De acuerdo

HCIP Seguridad H12 723 Operación y Mantenimiento del Sistema de Seguridad VI Agile Network

Última respuesta en. 28, 2020 07:24:35 202 1 0 0

OPERACIÓN y MANTENIMIENTO DEL SISTEMA DE SEGURIDAD VI—Tecnología Agile Network, parte 2


Buenas noches.

Esta es la publicación 6 de 12 del segmento y la numero 2 de 2 del tema Tecnología Agile Network
A continuación, los enlaces a las publicaciones anteriores:


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-operación-y-mantenimiento-del-sistema-de-seguridad-administración-de-usuarios/thread/597120-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-operación-y-mantenimiento-del-sistema-de-seguridad-ii-tecnología-de-administración-de-usuarios/thread/597454-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-operación-y-mantenimiento-del-sistema-de-seguridad-iii-tecnología-de-administración-de-usuarios/thread/597456-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-operación-y-mantenimiento-del-sistema-de-seguridad-iv-tecnología-de-administración-de-usuarios/thread/597672-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-operación-y-mantenimiento-del-sistema-de-seguridad-v-agile-network/thread/597674-100233


Elementos de Configuración de Agile Network

 

Movilidad Libre en Un Escenario de Acceso al Campus

·        los empleados en el campus tienen  requerimientos de acceso en modo fijo y modo móvil, demandando ancho de banda consistente, prioridad de reenvío y derechos para acceder al CD e internet, considerando sus ubicaciones y modo de acceso. El punto de autenticación para los usuarios que acceden por cable de los que acceden de manera inalámbrica está implementado en los switches core.

mobilidad escenario


·        El escenario tiene los siguientes requerimientos:

§  los usuarios disfrutan de derechos de acceso consistentes después de pasar la autenticación considerando sus ubicaciones y modos de acceso. los usuarios comunes y los usuarios VIP pueden acceder al servidor de correo, y los usuarios VIP también pueden acceder a internet. De cualquier modo, ellos no pueden acceder a aplicaciones no relacionadas con el trabajo.

 

§  Los usuarios pueden disfrutar de un ancho de banda consistente después de pasar la autenticación considerando sus ubicaciones y modos de acceso. el firewall de egreso provee a los usuarios VIP con un mínimo ancho de banda garantizado para acceder al servidor de correo y alta prioridad de reenvío.

 

 

·        Análisis de los Requerimientos:

§  El acceso cableado e inalámbrico necesita ser proveído para los empleados, esto es, la convergencia de la red cableada y la red inalámbrica y la movilidad libre están proveídos. Se necesita implementar un X1E (AC nativa) en el switch core.

 

§  Como punto de control de autenticación, el switch core controla los derechos de acceso y el acceso al ancho de banda.

 

§  El firewall soporta control de  acceso basado en aplicación (aplication-based) y controla el acceso de ciertas aplicaciones de los usuarios VIP en internet.

 

§  La administración que ejecuta el firewall sobre el control total del ancho de banda se salida y la prioridad de reenvío provee a los usuarios VIP con el ancho de mínimo garantizado para acceder al servidor de correo y alta prioridad de reenvío.

 

·        Para asegurar el control unificado del tráfico de los usuarios en el switch core, es recomendado usar el reenvío en modo túnel para reenviar los paquetes entre el switch core y los APs

 

 

Flujograma de Configuración

·        Mapa de configuración

§  Configurar la interconexión de la red

 

§  Configurar la autenticación 802.1x y la autenticación por portal en el switch core y configurar los parámetros de interconexión de XMPP para la interconexión con la Agile Controller-Campus para implementar las políticas de servicio de movilidad en el switch core a través del protocolo XMPP.

 

§  Configurar los parámetros de interconexión para la interconexión con el servidor Agile Controller-Campus en el firewall para habilitar que la Agile Controller-Campus implemente las políticas de servicio de movilidad en el firewall, a través del protocolo XMPP.

 

§  Agregar el switch core y el firewall al servidor de la Agile Controller-Campus.  Los usuarios son agregados a grupos dinámicos de seguridad con base a las condiciones de 5W1H, y los recursos de la red son asociados a grupos estáticos de seguridad. Configurar los derechos de control de acceso y las políticas de QoS en la red entera.

flujograma


Configuración del Firewall—Configuración Básica

·        Configurar el switch de acceso.

§  Asignar las VLAN

§  Configurar la transmisión transparente de los paquetes de autenticación 802.1X.

 

·        Configurar el switch core

§  Configurar las interfaces y las VLAN, y habilitar la función del servidor DHCP.

 

§  Configurar la ruta por defecto y configurar el siguiente salto hacia la dirección IP de la interface conectando al firewall y al switch core.

 

§  Configurar los parámetros del sistema de la Agile Controller-Campus para proveer acceso inalámbrico.

 

§  Configurar la dirección IP de la interface y la zona de seguridad del firewall

 


Configuración del Switch Core—Parámetros de Interconexión de RADIUS

·        Configurar los parámetros de interconexión del servidor RADIUS

parametros de configuracion radius

·        Direccion IP: 10.10.11.2

·        Llaves AAA: Admin@123

·        Intervalo de Contabilidad: 15

·        El intervalo de contabilidad es usado solo para el switch core, y no se requiere para la interconexión entre el firewall y la Agile Controller Campus.

 

 

Configuración del Switch Core—Parámetros de Interconexión del Portal

·        Configurar los parámetros de autenticación del Portal

configuracion sw core


·        Configurar las reglas de autenticación libre para habilitar que los AP entren en línea y las terminales accedan al servidor DNS

reglas de autenticacion


·        Se recomienda que la URL contenga los nombres de dominio para asegurar un despliegue rápido y seguro de la página web. Se necesita configurar de antemano el mapeo entre el nombre de dominio (Access.huawei.com) y la dirección IP (10.10.11.2) en el servidor DNS.

 

·        Parámetros del Portal de Autenticación:

§  Servidor del Portal

§  Dirección IP: 10.10.11.2

§  Llave del Portal: Admin@123

 

 

Configuración del Switch Core—Habilitar la Autenticación por Cable

·        Habilitar la autenticación 802.1X para el portal de autenticación para acceso por cable.

autenticacion por cable


·        Configurar los parámetros de interconexión de XMPP en el switch core para la interconexión con el servidor de la  Agile Controller-Campus para habilitar que la Agile Controller-Campus implemente las políticas de servicio de movilidad en el switch core a través de los protocolos XMPP.

parametros xmpp


·        Configurar los métodos de autenticación 802.1X y por portal para autenticación de acceso vía inalámbrica: cuando una red inalámbrica está disponible para los usuarios y el usuario inicia conectándose a la red inalámbrica, en esencia el usuario se conecta a un Punto de Acceso Virtual (VAP). Un VAP es una entidad funcional de un AP. Un administrador puede crar diferentes VAP en un AP para proveer servicios de acceso inalámbrico para diferentes usuarios de modo que esos usuarios puedan obtener diferentes recursos de red.

·        El procedimiento de configuración de un VAP es el siguiente

§  Crear un perfil WMM y un perfil de radio. Los paquetes con alta prioridad AP o STA toman primero el canal inalámbrico, asegurando una mejor calidad para los servicios de voz y video en la WLAN


1

2

3

4



Configuración del Firewall—Parámetros de Interconexión con Agile Controller-Campus

·        En el firewall, selecciona Object>Authentication Server>RADIUS para configurar los parámetros de interconexión XMPP para interconectarse con el servidor Agile Controller-Campus.

 

·        Crear un servidor RADIUS (esto es, la Agile Controller-Campus)

agile network fw


·        Selecciona System>Agile Network Configuration. Después de completar la configuración, dar clic en Apply

AG SW 2



Configuración de la Agile Controller-Campus—Agregar Switches Core

1.   Selecciona Resource>Device>Device Management

2.   Dar clic en Add

acc swcore



Configuración de la Agile Controller-Campus—Agregar Firewalls

·        Checar el estado de la comunicación entre el switch core y la Agile Controller-Campus y entre el firewall y la Agile Controller-Campus, cinco minutos después de haber agregado el firewall.

 

§  En la página de administración de la Agile Controller-Campus, si el estado de la comunicación está en color verde, la interconexión es exitosa. El switch core está en el grupo del servicio de movilidad al igual que el firewall y la experiencia de QoS está garantizada para el grupo.

 

§  En el switch core, se ejecuta el comando display group-policy status para checar el estado de la conexión entre el switch core y la Agile Controller-DCN

 

§  En el firewall, se selecciona System>Agile Network Configuration para checar su el estado de la conexión es exitosa entre el firewall y la Agile Controller-Campus

 

1.   Seleccionar Resource>Device>Device Management

Clic en Add  para agregar al firewall

accfws



Configuración de la Agile Controller-Campus—Implementar la Zona de Seguridad

·        Selecciona Policy>Permission Control>Security Group>Intranet Configuration para agregar una dirección IP a una terminal móvil o fija dentro del segmento del pool, y agregar la dirección IP del servidor DNS, el servidor Agile Controller Campus y la intefrace vlan11 para el dominio de pre seguridad.

acc sec zone


·        Aunque las cuentas Andy también pertenecen al grupo root, la contabilidad aun pertenece al grupo VIP de seguridad después de pasar la autenticación porque las reglas de autenticación para la seguridad del grupo VIP tienen mayor prioridad que otros grupos.

·        El grupo de seguridad de correo está asociado a las direcciones de los servidores de correo y el grupo de seguridad de internet está asociado a todas las direcciones IP de internet.

 

 

Configuración de la Agile Controller-Campus—Implementar Control de Derechos de Acceso

·        Selecciona Policy>Free Mobility>Security Object Configuration>Application Group para crear un grupo de aplicación non_work y agregar las aplicaciones no relacionadas con el trabajo.

 

·        Selecciona System>Terminal Configuration>Global Parmeters y configurar Service Mobility Configuration Mode hacia All Devices.

 

·        Selecciona Policy>Free Mobility>Policy Configuration>Permission Control para agregar una política en general

acc derechos de acceso


·        Todos los usuarios que pasen la autenticación pueden acceder al servidor de correo, y los usuarios VIP pueden acceder a internet. De cualquier modo, no pueden acceder  aplicaciones no relacionadas con el trabajo.

 

·        Para asegurar la seguridad, los usuarios de los grupos de seguridad desconocidos no tienen permitido acceder a ningún recurso.

 

 

Configuración de la Agile Controller-Campus—Implementar Políticas QoS

·        Selecciona Policy>Free Mobility>Policy Configuration>QoS Policy

·        Clic QoS Guarantee Priority y seleccionar High. En la página que se despliega, configurar el nacho de banda  mínimo total a 10Mbit/s

 

·        Debemos arrastrar los grupos VIP, servidor de correo y los grupos de seguridad de internet hacia el área High, y configurar la prioridad del paquete a cs7. El grupo de seguridad de usuarios VIP se mapea a los grupos de internet y los grupos de correo.

acc qos


·        Guardar la configuración es similar a ejecutar el comando save en el dispositivo, el cual guarda todas las configuraciones (incluyendo grupos de seguridad, políticas de control de derechos de acceso y políticas de QoS implementadas en la Agile Controller-Campus) en el archivo de configuración.

 

·        Checar el estado de la implementación de las políticas de control de derechos de acceso y las políticas QoS

§  Ejecutar el comando display acl-group all en el switch core para checar los grupos de seguridad

 

§  Ejecutar el comando display acl all en el switch core para checar las políticas de derechos de control de acceso.

 

§  En el firewall ejecutar el comando display acl-group all para checar las políticas de control de derechos de acceso.

 

§  En el firewall, ejecutar el comando Policy>Bandwidth Management>Traffic Policy para checar las políticas e QoS

 

 

Verificación

·        Usar la cuenta VIP Andy y la cuenta común Jack para ejecutar por separado la autenticación. Después de la autenticación, se ejecutan los siguientes pasos para la verificación:

§  En Agile Controller-Campus, selecciona Resource>User>Online User Management para ver información de inicio de sesión y los grupos de seguridad.

§  En el switch core, ejecutar el comando display Access-user para ver los usuarios en línea.

 

§  En el switch core, ejecutar el comando display Access-user user-id la parte del comando user id para ver la información de acceso de los usuarios, incluyendo sus métodos de autenticación (802.1X o por Portal), dirección IP de la terminal, ancho de banda de subida y de bajada y sus grupos de seguridad correspondientes. El ID de usuario puede obtenerse de la vista de usuarios en línea en la operación precedente.

 

§  En el firewall, selecciona Object>Agile Security Group>Agile Security Group para ver el número de usuarios en línea en un grupo de seguridad. clic en algún usuario en línea para ver la dirección de la terminal y el grupo de usuarios al que pertenece.



Con esta extensa publicacion, finaliza el tema Agile Network. No olvides visitar mi perfil para mas temas referentes a la seguridad. Comparte, comenta y deja tu 

  • x
  • convención:

gabo.lr
VIP Publicado 2020-1-28 07:24:35 Útil(0) Útil(0)
Gracias por compartir!!
Ver más
  • x
  • convención:

Telecommunications%20and%20Electronics%20Engineer%2C%20with%208%20years%20of%20experience%20working%20with%20Huawei%20equipment.

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Comunidad Huawei Enterprise
Comunidad Huawei Enterprise
Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.