Exemple de configuration de l'accès invité à l'aide de comptes de médias sociaux (GooglePlus, Facebook,Twitter) (v V200R009C00 et ultérieures)

53 0 0 0

Vue d'ensemble

Une entreprise a déployé un système d'authentification pour mettre en œuvre un contrôle d'accès pour tous les utilisateurs sans fil qui tentent de se connecter au réseau de l'entreprise. Seuls les utilisateurs authentifiés peuvent se connecter au réseau de l'entreprise. Les employés de l'entreprise se connectent au réseau via des PC et les invités se connectent au réseau via des téléphones mobiles. L'administrateur a créé des comptes locaux pour les employés afin qu'ils puissent utiliser les comptes locaux pour passer l'authentification. Pour les comptes d'invité, l'administrateur doit configurer Service Manager pour permettre aux invités de s'authentifier à l'aide de comptes GooglePlus, Facebook ou Twitter.

Notes de configuration

l    L'authentification RADIUS et les clés partagées de comptabilité et les clés partagées du portail sur le commutateur doivent être identiques à celles du périphérique Agile Controller-Campus.

l    Le module Agile Controller-Campus de Huawei fonctionne comme serveur RADIUS dans cet exemple. Pour le contrôleur de campus agile, la version requise est V100R002; V100R003.

l    Par défaut, le commutateur autorise le passage des paquets envoyés aux serveurs RADIUS et Portal. Vous n'avez pas besoin de configurer une règle sans authentification pour les paquets sur le commutateur.

l    Les modes de transfert de données de service sont classés en mode de transfert de tunnel et en mode de transfert direct. Le mode de transfert de tunnel est utilisé dans cet exemple.

-            En mode de transfert de tunnel, le VLAN de gestion et le VLAN de service ne peuvent pas être identiques.

-            En mode de transfert direct, ne configurez pas le VLAN de gestion et le VLAN de service de manière à être identiques. Il est conseillé de configurer l’isolation du port sur l’interface du commutateur directement connectée à l’AP Si l'isolation de port n'est pas configurée, de nombreux paquets de diffusion seront transmis dans les VLAN ou les utilisateurs de WLAN sur différents AP pourront communiquer directement au niveau 2.

l    Aucun mécanisme d'accusé de réception n'est fourni pour la transmission de paquets multidiffusion sur les interfaces radio.De plus, les liaisons sans fil sont instables. Pour assurer la transmission stable des paquets multicast, ils sont généralement envoyés à faible débit. Si un grand nombre de tels paquets de multidiffusion sont envoyés du côté réseau, les interfaces radio peuvent être encombrées. Il est conseillé de configurer la suppression des paquets de multidiffusion pour réduire l'impact d'un grand nombre de paquets de multidiffusion à faible débit sur le réseau sans fil. Faites preuve de prudence lors de la configuration de la limite de débit; sinon, les services de multidiffusion pourraient être affectés.

-            En mode de transfert direct, il est conseillé de configurer la suppression de paquets multidiffusion sur les interfaces de commutateur connectées à des points d'accès.

-            En mode de transfert de tunnel, il est conseillé de configurer la suppression de paquets multidiffusion dans les profils de trafic de l'AC.

Pour plus d'informations sur la configuration de la suppression du trafic, consultez "Comment configurer la suppression des paquets de multidiffusion pour réduire l'impact d'un grand nombre de paquets de multidiffusion à faible débit sur le réseau sans fil?" dans QoS WLAN Configuration du Guide de configuration - WLAN-AC de la version du produit correspondante.

l    Le tableau suivant répertorie les produits et versions applicables.

Tableau 1-1 Produits et versions applicables

Une version de logiciel

modèle du produit

Modèle et version de l'AP

V200R011C10

S5720HI, S7700, S9700

REMARQUE

Pour le S7700, il est conseillé de déployer des commutateurs S7712 ou S7706 pour les services WLAN. Les commutateurs S7703 ne sont pas recommandés.

Pour S9700, il est conseillé de déployer des commutateurs S9712 ou S9706 pour les services WLAN. Les commutateurs S9703 ne sont pas recommandés.

V200R007C20:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN US, AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN, AP9330DN, AP4030DN, AP4130DN, AP2030DN, AP9131DN, AD9430DN-24, AD9430DN-12, R230D, R240D AP4050DN-E, AP4050DN-HD, R250D, R250D-E, AP2050DN, AP2050DN-E, AP8130DN-W, AP4050DN, AP4050DN, AP4501DN, AP8050DN, AP8150DN

V200R007C10:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN US, AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN, AP9330DN, AP4030DN, AP4130DN, AP2030DN, AP9131DN, AD9430DN-24, AD9430DN-12, R230D, R240D AP4050DN-E, AP4050DN-HD, R250D, R250D-E, AP2050DN, AP2050DN-E, AP8130DN-W

V200R006C20:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN États-Unis, AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN, AP9330DN, AP4030DN, AP4130DN, AP3030DN, AP2030DN, AP9302DN, AP9132DN, AD9430DN-24, AD9430DN-12, AD9430DN-12, R230D, R240D

V200R006C10:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN US, AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN, AP9330DN, AP4030DN, AP4130DN, AP3030DN, AP2030DN

V200R010C00

S5720HI, S7700, S9700

REMARQUE

Pour le S7700, il est conseillé de déployer des commutateurs S7712 ou S7706 pour les services WLAN. Les commutateurs S7703 ne sont pas recommandés.

Pour S9700, il est conseillé de déployer des commutateurs S9712 ou S9706 pour les services WLAN. Les commutateurs S9703 ne sont pas recommandés.

V200R007C10:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN US, AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN, AP9330DN, AP4030DN, AP4130DN, AP2030DN, AP9131DN, AD9430DN-24, AD9430DN-12, R230D, R240D AP4050DN-E, AP4050DN-HD, R250D, R250D-E, AP2050DN, AP2050DN-E, AP8130DN-W

V200R006C20:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN États-Unis, AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN, AP9330DN, AP4030DN, AP4130DN, AP3030DN, AP2030DN, AP9302DN, AP9132DN, AD9430DN-24, AD9430DN-12, AD9430DN-12, R230D, R240D

V200R006C10:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN US, AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN, AP9330DN, AP4030DN, AP4130DN, AP3030DN, AP2030DN

V200R009C00

S5720HI, S7700, S9700

REMARQUE

Pour le S7700, il est conseillé de déployer des commutateurs S7712 ou S7706 pour les services WLAN. Les commutateurs S7703 ne sont pas recommandés.

Pour S9700, il est conseillé de déployer des commutateurs S9712 ou S9706 pour les services WLAN. Les commutateurs S9703 ne sont pas recommandés.

V200R007C10:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN US, AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN, AP9330DN, AP4030DN, AP4130DN, AP2030DN, AP9131DN, AD9430DN-24, AD9430DN-12, R230D, R240D AP4050DN-E, AP4050DN-HD, R250D, R250D-E, AP2050DN, AP2050DN-E, AP8130DN-W

V200R006C20:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN États-Unis, AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN, AP9330DN, AP4030DN, AP4130DN, AP3030DN, AP2030DN, AP9302DN, AP9132DN, AD9430DN-24, AD9430DN-12, AD9430DN-12, R230D, R240D

V200R006C10:

AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110SN-GN, AP7110DN-AGN, AP5010SN-GN, AP5010DN-AGN, AP3010DN-AGN, AP6510DN-AGN US, AP5030DN, AP5130DN, AP7030DE, AP2010DN, AP8130DN, AP8030DN, AP9330DN, AP4030DN, AP4130DN, AP3030DN, AP2030DN

 

Exigences de mise en réseau

Dans la figure 1-1 , un commutateur fonctionne en tant que CA et se connecte au point d'accès via un commutateur PoE. Le commutateur PoE alimente le point d'accès. Vous pouvez configurer les services WLAN sur le secteur pour fournir des services d'accès sans fil aux utilisateurs.

Figure 1-1 Mise en réseau d'un réseau local sans fil à petite échelle

20170323112246328004.png

 

Plan de données réseau

Tableau 1-2 Plan de données réseau

Article

Les données

La description

Serveur DHCP AC

192.168.10.1-192.168.10.254 / 24

Pool d'adresses IP pour les AP.

Adresse IP de VLANIF 100: 192.168.10.1

Passerelle connectée à l'AP.

192.168.20.1-192.168.20.254 / 24

Pool d'adresses IP pour les utilisateurs de téléphones mobiles.

Adresse IP de VLANIF 101: 192.168.20.1

Passerelle pour les utilisateurs de téléphones mobiles.

Adresse IP de VLANIF 102: 192.168.30.1

Passerelle connectée au contrôleur agile-campus.

Serveur de portail:

l   Adresse IP: 192.168.30.2

l   Numéro de port que le commutateur utilise pour traiter les paquets Portal: 2000

l   Numéro de port de destination dans les paquets que le commutateur envoie au serveur de portail: 50200

l   Clé partagée du portail: Admin@123

l   Le contrôleur de service (SC) de Agile Controller-Campus intègre le serveur RADIUS et le serveur de portail. Par conséquent, les adresses IP du serveur d'authentification, du serveur de comptabilité et du serveur de portail sont l'adresse IP de Agile Controller-Campus.

l   Configurez un serveur de comptabilité RADIUS pour obtenir les informations de connexion et de déconnexion de l'utilisateur. Les numéros de port du serveur d'authentification et du serveur de comptabilité doivent être identiques aux numéros de port d'authentification et de comptabilité du serveur RADIUS.

Serveur d'authentification RADIUS:

l   Adresse IP: 192.168.30.2

l   Numéro de port: 1812

l   Clé partagée RADIUS: Admin@123

Serveur de comptabilité RADIUS:

l   Adresse IP: 192.168.30.2

l   Numéro de port: 1813

l   Clé partagée RADIUS: Admin@123

l   Intervalle de comptabilisation: 15 minutes

Contrôleur-Campus Agile

Nom de domaine: access.example.com

Les utilisateurs peuvent également utiliser le nom de domaine pour accéder au serveur Portal.

Adresse IP: 192.168.30.2

-

Numéro de port d'authentification: 1812

-

Numéro de port de comptabilité: 1813

-

Clé partagée RADIUS: Admin@123

Ce doit être le même que celui configuré sur le commutateur.

Numéro de port dans les paquets reçus par le serveur de portail: 50200

-

Clé partagée du portail: Admin@123

Ce doit être le même que celui configuré sur le commutateur.

Groupe AP

l   Nom: ap-group1

l   Profils référencés: profil VAP wlan-vap et profil de domaine de régulation domain1

-

Profil de domaine réglementaire

l   Nom: domaine1

l   Code pays: CN

-

Profil SSID

l   Nom: wlan-ssid

l   Nom du SSID: wlan-net

-

Profil de sécurité

l   Nom: wlan-security

l   Politique de sécurité: authentification de système ouvert

-

Profil VAP

l   Nom: wlan-vap

l   Mode de transfert: transfert de tunnel

l   Service VLAN: VLAN 101

l   Profils référencés: profil SSID wlan-ssid , profil de sécurité wlan-security et profil d'authentification p1

-

 

Feuille de route de configuration

1.          Configurez la connectivité réseau.

2          Définissez le mode NAC de l’AC sur Unifié.

3          Configurez les paramètres permettant à l’AC de communiquer avec Agile Controller-Campus (serveur RADIUS).

4          Configurez l'authentification du portail.

5          Configurez le point d'accès pour aller en ligne.

6          Configurez les STA pour aller en ligne.

7.          Configurez le serveur d'authentification Agile Controller-Campus et des médias sociaux.

Procédure

                               Étape 1      Configurez la connectivité réseau.

# Sur le SwitchA, ajoutez GE0/0/1 connecté à l’AP et GE0/0/2 connecté à l’AC au VLAN de gestion 100.

<HUAWEI> system-view 
[HUAWEI] sysname SwitchA 
[SwitchA] vlan batch 100 
[SwitchA] interface gigabitethernet 0/0/1 
[SwitchA-GigabitEthernet0/0/1] port link-type trunk 
[SwitchA-GigabitEthernet0/0/1] port trunk pvid vlan 100 
[SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 
[SwitchA-GigabitEthernet0/0/1] quit 
[SwitchA] interface gigabitethernet 0/0/2 
[SwitchA-GigabitEthernet0/0/2] port link-type trunk 
[SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 
[SwitchA-GigabitEthernet0/0/2] quit

# Sur le secteur, ajoutez GE1/0/1 connecté à SwitchA au VLAN 100, ajoutez GE1/0/3 connecté au Agile Controller-Campus au VLAN 102 et ajoutez GE1/0/2 connecté à Internet au VLAN 101.

<HUAWEI> system-view 
[HUAWEI] sysname AC 
[AC] vlan batch 100 101 102 
[AC] interface gigabitethernet 1/0/1 
[AC-GigabitEthernet1/0/1] port link-type trunk 
[AC-GigabitEthernet1/0/1] port trunk allow-pass vlan 100 
[AC-GigabitEthernet1/0/1] quit 
[AC] interface gigabitethernet 1/0/3 
[AC-GigabitEthernet1/0/3] port link-type trunk 
[AC-GigabitEthernet1/0/3] port trunk allow-pass vlan 102 
[AC-GigabitEthernet1/0/3] quit 
[AC] interface gigabitethernet 1/0/2 
[AC-GigabitEthernet1/0/2] port link-type trunk 
[AC-GigabitEthernet1/0/2] port trunk allow-pass vlan 101 
[AC-GigabitEthernet1/0/2] quit

# Configurez l’AC en tant que serveur DHCP en fonction des pools d’adresses d’interface. VLANIF 100 attribue des adresses IP à l'AP et VLANIF 101 attribue des adresses IP aux STA.

[AC] dhcp enable    
[AC] interface vlanif 100 
[AC-Vlanif100] ip address 192.168.10.1 24 
[AC-Vlanif100] dhcp select interface    
[AC-Vlanif100] quit 
[AC] interface vlanif 101 
[AC-Vlanif101] ip address 192.168.20.1 24    
[AC-Vlanif101] dhcp select interface 
[AC-Vlanif101] quit

# Configurez l’adresse de passerelle du Agile Controller-Campus.

[AC] interface vlanif 102 
[AC-Vlanif102] ip address 192.168.30.1 24 
[AC-Vlanif102] quit

                               Étape 2      Définissez le mode NAC de l’AC sur Unifié.

[AC] authentication unified-mode     
Warning: Switching the authentication mode will take effect after system restart 
. Some configurations are invalid after the mode is switched. For the invalid co 
mmands, see the user manual. Save the configuration file and reboot now? [Y/N]y

                               Étape 3      Configurez les paramètres permettant à l’AC de communiquer avec Agile Controller-Campus (serveur RADIUS).

[AC] radius-server template policy    
[AC-radius-policy] radius-server authentication 192.168.30.2 1812 source ip-address 192.168.30.1    
[AC-radius-policy] radius-server accounting 192.168.30.2 1813 source ip-address 192.168.30.1    
[AC-radius-policy] radius-server shared-key cipher Admin@123    
[AC-radius-policy] quit 
[AC] aaa    
[AC-aaa] authentication-scheme auth    
[AC-aaa-authen-auth] authentication-mode radius    
[AC-aaa-authen-auth] quit 
[AC-aaa] accounting-scheme acco    
[AC-aaa-accounting-acco] accounting-mode radius    
[AC-aaa-accounting-acco] accounting realtime 15    
[AC-aaa-accounting-acco] quit 
[AC-aaa] domain portal    
[AC-aaa-domain-portal] authentication-scheme auth    
[AC-aaa-domain-portal] accounting-scheme acco    
[AC-aaa-domain-portal] radius-server policy    
[AC-aaa-domain-portal] quit 
[AC-aaa] quit 
[AC] domain portal 

                               Étape 4      Configurez l'authentification du portail.

# Configurez les paramètres pour que l’AC communique avec Agile Controller-Campus (serveur de portail).

[AC] web-auth-server portal_huawei    
[AC-web-auth-server-portal_huawei] server-ip 192.168.30.2    
[AC-web-auth-server-portal_huawei] source-ip 192.168.30.1    
[AC-web-auth-server-portal_huawei] port 50200    
[AC-web-auth-server-portal_huawei] shared-key cipher Admin@123    
[AC-web-auth-server-portal_huawei] url http://access.example.com:8080/portal    
[AC-web-auth-server-portal_huawei] quit 
[AC] web-auth-server listening-port 2000    
[AC] portal quiet-period    
[AC] portal quiet-times 5    
[AC] portal timer quiet-period 240  

# Configurez un profil d’accès au portail.

[AC] portal-access-profile name web1 
[AC-portal-acces-profile-web1] web-auth-server portal_huawei direct 
[AC-portal-acces-profile-web1] quit

# Configurez un profil de règle sans authentification.

[AC] acl 6000 
[AC-acl-ucl-6000] rule 1 permit ip destination fqdn www.googleapis.com    
[AC-acl-ucl-6000] rule 2 permit ip destination fqdn apis.google.com    
[AC-acl-ucl-6000] rule 3 permit ip destination fqdn connect.facebook.net    
[AC-acl-ucl-6000] rule 4 permit ip destination fqdn api.twitter.com    
[AC-acl-ucl-6000] rule 5 permit ip destination fqdn abs.twimg.com    
[AC-acl-ucl-6000] rule 6 permit ip destination fqdn mobile.twitter.com    
[AC-acl-ucl-6000] rule 7 permit ip destination fqdn twitter.com    
[AC] free-rule-template name default_free_rule 
[HUAWEI-free-rule-default_free_rule] free-rule acl 6000    
[HUAWEI-free-rule-default_free_rule] quit

# Configurez un profil d'authentification.

[AC] authentication-profile name p1 
[AC-authen-profile-p1] portal-access-profile web1    
[AC-authen-profile-p1] free-rule-template default_free_rule    
[AC-authen-profile-p1] quit

# Configurez les droits d'accès au réseau pour les utilisateurs du domaine de post-authentification.

[AC] acl 3001    
[AC-acl-adv-3001] rule 1 permit ip    
[AC-acl-adv-3001] quit

# Activer l'authentification du portail.

[AC] interface vlanif 101 
[AC-Vlanif101] authentication-profile p1    
[AC-Vlanif101] quit

                               Étape 5      Configurez le point d'accès pour aller en ligne.

# Créez un groupe d’AP auquel les AP avec la même configuration peuvent être ajoutés.

[AC] wlan 
[AC-wlan-view] ap-group name ap-group1 
[AC-wlan-ap-group-ap-group1] quit

# Créez un profil de domaine de réglementation, configurez le code de pays AC dans le profil et appliquez le profil au groupe AP.

[AC-wlan-view] regulatory-domain-profile name domain1 
[AC-wlan-regulate-domain-domain1] country-code cn 
[AC-wlan-regulate-domain-domain1] quit 
[AC-wlan-view] ap-group name ap-group1 
[AC-wlan-ap-group-ap-group1] regulatory-domain-profile domain1 
Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu 
e?[Y/N]:y  
[AC-wlan-ap-group-ap-group1] quit 
[AC-wlan-view] quit

# Configurez l'interface source du AC.

[AC] capwap source interface vlanif 100

# Importez le point d'accès hors ligne sur le secteur et ajoutez-le au groupe AP ap-group1 . Dans cet exemple, l'adresse MAC du AP est 60de-4476-e360. Configurez un nom pour le point d'accès en fonction de l'emplacement de déploiement de celui-ci, afin de savoir où se trouve le point d'accès. Par exemple, si le point d'accès avec l'adresse MAC 60de-4476-e360 est déployé dans la zone 1, nommez-le AP area_1 .

20170323112247254005.jpg

Le mode d'authentification par défaut du point d'accès est l'authentification par adresse MAC. Si les paramètres par défaut sont conservés, vous n'avez pas besoin d'exécuter la commande ap auth-mode mac-auth .

Dans cet exemple, l'AP6010DN-AGN est utilisé et possède deux radios: radio 0 et radio 1. La radio 0 de l'AP6010DN-AGN fonctionne sur la bande de fréquence 2,4 GHz et la radio 1 sur la bande de fréquence 5 GHz.

[AC] wlan 
[AC-wlan-view] ap auth-mode mac-auth 
[AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360 
[AC-wlan-ap-0] ap-name area_1 
[AC-wlan-ap-0] ap-group ap-group1 
Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configuration 
s of the radio, Whether to continue? [Y/N]:y  
[AC-wlan-ap-0] quit

# Une fois le point d'accès allumé, exécutez la commande display ap all pour vérifier son état. Si le champ State affiche nor , le point d'accès est en ligne.

[AC-wlan-view] display ap all 
Total AP information: 
nor  : normal          [1] 
------------------------------------------------------------------------------------- 
ID   MAC            Name   Group     IP            Type            State STA Uptime 
------------------------------------------------------------------------------------- 
0    60de-4476-e360 area_1 ap-group1 10.23.100.254 AP6010DN-AGN    nor   0   10S 
------------------------------------------------------------------------------------- 
Total: 1

                               Étape 6      Configurez les STA pour aller en ligne.

# Créez le profil de sécurité wlan-security et définissez la politique de sécurité pour ouvrir l'authentification du système.

[AC-wlan-view] security-profile name wlan-security 
[AC-wlan-sec-prof-wlan-security] security open    
[AC-wlan-sec-prof-wlan-security] quit

# Créez le profil SSID wlan-ssid et définissez le nom du SSID sur wlan-net .

[AC-wlan-view] ssid-profile name wlan-ssid 
[AC-wlan-ssid-prof-wlan-ssid] ssid wlan-net    
Warning: This action may cause service interruption. Continue?[Y/N]y 
[AC-wlan-ssid-prof-wlan-ssid] quit

# Créez le profil VAP wlan-vap , configurez le mode de transfert des données de service et les VLAN de service, puis appliquez le profil de sécurité, le profil SSID et le profil d'authentification au profil VAP.

[AC-wlan-view] vap-profile name wlan-vap 
[AC-wlan-vap-prof-wlan-vap] forward-mode tunnel    
Warning: This action may cause service interruption. Continue?[Y/N]y 
[AC-wlan-vap-prof-wlan-vap] service-vlan vlan-id 101    
[AC-wlan-vap-prof-wlan-vap] security-profile wlan-security 
[AC-wlan-vap-prof-wlan-vap] ssid-profile wlan-ssid 
[AC-wlan-vap-prof-wlan-vap] authentication-profile p1 
[AC-wlan-vap-prof-wlan-vap] quit

# Liez le profil VAP wlan-vap au groupe AP et appliquez le profil à la radio 0 et à la radio 1 du PA.

[AC-wlan-view] ap-group name ap-group1 
[AC-wlan-ap-group-ap-group1] vap-profile wlan-vap wlan 1 radio 0 
[AC-wlan-ap-group-ap-group1] vap-profile wlan-vap wlan 1 radio 1 
[AC-wlan-ap-group-ap-group1] quit

# Commit la configuration.

[AC-wlan-view] commit all 
Warning: Committing configuration may cause service interruption, continue?[Y/N]:y

                               Étape 7      Configurez le serveur d'authentification Agile Controller-Campus et des médias sociaux. Pour plus d'informations, voir Agile Controller-Campus Product Documentation - Example for Configuring Guest Access Using Social Media Accounts (GooglePlus, Facebook, or Twitter Accounts).

                               Étape 8      Vérifiez la configuration.

Une fois la configuration terminée, exécutez la commande display vap ssid wlan-net . Si le champ Statut affiche ON , le VAP a été créé avec succès sur les radios AP.

[AC-wlan-view] display vap ssid wlan-net 
WID : WLAN ID 
-------------------------------------------------------------------------------- 
AP ID AP name RfID WID     BSSID          Status  Auth type     STA   SSID 
-------------------------------------------------------------------------------- 
0     area_1  1    1       60DE-4476-E360 ON      WPA2-PSK      0     wlan-net 
------------------------------------------------------------------------------- 
Total: 2

Recherchez manuellement le WLAN avec le SSID wlan-net . Une fois le processus d'authentification WeChat terminé, exécutez la commande display station ssid wlan-net sur le AC. Le résultat de la commande indique que l'utilisateur s'est connecté avec succès au réseau local sans fil wlan-net .

[AC-wlan-view] display station ssid wlan-net 
Rf/WLAN: Radio ID/WLAN ID 
Rx/Tx: link receive rate/link transmit rate(Mbps) 
--------------------------------------------------------------------------------- 
STA MAC         AP ID Ap name   Rf/WLAN  Band  Type  Rx/Tx      RSSI  VLAN  IP address 
--------------------------------------------------------------------------------- 
e019-1dc7-1e08  0     area_1    1/1      5G    11n   46/59      -68   101   192.168.20.254 
--------------------------------------------------------------------------------- 
Total: 1 2.4G: 0 5G: 1

----Fin

Fichiers de configuration

l    Fichier de configuration SwitchA


sysname SwitchA 

vlan batch 100 

interface GigabitEthernet0/0/1 
 port link-type trunk 
 port trunk pvid vlan 100 
 port trunk allow-pass vlan 100 

interface GigabitEthernet0/0/2 
 port link-type trunk 
 port trunk allow-pass vlan 100 

return

l    Fichier de configuration AC


sysname AC 

vlan batch 100 to 102 

authentication-profile name p1 
 portal-access-profile web1 
 free-rule-template default_free_rule 

domain portal 

dhcp enable 

authentication-profile name p1 
 portal-access-profile web1 
 free-rule-template default_free_rule 

radius-server template policy 
 radius-server shared-key cipher %^%#v@)#XkYybF19}~4&3(rDX%va0:#G>0MDrOF^B;D+%^%# 
 radius-server authentication 192.168.30.2 1812 source ip-address 192.168.30.1 weight 80 
 radius-server accounting 192.168.30.2 1813 source ip-address 192.168.30.1 weight 80 

acl number 3001 
 rule 1 permit ip 

acl number 6000 
 rule 1 permit ip destination fqdn www.googleapis.com 
 rule 2 permit ip destination fqdn apis.google.com 
 rule 3 permit ip destination fqdn connect.facebook.net 
 rule 4 permit ip destination fqdn api.twitter.com 
 rule 5 permit ip destination fqdn abs.twimg.com 
 rule 6 permit ip destination fqdn mobile.twitter.com 
 rule 7 permit ip destination fqdn twitter.com 

free-rule-template name default_free_rule 
 free-rule acl 6000 

web-auth-server portal_huawei 
 server-ip 192.168.30.2 
 port 50200 
 shared-key cipher %^%#vB3l&dt|S!59SdGIdcT"mwAQ!4[#Y-#{IBGbI[l:%^%# 
 url http://access.example.com:8080/portal 
 source-ip 192.168.30.1 

portal-access-profile name web1 
 web-auth-server portal_huawei direct 

aaa 
 authentication-scheme auth 
  authentication-mode radius 
 accounting-scheme acco 
  accounting-mode radius 
  accounting realtime 15 
 domain portal 
  authentication-scheme auth 
  accounting-scheme acco 
  radius-server policy 

interface Vlanif100 
 ip address 192.168.10.1 255.255.255.0 
 dhcp select interface 

interface Vlanif101 
 ip address 192.168.20.1 255.255.255.0 
 authentication-profile p1 
 dhcp select interface 

interface Vlanif102 
 ip address 192.168.30.1 255.255.255.0 

interface GigabitEthernet1/0/1 
 port link-type trunk 
 port trunk allow-pass vlan 100 

interface GigabitEthernet1/0/2 
 port link-type trunk 
 port trunk allow-pass vlan 101 

interface GigabitEthernet1/0/3 
 port link-type trunk 
 port trunk allow-pass vlan 102 

portal timer quiet-period 240 
portal quiet-times 5 

capwap source interface vlanif100 

wlan 
 security-profile name wlan-security 
 ssid-profile name wlan-ssid 
  ssid wlan-net 
 vap-profile name wlan-vap 
  forward-mode tunnel 
  service-vlan vlan-id 101 
  ssid-profile wlan-ssid 
  security-profile wlan-security 
  authentication-profile p1 
 regulatory-domain-profile name domain1 
 ap-group name ap-group1 
  regulatory-domain-profile domain1 
  radio 0 
   vap-profile wlan-vap wlan 1 
  radio 1 
   vap-profile wlan-vap wlan 1 
 ap-id 0 type-id 19 ap-mac 60de-4476-e360 ap-sn 210235554710CB000042 
  ap-name area_1 
  ap-group ap-group1 

 
return

  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

Connectez-vous pour participer à la communication et au partage

S'identifier
Réponse rapide Accéder au haut de page