[Todo sobre switches] Interconexión de 802.1x y autenticación del portal en S Switches.

107 0 0 0

Antecedentes

Un switch conecta a los administradores y usuarios comunes a Internet. Como se muestra en la Figura 1-1, el switch permite al administrador, administrar la red y los usuarios comunes para acceder a los servicios de video, voz y web.

 

Figura 1-1 Los usuarios acceden a Internet a través del switch.


172935bp7y55zvv80z6p77.png


El switch necesita controlar los derechos de acceso a la red de los usuarios. Por ejemplo, el switch puede realizar la autenticación, autorización y contabilidad (AAA) para los usuarios. AAA evita que usuarios no autorizados inicien sesión en el switch y mejora la seguridad del sistema.

 

·         Autenticación: verifica si los usuarios tienen permiso para acceder a la red.

·         Autorización: especifica los servicios que los usuarios pueden usar.

·         Contabilidad: registra los recursos de red utilizados por los usuarios.

 

AAA es aplicable a las redes que requieren alta seguridad, por ejemplo, redes financieras, gubernamentales y de transportistas. Para proporcionar un servicio AAA, el conmutador debe funcionar con un servidor AAA, como se muestra en la Figura 1-2. La información sobre todos los usuarios de acceso se crea y mantiene en el servidor AAA. Un usuario puede iniciar sesión en el conmutador solo cuando el nombre de usuario y la contraseña ingresados por el usuario son los mismos que están almacenados en el servidor AAA. Después de que el usuario inicie sesión en el conmutador, el conmutador otorga los derechos correspondientes al usuario, por ejemplo, el derecho de acceso a Internet.

 

Figura 1-2 Un servidor AAA gestiona la información del usuario.


172943mi6lg6x3lelxz6gg.png


Un switch de la serie Huawei S se comunica con el servidor AAA a través del protocolo RADIUS o HWTACACS. El protocolo RADIUS es más popular en redes en vivo.

 

El Huawei Agile Controller puede usarse como un servidor AAA para trabajar con un interruptor de la serie Huawei S.

 

Introducción a Huawei Agile Controller.

Antecedentes.

Agile Controller es un sistema de autocontrol de recursos de red basado en el usuario y específico de la aplicación desarrollado por Huawei. Agile Controller proporciona un motor de políticas unificadas para realizar políticas de acceso unificadas dentro de toda la organización e implementa la autenticación y autorización basadas en 5W1H (identidad del usuario, tiempo de acceso, ubicación de acceso, tipo de dispositivo, fuente del dispositivo y modo de acceso). Administra de manera uniforme los usuarios de acceso y las políticas de acceso a la red, e implementa políticas en toda la red para garantizar la coherencia de las políticas. Por lo tanto, los usuarios en movimiento pueden disfrutar de derechos de acceso de servicio consistentes.

 

Al utilizar el método de autorización de acceso basado en la matriz de políticas, Agile Controller permite a los administradores configurar políticas de control de acceso bidireccionales basadas en grupos de seguridad. Esto reduce la carga de trabajo de administración y configuración de los administradores, para que puedan dedicar más tiempo a la optimización de la red.

 

Como usar Huawei Agile Controller.

Conecte físicamente el interruptor de la serie S al controlador Agile e instale AnyOffice Agent en su PC. Inicie sesión en Agile Controller a través de la web.

 

Tabla 2-1 AnyOffice Agent menus

Menu

Descripción

Resource

Configura   usuarios, dispositivos de red y clientes AAA.

Policy

Configura los   perfiles de autenticación y autorización, incluidas las condiciones   coincidentes y los resultados de las políticas de acceso.

Report

Muestra los   registros de acuerdo a los requerimientos del cliente. Los registros ayudan   al administrador a comprender el acceso al terminal y la información de   inicio de sesión del usuario en toda la red.

System

Gestiona y   mantiene el controlador ágil.

Conectando un switch serie S a Agile Controller

3.1 Diferencias de implementacion

Tanto el switche serie S como el controlador Agile utilizan protocolos estándar, por lo que pueden conectarse sin riesgos.

3.2 Modelos and Versiones de Switch aplicables

Tabla 3-1 S Versiones de switch compatibles con Agile Controller.

Model

Version

S series   switches

V200R003 and later versions

V100R002C02 or later in V100R002CXX

V200R001C00 or later in V200R001CXX

 

En esta sección se usa Agile Controller V100R001C00SPC200 como ejemplo.

 

3.3 Prerrequisitos

Figure 3-1 Muestra la connecion entre el switch y show Agile Controller.

Figure 3-1  Conectando el switch y Agile Controller.


173011d26tre3ltg1i6tpf.png


Antes de conectar los dispositivos, asegúrese de que:

·         Existe una ruta accesible entre el switch y el Agile Controller.

·         Has iniciado sesión en Agile Controller a través de la web.

3.4 Conexión de dispositivos para proporcionar servicio AAA a usuarios de 802.1x

3.4.1 Requisitos de red y hoja de ruta

Requisitos de red.

En una red empresarial, un administrador se conecta al switch a través de una red de administración y un usuario 802.1x se conecta al switch a través de una red de acceso. La empresa utiliza el Agile Controller para crear y mantener la información del usuario. El administrador puede iniciar sesión en el Agile Controller a través de la web.

El administrador y el usuario 802.1x tienen asignadas diferentes cuentas y derechos para mejorar la seguridad.

Los requisitos son los siguientes:

1. El administrador puede hacer Telnet al switch solo después de ingresar el nombre de usuario y la contraseña, y puede usar los comandos desde el nivel 0 hasta el nivel 15 después de iniciar sesión.

2. Para acceder al switch, el usuario 802.1x debe iniciar el cliente 802.1x, ingresar el nombre de usuario y la contraseña, y estar autenticado.

Después de que el usuario 802.1x accede al switch:

- El usuario puede usar los comandos en el nivel 0 al nivel 2.

- El Agile Controller entrega VLAN 100 y ACL 3000 al usuario.

3. El administrador se autentica en el dominio predeterminado y el usuario 802.1x se autentica en el dominio huawei.com.

Figura 3-2 Cambio de acceso de usuarios a través de 802.1x


173021a7ddedmmj3za4a9a.png


Preparativos

Preparacion de los ratos de acuerdo a la Tabla 3-2. Los datos son solo para su referencia.

Tabla 3-2  Datos usados para conectar el switch a Agile Controller.

Administrator's user   name and password of the Agile Controller

admin

Admin_123

Administrator's user   name and password of the switch

admin1

Admin@1234

User name and   password of the 802.1x user

user1@huawei.com

Huawei@1234

Switch name and the   IP address of the interface connected to the Agile Controller

HUAWE_S

10.1.6.10

Shared password of   switch and Agile Controller

Hello@1234

 

3.4.2 Configuración de switch serie S

Configuración Roadmap

1. Habilitar el servicio Telnet.

2. Cree una VLAN y una ACL que entregará el Agile Controller.

3. Configure la autenticación AAA para el administrador de Telnet al switch.

4. Configure la autenticación RADIUS, incluida la creación de la plantilla del servidor RADIUS y el esquema de autenticación AAA y su aplicación a los dominios default_admin y huawei.com.

5. Active la autenticación 802.1x en la interfaz a la que accede el usuario 802.1x.

 

Procedimiento.

1. Configure las interfaces y asigne direcciones IP para que el switch pueda comunicarse con el Agile Controller.

 

.

<Quidway> system-view 
[Quidway] sysname Switch 
[Switch] vlan batch 10 20 30 
[Switch] interface vlanif 10 
[Switch-Vlanif10] ip address 10.1.6.10 24 
[Switch-Vlanif10] quit 
[Switch] interface vlanif 20 
[Switch-Vlanif20] ip address 10.1.2.10 24 
[Switch-Vlanif20] quit 
[Switch] interface vlanif 30 
[Switch-Vlanif30] ip address 10.1.3.10 24 
[Switch-Vlanif30] quit 
[Switch] interface gigabitethernet 0/0/1 
[Switch-GigabitEthernet0/0/1] port link-type access 
[Switch-GigabitEthernet0/0/1] port default vlan 10 
[Switch-GigabitEthernet0/0/1] quit 
[Switch] interface gigabitethernet 0/0/2 
[Switch-GigabitEthernet0/0/2] port link-type access 
[Switch-GigabitEthernet0/0/2] port default vlan 20 
[Switch-GigabitEthernet0/0/2] quit

[Switch] interface gigabitethernet 0/0/3 
[Switch-GigabitEthernet0/0/3] port link-type hybrid 
[Switch-GigabitEthernet0/0/3] port hybrid untagged vlan 30 
[Switch-GigabitEthernet0/0/3] quit

2. Cree una VLAN y una ACL que Agile Controller entregará a los usuarios.

[Switch] vlan 100 
[Switch-vlan100] quit 
[Switch] acl 3000 
[Switch-acl-adv-3000] quit

3. Habilitar el servidor Telnet.

[Switch] telnet server enable

 

4. Establezca el modo de autenticación para los usuarios de VTY en AAA.

[Switch] user-interface maximum-vty 15  //Set the maximum number of VTY users to 15 (this value varies with versions and models). By default, a maximum of 5 Telnet users are supported. 
[Switch] user-interface vty 0 14  //Enter the VTY 0-14 user interface view. 
[Switch-ui-vty0-14] authentication-mode aaa  //Set the authentication mode for VTY users to AAA. 
[Switch-ui-vty0-14] protocol inbound telnet  //Configure the VTY user interface to support Telnet (The default protocol is Telnet in V200R006 and earlier versions. This command is mandatory in V200R007 and later versions.) 
[Switch-ui-vty0-14] quit

 

5. Configure la autenticación RADIUS para los usuarios de acceso en el switch.

# Configure una plantilla de servidor RADIUS para que el conmutador y Agile Controller puedan comunicarse a través de RADIUS.

[Switch] radius-server template 1 
[Switch-radius-1] radius-server authentication 10.1.6.6 1812  //Specify the IP address and port number of the Agile Controller. 
[Switch-radius-1] radius-server shared-key cipher Hello@1234  //Set the Agile Controller shared key, which must be the same as that configured on the Agile Controller. 
[Switch-radius-1] quit

 

# Cree un esquema de autenticación AAA y configure el modo de autenticación en RADIUS.

[Switch] aaa 
[Switch-aaa] authentication-scheme sch1 
[Switch-aaa-authen-sch1] authentication-mode radius 
[Switch-aaa-authen-sch1] quit

# Aplique el esquema de autenticación AAA y la plantilla del servidor RADIUS al dominio administrativo predeterminado.

By default, the administrative domain is default_admin.

[Switch-aaa] domain default_admin 
[Switch-aaa-domain-huawei.com] radius-server 1 
[Switch-aaa-domain-huawei.com] authentication-scheme sch1 
[Switch-aaa-domain-huawei.com] quit 
[Switch-aaa] quit

# Aplique el esquema de autenticación AAA y la plantilla del servidor RADIUS al dominio huawei.com.

.

[Switch-aaa] domain huawei.com 
[Switch-aaa-domain-huawei.com] radius-server 1 
[Switch-aaa-domain-huawei.com] authentication-scheme sch1 
[Switch-aaa-domain-huawei.com] quit 
[Switch-aaa] quit

# (Opcional) Establezca el modo NAC en modo unificado. (El modo unificado está disponible en V200R005 y versiones posteriores. En una versión anterior a V200R005, omita este paso).

 [Switch] authentication unified-mode

# Habilitar la autenticación 802.1x en una interfaz.

[Switch] interface gigabitethernet0/0/3 
[Switch-GigabitEthernet0/0/3] authentication dot1x 
[Switch-GigabitEthernet0/0/3] dot1x authentication-method eap  //This step is recommended because most 802.1x clients use EAP relay authentication. 
[Switch-GigabitEthernet0/0/3] quit

Archivos de configuración.



sysname Switch 

vlan batch 10 20 30 100 

acl number 3000 

radius-server template 1 
 radius-server shared-key cipher %#%#9nP3;sDW-AN0f@H@S*l&\f{V=V_auKe|^YXy7}bU%#%# 
 radius-server authentication 10.1.6.6 1812 weight 80 

aaa 
 authentication-scheme sch1     
  authentication-mode radius   
 domain default_admin             
  authentication-scheme sch1      
  radius-server 1       
 domain huawei.com             
  authentication-scheme sch1      
  radius-server 1       
#  
interface Vlanif10  
 ip address 10.1.6.10 255.255.255.0      
#  
interface Vlanif20  
 ip address 10.1.2.10 255.255.255.0      
#  
interface Vlanif30  
 ip address 10.1.3.10 255.255.255.0      
#  
interface GigabitEthernet0/0/1          
 port link-type access            
 port default vlan 10  

interface GigabitEthernet0/0/2          
 port link-type access            
 port default vlan 20  

interface GigabitEthernet0/0/3   
 port link-type hybrid            
 port hybrid untagged vlan 30     
 authentication dot1x  
 dot1x authentication-method eap 

user-interface maximum-vty 15   
user-interface vty 0 14           
 authentication-mode aaa      
 protocol inbound telnet       

return

 

3.4.3 Configurando Agile Controller

 

1. Inicie sesión en AnyOffice Agent e ingrese el nombre de usuario y la contraseña para abrir la página de inicio.

 

a. Ingrese la dirección del Localizador universal de recursos (URL) del Agile Controller y presione Enter para abrir la página de inicio de sesión del Agile Controller. Ingrese el nombre de usuario y la contraseña, y haga clic en Ir o presione Enter, como se muestra en la Figura 3-3.

 

Figura 3-3 Agile Controller login page

 


173035wwcfhz5s1f17c2cj.png


.        b.  Después de iniciar sesión en el Agile Controller, se muestra la página de inicio, como se muestra en la Figura 3-4.


Figura 3-4 Agile Controller homepage


173050tv96jt4st57qmwba.png


         2.  Agregar un dispositivo de acceso

a.         elija  Resource > Device > Device Management.

b.         Click en Add sobre la página device management, como se muestra en la Figura 3-5.

Figura 3-5 agregando dispositivos


173110ko8xlmmeoakehhoe.png


c.         Ingrese el nombre y la dirección IP del interruptor, haga clic en Habilitar RADIUS y configure los parámetros de acuerdo con la Figura 3-6.

Figura 3-6 Configuración de parámetros de autenticación



173123xzxeqj4dtj69deds.png


3. Añadir un usuario.

a. Seleccione Recurso> Usuario> Gestión de usuarios.

Un departamento comprende varios usuarios de terminal, y un usuario de terminal puede usar varias cuentas. La configuración de los usuarios y cuentas de la terminal depende del departamento.

Para administrar usuarios de terminal y cuentas basadas en departamentos, el administrador debe crear el departamento de nivel 1 manualmente y luego realizar las siguientes operaciones:

Cree un usuario de terminal y cree una cuenta para el usuario de terminal.

Sincronice la información de la cuenta y el subnodo de la fuente de autenticación externa al administrador de servicios. El subnodo se usa como el sub-departamento del departamento objetivo en el administrador de servicios, y la información de la cuenta se copia al departamento correspondiente de acuerdo con el nodo subordinado.

b. Añadir un departamento.

Haga clic en Agregar en la página de la pestaña Departamento. Ingrese los parámetros del departamento, como se muestra en la Figura 3-7 y la Figura 3-8, y haga clic en Aceptar.

Figura 3-7 Agregando un departamento para el administrador



173130o4a9k2s2yky7km77.png


Figure 3-8 Agregando un departamento para el usuario 802.1x


173137lcigiejyy55gewye.png


c.          Agregar usuario.

Haga clic en Add en la página de la pestaña User. Ingrese los parámetros de usuario, como se muestra en la Figura 3-9 y la Figura 3-10, y haga clic en Aceptar.

Figura 3-9 Agregando un administrador.

 



173147jd4u23qhuhdw2hdp.png


Figure 3-10 Agregando un usuario 802.1x



173152z9gi1mrzfr5z1o9f.png


d. Haga clic en el lado derecho de un usuario de terminal para el que se debe crear una cuenta para abrir la página de administración de la cuenta. Haga clic en add y configure los parámetros de la cuenta, como la Figura 3-11 y la Figura 3-12.

Figure 3-11  Configurando una cuenta de administrador





173202t8ppmhmpapjgchmy.png

Figure 3-12 Configurando cuenta 802.1x 



173211dtttt5ffzyjioqf7.png


4.          Agregar politicas

a.         Elija  Policy > Permission Control > Policy Element > Dynamic ACL.

b.         Agregue ACL dinamicas.

Click en Add. Ingrese los parámetros de las ACLs como se muestra en la Figura 3-13, y haga click en OK.

Figure 3-13 Agregando atrubutos de ACL dinámicas.



173218xhiovjjfg11irlih.png


5.         Añadir reglas de autenticación y autorización.

a.         Añadir una regla de autenticación. Elija Policy > Permission Control > Authentication and Authorization > Authentication Rule.

Figure 3-14 muestra la página para agregar un administrador. Después de agregar el administrador, agregue un usuario 802.1x.

Figura 3-14 Configurando la regla de autentificación para el administrador


173234lohu2touldzlkow8.png


b.         Añadir un resultado de autorización. Elija Policy > Permission Control > Authentication and Authorization > Authorization Result.

Configure los resultados de la autorización de acuerdo con la Figura 3-15 y Figura 3-16.

Figura 3-15  Resultado de autorización para administrador



173243zqsidee0h0vedocs.png


Figure 3-16 Resultado de autorización para usuario 802.1x 


173301xj0082pysky2b2gz.png

c.         Añadir reglas de autorización. Elija Policy > Permission Control > Authentication and Authorization > Authorization Result.

Configure los resultados de la autorización de acuerdo con la Figura 3-17 y Figura 3-18.

Figure 3-17 Configurando regla de autorización para administrador.



173308aazti0giuqmq5qti.png


Figure 3-18 Configurando la regla de autorización para el usuario 802.1x


173316pqn8x9rs66cn7s9t.png


6.         Complete la configuración.

 

3.4.4 Revise la Configuración.

l   Un administrador ingresa al switch por telnet.

# Elija Start > Run en su PC e ingrese a cmd para abrir la línea de comandos de Windows. Ejecute telnet e ingrese el nombre de usuario admin1 y el  password Huawei@1234 para ingresar vía Telnet al switch.

C:\Documents and Settings\Administrator> telnet 10.1.2.10 
Username:admin1 
Password:********** 
<Switch>//You can log in successfully.

# Ejecute el comando display access-user username admin1.

 

Un usuario 802.1x ingresa al switch.

# Ejecute el comando test-aaa en el switch para para probar si el usuario puede pasar la autenticación RADIUS.

[Switch] test-aaa user1@huawei.com Huawei@1234 radius-template 1

# El usuario 802.1x inicia el cliente 802.1x en la PC e ingresa el nombre de usuario user1@huawei.com y el  password Huawei@1234. Si el nombre de usuario y la contraseña son correctos, el cliente muestra un mensaje de autenticación exitoso. El usuario puede acceder a la red.

# Después de que el usuario 802.1x se conecta, ejecute el coomando display access-user access-type dot1x en el switch para ver la información del usuario. Dynamic VLAN y Dynamic ACL number(Effective) indican la VLAN y la ACL entregadas por el servidor RADIUS.

# elija Resource > User > RADIUS Online User en el AnyOffice Agent revisar la información del usuario en línea.

 

3.5 Conexión de dispositivos para proporcionar servicio AAA a los usuarios del portal

 

3.5.1 Requerimientos de red.

 

Requerimientos de Red

En una red empresarial, un administrador se conecta al conmutador a través de una red de administración y un usuario del portal se conecta al conmutador a través de una red de acceso. La empresa utiliza Agile Controller para crear y mantener la información del usuario. El administrador puede iniciar sesión en el controlador Agile a través de la web.

 

Al administrador y al usuario del portal se les asignan diferentes cuentas y derechos para mejorar la seguridad.

 

Los requisitos son los siguientes:

 

1. El administrador puede hacer Telnet al conmutador solo después de ingresar el nombre de usuario y la contraseña, y puede usar los comandos desde el nivel 0 hasta el nivel 15 después de iniciar sesión.

 

2. El usuario del portal se redirige a la página web de autenticación del portal. Después de ingresar el nombre de usuario y la contraseña correctos, el usuario puede acceder al interruptor.

 

Después de que el usuario del portal accede al switche:

·         El usuario puede usar los comandos en el nivel 0 al nivel 2.

·         El controlador Agile entrega VLAN 100 y ACL 3000 al usuario.

 

3. El administrador se autentica en el dominio predeterminado y el usuario del portal se autentica en el dominio huawei.com.

 

Figura 3-19 Cambio de acceso de usuarios a través del portal


173328m9lw110191g9u0gg.png


Preparativos.

Prepara los datos de acuerdo con la Tabla 3-3. Los datos son solo para su referencia.

Tabla 3-3 Información usada para conectar un switch a Agile Controller

Administrator's user name and password of   the Agile Controller

admin

Admin_123

Administrator's user name and password of   the switch

admin1

Admin@1234

User name and password of the portal user

user1@huawei.com

Huawei@1234

Switch name and the IP address of the   interface connected to the Agile Controller

HUAWE_S

10.1.6.10

Shared password of switch and Agile   Controller

Hello@1234

Shared password of switch and portal server

Huawei@123

 

3.5.2 Configurando el Switch serie S.

 

Configuración Roadmap.

1. Habilitar el servicio Telnet.

2. Cree una VLAN y una ACL que entregará el Agile Controller.

3. Configure la autenticación AAA para el administrador de Telnet al switche.

4. Configure la autenticación RADIUS, incluida la creación de la plantilla del servidor RADIUS y el esquema de autenticación AAA y su aplicación a los dominios default_admin y huawei.com.

5. Configure la autenticación del portal, incluida la creación de una plantilla de servidor de portal y la aplicación de la plantilla a la interfaz de acceso de usuarios del portal. Habilitar la autenticación del portal en la interfaz de acceso.

Procedimiento

1. Configure las interfaces y asigne direcciones IP para que el switch pueda comunicarse con el Agile Controller.

<Quidway> system-view 
[Quidway] sysname Switch 
[Switch] vlan batch 10 20 30 
[Switch] interface vlanif 10 
[Switch-Vlanif10] ip address 10.1.6.10 24 
[Switch-Vlanif10] quit 
[Switch] interface vlanif 20 
[Switch-Vlanif20] ip address 10.1.2.10 24 
[Switch-Vlanif20] quit 
[Switch] interface vlanif 30 
[Switch-Vlanif30] ip address 10.1.3.10 24 
[Switch-Vlanif30] quit 
[Switch] interface gigabitethernet 0/0/1 
[Switch-GigabitEthernet0/0/1] port link-type access 
[Switch-GigabitEthernet0/0/1] port default vlan 10 
[Switch-GigabitEthernet0/0/1] quit 
[Switch] interface gigabitethernet 0/0/2 
[Switch-GigabitEthernet0/0/2] port link-type access 
[Switch-GigabitEthernet0/0/2] port default vlan 20 
[Switch-GigabitEthernet0/0/2] quit

[Switch] interface gigabitethernet 0/0/3 
[Switch-GigabitEthernet0/0/3] port link-type hybrid 
[Switch-GigabitEthernet0/0/3] port hybrid untagged vlan 30 
[Switch-GigabitEthernet0/0/3] quit

 

2.         Cree una VLAN y una ACL que Agile Controller entregará a los usuarios.

[Switch] vlan 100 
[Switch-vlan100] quit 
[Switch] acl 3000 
[Switch-acl-adv-3000] quit

3.        Habilitar el servidor Telnet.

[Switch] telnet server enable

4.         Establezca el modo de autenticación para usuarios de VTY en AAA.

[Switch] user-interface maximum-vty 15  //Set the maximum number of VTY users to 15 (this value varies with versions and models). By default, a maximum of 5 Telnet users are supported. 
[Switch] user-interface vty 0 14  //Enter the VTY 0-14 user interface view. 
[Switch-ui-vty0-14] authentication-mode aaa  //Set the authentication mode for VTY users to AAA. 
[Switch-ui-vty0-14] protocol inbound telnet  //Configure the VTY user interface to support Telnet (The default protocol is Telnet in V200R006 and earlier versions. This command is mandatory in V200R007 and later versions.) 
[Switch-ui-vty0-14] quit

5. Configure la autenticación RADIUS para los usuarios de acceso en el switch.

# Configure una plantilla de servidor RADIUS para que el conmutador y Agile Controller puedan comunicarse a través de RADIUS.

[Switch] radius-server template 1 
[Switch-radius-1] radius-server authentication 10.1.6.6 1812  //Specify the IP address and port number of the Agile Controller. 
[Switch-radius-1] radius-server shared-key cipher Hello@1234  //Set the Agile Controller shared key, which must be the same as that configured on the Agile Controller. 
[Switch-radius-1] quit

# Cree un esquema de autenticación AAA y configure el modo de autenticación en RADIUS.

[Switch] aaa 
[Switch-aaa] authentication-scheme sch1 
[Switch-aaa-authen-sch1] authentication-mode radius 
[Switch-aaa-authen-sch1] quit

# Aplique el esquema de autenticación AAA y la plantilla del servidor RADIUS al dominio administrativo predeterminado.

 

By default, the administrative domain is default_admin.

[Switch-aaa] domain default_admin 
[Switch-aaa-domain-huawei.com] radius-server 1 
[Switch-aaa-domain-huawei.com] authentication-scheme sch1 
[Switch-aaa-domain-huawei.com] quit 
[Switch-aaa] quit

# Aplique el esquema de autenticación AAA y la plantilla del servidor RADIUS al dominio huawei.com.

 

[Switch-aaa] domain huawei.com 
[Switch-aaa-domain-huawei.com] radius-server 1 
[Switch-aaa-domain-huawei.com] authentication-scheme sch1 
[Switch-aaa-domain-huawei.com] quit 
[Switch-aaa] quit

 

6. Configurar la autenticación del portal.

 

# (Opcional) Establezca el modo NAC en modo unificado. (El modo unificado está disponible en V200R005 y versiones posteriores. En una versión anterior a V200R005, omita este paso).

[Switch] authentication unified-mode

# Crear y configurar una plantilla de servidor de portal.

[Switch] web-auth-server abc 
[Switch-web-auth-server-abc] server-ip 10.1.6.8 
[Switch-web-auth-server-abc] port 50200 
[Switch-web-auth-server-abc] url http://10.1.6.8:8080/webagent 
[Switch-web-auth-server-abc] shared-key cipher Huawei@123 
[Switch-web-auth-server-abc] quit

# Habilitar la autenticación del portal en la interfaz.

[Switch] interface gigabitethernet0/0/3 
[Switch-GigabitEthernet0/0/3] authentication portal  //Enable portal authentication on the interface. 
[Switch-GigabitEthernet0/0/3] web-auth-server abc direct  //Apply the portal server template to the interface. 
[Switch-GigabitEthernet0/0/3] quit

 

Archivos de configuración


sysname Switch 

vlan batch 10 20 30 100 

acl number 3000 

radius-server template 1 
 radius-server shared-key cipher %#%#9nP3;sDW-AN0f@H@S*l&\f{V=V_auKe|^YXy7}bU%#%# 
 radius-server authentication 10.1.6.6 1812 weight 80 

web-auth-server abc 
 server-ip 10.1.6.8 
 port 50200 
 shared-key cipher %#%#yV{\SVYgIU'Krp1#VA;2uY~y-Hhp#Znkf|,QE4$.%#%# 
 url http://10.1.6.8:8080/webagent 

aaa 
 authentication-scheme sch1     
  authentication-mode radius   
 domain default_admin             
  authentication-scheme sch1      
  radius-server 1       
 domain huawei.com             
  authentication-scheme sch1      
  radius-server 1       
#  
interface Vlanif10  
 ip address 10.1.6.10 255.255.255.0      
#  
interface Vlanif20  
 ip address 10.1.2.10 255.255.255.0      
#  
interface Vlanif30  
 ip address 10.1.3.10 255.255.255.0      
#  
interface GigabitEthernet0/0/1          
 port link-type access            
 port default vlan 10  

interface GigabitEthernet0/0/2          
 port link-type access            
 port default vlan 20  

interface GigabitEthernet0/0/3   
 port link-type hybrid            
 port hybrid untagged vlan 30     
 authentication portal  
 web-auth-server abc direct 

user-interface maximum-vty 15   
user-interface vty 0 14           
 authentication-mode aaa      
 protocol inbound telnet       

return

 

3.4.3 Configurando Agile Controller

 

1. Inicie sesión en AnyOffice Agent e ingrese el nombre de usuario y la contraseña para abrir la página de inicio.

 

a. Ingrese la dirección del Localizador universal de recursos (URL) del Agile Controller y presione Enter para abrir la página de inicio de sesión del Agile Controller. Ingrese el nombre de usuario y la contraseña, y haga clic en Ir o presione Enter, como se muestra en la Figura 3-3.

 

Figura 3-3 Agile Controller login page

 

173349reeyi2ew9wh2zka8.png


b.         Después de iniciar sesión en el Agile Controller, se muestra la página de inicio, como se muestra en la Figura 3-4.

Figura 3-4 Agile Controller homepage


173354rls8oqs8asx68lj5.png


2          Agregar un dispositivo de acceso

a.         elija  Resource > Device > Device Management.

b.         Click en Add sobre la página device management, como se muestra en la Figura 3-5.

Figura 3-5 agregando dispositivos.


173410s3nhtat95eytddtl.png


c.         Ingrese el nombre y la dirección IP del interruptor, haga clic en Habilitar RADIUS y configure los parámetros de acuerdo con la Figura 3-6.

Figura 3-6 Configuración de parámetros de autenticación


173420gcq7i5uwfqwfbb8i.png


3.         Add a user.

a.         Choose Resource > User > User Management.

A department comprises multiple terminal users, and a terminal user can use multiple accounts. The settings of terminal users and accounts depend on the department.

To manage terminal users and accounts based on departments, the administrator must create level-1 department manually, and then perform the following operations:

Create a terminal user and create an account for the terminal user.

Synchronize the account and subnode information from the external authentication source to the service manager. The subnode is used as the sub-department of the target department in service manager, and the account information is copied to the corresponding department according to the subordinate node.

b.         Add a department.


Click Add on the Department tab page. Enter the department parameters, as shown in Figure 3-7and Figure 3-8, and click OK.

Figure 3-7 Adding a department for the administrator

3. Añadir un usuario.

a. Seleccione Recurso> Usuario> Gestión de usuarios.

Un departamento comprende varios usuarios de terminal, y un usuario de terminal puede usar varias cuentas. La configuración de los usuarios y cuentas de la terminal depende del departamento.

Para administrar usuarios de terminal y cuentas basadas en departamentos, el administrador debe crear el departamento de nivel 1 manualmente y luego realizar las siguientes operaciones:

Cree un usuario de terminal y cree una cuenta para el usuario de terminal.

Sincronice la información de la cuenta y el subnodo de la fuente de autenticación externa al administrador de servicios. El subnodo se usa como el sub-departamento del departamento objetivo en el administrador de servicios, y la información de la cuenta se copia al departamento correspondiente de acuerdo con el nodo subordinado.

b. Añadir un departamento.

Haga clic en Agregar en la página de la pestaña Departamento. Ingrese los parámetros del departamento, como se muestra en la Figura 3-7 y la Figura 3-8, y haga clic en Aceptar.

Figura 3-7 Agregando un departamento para el administrador


173446xyyyoyy2822yek8y.png


Figure 3-8 Agregando un departamento para el usuario 802.1x


173453vmt7b7zqt4hbfb4e.png


c.          Agregar usuario.

Haga clic en Add en la página de la pestaña User. Ingrese los parámetros de usuario, como se muestra en la Figura 3-9 y la Figura 3-10, y haga clic en Aceptar.

Figura 3-9 Agregando un administrador.



173500o0qoktto11lbiqnt.png


 

Figure 3-10 Agregando un usuario 802.1x



173506rgt3gu8egee88ez4.png


d. Haga clic en el lado derecho de un usuario de terminal para el que se debe crear una cuenta para abrir la página de administración de la cuenta. Haga clic en add y configure los parámetros de la cuenta, como la Figura 3-11 y la Figura 3-12.

Figure 3-11  Configurando una cuenta de administrador



173521ms38swvz3ateckze.png


Figure 3-12 Configurando cuenta 802.1x 


173531wkwrpxzvkrawkkak.png


4.          Agregar politicas

a.         Elija  Policy > Permission Control > Policy Element > Dynamic ACL.


b.         Agregue ACL dinamicas.

Click en Add. Ingrese los parámetros de las ACLs como se muestra en la Figura 3-13, y haga click en OK.

Figure 3-13 Agregando atrubutos de ACL dinámicas.

 

173545qf23kiq3qemr34cf.png


5.         Añadir reglas de autenticación y autorización.

a.         Añadir una regla de autenticación. Elija Policy > Permission Control > Authentication and Authorization > Authentication Rule.

Figura 3-14 muestra la página para agregar un administrador. Después de agregar el administrador, agregue un usuario 802.1x.

Figura 3-14 Configurando la regla de autentificación para el administrador

 



173556euucuwpmpd4uepll.png

b.         Añadir un resultado de autorización. Elija Policy > Permission Control > Authentication and Authorization > Authorization Result.

Configure los resultados de la autorización de acuerdo con la Figura 3-15 y Figura 3-16.

Figura 3-15  Resultado de autorización para administrador


173629g8dql48l8lf9jqx9.png


Figure 3-16 Resultado de autorización para usuario 802.1x 


173644tw7418mzn9n7ztsw.png


c.         Añadir reglas de autorización. Elija Policy > Permission Control > Authentication and Authorization > Authorization Result.

Configure los resultados de la autorización de acuerdo con la Figura 3-17 y Figura 3-18.

Figure 3-17 Configurando regla de autorización para administrador.


173657jceui005350pcj4r.png


 

Figure 3-18 Configurando la regla de autorización para el usuario 802.1x


173707mc611hh22p7wwpoo.png


6.         Complete la configuración.

 

3.4.4 Revise la Configuración.

l   An administrator logs in to the switch through Telnet.

# Elija Start > Run en su PC e ingrese a cmd para abrir la línea de comandos de Windows. Ejecute telnet e ingrese el nombre de usuario admin1 y el  password Huawei@1234 para ingresar vía Telnet al switch.

C:\Documents and Settings\Administrator> telnet 10.1.2.10 
Username:admin1 
Password:********** 
<Switch>//You can log in successfully.

# Ejecute el comando display access-user username admin1.

 

An 802.1x user logs in to the switch.

# Ejecute el comando test-aaa en el switch para para probar si el usuario puede pasar la autenticación RADIUS.

[Switch] test-aaa user1@huawei.com Huawei@1234 radius-template 1

# El usuario 802.1x inicia el cliente 802.1x en la PC e ingresa el nombre de usuario user1@huawei.com y el  password Huawei@1234. Si el nombre de usuario y la contraseña son correctos, el cliente muestra un mensaje de autenticación exitoso. El usuario puede acceder a la red.

# Después de que el usuario 802.1x se conecta, ejecute el coomando display access-user access-type dot1x en el switch para ver la información del usuario. Dynamic VLAN y Dynamic ACL number(Effective) indican la VLAN y la ACL entregadas por el servidor RADIUS.

# elija Resource > User > RADIUS Online User en el AnyOffice Agent revisar la información del usario en linea.

  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba