Exemple de déploiement de la fonction de mobilité libre pour la modification de l'emplacement physique des utilisateurs (V200R006C00, V200R007C00)

25 0 1 0

Aperçu de la mobilité gratuite

Dans un réseau d'entreprise, différentes stratégies d'accès au réseau peuvent être déployées pour les utilisateurs sur des périphériques d'accès afin de répondre aux différentes exigences d'accès au réseau. L’application des technologies de bureau mobile et BYOD entraîne de fréquents changements d’emplacement physique et d’adresses IP des utilisateurs. Par conséquent, la solution de contrôle de réseau d'origine basée sur les ports physiques et les adresses IP ne peut pas garantir la cohérence de l'expérience d'accès au réseau. Par exemple, la stratégie d'accès réseau d'un utilisateur ne change pas lorsque son emplacement physique change.

La solution de mobilité gratuite permet à un utilisateur d’obtenir la même politique d’accès au réseau indépendamment de son emplacement et de la modification de son adresse IP dans un réseau agile.

Les commutateurs doivent être associés à Agile Controller-Campuss dans la solution de mobilité libre. Un administrateur n'a besoin que de déployer de manière uniforme les stratégies d'accès réseau sur Agile Controller-Campuss pour les utilisateurs et de fournir les stratégies à tous les commutateurs associés. Après cela, un utilisateur peut obtenir la même stratégie d'accès, peu importe la façon dont son emplacement physique et son adresse IP changent.

Notes de configuration

l    La mobilité libre est prise en charge uniquement en mode unifié NAC.

l    Le tableau suivant répertorie les produits et versions applicables.

Tableau 1-1 Produits et versions applicables

Version

Modèle

Versions V200R006C00, V200R007C00 et V200R008C00

Pris en charge uniquement par les modèles S5720HI, S7700 et S9700

 

l    Si le commutateur principal a été associé à un agile Controller Campus et que la mobilité est configurée, procédez comme suit pour supprimer les données historiques et reconfigurer le commutateur principal.

une.          Exécutez la commande undo group-policy controller dans la vue système pour désactiver la mobilité et déconnectez le commutateur de Agile Controller-Campus.

b.          Exécutez la commande undo acl all pour supprimer la stratégie de contrôle d'accès.

c.          Exécutez la commande undo ucl-group ip all pour supprimer les adresses IP liées à des groupes de sécurité.

ré.          Exécutez la commande undo ucl-group all pour supprimer les groupes de sécurité.

e.          Retournez à la vue utilisateur et exécutez la commande save. Le système supprime automatiquement le numéro de version configuré.

Exigences de mise en réseau

Les employés d'une entreprise se connectent au réseau en modes filaire et sans fil et sont authentifiés à l'aide de l'authentification 802.1x ou Portal.

Les employés ne travaillent pas dans des emplacements fixes et souhaitent obtenir les mêmes droits après avoir été authentifiés, quel que soit leur emplacement d'accès.

Figure 1-1 Mise en réseau

20170323112419176004.png

 

Analyse des exigences

Comme le montre la figure 1-1 , le commutateur principal de commutateur principal agile (prenant en charge l’AC natif) sert de point d’authentification et le commutateur d’accès est un commutateur commun.

Vous pouvez configurer les authentifications 802.1x et Portal sur le commutateur principal pour que les utilisateurs câblés et sans fil puissent se connecter au réseau après leur authentification par le commutateur principal.

Vous pouvez configurer la mobilité libre de sorte que les utilisateurs disposent des mêmes droits et bénéficient de la même expérience indépendamment de leur emplacement d'accès.

Plan de données

Tableau 1-2 Plan de données réseau

Article

Les données

La description

Plan VLAN

ID: 11

Adresse IP: 192.168.11.254/24

Le commutateur principal utilise ce VLAN pour communiquer avec Agile Controller-Campus.

ID: 12

Adresse IP: 192.168.12.254/24

Le commutateur principal utilise ce VLAN pour gérer les points d'accès.

ID: 13

Adresse IP: 192.168.13.254/24

Le commutateur principal utilise ce VLAN pour fournir des services d'accès sans fil.

ID: 14

Adresse IP: 192.168.14.254/24

Le commutateur principal utilise ce VLAN pour fournir des services d'accès filaires.

Commutateur de base (coreswitch)

Numéro d'interface: GE1 / 0/11

ID des VLAN autorisés: 11

Cette interface permet aux paquets des VLAN planifiés de passer.

Numéro d'interface: GE1 / 0/12

ID des VLAN autorisés: 12, 14

Cette interface permet aux paquets du VLAN du service d'accès filaire et du VLAN de gestion des AP de passer.

Commutateur d'accès

Numéro d'interface: GE0 / 0/1

ID des VLAN autorisés: 12, 14

Cette interface se connecte à GE1 / 0/12 sur le commutateur principal (commutateur principal).

Numéro d'interface: GE0 / 0/3

ID des réseaux locaux virtuels autorisés: 14

Cette interface fournit un accès filaire et permet aux paquets du VLAN du service d'accès filaire de passer.

Numéro d'interface: GE0 / 0/5

ID des réseaux locaux virtuels autorisés: 12

Cette interface fournit un accès sans fil et permet aux paquets du VLAN de gestion des AP de passer.

Serveur

Contrôleur-Campus Agile: 192.168.11.1

Le gestionnaire de service (SM) et le contrôleur de service (SC) sont installés sur le même serveur.Le SC fonctionne à la fois comme serveur RADIUS et serveur de portail.

Serveur de messagerie 1: 192.168.11.100

Serveur de messagerie 2: 192.168.11.101

-

Serveur DNS: 192.168.11.200

-

 

Tableau 1-3 Plan de données de service

Article

Les données

La description

Commutateur de base (coreswitch)

Serveur d'authentification RADIUS:

l   Adresse IP: 192.168.11.1

l   Numéro de port: 1812

l   Clé partagée RADIUS: Admin @ 123

l   Le SC de Agile Controller-Campus intègre le serveur RADIUS et le serveur de portail. Par conséquent, les adresses IP du serveur d'authentification, du serveur de comptabilité et du serveur de portail sont l'adresse IP du SC.

l   Configurez un serveur de comptabilité RADIUS pour collecter les informations de connexion et de déconnexion de l'utilisateur. Les numéros de port du serveur d'authentification et du serveur de comptabilité doivent être identiques aux numéros de port d'authentification et de comptabilité du serveur RADIUS. Sur Agile Controller-Campus, les numéros de port d'authentification et de comptabilité RADIUS fixes sont respectivement 1812 et 1813, et le numéro de port du serveur de portail fixe est 50200.

Serveur de comptabilité RADIUS:

l   Adresse IP: 192.168.11.1

l   Numéro de port: 1813

l   Clé partagée RADIUS: Admin @ 123

l   Intervalle de comptabilisation: 15 minutes

Serveur de portail:

l   Adresse IP: 192.168.11.1

l   Numéro de port: 50200

l   Clé partagée: Admin @ 123

Mot de passe XMPP: Admin @ 123

La configuration est la même que celle du contrôleur-campus agile.

Contrôleur-Campus Agile

Adresse IP du commutateur principal: 192.168.11.254

Cette adresse IP est l'adresse IP de VLANIF 11.

Paramètres RADIUS:

l   Appareil: Huawei Quidway série

l   Clé d'authentification RADIUS: Admin @ 123

l   Clé de comptabilité RADIUS: Admin @ 123

l   Intervalle de comptabilisation en temps réel: 15 minutes

La configuration est la même que celle du commutateur principal.

Paramètres du portail:

l   Numéro de port: 2000

l   Clé de portail: Admin @ 123

l   Adresses IP des terminaux d'accès

Terminal sans fil: 192.168.13.0/24

Terminal filaire: 192.168.14.0/24

Mot de passe XMPP: Admin @ 123

La configuration est la même que celle du commutateur principal.

Département:

Employé

Supposons que l' employé du département existe sous ROOT .Configurez la mobilité gratuite pour le service Employé dans cet exemple.

Groupe de sécurité:

Employee_Group

Serveur de messagerie:

l   Serveur de messagerie 1: 192.168.11.100

l   Serveur de messagerie 2: 192.168.11.101

Utilisez l'autorisation rapide pour autoriser le groupe de sécurité Employee_Group au service des employés.

Domaine de post-authentification

Serveurs de messagerie

Les employés peuvent accéder aux serveurs de messagerie après avoir été authentifiés.

Domaine de pré-authentification

Serveur dns

Les employés peuvent envoyer des noms de domaine au serveur DNS à des fins de résolution avant d'être authentifiés.

 

Feuille de route de configuration

Configurez le commutateur principal.

1.          Basculez le mode de configuration NAC en mode unifié.

2          Configurez les interfaces et les VLAN et activez la fonction de serveur DHCP.

3          Configurez les paramètres pour l'interconnexion avec le serveur RADIUS.

4          Configurez les paramètres pour l'interconnexion avec le serveur de portail.

5          Configurez le point d'authentification d'accès pour les PC fixes.

6          Configurez une règle sans authentification.

7.          Configurez les paramètres du système AC pour fournir un accès sans fil.

8          Configurez les paramètres XMPP pour l'interconnexion avec Agile Controller-Campus et autorisez la mobilité.

Configurez le commutateur d'accès.

1.          Configurez les interfaces et les VLAN pour mettre en œuvre la communication réseau.

2          Configurez le commutateur pour transmettre de manière transparente les paquets 802.1x.

20170323112420605005.jpg

Dans cet exemple, le commutateur de réseau local existe entre le commutateur de commutateur d'accès et les utilisateurs. Pour vous assurer que les utilisateurs peuvent réussir l'authentification 802.1x, vous devez configurer la fonction de transmission transparente de paquet EAP sur le commutateur LAN.

l   Méthode 1: Le S5700 est utilisé comme exemple de commutateur de réseau local. Effectuez les opérations suivantes:

l   Exécutez la commande l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002 dans la vue système du commutateur de réseau local afin de configurer celui-ci pour la transmission transparente de paquets EAP.

1.      Exécutez la commande  l2protocol-tunnel user-defined-protocol 802.1x enable sur l'interface connectant les utilisateurs et l'interface connectant le commutateur d'accès pour activer la fonction de transmission transparente du protocole de couche 2.

l   Méthode 2: cette méthode est recommandée lorsqu'un grand nombre d'utilisateurs existe ou lorsque des performances réseau élevées sont requises. Seuls les modèles S5720EI, S5720HI et S6720EI prennent en charge cette méthode.

l   Exécutez les commandes suivantes dans la vue système:

l  undo bpdu mac-address 0180-c200-0000 ffff-ffff-fff0

l  bpdu mac-address 0180-c200-0000 FFFF-FFFF-FFFE

l  bpdu mac-address 0180-c200-0002 FFFF-FFFF-FFFF

l  bpdu mac-address 0180-c200-0004 FFFF-FFFF-FFFC

l  bpdu mac-address 0180-c200-0008 FFFF-FFFF-FFF8

1.      (Cette étape est obligatoire lorsque vous passez de la méthode 1 à la méthode 2.) Exécutez la commande undo l2protocol-tunnel user-defined-protocol 802.1x enable dans la vue Interface pour supprimer la configuration de la transmission transparente des paquets de protocole 802.1x.

Configurez le contrôleur-campus agile.

1.          Configurez les paramètres RADIUS, Portal et XMPP, puis ajoutez le commutateur principal.

2          Configurez les groupes de sécurité Employee_Group et Email_Server pour indiquer les utilisateurs et les ressources, respectivement.

3          Utilisez l'autorisation rapide pour autoriser le groupe de sécurité Employee_Group au service des employés. Les employés sont mappés sur le groupe de sécurité Employee_Group après avoir été authentifié.

4          Configurez une stratégie de contrôle d'accès pour permettre à Employee_Group d'accéder à Email_Server .

Procédure

                               Étape 1      Configurez le commutateur principal.

1.          Basculez le mode de configuration NAC en mode unifié.

20170323112420605005.jpg

Vous devez basculer le mode de configuration NAC sur le mode unifié sur un commutateur avec la fonction de mobilité libre configurée. Le mode unifié prend effet après le redémarrage du commutateur.

<HUAWEI> system-view 
[HUAWEI] sysname coreswitch 
[coreswitch] authentication unified-mode 
[coreswitch] quit 
<coreswitch> save 

2          Configurez les interfaces et les VLAN et activez la fonction de serveur DHCP.

[coreswitch] vlan batch 11 to 14 
[coreswitch] interface vlanif 11     
[coreswitch-Vlanif11] ip address 192.168.11.254 255.255.255.0 
[coreswitch-Vlanif11] quit 
[coreswitch] dhcp enable                                  
[coreswitch] interface vlanif 12     
[coreswitch-Vlanif12] ip address 192.168.12.254 255.255.255.0 
[coreswitch-Vlanif12] dhcp select interface     
[coreswitch-Vlanif12] quit 
[coreswitch] interface vlanif 13                                  
[coreswitch-Vlanif13] ip address 192.168.13.254 255.255.255.0 
[coreswitch-Vlanif13] dhcp select interface                                  
[coreswitch-Vlanif13] dhcp server dns-list 192.168.11.200 
[coreswitch-Vlanif13] quit 
[coreswitch] interface vlanif 14                                   
[coreswitch-Vlanif14] ip address 192.168.14.254 255.255.255.0 
[coreswitch-Vlanif14] dhcp select interface                                  
[coreswitch-Vlanif14] dhcp server dns-list 192.168.11.200 
[coreswitch-Vlanif14] quit 
[coreswitch] interface gigabitEthernet 1/0/11 
[coreswitch-GigabitEthernet1/0/11] port link-type trunk 
[coreswitch-GigabitEthernet1/0/11] port trunk allow-pass vlan 11 
[coreswitch-GigabitEthernet1/0/11] quit 
[coreswitch] interface gigabitEthernet 1/0/12 
[coreswitch-GigabitEthernet1/0/12] port link-type trunk 
[coreswitch-GigabitEthernet1/0/12] port trunk allow-pass vlan 12 14 
[coreswitch-GigabitEthernet1/0/12] quit  

3          Configurez les paramètres pour l'interconnexion avec le serveur RADIUS.

[coreswitch] radius-server template policy     
[coreswitch-radius-policy] radius-server authentication 192.168.11.1 1812     
[coreswitch-radius-policy] radius-server accounting 192.168.11.1 1813         
[coreswitch-radius-policy] radius-server shared-key cipher Admin@123                    
[coreswitch-radius-policy] quit 
[coreswitch] aaa 
[coreswitch-aaa] authentication-scheme auth     
[coreswitch-aaa-authen-auth] authentication-mode radius     
[coreswitch-aaa-authen-auth] quit 
[coreswitch-aaa] accounting-scheme acco     
[coreswitch-aaa-accounting-acco] accounting-mode radius     
[coreswitch-aaa-accounting-acco] accounting realtime 15     
[coreswitch-aaa-accounting-acco] quit 
[coreswitch-aaa] domain default     
[coreswitch-aaa-domain-default] radius-server policy 
[coreswitch-aaa-domain-default] authentication-scheme auth 
[coreswitch-aaa-domain-default] accounting-scheme acco 
[coreswitch-aaa-domain-default] quit 
[coreswitch-aaa] quit 

4          Configurez les paramètres pour l'interconnexion avec le serveur de portail.

[coreswitch] url-template name huawei     
[coreswitch-url-template-huawei] url http://192.168.11.1:8080/portal     
[coreswitch-url-template-huawei] quit 
[coreswitch] web-auth-server policy      
[coreswitch-web-auth-server-policy] server-ip 192.168.11.1     
[coreswitch-web-auth-server-policy] port 50200                
[coreswitch-web-auth-server-policy] shared-key cipher Admin@123     
[coreswitch-web-auth-server-policy] url-template huawei      
[coreswitch-web-auth-server-policy] quit 

5          Configurez GE1 / 0/12 en tant que point d’authentification d’accès pour les PC fixes.

[coreswitch] interface gigabitEthernet 1/0/12 
[coreswitch-GigabitEthernet1/0/12] authentication dot1x portal    
[coreswitch-GigabitEthernet1/0/12] dot1x authentication-method eap    
[coreswitch-GigabitEthernet1/0/12] web-auth-server policy direct    
[coreswitch-GigabitEthernet1/0/12] domain name default force    
[coreswitch-GigabitEthernet1/0/12] quit

6          Configurez une règle sans authentification afin que les AP puissent se connecter et que les clients puissent accéder au serveur DNS.

[coreswitch] authentication free-rule 1 destination ip 192.168.11.200 mask 24 source ip any 
[coreswitch] authentication free-rule 2 source vlan 12

7.          Configurez les paramètres système de l’AC (coreswitch dans cet exemple) pour implémenter l’accès sans fil.

une.          Configurez le code de pays, l'ID et l'ID de l'opérateur du AC.

[coreswitch] wlan ac-global country-code cn 
[coreswitch] wlan ac-global ac id 1 carrier id other

b.          Configurez VLANIF 12 en tant qu'interface source de l'AC.

[coreswitch] capwap source interface vlanif 12

20170323112420605005.jpg

l   Dans les versions V200R006 et antérieures, exécutez la commande wlan ac source interface vlanif 12 dans la vue WLAN.

l   Dans les versions V200R007 et versions ultérieures, exécutez la commande capwap source interface vlanif 12 dans la vue système.

c.          Gérez les points d'accès sur le secteur et vérifiez l'ID correspondant à AP7110DN-AGN. L'adresse MAC de l'AP obtenu est dcd2-fc04-b4c0.

[coreswitch] display ap-type all       
  All AP types information: 
  ------------------------------------------------------------------------------ 
  ID     Type 
  ------------------------------------------------------------------------------ 
  17     AP6010SN-GN 
  19     AP6010DN-AGN 
  21     AP6310SN-GN 
  23     AP6510DN-AGN 
  25     AP6610DN-AGN 
  27     AP7110SN-GN 
   
  29     AP5010SN-GN 
  30     AP5010DN-AGN 
  31     AP3010DN-AGN 
  33     AP6510DN-AGN-US 
  34     AP6610DN-AGN-US 
  35     AP5030DN 
  36     AP5130DN 
  37     AP7030DE 
  38     AP2010DN 
  39     AP8130DN 
  40     AP8030DN 
  42     AP9330DN 
  ------------------------------------------------------------------------------ 
  Total number: 19

[coreswitch] wlan 
[coreswitch-wlan-view] ap-auth-mode mac-auth       
[coreswitch-wlan-view] ap id 1 type-id 28 mac dcd2-fc04-b4c0     
[coreswitch-wlan-ap-1] quit 
[coreswitch-wlan-view] ap-region id 10     
[coreswitch-wlan-ap-region-10] quit 
[coreswitch-wlan-view] ap id 1 
[coreswitch-wlan-ap-1] region-id 10       
[coreswitch-wlan-ap-1] quit 

[coreswitch-wlan-view] display ap all     
  All AP(s) information: 
  Normal[1],Fault[0],Commit-failed[0],Committing[0],Config[0],Download[0] 
  Config-failed[0],Standby[0],Type-not-match[0],Ver-mismatch[0] 
  ------------------------------------------------------------------------------ 
  AP    AP                    AP              Profile   AP              AP 
                                              /Region 
  ID    Type                  MAC             ID        State           Sysname 
  ------------------------------------------------------------------------------ 
  1     AP7110DN-AGN          dcd2-fc04-b4c0    0/10              ap-1 
  ------------------------------------------------------------------------------ 
  Total number: 1,printed: 1


20170323112420605005.jpg

Le réglage du canal radio et de la puissance d'un point d'accès peut conduire au réglage d'un autre point d'accès. Pour accélérer les ajustements, minimiser l’impact et réduire la charge de travail, il est conseillé de diviser tous les points d’accès accédant au même AC en plusieurs régions. L'impact de l'ajustement sur un PA est limité dans la région locale.

ré.          Configurez les paramètres du service WLAN.

[coreswitch-wlan-view] wmm-profile name wmm id 1     
[coreswitch-wlan-wmm-prof-wmm] quit 
[coreswitch-wlan-view] radio-profile name radio id 31     
[coreswitch-wlan-radio-prof-radio] wmm-profile name wmm      
[coreswitch-wlan-radio-prof-radio] quit 
[coreswitch-wlan-view] quit 
[coreswitch] interface wlan-ess 32     
[coreswitch-Wlan-Ess32] port trunk allow-pass vlan 13 
[coreswitch-Wlan-Ess32] quit 
[coreswitch] interface wlan-ess 33     
[coreswitch-Wlan-Ess33] port trunk allow-pass vlan 13 
[coreswitch-Wlan-Ess33] quit 
[coreswitch] wlan 
[coreswitch-wlan-view] security-profile name portal_security id 32     
[coreswitch-wlan-sec-prof-portal_security] quit 
[coreswitch-wlan-view] security-profile name dot1x_security id 33     
[coreswitch-wlan-sec-prof-dot1x_security] security-policy wpa2 
[coreswitch-wlan-sec-prof-dot1x_security] wpa2 authentication-method dot1x encryption-method ccmp 
[coreswitch-wlan-sec-prof-dot1x_security] quit 
[coreswitch-wlan-view] traffic-profile name traffic id 1     
[coreswitch-wlan-traffic-prof-traffic] quit 
[coreswitch-wlan-view] service-set name portal_test id 32     
[coreswitch-wlan-service-set-portal_test] ssid portal_test 
[coreswitch-wlan-service-set-portal_test] wlan-ess 32 
[coreswitch-wlan-service-set-portal_test] security-profile id 32 
[coreswitch-wlan-service-set-portal_test] traffic-profile name traffic 
[coreswitch-wlan-service-set-portal_test] service-vlan 13            
[coreswitch-wlan-service-set-portal_test] forward-mode tunnel     
[coreswitch-wlan-service-set-portal_test] quit 
[coreswitch-wlan-view] service-set name dot1x_test id 33      
[coreswitch-wlan-service-set-dot1x_test] ssid dot1x_test 
[coreswitch-wlan-service-set-dot1x_test] wlan-ess 33 
[coreswitch-wlan-service-set-dot1x_test] security-profile id 33 
[coreswitch-wlan-service-set-dot1x_test] traffic-profile name traffic 
[coreswitch-wlan-service-set-dot1x_test] service-vlan 13 
[coreswitch-wlan-service-set-dot1x_test] forward-mode tunnel     
[coreswitch-wlan-service-set-dot1x_test] quit 
[coreswitch-wlan-view] quit 

e.          Configurez l'authentification du portail et l'authentification 802.1x sur les interfaces WLAN-ESS.

[coreswitch] interface wlan-ess 32 
[coreswitch-Wlan-Ess32] domain name default force 
[coreswitch-Wlan-Ess32] authentication portal 
[coreswitch-Wlan-Ess32] web-auth-server policy direct 
[coreswitch-Wlan-Ess32] quit 
[coreswitch] interface wlan-ess 33 
[coreswitch-Wlan-Ess33] domain name default force 
[coreswitch-Wlan-Ess33] authentication dot1x 
[coreswitch-Wlan-Ess33] dot1x authentication-method eap 
[coreswitch-Wlan-Ess33] quit 

F.           Configurez un VAP pour fournir l’authentification du portail et l’authentification 802.1x.

[coreswitch] wlan 
[coreswitch-wlan-view] ap 1 radio 0 
[coreswitch-wlan-radio-1/0] radio-profile id 31 
[coreswitch-wlan-radio-1/0] service-set id 32 
[coreswitch-wlan-radio-1/0] service-set id 33 
[coreswitch-wlan-radio-1/0] quit 
[coreswitch-wlan-view] commit ap 1 
[coreswitch-wlan-view] quit

8          Configurez les paramètres XMPP pour l'interconnexion avec Agile Controller-Campus et autorisez la mobilité.

[coreswitch] group-policy controller 192.168.11.1 password Admin@123 src-ip 192.168.11.254     
[coreswitch] quit 
<coreswitch> save

                               Étape 2      Configurez le commutateur d'accès.

20170323112420605005.jpg

Dans cet exemple, il existe un commutateur d'accès entre les utilisateurs et le commutateur principal, qui fonctionne comme point d'authentification et transmet les paquets de manière transparente. Pour vous assurer que les utilisateurs peuvent passer l'authentification 802.1x, configurez le commutateur d'accès pour qu'il transmette de manière transparente les paquets 802.1x (les paquets EAP dans cet exemple, car le mode EAP est utilisé).

<HUAWEI> system-view 
[HUAWEI] sysname l2switch 
[l2switch] l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002 
[l2switch] vlan batch 12 14 
[l2switch] interface gigabitEthernet 0/0/1 
[l2switch-GigabitEthernet0/0/1] port link-type trunk 
[l2switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 12 14 
[l2switch-GigabitEthernet0/0/1] l2protocol-tunnel user-defined-protocol 802.1x enable 
[l2switch-GigabitEthernet0/0/1] bpdu enable 
[l2switch-GigabitEthernet0/0/1] quit 
[l2switch] interface gigabitEthernet 0/0/3               
[l2switch-GigabitEthernet0/0/3] port link-type access 
[l2switch-GigabitEthernet0/0/3] port default vlan 14 
[l2switch-GigabitEthernet0/0/3] l2protocol-tunnel user-defined-protocol 802.1x enable 
[l2switch-GigabitEthernet0/0/3] bpdu enable 
[l2switch-GigabitEthernet0/0/3] quit 
[l2switch] interface gigabitEthernet 0/0/5             
[l2switch-GigabitEthernet0/0/5] port link-type access 
[l2switch-GigabitEthernet0/0/5] port default vlan 12 
[l2switch-GigabitEthernet0/0/5] l2protocol-tunnel user-defined-protocol 802.1x enable 
[l2switch-GigabitEthernet0/0/5] bpdu enable 
[l2switch-GigabitEthernet0/0/5] quit 
[l2switch] quit 
<l2switch> save

                               Étape 3      Configurez le contrôleur-campus agile.

1.          Ajouter le commutateur de base.

une.          Choisissez Ressource > Périphérique > Gestion des périphériques .

20170323112421379006.png

b.          Cliquez sur XMPP .

20170323112422892007.png

c.          Cliquez sur OK Le statut du commutateur est 20170323112423309008.png et l' état de synchronisation est Succès .

ré.          Sur le commutateur principal, vérifiez l’état de la communication du commutateur avec Agile Controller-Campus.

<coreswitch> display group-policy status 
Controller IP address: 192.168.11.1 
Controller port: 5222 
Backup controller IP address: - 
Backup controller port: - 
Source IP address: 192.168.11.254 
State: working 
Connected controller: master 
Device protocol version: 1 
Controller protocol version: 1 

2          Configurez les groupes de sécurité Employee_Group et Email_Server pour indiquer les utilisateurs et les ressources, respectivement.

une.          Choisissez Stratégie > Contrôle des autorisations > Groupe de sécurité > Gestion du groupe de sécurité .

b.          Cliquez sur Ajouter et créez Employee_Group .

20170323112423301009.png

c.          Répétez l'étape précédente pour créer le groupe de sécurité Email_Server .

ré.          Cliquez sur 20170323112424174010.png à côté de Email_Server et lie les adresses IP des serveurs de messagerie.

20170323112425686011.png

e.          Cliquez sur Déploiement global pour déployer les groupes de sécurité sur l'ensemble du réseau.

3          Utilisez l'autorisation rapide pour autoriser le groupe de sécurité Employee_Group au service des employés. Les employés sont mappés sur le groupe de sécurité Employee_Group après avoir été authentifié.

une.          Choisissez Stratégie > Contrôle des autorisations > Autorisation rapide .

b.          Mappez le département de l' employé sur Employee_Group et cliquez sur OK .

20170323112426227012.png

4          Configurez une stratégie de contrôle d'accès pour permettre à Employee_Group d'accéder à Email_Server .

une.          Choisissez Stratégie > Libre mobilité > Contrôle des autorisations .

b.          Cliquez sur Ajouter .

20170323112427412013.png

c.          Cliquez sur OK et sur le déploiement global .

Une fois la stratégie de contrôle d'accès déployée avec succès, vous pouvez exécuter les commandes suivantes sur le commutateur principal pour afficher les informations de déploiement.

n    display ucl-group all : affiche les groupes de sécurité.

n    display acl all : affiche la politique de contrôle d'accès.

                               Étape 4      Enregistrez la configuration de Core_SW.

Choisissez Ressource > Périphérique > Gestion des périphériques . Cliquez sur 20170323112428736014.png correspondant à Core_SW pour enregistrer la configuration.

20170323112420605005.jpg

L'enregistrement de la configuration est similaire à l'exécution de la commande save sur le périphérique, qui enregistre toutes les configurations de périphérique (y compris les groupes de sécurité, les stratégies de contrôle des droits d'accès et les stratégies de qualité de service déployées sur le contrôleur) dans le fichier de configuration.

Si les groupes de sécurité, les stratégies de contrôle des droits d'accès et les stratégies QoS sont enregistrés dans le fichier de configuration du périphérique, ces configurations peuvent être restaurées directement à partir du fichier de configuration après le redémarrage du périphérique et il n'est pas nécessaire de les demander au contrôleur. Sinon, l'authentification utilisateur échoue après le redémarrage du périphérique, car les groupes de sécurité, les stratégies de contrôle des droits d'accès et les stratégies QoS ne sont pas déployés sur le périphérique.

                               Étape 5      Vérifiez la configuration.

Les utilisateurs qui utilisent des comptes dans le service des employés peuvent accéder aux serveurs de messagerie après avoir passé l'authentification 802.1x ou Portal, quels que soient leurs emplacements d'accès.

----End

Fichiers de configuration

l    Fichier de configuration du commutateur principal


sysname coreswitch 

vlan batch 11 to 14 

wlan ac-global carrier id other ac id 1 

group-policy controller 192.168.11.1 password %^%#(K2]5P#C6'97.pR(gFv$K$KbGYN}R1Y76~K^;AP&%^%# src-ip 192.168.11.254 

dhcp enable 

radius-server template policy 
 radius-server shared-key cipher %^%#teXm2B&.1O0:cj$OWPq7@!Y\!%}dC3Br>p,}l\L.%^%# 
 radius-server authentication 192.168.11.1 1812 weight 80 
 radius-server accounting 192.168.11.1 1813 weight 80 

url-template name huawei 
 url http://192.168.11.1:8080/portal 

web-auth-server policy 
 server-ip 192.168.11.1 
 port 50200 
 shared-key cipher %^%#SQn,Cr"c;M&{#(R^:;P3F_H$3f3sr$C9%*G7R|u3%^%# 
 url-template huawei 

aaa 
 authentication-scheme auth 
  authentication-mode radius 
 accounting-scheme acco 
  accounting-mode radius 
  accounting realtime 15 
 domain default 
  authentication-scheme auth 
  accounting-scheme acco 
  radius-server policy 

interface Vlanif11 
 ip address 192.168.11.254 255.255.255.0 

interface Vlanif12 
 ip address 192.168.12.254 255.255.255.0 
 dhcp select interface 

interface Vlanif13 
 ip address 192.168.13.254 255.255.255.0 
 dhcp select interface 
 dhcp server dns-list 192.168.11.200 

interface Vlanif14 
 ip address 192.168.14.254 255.255.255.0 
 dhcp select interface 
 dhcp server dns-list 192.168.11.200 

interface GigabitEthernet1/0/11 
 port link-type trunk 
 port trunk allow-pass vlan 11 

interface GigabitEthernet1/0/12 
 port link-type trunk 
 port trunk allow-pass vlan 12 14 
 domain name default force 
 authentication dot1x portal 
 web-auth-server policy direct 
 dot1x authentication-method eap 

interface Wlan-Ess32 
 port trunk allow-pass vlan 13 
 domain name default force 
 authentication portal 
 web-auth-server policy direct 

interface Wlan-Ess33 
 port trunk allow-pass vlan 13 
 domain name default force 
 authentication dot1x 
 dot1x authentication-method eap 

authentication free-rule 1 destination ip 192.168.11.200 mask 255.255.255.0 source ip any 
authentication free-rule 2 source vlan 12 

capwap source interface vlanif12 

wlan 
 ap-region id 10 
 ap id 1 type-id 28 mac dcd2-fc04-b4c0 
  region-id 10 
 wmm-profile name wmm id 1 
 traffic-profile name traffic id 1 
 security-profile name portal_security id 32 
 security-profile name dot1x_security id 33 
  security-policy wpa2 
 service-set name portal_test id 32 
  forward-mode tunnel 
  wlan-ess 32 
  ssid portal_test 
  traffic-profile id 1 
  security-profile id 32 
  service-vlan 13 
 service-set name dot1x_test id 33 
  forward-mode tunnel 
  wlan-ess 33 
  ssid dot1x_test 
  traffic-profile id 1 
  security-profile id 33 
  service-vlan 13 
 radio-profile name radio id 31 
  wmm-profile id 1 
 ap 1 radio 0 
  radio-profile id 31 
  service-set id 32 wlan 1 
  service-set id 33 wlan 2 
 wlan work-group default         //This configuration will be displayed on modular switches but not on fixed switches. 

return

l    Fichier de configuration du commutateur d'accès


sysname l2switch 

vlan batch 12 14 

l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002 

interface GigabitEthernet0/0/1 
 port link-type trunk 
 port trunk allow-pass vlan 12 14 
 l2protocol-tunnel user-defined-protocol 802.1x enable 

interface GigabitEthernet0/0/3 
 port link-type access 
 port default vlan 14 
 l2protocol-tunnel user-defined-protocol 802.1x enable 

interface GigabitEthernet0/0/5 
 port link-type access 
 port default vlan 12 
 l2protocol-tunnel user-defined-protocol 802.1x enable 

return


  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

Connectez-vous pour participer à la communication et au partage

S'identifier
Réponse rapide Accéder au haut de page