Aperçu de la mobilité gratuite
Dans un réseau d'entreprise, différentes stratégies d'accès au réseau peuvent être déployées pour les utilisateurs sur des périphériques d'accès afin de répondre aux différentes exigences d'accès au réseau. L’application des technologies de bureau mobile et BYOD entraîne de fréquents changements d’emplacement physique et d’adresses IP des utilisateurs. Par conséquent, la solution de contrôle de réseau d'origine basée sur les ports physiques et les adresses IP ne peut pas garantir la cohérence de l'expérience d'accès au réseau. Par exemple, la stratégie d'accès réseau d'un utilisateur ne change pas lorsque son emplacement physique change.
La solution de mobilité gratuite permet à un utilisateur d’obtenir la même politique d’accès au réseau indépendamment de son emplacement et de la modification de son adresse IP dans un réseau agile.
Les commutateurs doivent être associés à Agile Controller-Campuss dans la solution de mobilité libre. Un administrateur n'a besoin que de déployer de manière uniforme les stratégies d'accès réseau sur Agile Controller-Campuss pour les utilisateurs et de fournir les stratégies à tous les commutateurs associés. Après cela, un utilisateur peut obtenir la même stratégie d'accès, peu importe la façon dont son emplacement physique et son adresse IP changent.
Notes de configuration
l La mobilité libre est prise en charge uniquement en mode unifié NAC.
l Le tableau suivant répertorie les produits et versions applicables.
Tableau 1-1 Produits et versions applicables
Version | Modèle |
Versions V200R006C00, V200R007C00 et V200R008C00 | Pris en charge uniquement par les modèles S5720HI, S7700 et S9700 |
l Si le commutateur principal a été associé à un agile Controller Campus et que la mobilité est configurée, procédez comme suit pour supprimer les données historiques et reconfigurer le commutateur principal.
une. Exécutez la commande undo group-policy controller dans la vue système pour désactiver la mobilité et déconnectez le commutateur de Agile Controller-Campus.
b. Exécutez la commande undo acl all pour supprimer la stratégie de contrôle d'accès.
c. Exécutez la commande undo ucl-group ip all pour supprimer les adresses IP liées à des groupes de sécurité.
ré. Exécutez la commande undo ucl-group all pour supprimer les groupes de sécurité.
e. Retournez à la vue utilisateur et exécutez la commande save. Le système supprime automatiquement le numéro de version configuré.
Exigences de mise en réseau
Les employés d'une entreprise se connectent au réseau en modes filaire et sans fil et sont authentifiés à l'aide de l'authentification 802.1x ou Portal.
Les employés ne travaillent pas dans des emplacements fixes et souhaitent obtenir les mêmes droits après avoir été authentifiés, quel que soit leur emplacement d'accès.
Figure 1-1 Mise en réseau
Analyse des exigences
Comme le montre la figure 1-1 , le commutateur principal de commutateur principal agile (prenant en charge l’AC natif) sert de point d’authentification et le commutateur d’accès est un commutateur commun.
Vous pouvez configurer les authentifications 802.1x et Portal sur le commutateur principal pour que les utilisateurs câblés et sans fil puissent se connecter au réseau après leur authentification par le commutateur principal.
Vous pouvez configurer la mobilité libre de sorte que les utilisateurs disposent des mêmes droits et bénéficient de la même expérience indépendamment de leur emplacement d'accès.
Plan de données
Tableau 1-2 Plan de données réseau
Article | Les données | La description |
Plan VLAN | ID: 11 Adresse IP: 192.168.11.254/24 | Le commutateur principal utilise ce VLAN pour communiquer avec Agile Controller-Campus. |
ID: 12 Adresse IP: 192.168.12.254/24 | Le commutateur principal utilise ce VLAN pour gérer les points d'accès. | |
ID: 13 Adresse IP: 192.168.13.254/24 | Le commutateur principal utilise ce VLAN pour fournir des services d'accès sans fil. | |
ID: 14 Adresse IP: 192.168.14.254/24 | Le commutateur principal utilise ce VLAN pour fournir des services d'accès filaires. | |
Commutateur de base (coreswitch) | Numéro d'interface: GE1 / 0/11 ID des VLAN autorisés: 11 | Cette interface permet aux paquets des VLAN planifiés de passer. |
Numéro d'interface: GE1 / 0/12 ID des VLAN autorisés: 12, 14 | Cette interface permet aux paquets du VLAN du service d'accès filaire et du VLAN de gestion des AP de passer. | |
Commutateur d'accès | Numéro d'interface: GE0 / 0/1 ID des VLAN autorisés: 12, 14 | Cette interface se connecte à GE1 / 0/12 sur le commutateur principal (commutateur principal). |
Numéro d'interface: GE0 / 0/3 ID des réseaux locaux virtuels autorisés: 14 | Cette interface fournit un accès filaire et permet aux paquets du VLAN du service d'accès filaire de passer. | |
Numéro d'interface: GE0 / 0/5 ID des réseaux locaux virtuels autorisés: 12 | Cette interface fournit un accès sans fil et permet aux paquets du VLAN de gestion des AP de passer. | |
Serveur | Contrôleur-Campus Agile: 192.168.11.1 | Le gestionnaire de service (SM) et le contrôleur de service (SC) sont installés sur le même serveur.Le SC fonctionne à la fois comme serveur RADIUS et serveur de portail. |
Serveur de messagerie 1: 192.168.11.100 Serveur de messagerie 2: 192.168.11.101 | - | |
Serveur DNS: 192.168.11.200 | - |
Tableau 1-3 Plan de données de service
Article | Les données | La description |
Commutateur de base (coreswitch) | Serveur d'authentification RADIUS: l Adresse IP: 192.168.11.1 l Numéro de port: 1812 l Clé partagée RADIUS: Admin @ 123 | l Le SC de Agile Controller-Campus intègre le serveur RADIUS et le serveur de portail. Par conséquent, les adresses IP du serveur d'authentification, du serveur de comptabilité et du serveur de portail sont l'adresse IP du SC. l Configurez un serveur de comptabilité RADIUS pour collecter les informations de connexion et de déconnexion de l'utilisateur. Les numéros de port du serveur d'authentification et du serveur de comptabilité doivent être identiques aux numéros de port d'authentification et de comptabilité du serveur RADIUS. Sur Agile Controller-Campus, les numéros de port d'authentification et de comptabilité RADIUS fixes sont respectivement 1812 et 1813, et le numéro de port du serveur de portail fixe est 50200. |
Serveur de comptabilité RADIUS: l Adresse IP: 192.168.11.1 l Numéro de port: 1813 l Clé partagée RADIUS: Admin @ 123 l Intervalle de comptabilisation: 15 minutes | ||
Serveur de portail: l Adresse IP: 192.168.11.1 l Numéro de port: 50200 l Clé partagée: Admin @ 123 | ||
Mot de passe XMPP: Admin @ 123 | La configuration est la même que celle du contrôleur-campus agile. | |
Contrôleur-Campus Agile | Adresse IP du commutateur principal: 192.168.11.254 | Cette adresse IP est l'adresse IP de VLANIF 11. |
Paramètres RADIUS: l Appareil: Huawei Quidway série l Clé d'authentification RADIUS: Admin @ 123 l Clé de comptabilité RADIUS: Admin @ 123 l Intervalle de comptabilisation en temps réel: 15 minutes | La configuration est la même que celle du commutateur principal. | |
Paramètres du portail: l Numéro de port: 2000 l Clé de portail: Admin @ 123 l Adresses IP des terminaux d'accès Terminal sans fil: 192.168.13.0/24 Terminal filaire: 192.168.14.0/24 | ||
Mot de passe XMPP: Admin @ 123 | La configuration est la même que celle du commutateur principal. | |
Département: Employé | Supposons que l' employé du département existe sous ROOT .Configurez la mobilité gratuite pour le service Employé dans cet exemple. | |
Groupe de sécurité: Employee_Group Serveur de messagerie: l Serveur de messagerie 1: 192.168.11.100 l Serveur de messagerie 2: 192.168.11.101 | Utilisez l'autorisation rapide pour autoriser le groupe de sécurité Employee_Group au service des employés. | |
Domaine de post-authentification | Serveurs de messagerie | Les employés peuvent accéder aux serveurs de messagerie après avoir été authentifiés. |
Domaine de pré-authentification | Serveur dns | Les employés peuvent envoyer des noms de domaine au serveur DNS à des fins de résolution avant d'être authentifiés. |
Feuille de route de configuration
Configurez le commutateur principal.
1. Basculez le mode de configuration NAC en mode unifié.
2 Configurez les interfaces et les VLAN et activez la fonction de serveur DHCP.
3 Configurez les paramètres pour l'interconnexion avec le serveur RADIUS.
4 Configurez les paramètres pour l'interconnexion avec le serveur de portail.
5 Configurez le point d'authentification d'accès pour les PC fixes.
6 Configurez une règle sans authentification.
7. Configurez les paramètres du système AC pour fournir un accès sans fil.
8 Configurez les paramètres XMPP pour l'interconnexion avec Agile Controller-Campus et autorisez la mobilité.
Configurez le commutateur d'accès.
1. Configurez les interfaces et les VLAN pour mettre en œuvre la communication réseau.
2 Configurez le commutateur pour transmettre de manière transparente les paquets 802.1x.
Dans cet exemple, le commutateur de réseau local existe entre le commutateur de commutateur d'accès et les utilisateurs. Pour vous assurer que les utilisateurs peuvent réussir l'authentification 802.1x, vous devez configurer la fonction de transmission transparente de paquet EAP sur le commutateur LAN.
l Méthode 1: Le S5700 est utilisé comme exemple de commutateur de réseau local. Effectuez les opérations suivantes:
l Exécutez la commande l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002 dans la vue système du commutateur de réseau local afin de configurer celui-ci pour la transmission transparente de paquets EAP.
1. Exécutez la commande l2protocol-tunnel user-defined-protocol 802.1x enable sur l'interface connectant les utilisateurs et l'interface connectant le commutateur d'accès pour activer la fonction de transmission transparente du protocole de couche 2.
l Méthode 2: cette méthode est recommandée lorsqu'un grand nombre d'utilisateurs existe ou lorsque des performances réseau élevées sont requises. Seuls les modèles S5720EI, S5720HI et S6720EI prennent en charge cette méthode.
l Exécutez les commandes suivantes dans la vue système:
l undo bpdu mac-address 0180-c200-0000 ffff-ffff-fff0
l bpdu mac-address 0180-c200-0000 FFFF-FFFF-FFFE
l bpdu mac-address 0180-c200-0002 FFFF-FFFF-FFFF
l bpdu mac-address 0180-c200-0004 FFFF-FFFF-FFFC
l bpdu mac-address 0180-c200-0008 FFFF-FFFF-FFF8
1. (Cette étape est obligatoire lorsque vous passez de la méthode 1 à la méthode 2.) Exécutez la commande undo l2protocol-tunnel user-defined-protocol 802.1x enable dans la vue Interface pour supprimer la configuration de la transmission transparente des paquets de protocole 802.1x.
Configurez le contrôleur-campus agile.
1. Configurez les paramètres RADIUS, Portal et XMPP, puis ajoutez le commutateur principal.
2 Configurez les groupes de sécurité Employee_Group et Email_Server pour indiquer les utilisateurs et les ressources, respectivement.
3 Utilisez l'autorisation rapide pour autoriser le groupe de sécurité Employee_Group au service des employés. Les employés sont mappés sur le groupe de sécurité Employee_Group après avoir été authentifié.
4 Configurez une stratégie de contrôle d'accès pour permettre à Employee_Group d'accéder à Email_Server .
Procédure
Étape 1 Configurez le commutateur principal.
1. Basculez le mode de configuration NAC en mode unifié.
Vous devez basculer le mode de configuration NAC sur le mode unifié sur un commutateur avec la fonction de mobilité libre configurée. Le mode unifié prend effet après le redémarrage du commutateur.
<HUAWEI> system-view
[HUAWEI] sysname coreswitch
[coreswitch] authentication unified-mode
[coreswitch] quit
<coreswitch> save
2 Configurez les interfaces et les VLAN et activez la fonction de serveur DHCP.
[coreswitch] vlan batch 11 to 14
[coreswitch] interface vlanif 11
[coreswitch-Vlanif11] ip address 192.168.11.254 255.255.255.0
[coreswitch-Vlanif11] quit
[coreswitch] dhcp enable
[coreswitch] interface vlanif 12
[coreswitch-Vlanif12] ip address 192.168.12.254 255.255.255.0
[coreswitch-Vlanif12] dhcp select interface
[coreswitch-Vlanif12] quit
[coreswitch] interface vlanif 13
[coreswitch-Vlanif13] ip address 192.168.13.254 255.255.255.0
[coreswitch-Vlanif13] dhcp select interface
[coreswitch-Vlanif13] dhcp server dns-list 192.168.11.200
[coreswitch-Vlanif13] quit
[coreswitch] interface vlanif 14
[coreswitch-Vlanif14] ip address 192.168.14.254 255.255.255.0
[coreswitch-Vlanif14] dhcp select interface
[coreswitch-Vlanif14] dhcp server dns-list 192.168.11.200
[coreswitch-Vlanif14] quit
[coreswitch] interface gigabitEthernet 1/0/11
[coreswitch-GigabitEthernet1/0/11] port link-type trunk
[coreswitch-GigabitEthernet1/0/11] port trunk allow-pass vlan 11
[coreswitch-GigabitEthernet1/0/11] quit
[coreswitch] interface gigabitEthernet 1/0/12
[coreswitch-GigabitEthernet1/0/12] port link-type trunk
[coreswitch-GigabitEthernet1/0/12] port trunk allow-pass vlan 12 14
[coreswitch-GigabitEthernet1/0/12] quit
3 Configurez les paramètres pour l'interconnexion avec le serveur RADIUS.
[coreswitch] radius-server template policy
[coreswitch-radius-policy] radius-server authentication 192.168.11.1 1812
[coreswitch-radius-policy] radius-server accounting 192.168.11.1 1813
[coreswitch-radius-policy] radius-server shared-key cipher Admin@123
[coreswitch-radius-policy] quit
[coreswitch] aaa
[coreswitch-aaa] authentication-scheme auth
[coreswitch-aaa-authen-auth] authentication-mode radius
[coreswitch-aaa-authen-auth] quit
[coreswitch-aaa] accounting-scheme acco
[coreswitch-aaa-accounting-acco] accounting-mode radius
[coreswitch-aaa-accounting-acco] accounting realtime 15
[coreswitch-aaa-accounting-acco] quit
[coreswitch-aaa] domain default
[coreswitch-aaa-domain-default] radius-server policy
[coreswitch-aaa-domain-default] authentication-scheme auth
[coreswitch-aaa-domain-default] accounting-scheme acco
[coreswitch-aaa-domain-default] quit
[coreswitch-aaa] quit
4 Configurez les paramètres pour l'interconnexion avec le serveur de portail.
[coreswitch] url-template name huawei
[coreswitch-url-template-huawei] url http://192.168.11.1:8080/portal
[coreswitch-url-template-huawei] quit
[coreswitch] web-auth-server policy
[coreswitch-web-auth-server-policy] server-ip 192.168.11.1
[coreswitch-web-auth-server-policy] port 50200
[coreswitch-web-auth-server-policy] shared-key cipher Admin@123
[coreswitch-web-auth-server-policy] url-template huawei
[coreswitch-web-auth-server-policy] quit
5 Configurez GE1 / 0/12 en tant que point d’authentification d’accès pour les PC fixes.
[coreswitch] interface gigabitEthernet 1/0/12
[coreswitch-GigabitEthernet1/0/12] authentication dot1x portal
[coreswitch-GigabitEthernet1/0/12] dot1x authentication-method eap
[coreswitch-GigabitEthernet1/0/12] web-auth-server policy direct
[coreswitch-GigabitEthernet1/0/12] domain name default force
[coreswitch-GigabitEthernet1/0/12] quit
6 Configurez une règle sans authentification afin que les AP puissent se connecter et que les clients puissent accéder au serveur DNS.
[coreswitch] authentication free-rule 1 destination ip 192.168.11.200 mask 24 source ip any
[coreswitch] authentication free-rule 2 source vlan 12
7. Configurez les paramètres système de l’AC (coreswitch dans cet exemple) pour implémenter l’accès sans fil.
une. Configurez le code de pays, l'ID et l'ID de l'opérateur du AC.
[coreswitch] wlan ac-global country-code cn
[coreswitch] wlan ac-global ac id 1 carrier id other
b. Configurez VLANIF 12 en tant qu'interface source de l'AC.
[coreswitch] capwap source interface vlanif 12
l Dans les versions V200R006 et antérieures, exécutez la commande wlan ac source interface vlanif 12 dans la vue WLAN.
l Dans les versions V200R007 et versions ultérieures, exécutez la commande capwap source interface vlanif 12 dans la vue système.
c. Gérez les points d'accès sur le secteur et vérifiez l'ID correspondant à AP7110DN-AGN. L'adresse MAC de l'AP obtenu est dcd2-fc04-b4c0.
[coreswitch] display ap-type all
All AP types information:
------------------------------------------------------------------------------
ID Type
------------------------------------------------------------------------------
17 AP6010SN-GN
19 AP6010DN-AGN
21 AP6310SN-GN
23 AP6510DN-AGN
25 AP6610DN-AGN
27 AP7110SN-GN
29 AP5010SN-GN
30 AP5010DN-AGN
31 AP3010DN-AGN
33 AP6510DN-AGN-US
34 AP6610DN-AGN-US
35 AP5030DN
36 AP5130DN
37 AP7030DE
38 AP2010DN
39 AP8130DN
40 AP8030DN
42 AP9330DN
------------------------------------------------------------------------------
Total number: 19
[coreswitch] wlan
[coreswitch-wlan-view] ap-auth-mode mac-auth
[coreswitch-wlan-view] ap id 1 type-id 28 mac dcd2-fc04-b4c0
[coreswitch-wlan-ap-1] quit
[coreswitch-wlan-view] ap-region id 10
[coreswitch-wlan-ap-region-10] quit
[coreswitch-wlan-view] ap id 1
[coreswitch-wlan-ap-1] region-id 10
[coreswitch-wlan-ap-1] quit
[coreswitch-wlan-view] display ap all
All AP(s) information:
Normal[1],Fault[0],Commit-failed[0],Committing[0],Config[0],Download[0]
Config-failed[0],Standby[0],Type-not-match[0],Ver-mismatch[0]
------------------------------------------------------------------------------
AP AP AP Profile AP AP
/Region
ID Type MAC ID State Sysname
------------------------------------------------------------------------------
1 AP7110DN-AGN dcd2-fc04-b4c0 0/10 ap-1
------------------------------------------------------------------------------
Total number: 1,printed: 1
Le réglage du canal radio et de la puissance d'un point d'accès peut conduire au réglage d'un autre point d'accès. Pour accélérer les ajustements, minimiser l’impact et réduire la charge de travail, il est conseillé de diviser tous les points d’accès accédant au même AC en plusieurs régions. L'impact de l'ajustement sur un PA est limité dans la région locale.
ré. Configurez les paramètres du service WLAN.
[coreswitch-wlan-view] wmm-profile name wmm id 1
[coreswitch-wlan-wmm-prof-wmm] quit
[coreswitch-wlan-view] radio-profile name radio id 31
[coreswitch-wlan-radio-prof-radio] wmm-profile name wmm
[coreswitch-wlan-radio-prof-radio] quit
[coreswitch-wlan-view] quit
[coreswitch] interface wlan-ess 32
[coreswitch-Wlan-Ess32] port trunk allow-pass vlan 13
[coreswitch-Wlan-Ess32] quit
[coreswitch] interface wlan-ess 33
[coreswitch-Wlan-Ess33] port trunk allow-pass vlan 13
[coreswitch-Wlan-Ess33] quit
[coreswitch] wlan
[coreswitch-wlan-view] security-profile name portal_security id 32
[coreswitch-wlan-sec-prof-portal_security] quit
[coreswitch-wlan-view] security-profile name dot1x_security id 33
[coreswitch-wlan-sec-prof-dot1x_security] security-policy wpa2
[coreswitch-wlan-sec-prof-dot1x_security] wpa2 authentication-method dot1x encryption-method ccmp
[coreswitch-wlan-sec-prof-dot1x_security] quit
[coreswitch-wlan-view] traffic-profile name traffic id 1
[coreswitch-wlan-traffic-prof-traffic] quit
[coreswitch-wlan-view] service-set name portal_test id 32
[coreswitch-wlan-service-set-portal_test] ssid portal_test
[coreswitch-wlan-service-set-portal_test] wlan-ess 32
[coreswitch-wlan-service-set-portal_test] security-profile id 32
[coreswitch-wlan-service-set-portal_test] traffic-profile name traffic
[coreswitch-wlan-service-set-portal_test] service-vlan 13
[coreswitch-wlan-service-set-portal_test] forward-mode tunnel
[coreswitch-wlan-service-set-portal_test] quit
[coreswitch-wlan-view] service-set name dot1x_test id 33
[coreswitch-wlan-service-set-dot1x_test] ssid dot1x_test
[coreswitch-wlan-service-set-dot1x_test] wlan-ess 33
[coreswitch-wlan-service-set-dot1x_test] security-profile id 33
[coreswitch-wlan-service-set-dot1x_test] traffic-profile name traffic
[coreswitch-wlan-service-set-dot1x_test] service-vlan 13
[coreswitch-wlan-service-set-dot1x_test] forward-mode tunnel
[coreswitch-wlan-service-set-dot1x_test] quit
[coreswitch-wlan-view] quit
e. Configurez l'authentification du portail et l'authentification 802.1x sur les interfaces WLAN-ESS.
[coreswitch] interface wlan-ess 32
[coreswitch-Wlan-Ess32] domain name default force
[coreswitch-Wlan-Ess32] authentication portal
[coreswitch-Wlan-Ess32] web-auth-server policy direct
[coreswitch-Wlan-Ess32] quit
[coreswitch] interface wlan-ess 33
[coreswitch-Wlan-Ess33] domain name default force
[coreswitch-Wlan-Ess33] authentication dot1x
[coreswitch-Wlan-Ess33] dot1x authentication-method eap
[coreswitch-Wlan-Ess33] quit
F. Configurez un VAP pour fournir l’authentification du portail et l’authentification 802.1x.
[coreswitch] wlan
[coreswitch-wlan-view] ap 1 radio 0
[coreswitch-wlan-radio-1/0] radio-profile id 31
[coreswitch-wlan-radio-1/0] service-set id 32
[coreswitch-wlan-radio-1/0] service-set id 33
[coreswitch-wlan-radio-1/0] quit
[coreswitch-wlan-view] commit ap 1
[coreswitch-wlan-view] quit
8 Configurez les paramètres XMPP pour l'interconnexion avec Agile Controller-Campus et autorisez la mobilité.
[coreswitch] group-policy controller 192.168.11.1 password Admin@123 src-ip 192.168.11.254
[coreswitch] quit
<coreswitch> save
Étape 2 Configurez le commutateur d'accès.
Dans cet exemple, il existe un commutateur d'accès entre les utilisateurs et le commutateur principal, qui fonctionne comme point d'authentification et transmet les paquets de manière transparente. Pour vous assurer que les utilisateurs peuvent passer l'authentification 802.1x, configurez le commutateur d'accès pour qu'il transmette de manière transparente les paquets 802.1x (les paquets EAP dans cet exemple, car le mode EAP est utilisé).
<HUAWEI> system-view
[HUAWEI] sysname l2switch
[l2switch] l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002
[l2switch] vlan batch 12 14
[l2switch] interface gigabitEthernet 0/0/1
[l2switch-GigabitEthernet0/0/1] port link-type trunk
[l2switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 12 14
[l2switch-GigabitEthernet0/0/1] l2protocol-tunnel user-defined-protocol 802.1x enable
[l2switch-GigabitEthernet0/0/1] bpdu enable
[l2switch-GigabitEthernet0/0/1] quit
[l2switch] interface gigabitEthernet 0/0/3
[l2switch-GigabitEthernet0/0/3] port link-type access
[l2switch-GigabitEthernet0/0/3] port default vlan 14
[l2switch-GigabitEthernet0/0/3] l2protocol-tunnel user-defined-protocol 802.1x enable
[l2switch-GigabitEthernet0/0/3] bpdu enable
[l2switch-GigabitEthernet0/0/3] quit
[l2switch] interface gigabitEthernet 0/0/5
[l2switch-GigabitEthernet0/0/5] port link-type access
[l2switch-GigabitEthernet0/0/5] port default vlan 12
[l2switch-GigabitEthernet0/0/5] l2protocol-tunnel user-defined-protocol 802.1x enable
[l2switch-GigabitEthernet0/0/5] bpdu enable
[l2switch-GigabitEthernet0/0/5] quit
[l2switch] quit
<l2switch> save
Étape 3 Configurez le contrôleur-campus agile.
1. Ajouter le commutateur de base.
une. Choisissez Ressource > Périphérique > Gestion des périphériques .
b. Cliquez sur XMPP .
c. Cliquez sur OK Le statut du commutateur est 
et l' état de synchronisation est Succès .
ré. Sur le commutateur principal, vérifiez l’état de la communication du commutateur avec Agile Controller-Campus.
<coreswitch> display group-policy status
Controller IP address: 192.168.11.1
Controller port: 5222
Backup controller IP address: -
Backup controller port: -
Source IP address: 192.168.11.254
State: working
Connected controller: master
Device protocol version: 1
Controller protocol version: 1
2 Configurez les groupes de sécurité Employee_Group et Email_Server pour indiquer les utilisateurs et les ressources, respectivement.
une. Choisissez Stratégie > Contrôle des autorisations > Groupe de sécurité > Gestion du groupe de sécurité .
b. Cliquez sur Ajouter et créez Employee_Group .
c. Répétez l'étape précédente pour créer le groupe de sécurité Email_Server .
ré. Cliquez sur 
à côté de Email_Server et lie les adresses IP des serveurs de messagerie.
e. Cliquez sur Déploiement global pour déployer les groupes de sécurité sur l'ensemble du réseau.
3 Utilisez l'autorisation rapide pour autoriser le groupe de sécurité Employee_Group au service des employés. Les employés sont mappés sur le groupe de sécurité Employee_Group après avoir été authentifié.
une. Choisissez Stratégie > Contrôle des autorisations > Autorisation rapide .
b. Mappez le département de l' employé sur Employee_Group et cliquez sur OK .
4 Configurez une stratégie de contrôle d'accès pour permettre à Employee_Group d'accéder à Email_Server .
une. Choisissez Stratégie > Libre mobilité > Contrôle des autorisations .
b. Cliquez sur Ajouter .
c. Cliquez sur OK et sur le déploiement global .
Une fois la stratégie de contrôle d'accès déployée avec succès, vous pouvez exécuter les commandes suivantes sur le commutateur principal pour afficher les informations de déploiement.
n display ucl-group all : affiche les groupes de sécurité.
n display acl all : affiche la politique de contrôle d'accès.
Étape 4 Enregistrez la configuration de Core_SW.
Choisissez Ressource > Périphérique > Gestion des périphériques . Cliquez sur 
correspondant à Core_SW pour enregistrer la configuration.
L'enregistrement de la configuration est similaire à l'exécution de la commande save sur le périphérique, qui enregistre toutes les configurations de périphérique (y compris les groupes de sécurité, les stratégies de contrôle des droits d'accès et les stratégies de qualité de service déployées sur le contrôleur) dans le fichier de configuration.
Si les groupes de sécurité, les stratégies de contrôle des droits d'accès et les stratégies QoS sont enregistrés dans le fichier de configuration du périphérique, ces configurations peuvent être restaurées directement à partir du fichier de configuration après le redémarrage du périphérique et il n'est pas nécessaire de les demander au contrôleur. Sinon, l'authentification utilisateur échoue après le redémarrage du périphérique, car les groupes de sécurité, les stratégies de contrôle des droits d'accès et les stratégies QoS ne sont pas déployés sur le périphérique.
Étape 5 Vérifiez la configuration.
Les utilisateurs qui utilisent des comptes dans le service des employés peuvent accéder aux serveurs de messagerie après avoir passé l'authentification 802.1x ou Portal, quels que soient leurs emplacements d'accès.
----End
Fichiers de configuration
l Fichier de configuration du commutateur principal
#
sysname coreswitch
#
vlan batch 11 to 14
#
wlan ac-global carrier id other ac id 1
#
group-policy controller 192.168.11.1 password %^%#(K2]5P#C6'97.pR(gFv$K$KbGYN}R1Y76~K^;AP&%^%# src-ip 192.168.11.254
#
dhcp enable
#
radius-server template policy
radius-server shared-key cipher %^%#teXm2B&.1O0:cj$OWPq7@!Y\!%}dC3Br>p,}l\L.%^%#
radius-server authentication 192.168.11.1 1812 weight 80
radius-server accounting 192.168.11.1 1813 weight 80
#
url-template name huawei
url http://192.168.11.1:8080/portal
#
web-auth-server policy
server-ip 192.168.11.1
port 50200
shared-key cipher %^%#SQn,Cr"c;M&{#(R^:;P3F_H$3f3sr$C9%*G7R|u3%^%#
url-template huawei
#
aaa
authentication-scheme auth
authentication-mode radius
accounting-scheme acco
accounting-mode radius
accounting realtime 15
domain default
authentication-scheme auth
accounting-scheme acco
radius-server policy
#
interface Vlanif11
ip address 192.168.11.254 255.255.255.0
#
interface Vlanif12
ip address 192.168.12.254 255.255.255.0
dhcp select interface
#
interface Vlanif13
ip address 192.168.13.254 255.255.255.0
dhcp select interface
dhcp server dns-list 192.168.11.200
#
interface Vlanif14
ip address 192.168.14.254 255.255.255.0
dhcp select interface
dhcp server dns-list 192.168.11.200
#
interface GigabitEthernet1/0/11
port link-type trunk
port trunk allow-pass vlan 11
#
interface GigabitEthernet1/0/12
port link-type trunk
port trunk allow-pass vlan 12 14
domain name default force
authentication dot1x portal
web-auth-server policy direct
dot1x authentication-method eap
#
interface Wlan-Ess32
port trunk allow-pass vlan 13
domain name default force
authentication portal
web-auth-server policy direct
#
interface Wlan-Ess33
port trunk allow-pass vlan 13
domain name default force
authentication dot1x
dot1x authentication-method eap
#
authentication free-rule 1 destination ip 192.168.11.200 mask 255.255.255.0 source ip any
authentication free-rule 2 source vlan 12
#
capwap source interface vlanif12
#
wlan
ap-region id 10
ap id 1 type-id 28 mac dcd2-fc04-b4c0
region-id 10
wmm-profile name wmm id 1
traffic-profile name traffic id 1
security-profile name portal_security id 32
security-profile name dot1x_security id 33
security-policy wpa2
service-set name portal_test id 32
forward-mode tunnel
wlan-ess 32
ssid portal_test
traffic-profile id 1
security-profile id 32
service-vlan 13
service-set name dot1x_test id 33
forward-mode tunnel
wlan-ess 33
ssid dot1x_test
traffic-profile id 1
security-profile id 33
service-vlan 13
radio-profile name radio id 31
wmm-profile id 1
ap 1 radio 0
radio-profile id 31
service-set id 32 wlan 1
service-set id 33 wlan 2
wlan work-group default //This configuration will be displayed on modular switches but not on fixed switches.
#
return
l Fichier de configuration du commutateur d'accès
#
sysname l2switch
#
vlan batch 12 14
#
l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 12 14
l2protocol-tunnel user-defined-protocol 802.1x enable
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 14
l2protocol-tunnel user-defined-protocol 802.1x enable
#
interface GigabitEthernet0/0/5
port link-type access
port default vlan 12
l2protocol-tunnel user-defined-protocol 802.1x enable
#
return
