1. 配置MAC旁路认证：在同时存在PC以及少量哑终端（如打印机）的网络环境中，可配置802.1X认证MAC旁路认证功能保证哑终端同样能够接入802.1X认证网络
   （1）NAC传统模式下配置MAC旁路认证功能
   在系统视图下对多个接口进行批量配置：
   [HUAWEI] dot1x enable
   [HUAWEI] dot1x enable interface gigabitethernet 0/0/1 gigabitethernet 0/0/5
   [HUAWEI] dot1x mac-bypass interface gigabitethernet 0/0/1 gigabitethernet 0/0/5
   在接口视图下对每个接口进行单个配置：
   [HUAWEI] dot1x enable
   [HUAWEI-GigabitEthernet0/0/1] dot1x enable
   [HUAWEI-GigabitEthernet0/0/1] dot1x mac-bypass
   （2）NAC统一模式下配置MAC旁路认证功能
   对于V200R009C00之前的版本，需要在接口下同时配置802.1X和MAC认证，并且802.1X认证配置在前：
   [HUAWEI-GigabitEthernet0/0/1] authentication dot1x mac-authen
   对于V200R009C00及其之后的版本，需要在认证模板下同时绑定802.1X接入模板和MAC接入模板，并且配置命令authentication dot1x-mac-bypass，之后将认证模板绑定到接口上：
   [HUAWEI] mac-access-profile name m1
   [HUAWEI] dot1x-access-profile name d1
   [HUAWEI] authentication-profile name p1
   [HUAWEI-authen-profile-p1]mac-access-profile m1
   [HUAWEI-authen-profile-p1]dot1x-access-profile d1
   [HUAWEI-authen-profile-p1]authentication dot1x-mac-bypass
   [HUAWEI-GigabitEthernet0/0/1]authentication-profile p1
2. 配置Guest VLAN功能：为了满足用户不进行认证即能访问某些网络资源需求，譬如下载客户端软件、升级客户端、更新病毒库等，可配置Guest VLAN功能。交换机V200R005C00及其之后版本，仅NAC传统模式支持Guest VLAN功能。
   （1）在系统视图下对多个接口进行批量配置
   [HUAWEI] dot1x enable
   [HUAWEI]dot1x enable interface gigabitethernet 0/0/1 gigabitethernet 0/0/5
   [HUAWEI]authentication guest-vlan 10 interface gigabitethernet 0/0/1 gigabitethernet 0/0/5
   （2）接口视图下对每个接口进行单个配置
   [HUAWEI] dot1x enable
   [HUAWEI-GigabitEthernet0/0/1] dot1x enable
   [HUAWEI-GigabitEthernet0/0/1] authentication guest-vlan 10
3. 配置802.1X认证报文二层透明传输功能：802.1X认证过程中的EAP协议报文，是一种BPDU报文。对于BPDU报文，华为公司的交换机设备当前缺省是不做二层转发的。因此如果使能802.1X的设备和用户之间还存在二层交换机，就必须在其上配置二层透明传输，否则用户发送的EAP报文将无法到达认证设备，用户自然无法通过认证。
   [LAN Switch]l2protocol-tunnel user-defined-protocol dot1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002 //group-mac不能设置为保留的组播MAC地址（0180-C200-0000～0180-C200-002F）以及其他几种特殊MAC地址，其余MAC地址均可。
   [LAN Switch]interface gigabitethernet 0/0/1 //需要在二层交换机连接上行网络以及用户的所有接口上进行配置
   [LAN Switch-GigabitEthernet0/0/1]l2protocol-tunnel user-defined-protocol dot1x enable
   [LAN Switch-GigabitEthernet0/0/1] bpdu enable
4. 限制802.1X认证接口可以学习的MAC地址数量：由于802.1X认证功能与mac-limit命令以及mac-address learning disable命令冲突，因此当接口使能802.1X认证功能之后，无法再通过执行mac-limit命令和mac-address learning disable命令限制接口可以学习的MAC地址数量
   （1）NAC传统模式
   [HUAWEI-GigabitEthernet0/0/1] dot1x max-user 3
   （适用于V200R012及之后版本）在接口下配置端口安全功能，并限制该接口能够学习的MAC地址数量：
   [HUAWEI-GigabitEthernet0/0/1]port-security enable
   [HUAWEI-GigabitEthernet0/0/1]port-security max-mac-num 3
   （2）NAC统一模式
   适用于V200R005-V200R008版本）通过限制接口下允许接入的用户数量，从而限制该接口可以学习的MAC地址数量：
   [HUAWEI-GigabitEthernet0/0/1] authentication mode multi-authen max-user 3
   （适用于V200R009及之后版本）通过在认证模板下配置允许接入的802.1X认证用户数量并将该模板应用到指定接口，从而限制该接口可以学习的MAC地址数量：
   [HUAWEI]dot1x-access-profile name d1
   [HUAWEI]authentication-profile name p1
   [HUAWEI-authen-profile-p1]dot1x-access-profile d1
   [HUAWEI-authen-profile-p1]authentication mode multi-authen max-user 3 dot1x
   [HUAWEI-GigabitEthernet0/0/1]authentication-profile p1
   （适用于V200R012及之后版本）在接口下配置端口安全功能，并限制该接口能够学习的MAC地址数量：
   [HUAWEI-GigabitEthernet0/0/1] port-security enable
   [HUAWEI-GigabitEthernet0/0/1] port-security max-mac-num 3

华为交换机常见NAC操作相关推荐

1. 华为交换机常见ARP操作

   查看ARP表项 display arp network 172.16.0.0 16 刷新ARP表项:先清除设备上的ARP表项,这样设备会重新学习ARP表项 reset arp all reset ar ...

2. 华为交换机常见IPSG操作

   配置IP+VLAN静态绑定:通过配置基于静态绑定表的IPSG,对非信任接口上接收的IP报文进行过滤,可以有效防止恶意主机盗用合法主机的IP地址仿冒合法主机非法访问网络,适用于局域网络中主机数较少,且主 ...

3. 华为交换机常见QinQ操作

   1.配置基本QinQ:基本QinQ又称为普通QinQ,是基于接口方式实现的,接口开启基本QinQ功能后,设备会为该接口接收到的报文添加上本接口缺省VLAN的Tag:如果接收到的是已经带有VLAN Ta ...

4. 华为交换机常见链路聚合操作

   华为交换机常见链路聚合操作 将接口批量加入聚合组 [HUAWEI] interface eth-trunk 1 [HUAWEI-Eth-Trunk1] trunkport gigabitetherne ...

5. 华为交换机常见的ACL操作

   常见的ACL操作 1.删除生效时间段:需要先删除关联生效时间段的ACL规则或者整个ACL [HUAWEI] acl 2001 [HUAWEI-acl-basic-2001] undo rule 5 / ...

6. 华为设备常见AAA操作

   配置用户通过Telnet登录设备的身份认证(AAA本地认证):采用AAA本地认证方式实现用户通过Telnet登录设备的身份认证,设备上需要开启Telnet服务,将用户界面(以VTY用户界面为例)的验证 ...

7. 华为设备常见SNMP操作

   限制网管对设备的管理: 通过ACL.MIB视图和ACL与MIB视图的组合三种方式限制网管对设备的管理 (1)ACL [HUAWEI] acl 2001 [HUAWEI-acl-basic-2001] ...

8. 华为交换机重制_华为交换机恢复出厂设置操作步骤

   摘 要 原标题:"华为交换机怎么恢复出厂设置"相关路由器设置经验分享. - 来源:路由器之家 交换机要实现恢复出厂设置,可以通过两种方法来实现,一种是本地配置,另一种是远程配置.下 ...

9. ping 超时时间_华为交换机ping命令详解

   1.Ping简介 Ping是排除设备访问故障的常见方法.它使用Internet控制消息协议ICMP(Internet Control Message Protocol)确定以下内容: 远程设备是否处于 ...

最新文章

1. 所有顶点对最短路径问题（图的应用）
2. Spark源码的编译过程详细解读(各版本)（博主推荐）
3. 【2021年度训练联盟热身训练赛第二场】g2g c u l8r（python）
4. PicGo五分钟打造你的私人图床（稳定、快速、免费）
5. Optimize a Flex application using deferred instantiations
6. 三维重建1-位姿追踪：单应矩阵、本质矩阵和基本矩阵
7. 图床失效了？也许你应该试试这个工具
8. Linux里的21的理解
9. eigen库安装_Python-OpenCV 1. 图像处理库OpenCV安装
10. 电脑安装python3.74_在Python3.74+PyCharm2020.1 x64中安装使用Kivy的详细教程
11. docker环境搭建redis-cluster集群（多台机器）
12. 车牌识别训练出现问题
13. 基于预训练深度学习算法的番茄作物病害分类
14. python---python基本算法的时间复杂度和空间复杂度
15. windows ip管理之netsetman
16. python勒索病毒代码_.Lucky后缀勒索病毒数据解密(示例代码)
17. Lavas 安装和项目构建
18. JavaScript基础知识总结笔记
19. 淘宝价格带卡位公式是什么?如何定价？
20. 【mysql】查询过滤器ON,WHERE,HAVING

热门文章

1. docker的容器操作命令及其使用技巧
2. 【LVGL笔记】-- 贝塞尔曲线绘制
3. 创建 SpringBoot 项目的 3 种方式
4. Windows 10 和 Ubuntu 双系统安装（U盘启动）
5. PowerDesigner绘制业务处理模型等时元素的字体太小，调大字体方法
6. 异步方法响应_响应表的新方法
7. mac文件或文件夹被替换覆盖，恢复文件的方法
8. Optimus—多学科仿真集成与优化设计平台
9. u盘被占用，无法弹出解决办法
10. vue-router.esm.js?8c4f:2008 Uncaught (in promise) Error: Redirected when going from “/login?redirect