Especificación
Este ejemplo se aplica a todos los modelos AR de todas las versiones.
Nota:
Las tarjetas 4GE-2S y 4ES2G-S, 4ES2GP-S y 9ES2 no soportan NAC.
Requerimientos de networking
Como se muestra en la Figura 1, una empresa necesita implementar un sistema de autenticación de identidad en las salas de recepción para implementar el control de acceso a los clientes que intentan conectarse a la red empresarial, asegurando que sólo los usuarios autenticados puedan acceder a la red. Para facilitar la reconstrucción futura de la red y ahorrar inversión, se requiere que el punto de control de autenticación se despliegue en el dispositivo central.
La autenticación de portal cuenta con una implementación flexible y es aplicable a los usuarios en movimiento. El dispositivo central RouterA y los terminales de los clientes se comunican en la Capa 3 Por lo tanto, puede implementar la autenticación del portal de capa 3 en RouterA para implementar el control de acceso a los clientes que intentan conectarse a la red empresarial. El servidor RADIUS y el servidor del Portal están integrados en el mismo dispositivo.
Figura 1 Diagrama de networking para configurar la autenticación del portal de capa 3
Procedimiento
"Configure RouterA".
#
Sysname RouterA
#
vlan batch 10 20.
#
El dominio isp1 / / Configure el dominio de autenticación por defecto global.
#
Portal libre-regla 1 destino ip 192.168.3.30 máscara 255.255.255.0 / / Configure una regla sin autenticación para que el router permita que los paquetes al servidor DNS pasen.
#
DHCP habilitar / / Habilitar DHCP.
#
Plantilla radius-server Rd1 / / Configure una plantilla de servidor RADIUS.
Cifrado de clave compartida de radio-servidor% @% @ @ ny / & X < 2DAnv8-265cj $rD9E% @% @ / / Configurar la autenticación RADIUS y las claves compartidas.
Autenticación Radius-server 192.168.3.20 1812 peso 80 / / Configure la dirección IP del servidor de autenticación.
Radius-server accounting 192.168.3.20 1813 weight 80 / / Configure the IP address of the accounting server.
#
Web-auth-server s1 / / Configure una plantilla de servidor del portal.
Server-ip 192.168.3.20 / / Configure la dirección IP del servidor del Portal.
Puerto 50200 / / Configure el número de puerto de destino para que el router envíe paquetes proactivamente al servidor del Portal.
Cifrado de clave compartida% @% @ y xFqU # 9NF,! PRu4A 'g #' (;% Z% @% @ / / Configure la clave compartida para la comunicación con el servidor del Portal.
url http://192.168.3.20: 8080/webagent / / Configure the URL of the Portal authentication page
#
ip pool p1 / / Configure un pool de direcciones global, un segmento de red de direcciones IP en el pool y una dirección IP del servidor DNS.
10.10.10.0 mask 255.255.255.0 de red
Lista DNS 192.168.3.30
#
AAA
Autenticación-esquema auth / / Configure un esquema de autenticación.
Radio de modo de autenticación
Accounting-scheme acc / / Configure an accounting scheme.
Radio de modo contable
Tiempo real contable 15
El dominio isp1 / / Configure un dominio y asocie el esquema de autenticación, el esquema de contabilidad y la plantilla de servidor RADIUS al dominio.
Autenticación-esquema auth
Accounting-scheme acc
Radius-server Rd1
#
Interfaz Vlanif10
Dirección IP 192.168.1.1 255.255.255.0
La red auth-server s1 layer3 / / permite la autenticación de portal 3 de capa.
DHCP seleccione global / / Configure el servidor DHCP para asignar direcciones IP a los clientes.
#
Interfaz Vlanif20
Dirección IP 192.168.2.1 255.255.255.0 / / Configure la dirección de gateway de la zona del servidor.
#
Interfaz Ethernet2/0 / 1
Troncal de tipo de enlace de puerto
Port Trunk allow-pass vlan 10
#
Interfaz Ethernet2/0 / 2
Troncal de tipo de enlace de puerto
Port Trunk allow-pass vlan 20
#
ip route-static 192.168.3.0 255.255.255.0 192.168.2.2 / / Configure una ruta hacia la zona del servidor.
ip route-static 10.10.10.0 255.255.255.0 192.168.1.2 / / Configure ruta a terminales.
#
Volver
"Configure RouterB".
#
Sysname RouterB
#
vlan batch 10 20.
#
DHCP habilitar / / Habilitar DHCP.
#
Interfaz Vlanif10
Dirección IP 192.168.1.2 255.255.255.0
#
Interfaz Vlanif20
Dirección IP 10.10.10.1 255.255.255.0 / / Configure la dirección de puerta de enlace de los terminales.
DHCP seleccione relay / / Habilitar la función de relé DHCP.
dhcp relay server-ip 192.168.1.1 / / Especifique la dirección IP del servidor DHCP.
#
Interfaz Ethernet2/0 / 0
Troncal de tipo de enlace de puerto
Port Trunk allow-pass vlan 20
#
Interfaz Ethernet2/0 / 1
Troncal de tipo de enlace de puerto
Port Trunk allow-pass vlan 20
#
Interfaz Ethernet2/0 / 2
Troncal de tipo de enlace de puerto
Port Trunk allow-pass vlan 10
#
"ip route-static 0.0.0.0 0.0.0.0 192.168.1.1"
#
Volver
Verifique la configuración.
La página de autenticación del Portal se empuja a un huésped cuando el huésped intenta acceder a la red. Después de que el huésped ingrese el nombre de usuario correcto y la contraseña, la página web solicitada se muestra automáticamente.
Una vez que la autenticación tenga éxito, ejecute el comando display access-user. Se muestra información sobre los usuarios en línea.
Notas de configuración
Antes de realizar la configuración, asegúrese de que los dispositivos de la red puedan comunicarse.
La clave compartida de autenticación RADIUS, la clave compartida de contabilidad RADIUS y la clave compartida Portal deben mantenerse coherentes en el router y el servidor.
