登錄

歡迎userBOB登陆 退出

簡體中文

  • 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

H3C S6800 & S6860 & S6861係列以太網交換機 典型配置舉例-Release 27xx係列-6W100

目錄

09-VLAN典型配置舉例

本章節下載 09-VLAN典型配置舉例  (270.24 KB)

09-VLAN典型配置舉例

H3C S6800&S6860&S6861產品VLAN配置舉例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2019 bobty下载软件 版權所有,保留一切權利。

非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。

除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。

本文檔中的信息可能變動,恕不另行通知。

 

目  錄

1 簡介

2 配置前提

3 基於端口的VLAN典型配置舉例

3.1 組網需求

3.2 適用產品及版本

3.3 配置步驟

3.4 驗證配置

3.5 配置文件

4 Super VLAN典型配置舉例

4.1 組網需求

4.2 適用產品及版本

4.3 配置注意事項

4.4 配置步驟

4.4.1 Device A的配置

4.4.2 Device B的配置

4.5 驗證配置

4.6 配置文件

5 Private VLAN典型配置舉例

5.1 組網需求

5.2 配置思路

5.3 適用產品及版本

5.4 配置注意事項

5.5 配置步驟

5.5.1 Device B的配置

5.5.2 Device A的配置

5.6 驗證配置

5.7 配置文件

6 Voice VLAN典型配置舉例

6.1 組網需求

6.2 配置思路

6.3 適用產品及版本

6.4 配置注意事項

6.5 配置步驟

6.5.1 配置Voice VLAN

6.5.2 配置802.1X認證功能

6.6 驗證配置

6.7 配置文件

7 相關資料

 

1  簡介

本文檔介紹基於端口的VLAN、Super VLAN、Private VLAN、Voice VLAN的典型應用場景和配置舉例。

2  配置前提

本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。

本文檔假設您已了解VLAN特性。

3  基於端口的VLAN典型配置舉例

3.1  組網需求

圖1所示,Host A和Host C屬於部門A,但是通過不同的設備接入公司網絡;Host B和Host D屬於部門B,也通過不同的設備接入公司網絡。為了通信的安全性,以及避免廣播報文泛濫,公司網絡中使用VLAN技術來隔離部門間的二層流量。其中部門A使用VLAN 100,部門B使用VLAN 200。

現要求同一VLAN內的主機能夠互通,即Host A和Host C能夠互通,Host B和Host D能夠互通。

圖1 基於端口的VLAN組網圖

 

3.2  適用產品及版本

表1 適用產品及版本

產品

軟件版本

S6800係列

S6860係列

S6861係列

Release 2702

 

3.3  配置步驟

(1)       配置Device A

# 創建VLAN 100,並將Ten-GigabitEthernet1/0/1加入VLAN 100。

[DeviceA] vlan 100

[DeviceA-vlan100] port ten-gigabitethernet 1/0/1

[DeviceA-vlan100] quit

# 創建VLAN 200,並將Ten-GigabitEthernet1/0/2加入VLAN 200。

[DeviceA] vlan 200

[DeviceA-vlan200] port ten-gigabitethernet 1/0/2

[DeviceA-vlan200] quit

# 為了使Device A上VLAN 100和VLAN 200的報文能發送給Device B,將Ten-GigabitEthernet1/0/3的鏈路類型配置為Trunk,並允許VLAN 100和VLAN 200的報文通過。

[DeviceA] interface ten-gigabitethernet 1/0/3

[DeviceA-Ten-GigabitEthernet1/0/3] port link-type trunk

[DeviceA-Ten-GigabitEthernet1/0/3] port trunk permit vlan 100 200

(2)       Device B上的配置與Device A上的配置相同,不再贅述。

(3)       將Host A和Host C配置在一個網段,例如192.168.100.0/24;將Host B和Host D配置在一個網段,比如192.168.200.0/24。

3.4  驗證配置

(1)       Host A和Host C能夠互相ping通,但是均不能ping通Host B。Host B和Host D能夠互相ping通,但是均不能ping通Host A。

(2)       通過查看顯示信息驗證配置是否成功。

# 查看Device A上VLAN 100和VLAN 200的配置信息,VLAN 100的報文僅允許通過接口XGE1/0/3和XGE1/0/1,VLAN 200的報文僅允許通過接口XGE1/0/3和XGE1/0/2。

[DeviceA-Ten-GigabitEthernet1/0/3] display vlan 100

 VLAN ID: 100

 VLAN type: Static

 Route interface: Not configured

 Description: VLAN 0100

 Name: VLAN 0100

 Tagged ports:

    Ten-GigabitEthernet1/0/3

 Untagged ports:

    Ten-GigabitEthernet1/0/1

[DeviceA-Ten-GigabitEthernet1/0/3] display vlan 200

 VLAN ID: 200

 VLAN type: Static

 Route interface: Not configured

 Description: VLAN 0200

 Name: VLAN 0200

 Tagged ports:

    Ten-GigabitEthernet1/0/3

 Untagged ports:

    Ten-GigabitEthernet1/0/2

3.5  配置文件

Device B上的配置與Device A上的配置相同,此處僅以Device A的配置文件舉例。

#

vlan 100

#

vlan 200

#

interface Ten-GigabitEthernet1/0/1

 port link-mode bridge

 port access vlan 100

#

interface Ten-GigabitEthernet1/0/2

 port link-mode bridge

 port access vlan 200

#

interface Ten-GigabitEthernet1/0/3

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 1 100 200

#

4  Super VLAN典型配置舉例

4.1  組網需求

圖2所示:

·            VLAN 2中的用戶通過Device A的Ten-GigabitEthernet1/0/1接入網絡,VLAN 3中的用戶通過Device A的Ten-GigabitEthernet1/0/2接入網絡。VLAN 2中有30個用戶,VLAN 3中有50個用戶。

·            Device A的Ten-GigabitEthernet1/0/3和Device B的Ten-GigabitEthernet1/0/1屬於VLAN 20。

·            VLAN 20中的終端用戶都使用192.168.2.0/24 網段的IP地址,使用192.168.2.1作為網關地址。

現要求通過配置Super VLAN功能實現以下應用需求:

·            VLAN 2和VLAN 3中的終端用戶都使用192.168.1.0/24網段的IP地址以節省IP地址資源,使用192.168.1.1作為網關地址。

·            VLAN 2、VLAN 3、VLAN 20中的終端用戶二層隔離,三層互通。

圖2 組網圖

 

4.2  適用產品及版本

表2 適用產品及版本

產品

軟件版本

S6800係列

S6860係列

S6861係列

Release 2702

 

4.3  配置注意事項

由於Super VLAN中不能包含物理端口,由此若某VLAN中已經包含物理端口,則該VLAN不能被配置為Super VLAN。

4.4  配置步驟

4.4.1  Device A的配置

# 創建Super VLAN 10。

<DeviceA> system-view

[DeviceA] vlan 10

[DeviceA-vlan10] supervlan

[DeviceA-vlan10] quit

# 創建VLAN 2並將端口Ten-GigabitEthernet1/0/1加入VLAN 2。

[DeviceA] vlan 2

[DeviceA-vlan2] port ten-gigabitethernet 1/0/1

[DeviceA-vlan2] quit

# 創建VLAN 3並將端口Ten-GigabitEthernet1/0/2加入VLAN 3。

[DeviceA] vlan 3

[DeviceA-vlan3] port ten-gigabitethernet 1/0/2

[DeviceA-vlan3] quit

# 將Super VLAN 10和Sub VLAN 2和Sub VLAN 3關聯。

[DeviceA] vlan 10

[DeviceA-vlan10] subvlan 2 3

[DeviceA-vlan10] quit

# 配置Super VLAN 10對應的VLAN接口的IP地址和本地代理ARP功能。

[DeviceA] interface vlan-interface 10

[DeviceA-Vlan-interface10] ip address 192.168.1.1 24

[DeviceA-Vlan-interface10] local-proxy-arp enable

[DeviceA-Vlan-interface10] quit

# 創建VLAN 20。

[DeviceA] vlan 20

[DeviceA-vlan20] quit

# 將端口Ten-GigabitEthernet1/0/3配置為Trunk端口並允許VLAN 20通過,取消允許VLAN 1通過。

[DeviceA] interface ten-gigabitethernet 1/0/3

[DeviceA-Ten-GigabitEthernet1/0/3] port link-type trunk

[DeviceA-Ten-GigabitEthernet1/0/3] undo port trunk permit vlan 1

[DeviceA-Ten-GigabitEthernet1/0/3] port trunk permit vlan 20

[DeviceA-Ten-GigabitEthernet1/0/3] quit

# 配置VLAN 20對應的VLAN接口的IP地址。

[DeviceA] interface Vlan-interface 20

[DeviceA-Vlan-interface20] ip address 192.168.2.1 24

[DeviceA-Vlan-interface20] quit

4.4.2  Device B的配置

# 創建VLAN 20。

[DeviceB] vlan 20

[DeviceB-vlan20] quit

# 將端口Ten-GigabitEthernet1/0/1配置為Trunk端口並允許VLAN 20通過,取消允許VLAN 1通過。

[DeviceB] interface ten-gigabitethernet 1/0/1

[DeviceB-Ten-GigabitEthernet1/0/1] port link-type trunk

[DeviceB-Ten-GigabitEthernet1/0/1] undo port trunk permit vlan 1

[DeviceB-Ten-GigabitEthernet1/0/1] port trunk permit vlan 20

[DeviceB-Ten-GigabitEthernet1/0/1] quit

# 將端口Ten-GigabitEthernet1/0/2加入VLAN 20。

[DeviceB] vlan 20

[DeviceB-vlan20] port ten-gigabitethernet 1/0/2

[DeviceB-vlan20] quit

4.5  驗證配置

(1)       查看Super VLAN配置信息。

[DeviceA] display supervlan

 Super VLAN ID: 10

 Sub-VLAN ID: 2-3

 

 VLAN ID: 10

 VLAN type: Static

 It is a super VLAN.

 Route interface: Configured

 IPv4 address: 192.168.1.1

 IPv4 subnet mask: 255.255.255.0

 Description: VLAN 0010

 Name: VLAN 0010

 Tagged ports: none

 Untagged ports: none

 

 VLAN ID: 2

 VLAN type: Static

 It is a sub-VLAN.

 Route interface: Configured

 IPv4 address: 192.168.1.1

 IPv4 subnet mask: 255.255.255.0

 Description: VLAN 0002

 Name: VLAN 0002

 Tagged ports: none

 Untagged ports:

    Ten-GigabitEthernet1/0/1

 

 VLAN ID: 3

 VLAN type: Static

 It is a sub-VLAN.

 Route interface: Configured

 IPv4 address: 192.168.1.1

 IPv4 subnet mask: 255.255.255.0

 Description: VLAN 0003

 Name: VLAN 0003

 Tagged ports: none

 Untagged ports:

    Ten-GigabitEthernet1/0/2

(2)       Host A和Host B可以互相ping通。查看Host A的ARP表,表中Host B的IP地址對應的MAC地址是Vlan-interface10的MAC地址。查看Host B的ARP表,表中Host A的IP地址對應的MAC地址也是Vlan-interface10的MAC地址。

(3)       Host A和Host C可以互相ping通。查看Host A的ARP表,表中沒有Host C的ARP表項。查看Host C的ARP表,表中也沒有Host A的ARP表項。說明VLAN 2和VLAN 20二層隔離,三層互通。Host B和Host C互相ping的情況同理。

4.6  配置文件

·            Device A

#

vlan 2

#

vlan 3

#

vlan 10

 supervlan

 subvlan 2 3

#

vlan 20

#

interface Vlan-interface10

 ip address 192.168.1.1 255.255.255.0

 local-proxy-arp enable

#

interface Vlan-interface20

 ip address 192.168.2.1 255.255.255.0

#

interface Ten-GigabitEthernet1/0/1

 port link-mode bridge

 port access vlan 2

#

interface Ten-GigabitEthernet1/0/2

 port link-mode bridge

 port access vlan 3

#

interface Ten-GigabitEthernet1/0/3

 port link-mode bridge

 port link-type trunk

 undo port trunk permit vlan 1

 port trunk permit vlan 20

#

·            Device B

#

vlan 20

#

interface Ten-GigabitEthernet1/0/1

 port link-mode bridge

 port link-type trunk

 undo port trunk permit vlan 1

 port trunk permit vlan 20

#

interface Ten-GigabitEthernet1/0/2

 port link-mode bridge

 port access vlan 20

#

5  Private VLAN典型配置舉例

5.1  組網需求

圖3所示:

·            彙聚層設備Device A為接入設備Device B分配了VLAN 10,網關接口VLAN-interface10可以和所有用戶互通,以便用戶可以通過Device A來訪問外部網絡。Device B連接的所有用戶均處於同一網段10.0.0.0/24。

·            Host A和B屬於銷售部,Host C和D屬於財務部。為保證安全,需要使不同部門之間二層隔離,同部門的用戶之間則可以互通。

現由於Device A不能為Device B分配更多VLAN,要求通過Private VLAN功能實現:

·            Device A隻需識別VLAN 10。

·            Device B在Primary VLAN 10下為各部門配置不同的Secondary VLAN,使部門間二層隔離。

圖3 Private VLAN典型配置舉例組網圖

 

5.2  配置思路

Private VLAN功能隻需要在接入設備Device B上配置。

5.3  適用產品及版本

表3 適用產品及版本

產品

軟件版本

S6800係列

S6860係列

S6861係列

Release 2702

 

5.4  配置注意事項

係統缺省VLAN(VLAN 1)不支持Private VLAN相關配置。

5.5  配置步驟

5.5.1  Device B的配置

# 配置VLAN 10為Primary VLAN。

<DeviceB> system-view

[DeviceB] vlan 10

[DeviceB-vlan10] private-vlan primary

[DeviceB-vlan10] quit

# 創建Secondary VLAN 201、202。

[DeviceB] vlan 201 to 202

# 建立Primary VLAN 10和Secondary VLAN 201、202的映射關係。

[DeviceB] vlan 10

[DeviceB-vlan10] private-vlan secondary 201 to 202

[DeviceB-vlan10] quit

# 配置上行端口Ten-GigabitEthernet1/0/1在VLAN 10中工作在promiscuous模式。

[DeviceB] interface ten-gigabitethernet 1/0/1

[DeviceB-Ten-GigabitEthernet1/0/1] port private-vlan 10 promiscuous

[DeviceB-Ten-GigabitEthernet1/0/1] quit

# 將下行端口Ten-GigabitEthernet1/0/2、Ten-GigabitEthernet1/0/3添加到VLAN 201,Ten-GigabitEthernet1/0/4、Ten-GigabitEthernet1/0/5添加到VLAN 202,並配置它們工作在host模式。

[DeviceB] interface range ten-gigabitethernet 1/0/2 to ten-gigabitethernet 1/0/3

[DeviceB-if-range] port access vlan 201

[DeviceB-if-range] port private-vlan host

[DeviceB-if-range] quit

[DeviceB] interface range ten-gigabitethernet 1/0/4 to ten-gigabitethernet 1/0/5

[DeviceB-if-range] port access vlan 202

[DeviceB-if-range] port private-vlan host

[DeviceB-if-range] quit

5.5.2  Device A的配置

# 創建VLAN 10。將接口Ten-GigabitEthernet1/0/1加入VLAN 10。

<DeviceA> system-view

[DeviceA] vlan 10

[DeviceA] quit

[DeviceA] interface ten-gigabitethernet 1/0/1

[DeviceA-Ten-GigabitEthernet1/0/1] port access vlan 10

[DeviceA-Ten-GigabitEthernet1/0/1] quit

# 配置網關接口VLAN-interface10。

[DeviceA] interface vlan-interface 10

[DeviceA-Vlan-interface10] ip address 10.0.0.1 24

[DeviceA-Vlan-interface10] quit

5.6  驗證配置

# Device A可以ping通任意用戶。查看ARP表,可以看到所有用戶均屬於VLAN 10。

[DeviceA] display arp

  Type: S-Static   D-Dynamic   O-Openflow   R-Rule   M-Multiport  I-Invalid

IP address      MAC address    VLAN/VSI    Interface/Link ID       Aging Type

10.0.0.2        d485-64a1-7e4a 10          XGE1/0/1                19    D

10.0.0.3        7446-a0aa-7774 10          XGE1/0/1                19    D

10.0.0.4        6805-ca05-39ae 10          XGE1/0/1                20    D

10.0.0.5        6805-ca05-414e 10          XGE1/0/1                20    D

# 顯示Device B上的Private VLAN配置情況。

[DeviceB] display private-vlan

 Primary VLAN ID: 10

 Secondary VLAN ID: 201-202

 VLAN ID: 10

 VLAN type: Static

 Private VLAN type: Primary

 Route interface: Not configured

 Description: VLAN 0010

 Name: VLAN 0010

 Tagged ports:   None

 Untagged ports:

    Ten-GigabitEthernet1/0/1          Ten-GigabitEthernet1/0/2

    Ten-GigabitEthernet1/0/3          Ten-GigabitEthernet1/0/4

    Ten-GigabitEthernet1/0/5

 

 VLAN ID: 201

 VLAN type: Static

 Private VLAN type: Secondary

 Route interface: Not configured

 Description: VLAN 0201

 Name: VLAN 0201

 Tagged ports:   None

 Untagged ports:

    Ten-GigabitEthernet1/0/1          Ten-GigabitEthernet1/0/2

    Ten-GigabitEthernet1/0/3

 

 VLAN ID: 202

 VLAN type: Static

 Private VLAN type: Secondary

 Route interface: Not configured

 Description: VLAN 0202

 Name: VLAN 0202

 Tagged ports:   None

 Untagged ports:

    Ten-GigabitEthernet1/0/1          Ten-GigabitEthernet1/0/4

    Ten-GigabitEthernet1/0/5

可以看到,工作在promiscuous模式的端口Ten-GigabitEthernet1/0/1和工作在host模式的端口Ten-GigabitEthernet1/0/2~Ten-GigabitEthernet1/0/5均以Untagged方式允許VLAN報文通過。

# Host A、B之間可以互相ping通,Host C、D之間可以互相ping通。Host A、B與Host C、D之間均不能ping通。

5.7  配置文件

·            Device B

#

vlan 1

#

vlan 10

 private-vlan primary

 private-vlan secondary 201 to 202

#

vlan 201 to 202

#

interface Ten-GigabitEthernet1/0/1

 port link-mode bridge

 port link-type hybrid

 undo port hybrid vlan 1

 port hybrid vlan 10 201 to 202 untagged

 port hybrid pvid vlan 10

 port private-vlan 10 promiscuous

#

interface Ten-GigabitEthernet1/0/2

 port link-mode bridge

 port link-type hybrid

 undo port hybrid vlan 1

 port hybrid vlan 10 201 untagged

 port hybrid pvid vlan 201

 port private-vlan host

#

interface Ten-GigabitEthernet1/0/3

 port link-mode bridge

 port link-type hybrid

 undo port hybrid vlan 1

 port hybrid vlan 10 201 untagged

 port hybrid pvid vlan 201

 port private-vlan host

#

interface Ten-GigabitEthernet1/0/4

 port link-mode bridge

 port link-type hybrid

 undo port hybrid vlan 1

 port hybrid vlan 10 202 untagged

 port hybrid pvid vlan 202

 port private-vlan host

#

interface Ten-GigabitEthernet1/0/5

 port link-mode bridge

 port link-type hybrid

 undo port hybrid vlan 1

 port hybrid vlan 10 202 untagged

 port hybrid pvid vlan 202

 port private-vlan host

#

·            Device A

#

vlan 1

#

vlan 10

#

interface Vlan-interface10

 ip address 10.0.0.1 255.255.255.0

#

interface Ten-GigabitEthernet1/0/1

 port link-mode bridge

 port access vlan 10

#

6  Voice VLAN典型配置舉例

6.1  組網需求

圖4所示,設備通過接口Ten-GigabitEthernet1/0/1IP電話相連,IP電話發送Tagged語音數據。設備通過RADIUS服務器對IP電話進行身份認證,如果認證成功,IP電話被授權允許接入。在設備上配置VLAN ID2Voice VLAN,通過LLDP功能使IP電話經過802.1X認證後可自動上線。

現要求實現如下需求:

·            IP電話在接口Ten-GigabitEthernet1/0/1經過802.1X認證後上線。

·            不用在設備上手動配置Voice VLAN MAC地址,IP電話可自動上線傳輸語音數據。

圖4 802.1X認證的自動模式下Voice VLAN配置組網圖

 

6.2  配置思路

·            缺省情況下,IP電話支持LLDP功能。

·            開啟LLDP自動發現IP電話功能時,需在端口Ten-GigabitEthernet1/0/1配置發布network-policy TLV通告Voice VLAN信息。

·            設備上開啟自動模式下的Voice VLAN功能。

·            配置各接口的IP地址。

6.3  適用產品及版本

表4 適用產品及版本

產品

軟件版本

S6800係列

S6860係列

S6861係列

Release 2702

 

6.4  配置注意事項

發送給服務器的用戶名是否攜帶域名與服務器端是否接受攜帶域名的用戶名以及服務器端的配置有關:

·            若服務器端不接受攜帶域名的用戶名,或者服務器上配置的用戶認證所使用的服務不攜帶域名後綴,則Device上指定不攜帶用戶名(without-domain);

·            若服務器端可接受攜帶域名的用戶名,且服務器上配置的用戶認證所使用的服務攜帶域名後綴,則Device上指定攜帶用戶名(with-domain)。

6.5  配置步驟

6.5.1  配置Voice VLAN

# 創建VLAN 2。

<Device> system-view

[Device] vlan 2

[Device-vlan2] quit

# 全局開啟LLDP功能。

[Device] lldp global enable

# 在接口Ten-GigabitEthernet1/0/1上開啟LLDP功能,配置LLDP工作模式為TxRx,並發布Voice VLAN ID。

[Device] interface ten-gigabitethernet 1/0/1

[Device-Ten-GigabitEthernet1/0/1] lldp enable

[Device-Ten-GigabitEthernet1/0/1] lldp admin-status txrx

[Device-Ten-GigabitEthernet1/0/1] lldp tlv-enable med-tlv network-policy 2

[Device-Ten-GigabitEthernet1/0/1] quit

# 配置Voice VLAN工作在安全模式,老化時間為30分鍾。

[Device] voice-vlan security enable

[Device] voice-vlan aging 30

# 開啟通過LLDP自動發現IP電話功能。

[Device] voice-vlan track lldp

# 將接口Ten-GigabitEthernet1/0/1配置為Hybrid端口,並配置Voice VLAN功能。

[Device] interface ten-gigabitethernet 1/0/1

[Device-Ten-GigabitEthernet1/0/1] port link-type hybrid

[Device-Ten-GigabitEthernet1/0/1] voice-vlan mode auto

[Device-Ten-GigabitEthernet1/0/1] voice-vlan 2 enable

6.5.2  配置802.1X認證功能

# 配置RADIUS服務器,添加用戶帳戶,保證用戶的認證/授權/計費功能正常運行(略)

# 創建RADIUS方案,並配置RADIUS方案主認證/計費服務器及其通信密鑰。發送給RADIUS服務器的用戶名不攜帶域名。

[Device] radius scheme radius1

[Device-radius-radius1] primary authentication 10.1.1.1

[Device-radius-radius1] primary accounting 10.1.1.1

[Device-radius-radius1] key authentication simple name

[Device-radius-radius1] key accounting simple money

[Device-radius-radius1] user-name-format without-domain

[Device-radius-radius1] quit

# 創建域bbb,並配置802.1X用戶使用RADIUS方案radius1進行認證、授權、計費。

[Device] domain bbb

[Device-isp-bbb] authentication lan-access radius-scheme radius1

[Device-isp-bbb] authorization lan-access radius-scheme radius1

[Device-isp-bbb] accounting lan-access radius-scheme radius1

[Device-isp-bbb] quit

# 在端口Ten-GigabitEthernet1/0/1上配置802.1X功能,並指定端口上接入的802.1X用戶使用強製認證域bbb。

[Device] interface ten-gigabitethernet 1/0/1

[Device-Ten-GigabitEthernet1/0/1] dot1x

[Device-Ten-GigabitEthernet1/0/1] dot1x mandatory-domain bbb

# 開啟組播觸發功能(此配置可選,因為缺省情況下設備開啟組播觸發功能)。

[Device-Ten-GigabitEthernet1/0/1] dot1x multicast-trigger

[Device-Ten-GigabitEthernet1/0/1] quit

# 開啟全局802.1X。

[Device] dot1x

# 配置802.1X客戶端(略)

若使用H3C iNode 802.1X客戶端,為保證備選的本地認證可成功進行,請確認802.1X連接屬性中的“上傳客戶端版本號”選項未被選中。

6.6  驗證配置

# 查看802.1X認證信息。

[Device] display dot1x interface ten-gigabitethernet 1/0/1

 Global 802.1X parameters:

   802.1X authentication                : Enabled

   CHAP authentication                  : Enabled

   Max-tx period                         : 30 s

   Handshake period                     : 15 s

   Offline detect period                : 300 s

   Quiet timer                           : Disabled

       Quiet period                      : 60 s

   Supp timeout                          : 30 s

   Server timeout                       : 100 s

   Reauth period                        : 3600 s

   Max auth requests                    : 2

   User aging period for Auth-Fail VLAN : 1000 s

   User aging period for Auth-Fail VSI  : 1000 s

   User aging period for critical VLAN  : 1000 s

   User aging period for critical VSI   : 1000 s

   User aging period for guest VLAN     : 1000 s

   User aging period for guest VSI      : 1000 s

   EAD assistant function               : Disabled

       EAD timeout                      : 30 min

   Domain delimiter                     : @

 Online 802.1X wired users              : 1

 

 Ten-GigabitEthernet1/0/1  is link-up

   802.1X authentication            : Enabled

   Handshake                        : Enabled

   Handshake reply                  : Disabled

   Handshake security               : Disabled

   Offline detection                : Disabled

   Unicast trigger                  : Disabled

   Periodic reauth                  : Disabled

   Port role                        : Authenticator

   Authorization mode               : Auto

   Port access control              : MAC-based

   Multicast trigger                : Enabled

   Mandatory auth domain            : Not configured

   Guest VLAN                       : Not configured

   Auth-Fail VLAN                   : Not configured

   Critical VLAN                    : Not configured

   Critical voice VLAN              : Disabled

   Add Guest VLAN delay             : Disabled

   Re-auth server-unreachable       : Logoff

   Max online users                 : 4294967295

   User IP freezing                 : Disabled

   Reauth period                    : 0 s

   Send Packets Without Tag         : Disabled

   Max Attempts Fail Number         : 0

   Guest VSI                        : Not configured

   Auth-Fail VSI                    : Not configured

   Critical VSI                     : Not configured

   Add Guest VSI delay              : Disabled

   User aging                       : Enabled

   Server-recovery online-user-sync : Enabled

   Auth-Fail EAPOL                  : Disabled

   Critical EAPOL                   : Disabled

 

   EAPOL packets: Tx 0, Rx 0

   Sent EAP Request/Identity packets : 0

        EAP Request/Challenge packets: 0

        EAP Success packets: 0

        EAP Failure packets: 0

   Received EAPOL Start packets : 0

            EAPOL LogOff packets: 0

            EAP Response/Identity packets : 0

            EAP Response/Challenge packets: 0

            Error packets: 0

   Online 802.1X users: 1

當IP電話輸入正確的用戶名和密碼成功上線後,可使用命令display dot1x connection查看到上線用戶的連接情況。

# 顯示當前Voice VLAN的狀態。

[Device] display voice-vlan state

 Current voice VLANs: 2

 Voice VLAN security mode: Security

 Voice VLAN aging time: 30 minutes

 Voice VLAN enabled ports and their modes:

 Port                        VLAN        Mode        CoS        DSCP

 GE1/0/1                     2           Auto        6          46

6.7  配置文件

#

 voice-vlan aging 30

 voice-vlan track lldp

#

 dot1x

#

 lldp global enable

#

vlan 1

#

vlan 2

#

interface Ten-GigabitEthernet1/0/1

 port link-mode bridge

 port link-type hybrid

 port hybrid vlan 1 untagged

 voice-vlan 2 enable

 lldp tlv-enable med-tlv network-policy 2

 dot1x

 dot1x mandatory-domain bbb

#

radius scheme radius1

 primary authentication 10.1.1.1

 primary accounting 10.1.1.1

 key authentication cipher $c$3$/gxrbATUfK4BbF+73EQiCzBM7cwP86o=

 key accounting cipher $c$3$mq8b76RILWQr2lH7NTtvE9+7O0v7vd1H

 user-name-format without-domain

#

radius scheme system

 user-name-format without-domain

#

domain bbb

 accounting login radius-scheme radius1

 authentication lan-access radius-scheme radius1

 authorization lan-access radius-scheme radius1

7  相關資料

·            H3C S6800[60][61](R27xx) & S6820(R630x)係列以太網交換機 二層技術-以太網交換配置指導

·            H3C S6800[60][61](R27xx) & S6820(R630x)係列以太網交換機 二層技術-以太網交換命令參考

·            H3C S6800[60][61](R27xx) & S6820(R630x)係列以太網交換機 安全配置指導

·            H3C S6800[60][61](R27xx) & S6820(R630x)係列以太網交換機 安全命令參考

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆 官網
聯係我們