【Service après-vente Mr Gateway】 Exemple pour les routeurs AR Configuration de la couche 3 Porta

40 0 0 0

spécification

Cet exemple s'applique à tous les modèles AR de toutes les versions.

  REMARQUE:

Les cartes 4GE-2S, 4ES2G-S, 4ES2GP-S et 9ES2 ne prennent pas en charge NAC.

Exigences de mise en réseau

Comme le montre la figure 1, une entreprise doit déployer un système d'authentification d'identité dans les salles de réception pour mettre en œuvre un contrôle d'accès sur les invités tentant de se connecter au réseau de l'entreprise, en s'assurant que seuls les utilisateurs authentifiés peuvent accéder au réseau. Pour faciliter la reconstruction future du réseau et économiser les investissements, il est nécessaire que le point de contrôle d'authentification soit déployé sur le périphérique principal.

L'authentification de portail offre un déploiement flexible et est applicable aux utilisateurs en déplacement. Le périphérique principal RouterA et les terminaux invités communiquent au niveau de la couche 3. Par conséquent, vous pouvez déployer une authentification de portail de niveau 3 sur RouterA pour implémenter un contrôle d'accès sur les invités tentant de se connecter au réseau de l'entreprise. Le serveur RADIUS et le serveur de portail sont intégrés sur le même appareil.

Figure 1 Schéma de réseau pour la configuration de l'authentification de portail de couche 3

【Service après-vente Mr Gateway】 Exemple pour les routeurs AR Configuration de la couche 3 Porta-1078729-1

Procédure

Configurez RouterA.

#

 sysname RouterA

#

vlan batch 10 20

#

domain isp1    //Configure the global default authentication domain.

#

portal free-rule 1 destination ip 192.168.3.30 mask 255.255.255.0    //Configure an authentication-free rule so that the router allows packets to the DNS server to pass through.

#

dhcp enable    //Enable DHCP.

#

radius-server template rd1    //Configure a RADIUS server template.

 radius-server shared-key cipher %@%@@ny/&X<2DAnv8-265cj$rD9E%@%@    //Configure RADIUS authentication and accounting shared keys.

 radius-server authentication 192.168.3.20 1812 weight 80    //Configure the IP address of the authentication server.

 radius-server accounting 192.168.3.20 1813 weight 80    //Configure the IP address of the accounting server.

#

web-auth-server s1    //Configure a Portal server template.

 server-ip 192.168.3.20    //Configure the IP address of the Portal server.

 port 50200    //Configure the destination port number for the router to proactively send packets to the Portal server.

 shared-key cipher %@%@,xFqU#9nf,!pRu4A'g#'(;%Z%@%@    //Configure the shared key for communication with the Portal server.

 url http://192.168.3.20:8080/webagent    //Configure the URL of the Portal authentication page.

#

ip pool p1    //Configure a global address pool, network segment of IP addresses in the pool, and IP address of the DNS server.

 network 10.10.10.0 mask 255.255.255.0                                                                                              

 dns-list 192.168.3.30  

# 

aaa

 authentication-scheme auth    //Configure an authentication scheme.

  authentication-mode radius

 accounting-scheme acc    //Configure an accounting scheme.

  accounting-mode radius

  accounting realtime 15

 domain isp1    //Configure a domain and bind the authentication scheme, accounting scheme, and RADIUS server template to the domain.

  authentication-scheme auth

  accounting-scheme acc

  radius-server rd1

#

interface Vlanif10

 ip address 192.168.1.1 255.255.255.0

 web-auth-server s1 layer3    //Enable Layer 3 Portal authentication.

 dhcp select global    //Configure the DHCP server to assign IP addresses to guests.

#

interface Vlanif20

 ip address 192.168.2.1 255.255.255.0    //Configure the gateway address of the server zone.

#

interface Ethernet2/0/1

 port link-type trunk

 port trunk allow-pass vlan 10

#

interface Ethernet2/0/2

 port link-type trunk

 port trunk allow-pass vlan 20

#

ip route-static 192.168.3.0 255.255.255.0 192.168.2.2    //Configure a route to the server zone.

ip route-static 10.10.10.0 255.255.255.0 192.168.1.2    //Configure a route to terminals.

#

return



Configurez RouterB.


#

 sysname RouterB

#

vlan batch 10 20

#

dhcp enable    //Enable DHCP.

#

interface Vlanif10

 ip address 192.168.1.2 255.255.255.0

#

interface Vlanif20

 ip address 10.10.10.1 255.255.255.0    //Configure the gateway address of terminals.

 dhcp select relay    //Enable the DHCP relay function.

 dhcp relay server-ip 192.168.1.1    //Specify the IP address of the DHCP server.

#

interface Ethernet2/0/0

 port link-type trunk

 port trunk allow-pass vlan 20

#

interface Ethernet2/0/1

 port link-type trunk

 port trunk allow-pass vlan 20

#

interface Ethernet2/0/2

 port link-type trunk

 port trunk allow-pass vlan 10

#

ip route-static 0.0.0.0 0.0.0.0 192.168.1.1

#

return


Vérifiez la configuration.

La page d'authentification du portail est poussée vers un invité lorsque ce dernier tente d'accéder au réseau. Une fois que l'invité a saisi le nom d'utilisateur et le mot de passe corrects, la page Web demandée est automatiquement affichée.

Une fois l'authentification réussie, exécutez la commande display access-user. Les informations sur les utilisateurs en ligne sont affichées.

Notes de configuration

Avant de procéder à la configuration, assurez-vous que les périphériques du réseau peuvent communiquer.

La clé partagée d'authentification RADIUS, la clé partagée de comptabilité RADIUS et la clé partagée de portail doivent rester cohérentes sur le routeur et le serveur.


  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier