华为交换机常见NAC操作
- 配置MAC旁路认证:在同时存在PC以及少量哑终端(如打印机)的网络环境中,可配置802.1X认证MAC旁路认证功能保证哑终端同样能够接入802.1X认证网络
(1)NAC传统模式下配置MAC旁路认证功能
在系统视图下对多个接口进行批量配置:
[HUAWEI] dot1x enable
[HUAWEI] dot1x enable interface gigabitethernet 0/0/1 gigabitethernet 0/0/5
[HUAWEI] dot1x mac-bypass interface gigabitethernet 0/0/1 gigabitethernet 0/0/5
在接口视图下对每个接口进行单个配置:
[HUAWEI] dot1x enable
[HUAWEI-GigabitEthernet0/0/1] dot1x enable
[HUAWEI-GigabitEthernet0/0/1] dot1x mac-bypass
(2)NAC统一模式下配置MAC旁路认证功能
对于V200R009C00之前的版本,需要在接口下同时配置802.1X和MAC认证,并且802.1X认证配置在前:
[HUAWEI-GigabitEthernet0/0/1] authentication dot1x mac-authen
对于V200R009C00及其之后的版本,需要在认证模板下同时绑定802.1X接入模板和MAC接入模板,并且配置命令authentication dot1x-mac-bypass,之后将认证模板绑定到接口上:
[HUAWEI] mac-access-profile name m1
[HUAWEI] dot1x-access-profile name d1
[HUAWEI] authentication-profile name p1
[HUAWEI-authen-profile-p1]mac-access-profile m1
[HUAWEI-authen-profile-p1]dot1x-access-profile d1
[HUAWEI-authen-profile-p1]authentication dot1x-mac-bypass
[HUAWEI-GigabitEthernet0/0/1]authentication-profile p1 - 配置Guest VLAN功能:为了满足用户不进行认证即能访问某些网络资源需求,譬如下载客户端软件、升级客户端、更新病毒库等,可配置Guest VLAN功能。交换机V200R005C00及其之后版本,仅NAC传统模式支持Guest VLAN功能。
(1)在系统视图下对多个接口进行批量配置
[HUAWEI] dot1x enable
[HUAWEI]dot1x enable interface gigabitethernet 0/0/1 gigabitethernet 0/0/5
[HUAWEI]authentication guest-vlan 10 interface gigabitethernet 0/0/1 gigabitethernet 0/0/5
(2)接口视图下对每个接口进行单个配置
[HUAWEI] dot1x enable
[HUAWEI-GigabitEthernet0/0/1] dot1x enable
[HUAWEI-GigabitEthernet0/0/1] authentication guest-vlan 10 - 配置802.1X认证报文二层透明传输功能:802.1X认证过程中的EAP协议报文,是一种BPDU报文。对于BPDU报文,华为公司的交换机设备当前缺省是不做二层转发的。因此如果使能802.1X的设备和用户之间还存在二层交换机,就必须在其上配置二层透明传输,否则用户发送的EAP报文将无法到达认证设备,用户自然无法通过认证。
[LAN Switch]l2protocol-tunnel user-defined-protocol dot1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002 //group-mac不能设置为保留的组播MAC地址(0180-C200-0000~0180-C200-002F)以及其他几种特殊MAC地址,其余MAC地址均可。
[LAN Switch]interface gigabitethernet 0/0/1 //需要在二层交换机连接上行网络以及用户的所有接口上进行配置
[LAN Switch-GigabitEthernet0/0/1]l2protocol-tunnel user-defined-protocol dot1x enable
[LAN Switch-GigabitEthernet0/0/1] bpdu enable - 限制802.1X认证接口可以学习的MAC地址数量:由于802.1X认证功能与mac-limit命令以及mac-address learning disable命令冲突,因此当接口使能802.1X认证功能之后,无法再通过执行mac-limit命令和mac-address learning disable命令限制接口可以学习的MAC地址数量
(1)NAC传统模式
[HUAWEI-GigabitEthernet0/0/1] dot1x max-user 3
(适用于V200R012及之后版本)在接口下配置端口安全功能,并限制该接口能够学习的MAC地址数量:
[HUAWEI-GigabitEthernet0/0/1]port-security enable
[HUAWEI-GigabitEthernet0/0/1]port-security max-mac-num 3
(2)NAC统一模式
适用于V200R005-V200R008版本)通过限制接口下允许接入的用户数量,从而限制该接口可以学习的MAC地址数量:
[HUAWEI-GigabitEthernet0/0/1] authentication mode multi-authen max-user 3
(适用于V200R009及之后版本)通过在认证模板下配置允许接入的802.1X认证用户数量并将该模板应用到指定接口,从而限制该接口可以学习的MAC地址数量:
[HUAWEI]dot1x-access-profile name d1
[HUAWEI]authentication-profile name p1
[HUAWEI-authen-profile-p1]dot1x-access-profile d1
[HUAWEI-authen-profile-p1]authentication mode multi-authen max-user 3 dot1x
[HUAWEI-GigabitEthernet0/0/1]authentication-profile p1
(适用于V200R012及之后版本)在接口下配置端口安全功能,并限制该接口能够学习的MAC地址数量:
[HUAWEI-GigabitEthernet0/0/1] port-security enable
[HUAWEI-GigabitEthernet0/0/1] port-security max-mac-num 3
华为交换机常见NAC操作相关推荐
- 华为交换机常见ARP操作
查看ARP表项 display arp network 172.16.0.0 16 刷新ARP表项:先清除设备上的ARP表项,这样设备会重新学习ARP表项 reset arp all reset ar ...
- 华为交换机常见IPSG操作
配置IP+VLAN静态绑定:通过配置基于静态绑定表的IPSG,对非信任接口上接收的IP报文进行过滤,可以有效防止恶意主机盗用合法主机的IP地址仿冒合法主机非法访问网络,适用于局域网络中主机数较少,且主 ...
- 华为交换机常见QinQ操作
1.配置基本QinQ:基本QinQ又称为普通QinQ,是基于接口方式实现的,接口开启基本QinQ功能后,设备会为该接口接收到的报文添加上本接口缺省VLAN的Tag:如果接收到的是已经带有VLAN Ta ...
- 华为交换机常见链路聚合操作
华为交换机常见链路聚合操作 将接口批量加入聚合组 [HUAWEI] interface eth-trunk 1 [HUAWEI-Eth-Trunk1] trunkport gigabitetherne ...
- 华为交换机常见的ACL操作
常见的ACL操作 1.删除生效时间段:需要先删除关联生效时间段的ACL规则或者整个ACL [HUAWEI] acl 2001 [HUAWEI-acl-basic-2001] undo rule 5 / ...
- 华为设备常见AAA操作
配置用户通过Telnet登录设备的身份认证(AAA本地认证):采用AAA本地认证方式实现用户通过Telnet登录设备的身份认证,设备上需要开启Telnet服务,将用户界面(以VTY用户界面为例)的验证 ...
- 华为设备常见SNMP操作
限制网管对设备的管理: 通过ACL.MIB视图和ACL与MIB视图的组合三种方式限制网管对设备的管理 (1)ACL [HUAWEI] acl 2001 [HUAWEI-acl-basic-2001] ...
- 华为交换机重制_华为交换机恢复出厂设置操作步骤
摘 要 原标题:"华为交换机怎么恢复出厂设置"相关路由器设置经验分享. - 来源:路由器之家 交换机要实现恢复出厂设置,可以通过两种方法来实现,一种是本地配置,另一种是远程配置.下 ...
- ping 超时时间_华为交换机ping命令详解
1.Ping简介 Ping是排除设备访问故障的常见方法.它使用Internet控制消息协议ICMP(Internet Control Message Protocol)确定以下内容: 远程设备是否处于 ...
最新文章
- 所有顶点对最短路径问题(图的应用)
- Spark源码的编译过程详细解读(各版本)(博主推荐)
- 【2021年度训练联盟热身训练赛第二场】g2g c u l8r(python)
- PicGo五分钟打造你的私人图床(稳定、快速、免费)
- Optimize a Flex application using deferred instantiations
- 三维重建1-位姿追踪:单应矩阵、本质矩阵和基本矩阵
- 图床失效了?也许你应该试试这个工具
- Linux里的21的理解
- eigen库安装_Python-OpenCV 1. 图像处理库OpenCV安装
- 电脑安装python3.74_在Python3.74+PyCharm2020.1 x64中安装使用Kivy的详细教程
- docker环境搭建redis-cluster集群(多台机器)
- 车牌识别训练出现问题
- 基于预训练深度学习算法的番茄作物病害分类
- python---python基本算法的时间复杂度和空间复杂度
- windows ip管理之netsetman
- python勒索病毒代码_.Lucky后缀勒索病毒数据解密(示例代码)
- Lavas 安装和项目构建
- JavaScript基础知识总结笔记
- 淘宝价格带卡位公式是什么?如何定价?
- 【mysql】查询过滤器ON,WHERE,HAVING
热门文章
- docker的容器操作命令及其使用技巧
- 【LVGL笔记】-- 贝塞尔曲线绘制
- 创建 SpringBoot 项目的 3 种方式
- Windows 10 和 Ubuntu 双系统安装(U盘启动)
- PowerDesigner绘制业务处理模型等时元素的字体太小,调大字体方法
- 异步方法响应_响应表的新方法
- mac文件或文件夹被替换覆盖,恢复文件的方法
- Optimus—多学科仿真集成与优化设计平台
- u盘被占用,无法弹出解决办法
- vue-router.esm.js?8c4f:2008 Uncaught (in promise) Error: Redirected when going from “/login?redirect