Exemple de déploiement de la fonction de mobilité libre pour la modification de l'emplacement physique des utilisateurs (V200R009 et versions ultér

20 0 1 0

Aperçu de la mobilité gratuite

Dans un réseau d'entreprise, différentes stratégies d'accès au réseau peuvent être déployées pour les utilisateurs sur des périphériques d'accès afin de répondre aux différentes exigences d'accès au réseau. L'application des technologies de bureau mobile et BYOD entraîne de fréquents changements d'emplacement physique et d'adresse IP des utilisateurs. Par conséquent, la solution de contrôle de réseau d'origine basée sur les ports physiques et les adresses IP ne peut pas garantir la cohérence de l'expérience d'accès au réseau. Par exemple, la stratégie d'accès réseau d'un utilisateur ne change pas lorsque son emplacement physique change.

La solution de mobilité gratuite permet à un utilisateur d’obtenir la même politique d’accès au réseau indépendamment de son emplacement et de la modification de son adresse IP dans un réseau agile.

Les commutateurs doivent être associés à Agile Controller-Campuss dans la solution de mobilité libre. Un administrateur n'a besoin que de déployer de manière uniforme les stratégies d'accès réseau sur Agile Controller-Campuss pour les utilisateurs et de fournir les stratégies à tous les commutateurs associés. Après cela, un utilisateur peut obtenir la même stratégie d'accès, peu importe la façon dont son emplacement physique et son adresse IP changent.

Notes de configuration

l    La mobilité libre est prise en charge uniquement en mode unifié NAC.

l    Dans cet exemple, l'agile Agile Controller Controller-Campus exécute V100R003C00.

l    Le tableau suivant répertorie les produits et versions applicables.

Tableau 1-1 Produits et versions applicables

Version

Modèle

V200R009C00 et versions ultérieures:

Pris en charge uniquement par les modèles S5720HI, S7700 et S9700

 

l    Si le commutateur principal a été associé à un agile Controller Campus et que la mobilité est configurée, procédez comme suit pour supprimer les données historiques et reconfigurer le commutateur principal.

a.          Exécutez la commande undo group-policy controller dans la vue système pour désactiver la mobilité et déconnectez le commutateur de AAgile Controller-Campus.

b.          Exécutez la commande undo acl all pour supprimer la stratégie de contrôle d'accès.

c.          Exécutez la commande undo ucl-group ip all pour supprimer les adresses IP liées à des groupes de sécurité.

d.          Exécutez la commande undo ucl-group all pour supprimer les groupes de sécurité.

e.          Retournez à la vue utilisateur et exécutez la commande save. Le système supprime automatiquement le numéro de version configuré.

Exigences de mise en réseau

Les employés d'une entreprise se connectent au réseau en modes filaire et sans fil et sont authentifiés à l'aide de l'authentification 802.1x ou Portal.

Les employés ne travaillent pas dans des emplacements fixes et souhaitent obtenir les mêmes droits après avoir été authentifiés, quel que soit leur emplacement d'accès.

Figure 1-1 Mise en réseau

20170323112622202004.png

 

Analyse des exigences

Comme le montre la figure 1-1 , le commutateur principal de commutateur principal agile (prenant en charge l’AC natif) sert de point d’authentification et le commutateur d’accès est un commutateur commun.

Vous pouvez configurer les authentifications 802.1x et Portal sur le commutateur principal pour que les utilisateurs câblés et sans fil puissent se connecter au réseau après leur authentification par le commutateur principal.

Les employés ne travaillent pas dans des emplacements fixes et souhaitent obtenir les mêmes droits après avoir été authentifiés, quel que soit leur emplacement d'accès.

Plan de données réseau

Tableau 1-2 Plan de données réseau

Article

Les données

La description

Plan VLAN

ID: 11

Adresse IP du VLANIF11: 192.168.11.254/24

Le commutateur principal utilise ce VLAN pour communiquer avec Agile Controller-Campus.

ID: 12

Adresse IP VLANIF12: 192.168.12.254/24

Le commutateur principal utilise ce VLAN pour gérer les points d'accès.

ID: 13

Adresse IP du VLANIF13: 192.168.13.254/24

Le commutateur principal utilise ce VLAN pour fournir des services d'accès sans fil.

ID: 14

Adresse IP du VLANIF14: 192.168.14.254/24

Le commutateur principal utilise ce VLAN pour fournir des services d'accès filaires.

Commutateur de base (coreswitch)

Numéro d'interface: GE1 / 0/11

ID des VLAN autorisés: 11

ID des VLAN autorisés: 11, 12, 13 et 14

Numéro d'interface: GE1 / 0/12

ID des VLAN autorisés: 12, 14

Cette interface permet aux paquets du VLAN du service d'accès filaire et du VLAN de gestion des AP de passer.

Commutateur d'accès

Numéro d'interface: GE0 / 0/1

ID des VLAN autorisés: 12, 14

Cette interface se connecte à GE1 / 0/12 sur le commutateur principal (commutateur principal).

Numéro d'interface: GE0 / 0/3

ID des réseaux locaux virtuels autorisés: 14

Cette interface fournit un accès filaire et permet aux paquets du VLAN du service d'accès filaire de passer.

Numéro d'interface: GE0 / 0/5

ID des réseaux locaux virtuels autorisés: 12

Cette interface fournit un accès sans fil et permet aux paquets du VLAN de gestion des AP de passer.

Serveur

Contrôleur-Campus Agile: 192.168.11.1

Le gestionnaire de service (SM) et le contrôleur de service (SC) sont installés sur le même serveur. Le SC fonctionne à la fois comme serveur RADIUS et serveur de portail.

Serveur de messagerie: 192.168.11.100

-

Serveur vidéo: 192.168.11.110

-

Serveur DNS: 192.168.11.200

-

 

Plan de données de service

Tableau 1-3 Plan de données de service

Article

Les données

La description

Commutateur de base (coreswitch)

Serveur d'authentification RADIUS:

l   Adresse IP: 192.168.11.1

l   Numéro de port: 1812

l   Clé partagée RADIUS: Admin@123

l   Le SC de Agile Controller-Campus intègre le serveur RADIUS et le serveur de portail.Par conséquent, les adresses IP du serveur d'authentification, du serveur de comptabilité et du serveur de portail sont l'adresse IP du SC.

l   Configurez un serveur de comptabilité RADIUS pour collecter les informations de connexion et de déconnexion de l'utilisateur. Les numéros de port du serveur d'authentification et du serveur de comptabilité doivent être identiques aux numéros de port d'authentification et de comptabilité du serveur RADIUS. Sur Agile Controller-Campus, les numéros de port d'authentification et de comptabilité RADIUS fixes sont respectivement 1812 et 1813, et le numéro de port du serveur de portail fixe est 50200.

Serveur de comptabilité RADIUS:

l   Adresse IP: 192.168.11.1

l   Numéro de port: 1813

l   Clé partagée RADIUS: Admin@123

l   Intervalle de comptabilisation: 15 minutes

Serveur de portail:

l   Adresse IP: 192.168.11.1

l   Numéro de port: 50200

l   Clé partagée: Admin@123

Mot de passe XMPP: Admin@123

La configuration est la même que celle du contrôleur-campus agile.

Contrôleur-Campus Agile

Adresse IP du commutateur principal: 192.168.11.254

Cette adresse IP est l'adresse IP de VLANIF 11.

Paramètres RADIUS:

l   Appareil: Huawei S série

l   Clé d'authentification RADIUS: Admin@123

l   Clé de comptabilité RADIUS: Admin@123

l   Clé d'autorisation RADIUS: Admin@123

l   Intervalle de comptabilisation en temps réel: 15 minutes

La configuration est la même que celle du commutateur principal.

Paramètres du portail:

l   Numéro de port: 2000

l   Clé de portail: Admin@123

l   Adresses IP des terminaux d'accès

Terminal sans fil: 192.168.13.0/24

Terminal filaire: 192.168.14.0/24

Mot de passe XMPP: Admin@123

La configuration est la même que celle du commutateur principal.

Compte:

Employés:

l   Nom d'utilisateur: staff

l   Mot de passe: Huawei@123

Invités:

l   Nom d'utilisateur: guest

l   Mot de passe: Guest@123

Utilisez l'autorisation rapide pour autoriser le groupe de sécurité Employee_Group à l'attention du personnel.

Utilisez l'autorisation rapide pour autoriser le groupe de sécurité Guest_Group à l'invité.

Groupe de sécurité:

Employee_Group

Guest_Group

Serveur de messagerie:192.168.11.100

Serveur vidéo: 192.168.11.110

-

Domaine de pré-authentification

Serveur dns

Les employés peuvent envoyer des noms de domaine au serveur DNS à des fins de résolution avant d'être authentifiés.

Domaine de post-authentification

Serveurs de messagerie, serveur vidéo

Une fois l'authentification réussie, les employés peuvent accéder au serveur de messagerie et au serveur vidéo. Vous pouvez améliorer la bande passante pour que les employés accèdent au serveur vidéo.

Une fois l'authentification réussie, les invités ne peuvent pas accéder au serveur de messagerie et peuvent uniquement accéder au serveur vidéo. Vous pouvez réduire la bande passante pour que les invités puissent accéder au serveur vidéo.

 

Feuille de route de configuration

Configurez le commutateur principal.

1.          Basculez le mode de configuration NAC en mode unifié.

2          Configurez les interfaces et les VLAN et activez la fonction de serveur DHCP.

3          Configurez les paramètres pour l'interconnexion avec le serveur RADIUS.

4          Configurez les paramètres pour l'interconnexion avec le serveur de portail.

5          Configurez le point d'authentification d'accès pour les PC fixes.

6          Configurez une règle sans authentification.

7.          Configurez les paramètres du système AC pour fournir un accès sans fil.

8          Configurez les paramètres XMPP pour l'interconnexion avec Agile Controller-Campus et autorisez la mobilité.

Configurez le commutateur d'accès.

1.          Configurez les interfaces et les VLAN pour mettre en œuvre la communication réseau.

2          Configurez le commutateur pour transmettre de manière transparente les paquets 802.1x.

20170323112623560005.jpg

Dans cet exemple, le commutateur de réseau local existe entre le commutateur de commutateur d'accès et les utilisateurs. Pour vous assurer que les utilisateurs peuvent réussir l'authentification 802.1x, vous devez configurer la fonction de transmission transparente de paquet EAP sur le commutateur LAN.

l   Méthode 1: Le S5700 est utilisé comme exemple de commutateur de réseau local. Effectuez les opérations suivantes:

l   Exécutez la commande l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002 dans la vue système du commutateur de réseau local afin de configurer celui-ci pour la transmission transparente de paquets EAP.

1.      Exécutez la commande l2protocol-tunnel user-defined-protocol 802.1x enable sur l'interface connectant les utilisateurs et l'interface connectant le commutateur d'accès pour activer la fonction de transmission transparente du protocole de couche 2.

l   Méthode 2: cette méthode est recommandée lorsqu'un grand nombre d'utilisateurs existe ou lorsque des performances réseau élevées sont requises. Seuls les modèles S5720EI, S5720HI et S6720EI prennent en charge cette méthode.

l   Exécutez les commandes suivantes dans la vue système:

l   undo bpdu mac-address 0180-c200-0000 ffff-ffff-fff0

l  bpdu mac-address 0180-c200-0000 FFFF-FFFF-FFFE

l  bpdu mac-address 0180-c200-0002 FFFF-FFFF-FFFF

l  bpdu mac-address 0180-c200-0004 FFFF-FFFF-FFFC

l  bpdu mac-address 0180-c200-0008 FFFF-FFFF-FFF8


1.      (Cette étape est obligatoire lorsque vous passez de la méthode 1 à la méthode 2.) Exécutez la commande undo l2protocol-tunnel user-defined-protocol 802.1x enable dans la vue Interface pour supprimer la configuration de la transmission transparente des paquets de protocole 802.1x.

Configurez le contrôleur-campus agile.

1.          Configurez les paramètres RADIUS, Portal et XMPP, puis ajoutez le commutateur principal.

2          Configurez deux groupes: groupe d'employés et groupe d'invités, et deux groupes de sécurité: serveur de messagerie et serveur vidéo.

3          Autoriser le groupe d'employés aux employés et le groupe d'invités aux invités. Une fois l'authentification réussie, les employés sont ajoutés au groupe d'employés et les invités sont ajoutés au groupe d'invités.

4          Configurez une politique de contrôle d'accès. La stratégie permet au groupe d'employés d'accéder aux serveurs de messagerie et vidéo et améliore la bande passante permettant aux employés d'accéder au serveur vidéo. En outre, la stratégie permet au groupe d'invités d'accéder uniquement au serveur vidéo et réduit la bande passante permettant aux invités d'accéder au serveur vidéo. Le groupe d'employés et le groupe d'invités ne sont pas autorisés à se connecter.

Procédure

                               Étape 1      Configurez le commutateur principal.

1.          Basculez le mode de configuration NAC en mode unifié.

20170323112623560005.jpg

Vous devez basculer le mode de configuration NAC sur le mode unifié sur un périphérique avec la fonction de mobilité réduite configurée.Lors du basculement, l'appareil redémarre automatiquement.

<HUAWEI> system-view 
[HUAWEI] sysname coreswitch 
[coreswitch] authentication unified-mode  

2          Configurez les interfaces et les VLAN et activez la fonction de serveur DHCP.

[coreswitch] vlan batch 11 to 14 
[coreswitch] interface vlanif 11     
[coreswitch-Vlanif11] ip address 192.168.11.254 255.255.255.0 
[coreswitch-Vlanif11] quit 
[coreswitch] dhcp enable                                  
[coreswitch] interface vlanif 12     
[coreswitch-Vlanif12] ip address 192.168.12.254 255.255.255.0 
[coreswitch-Vlanif12] dhcp select interface     
[coreswitch-Vlanif12] quit 
[coreswitch] interface vlanif 13                                  
[coreswitch-Vlanif13] ip address 192.168.13.254 255.255.255.0 
[coreswitch-Vlanif13] dhcp select interface                                  
[coreswitch-Vlanif13] dhcp server dns-list 192.168.11.200 
[coreswitch-Vlanif13] quit 
[coreswitch] interface vlanif 14                                   
[coreswitch-Vlanif14] ip address 192.168.14.254 255.255.255.0 
[coreswitch-Vlanif14] dhcp select interface                                  
[coreswitch-Vlanif14] dhcp server dns-list 192.168.11.200 
[coreswitch-Vlanif14] quit 
[coreswitch] interface gigabitEthernet 1/0/11 
[coreswitch-GigabitEthernet1/0/11] port link-type trunk 
[coreswitch-GigabitEthernet1/0/11] port trunk allow-pass vlan 11 
[coreswitch-GigabitEthernet1/0/11] quit 
[coreswitch] interface gigabitEthernet 1/0/12 
[coreswitch-GigabitEthernet1/0/12] port link-type trunk 
[coreswitch-GigabitEthernet1/0/12] port trunk allow-pass vlan 12 14 
[coreswitch-GigabitEthernet1/0/12] quit 

3          Configurez les paramètres pour l'interconnexion avec le serveur RADIUS.

[coreswitch] radius-server template policy     
[coreswitch-radius-policy] radius-server authentication 192.168.11.1 1812     
[coreswitch-radius-policy] radius-server accounting 192.168.11.1 1813         
[coreswitch-radius-policy] radius-server shared-key cipher Admin@123                    
[coreswitch-radius-policy] quit 
[coreswitch] radius-server authorization 192.168.11.1 shared-key cipher Admin@123     
[coreswitch] aaa 
[coreswitch-aaa] authentication-scheme auth     
[coreswitch-aaa-authen-auth] authentication-mode radius     
[coreswitch-aaa-authen-auth] quit 
[coreswitch-aaa] accounting-scheme acco     
[coreswitch-aaa-accounting-acco] accounting-mode radius     
[coreswitch-aaa-accounting-acco] accounting realtime 15     
[coreswitch-aaa-accounting-acco] quit 
[coreswitch-aaa] domain default     
[coreswitch-aaa-domain-default] radius-server policy 
[coreswitch-aaa-domain-default] authentication-scheme auth 
[coreswitch-aaa-domain-default] accounting-scheme acco 
[coreswitch-aaa-domain-default] quit 
[coreswitch-aaa] quit 

4          Configurez les paramètres pour l'interconnexion avec le serveur de portail.

[coreswitch] url-template name huawei     
[coreswitch-url-template-huawei] url http://192.168.11.1:8080/portal     
[coreswitch-url-template-huawei] quit 
[coreswitch] web-auth-server policy      
[coreswitch-web-auth-server-policy] server-ip 192.168.11.1     
[coreswitch-web-auth-server-policy] port 50200                
[coreswitch-web-auth-server-policy] shared-key cipher Admin@123     
[coreswitch-web-auth-server-policy] url-template huawei      
[coreswitch-web-auth-server-policy] quit

5          Configurez NAC.

une.          # Configurez le profil d'accès 802.1x d1.

20170323112623560005.jpg

Par défaut, un profil d'accès 802.1x utilise le mode d'authentification EAP. Assurez-vous que le serveur RADIUS prend en charge EAP. sinon, le serveur ne peut pas traiter les paquets de demande d'authentification 802.1x.

[coreswitch] dot1x-access-profile name d1 
[coreswitch-dot1x-access-profile-d1] quit

b.          # Configurez le profil d’accès au portail web1 .

[coreswitch] portal-access-profile name web1 
[coreswitch-portal-acces-profile-web1] web-auth-server policy direct    
[coreswitch-portal-acces-profile-web1] quit

c.          # Configurez le profil de règle sans authentification default_free_rule .

[coreswitch] free-rule-template name default_free_rule 
[coreswitch-free-rule-default_free_rule] free-rule 1 destination ip 192.168.11.200 mask 24 source ip any     
[coreswitch-free-rule-default_free_rule] free-rule 2 source vlan 12     
[coreswitch-free-rule-default_free_rule] quit

ré.          # Configurez le profil d'authentification p1 pour l'authentification combinée 802.1x + Portal.

[coreswitch] authentication-profile name p1 
[coreswitch-authen-profile-p1] dot1x-access-profile d1     
[coreswitch-authen-profile-p1] portal-access-profile web1     
[coreswitch-authen-profile-p1] access-domain default force     
[coreswitch-authen-profile-p1] quit

e.          # Configurez le profil d'authentification p_dot1x pour l'authentification 802.1x.

[coreswitch] authentication-profile name p_dot1x 
[coreswitch-authen-profile-p_dot1x] dot1x-access-profile d1     
[coreswitch-authen-profile-p_dot1x] free-rule-template default_free_rule     
[coreswitch-authen-profile-p_dot1x] access-domain default force     
[coreswitch-authen-profile-p_dot1x] quit

F.           # Configurez le profil d'authentification p_portal pour l'authentification du portail.

[coreswitch] authentication-profile name p_portal 
[coreswitch-authen-profile-p_portal] portal-access-profile web1     
[coreswitch-authen-profile-p_portal] free-rule-template default_free_rule     
[coreswitch-authen-profile-p_portal] access-domain default force     
[coreswitch-authen-profile-p_portal] quit

6          Configurez GE1 / 0/12 en tant que point d’authentification d’accès pour les PC fixes et activez l’authentification combinée 802.1x + Portal.

[coreswitch] interface gigabitEthernet 1/0/12 
[coreswitch-GigabitEthernet1/0/12] authentication-profile p1     
[coreswitch-GigabitEthernet1/0/12] quit

7.          Configurez le point d'accès pour aller en ligne.

une.          # Configurez l'interface source du AC.

[coreswitch] capwap source interface vlanif 12 

b.          # Créez le groupe AP ap-group1 .

[coreswitch] wlan 
[coreswitch-wlan-view] ap-group name ap-group1 
[coreswitch-wlan-ap-group-ap-group1] quit

c.          # Créez un profil de domaine de réglementation, configurez le code de pays AC dans le profil et appliquez le profil au groupe AP.

[coreswitch-wlan-view] regulatory-domain-profile name domain1 
[coreswitch-wlan-regulate-domain-domain1] country-code cn 
[coreswitch-wlan-regulate-domain-domain1] quit 
[coreswitch-wlan-view] ap-group name ap-group1 
[coreswitch-wlan-ap-group-ap-group1] regulatory-domain-profile domain1 
Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu 
e?[Y/N]:y  
[coreswitch-wlan-ap-group-ap-group1] quit 
[coreswitch-wlan-view] quit 

d.          # Importer un AP hors ligne sur l’AC. Dans cet exemple, l'adresse MAC du PA est 60de-4476-e360 et le nom est area_1.

[coreswitch] wlan 
[coreswitch-wlan-view] ap auth-mode mac-auth 
[coreswitch-wlan-view] ap-id 0 ap-mac 60de-4476-e360 
[coreswitch-wlan-ap-0] ap-name area_1 
[coreswitch-wlan-ap-0] ap-group ap-group1 
Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configuration 
s of the radio, Whether to continue? [Y/N]:y  
[coreswitch-wlan-ap-0] quit 

e.          # Une fois le point d'accès allumé, exécutez la commande display ap all pour vérifier son état. Si le champ State affiche nor, le point d'accès est en ligne.

[coreswitch-wlan-view] display ap all 
Total AP information: 
nor  : normal          [1] 
------------------------------------------------------------------------------------- 
ID   MAC            Name   Group     IP            Type            State STA Uptime 
------------------------------------------------------------------------------------- 
0    60de-4476-e360 area_1 ap-group1 10.23.100.254 AP6010DN-AGN    nor   0   10S 
------------------------------------------------------------------------------------- 
Total: 1

8          Configurez les paramètres du service WLAN.

une.          # Créez des profils de sécurité wlan-security1 et wlan-security2 , et configurez les politiques de sécurité. Par défaut, la stratégie de sécurité est l'authentification du système ouvert en mode ouvert.

[coreswitch-wlan-view] security-profile name wlan-security1 
[coreswitch-wlan-sec-prof-wlan-security1] quit 
[coreswitch-wlan-view] security-profile name wlan-security2 
[coreswitch-wlan-sec-prof-wlan-security2] security wpa2 dot1x aes 
[coreswitch-wlan-sec-prof-wlan-security2] quit

b.          # Créez les profils SSID dot1x_test et portal_test , et définissez les noms SSID sur dot1x_test et portal_test , respectivement.

[coreswitch-wlan-view] ssid-profile name dot1x_test 
[coreswitch-wlan-ssid-prof-dot1x_test] ssid dot1x_test 
Warning: This action may cause service interruption. Continue?[Y/N]y 
[coreswitch-wlan-ssid-prof-dot1x_test] quit 
[coreswitch-wlan-view] ssid-profile name portal_test 
[coreswitch-wlan-ssid-prof-portal_test] ssid portal_test 
Warning: This action may cause service interruption. Continue?[Y/N]y 
[coreswitch-wlan-ssid-prof-portal_test] quit 

c.          # Créer des profils VAP dot1x_test et portal_test , configurer le mode de transfert de données et les VLAN de service, puis appliquer les profils de sécurité et les profils SSID aux profils VAP.

[coreswitch-wlan-view] vap-profile name dot1x_test 
[coreswitch-wlan-vap-prof-dot1x_test] forward-mode tunnel 
[coreswitch-wlan-vap-prof-dot1x_test] service-vlan vlan-id 13 
[coreswitch-wlan-vap-prof-dot1x_test] security-profile wlan-security2     
[coreswitch-wlan-vap-prof-dot1x_test] ssid-profile dot1x_test 
[coreswitch-wlan-vap-prof-dot1x_test] authentication-profile p_dot1x    
[coreswitch-wlan-vap-prof-dot1x_test] quit 
[coreswitch-wlan-view] vap-profile name portal_test 
[coreswitch-wlan-vap-prof-portal_test] forward-mode tunnel 
[coreswitch-wlan-vap-prof-portal_test] service-vlan vlan-id 13 
[coreswitch-wlan-vap-prof-portal_test] security-profile wlan-security1    
[coreswitch-wlan-vap-prof-portal_test] ssid-profile portal_test 
[coreswitch-wlan-vap-prof-portal_test] authentication-profile p_portal    
[coreswitch-wlan-vap-prof-portal_test] quit 

d.          # Liez les profils VAP au groupe d’AP et appliquez les profils VAP à la radio 0 et à la radio 1 des AP.

[coreswitch-wlan-view] ap-group name ap-group1 
[coreswitch-wlan-ap-group-ap-group1] vap-profile dot1x_test wlan 1 radio all 
[coreswitch-wlan-ap-group-ap-group1] vap-profile portal_test wlan 2 radio all 
[coreswitch-wlan-ap-group-ap-group1] quit

9          Commit la configuration.

[coreswitch-wlan-view] commit all 
Warning: Committing configuration may cause service interruption, continue?[Y/N]:y 
[coreswitch-wlan-view] quit

10.       Configurez les paramètres XMPP pour l'interconnexion avec Agile Controller-Campus et autorisez la mobilité.

[coreswitch] group-policy controller 192.168.11.1 password Admin@123 src-ip 192.168.11.254     
[coreswitch] quit 
<coreswitch> save

                               Étape 2      Configurez le commutateur d'accès.

20170323112623560005.jpg

Dans cet exemple, il existe un commutateur d'accès entre les utilisateurs et le commutateur principal, qui fonctionne comme point d'authentification et transmet les paquets de manière transparente. Pour vous assurer que les utilisateurs peuvent passer l'authentification 802.1x, configurez le commutateur d'accès pour qu'il transmette de manière transparente les paquets 802.1x (les paquets EAP dans cet exemple, car le mode EAP est utilisé).

<HUAWEI> system-view 
[HUAWEI] sysname l2switch 
[l2switch] l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002 
[l2switch] vlan batch 12 14 
[l2switch] interface gigabitEthernet 0/0/1 
[l2switch-GigabitEthernet0/0/1] port link-type trunk 
[l2switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 12 14 
[l2switch-GigabitEthernet0/0/1] l2protocol-tunnel user-defined-protocol 802.1x enable 
[l2switch-GigabitEthernet0/0/1] bpdu enable 
[l2switch-GigabitEthernet0/0/1] quit 
[l2switch] interface gigabitEthernet 0/0/3               
[l2switch-GigabitEthernet0/0/3] port link-type access 
[l2switch-GigabitEthernet0/0/3] port default vlan 14 
[l2switch-GigabitEthernet0/0/3] l2protocol-tunnel user-defined-protocol 802.1x enable 
[l2switch-GigabitEthernet0/0/3] bpdu enable 
[l2switch-GigabitEthernet0/0/3] quit 
[l2switch] interface gigabitEthernet 0/0/5             
[l2switch-GigabitEthernet0/0/5] port link-type access 
[l2switch-GigabitEthernet0/0/5] port default vlan 12 
[l2switch-GigabitEthernet0/0/5] l2protocol-tunnel user-defined-protocol 802.1x enable 
[l2switch-GigabitEthernet0/0/5] bpdu enable 
[l2switch-GigabitEthernet0/0/5] quit 
[l2switch] quit 
<l2switch> save

                               Étape 3      Configurez le contrôleur-campus agile.

1.          Ajouter le commutateur de base.

a.          Choisissez Ressource > Périphérique > Gestion des périphériques et cliquez sur Ajouter .

20170323112624639006.png

b.          Cliquez sur XMPP .

20170323112624405007.png

c.          Cliquez sur OK Le statut du commutateur est 20170323112625371008.png et l'état de synchronisation est Succès .

d.          Sur le commutateur principal, vérifiez l’état de la communication du commutateur avec Agile Controller-Campus.

<coreswitch> display group-policy status 
Controller IP address: 192.168.11.1 
Controller port: 5222 
Backup controller IP address: - 
Backup controller port: - 
Source IP address: 192.168.11.254 
State: working 
Connected controller: master 
Device protocol version: 1 
Controller protocol version: 1 

2          Créez les comptes du personnel et des invités.

une.          Choisissez Ressource > Gestion des utilisateurs .

b.          Cliquez sur Ajouter pour créer le compte d' employé .

20170323112626151009.png

c.          Cliquez sur Ajouter pour créer le compte invité .

20170323112627688010.png

3          Configurez deux groupes: groupe d'employés et groupe d'invités, et deux groupes de sécurité: serveur de messagerie et serveur vidéo.

une.          Choisissez Stratégie > Contrôle des autorisations > Groupe de sécurité > Gestion dynamique du groupe de sécurité .

b.          Cliquez sur Ajouter et créez Employee_Group .

20170323112628885011.png

c.          Cliquez sur Ajouter et créez Guest_Group .

20170323112629484012.png

ré.          Choisissez Gestion du groupe de sécurité statique , cliquez sur Ajouter et créez Email_Server .

20170323112630556013.png

e.          Cliquez sur Ajouter et créez Video_Server .

20170323112630285014.png

F.           Cliquez sur Déploiement global pour déployer les groupes de sécurité sur l'ensemble du réseau.

4          Autoriser le groupe d'employés aux employés et le groupe d'invités aux invités. Une fois l'authentification réussie, les employés sont ajoutés au groupe d'employés et les invités sont ajoutés au groupe d'invités.

une.          Choisissez Stratégie > Contrôle des autorisations > Autorisation rapide .

b.          Mappez les employés sur le groupe des employés , définissez la bande passante et cliquez sur OK .

20170323112631874015.png

c.          Mappez les invités au groupe Invités , définissez la bande passante et cliquez sur OK .

20170323112632358016.png

5          Configurez une stratégie de contrôle d'accès pour autoriser le groupe d'employés à accéder aux serveurs de messagerie et vidéo et autoriser le groupe d'invités à accéder uniquement au serveur vidéo.

20170323112623560005.jpg

Le mode de configuration de la stratégie par défaut est un groupe personnalisé. S'il n'y a pas de groupe personnalisé, ajoutez d'abord un groupe sur la page de gestion des périphériques (choisissez Ressource > Périphérique > Gestionnaire de périphériques > Mobilité libre ). Vous pouvez également modifier le mode de configuration de la stratégie pour tous les périphériques (choisissez Système > Configuration du terminal > Paramètres généraux > Mode de configuration associé ).

une.          Choisissez Stratégie > Libre mobilité > Contrôle des autorisations .

b.          Cliquez sur Ajouter .

20170323112633320017.png

20170323112634633018.png

20170323112635605019.png

20170323112635890020.png

20170323112636410021.png

c.          Cliquez sur OK et sur le déploiement global .

Une fois la stratégie de contrôle d'accès déployée avec succès, vous pouvez exécuter les commandes suivantes sur le commutateur principal pour afficher les informations de déploiement.

n    display ucl-group all : affiche les groupes de sécurité.

n    display acl all : affiche la politique de contrôle d'accès.

                               Étape 4      Enregistrez la configuration de Core_SW.

Choisissez Ressource > Périphérique > Gestion des périphériques . Cliquez sur 20170323112637586022.png correspondant à Core_SW pour enregistrer la configuration.

20170323112623560005.jpg

L'enregistrement de la configuration est similaire à l'exécution de la commande save sur le périphérique, qui enregistre toutes les configurations de périphérique (y compris les groupes de sécurité, les stratégies de contrôle des droits d'accès et les stratégies de qualité de service déployées sur le contrôleur) dans le fichier de configuration.

Si les groupes de sécurité, les stratégies de contrôle des droits d'accès et les stratégies QoS sont enregistrés dans le fichier de configuration du périphérique, ces configurations peuvent être restaurées directement à partir du fichier de configuration après le redémarrage du périphérique et il n'est pas nécessaire de les demander au contrôleur. Sinon, l'authentification utilisateur échoue après le redémarrage du périphérique, car les groupes de sécurité, les stratégies de contrôle des droits d'accès et les stratégies QoS ne sont pas déployés sur le périphérique.

                               Étape 5      Vérifiez la configuration.

Après avoir passé l'authentification 802.1x ou Portal n'importe où, les employés peuvent accéder aux serveurs de messagerie et vidéo et les vidéos peuvent être lues de manière fluide.

Après avoir passé l'authentification 802.1x ou Portal n'importe où, les invités ne peuvent pas accéder au serveur de messagerie mais uniquement au serveur vidéo et les vidéos peuvent se figer.

----Fin

Fichiers de configuration

l    Fichier de configuration du commutateur principal


sysname coreswitch 

vlan batch 11 to 14 

authentication-profile name p1 
 dot1x-access-profile d1 
 portal-access-profile web1 
 access-domain default force 
authentication-profile name p_dot1x 
 dot1x-access-profile d1 
 free-rule-template default_free_rule 
 access-domain default force 
authentication-profile name p_portal 
 portal-access-profile web1 
 free-rule-template default_free_rule 
 access-domain default force 

group-policy controller 192.168.11.1 password %^%#(K2]5P#C6'97.pR(gFv$K$KbGYN}R1Y76~K^;AP&%^%# src-ip 192.168.11.254 

dhcp enable 

radius-server template policy 
 radius-server shared-key cipher %^%#teXm2B&.1O0:cj$OWPq7@!Y\!%}dC3Br>p,}l\L.%^%# 
 radius-server authentication 192.168.11.1 1812 weight 80 
 radius-server accounting 192.168.11.1 1813 weight 80 

radius-server authorization 192.168.11.1 shared-key cipher %^%#FKIlCKv=f(AgM-G~W"}G.C\%;b'3A/zz-EJV;vi*%^%# 

free-rule-template name default_free_rule 
 free-rule 1 destination ip 192.168.11.200 mask 255.255.255.0 source ip any 
 free-rule 2 source vlan 12 

url-template name huawei 
 url http://192.168.11.1:8080/portal 

web-auth-server policy 
 server-ip 192.168.11.1 
 port 50200 
 shared-key cipher %^%#SQn,Cr"c;M&{#(R^:;P3F_H$3f3sr$C9%*G7R|u3%^%# 
 url-template huawei 

portal-access-profile name web1 
 web-auth-server policy direct 

aaa 
 authentication-scheme auth 
  authentication-mode radius 
 accounting-scheme acco 
  accounting-mode radius 
  accounting realtime 15 
 domain default 
  authentication-scheme auth 
  accounting-scheme acco 
  radius-server policy 

interface Vlanif11 
 ip address 192.168.11.254 255.255.255.0 

interface Vlanif12 
 ip address 192.168.12.254 255.255.255.0 
 dhcp select interface 

interface Vlanif13 
 ip address 192.168.13.254 255.255.255.0 
 dhcp select interface 
 dhcp server dns-list 192.168.11.200 

interface Vlanif14 
 ip address 192.168.14.254 255.255.255.0 
 dhcp select interface 
 dhcp server dns-list 192.168.11.200 

interface GigabitEthernet1/0/11 
 port link-type trunk 
 port trunk allow-pass vlan 11 

interface GigabitEthernet1/0/12 
 port link-type trunk 
 port trunk allow-pass vlan 12 14 
 authentication-profile p1 

capwap source interface vlanif12 

wlan 
 security-profile name wlan-security1 
 security-profile name wlan-security2 
  security wpa2 dot1x aes 
 ssid-profile name dot1x_test 
  ssid dot1x_test 
 ssid-profile name portal_test 
  ssid portal_test 
 vap-profile name dot1x_test 
  forward-mode tunnel 
  service-vlan vlan-id 13 
  ssid-profile dot1x_test 
  security-profile wlan-security2 
  authentication-profile p_dot1x 
 vap-profile name portal_test 
  forward-mode tunnel 
  service-vlan vlan-id 13 
  ssid-profile portal_test 
  security-profile wlan-security1 
  authentication-profile p_portal 
 regulatory-domain-profile name domain1 
 ap-group name ap-group1 
  regulatory-domain-profile domain1 
  radio 0                                                                        
   vap-profile dot1x_test wlan 1                                                 
   vap-profile portal_test wlan 2                                                
  radio 1                                                                        
   vap-profile dot1x_test wlan 1                                                 
   vap-profile portal_test wlan 2                                                
  radio 2                                                                        
   vap-profile dot1x_test wlan 1                                                 
   vap-profile portal_test wlan 2 
 ap-id 0 ap-mac 60de-4476-e360 
  ap-name area_1 
  ap-group ap-group1 
 wlan work-group default 

dot1x-access-profile name d1 

return

l    Fichier de configuration du commutateur d'accès


sysname l2switch 

vlan batch 12 14 

l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002 

interface GigabitEthernet0/0/1 
 port link-type trunk 
 port trunk allow-pass vlan 12 14 
 l2protocol-tunnel user-defined-protocol 802.1x enable 

interface GigabitEthernet0/0/3 
 port link-type access 
 port default vlan 14 
 l2protocol-tunnel user-defined-protocol 802.1x enable 

interface GigabitEthernet0/0/5 
 port link-type access 
 port default vlan 12 
 l2protocol-tunnel user-defined-protocol 802.1x enable 

return


  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

Connectez-vous pour participer à la communication et au partage

S'identifier
Réponse rapide Accéder au haut de page