spécification
Cet exemple s'applique à tous les modèles AR de toutes les versions.
Les cartes 4GE-2S, 4ES2G-S, 4ES2GP-S et 9ES2 ne prennent pas en charge NAC.
Exigences de mise en réseau
Comme le montre la figure 1 , une entreprise doit déployer un système d'authentification d'identité dans les salles de réception pour mettre en œuvre un contrôle d'accès sur les invités tentant de se connecter au réseau de l'entreprise, en s'assurant que seuls les utilisateurs authentifiés peuvent accéder au réseau. Comme les salles de réception ont des exigences de sécurité moyennes, vous n'avez pas besoin de déployer trop de points d'authentification. Le point de contrôle d'authentification doit être déployé sur le périphérique d'agrégation pour faciliter la maintenance.
L'authentification de portail offre un déploiement flexible et est applicable aux utilisateurs en déplacement. Le routeur d'agrégation et les terminaux des invités communiquent au niveau de la couche 2. Par conséquent, vous pouvez déployer l'authentification du portail de la couche 2 sur le routeur d'agrégation afin de mettre en œuvre un contrôle d'accès sur les invités qui tentent de se connecter au réseau d'entreprise. Le serveur RADIUS et le serveur de portail sont intégrés sur le même appareil.
Procédure
- Configurez le routeur.
# sysname Router # vlan batch 10 20 # domain isp1 // Configurer le domaine d'authentification par défaut global.
# portal free-rule 1 destination ip 192.168.3.30 mask 255.255.255.0 // Configurez une règle sans authentification afin que Router laisse passer les paquets destinés au serveur DNS.
# dhcp enable // Activer DHCP.
# radius-server template rd1 // Configurez un modèle de serveur RADIUS.
radius-server shared-key cipher %@%@@ny/&X<2DAnv8-265cj$rD9E%@%@ // Configurez l'authentification RADIUS et la comptabilisation des clés partagées.
radius-server authentication 192.168.3.20 1812 weight 80 // Configurez l'adresse IP du serveur d'authentification.
radius-server accounting 192.168.3.20 1813 weight 80 // Configurez l'adresse IP du serveur de comptabilité.
# web-auth-server s1 // Configure un modèle de serveur Portal.
server-ip 192.168.3.20 // Configurez l'adresse IP du serveur de portail.
port 50200 // Configurez le numéro de port de destination pour que le routeur envoie des paquets de manière proactive au serveur de portail.
shared-key cipher %@%@,xFqU#9nf,!pRu4A'g#'(;%Z%@%@ // Configurez la clé partagée pour la communication avec le serveur de portail.
url http://192.168.3.20:8080/webagent // Configurez l'URL de la page d'authentification du portail.
# aaa authentication-scheme auth // Configurer un schéma d'authentification.
authentication-mode radius accounting-scheme acc // Configurer un schéma de comptabilité.
accounting-mode radius accounting realtime 15 domain isp1 // Configurer un domaine et lie le schéma d'authentification, le schéma de comptabilisation et le modèle de serveur RADIUS au domaine.
authentication-scheme auth accounting-scheme acc radius-server rd1 # interface Vlanif10 ip address 192.168.1.1 255.255.255.0 web-auth-server s1 direct // Activer l'authentification du portail de couche 2.
dhcp select interface // Configurez le serveur DHCP pour attribuer des adresses IP aux invités.
dhcp server dns-list 192.168.3.30 // Notifie les invités de l'adresse IP du serveur DNS.
# interface Vlanif20 ip address 192.168.2.1 255.255.255.0 // Configurez l’adresse de passerelle de la zone serveur.
# interface Ethernet2/0/0 port link-type trunk port trunk allow-pass vlan 10 # interface Ethernet2/0/1 port link-type trunk port trunk allow-pass vlan 10 # interface Ethernet2/0/2 port link-type trunk port trunk allow-pass vlan 20 # ip route-static 192.168.3.0 255.255.255.0 192.168.2.2 // Configurez un itinéraire vers la zone du serveur.
# return
- Vérifiez la configuration.
- La page d'authentification du portail est poussée vers un invité lorsque ce dernier tente d'accéder au réseau. Une fois que l'invité a saisi le nom d'utilisateur et le mot de passe corrects, la page Web demandée est automatiquement affichée.
- Une fois l'authentification réussie, exécutez la commande display access-user . Les informations sur les utilisateurs en ligne sont affichées.