Ejemplo para configurar la autenticación de la dirección MAC para controlar el acceso de dispositivos de oficina inalámbricos (V200R009C00 y versio

Pubilicado 2019-1-30 04:57:03 61 0 0 0

Autenticación de la dirección MAC en el lado inalámbrico

La autenticación del portal también se llama autenticación web. En general, los sitios web de autenticación de portal también se denominan sitios web de portal. Cuando los usuarios se conectan, deben autenticarse en los sitios web del Portal. Los usuarios pueden usar los recursos de la red solo después de pasar la autenticación. Un usuario puede acceder a un sitio web de autenticación del Portal conocido e ingresar un nombre de usuario y contraseña para la autenticación. Este modo se llama autenticación activa. Si un usuario intenta acceder a otras redes externas a través de HTTP, el dispositivo redirige al usuario por la fuerza al sitio web de autenticación del Portal para la autenticación del Portal. Este modo se llama autenticación forzosa.

Notas de configuración

·         El motor de servicios de identidad de Cisco (ISE) en 2.0.0.306 funciona como el servidor RADIUS en este ejemplo.

·         En el modo de reenvío de datos de servicio, la VLAN de administración y la VLAN de servicio no pueden ser iguales. Si configura el modo de reenvío como reenvío directo, no se recomienda configurar la VLAN de administración y la VLAN de servicio para que sean iguales.

·         Si se usa el reenvío directo, configurar el aislamiento del puerto en la interfaz se conecta directamente a los puntos de acceso. Si el aislamiento del puerto no está configurado, muchos paquetes de transmisión se transmitirán en las VLAN o los usuarios de WLAN en diferentes AP podrán comunicarse directamente en la Capa 2.

·         Configurar la VLAN de administración y la VLAN de servicio:

- En el modo de reenvío de túnel, los paquetes de servicio se encapsulan en un túnel CAPWAP y luego se reenvían a la AC. La CA luego envía los paquetes a la red de capa superior o AP. Por lo tanto, los paquetes de servicio y los paquetes de administración se pueden reenviar normalmente siempre que la red entre la AC y los AP se agregue a la VLAN de administración y la VLAN del servicio y la red entre la red de CA y la capa superior se agregue a la VLAN del servicio.

- En el modo de reenvío directo, los paquetes de servicio no se encapsulan en un túnel CAPWAP, sino que se reenvían directamente a la red de capa superior o los AP. Por lo tanto, los paquetes de servicio y los paquetes de administración normalmente se pueden reenviar solo cuando la red entre la AC y los AP se agrega a la VLAN de administración y la red entre los AP y la red de la capa superior se agrega a la VLAN de servicio.

·         No se proporciona ningún mecanismo ACK para la transmisión de paquetes de multidifusión en interfaces aéreas. Además, los enlaces inalámbricos son inestables. Para garantizar la transmisión estable de paquetes de multidifusión, generalmente se envían a velocidades bajas. Si un gran número de dichos paquetes de multidifusión se envían desde el lado de la red, las interfaces aéreas pueden estar congestionadas. Se recomienda configurar la supresión de paquetes de multidifusión para reducir el impacto de una gran cantidad de paquetes de multidifusión de baja velocidad en la red inalámbrica. Tenga cuidado al configurar el límite de velocidad; De lo contrario, los servicios de multidifusión pueden verse afectados.

-          En el modo de reenvío directo, se recomienda configurar la supresión de paquetes de multidifusión en las interfaces del switch conectadas a los AP.

-          En el modo de reenvío de túnel, se recomienda configurar la supresión de paquetes de multidifusión en los perfiles de tráfico de la AC.

Para obtener detalles sobre cómo configurar la supresión de tráfico, consulte "¿Cómo configuro la supresión de paquetes de multidifusión para reducir el impacto de un gran número de paquetes de multidifusión de baja velocidad en la red inalámbrica?" en la configuración de WLAN QoS de la Guía de configuración - WLAN-AC de la versión del producto correspondiente.

·         La siguiente tabla enumera los productos y versiones aplicables.

Tabla 1-1 Productos y versiones aplicables.

Versión del    software

Modelo del    Producto

Modelo y Versión    AP

V200R011C10

S5720HI, S7700, S9700

NOTA

Para S7700, se recomienda implementar los switches   S7712 o S7706 para los servicios WLAN. No se recomiendan los switches S7703.

Para S9700, se recomienda implementar los switches   S9712 o S9706 para los servicios WLAN. No se recomiendan los switches S9703.

V200R007C20:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN,   AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN,   AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN-US, AP6610DN-AGN-US, AP5030DN,   AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN, AP9330DN, AP4030DN,   AP4130DN, AP2030DN, AP9131DN, AP9132DN, AD9430DN-24, AD9430DN-12, R230D,   R240D, AP6050DN, AP6150DN, AP7050DE, AP7050DN-E, AP4030TN, AP4050DN-E,   AP4050DN-HD, R250D, R250D-E, AP2050DN, AP2050DN-E, AP8130DN-W, AP4050DN,   AP4051DN, AP4151DN, AP8050DN, AP8150DN

V200R007C10:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN,   AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN,   AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN-US, AP6610DN-AGN-US, AP5030DN,   AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN, AP9330DN, AP4030DN,   AP4130DN, AP2030DN, AP9131DN, AP9132DN, AD9430DN-24, AD9430DN-12, R230D,   R240D, AP6050DN, AP6150DN, AP7050DE, AP7050DN-E, AP4030TN, AP4050DN-E,   AP4050DN-HD, R250D, R250D-E, AP2050DN, AP2050DN-E, AP8130DN-W

V200R006C20:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN,   AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN,   AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN-US, AP6610DN-AGN-US, AP5030DN,   AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN, AP9330DN, AP4030DN,   AP4130DN, AP3030DN, AP2030DN, AP9131DN, AP9132DN, AD9430DN-24, AD9430DN-12,   R230D, R240D

V200R006C10:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN,   AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN,   AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN-US, AP6610DN-AGN-US, AP5030DN,   AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN, AP9330DN, AP4030DN,   AP4130DN, AP3030DN, AP2030DN

V200R010C00

S5720HI, S7700, S9700

NOTA

Para S7700, se recomienda implementar los switches   S7712 o S7706 para los servicios WLAN. No se recomiendan los switches S7703.

Para S9700, se recomienda implementar los switches   S9712 o S9706 para los servicios WLAN. No se recomiendan los switches S9703.

V200R007C10:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN,   AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN,   AP3010DN-AGN, AP6510DN-AGN-US, AP6610DN-AGN-US, AP5030DN, AP5130DN, AP7030DE,   AP2010DN, AP8130DN, AP8030DN, AP9330DN, AP4030DN, AP4130DN, AP2030DN,   AP9131DN, AP9132DN, AD9430DN-24, AD9430DN-12, R230D, R240D, AP6050DN,   AP6150DN, AP7050DE, AP7050DN-E, AP4030TN, AP4050DN-E, AP4050DN-HD, R250D,   R250D-E, AP2050DN, AP2050DN-E, AP8130DN-W

V200R006C20:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN,   AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN,   AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN-US, AP6610DN-AGN-US, AP5030DN,   AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN, AP9330DN, AP4030DN,   AP4130DN, AP3030DN, AP2030DN, AP9131DN, AP9132DN, AD9430DN-24, AD9430DN-12,   R230D, R240D

V200R006C10:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN,   AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN,   AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN-US, AP6610DN-AGN-US, AP5030DN,   AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN, AP9330DN, AP4030DN,   AP4130DN, AP3030DN, AP2030DN

V200R009C00

S5720HI, S7700, S9700

NOTA

Para S7700, se recomienda implementar switches S7712   o S7706 para servicios WLAN. No se recomiendan los switches S7703.

Para S9700, se recomienda implementar los switches   S9712 o S9706 para los servicios WLAN. No se recomiendan los switches S9703.

V200R007C10:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN,   AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN,   AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN-US, AP6610DN-AGN-US, AP5030DN,   AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN, AP9330DN, AP4030DN, AP4130DN,   AP2030DN, AP9131DN, AP9132DN, AD9430DN-24, AD9430DN-12, R230D, R240D,   AP6050DN, AP6150DN, AP7050DE, AP7050DN-E, AP4030TN, AP4050DN-E, AP4050DN-HD,   R250D, R250D-E, AP2050DN, AP2050DN-E, AP8130DN-W

V200R006C20:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN,   AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN,   AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN-US, AP6610DN-AGN-US, AP5030DN,   AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN, AP9330DN, AP4030DN,   AP4130DN, AP3030DN, AP2030DN, AP9131DN, AP9132DN, AD9430DN-24, AD9430DN-12,   R230D, R240D

V200R006C10:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN,   AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN,   AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN-US, AP6610DN-AGN-US, AP5030DN,   AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN, AP9330DN, AP4030DN,   AP4130DN, AP3030DN, AP2030DN

 

 

Requisitos de red

Como se muestra en la Figura 1-1, un AC en una empresa está conectada al AP a través del interruptor de acceso SwitchA. La empresa implementa la red WLAN para proporcionar acceso a la red inalámbrica para los empleados. La CA funciona como el servidor DHCP para asignar direcciones IP en el segmento de red 10.23.101.0/24 a usuarios inalámbricos.

Debido a que la WLAN está abierta para los usuarios, existen riesgos potenciales de seguridad para la información de la empresa si no se configura un control de acceso para la WLAN. Para cumplir con los requisitos de seguridad de la empresa, configure la autenticación de la dirección MAC para autenticar terminales simples como impresoras de red inalámbrica y teléfonos inalámbricos que no pueden tener instalado un cliente de autenticación. Las direcciones MAC de los terminales se utilizan como información del usuario y se envían al servidor RADIUS para su autenticación. Cuando los usuarios se conectan a la WLAN, no se requiere autenticación.

Figura 1-1 Diagrama de red para configurar la autenticación de la dirección MAC en el lado inalámbrico

145526v085ig5lr2zpky9l.png?image.png

Planificación de datos

 

Tabla 1-2 plan de datos

Objeto

Datos

Parámetros de   autenticación RADIUS

Nombre del esquema de autenticación RADIUS: radius_huawei

Nombre de la plantilla del servidor RADIUS: radius_huawei

l  Dirección IP: 10.23.200.1

l  Número de puerto de autenticación:   1812

l  Contraseña Compartida: Huawei@123

Dominio AAA : huawei.com

Perfil de acceso MAC

l  Nombre: m1

l  Nombre de usuario y contraseña para la   autenticación de la dirección MAC: Direcciones MAC sin guiones (-)

Perfil de   autentificación

l  Nombre: p1

l  Perfil de enlace: MAC access   profile m1

l  Dominio de autenticación forzosa: huawei.com

Servidor DHCP

El AC funciona como el servidor DHCP para asignar direcciones IP al AP   y las STA.

Grupo de direcciones IP para el AP

10.23.100.2 to   10.23.100.254/24

Grupo de direcciones IP para las STA

10.23.101.2 to   10.23.101.254/24

Dirección IP de la interfaz fuente de la AC.

VLANIF 100:   10.23.100.1/24

Grupo AP

l  Nombre: ap-group1

l  Perfil de enlace: perfil VAP wlan-vap y   perfil de dominio regulatorio domain1

Perfil de dominio   reglamentario

l  Nombre: domain1

l  Código de país: CN

 Perfil SSID

l  Nombre: wlan-ssid

l  Nombre de SSID: wlan-net

Perfil de seguridad

l  Nombre: wlan-security

l  Política de Seguridad: Open

Perfil VAP

l  Nombre: wlan-vap

l  Modo de reenvio: tunnel forwarding

l  Servicio VLAN: VLAN 101

l  Perfil de enlace: perfil SSID  wlan-ssid,   perfil de seguridad wlan-security, y perfil de autenticación p1

 

Mapa de configuración

1. Configure los servicios básicos de WLAN en el AC, para que pueda comunicarse con los dispositivos descendentes y ascendentes y los AP puedan conectarse.

2. Configure los parámetros de autenticación RADIUS en el AC.

3. En el AC, configure un perfil de acceso MAC para administrar los parámetros de control de acceso MAC.

4. En el AC, configure un perfil de autenticación para administrar la configuración de NAC.

5. En el AC, configure los parámetros del servicio WLAN y vincule un perfil de política de seguridad y un perfil de autenticación a un perfil VAP para controlar el acceso de las STA.

6. En el servidor ISE, configure la información del dispositivo de autenticación, la información del usuario y la función de autenticación de la dirección MAC para implementar el acceso al dispositivo, el acceso del usuario y la autenticación de la dirección MAC.

Procedimiento

Paso 1 Establezca el modo NAC en modo unificado en el AC (configuración predeterminada). Configure el SwitchA y el AC para que el AP y el AC puedan transmitir paquetes CAPWAP.

# Agregue GE0/0/1 que conecta SwitchA al AP a la administración de VLAN 100 y agregue GE0/0/2 que conecta SwitchA a la CA a la misma VLAN.

<HUAWEI> system-view 
[HUAWEI] sysname SwitchA 
[SwitchA] vlan batch 100 
[SwitchA] interface gigabitethernet 0/0/1 
[SwitchA-GigabitEthernet0/0/1] port link-type trunk 
[SwitchA-GigabitEthernet0/0/1] port trunk pvid vlan 100 
[SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 
[SwitchA-GigabitEthernet0/0/1] quit 
[SwitchA] interface gigabitethernet 0/0/2 
[SwitchA-GigabitEthernet0/0/2] port link-type trunk 
[SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 
[SwitchA-GigabitEthernet0/0/2] quit 

# Agregue GE1/0/1 que conecta el AC al SwitchA a la VLAN 100.

<HUAWEI> system-view 
[HUAWEI] sysname AC 
[AC] vlan batch 100 101 
[AC] interface gigabitethernet 1/0/1 
[AC-GigabitEthernet1/0/1] port link-type trunk 
[AC-GigabitEthernet1/0/1] port trunk allow-pass vlan 100 
[AC-GigabitEthernet1/0/1] quit

Paso 2 Configure la CA para comunicarse con el dispositivo en sentido ascendente.

                Nota

Configure las interfaces de enlace ascendente del AC para transmitir de forma transparente los paquetes de VLAN de servicio según sea necesario y comunicarse con el dispositi****scendente.

# Agregue la interfaz de enlace ascendente del AC GE1/0/2 al servicio VLAN 101.

[AC] interface gigabitethernet 1/0/2 
[AC-GigabitEthernet1/0/2] port link-type trunk 
[AC-GigabitEthernet1/0/2] port trunk allow-pass vlan 101 
[AC-GigabitEthernet1/0/2] quit 

Paso 3 Configure el AC como un servidor DHCP para asignar direcciones IP a las STA y al AP.

# Configure el AC como el servidor DHCP para asignar una dirección IP al AP desde el grupo de direcciones IP en VLANIF 100, y asigne las direcciones IP a las STA desde el grupo de direcciones IP en VLANIF 101.

[AC] dhcp enable  
[AC] interface vlanif 100 
[AC-Vlanif100] ip address 10.23.100.1 24 
[AC-Vlanif100] dhcp select interface  
[AC-Vlanif100] quit 
[AC] interface vlanif 101 
[AC-Vlanif101] ip address 10.23.101.1 24 
[AC-Vlanif101] dhcp select interface 
[AC-Vlanif101] quit 

Paso 4 Configure una ruta desde el AC al servidor RADIUS (Suponga que la dirección IP del dispositivo de capa superior conectado al AC es 10.23.101.2).

[AC] ip route-static 10.23.200.1 255.255.255.0 10.23.101.2 

Paso 5 Configurar el AP para ir en línea.

# Cree un grupo de AP y agregue el AP al grupo de AP.

[AC] wlan 
[AC-wlan-view] ap-group name ap-group1 
[AC-wlan-ap-group-ap-group1] quit 

# Cree un perfil de dominio reglamentario, configure el código de país AC en el perfil y aplique el perfil al grupo de AP.

[AC-wlan-view] regulatory-domain-profile name domain1 
[AC-wlan-regulate-domain-domain1] country-code cn 
[AC-wlan-regulate-domain-domain1] quit 
[AC-wlan-view] ap-group name ap-group1 
[AC-wlan-ap-group-ap-group1] regulatory-domain-profile domain1 
Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu 
e?[Y/N]:y  
[AC-wlan-ap-group-ap-group1] quit 
[AC-wlan-view] quit 

# Configurar la interfaz fuente de la AC

[AC] capwap source interface vlanif 100 

# Importe el AP fuera de línea en el AC y agregue el AP al grupo de AP ap-group1. Supongamos que la dirección MAC del AP es 60de-4476-e360. Configure un nombre para el AP en función de la ubicación de implementación del AP, para que pueda saber dónde se implementa el AP desde su nombre. Por ejemplo, nombre el AP area_1 si está desplegado en el Área 1.

Nota

El modo de autenticación AP predeterminado es la autenticación de la dirección MAC. Si se conservan las configuraciones predeterminadas, no necesita ejecutar el comando ap auth-mode mac-auth.

En este ejemplo, el AP6010DN-AGN se usa y tiene dos radios: radio 0 (radio de 2.4 GHz) y radio 1 (radio de 5 GHz).

[AC] wlan 
[AC-wlan-view] ap auth-mode mac-auth 
[AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360 
[AC-wlan-ap-0] ap-name area_1 
[AC-wlan-ap-0] ap-group ap-group1 
Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configuration 
s of the radio, Whether to continue? [Y/N]:y  
[AC-wlan-ap-0] quit 

# Después de encender el AP, ejecute el comando display ap all para verificar el estado del AP. Si el campo Estado se muestra como ni, el AP se conecta normalmente.

[AC-wlan-view] display ap all 
Total AP information: 
nor  : normal          [1] 
------------------------------------------------------------------------------------- 
ID   MAC            Name   Group     IP            Type            State STA Uptime 
------------------------------------------------------------------------------------- 
0    60de-4476-e360 area_1 ap-group1 10.23.100.254 AP6010DN-AGN    nor   0   10S 
------------------------------------------------------------------------------------- 
Total: 1

Paso 6 Configure la autenticación RADIUS.

1.       Configure una plantilla de servidor RADIUS, un esquema de autenticación AAA e información de dominio.

Nota

Asegúrese de que la dirección IP, el número de puerto y la clave compartida del servidor RADIUS estén configurados correctamente y sean los mismos que los del servidor RADIUS

La STA envía su dirección MAC como nombre de usuario al servidor RADIUS para la autenticación, por lo que se debe desactivar la CA para que agregue un nombre de dominio al nombre de usuario (configuración predeterminada).

 

# Configurar una plantilla de servidor RADIUS.

[AC] radius-server template radius_huawei 
[AC-radius-radius_huawei] radius-server authentication 10.23.200.1 1812 
[AC-radius-radius_huawei] radius-server shared-key cipher Huawei@123    
[AC-radius-radius_huawei] calling-station-id mac-format hyphen-split mode2   
[AC-radius-radius_huawei] radius-attribute set service-type 10   
[AC-radius-radius_huawei] quit

 

# Configurar un esquema de autenticación RADIUS.

[AC] aaa 
[AC-aaa] authentication-scheme radius_huawei 
[AC-aaa-authen-radius_huawei] authentication-mode radius 
[AC-aaa-authen-radius_huawei] quit 

 

# Cree un dominio AAA y configure la plantilla del servidor RADIUS y el esquema de autenticación.

[AC-aaa] domain huawei.com 
[AC-aaa-domain-huawei.com] radius-server radius_huawei 
[AC-aaa-domain-huawei.com] authentication-scheme radius_huawei 
[AC-aaa-domain-huawei.com] quit 
[AC-aaa] quit 

 

2.  Configure globalmente los nombres de usuario en la autenticación de la dirección MAC sin el delimitador "-" (configuración predeterminada).

3.       Probar si una STA se puede autenticar utilizando la autenticación RADIUS. En la autenticación de la dirección MAC, la dirección MAC de STA se utiliza como nombre de usuario y contraseña.

 

[AC] test-aaa 001122334455 001122334455 radius-template radius_huawei 
Info: Account test succeed. 

Paso 7 Configurar el perfil de acceso MAC m1.

                Nota

En un perfil de acceso MAC, se utiliza una dirección MAC sin guiones (-) como nombre de usuario y contraseña para la autenticación de la dirección MAC.

 

[AC] mac-access-profile name m1 
[AC-mac-access-profile-m1] quit

Paso 8 Configurar el perfil de autenticación p1.

[AC] authentication-profile name p1 
[AC-authen-profile-p1] mac-access-profile m1 
[AC-authen-profile-p1] access-domain huawei.com mac-authen force 
[AC-authen-profile-p1] quit

Paso 9 Configurar los parámetros del servicio WLAN.

# Cree el perfil de seguridad wlan-security y establezca la política de seguridad en el perfil. Por defecto, la política de seguridad es de sistema abierto.

[AC] wlan 
[AC-wlan-view] security-profile name wlan-security 
[AC-wlan-sec-prof-wlan-security] quit 

# Cree el perfil SSID wlan-ssid y establezca el nombre SSID a wlan-net.

[AC-wlan-view] ssid-profile name wlan-ssid 
[AC-wlan-ssid-prof-wlan-ssid] ssid wlan-net 
Warning: This action may cause service interruption. Continue?[Y/N]y 
[AC-wlan-ssid-prof-wlan-ssid] quit 

# Cree el perfil de VAP wlan-vap, configure el modo de reenvío de datos y las VLAN de servicio, y aplique el perfil de seguridad, el perfil de SSID y el perfil de autenticación al perfil de VAP.

[AC-wlan-view] vap-profile name wlan-vap 
[AC-wlan-vap-prof-wlan-vap] forward-mode tunnel 
Warning: This action may cause service interruption. Continue?[Y/N]y 
[AC-wlan-vap-prof-wlan-vap] service-vlan vlan-id 101 
[AC-wlan-vap-prof-wlan-vap] security-profile wlan-security 
[AC-wlan-vap-prof-wlan-vap] ssid-profile wlan-ssid 
[AC-wlan-vap-prof-wlan-vap] authentication-profile p1 
[AC-wlan-vap-prof-wlan-vap] quit 

# Vincule el perfil de VAP wlan-vap al grupo de AP y aplique el perfil a la radio 0 y la radio 1 del AP.

[AC-wlan-view] ap-group name ap-group1 
[AC-wlan-ap-group-ap-group1] vap-profile wlan-vap wlan 1 radio 0 
[AC-wlan-ap-group-ap-group1] vap-profile wlan-vap wlan 1 radio 1 
[AC-wlan-ap-group-ap-group1] quit

Paso 10 Confirma la configuración.

[AC-wlan-view] commit all 
Warning: Committing configuration may cause service interruption, continue?[Y/N]:y

Paso 11 Configurar el servidor ISE.

# Inicie sesión en el servidor ISE.

1. Ingrese la dirección de acceso del servidor ISE en la barra de direcciones, que está en el formato de https: // ISE-IP. ISE-IP es la dirección IP del servidor ISE.

2. En la página que se muestra, ingrese el nombre de usuario y la contraseña para iniciar sesión en el servidor ISE.

# Crear información de cuenta de usuario. Escoger Administration > Identity Management > Identities, y dar click en Endpoints. En el panel del lado derecho, haga clic en Add para agregar direcciones MAC.

145542cc700oc07c274xxi.png?image.png

# Agregue información de CA para que el ISE pueda interactuar con la CA. Elija Administration > Network Resources > Network Devices. En el panel en el lado derecho, haga clic en Add para añadir información del AC.

Parametro

Valor

Observaciones

Nombre

AC

-

Dirección IP

10.23.100.1/32

La dirección IP del AC debe ser accesible desde el servidor ISE.

Secreto compartido

Huawei@123

El valor debe ser el mismo que la clave del servidor RADIUS   configurada en el AC.

 

145551pid90rr0wdr0n0ja.png?image.png

# Configurar los protocolos de autenticación y cifrado permitidos. Escoger Policy > Policy Elements > Results > Authentication > Allowed Protocols, haga clic Add en para configurar los protocolos de autenticación y cifrado permitidos. La autenticación de la dirección MAC utiliza el protocolo de autenticación PAP.

145600dzcdnvff7s4a77su.png?image.png

# Configurar las políticas de autenticación y autorización. Escoger Policy > AuthenticationPolicy Type se puede configurar a Simple o Rule-based. En este ejemplo, configúralo en Simple. Luego, enlace la información del usuario y los protocolos de autenticación permitidos configurados en los pasos anteriores a la política de autenticación.

145609om8e78emkcjc8m88.png?image.png

Paso 12 Verificar la configuración.

·         La WLAN con SSID wlan-net está disponible para las STA conectadas al AP.

·         Una vez que la función WLAN está habilitada en los dispositivos inalámbricos, pueden acceder a la WLAN y proporcionar servicios públicos.

·         Después de que la STA se conecta a la WLAN, la autenticación se realiza automáticamente. Puede acceder directamente a la WLAN.

----Fin

Archivos de configuración

·         Archivo de configuración de SwitchA


sysname SwitchA 

vlan batch 100 

interface GigabitEthernet0/0/1 
 port link-type trunk 
 port trunk pvid vlan 100 
 port trunk allow-pass vlan 100 

interface GigabitEthernet0/0/2 
 port link-type trunk 
 port trunk allow-pass vlan 100 

return

 

·         Archivo de configuración de AC.


 sysname AC 

vlan batch 100 to 101 

authentication-profile name p1 
 mac-access-profile m1 
 access-domain huawei.com mac-authen force 

dhcp enable 

radius-server template radius_huawei 
 radius-server shared-key cipher %^%#Oc6_BMCw#9gZ2@SMVtk!PAC6>Ou*eLW/"qLp+f#$%^%# 
 radius-server authentication 10.23.200.1 1812 weight 80 
 calling-station-id mac-format hyphen-split mode2 
 radius-attribute set service-type 10 

mac-access-profile name m1 

aaa 
 authentication-scheme radius_huawei 
  authentication-mode radius 
 domain huawei.com 
  authentication-scheme radius_huawei 
  radius-server radius_huawei 

interface Vlanif100 
 ip address 10.23.100.1 255.255.255.0 
 dhcp select interface 

interface Vlanif101 
 ip address 10.23.101.1 255.255.255.0 
 dhcp select interface 

interface GigabitEthernet1/0/1 
 port link-type trunk 
 port trunk allow-pass vlan 100 

interface GigabitEthernet1/0/2 
 port link-type trunk 
 port trunk allow-pass vlan 101 

ip route-static 10.23.200.0 255.255.255.0 10.23.101.2 
#   
capwap source interface vlanif100 

wlan 
 security-profile name wlan-security 
 ssid-profile name wlan-ssid 
  ssid wlan-net 
 vap-profile name wlan-vap 
  forward-mode tunnel 
  service-vlan vlan-id 101 
  ssid-profile wlan-ssid 
  security-profile wlan-security 
  authentication-profile p1 
 regulatory-domain-profile name domain1 
 ap-group name ap-group1 
  regulatory-domain-profile domain1 
  radio 0 
   vap-profile wlan-vap wlan 1 
  radio 1 
   vap-profile wlan-vap wlan 1 
 ap-id 0 ap-mac 60de-4476-e360 
  ap-name area_1 
  ap-group ap-group1 

return


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba