- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-H3C_端口安全配置舉例
本章節下載: 02-H3C_端口安全配置舉例 (368.81 KB)
H3C端口安全典型配置舉例
資料版本:6W100-20190330
產品版本:Release 7577P04
|
Copyright © 2019 bobty下载软件 版權所有,保留一切權利。 非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。 除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。 本文檔中的信息可能變動,恕不另行通知。 |
目 錄
5.3.1 配置RADIUS Server(iMC PLAT 7.0)
6 端口安全macAddressElseUserLoginSecure模式配置舉例
本文檔介紹端口安全的配置舉例。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文假設您已了解端口安全特性。
· 如果已全局開啟了802.1X或MAC地址認證功能,則無法使能端口安全功能。
· 當端口安全功能開啟後,端口上的802.1X功能以及MAC地址認證功能將不能被手動開啟,且802.1X端口接入控製方式和端口接入控製模式也不能被修改,隻能隨端口安全模式的改變由係統更改。
· 端口上有用戶在線的情況下,端口安全功能無法關閉。
· 端口安全模式的配置與端口加入聚合組或業務環回組互斥。
· 當多個用戶通過認證時,端口下所允許的最大用戶數根據不同的端口安全模式,取端口安全所允許的最大MAC地址數與相應模式下允許認證用戶數的最小值。例如,userLoginSecureExt模式下,端口下所允許的最大用戶為配置的端口安全所允許的最大MAC地址數與802.1X認證所允許的最大用戶數的最小值。
· 當端口安全已經使能且當前端口安全模式不是noRestrictions時,若要改變端口安全模式,必須首先執行undo port-security port-mode命令恢複端口安全模式為noRestrictions模式。
如圖1所示,用戶通過Device連接到網絡。通過配置端口安全autolearn模式,實現對接入用戶的控製,具體需求如下:
· 最多同時允許64個用戶直接通過交換機接入Internet,無需進行認證;
· 當用戶數量超過設定值後,新用戶無法通過Device接入Internet。
圖1 端口安全autoLearn模式組網圖
· 配置交換機與用戶相連端口的安全模式為autolearn,允許用戶自由接入。
· 為防止交換機與用戶相連端口學習到的MAC地址的丟失,及安全MAC地址不老化會帶來一些問題,需配置安全MAC地址並設定安全MAC地址老化時間(例如30分鍾)。
· 配置最大安全MAC地址數為64,當安全MAC地址數量達到64後,停止學習;配置入侵檢測特性方式為disableport-temporarily,當再有新的MAC地址接入時,交換機與用戶相連端口被暫時斷開連接,30秒後自動恢複端口的開啟狀態。
當端口工作於autoLearn模式時,無法更改端口安全允許的最大MAC地址數。
# 使能端口安全。
<Device> system-view
[Device] port-security enable
# 設置安全MAC地址的老化時間為30分鍾。
[Device] port-security timer autolearn aging 30
# 設置端口安全允許的最大安全MAC地址數為64。
[Device] interface ten-gigabitethernet 1/0/1
[Device-Ten-GigabitEthernet1/0/1] port-security max-mac-count 64
# 設置端口安全模式為autoLearn。
[Device-Ten-GigabitEthernet1/0/1] port-security port-mode autolearn
# 設置觸發入侵檢測特性後的保護動作為暫時關閉端口,關閉時間為30秒。
[Device-Ten-GigabitEthernet1/0/1] port-security intrusion-mode disableport-temporarily
[Device-Ten-GigabitEthernet1/0/1] quit
[Device] port-security timer disableport 30
# 上述配置完成後,可以使用display port-security interface命令查看端口安全的配置情況。
[Device] display port-security interface ten-gigabitethernet 1/0/1
Global port security parameters:
Port security : Enabled
AutoLearn aging time : 30 min
Disableport timeout : 30 s
MAC move : Denied
Authorization fail : Online
NAS-ID profile : Not configured
Dot1x-failure trap : Disabled
Dot1x-logon trap : Disabled
Dot1x-logoff trap : Disabled
Intrusion trap : Disabled
Address-learned trap : Disabled
Mac-auth-failure trap : Disabled
Mac-auth-logon trap : Disabled
Mac-auth-logoff trap : Disabled
OUI value list :
Ten-GigabitEthernet1/0/1 is link-down
Port mode : autoLearn
NeedToKnow mode : Disabled
Intrusion protection mode : DisablePortTemporarily
Security MAC address attribute
Learning mode : Sticky
Aging type : Periodical
Max secure MAC addresses : 64
Current secure MAC addresses : 5
Authorization : Permitted
NAS-ID profile : Not configured
可以看到端口安全所允許的最大安全MAC地址數為64,端口模式為autoLearn,入侵檢測保護動作為DisablePortTemporarily,入侵發生後端口被禁用時間為30秒。
配置生效後,端口允許地址學習,學習到的MAC地址數可在上述顯示信息的“Current secure MAC addresses”字段查看到。
# 具體的MAC地址信息可以在二層以太網接口視圖下用display this命令查看。
[Device] interface ten-gigabitethernet 1/0/1
[Device-Ten-GigabitEthernet1/0/1] display this
#
interface Ten-GigabitEthernet1/0/1
port link-mode bridge
port-security intrusion-mode disableport-temporarily
port-security max-mac-count 64
port-security port-mode autolearn
port-security mac-address security sticky 00e0-fc00-5920 vlan 1
port-security mac-address security sticky 00e0-fc00-592a vlan 1
port-security mac-address security sticky 00e0-fc00-592b vlan 1
port-security mac-address security sticky 00e0-fc00-592c vlan 1
port-security mac-address security sticky 00e0-fc00-592d vlan 1
#
當學習到的MAC地址數達到64後,用命令display port-security interface可以看到端口模式變為secure,再有新的MAC地址到達將觸發入侵保護,可以通過命令display interface看到此端口關閉。30秒後,端口狀態恢複。此時,如果手動刪除幾條安全MAC地址後,端口安全的狀態重新恢複為autoLearn,可以繼續學習MAC地址。
#
port-security enable
port-security timer disableport 30
port-security timer autolearn aging 30
#
interface Ten-GigabitEthernet1/0/1
port link-mode bridge
port-security intrusion-mode disableport-temporarily
port-security max-mac-count 64
port-security port-mode autolearn
#
如圖2所示,用戶Host(已安裝802.1X客戶端軟件)和打印機Printer通過交換機Device連接到網絡,交換機通過RADIUS服務器對用戶進行身份認證,如果認證成功,用戶被授權允許訪問Internet資源。 IP地址為192.168.0.38的RADIUS服務器作為認證服務器和計費服務器,認證/計費共享密鑰為expert。
通過配置端口安全userLoginWithOUI模式,實現對接入用戶的控製,具體需求如下:
· 所有接入用戶都使用ISP域sun的認證/授權/計費方法;
· 最多允許一個802.1X用戶通過端口Ten-GigabitEthernet1/0/1接入Internet;
· 允許打印機通過與交換機相連端口實現與Internet資源正常連接;
· 當有非法用戶接入時,觸發入侵檢測,將非法報文丟棄(不對端口進行關閉)。
· 配置交換機與用戶端相連的端口安全模式為userLoginWithOUI,即:該端口最多隻允許一個802.1X認證用戶接入,還允許一個指定OUI的源MAC地址的報文認證通過。為userLoginWithOUI端口安全模式配置5個OUI值(對應不同廠商的打印機MAC地址的OUI)。
· 配置端口安全的入侵檢測功能:當交換機與用戶端相連的端口接收到非法報文後,觸發入侵檢測,將非法報文丟棄,同時將其源MAC地址加入阻塞MAC地址列表中。
下麵以iMC為例(使用iMC版本為:iMC PLAT 7.0 (E0201)、iMC EIA 7.0 (E0201)),說明RADIUS server的基本配置。
#增加接入設備
登錄進入iMC管理平台,選擇“用戶”頁簽,單擊導航樹中的[接入策略管理/接入設備管理/接入設備配置]菜單項,進入接入設備配置頁麵,在該頁麵中單擊“增加”按鈕,進入增加接入設備頁麵。
· 設置與Device交互報文時的認證、計費共享密鑰為“expert”;
· 設置認證及計費的端口號分別為“1812”和“1813”;
· 選擇業務類型為“LAN接入業務”;
· 選擇接入設備類型為“H3C(General)”;
· 選擇或手工增加接入設備,添加IP地址為192.168.0.34的接入設備;
· 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
添加的接入設備IP地址要與Device發送RADIUS報文的源地址保持一致。缺省情況下,設備發送RADIUS報文的源地址是發送RADIUS報文的接口IP地址。
· 若設備上通過命令nas-ip或者radius nas-ip指定了發送RADIUS報文的源地址,則此處的接入設備IP地址就需要修改並與指定源地址保持一致。
· 若設備使用缺省的發送RADIUS報文的源地址,例如,本例中為設備連接服務器端的接口的IP地址192.168.0.34,則此處接入設備IP地址就選擇192.168.0.34。
圖3 增加接入設備
# 增加接入策略
選擇“用戶”頁簽,單擊導航樹中的[接入策略管理/接入策略管理]菜單項,在該頁麵中單擊<增加>按鈕,進入增加接入策略配置頁麵。
· 接入策略名為“802.1X-auth”;
· 其他配置采用頁麵默認配置即可;
· 單擊<確定>按鈕完成操作。
# 增加服務配置。
選擇“用戶”頁簽,單擊導航樹中的[接入策略管理/接入服務管理]菜單項,在該頁麵中單擊<增加>按鈕,進入增加服務配置頁麵。
· 輸入服務名為“802.1X-auth/acct”;
· 缺省接入策略為“802.1X-auth”;
· 選擇計費策略為“不計費”;
· 本配置頁麵中還有其它服務配置選項,請根據實際情況選擇配置;
· 單擊<確定>按鈕完成操作。
圖4 增加服務配置
# 增加接入用戶。
選擇“用戶”頁簽,單擊導航樹中的[接入用戶管理/接入用戶]菜單項,進入接入用戶列表頁麵,在該頁麵中單擊<增加>按鈕,進入增加接入用戶頁麵。
· 選擇或者手工增加用戶姓名為“hello”;
· 輸入帳號名“802.1X”和密碼802.1X;
· 選擇該用戶所關聯的接入服務為“802.1X-auth/acct”;
· 本配置頁麵中還有其它服務配置選項,請根據實際情況選擇配置;
· 單擊<確定>按鈕完成操作。
圖5 增加接入用戶
· 下述配置步驟包含了部分AAA/RADIUS協議配置命令,具體介紹請參見“安全配置指導”中的“AAA”。
· 保證客戶端和RADIUS服務器之間路由可達。
· 配置AAA
# 創建RADIUS方案。並配置RADIUS方案主認證/計費服務器及其通信密鑰。
<Device> system-view
[Device] radius scheme radsun
New RADIUS scheme.
[Device-radius-radsun] primary authentication 192.168.0.38
[Device-radius-radsun] primary accounting 192.168.0.38
[Device-radius-radsun] key authentication simple expert
[Device-radius-radsun] key accounting simple expert
#配置係統向RADIUS服務器重發報文的時間間隔為5秒,重發次數為5次,發送實時計費報文的時間間隔為15分鍾,發送的用戶名不帶域名。
[Device-radius-radsun] timer response-timeout 5
[Device-radius-radsun] retry 5
[Device-radius-radsun] timer realtime-accounting 15
[Device-radius-radsun] user-name-format without-domain
[Device-radius-radsun] quit
# 配置ISP域,並設置為係統缺省的ISP域。
[Device] domain sun
[Device-isp-sun] authentication lan-access radius-scheme radsun
[Device-isp-sun] authorization lan-access radius-scheme radsun
[Device-isp-sun] accounting lan-access radius-scheme radsun
[Device-isp-sun] quit
[Device] domain default enable sun
· 配置802.1X
# 配置802.1X的認證方式為CHAP。(該配置可選,缺省情況下802.1X的認證方式為CHAP)
[Device] dot1x authentication-method chap
· 配置端口安全
# 添加5個OUI值。(最多可添加16個,此處僅為示例。最終,端口僅允許一個與某OUI值匹配的用戶通過認證)
[Device] port-security oui index 1 mac-address 1234-0100-1111
[Device] port-security oui index 2 mac-address 1234-0200-1111
[Device] port-security oui index 3 mac-address 1234-0300-1111
[Device] port-security oui index 4 mac-address 1234-0400-1111
[Device] port-security oui index 5 mac-address 1234-0500-1111
# 設置端口安全模式為userLoginWithOUI。
[Device] interface ten-gigabitethernet 1/0/1
[Device-Ten-GigabitEthernet1/0/1] port-security port-mode userlogin-withoui
# 設置觸發入侵檢測功能後,將非法報文丟棄,同時將其源MAC地址加入阻塞MAC地址列表中。
[Device-Ten-GigabitEthernet1/0/1] port-security intrusion-mode blockmac
[Device-Ten-GigabitEthernet1/0/1] quit
# 使能端口安全。
[Device] port-security enable
# 查看名稱為radsun的RADIUS方案的配置信息。
[Device] display radius scheme radsun
RADIUS scheme name: radsun
Index: 0
Primary authentication server:
IP : 192.168.0.38 Port: 1812
VPN : Not configured
State: Active
Test profile: Not configured
Weight: 0
Primary accounting server:
IP : 192.168.0.38 Port: 1813
VPN : Not configured
State: Active
Weight: 0
Accounting-On function : Disabled
extended function : Disabled
retransmission times : 50
retransmission interval(seconds) : 3
Timeout Interval(seconds) : 5
Retransmission Times : 5
Retransmission Times for Accounting Update : 5
Server Quiet Period(minutes) : 5
Realtime Accounting Interval(seconds) : 900
Stop-accounting packets buffering : Enabled
Retransmission times : 500
NAS IP Address : Not configured
VPN : Not configured
User Name Format : without-domain
Data flow unit : Byte
Packet unit : One
Attribute 15 check-mode : Strict
Attribute 25 : Standard
Attribute Remanent-Volume unit : Kilo
server-load-sharing : Disabled
# 查看端口安全的配置信息。
[Device] display port-security interface ten-gigabitethernet 1/0/1
Global port security parameters:
Port security : Enabled
AutoLearn aging time : 0 min
Disableport timeout : 20 s
MAC move : Denied
Authorization fail : Online
NAS-ID profile : Not configured
Dot1x-failure trap : Disabled
Dot1x-logon trap : Disabled
Dot1x-logoff trap : Disabled
Intrusion trap : Disabled
Address-learned trap : Disabled
Mac-auth-failure trap : Disabled
Mac-auth-logon trap : Disabled
Mac-auth-logoff trap : Disabled
OUI value list :
Index : 1 Value : 123401
Index : 2 Value : 123402
Index : 3 Value : 123403
Index : 4 Value : 123404
Index : 5 Value : 123405
Ten-GigabitEthernet1/0/1 is link-up
Port mode : userLoginWithOUI
NeedToKnow mode : Disabled
Intrusion protection mode : NoAction
Security MAC address attribute
Learning mode : Sticky
Aging type : Periodical
Max secure MAC addresses : Not configured
Current secure MAC addresses : 0
Authorization : Permitted
NAS-ID profile : Not configured
配置完成後,如果有802.1X用戶上線,則可以通過上述顯示信息看到當前端口保存的MAC地址數為1。還可以通過display dot1x命令查看該802.1X用戶的在線情況。
# 可以通過display mac-address interface命令查看端口允許MAC地址與OUI值匹配的用戶通過的信息。
[Device] display mac-address interface ten-gigabitethernet 1/0/1
MAC Address VLAN ID State Port/NickName Aging
1234-0300-0011 1 Learned XGE1/0/1 Y
#
port-security enable
port-security oui index 1 mac-address 1234-0100-0000
port-security oui index 2 mac-address 1234-0200-0000
port-security oui index 3 mac-address 1234-0300-0000
port-security oui index 4 mac-address 1234-0400-0000
port-security oui index 5 mac-address 1234-0500-0000
#
interface Ten-GigabitEthernet1/0/1
port link-mode bridge
port-security port-mode userlogin-withoui
port-security intrusion-mode blockmac
#
radius scheme radsun
primary authentication 192.168.0.38
primary accounting 192.168.0.38
key authentication cipher $c$3$s9TAYm34R8sS5k/Cylg2sDm69ZRupMvGJg==
key accounting cipher $c$3$UaUPGk8AfZAQLHFlbKNcEoM2HXGiuWowBQ==
retry 5
timer response-timeout 5
timer realtime-accounting 15
user-name-format without-domain
#
domain sun
authentication lan-access radius-scheme radsun
authorization lan-access radius-scheme radsun
accounting lan-access radius-scheme radsun
#
domain default enable sun
#
如圖6所示,客戶端通過端口Ten-GigabitEthernet1/0/1連接到Device上,Device通過RADIUS服務器對客戶端進行身份認證。如果認證成功,客戶端被授權允許訪問Internet資源。通過配置端口安全macAddressElseUserLoginSecure模式,實現對接入用戶的控製,具體需求如下:
· 可以有多個MAC認證用戶接入;
· 802.1X用戶請求認證時,先進行MAC地址認證,MAC地址認證失敗,再進行802.1X認證。最多隻允許一個802.1X用戶接入;
· 上線的MAC地址認證用戶和802.1X認證用戶總和不能超過64個;
· MAC地址認證設置用戶名格式為固定用戶名格式,用戶名為aaa,密碼為123456;
· 為防止報文發往未知目的MAC地址,啟動ntkonly方式的Need To Know特性。
圖6 端口安全macAddressElseUserLoginSecure模式組網圖
· 配置交換機與用戶端相連的端口安全模式為macAddressElseUserLoginSecure,即:對於非802.1X報文進行MAC地址認證,對於802.1X報文先進行MAC地址認證,如果MAC地址認證失敗再進行802.1X認證。
· 為實現通過端口安全的入侵檢測功能限製認證端口出方向的報文轉發。可配置NeedToKnow功能為ntkonly模式,即僅允許目的MAC地址為已通過認證的MAC地址的單播報文通過。
下麵以iMC為例(使用iMC版本為:iMC PLAT 7.0 (E0201) 、iMC EIA 7.0 (E0201)),說明RADIUS server的基本配置。
(1) 需要在RADIUS Server上增加“接入設備”,並創建802.1X認證相關的“接入策略”,“服務配置”及“用戶”的信息。參見5.3.1 配置RADIUS Server(iMC PLAT 7.0)。
(2) 需要在RADIUS Server上創建MAC地址認證相關的“接入策略”,“服務配置”及“用戶”的信息。如下:
#增加接入策略
選擇“用戶”頁簽,單擊導航樹中的[接入策略管理/接入策略管理]菜單項,在該頁麵中單擊<增加>按鈕,進入增加接入策略配置頁麵。
· 接入策略名為“MAC-auth”
· 其他配置采用頁麵默認配置即可;
· 單擊<確定>按鈕完成操作。
# 增加服務配置。
選擇“用戶”頁簽,單擊導航樹中的[接入策略管理/接入服務管理]菜單項,在該頁麵中單擊<增加>按鈕,進入增加服務配置頁麵。
· 輸入服務名為“MAC-auth/acct”;
· 缺省接入策略為“MAC-auth”;
· 選擇計費策略為“不計費”;
· 本配置頁麵中還有其它服務配置選項,請根據實際情況選擇配置;
· 單擊<確定>按鈕完成操作。
圖7 增加服務配置
# 增加接入用戶。
選擇“用戶”頁簽,單擊導航樹中的[接入用戶管理/接入用戶]菜單項,進入接入用戶列表頁麵,在該頁麵中單擊<增加>按鈕,進入增加接入用戶頁麵。
· 選擇或者手工增加用戶姓名為“hello2”;
· 輸入帳號名“aaa”和密碼123456;
· 選擇該用戶所關聯的接入服務為“MAC-auth/acct”;
· 本配置頁麵中還有其它服務配置選項,請根據實際情況選擇配置;
· 單擊<確定>按鈕完成操作。
圖8 增加接入用戶
保證接入用戶和RADIUS服務器之間路由可達。
· 配置AAA
# 創建RADIUS方案。並配置RADIUS方案主認證/計費服務器及其通信密鑰。
<Device> system-view
[Device] radius scheme radsun
New RADIUS scheme.
[Device-radius-radsun] primary authentication 192.168.0.38
[Device-radius-radsun] primary accounting 192.168.0.38
[Device-radius-radsun] key authentication simple expert
[Device-radius-radsun] key accounting simple expert
# 配置係統向RADIUS服務器重發報文的時間間隔為5秒,重發次數為5次,發送實時計費報文的時間間隔為15分鍾,發送的用戶名不帶域名。
[Device-radius-radsun] timer response-timeout 5
[Device-radius-radsun] retry 5
[Device-radius-radsun] timer realtime-accounting 15
[Device-radius-radsun] user-name-format without-domain
[Device-radius-radsun] quit
# 配置ISP域,並設置為係統缺省的ISP域。
[Device] domain sun
[Device-isp-sun] authentication lan-access radius-scheme radsun
[Device-isp-sun] authorization lan-access radius-scheme radsun
[Device-isp-sun] accounting lan-access radius-scheme radsun
[Device-isp-sun] quit
[Device] domain default enable sun
· 配置MAC地址認證
# 配置MAC地址認證的用戶名為aaa,密碼為123456。
[Device] mac-authentication user-name-format fixed account aaa password simple 123456
# 配置MAC地址認證用戶所使用的ISP域。
[Device] mac-authentication domain sun
· 配置802.1X認證
# 配置802.1X的認證方式為CHAP。(該配置可選,缺省情況下802.1X的認證方式為CHAP)
[Device] dot1x authentication-method chap
· 配置端口安全
# 設置端口安全允許的最大MAC地址數為64。
[Device] interface ten-gigabitethernet 1/0/1
[Device-Ten-GigabitEthernet1/0/1] port-security max-mac-count 64
# 設置端口安全模式為macAddressElseUserLoginSecure。
[Device-Ten-GigabitEthernet1/0/1] port-security port-mode mac-else-userlogin-secure
# 設置端口Need To Know模式為ntkonly。
[Device-Ten-GigabitEthernet1/0/1] port-security ntk-mode ntkonly
[Device-Ten-GigabitEthernet1/0/1] quit
# 使能端口安全。
[Device] port-security enable
# 查看端口安全的配置信息。
[Device] display port-security interface ten-gigabitethernet 1/0/1
Global port security parameters:
Port security : Enabled
AutoLearn aging time : 30 min
Disableport timeout : 30 s
MAC move : Denied
Authorization fail : Online
NAS-ID profile : Not configured
Dot1x-failure trap : Disabled
Dot1x-logon trap : Disabled
Dot1x-logoff trap : Disabled
Intrusion trap : Disabled
Address-learned trap : Disabled
Mac-auth-failure trap : Disabled
Mac-auth-logon trap : Disabled
Mac-auth-logoff trap : Disabled
OUI value list :
Ten-GigabitEthernet1/0/1 is link-down
Port mode : macAddressElseUserLoginSecure
NeedToKnow mode : NeedToKnowOnly
Intrusion protection mode : DisablePortTemporarily
Security MAC address attribute
Learning mode : Sticky
Aging type : Periodical
Max secure MAC addresses : 64
Current secure MAC addresses : 0
Authorization : Permitted
NAS-ID profile : Not configured
# 查看MAC地址認證信息。
[Device] display mac-authentication interface ten-gigabitethernet 1/0/1
Global MAC authentication parameters:
MAC authentication : Enabled
Username format : Fixed account
Username : aaa
Password : ******
Offline detect period : 300 s
Quiet period : 60 s
Server timeout : 100 s
Reauth period : 3600 s
Authentication domain : sun
Online MAC-auth wired user : 3
Silent MAC users:
MAC address VLAN ID From port Port index
Ten-GigabitEthernet1/0/1 is link-down
MAC authentication : Enabled
Carry User-IP : Disabled
Authentication domain : Not configured
Auth-delay timer : Disabled
Periodic reauth : Disabled
Re-auth server-unreachable : Logoff
Guest VLAN : Not configured
Guest VLAN auth-period : 30
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Host mode : Single VLAN
Offline detection : Enabled
Authentication order : Default
Max online users : 4294967295
Authentication attempts : successful 0, failed 0
Current online users : 3
MAC address Auth state
1234-0300-0011 authenticated
1234-0300-0012 authenticated
1234-0300-0013 authenticated
# 查看802.1X認證信息。
[Device] display dot1x interface ten-gigabitethernet 1/0/1
Global 802.1X parameters:
802.1X authentication : Enabled
CHAP authentication : Enabled
Max-tx period : 30 s
Handshake period : 15 s
Quiet timer : Disabled
Quiet period : 60 s
Supp timeout : 30 s
Server timeout : 100 s
Reauth period : 3600 s
Max auth requests : 2
SmartOn supp timeout : 30 s
SmartOn retry counts : 3
EAD assistant function : Disabled
EAD timeout : 30 min
Domain delimiter : @
Online 802.1X wired users : 1
Ten-GigabitEthernet1/0/1 is link-down
802.1X authentication : Enabled
Handshake : Enabled
Handshake reply : Disabled
Handshake security : Disabled
Unicast trigger : Disabled
Periodic reauth : Disabled
Port role : Authenticator
Authorization mode : Auto
Port access control : MAC-based
Multicast trigger : Enabled
Mandatory auth domain : Not configured
Guest VLAN : Not configured
Auth-Fail VLAN : Not configured
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Re-auth server-unreachable : Logoff
Max online users : 4294967295
SmartOn : Disabled
Add Guest VLAN delay : Disabled
User IP freezing : Disabled
Reauth period : 0 s
Send Packets Without Tag : Disabled
Max Attempts Fail Number : 0
EAPOL packets: Tx 0, Rx 0
Sent EAP Request/Identity packets : 0
EAP Request/Challenge packets: 0
EAP Success packets: 0
EAP Failure packets: 0
Received EAPOL Start packets : 0
EAPOL LogOff packets: 0
EAP Response/Identity packets : 0
EAP Response/Challenge packets: 0
Error packets: 0
Online 802.1X users: 1
配置完成後,如果有用戶認證上線,則可以通過上述顯示信息看到當前端口上的用戶認證信息。
# 此外,因為設置了Need To Know特性,目的MAC地址未知、廣播和多播報文都被丟棄。
#
mac-authentication domain sun
mac-authentication user-name-format fixed account aaa password cipher $c$3$HAlQ
nyXOwZXTgiOBPd7+kSPClKm7JbZ1Rw==
#
port-security enable
#
interface Ten-GigabitEthernet1/0/1
port link-mode bridge
port-security ntk-mode ntkonly
port-security max-mac-count 64
port-security port-mode mac-else-userlogin-secure
#
radius scheme radsun
primary authentication 192.168.0.38
primary accounting 192.168.0.38
key authentication cipher $c$3$s9TAYm34R8sS5k/Cylg2sDm69ZRupMvGJg==
key accounting cipher $c$3$UaUPGk8AfZAQLHFlbKNcEoM2HXGiuWowBQ==
retry 5
timer response-timeout 5
timer realtime-accounting 15
user-name-format without-domain
#
domain sun
authentication lan-access radius-scheme radsun
authorization lan-access radius-scheme radsun
accounting lan-access radius-scheme radsun
#
domain default enable sun
#
· H3C S7600-X係列交換機 安全配置指導-R757X
· H3C S7600-X係列交換機 安全命令參考-R757X
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
