9700 NOTA Para S7700, se recomienda implementar switches S7712 o S7706 para servicios WLAN. No se recomiendan los interruptores S7703. Para S9700, se recomienda implementar los conmutadores S9712 o S9706 para los servicios WLAN. No se recomiendan los interruptores S9703. | V200R005C00: AP2010DN, AP3010DN-AGN, AP5010DN-AGN, AP5010SN-GN, AP5030DN, AP5130DN, AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110DN-AGN, AP7110DN-AGN, AP7110DN-AGN |
V200R006C00 | S5720HI, S7700, S9700 NOTA Para S7700, se recomienda implementar switches S7712 o S7706 para servicios WLAN. No se recomiendan los interruptores S7703. Para S9700, se recomienda implementar los conmutadores S9712 o S9706 para los servicios WLAN. No se recomiendan los interruptores S9703. | V200R005C00: AP2010DN, AP3010DN-AGN, AP5010DN-AGN, AP5010SN-GN, AP5030DN, AP5130DN, AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110DN-AGN, AP7110DN-AGN, AP7110DN-AGN |
V200R007C00 | S5720HI, S7700, S9700 NOTA Para S7700, se recomienda implementar switches S7712 o S7706 para servicios WLAN. No se recomiendan los interruptores S7703. Para S9700, se recomienda implementar los conmutadores S9712 o S9706 para los servicios WLAN. No se recomiendan los interruptores S9703. | V200R005C10: AP2010DN, AP3010DN-AGN, AP5010DN-AGN, AP5010SN-GN, AP5030DN, AP5130DN, AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110DN-AGN, AP7110S-NS / LNGU-82500800600800600 V200R005C20: AP7030DE, AP9330DN |
V200R008C00 | S5720HI, S7700, S9700 NOTA Para S7700, se recomienda implementar switches S7712 o S7706 para servicios WLAN. No se recomiendan los interruptores S7703. Para S9700, se recomienda implementar los conmutadores S9712 o S9706 para los servicios WLAN. No se recomiendan los interruptores S9703. | V200R005C10: AP2010DN, AP3010DN-AGN, AP5010DN-AGN, AP5010SN-GN, AP5030DN, AP5130DN, AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110DN-AGN, AP7110S-NS / LNGU-82500800600800600 V200R005C20: AP7030DE, AP9330DN V200R005C30: AP2030DN, AP4030DN, AP4130DN |
Requisitos de red
Como se muestra en la Figura 1-1 , el AC de una empresa se conecta a la puerta de enlace de salida (Enrutador) y al servidor RADIUS, y se conecta al AP a través del SwitchA. La WLAN con la prueba SSID está disponible para que los empleados accedan a los recursos de la red. La puerta de enlace también funciona como un servidor DHCP para proporcionar direcciones IP en el segmento de red 10.10.10.0/24 para las STA. El AC controla y administra las STA.
Debido a que la WLAN está abierta para los usuarios, existen riesgos potenciales de seguridad para la información de la empresa si no se configura una política de seguridad para la WLAN. La empresa requiere alta seguridad de la información, por lo que se configura una política de seguridad WPA2 que utiliza la autenticación 802.1x y el cifrado CCMP. El servidor RADIUS autentica las identidades STA. el AC debe configurarse para funcionar como un relé EAP, de modo que la CA admita la autenticación 802.1x.
Figura 1-1 Diagrama de red para configurar la autenticación 802.1x en el lado inalámbrico
Planificación de datos
Tabla 1-2 Planificación de datos
Elemento de configuración | Datos |
Servicio WLAN | WPA2-802.1x-AES |
VLAN de gestión | VLAN 100 |
VLAN de servicio | VLAN 101 |
Interfaz de origen en la CA | VLANIF 100: 192.168.10.1/24 |
ID de operador de CA / ID de CA | Otro / 1 |
ID de región AP | 10 |
Conjunto de servicio | l SSID: prueba l modo de reenvío de datos: túnel de reenvío |
SwitchA VLAN | VLAN 100 |
Servidor DHCP | l Direcciones IP que el AC asigna a los AP: 192.168.10.2 a 192.168.10.254/24 l Direcciones IP que el Router asigna a las STA: 10.10.10.2 a 10.10.10.254/24 |
Gateway para el AP | VLANIF 100: 192.168.10.1/24 |
Gateway para STAs | VLANIF 101: 10.10.10.1/24 |
Parámetros de autenticación RADIUS | l dirección IP: 10.12.10.1 Número de puerto l : 1812 l clave compartida: 123456 l dominio AAA: huawei.com |
Tabla 1-3 Planificación de datos en el servidor ISE
Elemento de configuración | Datos |
Departamento | Departamento de I + D |
Usuario de acceso | Cuenta: A-123 Contraseña: Huawei123 |
Dirección IP de CA | AC: 10.12.10.2 |
Clave de autentificación RADIUS | 123456 |
Mapa de configuración
1. Configure el servicio WLAN para que las STA puedan conectarse a la WLAN. Este ejemplo utiliza parámetros de configuración por defecto.
2. Configure la autenticación RADIUS en el AC y configure los parámetros para permitir que la AC se comunique con el servidor RADIUS.
3. En el AC, configure la autenticación 802.1x en la interfaz WLAN-ESS para la autenticación de identidad STA.
4. En el servidor ISE, configure la información del dispositivo de autenticación, la información del usuario y la función de autenticación 802.1x para implementar el acceso al dispositivo, el acceso del usuario y la autenticación 802.1x basada en la dirección MAC.
Procedimiento
Paso 1 Establezca el modo NAC en modo unificado en el AC (configuración predeterminada). Configure el SwitchA y el AC para que el AP y el AC puedan transmitir paquetes CAPWAP.
# Agregue GE0 / 0/1 que conecta SwitchA al AP a la administración de VLAN 100 y agregue GE0 / 0/2 que conecta SwitchA a el AC a la misma VLAN.
<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] vlan batch 100
[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] port link-type trunk
[SwitchA-GigabitEthernet0/0/1] port trunk pvid vlan 100
[SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 100
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchA] interface gigabitethernet 0/0/2
[SwitchA-GigabitEthernet0/0/2] port link-type trunk
[SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 100
[SwitchA-GigabitEthernet0/0/2] quit
# Agregue GE1 / 0/1 que conecta el AC al SwitchA a la VLAN 100.
<HUAWEI> system-view
[HUAWEI] sysname AC
[AC] vlan batch 100
[AC] interface gigabitethernet 1/0/1
[AC-GigabitEthernet1/0/1] port link-type trunk
[AC-GigabitEthernet1/0/1] port trunk allow-pass vlan 100
[AC-GigabitEthernet1/0/1] quit
Paso 2 Configure la CA para comunicarse con el dispositivo en sentido ascendente.
# Configure VLANIF 101 (servicio VLAN), VLANIF 102 y VLANIF 103.
[AC] vlan batch 101 102 103
[AC] interface vlanif 101
[AC-Vlanif101] ip address 10.10.10.1 24
[AC-Vlanif101] quit
[AC] interface vlanif 102
[AC-Vlanif102] ip address 10.11.10.2 24
[AC-Vlanif102] quit
[AC] interface vlanif 103
[AC-Vlanif103] ip address 10.12.10.2 24
[AC-Vlanif103] quit
# Agregue GE1 / 0/2 que conecta la CA al enrutador a la VLAN 102.
[AC] interface gigabitethernet 1/0/2
[AC-GigabitEthernet1/0/2] port link-type trunk
[AC-GigabitEthernet1/0/2] port trunk allow-pass vlan 102
[AC-GigabitEthernet1/0/2] quit
# Agregue GE1 / 0/2 que conecta la CA al servidor RADIUS a la VLAN 103.
[AC] interface gigabitethernet 1/0/3
[AC-GigabitEthernet1/0/3] port link-type trunk
[AC-GigabitEthernet1/0/3] port trunk allow-pass vlan 103
[AC-GigabitEthernet1/0/3] quit
# En la CA, configure una ruta estática.
[AC] ip route-static 0.0.0.0 0.0.0.0 10.11.10.1
Paso 3 Configure la CA para asignar una dirección IP al AP y el Enrutador para asignar direcciones IP a las STA.
# Configure el AC para asignar una dirección IP al AP desde un conjunto de direcciones IP de interfaz.
[AC] dhcp enable
[AC] interface vlanif 100
[AC-Vlanif100] ip address 192.168.10.1 24
[AC-Vlanif100] dhcp select interface
[AC-Vlanif100] quit
# Configure el AC como el agente de retransmisión DHCP y habilite la detección de entrada de usuario en el AC.
[AC] interface vlanif 101
[AC-Vlanif101] dhcp select relay
[AC-Vlanif101] dhcp relay server-ip 10.11.10.1
[AC-Vlanif101] quit
# Configure el enrutador como un servidor DHCP para asignar direcciones IP a las STA.
<Huawei> system-view
[Huawei] sysname Router
[Router] dhcp enable
[Router] ip pool sta
[Router-ip-pool-sta] gateway-list 10.10.10.1
[Router-ip-pool-sta] network 10.10.10.0 mask 24
[Router-ip-pool-sta] quit
[Router] vlan batch 102
[Router] interface vlanif 102
[Router-Vlanif102] ip address 10.11.10.1 24
[Router-Vlanif102] dhcp select global
[Router-Vlanif102] quit
[Router] interface gigabitethernet 2/0/0
[Router-GigabitEthernet2/0/0] port link-type trunk
[Router-GigabitEthernet2/0/0] port trunk allow-pass vlan 102
[Router-GigabitEthernet2/0/0] quit
[Router] ip route-static 10.10.10.0 24 10.11.10.2
Paso 4 Configure la autenticación RADIUS.
1. Configure una plantilla de servidor RADIUS, un esquema de autenticación AAA e información de dominio.
Asegúrese de que los servidores AC y RADIUS tengan la misma clave compartida.
[AC] radius-server template radius_huawei
[AC-radius-radius_huawei] radius-server authentication 10.12.10.1 1812
[AC-radius-radius_huawei] radius-server shared-key cipher 123456
[AC-radius-radius_huawei] quit
[AC] aaa
[AC-aaa] authentication-scheme radius_huawei
[AC-aaa-authen-radius_huawei] authentication-mode radius
[AC-aaa-authen-radius_huawei] quit
[AC-aaa] domain huawei.com
[AC-aaa-domain-huawei.com] authentication-scheme radius_huawei
[AC-aaa-domain-huawei.com] radius-server radius_huawei
[AC-aaa-domain-huawei.com] quit
[AC-aaa] quit
Después de configurar el dominio huawei.com , el nombre de dominio se agrega al nombre de usuario de autenticación.
2. Probar si una STA se puede autenticar utilizando la autenticación RADIUS. Se han configurado un nombre de usuario A-123@huawei.com y la contraseña 123456 en el servidor RADIUS.
[AC] test-aaa A-123@huawei.com 123456 radius-template radius_huawei
Info: Account test succeed.
Paso 5 Configurar los parámetros del sistema de AC.
# Configurar el código de país.
[AC] wlan ac-global country-code cn
Warning: Modify the country code may delete configuration on those AP which use
the global country code and reset them, continue?[Y/N]:y
# Configure el ID de AC y el ID del operador.
[AC] wlan ac-global ac id 1 carrier id other
# Configurar la interfaz de origen.
[AC] wlan
[AC-wlan-view] wlan ac source interface vlanif 100
Paso 6 Gestiona el AP en el AC.
# Verifique la ID de tipo AP después de obtener la dirección MAC del AP.
[AC-wlan-view] display ap-type all
All AP types information:
------------------------------------------------------------------------------
ID Type
------------------------------------------------------------------------------
17 AP6010SN-GN
21 AP6310SN-GN
23 AP6510DN-AGN
25 AP6610DN-AGN
27 AP7110SN-GN
28 AP7110DN-AGN
29 AP5010SN-GN
30 AP5010DN-AGN
31 AP3010DN-AGN
33 AP6510DN-AGN-US
34 AP6610DN-AGN-US
35 AP5030DN
36 AP5130DN
37 AP7030DE
38 AP2010DN
39 AP8130DN
40 AP8030DN
42 AP9330DN
43 AP4030DN
44 AP4130DN
45 AP3030DN
46 AP2030DN
------------------------------------------------------------------------------
Total number: 23
# Establezca el modo de autenticación AP en la autenticación de la dirección MAC (configuración predeterminada). Agregue el AP sin conexión basado en la ID de tipo de AP. Suponga que el tipo de AP es AP6010DN-AGN, y la dirección MAC del AP es 60de-4476-e360.
[AC-wlan-view] ap id 0 type-id 19 mac 60de-4476-e360
[AC-wlan-ap-0] quit
# Configure una región AP y agregue el AP a la región AP.
[AC-wlan-view] ap-region id 10
[AC-wlan-ap-region-10] quit
[AC-wlan-view] ap id 0
[AC-wlan-ap-0] region-id 10
[AC-wlan-ap-0] quit
# Después de encender el AP, ejecute el comando display ap all en el AC para verificar el estado de ejecución del AP. La salida del comando muestra que el estado del AP es normal.
[AC-wlan-view] display ap all
All AP information:
Normal[1],Fault[0],Commit-failed[0],Committing[0],Config[0],Download[0]
Config-failed[0],Standby[0],Type-not-match[0],Ver-mismatch[0]
------------------------------------------------------------------------------
AP AP AP Profile AP AP
/Region
ID Type MAC ID State Sysname
------------------------------------------------------------------------------
0 AP6010DN-AGN 60de-4476-e360 0/10 ap-0
------------------------------------------------------------------------------
Total number: 1,printed: 1
Paso 7 Configurar los parámetros del servicio WLAN.
# Crea un perfil WMM llamado wmm .
[AC-wlan-view] wmm-profile name wmm id 1
[AC-wlan-wmm-prof-wmm] quit
# Cree un perfil de radio llamado radio y enlace el perfil de WMM wmm al perfil de radio.
[AC-wlan-view] radio-profile name radio id 1
[AC-wlan-radio-prof-radio] wmm-profile name wmm
[AC-wlan-radio-prof-radio] quit
[AC-wlan-view] quit
# Crea una interfaz WLAN-ESS 1.
[AC] interface wlan-ess 1
[AC-Wlan-Ess1] port trunk allow-pass vlan 101
[AC-Wlan-Ess1] quit
# Crea un perfil de seguridad llamado security.
[AC] wlan
[AC-wlan-view] security-profile name security id 1
[AC-wlan-sec-prof-security] quit
# Crea un perfil de tráfico llamado traffic .
[AC-wlan-view] traffic-profile name traffic id 1
[AC-wlan-traffic-prof-traffic] quit
# Cree un conjunto de servicios denominado test y vincule la interfaz WLAN-ESS, el perfil de seguridad y el perfil de tráfico al conjunto de servicios.
[AC-wlan-view] service-set name test id 1
[AC-wlan-service-set-test] ssid test
[AC-wlan-service-set-test] wlan-ess 1
[AC-wlan-service-set-test] security-profile name security
[AC-wlan-service-set-test] traffic-profile name traffic
[AC-wlan-service-set-test] service-vlan 101
[AC-wlan-service-set-test] forward-mode tunnel
[AC-wlan-service-set-test] quit
Paso 8 Configure la autenticación 802.1x en la interfaz WLAN-ESS.
[AC-wlan-view] quit
[AC] interface wlan-ess 1
[AC-Wlan-Ess1] authentication dot1x
[AC-Wlan-Ess1] dot1x authentication-method eap
[AC-Wlan-Ess1] domain name huawei.com force
[AC-Wlan-Ess1] permit-domain name huawei.com
[AC-Wlan-Ess1] quit
Paso 9 Configurar una política de seguridad WPA2.
[AC] wlan
[AC-wlan-view] security-profile name security
[AC-wlan-sec-prof-security] security-policy wpa2
[AC-wlan-sec-prof-security] wpa2 authentication-method dot1x encryption-method ccmp
[AC-wlan-sec-prof-security] quit
Paso 10 Configure un VAP y entregue parámetros VAP al AP.
# Configurar un VAP.
[AC-wlan-view] ap 0 radio 0
[AC-wlan-radio-0/0] radio-profile name radio
[AC-wlan-radio-0/0] service-set name test
[AC-wlan-radio-0/0] quit
# Confirma la configuración.
[AC-wlan-view] commit ap 0
Warning: Committing configuration may cause service interruption, continue?[Y/N]
:y
Paso 11 Configurar el servidor ISE.
# Inicie sesión en el servidor ISE.
1. Ingrese la dirección de acceso del servidor ISE en la barra de direcciones, que está en el formato de https: // ISE-IP . ISE-IP es la dirección IP del servidor ISE.
2. En la página que se muestra, ingrese el nombre de usuario y la contraseña para iniciar sesión en el servidor ISE.
# Crear información del departamento. Seleccione Administration > Identity Management > Groups. En el panel en el lado derecho, haga clic en Add y luego cree un Identity Group llamado R&D department.
# Crear información de cuenta de usuario. Seleccione Administration > Identity Management > Identities. En el panel de la derecha, haga clic en Add y agregue la cuenta de usuario y una contraseña para el R&D department.
# Agregue información de CA para que el ISE pueda interactuar con la CA. Seleccione Administration > Network Resources > Network Devices. En el panel del lado derecho, haga clic en Add para agregar información de AC.
Parámetro | Valor | Observaciones |
Nombre | AC | - |
Dirección IP | 10.12.10.2/32 | La dirección IP del AC debe ser accesible desde el servidor ISE. |
Secreto compartido | 123456 | El valor debe ser el mismo que la clave del servidor RADIUS configurada en el AC. |
# Configurar los protocolos de autenticación y cifrado permitidos. Seleccione Policy > Policy Elements > Results > Authentication > Allowed Protocols y haga clic en Add para configurar los protocolos de autenticación y cifrado permitidos. En este ejemplo, se utiliza la configuración por defecto. Es decir, se permiten PAP, CHAP y EAP.
# Configurar las políticas de autenticación y autorización. Seleccione Policy > Authentication. Policy Type se puede establecer en Simple o Rule-based. En este ejemplo, configúralo en Simple. Luego, enlace la información del usuario y los protocolos de autenticación permitidos configurados en los pasos anteriores a la política de autenticación.
Paso 12 Verificar la configuración.
l La test WLAN con SSID está disponible para las STA conectadas al AP.
l La PC inalámbrica obtiene una dirección IP después de asociarse con la WLAN.
l Use el cliente de autenticación 802.1x en una STA e ingrese el nombre de usuario y la contraseña correctos. La STA está autenticada y puede acceder a la WLAN. Debe configurar el cliente para la autenticación PEAP.
- Configuración en el sistema operativo Windows XP:
yo. En la página de la pestaña Association del cuadro de diálogo de Wireless network properties, agregue la test SSID , configure el modo de autenticación en WPA, el modo de encriptación en CCMP y el algoritmo de encriptación en AES.
ii. En la página de la pestaña Authentication, establezca el tipo de EAP en PEAP y haga clic en Properties. En el cuadro de diálogo Protected EAP Propertie, deseleccione Validate server certificate y haga clic en Configure. En el cuadro de diálogo que se muestra, deseleccione Automatically use my Windows logon name and password y haga clic en OK .
- Configuración en el sistema operativo Windows 7:
yo. Acceda a la página Manage wireless networks, haga clic en Add y seleccione Manually create a network profile. Añadir test SSID . Establezca el modo de autenticación en WPA-Enterprise , el modo de cifrado en CCMP y el algoritmo en AES. Haga clic en Next.
ii. Haga clic en Change connection settings y haga clic en Settings. En el cuadro de diálogo que se muestra, deseleccione Validate server certificate y haga clic en Configure . En el cuadro de diálogo que se muestra, deseleccione Automatically use my Windows logon name and password y haga clic en Ok.
----Fin
Archivos de configuración
l archivo de configuración de SwitchA
#
sysname SwitchA
#
vlan batch 100
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100
#
return
l archivo de configuración del enrutador
#
sysname Router
#
vlan batch 102
#
dhcp enable
#
ip pool sta
gateway-list 10.10.10.1
network 10.10.10.0 mask 255.255.255.0
#
interface Vlanif102
ip address 10.11.10.1 255.255.255.0
dhcp select global
#
interface GigabitEthernet2/0/0
port link-type trunk
port trunk allow-pass vlan 102
#
ip route-static 10.10.10.0 255.255.255.0 10.11.10.2
#
return
l archivo de configuración del AC.
#
sysname AC
#
vlan batch 100 to 103
#
wlan ac-global carrier id other ac id 1
#
dhcp enable
#
radius-server template radius_huawei
radius-server authentication 10.12.10.1 1812 weight 80
radius-server shared-key cipher %@%@hH67%f}f8X"AE&Pw`wS~{:;0%@%@
#
aaa
authentication-scheme radius_huawei
authentication-mode radius
domain huawei.com
authentication-scheme radius_huawei
radius-server radius_huawei
#
interface Vlanif100
ip address 192.168.10.1 255.255.255.0
dhcp select interface
#
interface Vlanif101
ip address 10.10.10.1 255.255.255.0
dhcp select relay
dhcp relay server-ip 10.11.10.1
#
interface Vlanif102
ip address 10.11.10.2 255.255.255.0
#
interface Vlanif103
ip address 10.12.10.2 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 100
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 102
#
interface GigabitEthernet1/0/3
port link-type trunk
port trunk allow-pass vlan 103
#
interface Wlan-Ess1
port trunk allow-pass vlan 101
authentication dot1x
dot1x authentication-method eap
permit-domain name huawei.com
domain name huawei.com force
#
wlan
wlan ac source interface vlanif100
ap-region id 10
ap id 0 type-id 19 mac 60de-4476-e360 sn 210235419610CB002287
region-id 10
wmm-profile name wmm id 1
traffic-profile name traffic id 1
security-profile name security id 1
security-policy wpa2
service-set name test id 1
forward-mode tunnel
wlan-ess 1
ssid test
traffic-profile id 1
security-profile id 1
service-vlan 101
radio-profile name radio id 1
wmm-profile id 1
ap 0 radio 0
radio-profile id 1
service-set id 1 wlan 1
#
return
