Dalam lingkungan kantor digital, kontrol penerimaan jaringan merupakan komponen utama dari keamanan jaringan perusahaan. Perusahaan memiliki permintaan yang semakin meningkat untuk keamanan dan kemudahan jaringan. Secure Access Service Edge (SASE) mengintegrasikan komponen RADIUS (Remote Authentication Dial-In User Service) untuk mendukung protokol 802.1X dan metode akses Portal, memberikan kontrol penerimaan jaringan yang aman, fleksibel, dan efisien, memastikan akses sesuai aturan untuk perangkat dan pengguna, serta meningkatkan efisiensi manajemen keseluruhan dan pengalaman pengguna.
Skenario 1: Akses jaringan nirkabel karyawan
SASE memastikan keamanan akses jaringan melalui otentikasi 802.1X dan meningkatkan efisiensi karyawan dengan akses jaringan satu klik. Karyawan dapat dengan cepat dan aman mengakses jaringan perusahaan di area cakupan jaringan kantor mana pun melalui aplikasi SASE. Anda perlu menyelesaikan konfigurasi terkait baik di konsol SASE maupun di perangkat pengontrol nirkabel lokal Anda.
Pengontrol nirkabel dan switch yang disebutkan dalam dokumen ini menggunakan perangkat H3C sebagai contoh.
Langkah 1: Konfigurasi server otentikasi (RADIUS)
RADIUS adalah protokol jaringan yang digunakan untuk menyediakan layanan otentikasi, otorisasi, dan akuntansi (AAA) terpusat. SASE menyediakan Anda dengan Cloud Authentication Server sambil juga mendukung konfigurasi fleksibel server otentikasi Anda sendiri.
Masuk ke Konsol Secure Access Service Edge.
Di panel navigasi di sebelah kiri, pilih .
Di tab Authentication Server, lihat informasi Cloud Authentication Server atau Add Authentication Server.
Lihat Cloud Authentication Server
Di pojok kanan atas halaman, klik Cloud Authentication Server.
Di panel Cloud Authentication Server, lihat informasi tentang server otentikasi cloud yang disediakan oleh SASE.
Tambah Server Otentikasi
Klik Add Authentication Server.
Pada panel Add Authentication Server, konfigurasikan Authentication Server Name dan IP Address dari server, dan klik Save.
CatatanUser Wi-Fi Authentication Interface adalah 1812 secara default, dan User Wi-Fi Billing Interface adalah 1813 secara default.
Di tab Deployment and Installation, lihat Recommended Server Specifications dan Server Deployment Commands yang diperlukan untuk menerapkan RADIUS.
Salin Server Deployment Commands dan terapkan RADIUS pada server Anda sendiri.
Setelah penyebaran selesai, lihat status penyebaran di daftar.
Langkah 2: Konfigurasi informasi perangkat jaringan
Pengontrol nirkabel adalah perangkat jaringan yang digunakan untuk manajemen dan kontrol terpusat titik akses nirkabel (AP), dengan kemampuan untuk mengonfigurasi, memantau, dan mengoptimalkan jaringan nirkabel secara seragam. Anda perlu mengonfigurasi informasi terkait untuk pengontrol nirkabel Anda.
Di tab Network Device, klik Add Network Device.
Di kotak dialog Add Network Device, konfigurasikan informasi berikut dan klik OK.
Parameter
Deskripsi
Device Name
Masukkan nama perangkat.
Device Brand
Pilih merek pengontrol nirkabel Anda.
Device Type
Pilih Pengontrol Nirkabel.
IP Address
Konfigurasikan alamat IP atau rentang IP pengontrol nirkabel.
MAC Address
Konfigurasikan alamat MAC pengontrol nirkabel.
CoA Port
Konfigurasikan port CoA pengontrol nirkabel.
Langkah 3: Konfigurasi manajemen Wi-Fi
Di tab Wi-Fi Management, klik Create Network Instance.
Di kotak dialog Enterprise Wireless Network Configuration, konfigurasikan Network SSID dan Authentication Mode (saat ini hanya EAP-TLS yang didukung) untuk akses jaringan karyawan, dan klik OK.
Langkah 4: Konfigurasi manajemen sertifikat
Setelah mengakses jaringan kantor perusahaan melalui SASE, sistem akan secara otomatis menerbitkan sertifikat CA SASE dan sertifikat akses jaringan ke aplikasi SASE. Hanya perangkat dengan sertifikat yang terpasang yang dapat menggunakan dan mengakses aplikasi internal perusahaan melalui jaringan nirkabel perusahaan. Jika sertifikat yang diterbitkan secara otomatis tidak sesuai dengan skenario bisnis Anda, Anda dapat memodifikasi ruang lingkup instalasi sertifikat, periode validitas, atau menyesuaikan nama organisasi sertifikat.
Klik Certificate Management.
Di tab Certificate Management, konfigurasikan Network Access Certificate Configuration, CA Certificate Configuration, dan Global Settings.
Langkah 5: Konfigurasi pengontrol nirkabel lokal (menggunakan H3C sebagai contoh)
Anda perlu mengonfigurasi skema RADIUS, domain ISP, dan otentikasi nirkabel 802.1X di konsol lokal.
Konfigurasi RADIUS
Masuk ke konsol perangkat pengontrol nirkabel H3C.
Di bagian bawah halaman, pilih Jaringan, dan di panel navigasi di sebelah kiri, pilih .
Di tab RADIUS, klik
untuk menambahkan skema RADIUS baru.
Di halaman Add RADIUS Scheme, konfigurasikan informasi RADIUS dan klik OK.
Parameter
Deskripsi
Contoh
Nama Skema
Kustomisasi nama skema RADIUS.
sase-r1
Server Otentikasi
Konfigurasikan informasi server otentikasi. Jika Anda memiliki beberapa server otentikasi, Anda dapat menambahkannya ke server cadangan.
Untuk informasi tentang server otentikasi, Anda dapat melihat informasi Cloud Authentication Server atau informasi Add Authentication Server di konsol SASE di bawah tab .
VRF: Jaringan Publik Default
Tipe: Alamat IP Default
Alamat IP: 121.40.*.*
Port: 1812
Kunci Bersama: Masukkan kunci
Status: Aktif
Server Akuntansi
Konfigurasikan informasi server otentikasi. Jika Anda memiliki beberapa server akuntansi, Anda dapat menambahkannya ke server cadangan.
Alamat IP dan kunci bersama server akuntansi sama dengan server otentikasi, dengan port 1813.
VRF: Jaringan Publik Default
Tipe: Alamat IP Default
Alamat IP: 121.40.*.* (sama dengan server otentikasi)
Port: 1813
Kunci Bersama: Isi kunci (sama dengan server otentikasi)
Status: Aktif
Pengaturan Lanjutan
Klik Show Advanced Settings dan atur Interval Akuntansi Real-time menjadi 60 detik di parameter.
60
Konfigurasi domain ISP
Di panel navigasi di sebelah kiri, pilih . Di tab ISP Domains, klik
untuk menambahkan konfigurasi domain ISP baru.Di halaman Add ISP Domains, konfigurasikan domain ISP seperti yang ditunjukkan pada gambar berikut dan klik OK.
Konfigurasi jaringan nirkabel (otentikasi 802.1X)
Di panel navigasi di sebelah kiri, pilih .
Di tab Wireless Network, klik
untuk menambahkan jaringan nirkabel baru.Di halaman Tambah Layanan Nirkabel, konfigurasikan Wireless Service Name, SSID, Default VLAN, dan aktifkan Wireless Service. Setelah konfigurasi selesai, klik Apply and Configure Advanced Settings.
CatatanUntuk informasi terkait SSID, Anda dapat memperoleh SSID dari instans jaringan yang telah dikonfigurasi di konsol SASE di bawah tab .
Pada tab Link Layer Authentication, pilih Authentication Mode sebagai 802.1X dan atur Domain Name ke domain ISP yang telah dikonfigurasi. Biarkan pengaturan lainnya pada nilai default, lalu klik OK.
Di tab Binding, klik AP yang perlu diikat dan klik OK.
Di panel navigasi di sebelah kiri, pilih .
Klik
di pojok kanan atas halaman. Di halaman 802.1X, klik parameter di sebelah kanan Authentication Method, lalu pilih EAP dari daftar drop-down, dan klik OK.
Langkah 6: Aktifkan otorisasi dinamis (CoA)
CoA biasanya diimplementasikan berdasarkan protokol RADIUS dengan mengirim pesan RADIUS CoA-Request untuk memicu perubahan otorisasi. Ketika pengontrol nirkabel menerima permintaan tersebut, ia memperbarui parameter sesi pengguna sesuai dengan isi permintaan dan mengembalikan pesan CoA-ACK (konfirmasi) atau CoA-NAK (penolakan) ke server RADIUS.
Sambungkan ke pengontrol nirkabel (AC) menggunakan konsol baris.
Aktifkan CoA menggunakan perintah berikut.
[AC] radius dynamic-author server [ac-radius-da-server] client ip <Radius Server IP> key simple <Sharesecret>Di mana
{Radius_ip}harus dikonfigurasi sebagai alamat IP server Radius, dan{secret}harus dikonfigurasi sebagai kunci bersama untuk perangkat yang sesuai.CatatanAnda dapat melihat Alamat IP Server Radius dan SharedSecret (kunci bersama) di konsol SASE di bawah tab .
Langkah 7: Konfigurasi kebijakan izin akses jaringan
Saat mengakses jaringan kantor perusahaan melalui SASE, mengonfigurasi kebijakan izin akses jaringan dapat mengimplementasikan isolasi dan kontrol terperinci terhadap izin akses jaringan karyawan atau perangkat, meningkatkan keamanan jaringan dan efisiensi manajemen.
Masuk ke Konsol Secure Access Service Edge.
Di panel navigasi di sebelah kiri, pilih .
Di tab Network Access Permissions, klik Create Policy.
Di panel Create Policy, konfigurasikan pengaturan berikut dan klik OK.
Parameter
Deskripsi
Policy Name
Konfigurasikan nama kebijakan.
Effective Scope
Untuk Effective Scope, pilih Applicable User.
Berdasarkan kebutuhan bisnis aktual, klik Select dan rafinasi cakupan efektif berdasarkan All Users, Specific User Group, Specific Device, atau Specific Device Tag.
VLAN ID
Tetapkan ID VLAN yang dibagi pada pengontrol nirkabel Anda. Rentang input yang didukung: 1-4094.
ACL ID
Tetapkan ID ACL yang dibagi pada pengontrol nirkabel Anda. Rentang nilai perlu ditentukan berdasarkan merek dan model perangkat jaringan yang digunakan.
Terminal Type
Pilih tipe terminal yang efektif.
Network Permissions
Pilih jaringan nirkabel.
Wi-Fi Network Scope
Pilih All Wi-Fi Networks atau pilih Specific Wi-Fi Networks berdasarkan kondisi aktual.
Priority
Tetapkan prioritas efektif kebijakan. Semakin kecil angkanya, semakin tinggi prioritasnya.
Policy Status
Aktifkan status kebijakan.
Advanced Settings
Tetapkan Authentication Server dan Network Device for Access Control agar kebijakan berlaku.
Langkah 8: Instal dan masuk ke aplikasi SASE
Anda perlu menginstal dan masuk ke aplikasi SASE pada perangkat terminal yang terhubung ke Internet. Untuk operasi spesifik setelah masuk ke aplikasi, lihat Instal dan Masuk ke Aplikasi SASE.
Langkah 9: Lihat log otentikasi dan catatan akses jaringan
Setelah menyelesaikan langkah-langkah di atas, Anda dapat melihat catatan akses jaringan atau log otentikasi karyawan di konsol SASE.
Lihat Log Otentikasi Karyawan
Di panel navigasi di sebelah kiri, pilih .
Di tab , lihat status otentikasi jaringan karyawan.
Lihat Catatan Akses Jaringan
Masuk ke Konsol Secure Access Service Edge.
Di panel navigasi di sebelah kiri, pilih .
Di tab Network Access History, lihat status akses jaringan karyawan, dan Anda dapat melakukan operasi Disable dan Enable.
Skenario 2: Akses jaringan kabel karyawan
Skenario ini menjelaskan konfigurasi akses jaringan kabel menggunakan otentikasi 802.1X. Anda perlu mengonfigurasi baik Konsol Manajemen SASE maupun switch lokal.
Langkah 1: Konfigurasi server otentikasi (RADIUS)
RADIUS adalah protokol jaringan yang digunakan untuk menyediakan layanan otentikasi, otorisasi, dan akuntansi (AAA) terpusat. SASE menyediakan Anda dengan Cloud Authentication Server sambil juga mendukung konfigurasi fleksibel server otentikasi Anda sendiri.
Masuk ke Konsol Secure Access Service Edge.
Di panel navigasi di sebelah kiri, pilih .
Di tab Authentication Server, lihat informasi Cloud Authentication Server atau Add Authentication Server.
Lihat Cloud Authentication Server
Di pojok kanan atas halaman, klik Cloud Authentication Server.
Di panel Cloud Authentication Server, lihat informasi tentang server otentikasi cloud yang disediakan oleh SASE.
Tambah Server Otentikasi
Klik Add Authentication Server.
Pada panel Add Authentication Server, konfigurasikan Authentication Server Name dan IP Address server, dan klik Save.
CatatanUser Wi-Fi Authentication Interface adalah 1812 secara default, dan User Wi-Fi Billing Interface adalah 1813 secara default.
Pada tab Deployment and Installation, lihat Recommended Server Specifications dan Server Deployment Commands yang diperlukan untuk menyebarkan RADIUS.
Salin Server Deployment Commands dan terapkan RADIUS pada server Anda sendiri.
Setelah penyebaran selesai, lihat status penyebaran di daftar.
Langkah 2: Konfigurasi informasi perangkat jaringan
Switch digunakan untuk menghubungkan berbagai jenis perangkat jaringan, seperti komputer, server, printer, dan router, memungkinkan komunikasi dan pertukaran data antara perangkat-perangkat ini. Anda perlu mengonfigurasi informasi terkait untuk switch lokal Anda.
Di tab Network Device, klik Add Network Device.
Di kotak dialog Add Network Device, konfigurasikan informasi berikut dan klik OK.
Parameter
Deskripsi
Device Name
Konfigurasikan nama perangkat.
Device Brand
Pilih merek vSwitch Anda.
Device Type
Pilih vSwitch kabel.
IP Address
Konfigurasikan alamat IP atau segmen IP dari vSwitch.
MAC Address
Konfigurasikan alamat MAC dari vSwitch.
CoA Port
Konfigurasikan port CoA dari vSwitch.
Langkah 3: Konfigurasi manajemen sertifikat
Setelah mengakses jaringan kantor perusahaan melalui SASE, sistem akan secara otomatis menerbitkan sertifikat CA SASE dan sertifikat akses jaringan ke aplikasi SASE. Hanya perangkat dengan sertifikat yang terpasang yang dapat menggunakan dan mengakses aplikasi internal perusahaan melalui jaringan kabel perusahaan. Jika sertifikat yang diterbitkan secara otomatis tidak sesuai dengan skenario bisnis Anda, Anda dapat memodifikasi ruang lingkup instalasi sertifikat, periode validitas, atau menyesuaikan nama organisasi sertifikat.
Klik Certificate Management.
Di tab Certificate Management, konfigurasikan Network Access Certificate Configuration, CA Certificate Configuration, dan Global Settings.
Langkah 4: Konfigurasi switch lokal (menggunakan H3C sebagai contoh)
Anda perlu mengonfigurasi skema RADIUS, domain ISP, dan otentikasi kabel 802.1X di konsol lokal.
Konfigurasi RADIUS
Masuk ke konsol perangkat pengontrol nirkabel H3C.
Di bagian bawah halaman, pilih Jaringan, dan di panel navigasi di sebelah kiri, pilih .
Di tab RADIUS, klik
untuk menambahkan skema RADIUS baru.Di halaman Add RADIUS Scheme, konfigurasikan informasi RADIUS dan klik OK.
Parameter
Deskripsi
Contoh
Nama Skema
Kustomisasi nama skema RADIUS.
sase-r1
Server Otentikasi
Konfigurasikan informasi server otentikasi. Jika Anda memiliki beberapa server otentikasi, Anda dapat menambahkannya ke server cadangan.
Untuk informasi tentang server otentikasi, Anda dapat melihat informasi Cloud Authentication Server atau informasi Add Authentication Server di konsol SASE di bawah tab .
VRF: Jaringan Publik Default
Tipe: Alamat IP Default
Alamat IP: 121.40.*.*
Port: 1812
Kunci Bersama: Masukkan kunci.
Status: Aktif
Server Akuntansi
Konfigurasikan informasi server otentikasi. Jika Anda memiliki beberapa server akuntansi, Anda dapat menambahkannya ke server cadangan.
Alamat IP dan kunci bersama server akuntansi sama dengan server otentikasi, dengan port 1813.
VRF: Jaringan Publik Default
Tipe: Alamat IP Default
Alamat IP: 121.40.*.* (sama dengan server otentikasi)
Port: 1813
Kunci Bersama: Isi kunci (sama dengan server otentikasi)
Status: Aktif
Pengaturan Lanjutan
Klik Show Advanced Settings dan atur Interval Akuntansi Real-time menjadi 60 detik.
60
Konfigurasi domain ISP
Di panel navigasi di sebelah kiri, pilih . Di tab ISP Domains, klik
untuk menambahkan konfigurasi domain ISP baru.Di halaman Add ISP Domain, konfigurasikan domain ISP seperti yang ditunjukkan pada gambar berikut dan klik OK.
Konfigurasi port switch (otentikasi 802.1X)
Di panel navigasi di sebelah kiri, pilih .
Pada halaman 802.1X, pilih GE1/0/3 (otentikasi berbasis Port). Lalu klik OK.
Klik Advanced Settings. Di halaman Advanced Settings, konfigurasikan Mandatory ISP Domain of the Port, dan klik OK.
Klik
di pojok kanan atas halaman. Di halaman 802.1X, klik parameter di sebelah kanan Authentication Method, lalu pilih EAP dari daftar drop-down, dan klik OK.
Langkah 5: Aktifkan otorisasi dinamis (CoA)
CoA biasanya diimplementasikan berdasarkan protokol RADIUS dengan mengirim pesan RADIUS CoA-Request untuk memicu perubahan otorisasi. Ketika pengontrol nirkabel menerima permintaan tersebut, ia memperbarui parameter sesi pengguna sesuai dengan isi permintaan dan mengembalikan pesan CoA-ACK (konfirmasi) atau CoA-NAK (penolakan) ke server RADIUS.
Sambungkan ke pengontrol nirkabel (AC) menggunakan konsol baris.
Aktifkan CoA menggunakan perintah berikut.
[AC] radius dynamic-author server [ac-radius-da-server] client ip <Radius Server IP> key simple <Sharesecret>Di mana
{Radius_ip}harus dikonfigurasi sebagai alamat IP server Radius, dan{secret}harus dikonfigurasi sebagai kunci bersama untuk perangkat yang sesuai.CatatanAnda dapat melihat Alamat IP Server Radius dan SharedSecret (kunci bersama) di konsol SASE di bawah tab .
Langkah 6: Konfigurasi kebijakan izin akses jaringan
Saat mengakses jaringan kantor perusahaan melalui SASE, mengonfigurasi kebijakan izin akses jaringan dapat mengimplementasikan isolasi dan kontrol terperinci terhadap izin akses jaringan karyawan atau perangkat, meningkatkan keamanan jaringan dan efisiensi manajemen.
Masuk ke Konsol Secure Access Service Edge.
Di panel navigasi di sebelah kiri, pilih .
Di tab Network Access Permissions, klik Create Policy.
Di panel Create Policy, konfigurasikan pengaturan berikut dan klik OK.
Parameter
Deskripsi
Policy Name
Konfigurasikan nama kebijakan.
Effective Scope
Untuk Effective Scope, pilih Applicable User.
Berdasarkan kebutuhan bisnis aktual, klik Select dan rafinasi cakupan efektif berdasarkan All Users, Specific User Group, Specific Device, atau Specific Device Tag.
VLAN ID
Tetapkan ID VLAN yang dibagi pada switch Anda. Rentang input yang didukung: 1-4094.
ACL ID
Tetapkan ID ACL yang dibagi pada switch Anda. Rentang nilai perlu ditentukan berdasarkan merek dan model perangkat jaringan yang digunakan.
Terminal Type
Pilih tipe terminal yang efektif.
Network Permissions
Pilih jaringan kabel.
Priority
Tetapkan prioritas efektif kebijakan. Semakin kecil angkanya, semakin tinggi prioritasnya.
Policy Status
Aktifkan status kebijakan.
Advanced Settings
Tetapkan Authentication Server dan Network Device for Access Control agar kebijakan berlaku.
Langkah 7: Instal dan masuk ke aplikasi SASE
Anda perlu menginstal dan masuk ke aplikasi SASE pada perangkat terminal yang terhubung ke Internet. Untuk operasi spesifik setelah masuk ke aplikasi, lihat Instal dan Masuk ke Aplikasi SASE.
Langkah 8: Lihat log otentikasi dan catatan akses jaringan
Setelah menyelesaikan langkah-langkah di atas, Anda dapat melihat catatan akses jaringan atau log otentikasi karyawan di konsol SASE.
Lihat Log Otentikasi Karyawan
Di panel navigasi sebelah kiri, pilih .
Pada tab , lihat status otentikasi jaringan karyawan.
Lihat Catatan Akses Jaringan
Masuk ke Konsol Secure Access Service Edge.
Di panel navigasi di sebelah kiri, pilih .
Di tab Network Access History, lihat status akses jaringan karyawan, dan Anda dapat melakukan operasi Disable dan Enable.
Skenario 3: Akses jaringan nirkabel tamu
SASE menyediakan solusi akses jaringan tamu yang aman dan nyaman bagi perusahaan, memastikan keamanan jaringan dengan membedakan SSID karyawan dan tamu sambil mengoptimalkan pengalaman internet tamu. Mendukung konfigurasi simultan akses jaringan karyawan dan tamu, hanya memerlukan pengaturan SSID yang berbeda dan strategi integrasi backend. Saat ini, akses tamu ke Wi-Fi tamu SASE hanya mendukung otentikasi kode verifikasi pesan teks melalui halaman Portal.
Langkah 1: Konfigurasi otentikasi Portal
Masuk ke Konsol Secure Access Service Edge.
Di panel navigasi di sebelah kiri, pilih .
Di pojok kanan atas halaman, klik Authentication Configuration.
Di halaman Authentication Configuration, konfigurasikan Authentication Portal Settings dan Custom Settings on Authentication Page.
Langkah 2: Konfigurasi server otentikasi (RADIUS)
RADIUS (Remote Authentication Dial-In User Service) adalah protokol jaringan yang digunakan untuk menyediakan layanan otentikasi, otorisasi, dan akuntansi (AAA) terpusat. SASE mendukung konfigurasi fleksibel server otentikasi Anda sendiri.
Masuk ke Konsol Secure Access Service Edge.
Di panel navigasi di sebelah kiri, pilih .
Di tab Authentication Server, klik Add Authentication Server.
Di halaman Add Authentication Server, konfigurasikan Authentication Server Name dan IP Address server, lalu klik Save.
CatatanUser Wi-Fi Authentication Interface adalah 1812 secara default, dan User Wi-Fi Billing Interface adalah 1813 secara default.
Di tab Deployment and Installation, lihat Recommended Server Specifications dan Server Deployment Commands.
Salin Server Deployment Commands dan terapkan RADIUS pada server Anda sendiri.
Setelah penyebaran selesai, lihat status penyebaran di daftar.
Langkah 3: Konfigurasi manajemen Wi-Fi
Di tab Wi-Fi Management, klik Create Network Instance.
Di kotak dialog Enterprise Wireless Network Configuration, konfigurasikan Network SSID dan Authentication Mode untuk akses tamu (saat ini hanya EAP-TLS yang didukung), dan klik OK.
Langkah 4: Konfigurasi pengontrol nirkabel lokal (menggunakan H3C sebagai contoh)
Konfigurasi RADIUS
Masuk ke konsol perangkat pengontrol nirkabel H3C.
Di bagian bawah halaman, pilih Jaringan, dan di panel navigasi di sebelah kiri, pilih .
Di tab RADIUS, klik
untuk menambahkan skema RADIUS baru.Di halaman Add RADIUS Scheme, konfigurasikan informasi RADIUS dan klik OK.
Parameter
Deskripsi
Contoh
Nama Skema
Kustomisasi nama skema RADIUS.
sase-r1
Server Otentikasi
Konfigurasikan informasi server otentikasi. Jika Anda memiliki beberapa server otentikasi, Anda dapat menambahkannya ke server cadangan.
Untuk informasi tentang server otentikasi, Anda dapat melihat informasi Add Authentication Server di konsol SASE di bawah tab .
VRF: Jaringan Publik Default
Tipe: Alamat IP Default
Alamat IP: 121.40.*.* (sama dengan server otentikasi)
Port: 2000
Kunci Bersama: Isi kunci (sama dengan server otentikasi)
Status: Aktif
Pengaturan Lanjutan
Klik Show Advanced Settings dan lihat konfigurasi berikut, biarkan pengaturan lainnya tetap default.
Alamat IPv4 Sumber untuk Mengirim Pesan RADIUS: Konfigurasikan alamat IPv4 perangkat akses yang ditentukan pada server RADIUS (umumnya alamat IP antarmuka manajemen AC).
Format Nama Pengguna yang Dikirim ke Server RADIUS: Tanpa nama domain.
Alamat IPv4 Sumber untuk Mengirim Pesan RADIUS: 121.40.*.*
Format Nama Pengguna yang Dikirim ke Server RADIUS: Tanpa nama domain.
Konfigurasi domain ISP
Di panel navigasi di sebelah kiri, pilih . Di tab ISP Domains, klik
untuk menambahkan konfigurasi domain ISP baru.Di halaman Add ISP Domain, konfigurasikan domain ISP seperti yang ditunjukkan pada gambar berikut dan klik OK.
Konfigurasi server otentikasi Portal
Di panel navigasi di sebelah kiri, pilih .
Pada tab Portal, klik Portal Authentication Server.
Di halaman Portal, klik
untuk menambahkan server otentikasi Portal baru.Di halaman Create Portal Authentication Server, gunakan konfigurasi berikut, biarkan pengaturan lainnya pada nilai default, lalu klik OK.
Parameter
Deskripsi
Contoh
Server Name
Tetapkan nama server otentikasi Portal.
sase-newptv4
IP Address
Tetapkan alamat IP server RADIUS.
121.40.*.*
Server Reachability Detection
Aktifkan fungsi deteksi dan atur Detection Duration dan Action.
Detection Duration: 60 detik
Action: Pilih Log
Konfigurasi server Web Portal
Di panel navigasi di sebelah kiri, pilih .
Di tab Portal, klik Local Portal Web Server.
Di halaman Portal, klik
untuk menambahkan server Web Portal baru.Di halaman Create Local Portal Web Server, lihat konfigurasi berikut dan klik OK.
Parameter
Deskripsi
Contoh
Server Name
Konfigurasikan nama server.
sase-newptv4
URL
Konfigurasikan alamat server.
121.40.*.*
URL Parameters
Pilih User's IP Address, konfigurasikan nama parameter di URL Parameter Name, dan klik Add.
Pilih User's MAC Address, konfigurasikan nama parameter di URL Parameter Name, dan klik Add.
Alamat IP Pengguna: userip
Alamat MAC Pengguna: usermac
Konfigurasi layanan nirkabel
Di panel navigasi di sebelah kiri, pilih .
Di tab Wireless Network, klik
untuk menambahkan jaringan nirkabel baru.Di halaman Tambah Layanan Nirkabel, konfigurasikan Wireless Service Name, SSID, Default VLAN, dan aktifkan Wireless Service. Setelah konfigurasi selesai, klik Apply and Configure Advanced Settings.
CatatanUntuk informasi terkait SSID, Anda dapat memperoleh SSID dari instans jaringan yang telah dikonfigurasi di konsol SASE di bawah tab .
Di tab Link Layer Authentication, pilih Authentication Mode sebagai IPv4 Portal Authentication, pilih Domain Name sebagai nama domain ISP yang telah Anda konfigurasikan, pilih Web Server Name, konfigurasikan BAS-IP, dan biarkan konfigurasi lainnya tetap default. Lalu klik OK.
Di tab Binding, klik AP yang perlu diikat dan klik OK.
Konfigurasi tambahan
Sambungkan ke AC melalui konsol baris untuk melakukan konfigurasi.
# Aktifkan fungsi roaming Portal nirkabel.
[AC] portal roaming enable
# Nonaktifkan fungsi pengerasan entri ARP klien Portal nirkabel.
[AC] undo portal refresh arp enable
# Aktifkan fungsi pengecekan legitimasi klien Portal nirkabel.
[AC] portal host-check enable
# Konfigurasikan tipe server otentikasi Portal sebagai CMCC
[AC] portal server sase-newptv4
[AC-portal-server-newpt] server-type cmcc
[AC-portal-server-newpt] quit
# Konfigurasikan server Web Portal
[AC] portal web-server sase-newptv4
[AC-portal-websvr-newpt] url http://192.168.XX.XX:8080/portal
# Konfigurasikan perangkat untuk menyertakan parameter ssid dan vlan dalam URL yang dialihkan ke server Web Portal pengguna, dengan nilai masing-masing adalah SSID AP dan vlan.
[AC-portal-websvr-newpt] url-parameter ssid ssid
[AC-portal-websvr-newpt] url-parameter vlan vlan
[AC-portal-websvr-newpt] url-parameter acip value <IP Asal AC>
# Konfigurasikan tipe server Web Portal sebagai CMCC.
[AC-portal-websvr-newpt] server-type cmcc
# Konfigurasikan adaptasi captive-bypass iOS
[AC-portal-websvr-newpt] captive-bypass ios optimize enable
[AC-portal-websvr-newpt] quit
# Aktifkan fungsi kontrol sesi RADIUS.
[AC] radius session-control enable
# Konfigurasikan fungsi CoA Radius
[AC] radius dynamic-author server
[AC-radius-da-server] client ip <Radius Server IP> key simple <SharedSecret>Anda dapat melihat Alamat IP Server Radius dan SharedSecret (kunci bersama) di konsol SASE pada tab .
Langkah 5: Login tamu
Setelah terhubung ke Wi-Fi tamu pada perangkat terminal, Anda akan dialihkan secara otomatis ke halaman Portal otentikasi. Masukkan nomor telepon Anda, dapatkan kode verifikasi melalui pesan teks, lalu masukkan kode tersebut untuk login. Akses ke aplikasi internal perusahaan hanya dapat dilakukan setelah verifikasi berhasil.
Langkah 6: Lihat log tamu
Masuk ke Konsol Secure Access Service Edge.
Di panel navigasi sebelah kiri, pilih .
Di tab , periksa status otentikasi jaringan tamu.
Skenario 4: Akses jaringan terminal bodoh
Terminal bodoh dapat mengakses lingkungan kantor perusahaan melalui jaringan nirkabel atau kabel. Untuk mengonfigurasi akses, tambahkan terminal bodoh di Konsol Secure Access Service Edge (SASE) terlebih dahulu, lalu atur akses jaringan di switch lokal.
Langkah 1: Menambahkan terminal bodoh
Masuk ke Konsol Secure Access Service Edge.
Di panel navigasi sebelah kiri, pilih .
Di daftar sebelah kiri, pilih Dumb Terminal. Sesuaikan dengan kebutuhan bisnis Anda, Anda dapat memilih Add Terminal atau Import Devices.
Add Terminal: Di panel Add Terminal, masukkan MAC Address, MAC Address Mask, Device Vendor, Device Name, Device Type, dan informasi lainnya, lalu klik OK.
Import Devices: Pada kotak dialog Import Devices, klik Download Import Template, isikan informasi perangkat, klik Upload Local File, dan setelah unggahan selesai, klik OK.
Langkah 2: Konfigurasi akses
Metode konfigurasi akses jaringan untuk terminal bodoh berbeda, tergantung pada apakah perangkat mendukung jaringan nirkabel atau kabel.
Mendukung jaringan nirkabel: Lihat proses konfigurasi di Skenario 1: Akses Jaringan Nirkabel Karyawan.
Mendukung jaringan kabel: Lihat proses konfigurasi di Skenario 2: Akses Jaringan Kabel Karyawan.
Perangkat terminal bodoh tidak memerlukan manajemen sertifikat atau instalasi aplikasi SASE, sehingga langkah-langkah ini dapat dilewati.
Langkah 3: Lihat log otentikasi terminal bodoh
Di panel navigasi sebelah kiri, pilih .
Pada tab , lihat status otentikasi jaringan perangkat terminal bodoh.