[Todo sobre Switches - Ejemplos de configuración] Ejemplo para configurar Mobile Free

79 0 0 0


 

Resumen de movilidad gratuita

 

En una red empresarial, se pueden implementar diferentes políticas de acceso a la red para que los usuarios en dispositivos de acceso cumplan con los diferentes requisitos de acceso a la red. La aplicación de la oficina móvil y las tecnologías BYOD trae cambios frecuentes en las ubicaciones físicas y direcciones IP de los usuarios. Por lo tanto, la solución de control de red original basada en puertos físicos y direcciones IP no puede garantizar la coherencia de la experiencia de acceso a la red. Por ejemplo, la política de acceso a la red de un usuario no cambia cuando cambia la ubicación física del usuario.

La solución de movilidad gratuita permite a un usuario obtener la misma política de acceso a la red, independientemente de la ubicación del usuario y los cambios de dirección IP en una red ágil.

Los conmutadores deben estar asociados con los controladores Agile en la solución de movilidad gratuita. Un administrador solo necesita implementar de manera uniforme las políticas de acceso a la red en los controladores ágiles para los usuarios y entregar las políticas a todos los switches asociados. Después de eso, un usuario puede obtener la misma política de acceso sin importar cómo cambien la ubicación física y la dirección IP del usuario.

 

Notas de configuración

  • La movilidad libre es compatible solo en modo unificado NAC.

  • La siguiente tabla enumera los productos y versiones compatibles con la solución de movilidad gratuita.

     

Product Type

Product Name

Version

RADIUS server

Agile Controller

V100R001C00

Portal server

Agile Controller

V100R001C00

Access switch

Common switches supporting 802.1X   authentication. The S2750 is taken as an example.

V200R006C00 and later versions

Core switch

Agile switches supporting native AC, such as   the S12700.

V200R006C00 and later versions

 

La siguiente tabla enumera la asignación entre los switches y los AP. El AP7110DN-AGN se toma como ejemplo.

 

 

 

 

 

 

Software Version

Product Model

AP Model and Version

V200R006C00

S12700

V200R005C00:

AP2010DN, AP3010DN-AGN, AP5010DN-AGN,   AP5010SN-GN, AP5030DN, AP5130DN, AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN,   AP6510DN-AGN, AP6610DN-AGN, AP7110DN-AGN, and AP7110SN-GN

V200R007C00

S12700

V200R005C10:

AP2010DN, AP3010DN-AGN, AP5010DN-AGN,   AP5010SN-GN, AP5030DN, AP5130DN, AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN,   AP6510DN-AGN, AP6610DN-AGN, AP7110DN-AGN, AP7110SN-GN, AP8030DN, and AP8130DN

V200R005C20:

AP7030DE and AP9330DN

 

  • Si el conmutador central se ha asociado con un Controlador Agile y tiene movilidad libre configurada, realice los siguientes pasos para eliminar datos históricos y reconfigurar el conmutador central.

    1. Ejecute el comando de deshacer el controlador de la política de grupo en la vista del sistema para deshabilitar la movilidad libre y desconecte el interruptor del Controlador Agile.

    2. Ejecute el comando undo acl all para eliminar la política de control de acceso.

    3. Ejecute el comando deshacer ucl-group ip all para eliminar las direcciones IP vinculadas a grupos de seguridad.

    4. Ejecute el comando undo ucl-group all para eliminar grupos de seguridad.

    5. Vuelva a la vista de usuario y ejecute el comando de guardar. El sistema elimina automáticamente el número de versión configurado.

     

    Requisitos de red

     

    Los empleados de una empresa se conectan a la red en modos alámbrico e inalámbrico y se autentican mediante la autenticación 802.1X o Portal.

    Los empleados no trabajan en ubicaciones fijas y desean obtener los mismos derechos después de ser autenticados independientemente de sus ubicaciones de acceso.

     

    Figura 1-1 Redes

     

    162737hvddnn36nwlyq66v.jpg

     

    Requisito *** ysis

     

    Como se muestra en la Figura 1-1, el conmutador de núcleo ágil S12700 (que admite CA nativa) funciona como el punto de autenticación y el conmutador de acceso es un conmutador común.

    Puede configurar la autenticación 802.1X y la autenticación de Portal en el conmutador central para que los usuarios cableados e inalámbricos puedan conectarse a la red después de ser autenticados por el conmutador central.

     

    Puede configurar la movilidad gratuita para que los usuarios tengan los mismos derechos y experiencia independientemente de sus ubicaciones de acceso.

     

    Plan de datos de red

     

    Tabla 1-1 plan de datos de red

     

Item

Data

Description

VLAN plan

ID: 11

IP address: 192.168.11.254/24

The core switch uses this VLAN to   communicate with the Agile Controller.

ID: 12

IP address: 192.168.12.254/24

The core switch uses this VLAN to manage   APs.

ID: 13

IP address: 192.168.13.254/24

The core switch uses this VLAN to provide   wireless access services.

ID: 14

IP address: 192.168.14.254/24

The core switch uses this VLAN to provide   wired access services.

Core switch (S12700)

Interface number: GE1/0/11

IDs of allowed VLANs: 11

This interface allows packets from planned   VLANs to pass through.

Interface number: GE1/0/12

IDs of allowed VLANs: 12, 14

This interface allows packets from the wired   access service VLAN and APs' management VLAN to pass through.

Access switch

Interface number: GE0/0/1

IDs of allowed VLANs: 12, 14

This interface connects to GE1/0/12 on the   core switch S12700.

Interface number: GE0/0/3

ID of allowed VLAN: 14

This interface provides wired access and   allows packets from the wired access service VLAN to pass through.

Interface number: GE0/0/5

IDs of allowed VLANs: 12

This interface provides wireless access and   allows packets from the APs' management VLAN to pass through.

Server

Agile Controller: 192.168.11.1

The Service Manager (SM) and Service Controller   (SC) are installed on the same server. The SC functions as both the RADIUS   server and Portal server.

Email server 1: 192.168.11.100

Email server 2: 192.168.11.101

-

DNS server: 192.168.11.200

 

Plan de datos de servicio

 

Tabla 1-2 Plan de datos de servicio

 

 

Item

Data

Description

Core switch (S12700)

RADIUS authentication server:

l IP address: 192.168.11.1

l Port number: 1812

l RADIUS shared key: Admin@123

l The SC of the Agile Controller integrates   the RADIUS server and Portal server. Therefore, IP addresses of the   authentication server, accounting server, and Portal server are the SC's IP   address.

l Configure a RADIUS accounting server to   collect user login and logout information. The port numbers of the   authentication server and accounting server must be the same as the   authentication and accounting port numbers of the RADIUS server. On the Agile   Controller, the fixed RADIUS authentication and accounting port numbers are   1812 and 1813 respectively, and the fixed Portal server port number is 50200.

RADIUS accounting server:

l IP address: 192.168.11.1

l Port number: 1813

l RADIUS shared key: Admin@123

l Accounting interval: 15 minutes

Portal server:

l IP address: 192.168.11.1

l Port number: 50200

l Shared key: Admin@123

XMPP password: Admin@123

The configuration is the same as that on the   Agile Controller.

Agile Controller

Core switch's IP address: 192.168.11.254

This IP address is the IP address of VLANIF   11.

RADIUS parameters:

l Device: Huawei Quidway series

l RADIUS authentication key: Admin@123

l RADIUS accounting key: Admin@123

l Real-time accounting interval: 15 minutes

The configuration is the same as that on the   core switch.

Portal parameters:

l Port number: 2000

l Portal key: Admin@123

l IP addresses of access terminals

Wireless terminal: 192.168.13.0/24

Wired terminal: 192.168.14.0/24

XMPP password: Admin@123

The configuration is the same as that on the   core switch.

Department:

Employee

Assume that the department Employee   exists under ROOT. Configure free mobility for the department Employee   in this example.

Security group:

Employee_Group

Email server:

l Email server 1: 192.168.11.100

l Email server 2: 192.168.11.101

Use fast authorization to authorize the   security group Employee_Group to the employee department.

Post-authentication domain

Email servers

Employees can access the email servers after   being authenticated.

Pre-authentication domain

DNS server

Employees can send domain names to the DNS   server for resolution before being authenticated.

 

Mapa de configuración

 

Configurar el core switch.

 

1. Cambie el modo de configuración NAC al modo unificado.

2. Configure las interfaces y las VLAN, y active la función del servidor DHCP.

3. Configure los parámetros para la interconexión con el servidor RADIUS.

4. Configure los parámetros para la interconexión con el servidor del Portal.

5. Configure el punto de autenticación de acceso para las PC fijas.

6. Configure una regla libre de autenticación.

7. Configure los parámetros del sistema de CA para proporcionar acceso inalámbrico.

8. Configure los parámetros XMPP para la interconexión con el controlador Agile y habilite la movilidad libre.

 

Configurar el Switch de acceso.

 

1. Configurar interfaces y VLAN para implementar la comunicación de red.

2. Configure el conmutador para transmitir transparentemente paquetes 802.1X.

 

NOTA: En este ejemplo, existe un conmutador de acceso entre los usuarios y el conmutador central que funciona como punto de autenticación y transmite paquetes de forma transparente. Para garantizar que los usuarios puedan pasar la autenticación 802.1X, configure el conmutador de acceso para transmitir paquetes 802.1X de forma transparente (paquetes EAP en este ejemplo porque se usa el modo EAP).

Configurar el controlador ágil.

 

1. Configure los parámetros de RADIUS, Portal y XMPP, y agregue el conmutador central.

2. Configure los grupos de seguridad Employee_Group y Email_Server para indicar usuarios y recursos, respectivamente.

3. Utilice la autorización rápida para autorizar al grupo de seguridad Employee_Group al departamento de empleados. Los empleados se asignan al grupo de seguridad Employee_Group después de autenticarse.

4. Configure una política de control de acceso para permitir que Employee_Group acceda a Email_Server.

 

 

 

  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión