- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
09-HABP配置
本章節下載: 09-HABP配置 (202.69 KB)
目 錄
HABP(HW Bypass Protocol,HW旁路認證協議)是一種鏈路層應用協議,工作在MAC層之上,其主要作用是讓啟用802.1X或MAC地址認證的接入設備的下遊設備免認證。
圖1-1 802.1X認證典型組網圖
如圖1-1所示,802.1X認證端設備Switch A下掛接入設備Switch B和Switch C。在Switch A及其連接下遊設備的端口上啟動802.1X認證,終端用戶可以通過主機上的802.1X客戶端進行認證。在這種情況下,如果網絡設備Switch B和Switch D之間也需要通信,則它們之間的報文在經過Switch A的時候就必須通過802.1X認證。但是設備上通常不支持802.1X客戶端,所以需要一種簡單的機製讓網絡設備繞過802.1X認證。
HABP特性就可以解決以上問題,能幫助一些鏈路層報文穿過802.1X和MAC地址認證,在不影響認證體係正常功能的情況下,實現非終端用戶的網絡連接設備穿過認證,完成必要的網絡設備間協議通信的功能。
HABP協議采用Server/Client結構,每台設備同一時間隻能成為一種角色,Server或Client。HABP server一般應該在802.1X或MAC地址認證端設備上啟動,例如上圖中的Switch A;HABP client應該在下掛的交換機上啟動,例如上圖中的Switch B、Switch C、Switch D和Switch E。通常Server會定期向Client發送HABP請求報文,收集下掛交換機MAC地址,形成HABP表項。而Client會對請求報文進行應答,同時向下層交換機轉發HABP請求報文。所有的HABP報文隻能在一個指定的VLAN內轉發。HABP server和HABP client通過該VLAN實現內部通信。
· 在一個集群中,當使能了802.1X或MAC地址認證功能的成員設備還下掛有其它成員設備時,必須在該成員設備上開啟HABP server功能,否則管理設備將無法對其下掛的成員設備進行管理。
· 關於集群功能的具體介紹請參見“網絡管理和監控配置指導”中的“集群管理配置”。
HABP server一般是在認證端(開啟了802.1X或MAC地址認證功能)設備上啟動。開啟該功能後,HABP server就會定期(發送時間間隔可配)向連接的HABP client發送HABP請求報文,通過HABP client的響應報文來收集下掛交換機的MAC地址信息。HABP報文在HABP server上的指定VLAN內傳播。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能HABP功能 |
habp enable |
可選 缺省情況下,HABP功能處於使能狀態 |
|
設置HABP功能的模式為Server模式,同時指定HABP報文在指定的VLAN內傳播 |
habp server vlan vlan-id |
必選 缺省情況下,HABP功能工作在Client模式下 |
|
設置發送HABP請求報文的時間間隔 |
habp timer interval |
可選 缺省情況下,發送HABP請求報文的時間間隔為20秒 |
HABP server上指定的傳播HABP報文的VLAN必須與HABP client所屬的VLAN保持一致。
HABP client是在認證端設備下掛的設備上啟動。HABP client收到HABP server的請求報文後,通過發送響應報文向HABP server告知本設備的MAC地址等信息,並向下層交換機轉發該HABP請求報文。HABP報文在HABP client所屬的指定VLAN內傳播。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能HABP功能 |
habp enable |
可選 缺省情況下,HABP功能處於使能狀態 |
|
設置HABP功能的模式為Client模式 |
undo habp server |
可選 缺省情況下,HABP功能工作在Client模式下 |
|
設置HABP client所屬的VLAN |
habp client vlan vlan-id |
可選 缺省情況下,HABP Client所屬的VLAN為VLAN 1 |
HABP client所屬的VLAN必須與HABP server上指定的傳播HABP報文的VLAN保持一致。
在完成上述配置後,在任意視圖下執行display命令都可以顯示配置後HABP的運行情況。
表1-3 HABP顯示和維護
|
操作 |
命令 |
|
顯示HABP特性的配置信息和狀態 |
display habp [ | { begin | exclude | include } regular-expression ] |
|
顯示HABP的MAC地址表信息 |
display habp table [ | { begin | exclude | include } regular-expression ] |
|
顯示HABP報文的統計信息 |
display habp traffic [ | { begin | exclude | include } regular-expression ] |
如圖1-2所示,Switch A下掛用戶接入設備Switch B和Switch C。為了便於對接入用戶(Host A~Host D)進行集中認證,在Switch A上開啟802.1X功能。
· 為滿足Switch B和Switch C之間的通信需求,需要在Switch A上啟動HABP server功能,在Switch B和Switch C上啟動HABP client功能,並指定HABP報文在VLAN 1內傳播。
· HABP server以50秒的時間間隔周期性地向VLAN 1內的HABP client發送HABP請求報文。
圖1-2 HABP典型配置組網圖
(1) 配置Switch A
# 配置802.1X相關功能,具體請參見“安全配置指導”中的“802.1X配置”,此處略。
# 在Switch A上使能HABP。(此配置可選,缺省情況下HABP功能處於使能狀態)
<SwitchA> system-view
[SwitchA] habp enable
# 配置HABP工作在Server模式下,並指定HABP報文在VLAN 1內傳播。
[SwitchA] habp server vlan 1
# 配置發送HABP請求報文的時間間隔為50秒。
[SwitchA] habp timer 50
(2) 配置Switch B
# 在Switch B上使能HABP。(此配置可選,缺省情況下HABP功能處於使能狀態)
<SwitchA> system-view
[SwitchB] habp enable
# 配置HABP工作在Client模式下。(此配置可選,缺省情況下HABP工作在Client模式下)
[SwitchB] undo habp server
# 配置HABP Client所屬的VLAN,指定HABP報文在VLAN 1內傳播。(此配置可選,缺省情況下HABP Client屬於VLAN 1)
[SwitchB] habp client vlan 1
(3) 配置Switch C
配置步驟同Switch B,此處略。
(4) 驗證配置結果
# 可以通過此顯示命令查看HABP相關配置信息。
<SwitchA> display habp
Global HABP information:
HABP Mode: Server
Sending HABP request packets every 50 seconds
Bypass VLAN: 1
# 可以通過此顯示命令查看MAC地址表項的學習情況。
<SwitchA> display habp table
MAC Holdtime Receive Port
001f-3c00-0030 53 GigabitEthernet1/0/2
001f-3c00-0031 53 GigabitEthernet1/0/1
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
