j'ai compris

Configuration de l'authentification de l'adresse MAC pour contrôler l'accès des périphériques de bureau sans fil

publié il y a  2020-4-28 15:30:14 14 0 0 0

Ce message fait référence à un exemple de configuration de l'authentification de l'adresse MAC pour contrôler l'accès des appareils de bureau sans fil (V200R009C00 et versions ultérieures).


Authentification de l'adresse MAC sur le côté sans fil Présentation

L'authentification du portail est également appelée authentification Web. En règle générale, les sites Web d'authentification de portail sont également appelés sites Web de portail. Lorsque les utilisateurs se connectent, ils doivent être authentifiés sur les sites Web du portail. Les utilisateurs ne peuvent utiliser les ressources réseau qu'après avoir réussi l'authentification. Un utilisateur peut accéder à un site Web d'authentification de portail connu et entrer un nom d'utilisateur et un mot de passe pour l'authentification. Ce mode est appelé authentification active. Si un utilisateur tente d'accéder à d'autres réseaux externes via HTTP, l'appareil redirige de force l'utilisateur vers le site Web d'authentification Portal pour l'authentification Portal. Ce mode est appelé authentification forcée.

Notes de configuration

l    Le moteur Cisco Identity Services Engine (ISE) dans 2.0.0.306 fonctionne comme le serveur RADIUS dans cet exemple.

l    En mode de transfert de données de service, le VLAN de gestion et le VLAN de service ne peuvent pas être identiques. Si vous définissez le mode de transfert sur le transfert direct, il n'est pas conseillé de configurer le VLAN de gestion et le VLAN de service pour qu'ils soient identiques.

l    Si le transfert direct est utilisé, configurez l'isolation des ports sur l'interface qui se connecte directement aux points d'accès. Si l'isolation de port n'est pas configurée, de nombreux paquets de diffusion seront transmis dans les VLAN ou les utilisateurs de WLAN sur différents AP peuvent communiquer directement sur la couche 2.

l    Configurez le VLAN de gestion et le VLAN de service:

-            En mode de transfert de tunnel, les paquets de service sont encapsulés dans un tunnel CAPWAP, puis transmis à l'AC. L'AC transmet ensuite les paquets au réseau de couche supérieure ou aux points d'accès. Par conséquent, les paquets de service et les paquets de gestion peuvent être normalement transmis tant que le réseau entre l'AC et les AP est ajouté au VLAN de gestion et au VLAN de service et que le réseau entre l'AC et le réseau de couche supérieure est ajouté au VLAN de service.

-            En mode de transmission directe, les paquets de service ne sont pas encapsulés dans un tunnel CAPWAP, mais sont directement transmis au réseau de couche supérieure ou aux points d'accès. Par conséquent, les paquets de service et les paquets de gestion ne peuvent normalement être transmis que lorsque le réseau entre l'AC et les AP est ajouté au VLAN de gestion et que le réseau entre les AP et le réseau de couche supérieure est ajouté au VLAN de service.

l    Aucun mécanisme ACK n'est fourni pour la transmission de paquets de multidiffusion sur les interfaces radio. De plus, les liaisons sans fil sont instables. Pour garantir une transmission stable des paquets de multidiffusion, ils sont généralement envoyés à des taux faibles. Si un grand nombre de ces paquets de multidiffusion sont envoyés du côté réseau, les interfaces radio peuvent être encombrées. Il est conseillé de configurer la suppression des paquets de multidiffusion pour réduire l'impact d'un grand nombre de paquets de multidiffusion à faible débit sur le réseau sans fil. Soyez prudent lors de la configuration de la limite de taux; sinon, les services de multidiffusion peuvent être affectés.

-            En mode de transfert direct, il est conseillé de configurer la suppression des paquets de multidiffusion sur les interfaces de commutation connectées aux points d'accès.

-            En mode de transfert de tunnel, il est conseillé de configurer la suppression des paquets de multidiffusion dans les profils de trafic de l'AC.

Pour plus d'informations sur la configuration de la suppression du trafic, voir «Comment configurer la suppression des paquets de multidiffusion pour réduire l'impact d'un grand nombre de paquets de multidiffusion à faible débit sur le réseau sans fil?» dans la configuration QoS WLAN du Guide de configuration - WLAN-AC de la version de produit correspondante.

l    Le tableau suivant répertorie les produits et versions applicables.

Tableau 1-1 Produits et versions applicables

Une version de logiciel

modèle du produit

Modèle et version AP

V200R011C10

S5720HI, S7700, S9700

REMARQUE

Pour S7700, il est conseillé de déployer des commutateurs S7712 ou S7706 pour les services WLAN. Les commutateurs S7703 ne sont pas recommandés.

Pour S9700, il est conseillé de déployer les commutateurs S9712 ou S9706 pour les services WLAN. Les commutateurs S9703 ne sont pas recommandés.

V200R007C20:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN-US, AP6610DN-AGN États-Unis, AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN, AP9330DN, AP4030DN, AP4130DN, AP2030DN, AP9131DN, AP9132DN, AD9430DN-24, AD9430DN-12, R230D, R240D, AP6050DNT, AP6150DN, AP70 AP4050DN-E, AP4050DN-HD, R250D, R250D-E, AP2050DN, AP2050DN-E, AP8130DN-W, AP4050DN, AP4051DN, AP4151DN, AP8050DN, AP8150DN

V200R007C10:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN-US, AP6610DN-AGN États-Unis, AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN, AP9330DN, AP4030DN, AP4130DN, AP2030DN, AP9131DN, AP9132DN, AD9430DN-24, AD9430DN-12, R230D, R240D, AP6050DNT, AP6150DN, AP70 AP4050DN-E, AP4050DN-HD, R250D, R250D-E, AP2050DN, AP2050DN-E, AP8130DN-W

V200R006C20:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN-US, AP6610DN-AGN États-Unis, AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN, AP9330DN, AP4030DN, AP4130DN, AP3030DN, AP2030DN, AP9131DN, AP9132DN, AD9430DN-24, AD9430DN-12, R230D, R240D

V200R006C10:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN-US, AP6610DN-AGN États-Unis, AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN, AP9330DN, AP4030DN, AP4130DN, AP3030DN, AP2030DN

V200R010C00

S5720HI, S7700, S9700

REMARQUE

Pour S7700, il est conseillé de déployer des commutateurs S7712 ou S7706 pour les services WLAN. Les commutateurs S7703 ne sont pas recommandés.

Pour S9700, il est conseillé de déployer les commutateurs S9712 ou S9706 pour les services WLAN. Les commutateurs S9703 ne sont pas recommandés.

V200R007C10:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN-US, AP6610DN-AGN États-Unis, AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN, AP9330DN, AP4030DN, AP4130DN, AP2030DN, AP9131DN, AP9132DN, AD9430DN-24, AD9430DN-12, R230D, R240D, AP6050DNT, AP6150DN, AP70 AP4050DN-E, AP4050DN-HD, R250D, R250D-E, AP2050DN, AP2050DN-E, AP8130DN-W

V200R006C20:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN-US, AP6610DN-AGN États-Unis, AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN, AP9330DN, AP4030DN, AP4130DN, AP3030DN, AP2030DN, AP9131DN, AP9132DN, AD9430DN-24, AD9430DN-12, R230D, R240D

V200R006C10:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN-US, AP6610DN-AGN États-Unis, AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN, AP9330DN, AP4030DN, AP4130DN, AP3030DN, AP2030DN

V200R009C00

S5720HI, S7700, S9700

REMARQUE

Pour S7700, il est conseillé de déployer des commutateurs S7712 ou S7706 pour les services WLAN. Les commutateurs S7703 ne sont pas recommandés.

Pour S9700, il est conseillé de déployer les commutateurs S9712 ou S9706 pour les services WLAN. Les commutateurs S9703 ne sont pas recommandés.

V200R007C10:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN-US, AP6610DN-AGN États-Unis, AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN, AP9330DN, AP4030DN, AP4130DN, AP2030DN, AP9131DN, AP9132DN, AD9430DN-24, AD9430DN-12, R230D, R240D, AP6050DNT, AP6150DN, AP70 AP4050DN-E, AP4050DN-HD, R250D, R250D-E, AP2050DN, AP2050DN-E, AP8130DN-W

V200R006C20:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN-US, AP6610DN-AGN États-Unis, AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN, AP9330DN, AP4030DN, AP4130DN, AP3030DN, AP2030DN, AP9131DN, AP9132DN, AD9430DN-24, AD9430DN-12, R230D, R240D

V200R006C10:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN-US, AP6610DN-AGN États-Unis, AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN, AP9330DN, AP4030DN, AP4130DN, AP3030DN, AP2030DN

 

Exigences de mise en réseau

Comme le montre la figure 1-1 , un AC dans une entreprise est connecté au point d'accès via le commutateur d'accès SwitchA. L'entreprise déploie le WLAN-net pour fournir un accès au réseau sans fil aux employés. L'AC fonctionne comme le serveur DHCP pour attribuer des adresses IP sur le segment de réseau 10.23.101.0/24 aux utilisateurs sans fil.

Étant donné que le WLAN est ouvert aux utilisateurs, il existe des risques de sécurité potentiels pour les informations d'entreprise si aucun contrôle d'accès n'est configuré pour le WLAN. Pour répondre aux exigences de sécurité de l'entreprise, configurez l'authentification de l'adresse MAC pour authentifier les terminaux muets tels que les imprimantes réseau sans fil et les téléphones sans fil qui ne peuvent pas avoir de client d'authentification installé. Les adresses MAC des terminaux sont utilisées comme informations utilisateur et envoyées au serveur RADIUS pour l'authentification. Lorsque les utilisateurs se connectent au WLAN, l'authentification n'est pas requise.

Figure 1-1 Schéma de mise en réseau pour configurer l'authentification de l'adresse MAC du côté sans fil

20170323142132403004.png

 

Planification des données

Tableau 1-2 Plan de données

Article

Les données

Paramètres d'authentification RADIUS

Nom du schéma d'authentification RADIUS: radius_huawei

Nom du modèle de serveur RADIUS: radius_huawei

l   adresse IP: 10.23.200.1

l   Numéro de port d'authentification: 1812

l   Clé partagée: Huawei @ 123

Domaine AAA: huawei.com

Profil d'accès MAC

l   Nom: m1

l   Nom d'utilisateur et mot de passe pour l'authentification de l'adresse MAC: adresses MAC sans tirets (-)

Profil d'authentification

l   Nom: p1

l   Profil lié: profil d'accès MAC m1

l   Domaine d'authentification forcée: huawei.com

Serveur DHCP

L'AC fonctionne comme le serveur DHCP pour attribuer des adresses IP à l'AP et aux STA.

Pool d'adresses IP pour l'AP

10.23.100.2 à 10.23.100.254/24

Pool d'adresses IP pour les STA

10.23.101.2 à 10.23.101.254/24

Adresse IP de l'interface source de l'AC

VLANIF 100: 10.23.100.1/24

Groupe AP

l   Nom: ap-group1

l   Profil lié: profil VAP wlan-vap et profil de domaine réglementaire domain1

Profil de domaine réglementaire

l   Nom: domaine1

l   Code pays: CN

Profil SSID

l   Nom: wlan-ssid

l   Nom SSID: wlan-net

Profil de sécurité

l   Nom: wlan-security

l   Politique de sécurité: ouverte

Profil VAP

l   Nom: wlan-vap

l   Mode de transfert: transfert de tunnel

l   VLAN de service: VLAN 101

l   Profil lié: profil SSID wlan-ssid , profil de sécurité wlan-security et profil d'authentification p1

 

Feuille de route de configuration

1.          Configurez les services WLAN de base sur l'AC afin que l'AC puisse communiquer avec les appareils en aval et en amont et les AP peuvent être connectés.

2.          Configurez les paramètres d'authentification RADIUS sur l'AC.

3.          Sur l'AC, configurez un profil d'accès MAC pour gérer les paramètres de contrôle d'accès MAC.

4.          Sur l'AC, configurez un profil d'authentification pour gérer la configuration NAC.

5.          Sur l'AC, configurez les paramètres du service WLAN et liez un profil de politique de sécurité et un profil d'authentification à un profil VAP pour contrôler l'accès à partir des STA.

6.          Sur le serveur ISE, configurez les informations sur le périphérique d'authentification, les informations utilisateur et la fonction d'authentification d'adresse MAC pour implémenter l'accès au périphérique, l'accès utilisateur et l'authentification d'adresse MAC.

Procédure

                               Étape 1     Réglez le mode NAC en mode unifié sur le CA (paramètre par défaut). Configurez SwitchA et l'AC pour que l'AP et l'AC puissent transmettre des paquets CAPWAP.

# Ajoutez GE0 / 0/1 qui connecte SwitchA à l'AP au VLAN de gestion 100 et ajoutez GE0 / 0/2 qui connecte SwitchA à l'AC au même VLAN.

<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] vlan batch 100
[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] port link-type trunk
[SwitchA-GigabitEthernet0/0/1] port trunk pvid vlan 100
[SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 100
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchA] interface gigabitethernet 0/0/2
[SwitchA-GigabitEthernet0/0/2] port link-type trunk
[SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 100
[SwitchA-GigabitEthernet0/0/2] quit

# Ajoutez GE1 / 0/1 qui connecte le CA au SwitchA au VLAN 100.

<HUAWEI> system-view
[HUAWEI] sysname AC
[AC] vlan batch 100 101
[AC] interface gigabitethernet 1/0/1
[AC-GigabitEthernet1/0/1] port link-type trunk
[AC-GigabitEthernet1/0/1] port trunk allow-pass vlan 100
[AC-GigabitEthernet1/0/1] quit

                               Étape 2     Configurez l'AC pour communiquer avec le périphérique en amont.

20170323142133630005.jpg

Configurez les interfaces de liaison montante AC pour transmettre de manière transparente les paquets de VLAN de service selon les besoins et communiquer avec le périphérique en amont.

# Ajoutez une interface de liaison montante CA GE1 / 0/2 au service VLAN 101.

[AC] interface gigabitethernet 1/0/2
[AC-GigabitEthernet1/0/2] port link-type trunk
[AC-GigabitEthernet1/0/2] port trunk allow-pass vlan 101
[AC-GigabitEthernet1/0/2] quit

                               Étape 3     Configurez l'AC en tant que serveur DHCP pour allouer des adresses IP aux STA et à l'AP.

# Configurez l'AC en tant que serveur DHCP pour allouer une adresse IP à l'AP à partir du pool d'adresses IP sur VLANIF 100 et allouer des adresses IP aux STA à partir du pool d'adresses IP sur VLANIF 101.

[AC] dhcp enable 
[AC] interface vlanif 100
[AC-Vlanif100] ip address 10.23.100.1 24
[AC-Vlanif100] dhcp select interface 
[AC-Vlanif100] quit
[AC] interface vlanif 101
[AC-Vlanif101] ip address 10.23.101.1 24
[AC-Vlanif101] dhcp select interface
[AC-Vlanif101] quit

                               Étape 4     Configurez une route de l'AC vers le serveur RADIUS (Supposons que l'adresse IP du périphérique de couche supérieure connecté à l'AC est 10.23.101.2).

[AC] ip route-static 10.23.200.1 255.255.255.0 10.23.101.2

                               Étape 5     Configurez l'AP pour aller en ligne.

# Créez un groupe AP et ajoutez l'AP au groupe AP.

[AC] wlan
[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] quit

# Créez un profil de domaine réglementaire, configurez le code de pays AC dans le profil et appliquez le profil au groupe AP.

[AC-wlan-view] regulatory-domain-profile name domain1
[AC-wlan-regulate-domain-domain1] country-code cn
[AC-wlan-regulate-domain-domain1] quit
[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] regulatory-domain-profile domain1
Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu
e?[Y/N]:y 
[AC-wlan-ap-group-ap-group1] quit
[AC-wlan-view] quit

# Configurez l'interface source de l'AC.

[AC] capwap source interface vlanif 100

# Importez l'AP hors ligne sur l'AC et ajoutez l'AP au groupe AP ap-group1 . Supposons que l'adresse MAC de l'AP soit 60de-4476-e360 . Configurez un nom pour AP basé sur l'emplacement de déploiement de AP, de sorte que vous puissiez savoir où AP est déployé à partir de son nom. Par exemple, nommez la zone AP_1 si elle est déployée dans la zone 1.

20170323142133630005.jpg

Le mode d'authentification AP par défaut est l'authentification de l'adresse MAC. Si les paramètres par défaut sont conservés, vous n'avez pas besoin d'exécuter la commande ap auth-mode mac-auth .

Dans cet exemple, l'AP6010DN-AGN est utilisé et dispose de deux radios: radio 0 (radio 2,4 GHz) et radio 1 (radio 5 GHz).

[AC] wlan
[AC-wlan-view] ap auth-mode mac-auth
[AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360
[AC-wlan-ap-0] ap-name area_1
[AC-wlan-ap-0] ap-group ap-group1
Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configuration
s of the radio, Whether to continue? [Y/N]:y 
[AC-wlan-ap-0] quit

# Une fois l'AP sous tension, exécutez la commande display ap all pour vérifier l'état de l'AP. Si le champ État est affiché comme ni , l'AP se connecte normalement.

[AC-wlan-view] display ap all
Total AP information:
nor  : normal          [1]
-------------------------------------------------------------------------------------
ID   MAC            Name   Group     IP            Type            State STA Uptime
-------------------------------------------------------------------------------------
0    60de-4476-e360 area_1 ap-group1 10.23.100.254 AP6010DN-AGN    nor   0   10S
-------------------------------------------------------------------------------------
Total: 1

                               Étape 6     Configurez l'authentification RADIUS.

1.          Configurez un modèle de serveur RADIUS, un schéma d'authentification AAA et des informations de domaine.

20170323142133630005.jpg

Assurez-vous que l'adresse IP, le numéro de port et la clé partagée du serveur RADIUS sont correctement configurés et identiques à ceux du serveur RADIUS.

Le STA envoie son adresse MAC comme nom d'utilisateur au serveur RADIUS pour l'authentification, de sorte que l'AC doit être désactivé pour ajouter un nom de domaine au nom d'utilisateur (paramètre par défaut).

# Configurez un modèle de serveur RADIUS.

[AC] radius-server template radius_huawei
[AC-radius-radius_huawei] radius-server authentication 10.23.200.1 1812
[AC-radius-radius_huawei] radius-server shared-key cipher Huawei@123   
[AC-radius-radius_huawei] calling-station-id mac-format hyphen-split mode2  
[AC-radius-radius_huawei] radius-attribute set service-type 10  
[AC-radius-radius_huawei] quit

# Configurez un schéma d'authentification RADIUS.

[AC] aaa
[AC-aaa] authentication-scheme radius_huawei
[AC-aaa-authen-radius_huawei] authentication-mode radius
[AC-aaa-authen-radius_huawei] quit

# Créez un domaine AAA et configurez le modèle de serveur RADIUS et le schéma d'authentification.

[AC-aaa] domain huawei.com
[AC-aaa-domain-huawei.com] radius-server radius_huawei
[AC-aaa-domain-huawei.com] authentication-scheme radius_huawei
[AC-aaa-domain-huawei.com] quit
[AC-aaa] quit

2.          Configurez globalement les noms d'utilisateur dans l'authentification d'adresse MAC sans le délimiteur "-" (réglage par défaut).

3.          Testez si une STA peut être authentifiée à l'aide de l'authentification RADIUS. Dans l'authentification de l'adresse MAC, l'adresse MAC de STA est utilisée comme nom d'utilisateur et mot de passe.

[AC] test-aaa 001122334455 001122334455 radius-template radius_huawei
Info: Account test succeed.

                               Étape 7     Configurez le profil d'accès MAC m1 .

20170323142133630005.jpg

Dans un profil d'accès MAC, une adresse MAC sans tirets (-) est utilisée comme nom d'utilisateur et mot de passe pour l'authentification de l'adresse MAC.

[AC] mac-access-profile name m1
[AC-mac-access-profile-m1] quit

                               Étape 8     Configurez le profil d'authentification p1 .

[AC] authentication-profile name p1
[AC-authen-profile-p1] mac-access-profile m1
[AC-authen-profile-p1] access-domain huawei.com mac-authen force
[AC-authen-profile-p1] quit

                               Étape 9     Configurez les paramètres du service WLAN.

# Créez un profil de sécurité wlan-security et définissez la politique de sécurité dans le profil. Par défaut, la politique de sécurité est un système ouvert.

[AC] wlan
[AC-wlan-view] security-profile name wlan-security
[AC-wlan-sec-prof-wlan-security] quit

# Créez le profil SSID wlan-ssid et définissez le nom SSID sur wlan-net .

[AC-wlan-view] ssid-profile name wlan-ssid
[AC-wlan-ssid-prof-wlan-ssid] ssid wlan-net
Warning: This action may cause service interruption. Continue?[Y/N]y
[AC-wlan-ssid-prof-wlan-ssid] quit

# Créez un profil VAP wlan-vap , configurez le mode de transfert de données et les VLAN de service, et appliquez le profil de sécurité, le profil SSID et le profil d'authentification au profil VAP.

[AC-wlan-view] vap-profile name wlan-vap
[AC-wlan-vap-prof-wlan-vap] forward-mode tunnel
Warning: This action may cause service interruption. Continue?[Y/N]y
[AC-wlan-vap-prof-wlan-vap] service-vlan vlan-id 101
[AC-wlan-vap-prof-wlan-vap] security-profile wlan-security
[AC-wlan-vap-prof-wlan-vap] ssid-profile wlan-ssid
[AC-wlan-vap-prof-wlan-vap] authentication-profile p1
[AC-wlan-vap-prof-wlan-vap] quit

# Liez le profil VAP wlan-vap au groupe AP et appliquez le profil à la radio 0 et à la radio 1 de l'AP.

[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] vap-profile wlan-vap wlan 1 radio 0
[AC-wlan-ap-group-ap-group1] vap-profile wlan-vap wlan 1 radio 1
[AC-wlan-ap-group-ap-group1] quit

                            Étape 10     Validez la configuration.

[AC-wlan-view] commit all
Warning: Committing configuration may cause service interruption, continue?[Y/N]:y

                            Étape 11     Configurez le serveur ISE.

# Connectez-vous au serveur ISE.

1.          Saisissez l'adresse d'accès du serveur ISE dans la barre d'adresse, au format https: // ISE-IP . ISE-IP est l'adresse IP du serveur ISE.

2.          Sur la page affichée, entrez le nom d'utilisateur et le mot de passe pour vous connecter au serveur ISE.

# Créer des informations de compte utilisateur. Choisissez Administration > Gestion des identités > Identités , puis cliquez sur Endpoints . Dans le volet de droite, cliquez sur Ajouter pour ajouter des adresses MAC.

20170323142134304006.png

 

# Ajoutez les informations AC afin que l'ISE puisse interagir avec l'AC. Choisissez Administration > Ressources réseau > Périphériques réseau . Dans le volet de droite, cliquez sur Ajouter pour ajouter des informations AC.

        

Paramètre

Valeur

Remarques

Nom

AC

-

Adresse IP

10.23.100.1/32

L'adresse IP de l'AC doit être accessible depuis le serveur ISE.

Secret partagé

Huawei @ 123

La valeur doit être la même que la clé de serveur RADIUS configurée sur l'AC.

 

20170323142135370007.png

 

# Configurez les protocoles d'authentification et de chiffrement autorisés. Choisissez Stratégie > Éléments de stratégie > Résultats > Authentification > Protocoles autorisés , puis cliquez sur Ajouter pour configurer les protocoles d'authentification et de chiffrement autorisés. L'authentification de l'adresse MAC utilise le protocole d'authentification PAP.

20170323142136056008.png

 

# Configurer les politiques d'authentification et d'autorisation. Choisissez la stratégie > l' authentification . Le type de stratégie peut être défini sur Simple ou basé sur des règles . Dans cet exemple, définissez-le sur Simple . Ensuite, liez les informations utilisateur et les protocoles d'authentification autorisés configurés dans les étapes précédentes à la stratégie d'authentification.

20170323142137043009.png

 

                            Étape 12     Vérifiez la configuration.

l    Le WLAN avec SSID wlan-net est disponible pour les STA connectés à l'AP.

l Une    fois la fonction WLAN activée sur les appareils sans fil, ils peuvent accéder au WLAN et fournir des services publics.

l Une    fois que le STA se connecte au WLAN, l'authentification est effectuée automatiquement. Vous pouvez accéder directement au WLAN.

----Fin

Fichiers de configuration

l    Fichier de configuration de SwitchA

#
sysname SwitchA
#
vlan batch 100
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk pvid vlan 100
 port trunk allow-pass vlan 100
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 100
#
return

l    fichier de configuration AC

#
 sysname AC
#
vlan batch 100 to 101
#
authentication-profile name p1
 mac-access-profile m1
 access-domain huawei.com mac-authen force
#
dhcp enable
#
radius-server template radius_huawei
 radius-server shared-key cipher %^%#Oc6_BMCw#9gZ2@SMVtk!PAC6>Ou*eLW/"qLp+f#$%^%#
 radius-server authentication 10.23.200.1 1812 weight 80
 calling-station-id mac-format hyphen-split mode2
 radius-attribute set service-type 10
#
mac-access-profile name m1
#
aaa
 authentication-scheme radius_huawei
  authentication-mode radius
 domain huawei.com
  authentication-scheme radius_huawei
  radius-server radius_huawei
#
interface Vlanif100
 ip address 10.23.100.1 255.255.255.0
 dhcp select interface
#
interface Vlanif101
 ip address 10.23.101.1 255.255.255.0
 dhcp select interface
#
interface GigabitEthernet1/0/1
 port link-type trunk
 port trunk allow-pass vlan 100
#
interface GigabitEthernet1/0/2
 port link-type trunk
 port trunk allow-pass vlan 101
#
ip route-static 10.23.200.0 255.255.255.0 10.23.101.2
#  
capwap source interface vlanif100
#
wlan
 security-profile name wlan-security
 ssid-profile name wlan-ssid
  ssid wlan-net
 vap-profile name wlan-vap
  forward-mode tunnel
  service-vlan vlan-id 101
  ssid-profile wlan-ssid
  security-profile wlan-security
  authentication-profile p1
 regulatory-domain-profile name domain1
 ap-group name ap-group1
  regulatory-domain-profile domain1
  radio 0
   vap-profile wlan-vap wlan 1
  radio 1
   vap-profile wlan-vap wlan 1
 ap-id 0 ap-mac 60de-4476-e360
  ap-name area_1
  ap-group ap-group1
#
return


  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Communauté de Support de Huawei Entreprise
Communauté de Support de Huawei Entreprise
Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.